Amazon AppStream 2.0 与 VPC 的连接 - 亚马逊 AppStream 2.0

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon AppStream 2.0 与 VPC 的连接

要实现 AppStream 2.0 与网络资源和 Internet 的连接,请按如下方式配置您的流实例。

网络接口

每个 AppStream 2.0 流实例都有以下网络接口:

  • 客户网络接口提供与您的 VPC 内的资源以及 Internet 的连接,并用于将流实例加入您的目录。

  • 管理网络接口已连接到安全的 AppStream 2.0 管理网络。它用于流实例与用户设备之间的交互式流式传输,并允许 AppStream 2.0 管理流实例。

AppStream 2.0 从以下私有 IP 地址范围选择管理网络接口的 IP 地址:198.19.0.0/16。不要将此范围用于您的 VPC CIDR,或利用此范围将您的 VPC 与另一 VPC 进行对等,因为这样会造成冲突,并导致无法访问流实例。另外,不要修改或删除附加到流实例的网络接口,因为这样也可能导致无法访问流实例。

管理网络接口 IP 地址范围和端口

管理网络接口 IP 地址范围是 198.19.0.0/16。以下端口在所有流实例的管理网络接口上都必须处于打开状态:

  • 端口 8300 上的入站 TCP。它用于建立流式连接。

  • 端口 8000 和 8443 上的入站 TCP。AppStream 2.0 利用它们管理流实例。

  • 端口 8300 上的入站 UDP。它用于通过 UDP 建立流式连接。

将管理网络接口的入站范围限制于 198.19.0.0/16。

正常情况下,AppStream 2.0 会为您的流实例正确配置这些端口。如果流实例上安装了任何拦截这些端口的安全软件或防火墙软件,则流实例可能无法正常工作,或者可能无法访问。

请勿禁用 IPv6。如果禁用 IPv6,AppStream 2.0 将无法正常工作。有关为 Windows 配置 IPv6 的信息,请参阅在 Windows 中为高级用户配置 IPv6 的指南

注意

AppStream 2.0 依赖于 VPC 中的 DNS 服务器,以便为不存在的本地域名返回不存在的域 (NXDOMAIN) 响应。这使得 AppStream 2.0 管理的网络接口能够与管理服务器通信。

当您使用 Simple AD 创建目录时,AWS Directory Service 将代表您创建两个还用作 DNS 服务器的域控制器。由于域控制器不提供 NXDOMAIN 响应,因此它们不能与 AppStream 2.0 一起使用。

客户网络接口端口

  • 要连接 Internet,以下端口必须针对所有目标打开。如果您在使用经过修改的安全组或自定义安全组,需要手动添加必需的规则。有关更多信息,请参阅《Amazon VPC 用户指南》中的安全组规则

    • TCP 80 (HTTP)

    • TCP 443 (HTTPS)

    • UDP 8433

  • 如果您将流实例加入一个目录,以下端口必须在您的 AppStream 2.0 VPC 与目录控制器之间处于打开状态。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos 身份验证

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 1024-65535 - RPC 动态端口

    有关端口的完整列表,请参阅 Microsoft 文档中的 Active Directory 和 Active Directory 域服务端口要求

  • 所有流实例都要求端口 80 (HTTP) 对 IP 地址 169.254.169.254 开放,以允许访问 EC2 元数据服务。分配给您的流实例的任何 HTTP 代理中必须排除 169.254.169.254