トップ > 初心者向け > 【初心者向け】IT初心者がAmazon WorkSpacesのログイン時の通信の流れについてまとめてみた

【初心者向け】IT初心者がAmazon WorkSpacesのログイン時の通信の流れについてまとめてみた

初心者向け Amazon WorkSpaces
記事タイトルとURLをコピーする

こんにちは! 現在、テクニカルサポート課でOJT研修中の日高です。

今行っている課題の1つに「Amazon WorkSpacesを構築する」というものがあったのですが、 そもそもログイン時の通信の流れから分からず構築どころではありませんでした(笑)

ですので、私のようにIT初心者で「Amazon WorkSpaces」について理解しようとしている方に向けて簡単に「Amazon WorkSpaces(今後表記はWorkSpaces)の通信」についてまとめたいと思います!

WorkSpacesの概要

WorkSpacesは、フルマネージド型の仮想デスクトップサービスです。
仮想デスクトップは、Windows や Amazon Linux 、Ubuntu Linux から選択可能になっています。

ハードウェアの調達や基盤の構築は不要で1台から手軽に仮想デスクトップを利用することができます。

docs.aws.amazon.com

WorkSpaceのログイン時の通信について

今回理解していただきたい図を先に貼っておきます。
本ブログを見てこの図を理解していただけたら幸いです!

仮想デスクトップは、ユーザー認証を行い、その後のWorkSpacesのストリーミング配信により表示することができています。

ですので、今回は①ユーザー認証時の通信の流れ ②WorkSpacesのストリーミングの通信の流れ の2つに分けて見ていきたいと思います。

ユーザー認証の流れ

ユーザー認証の流れは下記の図(オンプレミス上にActive Directoryがある場合)のような流れになっています。
各番号について見ていきましょう!

①クライアント→インターネット

こちらはHTTPSで通信が行われています。

②インターネット→Auth/Session Gateway

こちらも①と同様にHTTPSでの通信が行われています。
ただここでは、Auth/Session Gatewayという聞きなじみのない言葉が出てきました。

Auth/Session Gatewayとは、AWSが管理しているVPCにあるゲートウェイで「オンプレミス上のActive Directory / Simple AD / AWS Managed Microsoft AD」に通信を中継してくれます。
イメージとして「Auth/Session Gatewayがユーザー認証通信を中継してくれてるんだな~」と思ってください。
またAuth/Session Gatewaysはマネージドサービスなので冗長化の考慮は必要ありません。

「よしこれでAuth/Session Gatewayへの接続は分かったよ」という方待ってください!実は注意点があります!
オンプレミスからAuth/Session Gatewayへの接続をする際に気をつけないといけないことが2つあります。

202111 AWS Black Belt Online Seminar Amazon WorkSpaces Update 資料抜粋

(1)Proxyサーバーの認証設定について
図にもあるようにHTTPS接続をする際にProxyサーバーを使う際はProxyサーバーの認証設定は行うことができません。

(2)オンプレミス上にFWがある場合
オンプレミスにFWがある場合は、Auth/Session Gatewayへの接続先を許可しないといけません。
具体的なIP宛先は以下のドキュメントをご確認ください。

docs.aws.amazon.com

③Auth/Session Gateway→オンプレミス上にあるActive Directory/Simple AD/AWS Managed Microsoft AD(MSAD)

ここでは(1)AWS上のSimple AD、AWS Managed Microsoft AD(MSAD)でユーザー認証を行いたい場合 (2)オンプレミス上にあるActive Directoryでユーザー認証を行いたい場合 を見ていきます

(1)AWS上のSimple AD、AWS Managed Microsoft AD(MSAD)でユーザー認証を行いたい場合
この場合はAuth/Session Gateways→Simple AD/AWS Managed Microsoft AD(MSAD)でユーザー認証が行われます。(今回の図にはAWS Managed Microsoft ADを表記しています)
Simple AD/AWS Managed Microsoft AD(MSAD)については公式ドキュメントを読んでみてください!

docs.aws.amazon.com

(2)オンプレミス上にあるActive Directoryでユーザー認証を行いたい場合 AD Connectorがオンプレミス上にあるActive Directoryへ通信を中継してくれます。(④以降を見ていきましょう!)

④~⑥ AD Connector→オンプレミス上のActive Directory

この通信はLDAP/RADIUSで通信が行われます。
Direct ConnectやVPNなどのオンプレミスとVPCをつないでいるところを通り、オンプレミス上のActive Directoryに接続されユーザー認証が行われます。(図ではDirect Connectの場合を表記)

ストリーミング配信の通信(クライアント→WorkSpaces)

ストリーミング配信の通信は下記の図のようになっています。
こちらも各番号ごとに見ていきましょう!

⑦クライアント→インターネット

接続のprotocolとしては、ストリーミングプロトコルとして設定によりPCoIPかWSP(WorkSpaces Streaming Protocol)が利用可能になっています。

⑧インターネット→Streaming GateWay

こちらも⑦と同様にPCoIPかWSPが利用可能になっています。
Streaming GateWayは、AWSが管理しているVPCにあるゲートウェイで対象のWorkSpacesに通信を中継してくれます。

AWS BLACK BELT ONLINE SEMINAR 2021/10 抜粋

画像にもあるようにStreaming GateWayには、PCoIP利用の場合に使われるPCoIP GateWayと、WSP利用の場合に使われるWSP GateWayの2種類があります。
こちらのStreming GateWayもマネージドサービスなため冗長の考慮は不要です。

⑨Streaming GateWay→WorkSpaces

Streaming GateWayにより、PCoIPかWSPでWorkspacesに接続されストリーミング配信が可能になっています。

まとめ

本記事ではクライアントからWorkSpacesへのログイン時の通信をまとめてみました。
誰かの力になっていると幸いです。

弊社の高橋が「Simple ADを利用したWorkSpaces構築手順」も書いているのでハンズオンで試そうかなと考えている方がいれば、ぜひ読んでみてください!!

blog.serverworks.co.jp

日高 僚太(執筆記事の一覧)

EC部ソリューションアーキテクト2課 / AWS認定資格 12冠

2022年IT未経験で新卒入社しました。
最近はダーツとサウナが気になっています!
記事に関するお問い合わせや修正依頼⇒ hidaka@serverworks.co.jp