LoginSignup
4
0

More than 3 years have passed since last update.

@nkmk1215

Amazon WorkSpacesのオンラインセミナー受けてみた

Posted at

AWS Black Belt Online Seminar Amazon WorkSpaces」の自分向けメモ
Amazon WorkSpaces語感はなんとなく分かるけど......レベルの人向け

デスクトップ仮想化(VDI)の背景

  • セキュリティ向上が目的で注目されるようになった
    • データをローカルに持ち出せない
    • 安価
  • 最近はリモートワークとしてさらに注目されている(働き方改革)

オンプレのVDIの課題

  • 高額な初期投資
  • 利用までに時間がかかる
  • 定期的な大規模システム更改
  • 利用者増減対応が困難
  • サイジングが重要だが困難
    • 業務内容を踏まえたサイジングが困難

概要

  • オンプレの課題の解決を図った
    • クラウド上のデスクトップ環境(いつでも・どこでも)
  • 初期投資不要
  • サイジング、増減が容易
  • デプロイ、管理がシンプル
  • グローバル展開しやすい
  • AWSサービスとの連携が容易
    • WorkSpacesの監視をCloudWatchで行う
  • 価格要素
    • スペック・タイプ
    • 利用時間(MonthlyかHourly)
      • 月80h以下ならHourlyがお得
  • ユースケース
    • モバイルワーク
    • 短期PRJ
    • トレーニング
    • 派遣社員
    • コンプライアンスの準拠
  • 機能
    • シミュレーション、3Dエンジニアリングも耐えうるスペック
    • Amazon Linux 2がベース
    • ブラウザ、Libre Office、AWS SDKが標準搭載
    • セルフサービス管理機能
      • 管理者の負担軽減
    • Windowsを利用することも可能(Bring Your Online Licence(BYOL))
      • ライセンスをAWSに持ち込み、利用することが可能
      • 200台の利用から
      • BYOLが自動化され、2ヶ月かかっていた移行プロセスを大幅改善

利用方法

セットアップ

  1. ディレクトリ作成
  2. ディレクトリにユーザー追加
  3. ユーザーにバンドル割り当て
  4. WorkSpacesの設定
    • 自動停止
    • 暗号化
  5. 起動

WorkSpacesクライアント

  • ネットワーク接続性の確認
  • ユーザー名とパスワードでデスクトップ画面が立ち上がる
    • ブラウザでのアクセスも可能

アーキテクチャ

ログインフロー

  • インターネット経由で接続リクエストが認証ゲートに送られる
  • AWS内で、ディレクトリサービスにリクエストが飛ぶ
  • ディレクトリサービスはドメインコントロール経由でオンプレにDirect Connectでリクエストを投げる
  • 認証情報を入力し、ストリーミングゲートウェイにリクエストを投げる
  • 認証が通ると、Direct Connect経由でDIVがユーザーに見える
  • ストリーミングとそれ以外の通信でネットワークが分かれている

VPC

  • AWS管理VPCとユーザー用VPCがある

ストリーミングプロトコル

  • PCoIPプロトコルを使用
  • 通信の暗号化

冗長構成

  • 認証Gateway、Streaming Gatewayは冗長化済みで考慮不要
  • Directory Service
    • 異なるAZに展開されている
    • WorkSpaces
    • いずれかのサブネットにデプロイされ、全体的には均等分散される
    • Dドライブは12時間ごとにバックアップをとっている
    • Cドライブは起動時の状態に戻る

ディレクトリサービス

  • AWS Directory Serviceを利用したデスクトップ認証
  • AD Connectorを利用した既存ドメイン連携

トラフィックフローとネットワーク接続

デスクトップストリーミング

  • 認証はインターネット経由
  • WorkSpacesからオンプレは専用線
  • 認証も専用線にすることが可能

WorkSpacesからインターネット接続

  • WorkSpacesにEIPを付与(セキュリティ設定は必要)
  • NAT Gatewayを利用
  • オンプレ経由で利用(壁、proxyは既存のオンプレを使う)

セキュリティとアクセス制御

  • ユーザー認証
    • ADドメイン認証
    • MFA
      • RADIUSとの連携
  • IP制限
    • IPアクセスコントロールグループ
    • セキュリティグループ
      • ディレクトリ用
      • WorkSpaces用
  • デバイス制御
    • クライアント証明書
    • デバイスタイプによってアクセス可否設定
  • WorkSpacesのグループポリシー
    • デスクトップやOS上での挙動を制御
      • ローカルプリンターのサポート
      • クリップボードのリダイレクト
      • セッションレジュームのタイムアウト
      • ストリーミングの暗号強度
    • 一般的なWindowsのグループポリシーも利用可能

デザインパターン

ユースケース、要件の収集

  • WorkSpacesの数、予想される増加の程度からサブネットのサイズを決定
  • ユーザーのタイプからペルソナを定義
    • 業務種類
    • 気密性
    • 認証
    • セルフサーボス
    • 端末種類
    • アクセス制限
    • 接続するActive Directoryドメインの数
    • 単一ドメイン、複数ドメイン
    • 既存ドメインの設定ポリシー

AWSアカウントの構造

  • 用途に応じてAWSアカウントを分割、課金はPayerアカウントに集約
  • WorkSpaces用の独立したアカウント
  • ログや認証は共有サービスに集約
  • 全アカウントで一貫したタグ付け

VPC、サブネットの設計

  • WorkSpaces専用VPC作成と複数サブネット
  • 将来の拡張性を考慮したサブネット作成によるIP枯渇を避ける

まとめ

  • フルマネージドなDIVサービス
  • セキュアなデスクトップ環境
  • 初期投資不要、すぐ始められる
  • AWS連携可能
  • 適切なアーキテクチャ設計が重要
4
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
0