AWS-WorkSpaces雲端桌面服務 (下集)

2023/02/08

依據上集的建置相信讀者在情境一可快速部署一個雲地的IPSec VPN備援連線並監測VPN Tunnel狀態。位於子網路A與子網路B部門的WorkSpaces主機皆直接透過AWS IGW出Internet外網。而此下集情境: 則位於在子網路C與子網路D部門的WorkSpaces主機因特殊需求則必須VPN回地端才能出Internet。有關於完整架構圖可參考上集文章,下面就開始一起來部署吧!


作業流程

- 建立VPC的子網路

- 新增路由表

- 新增路由表並與子網路關聯

- 新增VPC Endpoint Gateway

- 編輯Site-to-Site VPN靜態路由

- 配置地端Fortinet設備(FortGate 60E)

- 配置Directory Service (AD Connector)

- 啟用WorkSpaces VDI服務

- 驗證WorkSpaces VDI出Internet


雲端AWS配置

- 需求

新增C Subnet 網段: 10.80.3.0/25 (Private subnet)

新增D Subnet 網段: 10.80.3.128/25 (Private subnet)


- 建立VPC的子網路

在VPC裡, 直接將上集的10.80.0.0/16網段再劃分給底下的子網路。這裡分別再切出子網路C 10.80.3.0/25與子網路D 10.80.3.128/25。

請在左邊功能選項中 -> Subnets,並點選右上角【Create subnet】建立。

Create subnet


這裡的子網路的建立步驟相信有看過上集的讀者應該都知道怎麼配置,如果還不知道如何建立子網路建議可參考上集配置喔^^


下圖為完成所有子網路的建立。

完成所有子網路的建立


- 新增路由表

接下來我們要來新增一個tovgw路由表,名稱可自訂其主要目的是要給子網C 10.80.3.0/25與子網D 10.80.3.128/25來使用。

請在左邊功能選項中 -> Route tables,並點選右上角【Create route table】建立。

新增路由表

請輸入路由名稱並指定套用VPC1。

請輸入路由名稱並指定套用VPC

請輸入路由名稱並指定套用VPC2


- 路由表與子網路關聯

請在左邊功能選項中 -> Route tables,選取路由表->並點選Subnet associations ->【Edit subnet associations】建立。

Edit subnet associations

請勾選欲關聯的子網路,這裡為子網C 10.80.3.0/25與子網D 10.80.3.128/25。

請勾選欲關聯的子網路

下圖為路由表子網路的關聯。

路由表子網路的關聯

在tovgw路由表加入0.0.0.0/0並指向目標VPN Gateway(vgw)。表示預設路由經由vgw至VPN。下圖為tovgw路由表。


tovgw路由表


- 新增VPC Endpoint Gateway

因這裡不經由 IGW 出 Internet ,必須建立一個 VPC Endpoint 再把這 VPC Endpoint Attach 附加到這路由表,當它在解析位址時就會透過它繞出去。

-建立WorkSpaces Endpoint

請在VPC左邊功能選項中 -> Endpoints,並點選【Create endpoint】建立。

Endpoints

為WorkSpaces Endpoint命名以及預設選取AWS service服務類型。

預設選取AWS service服務類型

輸入關鍵字「workspace」並下拉選擇 Service Name:com.amazonaws.ap-northeast-1.workspaces。

Service Name


請點選【Service Name:com.amazonaws.ap-northeast-1.workspaces】,並下拉選取VPC網段。

下拉選取VPC網段

請勾選AZ可用區及下拉選取子網路,這裡分別為子網路C 10.80.3.0/25與子網路D 10.80.3.128/25。在這網段裡的所有VDI主機會一律往VPC Endpoint Gateway走。

請勾選AZ可用區及下拉選取子網路

請選取Security groups以及Policy,安全群組為之前建立的vdi-lab-sg,確認後請點選【Create endpoint】建立。如下圖所示。

請選取Security groups以及Policy

確認後請點選【Create endpoint】建立

WorkSpaces如果單純只透過endpoint出去的話,必須再另外建立三個端點服務(S3、KMS及CloudWatch),因這三個服務是WorkSpaces會額外使用到的服務。建立步驟與上述WorkSpaces endpoint相同。

-建立S3 Endpoint

請在VPC左邊功能選項中Endpoints,並點選【Create endpoint】建立。

請在VPC左邊功能選項中Endpoints


為S3 Endpoint命名以及預設選取AWS service服務類型。

預設選取AWS service服務類型

輸入關鍵字「s3」並下拉選擇Service Name:com.amazonaws.ap-northeast-1.s3。

輸入關鍵字「s3」

請點選【Service Name:com.amazonaws.ap-northeast-1.s3】,並下拉選取VPC網段。

Service Name:com.amazonaws.ap-northeast-1.s3

這裡請勾選tovgw路由表以及Policy,確認後請點選【Create endpoint】建立。

這裡請勾選tovgw路由表以及Policy

,確認後請點選【Create endpoint】建立。

-建立 KMS Endpoint

請在VPC左邊功能選項中-> Endpoints,並點選【Create endpoint】建立。

建立 KMS

為 KMS Endpoint 命名以及預設選取 AWS service 服務類型。

為 KMS Endpoint 命名以及預設選取 AWS service 服務類型

輸入關鍵字「kms」並下拉選擇Service Name:com.amazonaws.ap-northeast-1.kms。

輸入關鍵字「kms」並下拉選擇

請點選【Service Name:com.amazonaws.ap-northeast-1.kms】,並下拉選取VPC網段。

請點選【Service Name:com.amazonaws.ap-northeast-1.kms

請勾選AZ可用區及下拉選取子網路,這裡一樣為子網路C 10.80.3.0/25與子網路D 10.80.3.128/25。

請勾選AZ可用區及下拉選取子網路

請選取Security groups以及Policy,安全群組為之前建立的vdi-lab-sg,確認後請點選【Create endpoint】建立。如下圖所示。

請選取Security groups以及Policy,安全群組為之前建立的vdi-lab-sg

請選取Security groups以及Policy,安全群組為之前建立的vdi-lab-sg 2

-建立CloudWatch Endpoint

請在VPC左邊功能選項中->Endpoints,並點選【Create endpoint】建立。

建立CloudWatch Endpoint

為CloudWatch Endpoint命名以及預設選取AWS service服務類型。

為CloudWatch Endpoint命名以及預設選取AWS service服務類型

輸入關鍵字「log」並下拉選擇Service Name:com.amazonaws.ap-northeast-1.logs。

輸入關鍵字「log」並下拉選擇Service Name:

請點選【Service Name:com.amazonaws.ap-northeast-1.logs】,並下拉選取VPC網段。

請點選【Service Name:com.amazonaws.ap-northeast-1.logs】,並下拉選取VPC網段

請勾選AZ可用區及下拉選取子網路,這裡一樣為子網路C 10.80.3.0/25與子網路D 10.80.3.128/25。

勾選AZ可用區及下拉選取子網路,這裡一樣為子網路C 10.80.3.0/25與子網路D 10.80.3.128/25

請選取Security groups以及Policy,安全群組為之前建立的vdi-lab-sg,確認後請點選【Create endpoint】建立。如下圖所示。

請選取Security groups以及Pol

下圖為Endpoints端點服務。

下圖為Endpoints端點服務

- 編輯Site-to-Site VPN靜態路由

續上集Site-to-Site VPN Connections配置,請在左邊功能選項中 -> Site-to-Site VPN

Connections,並點選to-gamania進行靜態路由編輯。在靜態路由IP Prefixes請編輯要通往地端的網段,預設為0.0.0.0/0預設路由。表示任何網段皆透過VPN路由至地端OA網路。

下圖為VPN靜態路由資訊。

下圖為VPN靜態路由資訊

配置地端Fortinet設備

- 編輯防火牆策略

續上集Fortinet設備配置。請編輯名稱為AWS_VDI_tunnel1-to-OA將Destination目的地由原本的OA_172.16.0.0及OA_172.19.0.0改成all即可,如下圖所示。

將Destination目的地由原本的OA_172.16.0.0及OA_172.19.0.0改成all即可

將Destination目的地由原本的OA_172.16.0.0及OA_172.19.0.0改成all即可2

將Destination目的地由原本的OA_172.16.0.0及OA_172.19.0.0改成all即可3

確認後請點選【OK】建立。


請編輯名稱為OA-to-AWS_VDI_tunnel1一樣將Destination目的地由原本的OA_172.16.0.0及OA_172.19.0.0改成all即可,如下圖所示。

請編輯名稱為OA-to-AWS_VDI_tunnel1一樣將

請編輯名稱為OA-to-AWS_VDI_tunnel1一樣將2"

確認後請點選【OK】建立。


- 配置靜態路由

-新增預設路由往OA網路(IP位址0.0.0.0/0)

請在左邊功能選項中->Static Routes,並點選【+Create New】建立。如下圖所示。


請在左邊功能選項中-

確認後請點選【OK】建立


-新增往AWS的OA WAN GW路由(IP位址3.115.205.133/32)

請在左邊功能選項中->Static Routes,並點選【+Create New】建立。如下圖所示。


增往AWS的OA WAN GW路由(IP位址3.115.205.133/32)

確認後請點選【OK】建立。

- 新增往另一條AWS的OA WAN GW路由(IP位址54.248.60.48/32)

請在左邊功能選項中->Static Routes,並點選【+Create New】建立。如下圖所示。


請在左邊功能選項中-點選【+Cre

確認後請點選【OK】建立。


下圖為靜態路由表。

圖為靜態路由

Administrative Distance值都相同,表示負載均衡功能。這個值可依需求調整。


如下圖為二條VPN Tunnel連線狀態。

Distance值都相同,表示負載均衡功能

Distance值都相同,表示負載均衡功能2

下圖為Tunnel1&Tunnel2的ACL規則。

下圖為Tunnel1&Tunnel2的ACL規則

- 配置Directory Service (AD Connector)

這裡新增一組AD Connector專屬給子網段(10.80.3.0/25與10.80.3.128/25)使用。如何建立AD Connector可參考上集的章節,配置大致相同只需指定的子網段不同而已。


- 啟用WorkSpaces VDI服務

-註冊目錄

開始建立WorkSpaces之前,需先註冊執行WorkSpaces子網到目錄(AD Connector)。這樣WorkSpaces就會依據註冊目錄所在的子網部署到該網段裡。這裡將剛剛新增的AD Connector註冊進去並部署WorkSpaces的子網段(10.80.3.0/25與10.80.3.128/25) 。

請在左邊功能選項中Directories,下拉Actions選項【Register】註冊。


下拉Actions選項【Register】註冊

-執行WorkSpaces主機

選擇左側WorkSpaces後,請點選【Launch WorkSpaces】,開始建立。

Launch WorkSpaces

選擇WorkSpaces所在的目錄。該目錄(AD Connector)會依據所在的子網而部署。

續上集配置畫面會看到有二個AD Connector, 名稱gamania是上集所部署給子網段(10.80.1.0/24和10.80.2.0/24)使用。另一名稱d-95677335e2是這次部署給子網段(10.80.3.0/25與10.80.3.128/25)所使用 。

另一名稱d-95677335e2是這次部署給子網段

輸入AD使用者並點選【Search】搜尋。

輸入AD使用者並點選Search搜尋

將該AD使用者加入WorkSpaces。

將該AD使用者加入WorkSpaces

選擇啟動的WorkSpaces映像檔,可選擇帶有Office映像。WorkSpaces也是目前在AWS上利用Office的唯一選擇。

WorkSpaces也是目前在AWS上利用Office的唯一選擇

WorkSpaces也是目前在AWS上利用Office的唯一選擇2

這裡選擇【AutoStop】預設的模式,採用小時計費,適合短期使用。AlwaysOn類似月租概念,如需長期使用建議可選擇此模式,一個月下來會省非常多成本。

採用小時計費,適合短期使用

確認內容後,點選啟動WorkSpaces。


點選啟動WorkSpaces

下圖為WorkSpaces在建立中。

下圖為WorkSpaces在建立中

WorkSpaces建立成功後,有二個重要資訊須知。

1.下載WorkSpaces Clients Link的連結

2.註冊代碼


-下載WorkSpaces Client程式

依據Clients Link連結,請下載客戶端程式。

依據Clients Link連結,請下載客戶端程式

在安裝過程中依Wizard步驟指示安裝即可,如下圖所示。

安裝過程中依Wizard步驟指示安裝即可

<…中間省略>

安裝過程中依Wizard步驟指示安裝即可2

-登入WorkSpaces

啟動WorkSpaces Client程式,輸入註冊代碼後,並點選【Register】。

啟動WorkSpaces Client程式,輸入註冊代碼

輸入AD使用者帳號及密碼後,請點選【Sign In】登入。

輸入AD使用者帳號及密碼後

顯示如下頁面,成功登入WorkSpaces桌面 。

顯示如下頁面,成功登入

- 驗證WorkSpaces出Internet

如下圖為子網路D 10.80.3.128/25網段的WorkSpaces主機IP資訊。

如下圖為子網路D

該主機順利由OA出Internet(台灣區域),也可順利存取OA內網服務。

該主機順利由OA出Internet(台灣區域),也可順利存取OA內網服務

本章續上集章節,完整介紹情境一與情境二不同需求而有些微配置差異,本章節主要重點在於有些部門對網路有較嚴謹控管需求,要求所有連線流量都必須回至公司OA網路才能正常存取資源,不論是OA資源或者是Internet。希望本篇上下集文章對各位讀者有實質上的幫助,敬請關注我們,期待下一次有更好的實戰文章,以幫助讀者在實務上有更好的解決方案。


其他訊息