6. ⾃自社構築 vs. EC2 vs. フルマネージド
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack stack
Power, HVAC, net
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack stack
Power, HVAC, net
App installs
Scaling
High availability
Backups
s/w patches
s/w installs
OS patches
OS installation
Server maintenance
Rack stack
Power, HVAC, net
オンプレミス
XenDesktop on AWS
WorkSpaces
お客様がご担当する作業 AWSが提供するマネージド機能
7. WorkSpaces Bundle
WorkSpaces Bundle ハードウェア アプリケーション
Standard 1 vCPU, 3.75 GiB Memory,
50 GB User Storage
ユーティリティ (Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Standard Plus 1 vCPU, 3.75 GiB Memory,
50 GB User Storage
Microsoft Office Professional
2010, Trend Microビジネスセ
キュリティクライアント, ユーティ
リティ (Adobe Reader, Internet
Explorer 11, Firefox, WinZip,
Adobe Flash)
Performance 2 vCPU, 7.5 GiB Memory,
100 GB User Storage
ユーティリティ (Adobe Reader,
Internet Explorer 11, Firefox,
WinZip, Adobe Flash)
Performance Plus 2 vCPU, 7.5 GiB Memory,
100 GB User Storage
Microsoft Office Professional
2010, Trend Microビジネスセ
キュリティクライアント, ユーティ
リティ (Adobe Reader, Internet
Explorer 11, Firefox, WinZip,
Adobe Flash)
22. (参考)Security Groupの設定
• ドメイン コントローラーと疎通を⾏行行うために、以下の
ポートの開放が必要
TCP 53 DNS
TCP 88 Kerberos
TCP 135 Endpoint Mapper
TCP 389 LDAP
TCP 445 SMB
TCP 464 KPassWD
TCP 636 LDAPS
TCP 1024-65535 RPC が使用する動的ポート ※
UDP 53 DNS
UDP 88 Kerberos
UDP 123 NTP
UDP 138 Endpoint Mapper
UDP 389 LDAP
UDP 445 SMB
UDP 464 KPassWD
• RPC が使⽤用する動的ポートが Windows の
バージョンによって異異なるため、⾃自社の環
境に合わせて設定
• Windows のサービス概要およびネットワーク ポート要件
http://support.microsoft.com/kb/832017/ja
• Windows Vista および Windows Server 2008 では
TCP/IP の既定の動的ポート範囲が変更更されている
http://support.microsoft.com/kb/929851/ja
23. ディレクトリ設定
• Organizational Unit(OU)
– デフォルトでは Computer OU にコンピュータが作成される
– 特定の OU を指定して変更更することが可能
• Security Group
– WorkSpaces の Security Group を指定
– デフォルトの Security Group とあわせて有効になる
24. WorkSpaces Connect
• Active Directory と接続してディレクトリ認証を
⾏行行う仕組み
• 前提として必要となるもの
– Amazon VPC
• Internet Gateway
• オンプレミス上の Active Directory と連携させる場合、VPN 接続
または Direct Connect
– ドメイン アカウント
• ユーザーとグループへの読み取り
• コンピュータ アカウントの作成
– DNS サーバー/ドメインコントローラー 2 台の IP アドレス
25. 社内ディレクトリとの統合
Subnet 1
AZ ‘A’
Subnet 2
AZ ‘B’
Workspaces API
End-point
Customer
Network
VPN
Connection
Public IP
OAuth
Gateway
Secure Auth (443)
Public IP
WorkSpaces
Connect
WS User1
Public IP
WS User2
On-premises
Domain Controllers
Directory
Join
Directory
Join
WorkSpaces
Connect
On-premises
Resources
26. WorkSpaces Connect の作成
• Active Directory ドメイン情報を⼊入⼒力力
– Organization Name
– Directory DNS
– NetBIOS Name
– Account username
– Administrator Password
• ディレクトリを作成する VPC を選択
– VPCには異異なる Availability Zone に 2つ以上の Subnet が存
在する必要がある
27. 作成された WorkSpaces Connect
• VPC 上に認証⽤用プロキシが作成される
– プロキシを経由してドメイン コントローラーに対して認証
– 既存のユーザー認証およびポリシーを適⽤用可能
WorkSpaces
Connect
WorkSpaces
Connect
Availability Zone Availability Zone
Virtual Private Cloud
VPN
Gateway
Customer
Gateway Domain Controller
Corporate Data center
28. Multi-‐‑‒Factor Authentication
• オンプレミスの RADIUS サーバーを利利⽤用した
多要素認証(MFA)に対応
– ユーザー名とパスワードに加えてワンタイム パスワード等の
利利⽤用が可能
• Symantec Validation and ID Protection
Service (VIP) および Microsoft RADIUS
Server でテスト済
– PAP/CHAP/MS-‐‑‒CHAP1/MS-‐‑‒CHAP2 をサポート
29. (例例) Google Authenticatorを使った⽅方法
• スマートフォンに無料料でインストールできる
Google Authenticator
をソフトウェアトークンとして使⽤用する。
• サーバ側は、オープンソースのFreeRADIUSと
Google AuthenticatorのPAM(Pluggable Authentication
Module)を連携させて実現させる。
※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
35. 構成1:Cloud Directory NAT Instanceパターン
• NATインスタンスを経由してインターネットへ
アクセス
Router
Availability Zone
Availability ZoneVirtual Private Cloud
AWS Cloud
NAT Internet
Gateway
Internet
36. 構成2:Connected Directory NAT Instanceパター
ン
• インターネットと社内リソースの両⽅方にアクセ
スすることが可能
Router
Availability Zone
Availability ZoneVirtual Private Cloud
AWS Cloud
NAT Internet
Gateway
Internet
Virtual Private
Gateway
VPN
Connection
Customer
Gateway
Corporate
Data center
37. 構成3:On-‐‑‒Premise Firewallパターン
• インターネットへの接続ポリシーをオンプレミ
スのファイアウォールでコントロール可能
Virtual Private Cloud
AWS Cloud
Availability Zone
Availability Zone
Router
Virtual Private
Gateway
VPN
Connection
Customer
Gateway
Internet
Corporate
Data center
38. 構成4:EIP(Elastic IP Address)パターン
• WorkSpacesのENIに直接EIPを付与することで
直接インターネットアクセスへ可能
Availability ZoneVirtual Private Cloud
AWS Cloud
Availability Zone
Router
Internet
Gateway
Internet