Amazon WorkSpaces
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

提供您自己的 Windows 桌面映像

如果您与 Microsoft 签订的许可协议允许使用此类映像,则可以为 WorkSpace 使用 Windows 7、Windows 10 企业版或 Windows 10 专业版桌面映像。为此,您必须提供您自己的 Windows 许可证 (BYOL) 和满足以下要求的 Windows 7 或 Windows 10 映像。为了遵守 Microsoft 许可条款,请在 AWS 云中专供您使用的硬件上运行 Amazon WorkSpaces。通过提供您自己的许可证,您可以为用户提供一致的体验。有关更多信息,请参阅 Amazon WorkSpaces 定价

重要

已从一个版本的 Windows 10 升级到更新版本的 Windows 10 的 Windows 10 系统不支持映像创建。

要开始使用,请打开 Amazon WorkSpaces 控制台,然后选择 Account Settings (账户设置) 为您的账户启用 BYOL。

要求

在开始之前,请验证以下几点:

  • 您的 Microsoft 许可协议是否允许 Windows 在虚拟托管环境中运行。

  • 您将使用至少 200 个 Amazon WorkSpaces。这是在专用硬件上运行 Amazon WorkSpaces 的一个要求。在专用硬件上运行您的 Amazon WorkSpaces 需要符合 Microsoft 许可要求。

    如果您计划使用支持 GPU(Graphics 和 Graphics Pro)的服务包,请验证您在专用硬件上每个月在一个区域中是否至少会运行 4 个 AlwaysOn 或 20 个 AutoStop 支持 GPU 的 WorkSpace。

  • Amazon WorkSpaces 可以在 /16 IP 地址范围内使用管理接口。管理接口连接到一个用于交互式流式传输的安全 Amazon WorkSpaces 管理网络。这样可允许 Amazon WorkSpaces 管理您的 WorkSpace。有关更多信息,请参阅网络接口。必须至少有以下 IP 地址范围中的一个可用于此目的:

    • 10.0.0.0/8

    • 100.64.0.0/10

    • 172.16.0.0/12

    • 192.168.0.0/16

    • 198.18.0.0/15

  • 您有一台运行受支持的 64 位版 Windows 7 或 Windows 10 的虚拟机 (VM)。有关受支持版本的列表,请参阅本主题中的下一节 支持 BYOL 的 Windows 版本。VM 还必须满足以下要求:

    • Windows 操作系统必须对密钥管理服务器激活。

    • Windows 操作系统必须将 English (United States) (英语 (美国)) 作为主要语言。

    • 无法在 VM 上安装 Windows 7 或 Windows 10 附带的软件之外的软件。您可以在稍后创建自定义映像时添加其他软件(如防病毒解决方案)。

    • 如果 VM 运行的是 Windows 10,则用户配置文件必须放在 C:\Users\Default 中。

    • 我们建议在共享映像之前创建具有本地管理员访问权限的 WorkSpaces_BYOL 账户。稍后可能需要此账户的密码。

  • 您的 VM 还必须运行 PowerShell 版本 4 或更高版本。

支持 BYOL 的 Windows 版本

您的 VM 必须运行以下 Windows 版本之一:

  • Windows 7 Service Pack 1

  • Windows 10 版本 1607(周年更新)

  • Windows 10 版本 1703(创建者更新)

  • Windows 10 版本 1709(秋季创建者更新)

  • Windows 10 版本 1803(2018 年 4 月更新)

  • Windows 10 版本 1809(2018 年 10 月更新)

  • Windows 10 版本 1903(2019 年 5 月更新)

    注意

    Graphics 和 GraphicsPro 软件包目前不支持带 BYOL 的 Windows 10 版本 1809(2018 年 10 月更新)或 Windows 10 版本 1903(2019 年 5 月更新)。

步骤 1:使用 Amazon WorkSpaces 控制台为您的账户启用 BYOL

要为您的账户启用 BYOL,必须指定一个管理网络接口。此接口已连接到安全的 Amazon WorkSpaces 管理网络。它用于将 WorkSpace 桌面以交互方式流式传输到 Amazon WorkSpaces 客户端,并允许 Amazon WorkSpaces 管理 WorkSpace。

注意

此过程中为账户启用 BYOL 的步骤只需在每个区域为每个账户执行一次。

使用 Amazon WorkSpaces 控制台为账户启用 BYOL

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在导航窗格中,选择 Account Settings (账户设置)。如果您的账户当前不符合 BYOL 的条件,将有一条消息提供后续步骤的指导。

  3. Bring Your Own License (BYOL) (自带许可 (BYOL)) 下的 Management network interface IP address range (管理网络接口 IP 地址范围) 区域中,选择 IP 地址范围,然后选择 Display available CIDR blocks (显示可用的 CIDR 块)

    Amazon WorkSpaces 将在您指定的范围内搜索可用的 IP 地址范围并将其显示为 IPv4 CIDR 块。如果您需要特定 IP 地址范围,可以编辑搜索范围。

    重要

    指定 IP 地址范围后,您不能对其进行修改。请务必指定与您内部网络使用的范围不冲突的 IP 地址范围。

  4. 从结果列表中选择所需的 CIDR 块,然后选择 Enable BYOL (启用 BYOL)

    此过程可能耗时数小时。当 Amazon WorkSpaces 为您的账户启用 BYOL 时,请继续执行下一步。

步骤 2:在 Windows VM 上运行 BYOL 检查程序 PowerShell 脚本

为您的账户启用 BYOL 后,您必须确认您的 VM 满足 BYOL 的要求。要执行此操作,请执行以下步骤来下载并运行 Amazon WorkSpaces BYOL 检查程序 PowerShell 脚本。该脚本将对您计划用于创建映像的 VM 执行一系列测试。

重要

VM 必须先通过所有测试,然后您才能将其用于 BYOL。

下载 BYOL 检查程序脚本

在下载并运行 BYOL 检查程序脚本之前,请验证是否在 VM 上安装了最新的 Windows 安全更新。此脚本在运行时会禁用 Windows 更新服务。

  1. 打开以下 URL 以下载 BYOL 检查程序脚本 .zip 文件:https://d2zdcak60k1ljz.cloudfront.net/BYOLChecker.zip

  2. 当系统提示时,请右键单击 Download (下载) 链接并选择 Save target as (将目标另存为)

  3. Save as (另存为) 对话框中,导航到要保存脚本文件的位置,然后选择 Save (保存)。我们建议您在 Windows 临时文件夹中创建一个文件夹用于此目的。例如:C:\Windows\Temp\byol

  4. 当一条消息通知您 BYOL 检查程序脚本 .zip 文件下载完成后,请选择 OK (确定) 以关闭该消息。

  5. Windows 资源管理器将在您保存 .zip 文件的位置打开。右键单击该文件,然后选择 Extract All (全部解压缩)

  6. Select a Destination and Extract Files (选择目标并将文件解压缩) 对话框中,导航到要解压缩脚本的位置(例如,C:\Windows\Temp\byol\),然后选择 Extract (解压缩)

  7. 如果您为 BYOL 脚本创建了一个文件夹,则可以将解压缩的文件复制到该文件夹的根目录。

  8. 请删除原始 .zip 文件以便仅保留解压缩的文件。关闭所有打开的应用程序和窗口(例如,关闭 Windows 资源管理器和浏览器(如果它们已打开))。

执行以下步骤以运行 BYOL 检查程序脚本。

运行 BYOL 检查程序脚本

  1. 在 Windows 桌面上,打开 Windows PowerShell。选择 Windows Start 按钮,右键单击 Windows PowerShell,然后选择 Run as administrator (以管理员身份运行)。如果用户账户控制提示您选择是否希望 PowerShell 更改您的设备,请选择 Yes (是)

  2. 在 PowerShell 命令提示符处,输入更改为 BYOL 检查程序脚本所在的目录所需的命令。例如,如果脚本位于 BYOL 目录,请输入以下命令。在每个命令后,按 Enter

    cd/

    cd C:\Windows\Temp\byol

  3. 输入以下命令以在计算机上更新 PowerShell 执行策略。这样做将允许 BYOL 检查程序脚本运行:

    Set-ExecutionPolicy Unrestricted

  4. 当系统提示您确认是否要更改 PowerShell 执行策略时,请输入 A 为所有项指定“Yes (是)”。

  5. 输入以下命令以运行 BYOL 检查程序脚本:

    .\BYOLChecker.ps1

  6. 如果有安全通知出现,请按 R 键以运行一次。

  7. Amazon WorkSpaces Image Validation (Amazon WorkSpaces 映像验证) 对话框中,选择 Begin Tests (开始测试)

  8. 每个测试完成后,您都可以查看测试的状态。对于状态为 Failed (失败) 的任何测试,请选择 Info (信息) 以显示有关如何解决导致失败的问题的信息。如果任何测试显示了状态 Warning (警告),请选择 Fix all Warnings (修复所有警告) 按钮。

  9. 适当时,请解决导致测试故障和警告的任何问题,然后重复步骤 7 和步骤 8,直到 VM 通过所有测试。您在导出 VM 之前必须解决所有故障和警告。

  10. BYOL 脚本检查程序将生成两个日志文件:BYOLPrevalidationlogYYYYMMDDTImageInfo.text。这两个文件位于 BYOL 检查程序脚本文件所在的目录中。

    提示

    请勿删除这些文件。出现问题时,它们可能有助于解决问题。

  11. 如果您的 VM 通过了所有测试,您将收到 Validation Successful (验证成功) 消息。检查该工具中显示的 VM 区域设置。要更新区域设置,请遵循 Microsoft 文档中的这些说明,然后再次运行 BYOL 检查程序脚本。

  12. 选择 Run Sysprep (运行 Sysprep)。如果 Sysprep 成功,您的 VM 将关闭。否则,请检查 Sysprep 日志、解决报告的问题,然后再次运行 BYOL 检查程序脚本。

    Sysprep 失败的最常见原因是未针对所有用户安装现代 Appx 程序包。使用 Remove-AppxPackage cmdlet 删除 Appx 程序包。

步骤 3:将 VM 从虚拟化环境中导出

要为 BYOL 创建映像,您必须先将 VM 从虚拟化环境中导出。VM 必须是大小至少为 10 GB 且小于 80 GB 的单个卷。有关更多信息,请参阅虚拟化环境的文档以及 VM Import/Export 用户指南 中的将 VM 从其虚拟化环境导出

步骤 4:将 VM 作为映像导入 EC2

在导出 VM 后,请查看从 VM 导入 Windows 操作系统的要求。根据需要执行操作。有关更多信息,请参阅 VM Import/Export 要求

将 VM 作为 Amazon 系统映像 (AMI) 导入 Amazon EC2。使用以下方法之一:

  • 通过 AWS Command Line Interface (AWS CLI) 使用 import-image 命令。有关更多信息,请参阅AWS CLI Command Reference 中的 import-image

  • 使用 ImportImage API 操作。有关更多信息,请参阅 Amazon EC2 API Reference 中的 ImportImage

有关更多信息,请参阅 VM 导入/导出用户指南 中的将 VM 作为映像导入

步骤 5:使用 Amazon WorkSpaces 控制台创建 BYOL 映像

执行以下步骤以创建 Amazon WorkSpaces BYOL 映像。

注意

要执行此过程,请验证您具有以下权限:

  • 调用 Amazon WorkSpaces ImportWorkspaceImage

  • 对要用于创建 BYOL 映像的 EC2 映像调用 EC2 DescribeImages

  • 对要用于创建 BYOL 映像的 EC2 映像调用 EC2 ModifyImageAttribute

有关更多信息,请参阅 IAM 用户指南 中的更改 IAM 用户的权限

要从映像创建 Graphics 或 GraphicsPro 服务包,请联系 AWS Support Center 以将您的账户添加到允许列表。当您的账户位于允许列表之后,就可以使用 AWS CLI import-workspace-image 命令来提取 Graphics 或 GraphicsPro 映像。有关更多信息,请参阅 AWS CLI Command Reference 中的 import-workspace-image

从 Windows VM 创建映像

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在导航窗格中,选择 Images

  3. 依次选择 Actions (操作)Create BYOL Image (创建 BYOL 映像)

  4. Create BYOL Image (创建 BYOL 映像) 对话框中,执行以下操作:

    • 对于 AMI ID,单击 EC2 Console (EC2 控制台) 链接,选择您按上一节(步骤 4:将 VM 作为映像导入到 EC2)中所述导入的 EC2 映像。映像名称必须以 ami- 开头并后跟 AMI 的标识符(例如,ami-5731123e)。

    • 对于 BYOL image name (BYOL 映像名称),请输入映像的唯一名称。

    • 对于 Image description (映像描述),请输入一个描述以帮助您快速识别映像。

  5. 选择 Create

    创建映像时,控制台的映像注册表中的映像状态将显示为 Pending (待处理)。如果映像验证不成功,控制台将显示一条错误代码。当映像创建完成时,状态将更改为 Available (可用)

步骤 6:从 BYOL 映像创建自定义服务包

创建 BYOL 映像后,您可以使用该映像创建一个自定义服务包。有关信息,请参阅 创建自定义 WorkSpace 服务包

步骤 7:为专用 WorkSpaces 注册目录

要对 WorkSpaces 使用 BYOL 映像,您必须专门注册一个目录。为此,请执行以下步骤。

为专用 WorkSpaces 注册目录

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 在导航窗格中,选择 Directories

  3. 选择目录,然后依次选择 Actions (操作)Register (注册)

  4. Register directory (注册目录) 对话框中,对于 Enable Dedicated WorkSpaces (启用专用 WorkSpaces),选择 Yes (是)

  5. 选择 Register

如果您已注册不在专用硬件上运行的 AWS Directory Service for Microsoft Active Directory(企业版) 或适用于 WorkSpaces 的 AD Connector 目录,则可以专门设置一个新的 Microsoft Active Directory 或 AD Connector 目录。您也可以取消注册该目录,然后将其注册为专用 WorkSpaces 的目录。为此,请执行以下步骤。

注意

仅当没有该目录关联的 WorkSpaces 时,您才能执行此过程。

为专用 WorkSpaces 取消注册并重新注册目录

  1. 通过以下网址打开 Amazon WorkSpaces 控制台:https://console.amazonaws.cn/workspaces/

  2. 终止现有 WorkSpaces。

  3. 在导航窗格中,选择 Directories

  4. 选择目录,然后选择 ActionsDeregister

  5. 当系统提示您确认时,选择 Deregister

  6. 再次选择目录,然后依次选择 Actions (操作)Register (注册)

  7. Register directory (注册目录) 对话框中,对于 Enable Dedicated WorkSpaces (启用专用 WorkSpaces),选择 Yes (是)

  8. 选择 Register

步骤 8:启动 BYOL WorkSpace

为专用 WorkSpaces 注册目录后,您可以在此目录中启动 BYOL WorkSpaces。有关如何启动 WorkSpaces 的信息,请参阅使用 Amazon WorkSpaces 启动虚拟桌面