如需本節中所述步驟的完整詳細資料,請參閱官方 Amazon AWS PowerShell 說明文件。

必要條件

如果還沒有 Amazon AWS 帳戶,請建立一個。

程序

  1. 在 AWS 主控台中,建立存取金鑰,並取得存取金鑰識別碼和密碼存取金鑰。請在預設設定檔中設定這些內容。
    僅當您沒有存取金鑰識別碼和密碼存取金鑰時,此步驟才適用
    Set-AWSCredential -AccessKey AKIAI6428NKYOEXAMPLE `
    -SecretKey bvfhkvvfhsbvhsdbhfbvfhfhvfhdskvbhfvbfhEXAMPLE ` 
    -StoreAs default
  2. 在 Amazon S3 中建立一個值區,以儲存 Unified Access Gateway .vmdk 映像 (如果尚不存在)。
    $bucket="uag-images"
    New-S3Bucket -BucketName $bucket -Region us-east-2
  3. 在 Amazon AWS 中建立一個名為 vmimport 的 IAM 角色,並將原則套用至該角色。
    $importPolicyDocument = @"
    {
    "Version":"2012-10-17",
    "Statement":[
    {
    "Sid":"",
    "Effect":"Allow",
    "Principal":{
    "Service":"vmie.amazonaws.com"
    },
    "Action":"sts:AssumeRole",
    "Condition":{
    "StringEquals":{
    "sts:ExternalId":"vmimport"
    }
    }
    }
    ]
    }
    "@
    
    New-IAMRole -RoleName vmimport -AssumeRolePolicyDocument $importPolicyDocument
    
    $bucket="uag-images"
    $rolePolicyDocument = @"
    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Effect": "Allow",
    "Action": [
    "s3:GetBucketLocation",
    "s3:GetObject",
    "s3:ListBucket"
    ],
    "Resource": [
    "arn:aws:s3:::$bucket",
    "arn:aws:s3:::$bucket/*"
    ]
    },
    {
    "Effect": "Allow",
    "Action": [
    "ec2:ModifySnapshotAttribute",
    "ec2:CopySnapshot",
    "ec2:RegisterImage",
    "ec2:Describe*"
    ],
    "Resource": "*"
    }
    ]
    }
    "@
    
    Write-IAMRolePolicy -RoleName vmimport -PolicyName vmimport -PolicyDocument $rolePolicyDocument
  4. 在 EC2 中準備網路環境。可以從 EC2 管理主控台或使用 PowerShell 來執行這些步驟。只需完成一次這些步驟,即可為 Unified Access Gateway 部署準備 EC2 環境。為此,需要至少一個子網路。對於多個 NIC Unified Access Gateway 部署,每個 NIC 可以位於同一子網路中,也可以位於不同的子網路中。
  5. 為每個類型的 NIC 建立安全群組。
    安全群組包含一組防火牆規則,可限制 TCP 和 UDP 連接埠存取。一個安全群組可供多個 Unified Access Gateway 應用裝置共用。例如,您可以為 eth0 建立一個名為 UAG-Internet 的安全群組,並在建立 Unified Access Gateway 應用裝置時自動與第一個 NIC 相關聯。若要使用 Horizon,第一個 (UAG-Internet) 可以允許任何用戶端中的 TCP 連接埠 80、443、8443、4172 和 UDP 連接埠 443、8443、4172。如果您要允許透過 ssh 來存取 Unified Access Gateway,則必須在每個 .ini 檔案的 [一般] 區段中指定 sshEnabled=true。SSH 通常僅應用於測試,不能用於生產部署。您還應確保在安全群組中限制只有單一來源 IP 位址能存取 TCP 連接埠 22 上的 ssh,而不全面開放。
    使用 AWS 管理主控台,在網路和安全性設定中建立安全群組,以使用防火牆規則來限制 TCP 和 UDP 連接埠的存取。
  6. 如果可以直接從網際網路存取 Unified Access Gateway 應用裝置,則每個需要存取權的 NIC 都必須具有相關聯的公用 IP 位址 (稱為彈性 IP)。
  7. 對於每個 NIC,決定子網路識別碼、安全群組識別碼和公用 IP 分配識別碼。如果沒有為任何 NIC 指定安全群組識別碼,將使用預設安全群組。如果未指定公用 IP 識別碼,則該 NIC 將沒有公用 IP 位址,因此無法直接從網際網路來存取。如果在一組 Unified Access Gateway 應用裝置前面使用負載平衡器,可能會出現這種情況。