TOP>コラム一覧>Amazon WorkSpaces始めます(その1)

Amazon WorkSpaces始めます(その1)

こんにちは、園田です。
リモートワークの需要が高まっている中、もっと安全・快適にリモートワークしたいというお客様も多いのではないでしょうか。

とはいえ
「サービスを利用した場合、自社の要件に合うようカスタマイズできるのか心配」
「VDI環境を構築する場合、初期費が掛かりすぎる。途中で辞めれない」
など、色々悩んでいるIT担当者もおられると思います。

今回は今更ですが、AWSから提供されているVDIサービスであるAmazon WorkSpacesをご紹介したいと思います。WorkSpacesは費用が安いというわけではありませんが、クラウドのメリットである使った分の従量課金という導入のし易さ、およびお客様の要件にカスタマイズ可能という柔軟性を併せ持ったサービスとなります。

ちなみに本記事はWorkSpacesに興味があるお客様向けになります。設計要素は含みますが、技術的な設定等については詳細記載していないところがありますのでご了承ください。

Amazon WorkSpacesとは

Amazon Web Services(以下、AWS)が提供している「フルマネージド型仮想デスクトップサービス」であり、以下の特徴を持っています。

1.初期投資不要で、1台から始められる

AWSを利用したお客様ならわかると思いますが、他のサービスと同様初期費は掛かりません。ちょっと試してみたいなと思った場合、AWSのアカウントさえあれば、1台/月額$34(2020年12月時点の東京リージョンでの費用)から利用可能です。

2.事前サイジング不要。スペック変更が容易

WorkSpacesはWindowsサーバOS上のデスクトップエクスペリエンスとなるため、最小スペックである1vCPU/2Gメモリでも問題なく利用可能です。とはいえ、もっとマシンスペックが欲しいといった場合、すぐに変更可能ですので、事前サイジングは不要です。
(ただし変更にはマシン停止、および最大30分程度かかるので注意が必要。また、費用を出すためにはある程度のサイジングは必要です。)

3.AWSの各リージョンで利用可能

日本、北米、南米、アジア、ヨーロッパなど、AWSが提供している代表的なリージョンでWorkSpacsesが利用可能です。

企業によっては、海外に支店があり海外のユーザもVDIを利用したい、という要件があるかと思います。 ただ、日本へアクセスする場合は速度に課題が…というお客様の場合、海外ユーザ用にWorkSpaces環境を構築することも可能です。

日本の拠点と専用線で接続したいといった場合もAWSの場合、DirectConnect Gatewayを使えば海外リージョンとも専用線で気軽に接続できるので安心です。

4.Officeバンドルモデル、GPU搭載マシンなどを利用可能

Officeバンドルが+$15/月で利用が可能です。また、GPUを搭載したマシンも選択可能など、業務にあわせて様々なスペックの クライアントを利用可能です。
これまではマシンスペックが高くないと業務が出来ない・CAD等専用マシンでないと業務が出来ないという要件があったため、 VDI化を諦めた場面であってもWorkSpacesであれば対応可能です。

Amazon WorkSpacesの費用

WorkSpaces(Windows、東京リージョン)の費用について代表的なものは以下の通りです。

WorkSpacesは月額料金(固定)と時間課金の2つのタイプが存在します。1カ月のうち数日しか利用しない、といった場合時間課金の方が安くなりますが、大体80時間程度(約10営業日)以上利用する場合、月額のメニューより高くなってしまいます。
そのため、利用用途に合わせて選択するのが良いでしょう。

BYOL版については1台当たり4ドル/月の値引きされる形となりますが、200台以上からのみ利用可能。また、Microsoftの持ち込み許可条件が複雑なことから基本推奨しません。


※Plusアプリケーションバンドルを選択時、上記価格から「 + $15/月」が発生
バンドル利用時、Trend MicroおよびMicrosoft Office Professionalを利用可能

Amazon WorkSpaces利用時の概要

WorkSpacesを利用する際の概要はおおよそ以下のような形になるかと思います。

1.ユーザがインターネット経由でWorkSpacesのエンドポイントにアクセス

TCP 443/4172、UDP 4172での通信を実施します。お客様拠点から接続する場合、TCPの443についてインターネット接続が許可されているかと思いますが、TCP/UDPの4172については接続できない場合もあるかと思いますので注意が必要です。

2.AWSが用意する認証レポジトリに対し認証を実施(ユーザID、パスワード)

認証先をリダイレクトし、オンプレミスにあるActiveDirectory等へ向けることも可能です。

3.その他、認証を実施

ユーザID、パスワードだけの場合セキュリティが不安といった場合、多要素認証先を設定することも可能です。

4.すべての認証を実施後、専用のWorkSpacesクライアントにアクセスが可能

WorkSpacesは必ずAWS上の特定セグメント(サブネット)に作成されますが、DirectConnectやVPNでオンプレミス拠点と接続していれば、既存の情報システム環境にもアクセス可能です。

次からはいよいよ設計に入りたいと思います。

Amazon WorkSpaces設計(レポジトリ)

まずはWorkSpacesの認証先(レポジトリ)を何にするかの設計から始めます。

種類としては以下の3つが選択可能です。なお実際にはその中で「スモール」と「ラージ」が選択できます。スモール、ラージについては500人以下の場合はスモール。それ以上の場合は、ラージを選択しておけばよいかと思います。ラージはディレクトリ利用料(100 人以上のアクティブユーザーが各月に必要)がかかってしまうので、テスト時はスモールで実施するのが良いかと思います。

  • 1. Simple AD : Samba4ベースのディレクトリサービス

  • 2. MSAD : Microsoft Active Directoryのマネージドサービス

  • 3. AD Connector : お客様のActive Directoryにリダイレクトするディレクトリ

以下でそれぞれの特徴と選択するポイントについて見ていきましょう。

1. Simple AD

ユーザをマネジメントコンソール上で作成することが可能です。パスワードは初期登録時にユーザに通知され、ユーザ自身で設定する形になります。パスワードを忘れた場合もAWSが初期化画面を用意してくれています。基本利用者がコントロールするという面から考えて、外部利用者がWorkSpacesを利用する際のリポジトリとして利用するのが良いのではないでしょうか。

なお、このSimple ADを利用した場合、多要素認証の連携は実施できません。(証明書は利用可能です。)また、グループポリシーの設定は可能ですが、 きめ細かなパスワードポリシーが設定できないなどADのすべての機能が利用できるわけではありません。

そのため、基本的にはWorkSpacesをシンプルに利用したいという要件の場合、このSimpleADを選択する形になるかと思います。

2. MSAD

マネージド型の Microsoft Active Directoryとなります。
オンプレミスのADと環境を分けたい、もしくは今後のADはMSADを利用するといった場合、このMSADを利用する形になるかと思います。

Windows Server 2012 R2 を利用して他のドメインとの信頼関係を結ぶことも可能です。マネージドサービスとなるため、バックアップ等についてはAWSにて取得してくれるため運用が楽になります。

多要素認証を含む、すべての機能が利用可能です。

3. AD Connector

既存のADに認証をさせたい場合、このAD Connectorを利用する形になります。
AD Connectorは認証先をリダイレクトするものとなるため、 WorkSpacesクライアントは既存のADドメインの参加する形となり、グループポリシーも既存のものを適用可能です。

全社ユーザWorkSpacesを利用するなど、ユーザの一元管理をしたい場合、このAD Connectorを利用する形になるかと思います。

Amazon WorkSpaces設計(クライアント設置セグメント)

続けてクライアント設置セグメントの設計を行います。

WorkSpacesのクライアントは基本Directoryサービスを設置したセグメント(サブネット)に自動的に作成される形となります。

Directoryサービスを利用するためには、2つのセグメント(サブネット)を選択する必要があるため、「/24」のサブネットの場合、約500台のWorkspacesが利用可能となります。「/24」サブネットにDirectoryサービスを配置した場合、これ以上のクライアントを作成することはできません。そのため、ある程度余裕持ったセグメント(サブネット)設計が必要になります。
なお、AD Connectorを利用している場合、別のAD Connectorを作成することでクライアントを作成するということは可能です。ただ、基本は利用時から今後の利用予定を見越して設計する必要があります。

ちなみに、Directoryサービスは複数作成することが可能です。WorkspacesはクライアントのIPアドレスについては設定することが出来ないため、例えば特定の部署のユーザについてはシステム利用を制限したいなどの要件があった際にIPでのフィルタリングを実施することが出来ません。

その場合、部署ごとにDirectoryサービスを作成することで、セグメント(サブネット)単位でIPを固定することが可能です。また、Directoryサービス単位で多要素認証の設定等もできますので、設定するポリシーが異なる可能性がある場合は複数のDirectoryサービスの利用を検討するのも良いかと思います。
なお、1つのセグメント(サブネット)に複数のDirectoryサービスを設置も可能です。(クライアントの設置上限台数がコントロールできないため、ある程度の余裕が必要)

だいぶ長くなってしまったので、その2に続きます。

【著者プロフィール】

園田 一史(そのだ かずし)

伊藤忠テクノソリューションズ株式会社 クラウドアーキテクト

AWSの導入・運用支援サービス「CUVIC on AWS(キュービック オン エーダブリューエス)」の運営を担当。大規模DCのNW設計・構築、また国産IaaS型クラウドサービスの企画・導入・設計を歴任。物理・仮想基盤の設計、構築経験を活かし、AWSの導入・構築の支援をサポート。2019年、2020年APN Ambassadorに選任。

TOP>コラム一覧>Amazon WorkSpaces始めます(その1)

pagetop