带上你自己的 Windows 桌面许可证 WorkSpaces - Amazon WorkSpaces
使用自带 Windows 桌面许可证 WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

带上你自己的 Windows 桌面许可证 WorkSpaces

为了遵守 Microsoft 许可条款,请在 Amazon 云端专为你设计的硬件 WorkSpaces上 Amazon 运行 BYOL。通过提供您自己的许可证,您可以为用户提供一致的体验。有关更多信息,请参阅WorkSpaces 定价

重要

已从一个版本的 Windows 11 升级到较新版本的 Windows 11(Windows 功能/版本升级)的 Windows 11 系统不支持创建映像。例如,升级到 24H2 的 Windows 11 23H2 系统不能用于创建映像。但是, WorkSpaces 映像创建过程支持 Windows 累积更新或安全更新。

主题

使用自带 Windows 桌面许可证 WorkSpaces

按照以下步骤在亚马逊中导入和使用您自己的 Windows 桌面许可证 WorkSpaces

在开始之前,请验证以下几点:

  • 您的 Microsoft 许可协议是否允许 Windows 在虚拟托管环境中运行。

  • 如果您要使用 non-GPU-enabled捆绑包(Graphics.g4dn、.g4dn、Graphics 和以外的捆绑包 GraphicsPro),请确认每个区域至少要使用 50 个 GraphicsPro。 WorkSpaces 这些 50 WorkSpaces 可以是 AlwaysOn 和的任意组合 AutoStop WorkSpaces。要在专用硬件 WorkSpaces 上运行,则要求 WorkSpaces 每个区域至少使用 50 个。为了符合 Microsoft 的许可要求,你必须在专用硬件 WorkSpaces 上运行。专用硬件在 Amazon 侧面配置,因此您的 VPC 可以保持默认租期。

    如果您计划使用支持 GPU 的捆绑包(Graphics.g4dn、 GraphicsPro .g4dn、Graphics 和 GraphicsPro),请确认在专用硬件上每月在一个区域中至少运行 4 AlwaysOn 或 20 个 GPU 支持。 AutoStop WorkSpaces

    注意

    • 作为图像导入过程的一部分, Amazon 自动检索系统日志以解决图像导入错误,提供故障排除帮助,并向用户提供准确的错误消息。

    • Graphics.g4dn、 GraphicsPro .g4dn、Graphics 和 GraphicsPro 捆绑包在非洲(开普敦)地区和以色列(特拉维夫)地区不可用。

    • 要 WorkSpaces 在非洲(开普敦)地区跑步,你需要 WorkSpaces 在非洲(开普敦)地区跑至少400分。

    • 为了获得最佳的视频会议体验,我们建议使用 Power(4 vCPU、16 GB 或更高内存)套装。

  • WorkSpaces 可以使用 /16 IP 地址范围内的管理接口。管理接口连接到用于交互式流媒体的安全 WorkSpaces 管理网络。这样可以 WorkSpaces 管理你的 WorkSpaces. 有关更多信息,请参阅 网络接口。您必须至少从以下 IP 地址范围之一保留 /16 子网掩码用于此目的:

    • 10.0.0.0/8

    • 100.64.0.0/10

    • 172.16.0.0/12

    • 192.168.0.0/16

    • 198.18.0.0/15

    注意

    • 在您采用该 WorkSpaces 服务时,可用的管理接口 IP 地址范围经常发生变化。要确定当前有哪些范围可用,请运行 list-available-management-cidr-ranges Amazon Command Line Interface (Amazon CLI) 命令。

    • 除了您选择的 /16 CIDR 块外,54.239.224.0/20 IP 地址范围还用于所有区域的管理接口流量。 Amazon

  • 在导入 BYOL 自定义虚拟机映像之前,请验证您的映像

    WorkSpaces 仅支持启用了 UEFI 启动模式的图像。有关 EC2 Image Builder 如何检测启动模式的更多信息,请参阅《虚拟机 Import/Export 用户指南》中的 “虚拟机导入/导出” 支持的卷类型和文件系统

支持 BYOL 的 Windows 版本

您的 VM 必须运行以下 Windows 版本之一:

  • Windows 10 版本 22H2(2022 年 11 月更新)

  • Windows 10 Enterprise LTSC 2019(1809)

  • Windows 10 Enterprise LTSC 2021(21H2)

  • Windows 11 Enterprise 23H2(2023 年 10 月发布)

所有支持的操作系统版本都支持您使用的 Amazon 区域中可用的所有计算类型 WorkSpaces。微软不再支持的 Windows 版本不能保证能正常运行,Support 也不支持这些版本。 Amazon

注意

目前,BYOL 不支持 Windows 11 版本。

在确认自己满足将 Windows BYOL 与一起使用的先决条件后 WorkSpaces,需要启用您的帐户才能使用 BYOL 映像。

  1. 在 WorkSpaces 控制台中,导航至 “账户设置” 页面。

  2. 在 “自带许可证 (BYOL)” 部分,将显示您账户的 BYOL 启用状态。如果状态显示您的帐户未启用,请选择 “BYOL 入门” 按钮。

  3. 在 BYOL 页面上,选择 “为 BYOL 启用帐户”。

    注意

    在您的账户中启用 BYOL 仅适用于单个区域。请记下您当前所在的地区,如果您想使用其他区域,请在启用账户之前切换到该区域。

  4. 将出现一个弹出模式,确认您了解使用 BYOL WorkSpaces 的最低要求。确认您对要求的理解,然后选择启用账户。

    注意

    如果您打算将 Graphics WorkSpaces 与 BYOL 配合使用,请创建 Su Amazon pport 请求单。控制台尚不支持启用 Graphics BYOL。 WorkSpaces

  5. 在大多数情况下,账户会自动启用。但是,有些账户需要进一步审核。刷新后,启用状态将显示在 BYOL 页面上。

  6. 当您的账户启用 BYOL 后,请继续执行下一步。

注意

此步骤仅适用于要导入的自定义 VM 映像。如果您正在导入 Windows ISO,则可以跳过此步骤。

如果您要导入自定义的虚拟机映像,我们建议您运行 WorkSpaces Image Checker 工具,以确保您的虚拟机与 WorkSpaces兼容。Image Checker 工具运行一系列测试,可以帮助修复兼容性问题。

下载图像兼容性检查器脚本

在下载并运行映像兼容性检查器脚本之前,请确认您的虚拟机上已安装最新的 Windows 安全更新。此脚本在运行时会禁用 Windows 更新服务。

  2. Downloads 文件夹中,创建一个 BYOL 文件夹。

  3. ImageCompatibilityChecker.zip 中提取文件并将其复制到 Downloads\BYOL 文件夹。

  4. 删除 Downloads\ImageCompatibilityChecker.zip 文件夹,以便仅保留提取的文件。

执行以下步骤以运行图像兼容性检查器脚本。

运行图像兼容性检查器脚本

  1. 以管理员身份打开 Powershell。

    1. 选择 Windows 的 “开始” 按钮。

    2. 右键单击 Windows PowerShell

    3. 选择以管理员身份运行

    4. 如果出现用户帐户控制提示,请选择 “”。

  2. 在 PowerShell 命令提示符处,切换到 “图像兼容性检查器” 脚本所在的目录。例如,如果脚本位于 Downloads\BYOL 目录中,请输入以下命令并按 Enter

    cd C:\Users\username\Downloads\BYOL

  3. 输入以下命令以更新计算机上的 PowerShell 执行策略。这样做可以运行 “图像兼容性检查器” 脚本:

    Set-ExecutionPolicy AllSigned

  4. 当系统提示您确认是否更改 PowerShell 执行策略时,请输入A以指定 Yes to All。

  5. 输入以下命令运行映像兼容性检查器脚本:

    .\ImageCompatibilityChecker.ps1

  6. 如果有安全通知出现,请按 R 键以运行一次。

  7. 在 “WorkSpaces 图像验证” 对话框中,选择 “运行测试”。

  8. 每个测试完成后,您都可以查看测试的状态。对于状态为 FAILED (失败) 的任何测试,请选择 Info (信息) 以显示有关如何解决导致失败的问题的信息。如果任何测试显示了状态 WARNING (警告),请选择 Fix All Warnings (修复所有警告) 按钮。

  9. 适当时,请解决导致测试故障和警告的任何问题,然后重复 步骤 7步骤 8,直到 VM 通过所有测试。您在导出 VM 之前必须解决所有故障和警告。

  10. BYOL 脚本检查程序将生成两个日志文件:WorkSpacesImageCompatabilityCheckLogYYYY-MM-DD_HHmmss.txtImageInfo.text。这些文件位于包含图像兼容性检查器脚本文件的目录中。

    提示

    请勿删除这些文件。出现问题时,它们可能有助于解决问题。

  11. 如果您的 VM 通过了所有测试,您将收到 Validation Successful (验证成功) 消息。

    您还将看到运行 Sysprep 的提示。关闭提示,暂时不要运行 Sysprep。

  12. 关闭虚拟机并将其导出。有关更多信息,请参阅《虚拟机 Import/Export 用户指南》中的将虚拟机从其虚拟化环境中导出

  13. (可选)启动虚拟机并再次运行映像兼容性检查器脚本。应通过所有验证。屏幕将再次弹出,上面有一个用于运行 Sysprep 的按钮。选择运行 Sysprep。如果 Sysprep 成功,则可以将您在步骤 12 中导出的虚拟机导入到亚马逊弹性计算云 (Amazon)。 EC2

    如果 Sysprep 不成功,请查看 %WINDIR%\System32\Sysprep\Panther 路径中的 Sysprep 日志,从步骤 12 回滚到导出的虚拟机,解决报告的问题,然后通过导出固定虚拟机再次完成步骤 12。然后,您将重新运行图像兼容性检查器脚本以确保问题已得到解决。

    Sysprep 失败的最常见原因是未针对所有用户卸载现代 AppX 程序包。使用 Remove-AppxPackage PowerShell cmdlet 移除 AppX 软件包。

  14. 将您在步骤 12 中导出的虚拟机导入到 Amazon EC2。

执行以下步骤导入您的图像并创建 WorkSpaces BYOL 映像:

  1. 前往导航窗格并选择图像,然后选择导入图像

  2. 根据基础图像选项和要导入的图像类型,按照导入图像页面上的步骤进行操作:

    • 虚拟机导入-导入已自定义的虚拟机映像。您可以导入VHDXVMDK、或OVF文件。

    • ISO 导入 — 导入你从微软下载但尚未自定义的 Windows ISO 映像。

    • AMI 导入 — 导入现有亚马逊 EC2 AMI 以用作 WorkSpaces BYOL 映像。

  3. 请执行以下操作之一:

    • 对于虚拟机导入选项,请将您的文件上传到 Amazon S3,然后指定要导入的文件的位置。请注意,您使用的 S3 存储桶必须与您打算部署 BYOL WorkSpaces 的区域相同。

    • 导入 ISO,请导入你从微软下载但尚未自定义的 Windows ISO 映像。请注意,您使用的 S3 存储桶必须与您打算部署 BYOL WorkSpaces 的区域相同。

    • 导入 AMI,请指定 AMI ID。

  4. 转到基础架构配置

    WorkSpaces 自动创建 Amazon EC2 Image Builder 管道来构建 BYOL 映像。基础架构配置定义了如何配置 EC2 Image Builder 来构建您的映像。您可以使用以下设置对其进行自定义:

    • 服务默认值-创建并使用默认 IAM 角色和策略来构建您的映像。

    • 使用现有基础设施配置 — 提供在 Amazon Im EC2 age Builder 中设置的自定义基础设施配置可供选择。有关更多信息,请参阅 I EC2 mage Builder 用户指南中的创建基础设施配置

  5. 前往高级设置并选择是否要在图像遇到导入错误时终止 EC2 构建实例。

    • 如果您选择在出现故障时终止实例,则在图像导入工作流程中,您将无法访问该实例来调试错误。

    • 如果您选择不终止实例,则可以使用该实例来调试错误,但运行该 EC2 实例可能会产生额外费用。

  6. 前往图片详情以指定图片的属性:包括图像名称。

    • 图片名称-图片的唯一标识符。

    • 计算类型-指定此映像应使用非显卡/基础硬件还是图形硬件

    • 操作系统版本-选择映像的 Windows 操作系统版本

    • 语义版本-为图像定义语义版本,该版本将存储在 Image Builder EC2 中。有关更多信息,请参阅 Image Builder 用户指南中的 Image Builder 中的EC2 语义版本控制

注意

在 BYOL 导入过程中,将在您的 Amazon 账户中创建 EC2 Image Builder 资源。为了创建映像,如果名为的服务关联角色尚不存在,AWSServiceRoleForImageBuilder则会自动创建该角色。此角色将包含 Amazon 托管策略AWSServiceRoleForImageBuilder。您还必须拥有虚拟机导入/导出所需的权限才能导入自定义虚拟机映像。

在创建您的图像时,控制台的 “图像” 页面上的状态显示为 “待处理”。BYOL 摄取过程至少需要 90 分钟。

导入图片时出现的错误将与建议的分辨率一起显示在 “图片” 页面上。详细日志可在亚马逊导入图像时创建的 Image Builder 日志组 CloudWatch 下找到。可能的错误类型有:

  • 图像错误-Image Builder 无法生成 EC2 图像。修复虚拟化环境中的问题并导入新映像。

  • Image Builder 错误-尝试构建您的映像时出错。查看亚马逊上的 Image Builder 日志,了解更多 CloudWatch 详情

  • EC2 错误-您的图像存在无法自动修复的问题。要解决这些错误,您可以连接到 Amazon EC2 实例(如果该实例设置为在构建失败时不终止)并直接执行修复。然后,您可以从 “图像” 页面重试导入。

  • 自动修复错误-这些问题已由自动修复。 WorkSpaces无需进一步操作。

有关常见错误的详细信息,请参阅常见错误消息及其解决方案。

BYOL 在专用硬件上 WorkSpaces 运行,以符合微软许可条款。为了支持这一点,我们创建了 BYOL 管理接口,以便在您 WorkSpaces 和 Amazon 托管 WorkSpaces 管理网络之间建立安全连接。有关更多信息,请参阅网络接口

如果您在同一地区有其他 Amazon 账户启用了 BYOL 功能,则可以跨账户使用相同的管理界面来预留更少的 IP 地址。为此,请跳过此步骤并继续下一步。

选择管理接口 IP 地址范围

  1. 返回 “账户设置” 中的 BYOL 页面。

  2. “选择 IP 范围” 部分中,选择 “选择 IP 范围” 按钮。

  3. 通过提供您的网络上可用的 IP 地址范围来输入搜索范围。 WorkSpaces 返回与您的搜索相匹配的可用的 /16 网络掩码 IP 地址范围。

  4. 选择可用的 IP 地址范围(显示为 CIDR 块)。

    注意

    请注意,一旦为管理接口选择了 IP 范围,就无法对其进行更改。

如果您在同一地区有其他 Amazon 账户启用了 BYOL 功能,则可以跨账户使用相同的管理界面来预留更少的 IP 地址。

要链接到现有的 BYOL 帐户,请不要选择 IP 地址范围。

关联 BYOL 账户

  1. 登录已启用 BYOL WorkSpaces 的 Amazon 账户。

  2. 在 “账户设置” 中导航到 BYOL 页面。

  3. “选择 IP 范围” 部分中,选择 “账户关联” 部分下的 “发送邀请” 按钮。

  4. 提供未启用 BYOL 且您希望关联的账户的账户 ID。 Amazon

    注意

    这两个账户必须在同一地区使用 BYOL。

  5. 关联邀请发送后,返回尚未启用 BYOL 的 Amazon 账户。在 “账户设置” 页面中,您将看到一条横幅通知,显示您有待处理的 BYOL 账户关联邀请。在横幅中选择 “查看邀请”。

  6. 确认账户关联邀请。

按照中的说明创建 BYOL 映像后,您可以使用该图像创建自定义捆绑包。有关信息,请参阅为 WorkSpaces 个人版创建自定义 WorkSpaces 镜像和捆绑包

要将 BYOL 映像用于 WorkSpaces,必须为此目的创建一个目录。

要为创建目录 WorkSpaces,请参阅为 WorkSpaces 个人创建目录。确保在创建目录 WorkSpaces 时选择 “启用专用”。

重要

如果您在注册目录时看不到 “启用专用 WorkSpaces ” 选项,请确保您已完成在您的账户和地区启用 BYOL 的步骤。

如果你已经注册了未在专用硬件上运行的 Microsoft AD Amazon 托管目录或 AD Connector 目录,则可以为此目的设置一个新的 Amazon 托管微软 AD 目录或 AD Connector 目录。 WorkSpaces 您也可以取消注册该目录,然后将其重新注册为专用 WorkSpaces目录。要了解有关注册和取消注册现有 Amazon 目录服务目录的更多信息,请参阅向 WorkSpaces 个人注册现有 Amazon 目录服务目录。

启动你的 BYOL WorkSpaces 个人版

要启动个人账户 WorkSpaces,请参阅在 WorkSpaces 个人版 WorkSpace 中创建

启动你的 BYOL 池 WorkSpaces

要启动矿 WorkSpaces 池,你必须启动个人账户 WorkSpace,创建该个人的镜像 WorkSpace,然后使用该镜像启动池。

为 BYOL 池 WorkSpaces 创建映像

  1. 使用您要用于 WorkSpaces 矿池的 BYOL 镜像启动个人 WorkSpace 账户。有关如何启动 WorkSpaces 个人版的信息,请参阅在个人版 WorkSpace 中 WorkSpaces 创建。

  2. 登录个人版 WorkSpace 并确保所有的 Windows 更新都已安装。

  3. 更新您的 Amazon EC2 配置。要使用 Windows 10 更新您的 EC2 配置,请参阅安装最新版本的 EC2 Config。要使用 Windows 11 更新您的 EC2 配置,请参阅安装最新版本的 EC2 Launch。

  4. 添加 Windows Defender 排除列表。有关更多信息,请参阅 Add an exclusion to Windows Security。

    在 Windows Defender 中将以下文件夹添加到排除列表中:

    • C:\Program Files\Amazon\

    • C:\ProgramData\Amazon\*

    • C:\Program Files\NICE\

    • C:\ProgramData\NICE\

    • C:\Program Files (x86)\AWS Tools\*

    • C:\Program Files (x86)\AWS SDK for .NET\*

    • C:\AWSEUC\(这是针对会话脚本的)

  5. 输入以下命令,在启动时禁用 Windows 更新。

  6. 以管理员身份打开 Powershell。

    1. 选择 Windows 的 “开始” 按钮。

    2. 右键单击 Windows PowerShell

    3. 选择以管理员身份运行

    4. 如果出现用户帐户控制提示,请选择 “”。

  7. 运行以下命令:

    New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Force
    New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Force
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate" -Value 1 -Force

  8. 重新启动 WorkSpace。有关更多信息,请参阅 WorkSpaces 个人版 WorkSpace 中的重启。

    注意

    我们建议您在开始为 BYOL WorkSpaces 池创建映像之前执行以下操作。

    • 删除不必要的启动应用程序。

    • 删除或禁用不必要的计划任务。打开“开始”菜单,选择计划任务,选择要禁用的任务,然后选择禁用。

  9. 通过输入以下命令,在重新启动后运行映像检查程序。

    C:\Program Files\Amazon\ImageChecker.exe

  10. 解决映像检查程序发现的任何错误。有关更多信息,请参阅解决图像检查器检测到的问题的提示。

  11. 所有测试均通过图像检查器后,返回 WorkSpaces 控制台。

  12. 在导航窗格中 WorkSpaces,选择个人。选择 BYOL 个人 WorkSpaces,然后选择 “操作”、“创建图像”。

  13. 在导航窗格中,选择映像。在映像下,检查是否已创建映像。

现在,您可以使用您创建的映像启动 P WorkSpaces ools。有关启动 WorkSpaces 池的更多信息,请参阅创建 WorkSpaces 池。