适用于 Amazon WorkSpaces Core 的 Citrix DaaS
简介
本文介绍如何使用 Citrix 为 Amazon WorkSpaces Core 准备和创建部署。Amazon WorkSpaces Core 位于 Amazon Web Services (AWS) 中。
下面是使用 Citrix DaaS 实现 AWS 及其管理的示例:
准备和创建部署
快速部署界面中的部署清单包含指向过程 1-5 的链接。
- 在开始之前,请先完成 Citrix Cloud 和 AWS 中的必备条件。
- 在 Citrix Cloud 中创建资源位置。(此过程也作为必备条件包括在内。)
- 连接您的 AWS 帐户。此过程启用权限,这样 Citrix DaaS 就可以连接到 AWS。
- 创建目录连接。此过程配置允许访问您组织的 Active Directory 的连接。
- 导入映像。此过程使您能够为用户创建桌面体验。
- 创建部署。此过程指定了要部署的计算机以及可以通过 Citrix Workspace 访问这些计算机的用户。
开始之前的准备工作
在开始准备和创建部署之前,请确保您已完成以下任务。
有一个例外:在 Citrix Cloud 中创建资源位置被列为必备条件。这也是部署清单中的第一个程序。因此,如果您将资源位置创建为必备条件的一部分,请跳过清单序列中的该过程。同样,如果您之前没有完成该程序,请在清单中完成该程序。
在 Citrix Cloud 中完成的前提条件
- 创建 Citrix Cloud 帐户并订阅 Citrix DaaS。
- 创建 Citrix Cloud 资源位置。(此过程也在“快速部署”界面中进行了链接。)
在 AWS 中完成的必备条件
- 创建 AWS 用户帐户。该帐户必须有:
- Citrix API 客户端的角色权限。
- 编程访问权限。有关详细信息,请参阅 AWS 帐户编程访问权限。
- 创建 workspaces_DefaultRole 角色。有关详细信息,请参阅创建 workspaces_DefaultRole 角色。
- 在 Active Directory 中:
- 使用 AD 连接器选项存储和管理信息。有关更多详细信息,请参阅 AD 连接器。
- 创建一个 OU,在其中创建 VM。该 OU 必须有 Citrix 策略才能与 Cloud Connector 和 Citrix Cloud 进行通信。有关详细信息,请参阅“参考”部分。
- 为 Citrix Cloud Connector 配置设置组策略:
- 从 Citrix 下载站点下载由 Citrix 提供的最新组策略管理控制台 (CitrixGroupPolicyManagement_64.msi)。
- 安装 MSI(该计算机必须安装 Visual Studio 2015 运行时)。然后创建包含控制器策略设置的 Citrix 策略。该设置指定 Cloud Connector 地址。
- 创建或使用现有的 NAT 网关。有关详细信息,请参阅 NAT 网关。
- 创建或使用一个或多个现有安全组,允许 Citrix Cloud Connector 与已部署的虚拟机进行通信。有关详细信息,请参阅使用安全组控制流向 AWS 资源的流量
-
打开 AWS 支持票证,在您的帐户上启用 BYOL。要开始使用,请联系您的 AWS 帐户经理或销售代表,或联系 AWS 支持中心。您的联系人将验证并启用 BYOL。有关详细信息,请参阅使用 Amazon WorkSpaces 控制台为您的帐户启用 BYOL 的 BYOL。
注意:
BYOL 目前不支持 Windows 10 N 和 Windows 11 N 版本。
- 使用 Citrix DaaS for Amazon WorkSpaces Core 功能将自动启用 AWS WorkSpaces Core 中的自带协议 (BYOP) 功能。
- 为将要创建的桌面拥有足够的 Windows 10 许可证。有关详细信息,请参阅自带 Windows 桌面许可证。
一般准备
在开始之前,请先查看每个程序。好处:这将有助于轻松完成流程。
创建资源位置
您可以在 Citrix Cloud 中创建资源位置。
- 资源位置包含两个或更多与 Citrix Cloud 通信的 Cloud Connector。您安装 Cloud Connector 的服务器必须位于 EC2 VPC 中,已加入域并且具有 Internet 连接。Cloud Connector 必须与您计划使用的目录位于同一 VPC 中。
- 有关 Cloud Connector 的更多信息,请参阅 Citrix Cloud Connector 以及如何对其进行配置。
- 资源位置也可以包含您的 Active Directory 服务器。有关详细信息,请参阅将 Active Directory 连接到 Citrix Cloud。
连接您的 AWS 帐户
此过程允许 Citrix DaaS 连接到 AWS 的权限。
要为 AWS WorkSpaces Core 创建 AssumeRole,请按照以下步骤操作:
- 在 Citrix DaaS 中,在“管理”>“快速部署”>“帐户”下,单击“连接帐户”。
- 在“连接 AWS 帐户”页面的“确认前提条件”下,单击“下载 AWS CloudFormation 模板”。下载模板后,单击“下一步”。
- 要上载模板,请参阅为 AWS Workspace Core 集成创建 AssumeRole。
-
在身份验证帐户页面中,添加在角色 ID 字段中生成的 Amazon Resource Name (ARN),在名称字段中提供名称,然后单击“下一步”。“选择区域”页面打开。
角色 ID 对应角色的 ARN,该角色将授权 Citrix 管理资源。通过导航到 IAM > 角色,可以在 AWS 管理控制台中找到角色 ID。
如果您使用的是
CloudFormation
脚本,请导航到 CloudFormation 并单击用于创建角色的相应堆栈。导航到资源选项卡,然后单击带有 LogicalIDCitrixAssumeRole
的资源。注意:
您不能为同一 AWS 帐户连接同一区域的两个帐户。
-
在选择区域页面中,选择要部署桌面的区域,然后单击下一步。
- 在配置 BYOL 支持页面中,要配置 BYOL 支持,需要连接到安全 Amazon 网络的管理网络接口。选择要搜索的 IP 地址范围用作该接口。然后选择“显示可用的 CIDR 块”。如果 CIDR 区块在所选搜索范围内可用,请选择一个可用的 CIDR 块。当您成功选择搜索地址范围和可用的 CIDR 块时,将显示一条确认消息。单击下一步。
- 在“摘要”页面中,查看您指定的信息。您可以返回到之前的页面。完成后,单击“完成”。 连接过程可能需要几个小时才能完成。
为 AWS Workspace Core 集成创建 AssumeRole
- 在浏览器窗口中,打开 Amazon Web Services Web 站点并登录。
- 在“搜索”字段中,键入 cloudformation 并按 Enter。
- 在服务下选择 CloudFormation。堆栈窗口打开。
- 单击右上角的创建堆栈 > 使用新资源(标准) 。创建堆栈窗口打开。
- 在“必备条件-准备模板”下,选择“模板准备就绪”。
- 在“指定模板”下,单击“上载模板文件”>“选择文件”,然后单击“下一步”。将打开“指定堆栈详细信息”窗格。
- 在指定堆栈详细信息窗格中,提供堆栈名称和 AssumeRoleName,然后单击下一步。配置堆栈选项 窗格打开。
注意:
在配置堆栈选项窗格中,选择保留成功配置的资源选项。此选项保留成功配置资源的状态。下次堆栈操作时,将删除没有上次已知稳定状态的资源。
在“功能”弹出窗口中,选中“我确认 AWS CloudFormation 可能会使用自定义名称创建 IAM 资源”复选框,然后单击“创建堆栈”。 堆栈创建最后可能会失败,因为已经创建了 workspace_DefaultRole 。这不会影响 AssumeRole 的创建。
- 事件选项卡显示创建的堆栈的状态。
- 在资源选项卡中,选择与创建的 AssumeRole 对应的物理 ID。
- 摘要窗格显示生成的 Amazon Resource Name (ARN)。
- 继续执行“连接 AWS 帐户”中步骤 4 中的过程
创建目录连接
注意:
在此步骤开始时注销您的 AWS 目录。创建与 Citrix DaaS 的目录连接后,所选目录将注册为使用 Citrix DaaS 创建 Amazon WorkSpaces。
此过程创建了一个允许访问您组织的 Active Directory 的连接。
必备条件:
- 包含两个 Cloud Connector 的资源位置。
- 一个安全组。
- 您的 Active Directory 中的一个 OU。
有关必备条件的详细信息,请参阅在开始之前。
您可以从以下两个位置之一开始此过程:
- “入门”清单上的链接。
- 在 Studio 中,选择左侧窗格中的 Amazon WorkSpaces Core 部分下的“目录连接”中的“快速部署”。然后选择“创建目录连接”。
按照创建目录连接顺序进行操作:
- 连接目录: 从下拉列表中选择帐户。为租户选择“专用”或“共享”。
-
资源位置: 选择帐户和目录。(所选帐户必须至少有一个目录。)
- 选择要在其中部署台式机的两个子网。子网必须位于相应的可用区内。
- 为此连接指定一个友好名称。
- 完成后,单击“下一步”。
-
虚拟机设置: 您选择的设置适用于使用此目录连接的所有虚拟机。
- 所选的 OU 必须与 Citrix 组策略所针对的 OU 相匹配。
- 选择一个安全组。
- 指明是否要向分配给 VM 的每位用户授予管理员权限。
导入映像
此过程使您能够为用户创建桌面体验。您现在可以导入两种类型的映像:
- EC2 映像 - 要导入此映像,必备条件是安装 Citrix Virtual Delivery Agent 及其所有驱动程序。映像还必须为 BYOL 做好准备。BYOL 脚本可在以下位置获得:BYOLChecker.zip。
- Workspace 映像 - 要导入此映像,必备条件是安装 Citrix Virtual Delivery Agent 及其所有驱动程序。
要导入映像,请按照以下步骤操作:
- 在 Web Studio > 快速部署中,单击“映像”。
- 在“我的映像”中,单击“导入映像”。
- 必备条件: 提供 EC2 映像和 Workspace 映像的必备条件详细信息。单击“下一步:选择映像”。
-
选择映像
- 为映像提供一个友好名称。
- 选择一个帐户。
- 在映像下拉列表中,您可以选择 EC2 或 WSI 类型的映像。
- 如果您选择 EC2,则从应用程序下拉列表中选择要安装的应用程序,然后单击“下一步:摘要”。EC2 类型的映像仅支持单会话。
- 如果选择 WSI,请确保会话支持和摄取过程与映像设置一致。但是,不匹配不会覆盖映像的设置,但可能会由于不兼容而导致部署失败。将会话支持选择为单会话或多会话。
- 提供描述,然后单击“下一步:摘要”。
- 单击下一步。“摘要”页面打开。
-
在“摘要”页面中,查看您提供的信息,然后单击“导入映像”。
注意:
导入映像可能需要几个小时。
- 选择任意映像,然后单击“查看详细信息”。详细信息页面显示创建映像时选择的选项,例如帐户、会话支持、租赁、应用程序等。
注意:
创建部署时,在“映像和性能”页面中:
- 如果所选的目录连接具有专用租户,则列出的映像仅为单个会话。在“桌面”页面中,您可以选择创建带有或不分配用户的桌面。
- 如果所选的目录连接具有共享租户,则列出的映像既是单会话又是多会话。如果选择具有多会话的映像,则在“桌面”页面中,仅启用“创建桌面而不分配用户”选项。
专用租户映像的要求
- 映像必须是 Windows 10 Pro 或 Windows 11 Pro。
- 在映像准备期间运行 BYOLChecker 脚本。
- 只能在单会话支持中设置映像。
- 在 EC2 中创建 AMI 映像时,快照应未加密。
- 映像导入期间的默认获取协议是常规的。但是,客户可以选择图形化 G4DN 摄取协议,该协议会安装额外的驱动程序并需要更高级别的计算机。
- 在映像导入期间,客户可以添加要安装的办公应用程序。这将限制工作区的创建仅限于预先分配的用户部署。
- 映像要求将目录连接设置为专用。
- 您可以创建预先分配的单会话部署或解耦(池)单会话部署。
对默认或共享租户映像的要求
- 选择 Windows Server BYOP 捆绑包来创建工作区。
- 工作区必须未加密,并且仅支持“始终开启”模式。
- 通过 RDP 使用专用 IP 地址从连接器连接到工作区,并使用分配给工作区的相同用户凭据登录。如果计算机上有多个用户配置文件,则无法保存映像。
- 安装 VDA 并运行映像检查器应用程序。
- VDA 可以配置为单会话或多会话。
- 重新启动工作区并将其另存为映像。
- 保存映像后,可以将其导入到 Citrix 环境中。
- 映像导入期间的默认获取协议是常规的。但是,如果基础包是基于 G4DN 的,则可以选择图形化 G4DN 摄取协议。
- 映像要求将目录连接设置为共享。
- 如果将映像设置并保存为单会话部署,则可以创建预先分配的单会话部署或解耦(池)单会话部署。
- 如果将映像设置并保存为多会话部署,则只能创建解耦(池)多会话部署。
操作系统、目录类型和会话支持兼容性
映像 | 会话支持 | AWS 目录租赁 | 部署类型 | 持久性 |
---|---|---|---|---|
Windows Desktop 11 Pro | 单会话 | 专用 | 专用或池 | 静态 |
Windows 桌面 10 专业版 | 单会话 | 专用 | 专用或池 | 静态 |
Windows Server 2022 | 多会话 | 共享虚拟机 | 池 | 静态 |
Windows Server 2022 | 单会话 | 共享虚拟机 | 专用或池 | 静态 |
Windows Server 2019 | 多会话 | 共享虚拟机 | 池 | 静态 |
Windows Server 2019 | 单会话 | 共享虚拟机 | 专用或池 | 静态 |
注意:
DaaS 对 AWS WorkSpaces Core 的多会话支持目前处于技术预览阶段。
导入映像时集成 Microsoft Office 2019 映像
要在导入映像时集成 Microsoft Office 2019 映像,请执行以下操作:
- 在 Web Studio > 快速部署中,单击“映像”。
- 在“我的映像”中,单击“导入映像”。
- 在“导入映像”>“必备条件”中,单击“下一步:选择映像”。
- 在“导入映像”>“选择映像”中:
- 从“帐户”下拉列表中选择一个帐户。
- 从 AMI 下拉列表中选择一个 AMI。
- 在“名称”字段中输入映像的名称。
- 在映像中选择包括 Microsoft Office 2019 Professional Plus。
- 在“描述”字段中输入描述。
- 在“导入映像”>“选择映像”中,单击“下一步:摘要”。
- 在“选择映像”>“摘要”中,确保 Microsoft Office 2019 显示“已选定”。
- 在“我的映像”中,单击“导入映像”。 在导入操作完成之前,最近部署的映像的状态显示正在导入。
- 在“我的映像”中,选择最近部署的映像,然后单击“查看详情”。
- 在详细信息面板中,Microsoft Office 2019 字段显示已包含。
注意:
只有以下版本的操作系统兼容:
- Windows 10 版本 21H2(2021 年 12 月更新)
- Windows 10 版本 22H2(2022 年 11 月更新)
- Windows 10 Enterprise LTSC 2019 (1809) (1809)
- Windows 10 Enterprise LTSC 2021 (21H2) (21H2)
- Windows 11 版本 22H2(2022 年 10 月发布)
从现有 Workspace 实例创建自定义映像
要为用户创建自定义映像,请执行以下操作:
- 在 Web Studio > 快速部署中,选择部署。
- 选择包含要管理的计算机的部署,然后单击“查看详细信息”。
-
在部署窗格的用户选项卡下,选择工作区状态为可用的用户,然后单击创建自定义映像。
注意:
只能为工作区状态为可用的部署创建自定义映像。
-
在“创建自定义映像”窗格中:
- 验证所选用户的映像属性、操作系统和帐户信息。
- 请注意警告消息,该消息指明了桌面部署在此过程中进入维护模式的时间。
- 填写映像名称和说明等必填字段。映像名称字段会建议映像名称中允许使用的字符。
- 单击创建。映像节点窗口打开。
- 单击“刷新”按钮。新创建的自定义映像将列出,状态为“待处理”。
- 选择自定义映像,然后单击“查看详细信息”。映像窗口随即打开,其中包含状态、帐户、ID、 操作系统和说明等详细信息。
- 在左侧导航栏中单击“部署”。新部署的状态显示为正在更新。
-
选择新部署,然后单击“查看详细信息”。
- 在“部署”窗格中,“维护”选项卡显示为“开启”。
最佳实践:
- 使用未连接到您的生产环境的单独虚拟私有云 (VPC)。
- 对于 Windows 工作区,请避免在创建映像之前配置任何组策略对象 (GPO)。有关详细信息,请参阅最佳实践。
- 使用专用 AD 连接器创建映像。
- 使用 Active Directory 中的专用 OU 来创建映像。有关详细信息,请参阅成功创建 Amazon WorkSpaces BYOL 映像的最佳实践。
创建部署
部署是一组桌面,用户可以从 Citrix Workspace 访问这些桌面。此过程指定了要部署为桌面的虚拟机的特征,以及哪些 AD 用户可以使用它们。
必备条件
完成准备和创建部署中列出的所有步骤。
- 在 Web Studio > 快速部署中,单击 Amazon Web Services 列中的部署。单击“创建部署”。
- 在“映像和性能”页面中,
- 如果您选择专用租户作为目录连接,则映像下拉列表会列出具有专用租户的映像。具有专用租户的映像仅支持单会话。
- 如果您选择共享租户作为目录连接,则映像下拉列表会列出具有默认租户的映像。共享租户的映像支持单会话和多会话。
- 选择性能和根卷大小。单击“下一步:加密”。
-
加密:在“选择加密密钥首选项”部分:
- 默认情况下,“使用 AWS 托管 KMS 密钥”选项处于选中状态。它对根卷和用户卷进行加密,并由 AWS 管理。
- 如果您选择“使用客户管理的密钥”选项,请确保首先在 AWS 密钥管理中创建密钥。创建后,在“密钥别名”字段中输入密钥,然后单击“下一步: 桌面”。
注意:
可以在密钥管理服务 (KMS) 控制台的 AWS 托管的密钥或客户管理的密钥下找到加密密钥。
-
桌面:
- 添加了用于选择在不分配用户的情况下创建桌面的新选项。对于此选项,请指定要添加到部署中的桌面数量。此选项的桌面分配类型为未分配随机池。单击“下一步:摘要”。
注意:
“不分配用户创建桌面”选项不适用于使用 AWS 提供的应用程序的映像。因此,在创建桌面时必须分配用户。
- 如果选择现有的“在创建桌面时分配用户”选项,请搜索并选择允许访问桌面的用户。如果要为用户自定义卷大小,请选择“编辑用户和根卷大小”,然后指定大小。此选项的桌面分配类型为静态预分配。单击“下一步:摘要”。
- 摘要: 查看您提供的信息并提供部署名称。单击“创建部署”。“部署”页面显示新的“桌面”列以及分配的桌面详细信息。
- 选择部署,然后单击“查看详细信息”。部署详细信息页面显示三个选项卡:
- 桌面:选择桌面,将显示要修改的设置。
- 用户:此选项卡仅适用于未分配的部署,用于分配用户或组以启动桌面。单击添加。更新所需的设置,然后单击“立即查找”。您可以从表格中选择多个用户,然后单击“确定”>“完成”。您可以添加更多用户,也可以通过选择相应的选项来删除现有用户。
- 配置:此选项卡显示所选桌面的分配类型。如果是未分配的桌面,则桌面分配类型为未分配随机池。
集成 Microsoft 365 Windows 应用程序
要集成 Microsoft 365 应用程序,请参阅 Microsoft 365 应用程序企业版现已在 Amazon WorkSpaces 服务中提供和 Microsoft 365 自带许可证 (BYOL)。
管理部署中的计算机
除了管理计算机目录中描述的计算机管理功能外,对于某些操作,您还可以从部署中选择要管理的计算机。
要管理部署中的计算机,请执行以下操作:
- 在 Web Studio > 快速部署中,选择部署。
- 在“部署”窗格中,选择包含要管理的计算机的部署。
- 单击“查看详细信息”。
- 在部署详细信息窗格中,选择要管理的计算机。
- 从显示的操作中,选择要在计算机上执行的操作:
- 单击“编辑卷大小”以更改计算机的音量大小。
- 单击“删除”将计算机从部署和 AWS 中删除。如果计算机位于交付组中,则只有在维护模式下才能将其删除。
- 单击“打开/关闭维护模式”以打开计算机的维护模式(如果已关闭)或关闭(如果已打开)。
参考
AWS 帐户编程访问权限
AWS 用户帐户必须具有一定的编程访问权限才能对 AWS 资源层进行 API 调用。编程访问会创建访问密钥 ID 和私有访问密钥。 您可以在 IAM 控制台中创建包含这些权限的策略。如下图所示,您可以使用可视化编辑器(逐一添加权限)或 JSON(添加下面的代码片段)。 有关详细信息,请参阅在您的 AWS 帐户中创建 IAM 用户。
-
在可视化编辑器选项卡上,逐一添加权限。
-
在 JSON 选项卡上,添加下图后面显示的片段。
所需的权限
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"workdocs:DeregisterDirectory",
"workdocs:RegisterDirectory",
"workdocs:AddUserToGroup",
"ec2:ImportInstance",
"ec2:DescribeImages",
"ec2:DescribeImageAttribute"
"ec2:CreateKeyPair",
"ec2:DescribeKeyPairs",
"ec2:ModifyImageAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:RunInstances",
"ec2:DescribeSecurityGroups",
"ec2:CreateTags",
"ec2:DescribeRouteTables",
"ec2:DescribeInternetGateways",
"ec2:CreateSecurityGroup",
"ec2:DescribeInstanceTypes",
"servicequotas:ListServices",
"servicequotas:GetRequestedServiceQuotaChange",
"servicequotas:ListTagsForResource",
"servicequotas:GetServiceQuota",
"servicequotas:GetAssociationForServiceQuotaTemplate",
"servicequotas:ListAWSDefaultServiceQuotas",
"servicequotas:ListServiceQuotas",
"servicequotas:GetAWSDefaultServiceQuota",
"servicequotas:GetServiceQuotaIncreaseRequestFromTemplate",
"servicequotas:ListServiceQuotaIncreaseRequestsInTemplate",
"servicequotas:ListRequestedServiceQuotaChangeHistory",
"servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
"sts:DecodeAuthorizationMessage",
"ds:*",
"workspaces:*",
"iam:GetRole",
"iam:GetContextKeysForPrincipalPolicy",
"iam:SimulatePrincipalPolicy"
],
"Resource": "*"
}
]
}
<!--NeedCopy-->