Amazon WorkSpaces Deep Dive

4,868 views

Published on

Published in: Technology

Amazon WorkSpaces Deep Dive

  1. 1. Amazon WorkSpaces Deep Dive アマゾンデータサービスジャパン株式会社
  2. 2. Amazon Workspaces クラウドで動作する完全マネージド型のデスクトップコ ンピューテイングサービス ノートPC、iPad、Kindle Fire、Androidタブレットなど 任意のデバイスからアクセス マネジメントコンソールを数回クリックするだけでデス クトップをユーザー数を問わずに展開可能
  3. 3. Getting Started
  4. 4. Amazon WorkSpacesセットアップ Quick Setup • 必要な環境を自動的に作成 • 当初はこのモードのみ利⽤可能 Advanced Setup • ディレクトリの選択が可能
  5. 5. Quick Setup WorkSpacesバンドルを選択 ユーザーを作成してWorkSpaceのプロビジョンを開始
  6. 6. WorkSpacesバンドル
  7. 7. WorkSpaceのステータス確認 20分ほどでStatusが「Pending」から「Running」に変 わったら完了 ユーザーにメールで通知される
  8. 8. メールの受信とユーザーの登録 メールを受信したらリンク先をブラウザで開いてパス ワードを設定
  9. 9. WorkSpacesクライアントのダウンロード http://clients.amazonworkspaces.comからダウン ロード可能
  10. 10. WorkSpacesへの接続 11
  11. 11. Quick Setupの詳細 Quick Setupによって以下のプロセスが自動的に実⾏さ れる • WorkSpaces⽤のVPCを作成 • VPC内にユーザーとWorkSpace管理⽤のディレクトリをセット アップ • ディレクトリ管理者アカウントの作成 • ユーザーアカウントの作成とディレクトリへの追加 • WorkSpaceインスタンスの作成 • ユーザーへの招待メールの送信
  12. 12. Quick Setupで作成される環境 ・・・ VPC Subnet Availability Zone ・・・ Availability Zone Virtual Private Cloud AWS Cloud Internet Gateway Domain Controller VPC Subnet Domain Controller WorkSpaces WorkSpaces Internet Client Mobile Client WorkSpaces WorkSpaces
  13. 13. Advanced Setup 既存のVPCやオンプレミスのActive Directoryとの連携 を⾏う場合はこちらを選択 以下の⼿順を⼿動で⾏う • WorkSpaces⽤のVPCの作成 • ディレクトリの作成 • WorkSpaceのプロビジョニング
  14. 14. ディレクトリの選択 WorkSpaces Cloud Directory • フルマネージドのディレクトリサービス WorkSpaces Connect • 既存のディレクトリへの接続
  15. 15. WorkSpaces Cloud Directory Active Directoryドメインと管理者アカウントを作成す る
  16. 16. VPC Details ディレクトリを作成するVPCを選択 • VPCには異なるAvailability Zoneに2つ以上のSubnetが存在す る必要がある
  17. 17. 作成されたCloud Directory Domain ControllerはMulti-AZ構成で複数のSubnetに 展開される • EC2 Consoleには表示されない Active Directoryの管理ツールから操作可能 • Redircmp.exe • イベントビューア • Active Directoryユーザとコンピュータ Domain Controller Domain Controller Availability Zone Availability Zone Virtual Private Cloud
  18. 18. WorkSpaces Connect オンプレミスのActive Directoryと接続してディレクト リ認証を⾏う仕組み 前提として必要となるもの • Amazon VPC • Internet Gateway • VPN接続またはDirect Connect • ドメインアカウント • ユーザーとグループへの読み取り • コンピュータオブジェクトの作成 • オンプレミスのDNSサーバーまたはドメインコントローラー2台 のIPアドレス
  19. 19. WorkSpaces Connectの作成 オンプレミスのActive Directoryドメイン情報を⼊⼒
  20. 20. 作成されたWorkSpaces Connect VPC上に読み取り専⽤ドメインコントローラー (RODC)が作成される • ディレクトリ情報をVPN接続を経由してレプリケーション • 既存のユーザー認証およびポリシーを適⽤可能 Read-only Domain Controller Read-only Domain Controller Availability Zone Availability Zone Virtual Private Cloud VPN Gateway Customer Gateway Domain Controller Corporate Data center
  21. 21. WorkSpacesのプロビジョニング ディレクトリを選択して接続 • WorkSpaces Syncの利⽤を許可するかどうか設定することがで きる
  22. 22. WorkSpacesユーザーの作成 新規にユーザーを作成、またはディレクトリからユー ザーを選択
  23. 23. WorkSpaceバンドルの選択 4種類のWorkSpaceバンドルから選択
  24. 24. WorkSpaceインスタンス 中身はEC2 Windowsインスタンス • Windows Server 2008 R2 SP1 • Intel Xeon E5-2670 • Ivy Bridgeマイクロアーキテクチャ ユーザーデータ⽤のボリュームはEBSで構成される • Snapshot機能は12時間に1度 WorkSpaces Volume Snapshot VPC Subnet
  25. 25. ネットワークインターフェース それぞれのWorkSpaceは2つのネットワークインター フェース(ENI)をもつ • VPCおよびインターネット接続⽤ネットワーク • WorkSpace管理⽤および画⾯転送⽤ネットワーク 管理⽤ネットワークでは以下のポートを利⽤する • インバウンド • TCP/UDP 4172 • TCP 8200 • アウトバウンド • UDP 55000
  26. 26. 構成1:NATインスタンスの利⽤ WorkSpacesがインターネット接続するためにはNATイ ンスタンスもしくはEIPの付与が必要
  27. 27. 構成2:NATインスタンスとVPN接続 インターネットと社内リソースの両方にアクセスするこ とが可能
  28. 28. 構成3:VPN経由でのインターネット接続 インターネットへの接続ポリシーをオンプレミスのファ イアウォールでコントロール可能
  29. 29. ディレクトリの管理 Active Directory管理ツールをインストールすることに よりディレクトリの管理が可能 • %SystemRoot%system32dsa.msc
  30. 30. WorkSpaceのポリシー管理・パッチ管理 それぞれのWorkSpaceはActive Directoryドメインのコ ンピュータとして管理される • 既存の管理ツールを利⽤しての管理 • VPC内にEC2インスタンスとして管理サーバー配置することも 可能 WSUS WorkSpace Server Availability Zone Virtual Private Cloud Domain Controller VPC Subnet Customer Gateway 管理サーバー Corporate Data center VPN Gateway
  31. 31. IAMポリシー IAMでリソースのアクセスコントロールが可能
  32. 32. WorkSpacesクライアント サポートするプラットフォーム • Windows 7以降 • Mac OS X 10.7以降 • iOS 6.1.2以降 • Android 2.3.5以降 • Kindle Fire HDX, Kindle Fire Gen2, Fire 8.9, HD7 ネットワーク要件 • TCP/UDP 4172 • TCP 443 • RTT 100ms以下を推奨
  33. 33. Registration Codeの⼊⼒ Registration Codeを再⼊ ⼒することにより異なる ディレクトリに接続するこ とが可能 • Registration Codeはディレ クトリごとに固有のID
  34. 34. Proxyサポート WorkSpacesクライアントか らProxyを設定可能 • 社内ネットワークからのProxy 接続に対応 • WindowsまたはMac OS X
  35. 35. Amazon WorkSpaces Sync ローカルのMy DocumentsフォルダをWorkSpaceと同 期 • ユーザーあたり10GB上限 • 管理者により無効化することが可能 Amazon WorkSpacesとは独⽴して動作する • http://sync.amazonworkspaces.comより AmazonWorkSpacesSync.exeを別途導⼊して実⾏ Client WorkSpace Internet Amazon WorkSpaces Sync
  36. 36. AMAZON WORKSPACES PUBLIC BETA

×