© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アマゾン ウェブ サービス ジャパン株式会社 ソリューションアーキテクト 渡邉源太 2017/6/1
AWSによる
マイクロソフトアーキテクチャの最適化
自己紹介
名前
• 渡邉源太
所属
• アマゾン ウェブ サービス ジャパン株式会社
• ソリューションアーキテクト
好きなAWSサービス
• Amazon WorkSpaces/AppStream 2.0
前提条件とセッションのゴール
想定する前提条件
• Active Directory/SQL Serverなどマイクロソフトアーキテクチャ
の設計・構築に関する知識・経験
• 一般的なITインフラに関する知識
セッションのゴール
• マイクロソフトアーキテクチャをAWS上に展開するための最適な
設計について理解する
• AWSのマネージドサービスを利用するメリットについて理解する
Agenda
• アーキテクチャ概要
• Active Directory on AWS
• SQL Server on AWS
世界中に広がるAWSの拠点
https://aws.amazon.com/jp/about-aws/global-infrastructure/ AWS クラウドは世界中の 16 の地理的リージョン内の 42 の アベイラビリティーゾーンで運 用されており、さらに 3 つの リージョンと 8 つのアベイラビ リティーゾーンが追加される予 定ですリージョンは複数のアベイラビリティゾーン(AZ)で構成されています
AZは、複数のデータセンターによって構成され、高い耐障害性を提供でき
る設計になっています
リージョンとアベイラビリティゾーン(AZ)
AZ AZ AZ AZ AZ Transit Transit Data Center Data Center Data Center Data CenterAmazon
EC2
(Elastic Compute Cloud)
インスタンス:
• 仮想コンピューティング環境 • 数分で起動し、1時間ごとの従量課金で利用可能 • 追加・削除、スペック変更が数分で可能管理者権限(root / Administrator) で利用可能
1 任意のゾーンに 分散配置可能 リージョン アベイラビリティゾーンB アベイラビリティゾーンAセキュリティ
社内アプリケーション エンドユーザーコンピューティング
ビジネスアプリケーション
Amazon EC2 Windows, Amazon RDS,
AWS CloudFormation, AWS CloudFront
Amazon EC2 Windows, AWS Directory Service, Amazon RDS,
AWS Marketplace
Amazon WorkSpaces, Amazon AppStream, AWS Marketplace,
AWS Mobile Services, SaaS AWS Identity and Access Management (IAM),
AWS CloudHSM, AWS Key Management Service (KMS), security groups, AWS Marketplace
Amazon EC2, Amazon S3, Amazon RDS, Amazon VPC, Amazon Direct Connect, AWS Directory Service, AWS IAM, AWS Service Catalog
インフラストラ クチャ
WindowsワークロードのためのAWSサービスオ
ファリング
AWS Elastic Beanstalk, AWS CodeDeploy, AWS CloudFormation
Availability Zone Private Subnet Public Subnet Availability Zone Private Subnet Public Subnet Remote Users
マイクロソ
フトアーキ
テクチャ例
Virtual Private Gateway Corporate Office IIS App IIS Web IIS App IIS Web VPN AWS Direct Connect Internet Gateway RDGW VPC NAT Gateway RDGW VPC NAT Gateway AWS Directory Service AWS Directory Service MS SQL MS SQL Always On Availability Group VPC Endpoint Amazon S3 Auto ScalingAmazon Cloudwatch 各 拠 点 / 関 連 会 社 監視システム AWS Management Console Internet Active Directory
Amazon VPCの利用例
社内イントラ 既存DCからAWSへ接続し自社環境として利用 様々なメリット • 低コスト/短期間導入 • セキュリティ向上 • 運用工数削減 • 老朽化対応コスト 既存データセンター 専用線 SFA 会計/人事・給与 ファイル共有 ポータル BI 各種業務処理Remote Desktop Gateway
• Remote Desktop Protocol (RDP) over HTTPS を使用してVPN接続なし にセキュアで暗号化された接続を確立
• アベイラビリティゾーン(AZ)障害の際には他のAZにフェールオーバー したリソースにRemote Desktop Gatewayからアクセス可能
RDGW RDGW
Public Subnet Public Subnet Internet Gateway
Remote Management & Administration
AWS
Identity and Access Management
(IAM)
AWS操作をよりセキュアに行うための認証・認可の仕組み
AWS利用者の認証と、アクセスポリシーを管理
▪ AWS操作のためのグループ・ユーザー・ロールの作成が可能 ▪ グループ、ユーザーごとに、実行出来る操作を規定できる ▪ ユーザーごとに認証情報の設定が可能 開発チーム 運用チームAWSコンソールへのフェデレーション
クライアント AD ADFS (1)ブラウザから リクエスト (4) AssumeRoleWithSAML (3) SAMLトークン (6) リダイレクトAWS ルートアカウントやIAMユーザークレデンシャルの代わりに、Active Directoryの ユーザー名とパスワードでAWSのマネジメントコンソールにサインインが可能
AWS は SAML 2.0 (Security Assertion Markup Language) を使用した ID フェデ レーションをサポート
DC/GC /DNS
ADFS
AWS CloudFormation
• EC2やELBといったAWSリソースの環境構築を、設定ファイル(テン プレート)を元に自動化できるサービス • テンプレートを自由に作成できるため、自分好みのシステム構成を自 動的に構築できる • テンプレートには起動すべきリソースの情報をJSONフォーマットのテ キスト形式で記述する テンプレートベースの プロビジョニング インフラをコード化 宣言・柔軟性 簡単に利用可能CloudFormation:コンポーネントとテクノロジー
テンプレート AWS CloudFormation スタック JSON形式のテキスト パラメータの定義 リソースの作成 実際の設定 AWSサービスの設定 サービス全体での統合 サービスのイベント管理 カスタマイズ フレームワーク スタックの作成 スタックの更新 エラー検知とロールバックAWS CloudFormation Designer
• テンプレート内のリソース
を可視化
• テンプレートの修正をド
ラッグ&ドロップで対応可
能
• サンプルテンプレートのカ
スタマイズが容易
AWS クイックスタートリファレンス
セキュリティと可用性に関するAWSのベストプラクティス
にしたがって以下のようなワークロードをデプロイ可能
• Active Directory ドメインサービス • Active Directory フェデレーションサービス • SQL Server • SharePoint Server • Exchange Server • Lync Server • Windows PowerShell DSC • Remote Desktop ゲートウェイActive Directory
on AWS
•
デスクトップや社内アプリケーション
へのシングルサインオン(SSO)
•
アプリケーションやリソースへのアク
セス管理
•
グループポリシーによるコンピュータ
のポリシー管理
クラウドワークロードのためのActive Directory
ドメインサービス(AD DS)
• シナリオ1: 新規のAD DSをAWSに展開
• シナリオ2: オンプレミスのAD DSをAWSクラウドに拡
張
• シナリオ3: AD DSをAWS Directory ServiceでAWSに
展開
• AWS Directory Service for Microsoft Active Directory
(AWS Microsoft AD)
シナリオ 1:新規のAD DSをAWSに展開
• EC2にAD DSを新しくインストールするシナリオ
• オンプレミスにAD DSは存在せず、VPCのみにフォレスト/ドメイ
ンが存在
Availability Zone A Private Subnet Availability Zone B Private Subnet DC/GC /DNS DC/GC/DNS高可用性
• ドメインコントローラーを複数のアベイラビリティゾーン(Multi-AZ)に 配置することで高可用性と耐障害性を提供 • グローバルカタログサーバー(GC)とDNSを各AZに配置 • もし各AZにこれらのサーバーを配置しない場合は、AD DSクエリと認証の トラフィックは、AZをまたぐことになる。また、AZ障害の場合はこれら のサーバーが機能しなくなる Availability Zone DC/ GC/ DNS Availability Zone DC/ GC/ DNSバックアップ
• 「Volume Shadow Copyサービス(VSS)」により、Active Directoryサー ビスの起動中にバックアップをとることが可能
• Windows Serverバックアップ、その他のActive Directory互換のバック アップツールを使用している場合は、そのまま使用可能 • バックアップ ツールによって取得されたバックアップ データが保管され ているボリュームのスナップショットを取得し、データを保全 Amazon EBS Snapshot DC VSSでバックアップをEBSに保存 スナップショットを取得
リストア:DCのシステム全体のスナップショット
は取得しない
• DCのシステム全体のスナップショットを取得しない • USNロールバックを誘発する • ロールバックが発生した DC はドメイン環境から隔離され、複製パートナーと して見なされなくなる DC の数は 1 台と認識 DC の数は 2台と認識 ドメインに追加 スナップショット取得 ドメインに追加 DC の数は 3台と認識 https://technet.microsoft.com/ja-jp/library/dd363545(v=ws.10).aspx スナップショットには 3 台目の DC に 関する情報が保存されていない。 これをリストアすることでDBに不整合 DC DC DC DCリストア:
ディレクトリ サービス復元モード(DSRM)の利用
• EC2 WindowsインスタンスでDSRMをサポート
• DC を ディレクトリサービス復元モード(DSRM)でブートし、権限
のあるリストアを実行
• 権限のあるリストアとは、過去の時点のDCの情報を他のDC
に復元すること
• これを行わない場合、他のDCが持つ最新の情報で、リスト
アされたDCの内容が上書きされる
シナリオ2:オンプレミスのAD DSをAWSクラウ
ドに拡張
• 既存のオンプレミスのAD DSをAWSのVPCに拡張するシナリオ • VPC上のサーバーは、VPC上にあるドメインコントローラーやDNSに接続 可能 DC オンプレミスのデータセンター Availability Zone A Private Subnet Availability Zone B Private Subnet DC/GC /DNS DC/GC/DNSサイトのトポロジ
• AWSではアベイラビリティゾーンをサイト(個別のデータセンター)とみ なす • サイト内のPCやメンバーサーバーは同じサイトにあるDCに優先的にリクエ ストを投げる オンプレミスのデータセンター Availability Zone A Private Subnet Availability Zone B Private Subnet DC/GC /DNS DC/GC/DNS DC/GC/ DNS サイト サイト間レプリケーション サイト サイトシナリオ 3:AD DSをAWS Directory Service
でAWSクラウドに展開
• EC2にAD DSを構築するのではなくAWS Directory Service (Microsoft AD)を利用
• Microsoft ADは、Windows Server 2012 R2をベースとするフルマネージ ドのディレクトリサービス Availability Zone A Private Subnet C-DCA Availability Zone B Private Subnet C-DCB
• フルマネージドのディレクトリサービ
ス
• 標準のActive Directory管理ツールを使
用してグループポリシー、信頼関係、
シングルサインオンなどの機能を利用
可能
• Active Directory認証を利用したAWS
アプリケーションへのアクセス
(Amazon WorkSpaces, WorkDocs,
WorkMail)
AWS
Directory
Service
Microsoft AD:オンプレミスとの信頼関係
Availability Zone A Private Subnet C-DCA Corporate Network Tokyo DC1 Osaka DC2 Availability Zone B Private Subnet C-DCB company.cloud company.local Direct ConnectActive Directoryフェデレーションサービス
(ADFS)
• セキュリティで保護されたID連携(フェデレーション)
とWebシングルサインオン(SSO)を提供
• AD DS/AD LDSで認証されたユーザーに対してセキュ
リティトークンを発行(SAML 1.1/2.0)
• Office 365やGsuiteなどへのシングルサインオン
(SSO)にも利用される
ADFSリファレンスアーキテクチャ
DC/GC /DNS
Private Subnet Public Subnet
ADFS
WAP
DC/GC /DNS
Private Subnet Public Subnet
ADFS WAP 外部のユーザー • VPN接続なし に、外部のユーザー がWeb Application Proxy(WAP)を経 由してPrivate Subnetに 配置されたADFSに アクセス可能 Elastic IP Elastic IP
Amazon RDS for SQL Server
• 以下にフォーカス: • ビジネスバリューのタスク • ハイレベルのチューニングタ スク • スキーマの最適化 • データベースエクスパートが自社 内にいない場合SQL Server ソリューションの選択
SQL Server on Amazon EC2
• フルコントロールが必要: • DBインスタンス • バックアップ • レプリケーション • クラスタリング • Amazon RDSにはないオプション を使用する場合
SQL Server on Amazon EC2
▪
ライセンスのオプション
▪
WindowsおよびSQL Server込みのAmazon Machine
Instance (AMI)
▪
Windows AMIにSQL Serverをインストール(BYOL)
▪
Windowsまたは混合モード認証
▪
仮想マシンのセキュリティ、ストレージ、ネットワーク
ポートなどの管理
SQL Serverの高可用性と災害対策
複数のアベイラビリティゾーン(Multi-AZ)の利用
• インスタンスレベルとAZレベルの耐障害性
• 同期レプリケーション
オプション
• Enterprise Edition: AlwaysOn 可用性グループ
• Standard Edition(~2014): サードパーティのブロッ
クレベルレプリケーションを使用したフェイルオーバー
クラスタインスタンス
Multi-AZ AlwaysOn 可用性グループ
Availability Zone 1 Private Subnet EC2 プライマリ レプリカ Availability Zone 2 Private Subnet EC2 セカンダリ レプリカ 同期コミット 自動フェイルオーバー AWS Region自動フェイルオーバーのシナリオ
• SQL Server AlwaysOn可用性グループにより以下のシナリオをサ
ポート
• 単一インスタンスの障害からの保護 • クラスタノード間の自動フェイルオーバー • セカンダリのアベイラビリティゾーン(AZ2)に配置されているイン スタンス障害からの保護とAZ1への自動的なフェイルオーバー• プライマリのアベイラビリティゾーン(AZ1)全体の障害でプライ
マリノードと監視ファイル共有を失った場合は自動的にフェイル
オーバーされない
Multi-Region AlwaysOn 可用性グループ
Availability Zone 1 Private Subnet EC2 プライマリ レプリカ Primary: 10.0.2.100 WSFC: 10.0.2.101 AG Listener: 10.0.2.102 AWS Region A Availability Zone 2 Private Subnet EC2 セカンダリ レプリカ Primary: 10.0.3.100 WSFC: 10.0.3.101 AG Listener: 10.0.3.102 Availability Zone 1 Private Subnet EC2 セカンダリ レプリカ Primary: 10.1.2.100 WSFC: 10.1.2.101 AG Listener: 10.1.2.102 同期コミット 自動フェイルオーバー AWS Region B 非同期コミット 手動フェイルオーバー Elastic IP Elastic IP VPNサードパーティ製品によるフェイルオーバークラ
スタインスタンス
Amazon EBS Amazon EBS
Availability Zone 1 Private Subnet EC2 プライマリ ノード Availability Zone 2 Private Subnet EC2 セカンダリ ノード AWS Region データレプリケーション
• Active Directoryとの統合
• 自動フェイルオーバー
• 自動パッチ適用
• 自動バックアップ
• ポイントインタイムリカバリ
Amazon
RDS
SQL Server の
ネイティブバックアップと復元
• SQL Serverのネイティブバックアップを取得し、 Amazon S3バケットに保管可能に • RDSからRDS、オンプレミスからRDS、RDSから オンプレミスのすべてのパターンでバックアップ および復元することが可能 • すべての SQL Server エディションで、AWS KMSを使用するバックアップの暗号化をサポート • 災害対策、データベース移行、テスト環境構築 などに活用ローカルタイムゾーン対応
• RDS for SQL Serverのタイムゾーンを任意の タイムゾーンに合わせることができる • インスタンスを作成した後でタイムゾーンを変 更することはできない • OS レベルでタイムゾーンを変更するため、 すべての日付列や値に影響するMulti-AZ SQL Server on Amazon RDS
Availability Zone 1 Private Subnet Availability Zone 2 Private Subnet 同期コミット 自動フェイルオーバー AWS Region Amazon RDS プライマリ Amazon RDS セカンダリマネージドサービス
SQL Server EC2とRDSとの比較
EC2 RDS ライセンス込みの利用✓
✓
BYOL✓
✓
インスタンスへのフルコントロール✓
自動バックアップ✓
セルフマネージドのAlwaysOn可用性グルー プ✓
AWSマネージドのMulti-AZデプロイメント✓
Availability Zone Private Subnet 10.0.2.0/24 DB APP WEB SQL Server App Server IIS Server Availability Zone Private Subnet 10.0.3.0/24 DB APP WEB SQL Server App Server IIS Server Remote Users / Admins Domain Controllers DC
corporate data center
VPN Connection
例1: EC2上のADに
よるレプリケーショ
ンまたは信頼関係
DC Domain Controller DC Domain Controller 信頼関係またはレプリケーション Auth/ LDAP Auth/ LDAP Auth/ LDAP アプリケーションAuth/ LDAP Auth/ LDAP RDS SQL Server Availability Zone Private Subnet 10.0.2.0/24 APP WEB App Server IIS Server Availability Zone Private Subnet 10.0.3.0/24 APP WEB App Server IIS Server Remote Users / Admins Domain Controllers DC
corporate data center
VPN Connection
例2: AWS Microsoft
ADによるオンプレミス
との信頼関係
RDS SQL ServerAWS Managed Services
AWS Managed Services
Domain Controller Domain Controller 信頼関係 アプリケーション DB DB DC DC
Availability Zone Private Subnet Public Subnet NAT 10.0.0.0/24 10.0.2.0/24 APP WEB App Server IIS Server RDGW Availability Zone Private Subnet Public Subnet NAT 10.0.1.0/24 10.0.3.0/24 APP WEB App Server IIS Server RDGW Microsoft AD DC RDS SQL Server AWS Managed Services
Microsoft AD DC
RDS SQL Server AWS Managed Services
例3: AWS
Microsoft ADに
よるクラウド全面
移行
WorkSpaces WorkSpaces DB DB DC DCまとめ
• AWS
は、マイクロソフトアーキテクチャに最適化された幅広いス
ケーラブルなサービスを提供
• AWS クイックスタートリファレンスでは、セキュリティと可用性
に関するベストプラクティスにしたがってActive Directoryや
SQL Serverなどのワークロードをデプロイ可能
• AWSの提供するマネージドサービスを活用することで、
効率的な
管理が可能
本セッションのFeedbackをお願いします
受付でお配りしたアンケートに本セッションの満足度やご感想などをご記入ください
アンケートをご提出いただきました方には、もれなく
素敵なAWSオリジナルグッズ
を
プレゼントさせていただきます
Microsoft ADを使用する場合の考慮事項
Domain Adminsの権限はAWS側が保持 Microsoft ADの機能/制約 オンプレミスとの信頼関係構築 Microsoft ADのフォレストと信頼関係を構築可能 他のドメインへの参加 既存のドメインにMicrosoft ADのDCを参加させることは不可。フォレスト間で信頼関係を構築する のは可能 スキーマの拡張 URLで申請する事で可能https://aws.amazon.com/jp/directoryservice/schema-extensions/ 機能レベル Windows Server 2012 R2機能レベル 権限の委譲 権限の委譲が可能 DNS DNS構成(追加、削除、レコード、ゾーン、フォワーダの更新)の管理、DNSイベントログの参照 セキュリティイベントログの参照が可能。それ以外のログは参照不可 Group Policyの利用 グループポリシーオブジェクトの作成とOUへのリンク が可能。ただし、ドメインレベルのリンク は不可能。ドメインユーザーのパスワードポリシーの変更は不可(ドメインレベルのGPOで設定する 必要があるが、権限なし) ユーザー数 最大で50,000ユーザー。200,000のオブジェクト(ユーザー、コンピュータ、その他)RDS for SQL ServerとSQL Server on EC2の
比較(1/2)
Amazon RDS for SQL Server SQL Server on Amazon EC2
マネージド自動バックアップ Yes No (メンテナンスプランを構成して 管理、またはサードパーティソ リューションの利用) Multi-AZによる自動フェイルオー バー Yes No (手動によるフェイルオーバー管理) ビルトインのインスタンスとデータ ベース監視メトリックス Yes No (CloudWatchへのメトリックスのプッシュまたはサードパーティソ リューションの利用) 自動ソフトウェアパッチ Yes No 構成済みパラメータ Yes No (デフォルトのSQL Serverインス トール) DBイベント通知 Yes No (手動でDBイベントをトラックし て管理)
RDS for SQL ServerとSQL Server on EC2の
比較(2/2)
Amazon RDS for SQL Server SQL Server on Amazon EC2
SQL認証 Yes Yes
Windows認証 Yes Yes
TDE (保管データの暗号化) Yes (Enterprise
Editionのみ) Yes (EnterpriseEditionのみ)
Amazon
KMSを使用したストレージ暗号化 Yes (すべてのEdition) Yes (すべてのエディション)
SSL (通信データの暗号化) Yes Yes
データベースレプリケーション No Yes
ログシッピング No Yes
データベースミラーリング Yes (Multi-AZ) Yes