[レポート]デスクトップとアプリをAWS EUCへ #reinvent #EUC302

ご機嫌いかがでしょうか、豊崎です。本日はre:Inventの初日(12/2)です。
現地からセッションのレポートをお届けいたします。

セッション情報

 登壇者

  • Jeff Ferris - Sr Mgr, Solutions Architecture, End User Computing, Amazon Web Services

セッション概要

今日のIT組織においては、デスクトップとアプリケーションをAWS EUC(End User Computing)に移動することで、ユーザがどこでも生産性をはっきするようにする必要があります。クラウドの利用によってセキュリティ、スケーラビリティ、パフォーマンスが向上します。このセッションではAmazon WorkSpacesとAmazon AppStream 2.0 の概要とユースケースについて説明をします。また、既存のID、セキュリティ、ネットワーク、そしてストレージに関してAmazon WorkSpacesとAmazon AppStream 2.0についてのベストプラクティスについて詳しく説明をします。
Move your desktops and applications to AWS EUC
IT organizations today need to support a mobile, flexible, global workforce and ensure that their users can be productive anywhere. Moving desktops and applications to AWS offers improved security, scale, and performance with cloud economics. In this session, we provide an overview of Amazon WorkSpaces and Amazon AppStream 2.0, and we discuss the use cases for each. Then, we dive deep into best practices for implementing Amazon WorkSpaces and AppStream 2.0, including how to integrate with your existing identity, security, networking, and storage solutions.

セッション内容

なぜユーザはAWS End-User Computing Services を選ぶのか

  • 私たちの働き方が変わってきている
    • 従業員の65%は柔軟な働き方をすることで生産性が上がるだろうと答えている
    • 2018において仕事の43%はリモートで仕事をしている
    • 16M人の人がネットを通じて仕事を受注している
  • ビジネスのスピードが以前に比べ早くなっている
    • Fortune 500(Fortune誌が発行するアメリカの企業500)に乗っている会社は平均20期
    • 2018年の会社合併による価値=$5T(テラ)
  • セキュリティの重要性が高まり続けている
    • 2018上半期において4.5Bレコードの情報が晒されてしまった
    • データの侵害の34%がデバイスと書類の紛失または盗難によるもの
    • 2018上半期のデータの侵害による損害は$3.8Mにのぼる
  • エンドユーザの需要に合わせるための課題
    • オンプレミスインフラのコスト
    • 複雑なアプリケーション管理
    • 安全ではない個人デバイス
    • 低いユーザエクスペリエンス
  • なぜ消費者はAWS EUCを選ぶのか?
    • いつでもどこでも会社のデータとアプリケーションに好きなデバイスからアクセスできるから
    • データの安全性と複雑さの削減、ユーザの生産性の改善に役立つから
    • 既存のエンドユーザのコンピューティング環境の遷移を加速させるためAWSの真の価値を拡張、または適用します

  • EUCへのクラウド移行について6つの観点
    • どこからでも、どのデバイスでも利用できる
    • スケールすることが可能
    • イノベーションを可能にする
    • セキュリティと管理を改善する
    • ユーザの生産性の向上
    • シンプルな運用

  • EUCサービスのラインナップ
    • WorkSpaces - Desktop
    • AppStream - Applications
    • Worklink - Mobile access
    • WorkDocs - Documents

Workspaces

  • WorkSpaces
    • セキュアなクラウドのデスクトップ
    • 利用した分だけ支払うモデルを選べる
    • シンプルなデプロイと管理
    • 拡張性とパフォーマンス
  • セキュリティの改善
    • ユーザデバイスにセンシティブなデータをおかなくて済む
    • 保存されたデータの暗号化
    • 画面転送時の暗号化
  • 柔軟性
    • 多様なクライアントが利用可能
    • Windows10 or Amazon LinuxからOSを選択可能
    • 複数のバンドルを用意
    • 支払いは月額、時間課金、またはBYOLタイプから選択可能
  • YAMAHAの導入事例
    • パフォーマンスと安定性が以前より向上
    • 短期間での導入が可能だった
    • WorkSpacesには先行投資が不要
    • 利用した時間分のみの請求
    • 以前利用していたオンプレミスのVDIをリタイアさせているところ

AppStream 2.0

  •  AppStream 2.0
    • 安全なアプリケーションのストリーミング
    • 中央管理のアプリケーション
    • 既存のITとの統合
    • インフラを用意することなくスケール可能
  • 複数の利用方法
    • ビジネスで利用するシンプルなアプリの配信
    • 3Dデザインとエンジニアリング
    • ソフトウェアベンダーのトレーニングや、デモなどに利用
    • 教育機関での利用
  • 管理者のワークフロー
    • Image builderでイメージを作成する
    • Image assistantで配信するアプリを選択
    • フリート(指定したイメージを実行するストリーミングインスタンス)の定義
    • スタック(関連付けられたフリート、ユーザーアクセスポリシー、ストレージ設定)
    • AD+SAML または ユーザプールでユーザは配信されたアプリにアクセス

WorkDocs

  • WorkDocs
    • 案件なコンテンツの保管
    • 既存ITとの統合
    • 世界中からアクセス可能
    • 拡張的なSDK
  • WorkDocsを使う方法
    • クラウドへコンテンツを安全に保管
    • 複数人で編集、チームを跨いだシェア
    • ネットワークファイル共有からの切替
  • WorkSpaces+WorkDpcs
    • 組み合わせることで無料枠(50GB)が提供される
    • 1TBへのアップグレードが1ヶ月$2で利用可能
    • WorkDocs Driveを使ってドライブとして利用可能

Deployment considerations

  • シナリオ
    • AWSを利用中
    • オンプレとクラウド(DXで接続済み)の構成
    • ID管理のためのADが存在
    • 4000を超えるユーザ
      • 3割が派遣社員
      • 1割がハイスペック、またはGPUが必要
  • アプローチ
    • セグメンテーションの分割
    • 最初のユースケースを選ぶ
    • パフォーマンスの特性を評価する
    • 試験環境を用意する
    • テストの実行
    • デプロイ
    • 上記を繰り返す

  • 重要な推奨
    • 支払い用アカウント(1つ)と利用環境用アカウント(必要に応じて複数)を分ける
    • 支払い用アカウントには中央管理用のログバケットのみ
    • 利用環境用アカウントは用途、ステージごとにアカウントを分ける

  • サブネットのデザイン
    • 各AZに1つずつsubnetが必要
    • AppStream 2.0 は異なる2つのAZにデプロイすべき
    • サブネットは利用想定数を収容できるように設計すべき

  • Elastic network interfaces
    • WorkSpaces
      • ETH0はサービス用のENI
      • ETH1は利用者のVPCの中にありSGを適用できる
    • VPC内、Peering先のVPC、オンプレミスに対して通信可能
      • ファイルサーバやバックエンドのDB、ライセンスサーバなど

  • Directoryサービスとの統合
    • WorkSpaces
      • ADドメインに参加
      • ユーザがWorkSpacesへ接続するためにAWSのDirectory Serviceが必要です。
    • AppStream 2.0
      • Fleetはドメインに参加するか、スタンドアローンを選べる
      • ADに参加しているFleetはSAML経由してIdpに統合する

  • ActiveDirectoryに関する推奨
    • ADを持っている場合はEC2に拡張
    • クロスアカウントで利用する場合は共有サービスのVPCにpeeringを使って接続
    • ADのサイトとサービスにVPCを定義する
    • ADのOUをサービスとリージョンに分割する

感想

現在、東京リージョンにおいてもWorkSpacesとAppStream2.0を使っている人も多いと思いますが、改めてベストプラクティスを振り返るいい機会になりました。このセッションが誰かのお役に立てば幸いです。