Weitere ähnliche Inhalte Ähnlich wie AWS Black Belt Tech シリーズ 2016 - WorkSpaces (20) Mehr von Amazon Web Services Japan (20) Kürzlich hochgeladen (12) AWS Black Belt Tech シリーズ 2016 - WorkSpaces3. Administration
& Security
Access
Control
Identity
Management
Key Management
& Storage
Monitoring
& Logs
Resource &
Usage Auditing
Platform
Services
Analytics App Services Developer Tools & Operations Mobile Services
Data
Pipelines
Data
Warehouse
Hadoop
Real-time
Streaming Data
Application
Lifecycle
Management
Container
s
Deployment
DevOps
Event-driven
Computing
Resource
Templates
Identity
Mobile
Analytics
Push
Notifications
Sync
App
Streaming
Email
Queuing &
Notifications
Search
Transcoding
Workflow
Core
Services
CDN
Compute
(VMs, Auto-scaling
& Load Balancing)
Databases
(Relational,
NoSQL, Caching)
Networking
(VPC, DX, DNS)
Storage
(Object, Block
and Archival)
Infrastructure
Availability
Zones
Points of
Presence
Regions
Enterprise
Applications
Business
Email
Sharing &
Collaboration
Virtual
Desktop
Technical &
Business Support
Account
Management
Partner
Ecosystem
Professional
Services
Security &
Pricing Reports
Solutions
Architect
s
Support
Training &
Certification
AWSが提供する40以上のサービス
http://aws.amazon.com/jp/products/
7. Amazon.comにおけるWorkSpaces展開
• ユーザーに近いリージョン
• Direct Connectによるグ
ローバル社内ネットワー
クとの接続
• 既存のIPレンジを使用
• 必要に応じて社内ネット
ワークへの接続を制限
• 将来の拡張性
Amazon.comグローバル社内ネットワーク
(10.0.0.0/8)
10.44.192.0/20
10.44.208.0/20
10.44.224.0/20
10.44.240.0/20
TBD
TBD
大規模にAmazon
WorkSpacesを展開中
20万以上のユーザー
8. 自社構築 vs. EC2 vs. フルマネージド
電力、空調、ネット
ラック、マウント
サーバメンテ
OS パッチ
ソフト パッチ
バックアップ
スケーリング
冗長化
ソフト インストール
OS インストール
アプリ インストール
オンプレミス XenDesktop on AWS WorkSpaces
お客様がご担当する作業 AWSが提供するマネージド機能
電力、空調、ネット
ラック、マウント
サーバメンテ
OS パッチ
ソフト パッチ
バックアップ
スケーリング
冗長化
ソフト インストール
OS インストール
アプリ インストール
電力、空調、ネット
ラック、マウント
サーバメンテ
OS パッチ
ソフト パッチ
バックアップ
スケーリング
冗長化
ソフト インストール
OS インストール
アプリ インストール
11. • iPad
• Kindle Fire HDX
• Android Tablet
• Microsoft Windows
• Mac
• PCoIP ゼロクライアント
• Chromebook ←New!
多様なデバイスへの対応
14. AWS Directory Service
• フルマネージド型のディレクトリサービス
– AWS上のスタンドアロンのディレクトリを新規に作成
– 既存のActive Directory認証を利用して:
• AWSアプリケーションへのアクセス(Amazon WorkSpaces,
WorkDocs, WorkMail)
• IAMロールによるAWS Management Consoleへのアクセス
23. WorkSpacesクライアント
• サポートするプラットフォーム
– Windows 7以降
– Mac OS X 10.8.1以降
– iOS 7.0以降
– Android 4.2以降
– Kindle Fire HDXまたはHD 7
– Chrome OSバージョン45以降のChromebook
• クライアントポート
– TCP/UDP 4172
– TCP 443 (HTTPS)
– RTT 100ms以下を推奨
27. PCoIPゼロクライアントの有効化
• AWS Marketplaceから
Teradici PCoIP
Connection Manager for
Amazon WorkSpacesを
VPCにデプロイして設定
• ファームウェアバージョ
ン 4.6.0以降のTera 2ゼ
ロクライアントデバイス
からPCoIP Connection
Managerに接続
http://www.teradici.com/web-help/Connecting_ZC_AWS_HTML5/TER1408002_Connecting_ZC_AWS.htm#03_DeployPCM.htm
29. ドライブの暗号化
• WorkSpacesのボリュームを暗号化
– AES-256 bit 暗号化
– AWS KMS サービスと統合
– カスタマーのKMS キーによる暗号化
– キー1つあたり、30台のWorkSpacesを暗号化可能
– CドライブおよびDドライブに対応
– パフォーマンスへの影響なし
• 課金
– Amazon WorkSpaces側には追加料金なし
– KMSキーは課金
• 10,000 リクエストあたり、$0.03
31. Amazon WorkDocs同期クライアント
• デスクトップのフォルダをAmazon WorkDocs
サービスと同期
– ユーザーあたり50GB
– 管理者により有効・無効化することが可能
• Amazon WorkDocs同期アプリケーションを別
途導入して実行
Client Amazon
WorkSpaces
Internet Amazon
WorkDocs
http://docs.aws.amazon.com/ja_jp/workdocs/latest/userguide/sync_client_help.html
35. Custom Bundleの作成
• [WorkSpaces Images]タブから、Custom Bundleを作成
2. [Image Name]を入力
3.[Description]を入力
5.[Create Bundle]を選択
1. [Create Bundle]を選択
4.[Hardware Type]を入力
37. ディレクトリの管理
• デフォルトの組織単位(OU)
– デフォルトでは Computer OU にコンピュータが作成される
– 特定の OU を指定して変更することが可能
• セキュリティグループの追加
– WorkSpaces の Security Group を指定
– デフォルトの Security Group とあわせて有効になる
• インターネットアクセス
– パブリックIPアドレスの有効・無効を設定
• ローカル管理者の設定
– ユーザーにローカル管理者権限を付与
http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/using_cloud_directory.html
38. 多要素認証(MFA)
• オンプレミスの RADIUS サーバーを利用した
多要素認証(MFA)に対応
– ユーザー名とパスワードに加えてワンタイム パスワード等の
利用が可能
• PAP/CHAP/MS-CHAP1/MS-CHAP2 をサポー
ト
– Symantec Validation and ID Protection Service (VIP)
– Microsoft RADIUS Server
39. (例) Google Authenticatorを使った方法
• スマートフォンに無料でインストールできる
Google Authenticator
をソフトウェアトークンとして使用する。
• サーバ側は、オープンソースのFreeRADIUSと
Google AuthenticatorのPAM(Pluggable Authentication
Module)を連携させて実現させる。
• http://aws.typepad.com/sajp/2014/10/google-
authenticator.html
※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
41. ネットワーク要件
• ドメイン コントローラーと疎
通を行うために、以下のポート
の開放が必要
– TCP/UDP 53 - DNS
– TCP/UDP 88 - Kerberos 認証
– TCP 135 - RPC
– TCP/UDP 389 - LDAP
– TCP/UDP 445 - SMB
– TCP 464 - Kerberos パスワードの変更/設定
– TCP 636 - LDAPS (LDAP over TLS/SSL)
– TCP 1024-65535 - RPC 用ダイナミックポー
ト
– UDP 123 - NTP
– UDP 137-139 - Netlogon
– UDP 464 - Kerberos パスワードの変更/設定
• DirectoryServicePortTest
テストアプリケーションを
利用して接続の確認が可能
– DirectoryServicePortTest.exe -d
<domain_name> -ip
<server_IP_address> -tcp
"53,88,135,389,445,464,636,3268,32
69,5722,9389" -udp
"53,88,123,138,389,445,464“
– http://docs.aws.amazon.com/director
yservice/latest/adminguide/samples/
DirectoryServicePortTest.zip
46. 構成例:Public IP Addressパターン
• ワークスペースにPublic IPアドレスを付与する
ことで直接インターネットアクセスへ可能
AWS Cloud
Virtual Private CloudAvailability Zone
Availability Zone
Router Internet
Gateway
Internet
http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/cloud_eip.html
47. 構成例:Managed NATパターン
• Managed NATを経由してインターネットへア
クセス
AWS Cloud
Virtual Private Cloud
Availability Zone
Availability Zone
Router NAT
Internet
Gateway
Internet
Router NAT
http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/cloud_nat.html
51. Amazon WorkSpaces API
• AWS SDKやCLI、PowerShellからWorkSpacesの作成・表示やメ
ンテナンスが実行可能
– オペレーションの自動化
– ディザスタリカバリイメージの展開
• AWS CloudTrailによるロギングをサポート
http://docs.aws.amazon.com/ja_jp/workspaces/latest/devguide/welcome.html
52. Windows PowerShellによるWorkSpacesの作成
• バンドルIDの取得
• ディレクトリIDの取得
• WorkSpacesの作成
http://aws.typepad.com/sajp/2015/09/aws-toolkit-for-windows-powershell-amazon-workspaces-operation.html
$workspaces = @{"BundleID" = $bundleId; "DirectoryId" = $directoryId;
"UserName" = $username}
New-WKSWorkspace -Workspace $workspaces
$bundleId = (Get-WKSWorkspaceBundles -Owner AMAZON | Where-Object -
FilterScript {$_.Name -eq "Value(Japanese)"}).BundleId
$directoryname = "test.example.com"
$directoryId = (Get-WKSWorkspaceDirectories | Where-
Object -FilterScript {$_.DirectoryName -eq
$directoryname}).DirectoryId
53. CloudWatchメトリックス
• 以下のメトリックスを取得
可能
– Available
– Unhealthy
– ConnectionAttempt
– ConnectionSuccess
– ConnectionFailure
– SessionLaunchTime
– InSessionLatency
– SessionDisconnect
CloudWatchコンソールまたはCLI、APIを使用してモニタリングお
よびアラートの設定が可能
http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/monitoring.html
55. Amazon WorkSpaces Application Manager
(WAM)
• Amazon WorkSpaces向けのアプリケーション
をデプロイおよび管理
– Windowsアプリケーションを仮想化されたコンテナにパッケー
ジ
– AWS Marketplace for Desktop Appsの利用
60. アプリケーションパッケージの検証
• Admin Player 1.0 – Amazon WAMのAMIを選
択してEC2インスタンスを起動
– VPCのPublic Subnetを選択
– IAMロールにAmazonWamAppPackagingを指定
• インスタンスに接続してAmazon WAM Admin
Playerを起動
62. AWS Marketplace for Desktop Apps
• Amazon WorkSpaces用のデスクトップアプリケーショ
ンのためのAWS Marketplaceの新しいカテゴリ
– 10以上のカテゴリのアプリケーションを選択してWorkSpacesにデプ
ロイ
– 月単位のサブスクリプションでデスクトップアプリケーションを利用
可能
66. 参考資料
• Amazon WorkSpaces Administration Guide
– http://docs.aws.amazon.com/workspaces/latest/adminguide/w
hat_is.html
• Amazon WorkSpacesのよくある質問
– http://aws.amazon.com/jp/workspaces/faqs/
• 料金表
– http://aws.amazon.com/jp/glacier/pricing/