管理 WorkSpaces Personal 中的 Amazon Linux 2 WorkSpaces
对于需要 RPM Package Manager (RPM) 的工作负载,我们建议使用 Red Hat Enterprise Linux 或 Rocky Linux。Amazon Linux 2 可能无法提供您可能需要的某些应用程序和库的最新版本,例如 Firefox 和 glibc。
由于 Linux 实例不遵循组策略,因此建议您使用配置管理解决方案进行分发和实施策略。例如,您可以使用 Ansible
注意
本地打印机重定向不适用于 Amazon Linux WorkSpaces。
控制 Amazon Linux WorkSpaces 上的 DCV 行为
DCV 的行为受 wsp.conf 文件中的配置设置控制,该文件位于 /etc/wsp/ 目录中。要部署和实施对策略的更改,请使用支持 Amazon Linux 的配置管理解决方案。任何更改将在代理启动后生效。
注意
如果您对
wsp.conf文件进行了不正确或不支持的更改,则策略更改可能不会应用于 WorkSpace 上新建立的连接。目前,DCV 捆绑包中的 Amazon Linux WorkSpaces 具有以下限制:
目前仅在 AWS GovCloud(美国西部)和 AWS GovCloud(美国东部)中不可用。
不支持视频输入。
不支持屏幕锁定时断开会话连接。
下面各部分介绍了如何启用或禁用某些功能。
为 DCV Amazon Linux WorkSpaces 配置剪贴板重定向
默认情况下,WorkSpaces 支持剪贴板重定向。如果需要,可以使用 DCV 配置文件配置此功能。此设置在断开连接并重新连接 WorkSpace 时生效。
为 DCV Amazon Linux WorkSpaces 配置剪贴板重定向
-
通过以下命令,使用提升的权限在编辑器中打开
wsp.conf文件。[domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf -
clipboard =XX的可能值如下:enabled- 启用双向剪贴板重定向(默认)disabled- 禁用双向剪贴板重定向paste-only- 剪贴板重定向已启用,但仅允许您从本地客户端设备复制内容并将其粘贴到远程主机桌面copy-only- 剪贴板重定向已启用,但仅允许您从远程主机桌面复制内容并将其粘贴到本地客户端设备
启用或禁用 DCV Amazon Linux WorkSpaces 的音频输入重定向
默认情况下,WorkSpaces 支持音频输入重定向。如果需要,可以使用 DCV 配置文件禁用此功能。此设置在断开连接并重新连接到 WorkSpace 时生效。
启用或禁用 DCV Amazon Linux WorkSpaces 的音频输入重定向
-
通过以下命令,使用提升的权限在编辑器中打开
wsp.conf文件。[domain\username@workspace-id ~]$ sudo vi /etc/wsp/wsp.conf -
将以下行添加到文件的末尾。
audio-in =XX的可能值如下:enabled- 启用音频输入重定向(默认)disabled- 禁用音频输入重定向
启用或禁用 DCV Amazon Linux WorkSpaces 的时区重定向
默认情况下,WorkSpace 内的时间设置为用于连接到 WorkSpace 的客户端的时区。此行为是通过时区重定向控制的。您可能需要关闭时区重定向的原因有多种,例如以下原因:
-
您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。
-
您在 WorkSpace 中计划的任务要在特定时区内的特定时间运行。
-
频繁出差的用户希望将其 WorkSpace 保持在一个时区中,以保持一致性和个人偏好。
如果需要,可以使用 DCV 配置文件配置此功能。此设置将在您断开连接并重新连接到 WorkSpace 后生效。
启用或禁用 DCV Amazon Linux WorkSpaces 的时区重定向
-
通过以下命令,使用提升的权限在编辑器中打开
wsp.conf文件。[domain\username@workspace-id ~]$ sudo vi /etc/wsp-agent/wsp.conf -
将以下行添加到文件的末尾。
timezone_redirect=XX的可能值如下:启用 - 启用时区重定向(默认)
禁用 - 禁用时区重定向
控制 Amazon Linux WorkSpaces 上的 PCoIP 代理行为
PCoIP 代理的行为受 pcoip-agent.conf 文件中的配置设置控制,该文件位于 /etc/pcoip-agent/ 目录中。要部署和实施对策略的更改,请使用支持 Amazon Linux 的配置管理解决方案。任何更改将在代理启动后生效。重新启动代理会结束所有打开的连接并重新启动窗口管理器。要应用任何更改,建议重启 WorkSpace。
注意
如果您对 pcoip-agent.conf 文件进行了不正确或不支持的更改,则可能会导致 WorkSpace 停止运行。如果您的 WorkSpace 停止运行,则可能需要使用 SSH 连接到 WorkSpace 以回滚更改,或者可能需要重新构建 WorkSpace。
下面各部分介绍了如何启用或禁用某些功能。有关可用设置的完整列表,请在任意 Amazon Linux WorkSpace 上从终端运行 man pcoip-agent.conf。
为 PCoIP Amazon Linux WorkSpaces 配置剪贴板重定向
默认情况下,WorkSpaces 支持剪贴板重定向。如果需要,可使用 PCoIP 代理 conf 禁用此功能。此设置在您重启 WorkSpace 时生效。
为 PCoIP Amazon Linux WorkSpaces 配置剪贴板重定向
-
通过以下命令,使用提升的权限在编辑器中打开
pcoip-agent.conf文件。[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf -
将以下行添加到文件的末尾。
pcoip.server_clipboard_state =XX的可能值如下:0 - 禁用双向剪贴板重定向
1 - 启用双向剪贴板重定向
2 - 启用剪贴板重定向,但仅限从客户端剪贴到代理(允许复制,但仅限从本地客户端设备粘贴到远程主机桌面)
3 - 启用剪贴板重定向,但仅限从代理剪贴到客户端(允许复制,但仅限从远程主机桌面粘贴到本地客户端设备)
注意
剪贴板重定向是作为虚拟通道实施的。如果禁用了虚拟通道,则剪贴板重定向将不起作用。要启用虚拟通道,请参阅 Teradici 文档中的 PCoIP 虚拟通道
启用或禁用 PCoIP Amazon Linux WorkSpaces 的音频输入重定向
默认情况下,WorkSpaces 支持音频输入重定向。如果需要,可使用 PCoIP 代理 conf 禁用此功能。此设置在您重启 WorkSpace 时生效。
启用或禁用 PCoIP Amazon Linux WorkSpaces 的音频输入重定向
-
通过以下命令,使用提升的权限在编辑器中打开
pcoip-agent.conf文件。[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf -
将以下行添加到文件的末尾。
pcoip.enable_audio =XX的可能值如下:0 - 禁用音频输入重定向
1 - 启用音频输入重定向
启用或禁用 PCoIP Amazon Linux WorkSpaces 的时区重定向
默认情况下,WorkSpace 内的时间设置为用于连接到 WorkSpace 的客户端的时区。此行为是通过时区重定向控制的。您可能需要关闭时区重定向的原因有多种,例如以下原因:
-
您的公司希望所有员工在特定时区中工作(即使某些员工在其他时区)。
-
您在 WorkSpace 中计划的任务要在特定时区内的特定时间运行。
-
频繁出差的用户希望将其 WorkSpace 保持在一个时区中,以保持一致性和个人偏好。
如果 Linux WorkSpaces 需要,可使用 PCoIP 代理 conf 禁用此功能。此设置在您重启 WorkSpace 时生效。
启用或禁用 PCoIP Amazon Linux WorkSpaces 的时区重定向
-
通过以下命令,使用提升的权限在编辑器中打开
pcoip-agent.conf文件。[domain\username@workspace-id ~]$ sudo vi /etc/pcoip-agent/pcoip-agent.conf -
将以下行添加到文件的末尾。
pcoip.enable_timezone_redirect=XX的可能值如下:0 - 禁用时区重定向
1 - 启用时区重定向
将 SSH 访问权限授给 Amazon Linux WorkSpaces 管理员
默认情况下,只有指定的用户和域管理员组中的账户才可以使用 SSH 连接到 Amazon Linux WorkSpaces。
建议您为 Active Directory 中的 Amazon Linux WorkSpaces 管理员创建专用的管理员组。
为 Linux_WorkSpaces_Admins Active Directory 组的成员启用 sudo 访问权限
-
使用
sudoers编辑visudo文件,如下例所示。[example\username@workspace-id ~]$ sudo visudo -
添加以下行。
%example.com\\Linux_WorkSpaces_Admins ALL=(ALL) ALL
在您创建专用管理员组之后,请按照以下步骤为组的成员启用登录。
为 Linux_WorkSpace_Admins Active Directory 组的成员启用登录
-
使用提升的权限编辑
/etc/security/access.conf。[example\username@workspace-id ~]$ sudo vi /etc/security/access.conf -
添加以下行。
+:(example\Linux_WorkSpaces_Admins):ALL
有关启用 SSH 连接的更多信息,请参阅为 WorkSpaces 个人版的 Linux WorkSpaces 启用 SSH 连接。
覆盖 Amazon Linux WorkSpaces 的默认 shell
要覆盖 Linux WorkSpace 的默认 Shell,建议您编辑用户的 ~/.bashrc 文件。例如,要使用 Z shell 而不是 Bash shell,请将以下行添加到 /home/。username/.bashrc
export SHELL=$(which zsh) [ -n "$SSH_TTY" ] && exec $SHELL
注意
进行此更改后,必须重启 WorkSpace 或注销 WorkSpace(而不仅仅是断开连接),然后重新登录才能使更改生效。
保护自定义存储库免遭未授权访问
要控制对自定义存储库的访问,建议使用 Amazon Virtual Private Cloud (Amazon VPC) 中内置的安全功能,而不使用密码。例如,使用网络访问控制列表 (ACL) 和安全组。有关这些功能的更多信息,请参阅《Amazon VPC 用户指南》中的安全性。
如果必须使用密码来保护存储库,请确保创建您的 yum 存储库定义文件,如 Fedora 文档中的存储库定义文件
使用 Amazon Linux Extras 库存储库
利用 Amazon Linux,您可以使用 Extras 库,在您的实例上安装应用程序和软件更新。有关使用 Extras 库的信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的 Extras 库 (Amazon Linux)。
注意
如果您使用的是 Amazon Linux 存储库,则 Amazon Linux WorkSpaces 必须能够访问 Internet,否则您必须配置指向此存储库和主 Amazon Linux 存储库的虚拟私有云 (VPC) 端点。有关更多信息,请参阅 为 WorkSpaces 个人版提供互联网访问权限。
在 Linux WorkSpaces 上使用智能卡进行身份验证
DCV Linux WorkSpaces 捆绑包允许使用通用访问卡(CAC)
配置用于互联网访问的设备代理服务器设置
默认情况下,WorkSpaces 客户端应用程序使用在设备操作系统设置中为 HTTPS(端口 443)流量指定的代理服务器。Amazon WorkSpaces 客户端应用程序使用 HTTPS 端口进行更新、注册和身份验证。
注意
不支持需要使用登录凭证进行身份验证的代理服务器。
您可以按照 Microsoft 文档内配置设备代理和互联网连接设置
有关在 WorkSpaces Windows 客户端应用程序中配置代理设置的更多信息,请参阅《Amazon WorkSpaces 用户指南》中的代理服务器。
有关在 WorkSpaces macOS 客户端应用程序中配置代理设置的更多信息,请参阅《Amazon WorkSpaces 用户指南》中的代理服务器。
有关在 WorkSpaces Web Access 客户端应用程序中配置代理设置的更多信息,请参阅《Amazon WorkSpaces 用户指南》中的代理服务器。
代理桌面流量
对于 PCoIP WorkSpaces,桌面客户端应用程序不支持使用代理服务器,也不支持 TLS 对 UDP 中的端口 4172 流量(用于桌面流量)进行解密和检查。它们需要直接连接到端口 4172。
对于 DCV WorkSpaces,WorkSpaces Windows 客户端应用程序(5.1 及更高版本)和 macOS 客户端应用程序(5.4 及更高版本)支持使用 HTTP 代理服务器处理端口 4195 TCP 流量。不支持 TLS 解密和检查。
DCV 不支持使用代理来处理通过 UDP 进行的桌面流量。只有 WorkSpaces Windows 和 macOS 桌面客户端应用程序以及 Web Access 支持对 TCP 流量使用代理。
注意
如果您选择使用代理服务器,则还会代理客户端应用程序对 WorkSpaces 服务进行的 API 调用。API 调用和桌面流量都应通过同一个代理服务器。
关于使用代理服务器的建议
我们不建议使用代理服务器来处理您的 WorkSpaces 桌面流量。
Amazon WorkSpaces 桌面流量已经过加密,因此,代理并不能提高安全性。代理代表网络路径中的额外跳跃,它可能会通过引入延迟来影响流式传输质量。如果代理的大小不合适,无法处理桌面流式传输流量,则代理也可能会降低吞吐量。此外,大多数代理不是为支持长时间运行的 WebSocket (TCP) 连接而设计的,因此,可能会影响流式传输质量和稳定性。
如果您必须使用代理,请使代理服务器尽可能靠近 WorkSpace 客户端,最好位于同一网络中,以免增加网络延迟,从而可能会对流式传输质量和响应能力产生负面影响。
