本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
从接口 VPC 端点创建和流式传输
您可以使用 Amazon Web Services 账户中的接口 VPC 端点,将您的 Amazon VPC 与 AppStream 2.0 之间的所有网络流量限制在 Amazon 网络中。在创建此端点后,您配置 AppStream 2.0 堆栈或映像生成器以使用它。
先决条件
在为 AppStream 2.0 设置接口 VPC 端点之前,请注意以下先决条件:
需要 Internet 连接来验证用户身份并提供 AppStream 2.0 正常运行所需的 Web 资产。流式接口端点在您的 VPC 内维护流式传输流量。流式传输流量,包括像素、USB、用户输入、音频、剪贴板、文件上传和下载以及打印机流量。要允许此流量,您必须允许允许的域中列出的域。
用户设备所连接的网络必须能够将流量路由到接口端点。
与接口端点关联的安全组必须允许从用户连接的 IP 地址范围对端口 443 (TCP) 和端口1400-1499 (TCP) 进行入站访问。
子网的网络访问控制列表必须允许从短暂网络端口 1024-65535 (TCP) 到用户连接的 IP 地址范围的出站流量。
您的 AWS 账户中必须具有 IAM 权限策略,该策略提供执行
ec2:DescribeVpcEndpoints
API 操作的权限。默认情况下,此权限在附加到 AmazonAppStreamServiceAccess 角色的 IAM 策略中定义。如果您具有所需的权限,则当您在 AWS 区域中开始使用 AppStream 2.0 服务时,AppStream 2.0 将自动创建该服务角色,同时附加所需的 IAM 策略。有关更多信息,请参阅适用于亚马逊 AppStream 2.0 的身份和访问管理。
创建接口端点
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。 在导航窗格中,选择 Endpoints、Create Endpoint。
选择 Create Endpoint(创建端点)。
对于服务类别,请确保选中 AWS 服务。
对于服务名称,选择
com.amazonaws.
<AWS 区域>
.appstream.streaming
。指定以下信息。完成后,选择 Create Endpoint。
对于 VPC,选择要在其中创建接口端点的 VPC。您可以选择与具有 AppStream 2.0 资源的 VPC 不同的 VPC。
对于子网,选择要在其中创建端点网络接口的子网(可用区)。我们建议您在至少两个可用区中选择子网。
确保 Enable Private DNS Name (启用私有 DNS 名称) 复选框处于选中状态。
注意
如果您的用户使用网络代理访问流式实例,请禁用与私有端点相关联的域和 DNS 名称上的任何代理缓存。
对于 Security group (安全组),选择要与端点网络接口关联的安全组。
注意
该安全组必须从用户连接的 IP 地址范围提供对端口的入站访问。
在创建接口端点时,控制台中端点的状态显示为 Pending (待定)。在创建端点之后,状态将变为 Available (可用)。
要更新堆栈以使用您为流式传输会话创建的接口端点,请执行以下步骤。
更新堆栈以使用新接口端点
打开 AppStream 2.0 控制台,网址为 https://console.aws.amazon.com/appstream2
。 确保在与要使用的接口端点相同的 AWS 区域中打开控制台。
在导航窗格中,选择 Stacks (堆栈),然后选择您想要的堆栈。
选择 VPC 端点选项卡,然后选择编辑。
在编辑 VPC 端点对话框中,对于流式传输端点,选择要通过其流式传输流量的端点。
选择更新。
新的流式传输会话的流量都将路由通过此端点。但是,当前流式传输会话的流量将继续通过先前指定的端点进行路由。
注意
指定接口端点时,用户无法使用 Internet 端点进行流式传输。