- AWS
AWS VPNとは?概要と実装の方法を解説
クラウド活用の広がりとともに、オンプレミスとクラウドのネットワークをつなぐニーズが年々高まっています。それを実現する手段の一つとして、「VPN」があります。本記事ではAWS VPNの一つである「AWS Site-to-Site VPN」を主題として概要、実装等について解説します。
|
|
\ 導入の支援サービスが必要な方はこちら /
Index
Amazon WorkSpacesは、AWSが提供するマネージドなクラウド型の仮想デスクトップサービスです。AWS上に展開された仮想デスクトップには、多様なデバイスからインターネット経由でアクセスできます。
|
Amazon WorkSpacesは、いわゆる「DaaS(Desktop as a Service)」に分類されるサービスです。 Amazon WorkSpacesを理解するためには、そもそもDaaSとは何かについて押さえておくことが重要です。
まずは、DaaSを理解するための前提知識となるVDIとは何かについて解説します。 その後、VDIの提供形態のひとつであるDaaSについて解説します。
VDIとはVirtual Desktop Infrastructureの略で、仮想デスクトップを利用する仕組み、あるいは仮想デスクトップを展開する基盤そのものを指します。 仮想デスクトップとは、単一のサーバー上で複数の仮想的なクライアントコンピュータ(デスクトップ)を起動させる技術を指します。 仮想デスクトップを活用することで、社員への業務用デスクトップの提供を効率的かつセキュアに行えます。
以下の特徴をもつデスクトップの形態であることから、VDIはモダンな働き方を実現するソリューションとして注目されています。
・ネットワークさえつながれば、どこからでも利用できる
・端末に情報を残さないため、情報漏洩リスクを軽減できる
・物理PCに比べ、キッティングの負荷が低い
|
続いてDaaSとは何かについて解説します。
VDIの利用形態としては以下の2つがあり、DaaSは後者のクラウド型VDIにあたります。
・オンプレミス型VDI…ユーザー自身で展開するVDI。サーバーインフラの設計~実装~運用はユーザーの責任範囲となる。
・クラウド型VDI…クラウド事業者が提供するVDI。サーバーインフラの設計~実装~運用はクラウド事業者の責任範囲となる。
DaaSはクラウド型VDIであるため、インフラの設計および管理負荷が低く、オンプレミス型VDIよりもスピーディかつ柔軟に利用することができます。
|
| バンドル | スペック | 対象ユーザー | ユースケース |
| バリュー | 1 vCPU, 2 GB メモリ | 1 つのタスクを実行し、最小限のアプリケーションしか使用しないユーザー | データ入力アプリケーション、テキスト編集、および踏み台ホスト |
| スタンダード | 2 vCPU, 4 GB メモリ | 同上 | データ入力アプリケーション、テキスト編集、踏み台ホスト、ライブチャット、E メール、およびメッセージングアプリ |
| パフォーマンス | 2 vCPU, 8 GB メモリ | 複雑なスプレッドシート、プレゼンテーション、および大きな文書を作成するユーザー | データ入力アプリケーション、ライブチャット、E メール、メッセージングアプリ、および電話会議 |
| パワー | 4 vCPU, 16 GB メモリ | 高パフォーマンスのワークロードを持つユーザー | オーディオ/ビデオ会議、統合開発環境(IDE) を使用したソフトウェア開発 |
| パワープロ | 8 vCPU, 32 GB メモリ | 同上 | オーディオ/ビデオ会議、画面共有、統合開発環境(IDE) を使用したソフトウェア開発、およびビッグデータ分析 |
| Graphics.g4dn | 4 vCPU、16 GiB メモリ、1 GPU、16 GiB 動画メモリ、 | グラフィックと大量のコンピューティング/メモリリソースを必要とするワークロードを持つユーザー | リモートグラフィックワークステーション、コンピューターなど、グラフィックを多用するアプリケーション |
| GraphicsPro、 | 16 vCPU、64 GiB メモリ、1 GPU、16 GiB 動画メモリ、 | 同上 | ビデオトランスコーディングと 3D レンダリング、フォトリアスティックデザイン、グラフィックワークステーション、ゲームストリーミング、ML モデルトレーニング、ML 推論 |
Amazon WorkSpacesには仮想デスクトップへのアクセス制御機能が複数用意されています。
アクセス制御の機能により、Amazon WorkSpacesの仮想デスクトップへの第3者の不正なアクセスを防止することができます。ここでは2つご紹介します。
証明書ベースの認証
クライアント証明書を利用した認証を行うことができます。
信頼されたクライアント証明書を持っているデバイスのみがWorkSpacesにアクセスできるようになります。
アクセス元IPアドレスの制御
アクセス元のIPアドレス範囲を指定し、それ以外からのアクセスを拒否することができます。
それにより、WorkSpacesへのアクセスを企業の信頼されたネットワークからのアクセスのみに絞ることができます。
Amazon WorkSpacesでは、以下2つの観点での暗号化が行われています。
それによりリモートデスクトップ通信の安全性および保管データの安全性が担保できます。
画面転送通信の暗号化
Amazon WorkSpacesがサポートする通信プロトコルは全て暗号化される仕様となっています。サポートしている通信プロトコルはPCoIPとWSPです。PCoIPはVDIで一般的に利用されるプロトコルで、WSPはWorkSpaces用に開発されたクラウドネイティブなプロトコルです。
保管データの暗号化
WorkSpacesのストレージボリュームは、AWS KMS(*1)を利用して暗号化できます。ただし、保管データの暗号化を行うにあたってはいくつか制約事項もあるため、以下公式ドキュメントも併せてご確認ください。
参考:暗号化されたWorkSpaces-Limits
https://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/encrypt-workspaces.html#encryption_limits
(*1)AWSのデータ暗号化に利用するマネージドサービス
Amazon WorkSpacesは、デフォルトで自動バックアップされる仕様となっています。
そのため、ユーザー側でバックアップ設定を検討する必要はありません。
自動バックアップの対象はユーザーのデータ保管用のDドライブです。
取得の間隔は12時間です。
Amazon WorkSpacesでは、アクセス元として7種類のデバイスをサポートしています。(2023年10月30日時点)
そのため、システム要件やユーザーの希望に合わせて柔軟にデバイスを選定することができます。
サポートされているデバイスは以下のとお通りです。
・Windowsパソコン
・Macパソコン
・iPad
・Chromebook
・Fireタブレット
・Androidタブレット
・ZeroClientデバイス
AlwaysOn(月額料金)
月額の固定料金を支払う料金体系です。仮想デスクトップを何時間起動していたかに関わらず、定額で利用できるようになります。
平日に毎日4時間以上利用する場合は、AlwaysOnを使った方が安くなる価格設定となっています。そのため、社員のメインPCや長期プロジェクト等、月当たりの利用時間が長い用途に最適です。
AutoStop(時間料金)
少額の固定料金と、時間当たりの従量課金が発生します。
平日の利用時間が4時間に満たない場合は、AutoStopを使った方が安くなります。そのため、 検証作業や短期プロジェクト等、月当たりの利用時間が短い用途に最適です。
バリュータイプおよびWindowsのバンドルにおける、料金のシミュレーション例は以下のとおり通りです。「No.1」と「No.3」に注目していただくと分かるわかるとおり、「平日4時間以上WorkSpacesを起動する」場合はAlwaysOnの方がお得になります。
| No. | パターン | 固定費(USD) | 単価(USD) | 日当たりの | 日数 | 月額費用(USD) |
月額費用
(円) |
| 1 | AlwaysOn | 34 | - | - | - | 34USD | 5100円 |
| 2 | AutoStop(平日2時間利用) | 10 | 0.3 | 2 | 20 | 22USD | 3300円 |
| 3 | AutoStop(平日4時間利用) | 10 | 0.3 | 4 | 20 | 34USD | 5100円 |
| 4 | AutoStop(平日6時間利用) | 10 | 0.3 | 6 | 20 | 46USD | 6900円 |
※1か月の平日日数を20日として、時間当たりの単価・日当たりの利用時間・日数を掛け合わせて月額費用を算出しています。
※1USD=150円で換算しています。
※上記は、以下の前提で算出しています。
バンドル:Windows
タイプ:バリュー
ルートボリューム:80GB
ユーザーボリューム:10GB
参考:Amazon WorkSpaces の料金
https://aws.amazon.com/jp/workspaces/pricing/
\ 導入の支援サービスが必要な方はこちら /
Amazon WorkSpacesを利用することによるメリットを3つ紹介します。
Amazon WorkSpacesを利用することで、社員のデスクトップ利用時の情報漏洩などのセキュリティリスクを軽減できます。
仮想デスクトップ環境は、全てのデスクトップがサーバー上に展開されます。そのため、業務用途で利用する一般的なファットクライアントとは異なり、端末側にデータは保存されません。
そのため、Amazon WorkSpacesにアクセスするデバイスを紛失した際に、デバイスからデータ流出する可能性を低減できます。
Amazon WorkSpacesでは、物理PC利用に比べ、社員にデスクトップを割り当てるまでのキッティング負荷を軽減することができます。
前述のとおり、Amazon WorkSpacesのバンドルはハードウェア・OS・ソフトウェア等の情報を全て含みます。
そして、利用者側で任意のセットアップを行ったカスタムバンドルを作成することもできるため、必要なソフトウェア等を全てセットアップしたマスター用途のバンドルも作成可能です。
マスター用途のバンドルが用意されていれば、キッティング済の仮想デスクトップを簡単に複製できるため、社員にデスクトップを割り当てるまでの手間を最小限にすることができます。
|
※初回のマスターバンドル作成の際には、物理PCのキッティング対応と同等の作業を実施する必要があります。
※物理PCの場合マスターPCの作成およびクローニングによる負荷軽減は可能ですが、各物理PCに対して個別に対応は必要なため、結局のところ負担は少なくありません。
Amazon WorkSpacesはDaaSにあたるサービスのため、最低限のセットアップですぐに仮想デスクトップを利用開始できます。
オンプレミス型VDIを導入する場合は、以下の懸念事項があります。
・VDIサーバーの購入に高額なの初期投資が必要
・基盤のサーバーのサイジング、調達、構築などの対応が必要
Amazon WorkSpacesでは、そのような高価な初期投資や基盤構築のためのリードタイムは必要ありません。
Windows OSのバンドルを利用する際には1点注意点があります。
WorkSpacesではクライアントOSとしてWindows 10を利用可能です。しかし、その実態はWindows Server OSで、Windows 10のUIをデスクトップエクスペリエンスを利用して提供しています。(Windows ServerにWindows 10のUIを被せて提供しているイメージです)
そのため、Windows 10を採用する際は、利用予定のアプリケーションが正常に利用可能かを事前検証することをおすすめします。
Amazon WorkSpacesの料金は、OS・スペック・ボリュームサイズ・課金オプションによって決まります。
以下に、OSはWindows、サイズはスタンダードを指定したバンドルの料金の例を示します。
| サイズ | スペック | ルートボリューム | ユーザーボリューム | 月額料金 | 時間料金 |
| スタンダード | 2 vCPU、4 GB メモリ | 80 GB | 10 GB | 45.00USD | 10.00USD/月 + 0.40USD/時間 |
| スタンダード | 2 vCPU、4 GB メモリ | 80 GB | 50 GB | 47.00USD | 14.00USD/月 + 0.40USD/時間 |
| スタンダード | 2 vCPU、4 GB メモリ | 80 GB | 100 GB | 51.00USD | 19.00USD/月 + 0.40USD/時間 |
| スタンダード | 2 vCPU、4 GB メモリ | 175 GB | 100 GB | 57.00USD | 26.00USD/月 + 0.40USD/時間 |
Windowsバンドルでは、Microsoftのソフトウェアがあらかじめ予め搭載されているアプリケーションバンドルも利用可能です。
アプリケーションバンドルは、通常のバンドルにオプションとして追加するものです。そのため、利用の際は通常料金に追加料金が加わる形となります。
| 種類 | スペック | ルートボリューム |
| デフォルトのアプリケーションバンドル | ユーティリティ
(Internet Explorer 11、Firefox) |
追加料金なし |
| Microsoft Office 2016 プラス アプリケーションバンドル | 32 ビット Microsoft Office 2016 Professional Plus、Trend Micro Worry-Free Business Security Services、そしてユーティリティ (Internet Explorer 11、Firefox) | +15.00USD/月 |
| Microsoft Office 2019 プラス アプリケーションバンドル | 64 ビット Microsoft Office 2019 Professional Plus、およびユーティリティ (Internet Explorer 11、Firefox) | +14.75USD/月 |
| Microsoft Office LTSC Professional Plus 2021 | 64 ビット Microsoft Office Professional Plus 2021 (LTSC) | +21.43USD /月 |
| Microsoft Visio LTSC Professional 2021 | 64 ビット Microsoft Visio Professional 2021 (LTSC) | +19.35USD /月 |
| Microsoft Project Professional 2021 | 64 ビット Microsoft Project Professional 2021 | +38.01USD /月 |
| Microsoft Office LTSC Standard 2021 | 64 ビット Microsoft Office Standard 2021 (LTSC) | +15.70USD /月 |
| Microsoft Visio LTSC Standard 2021 | 64 ビット Microsoft Visio Standard 2021 (LTSC) | +8.77USD /月 |
| Microsoft Project Standard 2021 | 64 ビット Microsoft Project Standard 2021 | +22.63USD /月 |
サブスクリプション型の利用形態であるMicrosoft 365は、ライセンス持ち込み(BYOL)をすればAmazon WorkSpaces上でも利用可能です。
前提として、Microsoft のライセンス要件を満たしている必要があるため、利用開始にあたってはライセンス要件を事前に確認することをおすすめします。
参考:
https://docs.aws.amazon.com/workspaces/latest/adminguide/byol-microsoft365-licenses.html
Amazon WorkSpacesの利用イメージを持っていただくため、デスクトップにアクセスするまでの手順を解説します。
今回は、「高速セットアップ」の機能を利用して簡易的な設定で、Amazon WorkSpacesにアクセスするまでの手順をお見せします。
1.WorkSpacesコンソールへのアクセス
AWSマネジメントコンソールの検索窓に「WorkSpaces」と入力し、表示された「WorkSpaces」をクリックします。
|
2.高速セットアップの開始
表示されたWorkSpacesコンソールの画面から、「高速セットアップ」をクリックします。
|
3.ユーザー作成
まずはWorkSpacesの仮想デスクトップを割り当てるユーザーの作成が必要です。
「ユーザーを作成」画面にて、空欄に必要な情報を記入します。
本ステップで指定したメールアドレスに作成完了メールが送信されるため、メールアドレスを間違えないように記入します。
記入後、「次へ」をクリックします。
|
4.バンドル選択
WorkSpacesのバンドルを選択します。
「バンドルを選択」画面にてまずはサイズを選択します。ここでは「Standard」を選択します。
|
続いて、各種フィルタリング条件を設定します。
最終的に、以下条件のバンドルを選択しています。
OS:Windows 10(ベース:Windows Server 2019)
プロトコル:WSP
言語:Japanese
バンドルが選択できたら、「次へ」をクリックします。
|
5.作成の開始
確認画面が表示されます。
設定内容に間違いがないことを確認し、「作成」をクリックします。
|
6.作成完了メールの確認
Amazon WorkSpacesの仮想デスクトップ作成完了後、登録したユーザーのEメールアドレス宛に以下のメールが送付されます。
件名:お客様の Amazon WorkSpace ( Your Amazon WorkSpace )
Amazon WorkSpaces をご利用のお客様へ
7.初期設定
メール本文の「1.」に記載されているリンクにアクセスします。
そこで認証情報の初期設定をします。空欄に上から名前・苗字・メールアドレス・パスワード・パスワード(2回目)を入力し、「ユーザーの更新」をクリックします。
|
8.WorkSpacesクライアントのセットアップ
8-1.認証情報の設定完了後、クライアントダウンロード画面に遷移します。
ここでは、アクセス元の種別に応じたクライアントのモジュールをダウンロードできます。
今回はWindowsクライアントからアクセスするため、Windows用クライアントをダウンロードします。
「Latest 64 Bit Client」-「Download」をクリックします。
|
8-2.ダウンロードが完了したら、エクスプローラから、ダウンロードされたファイル「Amazon+WorkSpaces」をダブルクリックします。
|
8-3.設定ウィザードが開始します。全てデフォルト設定のまま「Next」をクリックします。その後インストールに入ります。インストールが完了したら「Finish」をクリックします。
|
|
9.WorkSpacesへのアクセス
9-1.デスクトップに表示されたWorkSpacesのアイコンをダブルクリックします。
|
9-2.WorkSpacesクライアントの画面が表示されるため、先ほど「6.作成完了メールの確認」-「2.」で記載されている登録コードを入力しRegisterをクリックします。
|
9-3.認証情報が求められるため、「7.初期設定」で入力したユーザー名およびパスワードを入力して「Sign In」をクリックします。
|
9-4.認証に成功すると、Amazon WorkSpacesのデスクトップが表示されます。
|
Amazon WorkSpacesの仮想デスクトップにアクセスするまでの簡易的な手順は以上です。
ここまでで、Amazon WorkSpacesの基本的な情報をご案内してきました。
使い方でもご案内したとおり、Amazon WorkSpacesは簡単なセットアップで利用を開始できます。
なお、Amazon WorkSpacesを本格利用するにあたっては、要件に合わせて既存のActive Directoryとの連携や、Amazon WorkSpacesとオンプレミスネットワークとの接続設定など、より細かく設定を行うこともできます。
弊社でも、WorkSpacesの導入を検討している方向けの「Amazon WorkSpaces導入支援サービス」を提供しています。本支援では、利用のための基本的な設計および導入後の運用管理のためのトレーニングまで実施可能です。WorkSpaces導入検討中のお客様は、ぜひ弊社支援をご検討ください。
\ 導入の支援サービスが必要な方はこちら /
|
|
|
|---|
2017年入社。DWH製品のサポート業務に従事し、2020年頃からクラウド分野を担当。AWS関連の提案活動から技術支援、セミナー登壇等幅広く対応。それらの活動が認められ、 2021年にアシストで初めて「APN AWS Top Engineers」 に選出される。週末は「雰囲気がいいから」という理由で購入したレコードプレーヤーで音楽を聞くが、音質の違いは一切わからない。...show more
■本記事の内容について
本記事に示した定義及び条件は変更される場合があります。あらかじめご了承ください。
■商標に関して
・Oracle®、Java、MySQL及びNetSuiteは、Oracle、その子会社及び関連会社の米国及びその他の国における登録商標です。
・Amazon Web Services、AWS、Powered by AWS ロゴ、[およびかかる資料で使用されるその他の AWS 商標] は、Amazon.com, Inc. またはその関連会社の商標です。
文中の社名、商品名等は各社の商標または登録商標である場合があります。
クラウド活用の広がりとともに、オンプレミスとクラウドのネットワークをつなぐニーズが年々高まっています。それを実現する手段の一つとして、「VPN」があります。本記事ではAWS VPNの一つである「AWS Site-to-Site VPN」を主題として概要、実装等について解説します。
~しまえりの雲を向いて歩こう!シリーズ:第7回目~ 今回のブログ記事ではAWS Jr. Championsとしての一年間の活動を通して「AWS Jr. Championsに選ばれて良かった!」と特に感じたことをご紹介したいと思います。
今回のAWS re:Inventでも数々の新製品や機能、サービスの発表があり、クラウド技術の進化とその可能性を改めて感じることができました。本記事では「今日から使える!」をテーマに注目すべきアップデートについてお伝えしたいと思います。
