クラウドデスクトップサービスAmazon WorkSpacesによるワークスタイルの改革Amazon Data Services JapanGenta Watanabe
Agenda
仮想デスクトップ実現の方式Amazon WorkSpaces
Amazon Zocaloとの連携
まとめ
1
2
3
4
2008 2009 2010 2011
Amazon EBS
Amazon SNS
AWS Identity & Access Management
Amazon RDSAmazon VPC
Auto Scaling
Elastic LoadBalancing Amazon
ElastiCache
Amazon SES
AWS CloudFormation
AWS Direct Connect
AWS Elastic Beanstalk
GovCloud
Amazon SWF
Amazon Route 53
Amazon Redshift
Amazon Glacier
Amazon Dynamo DB
Amazon CloudSearch
AWS StorageGateway
Amazon CloudTrail
Amazon CloudHSM
Amazon WorkSpacesAmazon Kinesis
Amazon ElasticTranscoder
Amazon AppStream
AWS OpsWorks
AWS Data Pipeline
AWSのイノベーションの速度
20132012
AWSは、サービス開始以来:• 927の新サービスや新機能をリリース• 35のメジャーな新サービスを提供• 43回の料⾦値下げ
2014 as of 8/1
AmazonCloudFront
Amazon Zocalo
Amazon Cognito
Amazon Mobile Analytics
AWSのさまざまなサービス
仮想デスクトップ実現の方式
サーバー共有方式
共有されたサーバーデスクトップおよびアプリケーションの画面をクライアントに配信
仮想デスクトップインフラ(VDI)方式
仮想化されたデスクトップ画面を個別にクライアントに配信
サーバー共有方式
Microsoft Windowsリモートデスクトップ
Windowsの標準機能として利⽤可能
RDS CALのライセンス持ち込み(BYOL)が可能に
デスクトップとアプリケーションの配信(RemoteApp)
Citrix XenApp
AWSへの展開をサポート
リモートデスクトップ機能を利⽤
デスクトップとアプリケーションの配信
仮想デスクトップインフラ(VDI)方式
Citrix XenDesktop
AWSへの展開をサポート
デスクトップとアプリケーションの配信(XenApp)
サーバーOSを利⽤可能(サーバーVDI)
Amazon WorkSpaces
AWSで動作するフルマネージド型の仮想デスクトップサービス
デスクトップの配信
サーバーOSを利⽤
Citrix XenDesktop on AWS構成例
AWS Cloud
Corporate Data center
Customer Gateway
Virtual Private Gateway
Availability ZoneAvailability ZoneAvailability ZoneAvailability Zone
Availability ZoneAvailability ZoneAvailability ZoneAvailability Zone
Elastic LoadBalancing
StoreFront
StoreFront
Delivery Controller
Delivery Controller
Virtual Delivery Agent
Virtual Delivery Agent AD DC
Client
Mobile Client
AD DC
SQL Server
AD DC
SQL Server
Amazon WorkSpaces
• クラウドで動作するフルマネージド型のデスクトップコンピューテイングサービス
• ノートPC/iPad/Kindle Fire/Androidタブレットなど任意のデバイスからアクセス
• マネジメントコンソールを数回クリックするだけでデスクトップをユーザー数を問わずに展開可能
自社構築 vs. EC2 vs. フルマネージド
Power, HVAC, netRack & stack
Server maintenance
OS patches
s/w patchesBackups
ScalingHigh availability
s/w installs
OS installation
App installs
Power, HVAC, netRack & stack
Server maintenance
OS patches
s/w patchesBackups
ScalingHigh availability
s/w installs
OS installation
App installs
Power, HVAC, netRack & stack
Server maintenance
OS patches
s/w patchesBackups
ScalingHigh availability
s/w installs
OS installation
App installs
オンプレミス XenDesktop on AWS WorkSpaces
お客様がご担当する作業 AWSが提供するマネージド機能
Amazon WorkSpacesのメリット
• フルマネージド• 多様なデバイスへの
対応• データを安全にいつ
でも使える形で保存
• 選べるハードウェア・ソフトウェア構成
• 初期投資が不要• 社内ディレクトリと
の統合
フルマネージド
• 必要な数のワークスペースをすぐに起動できる• 面倒な管理作業はAWSにおまかせ• ユーザーはメールを受信したらクライアントをイン
ストールするだけで接続できる
WorkSpaces
多様なデバイスへの対応
• iPad• Kindle Fire HDX • Android Tablet• Microsoft Windows• Mac
データを安全にいつでも使える形で保存
• エンドユーザーデバイスにデータを保存しない• 画面のみをユーザーに転送 (PCoIP)• ユーザーボリュームをAmazon S3にバックアッ
プ
データを安全にいつでも使える形で保存
• ユーザーデータをセキュアにバックアップ・同期• ワークスペースとPC/MacにZocalo Syncをインストー
ル• データをAmazon S3にバックアップ• ユーザーは必要なときにデータにアクセス可能
選べるソフトウェア・ハードウェア構成WorkSpaces Bundle ハードウェアハードウェアハードウェアハードウェア アプリケーションアプリケーションアプリケーションアプリケーション
Standard 1 vCPU, 3.75 GiB Memory, 50 GB User Storage
ユーティリティ (Adobe Reader, Internet Explorer 9, Firefox, 7-Zip, Adobe Flash)
Standard Plus 1 vCPU, 3.75 GiB Memory, 50 GB User Storage
Microsoft Office Professional 2010, Trend Micro Worry-Free Business Security, ユーティリティ (Adobe Reader, Internet Explorer 9, Firefox, 7-Zip, Adobe Flash)
Performance 2 vCPU, 7.5 GiB Memory, 100 GB User Storage
ユーティリティ (Adobe Reader, Internet Explorer 9, Firefox, 7-Zip, Adobe Flash)
Performance Plus 2 vCPU, 7.5 GiB Memory, 100 GB User Storage
Microsoft Office Professional 2010, Trend Micro Worry-Free Business Security, ユーティリティ (Adobe Reader, Internet Explorer 9, Firefox, 7-Zip, Adobe Flash)
WorkSpaces BundlesはWindows 7 Experienceをユーザーに提供 (Windows Server 2008 R2でRDSを有効化したもの).
初期投資が不要
WorkSpaces Bundle 月額月額月額月額
Standard $47
Standard Plus $62
Performance $78
Performance Plus $93
• 前払い料⾦⼀切不要• いつでもデスクトップを削除可能• インフラ費⽤込みのアプリケーションアクセス (コンピュート/ストレー
ジ/ネットワーク帯域)
社内ディレクトリとの統合
• 従来のデスクトップのようにワークスペースを管理– グループポリシー– ソフトウェア配布ツール– エージェントのインストール
• ⾃分が管理しやすいように組織単位(OU)に保存• 管理のやり方はかわらない
– 管理負荷の軽減
WorkSpaces Connect: AD統合
• ユーザー: 既存のエンタープライズの認証を利⽤• IT: 通常のデスクトップのようにワークスペースをコント
ロール
ユースケース
• モバイル端末でのアクセス– ユーザーは任意の端末でいつで
も必要なときにデスクトップにアクセス
• セキュアな作業環境– デスクトップへの物理的アクセ
スを制御できない環境でも管理されたデスクトップをユーザーに提供
• リモート勤務– 在宅勤務などでもデータをロー
カルに保存することなく必要なアプリケーションへのアクセスを提供し、セキュリティを向上
• 臨時従業員への対応– プロジェクトなどで期間限定
ユーザーにデスクトップ環境を⽤意
• 学生向けの作業環境– 必要なリソースへのアクセスを
学生に提供しコースや学期の終わりに改修
• 開発⽤の作業環境– 開発者に必要なツールをインス
トールしたWorkSpacesをプロビジョニングして利⽤
Amazon WorkSpacesセットアップ
Quick Setup 必要な環境を自動的に作成
20分でWorkSpaceを利用可能
Advanced Setup VPCやディレクトリの選択が可能
社内Active Directoryとの統合
Quick Setup
• WorkSpacesバンドルを選択• ユーザーを作成してワークスペースのプロビジョンを開始
WorkSpaceのステータス確認
• 20分ほどでStatusが「Pending」から「Running」に変わったら完了
• ユーザーにメールで通知される
メールの受信とユーザーの登録
• メールを受信したらリンク先をブラウザで開いてパスワードを設定
WorkSpacesクライアントのダウンロード
• http://clients.amazonworkspaces.comからダウンロード可能
WorkSpacesへの接続
Quick Setupで実⾏されるプロセス
WorkSpaces用のVPCを作
成
VPC内にユーザーと
WorkSpace管理用のディレクトリをセッ
トアップ
ディレクトリ管理者アカウン
トの作成
ユーザーアカウントの作成とディレクトリ
への追加
WorkSpaceインスタンスの
作成
ユーザーへの招待メールの
送信
Quick Setupで作成される環境
AWS Cloud
Availability Zone
Availability Zone
Virtual Private Cloud
Internet Gateway
Domain Controller
VPC Subnet
VPC Subnet
Domain Controller
WorkSpaces WorkSpaces
・・・
WorkSpaces WorkSpaces
・・・
Client
Mobile Client
Internet
Advanced Setup
• 既存のVPCやオンプレミスのActive Directoryとの連携を⾏う場合はこちらを選択
• 以下の⼿順を⼿動で⾏う– WorkSpaces⽤のVPCの作成– ディレクトリの作成– WorkSpaceのプロビジョニング
ディレクトリの選択
WorkSpaces Cloud Directory
フルマネージドのディレクトリサービス
WorkSpaces⽤に独⽴したドメインを作成
WorkSpaces Connect
既存のディレクトリへの接続
オンプレミスまたはVPC上のドメインを指定
社内ディレクトリとの統合
Subnet 2
Subnet 1
AZ ‘A’
AZ ‘B’
WorkSpacesAPI
End-point
Customer Network
VPN Connection
OAuth Gateway
Public IP
Secure Auth (443)
Public IP
WS User1
Public IP
WS User2
On-premisesDomain Controllers
Directory
Join
Directory
Join
WorkSpaces Connect
WorkSpacesConnect
On-premisesResources
Direct Connect
ネットワークインターフェース
• それぞれのWorkSpaceは2つのネットワークインターフェース(ENI)をもつ– VPCおよびインターネット接続⽤ネットワーク– WorkSpace管理⽤および画面転送⽤ネットワーク
• 管理⽤ネットワークでは以下のポートを利⽤する– インバウンド
• TCP/UDP 4172• TCP 8200
– アウトバウンド• UDP 55000
インターネットへの接続
• WorkSpacesがインターネット接続するためにはNATインスタンスもしくはEIPの付与が必要– Cloud Directory NAT Instanceパターン– Connected Directory NAT Instanceパターン– On-Premise Firewallパターン– Elastic IP Addressパターン
構成1:Cloud Directory NAT Instanceパターン
• NATインスタンスを経由してインターネットへアクセス
AWS Cloud
Virtual Private CloudAvailability ZoneAvailability ZoneAvailability ZoneAvailability Zone
Availability ZoneAvailability ZoneAvailability ZoneAvailability ZoneRouter
NATInternet Gateway
Internet
構成2:Connected Directory NAT Instanceパターン• インターネットと社内リソースの両方にアクセ
スすることが可能
AWS Cloud
Virtual Private CloudAvailability ZoneAvailability ZoneAvailability ZoneAvailability Zone
Availability ZoneAvailability ZoneAvailability ZoneAvailability ZoneRouter
NATInternet Gateway
Internet
Virtual Private Gateway
VPN Connection
Customer Gateway
CorporateData center
構成3:On-Premise Firewallパターン
• インターネットへの接続ポリシーをオンプレミスのファイアウォールでコントロール可能
AWS Cloud
Virtual Private CloudAvailability ZoneAvailability ZoneAvailability ZoneAvailability Zone
Availability ZoneAvailability ZoneAvailability ZoneAvailability Zone
Router Virtual Private Gateway
VPN Connection
Customer Gateway
CorporateData center
Internet
構成4:EIP(Elastic IP Address)パターン
• WorkSpacesのENIに直接EIPを付与することで直接インターネットアクセスへ可能
AWS Cloud
Virtual Private CloudAvailability ZoneAvailability ZoneAvailability ZoneAvailability Zone
Availability ZoneAvailability ZoneAvailability ZoneAvailability Zone
Router Internet Gateway
Internet
WorkSpacesクライアント
• サポートするプラットフォーム– Windows 7以降– Mac OS X 10.8.1以降– iOS 7.0以降– Android 4.2以降– Kindle Fire HDXまたはHD 7
• ネットワーク要件– TCP/UDP 4172– TCP 443 (HTTPS)– TCP 22 (SSH)– RTT 100ms以下を推奨
ローカルプリンターのサポート
• WorkSpaceからクライアントPCに接続されているローカルおよびネットワークプリンターに印刷することが可能– Mac OS Xは未サポート– ローカルプリンターは⾃動的に認識される
• Cortado ThinPrintやGoogle Cloud Printなどのクラウド印刷ソリューションも利⽤可能
Amazon Zocalo Sync(WorkSpaces Sync)
• ローカルのフォルダをWorkSpaceと同期– ユーザーあたり50GB– 管理者により無効化することが可能
• Amazon WorkSpacesとは独⽴して動作する– https://amazonzocalo.com/clientsより
AmazonZocaloSetup.exeを別途導⼊して実⾏
Client WorkSpaceInternet Amazon Zocalo
Sync
Amazon WorkSpacesアップデート
• 以下のリージョンで利⽤可能– US-East-1 (N.Virginia)– US-West-2 (Oregon)– EU (Ireland) – Asia Pacific (Sydney)
• 8/27より東京リージョンでも利⽤可能に!– Asia Pacific (Tokyo)
Amazon Zocalo
• フルマネージド型の企業向け文書保存・共有サービス– データは暗号化のうえ、指定したリージョンに保管される– 既存ADとも連携可能なユーザ権限管理機能を備える
• 1人あたり200GBの容量を⽉額5ドルで利⽤可能– 1GBあたり⽉額0.03ドルの追加料⾦でストレージの増量にも対応
• WorkSpacesユーザは50GBまで無料でZocaloを利⽤できる(⽉額2ドルで200GBにアップグレード)
Amazon Zocaloの特徴
• ファイルの共有:– 他の人とドキュメントやスプレッドシート、プレゼンテーション、Webページ、画像、
PDF、テキストファイルを共有することが可能
• マルチデバイスからのアクセス:– ノートPC、iPad、Kindle Fire、Androidタブレットなどのお好みのデバイスから、いつで
も、どこにいても、Amazon Zocaloに保管されたデータにアクセス可能
• フィードバック:– ユーザーは他ユーザーのフィードバックをリクエストし、管理することが可能。⼀方、
フィードバックする側のユーザーは、ドキュメントやファイルの中のあらゆる語句や文章、段落、範囲をハイライトし、詳細なフィードバックを残すことが可能
Amazon Zocaloの特徴
• 安全:– Zocaloに保管されたすべてのデータを暗号化。また、管理者はユーザーの共有
アクセス権を管理するためのポリシーを設定可能。AWSリージョンを選択することでデータをどこに保存するかを⾃由に決定する事が出来、ファイルやユーザーのアクティビティを追跡するために監査ログを閲覧することが可能
• コーポレートディレクトリとの統合:– 既存のActive Directoryと統合することが可能
• 低コスト:– 1人あたり200GBの容量を⽉額5ドルで利⽤可能– 1GBあたり⽉額0.03ドルの追加料⾦でストレージの増量にも対応– WorkSpacesユーザは50GBまで無料でZocaloを利⽤できる
(⽉額2ドルで200GBにアップグレード)
ユーザ利⽤イメージ(My Documents画面)
ユーザ利⽤イメージ(ドキュメントの共有)
ユーザ利⽤イメージ(フィードバック)
まとめ
• Amazon WorkSpacesは東京リージョンにて利⽤可能– WorkSpaces Connectにより既存のActive Directoryと認証の
統合が可能
• Amazon ZocaloはWorkSpacesと連携してドキュメントの保存・共有が可能なサービス– 現在のところ東京リージョンではSyncのみ
• いますぐおためしください!