本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 工作人员为客户管理的车队托管数据流
<a name="cmf-network"></a>

本主题介绍了 De AWS adline Cloud（Deadline Cloud）工作服务器在操作期间建立的网络连接，包括联系的端点、使用的协议和传输的数据。此信息适用于客户管理的队列 (CMF) 工作人员，包括亚马逊弹性计算云 (Amazon EC2) 实例和本地工作人员。使用此信息为您的工作主机配置防火墙规则、创建 VPC 终端节点、执行安全审计或规划网络策略。有关服务托管舰队网络的信息，请参阅[互联网络流量隐私](inter-network-traffic-privacy.md)。

所有工作人员通信仅限出站。工作主机启动所有连接，您无需允许任何入站连接。所有连接都使用端口 443 上的 HTTPS（TLS 1.2 或更高版本）。

本主题包括以下部分：
+ [端点和协议](#cmf-network-endpoints)
+ [工作人员使用的 API 操作](#cmf-network-apis)
+ [传输的其他数据](#cmf-network-other)
+ [私有连接选项](#cmf-network-private-connectivity)

## 端点和协议
<a name="cmf-network-endpoints"></a>

下表列出了工作主机在操作期间连接到的 AWS 服务端点。有关每项服务的区域终端节点的完整列表，请参阅*AWS 一般参考*中的[服务终端节点和配额](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)。


**工作主机端点参考**  

| AWS 服务 | 端点 | 端口/协议 | 用途 | 必需 | 
| --- | --- | --- | --- | --- | 
| [截止日期云](https://docs.aws.amazon.com/general/latest/gr/deadlinecloud.html)（日程安排） | scheduling.deadline.[Region].amazonaws.com | 443/ HTTPS | 工作人员注册、任务轮询、状态更新、证书交换、工作实体检索。请参阅[工作人员使用的 API 操作](#cmf-network-apis)。 | 总是 | 
| [Amazon CloudWatch 日志](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html)（CloudWatch 日志） | logs.[Region].amazonaws.com | 443/ HTTPS | 工作器代理和会话日志传输。 | 总是 | 
| [Amazon Simple Storage Service（Amazon S3）](https://docs.aws.amazon.com/general/latest/gr/s3.html) | s3.[Region].amazonaws.com | 443/ HTTPS | 上传和下载 Job 附件。 | 如果使用作业附件 | 

如果您的任务使用其他 AWS 服务，则可能还需要允许与这些服务终端节点的出站连接。

## 工作人员使用的 API 操作
<a name="cmf-network-apis"></a>

以下所有 API 操作都使用`scheduling.deadline.[Region].amazonaws.com`终端节点。有关每个操作的完整请求和响应架构，请参阅 De [adline Cloud API 参考](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/Welcome.html)。

### 引导阶段
<a name="cmf-network-bootstrap"></a>

当工作器主机启动时，工作器代理会在队列中注册。引导凭证需要`AWSDeadlineCloud-WorkerHost` AWS 托管策略中的权限或等效的自定义权限。引导阶段使用以下 API 操作：
+ [https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_CreateWorker.html](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_CreateWorker.html)— 在车队中注册工作人员。发送主机名和 IP 地址。收到工作人员 ID。
+ [https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_AssumeFleetRoleForWorker.html](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_AssumeFleetRoleForWorker.html)— 获取舰队角色证书。接收工作器代理用于后续操作的临时 AWS 证书。

### 运营阶段
<a name="cmf-network-operational"></a>

启动后，工作器代理会轮询工作和流程会话。舰队角色需要`AWSDeadlineCloud-FleetWorker` AWS 托管策略中的权限或等效的自定义权限，并使用以下 API 操作：
+ [https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_UpdateWorker.html](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_UpdateWorker.html)— 将工作器状态更新为关机`STOPPED`期间。
+ [https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_UpdateWorkerSchedule.html](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_UpdateWorkerSchedule.html)— 对工作任务进行民意调查。发送会话操作状态更新，包括完成状态、进度百分比、进度消息和输出清单哈希值。接收分配的会话（作业 ID、队列 ID、会话操作、日志配置）、取消请求、所需的工作器状态和更新间隔。
+ [https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_BatchGetJobEntity.html](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_BatchGetJobEntity.html)— 获取已分配工作的作业详细信息。发送作业实体标识符。接收作业详细信息、环境详细信息和作业附件详细信息。
+ [https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_AssumeFleetRoleForWorker.html](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_AssumeFleetRoleForWorker.html)— 定期刷新舰队角色凭证。
+ [https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_AssumeQueueRoleForWorker.html](https://docs.aws.amazon.com/deadline-cloud/latest/APIReference/API_AssumeQueueRoleForWorker.html)— 获取限定于特定队列的队列角色凭证。工作人员使用这些证书访问 Amazon S3 中的作业附件。

## 传输的其他数据
<a name="cmf-network-other"></a>

除了 Deadline Cloud 调度 API 操作外，工作主机还会将以下数据传输到其他 AWS 服务：

**日志数据**  
工作器代理使用 API 操作将工作器代理日志和会话日志（作业进程中的 stdout 和 stderr）发送到 CloudWatch 日志。`PutLogEvents`

**Job 附件**  
工作人员使用和 `PutObject` API 操作通过 Amazon S3 传输输入`GetObject`和输出文件。工作人员使用通过获取的队列角色凭证`AssumeQueueRoleForWorker`进行此访问。

**遥测（可选）**  
工作代理发送操作指标，例如崩溃报告。您可以选择退出遥测采集。有关更多信息，请参阅 [选择退出](opt-out.md)。

## 私有连接选项
<a name="cmf-network-private-connectivity"></a>

您可以使用 AWS PrivateLink 在您的 VPC 内保持 CMF 工作线程主机和 Deadline Cloud 之间的流量，无需通过公共互联网。对于本地工作人员，您可以 AWS PrivateLink 与 AWS Direct Connect (Direct Connect) 或 VPN 连接结合使用。有关更多信息，请参阅 [AWS Deadline Cloud 使用接口端点进行访问 (AWS PrivateLink)](vpc-interface-endpoints.md)。