【re:Invent2017】Migrate Your Desktops to Amazon WorkSpaces

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

re:Invent2017で WorkSpaces に関するセッションに参加したので、その模様を書こうと思います。どのようにWorkSpacesを導入すれば良いか要点がまとめてあり、今後WorkSpacesを導入する予定がある方にはとても参考になるセッションだと思います。
<資料は公開され次第更新します>

前提

WorkSpacesとは

AWS上で稼働する仮想デスクトップサービスです。ユーザーは。ハードウェア構成、ソフトウェア構成を自由に選択することが可能です。詳細は以下をご参照ください。

Amazon WorkSpaces とは

セッション

概要

設計、移行、運用

Workspacesに移行するまでに、3つのフェーズがあります。

設計
・認証
・アイデンティティ
・ネットワークアクセス
・イメージの作成
・アプリケーションマネージマネージメント

移行
・ユーザーの選択
・workspacesのサイジング
・データ移行
・トレーニングとコミュニケーション

運用
・フリートマネージメント
・モニタリングとアラーム
・パッチ当てとイメージの更新
・オートメーション/インテグレーション
・エンドユーザーサポート
・セルフサービス ポータル

設計

アイデンティティ

・AcitveDirectoryでアイデンティティを定義する
 ・WorkSpacesでは、SimpleAD、ADConnector、MicrosoftADが利用できる
・WorkSpacesはドメインに参加させる
・既存のグループポリシーを適用するようにする
 ・WorkSpacesに適用するためにポリシーのアップデートが必要な場合がある

認証

・ユーザーは既存のADクレデンシャルを利用しログインする
・既存のRadiusMFAを利用する
・任意でクライアント証明書を利用する

ネットワークアクセス

・クライアントへWorkspacesにアクセスできるようにする
 ・ポート : 4172 TCP/UDP
 ・ポート : 80/443 for WorkSpacesウェブアクセス
・ADConnectorを利用する場合は、ActiveDirectoryに接続できる必要がある
・VPCは、インターネットに接続できる必要がある

イメージ作成

・WorkSpacesの起動、設定
 ・高いユースケースごとに一つのイメージを作成する
 ・WAMと連携した最低限のイメージ
・WorkSpacesからイメージを作成する
・バンドルを作成する
・バンドルからWorkSpaces

アプリケーション管理

・既存のWIndowsアプリケーションを起動する
・System Center Configuration Managerのような既存のツールは正常に動作する
・WAM(Amazon WorkSpaces Application Manager)によってアプリケーションを配信することもできる

移行

ユーザーの選択

・POCとオプトインを実施する
・範囲を広げる
 ・他のチーム
 ・新入社員にデフォルトで提供する
・恩恵を教授する
 ・M&A
 ・リモートオフィス
 ・開発やとテスト
 ・トレーニングとラボ

WorkSpacesのサイジング

・ユーザーグループとカテゴリを評価する
 ・メモリー
 ・CPU
 ・ディスクサイズ
・SSMやサードパーティツールを利用する
・ユーザーとグループをバンドルにマッピングする
・バリュー、スタンダード、パフォーマンス、パワー、グラフィックからWorkSpacesのマシンタイプを選択する
・必要に応じて大きいサイズのバンドルに変更する

データ移行

・クラウドストレージを使ってデータ移行をする
 ・Windows shares
 ・Amazon WorkDocs
 ・サードパーティストレージサービス
・データアクセスの方法を検討する

運用

トレージングとコミュニケーション

・変更をアナウンスする
・スキルトランスファーをする
・新しい利用者用にオンラインでコンテンツを利用できるようにする
・利用者にWorkSpacesを利用する価値を伝える
 ・リモートアクセス
 ・アプリケーション、データを制御できる

フリートマネージメント

・AWSコンソールとAPIを利用する
・フリートサイズと利用方法を評価する
・ユーザーのバンドルを適切なものに変更する
・節約のために、月額課金か時間課金か利用方法を変更する
・利用していないworkspacesを削除する
 ・削除プロセスを作成する

モニタリングとアラーム

・詳細なメトリクスを取得するためにSSMを利用する
・API経由で統合する
・より詳細な監視をするためにサードパーティ製品を利用する
・重要なネットワークとADのヘルスを監視する

パッチ当てとイメージの更新

・WIndowsとデフォルトでインストールされているアプリケーションはデフォルトでパッチが当たっている
・独自のポリシーがある場合必要に応じて設定変更する
・パッチ当てのインパクトを減らすために定期的にリビルドを実施する
・セキュリティのベストプラクティスをWorkSpacesにも適用する
 ・SecurtyGroup設定
 ・ネットワーク制御、Proxy、フィルタリング
 ・WAVとその他ワークスペースツール

オートメーション/インテグレーション

・APIを利用して共通の操作を自動化する
 ・WorkSpacesの新規作成
 ・WorkSpacesの削除
 ・AlwaysOnとAutoStopの切り替え
 ・既存のツールとの統合

エンドユーザーサポート

・ヘルプデスクの強化とWorkSpacesのサポート
 ・トレーニングを実施する
 ・SOPs(Standard Operating Procedures)やドキュメントを作成する
・サポート用の窓口をエンドユーザーが見えるところに設置する

セルフサービスポータル

・ウェブポータルを作成する
 ・Workspacesを起動する
 ・WorkSpacesの状態を確認する
 ・再起動
 ・コンピュートの変更やディスクの追加
 ・リビルド
 ・ヘルプへのリンク、パスワードのリセット

事例

bridgewater associatesさんの事例が紹介されていました。
構成としてはよくある構成ですね。
・マルチAZにWorkSpacesを配置
・ADConnectorを使ってVPN経由でオンプレのActiveDirectoryに接続

WorkSpacesを使って、仕事と個人の環境を大きく分けれるようになったことや、運用上のオーバーヘッドが削減されたと挙げていました。

最後に

WorkSpacesの策定から運用まで一連の流れがわかりやすく説明されていてすごく有意義なセッションでした。働き方改革でVDIが注目を集めているなかでWorkSpacesは今後日本でも広がっていくのではないかと思いました。WorkSpacesのアップデートもどんどんされているので、注目ですね。WAMが早く東京リージョンにきてほしいですね。

AWS運用自動化サービス「Cloud Automator」