本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
WorkSpaces 的 IP 地址和端口要求
要连接到您的 WorkSpaces,您的 WorkSpace 客户端连接的网络必须对各种Amazon服务(按子集分组)。这些地址范围因 Amazon 区域而异。这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态。有关Amazon不同区域的 IP 地址范围,请参阅AmazonIP 地址范围中的Amazon Web Services 一般参考.
有关架构图,请参阅 WorkSpaces 架构。有关其他架构图,请参阅 部署 Amazon WorkSpaces 的最佳实践
客户端应用程序的端口
WorkSpaces 客户端应用程序需要以下端口上的出站访问:
- 端口 443 (TCP)
-
此端口用于客户端应用程序更新、注册和身份验证。桌面客户端应用程序支持使用代理服务器处理端口 443 (HTTPS) 流量。要允许使用代理服务器,请打开客户端应用程序,依次选择 Advanced Settings 和 Use Proxy Server,指定代理服务器的地址和端口,然后选择 Save。
此端口必须对以下 IP 地址范围开放:
-
GLOBAL区域中的AMAZON子集。 -
WorkSpace 所在区域中的
AMAZON子集。 -
us-east-1区域中的AMAZON子集。 -
us-west-2区域中的AMAZON子集。 -
us-west-2区域中的S3子集。
-
- 端口 4172 和 4195 (UDP 和 TCP)
-
这些端口用于流式传输 WorkSpace 桌面和运行状况检查。桌面客户端应用程序不支持对端口 4172 和 4195 流量使用代理服务器;它们需要直接连接到端口 4172 和 4195。这些端口必须对 WorkSpaces 所在区域中的 PCoIP 网关和 WorkSpace 网关 IP 地址范围开放。有关更多信息,请参阅运行 Health 检查 Server、PCoIP 网关服务器和WSP 网关服务器。
如果您的防火墙使用有状态筛选,则临时端口(也称为动态端口)会自动打开以允许返回通信。如果您的防火墙使用无状态筛选,则需要明确打开临时端口,以便允许返回通信。根据您的配置,需要打开的临时端口范围有所不同。
要添加到允许列表中的域和 IP 地址
为了使 WorkSpaces 客户端应用程序能够访问 WorkSpace 服务,必须在客户端尝试访问服务的网络上将以下域和 IP 地址添加到允许列表中。
|
要添加到允许列表中的域和 IP 地址
|
|
|---|---|
| 类别 | 域或 IP 地址 |
| CAPTCHA | https://opfcaptcha-prod.s3.cn-north-1.amazonaws.com.cn |
| 客户端自动更新 |
|
| 连接检查 |
https://connectivity.amazonworkspaces.awsapps.cn |
| 客户端指标(适用于 3.0+ WorkSpaces 客户端应用程序) |
|
| 目录设置 |
在中国(宁夏)区域:
|
| 运行 Health 检查 (DRP) 服务器 | 运行 Health 检查 Server |
| 用户登录页面 |
https://warpspeed.cn-northwest-1.amazonaws.com.cn/ |
| WS 代理 |
|
| WorkSpaces API 终端节点 |
|
|
要添加到 PCoIP 允许列表中的域和 IP 地址
|
|
|---|---|
| 类别 | 域或 IP 地址 |
| PCoIP 会话网关 (PSG) | PCoIP 网关服务器 |
| 会话代理 (PCM) |
|
|
要添加到 WorkSpaces 流式处理协议 (WSP) 允许列表中的域和 IP 地址
|
|
|---|---|
| 类别 | 域或 IP 地址 |
| WSP 会话网关 (WSG) | WSP 网关服务器 |
运行 Health 检查 Server
工作空间客户端应用程序通过端口 4172 和 4195 执行运行状况检查。这些检查验证 TCP 或 UDP 流量是否从 WorkSpaces 服务器流式传输到客户端应用程序。要成功完成这些检查,您的防火墙策略必须允许指向以下区域运行状况检查服务器的 IP 地址的出站流量。
| 区域 | 运行状况检查主机名 | IP 地址 |
|---|---|---|
| China (Ningxia) | drp-zhy.amazonworkspaces.com |
52.82.90.186 52.83.43.32 52.83.110.158 52.83.248.61 |
PCoIP 网关服务器
WorkSpaces 使用 PCoIP 通过端口 4172 将桌面会话流式传输到客户端。对于其 PCoIP 网关服务器,WorkSpaces 会使用较小范围的 Amazon EC2 公有 IPv4 地址。这样,您可以为用于访问 WorkSpace 的设备设置更为精细的防火墙策略。请注意,WorkSpaces 客户端目前不支持 IPv6 地址作为连接选项。
我们定期更新我们的 IP 地址范围 AmazonIP 地址范围 ip-ranges.json文件。要获取 WorkSpace 的最新 IP 地址范围,请在ip-ranges.json文件,其中service: "WORKSPACES_GATEWAYS".
| 区域 | 公有 IP 地址范围 |
|---|---|
| China (Ningxia) |
52.83.58.0 - 52.83.58.255 |
WSP 网关服务器
从 2020 年 6 月开始,WorkSpaces 通过端口 4195 而不是端口 4172 将科进 WorkSpaces 的桌面会话流式传输到客户端。如果您希望使用 WSP WorkSpace,请确保端口 4195 对流量开放。
WorkSpaces 会为其 WSP 网关服务器使用较小范围的 Amazon EC2 公有 IPv4 地址。这样,您可以为用于访问 WorkSpace 的设备设置更为精细的防火墙策略。请注意,WorkSpaces 客户端目前不支持 IPv6 地址作为连接选项。
| 区域 | 公有 IP 地址范围 |
|---|---|
| China (Ningxia) | WSP 不支持此区域。 |
网络接口
每个 WorkSpace 都有以下网络接口:
-
主网络接口 (eth1) 提供与您的 VPC 内以及 Internet 上的资源的连接,并用于将 WorkSpace 加入目录。
-
管理网络接口 (eth0) 已连接到安全的 WorkSpace 管理网络。它用于将 WorkSpace 桌面以交互方式流式传输到 WorkSpaces 客户端,并允许 WorkSpace 管理 WorkSpace。
WorkSpace 会从多个地址范围中选择管理网络接口的 IP 地址,具体取决于创建 WorkSpaces 的区域。目录注册后,WorkSpaces 会测试 VPC CIDR 和您的 VPC 中的路由表,以确定这些地址范围是否会发生冲突。如果区域中的所有可用地址范围存在冲突,则会显示一条错误消息,而且目录将无法注册。如果您在目录注册后更改了 VPC 中的路由表,则可能会导致冲突。
请勿修改或删除与 WorkSpace 相连接的任何网络接口。这样做可能会导致 WorkSpace 变得无法访问或导致它无法访问 Internet。例如,如果您在目录级别启用了弹性 IP 地址自动分配,则会在您的 WorkSpace 启动时为其分配弹性 IP 地址(来自 Amazon 提供的池)。但是,如果您将您拥有的弹性 IP 地址与 WorkSpace 关联,稍后您将该弹性 IP 地址与 WorkSpace 取消关联,则 WorkSpace 将失去其公有 IP 地址,并且不会自动从 Amazon 提供的池中获取新的 IP 地址。
要将 Amazon 提供的池中的新公有 IP 地址与 WorkSpace 关联,您必须重建 WorkSpace。如果您不想重建 WorkSpace,必须将您拥有的另一个弹性 IP 地址与 WorkSpace 关联。
管理接口 IP 范围
下表列出了用于管理网络接口的 IP 地址范围。
-
如果您使用的是自带许可 (BYOL) Windows WorkSpaces,则下表中的 IP 地址范围不适用。相反,PCoIP BYOL WorkSpaces 使用 54.239.224.0/20 IP 地址范围来管理所有Amazon区域。对于 WSP BYOL Windows WorkSpaces,54.239.224.0/20 和 10.0.0.0/8 IP 地址范围都适用于所有Amazon区域。(除了您为 BYOL 工作空间的管理流量选择的 /16 CIDR 块之外,还使用这些 IP 地址范围。)
-
如果您使用的是从公共捆绑包创建的 WSP WorkSpaces,IP 地址范围 10.0.0.0/8 也适用于所有Amazon区域,除了下表显示的 PCOIP /WSP 范围之外。
| 区域 | IP 地址范围 |
|---|---|
| China (Ningxia) |
198.19.0.0/16 |
管理接口端口
以下端口在所有 WorkSpace 的管理网络接口上都必须处于打开状态:
-
端口 4172 上的入站 TCP。它用于在 PCoIP 协议上建立流式连接。
-
端口 4172 上的入站 UDP。它用于流式用户输入 PCoIP 协议。
-
端口 4489 上的入站 TCP。这用于通过 Web 客户端访问。(WSP 协议不支持 Web 访问客户端。)
-
端口 8200 上的入站 TCP。它用于 PCoIP 协议上的 WorkSpace 的管理和配置。
-
端口 8201-8250 上的入站 TCP。这些端口用于建立流连接和 WSP 协议上的流式传输用户输入。
-
出站 TCP 端口 8443 和 9997。这用于通过 Web 客户端访问。(WSP 协议不支持 Web 访问客户端。)
-
端口 3478、4172 和 4195 上的出站 UDP。这用于通过 Web 客户端访问。(WSP 协议不支持 Web 访问客户端。)
-
端口 50002 和 55002 上的出站 UDP。它用于流式传输。如果您的防火墙使用有状态筛选,则临时端口 50002 和 55002 会自动打开以允许返回通信。如果您的防火墙使用无状态筛选,则需要打开临时端口 49152 至 65535,以便允许返回通信。
-
使用端口 80 通过出站 TCP 发送到 IP 地址 169.254.169.254,用于访问 EC2 元数据服务。分配给您的 WorkSpace 的任何 HTTP 代理中还必须排除 169.254.169.254。
-
使用端口 1688 通过出站 TCP 发送到 IP 地址 169.254.169.250 和 169.254.169.251,以允许访问 Microsoft KMS 来激活基于公有捆绑的 WorkSpace 的 Windows。如果您使用自带许可证 (BYOL) Windows WorkSpaces,则必须允许访问您自己的 KMS 服务器以进行 Windows 激活。
-
使用端口 1688 通过出站 TCP 发送到 IP 地址 54.239.239.239.239.236.220,以允许访问 Microsoft KMS 来激活 BYOL WorkSpaces。
如果您正在通过 WorkSpaces 公用包之一使用 Office,则 Office 激活的 Microsoft KMS 的 IP 地址会有所不同。若要确定该 IP 地址,请查找 WorkSpace 管理接口的 IP 地址,然后将最后两个八位字节替换为
64.250. 例如对于如果管理接口的 IP 地址是 192.168.3.5,则微软 KMS 办公室激活的 IP 地址是 192.168.64.250。 -
当 WorkSpaces 主机配置为使用代理服务器时,WSP 工作空间的出站 TCP 到 IP 地址 127.0.0.2。
正常情况下,WorkSpace 服务会为您的 WorkSpace 配置这些端口。如果 WorkSpace 上安装了任何拦截这些端口的安全或防火墙软件,则 WorkSpace 可能无法正常工作,或者可能无法连接。
主接口端口
不论您拥有哪种类型的目录,以下端口在所有 WorkSpace 的主网络接口上都必须打开:
-
对于 Internet 连接,以下端口在出站至所有目的地和从 WorkSpace VPC 入站时必须处于打开状态。如果您希望它们能够访问 Internet,则需要将这些端口手动添加到您的 WorkSpace 的安全组。
-
TCP 80 (HTTP)
-
TCP 443 (HTTPS)
-
-
要与目录控制器通信,以下端口必须在您的 WorkSpace VPC 与目录控制器之间处于打开状态。对于 Simple AD 目录,Amazon Directory Service会将这些端口配置正确。对于 AD Connector 目录,您可能需要调整 VPC 的默认安全组才能打开这些端口。
-
TCP/UDP 53 - DNS
-
TCP/UDP 88 - Kerberos 身份验证
-
UDP 123 - NTP
-
TCP 135 - RPC
-
UDP 137-138 - Netlogon
-
TCP 139 - Netlogon
-
TCP/UDP 389 - LDAP
-
TCP/UDP 445 - SMB
-
TCP 1024-65535 - RPC 动态端口
如果 WorkSpace 上安装了任何拦截这些端口的安全或防火墙软件,则 WorkSpace 可能无法正常工作,或者可能无法连接。
-