受管理的 AWS Windows AMI - Amazon Elastic Compute Cloud

受管理的 AWS Windows AMI

AWS 提供受管的 Amazon Machine Image (AMI),其包含 Windows Server 的各種版本和組態。AWS Windows AMI 一般是以 Microsoft 安裝媒體使用的預設設定所設定。但有自訂項目。例如,AWS Windows AMI 隨附於下列軟體和驅動程式:

  • EC2Launch v2 (Windows Server 2022)

  • EC2Launch (Windows Server 2016 及 2019)

  • EC2Config 服務 (透過 Windows Server 2012 R2)

  • AWS Systems Manager

  • AWS CloudFormation

  • AWS Tools for Windows PowerShell

  • 網路驅動程式 (SRIOV、ENA、Citrix PV)

  • 儲存體驅動程式 (NVMe、AWS PV、Citrix PV)

  • 顯示卡驅動程式 (NVidia GPU、Elastic GPU)

  • Spot 執行個體休眠

如需其他自訂項目的資訊,請參閱AWS Windows AMI

AWS Windows AMI 版本詳細資訊

官方 AWS Windows AMI 中預期會有的內容

AWS針對所有支援的 Windows 作業系統版本, 為 AMI 提供各種組態。針對這每個映像檔,AWS:

  • 安裝 Microsoft 建議的所有 Windows 安全性修補程式。我們會在每個月提供 Microsoft 修補程式後盡快釋出映像檔。

  • 在選定的 AMI 中安裝 AWS 硬體的最新驅動程式,包括網路和磁碟驅動程式、用於故障診斷的 EC2WinUtil,以及 GPU 驅動程式。

  • 包括 AWS 協助程式軟體,例如適用於 Server 2012 R2 及更早版本的 EC2Config、適用於 Server 2016 和 2019 的 EC2Launch,或適用於 Server 2022 的 EC2Launch v2

  • 將 Windows 時間設定為使用 Amazon Time Sync Service

  • 變更所有的電源配置,設定永遠不關閉顯示器。

  • 執行次要的錯誤修正:一般以一行的登錄變更來啟用或停用我們所發現可改善 AWS 效能的功能。

除了以上所列的調整之外,我們會讓 AMI 盡可以保持接近預設安裝。這表示我們預設會使用「庫存」PowerShell 或 .NET Framework 版本,不會安裝 Windows 功能,並且一般不會變更 AMI。

AWS 如何決定要提供的 Windows AMI

每個 AMI 會經過廣泛的測試,之後才會公開推出。我們會定期簡化我們的 AMI 項目以簡化客戶選擇和減少成本。

  • 將為新作業系統版本建立新的 AMI 項目。您可以信賴 AWS 釋出英文和其他廣泛使用的語言版本的「Base」、「Core/Container」和「SQL Express/Standard/Web/Enterprise」項目。Base 與 Core 項目的主要差異為 Base 項目具有桌面/GUI,而 Core 項目僅是 PowerShell 命令列。如需 Windows Server Core 的詳細資訊,請參閱 https://docs.microsoft.com/en-us/windows-server/administration/server-core/what-is-server-core

  • 建立新 AMI 產品來支援新平台 – 例如,建立了「深度學習」和「NVidia」AMI 來支援客戶使用我們以 GPU 為基礎的執行個體類型 (P2 和 P3、G2 和 G3 等)。

  • 有時會移除較不熱門的 AMI。如果我們看到特定 AMI 在其整個生命週期中僅啟動了幾次,我們將移除它以有利於更廣泛使用的選項。

如果有您想要看見的 AMI 變體,請向 Cloud Support 提出票證,或是透過我們建立的其中一個管道提供意見反應。

修補程式、安全性更新和 AMI ID

AWS 會在 Microsoft 週二修補程式日 (每個月的第二個星期二) 的五個工作日內提供已更新的完全修補 Windows AMI。新的 AMI 會立即透過 Amazon EC2 主控台的 Images (映像) 頁面提供。AWS Marketplace 和啟動執行個體精靈的 Quick Start 標籤會在發行後數天內提供新的 AMI。

注意

從 Windows Server 2019 及更新版本 AMI 啟動的執行個體可能顯示 Windows Update 對話方塊訊息,其中指出「部分設定是由您的組織所管理的」。此訊息是因為 Windows Server 2019 中的變更而出現,不影響 Windows Update 的行為或造成您無法管理更新設定。

若要移除此警告,請參閱部分設定是由您的組織所管理

為確保客戶預設擁有最新的安全更新,AWS 的 Windows AMI 供應時間為期三個月。發行新的 Windows AMI 後,AWS 會讓超過三個月的 Windows AMI 在 10 天內成為私有。在 AMI 變成私有之後,如果您在主控台中檢查由此 AMI 啟動的某個執行個體,AMI ID 欄位會顯示 "Cannot load detail for ami-xxxxx。You may not be permitted to view it." (無法載入 ami-xxxxx 的詳細資訊。您可能無權檢視。) 您仍然可以使用 AWS CLI 或 AWS 開發套件擷取 AMI ID。

每次發行的 Windows AMI 都有新的 AMI ID。因此,我們建議您撰寫指令碼依名稱尋找最新的 AWS Windows AMI,不要使用 ID。如需詳細資訊,請參閱下列範例:

半年頻道版

AWS 提供 Windows Server 半年頻道版本,結合 AWS 的擴展、效能和彈性及 Windows Server 半年頻道發行版本的新功能。

AWS Windows AMI 的組態變更

下列組態變更套用至每個 AWS Windows AMI。

清理與準備
變更 適用對象

檢查是否有待定的檔案名稱或重新開機,視需要重新開機

所有 AMI

刪除 .dmp 檔案

所有的 AMI

刪除日誌 (事件日誌、Systems Manager、EC2Config)

所有的 AMI

刪除 Sysprep 的暫存資料夾和檔案

所有 AMI

清除最近的歷史記錄 (開始選單 、Windows 檔案總管等等)

Windows Server 2012 R2 和舊版

執行病毒掃描

所有的 AMI

預先編譯佇列的 .NET 組件 (在 Sysprep 之前)

所有的 AMI

執行 Windows 維護工具

Windows Server 2012 R2 和更新版本

還原 Internet Explorer 的預設值

所有的 AMI

還原 EC2Config 的預設值

Windows Server 2012 R2 和舊版

設定 EC2Launch 在下次啟動時執行

Windows Server 2016 和 2019

重設 Windows 桌面

所有的 AMI

執行 Sysprep

所有的 AMI

安裝及設定
變更 適用對象

新增《Amazon EC2 Windows 指南》的連結

所有的 AMI

將執行個體儲存體磁碟區連接到擴充的掛載點

所有的 AMI

安裝最新的 AWS Tools for Windows PowerShell

所有的 AMI

安裝最新的 AWS CloudFormation 協助程式指令碼

所有的 AMI

安裝最新的 EC2Config 和 SSM Agent

Windows Server 2012 R2 和舊版

安裝最新的 EC2Launch 和 SSM Agent

Windows Server 2016 和 2019

安裝最新的 EC2Launch v2 和 SSM Agent Windows Server 2022 及更新版本

安裝最新的 AWS PV、ENA 和 NVMe 驅動程式

Windows Server 2008 R2 和更新版本

安裝最新的 SRIOV 驅動程式

Windows Server 2012 R2 和更新版本

安裝最新的 Citrix PV 驅動程式

Windows Server 2008 SP2 和舊版

安裝最新的 EC2WinUtil 驅動程式

Windows Server 2008 R2 和更新版本

安裝 PowerShell 2.0 和 3.0

Windows Server 2008 SP2 和 R2

如已安裝 Microsoft SQL Server:

  • 安裝 Service Pack

  • 設定自動啟動

  • 將 BUILTIN\Administrators 新增至 SysAdmin 角色

  • 開啟 TCP 連接埠 1433 和 UDP 連接埠 1434

所有的 AMI

套用以下修補程序:

Windows Server 2008 SP2 和 R2

允許 ICMP 流量通過防火牆

Windows Server 2012 R2 和舊版

啟用檔案和印表機共享

Windows Server 2012 R2 和舊版

停用 Internet Explorer 的 RunOnce

所有的 AMI

啟用遠端 PowerShell

所有的 AMI

在系統磁碟區設定分頁檔,如下所示:

  • Windows Server 2016 和更新版本 - 由系統管理

  • Windows Server 2012 R2 - 初始大小及大小上限為 8 GB

  • Windows Server 2012 和舊版 - 初始大小為 512 MB,大小上限為 8 GB

所有的 AMI

Z: 設定額外的系統受管分頁檔,若有

Windows Server 2012 R2 和舊版

停用休眠並刪除休眠檔

所有的 AMI

設定效能選項以取得最佳效能

所有的 AMI

將電源設定設為最高效能

所有的 AMI

停用螢幕保護程式密碼

所有的 AMI

設定 RealTimeIsUniversal 登錄機碼

所有的 AMI

將時區設為 UTC

所有的 AMI

停用 Windows 更新與通知

所有的 AMI

執行 Windows Update 並重新開機直到沒有任何等待中的更新為止

所有的 AMI

將所有電源配置中的顯示器設定為永遠不關閉

所有的 AMI

將 PowerShell 執行政策設定為「無限制」

所有的 AMI

更新您的 Windows 執行個體

在您啟動 Windows 執行個體後,您要負責在此執行個體上安裝更新。如需詳細資訊,請參閱 Amazon EC2 中的更新管理

您只能手動安裝感興趣的更新,或者您可從最新的 AWS Windows AMI 啟動並建立新的 Windows 執行個體。如需尋找最新的 AWS Windows AMI 及讓您的 AMI 保持在最新狀態的詳細資訊,請參閱 尋找 Windows AMI讓 AMI 保持最新狀態

注意

更新時執行個體應是無狀態。如需詳細資訊,請參閱大規模管理 AWS 基礎設施

若為 Windows 執行個體,您可將更新安裝至下列服務或應用程式:

建議您在安裝更新後重新開機 Windows 執行個體。如需詳細資訊,請參閱 重新啟動您的執行個體

升級或遷移至較新版本的 Windows Server

如需如何將 Windows 執行個體升級或遷移至較新版 Windows Server 的資訊,請參閱將 Amazon EC2 Windows 執行個體升級至較新版本的 Windows Server

訂閱 Windows AMI 通知

若要在發行新的 AMI 或之前發行的 AMI 變成私有的時候收到通知,請使用 Amazon SNS 訂閱通知。

訂閱 Windows AMI 通知

  1. https://console.aws.amazon.com/sns/v3/home 開啟 Amazon SNS 主控台。

  2. 如有必要,請在導覽列中將「區域」變更為美國東部 (維吉尼亞北部)。您必須使用此區域,因為您要訂閱的 SNS 通知已在本區域中建立完成。

  3. 在導覽窗格中,選擇 Subscriptions (訂閱)。

  4. 選擇 Create subscription (建立訂閱)。

  5. 針對 Create subscription (建立訂閱) 對話方塊,執行下列作業:

    1. 針對 Topic ARN (主題 ARN),複製並貼上下列 Amazon Resource Name (ARN) 之一:

      • arn:aws:sns:us-east-1:801119661308:ec2-windows-ami-update

      • arn:aws:sns:us-east-1:801119661308:ec2-windows-ami-private

      針對 AWS GovCloud (US)

      arn:aws-us-gov:sns:us-gov-west-1:077303321853:ec2-windows-ami-update

    2. 對於 通訊協定 ,選擇 電子郵件

    3. 針對 Endpoint (端點),輸入可用於接收通知的電子郵件地址。

    4. 選擇 Create subscription (建立訂閱)。

  6. 您將收到一封具有主旨行的確認電子郵件 AWS Notification - Subscription Confirmation。開啟電子郵件並選擇 Confirm subscription (確認訂閱) 完成訂閱。

只要有 Windows AMI 發行,我們就會向 ec2-windows-ami-update 主題的訂閱者傳送通知。只要已發行的 Windows AMI 變成私有,我們就會向 ec2-windows-ami-private 主題的訂閱者傳送通知。如果您不想再接收這些通知,請使用下列程序來取消訂閱。

取消訂閱 Windows AMI 通知

  1. https://console.aws.amazon.com/sns/v3/home 開啟 Amazon SNS 主控台。

  2. 如有必要,請在導覽列中將「區域」變更為美國東部 (維吉尼亞北部)。您必須使用此區域,因為 SNS 通知已在本區域中建立完成。

  3. 在導覽窗格中,選擇 Subscriptions (訂閱)。

  4. 選取訂閱,然後選擇 Delete (刪除)。出現確認提示時,請選擇 Delete (刪除)。

Windows Server 2016 和更新版本 AMI 的變更

AWS 提供適用於 Windows Server 2016 及更新版本的 AMI。這些 AMI 包含下列舊版 Windows AMI 的高層級變更:

其他差異

請注意從 Windows Server 2016 和更新版本 AMI 建立之執行個體的下列額外重要差異。

  • 根據預設,EC2Launch 不會初始化輔助 EBS 磁碟區。您可排程指令碼執行或在使用者資料中呼叫 EC2Launch,設定 EC2Launch 自動初始化磁碟。如需使用 EC2Launch 初始化磁碟的程序,請參閱設定 EC2Launch中的初始化磁碟機和磁碟機代號映射。

  • 如果先前您已使用本機組態檔 (AWS.EC2.Windows.CloudWatch.json) 在執行個體上啟用 CloudWatch 整合,可以設定該檔案,在從 Windows Server 2016 和更新版本 AMI 建立的執行個體上使用 SSM Agent。

如需詳細資訊,請參閱 Microsoft.com 上的 Windows Server

Windows Server 2016 執行個體上的 Docker 容器衝突

如果您在 Windows Server 2016 AMI 上執行 Docker 服務,則該服務設定使用和預設內部 IP 地址前綴值不同的 CIDR 值。預設值為 172.16.0.0/12。Windows Server 2016 AMI 使用 172.17.0.0/16 以避免和預設的 Amazon EC2 VPC/子網發生衝突。如果您不變更 EC2 執行個體的 VPC/子網設定,即不需要做任何事。因為 CIDR 值不同,基本上不會發生衝突。如果您真的變更 VPC/子網設定,請了解這些內部 IP 地址前綴值,避免製造衝突。如需詳細資訊,請參閱下節。

重要

如果您打算在 Windows Server 2016 執行個體上執行 Docker,您必須從以下 Amazon Machine Image (AMI) 或以名稱含有 Windows_Server-2016-English-Full-Containers 的映像為基礎的 AMI 建立此執行個體。如果使用不同的 Windows Server 2016 AMI,安裝 Docker 然後執行 Sysprep 後,執行個體會無法正確開機。