【レポート】仮想デスクトップを検討している人は必見！ – Amazon WorkSpaces フルマネージド VDI ベストプラクティス #AWSSummit

AWS Summit Online Japan 2020

#レポート

#AWS

豊崎隆

2020.09.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ご機嫌いかがでしょうか、豊崎です。2020年9月8日から30日まで開催されるAWS Summit Onlineを自宅から拝聴しています。

本記事で取りあげるセッションは、「予測できない変化にブレないニューノーマルな働き方を - Amazon WorkSpaces フルマネージド VDI ベストプラクティス」です。

セッション情報

スピーカー

アマゾンウェブサービスジャパン株式会社プロフェッショナルサービス本部クラウドコンサルタント野村秀貴

概要

新型コロナウィルス感染リスク低減、東京オリンピック・パラリンピック開催期間中の公共交通機関の混雑回避、そして働き方改革などこれらを支える手段として VDI を利用したテレワーク需要が急速に高まってきております。しかし、従来の VDI は高コストや導入までに時間がかかるなどの課題がありました。これらの課題を解決するのがAmazon WorkSpacesです。使った分だけお支払いする料金体系によってコストを抑えて短期間で導入できる Amazon WorkSpaces の導入ベストプラクティスを解説します。/ Amazon WorkSpaces は、AWS の提供するフルマネージド型で、セキュアな仮想デスクトップサービスです。Amazon WorkSpaces により、いつでも、どこからでも、AWS クラウド上の仮想デスクトップにアクセスし、ビジネスを推進することができる一方、自然災害などの不測の事態に備え、ビジネスニーズに応じたディザスタリカバリプランを策定することも企業にとって重、要な課題となっています。本セッションでは、Amazon WorkSpaces が提供する耐障害性と可用性を理解し、ビジネスニーズに応じた Amazon WorkSapces ディザスタリカバリ環境を構築するためのポイントを説明します。

レポート

セッション対象者

短期間でフルマネージド型仮想デスクトップを導入したい人
上記課題をお持ちのお客様に提案活動するインテグレータ

セッションのゴール

Amazon WorkSpacesを短期間で導入するために決めるべきことの理解
AWSで管理されている仮想デスクトップ（以下VDI）の利用イメージがつく
どの様な技術要素を整理すべきかを認識する

Amazon WorkSpacesとは

AWSが提供するフルマネージド型でセキュアなVDI
- AWSで管理されているセキュアなクラウドデスクトップ
- ウィザードベースのシンプルなデプロイと管理
- 一貫したパフォーマンスを提供
場所時間を選ばすAWSクラウド上のVDIにアクセス可能
すぐに利用可能
１台から使えて、増減も容易、サイジングが不要
初期費用なし、利用した分だけの支払い
13のRegionで利用可能で、グローバルへ容易に展開が可能

Amazon WorkSpacesアーキテクチャ概要

WS Clientからインターネットを経由して認証リクエスト
AWSが管理している認証ゲートウェイに認証リクエストが届く
認証・セッションゲートウェイからディレクトリサービスへ転送
図ではAD Connectorからユーザ管理のVPCを経由してオンプレミスADに向けてリクエストを転送
Direct Connectを経由して通信がオンプレに送られる
オンプレADで認証を行う
1. （オプション）多要素認証（MFA）を利用する場合はRADIUSを認証を利用
2. 認証されるとWS Clientには認証ゲートウェエイからトークンを返す
3. トークンを使ってセッションゲートウェイにアクセスしストリーミングゲートウェイのエンドポイントの情報を受け取る
WS Clientがインターネットを経由して画面転送をリクエスト
ストリーミングゲートウェイにアクセス
1. リクエストがストリーミングゲートウェイからWSに転送される
DirectoryServiceに対してADドメインの標準認証であるKerberosを行い認証されると画面転送が開始

短期でAmazon WorkSpacesを構築するベストプラクティス

短期間でWSを導入するにあたっては以下の項目について検討、決定をしていくことが望ましい

ネットワーク

１例としてVPC内に以下サブネットがあるものとする
- パブリックサブネット
  - IGWやNAT Gatewayを配置
- 共用サービス用プライベートサブネット
  - Directory Service
  - ファイルサーバ
  - ウィルス対策用サーバ
  - など
- WorkSpacesインスタンス用プライベートサブネット
  - 将来的なWSの台数増を見込んでCIDRを考慮

オンプレミスと接続が必要であればVPC/Direct Connectを設定
VPN or Direct Connectの比較は以下

WorkSpacesからインターネットへの経路について
- セキュリティ要件などによってオンプレミスを経由させる必要がない場合
  - VPCからインターネットへ
- セキュリティ要件などでオンプレミスのプロキシを経由させる必要があるなどの場合
  - Direct Connect/VPN経由でオンプレミスからインターネットへ

ディレクトリ

既存ADと連携する場合
- AD Connector（ADC）を利用
  - オンプレADへADC経由で認証。
  - 構成はシンプルになるがユーザログオン時、オンプレへの問い合わせが発生する
  - ADCのユーザでWSを利用している場合はADCのコストは無料
    - スモール：1人以上
    - ラージ：100人以上
- AWS Managed Microsoft AD (MAD)
  - MADとオンプレADドメインとの双方向の推移的信頼関係が必要
  - 独立したドメインになるが信頼県系の構築によりオンプレドメインを認証に利用することが可能
既存ADと連携しない場合
- Simple AD
  - Samba4を搭載したMicrosoft AD語幹のディレクトリサービス
  - 検証環境や小規模環境に適している
  - SimpleADのユーザでWSを利用している場合はADCのコストは無料
    - スモール：1人以上
    - ラージ：100人以上
- AWS Managed Microsoft AD(MAD)
  - 将来的に既存ADと信頼関係を構築する場合はMADを選ぶ

セキュリティ

アクセス制限4種類
- 多要素認証(MFA)
  - RADIUSベースの多要素認証ソリューションと連携
  - 認証時のユーザ名、パスワードの他にワンタイムパスワードが必要になる
- IPアクセスコントロール
  - WorkSpacesへの接続元IPを制御（ゼロクライアントでは利用できない
- デバイスタイプ制御
  - デバイスタイプごとにアクセス許可・拒否
- 証明書によるデバイス認証
  - 証明書ベースの認証で信頼されたデバイスからのみアクセス許可
  - Win/Macのみ利用可
リダイレクト機能の制御
- ADのGPOの利用可能
- ADCなどを複数用意してOUを分けることでOU単位で制御することも可能

バンドル

標準バンドル
- Windows Server 2016 ( Windows 10 )
- Amazon Linux 2
BYOL
- Windows10
- 利用申請が必要
- 専用ハードウェア用意が必要
- イメージ作成、AWSへのインポート、イメージ化はユーザが行う
- 毎月最低200台利用が必要

運用管理

Windows Update
- 既存ソリューションを活用可能
- Windows Server Update Service（WSUS）
- Microsoft System Center Configuration Manager（SCCM）
アプリケーション
- SCCMなどアプリケーション配布ソリューションを利用するパターン
- イメージのアップデートを利用するパターン
オンプレミスにあるシステムを利用する場合
- オンプレ-AWS間のネットワークトラフィックに注意する

イメージ管理フロー
- カスタムイメージの更新

コストの最適化

請求オプションの選択
- 月額料金（AlwaysOn）：日常業務で常時アクセス
- 時間料金（AutoStop）：一時的なタスクの実行
- 目安として80H/month以上の利用でAlwaysOnが安くなる傾向
Amazon WorkSpaces Cost Optimizer
- WSの使用状況を分析してユーザここの使用状況に応じて請求オプションを自動変換