管理你的亚马逊 Linux WorkSpaces - 亚马逊 WorkSpaces
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理你的亚马逊 Linux WorkSpaces

与 Windows 一样 WorkSpaces,亚马逊 Linux WorkSpaces 也加入了域名,因此你可以使用 Active Directory 用户和群组来:

  • 管理你的亚马逊 Linux WorkSpaces

  • 为用户提供对这些内容 WorkSpaces 的访问权限

由于 Linux 实例不遵循组策略,因此我们建议您使用配置管理解决方案进行分发和实施策略。例如,你可以使用Amazon OpsWorks for Chef AutomateAmazon OpsWorks for Puppet Enterprise、或 Ansible

注意

本地打印机重定向不适用于亚马逊 Linux WorkSpaces。

控制亚马逊 Linux 上的 WorkSpaces 流媒体协议 (WSP) 行为 WorkSpaces

WSP 的行为由文件中的配置设置控制,该wsp.conf文件位于/etc/wsp/目录中。要部署和实施对策略的更改,请使用支持 Amazon Linux 的配置管理解决方案。任何更改将在代理启动后生效。

注意
  • 如果您对wsp.conf文件进行了不正确或不支持的更改,则策略更改可能不会应用于您 WorkSpace上新建立的连接。

  • WSP 捆绑包 WorkSpaces 上的 Amazon Linux 目前存在以下限制:

    • 目前仅在 Amazon GovCloud (美国西部)和 Amazon GovCloud (美国东部)提供。

    • 不支持视频输入。

    • 不支持屏幕锁定时断开会话。

以下各节介绍如何启用或禁用某些功能。

为 WSP 亚马逊 Linux 配置剪贴板重定向 WorkSpaces

默认情况下, WorkSpaces 支持剪贴板重定向。如果需要,可以使用 WSP 配置文件配置此功能。当您断开连接并重新连接时,此设置就会生效。 WorkSpace

要为 WSP Amazon Linux 配置剪贴板重定向 WorkSpaces
  1. 通过以下命令,使用提升的权限在编辑器中打开 wsp.conf 文件。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
  2. clipboard = X

    X 的可能值如下:

    enabled— 双向启用剪贴板重定向(默认)

    disabled— 双向剪贴板重定向被禁用

    paste-only— 剪贴板重定向已启用,但仅允许您从本地客户端设备复制内容并将其粘贴到远程主机桌面

    copy-only— 已启用剪贴板重定向,但仅允许您从远程主机桌面复制内容并将其粘贴到本地客户端设备

为 WSP Amazon Linux 启用或禁用音频输入重定向 WorkSpaces

默认情况下, WorkSpaces 支持音频输入重定向。如果需要,可以使用 WSP 配置文件禁用此功能。当您断开连接并重新连接到时,此设置就会生效。 WorkSpace

为 WSP Amazon Linux 启用或禁用音频输入重定向 WorkSpaces
  1. 通过以下命令,使用提升的权限在编辑器中打开 wsp.conf 文件。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf
  2. 将以下行添加到文件的末尾。

    audio-in = X

    X 的可能值如下:

    enabled— 启用音频输入重定向(默认)

    disabled— 音频输入重定向已禁用

为 WSP Amazon Linux 启用或禁用时区重定向 WorkSpaces

默认情况下,工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。出于以下原因,您可能需要关闭时区方向:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 a 中有计划任务 WorkSpace ,这些任务本应在特定时区的特定时间运行。

  • 经常出差的用户希望将自己留 WorkSpaces 在一个时区,以保持一致性和个人喜好。

如果需要,可以使用 WSP 配置文件配置此功能。此设置在断开连接并重新连接到后生效。 WorkSpace

启用或禁用 WSP Amazon Linux 的时区重定向 WorkSpaces
  1. 通过以下命令,使用提升的权限在编辑器中打开 wsp.conf 文件。

    [domain\username@workspace-id ~]$ sudo vi /etc/wsp-agent/wsp.conf
  2. 将以下行添加到文件的末尾。

    timezone_redirect= X

    X 的可能值如下:

    启用-启用时区重定向(默认)

    禁用-时区重定向已禁用

控制亚马逊 Linux 上的 PCoIP 代理行为 WorkSpaces

PCoIP 代理的行为受 pcoip-agent.conf 文件中的配置设置控制,该文件位于 /etc/pcoip-agent/ 目录中。要部署和实施对策略的更改,请使用支持 Amazon Linux 的配置管理解决方案。任何更改将在代理启动后生效。重新启动代理会结束所有打开的连接并重新启动窗口管理器。要应用任何更改,我们建议重新启动。 WorkSpace

注意

如果您对pcoip-agent.conf文件进行了不正确或不支持的更改,则可能会导致无法运行。 WorkSpace 如果您 WorkSpace 停止工作,则可能需要 WorkSpace 使用 SSH 连接到您的,以还原更改,或者您可能需要重新构建 WorkSpace

以下各节介绍如何启用或禁用某些功能。要查看可用设置的完整列表,请在任何 Amazon Linux 上man pcoip-agent.conf从终端运行 WorkSpace。

为 PCoIP 亚马逊 Linux 配置剪贴板重定向 WorkSpaces

默认情况下, WorkSpaces 支持剪贴板重定向。如果需要,可使用 PCoIP 代理 conf 禁用此功能。此设置将在您重新启动时生效 WorkSpace。

为 PCoIP 配置剪贴板重定向 Amazon Linux WorkSpaces
  1. 通过以下命令,使用提升的权限在编辑器中打开 pcoip-agent.conf 文件。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. 将以下行添加到文件的末尾。

    pcoip.server_clipboard_state = X

    X 的可能值如下:

    0-双向禁用剪贴板重定向

    1-双向启用剪贴板重定向

    2-仅启用客户端到代理的剪贴板重定向(仅允许从本地客户端设备复制和粘贴到远程主机桌面)

    3-仅启用剪贴板重定向代理到客户端(仅允许从远程主机桌面复制和粘贴到本地客户端设备)

注意

剪贴板重定向是作为虚拟通道实现的。如果禁用了虚拟频道,剪贴板重定向将不起作用。要启用虚拟频道,请参阅 Teradici 文档中的 PCoIP 虚拟频道

为 PCoIP 亚马逊 Linux 启用或禁用音频输入重定向 WorkSpaces

默认情况下, WorkSpaces 支持音频输入重定向。如果需要,可使用 PCoIP 代理 conf 禁用此功能。此设置将在您重新启动时生效 WorkSpace。

启用或禁用 PCoIP 亚马逊 Linux 的音频输入重定向 WorkSpaces
  1. 通过以下命令,使用提升的权限在编辑器中打开 pcoip-agent.conf 文件。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. 将以下行添加到文件的末尾。

    pcoip.enable_audio = X

    X 的可能值如下:

    0-禁用音频输入重定向

    1-启用音频输入重定向

启用或禁用 PCoIP 亚马逊 Linux 的时区重定向 WorkSpaces

默认情况下,工作区内的时间设置为镜像用于连接的客户端的时区 WorkSpace。此行为是通过时区重定向控制的。出于以下原因,您可能需要关闭时区方向:

  • 您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。

  • 您在 a 中有计划任务 WorkSpace ,这些任务本应在特定时区的特定时间运行。

  • 经常出差的用户希望将自己留 WorkSpaces 在一个时区,以保持一致性和个人喜好。

如果 Linux 需要 WorkSpaces,你可以使用 PCoIP 代理会议来禁用此功能。此设置将在您重新启动时生效 WorkSpace。

为 PCoIP 启用或禁用 Amazon Linux 的时区重定向 WorkSpaces
  1. 通过以下命令,使用提升的权限在编辑器中打开 pcoip-agent.conf 文件。

    [domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf
  2. 将以下行添加到文件的末尾。

    pcoip.enable_timezone_redirect= X

    X 的可能值如下:

    0-禁用时区重定向

    1-启用时区重定向

向亚马逊 Linux WorkSpaces 管理员授予 SSH 访问权限

默认情况下,只有域管理员组中分配的用户和账户才能使用 SSH 连接到 Amazon Linux WorkSpaces 。

我们建议您在 Active Directory 中为亚马逊 Linux WorkSpaces 管理员创建一个专门的管理员群组。

为 Linux_WorkSpace_Admins Active Directory 组的成员启用 sudo 访问权限
  1. 使用 visudo 编辑 sudoers 文件,如下例所示。

    [example\username@workspace-id ~]$ sudo visudo
  2. 添加以下行。

    %example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL

在您创建专用管理员组之后,请按照以下步骤为组的成员启用登录。

启用 Linux_ WorkSpaces _Admins Active Directory 组成员的登录
  1. 使用提升的权限编辑 /etc/security/access.conf

    [example\username@workspace-id ~]$ sudo vi /etc/security/access.conf
  2. 添加以下行。

    +:(example\Linux_WorkSpaces_Admins):ALL

有关启用 SSH 连接的更多信息,请参阅为你的 Linux 启用 SSH 连接 WorkSpaces

覆盖亚马逊 Linux 的默认外壳 WorkSpaces

要覆盖 Linux 的默认外壳 WorkSpaces,我们建议您编辑用户的~/.bashrc文件。例如,要使用 Z shell 而不是 Bash shell,请将以下行添加到 /home/username/.bashrc

export SHELL=$(which zsh) [ -n "$SSH_TTY" ] && exec $SHELL
注意

进行此更改后,必须重新启动 WorkSpace 或注销 WorkSpace (而不仅仅是断开连接),然后重新登录才能使更改生效。

保护自定义存储库免遭未经授权的访问

要控制对自定义存储库的访问权限,我们建议使用亚马逊虚拟私有云(Amazon VPC)中内置的安全功能,而不是使用密码。例如,使用网络访问控制列表 (ACL) 和安全组。有关这些功能的更多信息,请参阅 Amazon VPC 用户指南中的安全

如果必须使用密码来保护存储库,请确保创建您的 yum 存储库定义文件,如 Fedora 文档中的存储库定义文件所示。

使用亚马逊 Linux Extras 库存储库

使用 Amazon Linux,您可以使用额外库在您的实例上安装应用程序和软件更新。有关使用额外库的信息,请参阅《亚马逊 EC2 Linux 实例用户指南》中的附加库 (Amazon Linux)

注意

如果您使用的是亚马逊 Linux 存储库,则您的亚马逊 Linux WorkSpaces 必须能够访问互联网,或者您必须为该存储库和主 Amazon Linux 存储库配置虚拟私有云 (VPC) 终端节点。有关更多信息,请参阅提供您的 Internet 访问权限 WorkSpace

在 Linux 上使用智能卡进行身份验证 WorkSpaces

Linux WorkSpaces WorkSpaces 流媒体协议 (WSP) 捆绑包允许使用通用访问卡 (CAC)个人身份验证 (PIV) 智能卡进行身份验证。有关更多信息,请参阅使用智能卡进行身份验证

配置用于互联网访问的设备代理服务器设置

默认情况下, WorkSpaces 客户端应用程序使用在设备操作系统设置中为 HTTPS(端口 443)流量指定的代理服务器。亚马逊 WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。

注意

不支持需要使用登录凭据进行身份验证的代理服务器。

您可以按照 Microsoft 文档中配置设备代理和互联网连接设置中的步骤, WorkSpaces 通过组策略为 Linux 配置设备代理服务器设置

有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息,请参阅亚马逊 WorkSpaces 用户指南中的代理服务器

有关在 WorkSpaces macOS 客户端应用程序中配置代理设置的更多信息,请参阅 Amazon WorkSpaces 用户指南中的代理服务器

有关在 WorkSpaces Web Access 客户端应用程序中配置代理设置的更多信息,请参阅亚马逊 WorkSpaces 用户指南中的代理服务器

代理桌面流量

对于 PCoIP WorkSpaces,桌面客户端应用程序不支持使用代理服务器,也不支持 TLS 解密和检查 UDP 中的端口 4172 流量(用于桌面流量)。它们需要直接连接到端口 4172。

对于 WSP WorkSpaces, WorkSpaces Windows 客户端应用程序(版本 5.1 及更高版本)和 macOS 客户端应用程序(版本 5.4 及更高版本)支持使用 HTTP 代理服务器处理端口 4195 TCP 流量。不支持 TLS 解密和检查。

WSP 不支持通过 UDP 对桌面流量使用代理。只有 WorkSpaces Windows 和 macOS 桌面客户端应用程序以及 WSP 网络访问支持对 TCP 流量使用代理。

注意

如果您选择使用代理服务器,则客户端应用程序对 WorkSpaces 服务进行的 API 调用也会被代理。API 调用和桌面流量都应通过同一个代理服务器。

关于使用代理服务器的建议

我们不建议使用代理服务器来处理您的 WorkSpaces 桌面流量。

亚马逊 WorkSpaces 桌面流量已经过加密,因此代理并不能提高安全性。代理代表网络路径中的额外跳跃,可能会通过引入延迟来影响直播质量。如果代理的大小不合适,无法处理桌面流媒体流量,代理也可能降低吞吐量。此外,大多数代理不是为支持长时间运行 WebSocket (TCP) 连接而设计的,可能会影响直播质量和稳定性。

如果您必须使用代理,请将代理服务器尽可能靠近 WorkSpace 客户端,最好位于同一网络中,以避免增加网络延迟,因为这可能会对直播质量和响应能力产生负面影响。