本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
教程:从接口 VPC 端点创建和流式传输
您可以使用亚马逊 Web Services 账户中的接口 VPC 终端节点,将您的亚马逊 VPC 和 AppStream 2.0 之间的所有网络流量限制到亚马逊网络。创建此端点后,您可以将 AppStream 2.0 堆栈或映像生成器配置为使用它。
先决条件
在为 AppStream 2.0 设置接口 VPC 终端节点之前,请注意以下先决条件:
需要互联网连接才能对用户进行身份验证并交付 AppStream 2.0 运行所需的网络资产。流式接口端点用于维护 VPC 内的流式传输流量。流式传输流量包括像素、USB、用户输入、音频、剪贴板、文件上传和下载以及打印机流量。要允许此流量,您必须允许允许的域中列出的域。创建 VPC 终端节点后,必须允许 AppStream 2.0 用户身份验证域。但是,对于流媒体网关,您可以将访问权限限制为 < vpc-endpoint-id >.streaming.appstream。 <aws-region>.vpce.amazonaws.com。不要求允许在 *.amazonappstream.com 上发布商品。VPC 终端节点完全限定域名取代了该依赖关系。
用户设备所连接的网络必须能够将流量路由到接口端点。
与接口端点关联的安全组必须允许从用户连接的 IP 地址范围对端口 443 (TCP) 和端口1400-1499 (TCP) 进行入站访问。
子网的网络访问控制列表必须允许从短暂网络端口 1024-65535 (TCP) 到用户连接的 IP 地址范围的出站流量。
您的中必须有一个 IAM 权限策略 AWS 账户 ,该策略提供执行
ec2:DescribeVpcEndpointsAPI 操作的权限。默认情况下,此权限是在附加到该 AmazonAppStreamServiceAccess 角色的 IAM 策略中定义的。如果您拥有所需的权限,则在您开始使用某个 AWS 区域的 AppStream 2.0 服务时,2.0 会自动创建此服务角色,并附加所需的 IAM 策略。 AppStream 有关更多信息,请参阅 适用于亚马逊 AppStream 2.0 的身份和访问管理。
创建接口端点
打开位于 https://console.aws.amazon.com/vpc/
的 Amazon VPC 控制台。 在导航窗格中,选择端点、创建端点。
选择 Create Endpoint(创建端点)。
对于服务类别,请确保选择了 AWS 服务。
对于 Service Name (服务名称),选择
com.amazonaws.<AWS 区域>.appstream.streaming。指定以下信息。完成后,选择 Create Endpoint。
对于 VPC,选择要在其中创建接口端点的 VPC。您可以选择不同于具有 AppStream 2.0 资源的 VPC 的 VPC。
对于子网,选择要在其中创建端点网络接口的子网(可用区)。我们建议您在至少两个可用区中选择子网。
确保 Enable Private DNS Name (启用私有 DNS 名称) 复选框处于选中状态。
注意
如果您的用户使用网络代理访问流式实例,请禁用与私有端点相关联的域和 DNS 名称上的任何代理缓存。
对于 Security group (安全组),选择要与端点网络接口关联的安全组。
注意
该安全组必须从用户连接的 IP 地址范围提供对端口的入站访问。
在创建接口端点时,控制台中端点的状态显示为 Pending (待定)。在创建端点之后,状态将变为 Available (可用)。
要更新堆栈以使用您为流式传输会话创建的接口端点,请执行以下步骤。
更新堆栈以使用新接口端点
在 https://console.aws.amazon.com/appst AppStream
ream2 上打开 2.0 控制台。 确保在与要使用的接口终端节点相同的 AWS 区域中打开控制台。
在导航窗格中,选择 Stacks (堆栈),然后选择您想要的堆栈。
选择 VPC 端点选项卡,然后选择编辑。
在编辑 VPC 端点对话框中,对于流式传输端点,选择要通过其流式传输流量的端点。
选择更新。
新的流式传输会话的流量都将路由通过此端点。但是,当前流式传输会话的流量将继续通过先前指定的端点进行路由。
注意
指定接口端点时,用户无法使用 Internet 端点进行流式传输。
