Amazon AppStream 2.0: Image Builder — Parte II

En la Parte 1 de esta serie configuramos una nueva instancia de Directory Administration y una instancia de Amazon Managed Active Directory (Managed AD).

En la parte 2:

• Crearemos una nueva cuenta de servicio en Managed AD para las máquinas del servicio AppStream 2.0 y para Image Builder.
• Luego, en Managed AD, crearemos una nueva Unidad Organizativa (OU) a la que se puedan unir las máquinas de AppStream 2.0.
• Después generaremos una imagen golden con aplicaciones preinstaladas para usar con AppStream 2.0.

Imagen vectorial por Sky Motion

Empieza por conectarte a la instancia EC2 de Directory Administration mediante Remote Desktop o Systems Manager — Fleet Manager.

Paso 1

Haz clic en el botón Inicio y entra a Active Directory Users and Computers.

Busca Active Directory (AD) Users and Computers

Deja abierta la ventana de Active Directory Users and Computers en la instancia de Domain Administration; la usaremos durante todo el tutorial.

Paso 2

Ubica el bosque de Active Directory y expande el árbol hasta encontrar CORP y Users. Haz clic derecho en la Users OU, elige New y luego User.

Encuentra el flujo New User

Paso 3

Completa los campos según corresponda. En nuestro ejemplo, llamaremos a la cuenta de servicio appstreamsvc. Para continuar, haz clic en Next.

Asistente New Object — User: ingresa los datos del usuario

Paso 4

Define una contraseña nueva para esta cuenta de servicio y asegúrate de marcar la opción Password never expires. Para continuar, haz clic en Next.

Asistente New Object — User: configurar contraseña

Paso 5

Revisa las opciones elegidas para la nueva cuenta de servicio.

Para crear el usuario, haz clic en Finish.

Asistente New Object — User: revisar y confirmar

Deberías ver la nueva cuenta de servicio creada y listada bajo el usuario admin.

AD Users and Computers: el usuario aparece en la lista

Con los mismos pasos, crea otra cuenta de servicio para usar con Image Builder. En nuestro ejemplo, la creamos con el nombre appstreambuilder.

Desde la misma ventana de Active Directory Users and Computers, crea una nueva OU. Las máquinas que cree el servicio AppStream 2.0 usarán esta OU.

Encuentra el flujo New OU

En nuestro ejemplo, la OU se llamará Machinejoinou.

AD Users and Computers: Machinejoinou

Anota el distinguished name de la OU, ya que lo necesitaremos más adelante en el tutorial.

Copia el Distinguished Name de Machinejoinou

Le daremos a la nueva cuenta de servicio permisos para gestionar el alta y la baja de objetos de Active Directory (objetos computer) dentro de Machinejoinou.

Paso 1

Empieza haciendo clic derecho en Machinejoinou. Luego ve a All Tasks y selecciona Delegate Control.

AD Users and Computers: flujo Delegate Control

Paso 2

En la ventana del asistente que aparece, haz clic en Next y luego en Add.

Ingresa appstreamsvc, o el nombre de tu cuenta de servicio, en el campo de texto que dice Enter the object names to select.

Haz clic en Check Names para que el asistente complete el objeto, como se muestra en la captura de abajo, y verifica el nombre de la cuenta de servicio.

Con el mismo método, agrega la segunda cuenta de servicio (appstreambuilder) en la sección Users or Groups.

Delegation of Control wizard: selecciona Users, Computers and Groups

Paso 3

Avanza a la siguiente pantalla (Tasks to Delegate). Selecciona la opción Create a custom task to delegate y haz clic en next.

Delegation of Control wizard: Tasks to Delegate

Paso 4

Pasa a la siguiente pantalla y:

1. En la lista, selecciona Computer Objects. 2. Elige Create selected objects in this folder.

Delegation of Control wizard: selección de AD Object type

Continúa al siguiente paso.

Paso 5

En la sección Show these permissions, marca las opciones general y property-specific.

En la lista de Permissions, asegúrate de seleccionar:

• Read
• Write
• Change Password
• Reset Password

Delegation of Control wizard: selecciona los Permissions

En la siguiente página, verifica toda la información y haz clic en Finish.

El Directory Config es una de las configuraciones principales que necesita AppStream 2.0 para funcionar con Managed AD.

Abre la página de AppStream 2.0 en la AWS Console.

Selecciona Directory Configs en el menú de la izquierda y haz clic en Create Directory Config.

Completa el formulario con la siguiente información:

• Directory Name: corp.example.com o reemplázalo con el nombre de tu directorio.
• Service Account Name: corp\appstreambuilder en nuestro ejemplo.
• Escribe la contraseña de la cuenta de servicio dos veces (password/confirm password).
• Organizational Unit (OU): escribe el valor que copiamos antes al crear Machinejoinou.

Crea ahora el Directory Config.

El tutorial de Active Directory Integration de la documentación de AppStream 2.0 cubre este proceso, pero queríamos detallar las particularidades del uso de AWS Managed AD.

AppStream 2.0: Create Directory Config

Para iniciar una instancia de Image Builder:

• En el menú de la izquierda, selecciona Images.
• Haz clic en la pestaña Image Builder.
• Después haz clic en Launch Image Builder.

AppStream 2.0: Launch Image Builder

Paso 1

Con el filtro, ubica la imagen base de Windows Server 2019 más reciente. Para nuestro ejemplo usaremos AppStream-WinServer2019–05–08–2024.

AppStream 2.0: Choose an Image

Paso 2

Ingresa un Name y un Display Name que tengan sentido.

Para Instance Type usamos stream.standard.small o stream.standard.medium.

Para los objetivos de este tutorial no se requiere ni un IAM role ni un VPC Endpoint.

AppStream 2.0: Configure Image Builder

Paso 3

La instancia de Image Builder requiere acceso a Internet para descargar e instalar software. La colocaremos en una public subnet. Selecciona security groups que tengan los controles de acceso necesarios.

AppStream 2.0: Configure network para Image Builder

Paso 4

Revisa la configuración e inicia la instancia de Image Builder.

AppStream 2.0: Review and Launch Image Builder

Image Builder estará un rato en estado Pending y luego pasará al estado Running.

AppStream 2.0: Image Builder creado

Paso 1

Primero, asegúrate de estar conectado al Image Builder.

AppStream 2.0: conectarse a Image Builder

Paso 2

Para iniciar sesión en Image Builder, selecciona el usuario Administrator en la pestaña Local User.

Image Builder: iniciar sesión como Administrator

El escritorio del Windows Server se abrirá en una nueva ventana del navegador.

Image Builder: vista del escritorio

Paso 3

Probar la conectividad con el servicio Managed AD es un paso útil, aunque no es obligatorio.

Asigna el usuario de la cuenta de servicio a la instancia de Image Builder y conviértelo en administrador local.

Para ello, abre el menú de inicio y busca User. Haz clic en Work or school users.

Image Builder: ubica la opción Work or school users

Agrega la cuenta de servicio appstreambuilder como administrador local.

Image Builder: agregar un work or school user

Paso 4

Usaremos las credenciales de la cuenta de servicio para iniciar sesión y confirmar que la imagen que estamos creando puede conectarse al servicio Managed AD.

En la parte superior del escritorio del Windows Server verás una barra de menú con la opción Admin Commands. Haz clic en ese botón y elige Switch User.

Image Builder: Switch user, Admin command

Después de elegir la pestaña Directory user, inicia sesión con el nombre de usuario appstreambuilder.

Image Builder: iniciar sesión como Directory user

Ya estás conectado como el usuario de Active Directory appstreambuilder, y se mostrará el escritorio del Windows Server.

Instala cualquier otro software como lo harías en una computadora Windows de escritorio.

Como administrador, recuerda que es tu responsabilidad avisar a los usuarios finales sobre los requisitos de licencia adicionales o cualquier configuración extra que necesite el software que instales.

Para los fines de este tutorial, instalaremos la versión open source de Gimp 2.10.

Paso 1

Desde el escritorio, abre el asistente Image Assistant.

Elige las apps que quieres que los usuarios finales utilicen con AppStream 2.0 haciendo clic en Add App. En este caso usaremos Gimp-2.10 y Firefox.

Image Builder: Add App

Paso 2

En la página Configure Apps, haz clic en Switch user.

Aparecerá el mismo cuadro de diálogo de inicio de sesión.

Image Builder: Configure Apps

Seleccionaremos el Template user y abriremos las aplicaciones de forma normal para crear la configuración predeterminada de cada app.

Image Builder: cambiar a Template user

Paso 3

Desde el menú Admin Commands, vuelve al usuario administrador local appstreambuilder.

Image Builder: Switch User, Admin Command

Image Builder: cambiar a Directory User

El asistente Image Assistant ya debería mostrar al Template User en el desplegable.

Image Builder: selecciona Template User para copiar la configuración

A continuación, prueba la aplicación con el usuario appstreamsvc (Directory user) que creamos antes en esta guía.

Para no alargar el tutorial, omitiremos estos pasos, ya que son similares a los de la sección Template user.

Paso 4

Haz clic en el botón Launch para iniciar cada aplicación.

Para continuar con el proceso de optimización, haz clic en Continue una vez que la aplicación termine de cargar.

Habrá un breve período en el que Image Assistant estará inactivo, optimizando la experiencia de inicio de tu app.

Image Builder: Optimize

Paso 5

Configura el Name, el Display Name y demás metadatos de la imagen para que aparezca correctamente en la lista de Images de AppStream 2.0.

Image Builder: Configure Image

Paso 6

Después de revisar la configuración, haz clic en Disconnect and Create Image.

Image Builder: Create Image

Una vez aplicadas todas las configuraciones y cambios, el servicio AppStream 2.0 tomará un snapshot de la instancia Image Builder para producir la imagen golden final.

AppStream 2.0: snapshot en progreso

El proceso de snapshot toma su tiempo y, cuando esté listo, la nueva imagen aparecerá en la pestaña Image Registry dentro de la sección Images de AppStream 2.0.

AppStream 2.0: imagen disponible

• https://engineering.doit.com/amazon-appstream-2-0-b3bcdcc96611
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-directory-setup.html#active-directory-setup-config
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions

DoiT International es partner premier-tier de AWS. Entre nuestras áreas de especialización están la optimización de costos en la nube, la consultoría de arquitectura y acompañar a los clientes para sacarle el máximo provecho al cloud computing.