Amazon AppStream 2.0 : prendre en main Image Builder — Partie II

Dans la première partie de cette série, nous avons mis en place une nouvelle instance Directory Administration ainsi qu'une instance Amazon Managed Active Directory (Managed AD).

Dans cette deuxième partie :

• Nous allons créer un nouveau compte de service dans Managed AD pour les machines du service AppStream 2.0 et pour Image Builder.
• Ensuite, nous créerons dans Managed AD une nouvelle Organizational Unit (OU) à laquelle les machines AppStream 2.0 pourront être rattachées.
• Enfin, nous générerons une golden image contenant des applications préinstallées, prête à être utilisée avec AppStream 2.0.

Image vectorielle par Sky Motion

Commencez par vous connecter à l'instance EC2 Directory Administration, soit via Remote Desktop, soit via Systems Manager — Fleet Manager.

Étape 1

Cliquez sur le bouton Démarrer et accédez à Active Directory Users and Computers.

Recherchez Active Directory (AD) Users and Computers

Laissez la fenêtre Active Directory Users and Computers ouverte sur l'instance Domain Administration : nous l'utiliserons tout au long du tutoriel.

Étape 2

Repérez la forêt Active Directory, puis développez l'arborescence jusqu'à CORP et Users. Faites un clic droit sur Users OU, choisissez New, puis User.

Lancez le workflow New User

Étape 3

Renseignez les champs requis. Dans notre exemple, le compte de service s'appelle appstreamsvc. Cliquez sur Next pour continuer.

Assistant New Object — User : saisie des informations utilisateur

Étape 4

Définissez un nouveau mot de passe pour ce compte de service et veillez à cocher l'option Password never expires. Cliquez sur Next pour continuer.

Assistant New Object — User : configuration du mot de passe

Étape 5

Vérifiez les options retenues pour le nouveau compte de service.

Cliquez sur Finish pour finaliser la création.

Assistant New Object — User : revue et confirmation

Le nouveau compte de service apparaît désormais sous l'utilisateur admin.

AD Users and Computers : l'utilisateur figure dans la liste

En reprenant les mêmes étapes, créez un second compte de service destiné à l'image builder. Dans notre exemple, nous le nommons appstreambuilder.

Toujours dans la fenêtre Active Directory Users and Computers, créez une nouvelle OU. Les machines créées par le service AppStream 2.0 utiliseront cette OU.

Lancez le workflow New OU

Dans notre exemple, nous l'appelons Machinejoinou.

AD Users and Computers : Machinejoinou

Pensez à noter le distinguished name de l'OU, nous en aurons besoin plus loin dans ce tutoriel.

Copiez le Distinguished Name de Machinejoinou

Nous allons accorder au nouveau compte de service les droits nécessaires pour gérer l'ajout et la suppression d'objets Active Directory (objets ordinateur) au sein de Machinejoinou.

Étape 1

Faites un clic droit sur Machinejoinou, allez dans All Tasks, puis sélectionnez Delegate Control.

AD Users and Computers : workflow Delegate Control

Étape 2

Dans la fenêtre de l'assistant qui s'ouvre, cliquez sur Next, puis sur Add.

Saisissez appstreamsvc (ou le nom de votre compte de service) dans le champ Enter the object names to select.

Cliquez sur Check Names pour que l'assistant complète l'objet, comme illustré ci-dessous, et vérifie le nom du compte de service.

Procédez de la même façon pour ajouter le second compte de service (appstreambuilder) à la section Users or Groups.

Assistant Delegation of Control : sélectionnez Users, Computers and Groups

Étape 3

Passez à la page suivante (Tasks to Delegate). Sélectionnez l'option Create a custom task to delegate, puis cliquez sur Next.

Assistant Delegation of Control : Tasks to Delegate

Étape 4

Sur la page suivante :

1. Dans la liste, sélectionnez Computer Objects. 2. Choisissez Create selected objects in this folder.

Assistant Delegation of Control : sélection du type d'objet AD

Passez à l'étape suivante.

Étape 5

Sélectionnez les options general et property-specific dans la section Show these permissions.

Dans la liste Permissions, vérifiez que les éléments suivants sont bien cochés :

• Read
• Write
• Change Password
• Reset Password

Assistant Delegation of Control : sélection des Permissions

Sur la page suivante, vérifiez l'ensemble des informations et cliquez sur Finish.

Le Directory Config figure parmi les configurations indispensables pour qu'AppStream 2.0 fonctionne avec Managed AD.

Ouvrez la page AppStream 2.0 dans la console AWS.

Sélectionnez Directory Configs dans le menu de gauche, puis cliquez sur Create Directory Config.

Renseignez le formulaire avec les informations suivantes :

• Directory Name : corp.example.com, ou remplacez par le nom de votre annuaire.
• Service Account Name : corp\appstreambuilder dans notre exemple.
• Saisissez deux fois le mot de passe du compte de service (password / confirm password).
• Organizational Unit (OU) : saisissez la valeur copiée plus tôt lors de la création de Machinejoinou.

Créez maintenant le Directory Config.

Le tutoriel Active Directory Integration de la documentation AppStream 2.0 aborde déjà ce point, mais nous tenions à détailler les spécificités d'AWS Managed AD.

AppStream 2.0 : Create Directory Config

Pour démarrer une instance Image Builder :

• Dans le menu de gauche, sélectionnez Images.
• Cliquez sur l'onglet Image Builder.
• Cliquez ensuite sur Launch Image Builder.

AppStream 2.0 : Launch Image Builder

Étape 1

À l'aide du filtre, repérez l'image Windows Server 2019 Base la plus récente. Pour notre exemple, nous utiliserons AppStream-WinServer2019–05–08–2024.

AppStream 2.0 : Choose an Image

Étape 2

Renseignez le Name et le Display Name de manière explicite.

Pour Instance Type, nous retenons stream.standard.small ou stream.standard.medium.

Ni IAM role ni VPC Endpoint ne sont nécessaires dans le cadre de ce tutoriel.

AppStream 2.0 : Configure Image Builder

Étape 3

L'instance Image Builder a besoin d'un accès Internet pour télécharger et installer des logiciels. Nous la plaçons donc sur un public subnet. Choisissez des security groups dotés des contrôles d'accès appropriés.

AppStream 2.0 : Configure network pour Image Builder

Étape 4

Vérifiez les paramètres et lancez l'instance Image Builder.

AppStream 2.0 : Review and Launch Image Builder

L'Image Builder reste un moment au statut Pending avant de passer à Running.

AppStream 2.0 : Image Builder créé

Étape 1

Vérifiez d'abord que vous êtes bien connecté à l'Image Builder.

AppStream 2.0 : se connecter à Image Builder

Étape 2

Pour vous connecter à l'Image Builder, sélectionnez Administrator user dans l'onglet Local User.

Image Builder : connexion en tant qu'Administrator user

Le bureau Windows Server s'ouvre dans un nouvel onglet du navigateur.

Image Builder : vue du bureau

Étape 3

Tester la connectivité au service Managed AD est une étape utile, sans être obligatoire.

Affectez le compte de service à l'instance Image Builder et faites-en un administrateur local.

Pour cela, ouvrez le menu Démarrer et recherchez User. Cliquez sur Work or school users.

Image Builder : ouvrez le menu Work or school users

Ajoutez le compte de service appstreambuilder en tant qu'administrateur local.

Image Builder : ajouter un work or school user

Étape 4

Nous allons utiliser les identifiants du compte de service pour vérifier que l'image en cours de création parvient bien à se connecter au service Managed AD.

Une barre de menus s'affiche en haut du bureau Windows Server, avec l'option Admin Commands. Cliquez dessus, puis choisissez Switch User.

Image Builder : Switch user, Admin command

Sélectionnez l'onglet Directory user, puis connectez-vous avec le nom d'utilisateur appstreambuilder.

Image Builder : connexion en tant que Directory user

Vous êtes désormais connecté en tant qu'utilisateur Active Directory appstreambuilder, et le bureau Windows Server s'affiche.

Installez les autres logiciels comme vous le feriez sur n'importe quel poste Windows.

En tant qu'administrateur, gardez à l'esprit qu'il vous revient d'informer les utilisateurs finaux des éventuelles licences supplémentaires ou configurations additionnelles requises pour les logiciels que vous installez.

Pour les besoins de ce tutoriel, nous installerons la version open source de Gimp 2.10.

Étape 1

Depuis le bureau, ouvrez l'assistant Image Assistant.

Choisissez les applications à mettre à disposition des utilisateurs finaux via AppStream 2.0 en cliquant sur Add App. Dans cet exemple, nous utiliserons Gimp-2.10 et Firefox.

Image Builder : Add App

Étape 2

Sur la page Configure Apps, cliquez sur Switch user.

La même boîte de dialogue de connexion s'affiche.

Image Builder : Configure Apps

Nous sélectionnons le Template user et lançons les applications normalement afin de créer les paramètres par défaut.

Image Builder : passez au Template user

Étape 3

Via le menu Admin Commands, revenez à l'utilisateur administrateur local appstreambuilder.

Image Builder : Switch User, Admin Command

Image Builder : passer au Directory User

L'assistant Image Assistant doit désormais afficher le Template User dans la liste déroulante.

Image Builder : sélectionnez Template User pour copier les paramètres

Testez ensuite l'application avec l'utilisateur appstreamsvc (Directory user) créé plus tôt dans ce guide.

Par souci de concision, nous passerons ces étapes, similaires à celles de la section Template user.

Étape 4

Cliquez sur Launch pour démarrer chaque application.

Une fois l'application lancée, cliquez sur Continue pour poursuivre le processus d'optimisation.

L'Image Assistant reste inactif quelques instants, le temps d'optimiser l'expérience de lancement de votre application.

Image Builder : Optimize

Étape 5

Renseignez le Name, le Display Name et les autres métadonnées de l'image afin qu'elle apparaisse correctement dans la liste des images d'AppStream 2.0.

Image Builder : Configure Image

Étape 6

Après avoir vérifié la configuration, cliquez sur Disconnect and Create Image.

Image Builder : Create Image

Une fois la configuration et toutes les modifications terminées, le service AppStream 2.0 prend un snapshot de l'instance Image Builder pour produire la golden image finale.

AppStream 2.0 : snapshot en cours

Le snapshot prend un certain temps. Une fois prête, la nouvelle image apparaît sous l'onglet Image Registry de la section Images d'AppStream 2.0.

AppStream 2.0 : image disponible

• https://engineering.doit.com/amazon-appstream-2-0-b3bcdcc96611
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-directory-setup.html#active-directory-setup-config
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions

DoiT International est partenaire AWS premier-tier. Notre expertise couvre l'optimisation des coûts cloud, le conseil en architecture et l'accompagnement des clients pour tirer le meilleur parti du cloud computing.