Amazon WorkSpaces
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon WorkSpaces 的 IP 地址和端口要求

要连接到您的 WorkSpace,您的 Amazon WorkSpaces 客户端连接的网络必须对各种 AWS 服务(分为不同子集)的 IP 地址范围开放某些端口。这些地址范围因 AWS 区域而异。这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态。有关不同区域的 AWS IP 地址范围的更多信息,请参阅 Amazon Web Services 一般参考 中的 AWS IP 地址范围

用于客户端应用程序的端口

Amazon WorkSpaces 客户端应用程序需要以下端口上的出站访问:

端口 443 (TCP)

此端口用于客户端应用程序更新、注册和身份验证。桌面客户端应用程序支持使用代理服务器处理端口 443 (HTTPS) 流量。要允许使用代理服务器,请打开客户端应用程序,依次选择 Advanced SettingsUse Proxy Server,指定代理服务器的地址和端口,然后选择 Save

此端口必须对以下 IP 地址范围开放:

  • GLOBAL 区域中的 AMAZON 子集。

  • WorkSpace 所在区域中的 AMAZON 子集。

  • us-east-1 区域中的 AMAZON 子集。

  • us-west-2 区域中的 AMAZON 子集。

  • us-west-2 区域中的 S3 子集。

端口 4172 (UDP 和 TCP)

此端口用于流式处理 WorkSpace 桌面和运行状况检查。它必须对 WorkSpace 所在区域中的 PCoIP 网关 IP 地址范围和运行状况检查服务器开放。有关更多信息,请参阅 PCoIP 运行状况检查服务器PCoIP 网关

列入白名单的域和端口

为了使 Amazon WorkSpaces 客户端应用程序能够访问 Amazon WorkSpaces 服务,必须在客户端尝试访问服务的网络上将以下域和端口列入白名单。

列入白名单的域和端口

类别 白名单
CAPTCHA https://opfcaptcha-prod.s3.amazonaws.com/
客户端自动更新
连接检查 https://connectivity.amazonworkspaces.com/
设备指标 https://device-metrics-us-2.amazon.com/
目录设置

在登录 WorkSpace 之前从客户端到客户目录的身份验证:

  • https://d32i4gd7pg4909.cloudfront.net/prod/<区域>/<目录 ID>

从 MacOS 客户端进行的连接:

  • https://d32i4gd7pg4909.cloudfront.net/

客户目录设置:

  • https://d21ui22avrxoh6.cloudfront.net/prod/<区域>/<目录 ID>

客户目录级别联合品牌的登录页面图形:

  • https://d1cbg795sa4g1u.cloudfront.net/prod/<区域>/<目录 ID>

用于设计登录页面的 CSS 文件:

  • https://d3s98kk2h6f4oh.cloudfront.net/

  • https://dyqsoz7pkju4e.cloudfront.net/

Forrester 日志服务 https://fls-na.amazon.com/
PCoIP 运行状况检查 (DRP) PCoIP 运行状况检查服务器
PCoIP 会话网关 (PSG) PCoIP 网关
注册依赖项 https://s3.amazonaws.com
会话代理 (PCM)
用户登录页面 https://<目录 ID>.awsapps.com/(其中,<目录 ID> 是客户的域)
Web 访问 TURN 服务器
WS 代理
WorkSpaces API 终端节点

PCoIP 运行状况检查服务器

Amazon WorkSpaces 客户端应用程序通过端口 4172 执行 PCoIP 运行状况检查。这样可以验证 TCP 或 UDP 流量是否从 Amazon WorkSpaces 服务器到客户端应用程序进行流式处理。要成功执行此操作,您的防火墙策略必须考虑以下区域 PCoIP 运行状况检查服务器。

区域 运行状况检查服务器

PCoIP 网关

Amazon WorkSpaces 使用 PCoIP 通过端口 4172 将桌面会话流式传输到客户端。Amazon WorkSpaces 会为其 PCoIP 网关服务器使用较小范围的 Amazon EC2 公有 IP 地址。这样,您可以为用于访问 Amazon WorkSpaces 的设备设置更为精细的防火墙策略。

区域 公有 IP 地址范围
中国 (宁夏) 区域 52.83.58.0 - 52.83.58.255

网络接口

每个 WorkSpace 都有以下网络接口:

  • 主网络接口提供与您的 VPC 内的资源以及 Internet 的连接,并用于将 WorkSpace 加入目录。

  • 管理网络接口已连接到安全的 Amazon WorkSpaces 管理网络。它用于将 WorkSpace 桌面以交互方式流式传输到 Amazon WorkSpaces 客户端,并允许 Amazon WorkSpaces 管理 WorkSpace。

Amazon WorkSpaces 从多个地址范围中选择管理网络接口的 IP 地址,具体取决于创建 WorkSpace 的区域。目录注册后,Amazon WorkSpaces 会测试 VPC CIDR 和您的 VPC 中的路由表,以确定这些地址范围是否会发生冲突。如果区域中的所有可用地址范围存在冲突,则会显示一条错误消息,而且目录将无法注册。如果您在目录注册后更改了 VPC 中的路由表,则可能会导致冲突。

请勿修改或删除与 WorkSpace 相连接的任何网络接口。这样做可能会导致 WorkSpace 无法访问。

管理接口 IP 范围

下表列出了用于管理网络接口的 IP 地址范围。

区域 IP 地址范围

管理接口端口

以下端口在所有 WorkSpace 的管理网络接口上都必须处于打开状态:

  • 端口 4172 上的入站 TCP。它用于建立流式连接。

  • 端口 4172 上的入站 UDP。它用于流式用户输入。

  • 端口 4489 上的入站 TCP。这是通过 Web 客户端访问的。

  • 端口 8200 上的入站 TCP。它用于 WorkSpace 的管理和配置。

  • 出站 TCP 端口 8443 和 9997。这用于通过 Web 客户端访问。

  • 端口 3478 和 4172 上的出站 UDP。这用于通过 Web 客户端访问。

  • 端口 50002 和 55002 上的出站 UDP。它用于 PCoIP 流式传输。如果您的防火墙使用有状态筛选,则临时端口 50002 和 55002 会自动打开以允许返回通信。如果您的防火墙使用无状态筛选,则您需要打开临时端口 49152 至 65535 以允许返回通信。

  • 使用端口 80 通过出站 TCP 发送到 IP 地址 169.254.169.254,用于访问 EC2 元数据服务。分配给您的 WorkSpace 的任何 HTTP 代理中还必须排除 169.254.169.254。

  • 使用端口 1688 通过出站 TCP 发送到 IP 地址 169.254.169.250 和 169.254.169.251,以允许访问 Microsoft KMS 来激活 Windows 和 Office。

正常情况下,Amazon WorkSpaces 服务会为您的 WorkSpace 配置这些端口。如果 WorkSpace 上安装了任何拦截这些端口的安全或防火墙软件,则 WorkSpace 可能无法正常工作,或者可能无法连接。

主接口端口

不论您拥有哪种类型的目录,以下端口在所有 WorkSpace 的主网络接口上都必须打开:

  • 对于 Internet 连接,以下端口在出站至所有目的地和从 WorkSpace VPC 入站时必须处于打开状态。如果您希望它们能够访问 Internet,则需要将这些端口手动添加到您的 WorkSpace 的安全组。

    • TCP 80 (HTTP)

    • TCP 443 (HTTPS)

  • 要与目录控制器通信,以下端口必须在您的 WorkSpace VPC 与目录控制器之间处于打开状态。在 Simple AD 目录中,通过 AWS Directory Service 创建的安全组会将这些端口配置正确。对于 AD Connector 目录,您可能需要调整 VPC 的默认安全组才能打开这些端口。

    • TCP/UDP 53 - DNS

    • TCP/UDP 88 - Kerberos authentication

    • UDP 123 - NTP

    • TCP 135 - RPC

    • UDP 137-138 - Netlogon

    • TCP 139 - Netlogon

    • TCP/UDP 389 - LDAP

    • TCP/UDP 445 - SMB

    • TCP 1024-65535 - Dynamic ports for RPC

    如果 WorkSpace 上安装了任何拦截这些端口的安全或防火墙软件,则 WorkSpace 可能无法正常工作,或者可能无法连接。