本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 從介面 VPC 端點建立和串流
<a name="creating-streaming-vpc-endpoints"></a>

Virtual Private Cloud (VPC) 是 Amazon Web Services 雲端中您自己的邏輯隔離區域中的虛擬網路。如果您使用 Amazon Virtual Private Cloud 託管 AWS 資源，您可以在 VPC 和 WorkSpaces 之間建立私有連線。您可以使用此連線讓 WorkSpaces 與 VPC 上的資源通訊，而無需透過公有網際網路。

介面端點採用 AWS PrivateLink 技術，這項技術可讓您使用私有 IP 地址，將串流流量保留在您指定的 VPC 內。當您搭配 AWS Direct Connect 或 AWS 虛擬私有網路通道使用 VPC 時，您可以將串流流量保留在您的網路中。

您可以使用 AWS 帳戶中的 VPC 端點，將 Amazon VPC 和 WorkSpaces 之間的所有串流流量限制在 AWS 網路。建立端點之後，請將 WorkSpaces 目錄設定為使用它。

## 先決條件和限制
<a name="vpc-prerequisites"></a>

在為 WorkSpaces 設定 VPC 端點之前，請注意下列先決條件和限制。
+ 此功能目前支援 IPv4 或 IPv6 DNS 記錄 IP 類型。不支援雙堆疊 DNS 記錄 IP 類型。
+ 您只能設定 AWS 帳戶 與目錄位於相同 的 VPC 端點。不支援其他 AWS 帳戶 中的 VPC 端點，包括共用 VPCs中的端點。
+ 此功能目前僅適用於 WorkSpaces Personal。WorkSpaces 集區不支援 VPC 端點進行串流。
+ VPC 端點功能僅適用於使用 Amazon DCV 的 WorkSpaces。當您為目錄設定 VPC 端點時，使用者無法透過網際網路從 Amazon DCV 串流。不過，您可以在 VPC 端點組態期間，為相同目錄中的 PCoIP WorkSpaces 啟用網際網路串流。
+ 若要維護 VPC 內的串流流量，請使用串流 VPC 端點。您的 WorkSpaces 用戶端需要網際網路連線才能進行使用者身分驗證。針對身分驗證流量啟用連接埠 443 (UDP 和 TCP) 的傳出存取。此外，您必須根據您選擇的身分驗證方法，將必要的網域和 IP 地址新增至允許清單。如需每個類別的完整網域清單，請參閱[要新增至允許清單的網域和 IP 地址](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html#allowlisted_ports)。
  + CAPTCHA
  + 目錄設定
  + 如果您使用智慧卡，則為工作階段前智慧卡身分驗證端點
  + 使用者登入頁面
  + WS 中介裝置
  + 適用於 SAML 單一登入 (SSO) 的 WorkSpaces 節點
+ 使用者裝置連線的網路必須能夠將流量路由到 VPC 端點。
+ 您必須擁有 AWS 帳戶中 IAM 使用者或 IAM 角色的 IAM 許可政策，才能執行 `ec2:DescribeVpcEndpoints` API 動作。
+ WorkSpaces 串流 VPC 端點目前不支援 FIPS 加密。如果您已為目錄啟用 FIPS 加密，則需要在設定 VPC 端點之前停用 FIPS 加密。
+ AWS 透過 VPC 端點串流時，無法使用 Global Accelerator (AGA) 整合。
+ 為目錄設定 VPC 端點時，不再套用為目錄指定的 IP 存取控制群組。

## 設定 WorkSpaces 串流的 VPC 端點
<a name="setting-up-vpc-endpoint"></a>

若要設定 WorkSpaces 串流的 VPC 端點，請完成下列步驟：

### 步驟 1：建立安全群組
<a name="create-security-group"></a>

在此步驟中，您會建立安全群組，讓 WorkSpaces 用戶端與您要建立的 VPC 端點通訊。

1. 在 Amazon EC2 主控台的導覽窗格中，移至**網路與安全**，然後移至**安全群組**。

1. 選取**建立安全群組**。

1. 在**基本詳細資訊**下，輸入下列項目：
   + 針對**安全群組名稱** – 輸入可識別安全群組的唯一名稱。
   + 針對**描述** – 輸入一些描述安全群組用途的文字。
   + 對於 **VPC** – 選擇 VPC 端點所在的 VPC。

1. 前往**傳入規則**，然後選取**新增規則**以建立 TCP 流量的傳入規則。

1. 輸入下列資料：
   + 針對**類型** – 選擇自訂 TCP。
   + 針對**連接埠範圍** – 輸入下列連接埠號碼：`443`、`4195`。
   + 針對**來源類型** – 選擇自訂。
   + 針對**來源** – 輸入私有 IP CIDR 範圍或使用者從中連線至 VPC 端點的其他安全群組 IDs。請務必允許來自 IPv4 或 IPv6 地址來源的傳入流量。

1. 為每個 CIDR 範圍或安全群組重複步驟 4 和 5。

1. 前往**傳入規則**，選取**新增規則**以建立 UDP 流量的傳入規則。

1. 輸入下列資料：
   + 針對**類型** – 選擇**自訂 UDP**。
   + 針對**連接埠範圍** – 輸入下列連接埠號碼：443、4195。
   + 針對**來源類型** – 選擇**自訂**。
   + 針對**來源** – 輸入在步驟 5 中輸入的相同私有 IP CIDR 範圍或安全群組 IDs。請務必允許來自 IPv4 或 IPv6 地址來源的傳入流量。

1. 為每個 CIDR 範圍或安全群組重複步驟 7 和 8。

1. 選取**建立安全群組**。

### 步驟 2：建立 VPC 端點
<a name="create-vpc-endpoint"></a>

在 Amazon VPC 中，VPC 端點可讓您將 VPC 連線至支援 AWS 的服務。在此範例中，您會設定 Amazon VPC，讓您的 WorkSpaces 使用者可以從 WorkSpaces 串流。

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中，前往**端點**，然後**建立端點**。

1. 選取**建立端點**。

1. 請確認下列事項：
   + **服務類別** – 確定已選取**AWS 服務**。
   + **服務名稱** – 選擇 **com.amazonaws.{{Region}}.highlander**。
   + **VPC** – 選擇要在其中建立介面端點的 VPC。只要網路將流量路由到 VPC 端點，您就可以選擇與具有 WorkSpaces 資源的 VPC 不同的 VPC。
   + **啟用私有 DNS 名稱** – 已選取核取方塊。即使使用公有 DNS 名稱進行回溯相容性，仍建議保持選取狀態。如果您的使用者使用網路 Proxy 存取串流執行個體，請停用網域上的任何 Proxy 快取，以及與私人端點相關聯的 DNS 名稱。VPC 端點 DNS 名稱應允許透過代理。若要成功解析 DNS 名稱，請務必使用 VPC 中的私有 DNS 伺服器，這是因為公有 DNS 伺服器不會解析 VPC 端點 DNS 名稱。
   + **DNS 記錄 IP 類型** – 選擇 IPv4 或 IPv6。目前不支援雙堆疊 DNS 記錄 IP 類型。如果您選擇 Dualstack，您將無法使用 VPC 端點從 WorkSpaces 串流。
   + **子網路** – 選擇子網路 （可用區域） 以建立 VPC 端點。建議您選擇至少兩個子網路。
   + **IP 地址類型** – 根據您選擇的子網路支援，選擇 IPv4、IPv6 或 Dualstack。
   + **安全群組面板** – 選取您先前建立的安全群組。

1. (選用) 在 **標籤** 面板中，您可以建立一個或多個標籤。

1. 選取**建立端點**。

端點準備好可以使用時，**Status** (狀態) 欄中的值會變更為 **Available** (可用)。

### 步驟 3：設定 WorkSpaces 目錄以使用 VPC 端點
<a name="configure-directory-vpc-endpoint"></a>

您需要將 WorkSpaces 目錄設定為使用您為串流建立的 VPC 端點。

1. 在與 VPC 端點相同的 AWS 區域中開啟 [WorkSpaces 主控台](https://console.aws.amazon.com/workspaces/v2/home)。

1. 在**導覽**窗格中，選取**目錄**，然後選取 。

1. 選取您要使用的目錄。

1. 前往 **VPC 端點**區段，然後**編輯**。

1. 在**編輯 VPC 端點**對話方塊**的串流端點**下，選取您建立的 VPC 端點。請注意，每個目錄只能選取 1 個 VPC 端點。

1. 或者，您可以啟用**允許具有 PCoIP WorkSpaces 的使用者從網際網路串流**。
**注意**  
啟用時，您的使用者可以透過公有網際網路從 PCoIP WorkSpaces 串流。否則，由於 PCoIP WorkSpaces 不支援 VPC 端點進行串流，因此 目錄中的 PCoIP WorkSpaces 將無法連線。

1. 選取**儲存**。

新串流工作階段的流量將透過此 VPC 端點路由。不過，會透過先前指定的端點繼續路由目前串流工作階段的流量。

**注意**  
指定 VPC 端點時，具有 DCV WorkSpaces 的使用者無法使用公有網際網路進行串流。

## 了解 VPC 端點 DNS 名稱
<a name="vpc-endpoint-dns-names"></a>

為 WorkSpaces 串流建立界面 VPC 端點後， AWS 會自動將兩個 DNS 名稱指派給 WorkSpaces 用戶端可用來連線的端點：

**唯一可公開解析的 DNS 名稱**

全域唯一、可公開解析的 DNS 名稱，格式為：

```
vpce-<endpoint-id>-<random-string>.prod.highlander.<region>.vpce.amazonaws.com
```

此 DNS 名稱對每個 VPC 端點都是唯一的。雖然可公開解析 （任何人都可以查詢），但它會傳回只能從 VPC 或連線網路 （透過 VPN 或 AWS Direct Connect) 存取的 VPC 私有 IP 地址。

**一般私有 DNS 名稱**

格式的共用私有 DNS 名稱：

```
privatelink.prod.<region>.highlander.aws.a2z.com
```

此 DNS 名稱會共用到相同區域中的所有 VPC 端點，並且只會在該 VPC 端點所在的 VPC 內，使用該 VPC 中的私有 DNS 解析程式進行解析。為了與現有部署回溯相容，會維護此 DNS 名稱。

WorkSpaces 用戶端預設會自動使用唯一的可公開解析 DNS 名稱，並視需要自動回復為一般 DNS 名稱。現有客戶不需要採取任何動作。

若要尋找 VPC 端點的唯一可公開解析 DNS 名稱：

1. 開啟 [Amazon VPC 主控台](https://console.aws.amazon.com/vpc/)。

1. 在導覽窗格中選擇端點。

1. 選取 WorkSpaces 介面 VPC 端點 （服務名稱：com.amazonaws.{{Region}}.highlander)。

1. 在詳細資訊索引標籤中，尋找 DNS 名稱區段。

1. 唯一的可公開解析 DNS 名稱會列為區域 DNS 名稱。

## 網路要求
<a name="vpc-endpoint-network-requirements"></a>

確保您的防火牆或代理允許存取：

```
*.prod.highlander.<region>.vpce.amazonaws.com
privatelink.prod.<region>.highlander.aws.a2z.com
```

將 取代`<region>`為您的 AWS 區域 （例如，`us-east-1`、`eu-west-1`)。

適用 DCV 串流的相同連接埠需求。

如果您將代理用於 WorkSpaces 用戶端連線，則必須透過代理允許 VPC 端點 DNS 名稱。若要成功解析 DNS 名稱，請使用 VPC 中的私有 DNS 伺服器；公有 DNS 伺服器會解析 DNS 名稱，但無法從 VPC 外部存取傳回的私有 IP 地址。