产品文档
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
查看 PDF

AWS 云环境

April 8, 2026
投稿者: 
C C

本文将引导您完成将您的 AWS 账户设置为资源位置以便与 Citrix Virtual Apps and Desktops 结合使用的过程。此资源位置用于将工作负载预配到 AWS EC2 和 Amazon WorkSpaces Core 托管实例中。有关 Amazon WorkSpaces Core 托管实例支持的操作系统类型列表,请参阅 Amazon WorkSpaces Core 托管实例中的 VDA

不同可配置资源位置的比较:适用于 AWS EC2 的 MCS、适用于 Amazon WorkSpaces Core 托管实例的 MCS 以及 适用于 Amazon WorkSpaces Core 捆绑包的快速部署

适用于 AWS EC2 的 MCS 适用于 Amazon WorkSpaces Core 托管实例的 MCS 适用于 Amazon WorkSpaces Core 捆绑包的快速部署
Citrix® 负责在您的 AWS 账户中预配 VM Citrix 负责在您的 AWS 账户中预配 VM Amazon 负责在 AWS 托管的 WorkSpaces 账户中预配 VM
用于 VM 生命周期管理的高级 MCS 工作流 用于 VM 生命周期管理的高级 MCS 工作流 5 步快速简便的工作流
EC2 实例 WorkSpaces Core 托管实例(利用直接在您的 AWS 账户中启动的按需 EC2 实例) WorkSpaces 捆绑包,完全由 AWS 管理的容量(更高级别的抽象)
不支持 Microsoft 365 许可 BYOL Microsoft 365 支持 BYOL Microsoft 365 支持
Windows Server、Windows Desktop 和 Linux Windows Server、Windows Desktop 和 Linux Windows Server、Windows Desktop
持久和非持久 VM 持久和非持久 VM 仅持久 VM
  • 仅按需付费 按需付费 仅按月固定价格
  • Citrix DaaS 和 Citrix Virtual Apps and Desktops™ Citrix DaaS 和 Citrix Virtual Apps and Desktops™ 仅限 Citrix DaaS

完成本文中的任务后,您的资源位置将包含以下组件:

  • 一个虚拟私有云 (VPC),其中包含单个可用区内的公共子网和私有子网。
  • 一个实例,它既充当 Active Directory 域控制器又充当 DNS 服务器,位于 VPC 的私有子网中。
  • 一个实例,它在您的 VPC 的公共子网中充当堡垒主机。此实例用于启动到私有子网中实例的 RDP 连接,以进行管理。完成资源位置设置后,您可以关闭此实例,使其不再易于访问。当您必须管理私有子网中的其他实例(例如 VDA 实例)时,可以重新启动堡垒主机实例。

任务概述

设置包含公共子网和私有子网的虚拟私有云 (VPC)。 完成此任务后,AWS 会在公共子网中部署一个带有弹性 IP 地址的 NAT 网关。此操作使私有子网中的实例能够访问 Internet。公共子网中的实例可访问入站公共流量,而私有子网中的实例则不能。

配置安全组。安全组充当虚拟防火墙,用于控制 VPC 中实例的流量。您可以向安全组添加规则,以允许公共子网中的实例与私有子网中的实例进行通信。您还将这些安全组与 VPC 中的每个实例相关联。

创建 DHCP 选项集。对于 Amazon VPC,DHCP 和 DNS 服务默认提供,这会影响您在 Active Directory 域控制器上配置 DNS 的方式。Amazon 的 DHCP 无法禁用,并且 Amazon 的 DNS 只能用于公共 DNS 解析,而不能用于 Active Directory 名称解析。要指定通过 DHCP 分配给实例的域和名称服务器,请创建 DHCP 选项集。该集会分配 Active Directory 域后缀并为 VPC 中的所有实例指定 DNS 服务器。为确保实例加入域时自动注册主机 (A) 和反向查找 (PTR) 记录,您需要为添加到私有子网的每个实例配置网络适配器属性。

-  **将堡垒主机和域控制器添加到 VPC**。通过堡垒主机,您可以登录到私有子网中的实例以设置域并将实例加入域。

任务 1:设置 VPC

  1. 在 AWS 管理控制台中,选择 VPC
  2. 在 VPC 控制面板中,选择 创建 VPC
  3. 选择 VPC 和更多
  4. 在 NAT 网关 ($) 下,选择 在 1 个可用区中每个可用区 1 个
  5. 在 DNS 选项下,保持选中 启用 DNS 主机名
  6. 选择 创建 VPC。AWS 会创建公共子网和私有子网、Internet 网关、路由表和默认安全组。

任务 2:配置安全组

此任务为您的 VPC 创建并配置以下安全组:

-  一个公共安全组,用于与公共子网中的实例关联。
-  一个私有安全组,用于与私有子网中的实例关联。

要创建安全组:

  1. 在 VPC 控制面板中,选择 安全组
  2. 为公共安全组创建一个安全组。选择 创建安全组,并为该组输入名称标签和描述。在 VPC 中,选择您之前创建的 VPC。选择 是,创建

配置公共安全组

  1. 在安全组列表中,选择公共安全组。

  2. 选择 入站规则 选项卡,然后选择 编辑 以创建以下规则:

类型
所有流量 选择私有安全组。
所有流量 选择公共安全组。
ICMP 0.0.0.0/0
22 (SSH) 0.0.0.0/0
80 (HTTP) 0.0.0.0/0
443 (HTTPS) 0.0.0.0/0
1494 (ICA/HDX) 0.0.0.0/0
2598 (会话可靠性) 0.0.0.0/0
3389 (RDP) 0.0.0.0/0

  1. 完成后,选择 保存

  2. 选择 出站规则 选项卡,然后选择 编辑 以创建以下规则:

类型 目标
所有流量 选择私有安全组。
所有流量 0.0.0.0/0
ICMP 0.0.0.0/0
  1. 完成后,选择 保存

配置私有安全组

  1. 在安全组列表中,选择私有安全组。

  2. 如果您尚未设置来自公共安全组的流量,则必须设置 TCP 端口;选择 入站规则 选项卡,然后选择 编辑 以创建以下规则:

类型
所有流量 选择私有安全组。 
-  | 所有流量 | 选择公共安全组。 |
-  | ICMP | 选择公共安全组。 | | TCP 53 \(DNS) | 选择公共安全组。 |
-  | UDP 53 \(DNS) | 选择公共安全组。 |
-  | 80 \(HTTP) | 选择公共安全组。 | | TCP 135 | 选择公共安全组。 | | TCP 389 | 选择公共安全组。 | | UDP 389 | 选择公共安全组。 | | 443 \(HTTPS) | 选择公共安全组。 |
-  | TCP 1494 \(ICA/HDX) | 选择公共安全组。 |
-  | TCP 2598 \(会话可靠性) | 选择公共安全组。 | | 3389 \(RDP) | 选择公共安全组。 | | TCP 49152–65535 | 选择公共安全组。 |

  1. 完成后,选择 保存

  2. 选择 出站规则 选项卡,然后选择 编辑 以创建以下规则:

类型 目标  
- 所有流量 选择私有安全组。
所有流量 0.0.0.0/0  
ICMP 0.0.0.0/0  
UDP 53 (DNS) 0.0.0.0/0   
-  1.  完成后,选择**保存**。

-  ## 任务 3:启动实例

-  执行以下步骤以创建两个 EC2 实例并解密 Amazon 生成的默认管理员密码:
  1. 在 AWS 管理控制台中,选择 EC2
  2. 在 EC2 控制面板中,选择启动实例
  3. 选择 Windows Server 计算机映像和实例类型。
  4. 配置实例详细信息页面上,输入实例名称并选择您之前设置的 VPC。

  5. 子网中,为每个实例进行以下选择:

    -  堡垒主机:选择公有子网
-  域控制器:选择私有子网

  6. 自动分配公有 IP 地址中,为每个实例进行以下选择:

    • 堡垒主机:选择启用
    • 域控制器:选择使用默认设置禁用
  7. 网络接口中,为域控制器输入私有子网 IP 范围内的主 IP 地址。
  8. 如有必要,在添加存储页面上,修改磁盘大小。
  9. 标记实例页面上,为每个实例输入一个易记名称。

  10. 配置安全组页面上,选择选择现有安全组,然后为每个实例进行以下选择:

    • 堡垒主机:选择公有安全组。

    • 域控制器:选择私有安全组。

      1. 查看您的选择,然后选择启动
      1. 创建新的密钥对或选择现有密钥对。如果您创建新的密钥对,请下载您的私钥 (.pem) 文件并将其保存在安全位置。在获取实例的默认管理员密码时,您必须提供您的私钥。
  11. 选择启动实例。选择查看实例以显示实例列表。请等待新启动的实例通过所有状态检查后再访问它。

    1. 获取每个实例的默认管理员密码:

    2. 在实例列表中,选择实例,然后选择连接
    3. 转到RDP 客户端选项卡,选择获取密码,并在出现提示时上传您的私钥 (.pem) 文件。
    4. 选择解密密码以获取可读密码。AWS 将显示默认密码。

  1. 重复步骤 2 中的步骤,直到您创建了两个实例:

    • 公有子网中的一个堡垒主机实例
    • 私有子网中用作域控制器的一个实例。

任务 4:创建 DHCP 选项集

  1. 在 VPC 控制面板中,选择 DHCP 选项集

  2. 输入以下信息:

    • 名称标签:为该集输入一个易记名称。
    • 域名:输入配置域控制器实例时使用的完全限定域名。
    • 域名服务器:输入分配给域控制器实例的私有 IP 地址和字符串 AmazonProvidedDNS,用逗号分隔。
    • NTP 服务器:将此字段留空。
    • NetBIOS 名称服务器:输入域控制器实例的私有 IP 地址。
    • NetBIOS 节点类型:输入 2

  3. 选择是,创建

  4. 将新集与您的 VPC 关联:

    1. 在 VPC 控制面板中,选择您的 VPC,然后选择您之前设置的 VPC。
    2. 选择操作 > 编辑 DHCP 选项集
    3. 出现提示时,选择您创建的新集,然后选择保存

任务 5:配置实例

  1. 使用 RDP 客户端连接到堡垒主机实例的公有 IP 地址。出现提示时,输入管理员帐户的凭据。

  2. 从堡垒主机实例启动远程桌面连接,并连接到要配置的实例的私有 IP 地址。出现提示时,输入实例的管理员凭据。

  3. 对于私有子网中的所有实例,配置 DNS 设置:

    1. 选择开始 > 控制面板 > 网络和 Internet > 网络和共享中心 > 更改适配器设置。双击显示的“网络连接”。
    2. 选择属性 > Internet 协议版本 4 (TCP/IPv4) > 属性

    3. 选择高级 > DNS。确保以下设置已启用,然后选择确定

      • 在 DNS 中注册此连接的地址
      • 在 DNS 注册中使用此连接的 DNS 后缀

  4. 要配置域控制器:

    1. 使用服务器管理器,添加具有所有默认功能的 Active Directory 域服务角色。
    2. 将实例提升为域控制器。在提升过程中,启用 DNS 并使用您在创建 DHCP 选项集时指定的域名。出现提示时,重新启动实例。

有关 AWS 权限的信息,请参阅 所需的 AWS 权限 - Amazon EC2所需的 AWS 权限 - Amazon WorkSpaces Core 托管实例

后续步骤

更多信息

AWS 云环境
April 8, 2026
投稿者: 
C C
April 8, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.