从接口 VPC 终端节点创建和流式传输

您可以使用 Amazon Web Services 账户中的接口 VPC 终端节点，将您的 Amazon VPC 与 AppStream 2.0 之间的所有网络流量限制在 Amazon 网络中。在创建此终端节点后，您配置 AppStream 2.0 堆栈或映像生成器以使用它。

先决条件

在为 AppStream 2.0 设置接口 VPC 终端节点之前，请注意以下先决条件：

• 需要 Internet 连接来验证用户身份并提供 AppStream 2.0 所需的 Web 资产。流式接口终端节点在您的 VPC 内维护流式传输流量。流式传输流量，包括像素、USB、用户输入、音频、剪贴板、文件上传和下载以及打印机流量。要允许此流量，您必须允许允许的域中列出的域。

• 用户设备所连接的网络必须能够将流量路由到接口终端节点。

• 与接口终端节点关联的安全组必须允许从用户连接的 IP 地址范围对端口 443 (TCP) 和端口1400-1499 (TCP) 进行入站访问。

• 子网的网络访问控制列表必须允许从短暂网络端口 1024-65535 (TCP) 到用户连接的 IP 地址范围的出站流量。

• 您的 AWS 账户中必须具有 IAM 权限策略，该策略提供执行ec2:DescribeVpcEndpointsAPI 操作。默认情况下，此权限在附加到 AmazonAppStreamServiceAccess 角色的 IAM 策略中定义。如果您具有所需的权限，则当您在AWS区域。有关更多信息，请参阅 适用于 Amazon AppStream 2.0 的 IdIdentity and Access Management tity。

创建接口终端节点

1. 通过以下网址打开 Amazon VPC 控制台：https://console.aws.amazon.com/vpc/。

2. 在导航窗格中，选择 Endpoints、Create Endpoint。

3. 选择 Create Endpoint（创建端点）。

4. 适用于服务类别，确保 AWS服务已选择。

5. 适用于服务名称，选择com.amazonaws.<AWS Region>.appstream.streaming.

6. 指定以下信息。完成后，选择 Create Endpoint。

   • 对于 VPC，选择要在其中创建接口终端节点的 VPC。您可以选择与具有 AppStream 2.0 资源的 VPC 不同的 VPC。

   • 对于子网，选择要在其中创建终端节点网络接口的子网（可用区）。我们建议您在至少两个可用区中选择子网。

   • 确保 Enable Private DNS Name (启用私有 DNS 名称) 复选框处于选中状态。

     注意

     如果您的用户使用网络代理访问流式实例，请禁用与私有终端节点相关联的域和 DNS 名称上的任何代理缓存。

   • 对于 Security group (安全组)，选择要与终端节点网络接口关联的安全组。

     注意

     该安全组必须从用户连接的 IP 地址范围提供对端口的入站访问。

在创建接口端点时，控制台中端点的状态显示为 Pending (待定)。在创建终端节点之后，状态将变为 Available (可用)。

要更新堆栈以使用您为流会话创建的接口终端节点，请执行以下步骤。

更新堆栈以使用新接口终端节点

1. 在打开 AppStream 2.0 控制台https://console.aws.amazon.com/appstream2.

   确保同时打开控制台AWS区域作为您要使用的接口终端节点。

2. 在导航窗格中，选择 Stacks (堆栈)，然后选择您想要的堆栈。

3. 选择VPC 终端节点选择选项卡，然后选择编辑.

4. 在编辑 VPC 终端节点“对话框”，用于串流端点中，选择流量流通过的终端节点。

5. 选择 Update（更新）。

新的流会话的流量都将路由通过此终端节点。但是，当前流会话的流量将继续通过先前指定的终端节点进行路由。

注意

指定接口终端节点时，用户无法使用 Internet 终端节点进行流式处理。