【AWSオンラインセミナーメモ】Amazon WorkSpaces

 Amazon WorkSpaces のオンラインセミナーを受講したのでそのメモです。実は WorkSpaces 使ったことがなかったのでとても勉強になりました。

個人サマリ

二種類の課金方式

 利用形態によって下記の2種類の方式から選択できます。 * Monthly: 月額固定料金(フルタイムの従業員など) * Hourly: 時間課金(パートタイムの従業員など)

カスタムバンドルを作成できる

 例えば、営業マン全員が共通して使うアプリケーションがある場合、WorkSpace をカスタマイズし、イメージを取得、そのイメージからカスタムバンドルを作成することが可能。営業マン個々人がアプリを入れる必要がないのは便利そう。

WorkSpaces にもベスプラアーキテクチャがある

 後述します。AD連携部分とか重要そうです。

 以下、メモとなります。

デスクトップ仮想化が注目される背景

  • 働き方改革
    • リモートワークなどによる生産性向上
  • セキュリティ向上
    • 持ち出しPCの紛失
  • コスト削減
    • PC購入コスト
    • 災害リスク

 これまでのデスクトップ仮想化は、初期費用の高さ、リードタイムの長さなどの課題があった。

Amazon Workspaces の特徴

  • フルマネージド型のデスクトップ仮想化サービス
  • データが全てクラウド側で管理されるので、漏洩リスクを低減できる
  • コストメリット
    • 2つの課金方式
      • Monthly: 月額固定料金(フルタイムの従業員など)
      • Hourly: 時間課金(パートタイムの従業員など)
    • 無料利用枠あり
  • スケール性
    • オンデマンドにスケールし、グローバルに利用可能
      • 東京を含む幅広いリージョン
      • Amazon.com で導入されている。ユーザは最も近いリージョンに接続され、遅延が少ない。
    • 複数のバンドル(インスタイプのようなもの?GPU搭載、ライセンス持ち込みなど)が用意されており、様々なユースケースに対応
  • オンプレミスVDIと比べ、リードタイムが圧倒的に低く、初期構築費も不要
  • 方式設計不要だが、規模が大きい場合は事前にアーキテクチャデザインをすべき

利用までの流れ

  • ユーザ認証のためのディレクトリを作成
  • バンドルの作成(マシンスペック、Officeライセンスなど)
  • 実行モードの選択
    • AlwaysOn: Monthly課金になる
    • AutoStop: Hourly課金になる。自動停止時間を設定でき、セッションを切ってからこの時間が経過したらシャットダウン
  • ボリューム暗号化の選択
  • タグの割り当て
  • 起動 --> メール受信
  • WorkSpaces クライアントのダウンロード(Webブラウザからも利用可能)

その他機能

  • 12時間おきにバックアップされ、有事の際はそこからリストア
  • WorkSpace をカスタマイズ後、イメージを取得し、イメージからカスタムバンドルを作成することができる
    • 部署や役割ごとにデフォルトバンドルを作成する
    • ただし、そのための要件もある(C:、 D: ドライブにアプリケーションをインストールする必要あり)
  • ローカルプリンタでの印刷も可能
  • MFA の設定も可能
  • WorkDocs が無償で利用可能(50GBの個人用ディスク領域)
  • CloudWatch で Workspaces の利用状況を確認することもできる
  • WorkSpaces 用の API が提供されているので、作成の自動化も可能

WorkSpaces の最新アップデート

  • デバイスのアクセスコントロール
    • クライアント証明書を利用できるので、承認されていないデバイスからのアクセスを防げる
  • 起動時にストレージ容量を増やすことが可能に
  • WorkSpace を削除せずに、バンドルを切り替えることができるようになった
  • WorkDocs Drive によって Windows のドライブマウントが可能になり、Windows ディスクを利用せずとも WorkDocs Drive を使えるようになった。(今まではそうではないsync方式だった)
  • 4台のフルHDモニターをサポート

デザインパターン

  • WorkSpaces 用のアカウントと、ADやその他サービス用のアカウントを分ける。
  • WorkSpaces 用の 専用VPCを構築する。スケールできるように余裕を持って。
  • 最小2つのサブネットを用意する。
  • AD認証は VPC Peering を使って行う(今回のストーリーが既存の AD サーバを使う想定なので)
  • AD を AWS サービスを使うか、EC2 上に構築するかは要件によって選択する

ユースケース

  1. プロジェクト向け
    • 早急に立ち上がったプロジェクト
    • 終わったらリソースはいらない
    • チームがスケールする可能性あり
  2. 開発者向け
    • 海外オフショアに開発を依頼したい
    • ただし、海外のエンジニアのローカル環境にデータを置きたくない
  3. クラウド環境に社内システムが移行した場合
    • ローカル環境 <----> クラウド のネットワークコストを低減させることができる