amazon workspaces deep dive
TRANSCRIPT
Amazon WorkSpaces Deep Dive
アマゾンデータサービスジャパン株式会社
Amazon Workspaces
クラウドで動作する完全マネージド型のデスクトップコンピューテイングサービスノートPC、iPad、Kindle Fire、Androidタブレットなど任意のデバイスからアクセスマネジメントコンソールを数回クリックするだけでデスクトップをユーザー数を問わずに展開可能
Getting Started
Amazon WorkSpacesセットアップ
Quick Setup• 必要な環境を自動的に作成• 当初はこのモードのみ利⽤可能
Advanced Setup• ディレクトリの選択が可能
Quick Setup
WorkSpacesバンドルを選択ユーザーを作成してWorkSpaceのプロビジョンを開始
WorkSpacesバンドル
WorkSpaceのステータス確認
20分ほどでStatusが「Pending」から「Running」に変わったら完了ユーザーにメールで通知される
メールの受信とユーザーの登録
メールを受信したらリンク先をブラウザで開いてパスワードを設定
WorkSpacesクライアントのダウンロード
http://clients.amazonworkspaces.comからダウンロード可能
WorkSpacesへのへのへのへの接続接続接続接続
11
Quick Setupの詳細
Quick Setupによって以下のプロセスが自動的に実⾏される• WorkSpaces⽤のVPCを作成• VPC内にユーザーとWorkSpace管理⽤のディレクトリをセット
アップ• ディレクトリ管理者アカウントの作成• ユーザーアカウントの作成とディレクトリへの追加• WorkSpaceインスタンスの作成• ユーザーへの招待メールの送信
Quick Setupで作成される環境で作成される環境で作成される環境で作成される環境
AWS Cloud
Availability Zone
Availability Zone
Virtual Private Cloud
Internet
Gateway
Domain
Controller
VPC Subnet
VPC Subnet
Domain
Controller
WorkSpaces WorkSpaces
・・・
Internet
Client
Mobile Client
WorkSpaces WorkSpaces
・・・
Advanced Setup
既存のVPCやオンプレミスのActive Directoryとの連携を⾏う場合はこちらを選択以下の⼿順を⼿動で⾏う• WorkSpaces⽤のVPCの作成• ディレクトリの作成• WorkSpaceのプロビジョニング
ディレクトリの選択
WorkSpaces Cloud Directory• フルマネージドのディレクトリサービス
WorkSpaces Connect• 既存のディレクトリへの接続
WorkSpaces Cloud Directory
Active Directoryドメインと管理者アカウントを作成する
VPC Details
ディレクトリを作成するVPCを選択• VPCには異なるAvailability Zoneに2つ以上のSubnetが存在す
る必要がある
作成されたCloud Directory
Domain ControllerはMulti-AZ構成で複数のSubnetに展開される• EC2 Consoleには表示されない
Active Directoryの管理ツールから操作可能• Redircmp.exe• イベントビューア• Active Directoryユーザとコンピュータ
Availability Zone Availability Zone
Domain
Controller
Domain
Controller
Virtual Private Cloud
WorkSpaces Connect
オンプレミスのActive Directoryと接続してディレクトリ認証を⾏う仕組み前提として必要となるもの• Amazon VPC
• Internet Gateway• VPN接続またはDirect Connect
• ドメインアカウント• ユーザーとグループへの読み取り• コンピュータオブジェクトの作成
• オンプレミスのDNSサーバーまたはドメインコントローラー2台のIPアドレス
WorkSpaces Connectの作成
オンプレミスのActive Directoryドメイン情報を⼊⼒
作成されたWorkSpaces Connect
VPC上に読み取り専⽤ドメインコントローラー(RODC)が作成される• ディレクトリ情報をVPN接続を経由してレプリケーション• 既存のユーザー認証およびポリシーを適⽤可能
Availability Zone Availability Zone
Read-only
Domain
Controller
Read-only
Domain
Controller
Virtual Private Cloud
VPN
Gateway
Corporate Data center
Customer
Gateway Domain Controller
WorkSpacesのプロビジョニング
ディレクトリを選択して接続• WorkSpaces Syncの利⽤を許可するかどうか設定することがで
きる
WorkSpacesユーザーの作成
新規にユーザーを作成、またはディレクトリからユーザーを選択
WorkSpaceバンドルの選択
4種類のWorkSpaceバンドルから選択
WorkSpaceインスタンス
中身はEC2 Windowsインスタンス• Windows Server 2008 R2 SP1• Intel Xeon E5-2670
• Ivy Bridgeマイクロアーキテクチャユーザーデータ⽤のボリュームはEBSで構成される• Snapshot機能は12時間に1度
WorkSpaces Volume Snapshot
VPC Subnet
ネットワークインターフェース
それぞれのWorkSpaceは2つのネットワークインターフェース(ENI)をもつ• VPCおよびインターネット接続⽤ネットワーク• WorkSpace管理⽤および画⾯転送⽤ネットワーク
管理⽤ネットワークでは以下のポートを利⽤する• インバウンド
• TCP/UDP 4172• TCP 8200
• アウトバウンド• UDP 55000
構成1:NATインスタンスの利⽤
WorkSpacesがインターネット接続するためにはNATインスタンスもしくはEIPの付与が必要
構成2:NATインスタンスとVPN接続
インターネットと社内リソースの両方にアクセスすることが可能
構成3:VPN経由でのインターネット接続
インターネットへの接続ポリシーをオンプレミスのファイアウォールでコントロール可能
ディレクトリの管理
Active Directory管理ツールをインストールすることによりディレクトリの管理が可能• %SystemRoot%\system32\dsa.msc
WorkSpaceのポリシー管理・パッチ管理
それぞれのWorkSpaceはActive Directoryドメインのコンピュータとして管理される• 既存の管理ツールを利⽤しての管理• VPC内にEC2インスタンスとして管理サーバー配置することも
可能
Availability Zone
Virtual Private Cloud
Domain
ControllerVPC Subnet
WorkSpaceWSUS
Server
Corporate Data center
Customer
Gateway 管理サーバー
VPN
Gateway
IAMポリシー
IAMでリソースのアクセスコントロールが可能
WorkSpacesクライアント
サポートするプラットフォーム• Windows 7以降• Mac OS X 10.7以降• iOS 6.1.2以降• Android 2.3.5以降• Kindle Fire HDX, Kindle Fire Gen2, Fire 8.9, HD7
ネットワーク要件• TCP/UDP 4172• TCP 443• RTT 100ms以下を推奨
Registration Codeの⼊⼒
Registration Codeを再⼊⼒することにより異なるディレクトリに接続することが可能• Registration Codeはディレ
クトリごとに固有のID
Proxyサポート
WorkSpacesクライアントからProxyを設定可能• 社内ネットワークからのProxy
接続に対応• WindowsまたはMac OS X
Amazon WorkSpaces Sync
ローカルのMy DocumentsフォルダをWorkSpaceと同期• ユーザーあたり10GB上限• 管理者により無効化することが可能
Amazon WorkSpacesとは独⽴して動作する• http://sync.amazonworkspaces.comより
AmazonWorkSpacesSync.exeを別途導⼊して実⾏
ClientWorkSpace
InternetAmazon
WorkSpaces Sync
AMAZON WORKSPACES PUBLIC BETA