Amazon WorkSpaces導入からはじめるスケーラブルなオフィス運営と、業務システムのクラウド移行

1. Amazon WorkSpaces導⼊からはじめる
スケーラブルなオフィス運営と、業務システムのクラウド移⾏
クラスメソッド株式会社 AWS事業本部 にしざわ

2. ⾃⼰紹介 2
⻄澤 徹訓
• クラスメソッド株式会社
• AWS事業本部
• コンサルティング部⻑
• 2015年8⽉⼊社
• インフラ、エンプラ寄り
• ⇛最近は若者育成にも⼒を
⼊れています

3. AWSなら、クラスメソッドにおまかせください 3
EC2 Windowsも早速取得︕

4. 会社概要 4

5. ⽉間170万PVを誇る技術ブログ Developers.IO 5

6. 6

7. クラスメソッドメンバーズ導⼊実績 7

8. 突然ですが 8
働き⽅改⾰すすんでいますか︖

9. 働き⽅改⾰すすんでいますか︖ 9
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000171.html

10. • クラウドで何とかなりませんか︖
• AWSサービスでいい感じに実現できませんか︖
テレワーク推進についてのご相談増えてます 10

11. そんなあなたに便利なサービスが︕ 11
https://aws.amazon.com/jp/workspaces/

12. 本⽇のテーマ 12
弊社でよくある事例を織り交ぜながら、
Amazon WorkspacesからAWSを使い
始めるシナリオをご紹介します

13. ちなみに 13
VDIそのもの、AWSサービスの各サー
ビスの詳細については説明しませんの
で、ご了承ください。

14. 14
AWSサービスを利⽤した
テレワークの実現シナリオ

15. 15Amazon WorkSpacesとは? 15

16. 16Amazon WorkSpacesの特徴
• フルマネージド型仮想デスクトップサービス
• 初期投資、サイジング不要
• 従量課⾦型、⽉額$43/ユーザ(標準スペック)
• スペックやOfficeライセンス有無で料⾦が変動
• Windows 7/10、デスクトップエクスペリエンス

17. 17Amazon WorkSpacesの最低構成
• 最低構成なら30分も
かけずに構築可能
• VPC内の閉じたネット
ワーク内のVDI環境
• AWS Directory
Serviceによるユーザ
管理

18. 18最低構成の課題1
• よりセキュアに使いたい

19. 19IPベースのアクセス制限
https://dev.classmethod.jp/cloud/aws/workspaces-ip-base-access-control/

20. 20デバイス認証、クライアント証明書
https://dev.classmethod.jp/cloud/workspaces-device-auth/

21. 21グループポリシーによるクリップボード操作の制御
https://dev.classmethod.jp/cloud/aws/setting_grouppolicy_to_workspaces/

22. 22サードパーティツールを利⽤したMFA
https://dev.classmethod.jp/etc/onelogin_try_mfa/

23. そうです、今⽇は 23
Developers.IOの⼈気記事や参考となる
情報を積極的にご紹介していくスタイルで
発表を進めます

24. 24最低構成の課題2
• 閉域網内の基幹システム、業務アプリケーション
を利⽤したい
• 認証を既存のActive Directoryに寄せたい

25. 25VPC〜オンプレ間のハイブリッド型ネットワーク構成

26. 26AWSを閉域網を使ってハイブリッド型で利⽤する
• Internet VPNまたはDirect Connectを利⽤して
ハイブリッド型の閉域網を構成
• AD Connectorを使って既存のActive Directory
連携
• VPC設計が必要

27. 27ハイブリッド構成でのVPC設計のポイント
• 既存システムのCIDRと重複が無いように
• ⼀⽅で、AWSマネージドサービス(AWS Directory
Serviceもその1つ)側でもVPC内のIPを消費するこ
ともあり、CIDRは⼤きめに作ることを推奨
• WorkSpaces端末やその他システムをどの程度ま
で増やしていく計画があるのか︖
• 後から変更することが難しいので慎重に

28. 28AWSのネットワークについてはまずこれ︕
https://dev.classmethod.jp/server-side/network/developers-io-2018-aws-network-session/

29. 29VPC設計の勘所はこちらも参考に
https://dev.classmethod.jp/cloud/aws/vpc-cidr/

30. • Simple AD
• AD互換のSamba4
• Microsoft AD
• スキーマ拡張
• 既存ドメインとの信頼関係
• AD Connector
• オンプレまたはEC2上のADへのプロキシ
WorkSpacesで必要となるAWS Directory Service 30

31. • シンプルなユーザ管理のみで良ければこれで⼗分
• 低コスト
Simple AD 31

32. • MS純正のAD機能を利⽤する必要があるケース
• フルマネージドだが制限もある
Microsoft AD 32

33. 33Microsoft ADを利⽤する上で注意すること
https://dev.classmethod.jp/cloud/aws/notes-for-microsoft-ad-aws-directory-service/

34. 34サービスのアップデートも継続中
https://dev.classmethod.jp/etc/aws-directory-service-microsoft-ad-password-policy/

35. • 既存のActive Directory資産をそのまま使える
• このケースでのご利⽤が最も多い
AD Connector 35

36. そこでこんなサービスをご⽤意しています 36
https://classmethod.jp/news/msd/

37. マネージドセキュアデスクトップ 37

38. その他のテレワークを推進するサービスたち① 38
https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-workdocs-amazon-workmail-58658632

39. 39WorkDocs Driveも便利です
https://dev.classmethod.jp/cloud/aws/amazon-workdocs-drive-for-windows-pc/

40. その他のテレワークを推進するサービスたち② 40
https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-tech-amazon-workdocs-amazon-workmail-58658632

41. 41最近のAWSJさんとの会議はこれです
https://dev.classmethod.jp/cloud/chime-ataglance/

42. • AWSサービスの柔軟性、スピードを活かしたい
• AWSマネージドサービスがハマるなら積極的に
活⽤したい
• AWSサービスの学習コストもそれなりにかかる
このシナリオを通じて⾒えてくるもの 42

43. AWSマネージドサービスの責任範囲 43

44. AWSマネージドサービスとの向き合い⽅ 44
• ユーザ側の責任、負担は極めて⼩さくなる
• ⼀⽅でサービスの制約事項もある
• 何を優先するのか︖何を実現したいのか︖
• まずは⼩さく試してみることが重要︕
• 試して辞められるのがクラウド

45. 45
(Windowsサーバを含む?)
業務システムのAWS移⾏

46. ということで 46
もう少し範囲を広げて、業務システムの
AWS移⾏にどう取り組むべきか
ポイントをかいつまんでご説明します

47. 47AWS移⾏ハマりどころ 〜AWS利⽤費〜
• AWS利⽤費の管理もエンジニアリング範囲
• ⽀払いプランをどう選択するのか
• ムダを抑えてコストを節約
• 資産管理が不要となる代わりに、AWS利⽤費の
確認・分析が必要
• 最終的にクラウドネイティブなアーキテクチャー
に近づけることがコストメリットにつながる

48. コスト最適化のための情報収集も重要 48
https://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-2017-aws-79666227/7

49. 49AWS移⾏ハマりどころ 〜DNS〜
• AWS上のリソースは名前解決から利⽤(固定IPは
使わない)
• ただし、VPCの外から名前解決できないリソース
もあるので注意する(※特にハイブリッド環境)

50. VPC外からの名前解決にはForwarderが必要 50
https://dev.classmethod.jp/cloud/aws/direct-connect-dns/

51. 51AWS移⾏ハマりどころ 〜データストア〜
• データストアを適切に選択できることが重要
• 安いからS3、とりあえずRDBのまま、ではAWS
のメリットが引き出せないケースも
• 無計画に商⽤データベースからの移⾏するのはリ
スクあり
• 集約から適材適所に

52. 適切なデータストアを選んで格納 52
https://www.slideshare.net/AmazonWebServices/abd201big-data-architectural-patterns-and-best-practices-on-aws/31

53. 53AWS移⾏ハマりどころ 〜セキュリティ〜
• 責任共有モデル
• 物理的な分離から仮想的な分離に
• 最低限のチェックツールを駆使しつつ、必要に応
じてサードパーティツールを頼るのが吉

54. insightwatch(無料)もぜひ使ってみてください 54
https://insightwatch.io/

55. 補⾜として 55
AWS環境でEC2の管理をするなら
ぜひ押さえておきたい

56. 56Windows管理では特に強⼒な武器に
https://www.slideshare.net/AmazonWebServicesJapan/20180723-aws-black-belt-online-seminar-aws-systems-manager/11

57. 57
本⽇のまとめ

58. 再確認です 58
AWS移⾏はゴールではないはずです
AWSを利⽤することは⼿段です

59. 59改めてAWS移⾏の⽬的を明確にしておきましょう
https://www.slideshare.net/AmazonWebServicesJapan/20180417-aws-white-belt-online-seminar/9

60. 困ったときは 60
AWSの素晴らしい公開ドキュメントを
Developers.IOも⾒てください