AWS Directory ServiceとFSxをCLIでさわってみた / AWS Directry Service and FSx for Windows Server

Transcript

1. AWS Directory Serviceと FSxをCLIでさわってみた める(@mel________27) JAWS-UG CLI専門支部 #224R 2021/09/02

2. Who am I？ 名前：める　(@mel________27) 所属：三重県の某SIer 業務：インフラエンジニア（今年6月～） 好きなAWSのサービス：Cloud9、CloudShell 2

3. AWS Directory Service とは Microsoft Active Directoryなどのディレクトリサービスを提供するサービス。 コマンド：ds Simple ADとMicrosoft

   Active Directoryが作成できますが 今回はMicrosoft Active Directoryの話をします。 3

4. AWS Managed Microsoft AD とは MicrosoftのActive Directoryの機能を提供するマネージド型サービス。 Active Directoryとは Microsoftのディレクトリサービス。

   Windows Serverがあれば機能を有効化するだけで使える。 ※Azure Active Directoryもある 4

5. Amazon FSxとは ファイルサーバのマネージド型サービス。 コマンド：fsx FSx for Windows ServerとFSx for Lustreがありますが

   今回はFSx for Windows Serverの話をします。 5

6. 構成図 亀田さん主催のハンズオン手順をもとにしています https://github.com/harunobukameda/Amazon-FSx-for-Windows-File-Server Amazon FSx for Windows File Server AWS

   Managed Microsoft AD Amazon EC2 （AD管理用） ドメイン認証 ドメイン認証 ファイル共有 6

7. aws ds create-microsoft-ad \ --name ドメイン名(フル) \ --short-name NetBIOS名(短いドメイン名) \

   --password Adminのパスワード \ --edition エディション(Standard/Enterprise) \ --vpc-settings VpcId=VPCID,SubnetIds=サブネットID1,サブネットID2 ※サブネットは複数AZを指定する必要がある。 Microsoft ADの作成コマンド 7

8. Microsoft ADの作成とSimple ADの作成でサブコマンドが違う！ 　create-microsoft-ad サブコマンド →Microsoft ADを作成するためのコマンド 　create-directory サブコマンド →Simple

   ADを作成するためのコマンド ※確認コマンドはどちらもdescribe-directories つまづきポイント① 8

9. その他 - 管理者として与えられるユーザはAdmin。（× Administrator） - ADの機能はWindows Server 2012 R2がベース。 -

   AD本体のイベントログが見れない、など制限事項はいくつかあるので、 オンプレミスから移行する場合は現行の利用機能が使用できるか要確認。 - オンプレミスADの冗長設定としてDirectory Serviceを使用するのは無理そう。 （別ドメインを作って信頼関係を結ぶしかない） 9

10. その他 - EC2(Win SV)をドメインに追加する場合、マネコンだとドメインの指定があるが CLIでの作成時は指定できないようなので 作成したEC2にログインしてドメイン参加するしかなさそう。 10

11. aws fsx create-file-system \ --file-system-type ファイルシステム種別 (WINDOWS/LUSTRE) \ --storage-capacity ストレージ容量

    \ --storage-type ストレージタイプ(HDD/SSD) \ --subnet-ids サブネットID1 サブネットID2 \ --tags Key=Name,Value=${FSX_TAG_NAME} \ --windows-configuration ActiveDirectoryId=ディレクトリID,DeploymentType=MULTI_AZ_1, PreferredSubnetId=優先サブネット,ThroughputCapacity=スループットキャパシティ ※windows-configurationは別ファイル(JSON)にして読み込んだほうがいいかも FSxの作成コマンド 11

12. aws fsx create-backup \ --file-system-id ファイルシステムID \ --tags Key=Name,Value=タグ名 ※バックアップの作成中にもう一度バックアップの作成コマンドを実行すると

    　エラーになる FSxのバックアップコマンド 12

13. つまづきポイント② 削除時のコマンドについて、最終バックアップの取得がデフォルトで有効なので ファイルシステムの作成に失敗したものを削除しようとするとエラーになった 明示的にバックアップのスキップを指定する必要がある （この時は別のVPCに存在するADを指定してしまったためエラー発生） 13

14. その他 - 自動バックアップについて 毎日のバックアップの時間のデフォルト値がまちまちなので 指定したほうがよさそう（作成タイミングに依存する？） 14

15. まとめ - CLIからDirectory Service(AWS Managed Microsoft AD)を作成した。 - CLIからFSx for

    Windows Serverを作成した。 - AWS Managed Microsoft ADの制限事項については 利用する場合は要件にあうか確認が必要そう。 - (FSxでマネコンの一部の挙動が気になったこともあり) 今後もできるだけCLIを使っていきたい。 15

16. 参考 亀田さん主催のハンズオン手順 https://github.com/harunobukameda/Amazon-FSx-for-Windows-File-Server [AWS Black Belt Online Seminar] AWS Managed

    Microsoft AD https://aws.amazon.com/jp/blogs/news/webinar-bb-awsmanagedmicrosoftad-2021/ 16