本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# WorkSpaces 集區的聯網和存取
下列主題提供讓使用者連線至 WorkSpaces 集區,以及讓 WorkSpaces 集區存取網路資源和網際網路的相關資訊。
**Topics**
+ [WorkSpaces 集區的網際網路存取](internet-access.md)
+ [設定 WorkSpaces 集區的 VPC](appstream-vpc.md)
+ [設定 WorkSpaces 集區的 FedRAMP 授權或 DoD SRG 合規](fips-encryption-pools.md)
+ [將 Amazon S3 VPC 端點用於 WorkSpaces 集區功能](managing-network-vpce-iam-policy.md)
+ [WorkSpaces 集區的 VPC 連線](pools-port-requirements.md)
+ [WorkSpaces 集區的使用者連線](user-connections-to-appstream2.md)
# WorkSpaces 集區的網際網路存取
如果您的 WorkSpaces 集區中的 WorkSpaces 需要網際網路存取,您可以透過多種方式啟用它。當您選擇啟用網際網路存取的方法時,請考慮部署必須支援的使用者數目和部署目標。例如:
+ 如果您的部署必須支援 100 個以上的並行使用者,請[設定使用私有子網路和 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)。
+ 如果您的部署支援少於 100 個並行使用者,則可以[設定使用公有子網路的新或現有 VPC](managing-network-default-internet-access.md)。
+ 如果您的部署支援少於 100 個並行使用者,而且您是 WorkSpaces 集區的新手,並想要開始使用 服務,您可以使用[預設 VPC、公有子網路和安全群組](managing-network-default-internet-access.md)。
下列各節會提供有關每一個部署選項的詳細資訊。
+ [建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md) (建議) — 使用此組態,您可以在私有子網路中啟動 WorkSpaces 集區建置器,並在 VPC 的公有子網路中設定 NAT 閘道。您的串流執行個體會獲得私有 IP 地址的指派,該地址無法直接從網際網路存取。
此外,與使用**預設網際網路存取**選項啟用網際網路存取的組態不同,NAT 組態不限於 WorkSpaces 集區中的 100 個 WorkSpaces。如果您的部署必須支援超過 100 名同時上線的使用者,請使用此組態。
您可以建立並設定新的 VPC 來搭配 NAT 閘道使用,或是為現有的 VPC 新增 NAT 閘道。
+ [設定新的 VPC,或具有公有子網路的現有 VPC](managing-network-default-internet-access.md) — 使用此組態,您可以在公有子網路中啟動 WorkSpaces 集區。當您啟用此選項時,WorkSpaces 集區會使用 Amazon VPC 公有子網路中的網際網路閘道來提供網際網路連線。您的串流執行個體會獲得公有 IP 地址的指派,該地址可直接從網際網路存取。您可以為此建立新的 VPC 或設定現有的 VPC。
**注意**
當您使用公有子網路設定新的或現有的 VPC 時,WorkSpaces 集區最多支援 100 個 WorkSpaces。如果您的部署必須支援超過 100 名同時上線的使用者,請改用 [NAT 閘道組態](managing-network-internet-NAT-gateway.md)。
+ [使用預設 VPC、公有子網路和安全群組](default-vpc-with-public-subnet.md) — 如果您是初次使用 WorkSpaces 集區,並想要開始使用 服務,您可以在預設公有子網路中啟動 WorkSpaces 集區。當您啟用此選項時,WorkSpaces 集區會使用 Amazon VPC 公有子網路中的網際網路閘道來提供網際網路連線。您的串流執行個體會獲得公有 IP 地址的指派,該地址可直接從網際網路存取。
2013-12-04 之後建立的 Amazon Web Services 帳戶都可使用預設 VPC。
預設 VPC 在所有可用區域中均包含預設公有子網路,以及連接至您 VPC 的網際網路閘道。VPC 也包含預設安全群組。
**注意**
當您使用預設 VPC、公有子網路和安全群組時,WorkSpaces 集區最多支援 100 個 WorkSpaces。如果您的部署必須支援超過 100 名同時上線的使用者,請改用 [NAT 閘道組態](managing-network-internet-NAT-gateway.md)。
# 設定 WorkSpaces 集區的 VPC
設定 WorkSpaces 集區時,您必須指定虛擬私有雲端 (VPC) 和至少一個要在其中啟動 WorkSpaces 的子網路。VPC 是 Amazon Web Services 雲端中您自有的邏輯隔離區域中的虛擬網路。子網是您的 VPC 中的 IP 地址範圍。
當您為 WorkSpaces 集區設定 VPC 時,您可以指定公有或私有子網路,或混合這兩種子網路類型。公有子網路可透過網際網路閘道直接存取網際網路。私有子網路沒有網際網路閘道的路由,所以需要網路地址轉譯 (NAT) 閘道或 NAT 執行個體才能提供網際網路的存取權。
**Topics**
+ [WorkSpaces 集區的 VPC 設定建議](vpc-setup-recommendations.md)
+ [建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)
+ [設定新的 VPC,或具有公有子網路的現有 VPC](managing-network-default-internet-access.md)
+ [使用預設 VPC、公有子網路和安全群組](default-vpc-with-public-subnet.md)
# WorkSpaces 集區的 VPC 設定建議
當您建立 WorkSpaces 集區時,您可以指定要使用的 VPC 和一或多個子網路。您可以指定安全群組來為 VPC 提供額外的存取控制。
下列建議可協助您更有效率且安全地設定 VPC,此外,它們可協助您設定支援有效 WorkSpaces 集區擴展的環境。透過有效的 WorkSpaces 集區擴展,您可以滿足目前和預期的 WorkSpaces 使用者需求,同時避免不必要的資源用量和相關成本。
**整體 VPC 組態**
+ 請確定您的 VPC 組態可以支援 WorkSpaces 集區擴展需求。
當您制定 WorkSpaces 集區擴展的計劃時,請記住,一個使用者需要一個 WorkSpaces。因此,WorkSpaces 集區的大小會決定可同時串流的使用者數量。因此,針對您計劃使用的每個[執行個體類型](instance-types.md),請確定 VPC 可支援的 WorkSpaces 數目大於相同執行個體類型的預期並行使用者數目。
+ 確保您的 WorkSpaces 集區帳戶配額 (也稱為限制) 足以支援您的預期需求。若要請求增加配額,您可以使用 Service Quotas 主控台,位於 [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。如需預設 WorkSpaces 集區配額的詳細資訊,請參閱 [Amazon WorkSpaces 配額](workspaces-limits.md)。
+ 如果您打算在 WorkSpaces 集區中提供 WorkSpaces 存取網際網路的權限,建議您為串流執行個體設定具有兩個私有子網路的 VPC,並在公有子網路中設定 NAT 閘道。
NAT 閘道可讓您私有子網路中的 WorkSpaces 連線至網際網路或其他 AWS 服務。不過,它會防止網際網路啟動與這些 WorkSpaces 的連線。此外,與使用**預設網際網路存取**選項啟用網際網路存取的組態不同,NAT 組態支援超過 100 個 WorkSpaces。如需詳細資訊,請參閱[建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)。
**彈性網路界面**
+ WorkSpaces 集區會建立與 WorkSpaces 集區所需容量上限一樣多的[彈性網路介面](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (網路介面)。根據預設,每個區域的網路界面限制是 5000 個。
規劃非常大型部署的容量時,例如數千個 WorkSpaces,請考慮同一區域中也使用的 Amazon EC2 執行個體數量。
**子網路**
+ 如果您要為 VPC 設定多個私有子網路,請在其他可用區域逐一設定。這麼做能提升容錯能力,還能避免發生容量不足的錯誤。如果您在相同的可用區域中使用兩個子網路,您可能會用完 IP 地址,因為 WorkSpaces 集區不會使用第二個子網路。
+ 請確保應用程式需要的網路資源均可透過這兩個私有子網路存取。
+ 請為各個私有子網路設定子網路遮罩,該遮罩必須具備足夠的用戶端 IP 地址來應付預期的最大同時上線使用者數,此外也必須具備額外的 IP 地址來因應帳戶的預期成長。如需詳細資訊,請參閱 [VPC 和 IPv4 的子網路大小調整](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
+ 如果您搭配使用 VPC 與 NAT,請至少設定一個公有子網路與 NAT 閘道以便進行網際網路存取 (最好有兩個)。接著為私有子網路所在的相同可用區域設定公有子網路。
若要增強容錯能力,並降低大型 WorkSpaces 集區部署發生容量不足錯誤的機率,請考慮將您的 VPC 組態擴展到第三個可用區域。請在第三個可用區域中包含私有子網路、公有子網路和 NAT 閘道。
**安全群組**
+ 使用安全群組來為 VPC 提供額外的存取控制。
屬於 VPC 的安全群組可讓您控制 WorkSpaces 集區串流執行個體與應用程式所需的網路資源之間的網路流量。這些資源可能包括其他服務, AWS 例如 Amazon RDS 或 Amazon FSx、授權伺服器、資料庫伺服器、檔案伺服器和應用程式伺服器。
+ 確認安全群組可提供您應用程式所需的網路資源存取權。
如需安全群組的一般資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組控制 AWS 資源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)。
# 建立含有私有子網路與 NAT 閘道的 VPC
如果您計劃為 WorkSpaces 集區中的 WorkSpaces 提供網際網路存取權,建議您為 WorkSpaces 設定具有兩個私有子網路的 VPC,並在公有子網路中設定 NAT 閘道。您可以建立並設定新的 VPC 來搭配 NAT 閘道使用,或是為現有的 VPC 新增 NAT 閘道。如需其他 VPC 組態建議,請參閱 [WorkSpaces 集區的 VPC 設定建議](vpc-setup-recommendations.md)。
NAT 閘道可讓您私有子網路中的 WorkSpaces 連線至網際網路或其他 AWS 服務,但可防止網際網路啟動與這些 WorkSpaces 的連線。此外,與使用**預設網際網路存取**選項啟用 WorkSpaces 網際網路存取的組態不同,此組態不限於 100 個 WorkSpaces。
如需使用 NAT 閘道和此組態的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的 [VPC 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)和[使用公有和私有子網路的 VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**Topics**
+ [建立和設定新的 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [將 NAT 閘道新增至現有 VPC](add-nat-gateway-existing-vpc.md)
+ [啟用 WorkSpaces 集區的網際網路存取](managing-network-manual-enable-internet-access.md)
# 建立和設定新的 VPC
本主題說明如何使用 VPC 精靈來建立具有公有子網路和一個私有子網路的 VPC。過程中,精靈會建立網際網路閘道和 NAT 閘道,此外也會建立與公有子網路建立關聯的自訂路由表,並更新與私有子網路建立關聯的主要路由表。NAT 閘道會自動在您 VPC 的公有子網路中建立。
使用精靈建立初始 VPC 組態後,您必須新增第二個私有子網路。如需此組態的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用公有和私有子網路的 VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**注意**
如果您已經有 VPC,請改為完成[將 NAT 閘道新增至現有 VPC](add-nat-gateway-existing-vpc.md) 中的步驟。
**Topics**
+ [步驟 1:配置彈性 IP 地址](#allocate-elastic-ip)
+ [步驟 2:建立新的 VPC](#vpc-with-private-and-public-subnets-nat)
+ [步驟 3:新增第二個私有子網路](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [步驟 4:確認並為您的子網路路由表命名](#verify-name-route-tables)
## 步驟 1:配置彈性 IP 地址
建立 VPC 之前,您必須在 WorkSpaces 區域中配置彈性 IP 地址。您必須先配置要在 VPC 中使用的彈性 IP 地址,接著將該地址與 NAT 閘道建立關聯。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)。
**注意**
您可能需要為使用的彈性 IP 地址付費。如需詳細資訊,請參閱 Amazon EC2 定價頁面上的[彈性 IP 地址](https://docs.aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses)。
如果您還沒有彈性 IP 地址,請完成以下步驟。若您希望使用現有的彈性 IP 地址,請確認它目前並未與其他執行個體或網路界面建立關聯。
**配置彈性 IP 地址**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 在導覽窗格中,於 **Network & Security (網路與安全)** 下方,選擇 **Elastic IPs (彈性 IP)**。
1. 選擇 **Allocate New Address (配置新地址)**,然後選擇 **Allocate (配置)**。
1. 記下彈性 IP 地址。
1. 在 **Elastic IPs (彈性 IP)** 窗格的右上角,按一下 X 圖示來關閉窗格。
## 步驟 2:建立新的 VPC
請完成下列步驟,以建立具有公有子網路和一個私有子網路的新 VPC。
**建立新的 VPC**
1. 在 [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **VPC dashboard (VPC 儀表板)**。
1. 選擇 **Launch VPC Wizard (啟動 VPC 精靈)**。
1. 在 **Step 1: Select a VPC Configuration (步驟 1:選取 VPC 組態)** 中,選擇 **VPC with Public and Private Subnets (含公有和私有子網路的 VPC)**,然後選擇 **Select (選取)**。
1. 在 **Step 2: VPC with Public and Private Subnets (步驟 2:含公有和私有子網路的 VPC)**中,按照以下內容設定 VPC:
+ 針對 **IPv4 CIDR block (IPv4 CIDR 區塊)**,請指定 VPC 的 IPv4 CIDR 區塊。
+ 針對 **IPv6 CIDR block (IPv6 CIDR 區塊)**,請保留預設值 **No IPv6 CIDR Block (無 IPv6 CIDR 區塊)**。
+ 針對 **VPC name (VPC 名稱)**,請輸入 VPC 的專屬名稱。
1. 根據以下內容設定公有子網路:
+ 針對 **Public subnet's IPv4 CIDR (公有子網路的 IPv4 CIDR)**,請為子網路指定 CIDR 區塊。
+ 針對 **Availability Zone (可用區域)**,請保留預設值 **No Preference (無偏好設定)**。
+ 針對 **Public subnet name (公有子網路名稱)**,請輸入子網路的名稱,例如 `WorkSpaces Public Subnet`。
1. 根據以下內容設定第一個私有子網路:
+ 針對 **Private subnet's IPv4 CIDR (私有子網路的 IPv4 CIDR)**,請為子網路指定 CIDR 區塊。記下您指定的值。
+ 針對 **Availability Zone (可用區域)**,請選取特定區域並記下您選取的區域。
+ 針對 **Private subnet name (私有子網路名稱)**,請輸入子網路的名稱,例如 `WorkSpaces Private Subnet1`。
+ 如果適用,請保留其他欄位的預設值。
1. 針對 **Elastic IP Allocation ID (彈性 IP 配置ID)**,請在文字方塊中按一下,並選取與您建立之彈性 IP 地址對應的值。這個地址會指派至 NAT 閘道。如果您沒有彈性 IP 地址,請在 [https://console.aws.amazon.com/vpc/](https://docs.aws.amazon.com/vpc/) 使用 Amazon VPC 主控台建立一個地址。
1. 針對**服務端點**,如果您的環境需要 Amazon S3 端點,請指定一個。您需要 S3 端點才能為使用者提供[主資料夾](persistent-storage.md#home-folders)的存取權,或是為私有網路中的使用者啟用[應用程式設定持久性](app-settings-persistence.md)。
如果要指定 Amazon S3 端點,請按照以下步驟操作:
1. 選擇 **Add Endpoint (新增端點)**。
1. 針對 **Service (服務)**,請選取清單中以"s3" (與 VPC 建立所在之區域對應的 `com.amazonaws.`*region*`.s3` 項目) 結尾的項目。
1. 針對 **Subnet (子網路)**,選擇 **Private subnet (私有子網路)**。
1. 針對 **Policy (政策)**,請保留預設值 **Full Access (完整存取權)**。
1. 針對 **Enable DNS hostnames (啟用 DNS 主機名稱)**,請保留預設值 **Yes (是)**。
1. 針對 **Hardware tenancy (硬體租用)**,請 保留預設值 **Default (預設)**。
1. 選擇**建立 VPC**。
1. 請注意,設定 VPC 需要幾分鐘的時間。建立 VPC 之後,選擇 **OK (確定)**。
## 步驟 3:新增第二個私有子網路
在上一個步驟 ([步驟 2:建立新的 VPC](#vpc-with-private-and-public-subnets-nat)) 中,您建立了具有一個公有子網路和一個私有子網路的 VPC。請執行以下步驟來新增第二個私有子網路。建議您在第一個私有子網路以外的可用區域新增第二個私有子網路。
1. 在導覽窗格中,選擇 **Subnets** (子網)。
1. 選取您在上一個步驟中建立的第一個私有子網路。在 **Description (描述)** 標籤上 (位在子網路清單下方),記下此子網路的可用區域。
1. 在子網路窗格的左上角選擇 **Create Subnet (建立子網路)**。
1. 針對 **Name tag (名稱標籤)**,請輸入私有子網路的名稱,例如 `WorkSpaces Private Subnet2`。
1. 針對 **VPC**,請選取您在前一個步驟建立的 VPC。
1. 針對 **Availability Zone (可用區域)**,請選取您為第一個私有子網路使用之可用區域以外的可用區域。選取其他可用區域可提升容錯能力,並協助避免發生容量不足的錯誤。
1. 針對 **IPv4 CIDR block (IPv4 CIDR 區塊)**,請為新的子網路指定專屬的 CIDR 區塊範圍。舉例來說,如果您第一個私有子網路的 IPv4 CIDR 區塊範圍是 `10.0.1.0/24`,可以為新的私有子網路指定 `10.0.2.0/24` 的 CIDR 區塊範圍。
1. 選擇**建立**。
1. 建立子網路之後,請選擇 **Close (關閉)**。
## 步驟 4:確認並為您的子網路路由表命名
在您建立並設定 VPC 後,請完成以下步驟來為您的路由表指定名稱,並確認:
+ 與您 NAT 閘道所在之子網路關聯的路由表包含將網際網路流量指向網際網路閘道的路由。這可確保您的 NAT 閘道可以存取網際網路。
+ 與您私有子網路建立關聯的路由表,會將網際網路流量指向 NAT 閘道。這可讓您私有子網路中的串流執行個體與網際網路通訊。
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的公有子網路,例如 `WorkSpaces Public Subnet`。
1. 在 **Route Table (路由表)** 標籤上,請選擇路由表的 ID,例如 `rtb-12345678`。
1. 選取 路由表。在 **Name (名稱)** 下,請選擇編輯圖示 (鉛筆) 並輸入名稱 (例如 `workspaces-public-routetable`),接著選取核取記號來儲存名稱。
1. 在已選取公有路由表的情況下,於 **Routes (路由)** 標籤確認本機流量有一個路由,且有另一個路由會為 VPC 將所有其他流量傳送到網際網路閘道。下表說明這兩種路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的第一個私有子網路,例如 `WorkSpaces Private Subnet1`。
1. 在 **Route Table (路由表)** 標籤上,請選擇路由表的 ID。
1. 選取 路由表。在 **Name (名稱)** 下,請選擇編輯圖示 (鉛筆) 並輸入名稱 (例如 `workspaces-private-routetable`),接著選擇核取記號來儲存名稱。
1. 在 **Routes (路由)** 標籤上,請確認路由表包含以下路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/workspaces/latest/adminguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的第二個私有子網路,例如 `WorkSpaces Private Subnet2`。
1. 在 **Route Table (路由表)** 標籤上,請確認路由表為私有路由表 (例如 `workspaces-private-routetable`)。如果路由表不同,請選擇 **Edit (編輯)** 並選取此路由表。
**後續步驟**
若要讓 WorkSpaces 集區中的 WorkSpaces 能夠存取網際網路,請完成 中的步驟[啟用 WorkSpaces 集區的網際網路存取](managing-network-manual-enable-internet-access.md)。
# 將 NAT 閘道新增至現有 VPC
如果您已經設定 VPC,請完成以下步驟來將 NAT 閘道新增至 VPC。如果您需要建立新的 VPC,請參閱[建立和設定新的 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)。
**將 NAT 閘道新增至現有 VPC**
1. 若要建立 NAT 閘道,請完成《Amazon VPC 使用者指南》**中[建立 NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating)的步驟。
1. 請確認您的 VPC 至少有一個私有子網路。建議您在不同可用區域指定兩個私有子網路,以取得高可用性和容錯能力。如需如何建立第二個私有子網路的資訊,請參閱[步驟 3:新增第二個私有子網路](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。
1. 更新與您一或多個私有子網路關聯的路由表,將網際網路的流量指向 NAT 閘道。這可讓您私有子網路中的串流執行個體與網際網路通訊。若要這麼做,請完成《Amazon VPC 使用者指南》**中[更新路由表](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-create-route)的步驟。
**後續步驟**
若要讓 WorkSpaces 集區中的 WorkSpaces 能夠存取網際網路,請完成 中的步驟[啟用 WorkSpaces 集區的網際網路存取](managing-network-manual-enable-internet-access.md)。
# 啟用 WorkSpaces 集區的網際網路存取
在 VPC 上提供 NAT 閘道之後,您可以啟用 WorkSpaces 集區的網際網路存取。您可以在[建立 WorkSpaces 集區目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)時啟用網際網路存取。當您建立目錄時,請選擇具有 NAT 閘道的 VPC。然後,為**子網路 1** 選取私有子網路,並選擇性地為**子網路 2** 選取另一個私有子網路。如果您的 VPC 內還沒有任何私有子網路,可能需要建立第二個私有子網路。
您可以啟動 WorkSpaces 集區,然後連線至集區中的 WorkSpace 並瀏覽至網際網路,以測試網際網路連線。
# 設定新的 VPC,或具有公有子網路的現有 VPC
如果您在 2013-12-04 之後建立 Amazon Web Services 帳戶,則每個 AWS 區域中都會有一個[預設 VPC](default-vpc-with-public-subnet.md),其中包含預設公有子網路。不過,您可能想要建立自己的非預設 VPC,或設定現有的 VPC 以搭配 WorkSpaces 集區目錄使用。本主題說明如何設定非預設 VPC 和公有子網路,以搭配 WorkSpaces 集區使用。
設定 VPC 和公有子網路之後,您可以透過啟用預設網際網路存取選項,為 WorkSpaces 集區中的 WorkSpaces 提供網際網路存取權。 ****當您啟用此選項時,WorkSpaces 集區會透過將[彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html)與從串流執行個體連接至公有子網路的網路介面建立關聯來啟用網際網路連線。彈性 IP 地址是可從網際網路存取的公有 IPv4 地址。因此,我們建議您改用 NAT 閘道來提供 WorkSpaces 集區中 WorkSpaces 的網際網路存取。此外,啟用**預設網際網路存取**時,最多支援 100 個 WorkSpaces。如果您的部署必須支援超過 100 名同時上線的使用者,請改用 [NAT 閘道組態](managing-network-internet-NAT-gateway.md)。
如需詳細資訊,請參閱[建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)中的步驟。如需其他 VPC 組態建議,請參閱 [WorkSpaces 集區的 VPC 設定建議](vpc-setup-recommendations.md)。
**Topics**
+ [步驟 1:設定具有公有子網路的 VPC](#vpc-with-public-subnet)
+ [步驟 2:為您的 WorkSpaces 集區啟用預設網際網路存取](#managing-network-enable-default-internet-access)
## 步驟 1:設定具有公有子網路的 VPC
您可以使用下列其中一種方法設定自己的非預設 VPC 與公有子網路:
+ [建立具有單一公有子網路的新 VPC](#new-vpc-with-public-subnet)
+ [設定現有的 VPC](#existing-vpc-with-public-subnet)
### 建立具有單一公有子網路的新 VPC
當您使用 VPC 精靈建立新的 VPC 時,精靈會建立網際網路閘道,以及與公有子網路建立關聯的自訂路由表。路由表會將目標為 VPC 外地址的所有流量路由至網際網路閘道。如需此組態的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用單一公有子網路的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html)。
1. 完成《Amazon VPC 使用者指南》**中[步驟 1:建立 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) 的步驟,以建立您的 VPC。
1. 若要讓您的 WorkSpaces 能夠存取網際網路,請完成 中的步驟[步驟 2:為您的 WorkSpaces 集區啟用預設網際網路存取](#managing-network-enable-default-internet-access)。
### 設定現有的 VPC
若要使用不具有公有子網路的現有 VPC,您可以新增新的公有子網路。除了公有子網路以外,您也必須有連接至 VPC 的網際網路閘道,以及能將目標為 VPC 以外之地址的所有流量路由至網際網路閘道的路由表。如果要設定這些元件,請完成以下步驟。
1. 如果要新增公有子網路,請完成[在您的 VPC 中建立子網路](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)中的步驟。使用您計劃與 WorkSpaces 集區搭配使用的現有 VPC。
如果您的 VPC 已設定為支援 IPv6 定址,**IPv6 CIDR block (IPv6 CIDR 區塊)** 清單會隨即顯示。選取 **Don't assign Ipv6 (不指派 Ipv6)**。
1. 如果要建立網際網路閘道並連接至 VPC,請完成[建立並連接網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway)中的步驟。
1. 若要設定子網路以透過網際網路閘道來路由網際網路流量,請完成[建立自訂路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing)中的步驟。在步驟 5 中,請針對 **Destination (目標)**, 使用 IPv4 格式 (`0.0.0.0/0`)。
1. 若要讓您的 WorkSpaces 和映像建置器能夠存取網際網路,請完成 中的步驟[步驟 2:為您的 WorkSpaces 集區啟用預設網際網路存取](#managing-network-enable-default-internet-access)。
## 步驟 2:為您的 WorkSpaces 集區啟用預設網際網路存取
您可以在[建立 WorkSpaces 集區目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)時啟用網際網路存取。當您建立目錄時,請選擇具有公有子網路的 VPC。然後為**子網路 1** 選取公有子網路,並選擇性地為**子網路 2** 選取另一個公有子網路。
您可以啟動 WorkSpaces 集區,然後連線至集區中的 WorkSpace 並瀏覽至網際網路,以測試網際網路連線。
# 使用預設 VPC、公有子網路和安全群組
如果您的 Amazon Web Services 帳戶是在 2013-12-04 之後建立,則在每個 AWS 區域中都有預設 VPC。預設 VPC 在所有可用區域中均包含預設公有子網路,以及連接至您 VPC 的網際網路閘道。VPC 也包含預設安全群組。如果您是初次使用 WorkSpaces 集區,並且想要開始使用服務,您可以在建立 WorkSpaces 集區時保持選取預設 VPC 和安全群組。接著,您可以選取至少一個預設子網路。
**注意**
如果您的 Amazon Web Services 帳戶是在 2013-12-04 之前建立,您必須建立新的 VPC 或設定現有的 VPC 以搭配 WorkSpaces 集區使用。建議您為 WorkSpaces 集區手動設定具有兩個私有子網路的 VPC,以及公有子網路中的 NAT 閘道。如需詳細資訊,請參閱[建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)。或者,您可以設定具有公有子網路的非預設 VPC。如需詳細資訊,請參閱[設定新的 VPC,或具有公有子網路的現有 VPC](managing-network-default-internet-access.md)。
您可以在[建立 WorkSpaces 集區目錄](https://docs.aws.amazon.com/workspaces/latest/adminguide/create-directory-pools.html)時啟用網際網路存取。
當您建立目錄時,請選擇預設 VPC。預設 VPC 名稱會使用以下格式:`vpc-`*vpc-id*` (No_default_value_Name)`。
然後,為**子網路 1** 選取預設公有子網路,並選擇性地為**子網路 2** 選取另一個預設公有子網路。預設子網路名稱會使用以下格式:`subnet-`*subnet-id*` | (`*IPv4 CIDR 區塊*`) | Default in` *availability-zone*。
您可以啟動 WorkSpaces 集區,然後連線至集區中的 WorkSpace 並瀏覽至網際網路,以測試網際網路連線。
# 設定 WorkSpaces 集區的 FedRAMP 授權或 DoD SRG 合規
若要符合[聯邦風險與授權管理計劃 (FedRAMP)](https://aws.amazon.com/compliance/fedramp/) 或[國防部 (DoD) 雲端運算安全要求指南 (SRG)](https://aws.amazon.com/compliance/dod/),您必須將 Amazon WorkSpaces 集區設定為在目錄層級使用聯邦資訊處理標準 (FIPS) 端點加密。您也必須使用具有 FedRAMP 授權或符合 DoD SRG 規範的美國 AWS 區域。
FedRAMP 授權層級 (中度或高度) 或 DoD SRG 影響層級 (2、4 或 5) 取決於使用 Amazon WorkSpaces 的美國 AWS 區域。如需適用於每個區域的 FedRAMP 授權和 DoD SRG 合規層級,請參閱[合規計畫範圍內的AWS 服務](https://aws.amazon.com/compliance/services-in-scope/)。
**需求**
+ WorkSpaces 集區目錄必須設定為使用 **FIPS 140-2 驗證模式**進行端點加密。
**注意**
若要使用 **FIPS 140-2 驗證模式**設定,請確定下列事項:
WorkSpaces 集區目錄為:
新增且未與集區建立關聯
與處於 STOPPED 狀態的現有集區相關聯
集區目錄已[https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html](https://docs.aws.amazon.com/workspaces/latest/api/API_ModifyStreamingProperties.html)設定為 TCP。
+ 您必須在[具有 FedRAMP 授權或符合 DoD SRG 的美國 AWS 區域中](https://aws.amazon.com/compliance/services-in-scope/)建立 WorkSpaces 集區。
+ 使用者必須從下列其中一個 WorkSpaces 用戶端應用程式存取其 WorkSpaces:
+ macOS:5.20.0 或更新版本
+ Windows:5.20.0 或更新版本
+ Web Access
**使用 FIPS 端點加密**
1. 在 https://[https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) 開啟 WorkSpaces 主控台。
1. 在導覽窗格中,選擇**目錄**,然後選擇您要用於 FedRAMP 授權和 DoD SRG 合規的目錄。
1. 在**目錄詳細資訊**頁面上,選擇要為 FIPS 加密模式設定的目錄。
1. 在**端點加密**區段中,選擇**編輯**,然後選擇 **FIPS 140-2 驗證模式**。
1. 選擇**儲存**。
# 將 Amazon S3 VPC 端點用於 WorkSpaces 集區功能
當您為 WorkSpaces 集區目錄啟用 WorkSpaces 集區或主資料夾的應用程式設定持續性時,WorkSpaces 會使用您為目錄指定的 VPC 來提供對 Amazon Simple Storage Service (Amazon S3) 儲存貯體的存取。若要啟用 WorkSpaces 集區存取私有 S3 端點,請將下列自訂政策連接至 Amazon S3 的 VPC 端點。如需有關私有 Amazon S3 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)和 [Amazon S3 的端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html)。
------
#### [ Commercial AWS 區域 ]
針對商業 中的資源使用下列政策 AWS 區域。
------
#### [ AWS GovCloud (US) Regions ]
針對商業 中的資源使用下列政策 AWS GovCloud (US) Regions。
------
# WorkSpaces 集區的 VPC 連線
若要啟用 WorkSpaces 集區與網路資源和網際網路的連線,請設定您的 WorkSpaces,如下所示。
## 網路界面
WorkSpaces 集區中的每個 WorkSpaces 都有下列網路介面:
+ 客戶網路介面可讓您連線至 VPC 內的資源以及網際網路,並用來將 WorkSpaces 加入您的目錄。
+ 管理網路界面會連線至安全的 WorkSpaces 集區管理網路。它用於將 WorkSpace 互動式串流到使用者的裝置,並允許 WorkSpaces 集區管理 WorkSpace。
WorkSpaces 集區會從下列私有 IP 地址範圍選取管理網路介面的 IP 地址:198.19.0.0/16。請勿將此範圍用於 VPC CIDR 或將 VPC 與具有此範圍的其他 VPC 對等,因為這可能會造成衝突並導致 WorkSpaces 無法連線。此外,請勿修改或刪除連接到 WorkSpace 的任何網路介面,因為這也可能導致 WorkSpace 無法連線。
## 管理網路界面 IP 地址範圍和連接埠
管理網路界面 IP 地址範圍是 198.19.0.0/16。下列連接埠必須在所有 WorkSpaces 的管理網路介面上開放:
+ 連接埠 8300 上的傳入 TCP。用於建立串流連線。
+ 連接埠 3128 上的傳出 TCP。這用於管理 WorkSpaces。
+ 連接埠 8000 和 8443 上的傳入 TCP。這些用於管理 WorkSpaces。
+ 連接埠 8300 上的傳入 UDP。這用於建立透過 UDP 的串流連線。
將管理網路界面的傳入範圍限制於 198.19.0.0/16。
**注意**
對於 Amazon DCV BYOL Windows WorkSpaces 集區,所有 AWS 區域都會使用 10.0.0.0/8 IP 地址範圍。這些 IP 範圍是除了您為 BYOL WorkSpaces 集區中的管理流量選擇的 /16 CIDR 區塊之外的。
在正常情況下,WorkSpaces 集區會為您的 WorkSpaces 正確設定這些連接埠。如果在封鎖任何這些連接埠的 WorkSpace 上安裝任何安全或防火牆軟體,WorkSpaces 可能無法正常運作或無法連線。
請勿停用 IPv6。如果您停用 IPv6,WorkSpaces 集區將無法正常運作。如需 Windows IPv6 的相關設定資訊,請參閱[進階使用者適用的在 Windows 中設定 IPv6 的指導](https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users)。
**注意**
WorkSpaces 集區倚賴 VPC 內的 DNS 伺服器,針對不存在的本機網域名稱傳回不存在的網域 (NXDOMAIN) 回應。這可讓 WorkSpaces 集區受管網路介面與管理伺服器通訊。
當您使用 Simple AD 建立目錄時, AWS Directory Service 會建立兩個網域控制站,其也會代表您做為 DNS 伺服器。由於網域控制站不提供 NXDOMAIN 回應,因此無法與 WorkSpaces 集區搭配使用。
## 客戶網路界面連接埠
+ 針對網際網路連線,下列連接埠必須對所有目的地開放。如果您使用修改過或自訂安全群組,則需要手動新增所需規則。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)。
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 4195
+ 如果您將 WorkSpaces 加入目錄,則必須在 WorkSpaces 集區 VPC 和目錄控制器之間開啟下列連接埠。
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身分驗證
+ UDP 123 - NTP
+ TCP 135 - RPC
+ UDP 137-138 - Netlogon
+ TCP 139 - Netlogon
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP 1024-65535 - RPC 動態連接埠
如需連接埠的完整清單,請參閱 Microsoft 文件中的 [Active Directory and Active Directory Domain Services Port Requirements](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))。
+ 所有 WorkSpaces 要求連接埠 80 (HTTP) 開放給 IP 地址`169.254.169.254`,以允許存取 EC2 中繼資料服務。IP 地址範圍`169.254.0.0/16`會保留給 WorkSpaces 集區服務使用量,以供管理流量使用。未排除此範圍可能會導致串流問題。
# WorkSpaces 集區的使用者連線
使用者可以透過預設公有網際網路端點連線至 WorkSpaces 集區中的 WorkSpaces。
根據預設,WorkSpaces 集區設定為透過公有網際網路路由串流連線。需要網際網路連線才能驗證使用者,並提供 WorkSpaces 集區運作所需的 Web 資產。若要允許此流量,您必須允許 [允許的網域](allowed-domains.md) 中所列的網域。
**注意**
對於使用者身分驗證,WorkSpaces 集區支援安全性聲明標記語言 2.0 (SAML 2.0)。如需詳細資訊,請參閱[設定 SAML 2.0 並建立 WorkSpaces 集區目錄](create-directory-pools.md)。
下列主題提供如何啟用 WorkSpaces 集區使用者連線的相關資訊。
**Topics**
+ [頻寬建議](bandwidth-recommendations-user-connections.md)
+ [WorkSpaces 集區使用者裝置的 IP 地址和連接埠要求](pools-client-application-ports.md)
+ [允許的網域](allowed-domains.md)
# 頻寬建議
若要最佳化 WorkSpaces 集區的效能,請確定您的網路頻寬和延遲可以維持使用者的需求。
WorkSpaces 集區使用 NICE 桌面雲端視覺化 (DCV),讓您的使用者能夠在不同的網路條件下安全地存取和串流您的應用程式。為了協助降低頻寬耗用量,NICE DCV 使用以 H.264 為基礎的影片壓縮和編碼。在串流工作階段期間,將會以 AES-256 加密像素串流並透過 HTTPS,將應用程式的視覺化輸出壓縮並串流到您的使用者。收到串流之後,串流就解密並輸出到使用者的本機畫面。當使用者與串流應用程式互動時,NICE DCV 通訊協定會擷取其輸入,並透過 HTTPS 傳回到串流應用程式。
在此過程中,會持續測量網路條件,並將資訊傳回 WorkSpaces 集區。WorkSpaces 集區會透過即時變更視訊和音訊編碼,為各種應用程式和網路條件產生高品質串流,以動態回應不斷變化的網路條件。
WorkSpaces 集區串流工作階段的建議頻寬和延遲取決於工作負載。例如,使用圖形密集型應用程式來執行電腦輔助設計任務的使用者,比使用企業生產力應用程式來撰寫文件的使用者,需要更多頻寬和更短的延遲。
下表提供 WorkSpaces 集區串流工作階段根據常見工作負載的建議網路頻寬和延遲指引。
對於每個工作負載,頻寬建議是根據個別使用者在特定時間點可能的需求。建議值不反映持續輸送量所需的頻寬。在串流工作階段期間,當螢幕上只有很少像素時,持續輸送量明顯較低。雖然可用頻寬較小的使用者仍然可以串流應用程式,但畫面播放速率或影像品質可能不是最佳。
| 工作負載 | Description | 每一使用者建議頻寬 | 建議的最大往返延遲 |
| --- | --- | --- | --- |
| 企業營運應用程式 | 文件編寫應用程式、資料庫分析公用程式 | 2 Mbps | < 150 毫秒 |
| 圖形應用程式 | 電腦輔助設計和模型建置應用程式、照片和影片編輯 | 5 Mbps | < 100 毫秒 |
| 高畫質 | 跨多個顯示器的高畫質資料集或映射 | 10 Mbps | < 50 毫秒 |
# WorkSpaces 集區使用者裝置的 IP 地址和連接埠要求
WorkSpaces 集區使用者的裝置在使用網際網路端點時需要連接埠 443 (TCP) 和連接埠 4195 (UDP) 的傳出存取權,如果您使用 DNS 伺服器進行網域名稱解析,則需要連接埠 53 (UDP)。
+ 使用網際網路端點時,連接埠 443 用於 WorkSpaces 集區使用者裝置與 WorkSpaces 之間的 HTTPS 通訊。一般而言,最終使用者在串流工作階段期間瀏覽 Web 時,網頁瀏覽器會隨機選取串流流量高範圍的來源連接埠。您必須確保允許對此連接埠的傳回流量。
+ 使用網際網路端點時,連接埠 4195 用於 WorkSpaces 集區使用者裝置和 WorkSpaces 之間的 UDP HTTPS 通訊。目前只有 Windows 原生用戶端才支援 UDP。如果您使用的是 VPC 端點,則不支援 UDP。
+ 連接埠 53 用於 WorkSpaces 集區使用者裝置和 DNS 伺服器之間的通訊。連接埠必須開放給 DNS 伺服器的 IP 地址,以便解析公有網域名稱。如果您未使用 DNS 伺服器進行網域名稱解析,則此連接埠為選用。
# 允許的網域
若要讓 WorkSpaces 集區使用者存取 WorkSpaces,您必須允許網路上的各種網域,使用者從中啟動對 WorkSpaces 的存取。如需詳細資訊,請參閱[WorkSpaces Personal 的 IP 位址和連接埠要求](workspaces-port-requirements.md)。請注意,頁面指定它適用於 WorkSpaces Personal,但也適用於 WorkSpaces 集區。
**注意**
如果您的 S3 儲存貯體名稱中有「.」 名稱中的字元,使用的網域是 `https://s3..amazonaws.com`。如果您的 S3 儲存貯體名稱中沒有「.」 名稱中的字元,使用的網域是 `https://.s3..amazonaws.com`。