Amazon AppStream 2.0: Arbeiten mit Image Builder – Teil II

In Teil 1 dieser Blogserie haben wir eine neue Directory-Administration-Instanz und eine Amazon Managed Active Directory (Managed AD)-Instanz eingerichtet.

In Teil 2:

• Erstellen wir im Managed AD ein neues Servicekonto für die AppStream 2.0-Servicemaschinen und den Image Builder.
• Anschließend legen wir im Managed AD eine neue Organizational Unit (OU) an, der die AppStream 2.0-Maschinen beitreten können.
• Danach erzeugen wir ein Golden Image mit vorinstallierten Anwendungen zur Verwendung mit AppStream 2.0.

Vektorgrafik von Sky Motion

Verbinden Sie sich zunächst mit der Directory-Administration-EC2-Instanz – entweder per Remote Desktop oder über Systems Manager – Fleet Manager.

Schritt 1

Klicken Sie auf die Schaltfläche Start und navigieren Sie zu Active Directory Users and Computers.

Suchen Sie nach Active Directory (AD) Users and Computers

Lassen Sie das Fenster Active Directory Users and Computers auf der Domain-Administration-Instanz geöffnet, da wir es im weiteren Verlauf des Tutorials benötigen.

Schritt 2

Suchen Sie den Active-Directory-Forest und erweitern Sie den Baum, bis CORP und Users sichtbar werden. Klicken Sie mit der rechten Maustaste auf die Users OU, wählen Sie New und dann User.

Workflow New User öffnen

Schritt 3

Füllen Sie die Felder entsprechend aus. In unserem Beispiel nennen wir das Servicekonto appstreamsvc. Klicken Sie auf Next, um fortzufahren.

Assistent New Object – User: Benutzerdetails eingeben

Schritt 4

Vergeben Sie ein neues Passwort für dieses Servicekonto und stellen Sie sicher, dass die Option Password never expires aktiviert ist. Klicken Sie auf Next, um fortzufahren.

Assistent New Object – User: Passwort einrichten

Schritt 5

Überprüfen Sie die ausgewählten Optionen für das neue Servicekonto.

Klicken Sie auf Finish, um die Benutzererstellung abzuschließen.

Assistent New Object – User: Überprüfen und bestätigen

Das neue Servicekonto sollte nun erstellt sein und unter dem Admin-Benutzer angezeigt werden.

AD Users and Computers: Benutzer in der Liste sehen

Erstellen Sie auf die gleiche Weise ein weiteres Servicekonto zur Nutzung mit dem Image Builder. In unserem Beispiel legen wir den Benutzer mit dem Namen appstreambuilder an.

Legen Sie im selben Fenster Active Directory Users and Computers eine neue OU an. Die von AppStream 2.0 erzeugten Maschinen werden dieser OU zugeordnet.

Workflow New OU öffnen

In unserem Beispiel nennen wir die OU Machinejoinou.

AD Users and Computers: Machinejoinou

Notieren Sie sich unbedingt den Distinguished Name der OU, da wir ihn in einem späteren Schritt dieses Tutorials benötigen.

Distinguished Name von Machinejoinou kopieren

Wir erteilen dem neuen Servicekonto die Berechtigung, das Hinzufügen und Entfernen neuer Active-Directory-Objekte (Computerobjekte) innerhalb der Machinejoinou zu verwalten.

Schritt 1

Klicken Sie zunächst mit der rechten Maustaste auf die Machinejoinou. Navigieren Sie zu All Tasks und wählen Sie dann Delegate Control.

AD Users and Computers: Workflow Delegate Control

Schritt 2

Im erscheinenden Assistentenfenster wählen Sie Add, nachdem Sie auf Next geklickt haben.

Geben Sie appstreamsvc oder den Namen Ihres Servicekontos in das Textfeld Enter the object names to select ein.

Klicken Sie auf Check Names, damit der Assistent das Objekt – wie im folgenden Screenshot gezeigt – auflöst, und überprüfen Sie den Namen des Servicekontos.

Fügen Sie auf die gleiche Weise das zweite Servicekonto (appstreambuilder) im Bereich Users or Groups hinzu.

Delegation of Control-Assistent: Users, Computers and Groups auswählen

Schritt 3

Wechseln Sie zur nächsten Seite (Tasks to Delegate). Wählen Sie die Option Create a custom task to delegate und klicken Sie auf Next.

Delegation of Control-Assistent: Tasks to Delegate

Schritt 4

Auf der nächsten Seite:

1. Wählen Sie in der Liste Computer Objects. 2. Aktivieren Sie Create selected objects in this folder.

Delegation of Control-Assistent: Auswahl des AD Object type

Fahren Sie mit dem nächsten Schritt fort.

Schritt 5

Wählen Sie im Bereich Show these permissions die Optionen general und property-specific.

Stellen Sie in der Liste Permissions sicher, dass folgende Punkte ausgewählt sind:

• Read
• Write
• Change Password
• Reset Password

Delegation of Control-Assistent: Permissions auswählen

Überprüfen Sie auf der nächsten Seite alle Angaben und klicken Sie auf Finish.

Die Directory Config ist eine der zentralen Konfigurationen, damit AppStream 2.0 mit Managed AD funktioniert.

Öffnen Sie die AppStream 2.0-Seite in der AWS Console.

Wählen Sie im Menü links Directory Configs und klicken Sie dann auf Create Directory Config.

Füllen Sie das Formular mit folgenden Angaben aus:

• Directory Name: corp.example.com oder ersetzen Sie diesen durch Ihren eigenen Verzeichnisnamen.
• Service Account Name: in unserem Beispiel corp\appstreambuilder.
• Geben Sie das Passwort des Servicekontos zweimal ein (Password/Confirm Password).
• Organizational Unit (OU): Tragen Sie den Wert ein, den wir zuvor beim Erstellen von Machinejoinou kopiert haben.

Erstellen Sie nun die Directory Config.

Das Tutorial Active Directory Integration in der AppStream 2.0-Dokumentation behandelt dies ebenfalls, aber wir wollten besonders auf die Feinheiten beim Einsatz von AWS Managed AD eingehen.

AppStream 2.0: Create Directory Config

So starten Sie eine Instanz des Image Builders:

• Wählen Sie im Menü links Images.
• Klicken Sie auf den Tab Image Builder.
• Klicken Sie anschließend auf Launch Image Builder.

AppStream 2.0: Launch Image Builder

Schritt 1

Suchen Sie über den Filter das aktuellste Windows Server 2019 Base Image. In unserem Beispiel verwenden wir AppStream-WinServer2019–05–08–2024.

AppStream 2.0: Choose an Image

Schritt 2

Geben Sie passende Werte für Name und Display Name ein.

Als Instance Type verwenden wir entweder stream.standard.small oder stream.standard.medium.

Für die Ziele dieses Tutorials sind weder eine IAM role noch ein VPC Endpoint erforderlich.

AppStream 2.0: Configure Image Builder

Schritt 3

Damit die Image Builder-Instanz Software herunterladen und installieren kann, ist Internetzugang erforderlich. Wir platzieren diese Instanz in einem public subnet. Wählen Sie security groups mit den erforderlichen Zugriffskontrollen aus.

AppStream 2.0: Netzwerk für Image Builder konfigurieren

Schritt 4

Überprüfen Sie die Einstellungen und starten Sie die Image Builder-Instanz.

AppStream 2.0: Review and Launch Image Builder

Der Image Builder bleibt eine Weile im Status Pending und wechselt anschließend in den Status Running.

AppStream 2.0: Image Builder erstellt

Schritt 1

Stellen Sie zunächst sicher, dass Sie mit dem Image Builder verbunden sind.

AppStream 2.0: Mit Image Builder verbinden

Schritt 2

Um sich am Image Builder anzumelden, wählen Sie unter dem Tab Local User den Benutzer Administrator user.

Image Builder: Anmeldung als Administrator user

Der Windows-Server-Desktop öffnet sich in einem neuen Browserfenster.

Image Builder: Desktop-Ansicht

Schritt 3

Die Konnektivität zum Managed AD-Service zu testen, ist ein hilfreicher, jedoch nicht zwingend erforderlicher Schritt.

Weisen Sie das Servicekonto der Image-Builder-Instanz zu und machen Sie es zum lokalen Administrator.

Klicken Sie dazu auf das Startmenü und suchen Sie nach User. Klicken Sie auf Work or school users.

Image Builder: Den Menüeintrag Work or school users finden

Fügen Sie nun das Servicekonto appstreambuilder als lokalen Administrator hinzu.

Image Builder: Work or school user hinzufügen

Schritt 4

Wir verwenden die Anmeldedaten des Servicekontos, um uns anzumelden und zu bestätigen, dass das von uns erstellte Image eine Verbindung zum Managed AD-Service aufbauen kann.

Im oberen Bereich des Windows-Server-Desktops sehen Sie eine Menüleiste mit dem Eintrag Admin Commands. Klicken Sie auf diese Schaltfläche und wählen Sie Switch User.

Image Builder: Switch user, Admin command

Wählen Sie den Tab Directory user und melden Sie sich mit dem Benutzernamen appstreambuilder an.

Image Builder: Anmeldung als Directory user

Sie sind jetzt als Active-Directory-Benutzer appstreambuilder angemeldet, und der Windows-Server-Desktop wird angezeigt.

Installieren Sie weitere Software auf dieselbe Weise wie auf einem Windows-Desktop-Computer.

Bitte beachten Sie als Administrator, dass es Ihre Aufgabe ist, die Endbenutzer auf zusätzliche Lizenzanforderungen oder weitere Einrichtungsschritte für die installierte Software hinzuweisen.

Für die Zwecke dieses Tutorials installieren wir das Open-Source-Programm Gimp in der Version 2.10.

Schritt 1

Wählen und öffnen Sie auf dem Desktop den Image Assistant.

Wählen Sie über Add App die Anwendungen aus, die Endbenutzer mit AppStream 2.0 nutzen sollen. In diesem Fall verwenden wir Gimp-2.10 und Firefox.

Image Builder: Add App

Schritt 2

Klicken Sie auf der Seite Configure Apps auf Switch user.

Es erscheint dieselbe Anmeldemaske wie zuvor.

Image Builder: Configure Apps

Wir wählen den Template user aus und starten die Anwendungen normal, um die Standard-App-Einstellungen zu erzeugen.

Image Builder: Wechsel zum Template user

Schritt 3

Kehren Sie über das Menü Admin Commands zum lokalen Administrator-Benutzer appstreambuilder zurück.

Image Builder: Switch User, Admin Command

Image Builder: Wechsel zum Directory User

Im Image Assistant sollte nun in der Dropdown-Liste der Template User erscheinen.

Image Builder: Template User auswählen, um Einstellungen zu übernehmen

Testen Sie die Anwendung anschließend mit dem Benutzer appstreamsvc (Directory user), den wir im vorherigen Teil dieser Anleitung erstellt haben.

Um das Tutorial kurz zu halten, überspringen wir diese Schritte, da sie denen aus dem Abschnitt zum Template-Benutzer gleichen.

Schritt 4

Klicken Sie auf Launch, um die jeweilige Anwendung zu starten.

Klicken Sie nach dem vollständigen Start der Anwendung auf Continue, um den Optimierungsprozess fortzusetzen.

Es gibt eine kurze Phase, in der der Image Assistant inaktiv ist und das Startverhalten Ihrer App optimiert.

Image Builder: Optimize

Schritt 5

Legen Sie für das Image Name, Display Name sowie weitere Metadaten so fest, dass es korrekt in der Images-Liste von AppStream 2.0 erscheint.

Image Builder: Configure Image

Schritt 6

Klicken Sie nach Prüfung der Konfiguration auf Disconnect and Create Image.

Image Builder: Image erstellen

Der AppStream 2.0-Service erstellt einen Snapshot der Image Builder-Instanz, nachdem alle Konfigurationen und Änderungen vorgenommen wurden, um daraus das finale Golden Image zu erzeugen.

AppStream 2.0: Snapshot in Bearbeitung

Der Snapshot-Vorgang dauert eine Weile. Sobald er abgeschlossen ist, erscheint das neue Image im Tab Image Registry im Bereich Images von AppStream 2.0.

AppStream 2.0: Image verfügbar

• https://engineering.doit.com/amazon-appstream-2-0-b3bcdcc96611
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-directory-setup.html#active-directory-setup-config
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions

DoiT International ist ein Premier-Tier AWS-Partner. Zu unseren Schwerpunkten zählen Cloud-Kostenoptimierung, Architekturberatung und die Unterstützung von Kunden dabei, das Maximum aus Cloud Computing herauszuholen.