Amazon AppStream 2.0: Trabalhando com Image Builder — Parte II

Na Parte 1 desta série, configuramos uma nova instância de Directory Administration e uma instância do Amazon Managed Active Directory (Managed AD).

Na parte 2:

• Vamos criar uma nova conta de serviço no Managed AD para as máquinas do serviço AppStream 2.0 e do Image Builder.
• Em seguida, no Managed AD, criaremos uma nova Unidade Organizacional (OU) à qual as máquinas do AppStream 2.0 poderão ingressar.
• Depois disso, vamos gerar uma golden image com aplicativos pré-instalados para uso com o AppStream 2.0.

Imagem vetorial por Sky Motion

Comece se conectando à instância EC2 de Directory Administration pelo Remote Desktop ou pelo Systems Manager — Fleet Manager.

Passo 1

Clique no botão Iniciar e vá até Active Directory Users and Computers.

Procure por Active Directory (AD) Users and Computers

Mantenha a janela do Active Directory Users and Computers aberta na instância de Domain Administration, porque vamos usá-la durante todo o tutorial.

Passo 2

Localize a floresta do Active Directory e expanda a árvore até encontrar CORP e Users. Clique com o botão direito na OU Users, escolha New e depois User.

Encontre o fluxo New User

Passo 3

Preencha os campos conforme necessário. No nosso exemplo, vamos chamar a conta de serviço de appstreamsvc. Para continuar, clique em Next.

Assistente New Object — User: informe os dados do usuário

Passo 4

Defina uma nova senha para essa conta de serviço e marque a opção Password never expires. Para continuar, clique em Next.

Assistente New Object — User: definição de senha

Passo 5

Revise as opções selecionadas para a nova conta de serviço.

Para concluir a criação do usuário, clique em Finish.

Assistente New Object — User: revisão e confirmação

A nova conta de serviço deve aparecer criada e listada abaixo do usuário admin.

AD Users and Computers: usuário visível na lista

Repita os mesmos passos acima para criar outra conta de serviço, dessa vez para uso com o Image Builder. No nosso exemplo, criamos o usuário com o nome appstreambuilder.

Na mesma janela Active Directory Users and Computers, crie uma nova OU. Ela será usada pelas máquinas que o serviço AppStream 2.0 cria.

Encontre o fluxo New OU

No nosso exemplo, vamos chamar a OU de Machinejoinou.

AD Users and Computers: Machinejoinou

Não esqueça de anotar o distinguished name da OU, porque vamos precisar dele mais adiante neste tutorial.

Copie o Distinguished Name da Machinejoinou

Vamos dar à nova conta de serviço a permissão para gerenciar a inclusão e a remoção de novos objetos do Active Directory (objetos de computador) dentro da Machinejoinou.

Passo 1

Clique com o botão direito em Machinejoinou, vá em All Tasks e selecione Delegate Control.

AD Users and Computers: fluxo Delegate Control

Passo 2

Na janela do assistente que aparece, clique em Next e depois em Add.

Digite appstreamsvc (ou o nome da sua conta de serviço) no campo Enter the object names to select.

Clique em Check Names para que o assistente preencha o objeto, como mostra a captura de tela abaixo, e confirme o nome da conta de serviço.

Use o mesmo método para adicionar a segunda conta de serviço (appstreambuilder) à seção Users or Groups.

Assistente Delegation of Control: selecione Users, Computers and Groups

Passo 3

Avance para a próxima página (Tasks to Delegate). Selecione a opção Create a custom task to delegate e clique em Next.

Assistente Delegation of Control: Tasks to Delegate

Passo 4

Avance para a próxima página e:

1. Na lista, selecione Computer Objects. 2. Escolha Create selected objects in this folder.

Assistente Delegation of Control: seleção do AD Object type

Siga para a próxima etapa.

Passo 5

Em Show these permissions, marque general e property-specific.

Na lista Permissions, deixe selecionadas:

• Read
• Write
• Change Password
• Reset Password

Assistente Delegation of Control: selecione as Permissions

Na próxima página, confira as informações e clique em Finish.

O Directory Config é uma das configurações principais para que o AppStream 2.0 funcione com o Managed AD.

Abra a página do AppStream 2.0 no AWS Console.

Selecione Directory Configs no menu à esquerda e clique em Create Directory Config.

Preencha o formulário com as seguintes informações:

• Directory Name: corp.example.com, ou substitua pelo nome do seu diretório.
• Service Account Name: corp\appstreambuilder no nosso exemplo.
• Digite a senha da conta de serviço duas vezes (password/confirm password).
• Organizational Unit (OU): informe o valor que copiamos antes, quando criamos a Machinejoinou.

Crie o Directory Config.

O tutorial de Active Directory Integration na documentação do AppStream 2.0 cobre esse tópico, mas queríamos detalhar as particularidades de uso com o AWS Managed AD.

AppStream 2.0: Create Directory Config

Para iniciar uma instância do Image Builder:

• No menu à esquerda, selecione Images.
• Clique na aba Image Builder.
• Em seguida, clique em Launch Image Builder.

AppStream 2.0: Launch Image Builder

Passo 1

Use o filtro para localizar a imagem Windows Server 2019 Base mais recente. No nosso exemplo, vamos usar a AppStream-WinServer2019–05–08–2024.

AppStream 2.0: Choose an Image

Passo 2

Informe um Name e um Display Name que façam sentido.

Em Instance Type, usamos stream.standard.small ou stream.standard.medium.

Para os objetivos deste tutorial, não são necessários nem um IAM role nem um VPC Endpoint.

AppStream 2.0: Configure Image Builder

Passo 3

A instância do Image Builder precisa de acesso à internet para baixar e instalar softwares. Vamos colocá-la em uma public subnet. Selecione security groups com os controles de acesso adequados.

AppStream 2.0: Configure network para o Image Builder

Passo 4

Revise as configurações e inicie a instância do Image Builder.

AppStream 2.0: Review and Launch Image Builder

O Image Builder fica no estado Pending por algum tempo e depois passa para Running.

AppStream 2.0: Image Builder criado

Passo 1

Primeiro, confirme se você está conectado ao Image Builder.

AppStream 2.0: conectar ao Image Builder

Passo 2

Para fazer login no Image Builder, selecione o Administrator user na aba Local User.

Image Builder: login como Administrator user

O desktop do Windows Server vai abrir em uma nova janela do navegador.

Image Builder: visualização do desktop

Passo 3

Testar a conectividade com o serviço Managed AD é uma etapa útil, mas não obrigatória.

Atribua o usuário da conta de serviço à instância do Image Builder e torne-o administrador local.

Para isso, clique no menu Iniciar e procure por User. Clique em Work or school users.

Image Builder: encontre o item de menu Work or school users

Adicione a conta de serviço appstreambuilder como administrador local.

Image Builder: adicionar um work or school user

Passo 4

Vamos usar as credenciais da conta de serviço para fazer login e confirmar que a imagem que estamos criando consegue se conectar ao serviço Managed AD.

Você vai ver uma barra de menu no topo do desktop do Windows Server, com a opção Admin Commands. Clique nesse botão e selecione Switch User.

Image Builder: Switch user, Admin command

Escolha a aba Directory user e faça login com o nome de usuário appstreambuilder.

Image Builder: login como Directory user

Pronto, você está logado como o usuário do Active Directory appstreambuilder, e o desktop do Windows Server vai aparecer.

Instale qualquer outro software da mesma forma que faria em um desktop com Windows.

Como administrador, lembre-se de que cabe a você avisar os usuários finais sobre quaisquer requisitos adicionais de licenciamento ou de configuração dos softwares que instalar.

Para os fins deste tutorial, vamos instalar o Gimp open source na versão 2.10.

Passo 1

No desktop, abra o assistente Image Assistant.

Clique em Add App para escolher os aplicativos que os usuários finais vão usar com o AppStream 2.0. Neste exemplo, vamos usar Gimp-2.10 e Firefox.

Image Builder: Add App

Passo 2

Na página Configure Apps, clique em Switch user.

A mesma caixa de diálogo de login vai aparecer.

Image Builder: Configure Apps

Vamos selecionar o Template user e abrir os aplicativos normalmente para criar as configurações padrão dos apps.

Image Builder: alternar para Template user

Passo 3

Pelo menu Admin Commands, volte para o usuário Administrador local appstreambuilder.

Image Builder: Switch User, Admin Command

Image Builder: alternar para Directory User

O assistente Image Assistant agora deve mostrar o Template User no menu suspenso.

Image Builder: selecione o Template User para copiar as configurações

Em seguida, teste o aplicativo com o usuário appstreamsvc (Directory user) que criamos na parte anterior deste guia.

Para deixar o tutorial mais enxuto, vamos pular essas etapas, já que são parecidas com as da seção do Template user.

Passo 4

Clique no botão Launch para iniciar cada aplicativo.

Para seguir com o processo de otimização, clique em Continue assim que o aplicativo terminar de carregar.

O Image Assistant vai ficar inativo por um curto período, otimizando a experiência de inicialização do seu app.

Image Builder: Optimize

Passo 5

Configure o Name, o Display Name e os metadados adicionais da imagem para que ela apareça corretamente na lista de Images do AppStream 2.0.

Image Builder: Configure Image

Passo 6

Após conferir a configuração, clique em Disconnect and Create Image.

Image Builder: Create Image

Depois que todas as configurações e mudanças forem aplicadas, o serviço AppStream 2.0 faz um snapshot da instância do Image Builder para gerar a golden image final.

AppStream 2.0: snapshot em andamento

O processo de snapshot leva algum tempo. Quando estiver pronto, a nova imagem aparece na aba Image Registry, dentro da seção Images do AppStream 2.0.

AppStream 2.0: imagem disponível

• https://engineering.doit.com/amazon-appstream-2-0-b3bcdcc96611
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-directory-setup.html#active-directory-setup-config
• https://docs.aws.amazon.com/appstream2/latest/developerguide/active-directory-admin.html#active-directory-permissions

A DoiT International é uma parceira AWS premier-tier. Nossas áreas de atuação incluem otimização de custos em nuvem, consultoria de arquitetura e apoio aos clientes para tirar o máximo proveito da computação em nuvem.