Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS Black Belt Tech シリーズ 2016 - WorkSpaces

9,959 views

Published on

2016年2月17日に放送したAmazon WorkSpaces の資料です。今後の予定は以下をご覧ください。
http://aws.amazon.com/jp/about-aws/events/#webinar

Published in: Technology
  • Be the first to comment

AWS Black Belt Tech シリーズ 2016 - WorkSpaces

  1. 1. Amazon WorkSpaces AWS Black Belt Tech Webinar 2016 アマゾン ウェブ サービス ジャパン株式会社 ソリューションアーキテクト 渡邉源太
  2. 2. Agenda • Amazon WorkSpacesとは • セットアップと管理 • Amazon WorkSpaces Application Manager (WAM)
  3. 3. Administration & Security Access Control Identity Management Key Management & Storage Monitoring & Logs Resource & Usage Auditing Platform Services Analytics App Services Developer Tools & Operations Mobile Services Data Pipelines Data Warehouse Hadoop Real-time Streaming Data Application Lifecycle Management Container s Deployment DevOps Event-driven Computing Resource Templates Identity Mobile Analytics Push Notifications Sync App Streaming Email Queuing & Notifications Search Transcoding Workflow Core Services CDN Compute (VMs, Auto-scaling & Load Balancing) Databases (Relational, NoSQL, Caching) Networking (VPC, DX, DNS) Storage (Object, Block and Archival) Infrastructure Availability Zones Points of Presence Regions Enterprise Applications Business Email Sharing & Collaboration Virtual Desktop Technical & Business Support Account Management Partner Ecosystem Professional Services Security & Pricing Reports Solutions Architect s Support Training & Certification AWSが提供する40以上のサービス http://aws.amazon.com/jp/products/
  4. 4. エンタープライズアプリケーション 仮想デスクトップサービス マネージド型電子メール・カレンダー 企業向けファイル共有サービス
  5. 5. Amazon WorkSpaces • クラウドで動作するマネージド型仮想デスク トップコンピューテイングサービス – Windows/Mac/Chromebook/iPad/Kindle Fire/Androidタブ レットなど任意のデバイスからアクセス – マネジメントコンソールを数回クリックするだけでデスクトッ プをユーザー数を問わずに展開可能
  6. 6. グローバルなカバレッジ ヨーロッパ シンガポール アメリカ西海岸 東京 オーストラリア アメリカ東海岸
  7. 7. Amazon.comにおけるWorkSpaces展開 • ユーザーに近いリージョン • Direct Connectによるグ ローバル社内ネットワー クとの接続 • 既存のIPレンジを使用 • 必要に応じて社内ネット ワークへの接続を制限 • 将来の拡張性 Amazon.comグローバル社内ネットワーク (10.0.0.0/8) 10.44.192.0/20 10.44.208.0/20 10.44.224.0/20 10.44.240.0/20 TBD TBD 大規模にAmazon WorkSpacesを展開中 20万以上のユーザー
  8. 8. 自社構築 vs. EC2 vs. フルマネージド 電力、空調、ネット ラック、マウント サーバメンテ OS パッチ ソフト パッチ バックアップ スケーリング 冗長化 ソフト インストール OS インストール アプリ インストール オンプレミス XenDesktop on AWS WorkSpaces お客様がご担当する作業 AWSが提供するマネージド機能 電力、空調、ネット ラック、マウント サーバメンテ OS パッチ ソフト パッチ バックアップ スケーリング 冗長化 ソフト インストール OS インストール アプリ インストール 電力、空調、ネット ラック、マウント サーバメンテ OS パッチ ソフト パッチ バックアップ スケーリング 冗長化 ソフト インストール OS インストール アプリ インストール
  9. 9. WorkSpacesバンドル Value 1vCPU 2GiB Memory 10GB User Storage Standard 2vCPU 4GiB Memory 50GB User Storage Performance 2vCPU 7.5GiB Memory 100GB User Storage Plus Microsoft Office Professional 2010/2013 Trend Microビジネスセキュリティクライアント +
  10. 10. クライアントOS対応:BYOL WorkSpaces • Windows 7のライセンスが利用可能 ライセンスコストの削減 – 共有のユーザエクスペエンス – カスタムイメージの管理を改善 – MS OfficeのBYOLも可能 • 価格と要件 – すべてのリージョンで、バンドル価格を $4/月 削減 – 200台の利用から 専有のハードウエア
  11. 11. • iPad • Kindle Fire HDX • Android Tablet • Microsoft Windows • Mac • PCoIP ゼロクライアント • Chromebook ←New! 多様なデバイスへの対応
  12. 12. オーディオ入力と高DPIデバイス • オーディオ入力 – Lync、Skype、WebExなどの一般的なコミュニケーションツー ルを使用してコールが可能 – WindowsとMac用のWorkSpacesクライアントをサポート • 高DPIデバイスのサポート – Surface Pro 4やLenovo Yogaのようなデバイスに対応 – 高DPI(Full HD/Ultra HD/QHD+)ディスプレイにあわせて自 動的にスケール http://aws.typepad.com/aws_japan/2016/01/amazon-workspaces-update-support-for-audio-in-high-dpi- devices-and-saved-registrations.html
  13. 13. Active Directoryとの統合 • AWS Directory Service – ユーザー: 既存のエンタープライズの認証を利用 – IT管理者: 通常のデスクトップのようにワークスペースをコントロール
  14. 14. AWS Directory Service • フルマネージド型のディレクトリサービス – AWS上のスタンドアロンのディレクトリを新規に作成 – 既存のActive Directory認証を利用して: • AWSアプリケーションへのアクセス(Amazon WorkSpaces, WorkDocs, WorkMail) • IAMロールによるAWS Management Consoleへのアクセス
  15. 15. AWS上の新規ディレクトリ AWS Directory Service 既存のディレクトリをAWSに 接続 Simple AD AD Connector Samba 4がベース カスタムのフェデレーションプロキシ On-premises
  16. 16. AWS上の新規ディレクトリ AWS Directory Service 既存のディレクトリとの信頼関係 Microsoft AD Windows Server 2012 R2 On-premises
  17. 17. Agenda • Amazon WorkSpacesとは • セットアップと管理 • Amazon WorkSpaces Application Manager (WAM)
  18. 18. Amazon WorkSpacesセットアップ • Quick Setup – 必要な環境を自動的に作成 – 20分でWorkSpaceを利用可能 – 初回セットアップ時のみ • Advanced Setup – VPCやディレクトリの選択が可能 – 社内Active Directoryとの統合
  19. 19. Quick Setup • WorkSpaces Bundleを選択 • ユーザーを作成してワークスペースのプロビジョンを開始
  20. 20. WorkSpaceのステータス確認 • 20分ほどでStatusが「Pending」から 「Running」に変わったら完了 • ユーザーにメールで通知される
  21. 21. メールの受信とユーザーの登録 • メールを受信したらリンク先をブラウザで開い てパスワードを設定
  22. 22. WorkSpacesクライアントのダウンロード • http://clients.amazonworkspaces.comから ダウンロード可能
  23. 23. WorkSpacesクライアント • サポートするプラットフォーム – Windows 7以降 – Mac OS X 10.8.1以降 – iOS 7.0以降 – Android 4.2以降 – Kindle Fire HDXまたはHD 7 – Chrome OSバージョン45以降のChromebook • クライアントポート – TCP/UDP 4172 – TCP 443 (HTTPS) – RTT 100ms以下を推奨
  24. 24. Registration Code(登録コード)の入力 • 登録コードを入力する ことにより異なるディ レクトリに接続するこ とが可能 – 登録コードはディレクトリご とに固有のID – 入力した登録コードは保存さ れる
  25. 25. 言語の選択とプロキシサポート • WorkSpacesクライアント の言語設定 – English – 日本語 • WorkSpacesクライアント からプロキシを設定可能 – 社内ネットワークからのプロキシ 接続に対応 – WindowsまたはMac OS X
  26. 26. ネットワークヘルスチェック • WorkSpacesクライアントに ネットワークヘルスチェック の機能を追加 – ネットワーク接続 – インターネット接続 – WorkSpacesと関連する登録サービス へのアクセス – TCP/UDP 4172 – 往復時間
  27. 27. PCoIPゼロクライアントの有効化 • AWS Marketplaceから Teradici PCoIP Connection Manager for Amazon WorkSpacesを VPCにデプロイして設定 • ファームウェアバージョ ン 4.6.0以降のTera 2ゼ ロクライアントデバイス からPCoIP Connection Managerに接続 http://www.teradici.com/web-help/Connecting_ZC_AWS_HTML5/TER1408002_Connecting_ZC_AWS.htm#03_DeployPCM.htm
  28. 28. WorkSpacesへの接続
  29. 29. ドライブの暗号化 • WorkSpacesのボリュームを暗号化 – AES-256 bit 暗号化 – AWS KMS サービスと統合 – カスタマーのKMS キーによる暗号化 – キー1つあたり、30台のWorkSpacesを暗号化可能 – CドライブおよびDドライブに対応 – パフォーマンスへの影響なし • 課金 – Amazon WorkSpaces側には追加料金なし – KMSキーは課金 • 10,000 リクエストあたり、$0.03
  30. 30. ユーザーデータのバックアップ • ユーザーボリューム(D:)は12時間おきにバック アップされる • WorkSpaceに障害が発生した場合、バックアップ からボリュームを復旧 • Amazon WorkDocs同期クライアントが有効になっ ている場合、同期を選択したフォルダは継続的に バックアップされる
  31. 31. Amazon WorkDocs同期クライアント • デスクトップのフォルダをAmazon WorkDocs サービスと同期 – ユーザーあたり50GB – 管理者により有効・無効化することが可能 • Amazon WorkDocs同期アプリケーションを別 途導入して実行 Client Amazon WorkSpaces Internet Amazon WorkDocs http://docs.aws.amazon.com/ja_jp/workdocs/latest/userguide/sync_client_help.html
  32. 32. WorkSpacesバンドルの管理 • カスタムイメージを作成してアプリケーション をインストール済みのカスタムバンドルを利用 可能 • 要件 – インストールするアプリケーションがSysprepと互換性がある – WorkSpaceのユーザープロファイルを削除しない – ユーザープロファイルの合計サイズが10GB未満 – ドメインユーザー認証を利用するサービスが存在しない(SQL Server Expressなど) http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/bundles.html
  33. 33. Custom Imageの作成(1/2) • ワークスペースにアプリケーションをインストールして、 [Actions]から[Create Image]を選択 [Create Image]を選択
  34. 34. Custom Imageの作成(2/2) • [Image Name][Description]を入力し、Custom Imageを作成 1.[Next]をクリック 2. [Image Name]を入力 3.[Description]を入力 4.[Create Image]を選択
  35. 35. Custom Bundleの作成 • [WorkSpaces Images]タブから、Custom Bundleを作成 2. [Image Name]を入力 3.[Description]を入力 5.[Create Bundle]を選択 1. [Create Bundle]を選択 4.[Hardware Type]を入力
  36. 36. イメージ作成のベストプラクティス • Cドライブにアプリケーションをインストールするために十分な容 量があること • OSとアプリケーションの最新の更新プログラムやパッチをすべて インストールする • 必要のないキャッシュされたデータをWorkSpaceから削除する – ブラウザの履歴、キャッシュファイル、ブラウザのCookieなど • イメージを識別しやすくなるためにイメージ名に日付やバージョン などをふくめて管理する http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/images.html
  37. 37. ディレクトリの管理 • デフォルトの組織単位(OU) – デフォルトでは Computer OU にコンピュータが作成される – 特定の OU を指定して変更することが可能 • セキュリティグループの追加 – WorkSpaces の Security Group を指定 – デフォルトの Security Group とあわせて有効になる • インターネットアクセス – パブリックIPアドレスの有効・無効を設定 • ローカル管理者の設定 – ユーザーにローカル管理者権限を付与 http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/using_cloud_directory.html
  38. 38. 多要素認証(MFA) • オンプレミスの RADIUS サーバーを利用した 多要素認証(MFA)に対応 – ユーザー名とパスワードに加えてワンタイム パスワード等の 利用が可能 • PAP/CHAP/MS-CHAP1/MS-CHAP2 をサポー ト – Symantec Validation and ID Protection Service (VIP) – Microsoft RADIUS Server
  39. 39. (例) Google Authenticatorを使った方法 • スマートフォンに無料でインストールできる Google Authenticator をソフトウェアトークンとして使用する。 • サーバ側は、オープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させて実現させる。 • http://aws.typepad.com/sajp/2014/10/google- authenticator.html ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
  40. 40. ネットワーク • それぞれのWorkSpaceは2つのネットワークイン ターフェースをもつ – VPCおよびインターネット接続用ネットワーク – WorkSpace管理用および画面転送用ネットワーク • 管理用ネットワークでは以下のポートを利用する – インバウンド • TCP/UDP 4172 • TCP 8200 – アウトバウンド • UDP 55002 http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/admin_details.html
  41. 41. ネットワーク要件 • ドメイン コントローラーと疎 通を行うために、以下のポート の開放が必要 – TCP/UDP 53 - DNS – TCP/UDP 88 - Kerberos 認証 – TCP 135 - RPC – TCP/UDP 389 - LDAP – TCP/UDP 445 - SMB – TCP 464 - Kerberos パスワードの変更/設定 – TCP 636 - LDAPS (LDAP over TLS/SSL) – TCP 1024-65535 - RPC 用ダイナミックポー ト – UDP 123 - NTP – UDP 137-139 - Netlogon – UDP 464 - Kerberos パスワードの変更/設定 • DirectoryServicePortTest テストアプリケーションを 利用して接続の確認が可能 – DirectoryServicePortTest.exe -d <domain_name> -ip <server_IP_address> -tcp "53,88,135,389,445,464,636,3268,32 69,5722,9389" -udp "53,88,123,138,389,445,464“ – http://docs.aws.amazon.com/director yservice/latest/adminguide/samples/ DirectoryServicePortTest.zip
  42. 42. Amazon WorkSpacesへのアクセス • クライアントからの接続はインターネット経由で行われるため、PCoIP GatewayのIPアドレス範囲に対してTCP/UDP 4172をオープンする Subnet 2 Subnet 1 AZ ‘A’ AZ ‘B’ Workspaces API End-point OAuth Gateway Public IP Secure Auth (443) Public IP WS User1 Public IP WS User2 Connect Proxy Connect Proxy PCoIP(TCP/UDP4172) http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/admin_details.html
  43. 43. Connection Health Check サイト https://clients.amazonworkspaces.com/Health.html
  44. 44. Direct Connectによる専用線からのアクセス • DXのパブリック接続を利用することにより画面転送も専用線経由に お客様拠点 プライベートネットワーク WorkSpaces API Endpoint AWS Cloud AS65000 AS10124(※) S3 インターネット 外部ネットワーク/DMZ 内部ネットワーク パブリック接続 プライベート接続 Workspacesの ノード自身の通信 認証・画面転送 ※東京リージョンの場合
  45. 45. インターネットへの接続 • WorkSpacesがインターネット接続するために はNATもしくはPublic IPアドレスの付与が必要 – Public IP Addressパターン – Managed NATパターン – On-Premise Firewallパターン • ディレクトリ設定からインターネットアクセス を設定可能
  46. 46. 構成例:Public IP Addressパターン • ワークスペースにPublic IPアドレスを付与する ことで直接インターネットアクセスへ可能 AWS Cloud Virtual Private CloudAvailability Zone Availability Zone Router Internet Gateway Internet http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/cloud_eip.html
  47. 47. 構成例:Managed NATパターン • Managed NATを経由してインターネットへア クセス AWS Cloud Virtual Private Cloud Availability Zone Availability Zone Router NAT Internet Gateway Internet Router NAT http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/cloud_nat.html
  48. 48. 構成例:On-Premise Firewallパターン • インターネットへの接続ポリシーをオンプレミ スのファイアウォールでコントロール可能 AWS Cloud Virtual Private Cloud Availability Zone Availability Zone Router Virtual Private Gateway VPN Connection Customer Gateway Corporate Data center Internet http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/connect_customer_network.html
  49. 49. ローカルプリンターへの印刷 • ワークスペースからWindowsまたはMacに接続さ れているローカルおよびネットワークプリンターに 印刷することが可能 – ローカルプリンターは自動的に認識される(Local – <workspace username>.<directory name>.<client computer name>) – Windows Server 2008 R2用のドライバをインストールする必要 がある • その他の印刷方法 – Active Directoryに登録されたネットワークプリンタ – Google Cloud Printなどのクラウドプリント http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/printing.html
  50. 50. グループポリシーによる制御 • グループポリシー管理テンプレートをインス トールすることによりAmazon WorkSpaces固 有のポリシー設定を変更可能 – C:Program Files (x86)TeradiciPCoIP Agentconfigurationpcoip.adm • 以下のような項目がグループポリシーから制御 可能 – ローカルプリンターのサポート – クリップボードのリダイレクト http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/group_policy.html
  51. 51. Amazon WorkSpaces API • AWS SDKやCLI、PowerShellからWorkSpacesの作成・表示やメ ンテナンスが実行可能 – オペレーションの自動化 – ディザスタリカバリイメージの展開 • AWS CloudTrailによるロギングをサポート http://docs.aws.amazon.com/ja_jp/workspaces/latest/devguide/welcome.html
  52. 52. Windows PowerShellによるWorkSpacesの作成 • バンドルIDの取得 • ディレクトリIDの取得 • WorkSpacesの作成 http://aws.typepad.com/sajp/2015/09/aws-toolkit-for-windows-powershell-amazon-workspaces-operation.html $workspaces = @{"BundleID" = $bundleId; "DirectoryId" = $directoryId; "UserName" = $username} New-WKSWorkspace -Workspace $workspaces $bundleId = (Get-WKSWorkspaceBundles -Owner AMAZON | Where-Object - FilterScript {$_.Name -eq "Value(Japanese)"}).BundleId $directoryname = "test.example.com" $directoryId = (Get-WKSWorkspaceDirectories | Where- Object -FilterScript {$_.DirectoryName -eq $directoryname}).DirectoryId
  53. 53. CloudWatchメトリックス • 以下のメトリックスを取得 可能 – Available – Unhealthy – ConnectionAttempt – ConnectionSuccess – ConnectionFailure – SessionLaunchTime – InSessionLatency – SessionDisconnect CloudWatchコンソールまたはCLI、APIを使用してモニタリングお よびアラートの設定が可能 http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/monitoring.html
  54. 54. Agenda • Amazon WorkSpacesとは • セットアップと管理 • Amazon WorkSpaces Application Manager (WAM)
  55. 55. Amazon WorkSpaces Application Manager (WAM) • Amazon WorkSpaces向けのアプリケーション をデプロイおよび管理 – Windowsアプリケーションを仮想化されたコンテナにパッケー ジ – AWS Marketplace for Desktop Appsの利用
  56. 56. Amazon WAMオーバービュー WorkSpaces Amazon WAM カタログ アプリの デプロイ for Desktop Apps ライセンスを所有しているアプリ ケーション 特定業務向けアプ リケーション さまざまな種類のアプリケーションを提供
  57. 57. Amazon WAM利用イメージ
  58. 58. WAMカタログの作成 • アプリケーションの アップロード – 独自のアプリケーション をパッケージ化して提供 – Admin Studioおよび Admin Playerによりア プリケーションをコンテ ナにパッケージして検証 • AWS Marketplace for Desktop Appsからの サブスクリプション – AWS Marketplace for Desktop Appsに登録さ れているアプリケーショ ンを選択して利用 – アプリケーション開発、 イラストおよびデザイン、 オフィスアプリなど
  59. 59. アプリケーションのパッケージ化 • パッケージ用のIAMロールの作成 – AmazonWamAppPackagingという名前でIAMロールを作成しEC2 のAmazonWorkSpacesApplicationManagerAdminAccess ポリシーをアタッチ • Admin Studio 1.0 – Amazon WAMのAMIを選択 してEC2インスタンスを起動 – VPCのPublic Subnetを選択 – IAMロールにAmazonWamAppPackagingを指定 • インスタンスに接続してAmazon WAM Admin Studioを起動
  60. 60. アプリケーションパッケージの検証 • Admin Player 1.0 – Amazon WAMのAMIを選 択してEC2インスタンスを起動 – VPCのPublic Subnetを選択 – IAMロールにAmazonWamAppPackagingを指定 • インスタンスに接続してAmazon WAM Admin Playerを起動
  61. 61. アプリケーションのアップロード • Amazon WorkSpacesのManagement パッ ケージ化したアプリケーションをアプリケー ションカタログに追加 • カタログからアプリケーションを選択してユー ザーまたはグループにアサイン – Required(必須)またはOptional(任意)が選択可能 – Requiredを選択するとアプリケーションは自動的にインストー ルされる
  62. 62. AWS Marketplace for Desktop Apps • Amazon WorkSpaces用のデスクトップアプリケーショ ンのためのAWS Marketplaceの新しいカテゴリ – 10以上のカテゴリのアプリケーションを選択してWorkSpacesにデプ ロイ – 月単位のサブスクリプションでデスクトップアプリケーションを利用 可能
  63. 63. 11カテゴリに100以上のアプリケーションが利用可能 • ビジネスインテリジェンス (BI) • アプリケーション/Web開発 • ユーティリティ • 位置情報/地図 • 生産性/コラボレーション • プロジェクト管理 • イラスト/デザイン • CAD/CAM • セキュリティ/ストレージ/アーカ イブ • アカウンティング • メディア/エンコーディング https://aws.amazon.com/marketplace/cp/WAMProducts
  64. 64. 利用可能なリージョン • US East(北バージニア) • US West(オレゴン) • EU (アイルランド)
  65. 65. まとめ • Amazon WorkSpacesはマネージド型の仮想デスク トップコンピューティングサービス – Amazon WorkDocsとの連携でドキュメントの同期およびバック アップに対応 • AWS Directory Serviceにより新規ディレクトリの 構築および既存ディレクトリとの連携が可能 • Amazon WorkSpaces Application Manager (WAM)によりアプリケーションの配布・管理が 容易に
  66. 66. 参考資料 • Amazon WorkSpaces Administration Guide – http://docs.aws.amazon.com/workspaces/latest/adminguide/w hat_is.html • Amazon WorkSpacesのよくある質問 – http://aws.amazon.com/jp/workspaces/faqs/ • 料金表 – http://aws.amazon.com/jp/glacier/pricing/
  67. 67. Webinar資料の配置場所 • AWS クラウドサービス活用資料集 – http://aws.amazon.com/jp/aws-jp-introduction/

×