[レポート] Amazon FSx for Windows File Server について知っておくべきことのすべて #WIN204 #reinvent

はじめに

みなさま Xin chao !

本記事は、AWS re:Invent 2019 のチョークトークセッション 「WIN204 Everything you need to know about Amazon FSx for Windows File Server」 のレポートです。

チョークトークとは

re:Invent のサイトでは、以下の通り説明されています。

チョークトークは、少人数の参加者で行われる、非常にインタラクティブな形式のコンテンツです。各チョークトークでは、最初に AWS エキスパートによる短い講義 (10～15 分間) があり、その後に 45～50 分間の参加者との Q&A セッションが続きます。目標は、実際のアーキテクチャの課題について技術的な討論を促進することです。チョークトークの所要時間は 1 時間で、AWS エキスパートがエキスパートレベルのコンテンツを提供します。

チョークトークは、メインの講師 1 人と、討論の展開に沿って問題と解決策をホワイトボードを使用して説明する 1～2 人の AWS のエキスパートによって行われます。re:Invent 2019 では幾百ものチョークトークが行われるため、興味のある内容を慎重に選び、質問を準備してお越しください。

http://reinvent.awseventsjapan.com/learn/breakout_content/ より抜粋

セッション概要

セッション概要を和訳したものです。

完全に管理されたネイティブ Windows ファイル共有は、多くの IT 組織にとって重要なテクノロジーであり、Microsoft ワークロードを AWS に移行する際に考慮することが重要です。 このチョークトークに参加して、Amazon FSx for Windows File Server つまり Windows アプリケーション用の共有ファイルストレージの起動と使用を簡単にするフルマネージドな Windows ファイル共有サービスについて説明します。 FSx for Windows File Server は、Windows ファイルシステム機能とサーバーメッセージブロックプロトコルのネイティブサポートを提供する Windows Server 上に構築されたフルマネージドなファイルストレージを提供します。 これはインタラクティブな質疑応答セッションですので、質問を持参してください。

スピーカー

• Luis Molina - Senior Partner Solutions Architect, Amazon Web Services
• Boris Nisenbaum - Sr. Solutions Architect, Amazon Web Services

レポート

まずは通常のセッションと同じように、プレゼンテーションから始まります。

アジェンダ

1. Amazon FSx for Windows File Server の概要
2. Amazon FSx デプロイの選択肢
3. Amazon FSx への移行
4. Amazon FSx ユースケース

オンプレミスの Windows ファイルサーバーを管理することは困難である...

• ハードウェアの管理
  • キャパシティの計画
  • ハードウェアの調達と購入
  • ストレージサーバーとボリュームの設定
  • ハードウェア障害の検出と対処
  • 設備投資
• ソフトウェアの管理
  • サーバーソフトウェアのインストールと構成
  • ファイルシステム構成の設定
  • Windows Update の適用
  • ソフトウェアライセンスのマッピング
  • バックアップの管理
  • セキュリティの監視

Amazon FSx for Windows File Server の紹介

Amazon FSx for Windows File Server の概要

フルマネージドな Windows ファイルサーバーで Windows ファイルストレージをリフト・シフトする

• Windows とのネイティブ互換性
• 高速で柔軟なパフォーマンス
• エンタープライズ対応
• 幅広いアクセシビリティ
• フルマネージド

Windows とのネイティブ互換性と機能

Windows Server とのネイティブ互換性

• NTFS
• ネイティブ SMB 2.0 ～ 3.1.1
• Active Directory との統合と Windows ACL 対応
• DFS 名前空間と DFS レプリケーション

Active Directory との統合

• 顧客が管理する Active Directory (オンプレミス & クラウド)
• AWS マネージド Active Directory
• 共有された AWS マネージド Active Directory

高速で柔軟なパフォーマンス

• SSD ストレージで構築
• 高スループット
• 高 IOPS
• ストレージに依存しないスループットの選択
• 一貫したサブミリ秒のレイテンシ

エンタープライズ対応 : 高い可用性と高い冗長性

• ハードウェア障害への継続的な監視と対処
• AZ 内でのデータレプリケーション
• Amazon S3 へのバックアップ
• マルチ AZ デプロイ対応

エンタープライズ対応 : 安全性とコンプライアンス対応

• 保管中と転送中のデータ暗号化
• Active Directory との統合と Windows ACL 対応
• Amazon VPC セキュリティグループによるネットワークトラフィックのアクセス制御
• AWS IAM による Admin API アクセス制御
• AWS CloudTrail による API コールの監視とログ
• PCI-DSS ＋ ISO-準拠 と HIPAA-適合, SOC 1, 2, 3 準拠

幅広いアクセシビリティ : 何がサポートされているか？

SMB 2.0～3.1.1 をサポートするもの

• Amazon EC2
• VMware Cloud on AWS
• Amazon WorkSpaces
• Amazon AppStream 2.0
• Microsoft Windows Server 2008 以降
• Windows 7 以降
• Linux (Samba クライアント)

幅広いユースケースのサポート

• ホームディレクトリ
• 基幹業務アプリケーション
• Web サービスとコンテンツ管理
• ソフトウェア開発環境
• メディアワークフロー
• 分析

Amazon FSx for Windows File Server へのデータ移行

• Robocopy によるファイルコピー
• WinRAR や AWS Snow ファミリーによるパッケージング
• 既存のファイル共有構成の移行

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/migrate-to-fsx.html

※ Amazon FSx for Windows File Server がシングル AZ / マルチ AZ で DFS-R 対応が異なることに注意

ディスカッション

以上でスピーカーの方のプレゼンテーションが終了し、ここからはディスカッションに移ります。 聞き取れた範囲で、実際のやり取りをピックアップしてみます。

まず、スピーカーの方からは、以下のようなスライドがディスカッションのたたき台として提示されました。

そして、次のような趣旨説明が行われます。

• 常に利用者の声に耳を傾けている
• 内容によっては Amazon FSx for Windows File Server の開発チームにフィードバックする
• 実際、AWS のマネージドサービスではないオンプレミス環境の Active Directory や EC2 上に構築した Active Directory への対応などは、RDS ですら対応していないのに FSx では対応を行った
• ただし、ネイティブの Windows でできないことは、Microsoft 側での対応を待つしかない

そして、たたき台として提示した内容の 5. と 7. について、出席者に問いかけます。

FSx を Microsoft AD と一緒にデプロイしたいというニーズはあるか？ アンチマルウェアによるリアルタイムスキャンのニーズはあるか？

• 現時点では、クライアント側でスキャンする必要がある
• ある自動車製造会社では、リアルタイムスキャンが義務付けられてるとか聞いてる
• 要望が高ければ、アンチマルウェアベンダーと検討することもできる

しかし、出席者の反応はほとんどありませんでした...。 アンチマルウェアのリアルタイムスキャンについては欲しい機能だなと考えていたところ、出席者からは別の話題が切り出されます。

FSx のストレージサイズを変更することはできるか？

• 容量が足りなくなったら増やしたい
• ダイナミックに変更できないのはクラウドらしくないのではないか

回答は以下の通り。

• 現時点では、新しい容量で別の FSx を起動してファイルをリストアするしかない (つまりダウンタイムが発生する)
• 同様の声は複数聞いている
• ダイナミックなスケールについては、実現可能性を検討している (取り組んでいるという明言はできない)

以下のアップデートで、ストレージサイズの拡張ができるようになりました！

FSx への接続セッションごとにスループットキャパシティを設定することはできないのか？

• たとえば、基幹システムなどのミッションクリティカルな仕組みからのアクセスには高いスループットキャパシティを割り当て、それ以外からのアクセスは最小限を割り当てる (＝コストを削減する) など

それに対する回答は以下の通り。

• 初めて受ける要望だが、そのようなニーズは他にある？
• コストの問題であれば、先日のアップデートで、最小容量が 300GB から 32GB になったことで、充分満たされるのではないか？
• また、SSD ではなくより安価な HDD 対応についても先日発表した通り

暗号化はどうなっているのか？

• 暗号化に関する説明があったが、実際にどうなっているのか？

回答は以下の通り。

• 保存されているデータは暗号化されている
• 転送中のデータについても SMB 3 であれば暗号化されているし、先日のアップデートで暗号化されていない接続を拒否する機能も追加された

アクセス履歴を確認したい

• いつ誰がどのファイルにアクセスしたのか、履歴が分かるような仕組みはあるのか？

回答は以下の通り。

• 現状では不可能
• AWS で実現するとした場合、CloudWatch で確認できるようになれば嬉しいと思うが...

イベントログを確認することはできないのか？

• FSx の OS のイベントログを閲覧する仕組みはないか？ 例えばハードウェア障害発生時などは確認したくなるのではないか

回答は以下の通り。

• 現状では不可能
• FSx はマネージドサービスなので、OS 部分のログについては利用者側で確認する必要はないのではないか？
• 仮に FSx 側でハードウェア障害が発生しても、利用者側では気づかぬうちにフェールオーバーされる

リージョン間のレプリケーションはできないのか？

• マルチ AZ 構成は対応したが、リージョン間でのレプリケーションはどうしたらよいか？

回答は以下の通り。

• 複数の利用者から同様の声を聞いている
• データストアの構成など、検討事項は多い

シングル AZ 構成を マルチ AZ 構成にできないか？

• マルチ AZ 対応前に構築した FSx を、マルチ AZ 構成に変更できないか？

回答は以下の通り。

• スナップショットからのリストアで行う
• DFS レプリケーション使用の有無については注意が必要

DNS 名を自由に設定することはできないか？

• FSx の DNS ホスト名を設定することはできないか？ 現状では自動的に付与された名前になる

回答は以下の通り。

• 現状では不可能
• 同様の声を聞いている
• 確かに自分で名前を設定したい気持ちは分かる

以上で時間切れとなりました。

さいごに

以上、「WIN204 Everything you need to know about Amazon FSx for Windows File Server」のセッション概要でした。

実は開始時間直前に会場入りしたのですが、最前列がどれも空席でおかしいと思っていたら、このセッションがチョークトークだったと初めて気付きました。 自分でも質問しようと思っていたのですが、他の出席者の方が同様の質問をしていたので残念ながら (？) 質問はできませんでした。