本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
WorkSpaces 个人的 IP 地址和端口要求
要连接到您的 WorkSpaces,您的 WorkSpaces 客户端所连接的网络必须为各种 Amazon 服务的 IP 地址范围(按子集分组)开放某些端口。这些地址范围因 Amazon 地区而异。这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态。有关不同区域的 Amazon IP 地址范围的更多信息,请参阅中的 Amazon IP 地址范围Amazon Web Services 一般参考。
有关其他架构图,请参阅部署 Amazon 的最佳实践 WorkSpaces。
用于客户端应用程序的端口
WorkSpaces 客户端应用程序需要通过以下端口进行出站访问:
- 端口 53 (UDP)
-
此端口用于访问 DNS 服务器。它必须对您的 DNS 服务器 IP 地址开放,以使客户端可以解析公有域名。如果您不使用 DNS 服务器进行域名解析,则此端口要求是可选的。
- 端口 443 (UDP 和 TCP)
-
此端口用于客户端应用程序更新、注册和身份验证。桌面客户端应用程序支持使用代理服务器处理端口 443 (HTTPS) 流量。要允许使用代理服务器,请打开客户端应用程序,依次选择 Advanced Settings 和 Use Proxy Server,指定代理服务器的地址和端口,然后选择 Save。
此端口必须对以下 IP 地址范围开放:
-
所在区域中的
AMAZONWorkSpace 子集。
-
- 端口 4172 (UDP 和 TCP)
-
此端口用于流式传输 WorkSpace 桌面和 PCo WorkSpaces IP 的运行状况检查。此端口必须向 PCoIP 网关及其所在区域的运行状况检查服务器开放。 WorkSpace 有关更多信息,请参阅运行状况检查服务器和PCoIP 网关服务器。
对于 PCoIP WorkSpaces,桌面客户端应用程序不支持使用代理服务器,也不支持 TLS 解密和检查 UDP 中的端口 4172 流量(用于桌面流量)。它们需要直接连接到端口 4172。
- 端口 50002 和 55002 (UDP)
-
PCoIP 客户端在端口 50002 和 55002 上启动出站 UDP 通信以进行流式传输。确保客户端的本地防火墙或网络允许这些端口上的出站 UDP 流量。如果端口 50002 和 55002 上的出站 UDP 在客户端被阻止,则用户在连接到他们的端口时可能会遇到黑屏问题。 WorkSpaces
如果您的防火墙使用状态过滤,则会自动允许在临时端口 50002 和 55002 上返回流量。如果您的防火墙使用无状态筛选,则必须打开临时端口 49152—65535 才能允许返回通信。
- 端口 4195(UDP 和 TCP)
此端口用于流式传输 WorkSpace 桌面和 DCV WorkSpaces 的运行状况检查。此端口必须向 DCV 网关 IP 地址范围和所在区域中的运行状况检查服务器开放。 WorkSpace 有关更多信息,请参阅运行状况检查服务器和DCV 网关服务器。
对于 DCV WorkSpaces, WorkSpaces Windows 客户端应用程序(版本 5.1 及更高版本)和 macOS 客户端应用程序(版本 5.4 及更高版本)支持对端口 4195 的 TCP 流量使用 HTTP 代理服务器,但不建议使用代理。不支持 TLS 解密和检查。有关更多信息,请参阅为 Windows WorkSpaces、Amazon Linux WorkSpaces 和 Ubuntu WorkSpaces 配置用于互联网访问的设备代理服务器设置。
注意
-
如果防火墙使用有状态筛选功能,则会自动打开临时(也称为动态)端口,以便允许返回通信。如果您的防火墙使用无状态筛选功能,则需要明确打开临时端口,以便允许返回通信。根据您的配置,需要打开的临时端口范围有所不同。
-
UDP 流量不支持代理服务器功能。如果您选择使用代理服务器,则客户端应用程序对 Amazon WorkSpaces 服务进行的 API 调用也会被代理。API 调用和桌面流量都应通过同一个代理服务器。
-
为了获得最佳性能, WorkSpaces 客户端应用程序首先尝试使用 UDP (QUIC) 进行流式传输。如果客户端网络仅允许 TCP,则将使用 TCP。 WorkSpaces Web 客户端将通过 TCP 端口 4195 或 443 进行连接。如果端口 4195 被屏蔽,则客户端将仅尝试通过端口 443 进行连接。
要添加到允许列表的域和 IP 地址
要使 WorkSpaces 客户端应用程序能够访问该 WorkSpaces 服务,必须将以下域和 IP 地址添加到客户端尝试访问服务的网络上的允许列表中。
| 类别 | 域或 IP 地址 |
|---|---|
| 客户端 Auto-update |
|
| 连接检查 |
https://connectivity.amazonworkspaces.awsapps.cn |
| 客户端指标(适用于 3.0 及以上的 WorkSpaces 客户端应用程序) |
|
| 动态消息服务(适用于 3.0 以上的 WorkSpaces 客户端应用程序) |
|
| 目录设置 |
在中国(宁夏)区域:
|
| 运行状况检查 (DRP) 服务器 | 运行状况检查服务器 |
| 用户登录页面 | |
| WS 代理 | |
| WorkSpaces API 端点 |
|
| WorkSpaces SAML 单个 Sign-On (SSO) 的终端节点 |
| 类别 | 域或 IP 地址 |
|---|---|
| PCoIP 会话网关 (PSG) | PCoIP 网关服务器 |
| 会话代理 (PCM) |
|
运行状况检查服务器
WorkSpaces 客户端应用程序通过端口 4172 和 4195 执行运行状况检查。这些检查验证 TCP 还是 UDP 流量是从 WorkSpaces 服务器流向客户端应用程序。要成功完成这些检查,您的防火墙策略必须允许指向以下区域运行状况检查服务器的 IP 地址的出站流量。
| Region | 运行状况检查主机名 | IP 地址 |
|---|---|---|
| 中国(宁夏) | drp-zhy.amazonworkspaces.com |
52.82.90.186 52.83.43.32 52.83.110.158 52.83.248.61 |
PCoIP 网关服务器
WorkSpaces 使用 PCoIP 通过端口 4172 将桌面会话流式传输到客户端。对于其 PCoIP 网关服务器, WorkSpaces 使用少量亚马逊 EC2 公有 IPv4 和 IPv6 地址。这样,您可以为用于访问 WorkSpaces 的设备设置更为精细的防火墙策略。请注意,当支持 IPv6 并且可以访问网关时, WorkSpaces 客户端会优先考虑 IPv6 连接。如果 IPv6 不可用,它将回退到 IPv4。
| Region | 区域代码 | 公有 IP 地址范围 |
|---|---|---|
| 中国(宁夏) |
52.83.58.0 - 52.83.58.255 69.235.162.0 - 69.235.162.255 |
DCV 网关服务器
重要
从 2020 年 6 月开始,通过端口 4195 而不是端口 4172 WorkSpaces 将 DCV 的桌面会话 WorkSpaces 流式传输到客户端。如果要使用 DCV WorkSpaces,请确保端口 4195 已通信。
注意
对于非 BYOL WorkSpaces 池,无法保证 IP 地址范围。您必须将 DCV 网关域名列入许可名单。有关更多信息,请参阅 DCV 网关域名。
WorkSpaces 为其 DCV 网关服务器使用少量的 Amazon EC2 公有 IPv4 和 IPv6 地址。这使您能够为访问 WorkSpaces的设备设置更精细的防火墙策略。 WorkSpaces 为专用的 Amazon 全球加速器 (AGA) 端点使用单独的公有 IPv4 地址范围。如果您计划为自己启用 AGA,请务必将防火墙策略配置为允许名单 IP 范围。 WorkSpaces请注意,当支持 IPv6 并且可以访问网关时, WorkSpaces 客户端会优先考虑 IPv6 连接。如果 IPv6 不可用,它将回退到 IPv4。
如果您使用 AGA + IPv6,则需要将该 GLOBALACCELERATOR 范围中的 IPv6 CIDR 范围列入许可名单。有关更多信息,请参阅《Amazon Global Accelerator 开发人员指南》中的 Global Accelerator 边缘服务器的位置和 IP 地址范围。
| Region | 区域代码 | 公有 IP 地址范围 |
|---|---|---|
| 中国(宁夏) |
43.192.144。 0/22 2404:c2c0:c008:: /48 |
DCV 网关域名
下表列出了 DCV WorkSpace 网关域名。这些域必须是可联系的, WorkSpaces 客户端应用程序才能访问 WorkSpace DCV 服务。
| Region | 域: |
|---|---|
| 中国(宁夏) | *.prod.cn-northwest-1.highlander.aws.a2z.org.cn |
DCV PrivateLink 域名
如果您使用 VPC 终端节点进行 WorkSpaces 流式传输,则必须允许以下域名通过您的防火墙或代理。<region>替换为您所在 Amazon 的地区(例如 us-east-1)。
| DNS 名称类型 | 域: |
|---|---|
| 唯一可公开解析的 DNS 名称 | *.prod.Highlander。 <region>.vpce.amazonaws.com.cn |
| 通用私有 DNS 名称 | privatelink.prod。 <region>.highlander.aws.a2z.org.cn |
网络接口
每个 WorkSpace 都有以下网络接口:
-
主网络接口 (eth1) 提供与您的 VPC 内和互联网上的资源的连接,并用于加入目录。 WorkSpace
-
管理网络接口 (eth0) 已连接到安全的 WorkSpaces 管理网络。它用于将 WorkSpace桌面以交互方式流式传输到 WorkSpaces 客户端,并允许 WorkSpaces 管理 WorkSpace。
WorkSpaces 根据创建管理网络接口的区域,从不同的地址范围中选择管理网络接口 WorkSpaces 的 IP 地址。注册目录后, WorkSpaces 测试您的 VPC CIDR 和您的 VPC 中的路由表,以确定这些地址范围是否会造成冲突。如果区域中的所有可用地址范围存在冲突,则会显示一条错误消息,而且目录将无法注册。如果您在目录注册后更改了 VPC 中的路由表,则可能会导致冲突。
警告
请勿修改或删除连接到的任何网络接口 WorkSpace。这样做可能会导致无法 WorkSpace 访问或无法访问互联网。例如,如果您在目录级别启用了弹性 IP 地址的自动分配,则会在启动 WorkSpace时为您分配弹性 IP 地址(来自 Amazon-provided 池中)。但是,如果您将自己拥有的弹性 IP 地址关联到 WorkSpace,然后又将该弹性 IP 地址与解除关联 WorkSpace,则该弹性 IP 地址将 WorkSpace 丢失其公有 IP 地址,并且不会自动从 Amazon-provided 池中获取新的 IP 地址。
要将 Amazon-provided 池中的新公有 IP 地址与关联 WorkSpace,必须重新构建 WorkSpace。如果您不想重建 WorkSpace,则必须将您拥有的另一个弹性 IP 地址与关联起来 WorkSpace。
管理接口 IP 范围
下表列出了用于管理网络接口的 IP 地址范围。
| Region | IP 地址范围 |
|---|---|
| 中国(宁夏) | PCoIP/WSP: 198.19.0。 0/16 WSP:10.0.0。 0/8 |
管理接口端口
必须在所有人的管理网络接口上打开以下端口 WorkSpaces:
-
端口 4172 上的入站 TCP。用于基于 PCoIP 协议建立流式连接。
-
端口 4172 上的入站 UDP。用于基于 PCoIP 协议流式传输用户输入。
-
端口 4489 上的入站 TCP。这用于通过 Web 客户端访问。
-
端口 8200 上的入站 TCP。这用于管理和配置 WorkSpace。
-
端口 8201-8250 上的入站 TCP。这些端口用于建立流式连接以及基于 DCV 协议流式传输用户输入。
-
端口 8220 上的入站 UDP。此端口用于建立流式连接以及基于 DCV 协议流式传输用户输入
-
出站 TCP 端口 8443 和 9997。这用于通过 Web 客户端访问。
-
端口 3478、4172 和 4195 上的出站 UDP。这用于通过 Web 客户端访问。
-
端口 80(如管理接口 IP 范围中所定义)的出站 TCP 到 IP 地址 169.254.169.254,以访问 EC2 元数据服务。分配给您的任何 HTTP 代理还 WorkSpaces 必须排除 169.254.169.254。
-
使用端口 1688 通过出站 TCP 将流量发送到 IP 地址 169.254.169.250 和 169.254.169.251,以允许针对基于公共捆绑包的 WorkSpaces 通过访问 Microsoft KMS 来激活 Windows。如果你使用的是自带许可证 (BYOL) Windows WorkSpaces,则必须允许访问自己的 KMS 服务器才能激活 Windows。
-
端口 1688 上的出站 TCP 到 IP 地址 54.239.236.220,允许访问微软 KMS 进行 Office 激活 BYOL。 WorkSpaces
如果你通过其中一个 WorkSpaces 公共捆绑包使用 Office,则用于激活 Office 的 Microsoft KMS 的 IP 地址会有所不同。要确定该 IP 地址,请找到的管理接口的 IP 地址 WorkSpace,然后将最后两个二进制八位数替换为。
64.250例如,如果管理接口的 IP 地址为 192.168.3.5,则用于激活 Office 的 Microsoft KMS 的 IP 地址为 192.168.64.250。 -
当 WorkSpace 主机配置为使用代理服务器 WorkSpaces 时,DCV 的出站 TCP 到 IP 地址 127.0.0.2。
-
源自环回地址 127.0.01 的通信。
在正常情况下,该 WorkSpaces 服务会为您 WorkSpaces配置这些端口。如果安装了任何安全软件或防火墙软件 WorkSpace 来阻塞这些端口中的任何一个,则 WorkSpace 可能无法正常运行或无法访问。
主接口端口
无论您使用哪种类型的目录,都必须在所有目录的主网络接口上打开以下端口 WorkSpaces:
-
要进行互联网连接,以下端口必须开放到所有目的地的出站端口和从 WorkSpaces VPC 入站的端口。如果您想让他们能够访问互联网, WorkSpaces 则需要手动将它们添加到您的安全组中。
-
TCP 80 (HTTP)
-
TCP 443 (HTTPS)
-
-
要与目录控制器通信,必须打开您的 WorkSpaces VPC 和目录控制器之间的以下端口。对于 Simple AD 目录,由创建的安全组 Amazon Directory Service 将正确配置这些端口。对于 AD Connector 目录,您可能需要调整 VPC 的默认安全组才能打开这些端口。
-
TCP/UDP 53-DNS
-
TCP/UDP 88-Kerberos 身份验证
-
UDP 123 - NTP
-
TCP 135 - RPC
-
UDP 137-138 - Netlogon
-
TCP 139 - Netlogon
-
TCP/UDP 389-LDAP
-
TCP/UDP 445-SMB
-
TCP/UDP 636-LDAPS(LDAP 已结束) TLS/SSL
-
TCP 1024-65535 - RPC 动态端口
-
TTCP 3268-3269 - 全局目录
如果安装了任何安全软件或防火墙软件 WorkSpace 来阻塞这些端口中的任何一个,则 WorkSpace 可能无法正常运行或无法访问。
-