本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon WorkSpaces 应用程序的联网和访问
以下主题提供有关允许用户连接到 WorkSpaces 应用程序流式处理实例(队列实例)以及使您的 WorkSpaces 应用程序队列、映像生成器和应用程序块生成器能够访问网络资源和互联网的信息。
**Topics**
+ [Internet 访问](internet-access.md)
+ [为 WorkSpaces 应用程序配置 VPC](appstream-vpc.md)
+ [将 Amazon S3 VPC 终端节点用于 WorkSpaces 应用程序功能](managing-network-vpce-iam-policy.md)
+ [亚马逊 WorkSpaces 应用程序与您的 VPC 的连接](appstream2-port-requirements-appstream2.md)
+ [用户与 Amazon WorkSpaces 应用程序的连接](user-connections-to-appstream2.md)
# Internet 访问
如果您的实例集、应用程序块生成器和映像生成器需要访问 Internet,可以通过多种方式实现 Internet 访问。在选择实现 Internet 访问的方法时,请考虑您的部署必须支持的用户数量以及您的部署目标。例如:
+ 如果您的部署必须支持 100 个以上的并发用户,需[配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。
+ 如果您的部署支持 100 个以内并发用户,可以[使用公有子网配置新的或现有 VPC](managing-network-default-internet-access.md)。
+ 如果您的部署支持少于 100 个并发用户,并且您是 WorkSpaces 应用程序的新手并希望开始使用该服务,则[可以使用默认 VPC、公有子网和安全组](managing-network-default-internet-access.md)。
以下几部分提供了有关这些部署选项中每一项的更多信息。
+ [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)(推荐)– 使用此配置,您可以在私有子网中启动实例集、应用程序块生成器和映像生成器,并在您的 VPC 中的公有子网中配置 NAT 网关。您的流实例会被分配一个无法直接从 Internet 访问的私有 IP 地址。
此外,与使用 **Default Internet Access (默认 Internet 访问)** 选项来启用 Internet 访问的配置不同,NAT 配置不限于 100 个实例集实例。如果您的部署必须支持 100 个以上的并发用户,请使用此配置。
您可以创建和配置新 VPC 来结合使用 NAT 网关,或将 NAT 网关添加到现有 VPC。
+ [配置带公有子网的新的或现有 VPC](managing-network-default-internet-access.md) – 使用此配置,您可以在公有子网中启动实例集、应用程序块生成器和映像生成器,并启用**默认 Internet 访问**。启用此选项后, WorkSpaces 应用程序将使用您的 Amazon VPC 公有子网中的互联网网关来提供互联网连接。您的流实例会被分配一个可直接从 Internet 访问的公有 IP 地址。您可以创建新 VPC 或配置现有 VPC 用于此用途。
**注意**
启用 **Default Internet Access (默认 Internet 访问)** 时,最多支持 100 个实例集实例。如果您的部署必须支持 100 个以上的并发用户,请改为使用 [NAT 网关配置](managing-network-internet-NAT-gateway.md)。
+ [使用默认 VPC、公有子网和安全组](default-vpc-with-public-subnet.md)— 如果您不熟悉 WorkSpaces 应用程序并想开始使用该服务,则可以在默认的公有子网中启动队列、应用程序区块生成器和映像生成器,然后启用**默认互联网接入**。启用此选项后, WorkSpaces 应用程序将使用您的 Amazon VPC 公有子网中的互联网网关来提供互联网连接。您的流实例会被分配一个可直接从 Internet 访问的公有 IP 地址。
默认 VPCs 在 2013-12-04 之后创建的亚马逊 Web Services 账户中可用。
默认 VPC 在各个可用区中包含一个默认公有子网,以及连接到您 VPC 的 Internet 网关。VPC 还包含默认安全组。
**注意**
启用 **Default Internet Access (默认 Internet 访问)** 时,最多支持 100 个实例集实例。如果您的部署必须支持 100 个以上的并发用户,请改为使用 [NAT 网关配置](managing-network-internet-NAT-gateway.md)。
# 为 WorkSpaces 应用程序配置 VPC
设置 WorkSpaces 应用程序时,必须指定虚拟私有云 (VPC) 和至少一个子网,用于启动队列实例和映像生成器。VPC 是 Amazon Web Services Cloud 内您自己的逻辑隔离区域中的虚拟网络。子网是您的 VPC 内的 IP 地址范围。
在为 WorkSpaces 应用程序配置 VPC 时,您可以指定公有子网或私有子网,也可以将这两种类型的子网混合使用。公有子网可以通过 Internet 网关直接访问 Internet。私有子网没有直接指向 Internet 网关的路由,需要网络地址转换 (NAT) 网关或 NAT 实例来提供对 Internet 的访问。
**Topics**
+ [VPC 设置建议](vpc-setup-recommendations.md)
+ [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)
+ [配置带公有子网的新的或现有 VPC](managing-network-default-internet-access.md)
+ [使用默认 VPC、公有子网和安全组](default-vpc-with-public-subnet.md)
# VPC 设置建议
创建实例集,或者启动映像生成器或应用程序块生成器时,可以指定要使用的 VPC 以及一个或多个子网。您可以通过指定安全组,为 VPC 提供额外的访问控制。
以下建议可帮助您更安全有效地配置 VPC。此外,它们还可以帮助您配置支持有效实例集扩展的环境。通过有效的队列扩展,您可以满足当前和预期的 WorkSpaces 应用程序用户需求,同时避免不必要的资源使用和相关成本。
**VPC 整体配置**
+ 确保您的 VPC 配置可以支持实例集扩展需求。
在制定实例集扩展计划时,请记住,一个用户需要一个实例集实例。因此,您的实例集大小决定了可以同时流式传输的用户数。因此,对于您计划使用的每种[实例类型](instance-types.md),请确保 VPC 可支持的实例集实例数量大于相同实例类型的预期并发用户数量。
+ 确保您的 WorkSpaces 应用程序账户配额(也称为限制)足以满足您的预期需求。要申请增加配额,你可以使用 Service Quotas 控制台,网址为[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。有关默认 WorkSpaces 应用程序配额的信息,请参阅[亚马逊 WorkSpaces 应用程序服务配额](limits.md)。
+ 如果您计划为流实例(实例集实例、应用程序块生成器或映像生成器)提供对 Internet 的访问权限,建议您为流实例配置包含两个私有子网的 VPC,并在公有子网中配置 NAT 网关。
NAT 网关允许私有子网中的流媒体实例连接到 Internet 或其他 AWS 服务。但是,它会阻止 Internet 启动与这些实例的连接。此外,与使用 **Default Internet Access (默认 Internet 访问)** 选项来启用 Internet 访问的配置不同,NAT 配置支持超过 100 个实例集实例。有关更多信息,请参阅 [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。
**弹性网络接口**
+ WorkSpaces 应用程序创建的[弹性网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)(网络接口)与队列所需的最大容量一样多。默认情况下,每个区域的网络接口数限制为 5000。
在为非常大的部署(例如,数千个流实例)规划容量时,请考虑同样在同一地区中使用的 EC2 实例数量。
**子网**
+ 如果您要为 VPC 配置多个私有子网,请在不同的可用区中配置每个子网。这样做可提高容错能力,并有助于防止出现容量不足错误。如果您在同一个可用区中使用两个子网,则可能会用完 IP 地址,因为 WorkSpaces 应用程序不会使用第二个子网。
+ 请确保可通过您的两个私有子网访问应用程序所需的网络资源。
+ 使用允许足够客户端 IP 地址数的子网掩码配置您的各个私有子网,以适应预期的最大并发用户数。此外,允许额外的 IP 地址来容纳预期的增长。有关更多信息,请参阅 [VPC 和子网大小调整 IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
+ 如果您在使用带有 NAT 的 VPC,请至少配置一个带有 NAT 网关的公有子网以便访问 Internet,最好配置两个公有子网。在您的私有子网所在的同一可用区中配置公有子网。
为了增强容错能力并减少大型 WorkSpaces 应用程序队列部署出现容量不足错误的机会,请考虑将您的 VPC 配置扩展到第三个可用区。在此额外的可用区中包括私有子网、公有子网和 NAT 网关。
+ 如果您为子网启用 auto assign IPV6 选项,则您的实例的弹性网络接口将自动分配一个全局 IPV6 地址。有关更多信息,请参阅[修改子网](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html)。
+ 启用默认 Internet 访问仅适用于仅子网或双栈子网中的 IPV4 IPv4 地址。要允许 IPV6 地址访问互联网,请添加互联网网关或仅限出口网关。有关更多信息,请参阅 [egress-only-internet-gateway](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。
**注意**
默认情况下, IPV6 地址是全球可寻址的。如果您的子网有 Internet 网关、相应的子网组和允许 IPV6 流量规则的 acl,则您的流媒体实例可以通过 IPV6 地址连接到 Internet。
**安全组**
+ 使用安全组向您的 VPC 提供额外的访问控制。
属于您的 VPC 的安全组允许您控制 WorkSpaces 应用程序流式传输实例与应用程序所需的网络资源之间的网络流量。这些资源可能包括其他 AWS 服务,例如 Amazon RDS 或 Amazon FSx、许可服务器、数据库服务器、文件服务器和应用程序服务器。
+ 确保安全组提供了对应用程序所需网络资源的访问权限。
有关为 WorkSpaces 应用程序配置安全组的更多信息,请参阅[Amazon WorkSpaces 应用程序中的安全组](managing-network-security-groups.md)。有关安全组的一般信息,请阅《Amazon VPC 用户指南》**中的[您的 VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups)。
# 配置具有私有子网和 NAT 网关的 VPC
如果您计划为流实例(实例集实例、应用程序块生成器和映像生成器)提供对 Internet 的访问权限,建议您为流实例配置包含两个私有子网的 VPC,并在公有子网中配置 NAT 网关。您可以创建和配置新 VPC 来结合使用 NAT 网关,或将 NAT 网关添加到现有 VPC。有关其他 VPC 配置建议,请参阅 [VPC 设置建议](vpc-setup-recommendations.md)。
NAT 网关允许私有子网中的流媒体实例连接到 Internet 或其他 AWS 服务,但会阻止 Internet 启动与这些实例的连接。此外,与使用**默认 Internet Ac** cess 选项为 WorkSpaces 应用程序流媒体实例启用互联网访问的配置不同,此配置不限于 100 个队列实例。
有关使用 NAT 网关和此配置的信息,请参阅《Amazon VPC 用户指南》**中的 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)和[具有公有和私有子网(NAT)的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**Topics**
+ [创建和配置新 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [向现有 VPC 添加 NAT 网关](add-nat-gateway-existing-vpc.md)
+ [在亚马逊 WorkSpaces 应用程序中为您的舰队、Image Builder 或 App Block Builder 启用互联网接入](managing-network-manual-enable-internet-access.md)
# 创建和配置新 VPC
本主题介绍如何使用 VPC 向导创建具有一个公有子网和一个私有子网的 VPC。作为此过程的一部分,向导将创建 Internet 网关和 NAT 网关。它还会创建与公有子网关联的自定义路由表,并更新与私有子网关联的主路由表。NAT 网关是在您的 VPC 的公有子网中自动创建的。
使用向导创建初始 VPC 配置后,您将添加第二个私有子网。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[具有公有和私有子网(NAT)的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**注意**
如果您已有 VPC,请改为完成[向现有 VPC 添加 NAT 网关](add-nat-gateway-existing-vpc.md)中的步骤。
**Topics**
+ [步骤 1:分配弹性 IP 地址](#allocate-elastic-ip)
+ [步骤 2:创建新 VPC](#vpc-with-private-and-public-subnets-nat)
+ [步骤 3:添加第二个私有子网](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [步骤 4:验证并命名子网路由表](#verify-name-route-tables)
## 步骤 1:分配弹性 IP 地址
在创建 VPC 之前,您必须在 WorkSpaces 应用区域中分配弹性 IP 地址。您必须先分配用于 VPC 的弹性 IP 地址,然后将其与 NAT 网关关联。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[弹性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)。
**注意**
使用弹性 IP 地址可能会产生费用。有关更多信息,请参阅 Amazon EC2 定价页面上的[弹性 IP 地址](https://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses)。
如果您还没有弹性 IP 地址,请完成以下步骤。如果需要使用现有的弹性 IP 地址,请确保它当前不与其他实例或网络接口关联。
**分配弹性 IP 地址**
1. 打开位于 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 的 Amazon EC2 控制台。
1. 在导航窗格中的 “**网络与安全**” 下,选择 **Elastic IPs**。
1. 选择 **Allocate New Address (分配新地址)**,然后选择 **Allocate (分配)**。
1. 记录弹性 IP 地址。
1. 在**弹性 IPs**窗格的右上角,单击 X 图标关闭窗格。
## 步骤 2:创建新 VPC
完成以下步骤,创建具有一个公有子网和一个私有子网的新 VPC。
**创建新的 VPC**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **VPC Dashboard (VPC 控制面板)**。
1. 选择 **Launch VPC Wizard (启动 VPC 向导)**。
1. 在 **Step 1: Select a VPC Configuration (步骤 1:选择 VPC 配置)** 中,选择 **VPC with Public and Private Subnets (带有公有子网和私有子网的 VPC)**,然后选择 **Select (选择)**。
1. 在 **Step 2: VPC with Public and Private Subnets (步骤 2:具有公有子网和私有子网的 VPC)** 中,如下所示配置 VPC:
+ 对于 **IPv4 CIDR 块**,请为 VPC 指定一个 IPv4 CIDR 块。
+ 对于 **IPv6 CIDR 块**,请保留默认值 “**无 IPv6 CIDR** 块”。
+ 对于 **VPC name (VPC 名称)**,请键入一个唯一的 VPC 名称。
1. 按照如下所示配置公有子网:
+ 对于**公有子网的 IPv4 CIDR**,请为该子网指定 CIDR 块。
+ 对于 **Availability Zone (可用区)**,保留默认值 **No Preference (无首选项)**。
+ 对于 **Public subnet name (公有子网名称)**,键入子网的名称(例如,`AppStream2 Public Subnet`)。
1. 按照如下所示配置第一个私有子网:
+ 对于**私有子网的 IPv4 CIDR**,请为该子网指定 CIDR 块。记下您指定的值。
+ 对于 **Availability Zone (可用区)**,选择特定区并记下您的选择。
+ 对于 **Private subnet name (私有子网名称)**,键入子网的名称(例如,`AppStream2 Private Subnet1`)。
+ 对于其余字段,在适用时保留默认值。
1. 对于 **Elastic IP Allocation ID (弹性 IP 分配 ID)**,单击文本框并选择与您创建的弹性 IP 地址相对应的值。此地址分配给 NAT 网关。如果您没有弹性 IP 地址,请使用位于的 Amazon VPC 控制台创建一个弹性 IP 地址[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。
1. 对于**服务端点**,如果您的环境需要 Amazon S3 端点,请指定一个。对于您私有网络中的用户,如果需要访问[主文件夹](home-folders.md)或者启用[程序设置持久性](app-settings-persistence.md),则需要 S3 端点。
要指定 Amazon S3 端点,请执行以下操作:
1. 选择 **Add Endpoint (添加端点)**。
1. 对于**服务**,在列表中选择以 “s3” 结尾的条目(该`com.amazonaws.`*region*`.s3`条目对应于创建 VPC 的区域)。
1. 对于 **Subnet (子网)**,选择 **Private subnet (私有子网)**。
1. 对于 **Policy (策略)**,保留默认值 **Full Access (完全访问)**。
1. 对于 **Enable DNS hostnames (启用 DNS 主机名)**,保留默认值 **Yes (是)**。
1. 对于 **Hardware tenancy (硬件租赁)**,保留默认值 **Default (默认值)**。
1. 选择**创建 VPC**。
1. 请注意,设置您的 VPC 可能需要几分钟。创建了 VPC 后,选择 **OK**。
## 步骤 3:添加第二个私有子网
在上一步([步骤 2:创建新 VPC](#vpc-with-private-and-public-subnets-nat))中,您创建了具有一个公有子网和一个私有子网的 VPC。执行以下步骤以添加第二个私有子网。我们建议您在与第一个私有子网不同的可用区中添加第二个私有子网。
1. 在导航窗格中,选择 **Subnets**(子网)。
1. 选择您在上一步骤中创建的第一个私有子网。在 **Description (描述)** 选项卡上的子网列表下方,记录此子网的可用区。
1. 在子网窗格的左上角,选择 **Create Subnet (创建子网)**。
1. 对于 **Name tag (名称标签)**,键入私有子网的名称(例如,`AppStream2 Private Subnet2`)。
1. 对于 **VPC**,选择上一步骤中已创建的 VPC。
1. 对于 **Availability Zone (可用区)**,请选择一个可用区,而不是您用于第一个私有子网的可用区。选择不同的可用区可提高容错能力,并有助于防止容量不足错误。
1. 对于 **IPv4 CIDR 块**,请为新子网指定唯一的 CIDR 块范围。例如,如果您的第一个私有子网的 IPv4 CIDR 块范围为`10.0.1.0/24`,则可以`10.0.2.0/24`为新的私有子网指定 CIDR 块范围为。
1. 选择**创建**。
1. 创建子网后,选择 **Close (关闭)**。
## 步骤 4:验证并命名子网路由表
在您创建并配置 VPC 后,请完成以下步骤来为路由表指定名称,并验证:
+ 与 NAT 网关所在子网关联的路由表包含使 Internet 流量指向 Internet 网关的路由。这可确保您的 NAT 网关可以访问 Internet。
+ 与私有子网关联的路由表配置为将 Internet 流量指向 NAT 网关。这使您的私有子网中的流实例可以与 Internet 通信。
1. 在导航窗格中,选择 **Subnets (子网)**,然后选择您创建的公有子网(例如 `WorkSpaces Applications Public Subnet`)。
1. 在 **Route Table (路由表)** 选项卡上,选择路由表的 ID(例如,`rtb-12345678`)。
1. 选择路由表。在 **Name (名称)** 中,选择编辑图标(铅笔),键入一个名称(例如 `appstream2-public-routetable`),然后选择复选标记以保存该名称。
1. 选中公有路由表的同时,在 **Routes (路由)** 选项卡上,确认有一个路由用于发送本地流量,另一个路由用于向 VPC 的 Internet 网关发送所有其他流量。下表对这两种路由进行了说明:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/appstream2/latest/developerguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在导航窗格中,选择 **Subnets (子网)**,然后选择您创建的第一个私有子网(例如 `AppStream2 Private Subnet1`)。
1. 在**路由表**选项卡上,选择路由表的 ID。
1. 选择 路由表。在 **Name (名称)** 中,选择编辑图标(铅笔),输入一个名称(例如 `appstream2-private-routetable`),然后选择复选标记以保存该名称。
1. 在 **Routes (路由)** 选项卡上,验证路由表包含以下路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/appstream2/latest/developerguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在导航窗格中,选择 **Subnets (子网)**,然后选择您创建的第二个私有子网(例如 `AppStream2 Private Subnet2`)。
1. 在 **Route Table (路由表)** 选项卡上,验证路由表是否为私有路由表(例如,`appstream2-private-routetable`)。如果路由表不同,请选择**编辑**,然后选择此路由表。
**后续步骤**
要使您的实例集实例、应用程序块生成器和映像生成器能够访问 Internet,请完成[在亚马逊 WorkSpaces 应用程序中为您的舰队、Image Builder 或 App Block Builder 启用互联网接入](managing-network-manual-enable-internet-access.md)中的步骤。
# 向现有 VPC 添加 NAT 网关
如果您已配置 VPC,请完成以下步骤,将 NAT 网关添加到 VPC。如果您需要创建新 VPC,请参阅[创建和配置新 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)。
**向现有 VPC 添加 NAT 网关**
1. 要创建 NAT 网关,请完成《Amazon VPC 用户指南》**中的[创建 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating)中的步骤。
1. 验证您的 VPC 至少有一个私有子网。建议您指定不同的可用区中的两个私有子网以实现高可用性和容错能力。有关如何创建第二个私有子网的信息,请参阅[步骤 3:添加第二个私有子网](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。
1. 更新与您的一个或多个私有子网关联的路由表,以将面向 Internet 的流量指向该 NAT 网关。这使您的私有子网中的流实例可以与 Internet 通信。为此,请完成[配置路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)中的步骤。
**后续步骤**
要使您的实例集实例、应用程序块生成器和映像生成器能够访问 Internet,请完成[在亚马逊 WorkSpaces 应用程序中为您的舰队、Image Builder 或 App Block Builder 启用互联网接入](managing-network-manual-enable-internet-access.md)中的步骤。
# 在亚马逊 WorkSpaces 应用程序中为您的舰队、Image Builder 或 App Block Builder 启用互联网接入
当您的 NAT 网关在 VPC 上可用后,您可以为实例集、映像生成器和应用程序块生成器启用 Internet 访问。
**注意**
IPv6 仅使用子网时,无法启用默认互联网接入。您需要设置仅限出口 Internet Gateway 并配置路由表以允许出站互联网流量。有关更多信息,请查看[步骤](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。您还需要为子网启用自动分配 IPv6 地址。Egress-Only 网关仅处理出站互联网流量,因此,如果您需要入站访问,您仍然需要普通的互联网网关。您可以在[仅限出口的 Internet 网关文档](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)中找到有关此内容的更多详细信息。确保有适当的安全和网络控制措施,以防止您的子网被意外 inbound/outbound 访问。
**Topics**
+ [在 Amazon WorkSpaces 应用程序中为您的车队启用互联网接入](managing-network-manual-fleet-enable-internet-access-fleet.md)
+ [在 Amazon WorkSpaces 应用程序中为您的 Image Builder 启用互联网访问功能](managing-network-manual-enable-internet-access-image-builder.md)
+ [在 Amazon WorkSpaces 应用程序中为您的应用程序区块生成器启用互联网访问功能](managing-network-enable-internet-access-app-block-builder.md)
# 在 Amazon WorkSpaces 应用程序中为您的车队启用互联网接入
您可以在创建实例集时启用 Internet 访问,也可在以后启用。
**在创建实例集时启用 Internet 访问**
1. 完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中 **Step 4: Configure Network (步骤 4:配置网络)** 之前的步骤。
1. 选择一个包含 NAT 网关的 VPC。
1. 如果子网字段为空,请为 **Subnet 1 (子网 1)** 选择一个私有子网,以及(可选)为 **Subnet 2 (子网 2)** 选择另一个私有子网。如果您的 VPC 中还没有私有子网,则可能需要创建第二个私有子网。
1. 继续完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中的步骤。
**使用 NAT 网关在创建实例集后启用 Internet 访问**
1. 在导航窗格中,选择 **Fleets**。
1. 选择一个实例集并检查状态是否为 **Stopped (已停止)**。
1. 依次选择 **Fleet Details** 和 **Edit**,然后选择一个包含 NAT 网关的 VPC。
1. 为 **Subnet 1 (子网 1)** 选择一个私有子网,以及(可选)为 **Subnet 2 (子网 2)** 选择另一个私有子网。如果您的 VPC 中还没有私有子网,则可能需要[创建第二个私有子网](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。
1. 选择**更新**。
通过启动您的实例集然后连接到流实例并浏览到 Internet,您可以测试您的 Internet 连接。
# 在 Amazon WorkSpaces 应用程序中为您的 Image Builder 启用互联网访问功能
如果您计划为映像生成器启用 Internet 访问,则必须在创建映像生成器时执行此操作。
**为映像生成器启用 Internet 访问**
1. 完成[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中 **Step 3: Configure Network (步骤 3:配置网络)** 之前的步骤。
1. 选择包含 NAT 网关的 VPC。
1. 如果 **Subnet** 为空,请选择一个子网。
1. 继续完成[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中的步骤。
# 在 Amazon WorkSpaces 应用程序中为您的应用程序区块生成器启用互联网访问功能
如果您计划为应用程序块生成器启用 Internet 访问,必须在创建则生成器时执行此操作。
**为应用程序块生成器启用 Internet 访问**
1. 完成[创建应用程序块生成器](create-app-block-builder.md)中**步骤 2:配置网络**之前的步骤。
1. 选择包含 NAT 网关的 VPC。
1. 如果 **Subnet** 为空,请选择一个子网。
1. 继续完成[创建应用程序块生成器](create-app-block-builder.md)中的步骤。
# 配置带公有子网的新的或现有 VPC
如果您在 2013-12-04 之后创建的 Amazon Web Services 账户,则每个 AWS 区域都有一个包含默认公有子网的默认 [VPC](default-vpc-with-public-subnet.md)。但是,您可能需要创建自己的非默认 VPC 或配置现有 VPC 以用于 WorkSpaces 应用程序。本主题介绍如何配置非默认 VPC 和公有子网以用于 WorkSpaces 应用程序。
配置 VPC 和公有子网后,您可以通过启用 **Default Internet Access (默认 Internet) 访问** 选项,为流实例(实例集实例和映像生成器)提供 Internet 访问权限。启用此选项后, WorkSpaces 应用程序将通过将[弹性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html)关联到您的公有子网的网络接口来启用互联网连接。弹性 IP 地址是可通过互联网访问的公共 IPv4 地址。因此,我们建议您改用 NAT 网关为您的 WorkSpaces 应用程序实例提供互联网访问权限。此外,启用 **Default Internet Access (默认 Internet 访问)** 时,最多支持 100 个实例集实例。如果您的部署必须支持 100 个以上的并发用户,请改为使用 [NAT 网关配置](managing-network-internet-NAT-gateway.md)。
有关更多信息,请参阅[配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md) 中的步骤。有关其他 VPC 配置建议,请参阅 [VPC 设置建议](vpc-setup-recommendations.md)。
**Topics**
+ [步骤 1:配置带公有子网的 VPC](#vpc-with-public-subnet)
+ [步骤 2:为实例集、映像生成器或应用程序块生成器启用默认 Internet 访问](#managing-network-enable-default-internet-access)
## 步骤 1:配置带公有子网的 VPC
您可以使用以下任一方法,配置自己的带公有子网的非默认 VPC:
+ [创建带单个公有子网的新 VPC](#new-vpc-with-public-subnet)
+ [配置现有 VPC](#existing-vpc-with-public-subnet)
**注意**
IPv6 仅使用子网时,无法启用默认互联网接入。您需要设置仅限出口 Internet Gateway 并配置路由表以允许出站互联网流量。有关更多信息,请查看[步骤](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。您还需要为子网启用自动分配 IPv6 地址。Egress-Only 网关仅处理出站互联网流量,因此,如果您需要入站访问,您仍然需要普通的互联网网关。您可以在[仅限出口的 Internet 网关文档](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)中找到有关此内容的更多详细信息。
### 创建带单个公有子网的新 VPC
当您使用 VPC 向导创建新 VPC 时,向导将创建一个 Internet 网关以及一个与公有子网关联的自定义路由表。该路由表将发往 VPC 外部地址的所有流量路由到 Internet 网关。有关此配置的更多信息,请参阅《Amazon VPC 用户指南》**中的[带单个公有子网的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html)。
1. 完成《Amazon VPC 用户指南》**中的[步骤 1:创建 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) 中的步骤,以创建您的 VPC。
1. 要使您的实例集实例和映像生成器能够访问 Internet,请完成[步骤 2:为实例集、映像生成器或应用程序块生成器启用默认 Internet 访问](#managing-network-enable-default-internet-access)中的步骤。
### 配置现有 VPC
如果您要使用不带公有子网的现有 VPC,可以添加一个新的公有子网。除了公有子网之外,您还必须有一个连接到 VPC 的 Internet 网关,以及一个将发往 VPC 外地址的所有流量路由到 Internet 网关的路由表。如需配置这些组件,请完成以下步骤。
1. 要添加公有子网,请完成[在 VPC 中创建子网](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)中的步骤。使用您计划用于 WorkSpaces 应用程序的现有 VPC。
如果您的 VPC 配置为支持 IPv6 寻址,则会显示 **IPv6 CIDR 阻止**列表。选择 **Don't assign Ipv6 (不分配 Ipv6)**。
1. 要创建 Internet 网关并将其附加到您的 VPC,请完成[创建和附加 Internet 网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway)中的步骤。
1. 要将您的子网配置为通过 Internet 网关路由 Internet 流量,请完成[创建自定义路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing)中的步骤。在步骤 5 中,对于 “**目标**”,使用 IPv4 format (`0.0.0.0/0`)。
1. 要使您的实例集实例和映像生成器能够访问 Internet,请完成[步骤 2:为实例集、映像生成器或应用程序块生成器启用默认 Internet 访问](#managing-network-enable-default-internet-access)中的步骤。
## 步骤 2:为实例集、映像生成器或应用程序块生成器启用默认 Internet 访问
配置具有公有子网的 VPC 后,您可以为实例集和映像生成器启用 **Default Internet Access (默认 Internet) 访问** 选项。
### 为实例集启用默认 Internet 访问
您可以在创建实例集时启用 **Default Internet Access (默认 Internet) 访问** 选项,也可在以后启用。
**注意**
对于已启用 **Default Internet Access (默认 Internet 访问)** 选项的实例集实例,限制为 100 个。
**在创建实例集时启用 Internet 访问**
1. 完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中 **Step 4: Configure Network (步骤 4:配置网络)** 之前的步骤。
1. 选中 **Default Internet Access (默认 Internet 访问)** 复选框。
1. 如果子网字段为空,请为 **Subnet 1 (子网 1)** 以及(可选)**Subnet 2 (子网 2)** 选择子网。
1. 继续完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中的步骤。
**在创建实例集后启用 Internet 访问**
1. 在导航窗格中,选择 **Fleets**。
1. 选择一个实例集并检查其状态是否为 **Stopped (已停止)**。
1. 依次选择 **Fleet Details (实例集详细信息)**、**Edit (编辑)**,然后选中 **Default Internet Access (默认 Internet) 访问** 复选框。
1. 为 **Subnet 1 (子网 1)** 以及(可选)**Subnet 2 (子网 2)** 选择子网。选择**更新**。
您可以通过启动您的实例集、创建堆栈、将实例集关联到堆栈和在堆栈的流式传输会话内浏览 Internet 来测试 Internet 连接。有关更多信息,请参阅 [创建 Amazon WorkSpaces 应用程序队列和堆栈](set-up-stacks-fleets.md)。
### 为映像生成器启用默认 Internet 访问
配置具有公有子网的 VPC 后,您可以为映像生成器启用 **Default Internet Access (默认 Internet) 访问** 选项。您可以在创建映像生成器时执行此操作。
**为映像生成器启用 Internet 访问**
1. 完成 [启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中 **Step 3: Configure Network (步骤 3:配置网络)** 之前的步骤。
1. 选中 **Default Internet Access (默认 Internet 访问)** 复选框。
1. 如果 **Subnet 1 (子网 1)** 为空,请选择一个子网。
1. 继续完成[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中的步骤。
### 为应用程序块生成器启用默认 Internet 访问
配置具有公有子网的 VPC 后,可以为应用程序块生成器启用**默认 Internet 访问**选项。您可以在创建应用程序块生成器时执行此操作。
**为应用程序块生成器启用 Internet 访问**
1. 按照[创建应用程序块生成器](create-app-block-builder.md)中**步骤 2:配置网络**之前的步骤操作。
1. 选中 **Default Internet Access (默认 Internet 访问)** 复选框。
1. 如果 **Subnet** 为空,请选择一个子网。
1. 继续完成[创建应用程序块生成器](create-app-block-builder.md)中的步骤。
# 使用默认 VPC、公有子网和安全组
如果您的亚马逊 Web Services 账户是在 2013-12-04 之后创建的,则每个区域都有一个默认 VPC。 AWS 默认 VPC 在各个可用区中包含一个默认公有子网,以及连接到您 VPC 的 Internet 网关。VPC 还包含默认安全组。如果您不熟悉 WorkSpaces 应用程序并想开始使用该服务,则可以在创建队列、创建应用程序块生成器或启动映像生成器时保留默认 VPC 和安全组处于选中状态。然后,您可以选择至少一个默认子网。
**注意**
如果您的 Amazon Web Services 账户是在 2013-12-04 之前创建的,则必须创建新的 VPC 或配置现有的 VPC 才能与应用程序一起使用。 WorkSpaces 我们建议您手动为实例集、应用程序块生成器和映像生成器配置具有两个私有子网的 VPC,并在公有子网中配置 NAT 网关。有关更多信息,请参阅 [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。或者,您也可以配置具有公有子网的非默认 VPC。有关更多信息,请参阅 [配置带公有子网的新的或现有 VPC](managing-network-default-internet-access.md)。
**为实例集使用默认 VPC、子网和安全组**
1. 完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中 **Step 4: Configure Network (步骤 4:配置网络)** 之前的步骤。
1. 在 **Step 4: Configure Network (步骤 4:配置网络)** 中,执行以下操作:
+ 要允许您的实例集实例访问 Internet,请选中 **Default Internet Access (默认 Internet 访问)** 复选框。
**注意**
对于已启用 **Default Internet Access (默认 Internet 访问)** 选项的实例集实例,限制为 100 个。
+ 对于 **VPC**,请选择您所在 AWS 地区的默认 VPC。
默认 VPC 名称使用以下格式:`vpc-`*vpc-id*` (No_default_value_Name)`。
+ 对于 **Subnet 1 (子网 1)**,请选择默认公有子网并记录可用区。
默认子网名称使用以下格式:`subnet-`*subnet-id*` | (`*IPv4 CIDR block*`) | Default in`*availability-zone*。
+ (可选)对于 **Subnet 2 (子网 2)**,选择不同可用区中的默认子网。
+ 对于**安全组**,选择默认安全组。
默认安全组名称使用以下格式:`sg-`*security-group-id*`-default`
1. 继续完成[在 Amazon WorkSpaces 应用程序中创建舰队](set-up-stacks-fleets-create.md)中的步骤。
完成以下步骤,为映像生成器使用默认 VPC、子网和安全组。
**为映像生成器使用默认 VPC、子网和安全组**
1. 按照[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中 **Step 3: Configure Network (步骤 3:配置网络)** 之前的步骤操作。
1. 在 **Step 4: Configure Network (步骤 4:配置网络)** 中,执行以下操作:
+ 要允许您的映像生成器实例访问 Internet,请选中 **Default Internet Access (默认 Internet 访问)** 复选框。
+ 对于 **VPC**,请选择您所在 AWS 地区的默认 VPC。
默认 VPC 名称使用以下格式:`vpc-`*vpc-id*` (No_default_value_Name)`。
+ 对于 **Subnet 1 (子网 1)**,选择默认公有子网。
默认子网名称使用以下格式:`subnet-`*subnet-id*` | (`*IPv4 CIDR block*`) | Default in`*availability-zone*。
+ 对于**安全组**,选择默认安全组。
默认安全组名称使用以下格式:`sg-`*security-group-id*`-default`
1. 继续完成[启动映像生成器来安装和配置流应用程序](tutorial-image-builder-create.md)中的步骤。
完成以下步骤,为应用程序块生成器使用默认 VPC、子网和安全组。
**为应用程序块生成器使用默认 VPC、子网和安全组**
1. 按照[创建应用程序块生成器](create-app-block-builder.md)中**步骤 2:配置网络**之前的步骤操作。
1. 在**步骤 2:配置网络**中,执行以下操作:
+ 要允许您的映像生成器实例访问 Internet,请选中 **Default Internet Access (默认 Internet 访问)** 复选框。
+ 对于 **VPC**,请选择您所在 AWS 地区的默认 VPC。
默认 VPC 名称使用以下格式:`vpc-`*vpc-id*` (No_default_value_Name)`。
+ 对于 **Subnet 1 (子网 1)**,选择默认公有子网。
默认子网名称使用以下格式:`subnet-`*subnet-id*` | (`*IPv4 CIDR block*`) | Default in`*availability-zone*。
+ 对于**安全组**,选择默认安全组。
默认安全组名称使用以下格式:`sg-`*security-group-id*`-default`
1. 继续完成[创建应用程序块生成器](create-app-block-builder.md)中的步骤。
# 将 Amazon S3 VPC 终端节点用于 WorkSpaces 应用程序功能
当您在堆栈上启用应用程序设置持久性或主文件夹时, WorkSpaces 应用程序将使用您为队列指定的 VPC 来提供对亚马逊简单存储服务 (Amazon S3) 存储桶的访问权限。对于弹性队列, WorkSpaces 应用程序将使用 VPC 访问包含分配给队列应用程序块的应用程序的 Amazon S3 存储桶。要允许 WorkSpaces 应用程序访问您的私有 S3 终端节点,请将以下自定义策略附加到您的 Amazon S3 的 VPC 终端节点。有关私有 Amazon S3 端点的更多信息,请参阅《Amazon VPC 用户指南》**中的 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)和 [Amazon S3 的端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-AppStream-to-access-S3-buckets",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:sts::111122223333:assumed-role/AmazonAppStreamServiceAccess/AppStream2.0"
},
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion"
],
"Resource": [
"arn:aws:s3:::appstream2-36fb080bb8-*",
"arn:aws:s3:::appstream-app-settings-*",
"arn:aws:s3:::appstream-logs-*"
]
},
{
"Sid": "Allow-AppStream-ElasticFleetstoRetrieveObjects",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-with-application-or-app-block-objects/*",
"Condition": {
"StringEquals": {
"aws:PrincipalServiceName": "appstream.amazonaws.com"
}
}
}
]
}
```
------
# 亚马逊 WorkSpaces 应用程序与您的 VPC 的连接
要启用 WorkSpaces 应用程序与网络资源和 Internet 的连接,请按以下方式配置您的流媒体实例。
**Topics**
+ [Amazon WorkSpaces 应用程序中的网络接口](network-interfaces.md)
+ [Amazon WorkSpaces 应用程序中的管理网络接口 IP 地址范围和端口](management_ports.md)
+ [Amazon WorkSpaces 应用程序中的客户网络接口端口](primary_ports.md)
# Amazon WorkSpaces 应用程序中的网络接口
每个 WorkSpaces 应用程序流媒体实例都有以下网络接口:
+ 客户网络接口提供与您的 VPC 内的资源以及 Internet 的连接,并用于将流实例加入您的目录。
+ 管理网络接口连接到安全的 WorkSpaces 应用程序管理网络。它用于将流媒体实例以交互方式流式传输到用户的设备,并允许 WorkSpaces 应用程序管理流式传输实例。
WorkSpaces 应用程序从以下私有 IP 地址范围中选择管理网络接口的 IP 地址:198.19.0.0/16。不要将此范围用于您的 VPC CIDR,或利用此范围将您的 VPC 与另一 VPC 进行对等,因为这样会造成冲突,并导致无法访问流实例。另外,不要修改或删除附加到流实例的网络接口,因为这样也可能导致无法访问流实例。
# Amazon WorkSpaces 应用程序中的管理网络接口 IP 地址范围和端口
管理网络接口 IP 地址范围是 198.19.0.0/16。以下端口在所有流实例的管理网络接口上都必须处于打开状态:
+ 端口 8300 上的入站 TCP。它用于建立流式连接。
+ 端口 8000 和 8443 上的入站 TCP。它们用于 WorkSpaces 应用程序管理流式处理实例。
+ 端口 8300 上的入站 UDP。它用于通过 UDP 建立流式连接。
+ 端口 1688 上的出站 TCP。这用于在实例集流实例上激活随附 Microsoft 许可证的应用程序。
将管理网络接口的入站范围限制于 198.19.0.0/16。
在正常情况下, WorkSpaces 应用程序会为您的流媒体实例正确配置这些端口。如果流实例上安装了任何拦截这些端口的安全软件或防火墙软件,则流实例可能无法正常工作,或者可能无法访问。
请勿禁用 IPv6。如果禁用 IPv6, WorkSpaces 应用程序将无法正常运行。有关针对 Windows IPv6 进行配置的信息,请参阅[高级用户 IPv6 在 Windows 中进行配置的指南](https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users)。
**注意**
WorkSpaces 应用程序依靠您的 VPC 内的 DNS 服务器为不存在的本地域名返回不存在的域 (NXDOMAIN) 响应。这使 WorkSpaces 应用程序管理的网络接口能够与管理服务器通信。
使用 Simple AD 创建目录时, AWS Directory Service 会创建两个同时代表您充当 DNS 服务器的域控制器。由于域控制器不提供 NXDOMAIN 响应,因此它们不能与应用程序一起 WorkSpaces 使用。
# Amazon WorkSpaces 应用程序中的客户网络接口端口
对于客户网络接口端口,请遵循以下指南。
+ 要连接 Internet,以下端口必须针对所有目标打开。如果您在使用经过修改的安全组或自定义安全组,需要手动添加必需的规则。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[安全组规则](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)。
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 8433
+ 如果您将流式传输实例加入目录,则必须在您的 WorkSpaces 应用程序 VPC 和目录控制器之间打开以下端口。
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身份验证
+ UDP 123 - NTP
+ TCP 135 - RPC
+ UDP 137-138 - Netlogon
+ TCP 139 - Netlogon
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP 1024-65535 - RPC 动态端口
有关端口的完整列表,请参阅 Microsoft 文档中的 [Active Directory 和 Active Directory 域服务端口要求](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))。
+ 所有流实例都要求端口 80 (HTTP) 对 IP 地址 `169.254.169.254` 开放,以允许访问 EC2 元数据服务。IP 地址范围保留给`169.254.0.0/16`用于管理流量的 WorkSpaces 应用程序服务。不排除此范围可能会导致出现流式传输问题。
# 用户与 Amazon WorkSpaces 应用程序的连接
用户可以通过默认的公共互联网终端节点或使用您在虚拟私有云 (VPC) 中创建的接口 VPC 终端节点(接口终端节点)连接到 WorkSpaces 应用程序流式处理实例。有关更多信息,请参阅 [教程:从接口 VPC 端点创建和流式传输](creating-streaming-from-interface-vpc-endpoints.md)。
默认情况下, WorkSpaces 应用程序配置为通过公共互联网路由流媒体连接。需要互联网连接才能对用户进行身份验证并交付 WorkSpaces 应用程序运行所需的 Web 资产。要允许此流量,您必须允许[允许的域](allowed-domains.md)中列出的域。
**注意**
对于用户身份验证, WorkSpaces 应用程序支持用户池、安全断言标记语言 2.0 (SAML 2.0) 和 [CreateStreamingUR](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) L API 操作。有关更多信息,请参阅 [用户身份验证](authentication-authorization.md)。
以下主题提供有关如何启用用户与 WorkSpaces 应用程序的连接的信息。
**Topics**
+ [带宽建议](bandwidth-recommendations-user-connections.md)
+ [WorkSpaces 应用程序用户设备的 IP 地址和端口要求](client-application-ports.md)
+ [允许的域](allowed-domains.md)
# 带宽建议
要优化 WorkSpaces 应用程序的性能,请确保您的网络带宽和延迟能够满足用户的需求。
WorkSpaces 应用程序使用 NICE 桌面云可视化 (DCV),让您的用户能够在不同的网络条件下安全地访问和流式传输您的应用程序。为了帮助减少带宽消耗,NICE DCV 使用基于 H.264 视频压缩和编码。在流式传输会话期间,应用程序的可视输出将作为 AES-256 加密像素流通过 HTTPS 进行压缩并流式传输到您的用户。收到流后,它会被解密并输出到用户的本地屏幕。当您的用户与流应用程序进行交互时,NICE DCV 协议会捕获用户输入并通过 HTTPS 将其发送回其流应用程序。
在此过程中会不断测量网络状况,并将信息发送回 WorkSpaces 应用程序。 WorkSpaces 应用程序通过实时更改视频和音频编码来动态响应不断变化的网络条件,从而为各种应用程序和网络条件生成高质量的流。
WorkSpaces 应用程序流式传输会话的推荐带宽和延迟取决于工作负载。例如,相比于使用企业生产力应用程序编写文档的用户,对于使用图形密集型应用程序执行计算机辅助设计任务的用户,将需要更多的带宽和更低的延迟。
下表根据常见工作负载提供了有关 WorkSpaces 应用程序流式传输会话的推荐网络带宽和延迟的指导。
对于每个工作负载,基于单个用户在特定时间点可能需要的内容提出带宽建议。该建议未反映持续吞吐量所需的带宽。当在流式传输会话期间屏幕上仅有几个像素发生变化时,持续吞吐量会低得多。虽然可用带宽较少的用户仍然可以流式传输其应用程序,但帧速率或图像质量可能不是最佳的。
| 工作负载 | 说明 | 为每个用户推荐的带宽 | 推荐的最大往返延迟 |
| --- | --- | --- | --- |
| 业务线应用程序 | 文档编写应用程序、数据库分析实用程序 | 2 Mbps | < 150 毫秒 |
| 图形应用程序 | 计算机辅助设计和建模应用程序、照片和视频编辑 | 5 Mbps | < 100 毫秒 |
| 高保真度 | 跨多个监视器的高保真数据集或映射 | 10 Mbps | < 50 毫秒 |
# WorkSpaces 应用程序用户设备的 IP 地址和端口要求
WorkSpaces 使用互联网终端节点时,应用程序用户的设备需要通过端口 443 (TCP) 和端口 8433 (UDP) 进行出站访问;如果您使用 DNS 服务器进行域名解析,则需要端口 53 (UDP) 进行出站访问。
+ 使用互联网终端节点时,端口 443 用于 WorkSpaces 应用程序用户设备与流媒体实例之间的 HTTPS 通信。通常情况下,如果最终用户在流式传输会话期间浏览 Web,则 Web 浏览器会在较高范围内随机选择一个源端口来用于流式传输流量。您必须确保允许流量返回到该端口。
**注意**
WorkSpaces 应用程序 WebSockets 在端口 443 上使用。
+ 使用互联网终端节点时,端口 8433 用于 WorkSpaces 应用程序用户设备与流媒体实例之间的 UDP HTTPS 通信。目前,仅在 Windows 原生客户端中支持此功能。如果您使用的是 VPC 端点,则不支持 UDP。
**注意**
通过接口 VPC 端点进行流传输需要额外的端口。有关更多信息,请参阅 [教程:从接口 VPC 端点创建和流式传输](creating-streaming-from-interface-vpc-endpoints.md)。
+ 端口 53 用于 WorkSpaces 应用程序用户的设备与您的 DNS 服务器之间的通信。此端口必须对您的 DNS 服务器的 IP 地址开放,以便解析公有域名。如果您不使用 DNS 服务器进行域名解析,则此端口是可选的。
WorkSpaces 适用于 Windows(版本 1.2.1581 或更高版本)、Mac(版本 1.2.0 或更高版本)和 Web 浏览器访问的应用程序客户端自动更喜欢通过网络进行连接,而不是通过 IPv6 网络进行连接。 IPv4 如果出现网络延迟等不利的网络条件,客户端将回退到 IPV4 网络。
# 允许的域
要使 WorkSpaces 应用程序用户访问流式传输实例,您必须允许网络上的以下域名从该域启动对流媒体实例的访问。
+ 流式传输网关:\$1.amazonappstream.com
**注意**
您可以创建 VPC 端点并仅将该特定端点列入许可名单,而不必使用通配符将所有流式传输网关列入许可名单。有关更多信息,请参阅 [WorkSpaces 应用程序接口 VPC 终端节点](interface-vpc-endpoints.md)。
为了获得 IPV4 支持,您必须在网络上允许以下域名,用户可以从该域启动对流媒体实例的访问。它基于区域,遵循以下格式:`*.streaming.{region}.appstream2.amazonappstream.com`和`*.dcv-streaming.{region}.appstream2.amazonappstream.com`。如果是符合 FIPS 的区域,则还需要另一个格式为 and 的端点`*.streaming.{region}.appstream2-fips.amazonappstream.com`。`*.dcv-streaming.{region}.appstream2-fips.amazonappstream.com`请查看下表。
| Region | 域: |
| --- | --- |
| 美国东部(弗吉尼亚州北部) | \$1.streaming.us-east-1.appstream2.amazonappstream.com \$1.dcv-streaming.us-east-1.appstream2.amazonappstream.com \$1.streaming.us-east-1.appstream2-fips.amazonappstream.com \$1.dcv-streaming.us-east-1.appstream2-fips.amazonappstream.com |
| 美国东部(俄亥俄州) | \$1.streaming.us-east-2.appstream2.amazonappstream.com \$1.dcv-streaming.us-east-2.appstream2.amazonappstream.com |
| 美国西部(俄勒冈州) | \$1.streaming.us-west-2.appstream2.amazonappstream.com \$1.dcv-streaming.us-west-2.appstream2.amazonappstream.com \$1.streaming.us-west-2.appstream2-fips.amazonappstream.com \$1.dcv-streaming.us-west-2.appstream2-fips.amazonappstream.com |
| 亚太地区(孟买) | \$1.streaming.ap-south-1.appstream2.amazonappstream.com \$1.dcv-streaming.ap-south-1.appstream2.amazonappstream.com |
| 亚太地区(首尔) | \$1.streaming.ap-northeast-2.appstream2.amazonappstream.com \$1.dcv-streaming.ap-northeast-2.appstream2.amazonappstream.com |
| 亚太地区(新加坡) | \$1.streaming.ap-southeast-1.appstream2.amazonappstream.com \$1.dcv-streaming.ap-southeast-1.appstream2.amazonappstream.com |
| 亚太地区(悉尼) | \$1.streaming.ap-southeast-2.appstream2.amazonappstream.com \$1.dcv-streaming.ap-southeast-2.appstream2.amazonappstream.com |
| 亚太地区(东京) | \$1.streaming.ap-northeast-1.appstream2.amazonappstream.com \$1.dcv-streaming.ap-northeast-1.appstream2.amazonappstream.com |
| 加拿大(中部) | \$1.streaming.ca-central-1.appstream2.amazonappstream.com \$1.dcv-streaming.ca-central-1.appstream2.amazonappstream.com |
| 欧洲地区(法兰克福) | \$1.streaming.eu-central-1.appstream2.amazonappstream.com \$1.dcv-streaming.eu-central-1.appstream2.amazonappstream.com |
| 欧洲地区(伦敦) | \$1.streaming.eu-west-2.appstream2.amazonappstream.com \$1.dcv-streaming.eu-west-2.appstream2.amazonappstream.com |
| 欧洲地区(爱尔兰) | \$1.streaming.eu-west-1.appstream2.amazonappstream.com \$1.dcv-streaming.eu-west-1.appstream2.amazonappstream.com |
| 欧洲地区(巴黎) | \$1.streaming.eu-west-3.appstream2.amazonappstream.com \$1.dcv-streaming.eu-west-3.appstream2.amazonappstream.com |
| AWS GovCloud (美国东部) | \$1. 直播。 us-gov-east-1.appstream2.amazonappstream.com \$1.dcv-streaming。 us-gov-east-1.appstream2.amazonappstream.com \$1. 直播。 us-gov-east-1.appstream2-fips.amazonappstream.com \$1.dcv-streaming。 us-gov-east-1.appstream2-fips.amazonappstream.com |
| AWS GovCloud (美国西部) | \$1. 直播。 us-gov-west-1.appstream2.amazonappstream.com \$1.dcv-streaming。 us-gov-west-1.appstream2.amazonappstream.com \$1. 直播。 us-gov-west-1.appstream2-fips.amazonappstream.com \$1.dcv-streaming。 us-gov-west-1.appstream2-fips.amazonappstream.com |
| 南美洲(圣保罗) | \$1.streaming.sa-east-1.appstream2.amazonappstream.com \$1.dcv-streaming.sa-east-1.appstream2.amazonappstream.com |
为了获得 IPV6 支持,您必须在网络上允许以下域名,用户可以从该域启动对流媒体实例的访问。它基于区域,遵循以下格式:`*.streaming.appstream2.{region}.on.aws`和`*.dcv-streaming.appstream2.{region}.on.aws`。如果是符合 FIPS 的区域,则还需要另一个格式为 and 的端点`*.streaming.appstream2-fips.{region}.on.aws`。`*.dcv-streaming.appstream2-fips.{region}.on.aws`请查看下表。
为了使用 IPV6 地址,您的基础图片必须更新为2025年9月5日或之后发布的图片。有关更多信息,请查看[托管映像更新](https://docs.aws.amazon.com/appstream2/latest/developerguide/keep-image-updated-managed-image-updates.html)。
| Region | 域: |
| --- | --- |
| 美国东部(弗吉尼亚州北部) | \$1.streaming.appstream2.us-east-1.on.aws \$1.dcv-streaming.appstream2.us-east-1.on.aws \$1.streaming.appstream2-fips.us-east-1.on.aws \$1.dcv-streaming.appstream2-fips.us-east-1.on.aws |
| 美国东部(俄亥俄州) | \$1.streaming.appstream2.us-east-2.on.aws \$1.dcv-streaming.appstream2.us-east-2.on.aws |
| 美国西部(俄勒冈州) | \$1.streaming.appstream2.us-west-2.on.aws \$1.dcv-streaming.appstream2.us-west-2.on.aws \$1.streaming.appstream2-fips.us-west-2.on.aws \$1.dcv-streaming.appstream2-fips.us-west-2.on.aws |
| 亚太地区(孟买) | \$1.streaming.appstream2.ap-south-1.on.aws \$1.dcv-streaming.appstream2.ap-south-1.on.aws |
| 亚太地区(首尔) | \$1.streaming.appstream2.ap-northeast-2.on.aws \$1.dcv-streaming.appstream2.ap-northeast-2.on.aws |
| 亚太地区(新加坡) | \$1.streaming.appstream2.ap-southeast-1.on.aws \$1.dcv-streaming.appstream2.ap-southeast-1.on.aws |
| 亚太地区(悉尼) | \$1.streaming.appstream2.ap-southeast-2.on.aws \$1.dcv-streaming.appstream2.ap-southeast-2.on.aws |
| 亚太地区(东京) | \$1.streaming.appstream2.ap-northeast-1.on.aws \$1.dcv-streaming.appstream2.ap-northeast-1.on.aws |
| 加拿大(中部) | \$1.streaming.appstream2.ca-central-1.on.aws \$1.dcv-streaming.appstream2.ca-central-1.on.aws |
| 欧洲地区(法兰克福) | \$1.streaming.appstream2.eu-central-1.on.aws \$1.dcv-streaming.appstream2.eu-central-1.on.aws |
| 欧洲地区(伦敦) | \$1.streaming.appstream2.eu-west-2.on.aws \$1.dcv-streaming.appstream2.eu-west-2.on.aws |
| 欧洲地区(爱尔兰) | \$1.streaming.appstream2.eu-west-1.on.aws \$1.dcv-streaming.appstream2.eu-west-1.on.aws |
| 欧洲地区(巴黎) | \$1.streaming.appstream2.eu-west-3.on.aws \$1.dcv-streaming.appstream2.eu-west-3.on.aws |
| AWS GovCloud (美国东部) | \$1.streaming.appstream2。 us-gov-east-1.on.aws \$1.dcv-streaming.appstream2。 us-gov-east-1.on.aws \$1.streaming.appstream2-fips。 us-gov-east-1.on.aws \$1.dcv-streaming.appstream2-fips。 us-gov-east-1.on.aws |
| AWS GovCloud (美国西部) | \$1.streaming.appstream2。 us-gov-west-1.on.aws \$1.dcv-streaming.appstream2。 us-gov-west-1.on.aws \$1.streaming.appstream2-fips。 us-gov-west-1.on.aws \$1.dcv-streaming.appstream2-fips。 us-gov-west-1.on.aws |
| 南美洲(圣保罗) | \$1.streaming.appstream2.sa-east-1.on.aws \$1.dcv-streaming.appstream2.sa-east-1.on.aws |
必须允许一个或多个域才能启用用户身份验证。您必须允许与部署 WorkSpaces 应用程序的区域相对应的域和子域。
| Region | 域: |
| --- | --- |
| 美国东部(弗吉尼亚州北部) | \$1.appstream2.us-east-1.aws.amazon.com |
| 美国东部(俄亥俄州) | \$1.appstream2.us-east-2.aws.amazon.com |
| 美国西部(俄勒冈州) | \$1.appstream2.us-west-2.aws.amazon.com |
| 亚太地区(马来西亚) | \$1.appstream2.ap-southeast-5.aws.amazon.com |
| 亚太地区(孟买) | \$1.appstream2.ap-south-1.aws.amazon.com |
| 亚太地区(首尔) | \$1.appstream2.ap-northeast-2.aws.amazon.com |
| 亚太地区(新加坡) | \$1.appstream2.ap-southeast-1.aws.amazon.com |
| 亚太地区(悉尼) | \$1.appstream2.ap-southeast-2.aws.amazon.com |
| 亚太地区(东京) | \$1.appstream2.ap-northeast-1.aws.amazon.com |
| 加拿大(中部) | \$1.appstream2.ca-central-1.aws.amazon.com |
| 欧洲地区(法兰克福) | \$1.appstream2.eu-central-1.aws.amazon.com |
| 欧洲地区(伦敦) | \$1.appstream2.eu-west-2.aws.amazon.com |
| 欧洲地区(爱尔兰) | \$1.appstream2.eu-west-1.aws.amazon.com |
| 欧洲地区(米兰) | \$1.appstream2.eu-south-1.aws.amazon.com |
| 欧洲地区(巴黎) | \$1.appstream2.eu-west-3.aws.amazon.com |
| 欧洲(西班牙) | \$1.appstream2.eu-south-2.aws.amazon.com |
| AWS GovCloud (美国东部) | \$1.appstream2。 us-gov-east-1。 amazonaws-us-gov.com |
| AWS GovCloud (美国西部) | \$1.appstream2。 us-gov-west-1。 amazonaws-us-gov.com |
| 南美洲(圣保罗) | \$1.appstream2.sa-east-1.aws.amazon.com |
| 以色列(特拉维夫) | \$1.appstream2.il-central-1.aws.amazon.com |
**注意**
如果您的用户使用网络代理访问流实例,请在表和会话网关 \$1.amazonappstream.com 中为用户身份验证域禁用任何代理缓存。
AWS 以 JSON 格式发布其当前 IP 地址范围,包括会话网关和 CloudFront 域可能解析到的范围。有关如何下载 .json 文件并查看当前范围的信息,请参阅 Amazon Web Services 一般参考中的 [AWS IP 地址范围](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。或者,如果您使用的是 Windows AWS 工具 PowerShell,则可以使用 `Get-AWSPublicIpAddressRange` cmdlet 访问相同的信息。有关更多信息,请参阅[查询 AWS的公有 IP 地址范围](https://aws.amazon.com/blogs/developer/querying-the-public-ip-address-ranges-for-aws/)。
对于正在访问 Elastic 队列的 WorkSpaces 应用程序用户,您必须允许访问包含应用程序图标的 Amazon Simple Storage Service 存储段的域。
**注意**
如果您的 S3 存储桶名称中包含“.” 字符,使用的域是 https://s3..amazonaws.com。如果您的 S3 存储桶名称中不包含“.” 名称中的字符,使用的域名是 https: //< *bucket name* >.s3。 < *AWS 区域* >.amazonaws.com。