[レポート] BAP323 – Amazon WorkSpaces と AppStream 2.0 を使用してデスクトップとアプリケーションを AWS に移動する #reinvent

こんにちは。池田です。本記事は現地時間2018/11/26-30で行われた re:Invent 2018 のセッション BAP323 - Move Your Desktops and Applications to AWS with Amazon WorkSpaces and AppStream 2.0（ Amazon WorkSpaces と AppStream 2.0 を使用してデスクトップとアプリケーションを AWS に移動する）のレポートです。

概要

IT organizations today need to support a modern, flexible, global workforce and ensure that their users can be productive anywhere. Moving desktops and applications to the AWS Cloud offers improved security, scale, and performance with cloud economics. In this session, we provide an overview of Amazon WorkSpaces and Amazon AppStream 2.0, and we discuss the use cases for each. Then, we dive deep into best practices for implementing Amazon WorkSpaces and AppStream 2.0, including how to integrate with your existing identity, security, networking, and storage solutions.

動画・資料

セッション資料は以下に公開されています。
動画YouTube

登壇者

Jeff Ferris - Sr Manager, Global Solutions Architecture, AWS

Agenda

• Overview of Amazon WorkSpaces
• Overview of Amazon AppStream 2.0
• Active Directory integration
• Access to corporate resources
• Bringing it all together

はじめに

Business landscape is changing

まずビジネスを取り巻く状況や働き方の変化について触れています。

• Evolving workforce
  • 43% of US employees worked remotely in 2016
• Dynamic organizations
  • Global mergers and acquisitions reached $3.7T in 2017
• Security threats
  • In 2017, the average data breach cost $3.62M WannaCry ransomware attack estimated to have cost $4.0B

What’s not working?

続いて現状の問題点を整理。

• Personal computers
  • Manage inventory
  • Secure endpoints
  • BYOD is complicated
  • Data must be backed up
  • Expensive to scale
• On-premises VDI
  • Upfront investment
  • Weeks to deploy
  • Requires management
  • Servers must be secured
  • Expensive to scale
• Data storage
  • Stored on multiple devices
  • Limited control
  • Accessing large files
  • Collaborating
  • Hard to secure

これらを解決するソリューションとして AWS が提供している3つのサービスが挙げられています。

• Amazon WorkSpaces
  • Fully managed, secure virtual cloud desktops running on AWS
• Amazon WorkDocs
  • Secure file collaboration and management, simplified
• Amazon AppStream 2.0
  • Easily stream desktop applications to any device running a web browser

Amazon WorkSpaces

まずは Amazon WorkSpaces を利用するメリットの紹介。
概ね、下記サイトで紹介されている内容かと思いました。
Amazon WorkSpaces

続いて End the PC lifecycle treadmill として紹介されたのが以下です。「あぁー、言われてみるとそうだよなぁ。」と改めて感じました（セッション動画では一瞬で消えましたけれどw）。

• 2〜4年ごとに必要になる（発生する）こと
  • Start PC refresh
  • Deploy new technology
  • Inventory management
  • Build and images
  • Service desk support
  • Retirement

一方で、Amazon WorkSpaces の利点として以下が紹介されていました。

• Extend the life of your client hardware
• Support BYOD（ Bring Your Own Device のこと。従業員が所有している端末を業務でも利用することを指す。）
• Use PCs, macOS, tablets, Chromebooks, and zero clients
• Support self-service
• Quickly scale up or down
• Use perpetual PCs in the cloud
• Move to OPEX model （ Operating Expense 事業を継続していく上で必要となる業務費や運用費と呼ばれるもの。）

Amazon WorkSpaces use cases

ユースケースとして、以下のような紹介がされていました。

• Modern organizations
  • Global organizations
  • Mobile workers
  • M&A activity
  • Developer productivity
• Project-based work
  • Temporary workers
  • Contractors
  • Training
• Security and compliance
  • Secure applications and data
  • Support BYOD
  • Meet compliance requirements

ユースケースの他に、Caltex や Guttman labs などでも Amazon WorkSpaces が利用されていると紹介されています。
下記の写真は Venetian で2017年に撮影された WorkSpaces Lab のものですが、どうやらドローンで撮影されたもののようです。

Plays well with existing tools

Amazon WorkSpaces integrates easily with your on-premises

既に Windows を使っている環境であれば、以下に挙げられたような既存のツールやシステムとの連携もスムーズです。

• Intranet
• Microsoft Active Directory
• Multi-factor authentication (MFA) (RADIUS)
• SCCM
  • （ Microsoft System Center Configuration Manager ）
• Certificate authority

Improves security

Amazon WorkSpaces encrypts data and streams, and keeps information off devices

また、セキュリティ面でも次のようなメリットがあります。

• No sensitive data on users’ devices
  • これは万が一、利用者が端末を紛失してしまった場合や破損してしまった場合にも重要なデータを失わないこととなります
• Storage encrypted at rest
  • Amazon WorkSpaces 上に保管されるデータも暗号化されるので、コンプライアンス面でも安心です
• Desktop stream encrypted in transit
  • 端末と Amazon WorkSpaces 環境の通信自体も暗号化されることで、盗聴対策もされています

また、これらセキュリティ対策の裏付けとして次のような各種認証を取得しています。

Flexible billing options

Amazon WorkSpaces には用途に合わせた支払方法が用意されています。それぞれの支払方法に適している用途が紹介されています。

• Monthly Best for
  • Full-time staff
  • Simplifying your AWS bill
  • Instant access
  • Running scheduled tasks
• Hourly Best for
  • Students and part-time staff
  • Optimizing your AWS bill
  • Quick access
  • Running ad hoc tasks

Amazon WorkDocs

Secure, fully managed, file collaboration and management service with an extensible SDK

Amazon WorkSpaces に適した（統合された）ファイル管理ツールとして Amazon WorkDocs とその利点が紹介されています。

• 50 GB free tier for Amazon WorkSpaces users
• Upgrade to 1 TB for $2 per user / month
• Amazon WorkDocs Drive can be a default user storage solution

上記のほか、必要以上の機能を備えたエンタープライズ向けコンテンツマネジメントシステムなどを購入せずに済むといった利点も補足されています。

Amazon AppStream 2.0

AppStream differs from WorkSpaces in that it is a non persistent environment for streaming applications

Amazon AppStream 2.0 は例えるなら、特定のデスクトップアプリケーションに特化したシンクライアントと考えられるのではないでしょうか。特徴や利点として以下が挙げられています。

• Stream desktop applications securely to any web browser
• Pay as you go
• Secure applications and data
• No infrastructure to manage
• Scale globally

• Benefits of Amazon AppStream 2.0

  • Import existing apps with no changes or rewrites and start streaming
  • Integrates with existing apps, identity, entitlements, and backend
  • No hardware or software to install add your apps and start streaming
  • One streaming instance per user （ no shared instances ）

Amazon AppStream 2.0 use cases

• Business and public sector
  • Managed streaming solution for desktop applications
• ISVs （ independent software vendor ）
  • Move desktop applications to cloud with no rewrite
• Design and engineering
  • Pre- and post-process visualization on AWS

ユースケースの具体例として、ソフトウェアベンダーによるアプリケーションのデモ、従業員や顧客向けトレーニングの提供なども挙げられています。

Multiple instance families

提供されているインスタンスについて、以下のように紹介されています。目的、用途に応じて適切なインスタンスタイプが選択できるようになっています。

• One session: One VM = Consistent performance
• Match app workload to instance characteristics:
  • General purpose – Knowledge worker apps
  • Compute optimized – Compute-bound applications that benefit from high-performance processors
  • Memory optimized – Applications that process large datasets in memory
  • Graphics optimized – High graphics requirements

Deployment considerations

Amazon WorkSpaces と Amazon AppStream 2.0 について特徴が整理されました。続いてはどちらを導入するか、検討をするために考慮すべき点の解説がされています。

The scenario

• Existing AWS customer
• Hybrid architecture, mix of applications on premises and in the cloud
• Existing Active Directory environment for Identity
• AWS Direct Connect already in place
• 4,000+ users
  • ~30% contingent workforce
  • ~10% with high performance or GPU workloads
• その他の条件
  • BYOD
  • Mergers and acquisitions
  • Mobile workers
  • Temporary workforce
  • Secure access

このシナリオでは、利用者には地理情報システムのデータサイエンティストもいるため、GPU や高性能な計算能力が必要ということです。

The approach

• Decide on user segmentation
• Select the initial use cases
• Evaluate performance characteristics
• Build the pilot solution
• Run user acceptance testing
• Deploy
• Iterate!

上記のほか、システムに関する様々な要望や不満が従業員から出ているなど、かなり現実的な背景もこのシナリオに含まれていると語られています。

AWS account structure

Network design – Subnets

ネットワーク設計において注意すべき項目として、Amazon WorkSpaces と Amazon AppStream 2.0 両者の違いにも触れられています。

• Amazon WorkSpaces requires two subnets in different Availability Zones.
• Amazon AppStream 2.0 should be deployed across two subnets in different Availability Zones.
• Size subnets to accommodate the target end- state capacity.

Elastic network interfaces

• An instance in either service has two network interfaces
  • ETH0 is the service interface
  • ETH1 is the interface in your VPC
• Routing rules and security groups affect ETH1 you have full control of this interface
• User traffic can route to file servers, backend databases, licensing servers, and so on, either in your VPC, in a peered VPC, or on premises

Directory integration

最後に、Active Directory との統合に際しての推奨事項が紹介されています。

• Active Directory recommendations
  • Extend your Active Directory into AWS on Amazon EC2 instances
  • Use cross-account VPC peering for communications to a Shared Services VPC
  • Define your VPCs in Active Directory Sites and Services
  • Separate Active Directory OUs by service and region

おわりに

実はこのセッション資料を見聞きするまで、Amazon WorkSpaces と Amazon AppStream 2.0 それぞれは理解したつもりでしたし、理解した上で利用しているつもりでした。ですが改めて双方の違いや適したユースケースなどについて整理していくと、まさに「わかったつもりだった」ということを認識しました。これを機に、それぞれの特徴などをまとめ直してAWS再入門シリーズに加えたいと思います。