20150322 jawsdays で Amazon WorkSpacesの話をしたときの資料です

1. [Deep Dive]
WorkSpaces
2015年3月22日
株式会社サーバーワークス
プロジェクトマネジメント課
佐竹 陽一

2. この数字は何でしょう？
•20140827

3. 東京リージョンでWorkSpaces提供開始
•Amazon Web Services（AWS）
は2014年8月27日、DaaS
（Desktop as a Service）の
「Amazon WorkSpaces」が、東
京リージョンでも利用可能になっ
たと発表

4. 対象サービスと内容
•対象サービス
• Amazon WorkSpaces
• AWS Directory Service
• Amazon WorkDocs
•内容
• WorkSpacesが生まれた背景と特徴
• 利用シーン
• 構築&運用に関する知見

5. 背景1
BYODの流行
求められる企業
のクリーンなイ
メージ
企業は、BYODを受け入れながらも
クリーンであり続ける必要がある

6. 背景2
•テンポラリ労働者へのDesktop
1. 準備の手間
2. リセットの手間
•これらの手間を省きながらDesktopを
労働現場に提供したい

7. 今までの働き方
社外
貸与
VPN

8. クリーンなイメージを
維持するには？
働き方の変化
社外
VPN？
BYOD

9. WorkSpacesの活用
社外
BYOD

10. WorkSpacesの特徴
• ハードメンテナンス不要
• ソフトのインストール不要
フルマネージド
• ユーザ1人ごとに専用のスペースPersistent
• コンソールから起動するだけ
プロビジョニングが
容易
• 月額課金モデル
• 利用終了後の削除も容易
初期投資不要
• Windows、Mac、Zero client等、多様なデバ
イスに対応
マルチデバイス対応

11. 特徴を要約すると
簡単
手間
いらず
捨て
れる

12. その他の大手企業向けの特徴
•Active Directoryとの連携が可能
• AD Connector(Directory Service)を利
用する
• オンプレのADの情報をWorkSpacesの
ユーザ情報として利用できる
•MFA(多要素認証)が利用可能
• OpenOTP等のRadius認証に対応した
OTP認証サーバーが必要

13. AWS Directory Service
• AD Connector
• 既存の Microsoft Active Directory に接続
し、その認証情報を使用して AWS のリ
ソースにアクセス可能
• Simple AD
• Samba 4 Active Directory Compatible
Server を備えたスタンドアロンの管理型
ディレクトリ
AWS Directory Serviceは
WorkSpacesの構築に必須

14. WorkSpaces導入ケース
DaaSがフィットするかのテスト利用
期間限定のデスクトップ利用者へ提供
Windowsデスクトップが業務上必要

15. 1.DaaSがフィットするかテスト利用
•対象：DaaS(VDI)未経験
• やりたいことがDaaSで達成可能かテスト
としてWorkSpacesを利用する
•理由
• 初期投資が不要で、合わないと判断した
場合に捨てることが可能であるため

16. テスト利用におけるポイント
•Simple ADで検証を行えばADの連携
は不要
• Simple ADは、ADをAWSマネジメント
コンソールからの操作だけで準備可能

17. 検証時の注意
•WorkSpacesの制限/初期値
• WorkSpace台数５
• Image作成可能数５
6台以上必要な場合は制限の引き上げリクエストが
必要
•Portの開放が必要
• TCP ポートの 443 と 4172、ならびに
UDP ポート 4172 をオープン

18. Port開放の補足(ターゲットの範囲)
• Portを開放するIPレンジは以下のリンク
先をご参照ください。
• https://forums.aws.amazon.com/ann.js
pa?annID=1701
上記URLの「Asia Pacific (Tokyo)」の項目
• https://forums.aws.amazon.com/ann.js
pa?annID=2051
上記URL内の全てのIPレンジ

19. Port開放の補足(S3)
• WorkSpacesクライアントの利用のため
に、S3のエンドポイント全てに対して
https接続 (443Portの開放)が必要
• http://docs.aws.amazon.com/general/la
test/gr/rande.html#s3_region
• 上記ページAmazon Simple Storage Service
(S3)の「Endpoint」
• この設定は、今後のAWSのRegion拡張を踏まえ
「*.amazonaws.com」での設定が推奨とのこと

20. 運用Tips
• WorkSpacesクライアントのアップデート
• WorkSpacesクライアント起動時にアップデー
トが促される
• アップデートにはS3との疎通が必要
【参考】
http://blog.serverworks.co.jp/tech/2015/01/23/am
azon-workspaces-updates/

21. 2.期間限定のデスクトップ利用者へ提供
• 対象：テンポラリの業務参加者
• 対象者との契約が、数ヵ月程度で終了する
ことが最初から判明している場合の作業用
デスクトップとして提供
• 理由
• 作業完了後にデスクトップごと捨てること
が可能である
• 1ユーザごとにpersistentな領域を割り当て
ることができる
• MS Officeも月額課金で利用可能

22. 利用者へ提供する場合のポイント
•AD連携を行い、業務に必要な領域以
外にはアクセス不可となるよう制御

23. ADを使っての検証時の注意
• ネットワーク設計が必要
• 社内のネットワーク(LAN)とVPCのサブネッ
トが重複しないよう設計
• ADとの連携のためにPort開放が必要
• Port開放が出来たかどうかは、VPCの中に
最も安いLinux Instanceを構築し、そこか
らADサーバに対して疎通ができるか確認す
ると良い
• http://docs.aws.amazon.com/workspaces/la
test/adminguide/prep_connect.html

24. カスタムImageを配布可能
• WorkSpace Image
• 業務に必要なソフトウェアをプリセットしたも
のを、WorkSpace構築時の元Image(Bundle)
とすることが可能

25. メンテナンス(保守管理)タイム
• 毎週日曜日 午前0時0分～午前4時0分に
メンテナンスが行われる
• 毎週、必ず実施されるわけではない
• メンテナンス実施前に通知が必ず来るわけ
ではない
• WindowsUpdateのデフォルト設定
• 毎週日曜日の午前2時0分
• この時間帯は利用を控えることを推奨

26. 過去のメンテナンス(2014年末)
Standard Bundleのアップグレード
• 1vCPUから2vCPUに、メモリが3.75GBから4GBにアッ
プグレード
Value Bundleの追加
• 1vCPU、2GBメモリ、10GBのユーザーストレージ
Office 2013が選択可能に

27. 3.Windowsデスクトップが業務上必要
•対象：Windows PCが手元に必要な人
• Windowsクライアントで動作検証や、業
務作業が必要なユーザに提供
•理由
• Windows PCを、一時的に実施する作業
のために購入するより安価
• 必要がなくなれば捨てればいい
• マルチクライアント対応のため、iPadか
らでもWindowsを操作可能になる

28. 事例
• 上長承認を出先でも
• 出張先でWindows PCから
のみ動作する業務アプリを
iPad⇒WorkSpaces経由で
利用し、承認作業を実施
•当社内での利用例
• Macユーザが、Windows PCでの動作検
証のためにWorkSpacesを利用

29. よくある質問1
•データの持ち出しをさせたくない
• データの持ち出しは基本的にできません
• クリップボードのリダイレクトがデフォ
ルトでOnになっているので、これをOff
にすれば完全に持ち出し不可にできます

30. よくある質問2
•データをローカルに保存したい
• ファイルサーバなどを経由して取得する
必要があります
• WorkDocs Syncを利用すれば、ローカル
PCとWorkSpaces上のフォルダを同期す
ることが可能です
• WorkDocs SyncはDirectory Servciceを
RegisterするタイミングでOnにします

31. よくある質問3
•USBに接続した機器を利用したい
• ローカルプリンターの利用が可能です
• マイクや、CDドライブなど、その他のも
のは2015年3月21日現在利用不可能と
なっています

32. 月額利用料金
バンドル ハードウェア構成 月額料金
バリュー 1 vCPU、2 GiB メモリ、10 GB
ユーザーストレージ
34 USD
スタンダード
2 vCPU、4 GiB メモリ、50 GB
ユーザーストレージ
47 USD
パフォーマン
ス
2 vCPU、7.5 GiB メモリ、100
GB ユーザーストレージ
78 USD
各バンドルに＋15 USD でプラスバンドルに
• Microsoft Office Professional(2010,2013が選択可能)
• Trend Micro Worry-Free Business Security Services

33. 無料で提供されるもの
• クライアント⇔WorkSpaces間の通信料
• 12時間おきに自動的に取得されるDドライ
ブ(作業領域)のバックアップ
• WorkSpace Imageも、カスタムBundleの
作成も無料
• WorkSpacesを利用するユーザーが1名で
も存在する限りDirectory Serviceの利用
は無料

34. 月額利用料の日割り計算
•WorkSpaces がアクティブになった
最初の月に関しては、WorkSpaces
の料金は月の残り日数で計算されます。
•例えば、WorkSpaces を 1 月 10 日
に始めた場合、月の残りの 21 日間に
対して請求されます(31 – 10 = 21)
• http://aws.amazon.com/jp/workspac
es/faqs/#%E6%96%99%E9%87%91
%E8%A1%A8

35. 月額利用料の日割り計算 Case1
•11月10日にスタンダードで1台作成し
た場合
この場合の11月の利用金額はいくらで
しょうか？

36. 月額利用料の日割り計算 Case1
• 11月10日にスタンダードで1台作成した
場合
• 11月は30日までなので、
「30日 – 10日 = 20日」
分の月額利用料が加算されます。
• (30-10)/30 * 47 USD = 31.33 USD

37. 月額利用料の日割り計算 Case2
•11月10日にスタンダードで1台作成し、
その日中に破棄した場合
この場合の11月の利用金額はいくらで
しょうか？

38. 月額利用料の日割り計算 Case2
• 11月10日にスタンダードで1台作成し、
その日中に破棄した場合
• 11月は30日までなので、
「30日 – 10日 = 20日」
分の月額利用料がそのまま加算されます。
• (30-10)/30 * 47 USD = 31.33 USD

39. 月額利用料の日割り計算 Case3
•11月10日にパフォーマンスで1台作成
し、20日にスタンダードで再作成し
た場合
この場合の11月の利用金額はいくらで
しょうか？

40. 月額利用料の日割り計算 Case3
• 11月10日にパフォーマンスで1台作成し、
20日にスタンダードで再作成した場合
• パフォーマンス「30日 – 10日 = 20日」
• スタンダード「30日 – 20日 = 10日」
• (30-10)/30 * 78 USD
+ (30-20)/30 * 47 USD = 67.67 USD

41. 月額利用料の日割り計算 Case4
•11月30日にスタンダードで1台作成し、
その日中に破棄した場合
この場合の11月の利用金額はいくらで
しょうか？

42. 月額利用料の日割り計算 Case4
•11月30日にスタンダードで1台作成し、
その日中に破棄した場合
•「30日 – 30日 = 0日」
と、0日分の利用料
•結果、0 USDとなります

43. WorkSpacesのコスト削減Tips
• 月末に削除することで、翌月の利用料が回
避可能
• 利用料は月の残りの日数に比例して額が増
えるため、月末に構築するほど構築した月
の利用料金は安くなる
• 検証やゴールデンイメージ
のメンテナンスは月末付近
に実施するとコスト削減に

44. WorkSpaces導入提案
クラウドソーシングの作業用端末としてWorkSpaces
を提供
年に数回行うWindowsクライアントでの動作検証に
WorkSpacesを利用
工場や大学の研究室など、共通のPC端末を利用して
いるものに対して、 WorkSpacesを利用者ごとに提供
各実店舗に設置されているノートPCにWorkSpaces
を利用することで、盗難時の情報流出の防止が可能
決済(レジ)を行っているiPadでWindowsの簡単な作
業を実施できるようWorkSpacesを提供

45. おわり
【余談】
2015年3月にアカリクにインタビューが掲載されました
https://acaric.jp/modules/static/index.php?content_id=189