Regionsübergreifende Umleitung für Amazon WorkSpaces - Amazon WorkSpaces

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regionsübergreifende Umleitung für Amazon WorkSpaces

Mit der Funktion zur WorkSpacesregionsübergreifenden Umleitung in Amazon können Sie einen vollqualifizierten Domainnamen (FQDN) als Registrierungscode für Ihr verwenden WorkSpaces. Die regionsübergreifende Umleitung funktioniert mit Ihren DNS-Routing-Richtlinien (Domain Name System), um Ihre WorkSpaces Benutzer auf eine Alternative umzuleiten WorkSpaces , wenn ihre primären nicht verfügbar WorkSpaces sind. Mithilfe von DNS-Failover-Routing-Richtlinien können Sie beispielsweise Ihre Benutzer mit WorkSpaces in der von Ihnen angegebenen Failover-AWSRegion verbinden, wenn sie nicht auf ihre WorkSpaces in der primären Region zugreifen können.

Sie können die regionsübergreifende Umleitung zusammen mit Ihren DNS-Failover-Routingrichtlinien verwenden, um regionale Stabilität und hohe Verfügbarkeit zu erreichen. Sie können diese Funktion auch für andere Zwecke verwenden, z. B. für die Verteilung des Datenverkehrs oder für die Bereitstellung von Alternativen WorkSpaces während der Wartungszeiträume. Wenn Sie Amazon Route 53 für Ihre DNS-Konfiguration verwenden, können Sie Zustandsprüfungen nutzen, die Amazon- CloudWatch Alarme überwachen.

Um diese Funktion verwenden zu können, müssen Sie WorkSpaces für Ihre Benutzer in zwei (oder mehr) AWS Regionen einrichten. Sie müssen ebenfalls spezielle, FQDN-basierte Registrierungscodes erstellen, auch Verbindungsaliase genannt. Diese Verbindungsaliase ersetzen regionsspezifische Registrierungscodes für Ihre WorkSpaces Benutzer. (Die regionsspezifischen Registrierungscodes bleiben gültig. Damit die regionsübergreifende Umleitung funktioniert, müssen Ihre Benutzer jedoch stattdessen den FQDN als ihren Registrierungscode verwenden.)

Geben Sie zur Erstellung eines Verbindungsalias eine Verbindungszeichenfolge an, bei der es sich um einen FQDN handelt, z. B. www.example.com oder desktop.example.com. Sie müssen ihn bei einem Domain-Registrar registrieren und den DNS-Service für Ihre Domain konfigurieren, um diese Domain für die regionsübergreifende Umleitung zu verwenden.

Nachdem Sie Ihre Verbindungsaliase erstellt haben, verknüpfen Sie sie mit Ihren WorkSpaces Verzeichnissen in verschiedenen Regionen, um Zuordnungspaare zu erstellen. Jedes Zuordnungspaar verfügt über eine primäre Region und eine oder mehrere Failover-Regionen. Wenn in der primären Region ein Ausfall auftritt, leiten Ihre DNS-Failover-Routing-Richtlinien Ihre WorkSpaces Benutzer an die weiter WorkSpaces , die Sie für sie in der Failover-Region eingerichtet haben.

Definieren Sie bei der Konfiguration Ihrer DNS-Failover-Routing-Richtlinien die Regionspriorität (entweder primär oder sekundär), um Ihre primären Regionen und Ihre Failover-Regionen festzulegen.

Voraussetzungen

  • Sie müssen Besitzer der Domain sein, die Sie als FQDN in Ihren Verbindungsaliasnamen verwenden möchten. Sie müssen sie außerdem registrieren. Wenn Sie noch keinen anderen Domain-Registrar verwenden, können Sie Amazon Route 53 verwenden, um Ihre Domain zu registrieren. Weitere Informationen finden Sie unter Registrieren von Domain-Namen mithilfe von Amazon Route 53 im Entwicklerhandbuch für Amazon Route 53.

    Wichtig

    Sie müssen über alle erforderlichen Rechte verfügen, um jeden Domainnamen zu verwenden, den Sie in Verbindung mit Amazon verwenden WorkSpaces. Sie erklären sich damit einverstanden, dass der Domainname keine gesetzlichen Rechte Dritter verletzt oder anderweitig gegen geltendes Recht verstößt.

    Die Gesamtlänge Ihres Domainnamens darf 255 Zeichen nicht überschreiten. Weitere Informationen zu Domainnamen finden Sie unter DNS-Domainnamenformat im Amazon-Route 53-Entwicklerhandbuch.

    Die regionsübergreifende Umleitung funktioniert sowohl mit öffentlichen Domainnamen als auch mit Domainnamen in privaten DNS-Zonen. Wenn Sie eine private DNS-Zone verwenden, müssen Sie eine VPN-Verbindung (Virtual Private Network) zur Virtual Private Cloud (VPC) bereitstellen, die Ihre enthält WorkSpaces. Wenn Ihre WorkSpaces Benutzer versuchen, einen privaten FQDN aus dem öffentlichen Internet zu verwenden, geben die WorkSpaces Client-Anwendungen die folgende Fehlermeldung zurück:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • Sie müssen Ihren DNS-Service einrichten und die erforderlichen DNS-Routing-Richtlinien konfigurieren. Die regionsübergreifende Umleitung funktioniert in Verbindung mit Ihren DNS-Routing-Richtlinien, um Ihre WorkSpaces Benutzer nach Bedarf umzuleiten.

  • Erstellen Sie in jeder primären und Failover-Region, in der Sie eine regionsübergreifende Umleitung einrichten möchten, WorkSpaces für Ihre Benutzer. Stellen Sie sicher, dass Sie in jedem WorkSpaces Verzeichnis in jeder Region dieselben Benutzernamen verwenden. Um Ihre Active-Directory-Benutzerdaten synchron zu halten, empfehlen wir, AD Connector zu verwenden, um in jeder Region, in der Sie WorkSpaces für Ihre Benutzer eingerichtet haben, auf dasselbe Active Directory zu verweisen. Weitere Informationen zum Erstellen von WorkSpacesfinden Sie unter Starten von WorkSpaces.

    Wichtig

    Wenn Sie Ihr Verzeichnis in AWS Managed Microsoft AD für die Replikation in mehreren Regionen konfigurieren, kann nur das Verzeichnis in der primären Region für die Verwendung mit Amazon registriert werden WorkSpaces. Versuche, das Verzeichnis in einer replizierten Region für die Verwendung mit Amazon zu registrieren WorkSpaces , schlagen fehl. Die Multi-Region-Replikation mit AWS Managed Microsoft AD wird für die Verwendung mit Amazon WorkSpaces in replizierten Regionen nicht unterstützt.

    Wenn Sie mit der Einrichtung der regionsübergreifenden Umleitung fertig sind, müssen Sie sicherstellen, dass Ihre WorkSpaces Benutzer den FQDN-basierten Registrierungscode anstelle des regionsbasierten Registrierungscodes (z. B. WSpdx+ABC12D) für ihre primäre Region verwenden. Dazu müssen Sie ihnen eine E-Mail mit der FQDN-Verbindungszeichenfolge senden, indem Sie das Verfahren unter Schritt 5: Senden der Verbindungszeichenfolge an Ihre WorkSpaces Benutzer verwenden.

    Anmerkung

    Wenn Sie Ihre Benutzer in der WorkSpaces Konsole erstellen, anstatt sie in Active Directory zu erstellen, sendet WorkSpaces automatisch eine Einladungs-E-Mail mit einem regionsbasierten Registrierungscode an Ihre Benutzer, wenn Sie ein neues starten WorkSpace. Das bedeutet, dass Ihre Benutzer bei der Einrichtung WorkSpaces für Ihre Benutzer in der Failover-Region auch automatisch E-Mails für diese Failover- erhalten WorkSpaces. Sie müssen Ihre Benutzer anweisen, E-Mails mit regionalen Registrierungscodes zu ignorieren.

Einschränkungen

  • Die regionsübergreifende Umleitung überprüft nicht automatisch, ob Verbindungen zur primären Region fehlgeschlagen sind, und WorkSpaces führt dann ein Failover Ihrer zu einer anderen Region durch. Anders ausgedrückt: Ein automatisches Failover findet nicht statt.

    Sie müssen einen anderen Mechanismus in Verbindung mit der regionsübergreifenden Umleitung verwenden, um ein automatisches Failover-Szenario zu implementieren. Sie können beispielsweise eine Amazon Route 53 Failover DNS-Routing-Richtlinie in Kombination mit einer Route 53-Zustandsprüfung verwenden, die einen CloudWatch Alarm in der primären Region überwacht. Wenn der CloudWatch Alarm in der primären Region ausgelöst wird, leitet Ihre DNS-Failover-Routing-Richtlinie Ihre WorkSpaces Benutzer an die weiter WorkSpaces , die Sie für sie in der Failover-Region eingerichtet haben.

  • Wenn Sie die regionsübergreifende Umleitung verwenden, werden Benutzerdaten zwischen WorkSpaces in verschiedenen Regionen nicht beibehalten. Um sicherzustellen, dass Benutzer aus verschiedenen Regionen auf ihre Dateien zugreifen können, empfehlen wir Ihnen, Amazon WorkDocs für Ihre WorkSpaces Benutzer einzurichten, sofern Amazon in Ihren primären Regionen und Failover-Regionen unterstützt WorkDocs wird. Weitere Informationen zu Amazon WorkDocsfinden Sie unter Amazon WorkDocs Drive im Amazon- WorkDocs Administratorhandbuch. Weitere Informationen zum Aktivieren von Amazon WorkDocs für Ihre WorkSpace Benutzer finden Sie unter Registrieren eines dedizierten Verzeichnisses für WorkSpaces und Aktivieren von Amazon WorkDocs für AWS Managed Microsoft AD. Informationen darüber, wie WorkSpaces Benutzer Amazon WorkDocs auf ihren einrichten können WorkSpaces, finden Sie unter Integrieren mit WorkDocs im Amazon- WorkSpaces Benutzerhandbuch.

  • Die regionsübergreifende Umleitung wird nur auf Version 3.0.9 oder höher der Linux-, macOS- und Windows- WorkSpaces Clientanwendungen unterstützt. Sie können die regionsübergreifende Umleitung auch mit Web Access verwenden.

  • Die regionsübergreifende Umleitung ist in allen AWS Regionen verfügbar, in denen Amazon verfügbar WorkSpaces ist, mit Ausnahme der Regionen AWS GovCloud (US) Regionen und China (Ningxia).

Schritt 1: Erstellen von Verbindungsaliasen

Erstellen Sie mit demselben AWS-Konto Verbindungsaliase in jeder primären und Failover-Region, in der Sie die regionsübergreifende Umleitung einrichten möchten.

So stellen Sie einen Verbindungsalias her
  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die primäre AWS Region für Ihre aus WorkSpaces.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitung die Option Verbindungsalias erstellen aus.

  5. Geben Sie als Verbindungszeichenfolge einen vollqualifizierten Domain-Namen ein, (z. B. www.example.com oder desktop.example.com). Eine Verbindungszeichenfolge darf maximal 255 Zeichen lang sein. Sie darf nur Buchstaben (A–Z und a–z), Ziffern (0–9) und die folgenden Zeichen enthalten: .-

    Wichtig

    Nachdem Sie eine Verbindungszeichenfolge erstellt haben, ist diese immer mit Ihrem AWS-Konto verknüpft. Eine Verbindungszeichenfolge kann nicht mit einem anderen Konto erneut erstellt werden, selbst wenn Sie alle Instances aus dem ursprünglichen Konto gelöscht haben. Die Verbindungszeichenfolge ist global für Ihr Konto reserviert.

  6. (Optional) Geben Sie unter Tags alle Tags an, die Sie Ihrem Verbindungsalias zuordnen möchten.

  7. Wählen Sie Verbindung erstellen aus.

  8. Wiederholen Sie diese Schritte, aber stellen Sie sicherSchritt 2, dass Sie in die Failover-Region für Ihr auswählen WorkSpaces. Wenn Sie über mehr als eine Failover-Region verfügen, wiederholen Sie diese Schritte für jede Failover-Region. Achten Sie darauf, in allen Failover-Regionen dasselbe AWS-Konto für die Erstellung des Verbindungsalias zu verwenden.

(Optional) Schritt 2: Teilen eines Verbindungsalias mit einem anderen Konto

Sie können einen Verbindungsalias für ein anderes AWS-Konto in derselben AWS-Region freigeben. Bei Freigabe eines Verbindungsalias für ein anderes Konto kann dieses Konto nur dann den Alias einem seiner Verzeichnisse zuordnen oder eine Zuordnung aufheben, wenn es sich in derselben Region befindet. Nur das Konto, das den Verbindungsalias besitzt, kann den Alias löschen.

Anmerkung

Ein Verbindungsalias kann nur einem Verzeichnis pro AWS-Region zugeordnet werden. Wenn Sie einen Verbindungsalias für ein anderes AWS-Konto freigeben, kann der Alias nur von einem Konto (Ihrem Konto oder dem freigegebenen Konto) einem Verzeichnis in dieser Region zugeordnet werden.

So teilen Sie einen Verbindungsalias mit einem anderen AWS-Konto
  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie oben rechts in der Konsole die AWS-Region aus, in der Sie den Verbindungsalias für ein anderes AWS-Konto teilen möchten.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Aktionen, Verbindungsalias freigeben/Freigabe aufheben aus.

    Sie können einen Alias auch auf der Detailseite des Verbindungsalias teilen. Wählen Sie dazu unter Freigegebenes Konto die Option Verbindungsalias freigeben aus.

  5. Geben Sie auf der Seite Verbindungsalias freigeben/Freigabe aufheben unter Für ein Konto freigeben die AWS-Konto-ID ein, mit der Sie Ihren Verbindungsalias in dieser Region teilen möchten. AWS

  6. Wählen Sie Freigeben.

Schritt 3: Verknüpfen von Verbindungsaliasen mit Verzeichnissen in jeder Region

Wenn Sie denselben Verbindungsalias einem WorkSpaces Verzeichnis in zwei oder mehr Regionen zuordnen, wird ein Zuordnungspaar zwischen den Verzeichnissen erstellt. Jedes Zuordnungspaar verfügt über eine primäre Region und eine oder mehrere Failover-Regionen.

Wenn Ihre primäre Region beispielsweise die Region USA West (Oregon) ist, können Sie Ihr WorkSpaces Verzeichnis in der Region USA West (Oregon) mit einem WorkSpaces Verzeichnis in der Region USA Ost (Nord-Virginia) verbinden. Wenn in der primären Region ein Ausfall auftritt, funktioniert die regionsübergreifende Umleitung in Verbindung mit Ihren DNS-Failover-Routing-Richtlinien und allen Zustandsprüfungen, die Sie in der Region USA West (Oregon) eingerichtet haben, um Ihre Benutzer an die umzuleiten, die WorkSpaces Sie für sie in der Region USA Ost (Nord-Virginia) eingerichtet haben. Weitere Informationen zu regionsübergreifenden Umleitungen finden Sie unter Was passiert bei der regionsübergreifenden Umleitung?.

Anmerkung

Wenn sich Ihre WorkSpaces Benutzer in einer erheblichen Entfernung von der Failover-Region befinden (z. B. Tausende von Kilometern entfernt), reagiert ihre WorkSpaces Erfahrung möglicherweise weniger als gewöhnlich. Um die Round-Trip-Zeit (RTT) zu den verschiedenen -AWSRegionen von Ihrem Standort aus zu überprüfen, verwenden Sie die Zustandsprüfung von Amazon WorkSpaces Connection .

So ordnen Sie einem Verzeichnis einen Verbindungsalias zu

Sie können nur einem Verzeichnis pro AWS-Region einen Verbindungsalias zuordnen. Wenn Sie einen Verbindungsalias für ein anderes AWS-Konto freigegeben haben, kann der Alias nur über ein Konto (Ihr Konto oder das freigegebene Konto) einem Verzeichnis in dieser Region zugeordnet werden.

  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die primäre AWS Region für Ihre aus WorkSpaces.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Aktionen, Zuordnen/trennen aus.

    Sie können die Zuordnung eines Verbindungsalias zu einem Verzeichnis auch auf der Detailseite eines Verbindungsalias durchführen. Wählen Sie dazu unter Zugeordnetes Verzeichnis die Option Verzeichnis zuordnen aus.

  5. Wählen Sie auf der Seite Zuordnen/trennen unter Einem Verzeichnis zuordnen das Verzeichnis aus, dem Sie Ihren Verbindungsalias in dieser AWS-Region zuordnen möchten.

    Anmerkung

    Wenn Sie Ihr Verzeichnis in AWS Managed Microsoft AD für die Replikation in mehreren Regionen konfigurieren, kann nur das Verzeichnis in der primären Region mit Amazon verwendet werden WorkSpaces. Versuche, das Verzeichnis in einer replizierten Region mit Amazon zu verwenden WorkSpaces , schlagen fehl. Die Multi-Region-Replikation mit AWS Managed Microsoft AD wird für die Verwendung mit Amazon WorkSpaces in replizierten Regionen nicht unterstützt.

  6. Wählen Sie Associate aus.

  7. Wiederholen Sie diese Schritte, aber stellen Sie sicherSchritt 2, dass Sie in die Failover-Region für Ihr auswählen WorkSpaces. Wenn Sie über mehr als eine Failover-Region verfügen, wiederholen Sie diese Schritte für jede Failover-Region. Stellen Sie sicher, dass Sie in jeder Failover-Region denselben Verbindungsalias einem Verzeichnis zuordnen.

Schritt 4: Konfigurieren Ihres DNS-Service und Einrichten von DNS-Routing-Richtlinien

Nachdem Sie Ihre Verbindungsaliase und Ihre Verbindungsalias-Zuordnungspaare erstellt haben, können Sie den DNS-Service für die Domain konfigurieren, die Sie in Ihren Verbindungszeichenfolgen verwendet haben. Zu diesem Zweck können Sie einen beliebigen DNS-Service-Anbieter verwenden. Wenn Sie noch keinen bevorzugten DNS-Service-Anbieter haben, können Sie Amazon Route 53 verwenden. Weitere Informationen finden Sie unter Konfigurieren von Amazon Route 53 als DNS-Service im Entwicklerhandbuch für Amazon Route 53.

Nachdem Sie den DNS-Service für Ihre Domain konfiguriert haben, müssen Sie die DNS-Routing-Richtlinien einrichten, die Sie für die regionsübergreifende Umleitung verwenden möchten. Sie können beispielsweise Amazon Route 53-Zustandsprüfungen verwenden, um festzustellen, ob Ihre Benutzer eine Verbindung zu ihren WorkSpaces in einer bestimmten Region herstellen können. Wenn Ihre Benutzer keine Verbindung herstellen können, können Sie eine DNS-Failover-Richtlinie verwenden, um Ihren DNS-Datenverkehr von einer Region in eine andere weiterzuleiten.

Informationen zu DNS-Routing-Richtlinien finden Sie unter Auswahl einer Routing-Richtlinie im Amazon-Route-53-Entwicklerhandbuch. Weitere Informationen zu Amazon-Route 53-Zustandsprüfungen finden Sie unter So überprüft Amazon Route 53 den Zustand Ihrer Ressourcen im Amazon-Route-53-Entwicklerhandbuch.

Wenn Sie Ihre DNS-Routing-Richtlinien einrichten, benötigen Sie die Verbindungskennung für die Zuordnung zwischen dem Verbindungsalias und dem WorkSpaces Verzeichnis in der primären Region. Sie benötigen auch die Verbindungskennung für die Zuordnung zwischen dem Verbindungsalias und dem WorkSpaces Verzeichnis in Ihrer Failover-Region oder Ihren Regionen.

Anmerkung

Die Verbindungs-ID ist nicht identisch mit der Alias-ID der Verbindung. Die Alias-ID der Verbindung beginnt mit wsca-.

So finden Sie die Verbindungs-ID für eine Verbindung mit einem Verbindungsalias
  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die primäre AWS Region für Ihre aus WorkSpaces.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen den Text der Verbindungszeichenfolge (den FQDN) aus, um die Seite mit den Verbindungsaliasdetails anzuzeigen.

  5. Notieren Sie sich auf der Detailseite für Ihren Verbindungsalias unter Zugeordnetes Verzeichnis den Wert, der für Verbindungs-ID angezeigt wird.

  6. Wiederholen Sie diese Schritte, aber stellen Sie sicherSchritt 2, dass Sie in die Failover-Region für Ihr auswählen WorkSpaces. Wenn Sie über mehr als eine Failover-Region verfügen, wiederholen Sie die Schritte zur Suche der Verbindungs-ID für jede Failover-Region.

Beispiel: So richten Sie eine DNS-Failover-Routing-Richtlinie mithilfe von Route 53 ein

Im folgenden Beispiel wird eine öffentlich gehostete Zone für Ihre Domain eingerichtet. Sie können jedoch eine öffentlich oder privat gehostete Zone einrichten. Weitere Informationen über private gehostete Zonen finden Sie unter Arbeiten mit gehosteten Zonen im Amazon-Route-53-Entwicklerhandbuch.

In diesem Beispiel wird auch eine Failover-Routing-Richtlinie verwendet. Sie können andere Routing-Richtlinientypen für Ihre regionsübergreifende Umleitungsstrategie verwenden. Informationen zu DNS-Routing-Richtlinien finden Sie unter Auswahl einer Routing-Richtlinie im Amazon-Route-53-Entwicklerhandbuch.

Wenn Sie eine Failover-Routing-Richtlinie in Route 53 einrichten, ist eine Zustandsprüfung für die primäre Region erforderlich. Weitere Informationen zum Erstellen einer Zustandsprüfung in Route 53 finden Sie unter Erstellen von Amazon-Route-53-Zustandsprüfungen und Konfigurieren von DNS-Failover und Erstellen, Aktualisieren und Löschen von Zustandsprüfungen im Amazon-Route-53-Entwicklerhandbuch.

Wenn Sie einen Amazon- CloudWatch Alarm mit Ihrer Route 53-Zustandsprüfung verwenden möchten, müssen Sie auch einen CloudWatch Alarm einrichten, um die Ressourcen in Ihrer primären Region zu überwachen. Weitere Informationen zu CloudWatchfinden Sie unter Was ist Amazon CloudWatch? im Amazon- CloudWatch Benutzerhandbuch. Weitere Informationen darüber, wie Route 53 CloudWatch Alarme in seinen Zustandsprüfungen verwendet, finden Sie unter Wie Route 53 den Status von Zustandsprüfungen bestimmt, die CloudWatch Alarme überwachen, und Überwachen eines CloudWatch Alarms im Amazon-Route-53-Entwicklerhandbuch.

Sie müssen zunächst eine gehostete Zone für Ihre Domain erstellen, um eine DNS-Failover-Routing-Richtlinie in Route 53 einzurichten.

  1. Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich Gehostete Zonen aus und wählen Sie dann Gehostete Zone erstellen aus.

  3. Geben Sie auf der Seite Gehostete Zone erstellen unter Domainname Ihren Domainnamen (z. B.example.com) ein.

  4. Wählen Sie unter Typ die Option Öffentliche gehostete Zone aus.

  5. Wählen Sie Erstellte gehostete Zone.

Erstellen Sie dann eine Zustandsprüfung für Ihre primäre Region.

  1. Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich Zustandsprüfungen und dann Zustandsprüfung erstellen aus.

  3. Geben Sie auf der Seite Zustandsprüfung konfigurieren einen Namen für Ihre Zustandsprüfung ein.

  4. Wählen Sie für Was überwacht werden soll entweder Endpunkt , Status anderer Zustandsprüfungen (berechnete Zustandsprüfung) oder CloudWatch Alarmzustand aus.

  5. Abhängig davon, was Sie im vorherigen Schritt ausgewählt haben, konfigurieren Sie Ihre Zustandsprüfung und wählen Sie dann Weiter aus.

  6. Wählen Sie auf der Seite Benachrichtigen, wenn die Zustandsprüfung fehlschlägt, für Alarm erstellen die Option Ja oder Nein aus.

  7. Wählen Sie Zustandsprüfung erstellen aus.

Nachdem Sie Ihre Zustandsprüfung erstellt haben, können Sie die DNS-Failover-Datensätze erstellen.

  1. Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Klicken Sie im Navigationsbereich auf Hosted Zones (Gehostete Zonen).

  3. Wählen Sie auf der Seite Gehostete Zonen Ihren Domainnamen aus.

  4. Wählen Sie auf der Detailseite für Ihren Domainnamen die Option Datensatz erstellen aus.

  5. Wählen Sie auf der Seite Routing-Richtlinie auswählen die Option Failover und dann Weiter aus.

  6. Geben Sie auf der Seite Datensätze konfigurieren unter Basiskonfiguration für Datensatzname Ihren Subdomain-Name ein. Wenn Ihr FQDN desktop.example.com lautet, geben Sie beispielsweise desktop ein.

    Anmerkung

    Wenn Sie die Root-Domain verwenden möchten, lassen Sie das Feld Datensatzname leer. Wir empfehlen jedoch, eine Subdomäne wie desktop oder zu verwenden, es sei dennworkspaces, Sie haben die Domäne ausschließlich für die Verwendung mit Ihrem eingerichtet WorkSpaces.

  7. Wählen Sie als Datensatztyp die Option TXT – Wird zur Verifizierung von E-Mail-Absendern und für anwendungsspezifische Werte verwendet aus.

  8. Belassen Sie die TTL-Sekunden-Einstellungen auf der Standardeinstellung.

  9. Wählen Sie unter Zu your_domain_name hinzuzufügende Failover-Datensätze die Option Failover-Datensatz definieren aus.

Jetzt müssen Sie die Failover-Datensätze für Ihre primären Regionen und Ihre Failover-Regionen einrichten.

Beispiel: So richten Sie den Failover-Datensatz für Ihre primäre Region ein
  1. Wählen Sie im Dialogfeld Failover-Datensatz definieren für Wert/Traffic weiterleiten an IP-Adresse oder einen anderen Wert, je nach Datensatztyp aus.

  2. Es wird ein Feld geöffnet, in das Sie Ihre Beispieltexteinträge eingeben können. Geben Sie die Verbindungs-ID für die Verbindungsaliaszuordnung für Ihre primäre Region ein.

  3. Wählen Sie für Failover-Datensatztyp die Option Primär.

  4. Wählen Sie für Zustandsprüfung eine Zustandsprüfung aus, die Sie für Ihre primäre Region erstellt haben.

  5. Geben Sie unter Datensatz-ID eine Beschreibung ein, um diesen Datensatz zu identifizieren.

  6. Wählen Sie Failover-Datensatz definieren aus. Ihr neuer Failover-Datensatz wird unter Zu your_domain_name hinzuzufügende Failover-Datensätze angezeigt.

Beispiel: So richten Sie den Failover-Datensatz für Ihre Failover-Region ein
  1. Wählen Sie unter Zu your_domain_name hinzuzufügende Failover-Datensätze die Option Failover-Datensatz definieren aus.

  2. Wählen Sie im Dialogfeld Failover-Datensatz definieren für Wert/Traffic weiterleiten an IP-Adresse oder einen anderen Wert, je nach Datensatztyp aus.

  3. Es wird ein Feld geöffnet, in das Sie Ihre Beispieltexteinträge eingeben können. Geben Sie die Verbindungs-ID für die Verbindungsaliaszuordnung für Ihre Failover-Region ein.

  4. Wählen Sie für Failover-Datensatztyp die Option Sekundär aus.

  5. (Optional) Geben Sie für Zustandsprüfung eine Zustandsprüfung ein, die Sie für Ihre Failover-Region erstellt haben.

  6. Geben Sie unter Datensatz-ID eine Beschreibung ein, um diesen Datensatz zu identifizieren.

  7. Wählen Sie Failover-Datensatz definieren aus. Ihr neuer Failover-Datensatz wird unter Zu your_domain_name hinzuzufügende Failover-Datensätze angezeigt.

Wenn die Zustandsprüfung, die Sie für Ihre primäre Region eingerichtet haben, fehlschlägt, leitet Ihre DNS-Failover-Routing-Richtlinie Ihre WorkSpaces Benutzer an Ihre Failover-Region weiter. Route 53 überwacht weiterhin die Zustandsprüfung für Ihre primäre Region. Wenn die Zustandsprüfung für Ihre primäre Region nicht mehr fehlschlägt, leitet Route 53 Ihre WorkSpaces Benutzer automatisch zurück zu ihrem WorkSpaces in der primären Region.

Weitere Informationen zum Erstellen von DNS-Datensätzen finden Sie unter Erstellen von Datensätzen mithilfe der Amazon-Route-53-Konsole im Amazon-Route-53-Entwicklerhandbuch. Weitere Informationen über die Konfiguration von DNS-TXT-Datensätzen finden Sie unter TXT-Datensatztyp im Amazon-Route-53-Entwicklerhandbuch.

Schritt 5: Senden der Verbindungszeichenfolge an Ihre WorkSpaces Benutzer

Um sicherzustellen, dass der Ihrer Benutzer bei einem Ausfall nach Bedarf umgeleitet WorkSpaces wird, müssen Sie die Verbindungszeichenfolge (FQDN) an Ihre Benutzer senden. Wenn Sie Ihren WorkSpaces Benutzern bereits regionsbasierte Registrierungscodes (z. B. WSpdx+ABC12D) ausgestellt haben, bleiben diese Codes gültig. Damit die regionsübergreifende Umleitung jedoch funktioniert, müssen Ihre WorkSpaces Benutzer die Verbindungszeichenfolge als Registrierungscode verwenden, wenn sie ihre WorkSpaces in der WorkSpaces Clientanwendung registrieren.

Wichtig

Wenn Sie Ihre Benutzer in der WorkSpaces Konsole erstellen, anstatt sie in Active Directory zu erstellen, WorkSpaces sendet automatisch eine Einladungs-E-Mail mit einem regionsbasierten Registrierungscode (z. B. WSpdx+ABC12D), wenn Sie ein neues starten WorkSpace. Auch wenn Sie bereits eine regionsübergreifende Umleitung eingerichtet haben, WorkSpaces enthält die Einladungs-E-Mail, die automatisch für neue gesendet wird, diesen regionsbasierten Registrierungscode anstelle Ihrer Verbindungszeichenfolge.

Um sicherzustellen, dass Ihre WorkSpaces Benutzer die Verbindungszeichenfolge anstelle des regionsbasierten Registrierungscodes verwenden, müssen Sie ihnen mithilfe des folgenden Verfahrens eine weitere E-Mail mit der Verbindungszeichenfolge senden.

So senden Sie die Verbindungszeichenfolge an Ihre WorkSpaces Benutzer
  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die primäre AWS Region für Ihre aus WorkSpaces.

  3. Wählen Sie im Navigationsbereich aus WorkSpaces.

  4. Verwenden Sie auf der WorkSpaces Seite das Suchfeld, um nach einem Benutzer zu suchen, an den Sie eine Einladung senden möchten, und wählen Sie dann das entsprechende WorkSpace aus den Suchergebnissen aus. Sie können WorkSpace jeweils nur einen auswählen.

  5. Wählen Sie Actions (Aktionen), Invite User (Benutzer einladen).

  6. Auf der Seite Benutzer zu ihren einladen WorkSpaces sehen Sie eine E-Mail-Vorlage, die Sie an Ihre Benutzer senden können.

  7. (Optional) Wenn Ihrem WorkSpaces Verzeichnis mehr als ein Verbindungsalias zugeordnet ist, wählen Sie die Verbindungszeichenfolge aus, die Ihre Benutzer verwenden sollen, aus der Liste Verbindungsaliaszeichenfolge aus. Die E-Mail-Vorlage wird aktualisiert und zeigt nun die von Ihnen gewählte Zeichenfolge an.

  8. Kopieren Sie den E-Mail-Vorlagentext und fügen Sie ihn in Ihrer eigenen E-Mail-Anwendung in eine E-Mail an die Benutzer ein. In Ihrer E-Mail-Anwendung können Sie den Text nach Bedarf ändern. Wenn die Einladungs-E-Mail fertig ist, senden Sie sie an die Benutzer.

Diagramm der regionsübergreifenden Umleitungsarchitektur

Das folgende Diagramm beschreibt den Bereitstellungsprozess der regionsübergreifenden Umleitung.


                Regionsübergreifende Umleitung
Anmerkung

Die regionsübergreifende Umleitung erleichtert nur regionsübergreifendes Failover und Fallback. Es erleichtert nicht das Erstellen und Verwalten WorkSpaces in der sekundären Region und erlaubt keine regionsübergreifende Datenreplikation. WorkSpaces sowohl in der primären als auch in der sekundären Region sollten separat verwaltet werden.

Initiieren einer regionsübergreifenden Umleitung

Im Falle eines Ausfalls können Sie die DNS-Datensätze entweder manuell aktualisieren oder automatisierte Routing-Richtlinien basierend auf Zustandsprüfungen verwenden, die die Failover-Region bestimmen. Wir empfehlen, die Notfallwiederherstellungsmechanismen zu befolgen, die unter Erstellen von Notfallwiederherstellungsmechanismen mit Amazon Route 53 beschrieben sind.

Was passiert bei der regionsübergreifenden Umleitung?

Während des Regions-Failovers werden Ihre WorkSpaces Benutzer von ihrem WorkSpaces in der primären Region getrennt. Beim Versuch, die Verbindung wiederherzustellen, erhalten sie die folgende Fehlermeldung:

We can't connect to your WorkSpace. Check your network connection, and then try again.

Ihre Benutzer werden dann aufgefordert, sich erneut anzumelden. Wenn sie den FQDN als Registrierungscode verwenden, leiten Ihre DNS-Failover-Routing-Richtlinien sie an die weiter, WorkSpaces die Sie für sie in der Failover-Region eingerichtet haben.

Anmerkung

In einigen Fällen können Benutzer möglicherweise keine erneute Verbindung herstellen, wenn sie sich erneut anmelden. Wenn dieses Verhalten auftritt, müssen sie die WorkSpaces Client-Anwendung schließen und neu starten und dann erneut versuchen, sich anzumelden.

Trennen der Zuordnung eines Verbindungsalias zu einem Verzeichnis

Nur das Konto, dem ein Verzeichnis gehört, kann die Zuordnung eines Verbindungsalias zu dem Verzeichnis aufheben.

Wenn Sie einen Verbindungsalias für ein anderes Konto verwendet haben und dieses Konto den Verbindungsalias einem seiner Verzeichnisse zugeordnet hat, müssen Sie über dieses Konto die Zuordnung des Verbindungsalias zum Verzeichnis aufheben.

So trennen Sie die Zuordnung eines Verbindungsalias zu einem Verzeichnis
  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie oben rechts in der Konsole die AWS-Region aus, die den Verbindungsalias enthält, dessen Zuordnung Sie aufheben möchten.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Aktionen, Zuordnen/trennen aus.

    Sie können einen Verbindungsalias auch über die Seite mit den Verbindungsaliasdetails trennen. Wählen Sie dazu unter Zugeordnetes Verzeichnis die Option Zuordnung aufheben aus.

  5. Wählen Sie auf der Seite Zuordnen/Zuordnung aufheben die Option Zuordnung aufheben aus.

  6. Wählen Sie in dem Dialogfeld, in dem Sie aufgefordert werden, die Trennung zu bestätigen, die Option Zuordnung aufheben aus.

Freigeben eines Verbindungsalias rückgängig machen

Nur der Besitzer eines Verbindungsalias kann die gemeinsame Nutzung des Alias rückgängig machen. Wenn Sie die gemeinsame Nutzung eines Verbindungsalias mit einem Konto aufheben, kann dieses Konto den Verbindungsalias nicht mehr einem Verzeichnis zuordnen.

So machen Sie das Freigeben eines Verbindungsalias rückgängig
  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie oben rechts in der Konsole die AWS-Region aus, die den Verbindungsalias enthält, dessen Freigabe Sie aufheben möchten.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Aktionen, Verbindungsalias freigeben/Freigabe aufheben aus.

    Sie können die Freigabe eines Verbindungsalias auch über die Seite mit den Verbindungsaliasdetails aufheben. Wählen Sie dazu unter Freigegebenes Konto die Option Freigabe aufheben aus.

  5. Wählen Sie auf der Seite Verbindungsalias freigeben/Freigabe aufheben die Option Freigabe aufheben aus.

  6. Wählen Sie in dem Dialogfeld, in dem Sie aufgefordert werden, das Aufheben der Freigabe des Verbindungsalias zu bestätigen, die Option Freigabe aufheben aus.

Löschen eines Verbindungsalias

Sie können einen Verbindungsalias nur löschen, wenn er Ihrem Konto gehört und wenn er keinem Verzeichnis zugeordnet ist.

Wenn Sie einen Verbindungsalias für ein anderes Konto verwendet haben und dieses Konto den Verbindungsalias einem seiner Verzeichnisse zugeordnet hat, müssen Sie über dieses Konto die Zuordnung des Verbindungsalias zum Verzeichnis aufheben, bevor Sie den Alias löschen können.

Wichtig

Nachdem Sie eine Verbindungszeichenfolge erstellt haben, ist diese immer Ihrem AWS-Konto zugeordnet. Eine Verbindungszeichenfolge kann nicht mit einem anderen Konto erneut erstellt werden, selbst wenn Sie alle Instances aus dem ursprünglichen Konto gelöscht haben. Die Verbindungszeichenfolge ist global für Ihr Konto reserviert.

Warnung

Wenn Sie keinen FQDN mehr als Registrierungscode für Ihre WorkSpaces Benutzer verwenden, müssen Sie bestimmte Maßnahmen ergreifen, um potenzielle Sicherheitsprobleme zu vermeiden. Weitere Informationen finden Sie unter Sicherheitsüberlegungen beim Beenden der Verwendung der regionsübergreifenden Umleitung.

So löschen Sie einen Verbindungsalias
  1. Öffnen Sie die - WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie oben rechts in der Konsole die AWS-Region aus, die den Verbindungsalias enthält, den Sie löschen möchten.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Löschen aus.

    Sie können das Löschen eines Verbindungsalias auch über die Seite mit den Verbindungsaliasdetails durchführen. Wählen Sie oben rechts auf der Seite Löschen aus.

    Anmerkung

    Wenn die Schaltfläche Löschen deaktiviert ist, stellen Sie sicher, dass Sie der Besitzer des Alias sind und dass der Alias keinem Verzeichnis zugeordnet ist.

  5. Wählen Sie im Löschdialogfeld die Option Löschen aus, um das Löschen zu bestätigen.

IAM-Berechtigungen für das Zuordnen und Trennen eines Verbindungsalias

Wenn Sie einen IAM-Benutzer verwenden, um Verbindungsaliase zuzuordnen oder zu trennen, muss der Benutzer über Berechtigungen für workspaces:AssociateConnectionAlias und workspaces:DisassociateConnectionAlias verfügen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg" ] } ] }
Wichtig

Wenn Sie eine IAM-Richtlinie zum Zuordnen oder Trennen von eines Verbindungsalias für Konten erstellen, denen die Verbindungsaliase nicht gehören, können Sie im ARN keine Konto-ID angeben. Stattdessen müssen Sie * für die Konto-ID verwenden, wie in der folgenden Beispielrichtlinie gezeigt.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "workspaces:AssociateConnectionAlias", "workspaces:DisassociateConnectionAlias" ], "Resource": [ "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg" ] } ] }

Sie können im ARN nur dann eine Konto-ID angeben, wenn dieses Konto den Verbindungsalias besitzt, der zugeordnet oder getrennt werden soll.

Weitere Informationen zur Arbeit mit IAM finden Sie unter Identitäts- und Zugriffsverwaltung für WorkSpaces.

Sicherheitsüberlegungen beim Beenden der Verwendung der regionsübergreifenden Umleitung

Wenn Sie keinen FQDN mehr als Registrierungscode für Ihre WorkSpaces Benutzer verwenden, müssen Sie die folgenden Maßnahmen treffen, um potenzielle Sicherheitsprobleme zu vermeiden:

  • Stellen Sie sicher, dass Sie Ihren WorkSpaces Benutzern den regionsspezifischen Registrierungscode (z. B. WSpdx+ABC12D) für ihr WorkSpaces Verzeichnis ausstellen, und weisen Sie sie an, den FQDN nicht mehr als ihren Registrierungscode zu verwenden.

  • Wenn Sie diese Domain immer noch besitzen, aktualisieren Sie unbedingt Ihren DNS-TXT-Datensatz, um diese Domain zu entfernen, sodass sie nicht bei einem Phishing-Angriff ausgenutzt werden kann. Wenn Sie diese Domain aus Ihrem DNS-TXT-Datensatz entfernen und Ihre WorkSpaces Benutzer versuchen, den FQDN als ihren Registrierungscode zu verwenden, schlagen ihre Verbindungsversuche primär fehl.

  • Wenn Sie diese Domain nicht mehr besitzen, müssen Ihre WorkSpaces Benutzer ihren regionsspezifischen Registrierungscode verwenden. Wenn sie weiterhin versuchen, den FQDN als ihren Registrierungscode zu verwenden, könnten ihre Verbindungsversuche möglicherweise auf eine schädliche Website umgeleitet werden.