本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # WorkSpaces 集區的 VPC 設定建議 當您建立 WorkSpaces 集區時,您可以指定要使用的 VPC 和一或多個子網路。您可以指定安全群組來為 VPC 提供額外的存取控制。 下列建議可協助您更有效率且安全地設定 VPC,此外,它們可協助您設定支援有效 WorkSpaces 集區擴展的環境。透過有效的 WorkSpaces 集區擴展,您可以滿足目前和預期的 WorkSpaces 使用者需求,同時避免不必要的資源用量和相關成本。 **整體 VPC 組態** + 請確定您的 VPC 組態可以支援 WorkSpaces 集區擴展需求。 當您制定 WorkSpaces 集區擴展的計劃時,請記住,一個使用者需要一個 WorkSpaces。因此,WorkSpaces 集區的大小會決定可同時串流的使用者數量。因此,針對您計劃使用的每個[執行個體類型](instance-types.md),請確定 VPC 可支援的 WorkSpaces 數目大於相同執行個體類型的預期並行使用者數目。 + 確保您的 WorkSpaces 集區帳戶配額 (也稱為限制) 足以支援您的預期需求。若要請求增加配額,您可以使用 Service Quotas 主控台,位於 [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。如需預設 WorkSpaces 集區配額的詳細資訊,請參閱 [Amazon WorkSpaces 配額](workspaces-limits.md)。 + 如果您打算在 WorkSpaces 集區中提供 WorkSpaces 存取網際網路的權限,建議您為串流執行個體設定具有兩個私有子網路的 VPC,並在公有子網路中設定 NAT 閘道。 NAT 閘道可讓您私有子網路中的 WorkSpaces 連線至網際網路或其他 AWS 服務。不過,它會防止網際網路啟動與這些 WorkSpaces 的連線。此外,與使用**預設網際網路存取**選項啟用網際網路存取的組態不同,NAT 組態支援超過 100 個 WorkSpaces。如需詳細資訊,請參閱[建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)。 **彈性網路界面** + WorkSpaces 集區會建立與 WorkSpaces 集區所需容量上限一樣多的[彈性網路介面](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (網路介面)。根據預設,每個區域的網路界面限制是 5000 個。 規劃非常大型部署的容量時,例如數千個 WorkSpaces,請考慮同一區域中也使用的 Amazon EC2 執行個體數量。 **子網路** + 如果您要為 VPC 設定多個私有子網路,請在其他可用區域逐一設定。這麼做能提升容錯能力,還能避免發生容量不足的錯誤。如果您在相同的可用區域中使用兩個子網路,您可能會用完 IP 地址,因為 WorkSpaces 集區不會使用第二個子網路。 + 請確保應用程式需要的網路資源均可透過這兩個私有子網路存取。 + 請為各個私有子網路設定子網路遮罩,該遮罩必須具備足夠的用戶端 IP 地址來應付預期的最大同時上線使用者數,此外也必須具備額外的 IP 地址來因應帳戶的預期成長。如需詳細資訊,請參閱 [VPC 和 IPv4 的子網路大小調整](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。 + 如果您搭配使用 VPC 與 NAT,請至少設定一個公有子網路與 NAT 閘道以便進行網際網路存取 (最好有兩個)。接著為私有子網路所在的相同可用區域設定公有子網路。 若要增強容錯能力,並降低大型 WorkSpaces 集區部署發生容量不足錯誤的機率,請考慮將您的 VPC 組態擴展到第三個可用區域。請在第三個可用區域中包含私有子網路、公有子網路和 NAT 閘道。 **安全群組** + 使用安全群組來為 VPC 提供額外的存取控制。 屬於 VPC 的安全群組可讓您控制 WorkSpaces 集區串流執行個體與應用程式所需的網路資源之間的網路流量。這些資源可能包括其他服務, AWS 例如 Amazon RDS 或 Amazon FSx、授權伺服器、資料庫伺服器、檔案伺服器和應用程式伺服器。 + 確認安全群組可提供您應用程式所需的網路資源存取權。 如需安全群組的一般資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組控制 AWS 資源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)。