VPC 设置建议

以下建议可帮助您更安全有效地配置 VPC。

VPC 整体配置

• 确保您的 VPC 配置可以支持扩展需求。

• 确保您的 WorkSpaces 安全浏览器服务配额（也称为限制）足以满足您的预期需求。要请求提高配额，可以使用服务限额控制台，网址为：https://console.aws.amazon.com/servicequotas/。有关默认 WorkSpaces 安全浏览器配额的信息，请参阅管理门户的服务配额。

• 如果您计划为直播会话提供互联网访问权限，我们建议您在公有子网中配置带有 NAT 网关的 VPC。

弹性网络接口

• 在直播期间，每个 WorkSpaces 安全浏览器会话都需要自己的 elastic network 接口。 WorkSpaces Secure Browser 创建的弹性网络接口 (ENI) 数量与队列所需的最大容量一样多。默认情况下，每个区域的 ENI 限制为 5000。有关更多信息，请参阅网络接口。

  在为超大型部署（例如数千个并发流会话）规划容量时，请考虑峰值用量可能需要的 ENI 数量。我们建议您将 ENI 限制保持在您为 Web 门户配置的最大并发使用限制或高于该限制。

子网

• 在制定扩大用户规模的计划时，请记住，每个 WorkSpaces 安全浏览器会话都需要来自已配置子网的唯一客户端 IP 地址。因此，子网上配置的客户端 IP 地址空间的大小决定了可以同时进行流会话的用户数量。

• 我们建议使用允许足够客户端 IP 地址数的子网掩码配置各个子网，以容纳预期的最大并发用户数。此外，考虑添加额外的 IP 地址来容纳预期的增长。有关更多信息，请参阅针对 IPv4 的 VPC 和子网大小调整。

• 出于可用性和扩展方面的考虑，我们建议您在所需区域中 WorkSpaces 安全浏览器支持的每个唯一可用区中配置一个子网。有关更多信息，请参阅 创建和配置新 VPC。

• 请确保可通过您的子网访问 Web 应用程序所需的网络资源。

安全组

• 使用安全组向您的 VPC 提供额外的访问控制。

  属于您的 VPC 的安全组允许您控制 WorkSpaces 安全浏览器流式传输实例与 Web 应用程序所需的网络资源之间的网络流量。确保安全组提供了对 Web 应用程序所需网络资源的访问权限。