【带图操作指南】使用 AWS Amazon WorkSpaces 构建远程工作环境

背景

入职不久后，领导让我在 AWS 上构建远程办公环境。
因为我是唯一的理科出身，所以被委派了这个任务，但其实我从未接触过 AWS。
我们公司员工都在办公室通过自己的桌面电脑工作。
为了满足领导的要求，我开始学习 AWS。

工作本身需要通过公司电脑上安装的软件来完成。
我建议将软件安装在笔记本电脑上分发给员工，这样就可以不用 AWS 实现远程办公。
然而，这样做暴露了一些问题：

后者可以通过 Google Drive 等工具解决，但前者相对困难。为了实现远程办公，需要授权每位员工家中网络的 IP 地址。

通过使用 AWS 的 Amazon WorkSpaces，可以为每位员工提供虚拟桌面环境。
虚拟桌面位于虚拟网络 (VPC) 内，需要指定互联网的出口。
使用 NAT 网关可以固定 IP 地址，使员工在任何有互联网的地方都可以访问桌面。
以下是大致的配置：

假设已经使用公司信用卡创建了 AWS 账户，并且已经登录到管理控制台。

从以下 URL 创建 VPC、子网等
https://us-east-1.console.aws.amazon.com/vpcconsole/home?region=us-east-1#CreateVpc:createMode=vpcWithResources
使用以下设置创建。 (除下划线项目外，其余均为默认设置）。
- 要创建的资源：VPC 等
  - 这将同时创建子网等。
- 自动生成名称标签： ☑ 自动生成 “远程工作环境”。
  - 这将自动命名 VPC 和子网。以后可以更改。
- IPv4 CIDR 块：10.0.0.0/16
  - VPC 的私有 IP 地址范围。以后不能更改。
  - 在连接互联网时，它与公共 IP 地址无关。
- 可用区（AZ）数量：2
  - 这表示子网所在的 AWS 数据中心的数量。
- 公有子网的数量：2
  - 这是可以连接到互联网的子网数量。
- 私有子网的数量：2
  - 不能连接互联网的子网数量。
- NAT 网关 ($): 在 1 个可用区中
  - 如果使用 NAT 网关，此设置将决定是否将其放置在所有 AZ 中。
  - 每次在一个 AZ 中创建一个 NAT 网关，因为每个 NAT 网关的数量都有成本。
  - ($）符号表示需要付费）。
- VPC 终端节点：S3 网关
  - 这似乎允许从 VPC 直接访问 S3。
  - 附加本身是免费的，而且似乎有助于减少费用，所以我还是保留它。

从以下 URL 创建目录
https://us-east-1.console.aws.amazon.com/directoryservicev2/home?region=us-east-1#!/create
[步骤 1] 选择目录类型
- 目录类型： ⦿ AWS 管理的 Microsoft AD

[步骤 2] 输入目录信息
- 版本： ⦿ 标准版
- 目录 DNS 名称：corp.awsexample.com
- 管理员密码： **********

在以下 URL 注册 WorkSpaces 使用的目录
https://us-east-1.console.aws.amazon.com/workspaces/v2/directories/create-directory
使用以下设置注册。
- WorkSpace 类型： ⦿ 个人
- WorkSpace 设备管理： ⦿ AWS 目录服务
- 已取消註冊 AWS Directory Service 中的目录： ⦿ 在 创建目录服务 中创建的目录
- 注册：在创建 VPC 中创建了 2 个专用子网

从以下 URL 创建工作空间
https://us-east-1.console.aws.amazon.com/workspaces/v2/workspaces/create-workspaces
[步骤 1] 选择目录
- 目录： ⦿ 在 创建目录服务 中创建的目录