亚马逊AWS官方博客

快速上手 Amazon WorkSpaces 云中的虚拟桌面

由西云数据运营的 AWS 中国(宁夏)区域现在已经支持Amazon WorkSpaces服务。您可以使用此服务快速的在云中构建终端用户桌面,管理和维护虚拟桌面的使用,简化IT需求,提高工作效率。本文主要从服务简介、工作原理、功能对比和使用场景等角度介绍Amazon WorkSpaces,并通过快速上手指南帮助您更好的使用这个服务。

Amazon WorkSpaces 简介

Amazon WorkSpaces 是一种托管、安全的桌面即服务 (DaaS) 解决方案。您可以使用 Amazon WorkSpaces 在几分钟内预配置 Windows 或 Linux 桌面,并快速扩展,从而为全球各地的员工提供数以千计的桌面。您只需要为启动的 WorkSpaces 按月付费或按小时付费。Amazon WorkSpaces 可帮助您消除管理硬件清单、操作系统版本和补丁以及虚拟桌面基础设施 (VDI) 的复杂性,从而简化您的桌面交付策略。借助 Amazon WorkSpaces,您的用户能够选择运行快速的响应式桌面,该桌面可供他们随时随地从任何受支持的设备进行访问。

Amazon WorkSpaces 工作原理

Amazon WorkSpaces客户端应用程序使用 HTTPS 通过端口 443 端口处理所有用户身份验证及与会话相关的信息,并使用端口 4172 和PCoIP网关通信以访问WorkSpace桌面。用户身份认证及PCoIP网关都运行在AWS管理的VPC中,对于使用者不可见,您也不用再担心这些服务器的可用性。每个WorkSpace的使用状态更新都在这些网关服务器上进行处理,所有的信息同时都记录在CloudWatch中。
每个 WorkSpace 都有 2 个与之关联的弹性网络接口 (ENI):一个 ENI 用于管理和流式处理 (eth0),另一个是主 ENI (eth1)。主 ENI 的 IP 地址由 VPC (其子网与目录所用的子网相同) 提供。这样可确保 WorkSpace 与目录服务通信,使WorkSpace可以访问企业内部数据中心的资源,同时保证WorkSpace符合企业信息管理的规范。对 VPC 中资源的访问权限由分配给主 ENI 的安全组控制。

下图演示了 Amazon WorkSpaces 的架构:

Amazon WorkSpaces 的优势和功能

简化桌面交付

运维人员对于公有云桌面资源的交付工作可以在简单的几步内完成,可以帮助节约很多传统VDI桌面内基础设施部署及维护的工作。和其他的AWS服务一样,Amazon WorkSpaces支持通过API或CLI的方式访问,通过和现有的IT系统资产系统集成可以快速完成终端用户的桌面交付工作。
同时WorkSpaces支持桌面资源的无限扩展,简单的动态调整桌面CPU、内存和硬盘资源,按需付费的模式避免多度购买硬件,浪费资源。

保证数据安全

Amazon WorkSpaces 部署于 Amazon Virtual Private Network (VPC) 内,为每个用户提供对 AWS 云中持久加密存储卷的访问权限,并与 AWS Key Management Service (KMS) 集成,避免在本地基础架构环境中部署安全加密服务,在本地设备中不存储用户数据。 这有助于提高用户数据的安全性,并降低整体风险。

桌面操作系统部署多样

Amazon WorkSpaces 同时提供Windows 和Amazon Linux 2的桌面。

简化应用管理(该功能模块中国区暂未发布)

Amazon WorkSpaces 深度集成了Application manager(WAM)服务,简单且安全的应用发布流程可以有效帮助运维人员管理桌面用户的应用软件。

和传统虚拟桌面或物理PC的对比如下:

其他功能:

Amazon WorkSpaces 使用目录来存储和管理 WorkSpace 及用户的相关信息。可以使用以下选项之一:

  • AD Connector — 使用现有本地部署 Microsoft Active Directory。用户可以使用其本地部署凭证登录 WorkSpace 并从其 WorkSpace 访问本地部署资源。
  • Microsoft AD — 创建在 AWS 上托管的 Microsoft Active Directory。
  • Simple AD — 创建与 Microsoft Active Directory 兼容的目录,该目录由 Samba 4 提供支持,并在 AWS 上托管该功能模块中国区暂未发布)。
  • Cross trust — 在您的 Microsoft AD 目录与本地部署域之间创建信任关系。

关于身份认证,Amazon WorkSpaces 支持集成MFA的认证方式。在启用MFA后,用户在登录过程中除需要输入用户名和密码外,还需要输入MFA Code,如下图所示。

Amazon WorkSpaces同时支持用户的RADIUS服务器部署在本地数据中心或AWS云上,也支持其他第三方以SAAS服务方式提供RADIUS服务的合作伙伴。

如果您使用的是在AWS 上托管的 Microsoft Active Directory,那会更容易的去启用MFA认证,详细请参考如何为 AWS Managed Microsoft AD 启用多重验证

在 Amazon WorkSpaces 中,您可以为用户启用自助服务 WorkSpace 管理功能,使他们能够更好地控制其体验。这也可以减少 IT 支持人员的 Amazon WorkSpaces 工作负载。

当您启用自助服务功能时,您可以允许用户直接从其 Windows 客户端或 OS X 客户端为 Amazon WorkSpaces 执行以下一项或多项任务,如下图所示:

 

  • 重启其 WorkSpace。
  • 在其 WorkSpace 上增加驱动器的卷大小。
  • 更改其 WorkSpace 的计算类型。
  • 切换其 WorkSpace 的运行模式。
  • 重建其 WorkSpace。

Amazon WorkSpaces支持自定义映像和服务包。

借助Amazon CloudWatch,您可收集Amazon WorkSpaces上多达12种性能指标,您可以使用 CloudWatch 控制台、CloudWatch 命令行界面或者以编程方式使用 CloudWatch API 来监控这些指标。您还可以使用 CloudWatch 设置警报,让系统在达到某指标的指定阈值时提醒您,如下图:

 

Amazon WorkSpaces 的使用场景

为远程、移动和合同员工提供安全的云桌面

远程和移动工作人员的快速增长,要求 IT 为其提供一种方式来使用自己选择的设备快速方便地访问企业应用程序和数据。Amazon WorkSpaces 可以提供一个在任何地方都能够使用支持的设备通过 Internet 访问的云桌面,帮助移动和远程员工访问用户所需的应用程序。

启用自带设备

为实现自带设备 (BYOD) 计划的承诺,IT 部门必须确保员工能够通过大量不断变化的设备轻松安全地访问其应用程序和数据。Amazon WorkSpaces 可让您直接在各种不同的设备上运行云桌面,例如 PC、Mac、iPad、Kindle Fire、Android 平板电脑、Chromebook 以及 Firefox 和 Chrome 等浏览器。这为您提供了交付安全的响应式桌面体验的工具,在让用户满意的同时,帮助您实现 BYOD 计划。

快速预配置和扩展桌面以进行软件测试和开发

开发人员和测试团队需要访问安全的高性能 WorkSpace 来完成任务,同时避免大量超规预配置的物理硬件带来的费用和清单。您可以配置包含开发人员需要的所有工具的 Amazon WorkSpaces,从而快速构建应用程序。您的源代码不会存储在开发人员的设备上,这有助于确保您的知识产权的安全性。

在课堂和实验室环境中快速配置持久桌面

Amazon WorkSpaces 提供了一个完整持久的桌面,学生可以在整个教育过程中使用该桌面,而 Amazon AppStream 2.0 让课程教师可以针对班级的独特需求快速提供特定的应用程序。同时使用这两项服务,您可以轻松地构建学生所需的学习环境,并确保学生从一开始就能获取他们需要的课程。

企业兼并和收购期间系统快速集成

经历并购的公司必须支持大量员工快速入职或离职,提供快速、简单、安全地方式访问公司应用程序和数据。他们必须通过各种设备完成此项任务,而无需花费太多资金或进行冗长复杂的整合。借助 Amazon WorkSpaces,IT 团队可以快速预配置和停用安全 WorkSpaces,以便满足不断变化的组织结构的需求。

Amazon WorkSpaces 的使用案例

Autodesk 在其 Autodesk University 大会上使用 Amazon WorkSpaces 运行现场培训实验。Autodesk 选择使用 Amazon WorkSpaces 而不是租赁物理硬件,在低成本的零客户端上托管其虚拟工作站,从而提高设置效率、减少碳排放量和节约成本。

Yamaha Motor Company 以其丰富的摩托车系列而广为人知,但是该公司还生产踏板车、全地形车、舷外发动机、电动自行车、高尔夫球车、雪地车及其他多用途发动机。

“借助 Amazon WorkSpaces,我们不必再担心不可避免的虚拟桌面基础设施更新周期,因为我们的桌面可以安全地在 AWS 云中运行。性能和稳定性都有所提高,而且我们可以快速推出解决方案。最重要的是,Amazon WorkSpaces 不需要进行前期投资,我们只需按实际使用量付费即可。我们现在正努力完全停用本地 VDI 解决方案。” 来自于Harako Taku,Yamaha Motor Company 企业规划与财务中心流程与 IT 事业部 IT 技术战略组高级主管

ISSI Corp. 是一家总部位于菲律宾的 Standard Insurance 公司的子公司,为美国保险公司提供外包服务。
ISSI 从物理桌面迁移到 Amazon Workspaces,并将其作为主要的虚拟桌面解决方案。通过与美国保险数据中心的安全连接,这些虚拟桌面链接到其客户的保险系统。通过采用 Amazon Workspaces,它将计算机维护工作量从数小时减少到几分钟,现在平均需要 20 分钟即可预置新工作区。作为一家业务流程外包公司,ISSI 公司通过在 Amazon Virtual Private Cloud (VPC) 中使用 Amazon Workspaces,简化了其 IT 需求,在按使用量付费的定价模式下,将其资本支出降低了 25%。运行 Amazon Workspaces 还为 ISSI 公司带来了额外的好处:它可以满足业务连续性计划的准备,因为员工可以轻松登录 Amazon Workspaces,并从其他办公室为客户提供服务。

意大利国家审计院 (Cdc) 负责审计与监督意大利所有公共机构的账户和预算。Cdc 希望摆脱耗时的物理 IT 管理并改变 3000 多名员工的工作方式,让员工可以从任何位置用任何设备访问应用程序,同时确保数据安全不受威胁。为了实现这一目的,Cdc 在 Amazon Web Services (AWS) 和 AWS 高级咨询合作伙伴 XPeppers 的帮助下,采用了一种基于 Amazon WorkSpaces 的虚拟桌面基础设置 (VDI) 解决方案。这一解决方案让 Cdc 符合意大利政府在安全性和合规性方面的法规、提高了工作效率、加快了决策速度并控制了成本

弗吉尼亚大学 (UVA) McIntire 商学院改为使用 Amazon Web Services (AWS) 来为学生提供灵活、经济高效的虚拟桌面。McIntire 商学院使用 Amazon WorkSpaces 为校内外的学生提供计算机资源和虚拟桌面。WorkSpaces 让该大学能够通过改变注册需求来扩展资源,并采用按实际使用量付费的定价模式。McIntire 商学院提供本科、研究生和认证级别的课程,有 1100 名学生和 175 名教职员工。其主校区位于弗吉尼亚州夏洛茨维尔。

快速上手Amazon WorkSpaces

安装前提

Amazon WorkSpaces 使用Windows 目录来存储和管理 WorkSpace 及用户的相关信息。对于您的目录,您可以从AWS的Directory Service中选择 Simple AD、AD Connector 或 AWS 托管的 Microsoft AD(目前AWS中国区仅支持后两个)。此外,您可以在 AWS 托管的 Microsoft AD 目录与本地域之间建立信任关系。
在本文中,我们假定您已经在AWS上创建了目录服务(如下图),接下来我们将启动使用 AWS 托管的 Microsoft AD 的 WorkSpace。要了解使用其他选项的教程,请参阅使用 Amazon WorkSpaces 启动虚拟桌面

安装步骤

在WorkSpaces的管理控制台中注册当前目录服务

在弹出的窗口中选择目录所在的子网,同时也是WorkSpace所运行的子网段。点击注册

注册完成。

创建WorkSpace

点击启动WorkSpaces

选中WorkSpace所在的目录

在标示用户中添加使用这个WorkSpace的用户。您可以使用创建用户功能在目录中添加一个新的域用户(如下图)。您也可以使用从目录中选择现有的用户功能将在目录中的现有用户添加到这个WorkSpace上。
注意:电子邮件地址非常关键,当WorkSpace桌面创建完成后,系统会自动发送一封创建完成的邮件给电子邮件地址的使用者。邮件中包含这个WorkSpace的注册码及用户的初始密码设置连接。

选择WorkSpace的服务包。您可以在启动WorkSpace前自定义桌面操作系统的映像包,其中可以包含特定的操作系统和软件以及配置文件。以标准版Windows10和Office 2016为例,并使用默认的磁盘卷容量创建WorkSpace:

在配置界面中选择WorkSpace的运行模式以及是否对WorkSpace的磁盘卷进行加密。运行模式和WorkSpace的按月计费和按小时计费的定价模式相关。AlwaysOn模式适合全天使用 Amazon WorkSpace 或将其用作主要桌面的工作人员,AutoStop模式适合兼职工作人员、临时性工作分担、频繁出差的人员、短期项目、企业培训和教育的场景。加密的是使用的AWS KMS加密方式,以下示例使用AWS托管密钥加密,您也可以创建密钥,选择客户管理的密钥进行加密。

检查相关配置,并启动WorkSapce。

待WorkSpace的状态显示AVAILABLE表示创建完成,同时被标示的用户会收到一封如何登录的邮件,根据步骤1的提供的链接可以对testuser的密码进行初始化设定,并使用注册码进行登录。


使用WINDOWS 客户端连接



除此之外,Amazon WorkSpaces还支持通过主流的平板电脑及Web的方式接入,关于支持的客户端类型及如何安装请参考Amazon WorkSpaces Clients

更多资料参考

 

本篇作者

刘亚彬

AWS 解决方案架构师。负责基于 AWS 的云计算方案架构的咨询和设计,同时致力于 AWS 云服务在国内的应用和推广。在加入 AWS 前,拥有超过15年项目实施经验,曾就职于Citrix,主要服务于国内外金融类客户。

尹广东

AWS解决方案架构师,负责基于AWS云计算方案架构的咨询和设计,在国内推广AWS云平台技术和各种解决方案。具有十年以上云计算和 APM(应用性能管理)解决方案领域工作经验,熟悉主流的云计算及 APM 产品,对企业级应用系统架构、网络架构、存储架构有深刻了解,熟悉 TCP/IP 网络协议、主流的路由交换协议,超过4年的AWS技术实践经验,深度理解AWS核心的计算、网络、存储以及云计算的弹性伸缩,目前专注于AWS FSI行业解决方案设计。