Amazon FSx for Windows と AWS Managed Microsoft AD で Windows用のファイルサーバを作って EC2 から接続しよう①概要説明

記事タイトルとURLをコピーする

作成する構成

以下になります

「※ EIP を利用し パブリックIPアドレスを固定する (自動割当パブリックIPを使わない) 」という箇所に関しまして補足します
EC2 の作成時にパブリックIPアドレスを付与しない場合には 「ドメイン結合ディレクトリ」を指定しても EC2がドメインに参加しません
(EC2作成後にEIPを付与しOSにログインしてドメイン参加を実施することにより大丈夫なことを確認済みです)
本記事の手順中に解説します

作成の大まかな流れ

  1. AWS Managed Microsoft AD を作る
  2. EC2 (固定のEIP付き) を作成し 1. のADに参加
  3. FSx (Windows用ファイルサーバ) を作成し 1. のADに参加
  4. EC2 から FSx に接続しファイルやフォルダを作成可能なことを確認

作成を始める前に

  • 一通り以下を確認していきます
    • Amazon FSx for Windows ファイルサーバーとは
      • EC2 で ファイルサーバを作成する場合と異なる点
    • AWS Managed Microsoft AD とは
      • EC2 で ADを作成する場合と異なる点

Amazon FSx for Windows ファイルサーバー とは

Amazon FSx for Windows File Server provides fully managed Microsoft Windows file servers, backed by a fully native Windows file system.

参考: Amazon FSx for Windows File Server

Windowsのファイルシステムで構成する Windows ファイルサーバー のマネージドサービスです

Amazon FSx for Windows ファイルサーバー の前提条件

  • Amazon FSx for Windows ファイルサーバー(以下 FSx) を配置するための VPC
    • Single AZ または Multi AZ が選べる
      • Single AZ はコンポーネントの障害を自動的に検出して対処することにより単一のアベイラビリティーゾーン(AZ)内で高可用性を保証
      • Multi AZ は AWSリージョン内の別のアベイラビリティーゾーンでスタンバイファイルサーバーをプロビジョニングおよび維持することにより複数のアベイラビリティーゾーンにわたって高可用性とフェイルオーバーのサポートを提供
  • FSx を配置した VPC への経路を持つ以下のインスタンス(Windows Server 2008 以降の Windows と Linux )から接続可
    • EC2インスタンス
    • Amazon WorkSpaces instance
    • AppStream 2.0 instance
    • VM running in VMware Cloud on AWS environments の 上のVM
    • AWS Direct Connectを使用したオンプレミスのインスタンス
  • FSxはMicrosoft Active Directory (AD) と連携して ユーザー認証とアクセス制御を実行する
    • ADは以下から選択可能
      • AWS Managed Microsoft AD
      • オンプレミスのサーバやEC2インスタンスにインストールしたAD
  • FSxはマネージドサービスとして以下を提供
    • 内部的にWindowsソフトウェアを最新の状態に保つ
    • ハードウェア障害を検出して対処
    • バックアップを実行
  • HIPAAに適合(ISO、PCI-DSS、SOCの認定に準拠していると評価)したセキュリティとコンプライアンスを提供
    • AWS Key Management Service(AWS KMS)で管理するキーを使用して(ファイルシステムとバックアップの両方の)保存データを自動的に暗号化
    • 転送中のデータは SMB Kerberosセッションキーを使用して自動的に暗号化
  • ストレージの種類は SSD または HDD が選べる
    • 容量は 32 〜 65536 GiB
      • これ以上増やす場合は DFS サーバを作成して複数のFSxを同じ名前空間に配置する (但しパスは各 FSx 毎に分かれる)
    • スループットの指定も可能(8 〜 2048 MB/s)
  • FSx には内部的に発行するDNS名でアクセスする
  • Powershell によるファイルシステムの管理が可能

Amazon FSx for Windows の料金

  • 料金計算ツール
    • Amazon FSx for Windows File Server の料金
      • 例えば 50GiBのファイルサーバを東京リージョンにマルチAZで作成し1世代分バックアップする場合(スループットはデフォルトの (MB/s) は 月額 8.15 USD (ファイルサーバのコスト 6.90 USD + バックアップのコスト 1.25 USD) になる

EC2 で ファイルサーバを作成する場合と異なる点

  • 料金 ( バックアップを取得しない50 GiB のファイルサーバで比較)
    • EC2の場合は EC2 インスタンスの利用料金 + EBS の利用料金になる
      • m5.large の場合は以下
        0.216 USD x 24時間 = 5.184 USD /日
        仮に 1ドル 100 円換算とした場合 月間(730時と仮置)で 15,768 円
      • 50GiBの EBS を月 730時間実行すると 6.00 USD
        仮に 1ドル 100 円換算とした場合 月間(730時と仮置)で 600 円
        参考:Amazon EBS の価格
      • 月額合計は 16,368 円
    • FSx は 月額 6.90 USD になる
      仮に 1ドル 100 円換算とした場合 月間(730時と仮置)で 690 円
      • 月額合計は 690 円
      • FSxのほうが安い
  • 非機能
大項目 中項目 EC2 Amazon FSx for Windows ファイルサーバー
可用性 冗長性・BCP ユーザー側が導入・冗長化を行う AWS側で導入・冗長化を行う(最小構成では1つのAZを利用してレプリカを作成しておきコンポーネントの障害を自動的に検出して対処する 任意のタイミングでバックアップ取得も可能)
運用保守性 ハードウェア障害時 EC2 にはインスタンスのリタイアがありハードウェアで回復不可能な障害があるとユーザー側で手動リカバリ(停止・起動)が必要 AWS側で復旧
運用保守性 パッチ適用 EC2 のOSパッチ適用はユーザー側で責任を持って行う AWS側で実施
セキュリティ 脆弱性・ウイルス対策 EC2への導入ソフトウェアはユーザー側で管理 ソフトウェアの導入不可
セキュリティ 不正アクセス対策 EC2へのログイン時に利用するセキュリティグループと秘密鍵はユーザー側で管理 OSへのログイン不可

AWS Managed Microsoft AD とは

AWS Directory Service によって、Microsoft Active Directory(AD) をマネージドサービスとして実行することができます

参考:AWS Managed Microsoft AD

AWS Managed Microsoft AD の前提条件

  • 異なるアベイラビリティーゾーンにある2つのサブネットを利用してドメインコントローラーを動作させる(可用性の担保)
    • デフォルトで 2台のドメインコントローラーを動作させる
      • ドメインコントローラー 1台につき ENI(elastic network interface) を 1つ使う
      • ドメインコントローラーは追加可能
    • 198.18.0.0/15 アドレス空間は管理用に使うセグメントとなるためサブネットには利用不可
    • Active Directory を使用したネットワークアドレス変換 (NAT) の使用はサポートしていない
  • ドメインコントローラーへの接続は、VPC の他のコンピュータまたは他の VPC ( VPC ピアリング接続 )のコンピュータ または AWS Direct Connect や VPN を介したオンプレミスのコンピュータ から可能
  • Administrator ではなく 「Admin」ユーザーを利用しディレクトリを管理する
  • 可能なことは以下
項目 可能/不可能
ユーザーとグループの管理(Builtin除く) 可能
DNSの管理 可能
GPOの管理 可能
OUの管理(ドメイン名以下のOU) 可能
信頼関係の構築 可能
ドメインコントローラーの追加 可能
ADFS連携 可能
マネジメントコンソールからのスナップショット作成とリストア 可能
Administrator ユーザーの利用 不可能
サイトの作成 不可能
DefaultDomain Policyの変更 不可能
ドメインコントローラーへのリモートデスクトップ接続 不可能
ドメインコントローラーへのソフトウェアインストール 不可能

AWS Managed Microsoft AD の料金

本記事の構成は東京リージョンを利用し Standard Edition (従業員数が最大 5,000 人の小規模または中規模のビジネス向け) を選択します
ドメインコントローラーはデフォルトの2台構成にします
仮に 1 日 24 時間起動した際には以下の計算式となります
0.146 USD × 24時間 = 3.504 USD/日
仮に 1ドル 100 円換算とした場合 月額(730時間と仮置)で 10,658 円 になります

EC2 で ADを作成する場合と異なる点

  • 料金
    • m5.large の場合は以下
      0.216 USD x 24時間 = 5.184 USD /日
      仮に 1ドル 100 円換算とした場合 月間(730時と仮置)で 15,768 円
      **2 台構成では 月額 31,536 円 **
      → EC2 の方がコストは高い
    • t3.large の場合は以下
      0.1364 USD x 24時間 = 3.2736 USD /日
      仮に 1ドル 100 円換算とした場合 月間(730時間と仮置)で 9,957 円
      2 台構成では 月額 19,914 円
      →EC2 の方がコストは高い
  • 非機能
大項目 中項目 EC2 AWS Managed Microsoft AD
可用性 冗長性・BCP ユーザー側が導入・冗長化を行う AWS側で導入・冗長化を行う(最小構成では2つのAZを利用した2台構成のドメインコントローラーとなる AZの追加やサイト作成は不可)
運用保守性 ハードウェア障害時 EC2 にはインスタンスのリタイアがありハードウェアで回復不可能な障害があるとユーザー側で手動リカバリ(停止・起動)が必要 AWS側で復旧
運用保守性 パッチ適用 EC2 のOSパッチ適用はユーザー側で責任を持って行う AWS側で実施
セキュリティ 脆弱性・ウイルス対策 EC2への導入ソフトウェアはユーザー側で管理 ソフトウェアの導入不可
セキュリティ 不正アクセス対策 EC2へのログイン時に利用するセキュリティグループと秘密鍵はユーザー側で管理 OSへのログイン不可
セキュリティ 不正アクセス Administrator ユーザーはユーザー側で管理 Administrator利用不可

作成手順

前置きが長くなってしまったので別記事にしました

Amazon FSx for Windows と AWS Managed Microsoft AD で Windows用のファイルサーバを作って EC2 から接続しよう②作成手順