Prérequis - Studio de recherche et d'ingénierie
Créez un Compte AWS avec un utilisateur administratifCréation d'une paire de clés Amazon EC2 SSHAugmenter les quotas de serviceCréez un domaine personnalisé (facultatif)Créer un domaine (GovCloud uniquement)Fournir des ressources externesConfigurer LDAPS dans votre environnement (facultatif)Compte de service pour Microsoft Active DirectoryConfiguration d'un VPC privé (facultatif)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Créez un Compte AWS avec un utilisateur administratif

Vous devez avoir Compte AWS un utilisateur administratif :

  1. Ouvrez l'https://portal.aws.amazon.com/billing/inscription.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l’utilisateur racine a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l’utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

Création d'une paire de clés Amazon EC2 SSH

Si vous ne possédez pas de paire de clés Amazon EC2 SSH, vous devrez en créer une. Pour plus d'informations, consultez la section Créer une paire de clés à l'aide d'Amazon EC2 dans le guide de EC2 l'utilisateur Amazon.

Augmenter les quotas de service

Nous recommandons d'augmenter les quotas de service pour :

  • Amazon VPC

    • Augmentez le quota d'adresses IP Elastic par passerelle NAT de cinq à huit.

    • Augmentez le nombre de passerelles NAT par zone de disponibilité de cinq à dix.

  • Amazon EC2

    • Augmentez le EC2 -VPC Elastic IPs de cinq à dix

Votre AWS compte dispose de quotas par défaut, anciennement appelés limites, pour chaque AWS service. Sauf indication contraire, chaque quota est spécifique à la région. Vous pouvez demander des augmentations pour certains quotas, et d'autres quotas ne peuvent pas être augmentés. Pour de plus amples informations, veuillez consulter Quotas pour AWS les services inclus dans ce produit.

Créez un domaine personnalisé (facultatif)

Nous vous recommandons d'utiliser un domaine personnalisé pour le produit afin de disposer d'une URL conviviale. Vous pouvez fournir un domaine personnalisé et éventuellement fournir un certificat pour celui-ci.

Il existe un processus dans la pile des ressources externes pour créer un certificat pour un domaine personnalisé que vous fournissez. Vous pouvez ignorer les étapes ci-dessous si vous possédez un domaine et souhaitez utiliser les fonctionnalités de génération de certificats de la pile de ressources externes.

Vous pouvez également suivre ces étapes pour enregistrer un domaine à l'aide d'Amazon Route 53 et importer un certificat pour le domaine à l'aide d'Amazon Route 53 AWS Certificate Manager.

  1. Suivez les instructions pour enregistrer un domaine auprès de Route53. Vous devriez recevoir un e-mail de confirmation.

  2. Récupérez la zone hébergée pour votre domaine. Ceci est créé automatiquement par Route53.

    1. Ouvrez la console Route53.

    2. Choisissez Zones hébergées dans le menu de navigation de gauche.

    3. Ouvrez la zone hébergée créée pour votre nom de domaine et copiez l'ID de zone hébergée.

  3. Ouvrez AWS Certificate Manager et suivez ces étapes pour demander un certificat de domaine. Assurez-vous que vous vous trouvez dans la région où vous prévoyez de déployer la solution.

  4. Choisissez Lister les certificats dans le menu de navigation, puis recherchez votre demande de certificat. La demande devrait être en attente.

  5. Choisissez votre numéro de certificat pour ouvrir la demande.

  6. Dans la section Domaines, choisissez Créer des enregistrements dans Route53. Le traitement de la demande prendra environ dix minutes.

  7. Une fois le certificat émis, copiez l'ARN depuis la section État du certificat.

Créer un domaine (GovCloud uniquement)

Si vous effectuez un déploiement dans la région AWS GovCloud (ouest des États-Unis) et que vous utilisez un domaine personnalisé pour Research and Engineering Studio, vous devrez suivre ces étapes préalables.

  1. Déployez la AWS CloudFormation pile de certificats dans le AWS compte de partition commerciale où le domaine public hébergé a été créé.

  2. Dans les CloudFormation sorties du certificat, recherchez et notez le CertificateARN etPrivateKeySecretARN.

  3. Dans le compte de GovCloud partition, créez un secret avec la valeur de la CertificateARN sortie. Notez le nouvel ARN secret et ajoutez deux balises au secret pour vdc-gateway pouvoir accéder à la valeur du secret :

    1. rouge : ModuleName = virtual-desktop-controller

    2. res : EnvironmentName = [nom de l'environnement] (Cela pourrait être res-demo.)

  4. Dans le compte de GovCloud partition, créez un secret avec la valeur de la PrivateKeySecretArn sortie. Notez le nouvel ARN secret et ajoutez deux balises au secret pour vdc-gateway pouvoir accéder à la valeur du secret :

    1. rouge : ModuleName = virtual-desktop-controller

    2. res : EnvironmentName = [nom de l'environnement] (Cela pourrait être res-demo.)

Fournir des ressources externes

Research and Engineering Studio s' AWS attend à ce que les ressources externes suivantes existent lors de son déploiement.

  • Mise en réseau (VPC, sous-réseaux publics et sous-réseaux privés)

    C'est ici que vous exécuterez les EC2 instances utilisées pour héberger l'environnement RES, Active Directory (AD) et le stockage partagé.

  • Stockage (Amazon EFS)

    Les volumes de stockage contiennent les fichiers et les données nécessaires à l'infrastructure de bureau virtuel (VDI).

  • Service d'annuaire (AWS Directory Service for Microsoft Active Directory)

    Le service d'annuaire authentifie les utilisateurs dans l'environnement RES.

  • Secret contenant le nom d'utilisateur et le mot de passe du compte de service Active Directory formatés sous forme de paire clé-valeur (nom d'utilisateur, mot de passe)

    Research and Engineering Studio accède aux secrets que vous fournissez, y compris le mot de passe du compte de service, en utilisant AWS Secrets Manager.

Avertissement

Vous devez fournir une adresse e-mail valide pour tous les utilisateurs Active Directory (AD) que vous souhaitez synchroniser.

Astuce

Si vous déployez un environnement de démonstration et que ces ressources externes ne sont pas disponibles, vous pouvez utiliser des recettes de calcul AWS haute performance pour générer les ressources externes. Consultez la section suivante pour déployer des ressources dans votre compte. Création de ressources externes

Pour les déploiements de démonstration dans la région AWS GovCloud (ouest des États-Unis), vous devrez suivre les étapes requises dans. Créer un domaine (GovCloud uniquement)

Configurer LDAPS dans votre environnement (facultatif)

Si vous envisagez d'utiliser la communication LDAPS dans votre environnement, vous devez suivre ces étapes pour créer et joindre des certificats au contrôleur de domaine AWS Managed Microsoft AD (AD) afin d'assurer la communication entre AD et RES.

  1. Suivez les étapes indiquées dans Comment activer le protocole LDAPS côté serveur pour votre. AWS Managed Microsoft AD Vous pouvez ignorer cette étape si vous avez déjà activé LDAPS.

  2. Après avoir confirmé que LDAPS est configuré sur l'AD, exportez le certificat AD :

    1. Accédez à votre serveur Active Directory.

    2. Ouvrez PowerShell en tant qu'administrateur.

    3. Exécutez certmgr.msc pour ouvrir la liste des certificats.

    4. Ouvrez la liste des certificats en ouvrant d'abord les Autorités de certification racine fiables, puis les certificats.

    5. Sélectionnez et maintenez (ou cliquez avec le bouton droit) le certificat portant le même nom que votre serveur AD et choisissez Toutes les tâches, puis Exporter.

    6. Sélectionnez X.509 codé en Base-64 (.CER) et choisissez Next.

    7. Sélectionnez un répertoire, puis cliquez sur Suivant.

  3. Créez un secret dans AWS Secrets Manager :

    Lorsque vous créez votre secret dans Secrets Manager, choisissez Autre type de secrets sous Type de secret et collez votre certificat codé PEM dans le champ Texte en clair.

  4. Notez l'ARN créé et saisissez-le en tant que DomainTLSCertificateSecretARN paramètre dansÉtape 1 : Lancez le produit.

Configuration d'un compte de service pour Microsoft Active Directory

Si vous choisissez Microsoft Active Directory (AD) comme source d'identité pour RES, vous disposez d'un compte de service dans votre AD qui permet un accès par programmation. Vous devez transmettre un secret contenant les informations d'identification du compte de service dans le cadre de votre installation RES. Le compte de service est responsable des fonctions suivantes :

  • Synchroniser les utilisateurs depuis l'AD : RES doit synchroniser les utilisateurs depuis l'AD pour leur permettre de se connecter au portail Web. Le processus de synchronisation utilise le compte de service pour interroger l'AD à l'aide de LDAP afin de déterminer quels utilisateurs et groupes sont disponibles.

  • Joindre le domaine AD : il s'agit d'une opération facultative pour les bureaux virtuels Linux et les hôtes d'infrastructure où l'instance rejoint le domaine AD. Dans RES, cela est contrôlé par le DisableADJoin paramètre. Ce paramètre est défini sur False par défaut, ce qui signifie que les bureaux virtuels Linux tenteront de rejoindre le domaine AD dans la configuration par défaut.

  • Se connecter à AD : les bureaux virtuels et les hôtes d'infrastructure Linux se connecteront au domaine AD s'ils ne le rejoignent pas (DisableADJoin= True). Pour que cette fonctionnalité fonctionne, le compte de service doit également disposer d'un accès en lecture pour les utilisateurs et les groupes du UsersOU andGroupsOU.

Le compte de service nécessite les autorisations suivantes :

  • Pour synchroniser les utilisateurs et se connecter à AD → Accès en lecture pour les utilisateurs et les groupes dans le UsersOU etGroupsOU.

  • Pour rejoindre le domaine AD → créer Computer des objets dans leComputersOU.

Le script situé à l' https://github.com/aws-samples/aws-hpc-recipes/blob/main/recipes/res/res_demo_env/assets/service_account.ps1 fournit un exemple de la manière d'accorder les autorisations appropriées à un compte de service. Vous pouvez le modifier en fonction de votre propre AD.

Configuration d'un VPC privé (facultatif)

Le déploiement d'un studio de recherche et d'ingénierie dans un VPC isolé offre une sécurité renforcée pour répondre aux exigences de conformité et de gouvernance de votre entreprise. Cependant, le déploiement standard de RES repose sur l'accès à Internet pour installer les dépendances. Pour installer RES dans un VPC privé, vous devez satisfaire aux conditions préalables suivantes :

Préparer les images Amazon Machine (AMIs)

  1. Téléchargez les dépendances. Pour être déployée dans un VPC isolé, l'infrastructure RES nécessite la disponibilité de dépendances sans accès public à Internet.

  2. Créez un rôle IAM avec un accès en lecture seule à Amazon S3 et une identité fiable en tant qu'Amazon. EC2

    1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    2. Dans Rôles, sélectionnez Créer un rôle.

    3. Sur la page Sélectionner une entité de confiance :

      • Sous Type d'entité de confiance, sélectionnez Service AWS.

      • Pour Cas d'utilisation sous Service ou cas d'utilisation, choisissez EC2et choisissez Suivant.

    4. Dans Ajouter des autorisations, sélectionnez les politiques d'autorisation suivantes, puis cliquez sur Suivant :

      • Amazon S3 ReadOnlyAccess

      • Amazon SSMManaged InstanceCore

      • EC2InstanceProfileForImageBuilder

    5. Ajoutez un nom et une description du rôle, puis choisissez Créer un rôle.

  3. Créez le composant du générateur d' EC2 images :

    1. Ouvrez la console EC2 Image Builder à l'adressehttps://console.aws.amazon.com/imagebuilder.

    2. Sous Ressources enregistrées, sélectionnez Composants, puis Créer un composant.

    3. Sur la page Créer un composant, entrez les informations suivantes :

      • Pour Type de composant, choisissez Construire.

      • Pour les détails du composant, choisissez :

        Paramètre Entrée utilisateur
        Système d'exploitation d'images (OS) Linux
        Versions de systèmes d'exploitation compatibles Amazon Linux 2 RHEL8, ou RHEL9
        Nom du composant Entrez un nom tel que : <research-and-engineering-studio-infrastructure>
        Version du composant Nous vous recommandons de commencer par la version 1.0.0.
        Description Entrée utilisateur facultative.

    4. Sur la page Créer un composant, choisissez Définir le contenu du document.

      1. Avant de saisir le contenu du document de définition, vous aurez besoin d'un URI pour le fichier tar.gz. Chargez le fichier tar.gz fourni par RES dans un compartiment Amazon S3 et copiez l'URI du fichier depuis les propriétés du compartiment.

      2. Saisissez :

        Note

        AddEnvironmentVariablesest facultatif, et vous pouvez le supprimer si vous n'avez pas besoin de variables d'environnement personnalisées dans vos hôtes d'infrastructure.

        Si vous configurez http_proxy des variables d'https_proxyenvironnement, les no_proxy paramètres sont nécessaires pour empêcher l'instance d'utiliser un proxy pour interroger localhost, les adresses IP des métadonnées de l'instance et les services prenant en charge les points de terminaison VPC.

        #  Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved.
#
#  Licensed under the Apache License, Version 2.0 (the "License"). You may not use this file except in compliance
#  with the License. A copy of the License is located at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
#  or in the 'license' file accompanying this file. This file is distributed on an 'AS IS' BASIS, WITHOUT WARRANTIES
#  OR CONDITIONS OF ANY KIND, express or implied. See the License for the specific language governing permissions
#  and limitations under the License.
name: research-and-engineering-studio-infrastructure
description: An RES EC2 Image Builder component to install required RES software dependencies for infrastructure hosts.
schemaVersion: 1.0

parameters:
  - AWSAccountID:
      type: string
      description: RES Environment AWS Account ID
  - AWSRegion:
      type: string
      description: RES Environment AWS Region
phases:
  - name: build
    steps:
       - name: DownloadRESInstallScripts
         action: S3Download
         onFailure: Abort
         maxAttempts: 3
         inputs:
            - source: '<s3 tar.gz file uri>'
              destination: '/root/bootstrap/res_dependencies/res_dependencies.tar.gz'
              expectedBucketOwner: '{{ AWSAccountID }}'
       - name: RunInstallScript
         action: ExecuteBash
         onFailure: Abort
         maxAttempts: 3
         inputs:
            commands:
                - 'cd /root/bootstrap/res_dependencies'
                - 'tar -xf res_dependencies.tar.gz'
                - 'cd all_dependencies'
                - '/bin/bash install.sh'
       - name: AddEnvironmentVariables
         action: ExecuteBash
         onFailure: Abort
         maxAttempts: 3
         inputs:
            commands:
                - |
                  echo -e "
                  http_proxy=http://<ip>:<port>
                  https_proxy=http://<ip>:<port>
                  no_proxy=127.0.0.1,169.254.169.254,169.254.170.2,localhost,{{ AWSRegion }}.res,{{ AWSRegion }}.vpce.amazonaws.com,{{ AWSRegion }}.elb.amazonaws.com,s3.{{ AWSRegion }}.amazonaws.com,s3.dualstack.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.amazonaws.com,ec2.{{ AWSRegion }}.api.aws,ec2messages.{{ AWSRegion }}.amazonaws.com,ssm.{{ AWSRegion }}.amazonaws.com,ssmmessages.{{ AWSRegion }}.amazonaws.com,kms.{{ AWSRegion }}.amazonaws.com,secretsmanager.{{ AWSRegion }}.amazonaws.com,sqs.{{ AWSRegion }}.amazonaws.com,elasticloadbalancing.{{ AWSRegion }}.amazonaws.com,sns.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.amazonaws.com,logs.{{ AWSRegion }}.api.aws,elasticfilesystem.{{ AWSRegion }}.amazonaws.com,fsx.{{ AWSRegion }}.amazonaws.com,dynamodb.{{ AWSRegion }}.amazonaws.com,api.ecr.{{ AWSRegion }}.amazonaws.com,.dkr.ecr.{{ AWSRegion }}.amazonaws.com,kinesis.{{ AWSRegion }}.amazonaws.com,.data-kinesis.{{ AWSRegion }}.amazonaws.com,.control-kinesis.{{ AWSRegion }}.amazonaws.com,events.{{ AWSRegion }}.amazonaws.com,cloudformation.{{ AWSRegion }}.amazonaws.com,sts.{{ AWSRegion }}.amazonaws.com,application-autoscaling.{{ AWSRegion }}.amazonaws.com,monitoring.{{ AWSRegion }}.amazonaws.com,ecs.{{ AWSRegion }}.amazonaws.com,.execute-api.{{ AWSRegion }}.amazonaws.com
>                   " > /etc/environment

    5. Choisissez Créer un composant.

  4. Créez une recette d'image Image Builder.

    1. Sur la page Créer une recette, entrez les informations suivantes :

      Section Paramètre Entrée utilisateur
      Détails de la recette Nom Entrez un nom approprié, tel que res-recipe-linux-x 86.
      Version Entrez une version, commençant généralement par 1.0.0.
      Description Ajoutez une description facultative.
      Image de base Sélectionnez une image Sélectionnez les images gérées.
      SE Amazon Linux ou Red Hat Enterprise Linux (RHEL)
      Origine de l'image Démarrage rapide (géré par Amazon)
      Nom de l'image Amazon Linux 2 x86, Red Hat Enterprise Linux 8 x86 ou Red Hat Enterprise Linux 9 x86
      Options de gestion automatique des versions Utilisez la dernière version du système d'exploitation disponible.
      Configuration de l'instance Conservez tout dans les paramètres par défaut et assurez-vous que l'option Supprimer l'agent SSM après l'exécution du pipeline n'est pas sélectionnée.
      Répertoire de travail Chemin du répertoire de travail /root/bootstrap/res_dépendances
      Composants Construire des composants

      Recherchez et sélectionnez les éléments suivants :

      • Géré par Amazon : -2-linux aws-cli-version

      • Géré par Amazon : amazon-cloudwatch-agent-linux

      • Vous êtes propriétaire : EC2 composant Amazon créé précédemment. Entrez votre Compte AWS identifiant et votre actuel Région AWS dans les champs.

      Composants de test

      Recherchez et sélectionnez :

      • Géré par Amazon : simple-boot-test-linux

    2. Choisissez Créer une recette.

  5. Créez la configuration de l'infrastructure Image Builder.

    1. Sous Ressources enregistrées, sélectionnez Configurations d'infrastructure.

    2. Choisissez Créer une configuration d'infrastructure.

    3. Sur la page Créer une configuration d'infrastructure, entrez ce qui suit :

      Section Paramètre Entrée utilisateur
      Général Nom Entrez un nom approprié, tel que res-infra-linux-x 86.
      Description Ajoutez une description facultative.
      Rôle IAM Sélectionnez le rôle IAM créé précédemment.
      AWS infrastructure Type d’instance Choisissez t3.medium.
      VPC, sous-réseau et groupes de sécurité

      Sélectionnez une option qui autorise l'accès à Internet et au compartiment Amazon S3. Si vous devez créer un groupe de sécurité, vous pouvez en créer un depuis la EC2 console Amazon avec les entrées suivantes :

      • VPC : sélectionnez le même VPC que celui utilisé pour la configuration de l'infrastructure. Ce VPC doit avoir accès à Internet.

      • Règle entrante :

        • Type : SSH

        • Source : Personnalisé

        • Bloc CIDR : 0.0.0.0/0

    4. Choisissez Créer une configuration d'infrastructure.

  6. Créez un nouveau pipeline EC2 Image Builder :

    1. Accédez à Pipelines d'images, puis choisissez Créer un pipeline d'images.

    2. Sur la page Spécifier les détails du pipeline, entrez ce qui suit et choisissez Next :

      • Nom du pipeline et description facultative

      • Pour le calendrier de création, définissez un calendrier ou choisissez Manuel si vous souhaitez démarrer le processus de cuisson des AMI manuellement.

    3. Sur la page Choisir une recette, choisissez Utiliser une recette existante et entrez le nom de la recette créée précédemment. Choisissez Suivant.

    4. Sur la page Définir le traitement d'image, sélectionnez les flux de travail par défaut, puis cliquez sur Suivant.

    5. Sur la page Définir la configuration de l'infrastructure, choisissez Utiliser la configuration d'infrastructure existante et entrez le nom de la configuration d'infrastructure créée précédemment. Choisissez Suivant.

    6. Sur la page Définir les paramètres de distribution, tenez compte des points suivants pour vos sélections :

      • L'image de sortie doit résider dans la même région que l'environnement RES déployé, afin que RES puisse lancer correctement les instances hôtes de l'infrastructure à partir de celui-ci. À l'aide des valeurs par défaut du service, l'image de sortie sera créée dans la région où le service EC2 Image Builder est utilisé.

      • Si vous souhaitez déployer RES dans plusieurs régions, vous pouvez choisir Créer de nouveaux paramètres de distribution et y ajouter d'autres régions.

    7. Passez en revue vos sélections et choisissez Créer un pipeline.

  7. Exécutez le pipeline EC2 Image Builder :

    1. Dans Pipelines d'images, recherchez et sélectionnez le pipeline que vous avez créé.

    2. Choisissez Actions, puis sélectionnez Exécuter le pipeline.

      Le pipeline peut prendre entre 45 minutes et une heure pour créer une image AMI.

  8. Notez l'ID d'AMI de l'AMI générée et utilisez-le comme entrée pour le paramètre InfrastructureHost AMI dansÉtape 1 : Lancez le produit.

Configuration des points de terminaison VPC

Pour déployer RES et lancer des bureaux virtuels, vous devez Services AWS accéder à votre sous-réseau privé. Vous devez configurer les points de terminaison VPC pour fournir l'accès requis, et vous devrez répéter ces étapes pour chaque point de terminaison.

  1. Si aucun point de terminaison n'a été configuré auparavant, suivez les instructions fournies dans Accès et Service AWS utilisation d'un point de terminaison VPC d'interface.

  2. Sélectionnez un sous-réseau privé dans chacune des deux zones de disponibilité.

Service AWS Nom du service
Application Auto Scaling com.amazonaws. region.mise à l'échelle automatique de l'application
AWS CloudFormation com.amazonaws. region.formation sur le cloud
Amazon CloudWatch com.amazonaws. region.surveillance
Amazon CloudWatch Logs com.amazonaws. region.journaux
Amazon DynamoDB com.amazonaws. region.dynamodb (nécessite un point de terminaison de passerelle)
Amazon EC2 com.amazonaws. region.ec2
Amazon ECR com.amazonaws. region.ecr.api
com.amazonaws. region.ecr .dkr
Amazon Elastic File System com.amazonaws. regionsystème de fichiers .elastic
Elastic Load Balancing com.amazonaws. region. équilibrage de charge élastique
Amazon EventBridge com.amazonaws. region.événements
Amazon FSx com.amazonaws. region.fsx
AWS Key Management Service com.amazonaws. region.km
Amazon Kinesis Data Streams com.amazonaws. region.kinesis-streams
AWS Lambda com.amazonaws. region.lambda
Amazon S3

com.amazonaws. region.s3 (Nécessite un point de terminaison de passerelle créé par défaut dans RES.)

Des points de terminaison d'interface Amazon S3 supplémentaires sont nécessaires pour le montage croisé de buckets dans un environnement isolé. Consultez la section Accès aux points de terminaison de l'interface Amazon Simple Storage Service.
AWS Secrets Manager com.amazonaws. region.secretsmanager
Amazon Elastic Container Service com.amazonaws. region.ecs
Amazon SES com.amazonaws. region.email-smtp (Non pris en charge dans les zones de disponibilité suivantes : use-1-az2, use1-az3, use1-az5, usw1-az2, usw2-az4, apne2-az4, cac1-az3 et cac1-az4.)
AWS Security Token Service com.amazonaws. region.sts
Amazon SNS com.amazonaws. region.sns
Amazon SQS com.amazonaws. region.sqs
AWS Systems Manager com.amazonaws. regionMessages .ec2
com.amazonaws. region.ssm
com.amazonaws. regionMessages .ssm

Connectez-vous aux services sans points de terminaison VPC

Pour intégrer des services qui ne prennent pas en charge les points de terminaison VPC, vous pouvez configurer un serveur proxy dans un sous-réseau public de votre VPC. Suivez ces étapes pour créer un serveur proxy avec l'accès minimum nécessaire pour un déploiement de Research and Engineering Studio en utilisant AWS Identity Center comme fournisseur d'identité.

  1. Lancez une instance Linux dans le sous-réseau public du VPC que vous utiliserez pour votre déploiement RES.

    • Famille Linux — Amazon Linux 2 ou Amazon Linux 3

    • Architecture — x86

    • Type d'instance : t2.micro ou supérieur

    • Groupe de sécurité — TCP sur le port 3128 à partir de 0.0.0.0/0

  2. Connectez-vous à l'instance pour configurer un serveur proxy.

    1. Ouvrez la connexion HTTP.

    2. Autorisez la connexion aux domaines suivants à partir de tous les sous-réseaux concernés :

      • .amazonaws.com (pour les services génériques) AWS

      • .amazoncognito.com (pour Amazon Cognito)

      • .awsapps.com (pour Identity Center)

      • .signin.aws (pour Identity Center)

      • . amazonaws-us-gov.com (pour Gov Cloud)

    3. Refusez toutes les autres connexions.

    4. Activez et démarrez le serveur proxy.

    5. Notez le PORT sur lequel le serveur proxy écoute.

  3. Configurez votre table de routage pour autoriser l'accès au serveur proxy.

    1. Accédez à votre console VPC et identifiez les tables de routage pour les sous-réseaux que vous utiliserez pour les hôtes d'infrastructure et les hôtes VDI.

    2. Modifiez la table de routage pour autoriser toutes les connexions entrantes à accéder à l'instance de serveur proxy créée lors des étapes précédentes.

    3. Procédez ainsi pour les tables de routage de tous les sous-réseaux (sans accès Internet) que vous allez utiliser pour VDIs Infrastructure/.

  4. Modifiez le groupe de sécurité de l' EC2 instance du serveur proxy et assurez-vous qu'il autorise les connexions TCP entrantes sur le PORT sur lequel le serveur proxy écoute.

Définir les paramètres de déploiement d'un VPC privé

DansÉtape 1 : Lancez le produit, vous êtes censé saisir certains paramètres dans le AWS CloudFormation modèle. Assurez-vous de définir les paramètres suivants comme indiqué pour réussir le déploiement dans le VPC privé que vous venez de configurer.

Paramètre Entrée
InfrastructureHostAMI Utilisez l'ID d'AMI d'infrastructure créé dansPréparer les images Amazon Machine (AMIs).
IsLoadBalancerInternetFacing Réglé sur false.
LoadBalancerSubnets Choisissez des sous-réseaux privés sans accès à Internet.
InfrastructureHostSubnets Choisissez des sous-réseaux privés sans accès à Internet.
VdiSubnets Choisissez des sous-réseaux privés sans accès à Internet.

ClientIP

 Vous pouvez choisir votre adresse CIDR VPC pour autoriser l'accès à toutes les adresses IP VPC.

HttpProxy

 Exemple : http://10.1.2.3:123

HttpsProxy

 Exemple : http://10.1.2.3:123

NoProxy

Exemple : 

127.0.0.1,169.254.169.254,169.254.170.2,localhost,us-east-1.res,us-east-1.vpce.amazonaws.com,us-east-1.elb.amazonaws.com,s3.us-east-1.amazonaws.com,s3.dualstack.us-east-1.amazonaws.com,ec2.us-east-1.amazonaws.com,ec2.us-east-1.api.aws,ec2messages.us-east-1.amazonaws.com,ssm.us-east-1.amazonaws.com,ssmmessages.us-east-1.amazonaws.com,kms.us-east-1.amazonaws.com,secretsmanager.us-east-1.amazonaws.com,sqs.us-east-1.amazonaws.com,elasticloadbalancing.us-east-1.amazonaws.com,sns.us-east-1.amazonaws.com,logs.us-east-1.amazonaws.com,logs.us-east-1.api.aws,elasticfilesystem.us-east-1.amazonaws.com,fsx.us-east-1.amazonaws.com,dynamodb.us-east-1.amazonaws.com,api.ecr.us-east-1.amazonaws.com,.dkr.ecr.us-east-1.amazonaws.com,kinesis.us-east-1.amazonaws.com,.data-kinesis.us-east-1.amazonaws.com,.control-kinesis.us-east-1.amazonaws.com,events.us-east-1.amazonaws.com,cloudformation.us-east-1.amazonaws.com,sts.us-east-1.amazonaws.com,application-autoscaling.us-east-1.amazonaws.com,monitoring.us-east-1.amazonaws.com,ecs.us-east-1.amazonaws.com,.execute-api.us-east-1.amazonaws.com