2020/6/24 ウェビナー「再演!構成パターンと事例でわかる!AWSを活用したテレワーク環境のつくり方」の Q&A を公開します
ご機嫌いかがでしょうか、豊崎です。
2020/6/24 クラスメソッド株式会社主催「再演!構成パターンと事例でわかる!AWSを活用したテレワーク環境のつくり方」にご参加頂いた方から頂戴した質問と、その回答を公開します。
Q & A
Q. AWS Client VPNの認証で、オンプレ側にあるActiveDirectoryに連携できるのでしょうか?
はい。構成が複雑になりますが可能です。Client VPNはAWSに立てたADを指定する必要がありますので、「AWS Directory Service」でAWS上にADを構築し、そのADとオンプレミスADを連携させることで認証を実現することができます。
Q. 同じくAWS Client VPNの認証に関して、追加で質問させてください。AzureADとの連携は可能でしょうか?オンプレADと同じく、AzureAD→AWSに立てたADと連携すれば(詳しくなくできるかは要確認ですが)AWS Client VPNの認証に使える、という認識で齟齬ないでしょうか?
AWS上のADと連携さえすればClient VPNの認証に使えるというご認識については問題ございません。なおAzureに立てたADとの連携は可能な認識ですが、Azure ADとの連携は複雑化すると想像しています。
Q. NTTドコモ様の導入事例において、cloudflare社のWEBフィルタ機能を採用したとのことですが、AWS内でもフィルタ機能を構築できるのでしょうか(フルマネージド的なサービスはあるのでしょうか)。
残念ながらAWSのマネージドサービスとしてはWebフィルタの機能はありません。AWS上にEC2でプロキシサーバを構築するか、アウトバウンドの通信をオンプレミス経由にしてオンプレミス側のプロキシサーバを利用するなどを検討する必要があります。
Q. WorkSpaces利用のためには、VPC内の違うサブネットにADコネクタやsimpleAD等が必ず2つ必要なのでしょうか?また、Workspacesはどちらかのサブネットに配置されることになるのでしょうか?
WorkSpacesの利用において別AZに配置されたサブネットが2つ必要となります。またADコネクタやSimpleADついても2AZに跨って構築されます。またWorkSpacesは分散していずれかのサブネットに配置されます。
Q. 先ほどの事例でWorkSpacesプラスアプリケーションバンドルを利用されたと理解致しました。アンチウイルスソフトウェア向け管理コンソールのようなものも実装、管理が必要なのでしょうか。
基本的にアンチウィルスソフト(Trend Micro Worry-Free)の管理コンソールは付属していません。管理が必要な場合、AWSに申請をすることで利用状況など(条件は公開されていません)を判断の上、管理コンソールを開放してくれる場合もございます。
Q. ユーザーが利用するアプリケーションが多岐にわたる場合の対応として考えられることはありますか?例えば店舗ごとに使っているアプリが違うが一律イメージに含めたくて数が膨大になるなど、AWSで対応可能なのでしょうか?
管理方法の考え方になると思うのですが、一例として、全社員共通で利用するアプリケーションについてはカスタムイメージに含めて、店舗ごとに異なるアプリケーションなどについてはインストールスクリプトなどを用意しておいてユーザごとにインストールをお願いするなどが方法としてあると思います。
Q. アップデートに伴うイメージの再配布はどのように実施されているのでしょうか?イメージ移行すると最大12時間ユーザボリュームがロールバックされる点が懸念されると思うのですが?
ご質問の通り、イメージ再配布時にはユーザボリュームが最大12時間ロールバックされる可能性があります。そのため、データのロストを防ぐために、データの退避先をAmazon WorkDocsやファイルサーバを用意しておきロールバックが起きてもデータをサルベージできるようにしておくことをお勧めしています。WorkSpaces利用者であればAmazon WorkDocsは50GBまで利用できるため、消えたら困るデータが保存されているフォルダとの同期など手軽に利用できるかと思います。
Q. WorkDocsとの同期させるとのことでしたが、同期させたフォルダ以外には保存させないなどの運用をされているのでしょうか?あまり運用イメージが沸かないのでその辺をどのように運用されているか教えていただけるとうれしいです。
実は個人PCのデータの扱いは、物理PCの時と基本的に考え方は一緒で、大事なデータは安全性の高い場所に保存、またはバックアップ(同期)を行っておくという運用をお勧めしています。感覚的にWorkSpacesは物理PC以上に安定していますが、障害が起こった場合手元に物理HDD/SSDがあるわけではないのでデータのサルベージができません。運用ポリシーを決めてユーザに理解を得るケースが多いです。