Redirecionamento entre regiões para a Amazon WorkSpaces

Com o recurso de redirecionamento entre regiões na Amazon WorkSpaces, você pode usar um nome de domínio totalmente qualificado (FQDN) como código de registro para seu. WorkSpaces O redirecionamento entre regiões funciona com suas políticas de roteamento do Sistema de Nomes de Domínio (DNS) para redirecionar seus WorkSpaces usuários para uma alternativa WorkSpaces quando a principal não está disponível. WorkSpaces Por exemplo, usando políticas de roteamento de failover de DNS, você pode conectar seus usuários à sua WorkSpaces AWS região de failover especificada quando eles não conseguem acessar a WorkSpaces região primária.

Use o redirecionamento entre regiões junto com as políticas de roteamento por failover de DNS para obter resiliência regional e alta disponibilidade. Você também pode usar esse recurso para outros fins, como distribuição de tráfego ou fornecimento de alternativas WorkSpaces durante os períodos de manutenção. Se você usa o Amazon Route 53 para sua configuração de DNS, você pode aproveitar as verificações de saúde que monitoram os alarmes da Amazon CloudWatch .

Para usar esse recurso, você deve configurar WorkSpaces para seus usuários em duas (ou mais) AWS regiões. Também é necessário criar códigos de registro especiais baseados em FQDN, denominados aliases de conexão. Esses aliases de conexão substituem os códigos de registro específicos da região para seus usuários. WorkSpaces (Os códigos de registro específicos da região permanecem válidos. No entanto, para que o redirecionamento entre regiões funcione, os usuários devem usar o FQDN como o código de registro.)

Para criar um alias de conexão, especifique uma string de conexão, que é o FQDN, como www.example.com ou desktop.example.com. Para usar esse domínio para redirecionamento entre regiões, registre-o em um registrador de domínio e configure o serviço de DNS para o domínio.

Depois de criar seus aliases de conexão, você os associa aos seus WorkSpaces diretórios em diferentes regiões para criar pares de associação. Cada par de associação tem uma região principal e uma ou mais regiões de failover. Se ocorrer uma interrupção na região primária, suas políticas de roteamento de failover de DNS redirecionarão seus WorkSpaces usuários para WorkSpaces aquela que você configurou para eles na região de failover.

Para designar as regiões primária e de failover, defina a prioridade da região (primária ou secundária) ao configurar as políticas de roteamento por failover de DNS.

Pré-requisitos

• Você deve possuir e registrar o domínio que deseja usar como o FQDN nos aliases de conexão. Se você ainda não estiver usando outro registrador de domínio, poderá usar o Amazon Route 53 para registrar o domínio. Para obter mais informações, consulte Registrar e gerenciar novos domínios com o Amazon Route 53 no Guia do desenvolvedor do Amazon Route 53.

  Importante

  Você deve ter todos os direitos necessários para usar qualquer nome de domínio usado em conjunto com a Amazon WorkSpaces. Você concorda que o nome de domínio não viola nem infringe os direitos legais de terceiros nem viola a legislação aplicável.

  O tamanho total do nome de domínio não pode exceder 255 caracteres. Para obter mais informações sobre nomes de domínio, consulte Formato de nome de domínio DNS no Guia do desenvolvedor do Amazon Route 53.

  O redirecionamento entre regiões funciona com nomes de domínio público e nomes de domínio em zonas DNS privadas. Se você estiver usando uma zona DNS privada, deverá fornecer uma conexão de rede privada virtual (VPN) à nuvem privada virtual (VPC) que contém sua. WorkSpaces Se seus WorkSpaces usuários tentarem usar um FQDN privado da Internet pública, os aplicativos WorkSpaces cliente retornarão a seguinte mensagem de erro:

  "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

• Você deve configurar o serviço de DNS e as políticas de roteamento de DNS necessárias. O redirecionamento entre regiões funciona em conjunto com suas políticas de roteamento de DNS para redirecionar seus usuários conforme necessário. WorkSpaces

• Em cada região primária e de failover em que você deseja configurar o redirecionamento entre regiões, crie WorkSpaces para seus usuários. Certifique-se de usar os mesmos nomes de usuário em cada WorkSpaces diretório em cada região. Para manter seus dados de usuário do Active Directory sincronizados, recomendamos usar o AD Connector para apontar para o mesmo Active Directory em cada região em que você configurou WorkSpaces para seus usuários. Para obter mais informações sobre criação WorkSpaces, consulte Launch WorkSpaces.

  Importante

  Se você configurar seu diretório AWS gerenciado do Microsoft AD para replicação em várias regiões, somente o diretório na região principal poderá ser registrado para uso com a Amazon. WorkSpaces As tentativas de registrar o diretório em uma região replicada para uso com a Amazon WorkSpaces falharão. A replicação multirregional com o AWS Microsoft AD gerenciado não é suportada para uso com a Amazon WorkSpaces em regiões replicadas.

  Ao concluir a configuração do redirecionamento entre regiões, verifique se WorkSpaces os usuários estão usando o código de registro baseado em FQDN em vez do código de registro baseado em região (por exemplo,) para sua região principal. WSpdx+ABC12D Para fazer isso, envie um e-mail com a string de conexão FQDN usando o procedimento presente na Etapa 5: enviar a string de conexão para seus WorkSpaces usuários.

  nota

  Se você criar seus usuários no WorkSpaces console em vez de criá-los no Active Directory, WorkSpaces enviará automaticamente um e-mail de convite para seus usuários com um código de registro baseado em região sempre que você iniciar um novo. WorkSpace Isso significa que, quando você configura WorkSpaces para seus usuários na região de failover, seus usuários também receberão automaticamente e-mails sobre esses failover WorkSpaces. Instrua os usuários a ignorar e-mails com códigos de registro baseados em região.

Limitações

• O redirecionamento entre regiões não verifica automaticamente se as conexões com a região principal falharam e, em seguida, transfere você WorkSpaces para outra região. Em outras palavras: não ocorre failover automático.

  Para implementar um cenário de failover automático, você deve usar outro mecanismo em conjunto com o redirecionamento entre regiões. Por exemplo, você pode usar uma política de roteamento de DNS de failover do Amazon Route 53 combinada com uma verificação de integridade do Route 53 que monitora um CloudWatch alarme na região primária. Se o CloudWatch alarme na região principal for acionado, sua política de roteamento de failover de DNS redirecionará seus WorkSpaces usuários para WorkSpaces aquela que você configurou para eles na região de failover.

• Quando você usa o redirecionamento entre regiões, os dados do usuário não são mantidos entre WorkSpaces regiões diferentes. Para garantir que os usuários possam acessar seus arquivos de diferentes regiões, recomendamos que você configure a Amazon WorkDocs para seus WorkSpaces usuários, se a Amazon WorkDocs tiver suporte em suas regiões primária e de failover. Para obter mais informações sobre a Amazon WorkDocs, consulte Amazon WorkDocs Drive no Guia de WorkDocs Administração da Amazon. Para obter mais informações sobre como habilitar WorkDocs a Amazon para seus WorkSpace usuários, consulte Registrar um diretório com o WorkSpaces Habilitar o Amazon WorkDocs para o AWS Managed Microsoft AD e. Para obter informações sobre como WorkSpaces os usuários podem configurar a Amazon WorkDocs em seus WorkSpaces, consulte Integrar com WorkDocs no Guia WorkSpaces do usuário da Amazon.

• O redirecionamento entre regiões é suportado somente na versão 3.0.9 ou posterior dos aplicativos cliente Linux, macOS e Windows. WorkSpaces Você também pode usar o redirecionamento entre regiões com o Acesso via Web.

• O redirecionamento entre regiões está disponível em todas as AWSregiões em que a Amazon WorkSpaces está disponível, exceto nas regiões AWS GovCloud (US) Region s e China (Ningxia).

Etapa 1: Criar aliases de conexão

Usando a mesma conta da AWS, crie um alias de conexão em cada região primária e de failover em que deseja configurar o redirecionamento entre regiões.

Como criar um alias de conexão

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No canto superior direito do console, selecione a AWS região principal para o seu. WorkSpaces

3. No painel de navegação, selecione Account Settings (Configurações da conta).

4. Em Redirecionamento entre regiões, selecione Criar um alias de conexão.

5. Em String de conexão, insira um FQDN, como www.example.com ou desktop.example.com. Uma string de conexão pode ter no máximo 255 caracteres. Ela pode incluir apenas letras (A–Z, a–z), números (0–9) e os seguintes caracteres: .-

   Importante

   Depois de criar uma string de conexão, ela sempre estará associada à sua conta da AWS. Não é possível recriar a mesma string de conexão com outra conta, mesmo que você tenha excluído todas as instâncias dela da conta original. A string de conexão é reservada globalmente para sua conta.

6. (Opcional) Em Tags, especifique as etiquetas que você deseja associar ao alias de conexão.

7. Escolha Criar conexão.

8. Repita essas etapas, mas emPasso 2, certifique-se de selecionar a região de failover para sua WorkSpaces. Se você tiver mais de uma região de failover, repita essas etapas para cada uma delas. Use a mesma conta da AWS para criar o alias de conexão em cada região de failover.

(Opcional) Etapa 2: Compartilhar um alias de conexão com outra conta

É possível compartilhar um alias de conexão com outra conta da AWS na mesma região da AWS. Compartilhar um alias de conexão com outra conta concede a essa conta permissão para associar ou desassociar o alias de um diretório de propriedade da conta, apenas na mesma região. Somente a conta que possui um alias de conexão pode exclui-lo.

nota

Um alias de conexão pode ser associado a apenas um diretório por região da AWS. Se você compartilhar um alias de conexão com outra conta da AWS, somente uma conta (a sua conta ou a conta compartilhada) poderá associar o alias a um diretório nessa região.

Como compartilhar um alias de conexão com outra conta da AWS

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No canto superior direito do console, selecione a região da AWS na qual você quer compartilhar o alias de conexão com outra conta da AWS.

3. No painel de navegação, selecione Account Settings (Configurações da conta).

4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e, em seguida, escolha Ações, Compartilhar/cancelar compartilhamento do alias de conexão.

   Você também pode compartilhar um alias na página de detalhes do alias de conexão. Para fazer isso, em Conta compartilhada, escolha Compartilhar alias de conexão.

5. Na página Compartilhar/cancelar compartilhamento do alias de conexão, em Compartilhar com uma conta, insira o ID da conta da AWS com a qual você deseja compartilhar o alias de conexão nesta região da AWS.

6. Escolha Compartilhar.

Etapa 3: Associar aliases de conexão a diretórios em cada região

Associar o mesmo alias de conexão a um WorkSpaces diretório em duas ou mais regiões cria um par de associação entre os diretórios. Cada par de associação tem uma região principal e uma ou mais regiões de failover.

Por exemplo, se sua região principal for a região Oeste dos EUA (Oregon), você pode emparelhar seu WorkSpaces diretório na região Oeste dos EUA (Oregon) com um WorkSpaces diretório na região Leste dos EUA (Norte da Virgínia). Se ocorrer uma interrupção na região principal, o redirecionamento entre regiões funciona em conjunto com suas políticas de roteamento de failover de DNS e quaisquer verificações de saúde que você tenha implementado na região Oeste dos EUA (Oregon) para redirecionar seus usuários para a região que WorkSpaces você configurou para eles na região Leste dos EUA (Norte da Virgínia). Para obter mais informações sobre a experiência de redirecionamento entre regiões, consulte O que acontece durante o redirecionamento entre regiões.

nota

Se seus WorkSpaces usuários estiverem localizados a uma distância significativa da região de failover (por exemplo, a milhares de quilômetros de distância), a WorkSpaces experiência deles poderá ser menos responsiva do que o normal. Para verificar o tempo de ida e volta (RTT) para as várias AWS regiões de sua localização, use o Amazon Connection WorkSpaces Health Check.

Como associar um alias de conexão a um diretório

É possível associar um alias de conexão com apenas um diretório por região da AWS. Se você tiver compartilhado um alias de conexão com outra conta da AWS, somente uma conta (a sua conta ou a conta compartilhada) poderá associar o alias a um diretório nessa região.

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No canto superior direito do console, selecione a AWS região principal para o seu. WorkSpaces

3. No painel de navegação, selecione Account Settings (Configurações da conta).

4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e, em seguida, escolha Ações, Associar/desassociar.

   Também é possível associar um alias de conexão a um diretório na página de detalhes do alias de conexão. Para fazer isso, em Diretório associado, escolha Associar diretório.

5. Na página Associar/desassociar, em Associar a um diretório, selecione o diretório ao qual você deseja associar o alias de conexão nesta região da AWS.

   nota

   Se você configurar seu diretório AWS gerenciado do Microsoft AD para replicação em várias regiões, somente o diretório na região principal poderá ser usado com a Amazon. WorkSpaces As tentativas de usar o diretório em uma região replicada com a Amazon WorkSpaces falharão. A replicação multirregional com o AWS Microsoft AD gerenciado não é suportada para uso com a Amazon WorkSpaces em regiões replicadas.

6. Selecione Associar.

7. Repita essas etapas, mas emPasso 2, certifique-se de selecionar a região de failover para sua WorkSpaces. Se você tiver mais de uma região de failover, repita essas etapas para cada uma delas. Associe o mesmo alias de conexão a um diretório em cada região de failover.

Etapa 4: Configurar o serviço de DNS e definir políticas de roteamento de DNS

Depois de criar aliases de conexão e pares de associação de alias de conexão, você poderá configurar o serviço de DNS para o domínio que você usou nas strings de conexão. Você pode usar qualquer provedor de serviços de DNS para essa finalidade. Se você não tiver um provedor de serviços de DNS de preferência, poderá usar o Amazon Route 53. Para obter mais informações, consulte Como configurar o Amazon Route 53 como o serviço de DNS no Guia do desenvolvedor do Amazon Route 53.

Depois de configurar o serviço de DNS para o domínio, configure as políticas de roteamento de DNS que deseja usar para o redirecionamento entre regiões. Por exemplo, você pode usar as verificações de saúde do Amazon Route 53 para determinar se seus usuários podem se conectar a eles WorkSpaces em uma região específica. Se os usuários não conseguirem se conectar, você pode usar uma política de failover de DNS para rotear o tráfego de DNS de uma região para outra.

Para obter mais informações sobre a política de roteamento de DNS, consulte Como escolher uma política de roteamento no Guia do desenvolvedor do Amazon Route 53. Para obter mais informações sobre as verificações de integridade do Amazon Route 53, consulte Como o Amazon Route 53 verifica a integridade de seus recursos no Guia do desenvolvedor do Amazon Route 53.

Ao configurar suas políticas de roteamento de DNS, você precisará do identificador de conexão para a associação entre o alias de conexão e o WorkSpaces diretório na região primária. Você também precisará do identificador de conexão para a associação entre o alias de conexão e o WorkSpaces diretório em sua região ou regiões de failover.

nota

O identificador da conexão não é o mesmo que o ID do alias da conexão. O ID do alias da conexão começa com wsca-.

Como encontrar o identificador de conexão para uma associação de alias de conexão

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No canto superior direito do console, selecione a AWS região principal para o seu. WorkSpaces

3. No painel de navegação, selecione Account Settings (Configurações da conta).

4. Em Associações de redirecionamento entre regiões, selecione o texto da string de conexão (o FQDN) para exibir a página de detalhes do alias de conexão.

5. Na página de detalhes do alias de conexão, em Diretório associado, anote o valor exibido para o Identificador de conexão.

6. Repita essas etapas, mas emPasso 2, certifique-se de selecionar a região de failover para sua WorkSpaces. Se você tiver mais de uma região de failover, repita essas etapas para encontrar o identificador de conexão para cada uma delas.

Exemplo: como configurar uma política de roteamento por failover de DNS usando o Route 53

O exemplo a seguir configura uma zona hospedada para o domínio. No entanto, é possível configurar uma zona hospedada pública ou privada. Para obter mais informações sobre como configurar uma zona hospedada, consulte Como trabalhar com zonas hospedadas privadas no Guia do desenvolvedor do Amazon Route 53.

Esse exemplo também usa uma política de roteamento por failover. Você pode usar outros tipos de política de roteamento para sua estratégia de redirecionamento entre regiões. Para obter mais informações sobre a política de roteamento de DNS, consulte Como escolher uma política de roteamento no Guia do desenvolvedor do Amazon Route 53.

Ao configurar uma política de roteamento por failover no Route 53, é necessário realizar uma verificação de integridade na região primária. Para obter mais informações sobre a como criar uma verificação de integridade no Route 53, consulte Como criar de verificações de integridade e configurar o failover de DNS no Amazon Route 53 e Como criar, atualizar e excluir verificações de integridade no Guia do desenvolvedor do Amazon Route 53.

Se você quiser usar um CloudWatch alarme da Amazon com sua verificação de saúde do Route 53, você também precisará configurar um CloudWatch alarme para monitorar os recursos em sua região principal. Para obter mais informações sobre CloudWatch, consulte O que é a Amazon CloudWatch? no Guia do CloudWatch usuário da Amazon. Para obter mais informações sobre como o Route 53 usa CloudWatch alarmes em suas verificações de saúde, consulte Como o Route 53 determina o status das verificações de saúde que monitoram CloudWatch alarmes e Monitoramento de um CloudWatch alarme no Amazon Route 53 Developer Guide.

Para configurar uma política de roteamento por failover de DNS no Route 53, primeiro você precisa criar uma zona hospedada para o domínio.

1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/.

2. No painel de navegação, escolha Zonas hospedadas e, em seguida, escolha Criar zona hospedada.

3. Na página Zona hospedada criada, insira o nome de domínio (como example.com) em Nome do domínio.

4. Em Tipo, escolha Zona hospedada pública.

5. Escolha Create hosted zone (Criar zona hospedada).

Depois, crie uma verificação de integridade para a região primária.

1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/.

2. No painel de navegação, escolha Verificações de integridade e, em seguida, escolha Criar verificação de integridade.

3. Na página Configurar verificação de integridade, insira um nome para a verificação de integridade.

4. Em O que monitorar, selecione Endpoint, Status de outras verificações de saúde (verificação de saúde calculada) ou Estado do CloudWatch alarme.

5. Dependendo da seleção na etapa anterior, configure a verificação de integridade e escolha Avançar.

6. Na página Receber notificações quando a verificação de integridade falhar, em Criar alarme, escolha Sim ou Não.

7. Selecione Criar verificação de integridade.

Depois de criar a verificação de integridade, é possível criar os registros de failover de DNS.

1. Abra o console do Route 53 em https://console.aws.amazon.com/route53/.

2. No painel de navegação, escolha Zonas hospedadas.

3. Na página Zonas hospedadas, selecione o nome do domínio.

4. Na página de detalhes do nome de domínio, escolha Criar registro.

5. Na página Escolher política de roteamento, escolha Failover e, em seguida, Próximo.

6. Na página Configurar registro, em Configuração básica, insira o nome do subdomínio em Nome do registro. Por exemplo, se o FQDN for desktop.example.com, insira desktop.

   nota

   Se você quiser usar o domínio raiz, deixe o campo Nome do registro em branco. No entanto, recomendamos o uso de um subdomínio, como desktop ouworkspaces, a menos que você tenha configurado o domínio exclusivamente para uso com seu WorkSpaces.

7. Em Tipo de registro, selecione TXT: usado para verificar remetentes de e-mail e valores específicos da aplicação.

8. Deixe as configurações de Segundos TTL como padrão.

9. Em Registros de failover para adicionar ao your_domain_name, escolha Definir registro de failover.

Agora é necessário configurar os registros de failover para as regiões primária e de failover.

Exemplo: como configurar o registro de failover para a região primária

1. Na caixa de diálogo Definir registro de failover, em Valor/rotear tráfego para, selecione Endereço IP ou outro valor, dependendo do tipo de registro.

2. Uma caixa de diálogo é aberta para você inserir as entradas de texto de amostra. Insira o identificador de conexão para a associação de alias de conexão para a região primária.

3. Em Tipo de registro de failover, selecione Primário.

4. Em Verificação de integridade, selecione uma verificação de integridade que você criou para a região primária.

5. Em ID do registro, insira uma descrição para identificar esse registro.

6. Escolha Definir registro de failover. O novo registro de failover é exibido em Registros de failover para adicionar ao your_domain_name.

Exemplo: como configurar o registro de failover para a região de failover

1. Em Registros de failover para adicionar ao your_domain_name, escolha Definir registro de failover.

2. Na caixa de diálogo Definir registro de failover, em Valor/rotear tráfego para, selecione Endereço IP ou outro valor, dependendo do tipo de registro.

3. Uma caixa de diálogo é aberta para você inserir as entradas de texto de amostra. Insira o identificador de conexão para a associação de alias de conexão para a região de failover.

4. Em Tipo de registro de failover, selecione Secundário.

5. (Opcional) Em Verificação de integridade, insira uma verificação de integridade criada para a região de failover.

6. Em ID do registro, insira uma descrição para identificar esse registro.

7. Escolha Definir registro de failover. O novo registro de failover é exibido em Registros de failover para adicionar ao your_domain_name.

Se a verificação de saúde que você configurou para sua região principal falhar, sua política de roteamento de failover de DNS redirecionará seus WorkSpaces usuários para sua região de failover. O Route 53 continua monitorando a verificação de saúde da sua região principal e, quando a verificação de saúde da sua região primária não falha mais, o Route 53 redireciona automaticamente seus WorkSpaces usuários de volta para a WorkSpaces região primária.

Para obter informações sobre como criar registros de DNS, consulte Como criar registros usando o console do Amazon Route 53 no Guia do desenvolvedor do Amazon Route 53. Para obter informações sobre como configurar registros TXT de DNS, consulte Tipos de registro TXT no Guia do desenvolvedor do Amazon Route 53.

Etapa 5: enviar a string de conexão para seus WorkSpaces usuários

Para garantir que seus usuários WorkSpaces sejam redirecionados conforme necessário durante uma interrupção, você deve enviar a string de conexão (FQDN) aos seus usuários. Se você já emitiu códigos de registro baseados na região (por exemplo,WSpdx+ABC12D) para seus WorkSpaces usuários, esses códigos permanecem válidos. No entanto, para que o redirecionamento entre regiões funcione, seus WorkSpaces usuários devem usar a cadeia de conexão como código de registro ao registrá-los WorkSpaces no WorkSpaces aplicativo cliente.

Importante

Se você criar seus usuários no WorkSpaces console em vez de criá-los no Active Directory, enviará WorkSpaces automaticamente um e-mail de convite para seus usuários com um código de registro baseado em região (por exemplo,WSpdx+ABC12D) sempre que você iniciar um novo. WorkSpace Mesmo que você já tenha configurado o redirecionamento entre regiões, o e-mail de convite enviado automaticamente para novos WorkSpaces contém esse código de registro baseado na região em vez da sua cadeia de conexão.

Para garantir que seus WorkSpaces usuários estejam usando a cadeia de conexão em vez do código de registro baseado na região, você deve enviar a eles outro e-mail com a cadeia de conexão usando o procedimento abaixo.

Para enviar a cadeia de conexão aos seus WorkSpaces usuários

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No canto superior direito do console, selecione a AWS região principal para o seu. WorkSpaces

3. No painel de navegação, selecione WorkSpaces.

4. Na WorkSpacespágina, use a caixa de pesquisa para pesquisar um usuário para o qual você deseja enviar um convite e selecione o correspondente nos resultados WorkSpace da pesquisa. Você pode selecionar somente um por WorkSpace vez.

5. Escolha Actions (Ações), Invite User (Convidar usuário).

6. Na WorkSpaces página Convidar usuários para seus usuários, você verá um modelo de e-mail para enviar aos seus usuários.

7. (Opcional) Se houver mais de um alias de conexão associado ao seu WorkSpaces diretório, selecione a cadeia de conexão que você deseja que seus usuários usem na lista Cadeia de caracteres do alias de conexão. O modelo de e-mail é atualizado para exibir a sequência de caracteres que você escolheu.

8. Copie o texto do modelo do e-mail e cole em um e-mail para os usuários usando a sua própria aplicação de e-mail. Na aplicação de e-mail, é possível modificar o texto conforme necessário. Quando o convite por e-mail estiver pronto, envie-o para os usuários.

Diagrama da arquitetura de redirecionamento entre regiões

O diagrama a seguir descreve o processo de implantação do redirecionamento entre regiões.

nota

O redirecionamento entre regiões facilita apenas o failover e o fallback entre regiões. Isso não facilita a criação e a manutenção WorkSpaces na região secundária e não permite a replicação de dados entre regiões. WorkSpaces nas regiões primária e secundária devem ser gerenciadas separadamente.

Iniciar o redirecionamento entre regiões

No caso de uma interrupção, você pode atualizar os registros DNS manualmente ou usar políticas de roteamento automatizadas com base nas verificações de saúde, que determinam a região de failover. Recomendamos seguir os mecanismos de recuperação de desastres descritos em Criação de mecanismos de recuperação de desastres usando o Amazon Route 53.

O que acontece durante o redirecionamento entre regiões

Durante o failover da região, seus WorkSpaces usuários são desconectados da WorkSpaces região primária. Quando eles tentam se reconectar, recebem a seguinte mensagem de erro:

We can't connect to your WorkSpace. Check your network connection, and then try again.

Então, eles são solicitados a fazer login novamente. Se eles estiverem usando o FQDN como código de registro, quando fizerem login novamente, suas políticas de roteamento de failover de DNS os redirecionarão para o WorkSpaces que você configurou para eles na região de failover.

nota

Em alguns casos, os usuários podem não conseguir se reconectar ao fazer login novamente. Se esse comportamento ocorrer, eles deverão fechar e reiniciar o aplicativo WorkSpaces cliente e, em seguida, tentar fazer login novamente.

Desassociar um alias de conexão de um diretório

Somente a conta que possui um diretório pode desassociar um alias de conexão do diretório.

Se você tiver compartilhado um alias de conexão com outra conta e essa conta tiver associado o alias de conexão a um diretório de propriedade da conta, essa mesma conta deverá ser usada para desassociar o alias de conexão do diretório.

Como desassociar um alias de conexão de um diretório

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No canto superior direito do console, selecione a região da AWS que contém o alias de conexão que você deseja desassociar.

3. No painel de navegação, selecione Account Settings (Configurações da conta).

4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e, em seguida, escolha Ações, Associar/desassociar.

   Você também pode desassociar um alias de conexão na página de detalhes do alias de conexão. Para fazer isso, em Diretório associado, escolha Desassociar.

5. Na página Associar/desassociar, escolha Desassociar.

6. Na caixa de diálogo que solicita a confirmação da dissociação, escolha Desassociar.

Cancelar o compartilhamento de um alias de conexão

Somente o proprietário de um alias de conexão pode cancelar o compartilhamento do alias. Se você cancelar o compartilhamento de um alias de conexão com uma conta, essa conta não poderá mais associar o alias de conexão a um diretório.

Como cancelar o compartilhamento de um alias de conexão

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No canto superior direito do console do, selecione a região da AWS que contém o alias de conexão que você deseja cancelar compartilhamento.

3. No painel de navegação, selecione Account Settings (Configurações da conta).

4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e, em seguida, escolha Ações, Compartilhar/cancelar compartilhamento do alias de conexão.

   Você também pode cancelar o compartilhamento de um alias de conexão na página de detalhes do alias de conexão. Para fazer isso, em Conta compartilhada, escolha Cancelar compartilhamento.

5. Na página Compartilhar/cancelar compartilhamento do alias de conexão, escolha Cancelar compartilhamento.

6. Na caixa de diálogo que solicita que você confirme o cancelamento do compartilhamento do alias de conexão, escolha Cancelar compartilhamento.

Excluir um alias de conexão

Só é possível excluir um alias de conexão se ele pertencer à sua conta e não estiver associado a um diretório.

Se você tiver compartilhado um alias de conexão com outra conta e essa conta tiver associado o alias de conexão a um diretório de propriedade da conta, essa conta deverá primeiro desassociar o alias de conexão do diretório antes que você possa excluir o alias de conexão.

Importante

Depois de criar uma string de conexão, ela sempre estará associada à sua conta da AWS. Não é possível recriar a mesma string de conexão com outra conta, mesmo que você tenha excluído todas as instâncias dela da conta original. A string de conexão é reservada globalmente para sua conta.

Atenção

Se você não usar mais um FQDN como código de registro para seus WorkSpaces usuários, deverá tomar algumas precauções para evitar possíveis problemas de segurança. Para ter mais informações, consulte Considerações de segurança se você parar de usar o redirecionamento entre regiões.

Como excluir um alias de conexão

1. Abra o WorkSpaces console em https://console.aws.amazon.com/workspaces/.

2. No canto superior direito do console do, selecione a região da AWS que contém o alias de conexão que você deseja excluir.

3. No painel de navegação, selecione Account Settings (Configurações da conta).

4. Em Associações de redirecionamento entre regiões, selecione a string de conexão e escolha Excluir.

   Você também pode excluir um alias de conexão na página de detalhes do alias de conexão. Para fazer isso, no canto superior direito da página, escolha Excluir.

   nota

   Se o botão Excluir estiver desabilitado, verifique se o alias está sob sua propriedade e se ele não está associado a um diretório.

5. Na caixa de diálogo que confirma a exclusão, escolha Excluir.

Permissões do IAM para associar e desassociar aliases de conexão

Se você usa um usuário do IAM para associar ou desassociar aliases de conexão, o usuário deve ter permissões para workspaces:AssociateConnectionAlias e workspaces:DisassociateConnectionAlias.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Importante

Se você estiver criando uma política do IAM para associar ou desassociar aliases de conexão para contas que não possuem os aliases de conexão, não é possível especificar um ID de conta no ARN. Em vez disso, você deve usar * como o ID da conta, conforme exibido no exemplo de política a seguir.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Você pode especificar um ID de conta no ARN somente quando essa conta possui o alias de conexão a ser associado ou desassociado.

Para obter mais informações sobre como trabalhar com o IAM, consulte Gerenciamento de identidade e acesso para o WorkSpaces.

Considerações de segurança se você parar de usar o redirecionamento entre regiões

Se você não usar mais um FQDN como código de registro para seus WorkSpaces usuários, deverá tomar as seguintes precauções para evitar possíveis problemas de segurança:

• Certifique-se de emitir aos WorkSpaces usuários o código de registro específico da região (por exemplo,WSpdx+ABC12D) para o WorkSpaces diretório e instruí-los a parar de usar o FQDN como código de registro.

• Se você ainda possui esse domínio, atualize o registro TXT do DNS para removê-lo para que ele não possa ser explorado em um ataque de phishing. Se você remover esse domínio do seu registro DNS TXT e seus WorkSpaces usuários tentarem usar o FQDN como código de registro, as tentativas de conexão falharão inofensivamente.

• Se você não é mais proprietário desse domínio, seus WorkSpaces usuários devem usar o código de registro específico da região. Se eles continuarem tentando usar o FQDN como o código de registro, as tentativas de conexão poderão ser redirecionadas para um site mal-intencionado.