从接口 VPC 端点创建和流式传输

您可以使用 Amazon Web Services 账户中的接口 VPC 端点，将您的 Amazon VPC 与 AppStream 2.0 之间的所有网络流量限制在 Amazon 网络中。在创建此端点后，您配置 AppStream 2.0 堆栈或映像生成器以使用它。

先决条件

在为 AppStream 2.0 设置接口 VPC 端点之前，请注意以下先决条件：

• 需要 Internet 连接来验证用户身份并提供 AppStream 2.0 正常运行所需的 Web 资产。流式接口端点在您的 VPC 内维护流式传输流量。流式传输流量，包括像素、USB、用户输入、音频、剪贴板、文件上传和下载以及打印机流量。要允许此流量，您必须允许允许的域中列出的域。

• 用户设备所连接的网络必须能够将流量路由到接口端点。

• 与接口端点关联的安全组必须允许从用户连接的 IP 地址范围对端口 443 (TCP) 和端口1400-1499 (TCP) 进行入站访问。

• 子网的网络访问控制列表必须允许从短暂网络端口 1024-65535 (TCP) 到用户连接的 IP 地址范围的出站流量。

• 您的 AWS 账户中必须具有 IAM 权限策略，该策略提供执行 ec2:DescribeVpcEndpoints API 操作的权限。默认情况下，此权限在附加到 AmazonAppStreamServiceAccess 角色的 IAM 策略中定义。如果您具有所需的权限，则当您在 AWS 区域中开始使用 AppStream 2.0 服务时，AppStream 2.0 将自动创建该服务角色，同时附加所需的 IAM 策略。有关更多信息，请参阅适用于亚马逊 AppStream 2.0 的身份和访问管理。

创建接口端点

1. 通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。

2. 在导航窗格中，选择 Endpoints、Create Endpoint。

3. 选择 Create Endpoint（创建端点）。

4. 对于服务类别，请确保选中 AWS 服务。

5. 对于服务名称，选择 com.amazonaws.<AWS 区域>.appstream.streaming。

6. 指定以下信息。完成后，选择 Create Endpoint。

   • 对于 VPC，选择要在其中创建接口端点的 VPC。您可以选择与具有 AppStream 2.0 资源的 VPC 不同的 VPC。

   • 对于子网，选择要在其中创建端点网络接口的子网（可用区）。我们建议您在至少两个可用区中选择子网。

   • 确保 Enable Private DNS Name (启用私有 DNS 名称) 复选框处于选中状态。

     注意

     如果您的用户使用网络代理访问流式实例，请禁用与私有端点相关联的域和 DNS 名称上的任何代理缓存。

   • 对于 Security group (安全组)，选择要与端点网络接口关联的安全组。

     注意

     该安全组必须从用户连接的 IP 地址范围提供对端口的入站访问。

在创建接口端点时，控制台中端点的状态显示为 Pending (待定)。在创建端点之后，状态将变为 Available (可用)。

要更新堆栈以使用您为流式传输会话创建的接口端点，请执行以下步骤。

更新堆栈以使用新接口端点

1. 打开 AppStream 2.0 控制台，网址为 https://console.aws.amazon.com/appstream2。

   确保在与要使用的接口端点相同的 AWS 区域中打开控制台。

2. 在导航窗格中，选择 Stacks (堆栈)，然后选择您想要的堆栈。

3. 选择 VPC 端点选项卡，然后选择编辑。

4. 在编辑 VPC 端点对话框中，对于流式传输端点，选择要通过其流式传输流量的端点。

5. 选择更新。

新的流式传输会话的流量都将路由通过此端点。但是，当前流式传输会话的流量将继续通过先前指定的端点进行路由。

注意

指定接口端点时，用户无法使用 Internet 端点进行流式传输。