本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # WorkSpaces 安全浏览器的 VPC 最佳实践 以下建议可帮助您更安全有效地配置 VPC。 **VPC 整体配置** + 确保您的 VPC 配置可以支持扩展需求。 + 确保您的 WorkSpaces 安全浏览器服务配额(也称为限制)足以满足您的预期需求。要申请增加配额,你可以使用 Service Quotas 控制台,网址为[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。有关默认 WorkSpaces 安全浏览器配额的信息,请参阅[在 Amazon WorkSpaces 安全浏览器中管理门户网站的服务配额](request-service-quota.md)。 + 如果您计划为流会话提供 Internet 访问权限,建议您在公有子网中配置一个带有 NAT 网关的 VPC。 **弹性网络接口** + 在直播期间,每个 WorkSpaces 安全浏览器会话都需要自己的 elastic network 接口。 WorkSpaces Secure Browser 创建的[弹性网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENIs) 与队列所需的最大容量一样多。默认情况下, ENIs 每个区域的限制为 5000。有关更多信息,请参阅[网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-enis)。 在为超大型部署(例如数千个并发流式传输会话)规划容量时,请考虑峰值使用量可能需要的容量数量。 ENIs 建议您将 ENI 限制保持在您为 Web 门户配置的最大并发使用限制或高于该限制。 **子网** + 在制定扩大用户规模的计划时,请记住,每个 WorkSpaces 安全浏览器会话都需要来自已配置子网的唯一客户端 IP 地址。因此,子网上配置的客户端 IP 地址空间的大小决定了可以同时进行流会话的用户数量。 + 建议使用允许足够客户端 IP 地址数的子网掩码配置各个子网,以容纳预期的最大并发用户数。此外,考虑添加额外的 IP 地址来容纳预期的增长。有关更多信息,请参阅 [VPC 和子网大小调整 IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。 + 出于可用性和扩展方面的考虑,我们建议您在所需区域中 WorkSpaces 安全浏览器支持的每个唯一可用区中配置一个子网。有关更多信息,请参阅 [为 Amazon WorkSpaces 安全浏览器创建新 VPC](create-vpc.md)。 + 请确保可通过您的子网访问 Web 应用程序所需的网络资源。 **安全组** + 使用安全组向您的 VPC 提供额外的访问控制。 属于您的 VPC 的安全组允许您控制 WorkSpaces 安全浏览器流式传输实例与 Web 应用程序所需的网络资源之间的网络流量。确保安全组提供了对 Web 应用程序所需网络资源的访问权限。