本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # VPC 设置建议 创建实例集,或者启动映像生成器或应用程序块生成器时,可以指定要使用的 VPC 以及一个或多个子网。您可以通过指定安全组,为 VPC 提供额外的访问控制。 以下建议可帮助您更安全有效地配置 VPC。此外,它们还可以帮助您配置支持有效实例集扩展的环境。通过有效的队列扩展,您可以满足当前和预期的 WorkSpaces 应用程序用户需求,同时避免不必要的资源使用和相关成本。 **VPC 整体配置** + 确保您的 VPC 配置可以支持实例集扩展需求。 在制定实例集扩展计划时,请记住,一个用户需要一个实例集实例。因此,您的实例集大小决定了可以同时流式传输的用户数。因此,对于您计划使用的每种[实例类型](instance-types.md),请确保 VPC 可支持的实例集实例数量大于相同实例类型的预期并发用户数量。 + 确保您的 WorkSpaces 应用程序账户配额(也称为限制)足以满足您的预期需求。要申请增加配额,你可以使用 Service Quotas 控制台,网址为[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。有关默认 WorkSpaces 应用程序配额的信息,请参阅[亚马逊 WorkSpaces 应用程序服务配额](limits.md)。 + 如果您计划为流实例(实例集实例、应用程序块生成器或映像生成器)提供对 Internet 的访问权限,建议您为流实例配置包含两个私有子网的 VPC,并在公有子网中配置 NAT 网关。 NAT 网关允许私有子网中的流媒体实例连接到 Internet 或其他 AWS 服务。但是,它会阻止 Internet 启动与这些实例的连接。此外,与使用 **Default Internet Access (默认 Internet 访问)** 选项来启用 Internet 访问的配置不同,NAT 配置支持超过 100 个实例集实例。有关更多信息,请参阅 [配置具有私有子网和 NAT 网关的 VPC](managing-network-internet-NAT-gateway.md)。 **弹性网络接口** + WorkSpaces 应用程序创建的[弹性网络接口](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html)(网络接口)与队列所需的最大容量一样多。默认情况下,每个区域的网络接口数限制为 5000。 在为非常大的部署(例如,数千个流实例)规划容量时,请考虑同样在同一地区中使用的 EC2 实例数量。 **子网** + 如果您要为 VPC 配置多个私有子网,请在不同的可用区中配置每个子网。这样做可提高容错能力,并有助于防止出现容量不足错误。如果您在同一个可用区中使用两个子网,则可能会用完 IP 地址,因为 WorkSpaces 应用程序不会使用第二个子网。 + 请确保可通过您的两个私有子网访问应用程序所需的网络资源。 + 使用允许足够客户端 IP 地址数的子网掩码配置您的各个私有子网,以适应预期的最大并发用户数。此外,允许额外的 IP 地址来容纳预期的增长。有关更多信息,请参阅 [VPC 和子网大小调整 IPv4](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。 + 如果您在使用带有 NAT 的 VPC,请至少配置一个带有 NAT 网关的公有子网以便访问 Internet,最好配置两个公有子网。在您的私有子网所在的同一可用区中配置公有子网。 为了增强容错能力并减少大型 WorkSpaces 应用程序队列部署出现容量不足错误的机会,请考虑将您的 VPC 配置扩展到第三个可用区。在此额外的可用区中包括私有子网、公有子网和 NAT 网关。 + 如果您为子网启用 auto assign IPV6 选项,则您的实例的弹性网络接口将自动分配一个全局 IPV6 地址。有关更多信息,请参阅[修改子网](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html)。 + 启用默认 Internet 访问仅适用于仅子网或双栈子网中的 IPV4 IPv4 地址。要允许 IPV6 地址访问互联网,请添加互联网网关或仅限出口网关。有关更多信息,请参阅 [egress-only-internet-gateway](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。 **注意** 默认情况下, IPV6 地址是全球可寻址的。如果您的子网有 Internet 网关、相应的子网组和允许 IPV6 流量规则的 acl,则您的流媒体实例可以通过 IPV6 地址连接到 Internet。 **安全组** + 使用安全组向您的 VPC 提供额外的访问控制。 属于您的 VPC 的安全组允许您控制 WorkSpaces 应用程序流式传输实例与应用程序所需的网络资源之间的网络流量。这些资源可能包括其他 AWS 服务,例如 Amazon RDS 或 Amazon FSx、许可服务器、数据库服务器、文件服务器和应用程序服务器。 + 确保安全组提供了对应用程序所需网络资源的访问权限。 有关为 WorkSpaces 应用程序配置安全组的更多信息,请参阅[Amazon WorkSpaces 应用程序中的安全组](managing-network-security-groups.md)。有关安全组的一般信息,请阅《Amazon VPC 用户指南》**中的[您的 VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups)。