View a markdown version of this page

Criação e streaming a partir de endpoints da VPC de interface - Amazon WorkSpaces
Pré-requisitos e limitaçõesConfigurando o VPC endpoint para streaming WorkSpacesEntendendo os nomes DNS do VPC EndpointRequisitos de rede

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação e streaming a partir de endpoints da VPC de interface

Uma Virtual Private Cloud (VPC) é uma rede virtual na área isolada logicamente na Nuvem Amazon Web Services. Se você usa a Amazon Virtual Private Cloud para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e. WorkSpaces Você pode usar essa conexão para permitir WorkSpaces a comunicação com seus recursos em sua VPC sem passar pela Internet pública.

Os endpoints de interface são alimentados por AWS PrivateLink uma tecnologia que permite manter o tráfego de streaming em uma VPC que você especifica usando endereços IP privados. Ao usar a VPC com um túnel AWS Direct Connect ou AWS Virtual Private Network, você pode manter o tráfego de streaming em sua rede.

Você pode usar um VPC endpoint em sua AWS conta para restringir todo o tráfego de streaming entre sua Amazon VPC e a rede. WorkSpaces AWS Depois de criar o endpoint, configure seu WorkSpaces diretório para usá-lo.

Pré-requisitos e limitações

Antes de configurar os VPC endpoints para WorkSpaces, esteja ciente dos seguintes pré-requisitos e limitações.

  • Atualmente, o recurso suporta IPv4 nosso tipo de IP de registro IPv6 DNS. O tipo IP do registro DNS Dualstack não é compatível.

  • Você só pode configurar VPC endpoints que estejam no Conta da AWS mesmo diretório. Não Contas da AWS há suporte para endpoints VPC em outros, incluindo endpoints compartilhados. VPCs

  • Atualmente, o recurso está disponível apenas para WorkSpaces uso pessoal. WorkSpaces Os pools não oferecem suporte a endpoints VPC para streaming.

  • O recurso de VPC endpoint está disponível exclusivamente para usar o WorkSpaces Amazon DCV. Quando você configura um endpoint da VPC para um diretório, os usuários não podem transmitir do Amazon DCV pela Internet. No entanto, você pode ativar o streaming da Internet para PCo IP WorkSpaces no mesmo diretório durante a configuração do VPC endpoint.

  • Para manter o tráfego de streaming em sua VPC, use um endpoint da VPC de streaming. Seus WorkSpaces clientes precisam de conectividade com a Internet para autenticação do usuário. Ative o acesso de saída na porta 443 (UDP e TCP) para tráfego de autenticação. Além disso, você deve adicionar os domínios e endereços IP necessários à sua lista de permissões com base no método de autenticação escolhido. Para obter uma lista completa de domínios para cada categoria, consulte Domínios e endereços IP para adicionar à sua lista de permissões.

    • CAPTCHA

    • Configurações de diretório

    • Endpoints de autenticação de cartão inteligente pré-sessão, se você estiver usando cartão inteligente

    • Páginas de login do usuário

    • WS Broker

    • WorkSpaces Endpoints para SAML Single Sign-On (SSO)

  • A rede à qual os dispositivos dos usuários estão conectados deve ser capaz de rotear o tráfego para o endpoint da VPC.

  • Você deve ter uma política de permissões do IAM para o usuário do IAM ou para o perfil do IAM em sua conta da AWS para executar a ação da API ec2:DescribeVpcEndpoints.

  • WorkSpaces Atualmente, os endpoints VPC de streaming não oferecem suporte à criptografia FIPS. Se você já habilitou a criptografia FIPS para um diretório, precisará desabilitar a criptografia FIPS antes de configurar um endpoint da VPC.

  • AWS A integração do Global Accelerator (AGA) não está disponível durante o streaming por meio de um VPC endpoint.

  • Quando um endpoint da VPC é configurado para um diretório, os grupos de controle de acesso IP especificados para o diretório não se aplicam mais.

Configurando o VPC endpoint para streaming WorkSpaces

Para configurar um VPC endpoint para WorkSpaces streaming, conclua as seguintes etapas:

Etapa 1: Criar o grupo de segurança

Nesta etapa, você cria um grupo de segurança que permite que WorkSpaces os clientes se comuniquem com o VPC endpoint que você criará.

  1. No painel de navegação, no console do Amazon EC2, vá até Rede e segurança, em seguida, Grupos de segurança.

  2. Selecione Criar grupo de segurança.

  3. Em Detalhes básicos, faça o seguinte:

    • Em Nome do grupo de segurança: insira um nome exclusivo que identifique o grupo de segurança.

    • Em Descrição: insira algum texto que descreva a finalidade do grupo de segurança.

    • Para VPC: escolha a VPC em que seu endpoint da VPC está.

  4. Acesse Regras de entrada e selecione Adicionar regra para criar regras de entrada para tráfego TCP.

  5. Insira o seguinte:

    • Em Tipo: escolha TCP personalizada.

    • Para Intervalo de portas: insira os seguintes números de porta: 443, 4195.

    • Em Tipo de origem: escolha Personalizado.

    • Para Origem — Insira o intervalo de IP CIDR privado ou outro grupo de segurança a IDs partir do qual seus usuários se conectam ao VPC endpoint. Certifique-se de permitir o tráfego de entrada de uma fonte IPv4 ou IPv6 endereço.

  6. Repita as etapas 4 e 5 para cada intervalo CIDR ou grupo de segurança.

  7. Vá para Regras de entrada e selecione Adicionar regra para criar regras de entrada para tráfego UDP.

  8. Insira o seguinte:

    • Em Tipo: escolha TCP personalizada.

    • Em Intervalo de portas: insira os seguintes números de porta: 443, 4195.

    • Em Tipo de origem: escolha Personalizado.

    • Para Fonte — Insira o mesmo intervalo de CIDR IP privado ou grupo de segurança IDs inserido na Etapa 5. Certifique-se de permitir o tráfego de entrada de uma fonte IPv4 ou IPv6 endereço.

  9. Repita as etapas 7 e 8 para cada intervalo CIDR ou grupo de segurança.

  10. Selecione Criar grupo de segurança.

Etapa 2: Criar o endpoint da VPC.

Na Amazon VPC, um endpoint de VPC permite que você conecte sua VPC a serviços compatíveis. AWS Neste exemplo, você configura a Amazon VPC para que seus WorkSpaces usuários possam transmitir a partir de. WorkSpaces

  1. Abra o console da Amazon VPC.

  2. No painel de navegação, escolha Endpoints, Criar endpoint .

  3. Selecione Criar endpoint.

  4. Verifique o seguinte:

    • Categoria de serviço: verifique se AWS Serviços da AWS está selecionado.

    • Nome do serviço — Escolha com.amazonaws. Region.highlander.

    • VPC: escolha uma VPC na qual criar o endpoint de interface. Você pode escolher uma VPC diferente da VPC com WorkSpaces recursos, desde que a rede direcione o tráfego para o VPC endpoint.

    • Habilitar nome DNS privado: a caixa de seleção está marcada. É recomendável mantê-lo selecionado mesmo ao usar o nome DNS público para fins de compatibilidade com versões anteriores. Se os usuários usam um proxy de rede para acessar instâncias de streaming, desabilite qualquer armazenamento em cache de proxy no domínio e nomes DNS associados ao endpoint privado. O nome DNS do endpoint da VPC deve ser permitido por meio do proxy. Para uma resolução bem-sucedida de nomes DNS, é essencial usar os servidores DNS privados na VPC, pois os servidores DNS públicos não resolverão o nome DNS do endpoint da VPC.

    • Tipo de IP do registro DNS — Escolha IPv4 ou IPv6. O tipo IP do registro DNS Dualstack não é compatível no momento. Se você escolher o Dualstack, não poderá transmitir usando WorkSpaces o VPC endpoint.

    • Sub-redes: selecione as sub-redes (zonas de disponibilidade) para criar o endpoint da VPC. É recomendável que você selecione pelo menos duas sub-redes.

    • Tipo de endereço IP — escolha IPv6 ou pilha dupla IPv4, dependendo do suporte das sub-redes escolhidas.

    • Painel Security groups: selecione o grupo de segurança criado anteriormente.

  5. (Opcional) No painel Tags é possível criar uma ou mais tags.

  6. Selecione Criar endpoint.

Quando o endpoint estiver pronto para uso, o valor na coluna Status mudará para Available (Disponível).

Etapa 3: configurar o WorkSpaces diretório para usar o VPC endpoint

Você precisa configurar o WorkSpaces diretório para usar o VPC endpoint que você criou para streaming.

  1. Abra o WorkSpaces console na mesma AWS região do VPC endpoint.

  2. No painel Navegação, selecione Diretórios.

  3. Selecione o diretório que deseja usar.

  4. Vá para a seção Endpoints da VPC, em seguida Editar.

  5. Na caixa de diálogo Editar Endpoint da VPC, em Streaming Endpoint Endpoint de streaming), selecione o endpoint da VPC que você criou. Observe que somente 1 VPC endpoint pode ser selecionado para cada diretório.

  6. Opcionalmente, você pode ativar Permitir que usuários com PCo IP WorkSpaces transmitam da Internet.

    nota

    Quando ativado, seus usuários podem transmitir a partir do PCo IP WorkSpaces pela Internet pública. Caso contrário, o PCo IP WorkSpaces no diretório ficará inacessível, pois o PCo IP WorkSpaces não oferece suporte ao VPC endpoint para streaming.

  7. Selecione Salvar.

O tráfego para novas sessões de streaming será roteado por meio desse endpoint. No entanto, o tráfego das sessões de streaming atuais continuará sendo roteado por meio do endpoint especificado anteriormente.

nota

Usuários com DCV WorkSpaces não podem transmitir usando a Internet pública quando um VPC endpoint é especificado.

Entendendo os nomes DNS do VPC Endpoint

Depois de criar uma interface VPC endpoint para WorkSpaces streaming, atribui AWS automaticamente dois nomes DNS ao endpoint que WorkSpaces os clientes podem usar para se conectar:

Nome DNS exclusivo que pode ser resolvido publicamente

Um nome DNS globalmente exclusivo e que pode ser resolvido publicamente no formato:

vpce-<endpoint-id>-<random-string>.prod.highlander.<region>.vpce.amazonaws.com

Esse nome DNS é exclusivo por VPC endpoint. Embora possa ser resolvido publicamente (qualquer pessoa pode consultá-lo), ele retorna endereços IP privados da sua VPC que só podem ser acessados de dentro da sua VPC ou de redes conectadas (via VPN ou Direct Connect). AWS

Nome DNS privado genérico

Um nome DNS privado compartilhado no formato:

privatelink.prod.<region>.highlander.aws.a2z.com

Esse nome DNS é compartilhado entre todos os endpoints da VPC na mesma região e é resolvido somente na VPC onde está o endpoint da VPC, usando o resolvedor de DNS privado nessa VPC. Esse nome DNS é mantido para fins de compatibilidade com versões anteriores das implantações existentes.

WorkSpaces os clientes usam automaticamente o nome DNS exclusivo que pode ser resolvido publicamente por padrão, com retorno automático para o nome DNS genérico, se necessário. Nenhuma ação é necessária para os clientes existentes.

Para encontrar o nome DNS exclusivo que pode ser resolvido publicamente para seu VPC endpoint:

  1. Abra o console da Amazon VPC.

  2. No painel de navegação, escolha Endpoints.

  3. Selecione sua WorkSpaces interface VPC endpoint (nome do serviço: com.amazonaws). Region.highlander).

  4. Na guia Detalhes, encontre a seção de nomes DNS.

  5. O nome DNS exclusivo que pode ser resolvido publicamente é listado como o nome DNS regional.

Requisitos de rede

Certifique-se de que seu firewall ou proxy permita acesso a:

*.prod.highlander.<region>.vpce.amazonaws.com
privatelink.prod.<region>.highlander.aws.a2z.com

<region>Substitua pela sua AWS região (por exemplo,us-east-1,eu-west-1).

Os mesmos requisitos de porta para streaming de DCV se aplicam.

Se você usa um proxy para conexões de WorkSpaces clientes, o nome DNS do VPC endpoint deve ser permitido por meio do proxy. Para uma resolução bem-sucedida de nomes DNS, use os servidores DNS privados em sua VPC; servidores DNS públicos resolverão o nome DNS, mas os endereços IP privados retornados não poderão ser acessados de fora da sua VPC.