AWSを活用したテレワークの始め方

Transcript

1. 1

2. AWSを活用したテレワークの始め方 2020/04/21 吉井 亮 2

3. 3 本セミナーでは「テレワーク」を使います。 在宅勤務、リモートワーク、Work From Home など いろいろな呼称がありますが、 広く認識されている「テレワーク」に統一します。

4. 4 自己紹介 吉井 亮 （YOSHII Ryo） AWS事業本部 コンサルティング部 好きな言葉： "No

   human labor is no human error"

5. 5 目次 1. 本セミナーの意義 2. パターン紹介 3. ケース別 パターン適用 4.

   よくある質問 5. Q&A

6. 6 本セミナーの意義

7. 7 緊急事態宣言後のテレワーク実施率 パーソル総合研究所（東京・千代田）が17日発表した 調査によると、緊急事態宣言の発令後のテレワーク実施 率は前月比2倍の27%となった。 （東京都に限ると49%） https://www.nikkei.com/article/DGXMZO58176480X10C20A4000000/ より引用

8. 8 駅の改札通過人数の推移 【速報値】（対前年比） https://corona.go.jp/ より引用

9. 9 弊社への問い合わせも増えています 3月中旬～4月にかけて弊社への問い合わせも 増えております。  既存 VPN 装置の容量が限界にきている  突然テレワークが始まってリモート環境が無い

    すぐにリモート環境を整えたいがどうしていいか 分からないからアドバイスしてほしい

10. 10 今だからこそ何かのお役に立ちたい テレワークにAWSを活用するパターン集 https://dev.classmethod.jp/articles/collection-of-patterns-for-telework/

11. 11 今だからこそ何かのお役に立ちたい テレワーク導入支援キャンペーン https://classmethod.jp/m/telework/

12. 12 パターン紹介

13. 13 パターン紹介  Client VPN  VPN サーバー on EC2

     WorkSpaces  AppStream 2.0

14. 14 パターン紹介の前に 紹介する構成図は基本的な構成を示しています。 各社の環境によって構成が変わる可能性がございます。 仕様や費用は執筆日時点での情報です。 AWS 公式ドキュメントと差異があるときには、 AWS 公式を正とします。

15. 15 Client VPN

16. 16 Client VPNとは フルマネージドの VPN サービス。 Your Office On-Premise Client

    VPN Direct Connect or Site to Site VPN or Internet AD認証 or 相互認証 (クライアント証明書) VPC VPN Softwre VPN Softwre VPN Softwre

17. 17 Client VPN 利点懸念 利点 • VPN サーバーの管理が不要になる • 既存の

    Active Directory でユーザー管理が可能 懸念 • メンテナンスは AWS によって自動的に行われ、 自身ではコントロール不可。 • 相互認証の場合、クライアント証明書の配布の手間が発生。 (すでに別の VPN で配布済みであればそのまま使える可能性あり)

18. 18 Client VPN 構成図

19. 19 Client VPN Tips スプリットトンネルを設定すると指定したルート以外は VPN を通らない。 On-Premise (172.16.0.0/16) Client

    VPN （例） 10.0.0.0/16 と 172.16.0.0/16 を ルートテーブルで指定 VPC (10.0.0.0/16) インターネットは 自宅の回線を経由

20. 20 VPN サーバー on EC2

21. 21 VPN サーバー on EC2 とは EC2 を自前で起動し、EC2 上で VPN

    ソフトウェアを 稼働させる方式。 Your Office On-Premise EC2 Direct Connect or Site to Site VPN or Internet VPC

22. 22 VPN サーバー on EC2 とは AWS Marketplace https://aws.amazon.com/marketplace/b/Network-Infrastructure/2649366011

23. 23 VPN サーバー on EC2 利点懸念 利点 • EC2 上にセットアップする

    VPN ソフトウェアは任意で選べるため マネージドサービスで満たせない特殊な要件がある場合には最適。 懸念 • EC2 の管理(パッチ、バージョンアップ、パフォーマンスなど) が発生。 • EC2 分の費用が発生。

24. 24 VPN サーバー on EC2 構成図

25. 25 WorkSpaces

26. 26 WorkSpaces とは フルマネージドの VDI サービス。 クライアントには画面だけが転送される。 Your Office On-Premise

    WorkSpaces Direct Connect or Site to Site VPN or Internet VPC WorkSpaces Client WorkSpaces Client WorkSpaces Client

27. 27 WorkSpaces 利点懸念 利点 • 仮想デスクトップがすぐに使える。 • 基本的な認証機能、セキュリティ機能は有している。 懸念 •

    ネイティブな Windows7/10 ではないため(Windows Server を カスタム)、デスクトップで使うソフトウェアは事前検証が必要。 • 一人につき仮想デスクトップ一台になるのでコストに注意。 • MS Office 付きバンドルを使う場合は、Office ライセンスが 二重払い(ローカルのPCと仮想デスクトップ)になる。

28. 28 WorkSpaces 構成図

29. 29 AppStream 2.0

30. 30 AppStream 2.0 とは フルマネージドのアプリケーションストリーミング。 Your Office On-Premise AppStream Direct

    Connect or Site to Site VPN or Internet VPC

31. 31 AppStream 2.0 構成図

32. 32 AppStream 2.0 WorkSpaces とどう違う？ 項目 WorkSpaces AppStream 2.0 製品説明

    デスクトップ環境の提供。 アプリケーションを任意のPCに配信。 ユースケース ・セキュアなデスクトップを リモートで作業する社員に提供。 ・ソフトウェア開発用デスクトップを 迅速に展開。 ・クラスルームやラボ用に繰り返し利用 できるデスクトップを提供。 ・3D 設計とエンジニアリング向けに アプリケーションを提供。 ・特定アプリケーションの社員への導入を 迅速化。 永続ストレージ 付属。 S3、EFS または SaaS ストレージを使用。 ユーザー管理 ディレクトリ。 独自ユーザープール、または、SAML。 利用料金 AlwaysOn または AutoStop の2種類。 従量料金。 利用方法 ・専用クライアント ・Web ブラウザ (Chrome, Firefox) HTML5 互換ブラウザ。 https://dev.classmethod.jp/articles/web-access-workspaces-vs-appstream-2-0/

33. 33 AppStream 2.0 利点懸念 利点 • デスクトップではなくアプリケーションのみを使いたい場合に最適。 • インフラ管理が不要。 懸念

    • イメージ管理が発生。 • 1ユーザー1インスタンスになるのでコストに注意。

34. 34 ケース別 パターン適用

35. 35 どのサービスを選ぶか 会社貸与のPCを 持ち帰っている 特定アプリだけで 業務が遂行可能 App Stream 2.0 YES

    No WorkSpaces YES No 社外では データ持ち出しを 禁止したい YES Client VPN EC2 社内 VPN と 同等の機能が必要 No YES No

36. 36 よくある質問

37. 37 WorkSpaces Q. WorkSpaces は何台使えますか？ A. 必要台数で上限緩和申請を行なってください。 あまりに数が多い際には詳細をヒアリングさせて いただく場合がございます。

38. 38 WorkSpaces Q. 普段使っている MS Office のライセンスを WorkSpaces でも使ってよいか A.

    お持ちの MS ライセンスを持ち込む場合には BYOL 申請が必要です。ご相談ください。

39. 39 WorkSpaces Q. あるソフトウェアをインストールしたいが 動作実績を教えて欲しい A. Windows7/10 対応のソフトウェアでも 動作しない可能性はございます。 事前に動作検証を行うことをお奨めします。

40. 40 WorkSpaces Q. WorkSpaces からアクセスできない Web サイトがある A. 一部のサイトで AWS

    からの IP アドレスを 一切拒否しているようです。 事前に動作検証を行うことをお奨めします。

41. 41 WorkSpaces Q.クライアントから接続した際に、接続元PCへの クリップボードコピー、ファイルのアップロード、 ダウンロードの禁止はできますか？ A. グループポリシーを設定して頂くことで可能です。

42. 42 WorkSpaces Q. WorkSpaces 接続後の操作ログを記録したい A. 残念ながらAWSサービスだけでは実現できません。 ESS RECやLanScope Catなどの商用ツールを

    ご検討ください。

43. 43 Client VPN Q. VPN 利用者 ◦◦人を想定しているが どうしたらいいか？ A. エンドポイントのデフォルト接続数上限が

    2,000台となっています。まずはここを目安に 考えてみてください。

44. 44 Client VPN Q.オンプレミスから Client VPN で接続した PC に アクセスすることはできますか？

    A. オンプレミスから PC へは接続できません。

45. 45 Client VPN Q.接続してくるクライアントごとに証明書は 発行することは可能ですか？ A.サーバ証明書と同一の認証機関から発行された クライアント証明書をご利用いただくことで 可能になります。

46. 46 Client VPN Q. VPN接続後もインターネットはVPN外で接続したい A.スプリットトンネルを設定していただくことで インターネットへの疎通が可能となります。 もしくは、PC でスタティックルートを設定すること でも可能です。

47. 47 Q & A

48. 48