作成する構成
以下になります
「※ EIP を利用し パブリックIPアドレスを固定する (自動割当パブリックIPを使わない) 」という箇所に関しまして補足します
EC2 の作成時にパブリックIPアドレスを付与しない場合には 「ドメイン結合ディレクトリ」を指定しても EC2がドメインに参加しません
(EC2作成後にEIPを付与しOSにログインしてドメイン参加を実施することにより大丈夫なことを確認済みです)
本記事の手順中に解説します
作成の大まかな流れ
- AWS Managed Microsoft AD を作る
- EC2 (固定のEIP付き) を作成し 1. のADに参加
- FSx (Windows用ファイルサーバ) を作成し 1. のADに参加
- EC2 から FSx に接続しファイルやフォルダを作成可能なことを確認
作成を始める前に
- 一通り以下を確認していきます
- Amazon FSx for Windows ファイルサーバーとは
- EC2 で ファイルサーバを作成する場合と異なる点
- AWS Managed Microsoft AD とは
- EC2 で ADを作成する場合と異なる点
- Amazon FSx for Windows ファイルサーバーとは
Amazon FSx for Windows ファイルサーバー とは
Amazon FSx for Windows File Server provides fully managed Microsoft Windows file servers, backed by a fully native Windows file system.
参考: Amazon FSx for Windows File Server
Windowsのファイルシステムで構成する Windows ファイルサーバー のマネージドサービスです
Amazon FSx for Windows ファイルサーバー の前提条件
- Amazon FSx for Windows ファイルサーバー(以下 FSx) を配置するための VPC
- Single AZ または Multi AZ が選べる
- Single AZ はコンポーネントの障害を自動的に検出して対処することにより単一のアベイラビリティーゾーン(AZ)内で高可用性を保証
- Multi AZ は AWSリージョン内の別のアベイラビリティーゾーンでスタンバイファイルサーバーをプロビジョニングおよび維持することにより複数のアベイラビリティーゾーンにわたって高可用性とフェイルオーバーのサポートを提供
- Single AZ または Multi AZ が選べる
- FSx を配置した VPC への経路を持つ以下のインスタンス(Windows Server 2008 以降の Windows と Linux )から接続可
- EC2インスタンス
- Amazon WorkSpaces instance
- AppStream 2.0 instance
- VM running in VMware Cloud on AWS environments の 上のVM
- AWS Direct Connectを使用したオンプレミスのインスタンス
- FSxはMicrosoft Active Directory (AD) と連携して ユーザー認証とアクセス制御を実行する
- ADは以下から選択可能
- AWS Managed Microsoft AD
- オンプレミスのサーバやEC2インスタンスにインストールしたAD
- ADは以下から選択可能
- FSxはマネージドサービスとして以下を提供
- 内部的にWindowsソフトウェアを最新の状態に保つ
- ハードウェア障害を検出して対処
- バックアップを実行
- HIPAAに適合(ISO、PCI-DSS、SOCの認定に準拠していると評価)したセキュリティとコンプライアンスを提供
- AWS Key Management Service(AWS KMS)で管理するキーを使用して(ファイルシステムとバックアップの両方の)保存データを自動的に暗号化
- 転送中のデータは SMB Kerberosセッションキーを使用して自動的に暗号化
- ストレージの種類は SSD または HDD が選べる
- 容量は 32 〜 65536 GiB
- これ以上増やす場合は DFS サーバを作成して複数のFSxを同じ名前空間に配置する (但しパスは各 FSx 毎に分かれる)
- スループットの指定も可能(8 〜 2048 MB/s)
- 容量は 32 〜 65536 GiB
- FSx には内部的に発行するDNS名でアクセスする
- Powershell によるファイルシステムの管理が可能
Amazon FSx for Windows の料金
- 料金計算ツール
- Amazon FSx for Windows File Server の料金
- 例えば 50GiBのファイルサーバを東京リージョンにマルチAZで作成し1世代分バックアップする場合(スループットはデフォルトの (MB/s) は 月額 8.15 USD (ファイルサーバのコスト 6.90 USD + バックアップのコスト 1.25 USD) になる
- Amazon FSx for Windows File Server の料金
EC2 で ファイルサーバを作成する場合と異なる点
-
料金 ( バックアップを取得しない50 GiB のファイルサーバで比較)
- EC2の場合は EC2 インスタンスの利用料金 + EBS の利用料金になる
- m5.large の場合は以下
0.216 USD x 24時間 = 5.184 USD /日
仮に 1ドル 100 円換算とした場合 月間(730時と仮置)で 15,768 円 - 50GiBの EBS を月 730時間実行すると 6.00 USD
仮に 1ドル 100 円換算とした場合 月間(730時と仮置)で 600 円
参考:Amazon EBS の価格 - 月額合計は 16,368 円
- m5.large の場合は以下
- FSx は 月額 6.90 USD になる
仮に 1ドル 100 円換算とした場合 月間(730時と仮置)で 690 円- 月額合計は 690 円
- FSxのほうが安い
- EC2の場合は EC2 インスタンスの利用料金 + EBS の利用料金になる
- 非機能
大項目 | 中項目 | EC2 | Amazon FSx for Windows ファイルサーバー |
---|---|---|---|
可用性 | 冗長性・BCP | ユーザー側が導入・冗長化を行う | AWS側で導入・冗長化を行う(最小構成では1つのAZを利用してレプリカを作成しておきコンポーネントの障害を自動的に検出して対処する 任意のタイミングでバックアップ取得も可能) |
運用保守性 | ハードウェア障害時 | EC2 にはインスタンスのリタイアがありハードウェアで回復不可能な障害があるとユーザー側で手動リカバリ(停止・起動)が必要 | AWS側で復旧 |
運用保守性 | パッチ適用 | EC2 のOSパッチ適用はユーザー側で責任を持って行う | AWS側で実施 |
セキュリティ | 脆弱性・ウイルス対策 | EC2への導入ソフトウェアはユーザー側で管理 | ソフトウェアの導入不可 |
セキュリティ | 不正アクセス対策 | EC2へのログイン時に利用するセキュリティグループと秘密鍵はユーザー側で管理 | OSへのログイン不可 |
AWS Managed Microsoft AD とは
AWS Directory Service によって、Microsoft Active Directory(AD) をマネージドサービスとして実行することができます
AWS Managed Microsoft AD の前提条件
- 異なるアベイラビリティーゾーンにある2つのサブネットを利用してドメインコントローラーを動作させる(可用性の担保)
- デフォルトで 2台のドメインコントローラーを動作させる
- ドメインコントローラー 1台につき ENI(elastic network interface) を 1つ使う
- ドメインコントローラーは追加可能
- 198.18.0.0/15 アドレス空間は管理用に使うセグメントとなるためサブネットには利用不可
- Active Directory を使用したネットワークアドレス変換 (NAT) の使用はサポートしていない
- デフォルトで 2台のドメインコントローラーを動作させる
- ドメインコントローラーへの接続は、VPC の他のコンピュータまたは他の VPC ( VPC ピアリング接続 )のコンピュータ または AWS Direct Connect や VPN を介したオンプレミスのコンピュータ から可能
- Administrator ではなく 「Admin」ユーザーを利用しディレクトリを管理する
- 権限については 管理者アカウント を参照
- 可能なことは以下
項目 | 可能/不可能 |
---|---|
ユーザーとグループの管理(Builtin除く) | 可能 |
DNSの管理 | 可能 |
GPOの管理 | 可能 |
OUの管理(ドメイン名以下のOU) | 可能 |
信頼関係の構築 | 可能 |
ドメインコントローラーの追加 | 可能 |
ADFS連携 | 可能 |
マネジメントコンソールからのスナップショット作成とリストア | 可能 |
Administrator ユーザーの利用 | 不可能 |
サイトの作成 | 不可能 |
DefaultDomain Policyの変更 | 不可能 |
ドメインコントローラーへのリモートデスクトップ接続 | 不可能 |
ドメインコントローラーへのソフトウェアインストール | 不可能 |
- SLA
- 月間稼働率 99.9% を達成するよう商業的に合理的な努力をする
AWS Managed Microsoft AD の料金
本記事の構成は東京リージョンを利用し Standard Edition (従業員数が最大 5,000 人の小規模または中規模のビジネス向け) を選択します
ドメインコントローラーはデフォルトの2台構成にします
仮に 1 日 24 時間起動した際には以下の計算式となります
0.146 USD × 24時間 = 3.504 USD/日
仮に 1ドル 100 円換算とした場合 月額(730時間と仮置)で 10,658 円 になります
EC2 で ADを作成する場合と異なる点
- 料金
- m5.large の場合は以下
0.216 USD x 24時間 = 5.184 USD /日
仮に 1ドル 100 円換算とした場合 月間(730時と仮置)で 15,768 円
**2 台構成では 月額 31,536 円 **
→ EC2 の方がコストは高い - t3.large の場合は以下
0.1364 USD x 24時間 = 3.2736 USD /日
仮に 1ドル 100 円換算とした場合 月間(730時間と仮置)で 9,957 円
2 台構成では 月額 19,914 円
→EC2 の方がコストは高い
- m5.large の場合は以下
- 非機能
大項目 | 中項目 | EC2 | AWS Managed Microsoft AD |
---|---|---|---|
可用性 | 冗長性・BCP | ユーザー側が導入・冗長化を行う | AWS側で導入・冗長化を行う(最小構成では2つのAZを利用した2台構成のドメインコントローラーとなる AZの追加やサイト作成は不可) |
運用保守性 | ハードウェア障害時 | EC2 にはインスタンスのリタイアがありハードウェアで回復不可能な障害があるとユーザー側で手動リカバリ(停止・起動)が必要 | AWS側で復旧 |
運用保守性 | パッチ適用 | EC2 のOSパッチ適用はユーザー側で責任を持って行う | AWS側で実施 |
セキュリティ | 脆弱性・ウイルス対策 | EC2への導入ソフトウェアはユーザー側で管理 | ソフトウェアの導入不可 |
セキュリティ | 不正アクセス対策 | EC2へのログイン時に利用するセキュリティグループと秘密鍵はユーザー側で管理 | OSへのログイン不可 |
セキュリティ | 不正アクセス | Administrator ユーザーはユーザー側で管理 | Administrator利用不可 |
作成手順
前置きが長くなってしまったので別記事にしました
Amazon FSx for Windows と AWS Managed Microsoft AD で Windows用のファイルサーバを作って EC2 から接続しよう②作成手順