本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立含有私有子網路與 NAT 閘道的 VPC
如果您計劃為 WorkSpaces 集區中的 WorkSpaces 提供網際網路存取權,建議您為 WorkSpaces 設定具有兩個私有子網路的 VPC,並在公有子網路中設定 NAT 閘道。您可以建立並設定新的 VPC 來搭配 NAT 閘道使用,或是為現有的 VPC 新增 NAT 閘道。如需其他 VPC 組態建議,請參閱 [WorkSpaces 集區的 VPC 設定建議](vpc-setup-recommendations.md)。
NAT 閘道可讓您私有子網路中的 WorkSpaces 連線至網際網路或其他 AWS 服務,但可防止網際網路啟動與這些 WorkSpaces 的連線。此外,與使用**預設網際網路存取**選項啟用 WorkSpaces 網際網路存取的組態不同,此組態不限於 100 個 WorkSpaces。
如需使用 NAT 閘道和此組態的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的 [VPC 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)和[使用公有和私有子網路的 VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**Topics**
+ [建立和設定新的 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [將 NAT 閘道新增至現有 VPC](add-nat-gateway-existing-vpc.md)
+ [啟用 WorkSpaces 集區的網際網路存取](managing-network-manual-enable-internet-access.md)
# 建立和設定新的 VPC
本主題說明如何使用 VPC 精靈來建立具有公有子網路和一個私有子網路的 VPC。過程中,精靈會建立網際網路閘道和 NAT 閘道,此外也會建立與公有子網路建立關聯的自訂路由表,並更新與私有子網路建立關聯的主要路由表。NAT 閘道會自動在您 VPC 的公有子網路中建立。
使用精靈建立初始 VPC 組態後,您必須新增第二個私有子網路。如需此組態的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用公有和私有子網路的 VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**注意**
如果您已經有 VPC,請改為完成[將 NAT 閘道新增至現有 VPC](add-nat-gateway-existing-vpc.md) 中的步驟。
**Topics**
+ [步驟 1:配置彈性 IP 地址](#allocate-elastic-ip)
+ [步驟 2:建立新的 VPC](#vpc-with-private-and-public-subnets-nat)
+ [步驟 3:新增第二個私有子網路](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [步驟 4:確認並為您的子網路路由表命名](#verify-name-route-tables)
## 步驟 1:配置彈性 IP 地址
建立 VPC 之前,您必須在 WorkSpaces 區域中配置彈性 IP 地址。您必須先配置要在 VPC 中使用的彈性 IP 地址,接著將該地址與 NAT 閘道建立關聯。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)。
**注意**
您可能需要為使用的彈性 IP 地址付費。如需詳細資訊,請參閱 Amazon EC2 定價頁面上的[彈性 IP 地址](https://docs.aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses)。
如果您還沒有彈性 IP 地址,請完成以下步驟。若您希望使用現有的彈性 IP 地址,請確認它目前並未與其他執行個體或網路界面建立關聯。
**配置彈性 IP 地址**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 在導覽窗格中,於 **Network & Security (網路與安全)** 下方,選擇 **Elastic IPs (彈性 IP)**。
1. 選擇 **Allocate New Address (配置新地址)**,然後選擇 **Allocate (配置)**。
1. 記下彈性 IP 地址。
1. 在 **Elastic IPs (彈性 IP)** 窗格的右上角,按一下 X 圖示來關閉窗格。
## 步驟 2:建立新的 VPC
請完成下列步驟,以建立具有公有子網路和一個私有子網路的新 VPC。
**建立新的 VPC**
1. 在 [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **VPC dashboard (VPC 儀表板)**。
1. 選擇 **Launch VPC Wizard (啟動 VPC 精靈)**。
1. 在 **Step 1: Select a VPC Configuration (步驟 1:選取 VPC 組態)** 中,選擇 **VPC with Public and Private Subnets (含公有和私有子網路的 VPC)**,然後選擇 **Select (選取)**。
1. 在 **Step 2: VPC with Public and Private Subnets (步驟 2:含公有和私有子網路的 VPC)**中,按照以下內容設定 VPC:
+ 針對 **IPv4 CIDR block (IPv4 CIDR 區塊)**,請指定 VPC 的 IPv4 CIDR 區塊。
+ 針對 **IPv6 CIDR block (IPv6 CIDR 區塊)**,請保留預設值 **No IPv6 CIDR Block (無 IPv6 CIDR 區塊)**。
+ 針對 **VPC name (VPC 名稱)**,請輸入 VPC 的專屬名稱。
1. 根據以下內容設定公有子網路:
+ 針對 **Public subnet's IPv4 CIDR (公有子網路的 IPv4 CIDR)**,請為子網路指定 CIDR 區塊。
+ 針對 **Availability Zone (可用區域)**,請保留預設值 **No Preference (無偏好設定)**。
+ 針對 **Public subnet name (公有子網路名稱)**,請輸入子網路的名稱,例如 `WorkSpaces Public Subnet`。
1. 根據以下內容設定第一個私有子網路:
+ 針對 **Private subnet's IPv4 CIDR (私有子網路的 IPv4 CIDR)**,請為子網路指定 CIDR 區塊。記下您指定的值。
+ 針對 **Availability Zone (可用區域)**,請選取特定區域並記下您選取的區域。
+ 針對 **Private subnet name (私有子網路名稱)**,請輸入子網路的名稱,例如 `WorkSpaces Private Subnet1`。
+ 如果適用,請保留其他欄位的預設值。
1. 針對 **Elastic IP Allocation ID (彈性 IP 配置ID)**,請在文字方塊中按一下,並選取與您建立之彈性 IP 地址對應的值。這個地址會指派至 NAT 閘道。如果您沒有彈性 IP 地址,請在 [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) 使用 Amazon VPC 主控台建立一個地址。
1. 針對**服務端點**,如果您的環境需要 Amazon S3 端點,請指定一個。您需要 S3 端點才能為使用者提供[主資料夾](persistent-storage.md#home-folders)的存取權,或是為私有網路中的使用者啟用[應用程式設定持久性](app-settings-persistence.md)。
如果要指定 Amazon S3 端點,請按照以下步驟操作:
1. 選擇 **Add Endpoint (新增端點)**。
1. 針對 **Service (服務)**,請選取清單中以"s3" (與 VPC 建立所在之區域對應的 `com.amazonaws.`*region*`.s3` 項目) 結尾的項目。
1. 針對 **Subnet (子網路)**,選擇 **Private subnet (私有子網路)**。
1. 針對 **Policy (政策)**,請保留預設值 **Full Access (完整存取權)**。
1. 針對 **Enable DNS hostnames (啟用 DNS 主機名稱)**,請保留預設值 **Yes (是)**。
1. 針對 **Hardware tenancy (硬體租用)**,請 保留預設值 **Default (預設)**。
1. 選擇**建立 VPC**。
1. 請注意,設定 VPC 需要幾分鐘的時間。建立 VPC 之後,選擇 **OK (確定)**。
## 步驟 3:新增第二個私有子網路
在上一個步驟 ([步驟 2:建立新的 VPC](#vpc-with-private-and-public-subnets-nat)) 中,您建立了具有一個公有子網路和一個私有子網路的 VPC。請執行以下步驟來新增第二個私有子網路。建議您在第一個私有子網路以外的可用區域新增第二個私有子網路。
1. 在導覽窗格中,選擇 **Subnets** (子網)。
1. 選取您在上一個步驟中建立的第一個私有子網路。在 **Description (描述)** 標籤上 (位在子網路清單下方),記下此子網路的可用區域。
1. 在子網路窗格的左上角選擇 **Create Subnet (建立子網路)**。
1. 針對 **Name tag (名稱標籤)**,請輸入私有子網路的名稱,例如 `WorkSpaces Private Subnet2`。
1. 針對 **VPC**,請選取您在前一個步驟建立的 VPC。
1. 針對 **Availability Zone (可用區域)**,請選取您為第一個私有子網路使用之可用區域以外的可用區域。選取其他可用區域可提升容錯能力,並協助避免發生容量不足的錯誤。
1. 針對 **IPv4 CIDR block (IPv4 CIDR 區塊)**,請為新的子網路指定專屬的 CIDR 區塊範圍。舉例來說,如果您第一個私有子網路的 IPv4 CIDR 區塊範圍是 `10.0.1.0/24`,可以為新的私有子網路指定 `10.0.2.0/24` 的 CIDR 區塊範圍。
1. 選擇**建立**。
1. 建立子網路之後,請選擇 **Close (關閉)**。
## 步驟 4:確認並為您的子網路路由表命名
在您建立並設定 VPC 後,請完成以下步驟來為您的路由表指定名稱,並確認:
+ 與您 NAT 閘道所在之子網路關聯的路由表包含將網際網路流量指向網際網路閘道的路由。這可確保您的 NAT 閘道可以存取網際網路。
+ 與您私有子網路建立關聯的路由表,會將網際網路流量指向 NAT 閘道。這可讓您私有子網路中的串流執行個體與網際網路通訊。
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的公有子網路,例如 `WorkSpaces Public Subnet`。
1. 在 **Route Table (路由表)** 標籤上,請選擇路由表的 ID,例如 `rtb-12345678`。
1. 選取 路由表。在 **Name (名稱)** 下,請選擇編輯圖示 (鉛筆) 並輸入名稱 (例如 `workspaces-public-routetable`),接著選取核取記號來儲存名稱。
1. 在已選取公有路由表的情況下,於 **Routes (路由)** 標籤確認本機流量有一個路由,且有另一個路由會為 VPC 將所有其他流量傳送到網際網路閘道。下表說明這兩種路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的第一個私有子網路,例如 `WorkSpaces Private Subnet1`。
1. 在 **Route Table (路由表)** 標籤上,請選擇路由表的 ID。
1. 選取 路由表。在 **Name (名稱)** 下,請選擇編輯圖示 (鉛筆) 並輸入名稱 (例如 `workspaces-private-routetable`),接著選擇核取記號來儲存名稱。
1. 在 **Routes (路由)** 標籤上,請確認路由表包含以下路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的第二個私有子網路,例如 `WorkSpaces Private Subnet2`。
1. 在 **Route Table (路由表)** 標籤上,請確認路由表為私有路由表 (例如 `workspaces-private-routetable`)。如果路由表不同,請選擇 **Edit (編輯)** 並選取此路由表。
**後續步驟**
若要讓 WorkSpaces 集區中的 WorkSpaces 能夠存取網際網路,請完成 中的步驟[啟用 WorkSpaces 集區的網際網路存取](managing-network-manual-enable-internet-access.md)。
# 將 NAT 閘道新增至現有 VPC
如果您已經設定 VPC,請完成以下步驟來將 NAT 閘道新增至 VPC。如果您需要建立新的 VPC,請參閱[建立和設定新的 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)。
**將 NAT 閘道新增至現有 VPC**
1. 若要建立 NAT 閘道,請完成《Amazon VPC 使用者指南》**中[建立 NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating)的步驟。
1. 請確認您的 VPC 至少有一個私有子網路。建議您在不同可用區域指定兩個私有子網路,以取得高可用性和容錯能力。如需如何建立第二個私有子網路的資訊,請參閱[步驟 3:新增第二個私有子網路](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。
1. 更新與您一或多個私有子網路關聯的路由表,將網際網路的流量指向 NAT 閘道。這可讓您私有子網路中的串流執行個體與網際網路通訊。若要這麼做,請完成《Amazon VPC 使用者指南》**中[更新路由表](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-create-route)的步驟。
**後續步驟**
若要讓 WorkSpaces 集區中的 WorkSpaces 能夠存取網際網路,請完成 中的步驟[啟用 WorkSpaces 集區的網際網路存取](managing-network-manual-enable-internet-access.md)。
# 啟用 WorkSpaces 集區的網際網路存取
在 VPC 上提供 NAT 閘道之後,您可以啟用 WorkSpaces 集區的網際網路存取。您可以在[建立 WorkSpaces 集區目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)時啟用網際網路存取。當您建立目錄時,請選擇具有 NAT 閘道的 VPC。然後,為**子網路 1** 選取私有子網路,並選擇性地為**子網路 2** 選取另一個私有子網路。如果您的 VPC 內還沒有任何私有子網路,可能需要建立第二個私有子網路。
您可以啟動 WorkSpaces 集區,然後連線至集區中的 WorkSpace 並瀏覽至網際網路,以測試網際網路連線。