为 WorkSpaces 配置 VPC - 亚马逊 WorkSpaces

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 WorkSpaces 配置 VPC

WorkSpaces 启动您的 WorkSpaces 在 Virtual Private Cloud (VPC) 中。您的 WorkSpaces 必须具有 Internet 的访问权限,以便您使用 Amazon 将更新安装到操作系统以及部署应用程序。 WorkSpaces 应用程序管理器(Amazon WAM)。

您可以为您的自己创建具有两个私有子网的 VPC WorkSpaces 以及公有子网中的 NAT 网关。或者,您可以为您的 VPC 创建具有两个公有子网的 VPC。 WorkSpaces 并将弹性 IP 地址与每个 WorkSpace 关联起来。

提示

有关各种部署场景的目录和虚拟私有云 (VPC) 设计注意事项的详细探索,请参阅部署 Amazon WorkSpaces 的最佳实践白皮书。

要求

您的 VPC 子网必须位于您要启动 WorkSpaces 的区域中不同的可用区。可用区是被设计为可以隔离其他可用区的故障的不同位置。通过启动独立可用区内的实例,您可以保护您的应用程序不受单一位置故障的影响。每个子网都必须完全位于一个可用区之内,不能跨越多个可用区。

注意

亚马逊 WorkSpaces 在每个受支持区域的可用区的子集中提供。要确定可以将哪些可用区用于 WorkSpaces 的 VPC 子网,请参阅适用于 Amazon WorkSpaces 的可用区.

配置具有私有子网和 NAT 网关的 VPC

如果您使用 AWS Directory Service 来创建 AWS 托管的 Microsoft AD 或 Simple AD,我们建议您使用一个公有子网和两个私有子网来配置 VPC。配置您的目录以启动您的 WorkSpaces 在私有子网中。提供互联网接入 WorkSpaces 在私有子网中,在公有子网中配置一个 NAT 网关。


            配置 WorkSpaces VPC

先决条件

如果您还不熟悉使用 VPC 和子网,我们建议您阅读针对 IPv4 的 VPC 和子网大小调整中的Amazon VPC User Guide在执行以下任务之前。

注意

作为以下配置具有私有子网和 NAT 网关的 VPC 的过程的替代方案,您可以按照 “入门项目” 教程,详细介绍了如何设置 VPC 以及您的 VPC WorkSpaces 目录。该教程还介绍了如何启动 WorkSpaces、创建自定义映像和捆绑包,以及如何执行与管理 WorkSpaces 相关的其他任务。

第 1 步:分配弹性 IP 地址

按照如下所示为您的 NAT 网关分配弹性 IP 地址。请注意,如果您使用其他方法来提供 Internet 访问,则可以跳过此步骤。

分配弹性 IP 地址

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Elastic IPs

  3. 选择 Allocate Elastic IP address (分配弹性 IP 地址)

  4. 在存储库的分配弹性 IP 地址页面,为公有 IPv4 地址池,选择Amazon IPv4 地址池您带给您的公有 IPv4 地址AWS帐户,或者客户拥有的 IPv4 地址池,然后选择分配.

  5. 记下弹性 IP 地址,然后选择关闭

第 2 步:创建 VPC

按照如下所示创建具有一个公有子网和两个私有子网的 VPC。

创建 VPC

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择左上角的 VPC Dashboard (VPC 控制面板)

  3. 选择 Launch VPC Wizard (启动 VPC 向导)

  4. 选择 VPC with Public and Private Subnets,然后选择 Select

  5. 按下面所示配置 VPC:

    1. 对于 IPv4 CIDR 块,输入 VPC 的 CIDR 块。我们建议您使用私有(非公共可路由)IP 地址范围(RFC 1918 中所指定)内的 CIDR 块。例如,10.0.0.0/16。有关更多信息,请参阅 。针对 IPv4 的 VPC 和子网大小调整中的Amazon VPC User Guide.

    2. 对于 IPv6 CIDR 块,保留无 IPv6 CIDR 块

    3. VPC 名称中,输入 VPC 的名称。

  6. 按照如下所示配置公有子网:

    1. 对于 IPv4 CIDR 块,输入子网的 CIDR 块。例如,10.0.0.0/24。有关更多信息,请参阅 。针对 IPv4 的 VPC 和子网大小调整中的Amazon VPC User Guide.

    2. 对于可用区,保留无首选项

    3. 对于公有子网名称,输入子网的名称(例如,WorkSpaces Public Subnet)。

  7. 按照如下所示配置第一个私有子网:

    1. 对于私有子网的 IPv4 CIDR,输入子网的 CIDR 块。例如,10.0.1.0/24

    2. 要进行适当的选择可用区,请参阅适用于 Amazon WorkSpaces 的可用区.

    3. 对于私有子网名称,输入子网的名称(例如,WorkSpaces Private Subnet 1)。

  8. 对于 Elastic IP Allocation ID,选择您创建的弹性 IP 地址。请注意,如果您使用其他方法来提供 Internet 访问,则可以跳过此步骤。

  9. 对于服务终端节点,不执行任何操作。

  10. 对于启用 DNS 主机名,保留

  11. 对于硬件租赁,请保留默认值

  12. 选择 Create VPC (创建 VPC)。请注意,设置您的 VPC 可能需要几分钟。创建了 VPC 后,选择 OK

注意

您可以将 IPv6 CIDR 块与您的 VPC 和子网关联。但是,如果您将子网配置为自动向子网中启动的实例分配 IPv6 地址,则无法使用 Graphics 服务包。(你可以使用 graphics.g4dn、graphicspro.g4dn 和 GraphicsPro 不过,捆绑包。) 此限制来自不支持 IPv6 的上一代实例类型的硬件限制。

要解决此问题,您可以暂时禁用自动分配 IPv6 地址在上设置 WorkSpaces 在启动 Graphics 服务包之前,请在启动 Graphics 服务包之后重新启用此设置(如果需要),这样所有其他服务包就可以接收所需的 IP 地址。

默认情况下,禁用自动分配 IPv6 地址设置。要从 Amazon VPC 控制台检查此设置,请在导航窗格中选择。Subnets. 选择子网,然后依次选择操作修改自动分配公有 IP

有关使用 IPv6 地址的更多信息,请参阅。您的 VPC 中的 IP 地址中的Amazon VPC User Guide.

第 3 步:添加第二个私有子网

在上一步中,您创建了具有一个公有子网和一个私有子网的 VPC。使用以下过程添加第二个私有子网。

添加私有子网

  1. 在导航窗格中,选择 Subnets (子网)

  2. 选择 Create Subnet

  3. 对于名称标签,输入私有子网的名称(例如,WorkSpaces Private Subnet 2)。

  4. 对于 VPC,选择您创建的 VPC。

  5. 要进行适当的选择可用区,请参阅适用于 Amazon WorkSpaces 的可用区. 确保您选择的可用区与为其选择的可用区不同步骤 7早期。

  6. 对于 IPv4 CIDR 块,输入子网的 CIDR 块。例如,10.0.2.0/24

  7. 选择CreateClose.

第 4 步:验证并命名路由表

您可以验证并命名各个子网的路由表。

验证并命名路由表

  1. 在导航窗格中,选择子网,然后选择您创建的公有子网。

    1. Route Table 选项卡上,选择路由表的 ID (例如,rtb-12345678)。

    2. 选择路由表。在 Name (名称) 中,选择编辑图标(铅笔),输入一个名称(例如 workspaces-public-routetable),然后选择复选标记以保存该名称。

    3. 路由选项卡上,确认有一个路由用于发送本地流量,另一个路由用于向 VPC 的 Internet 网关发送所有其他流量。例如,您应该看到与下表中的条目类似。

      目标 目标
      10.0.0.0/16 本地
      0.0.0.0/0 igw-12345678
  2. 在导航窗格中,选择 Subnets (子网),然后选择您创建的第一个私有子网(例如 WorkSpaces Private Subnet 1)。

    1. 路由表选项卡上,选择路由表的 ID。

    2. 选择路由表。在 Name (名称) 中,选择编辑图标(铅笔),输入一个名称(例如 workspaces-private-routetable),然后选择复选标记以保存该名称。

    3. Routes 选项卡上,确认有一个路由用于发送本地流量,另一个路由用于向 NAT 网关发送所有其他流量。例如,您应该看到与下表中的条目类似。

      目标 目标
      10.0.0.0/16 本地
      0.0.0.0/0 nat-12345678
      注意

      为您的网络提供访问权限 WorkSpaces 在私有子网中,确保在公有子网中配置了 NAT 网关。

  3. 在导航窗格中,选择 Subnets (子网),然后选择您创建的第二个私有子网(例如 WorkSpaces Private Subnet 2)。在 Route Table (路由表) 选项卡上,验证路由表是否为私有路由表(例如,workspaces-private-routetable)。如果路由表不同,请选择编辑,然后选择此路由表。

第 5 步:路线你的 WorkSpaces 到子网

要路由你的 WorkSpaces 到 VPC 的子网,请确保在设置您的 VPC 和子网的过程中选择您的 VPC 和子网 WorkSpaces 目录。

设置 WorkSpaces 目录,请参阅使用 WorkSpaces 启动虚拟桌面,然后选择你想要使用的目录类型的教程 (AWS托管的 Microsoft AD、Simple AD、AD Connector 或您之间的信任关系AWS托管的 Microsoft AD 目录和本地域)。

配置具有公有子网的 VPC

如果您愿意,您可以创建具有两个公有子网的 VPC。提供互联网接入 WorkSpaces 在公有子网中,将目录配置为自动或手动为每个 WorkSpace 分配一个弹性 IP 地址。

先决条件

如果您还不熟悉使用 VPC 和子网,我们建议您阅读针对 IPv4 的 VPC 和子网大小调整中的Amazon VPC User Guide在执行以下任务之前。

第 1 步:创建 VPC

如下所示创建具有一个公有子网的 VPC。

创建 VPC

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择左上角的 VPC Dashboard (VPC 控制面板)

  3. 选择 Launch VPC Wizard (启动 VPC 向导)

  4. 选择带单个公有子网的 VPC,然后选择选择

  5. 对于 IPv4 CIDR 块,输入 VPC 的 CIDR 块。我们建议您使用私有(非公共可路由)IP 地址范围(RFC 1918 中所指定)内的 CIDR 块。例如,10.0.0.0/16。有关更多信息,请参阅 。针对 IPv4 的 VPC 和子网大小调整中的Amazon VPC User Guide.

  6. 对于 IPv6 CIDR 块,保留无 IPv6 CIDR 块

  7. VPC 名称中,输入 VPC 的名称。

  8. 对于公有子网的 IPv4 CIDR,输入子网的 CIDR 块。例如,10.0.0.0/24。有关更多信息,请参阅 。针对 IPv4 的 VPC 和子网大小调整中的Amazon VPC User Guide.

  9. 要进行适当的选择可用区,请参阅适用于 Amazon WorkSpaces 的可用区.

  10. (可选)对于子网名称,输入子网的名称。

  11. 对于服务终端节点,不执行任何操作。

  12. 对于启用 DNS 主机名,保留

  13. 对于硬件租赁,请保留默认值

  14. 选择 Create VPC (创建 VPC)。创建了 VPC 后,选择 OK

注意

您可以将 IPv6 CIDR 块与您的 VPC 和子网关联。但是,如果您将子网配置为自动向子网中启动的实例分配 IPv6 地址,则无法使用 Graphics 服务包。(您可以使用 GraphicsPro 不过,捆绑包。) 此限制来自不支持 IPv6 的上一代实例类型的硬件限制。

要解决此问题,您可以暂时禁用自动分配 IPv6 地址在上设置 WorkSpaces 在启动 Graphics 服务包之前,请在启动 Graphics 服务包之后重新启用此设置(如果需要),这样所有其他服务包就可以接收所需的 IP 地址。

默认情况下,禁用自动分配 IPv6 地址设置。要从 Amazon VPC 控制台检查此设置,请在导航窗格中选择。Subnets. 选择子网,然后依次选择操作修改自动分配公有 IP

有关使用 IPv6 地址的更多信息,请参阅。您的 VPC 中的 IP 地址中的Amazon VPC User Guide.

第 2 步:添加第二个公有子网

在上一步中,您创建了具有一个公有子网的 VPC。使用以下过程可添加第二个公有子网,并将其与第一个公有子网的路由表关联,而第一个公有子网具有指向 VPC 的 Internet 网关的路由。

添加公有子网

  1. 在导航窗格中,选择 Subnets (子网)

  2. 选择 Create Subnet

  3. 对于名称标签,输入子网的名称。

  4. 对于 VPC,选择您创建的 VPC。

  5. 要进行适当的选择可用区,请参阅适用于 Amazon WorkSpaces 的可用区. 确保您选择的可用区与为其选择的可用区不同步骤 9早期。

  6. 对于 IPv4 CIDR 块,输入子网的 CIDR 块。例如,10.0.1.0/24

  7. 选择 Create (创建)。创建子网后,选择关闭

  8. 将新的公有子网与为第一个子网创建的路由表关联:

    1. 在导航窗格中,选择 Subnets (子网)

    2. 选择第一个子网。

    3. 路由表选项卡上,选择路由表的 ID。

    4. 子网关联选项卡上,选择编辑子网关联

    5. 选中第二个子网(您刚创建的公有子网)的复选框,然后选择 Save (保存)

第 3 步:分配弹性 IP 地址

你可以分配弹性 IP 地址(静态公有 IP 地址)到你的 WorkSpaces 自动或手动。要使用自动分配,请参阅配置自动 IP 地址。要手动分配弹性 IP 地址,请使用以下过程。

警告

我们建议您不要修改其 elastic network interface。 WorkSpace 启动之后。如果您在目录级别启用了弹性 IP 地址自动分配,则会为您的弹性 IP 地址(来自 Amazon 提供的池)。 WorkSpace 什么时候启动。但是,如果您将您拥有的弹性 IP 地址与 WorkSpace 关联,稍后您将该弹性 IP 地址与 WorkSpace 取消关联,则 WorkSpace 失去其公有 IP 地址,并且不会自动从 Amazon 提供的池中获取新的 IP 地址。

要将 Amazon 提供的池中的新公有 IP 地址与 WorkSpace 关联,您必须重建 WorkSpace。如果您不想重建 WorkSpace,必须将您拥有的另一个弹性 IP 地址与 WorkSpace 关联。

为分配弹性 IP 地址 WorkSpace 手动

有关如何为 WorkSpace 分配弹性 IP 地址的视频教程,请参阅AWS知识中心视频如何将弹性 IP 地址与 WorkSpace 关联起来?.

  1. 打开 WorkSpaces 控制台在https://console.aws.amazon.com/workspaces/.

  2. 在导航窗格中,选择 WorkSpaces

  3. 展开该行(选择箭头图标)以执行 WorkSpace 并注意的价值WorkSpace IP. 这是 WorkSpace 的主要私有 IP 地址。

  4. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  5. 在导航窗格中,选择 Elastic IPs。如果您没有可用的弹性 IP 地址,请选择分配弹性 IP 地址然后选择Amazon IPv4 地址池要么客户拥有的 IPv4 地址池,然后选择分配. 记下新的 IP 地址。

  6. 在导航窗格中,选择 Network Interfaces

  7. 为您的 WorkSpace 选择网络接口。要查找 WorkSpace 的网络接口,请输入WorkSpace IP值(你之前在中注意到步骤 3) 在搜索框中,然后按Enter. 这些区域有:WorkSpace IP值与网络接口中的值匹配主要私有 IPv4 IP 地址column. 请注意,网络接口的VPC ID值与你的 ID 匹配 WorkSpaces VPC。

  8. 依次选择 ActionsManage IP Addresses。选择分配新 IP,然后选择是,更新。记下新的 IP 地址。

  9. 依次选择 ActionsAssociate Address

  10. 关联弹性 IP 地址页面上,从地址中选择一个弹性 IP 地址。对于关联到私有 IP 地址,请指定新的私有 IP 地址,然后选择关联地址

第 4 步:路线你的 WorkSpaces 到子网

要路由你的 WorkSpaces 到 VPC 的子网,请确保在设置您的 VPC 和子网的过程中选择您的 VPC 和子网 WorkSpaces 目录。

设置 WorkSpaces 目录,请参阅使用 WorkSpaces 启动虚拟桌面,然后选择你想要使用的目录类型的教程 (AWS托管的 Microsoft AD、Simple AD、AD Connector 或您之间的信任关系AWS托管的 Microsoft AD 目录和本地部署域)。