AWSのVDI WorkSpacesを使って テレワーク環境を実装するときの勘所

Transcript

1. AWSのVDI WorkSpacesを使って テレワーク環境を実装するときの勘所 クラスメソッド株式会社 AWS事業本部 コンサルティング部 マネージャー 豊崎 隆

2. 2 自己紹介 豊崎 隆 (@ohayougenki) クラスメソッド株式会社 AWS事業本部コンサルティング部 マネージャー シニアソリューションアーキテクト #devio2020

3. 3 今日お話しすること テレワーク需要の高まりを見せる中、 Amazon WorkSpacesでテレワーク環境を 実装する際の勘所について話をします #devio2020

4. 4 Agenda • テレワークについて • テレワーク関連のAWSサービス • WorkSpaces導入にあたって考慮する点 • クラスメソッドのカルチャーをご紹介

   • まとめ #devio2020

5. 5 Agenda • テレワークについて • テレワーク関連のAWSサービス • WorkSpaces導入にあたって考慮する点 • クラスメソッドのカルチャーをご紹介

   • まとめ #devio2020

6. 6 テレワークについて – テレワークとは テレワークあるいはテレコミューティングとは、 勤労形態の一種で情報通信技術を活用し時間や場 所の制約を受けずに、柔軟に働く形態をいう。 「tele = 離れた所」と「work

   = 働く」をあわせ た造語。 参考：フリー百科事典『ウィキペディア（Wikipedia）』 テレワークより #devio2020

7. 7 テレワークについて – 需要増加について COVID-19に依る緊急事態宣言によって外出が自 粛される中、業務を継続させるためにテレワーク 需要が急増 パーソル総合研究所 (東京・千代田区) が(4

   月) 17 日発表した調査によると 緊急事態宣言の 発令後の テレワーク実施率は 前月比 2 倍の 27% となった。 (東京都に限ると 49% ) 引用：https://www.nikkei.com/article/DGXMZO58176480X10C20A4000000/ #devio2020

8. 8 テレワークについて – 需要と今後について 改札通過人数の前年比 引用：https://corona.go.jp/

9. 9 テレワークについて – テレワークの効果 テレワークを導入の効果について • 事業継続性の確保 • オフィスコストの削減 •

   雇用の創出と離職の防止 • 生産性の向上 • ワークライフバランスの実現 #devio2020

10. 10 テレワークについて – テレワークの効果 3月中旬以降の弊社へのお問い合わせ 突然テレワークが始まってリモート環境がない すぐにリモート環境を整えたいがどうしたらよ いか分からないのでアドバイスして欲しい 既存VDI機器が急激な需要に対応できない #devio2020

11. 11 テレワークについて – テレワークの効果 テレワークを導入の効果について • 事業継続性の確保 • オフィスコストの削減 •

    雇用の創出と離職の防止 • 生産性の向上 • ワークライフバランスの実現 #devio2020

12. 12 テレワークについて – テレワークの効果 テレワークを導入の効果について • 事業継続性の確保 • オフィスコストの削減 •

    雇用の創出と離職の防止 • 生産性の向上 • ワークライフバランスの実現 #devio2020

13. 13 テレワークについて – テレワークの効果 テレワークを導入の効果について • 事業継続性の確保 • オフィスコストの削減 •

    雇用の創出と離職の防止 • 生産性の向上 • ワークライフバランスの実現 #devio2020

14. 14 テレワークについて – テレワークの効果 オフィスコストの削減 #devio2020

15. 15 テレワークについて – テレワークの効果 • オフィスコストの削減 #devio2020

16. 16 テレワークについて – テレワークの効果 テレワークを導入の効果について • 事業継続性の確保 • オフィスコストの削減 •

    雇用の創出と離職の防止 • 生産性の向上 • ワークライフバランスの実現 #devio2020

17. 17 テレワークについて – テレワークの効果 雇用の創出と離職の防止 生産性の向上 ワークライフ・バランスの実現 テレワークの導入をした日本マイクロソフトでは • 女性の離職率

    40%減少 • 事業生産性 26%向上 • ワークライフバランス 満足度40%向上 参考：総務省テレワーク情報サイト導入検索より 日本マイクロソフト株式会社及びマイクロソフト ディベロップメント株式会社 #devio2020

18. 18 テレワークについて – テレワークの効果 今後想定される事業継続性以外でのお問い合わせ オフィスコストの削減をしたい 働き方（テレワーク）を重視した人にむけた採 用の準備をしたい ライフステージの変化（結婚/出産/介護など） に起因する離職率を改善したい

    生産性向上を目的とした導入をしたい #devio2020

19. 19 Agenda • テレワークについて • テレワーク関連のAWSサービス • WorkSpaces導入にあたって考慮する点 • クラスメソッドのカルチャーをご紹介

    • まとめ #devio2020

20. 20 テレワーク関連のAWSサービス • Amazon WorkSpaces：マネージドVDI • Amazon Client VPN：マネージドClientVPN •

    Amazon AppStream2.0：アプリケーション配信 • Amazon WorkDocs：マネージドオンラインストレージ • Amazon Chime：オンライン会議 #devio2020

21. 21 テレワーク関連のAWSサービス • Amazon WorkSpaces：マネージドVDI • Amazon Client VPN：マネージドClientVPN •

    Amazon AppStream2.0：アプリケーション配信 • Amazon WorkDocs：マネージドオンラインストレージ • Amazon Chime：オンライン会議 #devio2020

22. 22 テレワーク関連のAWSサービス フルマネージドのVDI（仮想デスクトップ）サービス #devio2020

23. 23 Amazon WorkSpacesの利用イメージ 手元のデバイスのWorkSpacesクライアント（アプリ）またはブラウザから インターネット経由でAWS上のデスクトップを利用できるサービスです。 利用可能デバイス ・ Windows ・ iPad

    ・ MacOS X ・ Android Tablet ・ Chromebook ・ Fire Tablet ・ Linux(Ubunt) ・ Web Access(ブラウザ) WorkSpaces Client #devio2020

24. 24 テレワーク関連のAWSサービス • Amazon WorkSpaces：マネージドVDI • Amazon Client VPN：マネージドClientVPN •

    Amazon AppStream2.0：アプリケーション配信 • Amazon WorkDocs：マネージドオンラインストレージ • Amazon Chime：オンライン会議 #devio2020

25. 25 Amazon Client VPN フルマネージドのクライアントVPNサービス #devio2020

26. 26 Amazon Client VPN フルマネージドのクライアントVPNサービス Client VPN のEndpointに対してVPN AWSおよびAWSに接続されたオンプレミ スへアクセスを行うことが可能

    #devio2020

27. 27 テレワーク関連のAWSサービス • Amazon WorkSpaces：マネージドVDI • Amazon Client VPN：マネージドClientVPN •

    Amazon AppStream2.0：アプリケーション配信 • Amazon WorkDocs：マネージドオンラインストレージ • Amazon Chime：オンライン会議 #devio2020

28. 28 Amazon AppStream2.0 フルマネージドのアプリケーションストリーミングサービス #devio2020

29. 29 Amazon AppStream2.0 デスクトップアプリを任意のコンピュータに配信するサービス AppStream 2.0から配信 するアプリケーションは任 意で設定可能 例えば 画像処理系のソフトウェア

    を配信して処理能力を AWS側で用意行う #devio2020

30. 30 テレワーク関連のAWSサービス • Amazon WorkSpaces：マネージドVDI • Amazon Client VPN：マネージドClientVPN •

    Amazon AppStream2.0：アプリケーション配信 • Amazon WorkDocs：マネージドオンラインストレージ • Amazon Chime：オンライン会議 #devio2020

31. 31 Amazon WorkDocs オンラインストレージサービス #devio2020

32. 32 Amazon WorkDocs インターネットにつながっている端末から利用する オンラインストレージサービス インターネットへ接続 できれば利用可能 もちろん WorkSpacesから も利用可能です

    #devio2020

33. 33 Amazon WorkDocs WorkDocsの特徴 • セキュアなオンラインストレージ ・送受信中のデータの暗号化 ・保存されたデータの暗号化 ・監査ログの表示 ・MFAの利用

    • ファイルのレビューとフィードバック機能 • WorkSpacesユーザの無料利用可能 #devio2020

34. 34 テレワーク関連のAWSサービス • Amazon WorkSpaces：マネージドVDI • Amazon Client VPN：マネージドClientVPN •

    Amazon AppStream2.0：アプリケーション配信 • Amazon WorkDocs：マネージドオンラインストレージ • Amazon Chime：オンライン会議 #devio2020

35. 35 Amazon Chime オンライン会議サービス #devio2020

36. 36 Amazon Chime ブラウザまたはアプリケーションからオンライン会議を行うサービス #devio2020

37. 37 Amazon Chime ブラウザまたはアプリケーションからオンライン会議を行うサービス #devio2020

38. 38 Amazon Chime Amazon Chimeでできること • 最大250人参加のオンライン会議 • 突発的なインスタント会議 •

    会議の録音 • 会議をロックする（予定されていない参加者の制限） • Slack連携 • ADなどのIDプロバイダーでのユーザ管理 #devio2020

39. 39 Agenda • テレワークについて • テレワーク関連のAWSサービス • WorkSpaces導入にあたって考慮する点 • クラスメソッドのカルチャーをご紹介

    • まとめ #devio2020

40. 40 WorkSpacesの導入にあたって考慮する点 WorkSpacesの全体像 PCoIP ( tcp/4172, udp/4172 ) TLS (

    tcp/443 ) #devio2020

41. 41 WorkSpacesの導入にあたって考慮する点 WorkSpacesの全体像 #devio2020

42. 42 WorkSpacesの導入にあたって考慮する点 WorkSpacesの全体像 #devio2020

43. 43 WorkSpacesの導入にあたって考慮する点 WorkSpacesの全体像 #devio2020

44. 44 WorkSpacesの導入にあたって考慮する点 WorkSpacesの全体像 #devio2020

45. 45 WorkSpacesの導入にあたって考慮する点 WorkSpacesの全体像 #devio2020

46. 46 WorkSpacesの導入にあたって考慮する点 WorkSpacesの全体像 #devio2020

47. 47 WorkSpacesの導入にあたって考慮する点 WorkSpacesの全体像 #devio2020

48. 48 WorkSpacesの導入にあたって考慮する点 認証の流れ TLS ( tcp/443 ) #devio2020

49. 49 WorkSpacesの導入にあたって考慮する点 認証の流れ #devio2020

50. 50 WorkSpacesの導入にあたって考慮する点 認証の流れ TLS ( tcp/443 ) #devio2020

51. 51 WorkSpacesの導入にあたって考慮する点 認証の流れ TLS ( tcp/443 ) #devio2020

52. 52 WorkSpacesの導入にあたって考慮する点 認証の流れ TLS ( tcp/443 ) #devio2020

53. 53 WorkSpacesの導入にあたって考慮する点 画面転送の流れ PCoIP ( tcp/4172, udp/4172 ) #devio2020

54. 54 WorkSpacesの導入にあたって考慮する点 画面転送の流れ #devio2020

55. 55 WorkSpacesの導入にあたって考慮する点 画面転送の流れ PCoIP ( tcp/4172, udp/4172 ) #devio2020

56. 56 WorkSpacesの導入にあたって考慮する点 画面転送の流れ PCoIP ( tcp/4172, udp/4172 ) #devio2020

57. 57 Agenda • テレワークについて • テレワーク関連のAWSサービス • WorkSpaces導入にあたって考慮する点 • クラスメソッドのカルチャーをご紹介

    • まとめ #devio2020

58. 58 WorkSpacesの導入にあたって考慮する点 • Directoryサービスの構成パターン • 認証・制御 • ネットワーク設計 • プロキシを経由できない通信

    • OS、ソフトウェア、スペック、デバイス • ライセンスの持ち込み #devio2020

59. 59 WorkSpacesの導入にあたって考慮する点 • Directoryサービスの構成パターン • 認証・制御 • ネットワーク設計 • プロキシを経由できない通信

    • OS、ソフトウェア、スペック、デバイス • ライセンスの持ち込み #devio2020

60. 60 Directoryサービスの構成パータンについて WorkSpacesにおける３つのDirectory Service AD Connector AWS Managed Microsoft AD

    Simple AD Microsoft Active Directoy をマネージドサービスで実行 Active Directoryへの認証 リクエストをリダイレクト するサービス Samba４ベースの マネージドディレクトリサービス #devio2020

61. 61 Directoryサービスの構成パータンについて AWS Managed Microsoft ADの代表的な構成２パターン オンプレミスとは完全に切り離して ドメインを運用するパターン マッチするケース -

    既存ADが存在しない - オンプレミスのADとは切り離したい オンプレミスと独立したドメインを利用するが双方 向の信頼関係を結ぶパターン マッチするケース - AWS MicrosoftADをメインで利用するが一部既 存ADのユーザからもWorkSpacesを利用したい #devio2020

62. 62 Directoryサービスの構成パータンについて AD Connectorの代表的な構成２パターン オンプレミスのドメインコントローラーへ ADC経由でリクエストをリダイレクト マッチするケース - オンプレに既存ADがありシンプルに活用 したい

    AWS上にドメインコントローラーを拡張し、ADC経由でリ クエストをリダイレクト マッチするケース - オンプレの既存ADを活用しつつ、DXorVPNの障害時も WorkSpacesを利用したい場合 #devio2020

63. 63 WorkSpacesの導入にあたって考慮する点 • Directoryサービスの構成パターン • 認証・制御 • ネットワーク設計 • プロキシを経由できない通信

    • OS、ソフトウェア、スペック、デバイス • ライセンスの持ち込み #devio2020

64. 64 認証・制御 認証について 基本 ADのユーザ認証 ID/PWの紛失リスクに対応したい場合 MFA（多要素認証） →OneTimePasswordを要素として追加する #devio2020

65. 65 認証・制御 制御について • Webフィルタ → Cloudflare Gateway プロキシサーバ不要 クライアントソフト不要

    Cloudflareの所有するDNS側で フィルタリングを行う #devio2020

66. 66 認証・制御 制御について • IPアドレスで制御 →接続元IPによる制御 • デバイスに対する制御 →クライアント証明書 →デバイスタイプ(Windows/Mac/iPad/など)

    • Active Directoryによる制御 →グループポリシーの利用 （クリップボードやプリンタリダイレクトなど） #devio2020

67. 67 WorkSpacesの導入にあたって考慮する点 • Directoryサービス • 認証・制御 • ネットワーク設計 • プロキシを経由できない通信

    • OS、ソフトウェア、スペック、デバイス • ライセンスの持ち込み #devio2020

68. 68 ネットワーク設計 ネットワークアドレスの設計 • AZ障害を考慮し片AZのSubnetで最大利用人数以上のIPを確保 • VPCは可能な限り大きく。少なくとも想定の最大利用者数の２倍 WorkSpaces Client WorkSpaces

    WorkSpaces Client WorkSpaces #devio2020

69. 69 ネットワーク設計 ネットワークアドレスの設計 • AZ障害を考慮し片AZのSubnetで最大利用人数以上のIPを確保 • VPCは可能な限り大きく。少なくとも想定の最大利用者数の２倍 WorkSpaces Client WorkSpaces

    WorkSpaces Client WorkSpaces #devio2020

70. 70 ネットワーク設計 ネットワークアドレスの設計 • AZ障害を考慮し片AZのSubnetで最大利用人数以上のIPを確保 • VPCは可能な限り大きく。少なくとも想定の最大利用者数の２倍 WorkSpaces Client WorkSpaces

    WorkSpaces Client WorkSpaces #devio2020

71. 71 ネットワーク設計 オンプレや他VPCとのシステム連携の有無 • ネットワークドレスの重複に注意 • DX/VPNなどネットワーク間で行われるトラフィックを考慮する WorkSpaces Client WorkSpaces

    WorkSpaces Client WorkSpaces #devio2020

72. 72 ネットワーク設計 オンプレや他VPCとのシステム連携の有無 • ネットワークドレスの重複に注意 • DX/VPNなどネットワーク間で行われるトラフィックを考慮する WorkSpaces Client WorkSpaces

    WorkSpaces Client WorkSpaces #devio2020

73. 73 ネットワーク設計 オンプレや他VPCとのシステム連携の有無 • ネットワークドレスの重複に注意 • DX/VPNなどネットワーク間で行われるトラフィックを考慮する WorkSpaces Client WorkSpaces

    WorkSpaces Client WorkSpaces #devio2020

74. 74 WorkSpacesの導入にあたって考慮する点 • Directoryサービス • 認証・制御 • ネットワーク設計 • プロキシを経由できない通信

    • OS、ソフトウェア、スペック、デバイス • ライセンスの持ち込み #devio2020

75. 75 プロキシを経由できない通信 WorkSpacesで利用される通信 • TLS通信（port443） →WorkSpacesClientの更新、登録、認証に使用 • PCoIP（port4172） →WorkSpaces画面のストリーミング、ヘルスチェックに使用 PCoIPについてはプロキシサーバを経由できないので

    個別に通信の許可を行う必要がある #devio2020

76. 76 プロキシを経由できない通信 PCoIP ( tcp/4172, udp/4172 ) : プロキシ経由NG TLS

    ( tcp/443 ) : プロキシ経由OK プロキシサーバを経由できる通信、できない通信 #devio2020

77. 77 プロキシを経由できない通信 PCoIP ( tcp/4172, udp/4172 ) : プロキシ経由NG TLS

    ( tcp/443 ) : プロキシ経由OK プロキシサーバを経由できる通信、できない通信 #devio2020

78. 78 WorkSpacesの導入にあたって考慮する点 • Directoryサービス • 認証・制御 • ネットワーク設計 • プロキシを経由できない通信

    • OS、ソフトウェア、スペック、デバイス • ライセンスの持ち込み #devio2020

79. 79 OS、ソフトウェア、スペック、デバイス 選択可能なOS ・Windows 7、Windows 10 ・Linux 利用できるソフトウェア（Windows） デフォルト：Internet Explorer

    11/Firefox オプション：Microsoft Office Professional / Trend Micro Worry-Free Windows10はWindowsサーバOS上で動くデスクトップエクスペリエンス ソフトの利用規約の確認と動作確認は必ず行いましょう #devio2020

80. 80 OS、ソフトウェア、スペック、デバイス スペック ・汎用的なオフィスワーク：スタンダード/パフォーマンス ・開発などでCPU/メモリが必要：パワー/パワープラス ・画像処理などのワーク：グラフィックス/グラフィックスプロ タイプ CPU Memory GPU

    VideoMemory バリュー １vCPU ２GiB - - スタンダード ２vCPU ４GiB - - パフォーマンス ２vCPU ７.５GiB - - パワー ４vCPU １６GiB - - パワープロ ８vCPU ３２GiB - - グラフィックス ８vCPU １５GiB １GPU ４GiB グラフィックスプロ １６vCPU １２２GiB １GPU ８GiB #devio2020

81. 81 OS、ソフトウェア、スペック、デバイス クライアントデバイス 業務で利用する多くのユーザはPCタイプを選択 ロカールデバイスに業務PCを支給するか個人PCを利用してもらうかは 各社のセキュリティポリシーに従って判断が必要 タイプ PC シンクライアント ゼロクライアント

    タブレット スマホ ブラウザ OS/ブラウザ Windows 7/8/10 Mac OS 10.8.1 以降 Ubuntu 18.04 Tera2 Zero client firmware 4.6.0以降 Windows 10 IoT iOS 8.0 以降 Android OS 4.4以降 Chrome OS 45 以降 Amazon Fire OS 4.0以降 Chrome 53以降 Firefox 49以降 所有者 会社/個人 会社 会社/個人 会社/個人 #devio2020

82. 82 WorkSpacesの導入にあたって考慮する点 • Directoryサービスについて • 認証・制御について • ネットワーク設計について • プロキシを経由できない通信

    • OS、ソフトウェア、スペック、デバイス • ライセンスの持ち込み #devio2020

83. 83 ライセンスの持ち込み OSのライセンス(License Include/BYOL) License Include ： デフォルトはLicense Include ユーザはライセンスの管理をする必要がありません。

    WorkSpacesの料金にOSのライセンス費用が含まれる。 #devio2020

84. 84 ライセンスの持ち込み OSのライセンス(License Include/BYOL) BYOL： ユーザがライセンスの用意をする必要がある AWSへリクエストが必要 最短で数週間程度、タイミングによってはもっとかかることもある License Includeと比べた時の料金比較

    $4/monthの割引 必須条件がある（以下は抜粋） ・Dedicated Instance利用必須 ・最低200WorkSpaces利用のコミット ・Microsoftの代理店などへ確認、調整することが推奨される #devio2020

85. 85 Agenda • テレワークについて • テレワーク関連のAWSサービス • WorkSpaces導入にあたって考慮する点 • クラスメソッドのカルチャーをご紹介

    • まとめ #devio2020

86. 86 クラスメソッドのカルチャーをご紹介 クラスメソッドのテレワークの歴史 • 東日本大震災を契機としてテレワークを導入 • 以降現在まで約10年間テレワーク制度を継続 テレワークを10年間経験してきた クラスメソッドの企業カルチャーをご紹介します #devio2020

87. 87 カルチャーその１：徹底したセルフマネジメント セルフマネジメント • 全員がリーダー、マネージャー、プレイヤーとして行動 • 許可を待って行動するのではなく、自ら進んで行動する 気軽に質問、相談をする体制、場を用意しフォロー

88. 88 カルチャーその２：アウトプットファースト アウトプット • アウトプットなしでは周囲は評価できない • アウトプットで評価する ・業務：開発や構築、設計書や提案書、見積書 お客様とのメールやチケット ・勉強：ブログや登壇など

    アウトプットで会話ができれば働く場所はどこでもOK

89. 89 クラスメソッドのカルチャーをご紹介 ・セルフマネジメント →自らを管理することで個人の管理が不要に ・アウトプットファースト →アウトプットで評価することで 場所や時間にとらわれない #devio2020

90. 90 Agenda • テレワークについて • テレワーク関連のAWSサービス • WorkSpaces導入にあたって考慮する点 • クラスメソッドのカルチャーをご紹介

    • まとめ #devio2020

91. 91 まとめ • テレワーク導入の価値を正しく理 解して組織の価値と生産性を最大 限高めましょう • そのために正しい設計と適切な文 化づくりを行いましょう #devio2020

92. 92 謝辞 ご清聴ありがとうございました！ #devio2020

93. 93 #devio2020