[Deep Dive] WorkSpaces2015年3月22日

株式会社サーバーワークス

プロジェクトマネジメント課

佐竹 陽一

この数字は何でしょう？

•20140827

東京リージョンでWorkSpaces提供開始

•Amazon Web Services（AWS）は2014年8月27日、DaaS（Desktop as a Service）の「Amazon WorkSpaces」が、東京リージョンでも利用可能になったと発表

対象サービスと内容

•対象サービス

•Amazon WorkSpaces

•AWS Directory Service

•Amazon WorkDocs

•内容

•WorkSpacesが生まれた背景と特徴

•利用シーン

•構築&運用に関する知見

背景1

BYODの流行

求められる企業

のクリーンなイ

メージ

企業は、BYODを受け入れながらもクリーンであり続ける必要がある

背景2

•テンポラリ労働者へのDesktop

1. 準備の手間

2. リセットの手間

•これらの手間を省きながらDesktopを労働現場に提供したい

今までの働き方

社外

貸与

VPN

クリーンなイメージを維持するには？

働き方の変化

社外

VPN？

BYOD

WorkSpacesの活用

社外

BYOD

WorkSpacesの特徴• ハードメンテナンス不要

• ソフトのインストール不要フルマネージド

• ユーザ1人ごとに専用のスペースPersistent

• コンソールから起動するだけプロビジョニングが

容易

• 月額課金モデル

• 利用終了後の削除も容易初期投資不要

• Windows、Mac、Zero client等、多様なデバイスに対応

マルチデバイス対応

特徴を要約すると

簡単

手間いらず

捨てれる

その他の大手企業向けの特徴

•Active Directoryとの連携が可能•AD Connector(Directory Service)を利用する

•オンプレのADの情報をWorkSpacesのユーザ情報として利用できる

•MFA(多要素認証)が利用可能•OpenOTP等のRadius認証に対応したOTP認証サーバーが必要

AWS Directory Service

•AD Connector•既存の Microsoft Active Directory に接続し、その認証情報を使用して AWS のリソースにアクセス可能

•Simple AD•Samba 4 Active Directory Compatible Server を備えたスタンドアロンの管理型ディレクトリ

AWS Directory ServiceはWorkSpacesの構築に必須

WorkSpaces導入ケース

DaaSがフィットするかのテスト利用

期間限定のデスクトップ利用者へ提供

Windowsデスクトップが業務上必要

1.DaaSがフィットするかテスト利用

•対象：DaaS(VDI)未経験

•やりたいことがDaaSで達成可能かテストとしてWorkSpacesを利用する

•理由

•初期投資が不要で、合わないと判断した場合に捨てることが可能であるため

テスト利用におけるポイント

•Simple ADで検証を行えばADの連携は不要

•Simple ADは、ADをAWSマネジメントコンソールからの操作だけで準備可能

検証時の注意

•WorkSpacesの制限/初期値•WorkSpace台数５

• Image作成可能数５6台以上必要な場合は制限の引き上げリクエストが必要

•Portの開放が必要•TCP ポートの 443 と 4172、ならびにUDP ポート 4172 をオープン

Port開放の補足(ターゲットの範囲)

•Portを開放するIPレンジは以下のリンク先をご参照ください。

•https://forums.aws.amazon.com/ann.jspa?annID=1701上記URLの「Asia Pacific (Tokyo)」の項目

•https://forums.aws.amazon.com/ann.jspa?annID=2051上記URL内の全てのIPレンジ

Port開放の補足(S3)

•WorkSpacesクライアントの利用のために、S3のエンドポイント全てに対してhttps接続 (443Portの開放)が必要

•http://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region

•上記ページAmazon Simple Storage Service (S3)の「Endpoint」

•この設定は、今後のAWSのRegion拡張を踏まえ「*.amazonaws.com」での設定が推奨とのこと

運用Tips

•WorkSpacesクライアントのアップデート

• WorkSpacesクライアント起動時にアップデートが促される

•アップデートにはS3との疎通が必要

【参考】

http://blog.serverworks.co.jp/tech/2015/01/23/amazon-workspaces-updates/

2.期間限定のデスクトップ利用者へ提供

•対象：テンポラリの業務参加者•対象者との契約が、数ヵ月程度で終了することが最初から判明している場合の作業用デスクトップとして提供

•理由•作業完了後にデスクトップごと捨てることが可能である

•1ユーザごとにpersistentな領域を割り当てることができる

•MS Officeも月額課金で利用可能

利用者へ提供する場合のポイント

•AD連携を行い、業務に必要な領域以外にはアクセス不可となるよう制御

ADを使っての検証時の注意

•ネットワーク設計が必要•社内のネットワーク(LAN)とVPCのサブネットが重複しないよう設計

•ADとの連携のためにPort開放が必要• Port開放が出来たかどうかは、VPCの中に最も安いLinux Instanceを構築し、そこからADサーバに対して疎通ができるか確認すると良い• http://docs.aws.amazon.com/workspaces/latest/adminguide/prep_connect.html

カスタムImageを配布可能

•WorkSpace Image

•業務に必要なソフトウェアをプリセットしたものを、WorkSpace構築時の元Image(Bundle)とすることが可能

メンテナンス(保守管理)タイム

•毎週日曜日 午前0時0分～午前4時0分にメンテナンスが行われる•毎週、必ず実施されるわけではない

•メンテナンス実施前に通知が必ず来るわけではない

•WindowsUpdateのデフォルト設定•毎週日曜日の午前2時0分

•この時間帯は利用を控えることを推奨

過去のメンテナンス(2014年末)

Standard Bundleのアップグレード

• 1vCPUから2vCPUに、メモリが3.75GBから4GBにアッ

プグレード

Value Bundleの追加

• 1vCPU、2GBメモリ、10GBのユーザーストレージ

Office 2013が選択可能に

3.Windowsデスクトップが業務上必要

•対象：Windows PCが手元に必要な人•Windowsクライアントで動作検証や、業務作業が必要なユーザに提供

•理由•Windows PCを、一時的に実施する作業のために購入するより安価

•必要がなくなれば捨てればいい

•マルチクライアント対応のため、iPadからでもWindowsを操作可能になる

事例

•上長承認を出先でも

•出張先でWindows PCからのみ動作する業務アプリをiPad⇒WorkSpaces経由で利用し、承認作業を実施

•当社内での利用例

•Macユーザが、Windows PCでの動作検証のためにWorkSpacesを利用

よくある質問1

•データの持ち出しをさせたくない

•データの持ち出しは基本的にできません

•クリップボードのリダイレクトがデフォルトでOnになっているので、これをOffにすれば完全に持ち出し不可にできます

よくある質問2

•データをローカルに保存したい

•ファイルサーバなどを経由して取得する必要があります

•WorkDocs Syncを利用すれば、ローカルPCとWorkSpaces上のフォルダを同期することが可能です

•WorkDocs SyncはDirectory ServciceをRegisterするタイミングでOnにします

よくある質問3

•USBに接続した機器を利用したい

•ローカルプリンターの利用が可能です

•マイクや、CDドライブなど、その他のものは2015年3月21日現在利用不可能となっています

月額利用料金

バンドル ハードウェア構成 月額料金

バリュー 1 vCPU、2 GiB メモリ、10 GB ユーザーストレージ

34 USD

スタンダード2 vCPU、4 GiB メモリ、50 GB ユーザーストレージ

47 USD

パフォーマンス

2 vCPU、7.5 GiB メモリ、100 GB ユーザーストレージ

78 USD

各バンドルに＋15 USD でプラスバンドルに• Microsoft Office Professional(2010,2013が選択可能)• Trend Micro Worry-Free Business Security Services

無料で提供されるもの

•クライアント⇔WorkSpaces間の通信料

•12時間おきに自動的に取得されるDドライブ(作業領域)のバックアップ

•WorkSpace Imageも、カスタムBundleの作成も無料

•WorkSpacesを利用するユーザーが1名でも存在する限りDirectory Serviceの利用は無料

月額利用料の日割り計算

•WorkSpaces がアクティブになった最初の月に関しては、WorkSpacesの料金は月の残り日数で計算されます。

•例えば、WorkSpaces を 1 月 10 日に始めた場合、月の残りの 21 日間に対して請求されます(31 – 10 = 21)•http://aws.amazon.com/jp/workspaces/faqs/#%E6%96%99%E9%87%91%E8%A1%A8

月額利用料の日割り計算 Case1

•11月10日にスタンダードで1台作成した場合

この場合の11月の利用金額はいくらでしょうか？

月額利用料の日割り計算 Case1

•11月10日にスタンダードで1台作成した場合

•11月は30日までなので、

「30日 – 10日 = 20日」

分の月額利用料が加算されます。

• (30-10)/30 * 47 USD = 31.33 USD

月額利用料の日割り計算 Case2

•11月10日にスタンダードで1台作成し、その日中に破棄した場合

この場合の11月の利用金額はいくらでしょうか？

月額利用料の日割り計算 Case2

•11月10日にスタンダードで1台作成し、その日中に破棄した場合

•11月は30日までなので、

「30日 – 10日 = 20日」

分の月額利用料がそのまま加算されます。

• (30-10)/30 * 47 USD = 31.33 USD

月額利用料の日割り計算 Case3

•11月10日にパフォーマンスで1台作成し、20日にスタンダードで再作成した場合

この場合の11月の利用金額はいくらでしょうか？

月額利用料の日割り計算 Case3

•11月10日にパフォーマンスで1台作成し、20日にスタンダードで再作成した場合

•パフォーマンス「30日 – 10日 = 20日」

•スタンダード「30日 – 20日 = 10日」

• (30-10)/30 * 78 USD+ (30-20)/30 * 47 USD = 67.67 USD

月額利用料の日割り計算 Case4

•11月30日にスタンダードで1台作成し、その日中に破棄した場合

この場合の11月の利用金額はいくらでしょうか？

月額利用料の日割り計算 Case4

•11月30日にスタンダードで1台作成し、その日中に破棄した場合

•「30日 – 30日 = 0日」と、0日分の利用料

•結果、0 USDとなります

WorkSpacesのコスト削減Tips

•月末に削除することで、翌月の利用料が回避可能

•利用料は月の残りの日数に比例して額が増えるため、月末に構築するほど構築した月の利用料金は安くなる

•検証やゴールデンイメージのメンテナンスは月末付近に実施するとコスト削減に

WorkSpaces導入提案クラウドソーシングの作業用端末としてWorkSpacesを提供

年に数回行うWindowsクライアントでの動作検証にWorkSpacesを利用

工場や大学の研究室など、共通のPC端末を利用しているものに対して、 WorkSpacesを利用者ごとに提供

各実店舗に設置されているノートPCにWorkSpacesを利用することで、盗難時の情報流出の防止が可能

決済(レジ)を行っているiPadでWindowsの簡単な作業を実施できるようWorkSpacesを提供

おわり

【余談】2015年3月にアカリクにインタビューが掲載されましたhttps://acaric.jp/modules/static/index.php?content_id=189