【AWSService】Workspaces

Amazon Workspaces とは


Amazon WorkspacesとはAWS が提供するマネージド型デスクトップコンピューティングサービスです。
Microsoft Windows と Linux デスクトップに対応。

実際のOSバージョン


WSはWindows 10 デスクトップエクスペリエンスですが実態はWindows Server 2016や Windows Server 2019です。
実際にWSにログインしてバージョンを調べれば分かると思います。

Windows Server がWindows 10に見えるようにカスタマイズされています。
しかし「サーバマネージャ」があったりIEがサーバ用にセキュリティが強化されていたりと、違いことが分かります。
またServer には Office 365をインストールすることができないため、Office2016やOffice2019などの買い切りのOfficeがインストールされているようです。
またWindows ストアは利用できません。

WSの展開


展開時はWSのイメージと使用するユーザが重要になります。イメージを指定してから[WorkSpaces起動]を実行すると、人数分のWSが展開されることになります。


VPCとサブネット


WS作成時に2個の異なるAZのサブネットに関連付けされます。関連付け後は変更できません。この2個の異なるAZの由来は設置するディレクトリーサービスに依存します。この2個の異なるAZにより負荷分散と冗長性が担保されています。

どちらかのサブネットに配置されます。全体で負荷分散されます。

WSからインターネットアクセス


・WS→FW/Proxy→NAT Gateway→IGW→インターネット
・WS→IGW→インターネット(セキュリティの問題より実業務には向かない)
・WS→DX/VPN→社内システム→インターネット

インターネット、オンプレミスからどのようにアクセスするのか


WSのデスクトップ実態はAWSが管理するVPCに設置されます。
WSのデスクトップはENIを以下2個持ちます。
(1)顧客側VPC(ディレクトリサービスのあるどちらかのサブネット)
(2)AWS管理のWS VPC

それぞれは次の通りです。

(1)DXなど内部からのデスクトップへの接続
・内部→顧客側PCのENI→WS
・通常のアクセス(ストリーミングではない)

(2)インターネットからのデスクトップへの接続
・インターネット→Streaming G/W →AWS管理のWS VPCのENI
・ストリーミング通信となる

WorkSpace にアタッチされた「ユーザーボリューム」にユーザーが保存したデータは、Amazon S3 に定期的に自動バックアップされる。

追加料金なしで、50 GB のストレージが用意された Amazon WorkDocs へのアクセス権限が付与される。
Amazon WorkSpaces Application Manager (WAM)によりデプロイの管理を行う。

バックアップ


ユーザデータは12時間ごとにバックアップが取得されます。

ユーザとパスワード


ユーザ名はWSで作成することもできます。そのユーザのパスワードはAWS ディレクトリサービスからリセットできる。
一つのWSに複数のユーザを登録することができるようです。

WSのカスタマイズ


Workspace作成時に次のようなカスタマイズが可能です。
・カスタムバンドル、パブリックバンドル
・ハードウェア
・ソフトウェア(Plus with Office 2010/2013/2016/2019)
・すべての言語(English/Japanese)
・すべてのプロトコル(WSP,PCoIP)

WorkSpaceへの処理


マネコンからは以下の処理が可能
(1)起動
停止しているWSを起動
(2)リビルドとリストア
過去のスナップショットからリストア
・リビルトはシステム領域をバンドルからルートボリュームを復元し、最新のスナップショットからデータ領域をリストアする

・リストアは前回正常取得のスナップショットからシステム領域、データ領域を復元する

共に最新のスナップショット以後のデータは復元されない。

(3)削除
WSを削除する

(4)変更
CPU、メモリ、ストレージタイプを変更する。ストレージタイプは増やすだけで減らすことはできない。

・Standard 2vCPU、4GiBメモリ
・Value 1vCPU、2GiBメモリ
・Power 4vCPU、16GiBメモリ
・PowerPRO 8vCPU、32GiBメモリ

・ボリュームサイズ(ルート)
・ボリュームサイズ(ユーザ)


(5)移行
他のイメージに乗り換える。
ルートボリュームは削除される。
ユーザボリュームは最新のスナップショットが利用される。

Windows Firewall


Windows 版の WSクライアント(ランチャーようのようなもの)を起動した場合、初回起動で次の通信の許可を要求される。

C:\program files\amazon web services, inc\amazon workspaces\workspaces.exe
(デフォルトパス)

実際には次のような受信ルールが追加されます。

名前 グループ プロファイル 有効 操作 優先 プログラム ローカル アドレス リモート アドレス プロトコル ローカル ポート リモート ポート 承認されているユーザー 承認されているコンピューター 承認されたローカル プリンシパル ローカル ユーザー オーナー アプリケーション パッケージ

workspaces パブリック はい 許可 いいえ D:\program files\amazon web services, inc\amazon workspaces\workspaces.exe 任意 任意 UDP 任意 任意 任意 任意 任意 任意 任意
workspaces パブリック はい 許可 いいえ D:\program files\amazon web services, inc\amazon workspaces\workspaces.exe 任意 任意 TCP 任意 任意 任意 任意 任意 任意 任意



Workspace ユーザ


1人のユーザは複数のWorkspace(デスクトップ)に関連付けすることはできない。複数の関連させようとすると"A Workspace already exists for the specified user"エラーが発生する。

レジストレーションコードとは(registration code)


レジストレーションコードとは Workspace にログイン時に入力するコード。

レジストレーションコード/ユーザ名/パスワードをセットで入力する。

AWS Workspaces でレジストレーションコードを入力する



アンチウィルス


バンドルアプリケーションとして「2016 Pro Plus」を選択した場合はアンチウィルスとして「Trend Micro Worry-Free Business Security Services」がバンドルされます。2019ではその代わりにデフォルトで Windows Defender が起動された状態になっています。


イメージ作成


WorkSpacesからイメージを生成することが可能です。
WorkSpacesからイメージを作成すると進捗によっては状態が"SUSPENDED"に変化します。
またイメージは"保留中"になります。

環境によってはイメージ作成に1時間くらい所要します。

カスタムバンドルの作成


次の順番でカスタムバンドルの作成が可能です。
(1)WorkSpacesからカスタムイメージを作成

(2)カスタムイメージで「H/W」やストレージの設定を付けてバンドルを作成

(3)これで「バンドル」から「WorkSpaces」の起動が可能となる。

WorkSpacesのバンドルイメージ



WS起動後にサイズの変更が可能か

s
WSは当然起動後にサイズを変更することが可能。ただしディスクのサイズを増やすことはできても減らすことはできない。

費用


・デスクトップスペックと比例して費用は高くなる。
・従量プランあるいは固定プランから選択が可能。

PC(シンクラなど)からWorkspaces デスクトップへの通信量は無料。
デスクトップからインターネット通信は費用が発生する。(200時間まで無料?)


期間内に非アクティブだったユーザは課金されない。









個人的に独自に調査した事項をまとめています。各ベンダーとは全く関係がありません。
内容に誤りがある場合や情報が古くなっている場合があります。その場合でも修正されるとは限りません。
参考としてサイト閲覧ください。万が一誤りがあり損失等が発生しても保証しません。あくまでも自己責任でサイトを閲覧ください。