Amazon WorkSpaces 的 IP 地址和端口要求
要连接到您的 WorkSpace,您的 Amazon WorkSpaces 客户端连接的网络必须对各种 AWS 服务(分为不同子集)的 IP 地址范围开放某些端口。这些地址范围因 AWS 区域而异。这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态。有关不同区域的 AWS IP 地址范围的更多信息,请参阅 Amazon Web Services 一般参考 中的 AWS IP 地址范围。
用于客户端应用程序的端口
Amazon WorkSpaces 客户端应用程序需要以下端口上的出站访问:
- 端口 443 (TCP)
-
此端口用于客户端应用程序更新、注册和身份验证。桌面客户端应用程序支持使用代理服务器处理端口 443 (HTTPS) 流量。要允许使用代理服务器,请打开客户端应用程序,依次选择 Advanced Settings 和 Use Proxy Server,指定代理服务器的地址和端口,然后选择 Save。
此端口必须对以下 IP 地址范围开放:
-
GLOBAL
区域中的AMAZON
子集。 -
WorkSpace 所在区域中的
AMAZON
子集。 -
us-east-1
区域中的AMAZON
子集。 -
us-west-2
区域中的AMAZON
子集。 -
us-west-2
区域中的S3
子集。
-
- 端口 4172 (UDP 和 TCP)
-
此端口用于流式处理 WorkSpace 桌面和运行状况检查。它必须对 WorkSpace 所在区域中的 PCoIP 网关 IP 地址范围和运行状况检查服务器开放。有关更多信息,请参阅 PCoIP 运行状况检查服务器 和 PCoIP 网关。
列入白名单的域和端口
为了使 Amazon WorkSpaces 客户端应用程序能够访问 Amazon WorkSpaces 服务,必须在客户端尝试访问服务的网络上将以下域和端口列入白名单。
列入白名单的域和端口
类别 | 白名单 |
---|---|
CAPTCHA | https://opfcaptcha-prod.s3.amazonaws.com/ |
客户端自动更新 | |
连接检查 | https://connectivity.amazonworkspaces.com/ |
设备指标 | https://device-metrics-us-2.amazon.com/ |
目录设置 |
在登录 WorkSpace 之前从客户端到客户目录的身份验证:
从 MacOS 客户端进行的连接:
客户目录设置:
客户目录级别联合品牌的登录页面图形:
用于设计登录页面的 CSS 文件:
|
Forrester 日志服务 | https://fls-na.amazon.com/ |
PCoIP 运行状况检查 (DRP) | PCoIP 运行状况检查服务器 |
PCoIP 会话网关 (PSG) | PCoIP 网关 |
注册依赖项 | https://s3.amazonaws.com |
会话代理 (PCM) | |
用户登录页面 | https://<目录 ID>.awsapps.com/(其中,<目录 ID> 是客户的域) |
Web 访问 TURN 服务器 | |
WS 代理 | |
WorkSpaces API 终端节点 |
PCoIP 运行状况检查服务器
Amazon WorkSpaces 客户端应用程序通过端口 4172 执行 PCoIP 运行状况检查。这样可以验证 TCP 或 UDP 流量是否从 Amazon WorkSpaces 服务器到客户端应用程序进行流式处理。要成功执行此操作,您的防火墙策略必须考虑以下区域 PCoIP 运行状况检查服务器。
区域 | 运行状况检查服务器 |
---|
PCoIP 网关
Amazon WorkSpaces 使用 PCoIP 通过端口 4172 将桌面会话流式传输到客户端。Amazon WorkSpaces 会为其 PCoIP 网关服务器使用较小范围的 Amazon EC2 公有 IP 地址。这样,您可以为用于访问 Amazon WorkSpaces 的设备设置更为精细的防火墙策略。
区域 | 公有 IP 地址范围 |
---|---|
中国 (宁夏) 区域 | 52.83.58.0 - 52.83.58.255 |
网络接口
每个 WorkSpace 都有以下网络接口:
-
主网络接口提供与您的 VPC 内的资源以及 Internet 的连接,并用于将 WorkSpace 加入目录。
-
管理网络接口已连接到安全的 Amazon WorkSpaces 管理网络。它用于将 WorkSpace 桌面以交互方式流式传输到 Amazon WorkSpaces 客户端,并允许 Amazon WorkSpaces 管理 WorkSpace。
Amazon WorkSpaces 从多个地址范围中选择管理网络接口的 IP 地址,具体取决于创建 WorkSpace 的区域。目录注册后,Amazon WorkSpaces 会测试 VPC CIDR 和您的 VPC 中的路由表,以确定这些地址范围是否会发生冲突。如果区域中的所有可用地址范围存在冲突,则会显示一条错误消息,而且目录将无法注册。如果您在目录注册后更改了 VPC 中的路由表,则可能会导致冲突。
请勿修改或删除与 WorkSpace 相连接的任何网络接口。这样做可能会导致 WorkSpace 无法访问。
管理接口 IP 范围
下表列出了用于管理网络接口的 IP 地址范围。
区域 | IP 地址范围 |
---|
管理接口端口
以下端口在所有 WorkSpace 的管理网络接口上都必须处于打开状态:
-
端口 4172 上的入站 TCP。它用于建立流式连接。
-
端口 4172 上的入站 UDP。它用于流式用户输入。
-
端口 4489 上的入站 TCP。这是通过 Web 客户端访问的。
-
端口 8200 上的入站 TCP。它用于 WorkSpace 的管理和配置。
-
出站 TCP 端口 8443 和 9997。这用于通过 Web 客户端访问。
-
端口 3478 和 4172 上的出站 UDP。这用于通过 Web 客户端访问。
-
端口 50002 和 55002 上的出站 UDP。它用于 PCoIP 流式传输。如果您的防火墙使用有状态筛选,则临时端口 50002 和 55002 会自动打开以允许返回通信。如果您的防火墙使用无状态筛选,则您需要打开临时端口 49152 至 65535 以允许返回通信。
-
使用端口 80 通过出站 TCP 发送到 IP 地址 169.254.169.254,用于访问 EC2 元数据服务。分配给您的 WorkSpace 的任何 HTTP 代理中还必须排除 169.254.169.254。
-
使用端口 1688 通过出站 TCP 发送到 IP 地址 169.254.169.250 和 169.254.169.251,以允许访问 Microsoft KMS 来激活 Windows 和 Office。
正常情况下,Amazon WorkSpaces 服务会为您的 WorkSpace 配置这些端口。如果 WorkSpace 上安装了任何拦截这些端口的安全或防火墙软件,则 WorkSpace 可能无法正常工作,或者可能无法连接。
主接口端口
不论您拥有哪种类型的目录,以下端口在所有 WorkSpace 的主网络接口上都必须打开:
-
对于 Internet 连接,以下端口在出站至所有目的地和从 WorkSpace VPC 入站时必须处于打开状态。如果您希望它们能够访问 Internet,则需要将这些端口手动添加到您的 WorkSpace 的安全组。
-
TCP 80 (HTTP)
-
TCP 443 (HTTPS)
-
-
要与目录控制器通信,以下端口必须在您的 WorkSpace VPC 与目录控制器之间处于打开状态。在 Simple AD 目录中,通过 AWS Directory Service 创建的安全组会将这些端口配置正确。对于 AD Connector 目录,您可能需要调整 VPC 的默认安全组才能打开这些端口。
-
TCP/UDP 53 - DNS
-
TCP/UDP 88 - Kerberos authentication
-
UDP 123 - NTP
-
TCP 135 - RPC
-
UDP 137-138 - Netlogon
-
TCP 139 - Netlogon
-
TCP/UDP 389 - LDAP
-
TCP/UDP 445 - SMB
-
TCP 1024-65535 - Dynamic ports for RPC
如果 WorkSpace 上安装了任何拦截这些端口的安全或防火墙软件,则 WorkSpace 可能无法正常工作,或者可能无法连接。
-