开始使用 Amazon WorkSpaces

从基于服务器的运算（Server Base Computing），到虚拟桌面架构（Virtual Desktop Infrastructure），到终端用户计算（WorkSpaces）。其方案的核心一直紧紧围绕几个关键点展开，其中最关键的就是远程桌面协议提供的"数据不落地"特性，即企业通过远程桌面协议来实现让员工远程操作数据，但员工本地设备并未下载任何数据。另外一个关键点就是桌面集中到数据中心或者云后带来的桌面"管理统一性和运维的便利性"，大型企业通过将分散在全球各地的桌面 PC 演化为接近 0 维护的瘦客户机或者零客户机加数据中心内托管的集中化虚拟桌面或者 WorkSpaces 服务架构，大大简化了分散式管理的可达性和难度，也可以通过集中化桌面运维保持企业的桌面一致性以及应用的同步性，大大节省以往简单桌面运维方面投入的重度 IT 运维人员资产，同时也可以通过降低运维时间提升企业员工效率，避免无效的停机维修时间。第三个关键点就是桌面云带来的弹性伸缩灵活性，和以往业务部署需要 PC 部署先行的重资本、低效率模式。彻底转换为随着业务弹性伸缩扩展的桌面即服务模式，这一特性随着携带个人设备（BYOD）以及新的混合办公模式的普及进一步加以放大，企业只需要关注需要提供的弹性桌面办公资源，而无需过度关注 PC 电脑的部署和资产的更新换代。基于以上三个关键点，终端用户计算（End User Computing）在过去十年间主要发展出五种典型的应用场景并快速在企业内延伸发展，它们依次是居家办公、研发环境、呼叫中心、安全办公、以及外场接入这五大典型应用场景。

从 2020 年开始，随着疫情在全球的蔓延和阶段型波动，更多客户需要将员工的办公环境迁移为在家办公环境或者混合办公环境以应对疫情冲击带来的挑战，通过 WorkSpaces 实现灵活的企业混合办公环境部署，弹性化应对疫情带来的办公模式转变，是很多企业青睐 WorkSpaces 服务的一个重要原因。从部署的周期来讲，企业可以在短短几天内开通所有员工使用的 WorkSpaces，通过集中化模板部署以及域控制器集成快速切换为居家办公模式以应对疫情挑战。另外，在疫情减缓后也可以平稳切换或者部分切换回本地办公模式，按需支出办公环境变化成本。

第二类研发环境则属于从 VDI 技术年代就开始典型部署的一种使用场景，其主要目的为通过 WorkSpaces 本身“远程桌面协议”这种特殊的安全接入方式来实现客户端能够接入研发环境但是不能下载任何数据的特殊安全需求。是一种非常典型的企业内部数据安全保护手段，相对于其它方式如 VPN、防火墙、网关等，这种方式在信息保护上有先天且独特的方式（采用远程桌面协议可以保障员工操作的同时隔绝任何企业数据的非授权下载），这一特点深受某些大型或者中小型研发企业所青睐，完全实现了数据不落地这一关键需求，完善保护企业研发数据和代码。

第三种则是呼叫中心使用场景，众所周知随着呼叫中心的平台升级，原来集中式的呼叫中心在灵活度和成本上越来越不经济，更多的被分散式以及基于 Web 的呼叫中心平台所替代。通过 WorkSpaces 配合 Web 呼叫中心软件。企业可以将本地集中式呼叫中心完全打散为居家员工配合 Web 呼叫中心系统，这一需求尤其在疫情来临后变的迫切和必要。通过 WorkSpaces 装载呼叫中心客户端，我们可以帮助企业在云上快速建立呼叫中心并接入企业 CRM 和呼叫中心系统，并且可以做到所有操作数据的企业内部化，一定程度上也减轻了呼叫中心这一特殊行业在人员流动性比较大带来的企业数据、设备管理方面的冲击、可以完美实现端到端的 “云呼叫中心” 平台。

安全办公环境场景适合一些信息保密要求较高的企业，如金融服务、医疗行业、研究机构等。 这种环境在办公过程中产生了大量的需要妥善保密的信息资产，传统方式很难彻底隔绝这些信息资产对外的泄露。使用 WorkSpaces 这种终端用户计算后，所有信息资产全部保留在企业内部云上。所有的下载和外传完全收到企业 IT 管理方面的监管和控制。可以极大的提高整体企业办公环境的信息安全。另外企业办公信息集中到云上后，企业的办公数据备份和安全恢复都提升了一个等级。

最后一个场景外场接入，很多跨国企业，或者本地大型企业，如零售业、制造业、交通运输业、能源行业等都有大量的网点和端末办公节点，以往的基于 PC 或者笔记本的 IT 实现方式面对着非常大的端末借点维护挑战，如运维成本高、运维效率低、远程处理复杂、人员部署不到位等等。通过使用 WorkSpaces 这种桌面云方式，端末节点可以替换为 Thinclient 或者 zeroclient 等零终端（接近零维护），通过几种所有桌面操作平台到云，极少的 IT 运维团队即可支撑几千至几万的终端维护。大大降低远程接入的挑战、提升企业端末运维效率。

服务接入点选择

网络延迟测试可以测试出员工接入设备（PC 或笔记本等）到各个亚马逊云科技数据中心的 WorkSpace 之间的 RTT (往返延时)，测试往返延时的主要目的是测试从客户端发送一个鼠标或者键盘输入到 WorkSpaces 并返回屏幕刷新结果到本地之间的延迟。这个指标是影响 WorkSpaces 个人使用体验的关键指标，延迟较小则操作比较顺畅用户接近无感知，延迟较大则可能产生画面卡顿员工感受明显。 推荐标准如下：

• RTT<100ms 快
• RTT<200ms 可接受
• RTT<375ms 慢
• RTT>375ms 不可用

1. 中国区
2. 海外区

PCoIP：为了获得 PCoIP 的最佳性能，从客户端网络到 WorkSpaces 所在区域之间的往返时间 (RTT) 应小于 100 毫秒。如果 RTT 介于 100ms 到 200 毫秒之间，则用户可以访问 WorkSpace，但性能会受到影响。如果 RTT 介于 200 毫秒到 375ms 之间，则性能会降低。如果 RTT 超过 375ms，WorkSpaces 客户端连接将终止。为了获得 WorkSpaces 流协议 (WSP) 的最佳性能，从客户端网络到 WorkSpaces 所在区域之间的 RTT 应小于 250 毫秒。如果 RTT 介于 250ms 到 400ms 之间，则用户可以访问 WorkSpace，但性能会降低。根据上述标准，如果 RTT 超过 200ms，则使用中会出现明显卡顿，建议是挑选 RTT 小于 100ms 延迟的数据中心作为接入点，这样使用效果最好。

安全接入设计

WorkSpaces 控制台自带 IP Access Control + Access Control 两个功能，这两个功能联合使用可以做到 login 客户端的 IP 和设备类型控制，严格控制接入设备。同时、也可以在接入方式中增加证书的使用，或者启用登录链路的 TLS/FIPS 链路加密来达到更安全的接入方式。

备注 1：WorkSpaces 使用的远程桌面协议本身只传输画面的刷新，不传输任何画面内的数据。

备注 2：WorkSpaces 接入也支持开启 TLS 和 FIPS 140-2 两种加密方式，将 Login 链路进行数据加密，提高链路安全性。这个功能可以直接在控制台开启。

有些大型企业、尤其是已经采用集中办公模式的企业。为了确保接入链路不暴露在互联网上（这里指用户的员工通过 WorkSpaces 客户端 Login 到 WorkSpaces 这一链路)，也可以采用完全私有链路如 Direct Connect, 或者渐进的相对成本低一些的 Site to Site VPN/IPSec Tunnel 形成一个企业到亚马逊云科技的私有链路。以下做一下简单的说明

• Direct Connect+Public VIF. Amazon S3、Glacier、WorkSpaces 等服务都支持 public VIF 接入，这样我们就可以通过 Direct Connect 专用链路在企业站点和亚马逊云科技云之间建立一个私有通道。并且使用 public VIF 作为 WorkSpaces 客户端登录 WorkSpaces 的链路。

• 如果没有 Direct Connect 专用链路，也可以使用第三方 IPSEC Tunnel 创建类似 Site to Site VPN 的通道。
  

备注：由西云数据运营的亚马逊云科技（宁夏）区域还不支持 Site to Site VPN 或者 Client VPN。如需使用 VPN 方式，可参考使用 IPSEC 的方式建立通道。其它国家地区是否可以使用 VPN 建立通路请参考 VPN 服务在当地的部署情况。

WorkSpaces 数据访问规划

WorkSpaces 作为 WorkSpaces，其对完的访问主要包括以下三个方面

• WorkSpace 到互联网的访问：WorkSpaces 默认使用 IGW internet gateway 对外访问，这也是 WorkSpaces 服务默认创建的互联网访问链路。同时也可以创建新的 NAT gateway 对外发起访问，这个方法适合去访问一些特定的在互联网上的第三方应用平台
• WorkSpaces 对企业本地数据的访问：这条链路主要用于 WorkSpaces 访问企业本地数据中心里面托管的应用、数据或者域控制等本地服务。这个链路可以作为一个安全的访问链路，保证企业关键数据不暴露在互联网上。 
• WorkSpaces 到企业托管在亚马逊云科技上的数据访问：VPC peering、VPC 路由用来访问企业托管在亚马逊云科技云上的数据这条链路主要用于 WorkSpaces 访问企业托管在亚马逊云科技上的其它 VPC 上的企业应用、企业数据。

备注：WorkSpaces 有两个 ENI 网卡。网卡 1 用于前端接入和和对外访问，为 WorkSpaces 生产流量网卡，以上所说的三种数据链路都是基于网卡 1 的对外流量而言。第二个网卡 2 没有暴露，仅用于 WorkSpaces console 的内置进程后台管理 WorkSpaces 使用，如系统安全更新、镜像制作分发、应用部署等。

在云端的 WorkSpaces 底层使用标准化的 VPC 架构，所以企业同样可以借助 VPC 内置多层网络层面和应用层面的安全手段进行数据隔离和分层。

• Network ACL 可以进行 IP 层面的隔离和阻断。
• Security Group 安全策略组设计可以进行 IP+Port 层面的隔离和阻断。可以按按端进行网络应用的访问隔离。
• Network Firewall 可以进行 domain 如链接层面的白名单、黑名单隔离和阻断。如企业需要针对 WorkSpaces 对互联网访问的部分撰写特定的黑白名单域名进行控制。

通过上面 Console 中自带的模板策略以及在 Network ACL+Security Group+Network Firewall 三个层面的安全策略设计，可以按照企业需求在 WorkSpace 和互联网之间、WorkSpaces 和企业在亚马逊云科技托管云上的服务器 VPC 和子网之间、WorkSpaces 和企业本地的数据网络之间进行妥善的安全隔离和阻断，实现完整的数据安全策略规划。

使用托管 AD

使用亚马逊云科技托管 AD 是我们主要推荐的方法，客户可以直接在亚马逊云科技云上启用托管 AD，并直接通过该托管 AD 来进行 WorkSpaces 用户的创建和管理。该域控制器使用 WorkSpaces 策略模板创建，里面已经预置好了安全策略模板，可以针对 WorkSpaces 进行策略控制。这里面的策略包括是否容许登录用户修改 WorkSpaces 配置和安装软件、是否容许 WorkSpaces 登录用户访问互联网、是否容许访问本地 USB 读写设备等等。

使用 AD Connector

针对很多中大型企业，已经在使用 AD 域控制进行用户和设备策略管理的使用形态。WorkSpaces 也可以通过 ADC（AD Connector）域控制器连接器来接驳用户在本地数据中心的域控制器。联通后，ADC 将从企业本地 AD 域控制器同步所有的域策略，自动可以使用域控制器连的企业用户，并将设备管理策略使用于 WorkSpace 实例。使用 ADC 是一种很好的和企业现有IT结构融合的方法，可以完整符合企业现有管理策略模板。

使用域信任关系

还有一种方式，就是使用 Amazon Managed AD，然后在 Amazon Managed AD 和企业本地 AD 之间建立信任域关系。信任关系建立后，亚马逊云科技托管 AD 和企业本地 AD 就可以按照同一林内，双向信任、或者传递信任关系来建立域策略父子信任、树根信任同步关系。这种方法比较适合一些超大企业的复杂域结构，构建比较复杂的域控制关系。

终端支持方面，Amazon WorkSpaces 支持各种客户端、如 Windows/Linux/Mac/Android/Ipad/PCoIP zero/web. 已经提供了非常宽的终端设备支持，这很方便我们选用今天自己办公常用的桌面设备接入 WorkSpaces。同时，作为远程桌面的专业接入设备，Thinclient 和 Zeroclient 也存在了很长时间了，这里我们主要针对 Thinclient 进行一些介绍。Thinclient 的操作系统主要为 Windows 嵌入式和 Linux 嵌入式，该操作系统是各个 Thinclient 厂商自己剪裁出的，里面主要安装 VDI 或者 WorkSpaces 的连接客户端。尽管这些嵌入式系统并不承载应用的使用，但是作为 VDI 或者 WorkSpaces 的接入客户端，有一个重要的问题就是外设的重定向。一般的规律是 Windows 嵌入式在外设重定向方面比 Linux 嵌入式要兼容度更好一些。为了更好的接入不同的外设，推荐使优先选择 Windows 嵌入式作为 Thinclient 系统。

未来的接入设备，基于ARM CPU 的笔记本，其主打的功能就是低功耗带来的始终在线、以及长使用时间（可以连续使用 24 小时），这是一种非常好的 Mobile Thinclient  设备类型，也兼顾了一些本地使用应用的灵活性。 安装 WorkSpaces 客户端以后可以作为一款非常好的 WorkSpaces 原生接入设备。

总体重定向设计，企业在规划 WorkSpaces 总体重定向设计的时候，需要根据自身企业内部对于 “数据不落地” 方面的具体需求结合亚马逊云科技提供的技术方案进行匹配。比如某企业用户需要避免 USB 存储设备的重定向以防止数据拷贝、同时也需要避免打印机输出图纸，这些特定需求都可以通过总体重定向设计中的开关进行控制。总体来说，目前在 Windows10 操作系统上可以进行更多的重定向策略管控，在 Linux 上相对管控选项少一些。在接入协议上 PCoIP 目前重定向管控策略多一些、WSP 协议管控策略少一些。详情参见下方表格。

Windows WorkSpaces

Linux WorkSpaces

使用 API 整合管理平台

大型企业可以使用 WorkSpaces API 来将 WorkSpaces 的管理能力集成到企业自建的整体管理平台之中，实现深度管理。如企业需要自动化开通员工账号、自动分配用户权限以及开通 WorkSpaces、以及自动分配软件和配置、并且在员工离职后自动备份数据并释放资源的场景。因为亚马逊云科技提供的是模块化服务，所以客户完全可以凭借 API 调用来通过二次开发的功能实现更大范围的整体管理功能集成。详情请参考 API 文档。

启动远程支持

除了在 WorkSpaces 后台 console 可以部署和管理，WorkSpaces 也支持远程助理功能，可以通过以下部署包实现该功能。当企业从 PC 管理平滑切换到 WorkSpaces 这种桌面云的时候，依然可以通过远程协助功能一对一的处理一些复杂的问题。详情可以参考博客。

大中型企业可能需要自带 Windows 桌面许可证（简称 BYOL) 来实现 WorkSpaces 的部署，BYOL 的权限申请请联系您联系亚马逊支持中心， 由于 BYOL 的镜像制作、上传、以及再次自定义后的发布流程相对复杂，建议严格按照下面手册的建议部署。