JAWS-UG千葉支部 オンライン #1 Amazon WorkSpaces 勉強会レポート #jawsugchiba #jawsug

JAWS-UG千葉支部 オンライン #1 Amazon WorkSpaces 勉強会のレポートです。環境作成の実演もあり試してみたくなる内容でした!
2020.05.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

JAWS-UG千葉支部 オンライン #1 Amazon WorkSpaces 勉強会 が開催されましたのでレポート致します。

JAWS-UG千葉支部 オンライン #1 Amazon WorkSpaces 勉強会 - connpass

今回はZoomのリモート配信に参加しました。

レポート

Amazon WorkSpaces実践〜ライブ構築もあるよ〜 JAWS-UG 千葉支部 北原 雅人さん

  • 行ってみたいところはチバニアン(早速千葉らしい話題)
  • WorkSpacesの概要
    • AWSが提供しているフルマネージド型のデスクトップサービス
      • 初期投資不要
        • ハードウェアの調達や基盤構築などいらない
        • 1台から使える
      • 事前サイジングは不要
        • 構築後もスケールアップダウンは簡単
      • 様々なOSや構成利用可能
        • Windows / Linux利用可能
        • Windowsはライセンス持ち込みもできる
        • Office付きバンドルも可能
      • AWSの各リージョンで利用可能
        • 東京でもいける
      • 多種多様な接続に対応
        • クライアントアプリでもブラウザでも
        • Zeroクライアントやタブレットなども
        • 一部証明書認証できないのは注意
      • クライアント上のセキュリティを担保
        • HIPAAやPCI等の要件にも対応
        • 証明書やアクセス元IP制限などで高いセキュリティを保つことができる
        • グループポリシーでファイル持ち出し制御なども可能
    • WorkSpacesの構成
      • VPC内に作る
      • Directory Serviceと連携する
      • port443,4172を利用してWorkSpacesエンドポイントに通信する
      • AD Connectorを利用すると既存のADと連携できる
  • WorkSpacesの料金
    • 課金オプション
      • 月額料金と時間料金の2種類
      • 月額料金は固定で無制限利用
      • 時間は少額固定と時間単価
      • 月80時間以上利用する場合は月額がいい
    • OSタイプ
      • 現在はWindows10とAmazon Linux2が利用できる
      • Windows ServerとしてWorkSpacesを利用できるか?
        • 中身はWindows Server 2016だがインスタンスタイプが狭かったりいろんな制約でEC2のほうがいい
    • アプリケーションオプション
      • デフォルトアプリケーション
        • IE11
        • Firefox
      • プラスアプリケーションオプション
        • MS Office
        • Trend Microのウイルスバスター
    • ハードウェアタイプ
      • vCPU、メモリ、ルートボリュームサイズ、ユーザボリュームサイズ、GPUの組み合わせから7種類選択可能
    • 朗報!
      • AWSから50台月額無料!
      • 2020/06/30まで
      • 新規アカウントなどの制約あり
  • WorkSpacesディレクトリ
    • Active Directoryが必要になる
    • AWSで提供しているディレクトリサービスは3種類
      • SimpleAD
        • ユーザをそのまま管理
        • フルマネージドサービスで基盤管理不要
        • ADポリシーを定義することが出来ない
        • 統制は実質出来ない
        • 小規模で始めたい人向け
      • MSAD
        • ADのポリシーを利用したいが既存ADを利用したくない場合に使える
        • フルマネージドでサーバの管理自体は不要
        • 冗長化構成を行うことが出来て可用性が高い
      • AD Connector
        • 既存のユーザ管理、ADを踏襲したい場合に使う
        • AD Connectorはハブとなって既存ADに問い合わせる
        • 既存ADの管理が必要
        • 既存ADと接続するための専用線やVPNが必要
    • ディレクトリサービスの機能
      • 8つの機能
      • ターゲットドメインと組織ユニット
        • どのOUに作成するか
      • セキュリティグループ
        • ディレクトリコントローラーとやり取りするセキュリティグループ以外に設定する場合には設定するが、あまり設定しないかも
      • インターネットへのアクセス
        • WorkSpaces自体がパブリックをもたせる場合には必要
        • VPN経由で出る場合などは無効化推奨
      • アクセス制御のオプション
        • デフォルト無効化されている
        • Webアクセスは無効化されているので必要な場合は有効化する
      • ローカル管理者の設定
        • デフォルトローカルAdmin権限
        • 使わせたくない場合は無効化
      • IPアクセスコントロールグループ
        • ソースIP制限したい場合に利用する
      • メンテナンスモード
        • 起動タイプに応じて動作が変わる
        • Auto Stop
          • 月1回自動起動して実施
        • Always On
          • 自動でアップデート
          • グループポリシーで制御可能
      • ユーザーセルフサービスアクセス許可
        • 利用者がセルフで変更できる項目
        • ディレクトリの有効化を実施した場合、全て有効化されているので注意
          • アカウントを記憶する
          • クライアントからWorkSpacesを再起動する
          • ボリュームを増やす
          • コンピューティングタイプを変更する
          • 実行モードを切り替える
          • クライアントからWorkSpacesを再構築する
        • それぞれ利用料増加につながったりする
        • 再構築(リビルド)と復元(リストア)について
          • リビルド
            • Dドライブをバックアップに戻しルートボリュームをバンドルイメージまで再構築
            • ハングしてどうしようもないときなどに利用
          • リストア
            • DドライブとCドライブをバックアップから戻す
  • WorkSpaces構築
    • やってみたい方は後から公開される資料を見てやってみよう
    • VPCの作成から実施
      • マルチリージョンのサブネットを追加して冗長化できるように
      • インターネットへのアウトバウンドを考慮してインターネットゲートウェイ(IGW)作成してアタッチ
      • ルートテーブルにIGWのルートを追加
    • WorkSpacesの作成
      • 高速セットアップもあるが、ディレクトリサービスを選ぶ場合には詳細設定
      • 簡単にやるためSimpleADを作成
        • ディレクトリのサイズ選択は500台以上使うかどうかで考える
        • 使わなければスモール
        • 組織名とDNSは一意のものを入力
        • NetBIOSは入れなくてもいい
        • 管理者パスワードを入力
        • ネットワークで先程作成したVPC等を選択
        • 作成を実施
        • 5-10分くらいで作成完了する
  • 一旦中断してWorkSpacesのよもやまばなし
    • ルートボリュームが見えない
      • ユーザーはDドライブが見れる
    • 日時がUTC表記のまま
      • タイムゾーンを変更する必要がある
    • 入力キーボードが英語
      • ハードウェアキーボードレイアウトから変更する
    • SimpleADの招待メールが迷惑メールに入ることも
      • 迷惑メールを要チェック
    • クライアントソフトウェア3.0.Xでフリーズ
      • 特定の要因で発生する
      • ハマったらダウングレードして使ったほうがいい
    • ウイルスバスターでプリンタドライバが開けない
      • ウイルスバスターをアンインストールするしかなくなった
    • クライアントソフトウェアのプロキシ(ユーザ認証不可)
      • 対応していないと考える
    • ドメイン管理者の権限不足によるWorkSpaces作成失敗
      • AD Connector利用時に特定OUへの書き込み権限が不足している場合にタイムアウトする
      • デフォルトOU利用など検討
    • 上限緩和が厳しい
      • 実利用ユーザー数や利用方法など詳細に連絡しないと承認されない
  • WorkSpaces構築の続き
    • SimpleADのステータスがActiveになっている
      • 登録がまだなので登録を行う
      • WorkDocsの有効化はここで選択が必要なので注意
    • アクセス制御のオプション
      • Webアクセスを許可して更新
    • WorkSpacesの起動
      • ディレクトリを選択
      • ユーザーを適当に追加
      • バンドルの選択
        • 用途に合わせたOS/スペックを選ぶ
        • 言語はJapanese
      • 今回はAuto Stopを選択
      • イメージ化したい場合は暗号化しない
      • 起動する
    • 10-15分くらいで起動する
    • その間亀田さんにバトンタッチ

Amazon WorkSpaces 最新アップデート アマゾン ウェブ サービス ジャパン 亀田 治伸さん

  • 新しいAmazon WorkSpacesクライアント
    • UIがガラッと変わっておしゃれに
    • PCoverIPのプロトコルの更新
    • 登録コード用のパーソナライズされたラベル
      • 複数環境がある場合にラベリングできる
    • HTML対応強化などのブランディング強化
  • Windows10 デスクトップエクスペリエンスへの移行が可能
    • いまデフォルトではWindows10が起動
    • Windows7からのマイグレーションパスもある
    • デスクトップエクスペリエンス: Windows Serverで動作していて見た目がWindows10
  • Linux向け新しいクライアントのリリース
    • Ubuntu向け
  • WSP(WorkSpaces Streaming Protocol)β
    • PCoverIPに代わるクラウドネイティブプロトコル
    • AWSグローバルインフラを活用し通信を最適化
    • 圧縮エンコードの自動切り替え
    • WorkSpaces上で稼働するストリーム処理をオフロード
      • 圧縮の切り替えなどをうまいことマネージドサービス側で勝手にやる
  • WorkSpacesパブリックAPIのPrivateLink対応
    • 管理系処理をVPCで完結させることが可能に
    • クライアントからのログインはインターネット経由なのは変わらず
  • 異常発生の直前へのロールバックに対応
    • 自動スナップショットに自動でロールバック
  • Microsoftのライセンスポリシ変更によりBYOL変更
    • 変動性が高いので都度都度MSや代理店に確認してください
    • まずはOfficeどうするかを先に検討しておくことがオススメ
    • Office365はライセンス上不可
      • そのため一般的にはG Suiteなどを使うことが多い
  • イメージのリージョン間コピーに対応
    • 個別にインストールするアプリケーションなどを入れた後イメージを作成している
  • アップデートはこれで終わり
    • 余談の提案
    • Cloud on the Beach in Chibaとかいいんじゃないですかね?(笑)

Amazon WorkSpaces実践〜ライブ構築もあるよ〜続き

  • WorkSpaces構築の続き
    • StatusがAvailable
    • メールでアクセス情報が届いているのでリンクを開いてパスワード設定
    • アクセス方法のリンクが出てくる
      • 今回はWebアクセス
      • メールのレジストレーションコードを使う
      • ユーザ名パスワードでログイン
    • WorkSpacesの画面にアクセスできた!
  • クライアントアプリケーションの動作も見ていく
    • 同じようにレジストレーションコードを入れてユーザ名パスワード入力
    • 2重ログインが出来ないのでWebの方のセッションが切れる
    • Webよりはクリアに見える
    • クライアントアプリだとPCの時刻に合わせてJSTに変わってくれる
    • キーボードを日本語に設定してみる
  • QA
    • 画面サイズ変えれる?
      • 変えれます
    • 動画見れますか?
      • 見れます
      • 音声がデフォルトだと無効化されているので有効化する必要がある
    • 複数画面での表示は出来ますか?
    • WorkDocs Dirveを使うことでファイルのアップロード、ダウンロードできるはず
    • dockerは使えますか?
      • 多分無理
    • プリンタは使えますか?
      • ネットワークリーチャブルであれば可能
      • 帯域には注意
      • 帯域制限できるようなパートナー製品があるらしい
    • クリップボード使えますか?
      • デフォルトでは有効化されている
      • 設定で無効化できる
    • ショートカットキーとか使えますか?
      • Winキーとか使える
      • Ctrl+Alt+Deleteはメニューから

まとめ

WorkSpacesについてのノウハウがよくまとまっていて、構築についても実演されたので試して見たくなる、試す自信がつく配信でした!

やってみたいなーと思っていた方はぜひチャレンジしてみてはいかがでしょうか?