Prerequisiti - Studio di ricerca e ingegneria
Crea un messaggio Account AWS con un utente amministrativoCrea una coppia di EC2 SSH chiavi AmazonAumenta le quote di servizioCrea un dominio pubblico (opzionale)Crea dominio (GovCloud solo)Fornire risorse esterneConfigura LDAPS nel tuo ambiente (opzionale)Configura un privato VPC (opzionale)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Prerequisiti

Crea un messaggio Account AWS con un utente amministrativo

Devi avere un account Account AWS con un utente amministrativo:

  1. Apri la https://portal.aws.amazon.com/billing/registrazione.

  2. Segui le istruzioni online.

    Nel corso della procedura di registrazione riceverai una telefonata, durante la quale sarà necessario inserire un codice di verifica attraverso la tastiera del telefono.

    Quando ti iscrivi a un Account AWS, Utente root dell'account AWSviene creato un. L'utente root dispone dell'accesso a tutte le risorse e tutti i Servizi AWS nell'account. Come best practice di sicurezza, assegna l'accesso amministrativo a un utente e utilizza solo l'utente root per eseguire attività che richiedono l'accesso di un utente root.

Crea una coppia di EC2 SSH chiavi Amazon

Se non disponi di Amazon EC2 SSH key pair, dovrai crearne una. Per ulteriori informazioni, consulta Create a key pair using Amazon EC2 nella Amazon EC2 User Guide.

Aumenta le quote di servizio

Consigliamo di aumentare le quote di servizio per:

  • Amazon VPC

    • Aumenta la quota di indirizzi IP elastici per NAT gateway da cinque a otto.

    • Aumenta il numero di NAT gateway per zona di disponibilità da cinque a dieci.

  • Amazon EC2

    • Aumenta l'EC2VPCelastico IPs da cinque a dieci

Il tuo AWS account ha delle quote predefinite, precedentemente denominate limiti, per ogni servizio. AWS Salvo diversa indicazione, ogni quota si applica a una regione specifica. Se per alcune quote è possibile richiedere aumenti, altre quote non possono essere modificate. Per ulteriori informazioni, consulta Quote per i AWS servizi di questo prodotto.

Crea un dominio pubblico (opzionale)

Ti consigliamo di utilizzare un dominio personalizzato per il prodotto in modo da avere un dominio intuitivoURL. Dovrai registrare un dominio utilizzando Amazon Route 53 o un altro provider e importare un certificato per il dominio che utilizza AWS Certificate Manager. Se disponi già di un dominio pubblico e di un certificato, puoi saltare questo passaggio.

  1. Segui le istruzioni per registrare un dominio con Route53. Dovresti ricevere un'email di conferma.

  2. Recupera la zona ospitata per il tuo dominio. Questa viene creata automaticamente da Route53.

    1. Apri la console Route53.

    2. Scegli Zone ospitate dalla barra di navigazione a sinistra.

    3. Apri la zona ospitata creata per il tuo nome di dominio e copia l'ID della zona ospitata.

  3. Apri AWS Certificate Manager e segui questi passaggi per richiedere un certificato di dominio. Assicurati di trovarti nella regione in cui intendi implementare la soluzione.

  4. Scegli Elenca certificati dalla navigazione e trova la tua richiesta di certificato. La richiesta dovrebbe essere in sospeso.

  5. Scegli l'ID del certificato per aprire la richiesta.

  6. Dalla sezione Domini, scegli Crea record in Route53. L'elaborazione della richiesta richiederà circa dieci minuti.

  7. Una volta emesso il certificato, copialo ARNdalla sezione Stato del certificato.

Crea dominio (GovCloud solo)

Se esegui la distribuzione nella regione AWS GovCloud (Stati Uniti occidentali) e utilizzi un dominio personalizzato per Research and Engineering Studio, dovrai completare questi passaggi preliminari.

  1. Implementa lo AWS CloudFormation stack di certificati nell' AWS account della partizione commerciale in cui è stato creato il dominio ospitato pubblico.

  2. Dai Certificate CloudFormation Outputs, trova e annota il simbolo e. CertificateARN PrivateKeySecretARN

  3. Nell'account della GovCloud partizione, crea un segreto con il valore dell'CertificateARNoutput. Annota il nuovo segreto ARN e aggiungi due tag al segreto in modo da vdc-gateway poter accedere al valore segreto:

    1. res: ModuleName = virtual-desktop-controller

    2. res: EnvironmentName = [nome dell'ambiente] (potrebbe essere res-demo.)

  4. Nell'account della GovCloud partizione, crea un segreto con il valore dell'output. PrivateKeySecretArn Annota il nuovo segreto ARN e aggiungi due tag al segreto in modo da vdc-gateway poter accedere al valore segreto:

    1. res: ModuleName = virtual-desktop-controller

    2. res: EnvironmentName = [nome dell'ambiente] (potrebbe essere res-demo.)

Fornisci risorse esterne

Research and Engineering Studio on AWS prevede che al momento dell'implementazione siano disponibili le seguenti risorse esterne.

  • Rete (VPCsottoreti pubbliche e sottoreti private)

    Qui verranno eseguite EC2 le istanze utilizzate per ospitare l'RESambiente, Active Directory (AD) e lo storage condiviso.

  • Archiviazione (AmazonEFS)

    I volumi di storage contengono i file e i dati necessari per l'infrastruttura desktop virtuale (VDI).

  • Servizio di directory (AWS Directory Service for Microsoft Active Directory)

    Il servizio di directory autentica gli utenti nell'RESambiente.

  • Un segreto che contiene la password dell'account del servizio

    Research and Engineering Studio accede ai segreti forniti dall'utente, inclusa la password dell'account del servizio, utilizzando AWS Secrets Manager.

Suggerimento

Se stai implementando un ambiente demo e non disponi di queste risorse esterne, puoi utilizzare le ricette AWS High Performance Compute per generare le risorse esterne. Consulta la sezione seguente per distribuire Crea risorse esterne le risorse nel tuo account.

Per le distribuzioni dimostrative nella regione AWS GovCloud (Stati Uniti occidentali), dovrai completare i passaggi preliminari indicati in. Crea dominio (GovCloud solo)

Configura LDAPS nel tuo ambiente (opzionale)

Se si prevede di utilizzare la LDAPS comunicazione nel proprio ambiente, è necessario completare questi passaggi per creare e allegare certificati al controller di dominio AWS Managed Microsoft AD (AD) per fornire la comunicazione tra AD eRES.

  1. Segui i passaggi forniti in Come abilitare il lato server LDAPS per il tuo. AWS Managed Microsoft AD Puoi saltare questo passaggio se lo hai già abilitato. LDAPS

  2. Dopo aver verificato che LDAPS sia configurato sull'AD, esporta il certificato AD:

    1. Vai al tuo server Active Directory.

    2. Apri PowerShell come amministratore.

    3. Esegui certmgr.msc per aprire l'elenco dei certificati.

    4. Apri l'elenco dei certificati aprendo prima Trusted Root Certification Authorities e poi Certificati.

    5. Seleziona e tieni premuto (o fai clic con il pulsante destro del mouse) sul certificato con lo stesso nome del server AD e scegli Tutte le attività, quindi Esporta.

    6. Seleziona X.509 con codifica Base-64 (. CER) e scegliete Avanti.

    7. Seleziona una directory, quindi scegli Avanti.

  3. Crea un segreto in AWS Secrets Manager:

    Quando crei il tuo segreto in Secrets Manager, scegli Altro tipo di segreti in Tipo segreto e incolla il certificato PEM codificato nel campo Testo normale.

  4. Annota il file ARN creato e inseriscilo come parametro in. DomainTLSCertificateSecretARN Fase 1: Avviare il prodotto

Configura un account privato VPC (opzionale)

L'implementazione di Research and Engineering Studio in un ambiente isolato VPC offre una maggiore sicurezza per soddisfare i requisiti di conformità e governance dell'organizzazione. Tuttavia, l'RESimplementazione standard si basa sull'accesso a Internet per l'installazione delle dipendenze. Per eseguire l'installazione RES in modalità privataVPC, è necessario soddisfare i seguenti prerequisiti:

Preparare le immagini delle macchine Amazon (AMIs)

  1. Scarica le dipendenze. Per essere implementata in un ambiente isolatoVPC, l'RESinfrastruttura richiede la disponibilità di dipendenze senza l'accesso pubblico a Internet.

  2. Crea un IAM ruolo con l'accesso in sola lettura e l'identità affidabile di Amazon S3 come Amazon. EC2

    1. Apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/

    2. Da Ruoli, scegli Crea ruolo.

    3. Nella pagina Seleziona entità attendibile:

      • In Tipo di entità affidabile, scegli Servizio AWS.

      • Per Caso d'uso in Servizio o Caso d'uso, scegli EC2e scegli Avanti.

    4. In Aggiungi autorizzazioni, seleziona le seguenti politiche di autorizzazione, quindi scegli Avanti:

      • Amazon S3 ReadOnlyAccess

      • Un mazonSSMManaged InstanceCore

      • EC2InstanceProfileForImageBuilder

    5. Aggiungi un nome e una descrizione del ruolo, quindi scegli Crea ruolo.

  3. Crea il componente EC2 Image Builder:

    1. Aprire la console EC2 Image Builder all'indirizzo. https://console.aws.amazon.com/imagebuilder

    2. In Risorse salvate, scegliete Componenti e scegliete Crea componente.

    3. Nella pagina Crea componente, inserisci i seguenti dettagli:

      • Per Tipo di componente, scegli Costruisci.

      • Per i dettagli del componente, scegli:

        Parametro Inserimento utente
        Sistema operativo (OS) di immagine Linux
        Versioni del sistema operativo compatibili Amazon Linux 2
        Nome componente Inserisci un nome come: <research-and-engineering-studio-infrastructure>
        Versione del componente Consigliamo di iniziare con 1.0.0.
        Descrizione Inserimento utente opzionale.

    4. Nella pagina Crea componente, scegli Definisci il contenuto del documento.

      1. Prima di inserire il contenuto del documento di definizione, è necessario un file URI per il file tar.gz. Carica il file tar.gz fornito RES da in un bucket Amazon S3 e copia il file URI dalle proprietà del bucket.

      2. Immetti i seguenti dati:

        Nota

        AddEnvironmentVariablesè facoltativo e puoi rimuoverlo se non hai bisogno di variabili di ambiente personalizzate negli host dell'infrastruttura.

        Se si stanno http_proxy configurando variabili di https_proxy ambiente, i no_proxy parametri sono necessari per impedire all'istanza di utilizzare il proxy per interrogare localhost, gli indirizzi IP dei metadati dell'istanza e i servizi che supportano VPC gli endpoint.

        #  Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
#  Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
#  with the License. A copy of the License is located at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
#  or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
#  OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
#  and limitations under the License.
name: research-and-engineering-studio-infrastructure
description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts.
schemaVersion: 1.0

parameters:
  - AWSAccountID:
      type: string
      description: RES Environment AWS Account ID
  - AWSRegion:
      type: string
      description: RES Environment AWS Region
phases:
  - name: build
    steps:
       - name: DownloadRESInstallScripts
         action: S3Download
         onFailure: Abort
         maxAttempts: 3
         inputs:
            - source: '<s3 tar.gz file uri>'
              destination: '/root/bootstrap/res_dependencies/res_dependencies.tar.gz'
              expectedBucketOwner: '{{ AWSAccountID }}'
       - name: RunInstallScript
         action: ExecuteBash
         onFailure: Abort
         maxAttempts: 3
         inputs:
            commands:
                - 'cd /root/bootstrap/res_dependencies'
                - 'tar -xf res_dependencies.tar.gz'
                - 'cd all_dependencies'
                - '/bin/bash install.sh'
       - name: AddEnvironmentVariables
         action: ExecuteBash
         onFailure: Abort
         maxAttempts: 3
         inputs:
            commands:
                - |
                  echo -e "
                  http_proxy=http://<ip>:<port>
                  https_proxy=http://<ip>:<port>
                  no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com
                  " > /etc/environment

    5. Scegli Crea componente.

  4. Crea una ricetta di immagini Image Builder.

    1. Nella pagina Crea ricetta, inserisci quanto segue:

      Sezione Parametro Inserimento utente
      Dettagli della ricetta Nome Immettete un nome appropriato, ad esempio res-recipe-linux-x 86.
      Versione Immettete una versione, che in genere inizia con 1.0.0.
      Descrizione Aggiungi una descrizione opzionale.
      Immagine di base Seleziona l'immagine Seleziona immagini gestite.
      SISTEMA OPERATIVO Amazon Linux
      Origine dell'immagine Avvio rapido (gestito da Amazon)
      Nome dell'immagine Amazon Linux 2 x86
      Opzioni di controllo automatico delle versioni Usa l'ultima versione del sistema operativo disponibile.
      Configurazione dell'istanza Mantieni tutto nelle impostazioni predefinite e assicurati che l'opzione Rimuovi SSM agente dopo l'esecuzione della pipeline non sia selezionata.
      Cartella di lavoro Percorso della directory di lavoro /root/bootstrap/res_dipendenze
      Componenti Costruisci componenti

      Cerca e seleziona quanto segue:

      • Gestito da Amazon: -2-linux aws-cli-version

      • Gestito da Amazon: amazon-cloudwatch-agent-linux

      • Di tua proprietà: EC2 componente Amazon creato in precedenza. Inserisci il tuo Account AWS ID e la tua corrente Regione AWS nei campi.

      Componenti di test

      Cerca e seleziona:

      • Gestito da Amazon: simple-boot-test-linux

    2. Scegli Crea ricetta.

  5. Crea la configurazione dell'infrastruttura Image Builder.

    1. In Risorse salvate, scegli Configurazioni dell'infrastruttura.

    2. Scegli Crea configurazione dell'infrastruttura.

    3. Nella pagina Crea configurazione dell'infrastruttura, inserisci quanto segue:

      Sezione Parametro Inserimento utente
      Generale Nome Immettere un nome appropriato, ad esempio res-infra-linux-x 86.
      Descrizione Aggiungi una descrizione opzionale.
      IAMruolo Seleziona il IAM ruolo creato in precedenza.
      AWS infrastruttura Tipo di istanza Scegli t3.medium.
      VPC, sottorete e gruppi di sicurezza

      Seleziona un'opzione che consenta l'accesso a Internet e al bucket Amazon S3. Se devi creare un gruppo di sicurezza, puoi crearne uno dalla EC2 console Amazon con i seguenti input:

      • VPC: Seleziona lo stesso VPC utilizzato per la configurazione dell'infrastruttura. Questo VPC deve avere accesso a Internet.

      • Regola in entrata:

        • Tipo: SSH

        • Source (Origine): personalizzata

        • CIDRblocco: 0.0.0.0/0

    4. Scegli Crea configurazione dell'infrastruttura.

  6. Crea una nuova pipeline di EC2 Image Builder:

    1. Vai a Image pipelines e scegli Crea pipeline di immagini.

    2. Nella pagina Specificare i dettagli della pipeline, immettete quanto segue e scegliete Avanti:

      • Nome della tubazione e descrizione opzionale

      • Per Pianificazione, imposta un programma o scegli Manuale se desideri avviare il processo di AMI cottura manualmente.

    3. Nella pagina Scegli la ricetta, scegli Usa ricetta esistente e inserisci il nome della ricetta creato in precedenza. Scegli Next (Successivo).

    4. Nella pagina Definisci il processo dell'immagine, seleziona i flussi di lavoro predefiniti e scegli Avanti.

    5. Nella pagina Definisci la configurazione dell'infrastruttura, scegli Usa la configurazione dell'infrastruttura esistente e inserisci il nome della configurazione dell'infrastruttura creata in precedenza. Scegli Next (Successivo).

    6. Nella pagina Definisci le impostazioni di distribuzione, considera quanto segue per le tue selezioni:

      • L'immagine di output deve risiedere nella stessa regione dell'RESambiente distribuito, in modo da poter RES avviare correttamente le istanze host dell'infrastruttura da essa. Utilizzando le impostazioni predefinite del servizio, l'immagine di output verrà creata nella regione in cui viene utilizzato il EC2 servizio Image Builder.

      • Se desideri eseguire la distribuzione RES in più regioni, puoi scegliere Crea nuove impostazioni di distribuzione e aggiungere altre regioni.

    7. Controlla le tue selezioni e scegli Crea pipeline.

  7. Esegui la EC2 pipeline di Image Builder:

    1. Da Image pipelines, trova e seleziona la pipeline che hai creato.

    2. Scegliete Azioni e selezionate Esegui pipeline.

      La pipeline può impiegare da 45 minuti a un'ora per creare un'AMIimmagine.

  8. Annotate l'AMIID del file generato AMI e usatelo come input per il InfrastructureHost AMI parametro inFase 1: Avviare il prodotto.

Configura gli VPC endpoint

Per distribuire RES e avviare desktop virtuali, Servizi AWS richiedi l'accesso alla tua sottorete privata. È necessario configurare gli VPC endpoint per fornire l'accesso richiesto e sarà necessario ripetere questi passaggi per ogni endpoint.

  1. Se gli endpoint non sono stati configurati in precedenza, segui le istruzioni fornite in Accesso e Servizio AWS utilizzo di un endpoint di interfaccia. VPC

  2. Seleziona una sottorete privata in ciascuna delle due zone di disponibilità.

Servizio AWS Nome servizio
Application Auto Scaling com.amazonaws.region.scalabilità automatica delle applicazioni
AWS CloudFormation com.amazonaws.regioncloudformation.
Amazon CloudWatch com.amazonaws.region.monitoraggio
CloudWatch Registri Amazon com.amazonaws.region.registri
Amazon DynamoDB com.amazonaws.region.dynamodb (richiede un endpoint gateway)
Amazon EC2 com.amazonaws.region.ec2
Amazon ECR com.amazonaws.region.ecr.api
com.amazonaws.region.ecr.dkr
Amazon Elastic File System com.amazonaws.region.filesystem elastico
Elastic Load Balancing com.amazonaws.region. bilanciamento elastico del carico
Amazon EventBridge com.amazonaws.region.events
Amazon FSx com.amazonaws.region.fsx
AWS Key Management Service com.amazonaws.regionkms.
Flusso di dati Amazon Kinesis com.amazonaws.region.kinesis-stream
AWS Lambda com.amazonaws.region.lambda
Amazon S3

com.amazonaws.region.s3 (richiede un endpoint gateway creato per impostazione predefinita in.) RES

Sono necessari endpoint di interfaccia Amazon S3 aggiuntivi per il montaggio incrociato di bucket in un ambiente isolato. Vedi Accesso agli endpoint dell'interfaccia Amazon Simple Storage Service.
AWS Secrets Manager com.amazonaws.region. gestore dei segreti
Amazon SES com.amazonaws.region.email-smtp (Non supportato nelle seguenti zone di disponibilità: use-1-az2, use1-az3, use1-az5, usw1-az2, usw2-az4, apne2-az4, cac1-az3 e cac1-az4.)
AWS Security Token Service com.amazonaws.region.sts
Amazon SNS com.amazonaws.region.sns
Amazon SQS com.amazonaws.region.sqs
AWS Systems Manager com.amazonaws.regionmessaggi.ec2
com.amazonaws.region.ssm
com.amazonaws.regionmessaggi.ssm

Connect ai servizi senza VPC endpoint

Per l'integrazione con servizi che non supportano gli VPC endpoint, puoi configurare un server proxy in una sottorete pubblica del tuo. VPC Segui questi passaggi per creare un server proxy con l'accesso minimo necessario per una distribuzione di Research and Engineering Studio utilizzando AWS Identity Center come provider di identità.

  1. Avvia un'istanza Linux nella sottorete pubblica che VPC utilizzerai per la RES distribuzione.

    • Famiglia Linux: Amazon Linux 2 o Amazon Linux 3

    • Architettura: x86

    • Tipo di istanza: t2.micro o versione successiva

    • Gruppo di sicurezza: TCP sulla porta 3128 a partire dalla versione 0.0.0.0/0

  2. Connect all'istanza per configurare un server proxy.

    1. Apri la connessione http.

    2. Consenti la connessione ai seguenti domini da tutte le sottoreti pertinenti:

      • .amazonaws.com (per servizi generici) AWS

      • .amazoncognito.com (per Amazon Cognito)

      • .awsapps.com (per Identity Center)

      • .signin.aws (per Identity Center)

      • . amazonaws-us-gov.com (per Gov Cloud)

    3. Nega tutte le altre connessioni.

    4. Attiva e avvia il server proxy.

    5. Nota PORT su quale server viene ascoltato il proxy.

  3. Configura la tabella di routing per consentire l'accesso al server proxy.

    1. Accedi alla tua VPC console e identifica le tabelle di routing per le sottoreti che utilizzerai per gli host e VDI gli host dell'infrastruttura.

    2. Modifica la tabella di routing per consentire a tutte le connessioni in entrata di accedere all'istanza del server proxy creata nei passaggi precedenti.

    3. Fatelo per le tabelle di routing per tutte le sottoreti (senza accesso a Internet) che userete per Infrastructure/. VDIs

  4. Modifica il gruppo di sicurezza dell'EC2istanza del server proxy e assicurati che consenta le TCP connessioni in entrata PORT sulla quale il server proxy è in ascolto.

Imposta i parametri di VPC distribuzione privata

InFase 1: Avviare il prodotto, è necessario inserire determinati parametri nel AWS CloudFormation modello. Assicurati di impostare i seguenti parametri, come indicato, per eseguire correttamente la distribuzione nel file privato VPC che hai appena configurato.

Parametro Input
InfrastructureHostAMI Utilizza l'AMIID dell'infrastruttura creato inPreparare le immagini delle macchine Amazon (AMIs).
IsLoadBalancerInternetFacing Impostato su false.
LoadBalancerSubnets Scegli sottoreti private senza accesso a Internet.
InfrastructureHostSubnets Scegli sottoreti private senza accesso a Internet.
VdiSubnets Scegli sottoreti private senza accesso a Internet.

ClientIP

 Puoi scegliere di consentire l'accesso VPC CIDR a tutti gli VPC indirizzi IP.