AWS-WorkSpaces雲端桌面服務 (下集)
依據上集的建置相信讀者在情境一可快速部署一個雲地的IPSec VPN備援連線並監測VPN Tunnel狀態。位於子網路A與子網路B部門的WorkSpaces主機皆直接透過AWS IGW出Internet外網。而此下集情境: 則位於在子網路C與子網路D部門的WorkSpaces主機因特殊需求則必須VPN回地端才能出Internet。有關於完整架構圖可參考上集文章,下面就開始一起來部署吧!
作業流程
- 建立VPC的子網路
- 新增路由表
- 新增路由表並與子網路關聯
- 新增VPC Endpoint Gateway
- 編輯Site-to-Site VPN靜態路由
- 配置地端Fortinet設備(FortGate 60E)
- 配置Directory Service (AD Connector)
- 啟用WorkSpaces VDI服務
- 驗證WorkSpaces VDI出Internet
雲端AWS配置
- 需求
新增C Subnet 網段: 10.80.3.0/25 (Private subnet)
新增D Subnet 網段: 10.80.3.128/25 (Private subnet)
- 建立VPC的子網路
在VPC裡, 直接將上集的10.80.0.0/16網段再劃分給底下的子網路。這裡分別再切出子網路C 10.80.3.0/25與子網路D 10.80.3.128/25。
請在左邊功能選項中 -> Subnets,並點選右上角【Create subnet】建立。
這裡的子網路的建立步驟相信有看過上集的讀者應該都知道怎麼配置,如果還不知道如何建立子網路建議可參考上集配置喔^^
下圖為完成所有子網路的建立。
- 新增路由表
接下來我們要來新增一個tovgw路由表,名稱可自訂其主要目的是要給子網C 10.80.3.0/25與子網D 10.80.3.128/25來使用。
請在左邊功能選項中 -> Route tables,並點選右上角【Create route table】建立。
請輸入路由名稱並指定套用VPC1。
- 路由表與子網路關聯
請在左邊功能選項中 -> Route tables,選取路由表->並點選Subnet associations ->【Edit subnet associations】建立。
請勾選欲關聯的子網路,這裡為子網C 10.80.3.0/25與子網D 10.80.3.128/25。
下圖為路由表子網路的關聯。
在tovgw路由表加入0.0.0.0/0並指向目標VPN Gateway(vgw)。表示預設路由經由vgw至VPN。下圖為tovgw路由表。
- 新增VPC Endpoint Gateway
因這裡不經由 IGW 出 Internet ,必須建立一個 VPC Endpoint 再把這 VPC Endpoint Attach 附加到這路由表,當它在解析位址時就會透過它繞出去。
-建立WorkSpaces Endpoint
請在VPC左邊功能選項中 -> Endpoints,並點選【Create endpoint】建立。
為WorkSpaces Endpoint命名以及預設選取AWS service服務類型。
輸入關鍵字「workspace」並下拉選擇 Service Name:com.amazonaws.ap-northeast-1.workspaces。
請點選【Service Name:com.amazonaws.ap-northeast-1.workspaces】,並下拉選取VPC網段。
請勾選AZ可用區及下拉選取子網路,這裡分別為子網路C 10.80.3.0/25與子網路D 10.80.3.128/25。在這網段裡的所有VDI主機會一律往VPC Endpoint Gateway走。
請選取Security groups以及Policy,安全群組為之前建立的vdi-lab-sg,確認後請點選【Create endpoint】建立。如下圖所示。
WorkSpaces如果單純只透過endpoint出去的話,必須再另外建立三個端點服務(S3、KMS及CloudWatch),因這三個服務是WorkSpaces會額外使用到的服務。建立步驟與上述WorkSpaces endpoint相同。
-建立S3 Endpoint
請在VPC左邊功能選項中Endpoints,並點選【Create endpoint】建立。
為S3 Endpoint命名以及預設選取AWS service服務類型。
輸入關鍵字「s3」並下拉選擇Service Name:com.amazonaws.ap-northeast-1.s3。
請點選【Service Name:com.amazonaws.ap-northeast-1.s3】,並下拉選取VPC網段。
這裡請勾選tovgw路由表以及Policy,確認後請點選【Create endpoint】建立。
-建立 KMS Endpoint
請在VPC左邊功能選項中-> Endpoints,並點選【Create endpoint】建立。
為 KMS Endpoint 命名以及預設選取 AWS service 服務類型。
輸入關鍵字「kms」並下拉選擇Service Name:com.amazonaws.ap-northeast-1.kms。
請點選【Service Name:com.amazonaws.ap-northeast-1.kms】,並下拉選取VPC網段。
請勾選AZ可用區及下拉選取子網路,這裡一樣為子網路C 10.80.3.0/25與子網路D 10.80.3.128/25。
請選取Security groups以及Policy,安全群組為之前建立的vdi-lab-sg,確認後請點選【Create endpoint】建立。如下圖所示。
-建立CloudWatch Endpoint
請在VPC左邊功能選項中->Endpoints,並點選【Create endpoint】建立。
為CloudWatch Endpoint命名以及預設選取AWS service服務類型。
輸入關鍵字「log」並下拉選擇Service Name:com.amazonaws.ap-northeast-1.logs。
請點選【Service Name:com.amazonaws.ap-northeast-1.logs】,並下拉選取VPC網段。
請勾選AZ可用區及下拉選取子網路,這裡一樣為子網路C 10.80.3.0/25與子網路D 10.80.3.128/25。
請選取Security groups以及Policy,安全群組為之前建立的vdi-lab-sg,確認後請點選【Create endpoint】建立。如下圖所示。
下圖為Endpoints端點服務。
- 編輯Site-to-Site VPN靜態路由
續上集Site-to-Site VPN Connections配置,請在左邊功能選項中 -> Site-to-Site VPN
Connections,並點選to-gamania進行靜態路由編輯。在靜態路由IP Prefixes請編輯要通往地端的網段,預設為0.0.0.0/0預設路由。表示任何網段皆透過VPN路由至地端OA網路。
下圖為VPN靜態路由資訊。
配置地端Fortinet設備
- 編輯防火牆策略
續上集Fortinet設備配置。請編輯名稱為AWS_VDI_tunnel1-to-OA將Destination目的地由原本的OA_172.16.0.0及OA_172.19.0.0改成all即可,如下圖所示。
確認後請點選【OK】建立。
請編輯名稱為OA-to-AWS_VDI_tunnel1一樣將Destination目的地由原本的OA_172.16.0.0及OA_172.19.0.0改成all即可,如下圖所示。
確認後請點選【OK】建立。
- 配置靜態路由
-新增預設路由往OA網路(IP位址0.0.0.0/0)
請在左邊功能選項中->Static Routes,並點選【+Create New】建立。如下圖所示。
確認後請點選【OK】建立
-新增往AWS的OA WAN GW路由(IP位址3.115.205.133/32)
請在左邊功能選項中->Static Routes,並點選【+Create New】建立。如下圖所示。
確認後請點選【OK】建立。
- 新增往另一條AWS的OA WAN GW路由(IP位址54.248.60.48/32)
請在左邊功能選項中->Static Routes,並點選【+Create New】建立。如下圖所示。
確認後請點選【OK】建立。
下圖為靜態路由表。
Administrative Distance值都相同,表示負載均衡功能。這個值可依需求調整。
如下圖為二條VPN Tunnel連線狀態。
下圖為Tunnel1&Tunnel2的ACL規則。
- 配置Directory Service (AD Connector)
這裡新增一組AD Connector專屬給子網段(10.80.3.0/25與10.80.3.128/25)使用。如何建立AD Connector可參考上集的章節,配置大致相同只需指定的子網段不同而已。
- 啟用WorkSpaces VDI服務
-註冊目錄
開始建立WorkSpaces之前,需先註冊執行WorkSpaces子網到目錄(AD Connector)。這樣WorkSpaces就會依據註冊目錄所在的子網部署到該網段裡。這裡將剛剛新增的AD Connector註冊進去並部署WorkSpaces的子網段(10.80.3.0/25與10.80.3.128/25) 。
請在左邊功能選項中Directories,下拉Actions選項【Register】註冊。
-執行WorkSpaces主機
選擇左側WorkSpaces後,請點選【Launch WorkSpaces】,開始建立。
選擇WorkSpaces所在的目錄。該目錄(AD Connector)會依據所在的子網而部署。
續上集配置畫面會看到有二個AD Connector, 名稱gamania是上集所部署給子網段(10.80.1.0/24和10.80.2.0/24)使用。另一名稱d-95677335e2是這次部署給子網段(10.80.3.0/25與10.80.3.128/25)所使用 。
輸入AD使用者並點選【Search】搜尋。
將該AD使用者加入WorkSpaces。
選擇啟動的WorkSpaces映像檔,可選擇帶有Office映像。WorkSpaces也是目前在AWS上利用Office的唯一選擇。
這裡選擇【AutoStop】預設的模式,採用小時計費,適合短期使用。AlwaysOn類似月租概念,如需長期使用建議可選擇此模式,一個月下來會省非常多成本。
確認內容後,點選啟動WorkSpaces。
下圖為WorkSpaces在建立中。
WorkSpaces建立成功後,有二個重要資訊須知。
1.下載WorkSpaces Clients Link的連結
2.註冊代碼
-下載WorkSpaces Client程式
依據Clients Link連結,請下載客戶端程式。
在安裝過程中依Wizard步驟指示安裝即可,如下圖所示。
<…中間省略>
-登入WorkSpaces
啟動WorkSpaces Client程式,輸入註冊代碼後,並點選【Register】。
輸入AD使用者帳號及密碼後,請點選【Sign In】登入。
顯示如下頁面,成功登入WorkSpaces桌面 。
- 驗證WorkSpaces出Internet
如下圖為子網路D 10.80.3.128/25網段的WorkSpaces主機IP資訊。
該主機順利由OA出Internet(台灣區域),也可順利存取OA內網服務。
本章續上集章節,完整介紹情境一與情境二不同需求而有些微配置差異,本章節主要重點在於有些部門對網路有較嚴謹控管需求,要求所有連線流量都必須回至公司OA網路才能正常存取資源,不論是OA資源或者是Internet。希望本篇上下集文章對各位讀者有實質上的幫助,敬請關注我們,期待下一次有更好的實戰文章,以幫助讀者在實務上有更好的解決方案。