为 WorkSpaces Pools 启用和管理永久存储 - Amazon WorkSpaces
管理主文件夹

为 WorkSpaces Pools 启用和管理永久存储

WorkSpaces Pools 支持永久存储的主文件夹。作为 WorkSpaces Pools 管理员,您必须了解如何执行以下任务来为您的用户启用并管理永久存储。

为您的 WorkSpaces Pools 用户启用并管理主文件夹

在您为 WorkSpaces Pools 启用主文件夹时,用户可以在其流式传输会话期间访问永久存储文件夹。您的用户不必进行任何额外配置即可访问其主文件夹。用户存储在其主文件夹中的数据会自动备份到您的 Amazon Web Services 账户的 Amazon Simple Storage Service(Amazon S3)存储桶中,并且可以在后续会话中供这些用户使用。

使用 Amazon S3 的 SSL 端点对文件和文件夹进行传输中加密。使用 Amazon S3 托管的加密密钥对文件和文件夹进行静态加密。

主文件夹存储在位于以下默认位置的 WorkSpaces Pools 中的 WorkSpaces:

  • 对于单个会话、未加入域的 Windows WorkSpaces:C:\Users\PhotonUser\My Files\Home Folder

  • 已加入域的 Windows WorkSpaces:C:\Users\%username%\My Files\Home Folder

作为管理员,如果您要将应用程序配置为保存到此主文件夹,请使用适用的路径。在某些情况下,您的用户可能无法找到其主文件夹,因为有些应用程序无法识别将主文件夹显示为文件浏览器中的顶级文件夹的重定向。如果是这种情况,您的用户可以通过浏览到文件浏览器中的相同目录来访问其主文件夹。

与计算密集型应用程序关联的文件和目录

在 WorkSpaces Pools 流式传输会话期间,与保存基本生产应用程序所需的文件和目录相比,将与计算密集型应用程序关联的大型文件和目录保存到永久存储所花费的时间可能更长。例如,与保存执行单次写入操作的应用程序创建的文件相比,应用程序保存大量数据或频繁修改相同文件所需的时间可能更长。保存许多小文件也可能需要更长时间。

如果您的用户保存与计算密集型应用程序关联的文件和目录,而且 WorkSpaces Pools 永久存储选项的性能不如预期,我们建议您使用服务器消息块(SMB)解决方案,例如适用于 Windows File Server 的 Amazon FSx 或 AWS Storage Gateway 文件网关。以下是与更适合与这些 SMB 解决方案一起使用的计算密集型应用程序关联的文件和目录示例:

  • 集成式开发环境(IDE)的工作区文件夹

  • 本地数据库文件

  • 图形仿真应用程序创建的暂存空间文件夹

有关更多信息,请参阅《AWS Storage Gateway 用户指南》中的文件网关

为您的 WorkSpaces Pools 用户启用主文件夹

在启用主文件夹之前,您必须执行以下操作:

  • 检查您是否具备执行某些 Amazon S3 操作的正确 AWS Identity and Access Management(IAM)权限。

  • 使用根据 2017 年 5 月 18 日当日或之后发布的 AWS 基本映像创建的某个映像。

  • 通过配置 Internet 访问或 Amazon S3 的 VPC 端点,启用从您的虚拟私有云(VPC)到 Amazon S3 的网络连接。有关更多信息,请参阅WorkSpaces Pools 的网络和访问权限为 WorkSpaces Pools 使用 Amazon S3 VPC 端点功能

您可以在创建目录时启用或禁用主文件夹(请参阅配置 SAML 2.0 和创建 WorkSpaces Pools 目录),或在创建目录后使用 WorkSpaces Pools 的 AWS 管理控制台 进行启用或禁用。对于每个 AWS 区域,主文件夹由 Amazon S3 存储桶提供支持。

在您首次为某个 AWS 区域中的 WorkSpaces Pools 目录启用主文件夹时,服务会在该同一区域内您的账户中创建一个 Amazon S3 存储桶。这个存储桶用于存储该区域中所有用户和所有目录的主文件夹的内容。有关更多信息,请参阅 Amazon S3 存储桶存储

在创建目录时启用主文件夹
为现有目录启用主文件夹

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/v2/home

  2. 在左侧导航窗格中,选择目录,然后选择要为其启用主文件夹的目录。

  3. 在目录列表下方,选择存储并选择启用主文件夹

  4. Enable Home Folders (启用主文件夹) 对话框中,选择 Enable (启用)

管理您的主文件夹

禁用主文件夹

您可以禁用目录的主文件夹(已存储在主文件夹中的用户内容不会丢失)。禁用目录的主文件夹会产生以下影响:

  • 连接到目录的活动流式传输会话的用户将收到一条错误消息,告知他们无法再将内容存储在其主文件夹中。

  • 使用已禁用主文件夹的目录的任何新会话都不会显示主文件夹。

  • 为一个目录禁用主文件夹不会为其他目录禁用主文件夹。

  • 即使对所有目录禁用了主文件夹,WorkSpaces Pools 也不会删除用户内容。

要还原对目录主文件夹的访问,请按照此主题中前述的步骤重新启用主文件夹。

在创建目录时禁用主文件夹
为现有目录禁用主文件夹

  1. 打开 WorkSpaces 控制台,网址为:https://console.aws.amazon.com/workspaces/v2/home

  2. 在左侧导航窗格中,选择目录,然后选择要为其启用主文件夹的目录。

  3. 在目录列表下方,选择存储并清除启用主文件夹

  4. Disable Home Folders (禁用主文件夹) 对话框中,键入 CONFIRM(区分大小写)来确认您的选择,然后选择 Disable (禁用)

Amazon S3 存储桶存储

WorkSpaces Pools 使用在您的账户中创建的 Amazon S3 存储桶来管理存储在主文件夹中的用户内容。对于每个 AWS 区域,WorkSpaces Pools 都会在您的账户中创建存储桶。从该区域中目录的流式传输会话生成的所有用户内容都存储在该存储桶中。存储桶完全由服务托管,管理员不必输入任何内容或进行任何配置。存储桶以特定格式命名,如下所述:

wspool-home-folder-<region-code>-<account-id-without-hyphens>-<random-identifier>

其中,<region-code> 为创建目录的 AWS 区域代码,<account-id-without-hyphens> 为您的 Amazon Web Services 账户 ID,>random-identifier< 为 WorkSpaces 服务生成的随机标识号。存储桶名称的第一部分 wspool-home-folder- 不随账户或区域而改变。

例如,如果您为账号 123456789012 在美国西部(俄勒冈州)(us-west-2)区域中的目录启用主文件夹,则此服务会在该区域中创建一个具有所示名称的 Amazon S3 存储桶。只有具有足够权限的管理员才能删除此存储桶。

wspool-home-folder-us-west-2-123456789012

如上文所述,对目录禁用主文件夹不会删除存储在 Amazon S3 存储桶中的任何用户内容。要永久删除用户内容,必须由具备足够访问权限的管理员在 Amazon S3 控制台中进行。WorkSpaces Pools 添加了一个存储桶策略,以防止意外删除存储桶。

主文件夹内容同步

启用主文件夹后,WorkSpaces Pools 会为每个用户创建一个唯一的文件夹,用于存储其内容。创建该文件夹作为唯一的 Amazon S3 前缀,该前缀使用 Amazon Web Services 账户和区域的 S3 存储桶中的用户名哈希。WorkSpaces Pools 在 Amazon S3 中创建主文件夹后,会将该文件夹中访问的内容从 S3 存储桶复制到 WorkSpace。这使用户能够在流式传输会话期间从 WorkSpace 池中的 WorkSpace 快速访问其主文件夹内容。您对 S3 存储桶中用户主文件夹内容所做的更改,以及用户在 WorkSpace 池中的 WorkSpace 上对其主文件夹内容所做的更改将在 Amazon S3 和 WorkSpaces Pools 之间同步,如下所示。

  1. 在用户的 WorkSpaces Pools 流式传输会话开始时,WorkSpaces Pools 会对为该用户存储在您 Amazon Web Services 账户和区域的 Amazon S3 存储桶中的主文件夹文件进行编目。

  2. 用户的主文件夹内容还会存储在其流式传输的 WorkSpaces Pools 中的 WorkSpace。当用户访问 WorkSpace 上的主文件夹时,将显示已编目文件列表。

  3. 只有当用户在流式传输会话期间使用流应用程序打开文件后,WorkSpaces Pools 才会将文件从 S3 存储桶下载到 WorkSpace。

  4. WorkSpaces Pools 将文件下载到 WorkSpace 后,将在访问文件后进行同步

  5. 如果用户在流式传输会话期间更改了此文件,则 WorkSpaces Pools 会定期或在流式传输会话结束时将文件的新版本从 WorkSpace 上传到 S3 存储桶。但是,在流式传输会话期间,不会再次从 S3 存储桶下载该文件。

以下各部分介绍了在 Amazon S3 中添加、替换或删除用户的主文件夹文件时的同步行为。

同步您添加到 Amazon S3 中用户主文件夹中的文件

如果您将新文件添加到 S3 存储桶中用户的主文件夹,则 WorkSpaces Pools 会在几分钟内对该文件进行编目,并将其显示在用户主文件夹中的文件列表中。但是,只有在用户在流式传输会话期间使用应用程序打开文件后,才会将此文件从 S3 存储桶下载到 WorkSpace。

同步您替换的 Amazon S3 中用户主文件夹中的文件

如果用户在流式传输会话期间打开 WorkSpaces Pools 中 WorkSpace 上主文件夹中的文件,并且在该用户处于活动状态的流式传输会话期间,您将 S3 存储桶中其主文件夹中的相同文件替换为新版本,则不会立即将该文件的新版本下载到 WorkSpace。只有在用户启动新的流式传输会话并再次打开文件后,才会将新版本从 S3 存储桶下载到 WorkSpace。

同步您从 Amazon S3 中的用户主文件夹中删除的文件

如果用户在流式传输会话期间打开 WorkSpaces Pools 中 WorkSpace 上主文件夹中的文件,并且在该用户处于活动状态的流式传输会话期间,您将该文件从 S3 存储桶中的主文件夹中删除,则此文件将在用户执行以下任一操作之后从 WorkSpace 中删除:

  • 再次打开主文件夹

  • 刷新主文件夹

主文件夹格式

用户文件夹的层次结构视用户启动流式传输会话的方式而定,如以下章节所述。

SAML 2.0

对于使用 SAML 联合创建的会话,用户文件夹的结构如下:

bucket-name/user/federated/user-id-SHA-256-hash/

在本例中,user-id-SHA-256-hash 是文件夹名称 (使用在 SAML 联合请求中传递的 NameID SAML 属性值生成的小写 SHA-256 哈希十六进制字符串创建)。要区分隶属两个不同的域的同名用户,请在发送 SAML 请求时使用 NameID 格式的 domainname\username。有关更多信息,请参阅 配置 SAML 2.0 和创建 WorkSpaces Pools 目录

下面的示例文件夹结构适用于使用 SAML 联合且 NameID 为 SAMPLEDOMAIN\testuser、账户 ID 为 123456789012、区域为美国西部(俄勒冈)的会话访问:

wspool-home-folder-us-west-2-123456789012/user/federated/8dd9a642f511609454d344d53cb861a71190e44fed2B8aF9fde0C507012a9901

当 NameID 字符串的一部分或全部是大写(如示例中的域名 SAMPLEDOMAIN)时,WorkSpaces Pools 会根据字符串中使用的大写生成哈希值。使用此示例,SAMPLEDOMAIN\testuser 的哈希值为 8DD9A642F511609454D344D53CB861A71190E44FED2B8AF9FDE0C507012A9901。在该用户的文件夹中,此值显示为小写,如下所示:8dd9a642f511609454d344d53cb861a71190e44fed2B8aF9fde0C507012a9901。

您可以通过网站或网上提供的开源编码库生成 NameID 的 SHA-256 哈希值,并据此确定特定用户的文件夹。

其他资源

有关管理 Amazon S3 存储桶和最佳实践的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的以下主题: