Embed Size (px)
Citation preview
はじめての AWS
自己紹介
@tsune_hide名前 山城 常秀年齢 33性格 真面目な天邪鬼座右の銘 自信はもっても満足しない気になるサービス
VPC / Direct Connect / VPN
趣味
アニメ、アニメ、アニメ、アニメ、映画、アニメ、、、、
他にも何か・・・
今期見ているアニメ:マクロス⊿、魔装学園 HxH 、クロムクロ、ReLife 、ねじ巻き精霊戦記 天鏡のアルデラミンRe: ゼロから始める異世界生活
趣味
IT 全般
山城家には モバイル端末管理のための MDM※ 導入済み複数台の iPhone 、 iPad 、 Android などのスマートフォンおよびタブレット端末をリモートで一
元管理できる
GoogleApps for work 導入済み
WiFi AP いじったり、電波計測ルータが Firewall だったり・・・
お仕事の内容
現在の勤め先 株式会社レキサス (ジョイン歴 6 ヶ月)仕事の内容 情報システム + 業務改善リスト 社内の情報基盤強化
セキュリティマネジメント (ISMS)
それ以前の経歴 ソフトウェアベンダー:インフラ設計、 PG 3年 動物病院:情シス、経営企画、経理、マネジメント 8年
AWS 経験歴 ゼロ年
・ AWS を知ったの1年ほど前
・ JAWS-UG 2016 年 1 月初参加
・本日、初登壇
再スタートしたばかりのエンジニアを
暖かく迎えてください mm
熱い熱いサーバレストーク
Re: ゼロ から始める AWS 生活
情シスの
〜 AWS Directory Service 編〜
AWS Directory Service って何なの?
Active Directory とは
ActiveDirectory に含まれる機能・ユーザの管理 ID 、属性、所属グループや権限を管理
・ユーザ認証 異なるコンピュータ間でシングルサインオンを提供
・コンピュータの管理 ドメイン参加したコンピュータの名前解決 (DNS)
・グループポリシー ユーザやコンピュータの設定を一元管理
DirectoryService やってみようと思ったきっかけ
AWS で Active Directory ? Microsoft ? Windows Server
Windows Server とか人気なさそう www ( 特にレキサスでは )
←情シス的にやってみるか いまここ
何をやるか?
社内リソースからドメイン参加できないのか?
やってみたこと
・社内から使えないのか?・グループポリシー適用(パスワード制限)
準備するもの・ VPC・ DirectoryService(Simple AD)・ IPSec 対応ルータ (Yamaha SRT100)・ Windows Pro エディション
構成
VPN は NAT トラバーサル対応
VPC+VPN構築
・異なるアベイラビリティーゾーンに2つのサブネットが必要※後の Directory Service作成時に必須
VPN 設定 (AWS / 社内 )
・ルータ設定は自動生成 (IPSec / BGP 含む ) ※ NAT配下の場合は local address の変更 / bgp equal を変更
SimpleAD
・ Directory DNS のみ注意・ DNS Server が2つできる
セキュリティグループ変更
・ VPN 経由を許可
インバウンド許可
TCP/UDP 53 - DNS
TCP/UDP 88 - Kerberos authentication
UDP 123 - NTP
TCP 135 - RPC
UDP 137-138 - Netlogon
TCP 139 - Netlogon
TCP/UDP 389 - LDAP; note that AWS Directory Service does not support LDAP with SSL (LDAPS) or LDAP signing
TCP/UDP 445 - SMB
TCP 873 - FRS
TCP 3268 - Global Catalog
TCP/UDP 1024-65535 - Ephemeral ports for RPC
クライアント側
・ DNS の宛先変更・ MacOSX/Linux も ActiveDirectory 参加可能
管理・リモートサーバ管理ツールが必要 つらい GUI 設定不可避仕様 ...
これだけで終わり
所要時間 1〜 2時間程度(慣れたら 30分)
引っかかった箇所 ・セキュリティグループ × VPN ルータ Firewall
結論
・ EC2/Workspace など AWS リソース以外からも利用可能・社内にグループポリシー適用可能・ UserCAL不要
注意事項・ SimpleAD(Small/Large) と Microsoft AD(Enterprise) できることが異なる
信頼関係 NG / ユーザ移行 NG / MFA 認証 NG
メリット
Windows Server 2012R2
ActiveDirectory
ファイル共有
ハードウェア
Windows Server 2012R2
ActiveDirectory
ファイル共有
EC2
AWSDirectory
共有ディスク
・運用コスト削減
サーバレスから 情報システム部門レスへ
運用保守から セキュリティ強化へ
ご清聴ありがとうございました
質疑応答への回答
Q1.価格
Q2.SimpleAD はユーザインポートできるとのことだがパスワードは?既存 AD から csv形式で出力したファイルは読み込めるがパスワードが含まれないため不可
Q2.単一障害点にならない?デフォルト2つ AZ構成
Q3.通信障害は? 心配であれば ISP回線を使わない Direct Connect をおすすめ
Q4.Direct Connect高くない?VPN は固定 IP利用のためプロバイダ利用料で月額1万円はかかるDirectConnect はフレッツ VPN 使った物だと 4万円から導入可能4拠点以上ある場合には DirectConnect が安い
参考サイト https://www.ntt-west.co.jp/news/1601/160119a.html
Small Large Enterprise
月額 58.56 USD 175.68USD 325.74USD
