Citrix DaaS

适用于 Amazon WorkSpaces Core 的 Citrix DaaS

简介

本文介绍如何使用 Citrix 为 Amazon WorkSpaces Core 准备和创建部署。Amazon WorkSpaces Core 位于 Amazon Web Services (AWS) 中。

下面是使用 Citrix DaaS 实现 AWS 及其管理的示例:

AWS 体系结构

准备和创建部署

快速部署界面中的部署清单包含指向过程 1-5 的链接。

  1. 在开始之前,请先完成 Citrix Cloud 和 AWS 中的必备条件。
  2. 在 Citrix Cloud 中创建资源位置。(此过程也作为必备条件包括在内。)
  3. 连接您的 AWS 帐户。此过程启用权限,这样 Citrix DaaS 就可以连接到 AWS。
  4. 创建目录连接。此过程配置允许访问您组织的 Active Directory 的连接。
  5. 导入映像。此过程使您能够为用户创建桌面体验。
  6. 创建部署。此过程指定了要部署的计算机以及可以通过 Citrix Workspace 访问这些计算机的用户。

开始之前的准备工作

在开始准备和创建部署之前,请确保您已完成以下任务。

有一个例外:在 Citrix Cloud 中创建资源位置被列为必备条件。这也是部署清单中的第一个程序。因此,如果您将资源位置创建为必备条件的一部分,请跳过清单序列中的该过程。同样,如果您之前没有完成该程序,请在清单中完成该程序。

在 Citrix Cloud 中完成的前提条件

在 AWS 中完成的必备条件

  • 创建 AWS 用户帐户。该帐户必须有:
  • 在 Active Directory 中:
    • 使用 AD 连接器选项存储和管理信息。有关更多详细信息,请参阅 AD 连接器
    • 创建一个 OU,在其中创建 VM。该 OU 必须有 Citrix 策略才能与 Cloud Connector 和 Citrix Cloud 进行通信。有关详细信息,请参阅“参考”部分。
    • 为 Citrix Cloud Connector 配置设置组策略:
      1. Citrix 下载站点下载由 Citrix 提供的最新组策略管理控制台 (CitrixGroupPolicyManagement_64.msi)。
      2. 安装 MSI(该计算机必须安装 Visual Studio 2015 运行时)。然后创建包含控制器策略设置Citrix 策略。该设置指定 Cloud Connector 地址。
  • 创建或使用现有的 NAT 网关。有关详细信息,请参阅 NAT 网关
  • 创建或使用一个或多个现有安全组,允许 Citrix Cloud Connector 与已部署的虚拟机进行通信。有关详细信息,请参阅使用安全组控制流向 AWS 资源的流量
  • 打开 AWS 支持票证,在您的帐户上启用 BYOL。要开始使用,请联系您的 AWS 帐户经理或销售代表,或联系 AWS 支持中心。您的联系人将验证并启用 BYOL。有关详细信息,请参阅使用 Amazon WorkSpaces 控制台为您的帐户启用 BYOL 的 BYOL

    注意:

    BYOL 目前不支持 Windows 10 N 和 Windows 11 N 版本。

    • 使用 Citrix DaaS for Amazon WorkSpaces Core 功能将自动启用 AWS WorkSpaces Core 中的自带协议 (BYOP) 功能。
    • 为将要创建的桌面拥有足够的 Windows 10 许可证。有关详细信息,请参阅自带 Windows 桌面许可证

一般准备

在开始之前,请先查看每个程序。好处:这将有助于轻松完成流程。

创建资源位置

您可以在 Citrix Cloud 中创建资源位置。

  • 资源位置包含两个或更多与 Citrix Cloud 通信的 Cloud Connector。您安装 Cloud Connector 的服务器必须位于 EC2 VPC 中,已加入域并且具有 Internet 连接。Cloud Connector 必须与您计划使用的目录位于同一 VPC 中。
  • 有关 Cloud Connector 的更多信息,请参阅 Citrix Cloud Connector 以及如何对其进行配置。
  • 资源位置也可以包含您的 Active Directory 服务器。有关详细信息,请参阅将 Active Directory 连接到 Citrix Cloud

连接您的 AWS 帐户

此过程允许 Citrix DaaS 连接到 AWS 的权限。

要为 AWS WorkSpaces Core 创建 AssumeRole,请按照以下步骤操作:

  1. 在 Citrix DaaS 中,在“管理”>“快速部署”>“帐户”下,单击“连接帐户”。
  2. 在“连接 AWS 帐户”页面的“确认前提条件”下,单击“下载 AWS CloudFormation 模板”。下载模板后,单击“下一步”。

下载 AWS CloudFormation 模板

  1. 要上载模板,请参阅为 AWS Workspace Core 集成创建 AssumeRole
  2. 身份验证帐户页面中,添加在角色 ID 字段中生成的 Amazon Resource Name (ARN),在名称字段中提供名称,然后单击“下一步”。“选择区域”页面打开。

    角色 ID 对应角色的 ARN,该角色将授权 Citrix 管理资源。通过导航到 IAM > 角色,可以在 AWS 管理控制台中找到角色 ID。

    如果您使用的是 CloudFormation 脚本,请导航到 CloudFormation 并单击用于创建角色的相应堆栈。导航到资源选项卡,然后单击带有 LogicalID CitrixAssumeRole 的资源。

    注意:

    您不能为同一 AWS 帐户连接同一区域的两个帐户。

  3. 选择区域页面中,选择要部署桌面的区域,然后单击下一步

  4. 配置 BYOL 支持页面中,要配置 BYOL 支持,需要连接到安全 Amazon 网络的管理网络接口。选择要搜索的 IP 地址范围用作该接口。然后选择“显示可用的 CIDR 块”。如果 CIDR 区块在所选搜索范围内可用,请选择一个可用的 CIDR 块。当您成功选择搜索地址范围和可用的 CIDR 块时,将显示一条确认消息。单击下一步
  5. 在“摘要”页面中,查看您指定的信息。您可以返回到之前的页面。完成后,单击“完成”。 连接过程可能需要几个小时才能完成。

为 AWS Workspace Core 集成创建 AssumeRole

  1. 在浏览器窗口中,打开 Amazon Web Services Web 站点并登录。
  2. 在“搜索”字段中,键入 cloudformation 并按 EnterCloudFormation 服务
  3. 服务下选择 CloudFormation堆栈窗口打开。 stacks
  4. 单击右上角的创建堆栈 > 使用新资源(标准)创建堆栈窗口打开。
    1. 在“必备条件-准备模板”下,选择“模板准备就绪”。
    2. 在“指定模板”下,单击“上载模板文件”>“选择文件”,然后单击“下一步”。将打开“指定堆栈详细信息”窗格。
  5. 指定堆栈详细信息窗格中,提供堆栈名称AssumeRoleName,然后单击下一步配置堆栈选项 窗格打开。 指定堆栈详细信息

注意:

  • 配置堆栈选项窗格中,选择保留成功配置的资源选项。此选项保留成功配置资源的状态。下次堆栈操作时,将删除没有上次已知稳定状态的资源。 堆栈故障选项

  • 在“功能”弹出窗口中,选中“我确认 AWS CloudFormation 可能会使用自定义名称创建 IAM 资源”复选框,然后单击“创建堆栈”。 功能 堆栈创建最后可能会失败,因为已经创建了 workspace_DefaultRole 。这不会影响 AssumeRole 的创建。

  1. 事件选项卡显示创建的堆栈的状态。
  2. 资源选项卡中,选择与创建的 AssumeRole 对应的物理 ID。 资源
  3. 摘要窗格显示生成的 Amazon Resource Name (ARN)。 摘要
  4. 继续执行“连接 AWS 帐户”中步骤 4 中的过程

创建目录连接

注意:

在此步骤开始时注销您的 AWS 目录。创建与 Citrix DaaS 的目录连接后,所选目录将注册为使用 Citrix DaaS 创建 Amazon WorkSpaces。

此过程创建了一个允许访问您组织的 Active Directory 的连接。

必备条件:

  • 包含两个 Cloud Connector 的资源位置。
  • 一个安全组。
  • 您的 Active Directory 中的一个 OU。

有关必备条件的详细信息,请参阅在开始之前

您可以从以下两个位置之一开始此过程:

  • “入门”清单上的链接。
  • 在 Studio 中,选择左侧窗格中的 Amazon WorkSpaces Core 部分下的“目录连接”中的“快速部署”。然后选择“创建目录连接”。

按照创建目录连接顺序进行操作:

  1. 连接目录: 从下拉列表中选择帐户。为租户选择“专用”或“共享”。
  2. 资源位置: 选择帐户和目录。(所选帐户必须至少有一个目录。)
    • 选择要在其中部署台式机的两个子网。子网必须位于相应的可用区内。
    • 为此连接指定一个友好名称。
    • 完成后,单击“下一步”。
  3. 虚拟机设置: 您选择的设置适用于使用此目录连接的所有虚拟机。
    • 所选的 OU 必须与 Citrix 组策略所针对的 OU 相匹配。
    • 选择一个安全组。
    • 指明是否要向分配给 VM 的每位用户授予管理员权限。

导入映像

此过程使您能够为用户创建桌面体验。您现在可以导入两种类型的映像:

  • EC2 映像 - 要导入此映像,必备条件是安装 Citrix Virtual Delivery Agent 及其所有驱动程序。映像还必须为 BYOL 做好准备。BYOL 脚本可在以下位置获得:BYOLChecker.zip
  • Workspace 映像 - 要导入此映像,必备条件是安装 Citrix Virtual Delivery Agent 及其所有驱动程序。

要导入映像,请按照以下步骤操作:

  1. Web Studio > 快速部署中,单击“映像”。
  2. 在“我的映像”中,单击“导入映像”。
    1. 必备条件: 提供 EC2 映像和 Workspace 映像的必备条件详细信息。单击“下一步:选择映像”
    2. 选择映像

      • 为映像提供一个友好名称。
      • 选择一个帐户。
      • 映像下拉列表中,您可以选择 EC2 或 WSI 类型的映像。
        • 如果您选择 EC2,则从应用程序下拉列表中选择要安装的应用程序,然后单击“下一步:摘要”。EC2 类型的映像仅支持单会话。
        • 如果选择 WSI,请确保会话支持和摄取过程与映像设置一致。但是,不匹配不会覆盖映像的设置,但可能会由于不兼容而导致部署失败。将会话支持选择为单会话或多会话。
      • 提供描述,然后单击“下一步:摘要”。
      • 单击下一步。“摘要”页面打开。
  3. 在“摘要”页面中,查看您提供的信息,然后单击“导入映像”。

    注意:

    导入映像可能需要几个小时。

  4. 选择任意映像,然后单击“查看详细信息”。详细信息页面显示创建映像时选择的选项,例如帐户、会话支持、租赁、应用程序等。

注意:

创建部署时,在“映像和性能”页面中:

  • 如果所选的目录连接具有专用租户,则列出的映像仅为单个会话。在“桌面”页面中,您可以选择创建带有或不分配用户的桌面。
  • 如果所选的目录连接具有共享租户,则列出的映像既是单会话又是多会话。如果选择具有多会话的映像,则在“桌面”页面中,仅启用“创建桌面而不分配用户”选项。

专用租户映像的要求

  • 映像必须是 Windows 10 Pro 或 Windows 11 Pro。
  • 在映像准备期间运行 BYOLChecker 脚本。
  • 只能在单会话支持中设置映像。
  • 在 EC2 中创建 AMI 映像时,快照应未加密。
  • 映像导入期间的默认获取协议是常规的。但是,客户可以选择图形化 G4DN 摄取协议,该协议会安装额外的驱动程序并需要更高级别的计算机。
  • 在映像导入期间,客户可以添加要安装的办公应用程序。这将限制工作区的创建仅限于预先分配的用户部署。
  • 映像要求将目录连接设置为专用。
  • 您可以创建预先分配的单会话部署或解耦(池)单会话部署。

对默认或共享租户映像的要求

  • 选择 Windows Server BYOP 捆绑包来创建工作区。
  • 工作区必须未加密,并且仅支持“始终开启”模式。
  • 通过 RDP 使用专用 IP 地址从连接器连接到工作区,并使用分配给工作区的相同用户凭据登录。如果计算机上有多个用户配置文件,则无法保存映像。
  • 安装 VDA 并运行映像检查器应用程序。
  • VDA 可以配置为单会话或多会话。
  • 重新启动工作区并将其另存为映像。
  • 保存映像后,可以将其导入到 Citrix 环境中。
  • 映像导入期间的默认获取协议是常规的。但是,如果基础包是基于 G4DN 的,则可以选择图形化 G4DN 摄取协议。
  • 映像要求将目录连接设置为共享。
  • 如果将映像设置并保存为单会话部署,则可以创建预先分配的单会话部署或解耦(池)单会话部署。
  • 如果将映像设置并保存为多会话部署,则只能创建解耦(池)多会话部署。

操作系统、目录类型和会话支持兼容性

映像 会话支持 AWS 目录租赁 部署类型 持久性
Windows Desktop 11 Pro 单会话 专用 专用或池 静态
Windows 桌面 10 专业版 单会话 专用 专用或池 静态
Windows Server 2022 多会话 共享虚拟机 静态
Windows Server 2022 单会话 共享虚拟机 专用或池 静态
Windows Server 2019 多会话 共享虚拟机 静态
Windows Server 2019 单会话 共享虚拟机 专用或池 静态

注意:

DaaS 对 AWS WorkSpaces Core 的多会话支持目前处于技术预览阶段。

导入映像时集成 Microsoft Office 2019 映像

要在导入映像时集成 Microsoft Office 2019 映像,请执行以下操作:

  1. Web Studio > 快速部署中,单击“映像”。
  2. 在“我的映像”中,单击“导入映像”。
  3. 在“导入映像”>“必备条件”中,单击“下一步:选择映像”。
  4. 在“导入映像”>“选择映像”中:
    • 从“帐户”下拉列表中选择一个帐户。
    • AMI 下拉列表中选择一个 AMI。
    • 在“名称”字段中输入映像的名称。
    • 在映像中选择包括 Microsoft Office 2019 Professional Plus
    • 在“描述”字段中输入描述。
  5. 在“导入映像”>“选择映像”中,单击“下一步:摘要”。
  6. 在“选择映像”>“摘要”中,确保 Microsoft Office 2019 显示“已选定”。
  7. 在“我的映像”中,单击“导入映像”。 在导入操作完成之前,最近部署的映像的状态显示正在导入
  8. 在“我的映像”中,选择最近部署的映像,然后单击“查看详情”。
  9. 详细信息面板中,Microsoft Office 2019 字段显示已包含

注意:

只有以下版本的操作系统兼容:

  • Windows 10 版本 21H2(2021 年 12 月更新)
  • Windows 10 版本 22H2(2022 年 11 月更新)
  • Windows 10 Enterprise LTSC 2019 (1809) (1809)
  • Windows 10 Enterprise LTSC 2021 (21H2) (21H2)
  • Windows 11 版本 22H2(2022 年 10 月发布)

从现有 Workspace 实例创建自定义映像

要为用户创建自定义映像,请执行以下操作:

  1. Web Studio > 快速部署中,选择部署
  2. 选择包含要管理的计算机的部署,然后单击“查看详细信息”。
  3. 部署窗格的用户选项卡下,选择工作区状态为可用的用户,然后单击创建自定义映像

    部署窗格

    注意:

    只能为工作区状态为可用的部署创建自定义映像。

  4. 在“创建自定义映像”窗格中:

    • 验证所选用户的映像属性操作系统帐户信息。
    • 请注意警告消息,该消息指明了桌面部署在此过程中进入维护模式的时间。
    • 填写映像名称说明等必填字段。映像名称字段会建议映像名称中允许使用的字符。
  5. 单击创建映像节点窗口打开。
  6. 单击“刷新”按钮。新创建的自定义映像将列出,状态为“待处理”。
  7. 选择自定义映像,然后单击“查看详细信息”。映像窗口随即打开,其中包含状态帐户ID操作系统说明等详细信息。
  8. 在左侧导航栏中单击“部署”。新部署的状态显示为正在更新
  9. 选择新部署,然后单击“查看详细信息”。

    • 在“部署”窗格中,“维护”选项卡显示为“开启”。

    维护开启

最佳实践:

  • 使用未连接到您的生产环境的单独虚拟私有云 (VPC)。
  • 对于 Windows 工作区,请避免在创建映像之前配置任何组策略对象 (GPO)。有关详细信息,请参阅最佳实践
  • 使用专用 AD 连接器创建映像。
  • 使用 Active Directory 中的专用 OU 来创建映像。有关详细信息,请参阅成功创建 Amazon WorkSpaces BYOL 映像的最佳实践

创建部署

部署是一组桌面,用户可以从 Citrix Workspace 访问这些桌面。此过程指定了要部署为桌面的虚拟机的特征,以及哪些 AD 用户可以使用它们。

必备条件

完成准备和创建部署中列出的所有步骤。

  1. Web Studio > 快速部署中,单击 Amazon Web Services 列中的部署。单击“创建部署”。
  2. 在“映像和性能”页面中,
    1. 如果您选择专用租户作为目录连接,则映像下拉列表会列出具有专用租户的映像。具有专用租户的映像仅支持单会话。
    2. 如果您选择共享租户作为目录连接,则映像下拉列表会列出具有默认租户的映像。共享租户的映像支持单会话和多会话。
    3. 选择性能根卷大小。单击“下一步:加密”。
  3. 加密:在“选择加密密钥首选项”部分:
    1. 默认情况下,“使用 AWS 托管 KMS 密钥”选项处于选中状态。它对根卷和用户卷进行加密,并由 AWS 管理。
    2. 如果您选择“使用客户管理的密钥”选项,请确保首先在 AWS 密钥管理中创建密钥。创建后,在“密钥别名”字段中输入密钥,然后单击“下一步: 桌面”。

    注意:

    可以在密钥管理服务 (KMS) 控制台的 AWS 托管的密钥客户管理的密钥下找到加密密钥。

  4. 桌面
    1. 添加了用于选择在不分配用户的情况下创建桌面的新选项。对于此选项,请指定要添加到部署中的桌面数量。此选项的桌面分配类型未分配随机池。单击“下一步:摘要”。

    注意:

    不分配用户创建桌面”选项不适用于使用 AWS 提供的应用程序的映像。因此,在创建桌面时必须分配用户。

    1. 如果选择现有的“在创建桌面时分配用户”选项,请搜索并选择允许访问桌面的用户。如果要为用户自定义卷大小,请选择“编辑用户和根卷大小”,然后指定大小。此选项的桌面分配类型静态预分配。单击“下一步:摘要”。
  5. 摘要: 查看您提供的信息并提供部署名称。单击“创建部署”。“部署”页面显示新的“桌面”列以及分配的桌面详细信息。
  6. 选择部署,然后单击“查看详细信息”。部署详细信息页面显示三个选项卡:
    1. 桌面:选择桌面,将显示要修改的设置。
    2. 用户:此选项卡仅适用于未分配的部署,用于分配用户或组以启动桌面。单击添加。更新所需的设置,然后单击“立即查找”。您可以从表格中选择多个用户,然后单击“确定”>“完成”。您可以添加更多用户,也可以通过选择相应的选项来删除现有用户。
    3. 配置:此选项卡显示所选桌面的分配类型。如果是未分配的桌面,则桌面分配类型未分配随机池

集成 Microsoft 365 Windows 应用程序

要集成 Microsoft 365 应用程序,请参阅 Microsoft 365 应用程序企业版现已在 Amazon WorkSpaces 服务中提供Microsoft 365 自带许可证 (BYOL)

管理部署中的计算机

除了管理计算机目录中描述的计算机管理功能外,对于某些操作,您还可以从部署中选择要管理的计算机。

要管理部署中的计算机,请执行以下操作:

  1. Web Studio > 快速部署中,选择部署
  2. 在“部署”窗格中,选择包含要管理的计算机的部署。
  3. 单击“查看详细信息”。
  4. 部署详细信息窗格中,选择要管理的计算机。
  5. 从显示的操作中,选择要在计算机上执行的操作:
  • 单击“编辑卷大小”以更改计算机的音量大小。
  • 单击“删除”将计算机从部署和 AWS 中删除。如果计算机位于交付组中,则只有在维护模式下才能将其删除。
  • 单击“打开/关闭维护模式”以打开计算机的维护模式(如果已关闭)或关闭(如果已打开)。

参考

AWS 帐户编程访问权限

AWS 用户帐户必须具有一定的编程访问权限才能对 AWS 资源层进行 API 调用。编程访问会创建访问密钥 ID 和私有访问密钥。 您可以在 IAM 控制台中创建包含这些权限的策略。如下图所示,您可以使用可视化编辑器(逐一添加权限)或 JSON(添加下面的代码片段)。 有关详细信息,请参阅在您的 AWS 帐户中创建 IAM 用户

  • 可视化编辑器选项卡上,逐一添加权限。

    创建策略

  • JSON 选项卡上,添加下图后面显示的片段。

    在 JSON 中创建策略

所需的权限

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                    "workdocs:DeregisterDirectory",
                    "workdocs:RegisterDirectory",
                    "workdocs:AddUserToGroup",
                    "ec2:ImportInstance",
                    "ec2:DescribeImages",
                    "ec2:DescribeImageAttribute"
                    "ec2:CreateKeyPair",
                    "ec2:DescribeKeyPairs",
                    "ec2:ModifyImageAttribute",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeSubnets",
                    "ec2:RunInstances",
                    "ec2:DescribeSecurityGroups",
                    "ec2:CreateTags",
                    "ec2:DescribeRouteTables",
                    "ec2:DescribeInternetGateways",
                    "ec2:CreateSecurityGroup",
                    "ec2:DescribeInstanceTypes",
                    "servicequotas:ListServices",
                    "servicequotas:GetRequestedServiceQuotaChange",
                    "servicequotas:ListTagsForResource",
                    "servicequotas:GetServiceQuota",
                    "servicequotas:GetAssociationForServiceQuotaTemplate",
                    "servicequotas:ListAWSDefaultServiceQuotas",
                    "servicequotas:ListServiceQuotas",
                    "servicequotas:GetAWSDefaultServiceQuota",
                    "servicequotas:GetServiceQuotaIncreaseRequestFromTemplate",
                    "servicequotas:ListServiceQuotaIncreaseRequestsInTemplate",
                    "servicequotas:ListRequestedServiceQuotaChangeHistory",
                    "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota",
                    "sts:DecodeAuthorizationMessage",
                    "ds:*",
                    "workspaces:*",
                    "iam:GetRole",
                    "iam:GetContextKeysForPrincipalPolicy",
                    "iam:SimulatePrincipalPolicy"

                ],
                "Resource": "*"
            }
        ]
}
<!--NeedCopy-->
适用于 Amazon WorkSpaces Core 的 Citrix DaaS