Загрузка собственного Windows-образа

Вы можете загрузить собственный пользовательский образ Windows Server в формате qcow2, vmdk или raw. Этот образ можно использовать для создания ВМ.

Для загрузки образа:

1. Подготовьте окружение для работы с образами.
2. Запустите виртуальную машину.
3. Установите Windows Server.
4. Подготовьте образ для использования в MWS Cloud.
5. Установите и настройте утилиту AWS CLI. С ее помощью образ будет загружен с локального компьютера или ВМ в бакет Object Storage.
6. Загрузите образ в бакет Object Storage.
7. Добавьте образ в список пользовательских образов Compute.

В результате образ будет доступен в качестве источника при создании новой ВМ.

В этом руководстве даны инструкции для компьютера на базе архитектуры x86-64 с ОС Ubuntu 22.04.

1. Обновите уже установленные пакеты:

   1
   sudo apt update && sudo apt upgrade

2. Установите необходимые пакеты:

   1
   sudo apt install \
   2
     qemu-system \
   3
     ovmf \
   4
     libguestfs-tools \
   5
     virt-viewer \
   6
     unzip

   Здесь:

   • qemu-system — система виртуализации QEMU;
   • ovmf — система UEFI OVMF;
   • libguestfs-tools — набор утилит для взаимодействия с ВМ;
   • virt-viewer — клиент для подключения к ВМ по протоколу SPICE;
   • unzip — утилита для распаковки zip-архивов.

3. Добавьте текущего пользователя в группу kvm:

   1
   sudo usermod -aG kvm $USER

1. Создайте в домашней директории каталоги для исходных iso-образов и qcow2-образа Windows Server:

   1
   cd ~ && mkdir iso out

2. Загрузите образ нужной версии Windows Server с официального сайта Microsoft:

   • Windows Server 2022,
   • Windows Server 2025.

   Важно

   В облаке будут работать только образы с английской локализацией. Вы можете установить дополнительные языки после первого входа в систему и смены пароля пользователя.

   1
   curl -L -o iso/windows.iso "<ссылка на образ>"

3. Загрузите пакет драйверов Virtio:

   1
   curl -L -o iso/virtio-win.iso "https://fedora-virt.repo.nfrance.com/virtio-win/direct-downloads/stable-virtio/virtio-win-0.1.285.iso"

4. Загрузите установщик CloudBase-Init и поместите его в iso-образ:

   1
   curl -L -o CloudBaseInit.msi "https://github.com/cloudbase/cloudbase-init/releases/download/1.1.6/CloudbaseInitSetup_1_1_6_x64.msi" && \
   2
   mkisofs -o /iso/CloudBaseInit.iso CloudBaseInit.msi

5. Скопируйте UEFI VARS-файл в домашнюю директорию:

   1
   cp /usr/share/OVMF/OVMF_VARS_4M.fd ~

6. Создайте диск для ВМ:

   1
   qemu-img create -f qcow2 output/image.qcow2 25600M

   Примечание

   Минимальный рекомендуемый размер диска:

   • для Windows Server 2022 — 16384M;
   • для Windows Server 2025 — 25600M.

7. Запустите ВМ:

   1
   qemu-system-x86_64 \
   2
     -enable-kvm \
   3
     -machine q35 \
   4
     -cpu host \
   5
     -m 4096 \
   6
     -smp 4 \
   7
     -monitor stdio \
   8
     -drive if=pflash,format=raw,readonly=on,file=/usr/share/OVMF/OVMF_CODE_4M.fd \
   9
     -drive if=pflash,format=raw,file=iso/OVMF_VARS_4M.fd \
   10
     -drive file=iso/windows.iso,media=cdrom,index=0 \
   11
     -drive file=iso/virtio-win.iso,media=cdrom,index=1 \
   12
     -drive file=CloudBaseInit.iso,media=cdrom,index=2 \
   13
     -boot order=d,menu=on \
   14
     -blockdev driver=qcow2,node-name=vd.root,file.driver=file,file.filename=output/image.qcow2 \
   15
     -device virtio-scsi-pci,id=scsi0 \
   16
     -device scsi-hd,drive=vd.root,bus=scsi0.0 \
   17
     -device virtio-serial \
   18
     -device virtserialport,chardev=vdagent,name=com.redhat.spice.0 \
   19
     -chardev spicevmc,id=vdagent,debug=0,name=vdagent \
   20
     -spice port=3001,disable-ticketing

8. Подключитесь к ВМ:

   1
   remote-viewer spice://127.0.0.1:3001

   Дождитесь приглашения терминала. Введите exit. В UEFI выберите опцию Continue. Несколько раз нажмите Enter.

1. Выберите язык, региональные настройки и нажмите Next.

2. Нажмите Install Now.

3. Выберите редакцию Windows Server Standard (Desktop Experience).

4. Примите лицензионное соглашение.

5. В списке вариантов установки ОС выберите Custom: Install Windows only (advanced).

6. На экране выбора диска нажмите Load Driver, в новом окне укажите путь к драйверу хранилища на подключенном образе Virtio: E:\vioscsi\2k<номер версии ОС — 22 или 25>\amd64. Установите предложенный драйвер.

7. Выберите появившийся диск и нажмите Next.

8. Дождитесь завершения установки ОС. ВМ перезагрузится автоматически.

9. После перезагрузки задайте пароль администратора.

10. Установите гостевые инструменты Virtio. Запустите Windows PowerShell и введите команду:

    1
    Start-Process -FilePath "E:\virtio-win-guest-tools.exe" -Wait

    После установки гостевых инструментов станет доступен общий буфер обмена между гостевой и хост-системами.

Выполните в PowerShell следующие команды:

1. Отключите энергосбережение:

   1
   powercfg -setactive "8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c"
   2
   powercfg -change -monitor-timeout-ac 0
   3
   powercfg -change -standby-timeout-ac 0
   4
   powercfg -change -hibernate-timeout-ac 0

2. Настройте параметры реестра:

   1
   # Использовать UTC как аппаратное время
   2
   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\TimeZoneInformation" `
   3
       -Name "RealTimeIsUniversal" -Value 1 -Type DWord -Force
   4
   
   5
   # Разрешить выключение без активных пользователей
   6
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" `
   7
       -Name "ShutdownWithoutLogon" -Value 1
   8
   
   9
   # Сократить таймаут предупреждения при выключении до 1 секунды
   10
   Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" `
   11
       -Name "ShutdownWarningDialogTimeout" -Value 1

3. Отключите дефрагментацию:

   1
   Get-ScheduledTask -TaskName "ScheduledDefrag" | Disable-ScheduledTask

4. Разрешите трафик по протоколу ICMP (ping):

   1
   Get-NetFirewallRule -Name "vm-monitoring-icmpv4" | Enable-NetFirewallRule

5. Настройте подключение по протоколу RDP:

   1
   # Включить RDP
   2
   Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" `
   3
       -Name "fDenyTSConnections" -Value 0
   4
   
   5
   # Отключить NLA (Network Level Authentication), чтобы RDP показывал обычный экран входа и не отбрасывал подключение на этапе предварительной проверки учетных данных
   6
   Get-CimInstance -ClassName Win32_TSGeneralSetting `
   7
       -Namespace root\cimv2\terminalservices |
   8
       Invoke-CimMethod -MethodName SetUserAuthenticationRequired `
   9
       -Arguments @{ UserAuthenticationRequired = 0 }
   10
   
   11
   # Открыть порт в firewall
   12
   Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

6. Удалите recovery-раздел и расширьте диск C для подготовки дискового пространства:

   1
   reagentc /disable
   2
   
   3
   $p = Get-Partition -DiskNumber 0 |
   4
       Where-Object { $_.Type -eq 'Recovery' } |
   5
       Sort-Object -Property PartitionNumber -Descending |
   6
       Select-Object -First 1
   7
   
   8
   if ($p) {
   9
       Remove-Partition -DiskNumber 0 -PartitionNumber $p.PartitionNumber -Confirm:$false -ErrorAction Stop
   10
   }
   11
   
   12
   $size = Get-PartitionSupportedSize -DriveLetter C
   13
   Resize-Partition -DriveLetter C -Size $size.SizeMax

7. Проверьте, что QEMU Guest Agent установлен на ВМ:

   1
   Get-Service 'QEMU-GA'

   Если сервис не найден, установите и запустите его:

   1
   $msi = "E:\guest-agent\qemu-ga-x86_64.msi"
   2
   $log = "C:\Windows\Temp\qemu-ga-install.log"
   3
   
   4
   $p = Start-Process -FilePath 'msiexec.exe' `
   5
       -ArgumentList "/i `"$msi`" /qn /norestart /L*v `"$log`"" `
   6
       -Wait -PassThru
   7
   
   8
   Write-Host "Exit code: $($p.ExitCode)"
   9
   Get-Content $log -Tail 20
   10
   
   11
   for ($i = 0; $i -lt 12; $i++) {
   12
       $svc = Get-Service -Name 'QEMU-GA' -ErrorAction SilentlyContinue
   13
       if ($svc) { break }
   14
       Start-Sleep 5
   15
   }
   16
   
   17
   Set-Service -Name 'QEMU-GA' -StartupType Automatic
   18
   Start-Service 'QEMU-GA'

8. Выполните скрипт для установки OpenSSH:

   Содержимое скрипта

   1
   $ErrorActionPreference = 'Stop'
   2
   
   3
   $cap = Get-WindowsCapability -Online |
   4
       Where-Object { $_.Name -like 'OpenSSH.Server*' } |
   5
       Select-Object -First 1
   6
   
   7
   Write-Host "Capability: $($cap.Name), State: $($cap.State)"
   8
   
   9
   if ($cap.State -ne 'Installed') {
   10
       Add-WindowsCapability -Online -Name $cap.Name
   11
   }
   12
   
   13
   for ($i = 0; $i -lt 12; $i++) {
   14
       $svc = Get-Service -Name sshd -ErrorAction SilentlyContinue
   15
       if ($svc) { break }
   16
       Start-Sleep 5
   17
   }
   18
   
   19
   Set-Service -Name sshd -StartupType Automatic
   20
   Start-Service sshd
   21
   
   22
   $rule = Get-NetFirewallRule -DisplayName 'OpenSSH Server (sshd)' -ErrorAction SilentlyContinue
   23
   if (-not $rule) {
   24
       New-NetFirewallRule -DisplayName 'OpenSSH Server (sshd)' `
   25
           -Direction Inbound -Action Allow -Protocol TCP -LocalPort 22 | Out-Null
   26
   }
   27
   
   28
   $cfg = 'C:\ProgramData\ssh\sshd_config'
   29
   $content = Get-Content $cfg -Raw
   30
   
   31
   $content = [regex]::Replace($content, '(?m)^\s*#?\s*PasswordAuthentication\s+.*$', 'PasswordAuthentication yes')
   32
   if ($content -notmatch '(?m)^PasswordAuthentication\s+yes$') {
   33
       $content = $content.TrimEnd() + "`r`nPasswordAuthentication yes`r`n"
   34
   }
   35
   $content = [regex]::Replace($content, '(?m)^\s*#?\s*PubkeyAuthentication\s+.*$', 'PubkeyAuthentication yes')
   36
   if ($content -notmatch '(?m)^PubkeyAuthentication\s+yes$') {
   37
       $content = $content.TrimEnd() + "`r`nPubkeyAuthentication yes`r`n"
   38
   }
   39
   
   40
   Set-Content -Path $cfg -Value $content -Encoding ascii
   41
   Restart-Service sshd
   42
   Start-Sleep 5
   43
   
   44
   for ($i = 0; $i -lt 12; $i++) {
   45
       $l = Get-NetTCPConnection -LocalPort 22 -State Listen -ErrorAction SilentlyContinue
   46
       if ($l) { break }
   47
       Start-Sleep 5
   48
   }
   49
   Get-NetTCPConnection -LocalPort 22 -State Listen

9. Установите CloudBase-Init:

   1
   $msi = 'F:\CLOUDBAS.msi'
   2
   Start-Process msiexec.exe -ArgumentList "/i `"$msi`" /qn /norestart" -Wait

10. Создайте или отредактируйте файл C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf:

    1
    [DEFAULT]
    2
    username=Administrator
    3
    groups=Administrators
    4
    inject_user_password=true
    5
    config_drive_raw_hhd=true
    6
    config_drive_cdrom=true
    7
    config_drive_vfat=true
    8
    bsdtar_path=C:\Program Files\Cloudbase Solutions\Cloudbase-Init\bin\bsdtar.exe
    9
    mtools_path=C:\Program Files\Cloudbase Solutions\Cloudbase-Init\bin\
    10
    verbose=false
    11
    debug=false
    12
    logdir=C:\Program Files\Cloudbase Solutions\Cloudbase-Init\log\
    13
    logfile=cloudbase-init-unattend.log
    14
    default_log_levels=comtypes=INFO,suds=INFO,iso8601=WARN,requests=WARN
    15
    logging_serial_port_settings=COM2,115200,N,8
    16
    mtu_use_dhcp_config=true
    17
    ntp_use_dhcp_config=true
    18
    local_scripts_path=C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\
    19
    run_scripts_once=true
    20
    metadata_services=cloudbaseinit.metadata.services.nocloudservice.NoCloudConfigDriveService
    21
    plugins=cloudbaseinit.plugins.common.mtu.MTUPlugin,cloudbaseinit.plugins.common.sethostname.SetHostNamePlugin,cloudbaseinit.plugins.windows.extendvolumes.ExtendVolumesPlugin,cloudbaseinit.plugins.common.userdata.UserDataPlugin,cloudbaseinit.plugins.common.localscripts.LocalScriptsPlugin
    22
    allow_reboot=false
    23
    stop_service_on_exit=false
    24
    check_latest_version=false
    25
    first_logon_behaviour=always

11. Продублируйте файл для фазы подготовки ВМ:

    1
    $confDir = 'C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf'
    2
    Copy-Item -Force "$confDir\cloudbase-init.conf" "$confDir\cloudbase-init-unattend.conf"

12. Создайте скрипт для принудительной смены пароля при первом входе в ОС по пути C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\10-force-password-change-from-nocloud.ps1:

    Содержимое скрипта

    1
    $ErrorActionPreference = "Stop"
    2
    
    3
    function Write-Log {
    4
        param([string]$Message)
    5
        Write-Host "[LocalScripts][ForcePasswordChange] $Message"
    6
    }
    7
    
    8
    function Get-SeedDrive {
    9
        $volumes = Get-CimInstance Win32_LogicalDisk | Where-Object {
    10
            $_.DriveType -in @(2, 3, 5)
    11
        }
    12
    
    13
        foreach ($v in $volumes) {
    14
            try {
    15
                $root = "$($v.DeviceID)\"
    16
                $userDataPath = Join-Path $root "user-data"
    17
    
    18
                if ((Test-Path $userDataPath) -or ($v.VolumeName -match '^(?i:cidata|config-2)$')) {
    19
                    if (Test-Path $userDataPath) {
    20
                        Write-Log "Found seed drive: $root (label='$($v.VolumeName)')"
    21
                        return $root
    22
                    }
    23
                }
    24
            } catch {
    25
                continue
    26
            }
    27
        }
    28
    
    29
        throw "No NoCloud seed drive with user-data found"
    30
    }
    31
    
    32
    function Get-UsernameFromUserData {
    33
        param(
    34
            [Parameter(Mandatory = $true)]
    35
            [string]$Path
    36
        )
    37
    
    38
        $raw = Get-Content -Path $Path -Raw -Encoding UTF8
    39
        if ([string]::IsNullOrWhiteSpace($raw)) {
    40
            throw "user-data is empty"
    41
        }
    42
    
    43
        $match = [regex]::Match(
    44
            $raw,
    45
            '(?m)^\s*-\s*name\s*:\s*["'']?([^"''\r\n#]+)["'']?\s*$'
    46
        )
    47
    
    48
        if (-not $match.Success) {
    49
            throw "Could not find username in user-data"
    50
        }
    51
    
    52
        $username = $match.Groups[1].Value.Trim()
    53
        if ([string]::IsNullOrWhiteSpace($username)) {
    54
            throw "Parsed username is empty"
    55
        }
    56
    
    57
        return $username
    58
    }
    59
    
    60
    function Ensure-LocalUserExists {
    61
        param(
    62
            [Parameter(Mandatory = $true)]
    63
            [string]$Username
    64
        )
    65
    
    66
        try {
    67
            $null = Get-LocalUser -Name $Username -ErrorAction Stop
    68
        }
    69
        catch {
    70
            throw "Local user '$Username' not found"
    71
        }
    72
    }
    73
    
    74
    function Set-RequirePasswordChange {
    75
        param(
    76
            [Parameter(Mandatory = $true)]
    77
            [string]$Username
    78
        )
    79
    
    80
        Write-Log "Configuring password policy for '$Username'"
    81
    
    82
        $user = [ADSI]"WinNT://./$Username,user"
    83
    
    84
        $ADS_UF_DONT_EXPIRE_PASSWD = 0x10000
    85
        $flags = $user.UserFlags.Value
    86
    
    87
        if ($flags -band $ADS_UF_DONT_EXPIRE_PASSWD) {
    88
            Write-Log "Removing 'Password never expires' flag"
    89
            $user.UserFlags = $flags -bxor $ADS_UF_DONT_EXPIRE_PASSWD
    90
            $user.SetInfo()
    91
        }
    92
    
    93
        Write-Log "Requiring password change at next logon"
    94
        & net.exe user $Username /logonpasswordchg:yes
    95
    
    96
        if ($LASTEXITCODE -ne 0) {
    97
            throw "Failed to set logonpasswordchg for $Username"
    98
        }
    99
    }
    100
    
    101
    try {
    102
        $seedRoot = Get-SeedDrive
    103
        $userDataPath = Join-Path $seedRoot "user-data"
    104
    
    105
        Write-Log "Reading user-data: $userDataPath"
    106
        $username = Get-UsernameFromUserData -Path $userDataPath
    107
        Write-Log "Parsed username: $username"
    108
    
    109
        Ensure-LocalUserExists -Username $username
    110
        Set-RequirePasswordChange -Username $username
    111
    
    112
        Write-Log "Done"
    113
        exit 0
    114
    }
    115
    catch {
    116
        Write-Error $_.Exception.Message
    117
        exit 1
    118
    }

13. Создайте файл конфигурации sysprep C:\sysprep\unattend.xml и скопируйте в него следующее содержимое:

    Содержимое конфигурации sysprep

    1
    <?xml version="1.0" encoding="utf-8"?>
    2
    <unattend xmlns="urn:schemas-microsoft-com:unattend">
    3
        <settings pass="generalize">
    4
            <component name="Microsoft-Windows-PnpSysprep"
    5
                       processorArchitecture="amd64"
    6
                       publicKeyToken="31bf3856ad364e35"
    7
                       language="neutral"
    8
                       versionScope="nonSxS"
    9
                       xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
    10
                       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    11
                <PersistAllDeviceInstalls>true</PersistAllDeviceInstalls>
    12
            </component>
    13
        </settings>
    14
        <settings pass="oobeSystem">
    15
            <component name="Microsoft-Windows-Shell-Setup"
    16
                       processorArchitecture="amd64"
    17
                       publicKeyToken="31bf3856ad364e35"
    18
                       language="neutral"
    19
                       versionScope="nonSxS"
    20
                       xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State">
    21
                <OOBE>
    22
                    <HideEULAPage>true</HideEULAPage>
    23
                    <HideLocalAccountScreen>true</HideLocalAccountScreen>
    24
                    <HideOEMRegistrationScreen>true</HideOEMRegistrationScreen>
    25
                    <HideOnlineAccountScreens>true</HideOnlineAccountScreens>
    26
                    <HideWirelessSetupInOOBE>true</HideWirelessSetupInOOBE>
    27
                    <NetworkLocation>Work</NetworkLocation>
    28
                    <ProtectYourPC>1</ProtectYourPC>
    29
                    <SkipMachineOOBE>true</SkipMachineOOBE>
    30
                    <SkipUserOOBE>true</SkipUserOOBE>
    31
                </OOBE>
    32
                <TimeZone>UTC</TimeZone>
    33
            </component>
    34
        </settings>
    35
        <settings pass="specialize">
    36
            <component name="Microsoft-Windows-Deployment"
    37
                       processorArchitecture="amd64"
    38
                       publicKeyToken="31bf3856ad364e35"
    39
                       language="neutral"
    40
                       versionScope="nonSxS"
    41
                       xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State"
    42
                       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    43
                <RunSynchronous>
    44
                    <RunSynchronousCommand wcm:action="add">
    45
                        <Order>1</Order>
    46
                        <Path>cmd.exe /c ""C:\Program Files\Cloudbase Solutions\Cloudbase-Init\Python\Scripts\cloudbase-init.exe" --config-file "C:\Program Files\Cloudbase    Solutions\Cloudbase-Init\conf\cloudbase-init-unattend.conf" && exit 1 || exit 2"</Path>
    47
                        <Description>Run Cloudbase-Init to set the hostname</Description>
    48
                    </RunSynchronousCommand>
    49
                </RunSynchronous>
    50
            </component>
    51
        </settings>
    52
    </unattend>

    Sysprep используется для подготовки ОС к работе в облаке: сбрасывает SID, имя компьютера и историю устройств, а также выключает ВМ.

14. Запустите sysprep:

    1
    & $env:SystemRoot\System32\Sysprep\Sysprep.exe `
    2
        /oobe /generalize /quiet /shutdown `
    3
        /unattend:"C:\sysprep\unattend.xml"

По завершении ВМ выключится автоматически.

Для загрузки образа в облако установите утилиту AWS CLI:

1. Создайте сервисный аккаунт с правами storage.bucket.editor. Этот сервисный аккаунт будет использоваться для работы AWS CLI.

2. Для сервисного аккаунта создайте HMAC-ключ. Сохраните обе части HMAC-ключа — Access key и Secret key. Они понадобятся далее.

3. Скачайте и установите утилиту AWS CLI:

   1
   curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv.zip" && \
   2
   unzip awscliv.zip && \
   3
   sudo ./aws/install

4. Настройте AWS CLI:

   1
   aws configure

   Укажите следующие параметры:

   • AWS Access Key ID — значение Access key из HMAC-ключа (пример — _Ukpnpw3RiCx3iuPhn-t);
   • AWS Secret Access Key — значение Secret key из HMAC-ключа (пример — 3LIK2LbwYqER7oGr3cX4WSC31YN83yZnDgcXyjewX);
   • Default region name — ru-central1;
   • Default output format — text.

1. Создайте бакет Object Storage, в который будете загружать образ. В этом руководстве для примера используется имя бакета test-bucket:

   1
   aws s3 mb s3://test-bucket --endpoint-url https://storage.mwsapis.ru

   Результат успешного создания бакета:

   1
   make_bucket: test-bucket

2. Загрузите образ в бакет:

   1
   aws s3 cp image.qcow2 s3://test-bucket/win-server.qcow2 --endpoint-url https://storage.mwsapis.ru

   Дождитесь окончания загрузки.

Образ win-server.qcow2 сейчас загружен в бакет в виде файла. Чтобы использовать образ в качестве источника при создании новых ВМ, добавьте его в список пользовательских образов Compute.

Добавить образ можно двумя способами:

• С помощью утилит AWS CLI и MWS CLI. Для добавления образа будет сгенерирована специальная подписанная ссылка (presigned URL).
• С помощью веб-консоли и настройки политики доступа бакета.

Пользовательский образ станет доступен для выбора при создании ВМ.