Amazon AppStream 2.0: usare Image Builder — Parte II

Nella Parte 1 di questa serie abbiamo configurato una nuova istanza Directory Administration e un'istanza Amazon Managed Active Directory (Managed AD).

Nella parte 2:

• Creeremo in Managed AD un nuovo service account per le macchine del servizio AppStream 2.0 e per Image Builder.
• Sempre in Managed AD, creeremo una nuova Organizational Unit (OU) a cui le macchine AppStream 2.0 potranno aggiungersi.
• Infine, genereremo una golden image con applicazioni preinstallate da utilizzare con AppStream 2.0.

Immagine vettoriale di Sky Motion

Per iniziare, connettersi all'istanza EC2 Directory Administration tramite Remote Desktop oppure Systems Manager — Fleet Manager.

Passaggio 1

Premere il pulsante Start e aprire Active Directory Users and Computers.

Cercare Active Directory (AD) Users and Computers

Lasciare aperta la finestra Active Directory Users and Computers sull'istanza Domain Administration: ci servirà per tutta la durata del tutorial.

Passaggio 2

Individuare la foresta di Active Directory ed espandere l'albero fino a trovare CORP e Users. Fare clic con il tasto destro sulla OU Users, scegliere New e poi User.

Aprire la procedura New User

Passaggio 3

Compilare i campi richiesti. Nel nostro esempio, chiameremo il service account appstreamsvc. Per proseguire, fare clic su Next.

Procedura guidata New Object — User: inserire i dati utente

Passaggio 4

Impostare una nuova password per il service account e selezionare l'opzione Password never expires. Per proseguire, fare clic su Next.

Procedura guidata New Object — User: impostazione della password

Passaggio 5

Verificare le opzioni selezionate per il nuovo service account.

Per completare la creazione dell'utente, fare clic su Finish.

Procedura guidata New Object — User: revisione e conferma

Il nuovo service account risulterà creato e visibile sotto l'utente admin.

AD Users and Computers: utente visibile nell'elenco

Con la stessa procedura, creare un secondo service account da usare con Image Builder. Nel nostro esempio lo chiameremo appstreambuilder.

Sempre dalla finestra Active Directory Users and Computers, procedere con la creazione di una nuova OU. Sarà l'OU utilizzata dalle macchine create dal servizio AppStream 2.0.

Aprire la procedura New OU

Nel nostro esempio chiameremo l'OU Machinejoinou.

AD Users and Computers: Machinejoinou

Annotare il distinguished name dell'OU: ci servirà più avanti nel tutorial.

Copiare il Distinguished Name di Machinejoinou

Concederemo al nuovo service account i privilegi necessari per gestire l'aggiunta e la rimozione di nuovi oggetti Active Directory (oggetti computer) all'interno di Machinejoinou.

Passaggio 1

Fare clic con il tasto destro su Machinejoinou. Andare quindi su All Tasks e selezionare Delegate Control.

AD Users and Computers: procedura Delegate Control

Passaggio 2

Nella finestra della procedura guidata, fare clic su Next e poi su Add.

Inserire appstreamsvc (o il nome del proprio service account) nel campo Enter the object names to select.

Fare clic su Check Names per consentire alla procedura guidata di popolare l'oggetto, come mostrato nello screenshot qui sotto, e verificare il nome del service account.

Con lo stesso metodo, aggiungere il secondo service account (appstreambuilder) alla sezione Users or Groups.

Procedura guidata Delegation of Control: selezionare Users, Computers and Groups

Passaggio 3

Passare alla pagina successiva (Tasks to Delegate). Selezionare Create a custom task to delegate e fare clic su Next.

Procedura guidata Delegation of Control: Tasks to Delegate

Passaggio 4

Nella pagina successiva:

1. Nell'elenco, selezionare Computer Objects. 2. Scegliere Create selected objects in this folder.

Procedura guidata Delegation of Control: selezione del tipo di oggetto AD

Proseguire al passaggio successivo.

Passaggio 5

Nella sezione Show these permissions, selezionare le opzioni general e property-specific.

Nell'elenco Permissions, assicurarsi che siano selezionate le voci seguenti:

• Read
• Write
• Change Password
• Reset Password

Procedura guidata Delegation of Control: selezionare Permissions

Nella pagina successiva, verificare tutte le informazioni e fare clic su Finish.

Il Directory Config è una delle configurazioni principali necessarie per far funzionare AppStream 2.0 con Managed AD.

Aprire la pagina AppStream 2.0 nella AWS Console.

Selezionare Directory Configs dal menu a sinistra, quindi fare clic su Create Directory Config.

Compilare il modulo con le seguenti informazioni:

• Directory Name: corp.example.com o il nome della propria directory.
• Service Account Name: corp\appstreambuilder nel nostro esempio.
• Inserire la password del service account due volte (password/conferma password).
• Organizational Unit (OU): inserire il valore copiato in precedenza al momento della creazione di Machinejoinou.

Creare ora il Directory Config.

Il tutorial Active Directory Integration nella documentazione di AppStream 2.0 affronta questo argomento, ma vogliamo soffermarci sulle peculiarità dell'utilizzo di AWS Managed AD.

AppStream 2.0: Create Directory Config

Per avviare un'istanza di Image Builder:

• Dal menu a sinistra, selezionare Images.
• Aprire la scheda Image Builder.
• Fare clic su Launch Image Builder.

AppStream 2.0: Launch Image Builder

Passaggio 1

Tramite il filtro, individuare l'immagine Windows Server 2019 Base più recente. Per il nostro esempio useremo AppStream-WinServer2019–05–08–2024.

AppStream 2.0: Choose an Image

Passaggio 2

Compilare in modo coerente i campi Name e Display Name.

Come Instance Type useremo stream.standard.small oppure stream.standard.medium.

Per gli scopi di questo tutorial non servono né un IAM role né un VPC Endpoint.

AppStream 2.0: Configure Image Builder

Passaggio 3

L'istanza Image Builder richiede l'accesso a Internet per scaricare e installare il software. La collocheremo in una public subnet. Selezionare i security groups con i meccanismi di controllo degli accessi necessari.

AppStream 2.0: Configure network per Image Builder

Passaggio 4

Verificare le impostazioni e avviare l'istanza Image Builder.

AppStream 2.0: Review and Launch Image Builder

Image Builder resterà in stato Pending per un certo periodo, per poi passare a Running.

AppStream 2.0: Image Builder creato

Passaggio 1

Per prima cosa, assicurarsi di essere connessi a Image Builder.

AppStream 2.0: connettersi a Image Builder

Passaggio 2

Per accedere a Image Builder, selezionare l'utente Administrator nella scheda Local User.

Image Builder: accesso come utente Administrator

Il desktop del Windows server si aprirà in una nuova finestra del browser.

Image Builder: vista del desktop

Passaggio 3

Verificare la connettività al servizio Managed AD è un passaggio utile, anche se non indispensabile.

Assegnare l'utente del service account all'istanza Image Builder e renderlo amministratore locale.

Per farlo, aprire il menu Start e cercare User. Fare clic su Work or school users.

Image Builder: individuare la voce Work or school users

Aggiungere quindi il service account appstreambuilder come amministratore locale.

Image Builder: aggiungere un work or school user

Passaggio 4

Useremo le credenziali del service account per accedere e verificare che l'immagine in fase di creazione sia in grado di connettersi al servizio Managed AD.

Nella parte superiore del desktop del Windows server è presente una barra dei menu con la voce Admin Commands. Premere questo pulsante e scegliere Switch User.

Image Builder: Switch user, Admin command

Selezionare la scheda Directory user e accedere con il nome utente appstreambuilder.

Image Builder: accesso come Directory user

A questo punto siamo connessi come utente Active Directory appstreambuilder e si aprirà il desktop del Windows server.

Installare qualsiasi altro software seguendo la stessa procedura che si userebbe su un computer desktop Windows.

In qualità di amministratori, è bene tenere presente che spetta a noi comunicare agli utenti finali eventuali requisiti di licenza aggiuntivi o configurazioni supplementari richieste per il software installato.

Ai fini di questo tutorial installeremo la versione open-source di Gimp 2.10.

Passaggio 1

Dal desktop, aprire la procedura guidata Image Assistant.

Scegliere le applicazioni che si vogliono mettere a disposizione degli utenti finali tramite AppStream 2.0 facendo clic su Add App. In questo caso useremo Gimp-2.10 e Firefox.

Image Builder: Add App

Passaggio 2

Nella pagina Configure Apps, fare clic su Switch user.

Verrà visualizzata la stessa finestra di dialogo di accesso utente.

Image Builder: Configure Apps

Selezioneremo l'utente Template e avvieremo le applicazioni normalmente per generare le impostazioni predefinite delle app.

Image Builder: passare all'utente Template

Passaggio 3

Dal menu Admin Commands, tornare all'utente amministratore locale appstreambuilder.

Image Builder: Switch User, Admin Command

Image Builder: passare a Directory User

A questo punto, nel menu a discesa della procedura guidata Image Assistant dovrebbe comparire Template User.

Image Builder: selezionare Template User per copiarne le impostazioni

A questo punto si testa l'applicazione con l'utente appstreamsvc (Directory user) creato nella parte precedente di questa guida.

Per non appesantire il tutorial, salteremo questi passaggi: sono analoghi a quelli della sezione Template user.

Passaggio 4

Fare clic sul pulsante Launch per avviare ciascuna applicazione.

Dopo che l'applicazione si è avviata completamente, fare clic su Continue per procedere con l'ottimizzazione.

Per un breve periodo Image Assistant resterà inattivo mentre ottimizza l'esperienza di avvio dell'app.

Image Builder: Optimize

Passaggio 5

Configurare Name, Display Name e gli altri metadati dell'immagine, in modo che venga visualizzata correttamente nell'elenco Images di AppStream 2.0.

Image Builder: Configure Image

Passaggio 6

Dopo aver verificato la configurazione, fare clic su Disconnect and Create Image.

Image Builder: Create Image

Una volta completate tutte le configurazioni e le modifiche, il servizio AppStream 2.0 acquisirà uno snapshot dell'istanza Image Builder per generare la golden image finale.

AppStream 2.0: snapshot in corso

Lo snapshot richiederà del tempo. Una volta pronto, la nuova immagine sarà visibile nella scheda Image Registry della sezione Images di AppStream 2.0.

AppStream 2.0: immagine disponibile

• https://engineering.doit.com/amazon-appstream-2-0-b3bcdcc96611
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-directory-setup.html#active-directory-setup-config
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions

DoiT International è un AWS partner di livello premier. Le nostre aree di competenza spaziano dall'ottimizzazione dei costi cloud alla consulenza architetturale, fino al supporto ai clienti per ottenere il massimo dal cloud computing.