本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# WorkSpaces Pools 的网络和访问权限
以下主题提供有关如何使用户能够连接到 WorkSpaces Pools 并使 WorkSpaces Pools 能够访问网络资源和 Internet 的信息。
**Topics**
+ [WorkSpaces Pools 的 Internet 访问](internet-access.md)
+ [为 WorkSpaces Pools 配置 VPC](appstream-vpc.md)
+ [为矿池配置 FedRAMP 授权或国防部 SRG 合规性 WorkSpaces](fips-encryption-pools.md)
+ [将 Amazon S3 VPC 终端节点用于 WorkSpaces 池功能](managing-network-vpce-iam-policy.md)
+ [WorkSpaces 池与您的 VPC 的连接](pools-port-requirements.md)
+ [用户与 WorkSpaces 池的连接](user-connections-to-appstream2.md)
# WorkSpaces Pools 的 Internet 访问
如果您 WorkSpaces Pools 中的 WorkSpaces 需要访问 Internet,则您可以通过多种方式启用它。在选择实现 Internet 访问的方法时,请考虑您的部署必须支持的用户数量以及您的部署目标。例如:
+ 如果您的部署必须支持 100 个以上的并发用户,需[配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。
+ 如果您的部署支持 100 个以内并发用户,可以[使用公有子网配置新的或现有 VPC](managing-network-default-internet-access.md)。
+ 如果您的部署支持 100 个以内并发用户,并且您是初次使用 WorkSpaces Pools,希望开始使用该服务,则您可以[使用默认 VPC、公有子网和安全组](managing-network-default-internet-access.md)。
以下几部分提供了有关这些部署选项中每一项的更多信息。
+ [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)(推荐)- 使用此配置,您可以在私有子网中启动 WorkSpaces Pools 生成器,并在您 VPC 的公有子网中配置 NAT 网关。您的流实例会被分配一个无法直接从 Internet 访问的私有 IP 地址。
此外,与使用**默认互联网访问**选项来启用 Internet 访问的配置不同,NAT 配置不限于 100 个 WorkSpaces Pools 中的 WorkSpaces。如果您的部署必须支持 100 个以上的并发用户,请使用此配置。
您可以创建和配置新 VPC 来结合使用 NAT 网关,或将 NAT 网关添加到现有 VPC。
+ [配置带公有子网的新的或现有 VPC](managing-network-default-internet-access.md) - 使用此配置,您可以在公有子网中启动 WorkSpaces Pools。启用此选项后,WorkSpaces Pools 将在 Amazon VPC 公有子网中使用 Internet 网关来提供 Internet 连接。您的流实例会被分配一个可直接从 Internet 访问的公有 IP 地址。您可以创建新 VPC 或配置现有 VPC 用于此用途。
**注意**
为公有子网配置新的或现有 VPC 时,WorkSpaces Pools 最多支持 100 个 WorkSpaces。如果您的部署必须支持 100 个以上的并发用户,请改为使用 [NAT 网关配置](managing-network-internet-NAT-gateway.md)。
+ [使用默认 VPC、公有子网和安全组](default-vpc-with-public-subnet.md) - 如果您是初次使用 WorkSpaces Pools 并希望开始使用该服务,则可以在默认公有子网中启动 WorkSpaces Pools。启用此选项后,WorkSpaces Pools 将在 Amazon VPC 公有子网中使用 Internet 网关来提供 Internet 连接。您的流实例会被分配一个可直接从 Internet 访问的公有 IP 地址。
默认 VPC 在 2013 年 12 月 4 日之后创建的 Amazon Web Services 账户中可用。
默认 VPC 在各个可用区中包含一个默认公有子网,以及连接到您 VPC 的 Internet 网关。VPC 还包含默认安全组。
**注意**
当您使用默认 VPC、公有子网和安全组时,WorkSpaces Pools 最多支持 100 个 WorkSpaces。如果您的部署必须支持 100 个以上的并发用户,请改为使用 [NAT 网关配置](managing-network-internet-NAT-gateway.md)。
# 为 WorkSpaces Pools 配置 VPC
设置 WorkSpaces Pools 时,您必须指定虚拟私有云(VPC)和至少一个子网,以便在其中启动 WorkSpaces。VPC 是 Amazon Web Services Cloud 内您自己的逻辑隔离区域中的虚拟网络。子网是您的 VPC 内的 IP 地址范围。
为 WorkSpaces Pools 配置 VPC 时,您可以指定公有子网或私有子网,也可以指定两种类型子网的混合。公有子网可以通过 Internet 网关直接访问 Internet。私有子网没有直接指向 Internet 网关的路由,需要网络地址转换 (NAT) 网关或 NAT 实例来提供对 Internet 的访问。
**Topics**
+ [WorkSpaces 池的 VPC 设置建议](vpc-setup-recommendations.md)
+ [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)
+ [配置带公有子网的新的或现有 VPC](managing-network-default-internet-access.md)
+ [使用默认 VPC、公有子网和安全组](default-vpc-with-public-subnet.md)
# WorkSpaces 池的 VPC 设置建议
创建 WorkSpaces 池时,需要指定要使用的 VPC 和一个或多个子网。您可以通过指定安全组,为 VPC 提供额外的访问控制。
以下建议可帮助您更安全有效地配置 VPC。此外,它们还可以帮助您配置支持有效 WorkSpaces 池扩展的环境。通过有效的资源 WorkSpaces 池扩展,您可以满足当前和预期的 WorkSpaces 用户需求,同时避免不必要的资源使用和相关成本。
**VPC 整体配置**
+ 确保您的 VPC 配置可以支持您的 WorkSpaces 池扩展需求。
在制定 WorkSpaces 池扩展计划时,请记住一个用户需要一个 WorkSpaces。因此, WorkSpaces 池的大小决定了可以同时直播的用户数量。因此,对于您计划使用的每[种实例类型](instance-types.md),请确保您的 VPC 可以支持的数量大于同一实例类型的预期并发用户数。 WorkSpaces
+ 确保您的 WorkSpaces 矿池账户配额(也称为限额)足以满足您的预期需求。要申请增加配额,你可以使用 Service Quotas 控制台,网址为[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。有关默认 WorkSpaces 池配额的信息,请参阅[亚马逊 WorkSpaces 配额](workspaces-limits.md)。
+ 如果您计划 WorkSpaces 在 WorkSpaces 池中为自己的 Internet 提供访问权限,我们建议您在一个 VPC 中为流媒体实例配置两个私有子网,在公有子网中配置一个 NAT 网关。
NAT 网关允许私有子网 WorkSpaces 中的连接到互联网或其他 AWS 服务。但是,它会阻止互联网与这些人建立连接 WorkSpaces。此外,与使用**默认互联网访问选项启用互联网访问**的配置不同,NAT 配置支持超过 100 个 WorkSpaces。有关更多信息,请参阅 [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。
**弹性网络接口**
+ WorkSpaces 池创建的[弹性网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)(网络接口)与 WorkSpaces 池所需的最大容量一样多。默认情况下,每个区域的网络接口数限制为 5000。
在为超大型部署(例如数千个)规划容量时 WorkSpaces,请考虑同一地区也使用的 Amazon EC2 实例的数量。
**子网**
+ 如果您要为 VPC 配置多个私有子网,请在不同的可用区中配置每个子网。这样做可提高容错能力,并有助于防止出现容量不足错误。如果您在同一个可用区中使用两个子网,则可能会用完 IP 地址,因为 WorkSpaces 池不会使用第二个子网。
+ 请确保可通过您的两个私有子网访问应用程序所需的网络资源。
+ 使用允许足够客户端 IP 地址数的子网掩码配置您的各个私有子网,以适应预期的最大并发用户数。此外,允许额外的 IP 地址来容纳预期的增长。有关更多信息,请参阅 [VPC 和子网大小调整 IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
+ 如果您在使用带有 NAT 的 VPC,请至少配置一个带有 NAT 网关的公有子网以便访问 Internet,最好配置两个公有子网。在您的私有子网所在的同一可用区中配置公有子网。
为了增强容错能力并减少大型 WorkSpaces 池部署出现容量不足错误的机会,请考虑将您的 VPC 配置扩展到第三个可用区。在此额外的可用区中包括私有子网、公有子网和 NAT 网关。
**安全组**
+ 使用安全组向您的 VPC 提供额外的访问控制。
属于您的 VPC 的安全组允许您控制 WorkSpaces 池流式传输实例和应用程序所需的网络资源之间的网络流量。这些资源可能包括其他 AWS 服务,例如 Amazon RDS 或 Amazon FSx、许可服务器、数据库服务器、文件服务器和应用程序服务器。
+ 确保安全组提供了对应用程序所需网络资源的访问权限。
有关安全组的一般信息,请参阅 *Amazon VPC 用户指南*中的[使用安全组控制 AWS 资源流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)。
# 配置具有私有子网和 NAT 网关的 VPC
如果您计划 WorkSpaces 在 WorkSpaces 池中为自己的 Internet 提供访问权限,我们建议您在一个 VPC 中配置两个私有子网,在公有子网中配置一个 NAT 网关。 WorkSpaces 您可以创建和配置新 VPC 来结合使用 NAT 网关,或将 NAT 网关添加到现有 VPC。有关其他 VPC 配置建议,请参阅 [WorkSpaces 池的 VPC 设置建议](vpc-setup-recommendations.md)。
NAT 网关允许私有子网 WorkSpaces 中的连接到互联网或其他 AWS 服务,但会阻止互联网与这些 WorkSpaces服务建立连接。此外,与使用**默认互联网访问**选项为其启用互联网访问的配置不同 WorkSpaces,此配置不限于 100 WorkSpaces。
有关使用 NAT 网关和此配置的信息,请参阅《Amazon VPC 用户指南》**中的 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)和[具有公有和私有子网(NAT)的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**Topics**
+ [创建和配置新 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [向现有 VPC 添加 NAT 网关](add-nat-gateway-existing-vpc.md)
+ [为 WorkSpaces 池启用互联网接入](managing-network-manual-enable-internet-access.md)
# 创建和配置新 VPC
本主题介绍如何使用 VPC 向导创建具有一个公有子网和一个私有子网的 VPC。作为此过程的一部分,向导将创建 Internet 网关和 NAT 网关。它还会创建与公有子网关联的自定义路由表,并更新与私有子网关联的主路由表。NAT 网关是在您的 VPC 的公有子网中自动创建的。
使用向导创建初始 VPC 配置后,您将添加第二个私有子网。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[具有公有和私有子网(NAT)的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**注意**
如果您已有 VPC,请改为完成[向现有 VPC 添加 NAT 网关](add-nat-gateway-existing-vpc.md)中的步骤。
**Topics**
+ [步骤 1:分配弹性 IP 地址](#allocate-elastic-ip)
+ [步骤 2:创建新 VPC](#vpc-with-private-and-public-subnets-nat)
+ [步骤 3:添加第二个私有子网](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [步骤 4:验证并命名子网路由表](#verify-name-route-tables)
## 步骤 1:分配弹性 IP 地址
在创建 VPC 之前,您必须在您所在的 WorkSpaces 地区分配一个弹性 IP 地址。您必须先分配用于 VPC 的弹性 IP 地址,然后将其与 NAT 网关关联。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[弹性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)。
**注意**
使用弹性 IP 地址可能会产生费用。有关更多信息,请参阅 Amazon EC2 定价页面上的[弹性 IP 地址](https://docs.aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses)。
如果您还没有弹性 IP 地址,请完成以下步骤。如果需要使用现有的弹性 IP 地址,请确保它当前不与其他实例或网络接口关联。
**分配弹性 IP 地址**
1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。
1. 在导航窗格中的 “**网络与安全**” 下,选择 **Elastic IPs**。
1. 选择 **Allocate New Address (分配新地址)**,然后选择 **Allocate (分配)**。
1. 记录弹性 IP 地址。
1. 在**弹性 IPs**窗格的右上角,单击 X 图标关闭窗格。
## 步骤 2:创建新 VPC
完成以下步骤,创建具有一个公有子网和一个私有子网的新 VPC。
**创建新的 VPC**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **VPC Dashboard (VPC 控制面板)**。
1. 选择 **Launch VPC Wizard (启动 VPC 向导)**。
1. 在 **Step 1: Select a VPC Configuration (步骤 1:选择 VPC 配置)** 中,选择 **VPC with Public and Private Subnets (带有公有子网和私有子网的 VPC)**,然后选择 **Select (选择)**。
1. 在 **Step 2: VPC with Public and Private Subnets (步骤 2:具有公有子网和私有子网的 VPC)** 中,如下所示配置 VPC:
+ 对于 **IPv4 CIDR 块**,请为 VPC 指定一个 IPv4 CIDR 块。
+ 对于 **IPv6 CIDR 块**,请保留默认值 “**无 IPv6 CIDR** 块”。
+ 对于 **VPC name (VPC 名称)**,请键入一个唯一的 VPC 名称。
1. 按照如下所示配置公有子网:
+ 对于**公有子网的 IPv4 CIDR**,请为该子网指定 CIDR 块。
+ 对于 **Availability Zone (可用区)**,保留默认值 **No Preference (无首选项)**。
+ 对于 **Public subnet name (公有子网名称)**,键入子网的名称(例如,`WorkSpaces Public Subnet`)。
1. 按照如下所示配置第一个私有子网:
+ 对于**私有子网的 IPv4 CIDR**,请为该子网指定 CIDR 块。记下您指定的值。
+ 对于 **Availability Zone (可用区)**,选择特定区并记下您的选择。
+ 对于 **Private subnet name (私有子网名称)**,键入子网的名称(例如,`WorkSpaces Private Subnet1`)。
+ 对于其余字段,在适用时保留默认值。
1. 对于 **Elastic IP Allocation ID (弹性 IP 分配 ID)**,单击文本框并选择与您创建的弹性 IP 地址相对应的值。此地址分配给 NAT 网关。如果您没有弹性 IP 地址,请使用位于的 Amazon VPC 控制台创建一个弹性 IP 地址[https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/)。
1. 对于**服务端点**,如果您的环境需要 Amazon S3 端点,请指定一个。对于您私有网络中的用户,如果需要访问[主文件夹](persistent-storage.md#home-folders)或者启用[程序设置持久性](app-settings-persistence.md),则需要 S3 端点。
要指定 Amazon S3 端点,请执行以下操作:
1. 选择 **Add Endpoint (添加端点)**。
1. 对于**服务**,在列表中选择以 “s3” 结尾的条目(该`com.amazonaws.`*region*`.s3`条目对应于创建 VPC 的区域)。
1. 对于 **Subnet (子网)**,选择 **Private subnet (私有子网)**。
1. 对于 **Policy (策略)**,保留默认值 **Full Access (完全访问)**。
1. 对于 **Enable DNS hostnames (启用 DNS 主机名)**,保留默认值 **Yes (是)**。
1. 对于 **Hardware tenancy (硬件租赁)**,保留默认值 **Default (默认值)**。
1. 选择**创建 VPC**。
1. 请注意,设置您的 VPC 可能需要几分钟。创建了 VPC 后,选择 **OK**。
## 步骤 3:添加第二个私有子网
在上一步([步骤 2:创建新 VPC](#vpc-with-private-and-public-subnets-nat))中,您创建了具有一个公有子网和一个私有子网的 VPC。执行以下步骤以添加第二个私有子网。我们建议您在与第一个私有子网不同的可用区中添加第二个私有子网。
1. 在导航窗格中,选择 **Subnets**(子网)。
1. 选择您在上一步骤中创建的第一个私有子网。在 **Description (描述)** 选项卡上的子网列表下方,记录此子网的可用区。
1. 在子网窗格的左上角,选择 **Create Subnet (创建子网)**。
1. 对于 **Name tag (名称标签)**,键入私有子网的名称(例如,`WorkSpaces Private Subnet2`)。
1. 对于 **VPC**,选择上一步骤中已创建的 VPC。
1. 对于 **Availability Zone (可用区)**,请选择一个可用区,而不是您用于第一个私有子网的可用区。选择不同的可用区可提高容错能力,并有助于防止容量不足错误。
1. 对于 **IPv4 CIDR 块**,请为新子网指定唯一的 CIDR 块范围。例如,如果您的第一个私有子网的 IPv4 CIDR 块范围为`10.0.1.0/24`,则可以`10.0.2.0/24`为新的私有子网指定 CIDR 块范围为。
1. 选择**创建**。
1. 创建子网后,选择 **Close (关闭)**。
## 步骤 4:验证并命名子网路由表
在您创建并配置 VPC 后,请完成以下步骤来为路由表指定名称,并验证:
+ 与 NAT 网关所在子网关联的路由表包含使 Internet 流量指向 Internet 网关的路由。这可确保您的 NAT 网关可以访问 Internet。
+ 与私有子网关联的路由表配置为将 Internet 流量指向 NAT 网关。这使您的私有子网中的流实例可以与 Internet 通信。
1. 在导航窗格中,选择 **Subnets (子网)**,然后选择您创建的公有子网(例如 `WorkSpaces Public Subnet`)。
1. 在 **Route Table (路由表)** 选项卡上,选择路由表的 ID(例如,`rtb-12345678`)。
1. 选择路由表。在 **Name (名称)** 中,选择编辑图标(铅笔),键入一个名称(例如 `workspaces-public-routetable`),然后选择复选标记以保存该名称。
1. 选中公有路由表的同时,在 **Routes (路由)** 选项卡上,确认有一个路由用于发送本地流量,另一个路由用于向 VPC 的 Internet 网关发送所有其他流量。下表对这两种路由进行了说明:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在导航窗格中,选择 **Subnets (子网)**,然后选择您创建的第一个私有子网(例如 `WorkSpaces Private Subnet1`)。
1. 在**路由表**选项卡上,选择路由表的 ID。
1. 选择 路由表。在 **Name (名称)** 中,选择编辑图标(铅笔),输入一个名称(例如 `workspaces-private-routetable`),然后选择复选标记以保存该名称。
1. 在 **Routes (路由)** 选项卡上,验证路由表包含以下路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在导航窗格中,选择 **Subnets (子网)**,然后选择您创建的第二个私有子网(例如 `WorkSpaces Private Subnet2`)。
1. 在 **Route Table (路由表)** 选项卡上,验证路由表是否为私有路由表(例如,`workspaces-private-routetable`)。如果路由表不同,请选择**编辑**,然后选择此路由表。
**后续步骤**
要使您的 WorkSpaces in P WorkSpaces ools 能够访问互联网,请完成中的步骤[为 WorkSpaces 池启用互联网接入](managing-network-manual-enable-internet-access.md)。
# 向现有 VPC 添加 NAT 网关
如果您已配置 VPC,请完成以下步骤,将 NAT 网关添加到 VPC。如果您需要创建新 VPC,请参阅[创建和配置新 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)。
**向现有 VPC 添加 NAT 网关**
1. 要创建 NAT 网关,请完成《Amazon VPC 用户指南》**中的[创建 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating)中的步骤。
1. 验证您的 VPC 至少有一个私有子网。建议您指定不同的可用区中的两个私有子网以实现高可用性和容错能力。有关如何创建第二个私有子网的信息,请参阅[步骤 3:添加第二个私有子网](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。
1. 更新与您的一个或多个私有子网关联的路由表,以将面向 Internet 的流量指向该 NAT 网关。这使您的私有子网中的流实例可以与 Internet 通信。为此,请完成《Amazon VPC 用户指南》**中的[更新您的路由表](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-create-route)中的步骤。
**后续步骤**
要使您的 WorkSpaces in P WorkSpaces ools 能够访问互联网,请完成中的步骤[为 WorkSpaces 池启用互联网接入](managing-network-manual-enable-internet-access.md)。
# 为 WorkSpaces 池启用互联网接入
在您的 NAT 网关在 VPC 上可用后,您可以为 WorkSpaces 池启用互联网接入。在[创建 WorkSpaces 池目录](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)时,可以启用互联网接入。创建目录时,选择带有 NAT 网关的 VPC。然后,为**子网 1** 选择一个私有子网,以及(可选)为**子网 2** 选择另一个私有子网。如果您的 VPC 中还没有私有子网,则可能需要创建第二个私有子网。
您可以通过启动 WorkSpaces 池来测试您的互联网连接,然后连接到池 WorkSpace 中并浏览互联网。
# 配置带公有子网的新的或现有 VPC
如果您在 2013-12-04 之后创建的 Amazon Web Services 账户,则每个 AWS 区域都有一个包含默认公有子网的默认 [VPC](default-vpc-with-public-subnet.md)。但是,您可能需要创建自己的非默认 VPC 或配置现有 VPC 以用于您的 WorkSpaces 池目录。本主题介绍如何配置用于 WorkSpaces 池的非默认 VPC 和公有子网。
配置 VPC 和公有子网后,您可以通过启用 “**默认 Internet 访问” 选项为 WorkSpaces 池 WorkSpaces 中的用户提供互联网访问权限**。启用此选项后,P WorkSpaces ools 将通过将[弹性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html)关联到您的公有子网的网络接口来启用互联网连接。弹性 IP 地址是可通过互联网访问的公共 IPv4 地址。因此,我们建议您改用 NAT 网关为 WorkSpaces 池 WorkSpaces 中的用户提供互联网访问权限。此外,启用 **“默认互联网接入**” 后,最多支持 100 WorkSpaces 个。如果您的部署必须支持 100 个以上的并发用户,请改为使用 [NAT 网关配置](managing-network-internet-NAT-gateway.md)。
有关更多信息,请参阅[配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md) 中的步骤。有关其他 VPC 配置建议,请参阅 [WorkSpaces 池的 VPC 设置建议](vpc-setup-recommendations.md)。
**Topics**
+ [步骤 1:配置带公有子网的 VPC](#vpc-with-public-subnet)
+ [步骤 2:为 WorkSpaces 池启用默认互联网接入](#managing-network-enable-default-internet-access)
## 步骤 1:配置带公有子网的 VPC
您可以使用以下任一方法,配置自己的带公有子网的非默认 VPC:
+ [创建带单个公有子网的新 VPC](#new-vpc-with-public-subnet)
+ [配置现有 VPC](#existing-vpc-with-public-subnet)
### 创建带单个公有子网的新 VPC
当您使用 VPC 向导创建新 VPC 时,向导将创建一个 Internet 网关以及一个与公有子网关联的自定义路由表。该路由表将发往 VPC 外部地址的所有流量路由到 Internet 网关。有关此配置的更多信息,请参阅《Amazon VPC 用户指南》**中的[带单个公有子网的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html)。
1. 完成《Amazon VPC 用户指南》**中的[步骤 1:创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) 中的步骤,以创建您的 VPC。
1. 要使您 WorkSpaces 能够访问互联网,请完成中的步骤[步骤 2:为 WorkSpaces 池启用默认互联网接入](#managing-network-enable-default-internet-access)。
### 配置现有 VPC
如果您要使用不带公有子网的现有 VPC,可以添加一个新的公有子网。除了公有子网之外,您还必须有一个连接到 VPC 的 Internet 网关,以及一个将发往 VPC 外地址的所有流量路由到 Internet 网关的路由表。如需配置这些组件,请完成以下步骤。
1. 要添加公有子网,请完成[在 VPC 中创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)中的步骤。使用您计划用于 WorkSpaces 池的现有 VPC。
如果您的 VPC 配置为支持 IPv6 寻址,则会显示 **IPv6 CIDR 阻止**列表。选择 **Don't assign Ipv6 (不分配 Ipv6)**。
1. 要创建 Internet 网关并将其附加到您的 VPC,请完成[创建和附加 Internet 网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway)中的步骤。
1. 要将您的子网配置为通过 Internet 网关路由 Internet 流量,请完成[创建自定义路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing)中的步骤。在步骤 5 中,对于**目标**,使用 IPv4 格式 (`0.0.0.0/0`)。
1. 要使您的 WorkSpaces 和图像生成器能够访问互联网,请完成中的步骤[步骤 2:为 WorkSpaces 池启用默认互联网接入](#managing-network-enable-default-internet-access)。
## 步骤 2:为 WorkSpaces 池启用默认互联网接入
您可以在[创建 WorkSpaces 池目录](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)时启用互联网接入。创建目录时,选择带有公有子网的 VPC。然后,为**子网 1** 选择一个公有子网,以及(可选)为**子网 2** 选择另一个公有子网。
您可以通过启动 WorkSpaces 池来测试您的互联网连接,然后连接到池 WorkSpace 中并浏览互联网。
# 使用默认 VPC、公有子网和安全组
如果您的亚马逊 Web Services 账户是在 2013-12-04 之后创建的,则每个区域都有一个默认 VPC。 AWS 默认 VPC 在各个可用区中包含一个默认公有子网,以及连接到您 VPC 的 Internet 网关。VPC 还包含默认安全组。如果您不熟悉 WorkSpaces 池并想开始使用该服务,则可以在创建 WorkSpaces 池时保留默认 VPC 和安全组处于选中状态。然后,您可以选择至少一个默认子网。
**注意**
如果您的 Amazon Web Services 账户是在 2013-12-04 之前创建的,则必须创建新的 VPC 或配置现有的 VPC 才能与池一起使用。 WorkSpaces 我们建议您手动配置一个 VPC,为 WorkSpaces 池配置两个私有子网,在公有子网中配置一个 NAT 网关。有关更多信息,请参阅 [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。或者,您也可以配置具有公有子网的非默认 VPC。有关更多信息,请参阅 [配置带公有子网的新的或现有 VPC](managing-network-default-internet-access.md)。
在[创建 WorkSpaces 池目录](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)时,可以启用互联网接入。
创建目录时,选择默认 VPC。默认 VPC 名称使用以下格式:`vpc-`*vpc-id*` (No_default_value_Name)`。
然后,为**子网 1** 选择默认公有子网,以及(可选)为**子网 2** 选择另一个默认公有子网。默认子网名称使用以下格式:`subnet-`*subnet-id*` | (`*IPv4 CIDR block*`) | Default in`*availability-zone*。
您可以通过启动 WorkSpaces 池来测试您的互联网连接,然后连接到池 WorkSpace 中并浏览互联网。
# 为矿池配置 FedRAMP 授权或国防部 SRG 合规性 WorkSpaces
要遵守[联邦风险和授权管理计划 (FedRAMP) 或国防部 (](https://aws.amazon.com/compliance/fedramp/)[DoD) 云计算安全要求指南 (SRG),您必须将 A WorkSpaces mazon Pools 配置为在目录级别使用联邦信息处理标准 (FIPS)](https://aws.amazon.com/compliance/dod/) 端点加密。您还必须使用获得 FedRAMP 授权或符合 DoD SRG 标准的美国 AWS 地区。
FedRAMP 授权级别(中度或高)或国防部 SRG 影响级别(2、4 或 5)取决于使用亚马逊的美国 AWS 地区。 WorkSpaces 有关适用于每个区域的 FedRAMP 授权级别和 DoD SRG 合规性级别,请参阅[合规性计划范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
**要求**
+ 必须将 WorkSpaces 池目录配置为使用 **FIPS 140-2 验证模式进行端**点加密。
**注意**
要使用 **FIPS 140-2 验证模式**设置,请确保满足以下条件:
P WorkSpaces ools 目录是:
新建且未与池关联
与处于“已停止”状态的现有池关联
池目录已将 [https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html](https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html) 设置为 TCP。
+ 您必须在获得 [FedRAMP 授权或符合 DoD SRG 标准的美国 AWS 地区](https://aws.amazon.com/compliance/services-in-scope/)创建您的资源 WorkSpaces 池。
+ 用户必须通过以下 WorkSpaces 客户端应用程序之一访问他们 WorkSpaces 的:
+ macOS:5.20.0 或更高版本
+ Windows:5.20.0 或更高版本
+ Web Access
**使用 FIPS 端点加密**
1. 在 [https://console.aws.amazon.com/workspaces/v2/](https://console.aws.amazon.com/workspaces/v2/home) home 中打开 WorkSpaces 主机。
1. 在导航窗格中,选择**目录**,然后选择要用于进行 FedRAMP 授权和 DoD SRG 合规性的目录。
1. 在**目录详细信息**页面上,选择要为 FIPS 加密模式配置的目录。
1. 在**端点加密**部分,选择**编辑**,然后选择 **FIPS 140-2 验证模式**。
1. 选择**保存**。
# 将 Amazon S3 VPC 终端节点用于 WorkSpaces 池功能
当您为池启用应用程序设置持久性或为 WorkSpaces 池目录启用主文件夹时,将 WorkSpaces 使用您为目录指定的 VPC 来提供对 Amazon Simple Storage Service (Amazon S3) 存储桶的访问权限。 WorkSpaces 要允许 WorkSpaces 池访问您的私有 S3 终端节点,请将以下自定义策略附加到您的 Amazon S3 的 VPC 终端节点。有关私有 Amazon S3 端点的更多信息,请参阅《Amazon VPC 用户指南》**中的 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)和 [Amazon S3 的端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html)。
------
#### [ Commercial AWS 区域 ]
为商业 AWS 区域中的资源使用以下策略。
------
#### [ AWS GovCloud (US) Regions ]
为商业 AWS GovCloud (US) Regions中的资源使用以下策略。
------
# WorkSpaces 池与您的 VPC 的连接
要启用 P WorkSpaces ools 与网络资源和 Internet 的连接,请 WorkSpaces 按以下方式进行配置。
## 网络接口
WorkSpaces 池 WorkSpaces 中的每个都有以下网络接口:
+ 客户网络接口提供与您的 VPC 内资源以及 Internet 的连接,并用于 WorkSpaces 加入您的目录。
+ 管理网络接口连接到安全的 WorkSpaces 池管理网络。它用于 WorkSpace 向用户设备进行交互式流式传输,并允许 P WorkSpaces ools 管理 WorkSpace。
WorkSpaces 池从以下私有 IP 地址范围中选择管理网络接口的 IP 地址:198.19.0.0/16。请勿将此范围用于您的 VPC CIDR,也不要将您的 VPC 与具有此范围的其他 VPC 对等,因为这可能会造成冲突并 WorkSpaces 导致无法访问。此外,请勿修改或删除连接到 a 的任何网络接口 WorkSpace,因为这也可能导致无法访问。 WorkSpace
## 管理网络接口 IP 地址范围和端口
管理网络接口 IP 地址范围是 198.19.0.0/16。必须在所有人的管理网络接口上打开以下端口 WorkSpaces:
+ 端口 8300 上的入站 TCP。它用于建立流式连接。
+ 端口 3128 上的出站 TCP。这用于管理 WorkSpaces。
+ 端口 8000 和 8443 上的入站 TCP。这些用于管理 WorkSpaces.
+ 端口 8300 上的入站 UDP。它用于通过 UDP 建立流式连接。
将管理网络接口的入站范围限制于 198.19.0.0/16。
**注意**
对于 Amazon DCV BYOL Windows WorkSpaces 池,所有区域均使用 10.0.0.0/8 的 IP 地址范围。 AWS 这些 IP 范围是您为 BY WorkSpaces OL 池中的管理流量选择的 /16 CIDR 块的补充。
在正常情况下,P WorkSpaces ools 会为您 WorkSpaces正确配置这些端口。如果在上安装了任何安全软件或防火墙软件 WorkSpace 来阻止这些端口中的任何一个, WorkSpaces 则可能无法正常运行或可能无法访问。
请勿禁用 IPv6。如果禁用 IPv6,“ WorkSpaces 池” 将无法正常运行。有关针对 Windows IPv6 进行配置的信息,请参阅[高级用户 IPv6 在 Windows 中进行配置的指南](https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users)。
**注意**
WorkSpaces 池依靠您的 VPC 中的 DNS 服务器为不存在的本地域名返回不存在的域 (NXDOMAIN) 响应。这使得 WorkSpaces Pools 管理的网络接口能够与管理服务器通信。
使用 Simple AD 创建目录时, AWS Directory Service 会创建两个同时代表您充当 DNS 服务器的域控制器。由于域控制器不提供 NXDOMAIN 响应,因此它们不能与池一起 WorkSpaces 使用。
## 客户网络接口端口
+ 要连接 Internet,以下端口必须针对所有目标打开。如果您在使用经过修改的安全组或自定义安全组,需要手动添加必需的规则。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)。
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 4195
+ 如果您加入目录,则必须在您的 WorkSpaces WorkSpaces 池 VPC 和目录控制器之间打开以下端口。
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身份验证
+ UDP 123 - NTP
+ TCP 135 - RPC
+ UDP 137-138 - Netlogon
+ TCP 139 - Netlogon
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP 1024-65535 - RPC 动态端口
有关端口的完整列表,请参阅 Microsoft 文档中的 [Active Directory 和 Active Directory 域服务端口要求](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))。
+ 所有这些都 WorkSpaces 要求向 IP 地址开放端口 80 (HTTP) `169.254.169.254` 以允许访问 EC2 元数据服务。IP 地址范围`169.254.0.0/16`是为管理流量的 P WorkSpaces ools 服务保留的。不排除此范围可能会导致出现流式传输问题。
# 用户与 WorkSpaces 池的连接
用户可以通过默认的公共 Internet 端点连接到 P WorkSpaces ools WorkSpaces 中。
默认情况下,P WorkSpaces ools 配置为通过公共互联网路由流媒体连接。需要互联网连接才能对用户进行身份验证并交付 P WorkSpaces ools 运行所需的 Web 资产。要允许此流量,您必须允许[允许的域](allowed-domains.md)中列出的域。
**注意**
对于用户身份验证,P WorkSpaces ools 支持安全断言标记语言 2.0 (SAML 2.0)。有关更多信息,请参阅 [配置 SAML 2.0 并创建 WorkSpaces 池目录](create-directory-pools.md)。
以下主题提供有关如何启用用户与 WorkSpaces 池的连接的信息。
**Topics**
+ [带宽建议](bandwidth-recommendations-user-connections.md)
+ [WorkSpaces 池用户设备的 IP 地址和端口要求](pools-client-application-ports.md)
+ [允许的域](allowed-domains.md)
# 带宽建议
要优化 WorkSpaces 池的性能,请确保您的网络带宽和延迟能够满足用户的需求。
WorkSpaces Pools 使用 NICE 桌面云可视化 (DCV),让您的用户能够在不同的网络条件下安全地访问和流式传输您的应用程序。为了帮助减少带宽消耗,NICE DCV 使用基于 H.264 视频压缩和编码。在流式传输会话期间,应用程序的可视输出将作为 AES-256 加密像素流通过 HTTPS 进行压缩并流式传输到您的用户。收到流后,它会被解密并输出到用户的本地屏幕。当您的用户与流应用程序进行交互时,NICE DCV 协议会捕获用户输入并通过 HTTPS 将其发送回其流应用程序。
在此过程中会不断测量网络状况,并将信息发送回 WorkSpaces 池。 WorkSpaces Pools 通过实时更改视频和音频编码来动态响应不断变化的网络条件,从而为各种应用程序和网络条件生成高质量的流。
P WorkSpaces ools 流式传输会话的推荐带宽和延迟取决于工作负载。例如,相比于使用企业生产力应用程序编写文档的用户,对于使用图形密集型应用程序执行计算机辅助设计任务的用户,将需要更多的带宽和更低的延迟。
下表提供了基于常见工作负载的 P WorkSpaces ools 流式传输会话的推荐网络带宽和延迟的指导。
对于每个工作负载,基于单个用户在特定时间点可能需要的内容提出带宽建议。该建议未反映持续吞吐量所需的带宽。当在流式传输会话期间屏幕上仅有几个像素发生变化时,持续吞吐量会低得多。虽然可用带宽较少的用户仍然可以流式传输其应用程序,但帧速率或图像质量可能不是最佳的。
| 工作负载 | 说明 | 为每个用户推荐的带宽 | 推荐的最大往返延迟 |
| --- | --- | --- | --- |
| 业务线应用程序 | 文档编写应用程序、数据库分析实用程序 | 2 Mbps | < 150 毫秒 |
| 图形应用程序 | 计算机辅助设计和建模应用程序、照片和视频编辑 | 5 Mbps | < 100 毫秒 |
| 高保真度 | 跨多个监视器的高保真数据集或映射 | 10 Mbps | < 50 毫秒 |
# WorkSpaces 池用户设备的 IP 地址和端口要求
WorkSpaces 使用互联网终端节点时,池用户的设备需要通过端口 443 (TCP) 和端口 4195 (UDP) 进行出站访问;如果您使用 DNS 服务器进行域名解析,则需要端口 53 (UDP) 进行出站访问。
+ 端口 443 用于 WorkSpaces 池用户设备之间的 HTTPS 通信,以及使用互联网终端节点 WorkSpaces 时。通常情况下,如果最终用户在流式传输会话期间浏览 Web,则 Web 浏览器会在较高范围内随机选择一个源端口来用于流式传输流量。您必须确保允许流量返回到该端口。
+ 端口 4195 用于 WorkSpaces 池用户设备之间的 UDP HTTPS 通信,以及使用互联网端点 WorkSpaces 时。目前,仅在 Windows 原生客户端中支持此功能。如果您使用的是 VPC 端点,则不支持 UDP。
+ 端口 53 用于 WorkSpaces 池用户的设备与您的 DNS 服务器之间的通信。此端口必须对您的 DNS 服务器的 IP 地址开放,以便解析公有域名。如果您不使用 DNS 服务器进行域名解析,则此端口是可选的。
# 允许的域
要使 WorkSpaces Pools 用户能够访问 WorkSpaces,您必须在网络上允许各种域,因为用户将从这些域中启动对 WorkSpaces 的访问。有关更多信息,请参阅 [WorkSpaces 个人的 IP 地址和端口要求](workspaces-port-requirements.md)。请注意,该页面指定它适用于 WorkSpaces 个人版,但也适用于 WorkSpaces Pools。
**注意**
如果您的 S3 存储桶名称中包含“.” 字符,则表示所使用的域是 `https://s3..amazonaws.com`。如果您的 S3 存储桶名称中不包含“.” 字符,则表示所使用的域是 `https://.s3..amazonaws.com`。