AWS再入門ブログリレー Amazon WorkSpaces 編

当エントリは弊社コンサルティング部による『AWS 再入門ブログリレー 2019』の15日目のエントリです。 テーマは『Amazon WorkSpaces』です。
特集

まさを

2019.07.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

みなさま Xin chao !

当エントリは弊社コンサルティング部による『AWS 再入門ブログリレー 2019』の15日目のエントリです。

このブログリレーの企画は、普段AWSサービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。

AWSをこれから学ぼう!という方にとっては文字通りの入門記事として、またすでにAWSを活用されている方にとってもAWSサービスの再発見や2019年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。

では、さっそくいってみましょう。15日目のテーマは『Amazon WorkSpaces (以下 WorkSpaces)』です。

なお、本ブログでは、サービスを表す場合を WorkSpace's'、個々の仮想デスクトップを表す場合を WorkSpace と表記しています。

目次

WorkSpaces とは

AWS が提供する、フルマネージドの仮想デスクトップサービスです。 ハードウェアの調達や、仮想デスクトップ基盤の構築は不要で、1 台から使い始めることができます。

仮想デスクトップは、Windows または Linux の OS、様々なハードウェア構成、ソフトウェア構成から選択可能です。

Windows の場合、OS や Microsoft Office のライセンス持ち込み (=BYOL) も可能です。

仮想デスクトップへの接続は、お手元のデバイスからクライアントアプリケーション、または、ウェブブラウザを使用して、インターネット経由で行います。

クライアントアプリケーションは、以下のデバイス向けに用意されています。

  • Windows コンピュータ
  • Mac コンピュータ
  • Chromebook
  • iPad
  • Android タブレット
  • Fire タブレット
  • Zero クライアントデバイス

対応ウェブブラウザは、以下の通りです (Windows, Mac, Linux)。

  • Chrome 53 以降
  • Firefox 49 以降

本ブログ執筆時点で、WorkSpaces は以下の 12 リージョンで利用可能となっています。

  • 米国東部 (バージニア北部)
  • 米国西部 (オレゴン)
  • アジアパシフィック (ソウル)
  • アジアパシフィック (シンガポール)
  • アジアパシフィック (シドニー)
  • アジアパシフィック (東京)
  • カナダ (中部)
  • 欧州 (フランクフルト)
  • 欧州 (アイルランド)
  • 欧州 (ロンドン)
  • 南米 (サンパウロ)
  • AWS GovCloud (US)

最新の対応リージョンについては、以下で確認可能です。

リージョン表

料金

WorkSpaces の料金は、課金オプション、仮想デスクトップの OS、ハードウェア構成、アプリケーションオプションにより決まります。

課金オプション

月額料金と時間料金の 2種類から選択できます。

  • 月額料金 (Always On) ・・・ 月額固定料金を支払うことで無制限に利用可能
  • 時間料金 (Auto Stop) ・・・ 少額の月額固定料金 + 利用時間に応じた時間単価

月額料金と時間料金でどちらが安価になるか、利用時間による分岐点の例を挙げます。 いずれも、本ブログ執筆時点での東京リージョンの WorkSpaces の料金で算出しています。 おおよそ 80 時間/月 を超える使い方だと、月額料金の方が安価になっています。

バンドル 月額料金 時間料金 分岐点 (利用時間がそれ以下なら「時間料金」が安価)
Linux バリュー (1vCPU, 2GiB メモリ, 80GB+10GB ボリューム) 30 USD 10 USD/月 + 0.25 USD/時間 80 時間/月*
Linux スタンダード (2vCPU, 4GiB メモリ, 80GB+50GB ボリューム) 43 USD 14 USD/月 + 0.36 USD/時間 80 時間/月
Windows バリュー (1vCPU, 2GiB メモリ, 80GB+10GB ボリューム) 34 USD 10 USD/月 + 0.30 USD/時間 80 時間/月*
Windows スタンダード (2vCPU, 4GiB メモリ, 80GB+50GB ボリューム) 47 USD 14 USD/月 + 0.40 USD/時間 82 時間/月

* 分岐点の時点で月額料金と時間料金が同額

 

仮想デスクトップ OS

Windows または Amazon Linux から選択できます。

ハードウェア構成

vCPU、メモリ、ルートボリュームサイズ、ユーザーボリュームサイズ、GPU の組み合わせの中から選択します。

アプリケーションオプション

仮想デスクトップ OS として Windows を選択した場合、プラスアプリケーションの有無を選択できます。

デフォルトのアプリケーション Internet Explorer 11, Firefox, 7-Zip (2020/4/3 以降は 7-Zip が含まれなくなりました)
プラスアプリケーション Microsoft Office Professional, Trend Micro Worry-Free Business Security Service, デフォルトのアプリケーション

 

具体的な料金については、以下をご参照ください。

Amazon WorkSpaces の料金

なお、後述の通り WorkSpaces には AWS Directory Service (以下 Directory Service) が必要になるため、選択した Directory Service により、Directory Service の料金も発生します。

AWS Directory Service の料金

一方で、WorkSpaces のユーザーには、追加料金なしで 1 ユーザーあたり 50 GB の Amazon WorkDocs (以下 WorkDocs) のストレージを利用可能です。

Amazon WorkDocs 料金

通信要件

WorkSpaces にクライアントアプリケーションで接続する場合、接続元のデバイスからインターネットに対し、以下のアクセスが必要です。 既存の組織内ネットワークから接続する場合、ネットワーク運用ポリシーなどにより接続が許可されていない場合もあるので、WorkSpaces 接続用の別ネットワークを用意することも選択肢としたうえで、接続元の環境を用意する必要があります。

  • TCP 443 - クライアントアプリケーションの更新、登録、認証に使用
    • プロキシサーバーの使用をサポート
  • UDP/TCP 4172 - WorkSpaces デスクトップのストリーミング、および、ヘルスチェックのストリーミングに使用
    • プロキシサーバーの使用を未サポート

通信要件の詳細については、以下をご参照ください。

Amazon WorkSpaces のポート要件

 

ウェブブラウザでアクセスする場合、接続元のデバイスからインターネットに対し、以下のアクセスが必要です。 Webプロキシ経由でインターネットにアクセスする場合、認証が必要な Webプロキシには対応していません。 また、本ブログ執筆時点においては、Chrome のみが Webプロキシ経由での通信をサポートしており、Firefox はサポートしておりません。

  • UDP 53 - DNS サーバーへのアクセスに使用
  • UDP/TCP 80 - http://clients.amazonworkspaces.com への最初の接続に使用され、その後に HTTPS に切り替え
  • UDP/TCP 443 - 登録および認証に使用

ウェブブラウザででのアクセスの詳細については、以下をご参照ください。

Amazon WorkSpaces Web Access

WorkSpaces の構成要素

WorkSpaces 環境の構築にあたり、以下の用語が出てきます。

  • ディレクトリ
  • イメージ
  • バンドル

ディレクトリ

WorkSpaces には、ユーザー認証のためのディレクトリが必要になります。

以下の Directory Service から選択可能です。

  • Simple Active Directory (以下 Simple AD) - WorkSpaces を使用するための必要最低限のディレクトリサービス、かつ、仮想デスクトップ OS に Windows のみ使用する場合
  • Directory Service for Microsoft Active Directory (以下 Microsoft AD) - 既存の Active Directory との信頼関係や多要素認証など、Simple AD では対応できない機能を使う可能性が残されている場合
  • Active Directory Connector (以下 AD Connector) - オンプレミス環境または Amazon EC2 上に構築された Active Directory ドメインコントローラを使って認証する場合

WorkSpaces とともに Simple AD または AD Connector を使用した場合、一定の条件の下で Directory Service の利用料は課金されませんが、WorkSpaces 用に新規で Directory Service を用意する場合、利用料だけでなく制約事項も考慮の上で Simple AD で充分であると明確に判断できない限り、Microsoft AD を選択するのが無難です。 Simple AD および AD Connector の利用料が課金されない条件については、以下の URL をご参照ください。

その他のディレクトリタイプ の料金表

 

ディレクトリがどのような構成になるかは、以下の弊社のブログに詳しくまとめられていますので、ご参照ください。

イメージ

OS および アプリケーションがインストールされた、(ディスク) イメージです。

既存のバンドルから起動した WorkSpace に、アプリケーションのインストールや設定の変更を行い、それを基にカスタムイメージを作成することが可能です。

Windows の場合、作成されたイメージは Sysprep (≒Windows 上の固有情報を削除し一般化する) 済みとなるため、Sysprep に未対応のアプリケーションは、イメージに含めることができません。

バンドル

イメージ+ハードウェア (CPU・ストレージ・GPU) の組み合わせとして定義したものです。 各 WorkSpace を起動する際に、WorkSpaces で提供されている既存のバンドルを選択することも、あるいは、カスタムイメージから作成したカスタムバンドルを選択することもできます。

アプリケーションの更新や追加を行った後、新しいカスタムイメージを作成し、バンドルの更新 (≒新しいカスタムイメージへの差し替え) +各 WorkSpace の再構築を行うことにより、変更点を反映させることができます。

 

イメージとバンドルの関係については、以下の弊社のブログにまとめられていますので、ご参照ください。

Let's try !

では実際に WorkSpaces を起動してみます。 今回は、以下のようなシンプルな構成で起動します。 事前に、VPC、インターネットゲートウェイ、サブネット、ルートテーブルの作成・設定を済ませた状態から始めます。

 

AWS マネジメントコンソールで [詳細設定] から進めていきます。 今回は、ディレクトリサービスとして、Simple AD を選択します。

 

ディレクトリ情報を入力していきます。

 

Simple AD を起動するサブネットとして、パブリックサブネット 2つを選択します。

 

内容を確認し、[ディレクトリの作成] をクリックします。

 

AWS マネジメントコンソールで [WorkSpaces] → [ディレクトリ] とたどり、ディレクトリの作成状況を確認します。

しばらく待つと、ステータスが "Requested" → "Active" に変わり、ディレクトリの作成完了となります。

 

作成したディレクトリを選択した状態で、[アクション] → [登録] をクリックします。

 

WorkSpaces を起動するサブネットとして、パブリックサブネット 2つを選択します。

また、今回は "セルフサービスのアクセス許可の有効化" および "Amazon WorkDocs の有効化" を、既定の "はい" のまま進めます。 ここで WorkDocs を有効化することにより、前述の通り WorkSpaces ユーザーが追加料金なしで WorkDocs を利用できるようになります。 なお、"セルフサービスのアクセス許可の有効化" および "Amazon WorkDocs の有効化" の設定を後で変更したい場合、すべての WorkSpace を削除したうえでディレクトリを登録解除+(再)登録を行う必要がありますので、実運用環境を構築する際は、十分注意願います!

 

"登録済み" が "はい" になったことを確認します。

 

"インターネットへのアクセス" が "有効" になっていない場合、[アクション] - [詳細の更新] から "有効" に変更します。

 

[WorkSpaces の起動] をクリックします。

 

先ほど作成したディレクトリを選択します。

 

各 WorkSpace 用のユーザーを作成します。

 

作成したユーザーを WorkSpace に追加します。 ユーザーのパスワードは、ここで設定することなく、後述の手順で利用者側で設定します。

 

使用するバンドルとして、今回は "Standard with Windows 10" の日本語を選択します。

 

実行モード (=課金オプション) として、今回は "Auto Stop" (=時間料金) を選択します。

 

内容を確認して、[WorkSpaces の起動] をクリックします。

 

ステータスが "PENDING" → "AVAILABLE" になるまで待ちます。 今回試した際には、約 15 分かかりました。

 

ステータスが "AVAILABLE" になると、ユーザー作成時に入力したメールアドレスに以下のようなメールが届きます。 メール本文の "1. ユーザーのプロファイルを入力し、次のリンクから WorkSpaces クライアントをダウンロードします。" に記載されている URL をクリックします。

 

URL をクリックすると、パスワードの設定を求められるので、好みのパスワードを入力し [ユーザーの更新] をクリックします。

 

クライアントアプリケーションをダウンロードする画面が表示されるので、お使いのデバイスに合ったものをダウンロードし、インストールします。

 

クライアントアプリケーションを起動し、メールに記載されていたユーザー名、先ほど設定したパスワードを入力し [Sign In] をクリックします。

 

WorkSpace に接続できました。

 

WorkSpace を停止する際は、OS 上からシャットダウンを行うか、AWS マネジメントコンソール上で対象の WorkSpace を選択した状態で [アクション] - [WorkSpaces の停止] を行います。

停止されると、AWS マネジメントコンソール上でステータスが "STOPPED" になります。

 

再度 WorkSpace に接続する場合、WorkSpace は停止状態のままで問題ありません。 接続すると、自動的に WorkSpace が起動されます。 停止状態から起動に要する時間は、数分程度です。

事前に AWS マネジメントコンソール上で WorkSpace を起動させておくことも可能です。 対象の WorkSpace を選択した状態で [アクション] - [WorkSpaces の起動] で起動可能です。

WorkSpaces 利用にあたっての考慮点

インストールするアプリケーション

WorkSpaces で提供される Windows のデスクトップエクスペリエンスは、Windows Server で提供されるため (Windows 7 は Windows Server 2008 R2、Windows 10 は Windows Server 2016)、クライアント OS 上のみに動作を制限しているような一部プリケーションは、インストールまたは実行ができない場合があります。

またそれ以外に、アプリケーションのライセンスルールに関しても注意が必要です。 各 WorkSpace 上に問題なくインストール可能なアプリケーションでも、ライセンスルール上、仮想デスクトップ環境へのインストールが許可されていない場合もありますので、事前にライセンスルールを確認しておくことをお勧めします。

WorkSpace の管理

WorkSpace の数の増加に比例し、管理者の方の負荷増加が課題となりますが、以下の設定により、一部の運用負荷を WorkSpace の利用者側に移譲、あるいは軽減することが可能です。 一部項目においては、WorkSpaces の利用料金に影響するため、お使いの組織の運用ポリシーに合わせて設定します。

  • ユーザーセルフサービスアクセス許可
    • このアカウントを記憶する - 利用者がクライアントで認証情報キャッシュできるようにする
    • クライアントから WorkSpace を再起動する - 利用者がクライアントから WorkSpace を再起動できるようにする
    • ボリュームサイズを増やす - エンドユーザーがボリュームサイズを大きくできるようにする
    • コンピューティングタイプを変更する - エンドユーザーが Value, Standard, Performance, Power および PowerPro WorkSpaces のいずれかを選択できるようにする
    • 実行モードを切り替える - エンドユーザーによる Always On (=月額料金) と AutoStop (=時間料金) の切り替えを許可する
    • クライアントから WorkSpace を再構築する - ユーザーがクライアントから WorkSpace を再構築できるようにする
  • ローカル管理者の設定 - WorkSpace ユーザーをローカル管理者に設定する (ローカル管理者権限のないユーザーは WorkSpace 上でアプリケーションをインストールしたり、設定を変更することができません)
  • メンテナンスモード - AutoStop (=時間料金) に設定された WorkSpaces を毎月 1 回自動的に起動し、最新の Windows 更新プログラムが適用されて最新の状態に保たれます
  • インターネットへのアクセス - 各 WorkSpace にパブリック IP を割り当て、インターネットゲートウェイを使用している場合に、各 WorkSpace からのインターネットアクセスが可能になります

インターネットアクセス

前述の "インターネットへのアクセス" を有効化することにより、各 WorkSpace からインターネットにアクセス可能になりますが、URL フィルタのような仕組みはありません。 組織の運用ポリシーにより接続先を制限したい場合、オンプレミス環境と同様に URL フィルタ等の仕組みが必要になります。

一方で、"インターネットへのアクセス" を無効化した場合、Windows Update による更新プログラムの適用ができなくなるため、別途 WSUS や 資産管理ソフトなどによる Windows 更新プログラム適用の仕組みが必要になります。 なお、前述の "メンテナンスモード" による Windows 更新プログラムの適用も、Windows Update により行われます。 また、プラスアプリケーションオプションに含まれる Worry-Free Business Security Service の更新も行われなくなるので注意が必要です。

設定単位

上記の "WorkSpace の管理" で紹介した各設定は、いずれもディレクトリ単位での設定となるため、各 WorkSpace 単位で設定することができません。 設定を分ける場合、複数のディレクトリを用意し、適したディレクトリ配下で各 WorkSpace を起動させる必要があります。

さいごに

以上、『AWS サービス別 再入門ブログリレー 2019』の15日目のエントリ『Amazon WorkSpaces編』でした。

元インフラ屋の立場から考えると、ゼロから仮想デスクトップ環境を構築するにはそれなりのハードウェアの調達と、それなりの作業工数が必要で、ある程度の利用規模がないとコストパフォーマンス的に厳しくなりがちですが、WorkSpaces は 1台から利用できるので、様々な場面で活用できる可能性のある便利なサービスだと思います。

明日、7/23 は青柳英明の「DeepRacer」編です。お楽しみに!!

 

AWS

関連記事

AWS入門ブログリレー2024〜Amazon WorkSpaces Family編〜

Takuya Shibata

2024.03.29

Amazon WorkspacesへのCloudWatchエージェントの利用およびWorkspacesイメージ作成時の注意点

suto

2024.03.27

[アップデート]WorkSpaces用のCloudWatch自動ダッシュボードが強化されました

岩城 匠朗

2024.03.15

[บริการใหม่] เปิดตัว Amazon WorkSpaces Thin Client บริการจัดการ Thin Client ของ Amazon #AWSreinvent

Piyachart Temwipartsiri

2024.02.23