Amazon WorkSpacesをお客様に使って頂いた結果

記事タイトルとURLをコピーする

お初にお目にかかります、プロジェクトマネジメントチームの佐竹です。
私のあだ名は色々あって「がんも」と呼ばれておりますが、その理由を説明すると長くなるので(?)割愛します!

今回は今をときめくVDI、Amazon WorkSpacesについて書きたいと思います。

WorkSpaces

はじめに

先月(2014年9月)にAmazon WorkSpacesがTokyo Regionにオープンしてから、非常に多くの問い合わせを頂いております。
中には「実際に利用してみたい」と、早くも9月半ばからWorkSpacesを検証をして頂いているお客様もいらっしゃいます。

そこで、今日はそのご提案の中でよく遭遇した「あるあるネタ」をご紹介致します。

「WorkSpacesに繋がりません!」

「WorkSpacesに繋がりません」というお問い合わせをよく頂きます。

そこでまず疑うのは、ファイアウォールです。

Amazon WorkSpacesは2014年10月現在、インターネット経由の接続以外はサポートされておりません。
またポートに関しては、TCP portの443と4172、そしてUDP portの4172がインターネットに向けて解放されている必要があります。

エンタープライズのお客様はファイアウォールの設定が厳しいため、インターネットに対して上記の要件を満たせていないことが多く 「良く調べてみたらportが解放できていませんでした」 ということがありました。 驚くことに、これは導入に当たり、意外にも見過ごされる点になっています。
恐らくですが、インターネット経由で利用するサービスが443や80以外のportを要求してくることが稀だからだと推測しています。

普段、インターネットを業務でも利用していらっしゃる方が大半かと存じますが、インターネットが使えてもWorkSpacesには繋がらない事もございますので、上記Portについては十分ご注意ください。
弊社からも、ご利用にあたっては十分に注意喚起を致します。

Portが解放できないときは?

セキュリティ面からPortが解放できないときにはどのように検証して頂く方法があるでしょうか?

回答としては、「ファイアウォールを経由しないようにインターネットに接続してください」となります。
ですので、個人的にはDMZにある踏み台端末をご利用頂くのも一手かと考えております

他には、マルチデバイスに対応しておりますので、iPad等のモバイルネットワーク経由で検証をするのも有りです。
先日、私個人で所有しているのiPad mini 2にインストールして繋いで見ましたが、新しい体験ができました。

Portを解放するIPレンジは?

Portが解放できるとしてもDestinationが必要ですね!
Portの向き先はElastic IPと同様のIPレンジに対して開放を行う必要があります。
以下のURLより、フォーラムをご覧ください。

https://forums.aws.amazon.com/ann.jspa?annID=1701

上記ページの「Asia Pacific (Tokyo)」の項目がそれになります。

念の為、こちらにも転載しておきます(2014年10月17日現在の情報)。

  • 175.41.192.0/18 (175.41.192.0 - 175.41.255.255)
  • 46.51.224.0/19 (46.51.224.0 - 46.51.255.255)
  • 176.32.64.0/19 (176.32.64.0 - 176.32.95.255)
  • 103.4.8.0/21 (103.4.8.0 - 103.4.15.255)
  • 176.34.0.0/18 (176.34.0.0 - 176.34.63.255)
  • 54.248.0.0/15 (54.248.0.0 - 54.249.255.255)
  • 54.250.0.0/16 (54.250.0.0 - 54.250.255.255)
  • 54.238.0.0/16 (54.238.0.0 - 54.238.255.255)
  • 54.199.0.0/16 (54.199.0.0 - 54.199.255.255)
  • 54.178.0.0/16 (54.178.0.0 - 54.178.255.255)
  • 54.95.0.0/16 (54.95.0.0-54.95.255.255)
  • 54.92.0.0/17 (54.92.0.0 - 54.92.127.255)
  • 54.168.0.0/16 (54.168.0.0 - 54.168.255.255)
  • 54.64.0.0/15 (54.64.0.0 - 54.65.255.255)

Cloud FrontのIPレンジにも開放が必要であることが判明しました(2014年11月4日追記)。
以下のURLに記載のあるのあるIPレンジも合わせてご記載ください。
フォーラムURL:https://forums.aws.amazon.com/ann.jspa?annID=2051

加えて、WorkSpacesのクライアントはS3とhttps通信をしています。
S3にはエンドポイントでの接続が必要となりますので、クライアント起動と取得のために、 S3のエンドポイントに対してもhttpsの解放を行ってください。

ログインパスワードはどこに記載されてるの?

※こちらの内容は、MSのActive Directoryの利用下ではなく、AmazonのCloud Directoryを利用している前提で記載しています

結論からお伝え致しますと、ユーザのパスワードは各ユーザがそれぞれご自身で設定をする必要があります。

Amazon WorkSpacesにユーザを登録し、WorkSpaceを作成すると、準備ができたタイミングでそのユーザのメールアドレスに以下のようなメール通知が送られます。

件名:お客様の Amazon WorkSpace ( Your Amazon WorkSpace ) 日本語 (Japanese) Amazon WorkSpaces をご利用のお客様へ  お客様の Amazon WorkSpace が管理者によって作成されました。さっそく以下の手順に従って、WorkSpace のご利用を開始してください。  1. ユーザーのプロファイルを入力し、次のリンクから WorkSpaces クライアントをダウンロードします。 https://test.awsapps.com/auth/#invite:token=(省略&redirect_uri=https://clients.amazonworkspaces.com/&client_id=0ef7da453c02806b  2. クライアントを起動し、次の登録コードを入力します。 wsnrt+XXXXXX  3. 新しく作成したパスワードを使ってログインします。お客様のユーザー名は「 User名 」です。  クライアントは https://clients.amazonworkspaces.com/ から他のデバイスにもダウンロードできます。  また、お客様の WorkSpace では Amazon Zocalo が有効です。Amazon Zocalo はファイルの保存、同期、および共有にご利用いただけます。Zocalo Sync クライアントを使用すると、どのデスクトップを使用していてもデータにアクセスできます。Zocalo Sync クライアントは、WorkSpace にドキュメントを自動的にバックアップし、PC/Mac などのデバイス間でドキュメントを同期できるアプリケーションです。Zocalo Sync を使用するには、WorkSpace で [Install Zocalo Sync] デスクトップショートカットをクリックして、インストールします。完了したら、 https://amazonzocalo.com/clients から PC または Mac デスクトップにクライアントをダウンロードします。 Zocalo Sync を初めて実行するときは、WorkSpace に使用しているものと同じ認証情報を使用して登録およびログインし、バックアップ/同期用のフォルダーを選択する必要があります。セットアップが完了したら、PC/Mac と WorkSpace 間で自動的にファイルが同期されます。 WorkSpace の接続に問題がある場合は、管理者にお問い合わせください。  よろしくお願いいたします。  Amazon WorkSpaces チーム 

※補足:Zocaloが利用可能になっているDirectoryの場合にはZocaloが利用可能な旨が記載されます

少々わかり難いのですが、上記メールに記載のある、

1. ユーザーのプロファイルを入力し、次のリンクから WorkSpaces クライアントをダウンロードします。

この先にあるURLリンクをクリックしてください。そうすると、簡単なパスワード設定画面が現れます。
ここで設定したパスワードでログインしますので、このパスワードは忘れないようにしてください。

なお、このメールアドレスは「no-reply@XXXXXXXXXX.amazonworkspaces.com」(amazonses.com経由)というメールアドレスから送られてきますので、受け取れるようにしておきましょう。
※XXXXXXXXXXにはCloud Directory IDが入ります

印刷がしたい!

いまだに日本は紙ベース、ペーパーレスにはなかなかなりませんね・・・という話は脇に置いて、これもよくある質問です。

こちらも結論からお伝えしますと、

  • Cloud Directoryをご利用の場合は、ローカルプリンターがご利用頂けます。
  • Active Directoryをご利用の場合は、ネットワークプリンターもご利用頂けます。

以下で、少し補足します。

Cloud Directoryをご利用されている場合は、社内のネットワークと繋がっていない状態ですので、ネットワークプリンターがグローバルIPを持っていない限りご利用頂けません。
しかし、ローカルプリンターはWorkSpaceが利用可能で、正式にサポートしています!

Amazon WorkSpaces Administration Guide (Version 1.0)には「Amazon WorkSpaces supports local printer redirection」と記載があります。

以下は実際に自宅で検証したときの画面キャプチャになります。

20141005-104913

今回は、CanonのMP520を利用しました。

20141005-104601

WorkSpaceaはPCoIPをプロトコルとして利用しており、これはポートタブを見てもそれが良く分かりますね。

ちなみに、他に印刷をする方法を紹介します。
どちらも直接の印刷ではなくなりますが、

  • クラウドプリントサービスを利用する方法
  • Zocalo Syncを利用して、自端末にファイルを取得して、自端末で印刷する方法

があります。

まとめ

今回の記事では、大別して

  • ファイアウォールとPort
  • ログインパスワード
  • 印刷

の3つについてお話させて頂きました。

ひとつひとつは、当たり前と言えば当たり前のような質問ばかりですが、Amazon WorkSpacesは先月に始まったばかりのサービスです。
まだまだ知見が国内にも少ない状況ですので、こういう基本からしっかり押さえておきたいですね。

お客様にスムーズにご利用いただけるよう、これからもWorkSpacesの知見を増やして行きたいと思います!

最後ですが、「Amazon WorkSpaces のよくある質問」も非常に参考になりますので、利用の際にはまずこちらをご確認されることをお勧めします。

ありがとうございました。

佐竹 陽一 (Yoichi Satake) 記事一覧はコチラ

SRE2課所属。AWS資格12冠。2010年1月からAWSを利用してきました。
AWSのコスト削減、最適化を得意としています。