本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon WorkSpaces 應用程式的聯網和存取
下列主題提供讓使用者連線至 WorkSpaces 應用程式串流執行個體 (機群執行個體),以及讓 WorkSpaces 應用程式機群、映像建置器和應用程式區塊建置器存取網路資源和網際網路的相關資訊。
**Topics**
+ [網際網路存取](internet-access.md)
+ [設定 WorkSpaces 應用程式的 VPC](appstream-vpc.md)
+ [將 Amazon S3 VPC 端點用於 WorkSpaces 應用程式功能](managing-network-vpce-iam-policy.md)
+ [Amazon WorkSpaces 應用程式與您的 VPC 的連線](appstream2-port-requirements-appstream2.md)
+ [使用者連線至 Amazon WorkSpaces 應用程式](user-connections-to-appstream2.md)
# 網際網路存取
如果您的叢集、應用程式區塊建置器和映像建置器需要存取網際網路,您可以透過數種方式啟用網際網路存取。當您選擇啟用網際網路存取的方法時,請考慮部署必須支援的使用者數目和部署目標。例如:
+ 如果您的部署必須支援 100 個以上的並行使用者,請[設定使用私有子網路和 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)。
+ 如果您的部署支援少於 100 個並行使用者,則可以[設定使用公有子網路的新或現有 VPC](managing-network-default-internet-access.md)。
+ 如果您的部署支援少於 100 個並行使用者,而且您是 WorkSpaces 應用程式的新手,並且想要開始使用服務,您可以使用[預設 VPC、公有子網路和安全群組](managing-network-default-internet-access.md)。
下列各節會提供有關每一個部署選項的詳細資訊。
+ [建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md) (建議):使用此組態時,您會在私有子網路中啟動機群、應用程式區塊建置器和映像建置器,以及在 VPC 中的公有子網路設定 NAT 閘道。您的串流執行個體會獲得私有 IP 地址的指派,該地址無法直接從網際網路存取。
此外,與使用**預設網際網路存取**選項來啟用網際網路存取的組態不同,NAT 組態不會限制為 100 個機群執行個體。如果您的部署必須支援超過 100 名同時上線的使用者,請使用此組態。
您可以建立並設定新的 VPC 來搭配 NAT 閘道使用,或是為現有的 VPC 新增 NAT 閘道。
+ [設定新的 VPC,或具有公有子網路的現有 VPC](managing-network-default-internet-access.md):使用此組態時,您會在公有子網路中啟動機群、應用程式區塊建置器和映像建置器,並啟用**預設網際網路存取**。當您啟用此選項時,WorkSpaces 應用程式會使用 Amazon VPC 公有子網路中的網際網路閘道來提供網際網路連線。您的串流執行個體會獲得公有 IP 地址的指派,該地址可直接從網際網路存取。您可以為此建立新的 VPC 或設定現有的 VPC。
**注意**
當**預設網際網路存取**啟用時,最多支援 100 個機群執行個體。如果您的部署必須支援超過 100 名同時上線的使用者,請改用 [NAT 閘道組態](managing-network-internet-NAT-gateway.md)。
+ [使用預設 VPC、公有子網路和安全群組](default-vpc-with-public-subnet.md) — 如果您是初次使用 WorkSpaces 應用程式,並想要開始使用服務,您可以在預設公有子網路中啟動機群、應用程式區塊建置器和映像建置器,並啟用**預設網際網路存取**。當您啟用此選項時,WorkSpaces 應用程式會使用 Amazon VPC 公有子網路中的網際網路閘道來提供網際網路連線。您的串流執行個體會獲得公有 IP 地址的指派,該地址可直接從網際網路存取。
2013-12-04 之後建立的 Amazon Web Services 帳戶都可使用預設 VPC。
預設 VPC 在所有可用區域中均包含預設公有子網路,以及連接至您 VPC 的網際網路閘道。VPC 也包含預設安全群組。
**注意**
當**預設網際網路存取**啟用時,最多支援 100 個機群執行個體。如果您的部署必須支援超過 100 名同時上線的使用者,請改用 [NAT 閘道組態](managing-network-internet-NAT-gateway.md)。
# 設定 WorkSpaces 應用程式的 VPC
設定 WorkSpaces 應用程式時,您必須指定虛擬私有雲端 (VPC) 和至少一個要在其中啟動機群執行個體和映像建置器的子網路。VPC 是 Amazon Web Services 雲端中您自有的邏輯隔離區域中的虛擬網路。子網路是您的 VPC 中的 IP 位址範圍。
當您為 WorkSpaces 應用程式設定 VPC 時,您可以指定公有或私有子網路,或混合這兩種子網路類型。公有子網路可透過網際網路閘道直接存取網際網路。私有子網路沒有網際網路閘道的路由,所以需要網路地址轉譯 (NAT) 閘道或 NAT 執行個體才能提供網際網路的存取權。
**Topics**
+ [VPC 設定建議](vpc-setup-recommendations.md)
+ [建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)
+ [設定新的 VPC,或具有公有子網路的現有 VPC](managing-network-default-internet-access.md)
+ [使用預設 VPC、公有子網路和安全群組](default-vpc-with-public-subnet.md)
# VPC 設定建議
當您建立機群,或是啟動映像建置器或應用程式區塊建置器時,必須指定要使用的 VPC 和一或多個子網路。您可以指定安全群組來為 VPC 提供額外的存取控制。
下列建議可協助您更有效率且安全地設定 VPC,這些建議還能協助您設定支援有效機群擴展的環境。透過有效的機群擴展,您可以滿足目前和預期的 WorkSpaces 應用程式使用者需求,同時避免不必要的資源使用量和相關成本。
**整體 VPC 組態**
+ 請確定您的 VPC 組態能夠支援機群擴展需求。
當您為機群擴展開發計劃時,請記得每個使用者都需要一個機群執行個體,而機群的大小會決定可同時串流的使用者數量。因此,針對您打算使用的每個[執行個體類型](instance-types.md),都請確定 VPC 能支援的機群執行個體數大於相同執行個體類型的預期同時上線使用者數。
+ 請確定您的 WorkSpaces 應用程式帳戶配額 (也稱為限制) 足以支援您的預期需求。若要請求增加配額,您可以使用 Service Quotas 主控台,位於 [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。如需預設 WorkSpaces 應用程式配額的詳細資訊,請參閱 [Amazon WorkSpaces 應用程式Service Quotas](limits.md)。
+ 如果您打算為串流執行個體 (機群執行個體、應用程式區塊建置器或映像建置器) 提供網際網路的存取權,建議您為串流執行個體設定具有兩個私有子網路的 VPC,並在公有子網路中設定 NAT 閘道。
NAT 閘道可讓您私有子網路中的串流執行個體連線至網際網路或其他 AWS 服務。但是,NAT 閘道會使網際網路無法起始與這些執行個體的連線。此外,與使用**預設網際網路存取**選項來啟用網際網路存取的組態不同,NAT 組態支援超過 100 個機群執行個體。如需詳細資訊,請參閱[建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)。
**彈性網路界面**
+ WorkSpaces 應用程式會建立與機群所需容量上限一樣多的[彈性網路介面](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (網路介面)。根據預設,每個區域的網路界面限制是 5000 個。
為大型部署規劃容量 (例如上千個串流執行個體) 時,請考量也要在相同區域中使用的 EC2 執行個體數。
**子網路**
+ 如果您要為 VPC 設定多個私有子網路,請在其他可用區域逐一設定。這麼做能提升容錯能力,還能避免發生容量不足的錯誤。如果您在相同的可用區域中使用兩個子網路,您可能會用完 IP 地址,因為 WorkSpaces 應用程式不會使用第二個子網路。
+ 請確保應用程式需要的網路資源均可透過這兩個私有子網路存取。
+ 請為各個私有子網路設定子網路遮罩,該遮罩必須具備足夠的用戶端 IP 地址來應付預期的最大同時上線使用者數,此外也必須具備額外的 IP 地址來因應帳戶的預期成長。如需詳細資訊,請參閱 [VPC 和 IPv4 的子網路大小調整](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4)。
+ 如果您搭配使用 VPC 與 NAT,請至少設定一個公有子網路與 NAT 閘道以便進行網際網路存取 (最好有兩個)。接著為私有子網路所在的相同可用區域設定公有子網路。
若要增強容錯能力,並降低大型 WorkSpaces 應用程式機群部署發生容量不足錯誤的機率,請考慮將您的 VPC 組態擴展到第三個可用區域。請在第三個可用區域中包含私有子網路、公有子網路和 NAT 閘道。
+ 如果您為子網路啟用自動指派 IPV6 選項,則會使用全域 IPV6 地址自動指派執行個體的彈性網路界面。如需詳細資訊,請參閱 [modify-subnet](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html)。
+ 啟用預設網際網路存取僅適用於 IPvIPV4IPv4 地址。若要允許 IPV6 地址的網際網路存取,請新增網際網路閘道或僅限輸出閘道。如需詳細資訊,請參閱[egress-only-internet-gateway](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。
**注意**
預設 IPV6 地址可全域定址。如果您的子網路具有網際網路閘道和適當的子網路群組,以及允許 IPV6 流量規則的 acl,您的串流執行個體可以使用 IPV6 地址連線到網際網路。
**安全群組**
+ 使用安全群組來為 VPC 提供額外的存取控制。
屬於 VPC 的安全群組可讓您控制 WorkSpaces 應用程式串流執行個體與應用程式所需的網路資源之間的網路流量。這些資源可能包括其他服務, AWS 例如 Amazon RDS 或 Amazon FSx、授權伺服器、資料庫伺服器、檔案伺服器和應用程式伺服器。
+ 確認安全群組可提供您應用程式所需的網路資源存取權。
如需為 WorkSpaces 應用程式設定安全群組的詳細資訊,請參閱 [Amazon WorkSpaces 應用程式中的安全群組](managing-network-security-groups.md)。如需有關安全群組的一般資訊,請參閱《Amazon VPC 使用者指南》**中的 [VPC 的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups)。
# 建立含有私有子網路與 NAT 閘道的 VPC
如果您打算為串流執行個體 (機群執行個體、應用程式區塊建置器和映像建置器) 提供網際網路的存取權,建議您為串流執行個體設定具有兩個私有子網路的 VPC,並在公有子網路中設定 NAT 閘道。您可以建立並設定新的 VPC 來搭配 NAT 閘道使用,或是為現有的 VPC 新增 NAT 閘道。如需其他 VPC 組態建議,請參閱 [VPC 設定建議](vpc-setup-recommendations.md)。
NAT 閘道可讓您私有子網路中的串流執行個體連線至網際網路或其他 AWS 服務,但可防止網際網路啟動與這些執行個體的連線。此外,與使用**預設網際網路存取**選項為 WorkSpaces 應用程式串流執行個體啟用網際網路存取的組態不同,此組態不限於 100 個機群執行個體。
如需使用 NAT 閘道和此組態的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的 [VPC 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)和[使用公有和私有子網路的 VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**Topics**
+ [建立和設定新的 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)
+ [將 NAT 閘道新增至現有 VPC](add-nat-gateway-existing-vpc.md)
+ [在 Amazon WorkSpaces 應用程式中為您的機群、映像建置器或應用程式區塊建置器啟用網際網路存取](managing-network-manual-enable-internet-access.md)
# 建立和設定新的 VPC
本主題說明如何使用 VPC 精靈來建立具有公有子網路和一個私有子網路的 VPC。過程中,精靈會建立網際網路閘道和 NAT 閘道,此外也會建立與公有子網路建立關聯的自訂路由表,並更新與私有子網路建立關聯的主要路由表。NAT 閘道會自動在您 VPC 的公有子網路中建立。
使用精靈建立初始 VPC 組態後,您必須新增第二個私有子網路。如需此組態的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用公有和私有子網路的 VPC (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)。
**注意**
如果您已經有 VPC,請改為完成[將 NAT 閘道新增至現有 VPC](add-nat-gateway-existing-vpc.md) 中的步驟。
**Topics**
+ [步驟 1:配置彈性 IP 地址](#allocate-elastic-ip)
+ [步驟 2:建立新的 VPC](#vpc-with-private-and-public-subnets-nat)
+ [步驟 3:新增第二個私有子網路](#vpc-with-private-and-public-subnets-add-private-subnet-nat)
+ [步驟 4:確認並為您的子網路路由表命名](#verify-name-route-tables)
## 步驟 1:配置彈性 IP 地址
建立 VPC 之前,您必須在 WorkSpaces 應用程式區域中配置彈性 IP 地址。您必須先配置要在 VPC 中使用的彈性 IP 地址,接著將該地址與 NAT 閘道建立關聯。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[彈性 IP 地址](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html)。
**注意**
您可能需要為使用的彈性 IP 地址付費。如需詳細資訊,請參閱 Amazon EC2 定價頁面上的[彈性 IP 地址](https://aws.amazon.com/ec2/pricing/on-demand/#Elastic_IP_Addresses)。
如果您還沒有彈性 IP 地址,請完成以下步驟。若您希望使用現有的彈性 IP 地址,請確認它目前並未與其他執行個體或網路界面建立關聯。
**配置彈性 IP 地址**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 在導覽窗格中,於 **Network & Security (網路與安全)** 下方,選擇 **Elastic IPs (彈性 IP)**。
1. 選擇 **Allocate New Address (配置新地址)**,然後選擇 **Allocate (配置)**。
1. 記下彈性 IP 地址。
1. 在 **Elastic IPs (彈性 IP)** 窗格的右上角,按一下 X 圖示來關閉窗格。
## 步驟 2:建立新的 VPC
請完成下列步驟,以建立具有公有子網路和一個私有子網路的新 VPC。
**建立新的 VPC**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **VPC dashboard (VPC 儀表板)**。
1. 選擇 **Launch VPC Wizard (啟動 VPC 精靈)**。
1. 在 **Step 1: Select a VPC Configuration (步驟 1:選取 VPC 組態)** 中,選擇 **VPC with Public and Private Subnets (含公有和私有子網路的 VPC)**,然後選擇 **Select (選取)**。
1. 在 **Step 2: VPC with Public and Private Subnets (步驟 2:含公有和私有子網路的 VPC)**中,按照以下內容設定 VPC:
+ 針對 **IPv4 CIDR block (IPv4 CIDR 區塊)**,請指定 VPC 的 IPv4 CIDR 區塊。
+ 針對 **IPv6 CIDR block (IPv6 CIDR 區塊)**,請保留預設值 **No IPv6 CIDR Block (無 IPv6 CIDR 區塊)**。
+ 針對 **VPC name (VPC 名稱)**,請輸入 VPC 的專屬名稱。
1. 根據以下內容設定公有子網路:
+ 針對 **Public subnet's IPv4 CIDR (公有子網路的 IPv4 CIDR)**,請為子網路指定 CIDR 區塊。
+ 針對 **Availability Zone (可用區域)**,請保留預設值 **No Preference (無偏好設定)**。
+ 針對 **Public subnet name (公有子網路名稱)**,請輸入子網路的名稱,例如 `AppStream2 Public Subnet`。
1. 根據以下內容設定第一個私有子網路:
+ 針對 **Private subnet's IPv4 CIDR (私有子網路的 IPv4 CIDR)**,請為子網路指定 CIDR 區塊。記下您指定的值。
+ 針對 **Availability Zone (可用區域)**,請選取特定區域並記下您選取的區域。
+ 針對 **Private subnet name (私有子網路名稱)**,請輸入子網路的名稱,例如 `AppStream2 Private Subnet1`。
+ 如果適用,請保留其他欄位的預設值。
1. 針對 **Elastic IP Allocation ID (彈性 IP 配置ID)**,請在文字方塊中按一下,並選取與您建立之彈性 IP 地址對應的值。這個地址會指派至 NAT 閘道。如果您沒有彈性 IP 地址,請在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 使用 Amazon VPC 主控台建立一個地址。
1. 針對**服務端點**,如果您的環境需要 Amazon S3 端點,請指定一個。您需要 S3 端點才能為使用者提供[主資料夾](home-folders.md)的存取權,或是為私有網路中的使用者啟用[應用程式設定持久性](app-settings-persistence.md)。
如果要指定 Amazon S3 端點,請按照以下步驟操作:
1. 選擇 **Add Endpoint (新增端點)**。
1. 針對 **Service (服務)**,請選取清單中以"s3" (與 VPC 建立所在之區域對應的 `com.amazonaws.`*region*`.s3` 項目) 結尾的項目。
1. 針對 **Subnet (子網路)**,選擇 **Private subnet (私有子網路)**。
1. 針對 **Policy (政策)**,請保留預設值 **Full Access (完整存取權)**。
1. 針對 **Enable DNS hostnames (啟用 DNS 主機名稱)**,請保留預設值 **Yes (是)**。
1. 針對 **Hardware tenancy (硬體租用)**,請 保留預設值 **Default (預設)**。
1. 選擇**建立 VPC**。
1. 請注意,設定 VPC 需要幾分鐘的時間。建立 VPC 之後,選擇 **OK (確定)**。
## 步驟 3:新增第二個私有子網路
在上一個步驟 ([步驟 2:建立新的 VPC](#vpc-with-private-and-public-subnets-nat)) 中,您建立了具有一個公有子網路和一個私有子網路的 VPC。請執行以下步驟來新增第二個私有子網路。建議您在第一個私有子網路以外的可用區域新增第二個私有子網路。
1. 在導覽窗格中,選擇 **Subnets** (子網)。
1. 選取您在上一個步驟中建立的第一個私有子網路。在 **Description (描述)** 標籤上 (位在子網路清單下方),記下此子網路的可用區域。
1. 在子網路窗格的左上角選擇 **Create Subnet (建立子網路)**。
1. 針對 **Name tag (名稱標籤)**,請輸入私有子網路的名稱,例如 `AppStream2 Private Subnet2`。
1. 針對 **VPC**,請選取您在前一個步驟建立的 VPC。
1. 針對 **Availability Zone (可用區域)**,請選取您為第一個私有子網路使用之可用區域以外的可用區域。選取其他可用區域可提升容錯能力,並協助避免發生容量不足的錯誤。
1. 針對 **IPv4 CIDR block (IPv4 CIDR 區塊)**,請為新的子網路指定專屬的 CIDR 區塊範圍。舉例來說,如果您第一個私有子網路的 IPv4 CIDR 區塊範圍是 `10.0.1.0/24`,可以為新的私有子網路指定 `10.0.2.0/24` 的 CIDR 區塊範圍。
1. 選擇**建立**。
1. 建立子網路之後,請選擇 **Close (關閉)**。
## 步驟 4:確認並為您的子網路路由表命名
在您建立並設定 VPC 後,請完成以下步驟來為您的路由表指定名稱,並確認:
+ 與您 NAT 閘道所在之子網路關聯的路由表包含將網際網路流量指向網際網路閘道的路由。這可確保您的 NAT 閘道可以存取網際網路。
+ 與您私有子網路建立關聯的路由表,會將網際網路流量指向 NAT 閘道。這可讓您私有子網路中的串流執行個體與網際網路通訊。
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的公有子網路,例如 `WorkSpaces Applications Public Subnet`。
1. 在 **Route Table (路由表)** 標籤上,請選擇路由表的 ID,例如 `rtb-12345678`。
1. 選取 路由表。在 **Name (名稱)** 下,請選擇編輯圖示 (鉛筆) 並輸入名稱 (例如 `appstream2-public-routetable`),接著選取核取記號來儲存名稱。
1. 在已選取公有路由表的情況下,於 **Routes (路由)** 標籤確認本機流量有一個路由,且有另一個路由會為 VPC 將所有其他流量傳送到網際網路閘道。下表說明這兩種路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/appstream2/latest/developerguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的第一個私有子網路,例如 `AppStream2 Private Subnet1`。
1. 在 **Route Table (路由表)** 標籤上,請選擇路由表的 ID。
1. 選取 路由表。在 **Name (名稱)** 下,請選擇編輯圖示 (鉛筆) 並輸入名稱 (例如 `appstream2-private-routetable`),接著選擇核取記號來儲存名稱。
1. 在 **Routes (路由)** 標籤上,請確認路由表包含以下路由:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/appstream2/latest/developerguide/create-configure-new-vpc-with-private-public-subnets-nat.html)
1. 在導覽窗格中,選擇 **Subnets (子網路)**,並選取您建立的第二個私有子網路,例如 `AppStream2 Private Subnet2`。
1. 在 **Route Table (路由表)** 標籤上,請確認路由表為私有路由表 (例如 `appstream2-private-routetable`)。如果路由表不同,請選擇 **Edit (編輯)** 並選取此路由表。
**後續步驟**
如果要讓您的機群執行個體、應用程式區塊建置器和映像建置器存取網際網路,請完成 [在 Amazon WorkSpaces 應用程式中為您的機群、映像建置器或應用程式區塊建置器啟用網際網路存取](managing-network-manual-enable-internet-access.md) 中的步驟。
# 將 NAT 閘道新增至現有 VPC
如果您已經設定 VPC,請完成以下步驟來將 NAT 閘道新增至 VPC。如果您需要建立新的 VPC,請參閱[建立和設定新的 VPC](create-configure-new-vpc-with-private-public-subnets-nat.md)。
**將 NAT 閘道新增至現有 VPC**
1. 若要建立 NAT 閘道,請完成《Amazon VPC 使用者指南》**中[建立 NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-creating)的步驟。
1. 請確認您的 VPC 至少有一個私有子網路。建議您在不同可用區域指定兩個私有子網路,以取得高可用性和容錯能力。如需如何建立第二個私有子網路的資訊,請參閱[步驟 3:新增第二個私有子網路](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。
1. 更新與您一或多個私有子網路關聯的路由表,將網際網路的流量指向 NAT 閘道。這可讓您私有子網路中的串流執行個體與網際網路通訊。若要這樣做,請完成[設定路由表中](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)的步驟。
**後續步驟**
如果要讓您的機群執行個體、應用程式區塊建置器和映像建置器存取網際網路,請完成 [在 Amazon WorkSpaces 應用程式中為您的機群、映像建置器或應用程式區塊建置器啟用網際網路存取](managing-network-manual-enable-internet-access.md) 中的步驟。
# 在 Amazon WorkSpaces 應用程式中為您的機群、映像建置器或應用程式區塊建置器啟用網際網路存取
NAT 閘道於 VPC 上啟用後,您可以啟用機群、映像建置器和應用程式區塊建置器的網際網路存取。
**注意**
使用僅限 IPv6 的子網路時,無法啟用預設網際網路存取。您需要設定輸出限定網際網路閘道,並設定路由表以允許傳出網際網路流量。如需詳細資訊,請參閱[步驟](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。您也需要為子網路啟用自動指派 IPv6 地址。僅輸出閘道只會處理傳出網際網路流量,因此如果您需要傳入存取,您仍然需要一般網際網路閘道。您可以在[僅輸出網際網路閘道文件中](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)找到此項目的詳細資訊。確保存在適當的安全和聯網控制,以防止您子網路的意外傳入/傳出存取。
**Topics**
+ [在 Amazon WorkSpaces 應用程式中為您的機群啟用網際網路存取](managing-network-manual-fleet-enable-internet-access-fleet.md)
+ [在 Amazon WorkSpaces 應用程式中啟用映像建置器的網際網路存取](managing-network-manual-enable-internet-access-image-builder.md)
+ [在 Amazon WorkSpaces 應用程式中為您的應用程式區塊建置器啟用網際網路存取](managing-network-enable-internet-access-app-block-builder.md)
# 在 Amazon WorkSpaces 應用程式中為您的機群啟用網際網路存取
當您建立機群後,即可啟用網際網路存取。
**在建立機群時啟用網際網路存取**
1. 完成[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)中,直到**步驟 4:設定網路**為止的步驟。
1. 使用 NAT 閘道選擇 VPC。
1. 如果子網路欄位為空白,請選取 **Subnet 1 (子網路 1)** 的私有子網路,並按需要為 **Subnet 2 (子網路 2)** 選取其他私有子網路。如果您的 VPC 內還沒有任何私有子網路,可能需要建立第二個私有子網路。
1. 繼續[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)中的步驟。
**使用 NAT 閘道在建立機群後啟用網際網路存取**
1. 在導覽窗格中,選擇 **Fleets (機群)**。
1. 選取機群並確認其狀態為 **Stopped (已停止)**。
1. 選擇 **Fleet Details (機群詳細資訊)**、**Edit (編輯)** 然後使用 NAT 閘道選擇 VPC。
1. 選擇 **Subnet 1 (子網路 1)** 的私有子網路,並按需要為 **Subnet 2 (子網路 2)** 選擇其他私有子網路。如果您的 VPC 內還沒有任何私有子網路,可能需要[建立第二個私有子網路](create-configure-new-vpc-with-private-public-subnets-nat.md#vpc-with-private-and-public-subnets-add-private-subnet-nat)。
1. 選擇**更新**。
您可以啟動機群來測試您的網際網路連線,然後連線至您的串流執行個體並瀏覽至網際網路。
# 在 Amazon WorkSpaces 應用程式中啟用映像建置器的網際網路存取
如果您打算為映像建置器啟用網際網路存取,則必須在建立映像建置器時這麼做。
**為映像建置器啟用網際網路存取**
1. 完成[啟動映像建置器以安裝和設定串流應用程式](tutorial-image-builder-create.md)中,直到**步驟 3:設定網路**為止的步驟。
1. 使用 NAT 閘道選擇 VPC。
1. 如果 **Subnet (子網路)** 為空白,請選取子網路。
1. 繼續[啟動映像建置器以安裝和設定串流應用程式](tutorial-image-builder-create.md)中的步驟。
# 在 Amazon WorkSpaces 應用程式中為您的應用程式區塊建置器啟用網際網路存取
如果您打算為應用程式區塊建置器啟用網際網路存取,則必須在建立應用程式區塊建置器時這麼做。
**為應用程式區塊建置器啟用網際網路存取**
1. 完成 [建立應用程式區塊建置器](create-app-block-builder.md) 中直到**步驟 2:設定網路**為止的步驟。
1. 使用 NAT 閘道選擇 VPC。
1. 如果 **Subnet (子網路)** 為空白,請選取子網路。
1. 繼續[建立應用程式區塊建置器](create-app-block-builder.md)中的步驟。
# 設定新的 VPC,或具有公有子網路的現有 VPC
如果您在 2013-12-04 之後建立 Amazon Web Services 帳戶,則每個 AWS 區域中都會有一個[預設 VPC](default-vpc-with-public-subnet.md),其中包含預設公有子網路。不過,您可能想要建立自己的非預設 VPC,或設定現有的 VPC 以與 WorkSpaces 應用程式搭配使用。本主題說明如何設定非預設 VPC 和公有子網路,以搭配 WorkSpaces 應用程式使用。
在您設定 VPC 和公有子網路之後,可以啟用 **Default Internet Access (預設網際網路存取)** 選項來為串流執行個體 (機群執行個體和映像建置器) 提供網際網路存取權。當您啟用此選項時,WorkSpaces 應用程式會透過將[彈性 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/elastic-ip-addresses-eip.html)與從串流執行個體連接至公有子網路的網路介面建立關聯來啟用網際網路連線。彈性 IP 地址是可從網際網路存取的公有 IPv4 地址。因此,我們建議您改用 NAT 閘道來提供 WorkSpaces 應用程式執行個體的網際網路存取。此外,當**預設網際網路存取**啟用時,最多支援 100 個機群執行個體。如果您的部署必須支援超過 100 名同時上線的使用者,請改用 [NAT 閘道組態](managing-network-internet-NAT-gateway.md)。
如需詳細資訊,請參閱[建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)中的步驟。如需其他 VPC 組態建議,請參閱 [VPC 設定建議](vpc-setup-recommendations.md)。
**Topics**
+ [步驟 1:設定具有公有子網路的 VPC](#vpc-with-public-subnet)
+ [步驟 2:為您的機群、映像建置器或應用程式區塊建置器啟用預設網際網路存取](#managing-network-enable-default-internet-access)
## 步驟 1:設定具有公有子網路的 VPC
您可以使用下列其中一種方法設定自己的非預設 VPC 與公有子網路:
+ [建立具有單一公有子網路的新 VPC](#new-vpc-with-public-subnet)
+ [設定現有的 VPC](#existing-vpc-with-public-subnet)
**注意**
使用僅限 IPv6 的子網路時,無法啟用預設網際網路存取。您需要設定輸出限定網際網路閘道,並設定路由表以允許傳出網際網路流量。如需詳細資訊,請參閱[步驟](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)。您也需要為子網路啟用自動指派 IPv6 地址。僅輸出閘道只會處理傳出網際網路流量,因此如果您需要傳入存取,您仍然需要一般網際網路閘道。您可以在[僅輸出網際網路閘道文件中](https://docs.aws.amazon.com/vpc/latest/userguide/egress-only-internet-gateway.html)找到此項目的詳細資訊。
### 建立具有單一公有子網路的新 VPC
當您使用 VPC 精靈建立新的 VPC 時,精靈會建立網際網路閘道,以及與公有子網路建立關聯的自訂路由表。路由表會將目標為 VPC 外地址的所有流量路由至網際網路閘道。如需此組態的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用單一公有子網路的 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario1.html)。
1. 完成《Amazon VPC 使用者指南》**中[步驟 1:建立 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/getting-started-ipv4.html#getting-started-create-vpc) 的步驟,以建立您的 VPC。
1. 如果要讓您的機群執行個體和映像建置器存取網際網路,請完成[步驟 2:為您的機群、映像建置器或應用程式區塊建置器啟用預設網際網路存取](#managing-network-enable-default-internet-access)中的步驟。
### 設定現有的 VPC
若要使用不具有公有子網路的現有 VPC,您可以新增新的公有子網路。除了公有子網路以外,您也必須有連接至 VPC 的網際網路閘道,以及能將目標為 VPC 以外之地址的所有流量路由至網際網路閘道的路由表。如果要設定這些元件,請完成以下步驟。
1. 如果要新增公有子網路,請完成[在您的 VPC 中建立子網路](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#AddaSubnet)中的步驟。使用您計劃與 WorkSpaces 應用程式搭配使用的現有 VPC。
如果您的 VPC 已設定為支援 IPv6 定址,**IPv6 CIDR block (IPv6 CIDR 區塊)** 清單會隨即顯示。選取 **Don't assign Ipv6 (不指派 Ipv6)**。
1. 如果要建立網際網路閘道並連接至 VPC,請完成[建立並連接網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway)中的步驟。
1. 若要設定子網路以透過網際網路閘道來路由網際網路流量,請完成[建立自訂路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Routing)中的步驟。在步驟 5 中,請針對 **Destination (目標)**, 使用 IPv4 格式 (`0.0.0.0/0`)。
1. 如果要讓您的機群執行個體和映像建置器存取網際網路,請完成[步驟 2:為您的機群、映像建置器或應用程式區塊建置器啟用預設網際網路存取](#managing-network-enable-default-internet-access)中的步驟。
## 步驟 2:為您的機群、映像建置器或應用程式區塊建置器啟用預設網際網路存取
在您設定具有公有子網路的 VPC 後,就能為機群和映像建置器啟用 **Default Internet Access (預設網際網路存取)** 選項。
### 為機群啟用預設網際網路存取
當您建立機群後,即可啟用 **Default Internet Access (預設網際網路存取)** 選項。
**注意**
\$1對於已啟用 **Default Internet Access (預設網際網路存取)** 選項的機群執行個體,限制為 100。
**在建立機群時啟用網際網路存取**
1. 完成[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)中,直到**步驟 4:設定網路**為止的步驟。
1. 選取 **Default Internet Access (預設網際網路存取)** 核取方塊。
1. 如果子網路欄為空白,請為 **Subnet 1 (子網路 1)** 和 **Subnet 2 (子網路 2)** (如需要) 選取子網路。
1. 繼續[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)中的步驟。
**在建立機群後啟用網際網路存取**
1. 在導覽窗格中,選擇 **Fleets (機群)**。
1. 選取機群並確認其狀態為 **Stopped (已停止)**。
1. 選擇 **Fleet Details (機群詳細資料)**、**Edit (編輯)**,接著選取 **Default Internet Access (預設網際網路存取)** 核取方塊。
1. 為 **Subnet 1 (子網路 1)** 和 **Subnet 2 (子網路 2)** (如需要) 選擇子網路。選擇**更新**。
您可以透過啟動機群,建立堆疊,將機群與堆疊建立關聯,然後在堆疊的串流工作階段中瀏覽網際網路,來測試網際網路連線。如需詳細資訊,請參閱[建立 Amazon WorkSpaces 應用程式機群和堆疊](set-up-stacks-fleets.md)。
### 為映像建置器啟用預設網際網路存取
在您設定具有公有子網路的 VPC 後,就能為映像建置器啟用 **Default Internet Access (預設網際網路存取)** 選項。您可以在建立映像建置器時這麼做。
**為映像建置器啟用網際網路存取**
1. 完成[啟動映像建置器以安裝和設定串流應用程式](tutorial-image-builder-create.md)中,直到**步驟 3:設定網路**為止的步驟。
1. 選取 **Default Internet Access (預設網際網路存取)** 核取方塊。
1. 如果 **Subnet 1 (子網路 1)** 為空白,請選取子網路。
1. 繼續[啟動映像建置器以安裝和設定串流應用程式](tutorial-image-builder-create.md)中的步驟。
### 為應用程式區塊建置器啟用預設網際網路存取
在您設定具有公有子網路的 VPC 後,就能為應用程式區塊建置器啟用**預設網際網路存取**選項。您可以在建立應用程式區塊建置器時這麼做。
**為應用程式區塊建置器啟用網際網路存取**
1. 依照 [建立應用程式區塊建置器](create-app-block-builder.md) 中的步驟進行,直到**步驟 2:設定網路**為止。
1. 選取 **Default Internet Access (預設網際網路存取)** 核取方塊。
1. 如果 **Subnet (子網路)** 為空白,請選取子網路。
1. 繼續[建立應用程式區塊建置器](create-app-block-builder.md)中的步驟。
# 使用預設 VPC、公有子網路和安全群組
如果您的 Amazon Web Services 帳戶是在 2013-12-04 之後建立,則在每個 AWS 區域中都有預設 VPC。預設 VPC 在所有可用區域中均包含預設公有子網路,以及連接至您 VPC 的網際網路閘道。VPC 也包含預設安全群組。如果您是初次使用 WorkSpaces 應用程式,並想要開始使用 服務,您可以在建立機群、建立應用程式區塊建置器或啟動映像建置器時,保持選取預設 VPC 和安全群組。接著,您可以選取至少一個預設子網路。
**注意**
如果您的 Amazon Web Services 帳戶是在 2013-12-04 之前建立,您必須建立新的 VPC 或設定現有的 VPC 以搭配 WorkSpaces 應用程式使用。建議您為機群、應用程式區塊建置器和映像建置器手動設定具有兩個私用子網路的 VPC,並在公有子網路中設定 NAT 閘道。如需詳細資訊,請參閱[建立含有私有子網路與 NAT 閘道的 VPC](managing-network-internet-NAT-gateway.md)。或者,您可以設定具有公有子網路的非預設 VPC。如需詳細資訊,請參閱[設定新的 VPC,或具有公有子網路的現有 VPC](managing-network-default-internet-access.md)。
**為機群使用預設 VPC、子網路和安全群組**
1. 完成[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)中,直到**步驟 4:設定網路**為止的步驟。
1. 在 **Step 4: Configure Network (步驟 4:設定網路)** 中,執行下列動作:
+ 如果要讓機群執行個體存取網際網路,請選取 **Default Internet Access (預設網際網路存取)** 核取方塊。
**注意**
\$1對於已啟用 **Default Internet Access (預設網際網路存取)** 選項的機群執行個體,限制為 100。
+ 針對 **VPC**,選擇您 AWS 區域的預設 VPC。
預設 VPC 名稱會使用以下格式:`vpc-`*vpc-id*` (No_default_value_Name)`。
+ 針對 **Subnet 1 (子網路 1)**,請選擇預設公有子網路並記下可用區域。
預設子網路名稱會使用以下格式:`subnet-`*subnet-id*` | (`*IPv4 CIDR 區塊*`) | Default in` *availability-zone*。
+ 如果需要,您可以為 **Subnet 2 (子網路 2)** 選擇其他可用區域中的預設子網路。
+ 針對 **Security Groups (安全群組)**,請選取預設安全群組。
預設安全群組名稱會使用以下格式:`sg-`*security-group-id*`-default`
1. 繼續[在 Amazon WorkSpaces 應用程式中建立機群](set-up-stacks-fleets-create.md)中的步驟。
請完成以下步驟,以為映像建置器使用預設 VPC、子網路和安全群組。
**為映像建置器使用預設 VPC、子網路和安全群組**
1. 按照[啟動映像建置器以安裝和設定串流應用程式](tutorial-image-builder-create.md)中,直到**步驟 3:設定網路**為止的步驟操作。
1. 在 **Step 4: Configure Network (步驟 4:設定網路)** 中,執行下列動作:
+ 如果要讓映像建置器存取網際網路,請選取 **Default Internet Access (預設網際網路存取)** 核取方塊。
+ 針對 **VPC**,選擇您 AWS 區域的預設 VPC。
預設 VPC 名稱會使用以下格式:`vpc-`*vpc-id*` (No_default_value_Name)`。
+ 針對 **Subnet 1 (子網路 1)**,請選擇預設公有子網路。
預設子網路名稱會使用以下格式:`subnet-`*subnet-id*` | (`*IPv4 CIDR 區塊*`) | Default in` *availability-zone*。
+ 針對 **Security Groups (安全群組)**,請選取預設安全群組。
預設安全群組名稱會使用以下格式:`sg-`*security-group-id*`-default`
1. 繼續[啟動映像建置器以安裝和設定串流應用程式](tutorial-image-builder-create.md)中的步驟。
請完成以下步驟,以針對應用程式區塊建置器使用預設 VPC、子網路和安全群組。
**針對應用程式區塊建置器使用預設 VPC、子網路和安全群組**
1. 依照 [建立應用程式區塊建置器](create-app-block-builder.md) 中的步驟進行,直到**步驟 2:設定網路**為止。
1. 在**步驟 2:設定網路**中,執行下列操作:
+ 如果要讓映像建置器存取網際網路,請選取 **Default Internet Access (預設網際網路存取)** 核取方塊。
+ 針對 **VPC**,選擇您 AWS 區域的預設 VPC。
預設 VPC 名稱會使用以下格式:`vpc-`*vpc-id*` (No_default_value_Name)`。
+ 針對 **Subnet 1 (子網路 1)**,請選擇預設公有子網路。
預設子網路名稱會使用以下格式:`subnet-`*subnet-id*` | (`*IPv4 CIDR 區塊*`) | Default in` *availability-zone*。
+ 針對 **Security Groups (安全群組)**,請選取預設安全群組。
預設安全群組名稱會使用以下格式:`sg-`*security-group-id*`-default`
1. 繼續[建立應用程式區塊建置器](create-app-block-builder.md)中的步驟。
# 將 Amazon S3 VPC 端點用於 WorkSpaces 應用程式功能
當您在堆疊上啟用應用程式設定持續性或主資料夾時,WorkSpaces 應用程式會使用您為機群指定的 VPC 來提供對 Amazon Simple Storage Service (Amazon S3) 儲存貯體的存取。對於彈性機群,WorkSpaces 應用程式將使用 VPC 存取 Amazon S3 儲存貯體,其中包含指派給機群應用程式區塊的應用程式。若要啟用 WorkSpaces 應用程式存取私有 S3 端點,請將下列自訂政策連接至 Amazon S3 的 VPC 端點。如需有關私有 Amazon S3 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)和 [Amazon S3 的端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow-AppStream-to-access-S3-buckets",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:sts::111122223333:assumed-role/AmazonAppStreamServiceAccess/AppStream2.0"
},
"Action": [
"s3:ListBucket",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:DeleteObjectVersion"
],
"Resource": [
"arn:aws:s3:::appstream2-36fb080bb8-*",
"arn:aws:s3:::appstream-app-settings-*",
"arn:aws:s3:::appstream-logs-*"
]
},
{
"Sid": "Allow-AppStream-ElasticFleetstoRetrieveObjects",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::bucket-with-application-or-app-block-objects/*",
"Condition": {
"StringEquals": {
"aws:PrincipalServiceName": "appstream.amazonaws.com"
}
}
}
]
}
```
------
# Amazon WorkSpaces 應用程式與您的 VPC 的連線
若要啟用 WorkSpaces 應用程式與網路資源和網際網路的連線,請設定串流執行個體,如下所示。
**Topics**
+ [Amazon WorkSpaces 應用程式中的網路界面](network-interfaces.md)
+ [Amazon WorkSpaces 應用程式中的管理網路介面 IP 地址範圍和連接埠](management_ports.md)
+ [Amazon WorkSpaces 應用程式中的客戶網路介面連接埠](primary_ports.md)
# Amazon WorkSpaces 應用程式中的網路界面
每個 WorkSpaces 應用程式串流執行個體都有下列網路介面:
+ 客戶網路界面提供對 VPC 內資源以及網際網路的連線,並用於將串流執行個體加入您的目錄。
+ 管理網路界面連接到安全的 WorkSpaces 應用程式管理網路。它用於將串流執行個體互動式串流到使用者的裝置,並允許 WorkSpaces 應用程式管理串流執行個體。
WorkSpaces 應用程式會從下列私有 IP 地址範圍中選取管理網路介面的 IP 地址:198.19.0.0/16。請勿將此範圍用於 VPC CIDR 或將 VPC 與具有此範圍的其他 VPC 建立對等,因為可能會產生衝突而造成串流執行個體無法連線。此外,請勿修改或刪除連接至串流執行個體的任何網路界面,因為可能也會造成串流執行個體無法連接。
# Amazon WorkSpaces 應用程式中的管理網路介面 IP 地址範圍和連接埠
管理網路界面 IP 地址範圍是 198.19.0.0/16。下列連接埠必須在所有串流執行個體的管理網路界面上開放:
+ 連接埠 8300 上的傳入 TCP。用於建立串流連線。
+ 連接埠 8000 和 8443 上的傳入 TCP。這些用於 WorkSpaces 應用程式管理串流執行個體。
+ 連接埠 8300 上的傳入 UDP。這用於建立透過 UDP 的串流連線。
+ 連接埠 1688 上的傳出 TCP。這用於在機群串流執行個體上包含應用程式啟用的 Microsoft 授權。
將管理網路界面的傳入範圍限制於 198.19.0.0/16。
在正常情況下,WorkSpaces 應用程式會為您的串流執行個體正確設定這些連接埠。如果在會封鎖任何這些連接埠的串流執行個體上安裝任何安全或防火牆軟體,則串流執行個體可能會無法正確運作或無法連線。
請勿停用 IPv6。如果您停用 IPv6,WorkSpaces 應用程式將無法正常運作。如需 Windows IPv6 的相關設定資訊,請參閱[進階使用者適用的在 Windows 中設定 IPv6 的指導](https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users)。
**注意**
WorkSpaces 應用程式倚賴 VPC 中的 DNS 伺服器,針對不存在的本機網域名稱傳回不存在的網域 (NXDOMAIN) 回應。這可讓 WorkSpaces 應用程式受管網路界面與管理伺服器通訊。
當您使用 Simple AD 建立目錄時, 會 AWS Directory Service 建立兩個網域控制站,其也會代表您做為 DNS 伺服器。由於網域控制站不提供 NXDOMAIN 回應,因此無法與 WorkSpaces 應用程式搭配使用。
# Amazon WorkSpaces 應用程式中的客戶網路介面連接埠
請遵循下列有關客戶網路介面連接埠的指引。
+ 針對網際網路連線,下列連接埠必須對所有目的地開放。如果您使用修改過或自訂安全群組,則需要手動新增所需規則。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[安全群組規則](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules)。
+ TCP 80 (HTTP)
+ TCP 443 (HTTPS)
+ UDP 8433
+ 如果您將串流執行個體加入目錄,則必須在 WorkSpaces 應用程式 VPC 和目錄控制器之間開啟下列連接埠。
+ TCP/UDP 53 - DNS
+ TCP/UDP 88 - Kerberos 身分驗證
+ UDP 123 - NTP
+ TCP 135 - RPC
+ UDP 137-138 - Netlogon
+ TCP 139 - Netlogon
+ TCP/UDP 389 - LDAP
+ TCP/UDP 445 - SMB
+ TCP 1024-65535 - RPC 動態連接埠
如需連接埠的完整清單,請參閱 Microsoft 文件中的 [Active Directory and Active Directory Domain Services Port Requirements](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10))。
+ 所有串流執行個體都要求連接埠 80 (HTTP) 對 IP 地址 `169.254.169.254` 開放,以允許存取 EC2 中繼資料服務。IP 地址範圍`169.254.0.0/16`保留給管理流量的 WorkSpaces 應用程式服務使用。未排除此範圍可能會導致串流問題。
# 使用者連線至 Amazon WorkSpaces 應用程式
使用者可以透過預設的公有網際網路端點,或使用您在虛擬私有雲端 (VPC) 中建立的介面 VPC 端點 (介面端點) 來連線至 WorkSpaces 應用程式串流執行個體。如需詳細資訊,請參閱[教學課程:從介面 VPC 端點建立和串流](creating-streaming-from-interface-vpc-endpoints.md)。
根據預設,WorkSpaces 應用程式設定為透過公有網際網路路由串流連線。需要網際網路連線才能驗證使用者,並提供 WorkSpaces 應用程式運作所需的 Web 資產。若要允許此流量,您必須允許 [允許的網域](allowed-domains.md) 中所列的網域。
**注意**
對於使用者身分驗證,WorkSpaces 應用程式支援使用者集區、安全性聲明標記語言 2.0 (SAML 2.0) 和 [CreateStreamingURL](https://docs.aws.amazon.com/appstream2/latest/APIReference/API_CreateStreamingURL.html) API 動作。如需詳細資訊,請參閱[使用者身分驗證](authentication-authorization.md)。
下列主題提供如何啟用使用者連線至 WorkSpaces 應用程式的相關資訊。
**Topics**
+ [頻寬建議](bandwidth-recommendations-user-connections.md)
+ [WorkSpaces 應用程式使用者裝置的 IP 地址和連接埠要求](client-application-ports.md)
+ [允許的網域](allowed-domains.md)
# 頻寬建議
若要最佳化 WorkSpaces 應用程式的效能,請確定您的網路頻寬和延遲可以維持使用者的需求。
WorkSpaces 應用程式使用 NICE 桌面雲端視覺化 (DCV),讓您的使用者能夠在不同的網路條件下安全地存取和串流您的應用程式。為了協助降低頻寬耗用量,NICE DCV 使用以 H.264 為基礎的影片壓縮和編碼。在串流工作階段期間,將會以 AES-256 加密像素串流並透過 HTTPS,將應用程式的視覺化輸出壓縮並串流到您的使用者。收到串流之後,串流就解密並輸出到使用者的本機畫面。當使用者與串流應用程式互動時,NICE DCV 通訊協定會擷取其輸入,並透過 HTTPS 傳回到串流應用程式。
在此過程中,會持續測量網路條件,並將資訊傳回 WorkSpaces 應用程式。WorkSpaces 應用程式會透過即時變更視訊和音訊編碼來動態回應不斷變化的網路條件,以針對各種應用程式和網路條件產生高品質的串流。
WorkSpaces 應用程式串流工作階段的建議頻寬和延遲取決於工作負載。例如,使用圖形密集型應用程式來執行電腦輔助設計任務的使用者,比使用企業生產力應用程式來撰寫文件的使用者,需要更多頻寬和更短的延遲。
下表提供 WorkSpaces 應用程式串流工作階段根據常見工作負載的建議網路頻寬和延遲指導。
對於每個工作負載,頻寬建議是根據個別使用者在特定時間點可能的需求。建議值不反映持續輸送量所需的頻寬。在串流工作階段期間,當螢幕上只有很少像素時,持續輸送量明顯較低。雖然可用頻寬較小的使用者仍然可以串流應用程式,但畫面播放速率或影像品質可能不是最佳。
| 工作負載 | Description | 每一使用者建議頻寬 | 建議的最大往返延遲 |
| --- | --- | --- | --- |
| 企業營運應用程式 | 文件編寫應用程式、資料庫分析公用程式 | 2 Mbps | < 150 毫秒 |
| 圖形應用程式 | 電腦輔助設計和模型建置應用程式、照片和影片編輯 | 5 Mbps | < 100 毫秒 |
| 高畫質 | 跨多個顯示器的高畫質資料集或映射 | 10 Mbps | < 50 毫秒 |
# WorkSpaces 應用程式使用者裝置的 IP 地址和連接埠要求
WorkSpaces 應用程式使用者的裝置在使用網際網路端點時需要連接埠 443 (TCP) 和連接埠 8433 (UDP) 的傳出存取權,如果您使用 DNS 伺服器進行網域名稱解析,則需要連接埠 53 (UDP)。
+ 使用網際網路端點時,連接埠 443 用於 WorkSpaces 應用程式使用者裝置與串流執行個體之間的 HTTPS 通訊。一般而言,最終使用者在串流工作階段期間瀏覽 Web 時,網頁瀏覽器會隨機選取串流流量高範圍的來源連接埠。您必須確保允許對此連接埠的傳回流量。
**注意**
WorkSpaces 應用程式在連接埠 443 上使用 WebSockets。
+ 使用網際網路端點時,連接埠 8433 用於 WorkSpaces 應用程式使用者裝置與串流執行個體之間的 UDP HTTPS 通訊。目前只有 Windows 原生用戶端才支援 UDP。如果您使用的是 VPC 端點,則不支援 UDP。
**注意**
透過界面 VPC 端點的串流需要額外的連接埠。如需詳細資訊,請參閱[教學課程:從介面 VPC 端點建立和串流](creating-streaming-from-interface-vpc-endpoints.md)。
+ 連接埠 53 用於 WorkSpaces 應用程式使用者裝置與您的 DNS 伺服器之間的通訊。連接埠必須開放給 DNS 伺服器的 IP 地址,以便解析公有網域名稱。如果您未使用 DNS 伺服器進行網域名稱解析,則此連接埠為選用。
適用於 Windows (1.2.1581 版或更新版本)、Mac (1.2.0 版或更新版本) 和 Web 瀏覽器存取的 WorkSpaces 應用程式用戶端會自動偏好在 IPv6 網路上連線,而不是透過 IPv4 網路連線。如果發生不良的網路狀況,例如網路延遲,用戶端會回到 IPV4 網路。
# 允許的網域
若要讓 WorkSpaces 應用程式使用者存取串流執行個體,您必須在使用者起始串流執行個體存取權的網路上允許下列網域。
+ 串流閘道:\$1.amazonappstream.com
**注意**
您可以建立 VPC 端點,並只允許列出該特定端點,而不是使用萬用字元來允許列出所有串流閘道。如需詳細資訊,請參閱[WorkSpaces 應用程式界面 VPC 端點](interface-vpc-endpoints.md)。
對於 IPV4 支援,您必須在使用者起始串流執行個體存取權的網路上允許下列網域。它以區域為基礎,並遵循下列格式: `*.streaming.{region}.appstream2.amazonappstream.com`和 `*.dcv-streaming.{region}.appstream2.amazonappstream.com`。如果其為 FIPS 相容區域,則還需要另一個格式為 `*.streaming.{region}.appstream2-fips.amazonappstream.com`和 的端點`*.dcv-streaming.{region}.appstream2-fips.amazonappstream.com`。檢查下表。
| 區域 | 網域 |
| --- | --- |
| 美國東部 (維吉尼亞北部) | \$1.streaming.us-east-1.appstream2.amazonappstream.com \$1.dcv-streaming.us-east-1.appstream2.amazonappstream.com \$1.streaming.us-east-1.appstream2-fips.amazonappstream.com \$1.dcv-streaming.us-east-1.appstream2-fips.amazonappstream.com |
| 美國東部 (俄亥俄) | \$1.streaming.us-east-2.appstream2.amazonappstream.com \$1.dcv-streaming.us-east-2.appstream2.amazonappstream.com |
| 美國西部 (奧勒岡) | \$1.streaming.us-west-2.appstream2.amazonappstream.com \$1.dcv-streaming.us-west-2.appstream2.amazonappstream.com \$1.streaming.us-west-2.appstream2-fips.amazonappstream.com \$1.dcv-streaming.us-west-2.appstream2-fips.amazonappstream.com |
| 亞太地區 (孟買) | \$1.streaming.ap-south-1.appstream2.amazonappstream.com \$1.dcv-streaming.ap-south-1.appstream2.amazonappstream.com |
| 亞太地區 (首爾) | \$1.streaming.ap-northeast-2.appstream2.amazonappstream.com \$1.dcv-streaming.ap-northeast-2.appstream2.amazonappstream.com |
| 亞太地區 (新加坡) | \$1.streaming.ap-southeast-1.appstream2.amazonappstream.com \$1.dcv-streaming.ap-southeast-1.appstream2.amazonappstream.com |
| 亞太地區 (悉尼) | \$1.streaming.ap-southeast-2.appstream2.amazonappstream.com \$1.dcv-streaming.ap-southeast-2.appstream2.amazonappstream.com |
| 亞太地區 (東京) | \$1.streaming.ap-northeast-1.appstream2.amazonappstream.com \$1.dcv-streaming.ap-northeast-1.appstream2.amazonappstream.com |
| 加拿大 (中部) | \$1.streaming.ca-central-1.appstream2.amazonappstream.com \$1.dcv-streaming.ca-central-1.appstream2.amazonappstream.com |
| 歐洲 (法蘭克福) | \$1.streaming.eu-central-1.appstream2.amazonappstream.com \$1.dcv-streaming.eu-central-1.appstream2.amazonappstream.com |
| 歐洲 (倫敦) | \$1.streaming.eu-west-2.appstream2.amazonappstream.com \$1.dcv-streaming.eu-west-2.appstream2.amazonappstream.com |
| 歐洲 (愛爾蘭) | \$1.streaming.eu-west-1.appstream2.amazonappstream.com \$1.dcv-streaming.eu-west-1.appstream2.amazonappstream.com |
| Europe (Paris) | \$1.streaming.eu-west-3.appstream2.amazonappstream.com \$1.dcv-streaming.eu-west-3.appstream2.amazonappstream.com |
| AWS GovCloud (美國東部) | \$1.streaming.us-gov-east-1.appstream2.amazonappstream.com \$1.dcv-streaming.us-gov-east-1.appstream2.amazonappstream.com \$1.streaming.us-gov-east-1.appstream2-fips.amazonappstream.com \$1.dcv-streaming.us-gov-east-1.appstream2-fips.amazonappstream.com |
| AWS GovCloud (美國西部) | \$1.streaming.us-gov-west-1.appstream2.amazonappstream.com \$1.dcv-streaming.us-gov-west-1.appstream2.amazonappstream.com \$1.streaming.us-gov-west-1.appstream2-fips.amazonappstream.com \$1.dcv-streaming.us-gov-west-1.appstream2-fips.amazonappstream.com |
| 南美洲 (聖保羅) | \$1.streaming.sa-east-1.appstream2.amazonappstream.com \$1.dcv-streaming.sa-east-1.appstream2.amazonappstream.com |
對於 IPV6 支援,您必須在使用者起始串流執行個體存取權的網路上允許下列網域。它以區域為基礎,並遵循下列格式: `*.streaming.appstream2.{region}.on.aws`和 `*.dcv-streaming.appstream2.{region}.on.aws`。如果其為 FIPS 相容區域,則還需要另一個格式為 `*.streaming.appstream2-fips.{region}.on.aws`和 的端點`*.dcv-streaming.appstream2-fips.{region}.on.aws`。檢查下表。
若要使用 IPV6 地址,您的基礎映像必須更新為 2025 年 9 月 5 日或更新版本發佈的映像。如需詳細資訊,請檢查[受管映像更新](https://docs.aws.amazon.com/appstream2/latest/developerguide/keep-image-updated-managed-image-updates.html)。
| 區域 | 網域 |
| --- | --- |
| 美國東部 (維吉尼亞北部) | \$1.streaming.appstream2.us-east-1.on.aws \$1.dcv-streaming.appstream2.us-east-1.on.aws \$1.streaming.appstream2-fips.us-east-1.on.aws \$1.dcv-streaming.appstream2-fips.us-east-1.on.aws |
| 美國東部 (俄亥俄) | \$1.streaming.appstream2.us-east-2.on.aws \$1.dcv-streaming.appstream2.us-east-2.on.aws |
| 美國西部 (奧勒岡) | \$1.streaming.appstream2.us-west-2.on.aws \$1.dcv-streaming.appstream2.us-west-2.on.aws \$1.streaming.appstream2-fips.us-west-2.on.aws \$1.dcv-streaming.appstream2-fips.us-west-2.on.aws |
| 亞太地區 (孟買) | \$1.streaming.appstream2.ap-south-1.on.aws \$1.dcv-streaming.appstream2.ap-south-1.on.aws |
| 亞太地區 (首爾) | \$1.streaming.appstream2.ap-northeast-2.on.aws \$1.dcv-streaming.appstream2.ap-northeast-2.on.aws |
| 亞太地區 (新加坡) | \$1.streaming.appstream2.ap-southeast-1.on.aws \$1.dcv-streaming.appstream2.ap-southeast-1.on.aws |
| 亞太地區 (悉尼) | \$1.streaming.appstream2.ap-southeast-2.on.aws \$1.dcv-streaming.appstream2.ap-southeast-2.on.aws |
| 亞太地區 (東京) | \$1.streaming.appstream2.ap-northeast-1.on.aws \$1.dcv-streaming.appstream2.ap-northeast-1.on.aws |
| 加拿大 (中部) | \$1.streaming.appstream2.ca-central-1.on.aws \$1.dcv-streaming.appstream2.ca-central-1.on.aws |
| 歐洲 (法蘭克福) | \$1.streaming.appstream2.eu-central-1.on.aws \$1.dcv-streaming.appstream2.eu-central-1.on.aws |
| 歐洲 (倫敦) | \$1.streaming.appstream2.eu-west-2.on.aws \$1.dcv-streaming.appstream2.eu-west-2.on.aws |
| 歐洲 (愛爾蘭) | \$1.streaming.appstream2.eu-west-1.on.aws \$1.dcv-streaming.appstream2.eu-west-1.on.aws |
| Europe (Paris) | \$1.streaming.appstream2.eu-west-3.on.aws \$1.dcv-streaming.appstream2.eu-west-3.on.aws |
| AWS GovCloud (美國東部) | \$1.streaming.appstream2.us-gov-east-1.on.aws \$1.dcv-streaming.appstream2.us-gov-east-1.on.aws \$1.streaming.appstream2-fips.us-gov-east-1.on.aws \$1.dcv-streaming.appstream2-fips.us-gov-east-1.on.aws |
| AWS GovCloud (美國西部) | \$1.streaming.appstream2.us-gov-west-1.on.aws \$1.dcv-streaming.appstream2.us-gov-west-1.on.aws \$1.streaming.appstream2-fips.us-gov-west-1.on.aws \$1.dcv-streaming.appstream2-fips.us-gov-west-1.on.aws |
| 南美洲 (聖保羅) | \$1.streaming.appstream2.sa-east-1.on.aws \$1.dcv-streaming.appstream2.sa-east-1.on.aws |
您必須允許以下一或多個網域,然後才能啟用使用者驗證。您必須允許對應至 WorkSpaces 應用程式部署區域的網域和子網域。
| 區域 | 網域 |
| --- | --- |
| 美國東部 (維吉尼亞北部) | \$1.appstream2.us-east-1.aws.amazon.com |
| 美國東部 (俄亥俄) | \$1.appstream2.us-east-2.aws.amazon.com |
| 美國西部 (奧勒岡) | \$1.appstream2.us-west-2.aws.amazon.com |
| 亞太地區 (馬來西亞) | \$1.appstream2.ap-southeast-5.aws.amazon.com |
| 亞太地區 (孟買) | \$1.appstream2.ap-south-1.aws.amazon.com |
| 亞太地區 (首爾) | \$1.appstream2.ap-northeast-2.aws.amazon.com |
| 亞太地區 (新加坡) | \$1.appstream2.ap-southeast-1.aws.amazon.com |
| 亞太地區 (悉尼) | \$1.appstream2.ap-southeast-2.aws.amazon.com |
| 亞太地區 (東京) | \$1.appstream2.ap-northeast-1.aws.amazon.com |
| 加拿大 (中部) | \$1.appstream2.ca-central-1.aws.amazon.com |
| 歐洲 (法蘭克福) | \$1.appstream2.eu-central-1.aws.amazon.com |
| 歐洲 (倫敦) | \$1.appstream2.eu-west-2.aws.amazon.com |
| 歐洲 (愛爾蘭) | \$1.appstream2.eu-west-1.aws.amazon.com |
| 歐洲 (米蘭) | \$1.appstream2.eu-south-1.aws.amazon.com |
| Europe (Paris) | \$1.appstream2.eu-west-3.aws.amazon.com |
| 歐洲 (西班牙) | \$1.appstream2.eu-south-2.aws.amazon.com |
| AWS GovCloud (美國東部) | \$1.appstream2.us-gov-east-1.amazonaws-us-gov.com |
| AWS GovCloud (美國西部) | \$1.appstream2.us-gov-west-1.amazonaws-us-gov.com |
| 南美洲 (聖保羅) | \$1.appstream2.us-east-1.aws.amazon.com |
| 以色列 (特拉維夫) | \$1.appstream2.il-central-1.aws.amazon.com |
**注意**
如果您的使用者使用網路 Proxy 存取串流執行個體,請停用資料表中使用者驗證網域的任何 Proxy 快取,以及工作階段閘道 \$1.amazonappstream.com。
AWS 會以 JSON 格式發佈其目前的 IP 地址範圍,包括工作階段閘道和 CloudFront 網域可能解析的範圍。如需如何下載 .json 檔案及檢視目前範圍的詳細資訊,請參閱 Amazon Web Services 一般參考中的 [AWS IP 地址範圍](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)。或者,如果您使用 AWS Tools for Windows PowerShell,您可以使用 `Get-AWSPublicIpAddressRange` cmdlet 存取相同的資訊。如需詳細資訊,請參閱[查詢 AWS的公有 IP 地址範圍](https://aws.amazon.com/blogs/developer/querying-the-public-ip-address-ranges-for-aws/)相關文章。
對於存取彈性機群的 WorkSpaces 應用程式使用者,您必須允許存取包含應用程式圖示的 Amazon Simple Storage Service (S3) 儲存貯體的網域。
**注意**
如果您的 S3 儲存貯體名稱中有「.」 字元,則使用的網域為 https://s3..amazonaws.com。如果您的 S3 儲存貯體名稱中沒有「.」 字元,則使用的網域為 https://<*bucket name*>.s3.<*AWS 區域*>.amazonaws.com。