AWS 云环境
本文将指导您如何将 AWS 账户设置为可与 Citrix Virtual Apps and Desktops 配合使用的资源位置。该资源位置包含一组基本组件,非常适合概念验证或其他不需要资源分布在多个可用区中的部署。完成这些任务后,您可以安装 VDA、预配计算机、创建计算机目录和创建交付组。
当您完成本文中所述任务时,您的资源位置将包含以下组件:
- 一个虚拟私有云 (VPC),其中包含单个可用区内的公共子网和私有子网。
- 一个实例,它同时充当 Active Directory 域控制器和 DNS 服务器,位于 VPC 的私有子网中。
- 一个实例,它在 VPC 的公共子网中充当堡垒主机。此实例用于启动到私有子网中实例的 RDP 连接,以进行管理。完成资源位置设置后,您可以关闭此实例,使其不再易于访问。当您必须管理私有子网中的其他实例(例如 VDA 实例)时,可以重新启动堡垒主机实例。
任务概述
设置包含公共子网和私有子网的虚拟私有云 (VPC)。 完成此任务后,AWS 将在公共子网中部署一个带有弹性 IP 地址的 NAT 网关。此操作使私有子网中的实例能够访问 Internet。公共子网中的实例可访问入站公共流量,而私有子网中的实例则不能。
配置安全组。安全组充当虚拟防火墙,用于控制 VPC 中实例的流量。您可以向安全组添加规则,以允许公共子网中的实例与私有子网中的实例进行通信。您还将这些安全组与 VPC 中的每个实例关联。
创建 DHCP 选项集。对于 Amazon VPC,默认提供 DHCP 和 DNS 服务,这会影响您在 Active Directory 域控制器上配置 DNS 的方式。Amazon 的 DHCP 无法禁用,Amazon 的 DNS 只能用于公共 DNS 解析,而不能用于 Active Directory 名称解析。要指定通过 DHCP 分配给实例的域和名称服务器,请创建 DHCP 选项集。该集分配 Active Directory 域后缀并指定 VPC 中所有实例的 DNS 服务器。为确保在实例加入域时自动注册主机 (A) 和反向查找 (PTR) 记录,请为您添加到私有子网的每个实例配置网络适配器属性。
将堡垒主机和域控制器添加到 VPC。通过堡垒主机,您可以登录到私有子网中的实例以设置域并将实例加入域。
任务 1:设置 VPC
- 在 AWS 管理控制台中,选择 VPC。
- 在 VPC 控制面板中,选择 Create VPC。
- 选择 VPC 和更多。
- 在 NAT 网关 ($) 下,选择 在 1 个可用区中 或 每个可用区 1 个。
- 在 DNS 选项下,保持 启用 DNS 主机名 选中状态。
- 选择 Create VPC。AWS 会创建公共和私有子网、Internet 网关、路由表和默认安全组。
任务 2:配置安全组
此任务为您的 VPC 创建并配置以下安全组:
- 一个公共安全组,用于与您的公共子网中的实例关联。
- 一个私有安全组,用于与您的私有子网中的实例关联。
为了创建安全组:
- 在 VPC 控制面板中,选择 安全组。
- 为公共安全组创建一个安全组。选择 Create Security Group,然后输入该组的名称标签和描述。在 VPC 中,选择您之前创建的 VPC。选择 Yes, Create。
对公共安全组进行配置
-
从安全组列表中,选择公共安全组。
-
选择 Inbound Rules 选项卡,并选择 Edit 以创建以下规则:
类型 源 所有流量 请选择私有安全组。 所有流量 请选择公共安全组。 互联网控制消息协议 0.0.0.0/0 22 (SSH) 0.0.0.0/0 80(超文本传输协议) 0.0.0.0/0 443(超文本传输安全协议) 0.0.0.0/0 1494 (ICA/HDX) 0.0.0.0/0 2598 (会话可靠性) 0.0.0.0/0 3389 (RDP) 0.0.0.0/0 -
完成后,选择 保存。
-
选择 出站规则 选项卡,然后选择 编辑 以创建以下规则:
类型 目标地址 所有流量 请选择私有安全组。 所有流量 0.0.0.0/0 ICMP 0.0.0.0/0 -
完成后,选择 保存。
配置私有安全组设置
-
从安全组列表中,选择私有安全组。
-
如果您尚未从公共安全组设置流量,则必须设置 TCP 端口;选择“入站规则”选项卡并选择“编辑”以创建以下规则:
类型 源 所有流量 请选择私有安全组。 所有流量 请选择公共安全组。 ICMP (互联网控制消息协议) 请选择公共安全组。 TCP 53 (DNS,域名系统) 请选择公共安全组。 UDP 53 (DNS,域名系统) 请选择公共安全组。 80 (超文本传输协议) 请选择公共安全组进行操作。 TCP 135 请选择公共安全组。 TCP 389 请选择公共安全组。 UDP 389 请选择公共安全组。 443 (超文本传输安全协议) 选择公共安全组即可。 传输控制协议 1494 (ICA/HDX) 请选择公共安全组。 TCP 2598 (会话可靠性) 请选择公共安全组。 3389 (RDP) 请选择公共安全组。 TCP 49152–65535 请选择公共安全组。 -
完成后,选择保存。
-
选择出站规则选项卡,然后选择编辑以创建以下规则:
类型 目标地址 所有流量 请选择私有安全组。 所有流量 0.0.0.0/0 互联网控制消息协议 (ICMP) 0.0.0.0/0 用户数据报协议 53 (域名系统) 0.0.0.0/0 -
完成后,选择保存。
任务 3: 启动实例
执行以下步骤以创建两个 EC2 实例并解密由 Amazon 生成的默认管理员密码:
- 在 AWS 管理控制台中,选择 EC2。
- 在 EC2 控制面板中,选择 启动实例。
- 选择 Windows Server 计算机映像和实例类型。
- 在 配置实例详细信息 页面上,输入实例名称并选择您之前设置的 VPC。
-
在 子网 中,为每个实例进行以下选择:
- 堡垒主机: 选择公共子网
- 域控制器: 选择私有子网
-
在 自动分配公有 IP 地址 中,为每个实例进行以下选择:
- 堡垒主机: 选择 启用。
- 域控制器: 选择 使用默认设置 或 禁用。
- 在 网络接口 中,输入域控制器私有子网 IP 范围内的主要 IP 地址。
- 如有必要,在 添加存储 页面上,修改磁盘大小。
- 在 标记实例 页面上,为每个实例输入一个友好名称。
-
在“配置安全组”页面上,选择“选择现有安全组”,然后为每个实例进行以下选择:
- 堡垒主机:选择公共安全组。
- 域控制器:请选择私有安全组。
- 查看您的选择,然后选择“启动”。
- 创建新的密钥对或选择现有密钥对。如果您创建新的密钥对,请下载您的私钥 (.pem) 文件并将其保存在安全位置。在获取实例的默认管理员密码时,您必须提供您的私钥。
- 选择“启动实例”。选择“查看实例”以显示实例列表。请等待新启动的实例通过所有状态检查后再访问它。
-
请获取每个实例的默认管理员密码:
- 从实例列表中,选择实例,然后选择“连接”。
- 转到“RDP 客户端”选项卡,选择“获取密码”,并在出现提示时上传您的私钥 (
.pem) 文件。 - 选择“解密密码”以获取人类可读的密码。AWS 会显示默认密码。
-
重复步骤 2 中的步骤,直到您创建了两个实例:
- 在您的公共子网中创建一个堡垒主机实例
- 在您的私有子网中创建一个用作域控制器的实例。
任务 4:创建 DHCP 选项集
-
从 VPC 控制面板,选择“DHCP 选项集”。
-
请提供以下信息:
- 名称标签:为该集输入一个友好名称。
- 域名:请输入您在配置域控制器实例时需要使用的完全限定域名。
- 域名服务器:输入分配给域控制器实例的私有 IP 地址和字符串 AmazonProvidedDNS,用逗号分隔。
- NTP 服务器:将此字段留空。
- NetBIOS 名称服务器:输入域控制器实例的私有 IP 地址。
- NetBIOS 节点类型:输入 2。
-
选择 是,创建。
-
将新集与您的 VPC 关联:
- 在 VPC 控制面板中,选择 Your VPCs(您的 VPC),然后选择您之前设置的 VPC。
- 选择 操作 > 编辑 DHCP 选项集。
- 出现提示时,选择您创建的新集,然后选择 Save(保存)。
任务 5:配置实例
-
使用 RDP 客户端连接到堡垒主机实例的公共 IP 地址。出现提示时,输入管理员帐户的凭据。
-
从堡垒主机实例启动远程桌面连接,并连接到要配置的实例的私有 IP 地址。出现提示时,输入该实例的管理员凭据。
-
对于私有子网中的所有实例,配置 DNS 设置:
- 选择 开始 > 控制面板 > 网络和 Internet > 网络和共享中心 > 更改适配器设置。双击显示的网路连接。
- 选择 属性 > Internet 协议版本 4 (TCP/IPv4) > 属性。
-
选择 高级 > DNS。确保以下设置已启用,然后选择 确定:
- 在 DNS 中注册此连接的地址
- 在 DNS 注册中使用此连接的 DNS 后缀
-
如何配置域控制器:
- 使用服务器管理器,添加具有所有默认功能的 Active Directory 域服务角色。
- 将实例提升为域控制器。在提升过程中,启用 DNS 并使用创建 DHCP 选项集时指定的域名。出现提示时重新启动实例。