Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

JAWS-UG千葉・金沢・初心者支部合同_WorkSpacesオンラインハンズオン_概要説明

458 views

Published on

JAWS-UG千葉・金沢・初心者支部合同_WorkSpacesオンラインハンズオン_概要説明

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

JAWS-UG千葉・金沢・初心者支部合同_WorkSpacesオンラインハンズオン_概要説明

  1. 1. Amazon WorkSpaces体験 オンラインハンズオン! 一緒にWorkSpacesを構築してみよう! ~概要説明~ JAWS-UG千葉・金沢・初心者支部合同 2020.06.10.Wed
  2. 2. 自己紹介 氏名:北原 雅人(きたはら まさと) 保有資格: - AWS Solution Architect Professional - ITIL、セールススキル等 2020 APN AWS Top Engineers 好きなAWSサービス: - Amazon WorkSpaces JAWS-UG 千葉運営メンバー 所属:フォージビジョン株式会社
  3. 3. ~概要説明~ 1.Amazon WorkSpaces概要 2.Amazon WorkSpaces料金 3.Amazon WorkSpaces~ディレクトリ~ 3
  4. 4. 1.Amazon WorkSpaces概要 4
  5. 5. 1.初期投資不要 2.事前サイジングは不要 3.様々なOSや構成利用可能 4.AWSの各リージョンで利用可能 5.多種多様な接続に対応 6.クライアント上のセキュリティを担保 5 Amazon WorkSpacesはAWSが提供している フルマネージド型仮想デスクトップサービスです。 1.Amazon WorkSpaces概要 #jawsug
  6. 6. 1. 初期投資不要 ハードウェアの調達や、仮想デスクトップ基盤の構築は不要で、初期投資 は必要無く、1台から使い始めることができます。 2. 事前サイジングは不要 構築後もスケールアップ、スケールダウンは簡単に実施出来ます。 ※ただし、起動時間に応じて起動方式を事前に検討する必要はあり 6 1.Amazon WorkSpaces概要 #jawsug
  7. 7. 3. 様々なOSや構成が利用可能 WorkSpacesは以下の構成から選択可能です。 ・OS:Windows、Linux ・ハードウェア構成 ・ソフトウェア構成 Windowsの場合、OSやMicrosoft Office のライセンス持ち込み (=BYOL) も可能です。また、昨今のニーズに合うOffice付きバンドル も利用可能です。 7 1.Amazon WorkSpaces概要 #jawsug
  8. 8. 4. AWSの各リージョンで利用可能 これまでは4リージョンでの利用でしたが、現在は12のリージョンで利用可能 ・バージニア北部 ・オレゴン ・サンパウロ ・アイルランド ・フランクフルト ・ロンドン ・シドニー ・東京 ・シンガポール ・ソウル ・カナダ ・GovCloud 8 1.Amazon WorkSpaces概要 #jawsug
  9. 9. 5. 多種多様な接続に対応 所持している各デバイスからクライアントアプリケーション、または、 ウェブブラウザを使用して、インターネット経由で接続を行います。 ①クライアントアプリケーション ・WindowsOS、MacOS、Chromebook、iPad、Androidタブレット、 Fireタブレット、Zeroクライアントデバイス ②ウェブブブラウザ(推奨) ・Chrome、Firefox 9 1.Amazon WorkSpaces概要 #jawsug
  10. 10. 6.クライアント上のセキュリティを担保 Amazon WorkSpacesはHIPAAに適合しています。 PCIにも準拠している為、機密情報のセキュリティ標準は満たしています。 システムの特性上インターネットのどこからでもアクセス出来る事からアクセス 出来るクライアントやWebアクセスの制御の有無の設定、アクセス元ソースIP制限、 クライアント証明書の有無等の制御をする事で、より高いセキュリティを担保する事 が可能です。 また、グループポリシーにて制御する事でクリップボードの制御等を実施する事により、 ローカルへのファイル持ち出しも制御する事も可能です。 10 1.Amazon WorkSpaces概要 #jawsug
  11. 11. WorkSpaces構成図 その他、セグメント WorkSpacesセグメント WorkSpacesセグメント IGW VGW WorkSpaces エンドポイント WorkSpaces AWS Directory Service VPN Direct Connect拠点 ADサーバエンドユーザ PC端末 エンドユーザ エンドユーザ or ①WorkSpaces に接続 ③認証後、端末に ログイン AD Connectorを利用し、 既存ADへの連携も可 接続に利用するポートは以下3つ TCP:443 TCP:4172 UDP:4172 その他、セグメント ②認証 タブレット VPC Availability Zone 1 Availability Zone 2 WorkSpaces AWSが提供するSimple AD、 MicroSoft AD、および 拠点ADでの認証が可能 11 #jawsug
  12. 12. 2.Amazon WorkSpaces料金 12
  13. 13. Amazon WorkSpaces料金は、 「課金オプション」、「OSタイプ」、「ハードウェアタイプ」、「アプリケーションオプション」 4つのタイプ選択によって月額料金が変わります。 2.Amazon WorkSpaces料金 WorkSpaces利用料金 課金オプション OSタイプ ハードウェア タイプ アプリケーション オプション 13 #jawsug
  14. 14. ◆課金オプション: 課金オプションには「月額料金」と「時間料金」の2種類があります。 ・月額料金(Always On):月額固定料金で無制限利用可能 ・時間料金(Auto Stop ):少額固定料金+利用時間単価 月額料金と時間料金でどちらが安く済むかは実際に起動している時間に応じて 変動します。厳密にはOSタイプやバンドルタイプ等に応じて変動はするものの、 月に80時間以上利用している場合は月額料金を選ぶ方が良い計算となります。 ※例:メジャーなWindows10 スタンダード 2CPU、4GiBメモリ、ルートボリューム80GB、ユーザーボリューム50GBの 場合、月額$47、時間料金月額$14+$0.4/時となる。($0.4*80=$32)で合計$46になる。 厳密にはAuto Stopは自動停止には最低1時間掛かる為、80時間近く利用する場合はAlways Onの利用を推奨 14 2.Amazon WorkSpaces料金 #jawsug
  15. 15. ◆OSタイプ: Amazon WorkSpacesのOSは以下のOSオプションから選択可能です。 ・Windows10 ・Amazon Linux2 以前まではWindows7やAmazon Linuxが利用出来ましたが、 現在は上記2つのみの利用となります。 ※時々Windows ServerとしてWorkSpacesを利用したいが可能か? と言った質問をいただく事がありますが、中身はWindowsServer2016ですが、 インスタンスタイプの選択が狭かったり、RDPが出来ない(通常では)、複数ユーザで ログイン出来ない、ADを準備する必要がある、合計費用では安くも無い等、 サーバ用途ではEC2がベターだと思います 15 2.Amazon WorkSpaces料金 #jawsug
  16. 16. ◆アプリケーションオプション: デフォルトアプリケーションとプラスアプリケーションオプションがあります。 ①デフォルトアプリケーション: ・Internet Explorer11 ・Firefox ②プラスアプリケーションオプション: ・デフォルトアプリケーション +Microsoft Office Professional +Trend Micro Worry-Free(ウイルスバスター) プラスアプリケーションバンドルは1WorkSpaceにつき月額$15 ※Trend Micro Worry-Freeで少し問題があったのは後ほど。 16 2.Amazon WorkSpaces料金 #jawsug
  17. 17. ◆ハードウェアタイプ: vCPU、メモリ、ルートボリュームサイズ、ユーザボリュームサイズ、GPUの 組み合わせから大きく分けて以下7種類から選択が可能です。 ※ルートボリュームとユーザボリュームは細かく指定は出来ず、バンドルでルート80GB、 ユーザ50GB等と決まっており、ルートボリュームだけ大きく等は出来ません 17 ハードウェアタイプ スペック ①バリュー 1vCPU、2GiBメモリ ②スタンダード 2vCPU、4GiBメモリ ③パフォーマンス 2vCPU、7.5GiBメモリ ④パワー 4vCPU、16GiBメモリ ⑤パワープロ 8vCPU、32GiBメモリ ⑥グラフィックス 8vCPU、15GiBメモリ、1GPU、4GiBビデオメモリ ⑦グラフィックスプロ 16vCPU、122GiBメモリ、1GPU、8GiBビデオメモリ 2.Amazon WorkSpaces料金 #jawsug
  18. 18. ◆朗報!!在宅勤務を応援するAWSから50台月額無料! 新規アカウント、Organization配下のアカウントで無い事が条件ですが、 WorkSpacesとWorkDocsがセットで50台月額無料だそうです。 2020年6月30日までなので、皆さん使ってみましょう! https://aws.amazon.com/jp/blogs/news/new-offers-to-enable-work-from-home-from- amazon-workspaces-and-amazon-workdocs/ 18 2.Amazon WorkSpaces料金 #jawsug
  19. 19. 3.Amazon WorkSpaces~ディレクトリ~ 19
  20. 20. WorkSpacesを構築する上で必要なものがActiveDirectoryになります。 その中でAWSにて提供しているディレクトリサービスは3種類あります。 ・SimpleAD(Simple Active Directory) ・MSAD(Direcory Service for Microsoft Active Directory) ・AD Connector(Active Directory Connector) 20 3.Amazon WorkSpaces~ディレクトリ~ ※条件はありますが、WorkSpacesと一緒に使うとSimpleADとAD Connectorは 無料で使えます。AD Connectorは既存AD側のお金は掛かります。 https://aws.amazon.com/jp/directoryservice/other-directories-pricing/ #jawsug
  21. 21. SimpleADを利用した際の構成のポイントは以下の通りです ・Simple ADでユーザを管理 ・Simple ADについては、AWSフルマネージドサービスであるため、ユーザにて 管理不要 ・冗長化構成を行うことが出来、可用性が高い ・Simple AD(単体)では、ADポリシーを定義することが出来ないため、ユーザ の統制については実質出来ない ※厳密にはWindowsServerでドメイン参加すれば管理は可能 小規模でWorkSpacesを始めてみたい人向け 21 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  22. 22. MSADを利用した際の構成のポイントは以下の通りです ・ADのポリシーを利用したいが、既存のADは利用したくない場合に、MSADで 新規リポジトリとすることが可能 ・MSADについては、 AWSフルマネージドサービスであるため、利用ユーザにて サーバ自体の管理は不要 ・冗長化構成を行うことが出来、可用性が高い ・MSADについてはAD設定を実施するためのツールが必要。本サービス利用時、 WorkSpacesにMSAD管理ツールを導入を実施する事でADの設定が可能 ADポリシーでユーザ統制を取るが既存ADを利用しないパターン 22 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  23. 23. AD Connectorを利用した際の構成のポイントは以下の通りです ・既存のユーザ管理、ADを踏襲したい ・AD Connectorはハブの為、既存ADについては、ユーザで管理が必要 ※既存ADがシングルの場合単一障害点になりうる ・ユーザ管理、およびADポリシーについては既存ADにて管理を実施 ・AD ConnectorとADとの疎通に関してオンプレの場合、専用線やVPN接続が 必要となる 既存のオンプレミス環境と同じポリシー、ユーザで管理を行う 場合に選ぶ 23 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  24. 24. ディレクトリサービスの機能についておさらいします。 以下8つの設定はディレクトリサービスの選択に応じて設定下さい。 24 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  25. 25. ①ターゲットドメインと組織ユニット こちらの設定ではWorkSpacesをどのOUに作成するか設定する箇所になります。 デフォルトではComputers直下に作成されます。 25 ②セキュリティグループ デフォルトのディレクトリコントローラーとやり取りするセキュリティグループ以外に WorkSpaces単体でログイン制御を実施する場合に設定する項目です。 基本的にWorkSpacesのクラウドの利便性を損なうものなので、設定はしません。 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  26. 26. ③インターネットへのアクセス 作成されたWorkSpaces自身がパブリックIPアドレスを保持してインターネット ゲートウェイから直接インターネットにアウトバウンドする場合は有効化します。AD Connector等でVPN経由でインターネットに出る場合は無効化を推奨します。 26 ④アクセス制御のオプション 各クライアント等のアクセスを制御するオプションになります。デフォルトではWeb アクセスは無効化されているので利用する場合は有効化してください。また、クライ アント証明書等で利用制限をする場合もこちらにルート証明書をインポートして 利用してください。 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  27. 27. ⑤ローカル管理者の設定 作成されたWorkSpaces自身のローカルAdmin権限の付与についての設定です。 アプリケーションを構築し、ゴールデンイメージを配布後にユーザに管理者権限を 渡したくない場合はこちらの設定を無効化してください。 27 ⑥IPアクセスコントロールグループ こちらの設定ではディレクトリ全体でWorkSpacesにアクセスする為のソースIP制限 を実施する事が可能となります。 拠点等にアクセスソースIPを制限するエンタープライズのユーザの場合は設定する 必要がありますが、これもVDIの利用幅が狭くなることから実装経験はありません。 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  28. 28. ⑦メンテナンスモード 起動タイプに応じて動作が変わります。 ・[Auto Stop] 利用していない場合に停止しているWorkSpacesのWindowsUpdateを 毎月1回自動起動して実施し、最新の更新プログラムを適用する機能になります ・[Always On] 動作中のWorkSpacesに自動アップデートが入ります。WindowsUpdateの 制御はグループポリシーで有無を設定可能です。 28 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  29. 29. 29 ⑧ユーザーセルフサービスアクセス許可 ユーザ自身がセルフサービス機能で様々な変更が行える項目です。ディレクトリの 有効化を実施した際に有効化した場合は全て有効化となっている為、設定に 注意が必要な項目になります。管理者は要チェックです。 ・このアカウントを記憶する: 利用者がクライアントで認証情報をキャッシュ出来るようにする ・クライアントから WorkSpace を再起動する: 利用者がクライアントからWorkSpacesを再起動する権限を保持する ・ボリュームサイズを増やす:ルートボリュームとユーザボリュームを拡張出来ます。 ※利用料増加に注意 ・コンピューティングタイプを変更する:利用者がValue、Standard、Performance、Power、および PowerProからWorkSpacesから選択可能となる。 ※利用料増加に注意 ・実行モードを切り替える: 利用者が実行モードを[Always On]と[Auto Stop]から選択出来る ※利用料増加に注意 ・クライアントから WorkSpace を再構築する: 利用者がクライアントからWorkSpacesを再構築(リビルド)出来るようにする ⇒次ページ参照 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  30. 30. 30 WorkSpacesにおける再構築(リビルド)と復元(リストア)について WorkSpacesには再構築(リビルド)と復元(リストア)があります。 言葉の定義的に違いが分かりづらいですが、以下の違いがありますので 用途に応じて使い分けを実施しましょう。 再構築(リビルド) ユーザボリューム(Dドライブ)を12時間以内のバックアップに戻し、ルートボリューム (Cドライブ)をバンドルイメージまで再構築する機能 復元(リストア) ユーザボリューム(Dドライブ)、ルートボリューム(Cドライブ)を12時間以内のバック アップに戻し、復元する機能。※利用者自身では出来ない 3.Amazon WorkSpaces~ディレクトリ~ #jawsug
  31. 31. 31 概要説明は以上です。 ここからハンズオンとなります。 #jawsug

×