与您的 VPC 的 Amazon AppStream 2.0 连接

要启用与网络资源和互联网的 AppStream 2.0 连接，请按以下方式配置您的流媒体实例。

网络接口

每个 AppStream 2.0 流媒体实例都有以下网络接口：

• 客户网络接口提供与您的 VPC 内的资源以及 Internet 的连接，并用于将流实例加入您的目录。

• 管理网络接口连接到安全的 AppStream 2.0 管理网络。它用于将流媒体实例以交互方式流式传输到用户的设备，并允许 AppStream 2.0 管理流式传输实例。

AppStream 2.0 从以下私有 IP 地址范围中选择管理网络接口的 IP 地址：198.19.0.0/16。不要将此范围用于您的 VPC CIDR，或利用此范围将您的 VPC 与另一 VPC 进行对等，因为这样会造成冲突，并导致无法访问流实例。另外，不要修改或删除附加到流实例的网络接口，因为这样也可能导致无法访问流实例。

管理网络接口 IP 地址范围和端口

管理网络接口 IP 地址范围是 198.19.0.0/16。以下端口在所有流实例的管理网络接口上都必须处于打开状态：

• 端口 8300 上的入站 TCP。它用于建立流式连接。

• 端口 8000 和 8443 上的入站 TCP。 AppStream 2.0 将使用它们来管理流式传输实例。

• 端口 8300 上的入站 UDP。它用于通过 UDP 建立流式连接。

将管理网络接口的入站范围限制于 198.19.0.0/16。

在正常情况下， AppStream 2.0 会为您的流媒体实例正确配置这些端口。如果流实例上安装了任何拦截这些端口的安全软件或防火墙软件，则流实例可能无法正常工作，或者可能无法访问。

请勿禁用 IPv6。如果您禁用 IPv6， AppStream 2.0 将无法正常运行。有关为 Windows 配置 IPv6 的信息，请参阅在 Windows 中为高级用户配置 IPv6 的指南。

注意

AppStream 2.0 依靠您的 VPC 内的 DNS 服务器为不存在的本地域名返回不存在的域 (NXDOMAIN) 响应。这样， AppStream 2.0 托管的网络接口就可以与管理服务器进行通信。

使用 Simple AD 创建目录时， AWS Directory Service 会创建两个同时代表您充当 DNS 服务器的域控制器。由于域控制器不提供 NXDOMAIN 响应，因此它们不能与 2.0 一起 AppStream 使用。

客户网络接口端口

• 要连接 Internet，以下端口必须针对所有目标打开。如果您在使用经过修改的安全组或自定义安全组，需要手动添加必需的规则。有关更多信息，请参阅《Amazon VPC 用户指南》中的安全组规则。

  • TCP 80 (HTTP)

  • TCP 443 (HTTPS)

  • UDP 8433

• 如果您将流式传输实例加入目录，则必须在 AppStream 2.0 VPC 和目录控制器之间打开以下端口。

  • TCP/UDP 53 - DNS

  • TCP/UDP 88 - Kerberos 身份验证

  • UDP 123 - NTP

  • TCP 135 - RPC

  • UDP 137-138 - Netlogon

  • TCP 139 - Netlogon

  • TCP/UDP 389 - LDAP

  • TCP/UDP 445 - SMB

  • TCP 1024-65535 - RPC 动态端口

  有关端口的完整列表，请参阅 Microsoft 文档中的 Active Directory 和 Active Directory 域服务端口要求。

• 所有流实例都要求端口 80 (HTTP) 对 IP 地址 169.254.169.254 开放，以允许访问 EC2 元数据服务。IP 地址范围169.254.0.0/16是为管理流量的 AppStream 2.0 服务使用保留的。不排除此范围可能会导致直播问题。