本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IP address and port requirements for WorkSpaces
连接到您的 WorkSpaces,你的网络 WorkSpaces 连接的客户机必须有某些端口向各种 IP 地址范围开放Amazon服务(按子集分组)。这些地址范围因 Amazon 区域而异。这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态。有关的更多信息Amazon不同区域的 IP 地址范围,请参阅AmazonIP 地址范围在里面Amazon Web Services 一般参考.
有关架构图,请参见WorkSpaces 架构. 有关其他架构图,请参见部署亚马逊的最佳实践 WorkSpaces.
客户端应用程序的端口
这些区域有: WorkSpaces 客户端应用程序需要通过以下端口进行出站访问:
- 端口 53 (UDP)
-
此端口用于访问 DNS 服务器。它必须对您的 DNS 服务器 IP 地址开放,以使客户端可以解析公有域名。如果您不使用 DNS 服务器进行域名解析,则此端口要求是可选的。
- 端口 443 (TCP)
-
此端口用于客户端应用程序更新、注册和身份验证。桌面客户端应用程序支持使用代理服务器处理端口 443 (HTTPS) 流量。要允许使用代理服务器,请打开客户端应用程序,依次选择 Advanced Settings 和 Use Proxy Server,指定代理服务器的地址和端口,然后选择 Save。
此端口必须对以下 IP 地址范围开放:
-
GLOBAL区域中的AMAZON子集。 -
这些区域有:
AMAZON该地区的子集 WorkSpace 在里面。 -
us-east-1区域中的AMAZON子集。 -
us-west-2区域中的AMAZON子集。 -
us-west-2区域中的S3子集。
-
- 端口 4172 和 4195(UDP 和 TCP)
-
这些端口用于流式传输 WorkSpace 桌面和运行状况检查。桌面客户端应用程序不支持对端口 4172 和 4195 流量使用代理服务器;它们需要直接连接到端口 4172 和 4195。这些端口必须向 PCoIP 网关开放,并且 WorkSpaces 流协议 (WSP) 网关 IP 地址范围,以及该区域中的运行状况检查服务器 WorkSpace 在里面。有关更多信息,请参阅Health 检查服务器、PCoIP 网关服务器和WSP 网关服务器。
如果您的防火墙使用状态筛选,则会自动打开临时端口(也称为动态端口)以允许回程通信。如果您的防火墙使用无状态筛选,则需要明确打开临时端口,以便允许返回通信。根据您的配置,需要打开的临时端口范围有所不同。
要添加到允许列表的域名和 IP 地址
对于 WorkSpaces 客户端应用程序才能访问 WorkSpaces 服务,必须将以下域和 IP 地址添加到客户端尝试访问服务的网络上的允许列表中。
要添加到允许列表的域名和 IP 地址 | |
|---|---|
| 类别 | 域或 IP 地址 |
| CAPTCHA | https://opfcaptcha-prod.s3.cn-north-1.amazonaws.com.cn |
| 客户端自动更新 |
|
| 连接检查 |
https://connectivity.amazonworkspaces.awsapps.cn |
| 客户指标(适用于 3.0 以上) WorkSpaces 客户端应用程序) |
|
| 目录设置 |
在中国(宁夏)区域
|
| Health 检查 (DRP) 服务器 | Health 检查服务器 |
| 用户登录页面 | https://warpspeed.cn-northwest-1.amazonaws.com.cn/ |
| WS 代理 |
|
| WorkSpaces API 终端节 |
|
要添加到 PCoIP 允许列表中的域和 IP 地址 | |
|---|---|
| 类别 | 域或 IP 地址 |
| PCoIP 会话网关 (PSG) | PCoIP 网关服务器 |
| 会话代理 (PCM) |
|
要添加到允许列表中的域名和 IP 地址 WorkSpaces 流媒体协议 (WSP) | |
|---|---|
| 类别 | 域或 IP 地址 |
| WSP 会话网关 (WSG) |
Health 检查服务器
这些区域有: WorkSpaces 客户端应用程序通过端口 4172 和 4195 执行运行状况检查。这些检查用于验证 TCP 还是 UDP 流量是来自 WorkSpaces 服务器到客户端应用程序。要成功完成这些检查,您的防火墙策略必须允许出站流量进入以下区域运行状况检查服务器的 IP 地址。
| 区域 | 运行状况检查主机名 | IP 地址 |
|---|---|---|
| 中国(宁夏) | drp-zhy.amazonworkspaces.com |
52.82.90.186 52.83.43.32 52.83.110.158 52.83.248.61 |
PCoIP 网关服务器
WorkSpaces 使用 PCoIP 通过端口 4172 将桌面会话流式传输到客户端。对于其 PCoIP 网关服务器, WorkSpaces 使用少量Amazon EC2 公有 IPv4 地址。这样,您可以为用于访问 WorkSpaces 的设备设置更为精细的防火墙策略。注意 WorkSpaces 客户端目前不支持 IPv6 地址作为连接选项。
我们会定期更新我们的 IP 地址范围AmazonIP 地址范围 ip-ranges.json文件。要摄取最多的内容 up-to-date 的 IP 地址范围 WorkSpaces,请在以下位置查找条目ip-ranges.json文件在哪里service: "WORKSPACES_GATEWAYS".
| 区域 | 公有 IP 地址范围 |
|---|---|
| 中国(宁夏) |
52.83.58.0 - 52.83.58.255 69.235.162.0-69.235.162.255 |
WSP 网关服务器
从 2020 年 6 月开始, WorkSpaces 流式传输 WSP 的桌面会话 WorkSpaces通过端口 4195 而不是端口 4172 发送给客户端。如果要使用 WSP WorkSpaces,请确保端口 4195 对流量开放。
WorkSpaces 使用少量的 Amazon EC2 公有 IPv4 地址作为其 WSP 网关服务器。这样,您可以为用于访问 WorkSpaces 的设备设置更为精细的防火墙策略。注意 WorkSpaces 客户端目前不支持 IPv6 地址作为连接选项。
| 区域 | 公有 IP 地址范围 |
|---|---|
| 中国(宁夏) | WSP 不支持此区域。 |
网络接口
每个 WorkSpace 有以下网络接口:
-
主网络接口 (eth1) 提供与您的 VPC 和互联网上的资源的连接,用于加入 WorkSpace 到目录。
-
管理网络接口 (eth0) 已连接到安全的 WorkSpaces 管理网络。它用于交互式直播 WorkSpace桌面到 WorkSpaces 客户端,并允许 WorkSpaces 来管理 WorkSpace.
WorkSpaces 根据管理网络接口所在的区域,从不同的地址范围中选择管理网络接口的 IP 地址 WorkSpaces 创建于。注册目录时, WorkSpaces 测试 VPC CIDR 和您的 VPC 中的路由表,以确定这些地址范围是否造成冲突。如果区域中的所有可用地址范围存在冲突,则会显示一条错误消息,而且目录将无法注册。如果您在目录注册后更改了 VPC 中的路由表,则可能会导致冲突。
请勿修改或删除任何连接到 WorkSpace. 否则,可能会导致 WorkSpace 变得无法访问或无法访问互联网。例如,如果您有启用了弹性 IP 地址的自动分配在目录级别,弹性 IP 地址(来自亚马逊提供的存储池)已分配给您的 WorkSpace当它启动时。但是,如果您将自己拥有的弹性 IP 地址关联到 WorkSpace,然后你稍后取消该弹性 IP 地址与 WorkSpace, WorkSpace 丢失其公有 IP 地址,也不会自动从亚马逊提供的池中获取新的 IP 地址。
将亚马逊提供的池中的新公有 IP 地址关联到 WorkSpace,你必须重建 WorkSpace. 如果不想重建 WorkSpace,您必须将自己拥有的另一个弹性 IP 地址关联到 WorkSpace.
管理接口 IP 范围
下表列出了用于管理网络接口的 IP 地址范围。
| 区域 | IP 地址范围 |
|---|---|
| 中国(宁夏) | 198.19.0.0/16 |
管理端口
必须在所有端口的管理网络接口上打开以下端口 WorkSpaces:
-
端口 4172 上的入站 TCP。这用于在 PCoIP 协议上建立流媒体连接。
-
端口 4172 上的入站 UDP。这用于在 PCoIP 协议上流式传输用户输入。
-
端口 4489 上的入站 TCP。这用于通过 Web 客户端访问。
-
端口 8200 上的入站 TCP。这用于管理和配置 WorkSpace 在 PCoIP 协议上。
-
端口 8201-8250 上的入站 TCP。这些端口用于在 WSP 协议上建立流式传输连接和流式传输用户输入。
-
端口 8220 上的入站 UDP。此端口用于在 WSP 协议上建立流式传输连接和流式传输用户输入
-
出站 TCP 端口 8443 和 9997。这用于通过 Web 客户端访问。
-
端口 3478、4172 和 4195 上的出站 UDP。这用于通过 Web 客户端访问。
-
端口 50002 和 55002 上的出站 UDP。这用于流式传输。如果您的防火墙使用有状态筛选,则临时端口 50002 和 55002 会自动打开以允许返回通信。如果您的防火墙使用无状态筛选,则需要打开临时端口 49152 至 65535,以便允许返回通信。
-
使用端口 80 通过出站 TCP 发送到 IP 地址 169.254.169.254,用于访问 EC2 元数据服务。分配给您的任何 HTTP 代理 WorkSpaces 还必须排除 169.254.169.254
-
端口 1688 上的出站 TCP 到 IP 地址 169.254.169.250 和 169.254.169.251,允许基于公共捆绑包的 Workspaces 访问微软 KMS 以激活 Windows。如果你使用自带许可 (BYOL) WorkSpaces,您必须允许访问自己的 KMS 服务器才能激活 Windows。
-
端口 1688 上的出站 TCP 到 IP 地址 54.239.236.220 以允许访问微软 KMS 以激活 BYOL 的 Office WorkSpaces.
如果你通过以下任一方式使用 Office WorkSpaces 公共捆绑包,用于激活 Office 的微软 KMS 的 IP 地址各不相同。要确定该 IP 地址,请找到管理接口的 IP 地址 WorkSpace,然后将最后两个二进制八位数替换为
64.250. 例如,如果管理接口的 IP 地址为 192.168.3.5,则激活 Microsoft KMS Office 的 IP 地址为 192.168.64.250。 -
WSP 的出站 TCP 到 IP 地址 127.0.0.2 WorkSpaces (当为时) WorkSpace 主机配置为使用代理服务器。
在正常情况下, WorkSpaces 服务为您配置这些端口 WorkSpaces. 如果安装了任何安全或防火墙软件 WorkSpace 它阻塞了其中任何一个端口, WorkSpace 可能无法正常工作或可能无法访问。
主接口端口
无论您使用哪种类型的目录,都必须在所有目录的主网络接口上打开以下端口 WorkSpaces:
-
要连接 Internet,必须打开以下端口,通往所有目的地的出站端口,以及从 WorkSpaces VPC。您需要将它们手动添加到您的安全组中 WorkSpaces 如果你想让他们上网
-
TCP 80 (HTTP)
-
TCP 443 (HTTPS)
-
-
要与目录控制器通信,您之间必须打开以下端口 WorkSpaces VPC 和您的目录控制器。对于简单 AD 目录,由创建的安全组Amazon Directory Service将正确配置这些端口。对于 AD Connector 目录,您可能需要调整 VPC 的默认安全组才能打开这些端口。
-
TCP/UDP 53 - DNS
-
TCP/UDP 88 - Kerberos 身份验证
-
UDP 123 - NTP
-
TCP 135 - RPC
-
UDP 137-138 - Netlogon
-
TCP 139 - Netlogon
-
TCP/UDP 389 - LDAP
-
TCP/UDP 445 - SMB
-
TCP 1024-65535 - RPC 动态端口
如果安装了任何安全或防火墙软件 WorkSpace 它阻塞了其中任何一个端口, WorkSpace 可能无法正常工作或可能无法访问。
-