用于客户端应用程序的端口要添加到允许列表的域和 IP 地址运行状况检查服务器 PCoIP网关服务器 DCV网关服务器 DCV网关域名网络接口

WorkSpaces 个人的 IP 地址和端口要求

要连接到您的 WorkSpaces，您的 WorkSpaces 客户端所连接的网络必须为各种 Amazon 服务的 IP 地址范围（按子集分组）开放某些端口。这些地址范围因 Amazon 地区而异。这些相同端口还必须在客户端上运行的任何防火墙上处于打开状态。有关不同区域的 Amazon IP 地址范围的更多信息，请参阅中的 Amazon IP 地址范围Amazon Web Services 一般参考。

有关其他架构图，请参阅部署 Amazon 的最佳实践 WorkSpaces。

用于客户端应用程序的端口

WorkSpaces 客户端应用程序需要通过以下端口进行出站访问：

端口 53 (UDP)

此端口用于访问DNS服务器。它必须对您的DNS服务器 IP 地址开放，这样客户端才能解析公共域名。如果您不使用DNS服务器进行域名解析，则此端口要求是可选的。

端口 443 () TCP

此端口用于客户端应用程序更新、注册和身份验证。桌面客户端应用程序支持使用代理服务器处理端口 443 (HTTPS) 流量。要允许使用代理服务器，请打开客户端应用程序，依次选择 Advanced Settings 和 Use Proxy Server，指定代理服务器的地址和端口，然后选择 Save。

此端口必须对以下 IP 地址范围开放：

所在区域中的AMAZON WorkSpace 子集。

端口 4172（UDP和TCP）

此端口用于流式传输 WorkSpace 桌面和运行状况检查PCoIP WorkSpaces。此端口必须向PCoIP网关及其所在区域的运行状况检查服务器开放。 WorkSpace 有关更多信息，请参阅运行状况检查服务器和PCoIP网关服务器。

对于 PCoIP WorkSpaces，桌面客户端应用程序不支持使用代理服务器，也不支持对端口 4172 流量UDP（用于桌面流量）进行TLS解密和检查。它们需要直接连接到端口 4172。

端口 4195（UDP和TCP）

此端口用于流式传输 WorkSpace 桌面和运行状况检查DCV WorkSpaces。此端口必须向DCV网关 IP 地址范围和所在区域中的运行状况检查服务器开放。 WorkSpace 有关更多信息，请参阅运行状况检查服务器和DCV网关服务器。

对于 DCV WorkSpaces， WorkSpaces Windows 客户端应用程序（版本 5.1 及更高版本）和 macOS 客户端应用程序（版本 5.4 及更高版本）支持对端口 4195 TCP 流量使用HTTP代理服务器，但不建议使用代理。TLS不支持解密和检查。有关更多信息，请参阅为 Windows WorkSpaces、Amazon Linux WorkSpaces 和 Ubuntu WorkSpaces 配置用于互联网访问的设备代理服务器设置。

注意

如果防火墙使用有状态筛选功能，则会自动打开临时（也称为动态）端口，以便允许返回通信。如果您的防火墙使用无状态筛选功能，则需要明确打开临时端口，以便允许返回通信。根据您的配置，需要打开的临时端口范围有所不同。
UDP流量不支持代理服务器功能。如果您选择使用代理服务器，则客户端应用程序对 Amazon WorkSpaces 服务发出的API调用也会被代理。API呼叫和桌面流量都应通过同一个代理服务器。

要添加到允许列表的域和 IP 地址

要使 WorkSpaces 客户端应用程序能够访问该 WorkSpaces 服务，必须将以下域和 IP 地址添加到客户端尝试访问服务的网络上的允许列表中。

要添加到允许列表的域和 IP 地址
类别	域或 IP 地址
客户端自动更新	在中国（宁夏）区域： https://workspaces-client-updates.s3.cn-northwest-1.amazonaws.com.cn
连接检查	https://connectivity.amazonworkspaces.awsapps.cn
客户端指标（适用于 3.0 及以上的 WorkSpaces 客户端应用程序）	域: https://skylight-client-ds.us-east-1.amazonaws.com https://skylight-client-ds.us-west-2.amazonaws.com https://skylight-client-ds.ap-south-1.amazonaws.com https://skylight-client-ds.ap-northeast-2.amazonaws.com https://skylight-client-ds.ap-southeast-1.amazonaws.com https://skylight-client-ds.ap-southeast-2.amazonaws.com https://skylight-client-ds.ap-northeast-1.amazonaws.com https://skylight-client-ds.ca-central-1.amazonaws.com https://skylight-client-ds.eu-central-1.amazonaws.com https://skylight-client-ds.eu-west-1.amazonaws.com https://skylight-client-ds.eu-west-2.amazonaws.com https://skylight-client-ds.sa-east-1.amazonaws.com https://skylight-client-ds.af-south-1.amazonaws.com https://skylight-client-ds.il-central-1.amazonaws.com 在 Amazon GovCloud （美国西部）区域： https://skylight-client-ds.us-gov-west-1.amazonaws.com 在 Amazon GovCloud （美国东部）区域： https://skylight-client-ds.us-gov-east-1.amazonaws.com 在中国（宁夏）区域： https://skylight-client-ds.cn-northwest-1.amazonaws.com.cn
动态消息服务（适用于 3.0 以上的 WorkSpaces 客户端应用程序）	域: https://ws-client-service.us-east-1.amazonaws.com https://ws-client-service.us-west-2.amazonaws.com https://ws-client-service.ap-south-1.amazonaws.com https://ws-client-service.ap-northeast-2.amazonaws.com https://ws-client-service.ap-southeast-1.amazonaws.com https://ws-client-service.ap-southeast-2.amazonaws.com https://ws-client-service.ap-northeast-1.amazonaws.com https://ws-client-service.ca-central-1.amazonaws.com https://ws-client-service.eu-central-1.amazonaws.com https://ws-client-service.eu-west-1.amazonaws.com https://ws-client-service.eu-west-2.amazonaws.com https://ws-client-service.sa-east-1.amazonaws.com https://ws-client-service.af-south-1.amazonaws.com https://ws-client-service.il-central-1.amazonaws.com 在 Amazon GovCloud （美国西部）区域： https://ws-client-service.us-gov-west-1.amazonaws.com 在 Amazon GovCloud （美国东部）区域： https://ws-client-service.us-gov-east-1.amazonaws.com 在中国（宁夏）区域： https://ws-client-service.cn-northwest-1.amazonaws.com.cn
目录设置	在中国（宁夏）区域：客户目录设置： https://workspaces-clients-properties.s3.cn-northwest-1.amazonaws.com.cn 客户目录级别联合品牌的登录页面图形： https://workspaces-client-assets.s3.cn-northwest-1.amazonaws.com.cn CSS用于设置登录页面样式的文件： https://workspaces-clients-css.s3.cn-northwest-1.amazonaws.com.cn/workspaces_v3.css
Health Check (DRP) 服务器	运行状况检查服务器
用户登录页面	<directory id><directory id>/https://warpspeed.cn-northwest-1.amazonaws.com <directory id><directory id>
WS 代理	中国（宁夏）区域： https://ws-broker-service.cn-northwest-1.amazonaws.com.cn
WorkSpaces API端点	中国（宁夏）区域： https:// workspaces.cn-northwest-1.amazonaws.com.cn
WorkSpaces SAML单点登录终端节点 () SSO	域: https://euc-sso-sm.us-east-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm-fips.us-east-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm.us-west-2.amazonaws.com/v1/报告心跳 https://euc-sso-sm-fips.us-west-2.amazonaws.com/v1/报告心跳 https://euc-sso-sm.ap-south-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm.ap-northeast-2.amazonaws.com/v1/报告心跳 https://euc-sso-sm.ap-southeast-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm.ap-southeast-2.amazonaws.com/v1/报告心跳 https://euc-sso-sm.ap-northeast-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm.eu-central-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm.eu-west-2.amazonaws.com/v1/报告心跳 https://euc-sso-sm.af-south-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm.il-central-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm.us-gov-west-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm-fips.us-gov-west-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm.us-gov-east-1.amazonaws.com/v1/报告心跳 https://euc-sso-sm-fips.us-gov-east-1.amazonaws.com/v1/报告心跳

要添加到允许列表中的域名和 IP 地址 PCoIP
类别	域或 IP 地址
PCoIP会话网关 (PSG)	PCoIP网关服务器
会话经纪人 (PCM)	中国（宁夏）区域： https://skylight-cm.cn-northwest-1.amazonaws.com.cn

运行状况检查服务器

WorkSpaces 客户端应用程序通过端口 4172 和 4195 执行运行状况检查。这些检查验证UDP流量TCP是否从 WorkSpaces 服务器流向客户端应用程序。要成功完成这些检查，您的防火墙策略必须允许指向以下区域运行状况检查服务器的 IP 地址的出站流量。

区域	运行状况检查主机名	IP 地址
中国（宁夏）	drp-zhy.amazonworkspaces.com	52.82.90.186 52.83.43.32 52.83.110.158 52.83.248.61

区域

运行状况检查主机名

IP 地址

中国（宁夏）

drp-zhy.amazonworkspaces.com

52.82.90.186

52.83.43.32

52.83.110.158

52.83.248.61

PCoIP网关服务器

WorkSpaces PCoIP用于通过端口 4172 将桌面会话流式传输到客户端。对于其PCoIP网关服务器， WorkSpaces 使用少量的 Amazon EC2 公共IPv4地址。这使您能够为访问 WorkSpaces的设备设置更精细的防火墙策略。请注意， WorkSpaces 客户端目前不支持将IPv6地址作为连接选项。

区域	公有 IP 地址范围
中国（宁夏）	52.83.58.0 - 52.83.58.255 69.235.162.0-69.235.162.255

区域

公有 IP 地址范围

中国（宁夏）

52.83.58.0 - 52.83.58.255

69.235.162.0-69.235.162.255

DCV网关服务器

重要

从 2020 年 6 月开始，通过端口 4195 而不是端口 4172 将桌面会话 WorkSpaces 流式传输DCV WorkSpaces到客户端。如果要使用 DCV WorkSpaces，请确保端口 4195 已通信。

WorkSpaces 为其DCV网关服务器使用少量的 Amazon EC2 公有IPv4地址。这使您能够为访问 WorkSpaces的设备设置更精细的防火墙策略。请注意， WorkSpaces 客户端目前不支持将IPv6地址作为连接选项。

区域	公有 IP 地址范围
中国（宁夏）	140.65.96.0/22

DCV网关域名

下表列出了DCV WorkSpace 网关域名。这些域必须是可联系的，只有这样， WorkSpaces 客户端应用程序才能访问该 WorkSpace DCV服务。

区域	域
中国（宁夏）	不支持此区域DCV。

网络接口

每个 WorkSpace 都有以下网络接口：

主网络接口 (eth1) 提供VPC与您和 Internet 上的资源的连接，并用于加入目录。 WorkSpace
管理网络接口 (eth0) 连接到安全的 WorkSpaces管理网络。它用于将 WorkSpace桌面以交互方式流式传输到 WorkSpaces 客户端，并允许 WorkSpaces 管理 WorkSpace。

WorkSpaces 根据创建管理网络接口的区域，从不同的地址范围中选择管理网络接口 WorkSpaces 的 IP 地址。注册目录后， WorkSpaces 测试您的VPCCIDR和路由表，VPC以确定这些地址范围是否会造成冲突。如果区域中的所有可用地址范围存在冲突，则会显示一条错误消息，而且目录将无法注册。如果在目录注册VPC后更改了中的路由表，则可能会导致冲突。

警告

请勿修改或删除连接到的任何网络接口 WorkSpace。这样做可能会导致无法 WorkSpace 访问或无法访问互联网。例如，如果您在目录级别启用了弹性 IP 地址的自动分配，则会在启动弹性 IP 地址（来自亚马逊提供的地址池） WorkSpace时分配给您。但是，如果您将自己拥有的弹性 IP 地址关联到 WorkSpace，然后又将该弹性 IP 地址与解除关联 WorkSpace，则该弹性 IP 地址将 WorkSpace 丢失其公有 IP 地址，并且不会自动从亚马逊提供的池中获取新的 IP 地址。

要将亚马逊提供的资源池中的新公有 IP 地址与相关联 WorkSpace，您必须重新构建。 WorkSpace如果您不想重建 WorkSpace，则必须将您拥有的另一个弹性 IP 地址与关联起来 WorkSpace。

管理接口 IP 范围

下表列出了用于管理网络接口的 IP 地址范围。

区域	IP 地址范围
中国（宁夏）	198.19.0.0/16

管理接口端口

必须在所有人的管理网络接口上打开以下端口 WorkSpaces：

TCP在端口 4172 上入站。这用于在PCoIP协议上建立流媒体连接。
UDP在端口 4172 上入站。这用于流式传输用户对PCoIP协议的输入。
通过端口 4489 入站TCP。这用于通过 Web 客户端访问。
TCP在端口 8200 上入站。这用于管理和配置 WorkSpace。
TCP在端口 8201-8250 上入站。这些端口用于建立流媒体连接和流式传输用户对DCV协议的输入。
UDP在端口 8220 上入站。此端口用于建立流媒体连接和流式传输用户对DCV协议的输入
TCP在端口 8443 和 9997 上出站。这用于通过 Web 客户端访问。
UDP在端口 3478、4172 和 4195 上出站。这用于通过 Web 客户端访问。
UDP在端口 50002 和 55002 上出站。用于流式传输。如果您的防火墙使用有状态筛选，则临时端口 50002 和 55002 会自动打开以允许返回通信。如果您的防火墙使用无状态筛选，则需要打开临时端口 49152 至 65535，以便允许返回通信。
TCP根据管理接口 IP 范围中的定义，在端口 80 上出站到 IP 地址 169.254.169.254，以访问元数据服务。EC2分配给您的任何HTTP代理还 WorkSpaces 必须排除 169.254.169.254。
通过端口 1688 出站到 IP 地址 169.254.169.250 和 169.254.169.251，允许访问微KMS软进行TCP基于公共捆绑包的工作空间的 Windows 激活。如果你使用的是自带许可证 (BYOL) Windows WorkSpaces，则必须允许访问自己的KMS服务器才能激活 Windows。
通过端口 1688 出站TCP到 IP 地址 54.239.236.220，允许访问微软进行办公激活。KMS BYOL WorkSpaces

如果你通过其中一个 WorkSpaces 公共捆绑包使用 Office，那么用于激活 Office 的微软KMS的 IP 地址会有所不同。要确定该 IP 地址，请找到的管理接口的 IP 地址 WorkSpace，然后将最后两个二进制八位数替换为。64.250例如，如果管理接口的 IP 地址为 192.168.3.5，则微软 KMS Office 激活的 IP 地址为 192.168.64.250。
当 WorkSpace 主机配置为使用代理服务器DCV WorkSpaces 时，出站TCP到 IP 地址 127.0.0.2。
源自环回地址 127.0.01 的通信。

在正常情况下，该 WorkSpaces 服务会为您 WorkSpaces配置这些端口。如果安装了任何安全软件或防火墙软件 WorkSpace 来阻塞这些端口中的任何一个，则 WorkSpace 可能无法正常运行或无法访问。

主接口端口

无论您使用哪种类型的目录，都必须在所有目录的主网络接口上打开以下端口 WorkSpaces：

要连接互联网，以下端口必须开放到所有目的地的出站端口和从的入站端口 WorkSpaces VPC。如果您想让他们能够访问互联网， WorkSpaces 则需要手动将它们添加到您的安全组中。
- TCP80 (HTTP)
- TCP443 () HTTPS
要与目录控制器通信，您 WorkSpaces VPC和您的目录控制器之间必须打开以下端口。对于 Simple AD 目录，由创建的安全组 Amazon Directory Service 将正确配置这些端口。对于 AD Connector 目录，您可能需要调整默认安全组VPC才能打开这些端口。
- TCP/UDP53-DNS
- TCP/UDP88-Kerberos 身份验证
- UDP123-NTP
- TCP135-RPC
- UDP137-138-Netlogon
- TCP139-Netlogon
- TCP/UDP389-LDAP
- TCP/UDP445-SMB
- TCP/UDP636-LDAPS (LDAP结束TLS/SSL)
- TCP1024-65535-动态端口 RPC
如果安装了任何安全软件或防火墙软件 WorkSpace 来阻塞这些端口中的任何一个，则 WorkSpace 可能无法正常运行或无法访问。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

的可用区 WorkSpaces

网络要求