WWW.BOOK.LIB-I.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные ресурсы
 

«Сетевой доступ, службы каталогов и безопасность Июль 2016 г. AWS. Рекомендации по развертыванию Amazon WorkSpaces Июль 2016 г. © Amazon Web ...»

Рекомендации по развертыванию

Amazon WorkSpaces

Сетевой доступ, службы каталогов и безопасность

Июль 2016 г.

AWS. Рекомендации по развертыванию Amazon WorkSpaces Июль 2016 г.

© Amazon Web Services, Inc. или ее аффилированные компании, 2016 г.

Все права защищены.

Уведомления

Этот документ предоставляется исключительно в информационных целях.

В нем представлены текущие предложения продуктов и практики AWS,

актуальные на дату публикации, которые могут меняться без предварительного уведомления. Клиентам необходимо провести собственную независимую оценку представленной в документе информации и возможности использования продуктов и услуг AWS любым способом. Указанные информация, продукты и услуги предоставляются «как есть», без какой-либо явной или подразумеваемой гарантии. Данный документ не создает никаких гарантий, контрактных обязательств и иных обязательств, условий или заверений от AWS, ее дочерних организаций, поставщиков или лицензиатов. Обязанности и финансовые обязательства AWS в отношении клиентов компании регулируются соглашениями AWS.

Данный документ не является таким соглашением, а также не вносит изменения в какие-либо соглашения, заключенные между компанией AWS и ее клиентами.

Страница 2 из 46 AWS. Рекомендации по развертыванию Amazon WorkSpaces Июль 2016 г.

Содержание Резюме 4 Введение 4 Требования WorkSpaces 5 Несколько слов о сетях 6 Проектирование VPC 7 Поток трафика 9 Пример типичной конфигурации 13 AWS Directory Service 17 Сценарии развертывания AD DS 18 Некоторые аспекты проектирования 27 Multi-Factor Authentication (MFA) 33 Безопасность 35 Шифрование данных во время передачи 35 Сетевые интерфейсы 37

–  –  –

Резюме Это техническое описание содержит ряд рекомендаций по развертыванию Amazon WorkSpaces. В этом документе рассматриваются вопросы, связанные с сетью, службами каталогов, аутентификацией пользователей, безопасностью, мониторингом и ведением журналов.

–  –  –

C помощью интерфейса командной строки или API можно автоматизировать подготовку Amazon WorkSpaces, интегрируя Amazon WorkSpaces в существующие рабочие процессы подготовки ПО.

В целях безопасности в дополнение к интегрированному сетевому шифрованию, которое выполняется сервисом WorkSpaces, можно включить для WorkSpaces шифрование данных в состоянии покоя (см. подраздел Шифрование данных WorkSpaces в разделе «Безопасность»).

Развертывать приложения в WorkSpaces можно с использованием существующих локальных инструментов (например, диспетчера Microsoft System Center Configuration Manager (SCCM)) или Amazon WorkSpaces Application Manager (Amazon WAM).

В следующих разделах приводятся подробные сведения об Amazon WorkSpaces, принципах работы сервиса, требованиях к запуску сервиса и доступных параметрах и компонентах.

–  –  –

В этом разделе приводятся рекомендации по определению оптимального размера VPC и подсетей, управлению потоком трафика и проектировании служб каталогов с учетом выбранных значений.

–  –  –

Подробные описания и пошаговые инструкции по проектированию VPC и определению размера подсети см. в презентации re:Invent под названием Переход Amazon.com к Amazon WorkSpaces.

Сетевые интерфейсы Каждый сервис WorkSpace имеет два эластичных сетевых интерфейса (ENI), сетевой интерфейс управления (eth0) и основной сетевой интерфейс (eth1).





AWS использует сетевой интерфейс управления для управления WorkSpace;

это интерфейс, где разъединяются ваши клиентские подключения. AWS использует для этого интерфейса диапазон частных IP-адресов. Нельзя использовать это частное пространство адресов в любой сети, из которой можно обмениваться данными с вашим облаком VPC в WorkSpaces. Только так можно обеспечить правильную сетевую маршрутизацию.

Список диапазонов частных IP-адресов, используемых нами в каждом регионе, см. в разделе Сведения об Amazon WorkSpaces.

–  –  –

В следующем разделе мы рассмотрим оба этих компонента более подробно.

Подключение клиентского устройства к WorkSpace Устройство, на котором выполняется клиент Amazon WorkSpaces, использует для подключения к сервису WorkSpaces те же два порта независимо от расположения (локальное или удаленное). Клиент использует протокол HTTPS в порту 443 для передачи всей информации об аутентификации и сеансах, а порт 4172 (PCoIP) с TCP и UDP – для потоковой передачи пикселей заданному сервису WorkSpace и проверок работоспособности сети. Трафик в обоих портах зашифрован. Трафик в порту 443 используется для передачи информации об аутентификации и сеансах, а для шифрования трафика используется протокол TLS. Для обмена данными между клиентом и интерфейсом eth0 сервиса WorkSpace используется 256-битное шифрование AES потокового трафика пикселей, а трафик передается через потоковый шлюз. Дополнительные сведения доступны в разделе Безопасность далее.

Страница 9 из 46 AWS. Рекомендации по развертыванию Amazon WorkSpaces Июль 2016 г.

Мы публикуем диапазоны IP-адресов наших потоковых шлюзов PCoIP и URL сервера для проверки работоспособности сети для конкретных регионов. Чтобы ограничить исходящий трафик в порту 4172, передаваемый из вашей корпоративной сети в потоковый шлюз AWS и на URL сервера проверки работоспособности сети, нужно разрешить отправку исходящего трафика в порту 4172 только в определенные регионы AWS, где вы используете сервис Amazon WorkSpaces. Диапазоны IP-адресов и URL сервера проверки работоспособности сети указаны в разделе Диапазоны IP-адресов шлюзов PCoIP для Amazon WorkSpaces.

В клиенте Amazon WorkSpaces имеется встроенный механизм проверки состояния сети. Эта служебная программа показывает, возможно ли то или иное соединение в сети пользователя, отображая индикатор состояния в нижнем правом углу приложения. Чтобы получить более подробную информацию о состоянии сети, выберите Сеть в нижнем правом углу клиента, и откроется окно, показанное на рисунке 1.

–  –  –

Пользователь инициирует подключение из клиента к сервису WorkSpaces, указывая свои данные для входа в каталог, используемый в конструкции Directory Service (как правило, речь идет о корпоративном каталоге).

Сведения для входа отправляются по протоколу HTTPS в шлюзы аутентификации Amazon WorkSpaces в регионе, где расположен сервис.

Затем шлюз аутентификации сервиса Amazon WorkSpaces перенаправляет трафик в определенную конструкцию сервиса AWS Directory Service, связанную с вашим сервисом WorkSpace. Например, если используется AD Connector, он перенаправляет запрос аутентификации непосредственно в вашу службу Active Directory, которая может располагаться локально или в облаке VPC AWS (см. раздел Сценарии развертывания AD DS).

AD Connector не хранит никакие сведения об аутентификации и функционирует в качестве прокси-сервера, не фиксирующего данные о запросах. Следовательно, очень важно обеспечить возможность подключения AD Connector к серверу Active Directory. AD Connector определяет сервер Active Directory, к которому выполняется подключение, используя серверы DNS, которые вы определяете при создании соединителя AD Connector.

–  –  –

После аутентификации пользователя начинается потоковая передача трафика сервису WorkSpace с использованием порта 4172 (PCoIP) через потоковый шлюз AWS. Обмен сведениями о сеансе на протяжении сеанса по-прежнему осуществляется через протокол HTTPS. Для передачи потокового трафика используется первый эластичный сетевой интерфейс WorkSpace (eth0 в WorkSpace), который не подключен к вашему облаку VPC.

Управление сетевым подключением между потоковым шлюзом и эластичным сетевым интерфейсом осуществляет AWS. В случае сбоя подключения потоковых шлюзов к эластичному сетевому интерфейсу потоковой передачи WorkSpaces создается событие CloudWatch (см. раздел Мониторинг и ведение журнала с использованием Amazon CloudWatch этого технического описания).

Страница 11 из 46 AWS. Рекомендации по развертыванию Amazon WorkSpaces Июль 2016 г.

Объем данных, которыми обмениваются сервис Amazon WorkSpaces и клиент, зависит от уровня активности пикселей. Чтобы обеспечить пользователям максимальное удобство, рекомендуется установить время приема-передачи (RTT) данных между клиентом WorkSpaces и регионом AWS, где находится ваш сервис WorkSpaces, менее 100 мс. Как правило, это означает, что клиент WorkSpaces находится менее, чем в 3200 км от региона, где размещен сервис WorkSpace. На странице Проверка состояния подключения можно определить оптимальный регион AWS для подключения при работе c сервисом Amazon WorkSpaces.

Подключение сервиса Amazon WorkSpaces к VPC После успешной аутентификации подключения клиента к WorkSpace и запуска потокового трафика в клиенте WorkSpaces отобразится рабочий стол Windows (ваш WorkSpace), подключенный к VPC, а сеть должна показать, что подключение установлено. Основному интерфейсу ENI сервиса WorkSpace, обозначенному как eth1, службой DHCP будет назначен IP-адрес. Служба предоставляется облаком VPC, как правило, из тех же подсетей, что и сервис AWS Directory Service. Назначенный WorkSpace IP-адрес сохраняется на протяжении всего срока эксплуатации сервиса.

Интерфейс ENI в облаке VPC имеет доступ к любому ресурсу VPC и к любой сети, подключенной к вашему облаку (через одноранговые соединения VPC, подключение AWS Direct Connect или VPN).

Доступ ENI к вашим сетевым ресурсам регулируется группой безопасности по умолчанию (см. более подробные сведения о группах безопасности здесь), которая настраивается сервисом AWS Directory Service для каждого WorkSpace, и любыми другими группами безопасности, назначенными ENI.

При необходимости можно добавить группы безопасности в интерфейс ENI, обращенный к вашему VPC, с помощью консоли управления AWS или интерфейса командной строки. Помимо групп безопасности для ограничения сетевого доступа к ресурсам облака VPC в конкретном сервисе WorkSpace можно использовать серверный брандмауэр по вашему выбору.

Рисунок 4 в разделе Сценарии развертывания AD DS далее в этом техническом описании отображает поток трафика, описанный выше.

–  –  –

Для подрядчиков, напротив, имеет смысл блокировать доступ с правами локального администратор, чтобы они могли пользоваться только определенными предустановленными приложениями. К этим WorkSpaces нужно применять весьма жесткие механизмы контроля сетевого доступа с использованием групп безопасности. Необходимо открыть порты 80 и 443 только для конкретных внутренних веб-сайтов и заблокировать доступ в Интернет.

В этом сценарии мы имеем дело с двумя совершенно разными группами пользователей с совершенно разными требованиями доступа к сетевым ресурсам и настольным приложениям. Рекомендуется настраивать такие WorkSpaces и управлять ими по отдельности. Для этого необходимо создать два соединителя AD Connector – по одному для каждой группы пользователей. Каждому AD Connector требуется две подсети, в которых должно быть достаточно IP-адресов, чтобы справиться с ростом использования WorkSpaces.

–  –  –

В следующем разделе описаны коммуникационные потоки аутентификации между брокерской службой Amazon WorkSpaces и сервисом AWS Directory Service, рекомендации по внедрению WorkSpaces с сервисом AWS Directory Service и некоторые сложные концепции, такие как MFA. Кроме того, обсуждаются некоторые аспекты инфраструктурной архитектуры для Amazon WorkSpaces в целом, требования к Amazon VPC и AWS Directory Service, включая интеграцию с локальными доменными службами Microsoft Active Directory (AD DS).

Сценарии развертывания AD DS Функционирование Amazon WorkSpaces обеспечивается сервисом AWS Directory Service, поэтому грамотное проектирование и развертывание службы каталогов имеет критическое значение. В следующих трех сценариях выполняются инструкции из краткого руководства пользователя доменных служб Microsoft Active Directory, в котором даются подробные рекомендации по развертыванию AD DS, в частности для интеграции с WorkSpaces. В разделе Некоторые аспекты проектирования этой главы перечислены подробные требования и рекомендации по использованию AD Connector для WorkSpaces, поскольку соединитель является неотъемлемой частью общей структуры WorkSpaces.

–  –  –

Сценарий 1. Использование AD Connector для проксирования аутентификации в локальную службу AD DS Этот сценарий предназначен для клиентов, которые не хотят расширять свою локальную службу AD DS в облаке AWS или если возможность нового развертывания AD DS отсутствует. Рисунок 4. Подключение AD Connector к локальной службе Active Directory в общих чертах описывает каждый из компонентов и показывает процедуру аутентификации пользователей.

Рисунок 4. Подключение AD Connector к локальной службе Active Directory

В этом сценарии AWS Directory Service (AD Connector) используется для всех операций аутентификации пользователей или MFA, которая через AD Connector проксируется в локальную службу AD DS клиента (Рисунок 5). Сведения о протоколах и шифровании, используемых в процессе аутентификации, см. в разделе Безопасность этого технического описания.

–  –  –

Как и в первом сценарии, AD Connector используется для всех операции аутентификации пользователей или MFA, которая проксируется в службу AD DS клиента (Рисунок 5). В сценарии 2 служба AD DS клиента развернута в зонах доступности в инстансах Amazon EC2, уровень которых был повышен до доменных контроллеров в локальном лесу Active Directory клиента, где выполняется облако AWS. Каждый доменный контроллер развернут в частных подсетях VPC, чтобы обеспечить высокую доступность AD DS в облаке AWS. Рекомендации по развертыванию AD DS в облаке AWS см. в разделе «Некоторые аспекты проектирования» далее в этом техническом описании.

Развернутые инстансы WorkSpaces получают доступ к облачным доменным контроллерам, а службы каталогов и DNS функционируют под защитой и с низкой задержкой. Безопасность всего сетевого трафика, включая обмен данными AD DS, запросы аутентификации и репликацию Active Directory, обеспечивается в частных подсетях или в тоннеле VPN или DX клиента.

В целом работа WorkSpaces оптимизирована и не настолько зависит от пункта 5, как показано на Рисунke 6. Это еще более актуально, если требуется масштабировать WorkSpaces и использовать сервис на тысячах рабочих столов. Особенно это касается запросов глобального каталога AD DS, поскольку трафик в среде WorkSpaces остается локальным.

Сценарий 3. Автономное изолированное развертывание с использованием сервиса AWS Directory Service в облаке AWS В этом сценарии, показанном на Рисунke 7, AD DS развертывается в облаке AWS в автономной изолированной среде. AWS Directory Service используется исключительно в этом сценарии. Вместо того чтобы полностью управлять AD DS самостоятельно, вы делегируете AWS Directory Service такие задачи, как создание топологии каталогов высокой доступности, мониторинг доменных контроллеров и настройка резервных копий и снимков.

–  –  –

Как и в сценарии 2, AD DS (Microsoft AD) развертывается в выделенной подсети, которая охватывает две зоны доступности, что обеспечивает высокую доступность AD DS в облаке AWS. В дополнение к Microsoft AD, AD Connector (во всех трех сценариях) развертывается для аутентификации WorkSpaces или MFA. Это обеспечивает разделение ролей и функций в Amazon VPC (что полностью соответствует общепринятым рекомендациям, см. раздел Некоторые аспекты проектирования.

Разделение сети на разделы).

В сценарии 3 рассматривается стандартная универсальная конфигурация, которая подходит клиентам, которые желают делегировать AWS управление развертыванием, установкой исправлений, высокой доступностью, а также мониторинг AWS Directory Service. Благодаря изолированному режиму этот сценарий отлично подходит не только для продуктивной среды, но и для проверки концепций и лабораторных сред.

Рисунок 7 показывает не только расположение AWS Directory Service, но и поток трафика от пользователя в рабочее пространство и взаимодействие рабочего пространства с серверами AD и MFA.

–  –  –

Как и в сценарии 2, здесь не возникает проблем с зависимостью от подключения к локальному ЦОД клиента, задержкой или затратами на исходящий трафик (за исключением случаев, когда доступ к Интернету для WorkSpaces обеспечивается в пределах VPC), поскольку по структуре это изолированный или подразумевающий использование только облачных компонентов сценарий.

Некоторые аспекты проектирования Чтобы развернуть функциональную службу AD DS в облаке AWS, требуется хорошее понимание специфики Active Directory и конкретных сервисов AWS. В этом разделе рассматриваются основные аспекты проектирования, актуальные при развертывании AD DS для WorkSpaces, рекомендации по развертыванию VPC для AWS Directory Service, требования DHCP и DNS, специфика AD Connector и сайты и службы Active Directory.

–  –  –

На рисунке 9 показана структура, аналогичная сценарию 1, однако в этом сценарии локальные компоненты размещены в выделенном облаке Amazon VPC.

–  –  –

Помимо создания выделенных частных подсетей для AD DS требуется несколько правил групп безопасности для доменных контроллеров и рядовых серверов – правил, регулирующих трафик сервисов, включая репликацию AD DS, аутентификацию пользователей, службу времени Windows и распределенную файловую систему (DFS).

–  –  –

Проектирование VPC: DHCP и DNS При использовании Amazon VPC сервисы DHCP для ваших инстансов предоставляются по умолчанию. По умолчанию каждое облако VPC предоставляет внутренний DNS-сервер, доступный с использованием метода бесклассовой адресации (CIDR) и два адресных пространства. VPC назначается всем инстансам через набор параметров DHCP по умолчанию.

Наборы параметров DHCP используются в Amazon VPC для определения параметров области, таких как доменное имя или серверы имен, которые должны быть переданы вашим инстансам через DHCP. Правильное функционирование служб Windows в VPC зависит от параметра области DHCP, поэтому его нужно задавать очень внимательно. В каждом из ранее определенных сценариев создаются и назначаются собственные области, определяющие ваше доменное имя и серверы имен. Это гарантирует, что подключенные к домену экземпляры Windows или WorkSpaces настроены для использования DNS Active Directory. В следующей таблице приводятся примеры задаваемых пользователем параметров области DHCP, корректные значения которых обеспечивают исправное функционирование WorkSpaces и AWS Directory Services.

–  –  –

Active Directory: сайты и службы В сценарии 2 сайты и службы имеют критическое значение для правильного функционирования AD DS. Топология сайтов контролирует репликацию Active Directory между доменными контроллерами в масштабах одного или нескольких сайтов. В сценарии 2 присутствует по меньшей мере два сайта: локальный и AWS WorkSpaces в облаке.

Правильное определение топологии сайта обеспечивает сходство клиентов (то есть клиенты – в данном случае WorkSpaces – используют предпочтительный локальный доменный контроллер.

–  –  –

Эти связи помогают гарантировать перемещение данных (например, репликации AD DS и аутентификации клиента) по наиболее эффективному пути до доменного контроллера. В сценариях 2 и 3 это позволяет сократить задержку и уменьшить объем трафика между ссылками.

–  –  –

MFA – двухфакторная аутентификация Amazon WorkSpaces поддерживает MFA с использованием AWS Directory Service: AD Connector и принадлежащего клиенту сервера RADIUS. После включения MFA пользователи должны указать в клиенте WorkSpaces имя пользователя, пароль и код MFA, чтобы соответствующие рабочие столы WorkSpaces могли пройти аутентификацию.

–  –  –

Реализация MFA WorkSpaces требует использования одного или нескольких серверов RADIUS. Как правило, можно использовать существующие решения (например, RSA) либо развернуть серверы в VPC (см. раздел Сценарии развертывания AD DS). Сегодня в отрасли доступно несколько вариантов развертывания нового решения RADIUS, включая FreeRADIUS, и облачные сервисы, такие как Duo Security.

Список обязательных требований для проведения MFA с использованием Amazon WorkSpaces см. в Руководстве по администрированию Amazon WorkSpaces и статье Подготовка сети к работе AD Connector Directory.

Процедура настройки AD Connector для MFA описана в разделе «Управление AD Connector Directory. MFA»Руководства по администрированию Amazon WorkSpaces.

Страница 34 из 46 AWS. Рекомендации по развертыванию Amazon WorkSpaces Июль 2016 г.

Безопасность В этом разделе рассказано, как обеспечить безопасность данных с помощью шифрования при использовании сервисов Amazon WorkSpaces. В документе описано шифрование данных при передаче и в состоянии покоя, а также использование групп безопасности для защиты сетевого доступа к WorkSpaces. Дополнительные сведения об аутентификации (включая поддержку MFA) см. в разделе, посвященном AWS Directory Service.

Шифрование данных во время передачи В Amazon WorkSpaces шифрование используется для обеспечения конфиденциальности на разных этапах обмена данными (в процессе переноса) и защиты данных в состоянии покоя (шифрование данных WorkSpaces). Процессы на каждом этапе шифрования передаваемых данных в Amazon WorkSpaces описаны в следующих разделах. Сведения о шифровании данных в состоянии покоя см. в разделе Шифрование данных WorkSpaces далее в этом техническом описании.

Регистрация и обновления Для обмена данными между настольным клиентским приложением и Amazon в рамках обновлений и регистрации используется протокол HTTPS.

Этап аутентификации Настольный клиент инициирует аутентификацию, отправляя данные для доступа в шлюз аутентификации. Для связи между настольным клиентом и шлюзом аутентификации используется протокол HTTPS. В конце этого этапа (если аутентификация пройдена успешно) шлюз аутентификации возвращает токен OAuth 2.0 настольному клиенту, используя то же подключение по протоколу HTTPS.

–  –  –

После получения от клиента данных для доступа шлюз аутентификации отправляет запрос аутентификации в AWS Directory Service. Обмен данными между шлюзом аутентификации и AWS Directory Service осуществляется по протоколу HTTPS, поэтому данные пользователей для доступа не передаются в виде обычного текста.

Аутентификация – AD Connector AD Connector использует Kerberos, чтобы установить аутентифицированную связь с локальной службой AD, создать привязку к LDAP и выполнить последующие запросы LDAP. В настоящее время AWS Directory Service не поддерживает трафик LDAP с TLS (LDAPs). Однако данные для доступа пользователей в виде обычного текста никогда не передаются. В целях повышения безопасности можно подключить облако VPC WorkSpaces к локальной сети (где находится служба AD), используя подключение VPN.

При использовании VPN-подключения с оборудованием AWS шифрование передаваемых данных настраивается с использованием стандартного протокола IPSEC (SA IKE и IPSEC) с ключами симметричного шифрования AES-128 или AES-256, SHA-1 или SHA-256 для хэша целостности и групп DH (2, 14–18, 22, 23 и 24 для этапа 1; 1, 2, 5, 14–18, 22, 23 и 24 для этапа 2) с PFS.

Этап брокера После получения токена OAuth 2.0 (от шлюза аутентификации, если аутентификация прошла успешно), настольный клиент запрашивает службы Amazon WorkSpaces (диспетчер подключений к посреднику) по протоколу HTTPS. Настольный клиент проходит аутентификацию, отправляя токен OAuth 2.0, после чего клиент получает информацию о контактной точке потокового шлюза WorkSpaces.

–  –  –

Страница 36 из 46 AWS. Рекомендации по развертыванию Amazon WorkSpaces Июль 2016 г.

Потоковый шлюз также получает мандат TGT от клиента (зашифрованного с помощью пароля пользователя клиента) и, используя сквозную аутентификацию Kerberos с мандатом TGT, инициирует вход в систему в Windows в сервисе WorkSpace, уже с помощью извлеченного пользователем мандата TGT Kerberos.

Затем WorkSpace инициирует запрос аутентификации и направляет его в настроенный сервис AWS Directory Service, используя стандартную аутентификацию Kerberos.

После успешного входа в систему в сервисе WorkSpace начинается потоковая передача PCoIP. Подключение инициируется клиентом в порту tcp 4172 с обратным трафиком в порту udp 4172. Кроме того, первоначальное подключение между потоковым шлюзом и рабочим столом WorkSpaces через интерфейс управления устанавливается в порту UDP 55002. (См. документацию по Amazon Workspaces, Сведения об Amazon WorkSpaces. Первоначальный исходящий порт UDP имеет номер 55002.) Подключение для потоковой передачи данных (порты tcp и udp с номером

4172) шифруется с использованием 128- и 256-битных шифров AES, однако по умолчанию используется 128-битное шифрование. С помощью групповой политики Active Directory для PCoIP можно явным образом изменить эту настройку и установить 256-битное шифрование (pcoip.adm).

Сетевые интерфейсы Каждый сервис Amazon WorkSpace имеет два сетевых интерфейса: основной сетевой интерфейс и сетевой интерфейс управления.

Основной сетевой интерфейс обеспечивает подключение к ресурсам внутри VPC, включая доступ к AWS Directory Service, Интернету и корпоративной сети. Можно прикрепить группы безопасности к основному сетевому интерфейсу (как к любому интерфейсу ENI). Концептуально мы различаем группы безопасности, прикрепляемые к этому интерфейсу ENI с учетом области развертывания: группа безопасности WorkSpaces и группы безопасности ENI.

Страница 37 из 46 AWS. Рекомендации по развертыванию Amazon WorkSpaces Июль 2016 г.

Сетевой интерфейс управления Невозможно контролировать сетевой интерфейс управления через группы безопасности, однако для блокирования портов и контроля доступа можно использовать серверный брандмауэр в WorkSpace. Не рекомендуется налагать ограничения на сетевой интерфейс управления. Если принято решение о добавлении правил серверного брандмауэра для управления этим интерфейсом, необходимо будет оставить несколько портов открытыми, чтобы сервис WorkSpaces мог управлять состоянием и доступностью системы, как определено в Руководстве по администрированию Amazon WorkSpaces.

–  –  –

Группы безопасности ENI Поскольку основной сетевой интерфейс – это обычный интерфейс ENI, его настройкой можно управлять с использованием разных средств управления AWS (см. раздел Эластичные сетевые интерфейсы (ENI)). В частности, найдите IP-адрес WorkSpace (на странице WorkSpaces консоли Amazon WorkSpaces), а затем используйте этот IP-адрес в качестве фильтра, чтобы найти соответствующий интерфейс ENI (в разделе «Сетевые интерфейсы»

на консоли Amazon EC2).

–  –  –

Найдя интерфейс ENI, можно управлять группами безопасности непосредственно из него. Если группы безопасности назначаются основному сетевому интерфейсу вручную, учитывайте требования портов Amazon WorkSpaces, указанные в разделе Сведения об Amazon WorkSpaces.

–  –  –

Мониторинг и ведение журнала с использованием Amazon CloudWatch Мониторинг – неотъемлемая часть любой инфраструктуры (сети, серверов или журналов). Клиенты, развертывающие Amazon WorkSpaces, должны осуществлять мониторинг развертываний, в частности контролировать общее состояние и статус подключения отдельных WorkSpaces.

Метрики WorkSpaces в Amazon CloudWatch Метрики WorkSpaces в CloudWatch предоставляют администраторам дополнительные сведения об общей работоспособности и состоянии подключения отдельных WorkSpaces. Доступны метрики как для отдельных сервисов WorkSpace, так и для всех сервисов WorkSpaces в организации в составе выбранного каталога (AD Connector, см. раздел «Идентификация»).

–  –  –

Устранение неполадок Описание стандартных проблем администрирования и проблем, возникающих в клиентах, вроде «Я вижу следующее сообщение об ошибке:

«Вашему устройству не удается подключиться к службе регистрации WorkSpaces» или «Невозможно подключиться к WorkSpace с интерактивным баннером входа» и т. д.» можно найти на страницах, посвященных устранению неполадок с клиентом и неполадок в администрировании, Руководства по администрированию Amazon WorkSpaces.

–  –  –

DirectoryServicePortTest.exe -d доменное_имя -ip IP-адрес_сервера -tcp "53,88,135,139,389,445,464,636,49152" -udp "53,88,123,137,138,389,445,464" доменное_имя

–  –  –

Полное доменное имя, использующееся для проверки функциональных уровней леса и домена. Если исключить доменное имя, функциональные уровни тестироваться не будут.

–  –  –

IP-адрес контроллера вашего локального домена. Порты будут протестированы относительно этого IP-адреса. Если исключить IP-адрес, порты тестироваться не будут.

–  –  –

Проверка задержки до ближайшего региона AWS В октябре 2015 года Amazon WorkSpaces запустил веб-сайт для проверки состояния подключения. Этот веб-сайт быстро проверяет, доступны ли вам все необходимые сервисы для использования WorkSpaces. Кроме того, сайт выполняет проверку производительности каждого региона AWS, где работает WorkSpaces, и сообщает, в каком регионе сервис будет работать быстрее.

Заключение По мере того как организации стремятся действовать более гибко, лучше защищать свои данные и способствовать повышению продуктивности своих сотрудников, мы наблюдаем стратегические изменения в вычислительных системах для конечных пользователей. Многие преимущества облачных вычислений актуальны и для вычислительных систем для конечных пользователей. Перенося рабочие столы в облако AWS с помощью Amazon WorkSpaces, организации могут быстро масштабировать свои системы, добавляя работников, повышать уровень безопасности, не храня данные на устройствах, и предоставлять своим специалистам портативные рабочие столы с повсеместным доступом с любого устройства по выбору пользователя.

Amazon WorkSpaces предусматривает интеграцию в существующие ИТсистемы и процессы, и в этом информационном документе вы найдете рекомендации по выполнению этой задачи. Следуя инструкциям в этом информационном описании, вы сможете с минимальными затратами развернуть облачные рабочие столы в глобальной инфраструктуре AWS и расширять систему по мере необходимости.

–  –  –






Похожие работы:

«ГНОЙНЫЕ АРТРИТЫ, БУРСИТЫ Гнойные артриты Термин "артрит" введен ещ Гиппократом и в последующие столетия используется для обозначения заболеваний суставов. Начиная с XVI ст. стали постепенно выделять отдельные нозологические формы артритов. Классификация.I. Самостоятельные нозологические формы: 1) ревматоидный артрит;2) ревматои...»

«Экосистемы, их оптимизация и охрана. 2011. Вып. 4. С. 183–187. Охрана природы УДК 502.753 РЕДКИЕ И ИСЧЕЗАЮЩИЕ ВИДЫ ВОДНЫХ И ПРИБРЕЖНОВОДНЫХ РАСТЕНИЙ В КОЛЛЕКЦИИ БОТАНИЧЕСКОГО САДА ТАВРИЧЕСКОГО НАЦИОНАЛЬНОГО УНИВЕРСИТЕТА ИМ. В. И. ВЕРНАДСКОГО Халявина С. В.1, Маслов И. И.2 Ботанический сад Таврического национал...»

«8 июня 2010 г. 209 Об утверждении Инструкции о порядке расчета и взимания платы за расчетные услуги Национального банка Республики Беларусь при проведении межбанковских расчетов через систему BISS (С учетом изменений, внесенных постановлением Правления Национального банка: от 6 декабря 2012 № 632,...»

«Приложение 1 к Рекомендациям о порядке информирования банками вкладчиков по вопросам страхования вкладов ПОРЯДОК И РАЗМЕР ПОЛУЧЕНИЯ ВОЗМЕЩЕНИЯ ПО ВКЛАДАМ В СООТВЕТСТВИИ С ФЕДЕРАЛЬНЫМ ЗАКОНО...»

«Бражник О.И., Кирсанов Р.С., Лифанов Н.А. Исследование Шелехметского II курганно-грунтового могильника в 1999 г. Краеведческие записки. Вып.IX. – Самара. 2000 С.188 Шелехметский II могильник расположен в 1-1,5 км к западу от окраины с. Шелехметь Волжского района Самарской области....»

«Издательство АСТ Москва УДК 821.111-312.9(73) ББК 84(7Сое)-44 В14 Серия "Бегущий в лабиринте" Chris Weitz THE YOUNG WORLD Перевод с английского Т. Борисовой Компьютерный дизайн В. Лебедевой Печатается с разрешения автора и литературных агентств William Morris Endeavor Entertainment,...»

«Утверждены решением Совета директоров АО "Товарная биржа "ЕТС", протокол № 100 от "05" июля 2013 г., с учетом изменений и дополнений, утвержденных решением СД ЕТС, протокол № 105 от "03" октября 2013 года, утвержденных решением СД ЕТС, протокол № 111 от "17" марта 2014 года...»

«Gnter & Hauer Кухонна витяжка Інструкція з монтажу та експлуатації MODEL: AGNA 550 IX AGNA 560 IX www.Gunter-Hauer.de Gnter & Hauer ДЛЯ ВАШОЇ БЕЗПЕКИ Перед тим як встановлювати прилад і почати ним користуватися, просимо Вас уважно прочитати інструкцію з монтажу та використання. Дуже важливо, щоб...»

«Велофара Fenix BC21R XM-L2 T6 Fenix BC21R – компактная, моноблочная, универсальная, аккумуляторная велофара с нейтральным белым светом. Максимальная яркость 880 люмен. Оптимально подобранные 4 режима яркости и сигнальный режим максимально отвечают требованиям велосипедной езды, а боковой красный...»

«Игорь Сергун ОЦЕНКА СОВРЕМЕННЫХ ВЫЗОВОВ И УГРОЗ ДЛЯ РЕГИОНА ЕВРОАТЛАНТИКИ1 Современная международная военно-политическая обстановка характеризуется снижением вероятности развязывания крупномасштабной войны в Евроатла...»








 
2017 www.book.lib-i.ru - «Бесплатная электронная библиотека - электронные ресурсы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.