PowerPoint Presentation

Amazon WorkSpaces の運用管理

国政 丈力

Solutions Architect

Amazon Web Services Japan

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

自己紹介

国政 丈力 (くにまさ たけちか)

技術統括本部

エンタープライズ・ソリューション本部

ソリューションアーキテクト

流通・サービス業のお客様を担当

好きなAWSのサービス

このセッションの目的

•

WorkSpaces 環境が大規模になると、小規模な環境では発生し

なかった運用管理の課題が顕著になる

•

大規模環境において、適切なユーザーエクスペリエンスとガバ

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

Agenda

•

Amazon WorkSpacesとは

•

Amazon WorkSpaces の運用管理

•

まとめ

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

AWS End User Computing

Desktops

Applications

_{Mobile Access}

Documents

AWS End User Computing

ユーザーがいつでもどこからでも、好きなデバイスで

企業内のデータやアプリケーションにアクセスできるようにする

AND

IT管理者がデータのセキュリティを維持し、

複雑さを低減し、ユーザーの生産性を向上するのを支援する

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

Amazon WorkSpaces とは

拡張性と一貫した

パフォーマンス

シンプルな

デプロイと管理

利用分だけの

支払い

セキュアなクラウド

デスクトップ

Highly interactive cloud

desktops users love

AWSの提供するフルマネージド型仮想デスクトップサービス

Amazon WorkSpaces の特長

クラウドコンピューティングの特性を活かした様々なメリット

高額な初期投資不要

今日から・1台から始められる

事前サイジングの必要がない、増減も容易

グローバル展開の敷居が低い

シンプルなデプロイと管理

完全マネージドサービス

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

オンプレミス

WorkSpaces のアーキテクチャ概要

Active

Directory/

RADIUS

業務

システム

AWS リージョン

Directory

Services

Internet

Client

WorkSpaces

EC2

Direct Connect

WorkSpaces の大規模事例

24,000デスクトップ

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

大規模運用における課題

•

多くの運用作業

•

申請からデプロイまでの手続き

•

再起動、再構築、設定変更等の管理作業

•

問題への対応が困難

•

ステータスやリソースの一元的な把握

•

現在の状況をタイムリーに確認

•

多くのインベントリの管理

•

個々のWorkSpacesのステータス、設定

情報の確認

•

適切なインベントリの管理と対応

•

セキュリティの確保

•

タイムリーなパッチ適用

•

ネットワーク負荷の問題

•

データの保全

•

適切なバックアップの取得

•

適正なコストでの利用

•

適正なコストで利用できているか

•

最適な課金プランが選択できているか

WorkSpacesが数十台であれば問題ないが、数百台、数千台の規模では

効率的な運用管理の仕組みが必要になる

大規模運用における課題

WorkSpacesが数十台であれば問題ないが、数百台、数千台の規模では

効率的な運用管理の仕組みが必要になる

自動化

監視・通知・

ダッシュボード

インベントリ管理・

可視化・分析

パッチ管理

バックアップ・

リカバリ

コスト管理

WorkSpaces を管理するためのツール群

運用管理タスク

AWSサービス・機能

サードパーティ

インフラ

運用

自動化

WorkSpaces CLI/API

監視・通知・

ダッシュボード

CloudWatch Metrics / Alarm / Events /

Dashboard

Zabbix

インベントリ管理・

可視化・分析

Management Console, API/CLI

QuickSight + Athena + WorkSpaces API

Liquidware

パッチ管理

WSUS

_SCCM

バックアップ・

リカバリ

WorkSpacesバックアップ機能

コスト管理

Cost Explorer

_{WorkSpaces Cost Optimizer}

WorkSpaces API/CLI

•

WorkSpacesの作成・表示やメンテナンスを、AWS CLI、PowerShell、

SDKにより

プログラムから実行可能

•

AWS CloudTrailによるロギングをサポート

•

ユースケース

•

WorkSpaces のデプロイの自動化

(create-workspaces)

•

インベントリやステータスの確認

(describe-workspaces)

•

接続状況の確認

(describe-workspaces-connection-status)

•

設定変更

(modify-workspace-properties)

•

メンテナンスモードへの変更

(modify-workspaces-state)

•

ディザスタリカバリイメージの展開の自動化

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

WorkSpaces CLIによるWorkSpacesの展開

WorkSpaces を作成

(aws-summit-user ユーザーに Performance Bundle を作成)

New-WKSWorkspace -Workspace @{

"BundleID" = "wsb-b0s22j3d7";

"DirectoryId" = "d-92673ef59b";

"UserName" = "aws-summit-user" }

Get-WKSWorkSpaces |

select UserName, BundleId, WorkspaceId, DirectoryId |

where UserName -eq 'aws-summit-user'

AWSサービスを活用したデプロイの自動化

デスクトップの要求・承認・デプロイを自動化するアーキテクチャ例

•

リクエスト受付

•

Webアプリ, Web API

•

Amazon Connect, Chime,

Slack等とも連携可能

•

リクエストの処理と承認

•

Lambda, Step Functions,

DynamoDB, SES

•

デプロイの実行と管理

Amazon CloudWatch

AWS、オンプレミス環境のモニタリングに関する様々な機能を提供

CloudWatch Alarms

CloudWatch Metrics

CloudWatch Logs

CloudWatch Logs Insights

AWSサービス

お客様システム

メトリクスを送信

ログを送信

メトリクスに応じた

アクションの実行

ログの可視化

イベントに応じた

ターゲットによる処理

メトリクスを送信

CloudWatch Agent

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

ステータスのモニタリング

•

Unhealthy、ConnectionFailure、InSessionLatencyの増加に注目

•

高 CPU 使用率による応答不可 (Windows Update等)

•

ネットワーク接続がブロックされた

メトリクス

説明

単位

Available

正常な状態を返した WorkSpace の数

カウント

Unhealthy

正常でない状態を返した WorkSpace の数

カウント

ConnectionAttempt

接続試行の数

カウント

ConnectionSuccess

成功した接続の数

カウント

ConnectionFailure

失敗した接続の数

カウント

SessionLaunchTime

WorkSpaces セッションを開始するためにかかる時間

秒 (時間)

InSessionLatency

WorkSpaces クライアントと WorkSpace 間のラウンドトリップタイム

ミリ秒 (時間)

SessionDisconnect

ユーザーが開始して失敗した接続を含む、閉じられた接続の数。

カウント

UserConnected

ユーザーが接続されている WorkSpace の数

カウント

Stopped

停止中の WorkSpaces の数

カウント

Maintenance

メンテナンス中の WorkSpaces の数

カウント

ダッシュボードによる可視化

•

カスタマイズ可能なCloudWatch Dashboardを利用

•

AWSが推奨するベストプラクティスに基づくダッシュボードが自動生成されている

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

リソースのモニタリング

•

個々のWorkSpacesのOS内のリソースメトリクスを取得して監視

•

CloudWatch Agentのカスタムメトリクスを利用

•

WorkSpacesは、オンプレミスサーバーと同等の監視対象として設定

•

Parameter Storeに保存したAgent設定を複数WorkSpacesで共用

•

WorkSpacesが増えるごとに個別設定は不要

ログインイベントをトリガにした対応

•

CloudWatch Eventsにより、WorkSpaces ログイン時に”WorkSpaces

Access”イベントが生成

•

WorkSpaces に対する正常なログインの通知、アクセス記録と分析、

AWS Lambda による自動アクションや、許可されないIP アドレスから

のファイルやアプリケーションアクセスを制限するポリシー管理が可能

•

イベントで取得される情報

•

クライアントIP アドレス

•

オペレーティングシステム

•

WorkSpaces ID

•

ディレクトリ ID

CloudWatch

Lambda

SNS

User

WorkSpaces

ログインを通知

不正アクセスの

抑止

WorkSpaces

WorkSpaces CLIによるインベントリの確認

•

現在のWorkSpaces一覧をAWS CLI/APIで取得し確認

aws workspaces describe-workspaces¥

--query 'sort_by(Workspaces[].{

User:UserName,WS:WorkspaceId,State:State,

RunMode:WorkspaceProperties.RunningMode,

RootV:WorkspaceProperties.RootVolumeSizeGib,

UserV:WorkspaceProperties.UserVolumeSizeGib},&User)'¥

--output table

---| DescribeWorkspaces

|

+---+---+---+---+---+---+

| RootV | RunMode

| State | User | UserV

| WS |

+---+---+---+---+---+---+

| 2000 | AUTO_STOP | STOPPED | kunimasa

| 2000 | ws-hsfwvjsgx

|

| 175 | AUTO_STOP | STOPPED | kunimasa01 | 100 | ws-1qzb4hhkw |

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

AWSサービスを活用したインベントリダッシュボード

•

QuickSight + Athena + WorkSpaces APIを活用

•

アーキテクチャ

•

CloudWatch Eventsのスケジュールイベントにより定期的にWorkSpacesのインベントリを

取得するLambda functionを実行し、情報をS3バケットに保存

•

Amazon Athena を介して QuickSight でインベントリダッシュボードを表示

•

Athena で複雑なクエリの分析も可能

Amazon

QuickSight

Amazon

Athena

CloudWatch

Event

(time-base)

Lambda

Function

Admin

Users

S3 Bucket

サードパーティのパッチ管理ツールの利用

•

既存の更新プログラム管理・配布ソリューションを活用

•

WSUS (Microsoft Windows Server Update Service)

•

SCCM (Microsoft System Center Configuration Manager)

•

これまでのツールや運用の資産を活かすことができる

•

ソフトウェア配布時の

ネットワークトラフィック

に注意

•

オンプレミス - AWS間の通信量低減のため

管理サーバーをAWS上に構築することを推奨

オンプレミス

既存WSUS/

SCCM

AWS リージョン

VPC

Internet

WSUS/SCCM

on EC2

専用線の

NW帯域を消費

AWSから直接

インターネット経由で

更新プログラムを取得

WorkSpaces

WorkSpaces のデータとバックアップ機能

•

ルートボリュームとユーザーボリュームを提供

•

ボリュームは、必要に応じてそれぞれオンラインで最大2TB まで拡張可能

•

シンプルなバックアップ機能を提供

•

ルートボリューム(Cドライブ)

•

OS領域

•

ユーザーデータは保存しない

•

ステートレスにし、個別データのバックアップが不要な状態にしておく

•

カスタムイメージを取得

•

個別環境のバックアップとしてではなくバンドルのベースイメージ

•

ユーザーボリューム(Dドライブ)

•

ポリシーとリダイレクションを使用してすべてのユーザーデータをリダイレクト

•

スナップショットが12時間おきに自動実行される

WorkSpaces

Cドライブ Dドライブ

Cost Explorer

•

AWSリソースのコストの確認・分析・可視化するツール

•

AWSリソースのコストを時系列で確認

し、データや時間範囲を指定して、コ

ストの把握に役立つ傾向を分析できる

•

過去データのグラフ化

•

フィルタやグルーピング

•

過去の使用状況から今後のコストを予測

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

S U M M I T

柔軟な課金オプション

月間のデスクトップ利用時間に応じた課金オプションの選択肢を提供

Hourly

Monthly

主な用途

▪

フルタイムの従業員

▪

AWS料金のシンプルさ

▪

いつでもアクセス

▪

日常業務

主な用途

▪

パートタイムの従業員

▪

AWS料金の最適化

▪

クイックにアクセス

▪

一時的なタスクの実行

WorkSpaces Cost Optimizer

•

最適な課金モデルを自動選択しコストを最適化

•

WorkSpacesの利用実績をモニタリング

•

個々のWorkSpacesの利用時間により、最も安価な

課金モデルに自動的に変更 (Hourly/Monthly)

•

Dry-run, タグによる除外をサポート

•

全リージョンのWorkSpacesをチェック

•

CloudFormationで自動的にデプロイ

•

コストは$0.2/月程度

•

WorkSpaces 25台のケース

•

WorkSpaces 本体のコストは除く

まとめ

自動化

監視・通知・

ダッシュボード

インベントリ管理・

可視化・分析

パッチ管理

バックアップ・

リカバリ

コスト管理

大規模環境における運用をAWSの様々なサービスを活用して効率化

サードパーティのツールやサービスの活用も有効

Thank you!

S U M M I T