从接口 VPC 端点创建和流式传输 - 亚马逊 AppStream 2.0

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从接口 VPC 端点创建和流式传输

您可以使用 Amazon Web Services 账户中的接口 VPC 端点,将您的 Amazon VPC 与 AppStream 2.0 之间的所有网络流量限制在 Amazon 网络中。在创建此端点后,您配置 AppStream 2.0 堆栈或映像生成器以使用它。

先决条件

在为 AppStream 2.0 设置接口 VPC 端点之前,请注意以下先决条件:

  • 需要 Internet 连接来验证用户身份并提供 AppStream 2.0 正常运行所需的 Web 资产。流式接口端点在您的 VPC 内维护流式传输流量。流式传输流量,包括像素、USB、用户输入、音频、剪贴板、文件上传和下载以及打印机流量。要允许此流量,您必须允许允许的域中列出的域。

  • 用户设备所连接的网络必须能够将流量路由到接口端点。

  • 与接口端点关联的安全组必须允许从用户连接的 IP 地址范围对端口 443 (TCP) 和端口1400-1499 (TCP) 进行入站访问。

  • 子网的网络访问控制列表必须允许从短暂网络端口 1024-65535 (TCP) 到用户连接的 IP 地址范围的出站流量。

  • 您的 AWS 账户中必须具有 IAM 权限策略,该策略提供执行 ec2:DescribeVpcEndpoints API 操作的权限。默认情况下,此权限在附加到 AmazonAppStreamServiceAccess 角色的 IAM 策略中定义。如果您具有所需的权限,则当您在 AWS 区域中开始使用 AppStream 2.0 服务时,AppStream 2.0 将自动创建该服务角色,同时附加所需的 IAM 策略。有关更多信息,请参阅适用于 Amazon AppStream 2.0 的 Identity and Access Management

创建接口端点
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 EndpointsCreate Endpoint

  3. 选择 Create Endpoint(创建端点)

  4. 对于服务类别,请确保选中 AWS 服务

  5. 对于服务名称,选择 com.amazonaws.<AWS 区域>.appstream.streaming

  6. 指定以下信息。完成后,选择 Create Endpoint

    • 对于 VPC,选择要在其中创建接口端点的 VPC。您可以选择与具有 AppStream 2.0 资源的 VPC 不同的 VPC。

    • 对于子网,选择要在其中创建端点网络接口的子网(可用区)。我们建议您在至少两个可用区中选择子网。

    • 确保 Enable Private DNS Name (启用私有 DNS 名称) 复选框处于选中状态。

      注意

      如果您的用户使用网络代理访问流式实例,请禁用与私有端点相关联的域和 DNS 名称上的任何代理缓存。

    • 对于 Security group (安全组),选择要与端点网络接口关联的安全组。

      注意

      该安全组必须从用户连接的 IP 地址范围提供对端口的入站访问。

在创建接口端点时,控制台中端点的状态显示为 Pending (待定)。在创建端点之后,状态将变为 Available (可用)

要更新堆栈以使用您为流式传输会话创建的接口端点,请执行以下步骤。

更新堆栈以使用新接口端点
  1. 打开 AppStream 2.0 控制台,网址为 https://console.aws.amazon.com/appstream2

    确保在与要使用的接口端点相同的 AWS 区域中打开控制台。

  2. 在导航窗格中,选择 Stacks (堆栈),然后选择您想要的堆栈。

  3. 选择 VPC 端点选项卡,然后选择编辑

  4. 编辑 VPC 端点对话框中,对于流式传输端点,选择要通过其流式传输流量的端点。

  5. 选择更新

新的流式传输会话的流量都将路由通过此端点。但是,当前流式传输会话的流量将继续通过先前指定的端点进行路由。

注意

指定接口端点时,用户无法使用 Internet 端点进行流式传输。