Regionsübergreifende Weiterleitung für Personal WorkSpaces - Amazon WorkSpaces
VoraussetzungenEinschränkungenSchritt 1: Erstellen von Verbindungsaliasen(Optional) Schritt 2: Teilen eines Verbindungsalias mit einem anderen KontoSchritt 3: Verknüpfen von Verbindungsaliasen mit Verzeichnissen in jeder RegionSchritt 4: Konfigurieren Ihres DNS-Service und Einrichten von DNS-Routing-RichtlinienSchritt 5: Senden Sie die Verbindungszeichenfolge an Ihre WorkSpaces BenutzerArchitekturdiagramm für die regionsübergreifende UmleitungInitiieren Sie die regionsübergreifende UmleitungWas passiert bei der regionsübergreifenden Umleitung?Trennen der Zuordnung eines Verbindungsalias zu einem VerzeichnisFreigeben eines Verbindungsalias rückgängig machenLöschen eines VerbindungsaliasIAM-Berechtigungen für das Zuordnen und Trennen eines VerbindungsaliasSicherheitsüberlegungen beim Beenden der Verwendung der regionsübergreifenden Umleitung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regionsübergreifende Weiterleitung für Personal WorkSpaces

Mit der regionsübergreifenden Umleitungsfunktion in Amazon WorkSpaces können Sie einen vollqualifizierten Domainnamen (FQDN) als Registrierungscode für Ihren verwenden. WorkSpaces Die regionsübergreifende Umleitung arbeitet mit Ihren DNS-Routing-Richtlinien (Domain Name System) zusammen, um Ihre WorkSpaces Benutzer zu einer Alternative weiterzuleiten, WorkSpaces wenn ihre primären Adressen nicht verfügbar sind. WorkSpaces Mithilfe von DNS-Failover-Routing-Richtlinien können Sie beispielsweise Ihre Benutzer mit einer AWS Failover-Region verbinden, wenn sie nicht auf ihre WorkSpaces in der primären Region zugreifen können. WorkSpaces

Sie können die regionsübergreifende Umleitung zusammen mit Ihren DNS-Failover-Routingrichtlinien verwenden, um regionale Stabilität und hohe Verfügbarkeit zu erreichen. Sie können diese Funktion auch für andere Zwecke verwenden, z. B. zur Verteilung des Datenverkehrs oder zur Bereitstellung von Alternativen WorkSpaces während Wartungsarbeiten. Wenn Sie Amazon Route 53 für Ihre DNS-Konfiguration verwenden, können Sie Integritätsprüfungen nutzen, die CloudWatch Amazon-Alarme überwachen.

Um diese Funktion nutzen zu können, müssen Sie sie WorkSpaces für Ihre Benutzer in zwei (oder mehr) AWS Regionen einrichten. Sie müssen ebenfalls spezielle, FQDN-basierte Registrierungscodes erstellen, auch Verbindungsaliase genannt. Diese Verbindungsaliase ersetzen regionsspezifische Registrierungscodes für Ihre Benutzer. WorkSpaces (Die regionsspezifischen Registrierungscodes bleiben gültig. Damit die regionsübergreifende Umleitung funktioniert, müssen Ihre Benutzer jedoch stattdessen den FQDN als ihren Registrierungscode verwenden.)

Geben Sie zur Erstellung eines Verbindungsalias eine Verbindungszeichenfolge an, bei der es sich um einen FQDN handelt, z. B. www.example.com oder desktop.example.com. Sie müssen ihn bei einem Domain-Registrar registrieren und den DNS-Service für Ihre Domain konfigurieren, um diese Domain für die regionsübergreifende Umleitung zu verwenden.

Nachdem Sie Ihre Verbindungsaliase erstellt haben, verknüpfen Sie sie mit Ihren WorkSpaces Verzeichnissen in verschiedenen Regionen, um Zuordnungspaare zu erstellen. Jedes Zuordnungspaar verfügt über eine primäre Region und eine oder mehrere Failover-Regionen. Wenn in der primären Region ein Ausfall auftritt, leiten Ihre DNS-Failover-Routing-Richtlinien Ihre WorkSpaces Benutzer zu der Region weiter WorkSpaces , die Sie für sie in der Failover-Region eingerichtet haben.

Definieren Sie bei der Konfiguration Ihrer DNS-Failover-Routing-Richtlinien die Regionspriorität (entweder primär oder sekundär), um Ihre primären Regionen und Ihre Failover-Regionen festzulegen.

Voraussetzungen

  • Sie müssen Besitzer der Domain sein, die Sie als FQDN in Ihren Verbindungsaliasnamen verwenden möchten. Sie müssen sie außerdem registrieren. Wenn Sie noch keinen anderen Domain-Registrar verwenden, können Sie Amazon Route 53 verwenden, um Ihre Domain zu registrieren. Weitere Informationen finden Sie unter Registrieren von Domain-Namen mithilfe von Amazon Route 53 im Entwicklerhandbuch für Amazon Route 53.

    Wichtig

    Sie müssen über alle erforderlichen Rechte verfügen, um jeden Domainnamen verwenden zu können, den Sie in Verbindung mit Amazon verwenden WorkSpaces. Sie erklären sich damit einverstanden, dass der Domainname keine gesetzlichen Rechte Dritter verletzt oder anderweitig gegen geltendes Recht verstößt.

    Die Gesamtlänge Ihres Domainnamens darf 255 Zeichen nicht überschreiten. Weitere Informationen zu Domainnamen finden Sie unter DNS-Domainnamenformat im Amazon-Route 53-Entwicklerhandbuch.

    Die regionsübergreifende Umleitung funktioniert sowohl mit öffentlichen Domainnamen als auch mit Domainnamen in privaten DNS-Zonen. Wenn Sie eine private DNS-Zone verwenden, müssen Sie eine VPN-Verbindung (Virtual Private Network) zu der Virtual Private Cloud (VPC) bereitstellen, die Ihre WorkSpaces enthält. Wenn Ihre WorkSpaces Benutzer versuchen, einen privaten FQDN aus dem öffentlichen Internet zu verwenden, geben die WorkSpaces Client-Anwendungen die folgende Fehlermeldung zurück:

    "We're unable to register the WorkSpace because of a DNS server issue. Contact your administrator for help."

  • Sie müssen Ihren DNS-Service einrichten und die erforderlichen DNS-Routing-Richtlinien konfigurieren. Die regionsübergreifende Umleitung funktioniert in Verbindung mit Ihren DNS-Routingrichtlinien, um Ihre WorkSpaces Benutzer nach Bedarf umzuleiten.

  • Erstellen Sie in jeder primären Region und in jeder Failover-Region, in der Sie eine regionsübergreifende Umleitung einrichten möchten, eine für Ihre Benutzer. WorkSpaces Stellen Sie sicher, dass Sie in jedem WorkSpaces Verzeichnis in jeder Region dieselben Benutzernamen verwenden. Um Ihre Active Directory-Benutzerdaten synchron zu halten, empfehlen wir, AD Connector zu verwenden, um in jeder Region, in der Sie WorkSpaces für Ihre Benutzer eingerichtet haben, auf dasselbe Active Directory zu verweisen. Weitere Informationen zum Erstellen finden Sie WorkSpaces unter Launch WorkSpaces.

    Wichtig

    Wenn Sie Ihr AWS verwaltetes Microsoft AD-Verzeichnis für die Replikation in mehreren Regionen konfigurieren, kann nur das Verzeichnis in der primären Region für die Verwendung bei Amazon WorkSpaces registriert werden. Versuche, das Verzeichnis in einer replizierten Region für die Verwendung mit Amazon zu registrieren, schlagen WorkSpaces fehl. Die regionsübergreifende Replikation mit AWS Managed Microsoft AD wird für die Verwendung mit Amazon WorkSpaces in replizierten Regionen nicht unterstützt.

    Wenn Sie mit der Einrichtung der regionsübergreifenden Umleitung fertig sind, müssen Sie sicherstellen, dass Ihre WorkSpaces Benutzer den FQDN-basierten Registrierungscode anstelle des regionsbasierten Registrierungscodes (z. B.) für ihre primäre Region verwenden. WSpdx+ABC12D Dazu müssen Sie ihnen eine E-Mail mit der FQDN-Verbindungszeichenfolge senden, indem Sie das Verfahren unter Schritt 5: Senden Sie die Verbindungszeichenfolge an Ihre WorkSpaces Benutzer verwenden.

    Anmerkung

    Wenn Sie Ihre Benutzer in der WorkSpaces Konsole erstellen, anstatt sie in Active Directory zu erstellen, sendet jedes Mal, wenn Sie eine neue Version starten, WorkSpaces automatisch eine Einladungs-E-Mail mit einem regionalen Registrierungscode an Ihre Benutzer. WorkSpace Das bedeutet, dass Ihre Benutzer bei der Einrichtung WorkSpaces für Ihre Benutzer in der Failover-Region auch automatisch E-Mails für diese Failover-Region erhalten. WorkSpaces Sie müssen Ihre Benutzer anweisen, E-Mails mit regionalen Registrierungscodes zu ignorieren.

Einschränkungen

  • Bei der regionsübergreifenden Umleitung wird nicht automatisch geprüft, ob Verbindungen zur primären Region fehlgeschlagen sind, und dann erfolgt ein WorkSpaces Failover zu einer anderen Region. Anders ausgedrückt: Ein automatisches Failover findet nicht statt.

    Sie müssen einen anderen Mechanismus in Verbindung mit der regionsübergreifenden Umleitung verwenden, um ein automatisches Failover-Szenario zu implementieren. Sie können beispielsweise eine Amazon Route 53-Failover-DNS-Routing-Richtlinie in Kombination mit einer Route 53-Zustandsprüfung verwenden, die einen CloudWatch Alarm in der primären Region überwacht. Wenn der CloudWatch Alarm in der primären Region ausgelöst wird, leitet Ihre DNS-Failover-Routing-Richtlinie Ihre WorkSpaces Benutzer dann zu der Richtlinie weiter WorkSpaces , die Sie für sie in der Failover-Region eingerichtet haben.

  • Wenn Sie die regionsübergreifende Umleitung verwenden, werden Benutzerdaten zwischen verschiedenen Regionen nicht dauerhaft gespeichert. WorkSpaces Um sicherzustellen, dass Benutzer von verschiedenen Regionen aus auf ihre Dateien zugreifen können, empfehlen wir Ihnen, Amazon WorkDocs für Ihre WorkSpaces Benutzer einzurichten, sofern Amazon in Ihren Primär- und Failover-Regionen unterstützt WorkDocs wird. Weitere Informationen zu Amazon WorkDocs finden Sie unter Amazon WorkDocs Drive im WorkDocs Amazon-Administratorhandbuch. Weitere Informationen zur Aktivierung von Amazon WorkDocs für Ihre WorkSpace Benutzer finden Sie unter Registrieren Sie ein Verzeichnis bei WorkSpaces Personal undAktivieren von Amazon WorkDocs für AWS Managed Microsoft AD. Informationen darüber, wie WorkSpaces Benutzer Amazon WorkDocs auf ihren Geräten einrichten können WorkSpaces, finden Sie unter Integrieren mit WorkDocs im WorkSpaces Amazon-Benutzerhandbuch.

  • Die regionsübergreifende Umleitung wird nur in Version 3.0.9 oder höher der Linux-, macOS- und WorkSpaces Windows-Clientanwendungen unterstützt. Sie können die regionsübergreifende Umleitung auch mit Web Access verwenden.

  • Die regionsübergreifende Umleitung ist in allen AWS Regionen verfügbar, in denen Amazon verfügbar WorkSpaces ist, mit Ausnahme der Regionen AWS GovCloud (US) Region S und China (Ningxia).

Schritt 1: Erstellen von Verbindungsaliasen

Verwenden Sie dasselbe AWS Konto und erstellen Sie Verbindungsaliase in jeder Primär- und Failover-Region, in der Sie die regionsübergreifende Umleitung einrichten möchten.

So stellen Sie einen Verbindungsalias her

  1. Öffnen Sie die Konsole unter https://console.aws.amazon.com/workspaces/ WorkSpaces .

  2. Wählen Sie in der oberen rechten Ecke der Konsole die primäre AWS Region für Ihre aus. WorkSpaces

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitung die Option Verbindungsalias erstellen aus.

  5. Geben Sie als Verbindungszeichenfolge einen vollqualifizierten Domain-Namen ein, (z. B. www.example.com oder desktop.example.com). Eine Verbindungszeichenfolge darf maximal 255 Zeichen lang sein. Sie darf nur Buchstaben (A–Z und a–z), Ziffern (0–9) und die folgenden Zeichen enthalten: .-

    Wichtig

    Nachdem Sie eine Verbindungszeichenfolge erstellt haben, ist diese immer mit Ihrem AWS Konto verknüpft. Eine Verbindungszeichenfolge kann nicht mit einem anderen Konto erneut erstellt werden, selbst wenn Sie alle Instances aus dem ursprünglichen Konto gelöscht haben. Die Verbindungszeichenfolge ist global für Ihr Konto reserviert.

  6. (Optional) Geben Sie unter Tags alle Tags an, die Sie Ihrem Verbindungsalias zuordnen möchten.

  7. Wählen Sie Verbindung erstellen aus.

  8. Wiederholen Sie diese Schritte, aber achten Sie daraufSchritt 2, dass Sie die Failover-Region für Ihre WorkSpaces auswählen. Wenn Sie über mehr als eine Failover-Region verfügen, wiederholen Sie diese Schritte für jede Failover-Region. Stellen Sie sicher, dass Sie dasselbe AWS Konto verwenden, um den Verbindungsalias in jeder Failover-Region zu erstellen.

(Optional) Schritt 2: Teilen eines Verbindungsalias mit einem anderen Konto

Sie können einen Verbindungsalias mit einem anderen AWS Konto in derselben AWS Region teilen. Bei Freigabe eines Verbindungsalias für ein anderes Konto kann dieses Konto nur dann den Alias einem seiner Verzeichnisse zuordnen oder eine Zuordnung aufheben, wenn es sich in derselben Region befindet. Nur das Konto, das den Verbindungsalias besitzt, kann den Alias löschen.

Anmerkung

Ein Verbindungsalias kann nur einem Verzeichnis pro AWS Region zugeordnet werden. Wenn Sie einen Verbindungsalias mit einem anderen AWS Konto teilen, kann nur ein Konto (Ihr Konto oder das gemeinsame Konto) den Alias einem Verzeichnis in dieser Region zuordnen.

Um einen Verbindungsalias mit einem anderen AWS Konto zu teilen

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die AWS Region aus, in der Sie den Verbindungsalias mit einem anderen AWS Konto teilen möchten.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Aktionen, Verbindungsalias freigeben/Freigabe aufheben aus.

    Sie können einen Alias auch auf der Detailseite des Verbindungsalias teilen. Wählen Sie dazu unter Freigegebenes Konto die Option Verbindungsalias freigeben aus.

  5. Geben Sie auf der Seite Verbindungsalias teilen/Teilen aufheben unter Mit einem Konto teilen die Konto-ID ein, mit der AWS Sie Ihren Verbindungsalias in dieser Region teilen möchten. AWS

  6. Wählen Sie Freigeben.

Schritt 3: Verknüpfen von Verbindungsaliasen mit Verzeichnissen in jeder Region

Wenn Sie denselben Verbindungsalias einem WorkSpaces Verzeichnis in zwei oder mehr Regionen zuordnen, entsteht ein Zuordnungspaar zwischen den Verzeichnissen. Jedes Zuordnungspaar verfügt über eine primäre Region und eine oder mehrere Failover-Regionen.

Wenn Ihre primäre Region beispielsweise die Region USA West (Oregon) ist, können Sie Ihr WorkSpaces Verzeichnis in der Region USA West (Oregon) mit einem WorkSpaces Verzeichnis in der Region USA Ost (Nord-Virginia) verknüpfen. Wenn in der primären Region ein Ausfall auftritt, funktioniert die regionsübergreifende Umleitung in Verbindung mit Ihren DNS-Failover-Routing-Richtlinien und allen Zustandsprüfungen, die Sie in der Region USA West (Oregon) durchgeführt haben, um Ihre Benutzer an die Region USA Ost (Nord-Virginia) weiterzuleiten, die WorkSpaces Sie für sie eingerichtet haben. Weitere Informationen zu regionsübergreifenden Umleitungen finden Sie unter Was passiert bei der regionsübergreifenden Umleitung?.

Anmerkung

Wenn sich Ihre WorkSpaces Benutzer in großer Entfernung von der Failover-Region befinden (z. B. Tausende von Kilometern entfernt), WorkSpaces reagieren sie möglicherweise weniger schnell als gewöhnlich. Verwenden Sie den Amazon WorkSpaces Connection Health Check, um die Hin- und Rückflugzeit (RTT) in die verschiedenen AWS Regionen von Ihrem Standort aus zu überprüfen.

So ordnen Sie einem Verzeichnis einen Verbindungsalias zu

Sie können einen Verbindungsalias nur einem Verzeichnis pro AWS Region zuordnen. Wenn Sie einen Verbindungsalias mit einem anderen AWS Konto geteilt haben, kann nur ein Konto (Ihr Konto oder das gemeinsame Konto) den Alias einem Verzeichnis in dieser Region zuordnen.

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die primäre AWS Region für Ihre aus. WorkSpaces

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Aktionen, Zuordnen/trennen aus.

    Sie können die Zuordnung eines Verbindungsalias zu einem Verzeichnis auch auf der Detailseite eines Verbindungsalias durchführen. Wählen Sie dazu unter Zugeordnetes Verzeichnis die Option Verzeichnis zuordnen aus.

  5. Wählen Sie auf der Seite Zuordnen/Zuordnen aufheben unter Einem Verzeichnis zuordnen das Verzeichnis aus, dem Sie Ihren Verbindungsalias in dieser Region zuordnen möchten. AWS

    Anmerkung

    Wenn Sie Ihr AWS verwaltetes Microsoft AD-Verzeichnis für die Replikation in mehreren Regionen konfigurieren, kann nur das Verzeichnis in der primären Region mit Amazon WorkSpaces verwendet werden. Versuche, das Verzeichnis in einer replizierten Region mit Amazon zu verwenden, schlagen WorkSpaces fehl. Die regionsübergreifende Replikation mit AWS Managed Microsoft AD wird für die Verwendung mit Amazon WorkSpaces in replizierten Regionen nicht unterstützt.

  6. Wählen Sie Associate aus.

  7. Wiederholen Sie diese Schritte, aber achten Sie daraufSchritt 2, die Failover-Region für Ihre auszuwählen. WorkSpaces Wenn Sie über mehr als eine Failover-Region verfügen, wiederholen Sie diese Schritte für jede Failover-Region. Stellen Sie sicher, dass Sie in jeder Failover-Region denselben Verbindungsalias einem Verzeichnis zuordnen.

Schritt 4: Konfigurieren Ihres DNS-Service und Einrichten von DNS-Routing-Richtlinien

Nachdem Sie Ihre Verbindungsaliase und Ihre Verbindungsalias-Zuordnungspaare erstellt haben, können Sie den DNS-Service für die Domain konfigurieren, die Sie in Ihren Verbindungszeichenfolgen verwendet haben. Zu diesem Zweck können Sie einen beliebigen DNS-Service-Anbieter verwenden. Wenn Sie noch keinen bevorzugten DNS-Service-Anbieter haben, können Sie Amazon Route 53 verwenden. Weitere Informationen finden Sie unter Konfigurieren von Amazon Route 53 als DNS-Service im Entwicklerhandbuch für Amazon Route 53.

Nachdem Sie den DNS-Service für Ihre Domain konfiguriert haben, müssen Sie die DNS-Routing-Richtlinien einrichten, die Sie für die regionsübergreifende Umleitung verwenden möchten. Sie können beispielsweise mithilfe von Amazon Route 53-Zustandsprüfungen feststellen, ob Ihre Benutzer eine Verbindung zu ihren Benutzern WorkSpaces in einer bestimmten Region herstellen können. Wenn Ihre Benutzer keine Verbindung herstellen können, können Sie eine DNS-Failover-Richtlinie verwenden, um Ihren DNS-Datenverkehr von einer Region in eine andere weiterzuleiten.

Informationen zu DNS-Routing-Richtlinien finden Sie unter Auswahl einer Routing-Richtlinie im Amazon-Route-53-Entwicklerhandbuch. Weitere Informationen zu Amazon-Route 53-Zustandsprüfungen finden Sie unter So überprüft Amazon Route 53 den Zustand Ihrer Ressourcen im Amazon-Route-53-Entwicklerhandbuch.

Wenn Sie Ihre DNS-Routing-Richtlinien einrichten, benötigen Sie die Verbindungs-ID für die Verknüpfung zwischen dem Verbindungsalias und dem WorkSpaces Verzeichnis in der primären Region. Sie benötigen außerdem die Verbindungs-ID für die Zuordnung zwischen dem Verbindungsalias und dem WorkSpaces Verzeichnis in Ihrer oder Ihren Failover-Regionen.

Anmerkung

Die Verbindungs-ID ist nicht identisch mit der Alias-ID der Verbindung. Die Alias-ID der Verbindung beginnt mit wsca-.

So finden Sie die Verbindungs-ID für eine Verbindung mit einem Verbindungsalias

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die primäre AWS Region für Ihre aus. WorkSpaces

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen den Text der Verbindungszeichenfolge (den FQDN) aus, um die Seite mit den Verbindungsaliasdetails anzuzeigen.

  5. Notieren Sie sich auf der Detailseite für Ihren Verbindungsalias unter Zugeordnetes Verzeichnis den Wert, der für Verbindungs-ID angezeigt wird.

  6. Wiederholen Sie diese Schritte, aber achten Sie daraufSchritt 2, die Failover-Region für Ihre auszuwählen. WorkSpaces Wenn Sie über mehr als eine Failover-Region verfügen, wiederholen Sie die Schritte zur Suche der Verbindungs-ID für jede Failover-Region.

Beispiel: So richten Sie eine DNS-Failover-Routing-Richtlinie mithilfe von Route 53 ein

Im folgenden Beispiel wird eine öffentlich gehostete Zone für Ihre Domain eingerichtet. Sie können jedoch eine öffentlich oder privat gehostete Zone einrichten. Weitere Informationen über private gehostete Zonen finden Sie unter Arbeiten mit gehosteten Zonen im Amazon-Route-53-Entwicklerhandbuch.

In diesem Beispiel wird auch eine Failover-Routing-Richtlinie verwendet. Sie können andere Routing-Richtlinientypen für Ihre regionsübergreifende Umleitungsstrategie verwenden. Informationen zu DNS-Routing-Richtlinien finden Sie unter Auswahl einer Routing-Richtlinie im Amazon-Route-53-Entwicklerhandbuch.

Wenn Sie eine Failover-Routing-Richtlinie in Route 53 einrichten, ist eine Zustandsprüfung für die primäre Region erforderlich. Weitere Informationen zum Erstellen einer Zustandsprüfung in Route 53 finden Sie unter Erstellen von Amazon-Route-53-Zustandsprüfungen und Konfigurieren von DNS-Failover und Erstellen, Aktualisieren und Löschen von Zustandsprüfungen im Amazon-Route-53-Entwicklerhandbuch.

Wenn Sie einen CloudWatch Amazon-Alarm mit Ihrem Route 53 53-Gesundheitscheck verwenden möchten, müssen Sie auch einen CloudWatch Alarm einrichten, um die Ressourcen in Ihrer Hauptregion zu überwachen. Weitere Informationen zu CloudWatch finden Sie unter Was ist Amazon CloudWatch? im CloudWatch Amazon-Benutzerhandbuch. Weitere Informationen darüber, wie Route 53 CloudWatch Alarme bei seinen Zustandsprüfungen verwendet, finden Sie unter So ermittelt Route 53 den Status von Integritätsprüfungen zur Überwachung von CloudWatch Alarmen und Überwachung eines CloudWatch Alarms im Amazon Route 53-Entwicklerhandbuch.

Sie müssen zunächst eine gehostete Zone für Ihre Domain erstellen, um eine DNS-Failover-Routing-Richtlinie in Route 53 einzurichten.

  1. Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich Gehostete Zonen aus und wählen Sie dann Gehostete Zone erstellen aus.

  3. Geben Sie auf der Seite Gehostete Zone erstellen unter Domainname Ihren Domainnamen (z. B.example.com) ein.

  4. Wählen Sie unter Typ die Option Öffentliche gehostete Zone aus.

  5. Wählen Sie Erstellte gehostete Zone.

Erstellen Sie dann eine Zustandsprüfung für Ihre primäre Region.

  1. Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich Zustandsprüfungen und dann Zustandsprüfung erstellen aus.

  3. Geben Sie auf der Seite Zustandsprüfung konfigurieren einen Namen für Ihre Zustandsprüfung ein.

  4. Wählen Sie unter Was überwacht werden soll, entweder Endpunkt, Status anderer Zustandsprüfungen (berechnete Zustandsprüfung) oder CloudWatch Alarmstatus aus.

  5. Abhängig davon, was Sie im vorherigen Schritt ausgewählt haben, konfigurieren Sie Ihre Zustandsprüfung und wählen Sie dann Weiter aus.

  6. Wählen Sie auf der Seite Benachrichtigen, wenn die Zustandsprüfung fehlschlägt, für Alarm erstellen die Option Ja oder Nein aus.

  7. Wählen Sie Zustandsprüfung erstellen aus.

Nachdem Sie Ihre Zustandsprüfung erstellt haben, können Sie die DNS-Failover-Datensätze erstellen.

  1. Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Klicken Sie im Navigationsbereich auf Hosted Zones (Gehostete Zonen).

  3. Wählen Sie auf der Seite Gehostete Zonen Ihren Domainnamen aus.

  4. Wählen Sie auf der Detailseite für Ihren Domainnamen die Option Datensatz erstellen aus.

  5. Wählen Sie auf der Seite Routing-Richtlinie auswählen die Option Failover und dann Weiter aus.

  6. Geben Sie auf der Seite Datensätze konfigurieren unter Basiskonfiguration für Datensatzname Ihren Subdomain-Name ein. Wenn Ihr FQDN desktop.example.com lautet, geben Sie beispielsweise desktop ein.

    Anmerkung

    Wenn Sie die Root-Domain verwenden möchten, lassen Sie das Feld Datensatzname leer. Wir empfehlen jedoch, eine Subdomain wie desktop oder zu verwenden, es sei dennworkspaces, Sie haben die Domain ausschließlich für die Verwendung mit Ihrer WorkSpaces eingerichtet.

  7. Wählen Sie als Datensatztyp die Option TXT – Wird zur Verifizierung von E-Mail-Absendern und für anwendungsspezifische Werte verwendet aus.

  8. Belassen Sie die TTL-Sekunden-Einstellungen auf der Standardeinstellung.

  9. Wählen Sie unter Zu your_domain_name hinzuzufügende Failover-Datensätze die Option Failover-Datensatz definieren aus.

Jetzt müssen Sie die Failover-Datensätze für Ihre primären Regionen und Ihre Failover-Regionen einrichten.

Beispiel: So richten Sie den Failover-Datensatz für Ihre primäre Region ein

  1. Wählen Sie im Dialogfeld Failover-Datensatz definieren für Wert/Traffic weiterleiten an IP-Adresse oder einen anderen Wert, je nach Datensatztyp aus.

  2. Es wird ein Feld geöffnet, in das Sie Ihre Beispieltexteinträge eingeben können. Geben Sie die Verbindungs-ID für die Verbindungsaliaszuordnung für Ihre primäre Region ein.

  3. Wählen Sie für Failover-Datensatztyp die Option Primär.

  4. Wählen Sie für Zustandsprüfung eine Zustandsprüfung aus, die Sie für Ihre primäre Region erstellt haben.

  5. Geben Sie unter Datensatz-ID eine Beschreibung ein, um diesen Datensatz zu identifizieren.

  6. Wählen Sie Failover-Datensatz definieren aus. Ihr neuer Failover-Datensatz wird unter Zu your_domain_name hinzuzufügende Failover-Datensätze angezeigt.

Beispiel: So richten Sie den Failover-Datensatz für Ihre Failover-Region ein

  1. Wählen Sie unter Zu your_domain_name hinzuzufügende Failover-Datensätze die Option Failover-Datensatz definieren aus.

  2. Wählen Sie im Dialogfeld Failover-Datensatz definieren für Wert/Traffic weiterleiten an IP-Adresse oder einen anderen Wert, je nach Datensatztyp aus.

  3. Es wird ein Feld geöffnet, in das Sie Ihre Beispieltexteinträge eingeben können. Geben Sie die Verbindungs-ID für die Verbindungsaliaszuordnung für Ihre Failover-Region ein.

  4. Wählen Sie für Failover-Datensatztyp die Option Sekundär aus.

  5. (Optional) Geben Sie für Zustandsprüfung eine Zustandsprüfung ein, die Sie für Ihre Failover-Region erstellt haben.

  6. Geben Sie unter Datensatz-ID eine Beschreibung ein, um diesen Datensatz zu identifizieren.

  7. Wählen Sie Failover-Datensatz definieren aus. Ihr neuer Failover-Datensatz wird unter Zu your_domain_name hinzuzufügende Failover-Datensätze angezeigt.

Wenn die Zustandsprüfung, die Sie für Ihre primäre Region eingerichtet haben, fehlschlägt, leitet Ihre DNS-Failover-Routing-Richtlinie Ihre WorkSpaces Benutzer in Ihre Failover-Region weiter. Route 53 überwacht weiterhin die Zustandsprüfung für Ihre primäre Region, und wenn die Zustandsprüfung für Ihre primäre Region nicht mehr fehlschlägt, leitet Route 53 Ihre WorkSpaces Benutzer automatisch zurück zu ihrer WorkSpaces in der primären Region.

Weitere Informationen zum Erstellen von DNS-Datensätzen finden Sie unter Erstellen von Datensätzen mithilfe der Amazon-Route-53-Konsole im Amazon-Route-53-Entwicklerhandbuch. Weitere Informationen über die Konfiguration von DNS-TXT-Datensätzen finden Sie unter TXT-Datensatztyp im Amazon-Route-53-Entwicklerhandbuch.

Schritt 5: Senden Sie die Verbindungszeichenfolge an Ihre WorkSpaces Benutzer

Um sicherzustellen, dass Ihre Benutzer bei einem Ausfall nach Bedarf umgeleitet WorkSpaces werden, müssen Sie die Verbindungszeichenfolge (FQDN) an Ihre Benutzer senden. Wenn Sie Ihren WorkSpaces Benutzern bereits regionale Registrierungscodes (z. B.WSpdx+ABC12D) ausgestellt haben, bleiben diese Codes weiterhin gültig. Damit die regionsübergreifende Umleitung jedoch funktioniert, müssen Ihre WorkSpaces Benutzer bei der Registrierung WorkSpaces in der Client-Anwendung die Verbindungszeichenfolge als Registrierungscode verwenden. WorkSpaces

Wichtig

Wenn Sie Ihre Benutzer in der WorkSpaces Konsole erstellen, anstatt sie in Active Directory zu erstellen, WorkSpaces wird automatisch eine Einladungs-E-Mail mit einem regionsspezifischen Registrierungscode an Ihre Benutzer gesendet (z. B.WSpdx+ABC12D), wenn Sie eine neue Version starten. WorkSpace Auch wenn Sie die regionsübergreifende Umleitung bereits eingerichtet haben, WorkSpaces enthält die Einladungs-E-Mail, die automatisch für neue Benutzer gesendet wird, diesen regionsbasierten Registrierungscode anstelle Ihrer Verbindungszeichenfolge.

Um sicherzustellen, dass Ihre WorkSpaces Benutzer die Verbindungszeichenfolge anstelle des regionsbasierten Registrierungscodes verwenden, müssen Sie ihnen eine weitere E-Mail mit der Verbindungszeichenfolge senden. Gehen Sie dazu wie unten beschrieben vor.

Um die Verbindungszeichenfolge an Ihre Benutzer zu senden WorkSpaces

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die primäre AWS Region für Ihre aus. WorkSpaces

  3. Wählen Sie im Navigationsbereich aus WorkSpaces.

  4. Verwenden Sie auf der WorkSpacesSeite das Suchfeld, um nach einem Benutzer zu suchen, an den Sie eine Einladung senden möchten, und wählen Sie dann den entsprechenden Benutzer WorkSpace aus den Suchergebnissen aus. Sie können WorkSpace jeweils nur einen auswählen.

  5. Wählen Sie Actions (Aktionen), Invite User (Benutzer einladen).

  6. Auf der WorkSpaces Seite Benutzer zu ihren Benutzern einladen finden Sie eine E-Mail-Vorlage, die Sie an Ihre Benutzer senden können.

  7. (Optional) Wenn Ihrem WorkSpaces Verzeichnis mehr als ein Verbindungsalias zugeordnet ist, wählen Sie die Verbindungszeichenfolge, die Ihre Benutzer verwenden sollen, aus der Liste der Verbindungsaliaszeichenfolgen aus. Die E-Mail-Vorlage wird aktualisiert und zeigt nun die von Ihnen gewählte Zeichenfolge an.

  8. Kopieren Sie den E-Mail-Vorlagentext und fügen Sie ihn in Ihrer eigenen E-Mail-Anwendung in eine E-Mail an die Benutzer ein. In Ihrer E-Mail-Anwendung können Sie den Text nach Bedarf ändern. Wenn die Einladungs-E-Mail fertig ist, senden Sie sie an die Benutzer.

Architekturdiagramm für die regionsübergreifende Umleitung

Das folgende Diagramm beschreibt den Bereitstellungsprozess der regionsübergreifenden Umleitung.

Regionsübergreifende Umleitung
Anmerkung

Die regionsübergreifende Umleitung ermöglicht nur regionsübergreifendes Failover und Fallback. Sie erleichtert nicht die Erstellung und Verwaltung WorkSpaces in der sekundären Region und ermöglicht keine regionsübergreifende Datenreplikation. WorkSpaces sowohl in der primären als auch in der sekundären Region sollten getrennt verwaltet werden.

Initiieren Sie die regionsübergreifende Umleitung

Im Falle eines Ausfalls können Sie die DNS-Einträge entweder manuell aktualisieren oder automatisierte Routing-Richtlinien auf der Grundlage von Integritätsprüfungen verwenden, die die Failover-Region bestimmen. Wir empfehlen, die unter Creating Disaster Recovery Mechanisms Using Amazon Route 53 beschriebenen Disaster Recovery-Mechanismen zu befolgen.

Was passiert bei der regionsübergreifenden Umleitung?

Während des Regionen-Failovers werden Ihre WorkSpaces Benutzer von der Verbindung zu ihren Benutzern WorkSpaces in der primären Region getrennt. Beim Versuch, die Verbindung wiederherzustellen, erhalten sie die folgende Fehlermeldung:

We can't connect to your WorkSpace. Check your network connection, and then try again.

Ihre Benutzer werden dann aufgefordert, sich erneut anzumelden. Wenn sie den FQDN als ihren Registrierungscode verwenden, leiten sie sie bei der erneuten Anmeldung durch Ihre DNS-Failover-Routing-Richtlinien zu dem weiter WorkSpaces , den Sie für sie in der Failover-Region eingerichtet haben.

Anmerkung

In einigen Fällen können Benutzer möglicherweise keine erneute Verbindung herstellen, wenn sie sich erneut anmelden. Wenn dieses Verhalten auftritt, müssen sie die WorkSpaces Client-Anwendung schließen und neu starten und dann erneut versuchen, sich anzumelden.

Trennen der Zuordnung eines Verbindungsalias zu einem Verzeichnis

Nur das Konto, dem ein Verzeichnis gehört, kann die Zuordnung eines Verbindungsalias zu dem Verzeichnis aufheben.

Wenn Sie einen Verbindungsalias für ein anderes Konto verwendet haben und dieses Konto den Verbindungsalias einem seiner Verzeichnisse zugeordnet hat, müssen Sie über dieses Konto die Zuordnung des Verbindungsalias zum Verzeichnis aufheben.

So trennen Sie die Zuordnung eines Verbindungsalias zu einem Verzeichnis

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die AWS Region aus, die den Verbindungsalias enthält, dessen Zuordnung Sie aufheben möchten.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Aktionen, Zuordnen/trennen aus.

    Sie können einen Verbindungsalias auch über die Seite mit den Verbindungsaliasdetails trennen. Wählen Sie dazu unter Zugeordnetes Verzeichnis die Option Zuordnung aufheben aus.

  5. Wählen Sie auf der Seite Zuordnen/Zuordnung aufheben die Option Zuordnung aufheben aus.

  6. Wählen Sie in dem Dialogfeld, in dem Sie aufgefordert werden, die Trennung zu bestätigen, die Option Zuordnung aufheben aus.

Freigeben eines Verbindungsalias rückgängig machen

Nur der Besitzer eines Verbindungsalias kann die gemeinsame Nutzung des Alias rückgängig machen. Wenn Sie die gemeinsame Nutzung eines Verbindungsalias mit einem Konto aufheben, kann dieses Konto den Verbindungsalias nicht mehr einem Verzeichnis zuordnen.

So machen Sie das Freigeben eines Verbindungsalias rückgängig

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die AWS Region aus, die den Verbindungsalias enthält, dessen Freigabe Sie aufheben möchten.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Aktionen, Verbindungsalias freigeben/Freigabe aufheben aus.

    Sie können die Freigabe eines Verbindungsalias auch über die Seite mit den Verbindungsaliasdetails aufheben. Wählen Sie dazu unter Freigegebenes Konto die Option Freigabe aufheben aus.

  5. Wählen Sie auf der Seite Verbindungsalias freigeben/Freigabe aufheben die Option Freigabe aufheben aus.

  6. Wählen Sie in dem Dialogfeld, in dem Sie aufgefordert werden, das Aufheben der Freigabe des Verbindungsalias zu bestätigen, die Option Freigabe aufheben aus.

Löschen eines Verbindungsalias

Sie können einen Verbindungsalias nur löschen, wenn er Ihrem Konto gehört und wenn er keinem Verzeichnis zugeordnet ist.

Wenn Sie einen Verbindungsalias für ein anderes Konto verwendet haben und dieses Konto den Verbindungsalias einem seiner Verzeichnisse zugeordnet hat, müssen Sie über dieses Konto die Zuordnung des Verbindungsalias zum Verzeichnis aufheben, bevor Sie den Alias löschen können.

Wichtig

Nachdem Sie eine Verbindungszeichenfolge erstellt haben, ist sie immer mit Ihrem Konto verknüpft. AWS Eine Verbindungszeichenfolge kann nicht mit einem anderen Konto erneut erstellt werden, selbst wenn Sie alle Instances aus dem ursprünglichen Konto gelöscht haben. Die Verbindungszeichenfolge ist global für Ihr Konto reserviert.

Warnung

Wenn Sie keinen FQDN mehr als Registrierungscode für Ihre WorkSpaces Benutzer verwenden, müssen Sie bestimmte Vorkehrungen treffen, um potenzielle Sicherheitsprobleme zu vermeiden. Weitere Informationen finden Sie unter Sicherheitsüberlegungen beim Beenden der Verwendung der regionsübergreifenden Umleitung.

So löschen Sie einen Verbindungsalias

  1. Öffnen Sie die WorkSpaces Konsole unter https://console.aws.amazon.com/workspaces/.

  2. Wählen Sie in der oberen rechten Ecke der Konsole die AWS Region aus, die den Verbindungsalias enthält, den Sie löschen möchten.

  3. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  4. Wählen Sie unter Regionsübergreifende Umleitungszuordnungen die Verbindungszeichenfolge aus und wählen Sie dann Löschen aus.

    Sie können das Löschen eines Verbindungsalias auch über die Seite mit den Verbindungsaliasdetails durchführen. Wählen Sie oben rechts auf der Seite Löschen aus.

    Anmerkung

    Wenn die Schaltfläche Löschen deaktiviert ist, stellen Sie sicher, dass Sie der Besitzer des Alias sind und dass der Alias keinem Verzeichnis zugeordnet ist.

  5. Wählen Sie im Löschdialogfeld die Option Löschen aus, um das Löschen zu bestätigen.

IAM-Berechtigungen für das Zuordnen und Trennen eines Verbindungsalias

Wenn Sie einen IAM-Benutzer verwenden, um Verbindungsaliase zuzuordnen oder zu trennen, muss der Benutzer über Berechtigungen für workspaces:AssociateConnectionAlias und workspaces:DisassociateConnectionAlias verfügen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:123456789012:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}
Wichtig

Wenn Sie eine IAM-Richtlinie zum Zuordnen oder Trennen von eines Verbindungsalias für Konten erstellen, denen die Verbindungsaliase nicht gehören, können Sie im ARN keine Konto-ID angeben. Stattdessen müssen Sie * für die Konto-ID verwenden, wie in der folgenden Beispielrichtlinie gezeigt.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "workspaces:AssociateConnectionAlias",
        "workspaces:DisassociateConnectionAlias"
      ],
      "Resource": [
          "arn:aws:workspaces:us-east-1:*:connectionalias/wsca-a1bcd2efg"
      ]
    }
  ]
}

Sie können im ARN nur dann eine Konto-ID angeben, wenn dieses Konto den Verbindungsalias besitzt, der zugeordnet oder getrennt werden soll.

Weitere Informationen zur Arbeit mit IAM finden Sie unter Identitäts- und Zugriffsmanagement für WorkSpaces.

Sicherheitsüberlegungen beim Beenden der Verwendung der regionsübergreifenden Umleitung

Wenn Sie keinen FQDN mehr als Registrierungscode für Ihre WorkSpaces Benutzer verwenden, müssen Sie die folgenden Vorkehrungen treffen, um potenzielle Sicherheitsprobleme zu vermeiden:

  • Stellen Sie sicher, dass Sie Ihren WorkSpaces Benutzern den regionsspezifischen Registrierungscode (z. B.WSpdx+ABC12D) für ihr WorkSpaces Verzeichnis ausstellen und sie anweisen, den FQDN nicht mehr als ihren Registrierungscode zu verwenden.

  • Wenn Sie diese Domain immer noch besitzen, aktualisieren Sie unbedingt Ihren DNS-TXT-Datensatz, um diese Domain zu entfernen, sodass sie nicht bei einem Phishing-Angriff ausgenutzt werden kann. Wenn Sie diese Domain aus Ihrem DNS-TXT-Eintrag entfernen und Ihre WorkSpaces Benutzer versuchen, den FQDN als ihren Registrierungscode zu verwenden, schlagen ihre Verbindungsversuche harmlos fehl.

  • Wenn Sie diese Domain nicht mehr besitzen, müssen Ihre WorkSpaces Benutzer ihren regionsspezifischen Registrierungscode verwenden. Wenn sie weiterhin versuchen, den FQDN als ihren Registrierungscode zu verwenden, könnten ihre Verbindungsversuche möglicherweise auf eine schädliche Website umgeleitet werden.