本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 WorkSpaces 应用程序配置 VPC
<a name="appstream-vpc"></a>

设置 WorkSpaces 应用程序时，必须指定虚拟私有云 (VPC) 和至少一个子网，用于启动队列实例和映像生成器。VPC 是 Amazon Web Services Cloud 内您自己的逻辑隔离区域中的虚拟网络。子网是您的 VPC 内的 IP 地址范围。

在为 WorkSpaces 应用程序配置 VPC 时，您可以指定公有子网或私有子网，也可以将这两种类型的子网混合使用。公有子网可以通过 Internet 网关直接访问 Internet。私有子网没有直接指向 Internet 网关的路由，需要网络地址转换 (NAT) 网关或 NAT 实例来提供对 Internet 的访问。

**Topics**
+ [VPC 设置建议](vpc-setup-recommendations.md)
+ [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)
+ [配置带公有子网的新的或现有 VPC](managing-network-default-internet-access.md)
+ [使用默认 VPC、公有子网和安全组](default-vpc-with-public-subnet.md)

# VPC 设置建议
<a name="vpc-setup-recommendations"></a>

创建实例集，或者启动映像生成器或应用程序块生成器时，可以指定要使用的 VPC 以及一个或多个子网。您可以通过指定安全组，为 VPC 提供额外的访问控制。

以下建议可帮助您更安全有效地配置 VPC。此外，它们还可以帮助您配置支持有效实例集扩展的环境。通过有效的队列扩展，您可以满足当前和预期的 WorkSpaces 应用程序用户需求，同时避免不必要的资源使用和相关成本。

**VPC 整体配置**
+ 确保您的 VPC 配置可以支持实例集扩展需求。

  在制定实例集扩展计划时，请记住，一个用户需要一个实例集实例。因此，您的实例集大小决定了可以同时流式传输的用户数。因此，对于您计划使用的每种[实例类型](instance-types.md)，请确保 VPC 可支持的实例集实例数量大于相同实例类型的预期并发用户数量。
+ 确保您的 WorkSpaces 应用程序账户配额（也称为限制）足以满足您的预期需求。要申请增加配额，你可以使用 Service Quotas 控制台，网址为[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。有关默认 WorkSpaces 应用程序配额的信息，请参阅[亚马逊 WorkSpaces 应用程序服务配额](limits.md)。
+ 如果您计划为流实例（实例集实例、应用程序块生成器或映像生成器）提供对 Internet 的访问权限，建议您为流实例配置包含两个私有子网的 VPC，并在公有子网中配置 NAT 网关。

  NAT 网关允许私有子网中的流媒体实例连接到 Internet 或其他 AWS 服务。但是，它会阻止 Internet 启动与这些实例的连接。此外，与使用 **Default Internet Access (默认 Internet 访问)** 选项来启用 Internet 访问的配置不同，NAT 配置支持超过 100 个实例集实例。有关更多信息，请参阅 [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。

**弹性网络接口**
+ WorkSpaces 应用程序创建的[弹性网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)（网络接口）与队列所需的最大容量一样多。默认情况下，每个区域的网络接口数限制为 5000。

  在为非常大的部署（例如，数千个流实例）规划容量时，请考虑同样在同一地区中使用的 EC2 实例数量。

**子网**
+ 如果您要为 VPC 配置多个私有子网，请在不同的可用区中配置每个子网。这样做可提高容错能力，并有助于防止出现容量不足错误。如果您在同一个可用区中使用两个子网，则可能会用完 IP 地址，因为 WorkSpaces 应用程序不会使用第二个子网。
+ 请确保可通过您的两个私有子网访问应用程序所需的网络资源。
+ 使用允许足够客户端 IP 地址数的子网掩码配置您的各个私有子网，以适应预期的最大并发用户数。此外，允许额外的 IP 地址来容纳预期的增长。有关更多信息，请参阅 [VPC 和子网大小调整 IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
+ 如果您在使用带有 NAT 的 VPC，请至少配置一个带有 NAT 网关的公有子网以便访问 Internet，最好配置两个公有子网。在您的私有子网所在的同一可用区中配置公有子网。

  为了增强容错能力并减少大型 WorkSpaces 应用程序队列部署出现容量不足错误的机会，请考虑将您的 VPC 配置扩展到第三个可用区。在此额外的可用区中包括私有子网、公有子网和 NAT 网关。
+ 如果您为子网启用 auto assign IPV6 选项，则您的实例的弹性网络接口将自动分配一个全局 IPV6 地址。有关更多信息，请参阅[修改子网](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html)。
+ 启用默认 Internet 访问仅适用于仅子网或双栈子网中的 IPV4 IPv4 地址。要允许 IPV6 地址访问互联网，请添加互联网网关或仅限出口网关。有关更多信息，请参阅 [egress-only-internet-gateway](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。
**注意**  
默认情况下， IPV6 地址是全球可寻址的。如果您的子网有 Internet 网关、相应的子网组和允许 IPV6 流量规则的 acl，则您的流媒体实例可以通过 IPV6 地址连接到 Internet。

**安全组**
+ 使用安全组向您的 VPC 提供额外的访问控制。

  属于您的 VPC 的安全组允许您控制 WorkSpaces 应用程序流式传输实例与应用程序所需的网络资源之间的网络流量。这些资源可能包括其他 AWS 服务，例如 Amazon RDS 或 Amazon FSx、许可服务器、数据库服务器、文件服务器和应用程序服务器。
+ 确保安全组提供了对应用程序所需网络资源的访问权限。

  有关为 WorkSpaces 应用程序配置安全组的更多信息，请参阅[Amazon WorkSpaces 应用程序中的安全组](managing-network-security-groups.md)。有关安全组的一般信息，请阅《Amazon VPC 用户指南》**中的[您的 VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups)。

# 配置具有私有子网和 NAT 网关的 VPC
<a name="managing-network-internet-NAT-gateway"></a>

如果您计划为流实例（实例集实例、应用程序块生成器和映像生成器）提供对 Internet 的访问权限，建议您为流实例配置包含两个私有子网的 VPC，并在公有子网中配置 NAT 网关。您可以创建和配置新 VPC 来结合使用 NAT 网关，或将 NAT 网关添加到现有 VPC。有关其他 VPC 配置建议，请参阅 [VPC 设置建议](vpc-setup-recommendations.md)。

NAT 网关允许私有子网中的流媒体实例连接到 Internet 或其他 AWS 服务，但会阻止 Internet 启动与这些实例的连接。此外，与使用**默认 Internet Ac** cess 选项为 WorkSpaces 应用程序流媒体实例启用互联网访问的配置不同，此配置不限于 100 个队列实例。

有关使用 NAT 网关和此配置的信息，请参阅《Amazon VPC 用户指南》**中的 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)和[具有公有和私有子网（NAT）的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。

**Topics**
+ [创建和配置新 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [向现有 VPC 添加 NAT 网关](add-nat-gateway-existing-vpc.md)
+ [在亚马逊 WorkSpaces 应用程序中为您的舰队、Image Builder 或 App Block Builder 启用互联网接入](managing-network-manual-enable-internet-access.md)

# 创建和配置新 VPC
<a name="create-configure-new-vpc-with-private-public-subnets-nat"></a>

本主题介绍如何使用 VPC 向导创建具有一个公有子网和一个私有子网的 VPC。作为此过程的一部分，向导将创建 Internet 网关和 NAT 网关。它还会创建与公有子网关联的自定义路由表，并更新与私有子网关联的主路由表。NAT 网关是在您的 VPC 的公有子网中自动创建的。

使用向导创建初始 VPC 配置后，您将添加第二个私有子网。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[具有公有和私有子网（NAT）的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。

**注意**  
如果您已有 VPC，请改为完成[向现有 VPC 添加 NAT 网关](add-nat-gateway-existing-vpc.md)中的步骤。

**Topics**
+ [步骤 1：分配弹性 IP 地址](#allocate-elastic-ip)
+ [步骤 2：创建新 VPC](#vpc-with-private-and-public-subnets-nat)
+ [步骤 3：添加第二个私有子网](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [步骤 4：验证并命名子网路由表](#verify-name-route-tables)

## 步骤 1：分配弹性 IP 地址
<a name="allocate-elastic-ip"></a>

在创建 VPC 之前，您必须在 WorkSpaces 应用区域中分配弹性 IP 地址。您必须先分配用于 VPC 的弹性 IP 地址，然后将其与 NAT 网关关联。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[弹性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)。

**注意**  
使用弹性 IP 地址可能会产生费用。有关更多信息，请参阅 Amazon EC2 定价页面上的[弹性 IP 地址](https://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses)。

如果您还没有弹性 IP 地址，请完成以下步骤。如果需要使用现有的弹性 IP 地址，请确保它当前不与其他实例或网络接口关联。

**分配弹性 IP 地址**

1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。

1. 在导航窗格中的 “**网络与安全**” 下，选择 **Elastic IPs**。

1. 选择 **Allocate New Address (分配新地址)**，然后选择 **Allocate (分配)**。

1. 记录弹性 IP 地址。

1. 在**弹性 IPs**窗格的右上角，单击 X 图标关闭窗格。

## 步骤 2：创建新 VPC
<a name="vpc-with-private-and-public-subnets-nat"></a>

完成以下步骤，创建具有一个公有子网和一个私有子网的新 VPC。

**创建新的 VPC**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **VPC Dashboard (VPC 控制面板)**。

1. 选择 **Launch VPC Wizard (启动 VPC 向导)**。

1. 在 **Step 1: Select a VPC Configuration (步骤 1：选择 VPC 配置)** 中，选择 **VPC with Public and Private Subnets (带有公有子网和私有子网的 VPC)**，然后选择 **Select (选择)**。

1. 在 **Step 2: VPC with Public and Private Subnets (步骤 2：具有公有子网和私有子网的 VPC)** 中，如下所示配置 VPC：
   + 对于 **IPv4 CIDR 块**，请为 VPC 指定一个 IPv4 CIDR 块。
   + 对于 **IPv6 CIDR 块**，请保留默认值 “**无 IPv6 CIDR** 块”。
   + 对于 **VPC name (VPC 名称)**，请键入一个唯一的 VPC 名称。

1. 按照如下所示配置公有子网：
   + 对于**公有子网的 IPv4 CIDR**，请为该子网指定 CIDR 块。
   + 对于 **Availability Zone (可用区)**，保留默认值 **No Preference (无首选项)**。
   + 对于 **Public subnet name (公有子网名称)**，键入子网的名称（例如，`AppStream2 Public Subnet`）。

1. 按照如下所示配置第一个私有子网：
   + 对于**私有子网的 IPv4 CIDR**，请为该子网指定 CIDR 块。记下您指定的值。
   + 对于 **Availability Zone (可用区)**，选择特定区并记下您的选择。
   + 对于 **Private subnet name (私有子网名称)**，键入子网的名称（例如，`AppStream2 Private Subnet1`）。
   + 对于其余字段，在适用时保留默认值。

1. 对于 **Elastic IP Allocation ID (弹性 IP 分配 ID)**，单击文本框并选择与您创建的弹性 IP 地址相对应的值。此地址分配给 NAT 网关。如果您没有弹性 IP 地址，请使用位于的 Amazon VPC 控制台创建一个弹性 IP 地址[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 对于**服务端点**，如果您的环境需要 Amazon S3 端点，请指定一个。对于您私有网络中的用户，如果需要访问[主文件夹](home-folders.md)或者启用[程序设置持久性](app-settings-persistence.md)，则需要 S3 端点。

   要指定 Amazon S3 端点，请执行以下操作：

   1. 选择 **Add Endpoint (添加端点)**。

   1. 对于**服务**，在列表中选择以 “s3” 结尾的条目（该`com.amazonaws.`*region*`.s3`条目对应于创建 VPC 的区域）。

   1. 对于 **Subnet (子网)**，选择 **Private subnet (私有子网)**。

   1. 对于 **Policy (策略)**，保留默认值 **Full Access (完全访问)**。

1. 对于 **Enable DNS hostnames (启用 DNS 主机名)**，保留默认值 **Yes (是)**。

1. 对于 **Hardware tenancy (硬件租赁)**，保留默认值 **Default (默认值)**。

1. 选择**创建 VPC**。

1. 请注意，设置您的 VPC 可能需要几分钟。创建了 VPC 后，选择 **OK**。

## 步骤 3：添加第二个私有子网
<a name="vpc-with-private-and-public-subnets-add-private-subnet-nat"></a>

在上一步（[步骤 2：创建新 VPC](#vpc-with-private-and-public-subnets-nat)）中，您创建了具有一个公有子网和一个私有子网的 VPC。执行以下步骤以添加第二个私有子网。我们建议您在与第一个私有子网不同的可用区中添加第二个私有子网。

1. 在导航窗格中，选择 **Subnets**(子网)。

1. 选择您在上一步骤中创建的第一个私有子网。在 **Description (描述)** 选项卡上的子网列表下方，记录此子网的可用区。

1. 在子网窗格的左上角，选择 **Create Subnet (创建子网)**。

1. 对于 **Name tag (名称标签)**，键入私有子网的名称（例如，`AppStream2 Private Subnet2`）。

1. 对于 **VPC**，选择上一步骤中已创建的 VPC。

1. 对于 **Availability Zone (可用区)**，请选择一个可用区，而不是您用于第一个私有子网的可用区。选择不同的可用区可提高容错能力，并有助于防止容量不足错误。

1. 对于 **IPv4 CIDR 块**，请为新子网指定唯一的 CIDR 块范围。例如，如果您的第一个私有子网的 IPv4 CIDR 块范围为`10.0.1.0/24`，则可以`10.0.2.0/24`为新的私有子网指定 CIDR 块范围为。

1. 选择**创建**。

1. 创建子网后，选择 **Close (关闭)**。

## 步骤 4：验证并命名子网路由表
<a name="verify-name-route-tables"></a>

在您创建并配置 VPC 后，请完成以下步骤来为路由表指定名称，并验证：
+ 与 NAT 网关所在子网关联的路由表包含使 Internet 流量指向 Internet 网关的路由。这可确保您的 NAT 网关可以访问 Internet。
+ 与私有子网关联的路由表配置为将 Internet 流量指向 NAT 网关。这使您的私有子网中的流实例可以与 Internet 通信。

1. 在导航窗格中，选择 **Subnets (子网)**，然后选择您创建的公有子网（例如 `WorkSpaces Applications Public Subnet`）。

   1. 在 **Route Table (路由表)** 选项卡上，选择路由表的 ID（例如，`rtb-12345678`）。

   1. 选择路由表。在 **Name (名称)** 中，选择编辑图标（铅笔），键入一个名称（例如 `appstream2-public-routetable`），然后选择复选标记以保存该名称。

   1. 选中公有路由表的同时，在 **Routes (路由)** 选项卡上，确认有一个路由用于发送本地流量，另一个路由用于向 VPC 的 Internet 网关发送所有其他流量。下表对这两种路由进行了说明：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/appstream2/latest/developerguide/create-configure-new-vpc-with-private-public-subnets-nat.html)

1. 在导航窗格中，选择 **Subnets (子网)**，然后选择您创建的第一个私有子网（例如 `AppStream2 Private Subnet1`）。

   1. 在**路由表**选项卡上，选择路由表的 ID。

   1. 选择 路由表。在 **Name (名称)** 中，选择编辑图标（铅笔），输入一个名称（例如 `appstream2-private-routetable`），然后选择复选标记以保存该名称。

   1. 在 **Routes (路由)** 选项卡上，验证路由表包含以下路由：    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/appstream2/latest/developerguide/create-configure-new-vpc-with-private-public-subnets-nat.html)

1. 在导航窗格中，选择 **Subnets (子网)**，然后选择您创建的第二个私有子网（例如 `AppStream2 Private Subnet2`）。

1. 在 **Route Table (路由表)** 选项卡上，验证路由表是否为私有路由表（例如，`appstream2-private-routetable`）。如果路由表不同，请选择**编辑**，然后选择此路由表。

**后续步骤**

要使您的实例集实例、应用程序块生成器和映像生成器能够访问 Internet，请完成[在亚马逊 WorkSpaces 应用程序中为您的舰队、Image Builder 或 App Block Builder 启用互联网接入](managing-network-manual-enable-internet-access.md)中的步骤。

# 向现有 VPC 添加 NAT 网关
<a name="add-nat-gateway-existing-vpc"></a>

如果您已配置 VPC，请完成以下步骤，将 NAT 网关添加到 VPC。如果您需要创建新 VPC，请参阅[创建和配置新 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)。

**向现有 VPC 添加 NAT 网关**

1. 要创建 NAT 网关，请完成《Amazon VPC 用户指南》**中的[创建 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating)中的步骤。

1. 验证您的 VPC 至少有一个私有子网。建议您指定不同的可用区中的两个私有子网以实现高可用性和容错能力。有关如何创建第二个私有子网的信息，请参阅[步骤 3：添加第二个私有子网](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。

1. 更新与您的一个或多个私有子网关联的路由表，以将面向 Internet 的流量指向该 NAT 网关。这使您的私有子网中的流实例可以与 Internet 通信。为此，请完成[配置路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)中的步骤。

**后续步骤**

要使您的实例集实例、应用程序块生成器和映像生成器能够访问 Internet，请完成[在亚马逊 WorkSpaces 应用程序中为您的舰队、Image Builder 或 App Block Builder 启用互联网接入](managing-network-manual-enable-internet-access.md)中的步骤。

# 在亚马逊 WorkSpaces 应用程序中为您的舰队、Image Builder 或 App Block Builder 启用互联网接入
<a name="managing-network-manual-enable-internet-access"></a>

当您的 NAT 网关在 VPC 上可用后，您可以为实例集、映像生成器和应用程序块生成器启用 Internet 访问。

**注意**  
 IPv6 仅使用子网时，无法启用默认互联网接入。您需要设置仅限出口 Internet Gateway 并配置路由表以允许出站互联网流量。有关更多信息，请查看[步骤](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。您还需要为子网启用自动分配 IPv6 地址。Egress-Only 网关仅处理出站互联网流量，因此，如果您需要入站访问，您仍然需要普通的互联网网关。您可以在[仅限出口的 Internet 网关文档](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)中找到有关此内容的更多详细信息。确保有适当的安全和网络控制措施，以防止您的子网被意外 inbound/outbound 访问。

**Topics**
+ [在 Amazon WorkSpaces 应用程序中为您的车队启用互联网接入](managing-network-manual-fleet-enable-internet-access-fleet.md)
+ [在 Amazon WorkSpaces 应用程序中为您的 Image Builder 启用互联网访问功能](managing-network-manual-enable-internet-access-image-builder.md)
+ [在 Amazon WorkSpaces 应用程序中为您的应用程序区块生成器启用互联网访问功能](managing-network-enable-internet-access-app-block-builder.md)

# 在 Amazon WorkSpaces 应用程序中为您的车队启用互联网接入
<a name="managing-network-manual-fleet-enable-internet-access-fleet"></a>

您可以在创建实例集时启用 Internet 访问，也可在以后启用。

**在创建实例集时启用 Internet 访问**

1. 完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中 **Step 4: Configure Network (步骤 4：配置网络)** 之前的步骤。

1. 选择一个包含 NAT 网关的 VPC。

1. 如果子网字段为空，请为 **Subnet 1 (子网 1)** 选择一个私有子网，以及（可选）为 **Subnet 2 (子网 2)** 选择另一个私有子网。如果您的 VPC 中还没有私有子网，则可能需要创建第二个私有子网。

1. 继续完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中的步骤。

**使用 NAT 网关在创建实例集后启用 Internet 访问**

1. 在导航窗格中，选择 **Fleets**。

1. 选择一个实例集并检查状态是否为 **Stopped (已停止)**。

1. 依次选择 **Fleet Details** 和 **Edit**，然后选择一个包含 NAT 网关的 VPC。

1. 为 **Subnet 1 (子网 1)** 选择一个私有子网，以及（可选）为 **Subnet 2 (子网 2)** 选择另一个私有子网。如果您的 VPC 中还没有私有子网，则可能需要[创建第二个私有子网](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。

1. 选择**更新**。

通过启动您的实例集然后连接到流实例并浏览到 Internet，您可以测试您的 Internet 连接。

# 在 Amazon WorkSpaces 应用程序中为您的 Image Builder 启用互联网访问功能
<a name="managing-network-manual-enable-internet-access-image-builder"></a>

如果您计划为映像生成器启用 Internet 访问，则必须在创建映像生成器时执行此操作。

**为映像生成器启用 Internet 访问**

1. 完成[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中 **Step 3: Configure Network (步骤 3：配置网络)** 之前的步骤。

1. 选择包含 NAT 网关的 VPC。

1. 如果 **Subnet** 为空，请选择一个子网。

1. 继续完成[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中的步骤。

# 在 Amazon WorkSpaces 应用程序中为您的应用程序区块生成器启用互联网访问功能
<a name="managing-network-enable-internet-access-app-block-builder"></a>

如果您计划为应用程序块生成器启用 Internet 访问，必须在创建则生成器时执行此操作。

**为应用程序块生成器启用 Internet 访问**

1. 完成[创建应用程序块生成器](create-app-block-builder.md)中**步骤 2：配置网络**之前的步骤。

1. 选择包含 NAT 网关的 VPC。

1. 如果 **Subnet** 为空，请选择一个子网。

1. 继续完成[创建应用程序块生成器](create-app-block-builder.md)中的步骤。

# 配置带公有子网的新的或现有 VPC
<a name="managing-network-default-internet-access"></a>

如果您在 2013-12-04 之后创建的 Amazon Web Services 账户，则每个 AWS 区域都有一个包含默认公有子网的默认 [VPC](default-vpc-with-public-subnet.md)。但是，您可能需要创建自己的非默认 VPC 或配置现有 VPC 以用于 WorkSpaces 应用程序。本主题介绍如何配置非默认 VPC 和公有子网以用于 WorkSpaces 应用程序。

配置 VPC 和公有子网后，您可以通过启用 **Default Internet Access (默认 Internet) 访问** 选项，为流实例（实例集实例和映像生成器）提供 Internet 访问权限。启用此选项后， WorkSpaces 应用程序将通过将[弹性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html)关联到您的公有子网的网络接口来启用互联网连接。弹性 IP 地址是可通过互联网访问的公共 IPv4 地址。因此，我们建议您改用 NAT 网关为您的 WorkSpaces 应用程序实例提供互联网访问权限。此外，启用 **Default Internet Access (默认 Internet 访问)** 时，最多支持 100 个实例集实例。如果您的部署必须支持 100 个以上的并发用户，请改为使用 [NAT 网关配置](managing-network-internet-NAT-gateway.md)。

有关更多信息，请参阅[配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md) 中的步骤。有关其他 VPC 配置建议，请参阅 [VPC 设置建议](vpc-setup-recommendations.md)。

**Topics**
+ [步骤 1：配置带公有子网的 VPC](#vpc-with-public-subnet)
+ [步骤 2：为实例集、映像生成器或应用程序块生成器启用默认 Internet 访问](#managing-network-enable-default-internet-access)

## 步骤 1：配置带公有子网的 VPC
<a name="vpc-with-public-subnet"></a>

您可以使用以下任一方法，配置自己的带公有子网的非默认 VPC：
+ [创建带单个公有子网的新 VPC](#new-vpc-with-public-subnet)
+ [配置现有 VPC](#existing-vpc-with-public-subnet)

**注意**  
 IPv6 仅使用子网时，无法启用默认互联网接入。您需要设置仅限出口 Internet Gateway 并配置路由表以允许出站互联网流量。有关更多信息，请查看[步骤](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。您还需要为子网启用自动分配 IPv6 地址。Egress-Only 网关仅处理出站互联网流量，因此，如果您需要入站访问，您仍然需要普通的互联网网关。您可以在[仅限出口的 Internet 网关文档](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)中找到有关此内容的更多详细信息。

### 创建带单个公有子网的新 VPC
<a name="new-vpc-with-public-subnet"></a>

当您使用 VPC 向导创建新 VPC 时，向导将创建一个 Internet 网关以及一个与公有子网关联的自定义路由表。该路由表将发往 VPC 外部地址的所有流量路由到 Internet 网关。有关此配置的更多信息，请参阅《Amazon VPC 用户指南》**中的[带单个公有子网的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html)。

1. 完成《Amazon VPC 用户指南》**中的[步骤 1：创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) 中的步骤，以创建您的 VPC。

1. 要使您的实例集实例和映像生成器能够访问 Internet，请完成[步骤 2：为实例集、映像生成器或应用程序块生成器启用默认 Internet 访问](#managing-network-enable-default-internet-access)中的步骤。

### 配置现有 VPC
<a name="existing-vpc-with-public-subnet"></a>

如果您要使用不带公有子网的现有 VPC，可以添加一个新的公有子网。除了公有子网之外，您还必须有一个连接到 VPC 的 Internet 网关，以及一个将发往 VPC 外地址的所有流量路由到 Internet 网关的路由表。如需配置这些组件，请完成以下步骤。

1. 要添加公有子网，请完成[在 VPC 中创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)中的步骤。使用您计划用于 WorkSpaces 应用程序的现有 VPC。

   如果您的 VPC 配置为支持 IPv6 寻址，则会显示 **IPv6 CIDR 阻止**列表。选择 **Don't assign Ipv6 (不分配 Ipv6)**。

1. 要创建 Internet 网关并将其附加到您的 VPC，请完成[创建和附加 Internet 网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway)中的步骤。

1. 要将您的子网配置为通过 Internet 网关路由 Internet 流量，请完成[创建自定义路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing)中的步骤。在步骤 5 中，对于 “**目标**”，使用 IPv4 format (`0.0.0.0/0`)。

1. 要使您的实例集实例和映像生成器能够访问 Internet，请完成[步骤 2：为实例集、映像生成器或应用程序块生成器启用默认 Internet 访问](#managing-network-enable-default-internet-access)中的步骤。

## 步骤 2：为实例集、映像生成器或应用程序块生成器启用默认 Internet 访问
<a name="managing-network-enable-default-internet-access"></a>

配置具有公有子网的 VPC 后，您可以为实例集和映像生成器启用 **Default Internet Access (默认 Internet) 访问** 选项。

### 为实例集启用默认 Internet 访问
<a name="managing-network-internet-dia-fleet"></a>

您可以在创建实例集时启用 **Default Internet Access (默认 Internet) 访问** 选项，也可在以后启用。

**注意**  
对于已启用 **Default Internet Access (默认 Internet 访问)** 选项的实例集实例，限制为 100 个。

**在创建实例集时启用 Internet 访问**

1. 完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中 **Step 4: Configure Network (步骤 4：配置网络)** 之前的步骤。

1. 选中 **Default Internet Access (默认 Internet 访问)** 复选框。

1. 如果子网字段为空，请为 **Subnet 1 (子网 1)** 以及（可选）**Subnet 2 (子网 2)** 选择子网。

1. 继续完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中的步骤。

**在创建实例集后启用 Internet 访问**

1. 在导航窗格中，选择 **Fleets**。

1. 选择一个实例集并检查其状态是否为 **Stopped (已停止)**。

1. 依次选择 **Fleet Details (实例集详细信息)**、**Edit (编辑)**，然后选中 **Default Internet Access (默认 Internet) 访问** 复选框。

1. 为 **Subnet 1 (子网 1)** 以及（可选）**Subnet 2 (子网 2)** 选择子网。选择**更新**。

您可以通过启动您的实例集、创建堆栈、将实例集关联到堆栈和在堆栈的流式传输会话内浏览 Internet 来测试 Internet 连接。有关更多信息，请参阅 [创建 Amazon WorkSpaces 应用程序队列和堆栈](set-up-stacks-fleets.md)。

### 为映像生成器启用默认 Internet 访问
<a name="managing-network-internet-dia-image-builder"></a>

配置具有公有子网的 VPC 后，您可以为映像生成器启用 **Default Internet Access (默认 Internet) 访问** 选项。您可以在创建映像生成器时执行此操作。

**为映像生成器启用 Internet 访问**

1. 完成 [启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中 **Step 3: Configure Network (步骤 3：配置网络)** 之前的步骤。

1. 选中 **Default Internet Access (默认 Internet 访问)** 复选框。

1. 如果 **Subnet 1 (子网 1)** 为空，请选择一个子网。

1. 继续完成[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中的步骤。

### 为应用程序块生成器启用默认 Internet 访问
<a name="managing-network-internet-app-block-builder"></a>

配置具有公有子网的 VPC 后，可以为应用程序块生成器启用**默认 Internet 访问**选项。您可以在创建应用程序块生成器时执行此操作。

**为应用程序块生成器启用 Internet 访问**

1. 按照[创建应用程序块生成器](create-app-block-builder.md)中**步骤 2：配置网络**之前的步骤操作。

1. 选中 **Default Internet Access (默认 Internet 访问)** 复选框。

1. 如果 **Subnet** 为空，请选择一个子网。

1. 继续完成[创建应用程序块生成器](create-app-block-builder.md)中的步骤。

# 使用默认 VPC、公有子网和安全组
<a name="default-vpc-with-public-subnet"></a>

如果您的亚马逊 Web Services 账户是在 2013-12-04 之后创建的，则每个区域都有一个默认 VPC。 AWS 默认 VPC 在各个可用区中包含一个默认公有子网，以及连接到您 VPC 的 Internet 网关。VPC 还包含默认安全组。如果您不熟悉 WorkSpaces 应用程序并想开始使用该服务，则可以在创建队列、创建应用程序块生成器或启动映像生成器时保留默认 VPC 和安全组处于选中状态。然后，您可以选择至少一个默认子网。

**注意**  
如果您的 Amazon Web Services 账户是在 2013-12-04 之前创建的，则必须创建新的 VPC 或配置现有的 VPC 才能与应用程序一起使用。 WorkSpaces 我们建议您手动为实例集、应用程序块生成器和映像生成器配置具有两个私有子网的 VPC，并在公有子网中配置 NAT 网关。有关更多信息，请参阅 [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。或者，您也可以配置具有公有子网的非默认 VPC。有关更多信息，请参阅 [配置带公有子网的新的或现有 VPC](managing-network-default-internet-access.md)。

**为实例集使用默认 VPC、子网和安全组**

1. 完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中 **Step 4: Configure Network (步骤 4：配置网络)** 之前的步骤。

1. 在 **Step 4: Configure Network (步骤 4：配置网络)** 中，执行以下操作：
   + 要允许您的实例集实例访问 Internet，请选中 **Default Internet Access (默认 Internet 访问)** 复选框。
**注意**  
对于已启用 **Default Internet Access (默认 Internet 访问)** 选项的实例集实例，限制为 100 个。
   + 对于 **VPC**，请选择您所在 AWS 地区的默认 VPC。

     默认 VPC 名称使用以下格式：`vpc-`*vpc-id*` (No_default_value_Name)`。
   + 对于 **Subnet 1 (子网 1)**，请选择默认公有子网并记录可用区。

     默认子网名称使用以下格式：`subnet-`*subnet-id*` | (`*IPv4 CIDR block*`) | Default in`*availability-zone*。
   + （可选）对于 **Subnet 2 (子网 2)**，选择不同可用区中的默认子网。
   + 对于**安全组**，选择默认安全组。

     默认安全组名称使用以下格式：`sg-`*security-group-id*`-default`

1. 继续完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中的步骤。

完成以下步骤，为映像生成器使用默认 VPC、子网和安全组。

**为映像生成器使用默认 VPC、子网和安全组**

1. 按照[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中 **Step 3: Configure Network (步骤 3：配置网络)** 之前的步骤操作。

1. 在 **Step 4: Configure Network (步骤 4：配置网络)** 中，执行以下操作：
   + 要允许您的映像生成器实例访问 Internet，请选中 **Default Internet Access (默认 Internet 访问)** 复选框。
   + 对于 **VPC**，请选择您所在 AWS 地区的默认 VPC。

     默认 VPC 名称使用以下格式：`vpc-`*vpc-id*` (No_default_value_Name)`。
   + 对于 **Subnet 1 (子网 1)**，选择默认公有子网。

     默认子网名称使用以下格式：`subnet-`*subnet-id*` | (`*IPv4 CIDR block*`) | Default in`*availability-zone*。
   + 对于**安全组**，选择默认安全组。

     默认安全组名称使用以下格式：`sg-`*security-group-id*`-default`

1. 继续完成[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中的步骤。

完成以下步骤，为应用程序块生成器使用默认 VPC、子网和安全组。

**为应用程序块生成器使用默认 VPC、子网和安全组**

1. 按照[创建应用程序块生成器](create-app-block-builder.md)中**步骤 2：配置网络**之前的步骤操作。

1. 在**步骤 2：配置网络**中，执行以下操作：
   + 要允许您的映像生成器实例访问 Internet，请选中 **Default Internet Access (默认 Internet 访问)** 复选框。
   + 对于 **VPC**，请选择您所在 AWS 地区的默认 VPC。

     默认 VPC 名称使用以下格式：`vpc-`*vpc-id*` (No_default_value_Name)`。
   + 对于 **Subnet 1 (子网 1)**，选择默认公有子网。

     默认子网名称使用以下格式：`subnet-`*subnet-id*` | (`*IPv4 CIDR block*`) | Default in`*availability-zone*。
   + 对于**安全组**，选择默认安全组。

     默认安全组名称使用以下格式：`sg-`*security-group-id*`-default`

1. 继续完成[创建应用程序块生成器](create-app-block-builder.md)中的步骤。