Post on 02-Sep-2019
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アマゾンウェブサービスジャパン株式会社
ソリューションアーキテクト 渡邉源太2016/6/2
AWS for Windows
エンタープライズワークロードの効率的な展開と管理
自己紹介
名前• 渡邉源太
所属• アマゾンウェブサービスジャパン株式会社
• 技術本部レディネスソリューション部• ソリューションアーキテクト
エンタープライズのお客様支援を経て、現在はAWS for WindowsおよびAmazon WorkSpacesなどのエンタープライズアプリケーションを担当
Agenda
• AWS for Windowsとは?
• ソリューションシナリオ
• 効率的な展開と管理
• まとめ
AWS for Windowsとは?
柔軟性
AWS for Windowsとは?
セキュリティ 信頼性 ハイパフォーマンス 親和性 コスト効率 拡張性
Windowsベースのワークロードに最適化
幅広いスケーラブルなサービス
ビジネスニーズへの対応
コーポレートアプリケーション
コーポレートアプリケーションの例:
セキュリティの向上 容易なスケール パフォーマンスの向上 既存ツールの活用 コスト削減
基幹業務アプリケーション
基幹業務アプリケーションの例:
セキュリティ 信頼性 ハイパフォーマンス 親和性 コスト効率
セキュリティとアクセス
コーポレートアプリケーション
エンドユーザーコンピューティング
基幹業務アプリケーション
Amazon EC2 Windows,
Amazon RDS,
AWS CloudFormation,
AWS CloudFront
Amazon EC2 Windows,
AWS Directory Service,
Amazon RDS,
AWS Marketplace
Amazon WorkSpaces,
Amazon AppStream, AWS
Marketplace,
AWS Mobile Services, SaaS
AWS Identity and Access Management (IAM),
AWS CloudHSM, AWS Key Management Service,
security groups, AWS Marketplace
Amazon EC2, Amazon S3, Amazon RDS,
Amazon VPC, Amazon Direct Connect,
AWS Directory Service, AWS IAM,
AWS Service Catalog
インフラストラクチャ
WindowsワークロードのためのAWSサービスオファリング
AWS Elastic Beanstalk,
AWS CodeDeploy,
AWS CloudFormation
DevOps
EC2 Dedicated HostsによるBYOL
Host ID = h-123abc
Sockets = 2
Physical Cores = 20
• ライセンスのコンプライアンスを維持
• きめ細かいリソースと配置のコントロール
• 物理リソースの可視化
• 物理コアとソケットのカウント
• キャパシティ利用率
• インスタンス配置
• 費用ディスカウントとリソースの予約をサポート
マイクロソフトライセンスの選択肢
AWSからライセンスを購入
ライセンスモビリティの活用
ライセンスの持ち込み(BYOL)
• ソフトウェアライセンス費用の削減
• お客様によるISVのライセンスコストとコンプライアンスの管理
• ソフトウェアアシュアランス不要
• AWSによるWindows Serverライセンスの管理
• お客様によるISVのライセンスコストとコンプライアンスの管理
• ソフトウェアアシュアランスの利用
• AWSによるライセンス管理
• 従量課金
• マルチテナントまたは専有
• ソフトウェアアシュアランス不要
• CAL無制限
クラウドセキュリティツールの利用
暗号化
AWS Key
Management
Service
AWS
CloudHSM
Server-side
encryption
ネットワーク
Virtual
Private
Cloud
Web
Application
Firewall
コンプライアンス
AWS ConfigAWS
CloudTrail
AWS Service
Catalog
アイデンティティ
IAM Active
Directory
Integration
SAML
Federation
AmazonCloudwatch
各拠点/関連会社
監視システム
AWS Management Console
Internet
Active Directory
Amazon VPCの利用例
社内イントラ
既存DCからAWSへ接続し自社環境として利用
様々なメリット
• 低コスト/短期間導入
• セキュリティ向上
• 運用工数削減
• 老朽化対応コスト既存データセンター 専用線
SFA
会計/人事・給与
ファイル共有
ポータル
BI
各種業務処理
株式会社リコー様
グローバルで利用するMS SharePointをAWS上へ移行
AWS を採用したことにより、課題であった運用コストが旧システムの約 1/3 に!
ハードウェアを持つという制約から解放されたことにより運用状況にあわせた迅速な拡張・最適化が最小コストで実現!
発注から設置までの大幅な納期短縮が実現可能!
AWS for Windowsソリューションシナリオ
AWS クイックスタートリファレンス
セキュリティと可用性に関するAWSのベストプラクティスにしたがって以下のワークロードをデプロイ可能
• Active Directory ドメインサービス
• SQL Server 2012/2014
• SharePoint Server 2013/2016
• Exchange Server 2013
• Lync Server 2013
• Web Application ProxyとActive Directory フェデレーションサービス
• Windows PowerShell DSC
• Remote Desktop ゲートウェイ
AWSのベストプラクティスに基づき、250のメールボックスを展開可能なAWSCloudFormation テンプレートを提供
クイックスタートガイドでは、250、2,500のメールボックスをサポートする場合の、耐障害性が考慮された設計方法を記載
たとえば、Exchange Serverの場合(1/3)
クイックスタート(所要時間:15分)と、カスタムデプロイの2種類を提供
たとえば、Exchange Serverの場合(2/3)
①CloudFormationテン
プレートを選択
②AD, Exchangeに必要
な設定を入力
③約2時間で構築完了
たとえば、Exchange Serverの場合(3/3)
提供①:クイックスタートガイド
提供②:AWS CloudFormationテンプレート
Active Directory on AWS
Active Directory ドメインサービス
高可用性• ドメインコントローラーは異なるアベ
イラビリティゾーンにあるVPCサブネットにデプロイされる
ロール• Active Directoryドメインサービス
(AD DS)• グローバルカタログ(GC)
• Active Directory統合ドメインサーバー(DNS)
• Remote Desktopゲートウェイ• リモート管理
オンプレミスのAD DS をAWSクラウドへ拡張
AWS Directory Service
フルマネージド型のディレクトリサービス
• AWS上のスタンドアロンのディレクトリを新規に作成:
• 既存のActive Directory認証を利用して:
• AWSアプリケーションへのアクセス(Amazon WorkSpaces, WorkDocs, WorkMail)
• IAMロールによるAWS Management Consoleへのアクセス
AWS Directory Service for Microsoft Active Directory
高可用性• ドメインコントローラーは異なるアベ
イラビリティゾーンにあるVPCサブネットにデプロイされる
ロール• AWS Directory Service for
Microsoft AD• Active Directoryドメインサービス
(AD DS)• Active Directory統合ドメインサー
バー(DNS)
• Remote Desktopゲートウェイ• リモート管理
Microsoft AD:オンプレミスとの信頼関係
Availability Zone A
Private Subnet
C-DCA
Corporate Network
Seattle
DC1
Tacoma
DC2Availability Zone B
Private Subnet
C-DCB
company.cloudcompany.local
Direct Connect
ID as a Serviceによるシングルサインオン
C-DCA C-DCB
company.cloud
Microsoft AD
WS-federation/ SAML 2.0/OAuth2.0/ OpenID ConnectEC2 Windows
IDaaS SaaS
ID連携
エンタープライズアプリケーション
仮想デスクトップサービス マネージド型電子メール・カレンダー 企業向けファイル共有サービス
Amazon WorkSpaces
Amazon WorkSpaces は、費用効果の高い、柔軟なワークスタイルに対応できる、マネージド クラウド デスクトップ サービス
簡単にクラウドベースのデスクトップ環境を構築することが可能で、エンドユーザは文書、アプリケーション、リソースに対して、どこでも、どんなデバイス(タブレット、PC、ラップトップ、Chromebook、ゼロクライアント)からもアクセスすることができる
Amazon.comによる大規模な展開
動的アプリ配信 – アプリの展開, トレース, アップデートを高スケールで
ソフトウエアライセンスを所有しているアプリを追加
AWS Marketplace for Desktop Apps からのサブスクライブ
米国東海岸、西海岸、アイルランド、シドニー、シンガポールリージョンにてサービス提供中
Amazon WAM (WorkSpaces Application Manager)
WorkSpaces
Amazon WAM
カタログ アプリのデプロイ
for Desktop Apps
ライセンスを所有しているアプリケーション
特定業務向けアプリケーション
高スケールなアプリケーション管理
Amazon WorkDocs
Amazon WorkSpaces には Amazon WorkDocsが付帯
フルマネージドな、セキュア エンタプライズ ストレージとコラボレーション サービス
強固な管理者制御と監査機能
ファイル添付のメールを送ることなく、ドキュメントの共有、コメントの送付が可能
Microsoft Office や PDF に対応
50 GB までの利用を付帯、容量の追加も可能
SQL Server on AWS
SQL Server AlwaysOn 可用性グループ
高可用性• Windows Serverフェイルオー
バークラスタ(WSFC)
• SQL Server AlwaysOn 可用性グループ
ロール• Active Directory ドメインサービ
ス(AD DS)
• SQL Server Enterprise Edition
• Remote Desktopゲートウェイ
SQL Server ディザスタリカバリ&バックアップ構成
Primary
Replica
Secondary
Replica 1
AG Listener:
ag.awslabs.net
自動フェイルオーバー
Secondary
Replica 2
(Readable)
レポーティングアプリケーション
バックアップ
手動フェイルオーバー
Direct Connect
Amazon RDS for SQL Server
• Active Directoryとの統合
• 自動フェイルオーバー
• 自動パッチ適用
• 自動バックアップ
• ポイントインタイムリカバリ
RDS for SQL Serverローンチ予定
• RDS for SQL ServerによるMulti-AZのサポート がAsia
Pacific (Tokyo), Asia Pacific (Sydney) と South America (Sao Paulo) リージョンで今後2週間以内に利用可能に
• RDS SQL ServerのS3へのNative BackUp/Restore が今
後2ヶ月以内に利用可能に
• RDS SQL Serverのローカルタイムゾーンサポート が第
三四半期に利用可能に
Multi-AZのサポート
RDS for SQL ServerはSQL Serverミラーリングによる高可用性を提供
• 本番環境のワークロードはつねにMulti AZモードで稼動させることを推奨
• プライマリとセカンダリのDBインスタンスは別々のアベイラビリティゾーンに配置される
• 自動フェイルオーバー (およそ1–2分)
軽減される一般的な障害シナリオ
• プライマリAZの可用性ロスト
• プライマリDBインスタンスのネットワーク接続ロスト
• プライマリDBインスタンスのコンピュートユニットまたはストレージ障害
Native Backup/Restore
RDS for SQL ServerがNative Backup/Restore (.bak ファイル)をサポート
• ネイティブのSQL Server Backup/Restore機能を活用
• お客様自身のAmazon S3バケットに.bakファイルを保存可能
• オンプレミスのSQL ServerバックアップをRDSインスタンスにリストア可能
RDS for SQL ServerインスタンスでNative Backup/Restoreを有効にするには
• 新規にAmazon S3バケットを作成するか既存のものを使用
• AWS IAMロールを作成してS3バケットまたはフォルダにRDSアクセスを許可
• Option Groupsを使用してRDS for SQL ServerインスタンスにIAMロールをアタッチ
.bak
.bak
ローカルタイムゾーンサポート
RDS for SQL Serverのローカルタイムゾーンサポート
• データベースに任意のタイムゾーンをセットできるように
• RDSインスタンスの作成中にローカルタイムゾーンを指定可能
• アプリケーションサーバーとデータへのタイムゾーンの変更による影響をアセスすることを推奨
SharePoint on AWS
SharePoint Server 2016
高可用性
• ELBによる負荷分散
• SQL Server AlwaysOn可用性グループ
従来のトポロジー
• Webフロントエンド
• アプリケーションサーバー
• データベース
合理化されたトポロジー(Streamlined Topology)
一般的なアーキテクチャー:
• フロントエンドサーバー
• バッチ処理サーバー
• データベースサーバー
• 分散キャッシュ
• リクエスト管理
• 専用ワークロード
• 検索
合理化されたトポロジーによって, サーバーリソースを最大化するためにサービスなどのコンポーネントが分散される
合理化されたトポロジーの構成例
Exchange Server on AWS
Exchange Server 2013
高可用性• 負荷分散• データベース可用性グルー
プ(DAG)
ロール• メールボックス(MBX)
• メールボックスの格納
• クライアントアクセスサーバー(CAS)• メールクライアントとAPI
• エッジトランスポート• インターネット接続
名前空間の設計と計画
無制限の名前空間
• それぞれのアベイラビリティゾーンにあるExchange Serverをまたがって統一された名前空間を使用
制限つき名前空間
• それぞれの物理ロケーションにユニークな名前空間を使用
• マルチリージョンデプロイメントに対応
Amazon WorkMail
セキュリティにすぐれたマネージド型の企業向けEメールおよびカレンダーサービス
• Microsoft Outlook、Webブラウザ、iOS/AndroidネイティブのEメールアプリケーションからのアクセス
• データを暗号化するためのキーとデータを保存する場所を管理することが可能
Amazon WorkMail Migration Tool
• Microsoft ExchangeからWorkMailへの移行を支援するツールを提供
• 移行ツールが稼動するために、オンプレミスかEC2にOutlookがインストールされたホストが必要
Exchange WorkMailEC2 Instance /On-prem Machine
Migration Tool
Outlook(32bit)2010/2013
AWS for Windows効率的な展開と管理
マネジメントツールの包括的な利用
モニタリングコンフィギュレーション
AWS CloudWatch AWS CloudTrailAWS ConfigAmazon EC2
Run Command
PowerShell
Integration
AWS CloudFormationAWS CodeDeploy AWS Elastic
Beanstalk
AWS Toolkit for Visual
Studio
.NET SDK
開発
APIでインフラの自動化が可能
aws ec2 run-instances ¥
--image-id ami-xxxxx ¥
--instance-count 10 ¥
--region us-west-2 ¥
--instance-type r3.4xlarge
aws ec2 run-instances ¥
--image-id ami-zzzzzz ¥
--instance-count 3 ¥
--region ap-northeast-1 ¥
--instance-type m3.medium
51
自動化のためのコマンドラインツール
AWS Command Line Interface (CLI)
•“aws”という名前の単一コマンドでAWSサービスを操作可能
•プラットフォームや開発言語などが限定されないWindows, Linux, Mac, Unixなど
•S3用にはsyncなどの便利な機能あり
AWS Tools for Windows PowerShell
• “AWSPowerShell”モジュール内のコマンドレットから、ほとんどのAWSサービスを操作可能
• PowerShellの強力なシェル機能が利用できる
VM Import/Exportを使用した仮想マシンのインポート
Citrix XenServer、Microsoft Hyper-VまたはVMware vSphereなどの仮想化環境からVMをAMIとしてインポート可能
サポートするイメージ形式• RAW/VHD(Hyper-Vおよび
Citrix XenServer)/VMDK(VMware ESX/vSphere)/OVA
ファイルシステムとボリュームタイプ• Windows:NTFSフォーマットさ
れたMBRボリューム
Windows PowerShellによるVM Import/Exportの実行
#ImageDiskContainerオブジェクトの作成
$windowsContainer = New-Object Amazon.EC2.Model.ImageDiskContainer
$windowsContainer.Format="VHD“
#イメージファイルのS3ロケーションを設定
$userBucket = New-Object Amazon.EC2.Model.UserBucket
$userBucket.S3Bucket = $bucketName
$userBucket.S3Key = "CustomWindows2012R2.vhd"
$windowsContainer.UserBucket = $userBucket
#インポートコマンドレットへのパラメータをセットアップ
$params = @{
"ClientToken"="CustomWindows2012R2_" + (Get-Date)
"Description"="My custom Windows 2012R2 image import“
"Platform"="Windows“
"LicenseType"="AWS“
}
#インポートコマンドレットの実行
Import-EC2Image -DiskContainer $windowsContainer @params
Amazon EC2 Run Command
実行中のEC2インスタンスをリモート操作
• OSやアプリケーションの設定変更
• ログファイルやシステムリソースの表示・収集
対象OS• Amazon Linux, Ubuntu Server, RHEL,
CentOS, etc.※SSM Agentの設定が必要
• Windows Server 2003-2012およびR2
EC2 コンソールを使用したEC2 Run Commandの実行
Amazon EC2コンソールで「コマンド」から「コマンドの実行」を選択して実行
1. [AWS-RunPowerShellScript]を選択
2. 対象となるインスタンスを指定
3. 実行するスクリプトを入力
Windows PowerShellによるEC2 Run Commandの実行
#使用可能なパラメータを表示
Get-SSMDocumentDescription -Name "AWS-RunPowerShellScript“
#パラメータの詳細情報を表示
Get-SSMDocumentDescription -Name "AWS-RunPowerShellScript" | select -ExpandProperty Parameters
#AWS-RunPowerShellScript ドキュメントを使用してコマンドを送信
$runPSCommand=Send-SSMCommand -InstanceId @('Instance-ID', 'Instance-ID') -DocumentName AWS-RunPowerShellScript -Comment 'Demo AWS-RunPowerShellScript with two instances' -Parameter@{'commands'=@('dir C:¥Users', 'dir C:¥')}
AWS CloudFormation
EC2やELBといったAWSリソースの環境構築を、設定ファイル(テンプレート)を元に自動化できるサービス
テンプレートを自由に作成できるため、自分好みのシステム構成を自動的に構築できる
テンプレートには起動すべきリソースの情報をJSONフォーマットのテキスト形式で記述する
テンプレートベースのプロビジョニング
インフラをコード化
宣言・柔軟性 簡単に利用可能
CloudFormation:コンポーネントとテクノロジー
テンプレート AWS CloudFormation スタック
JSON形式のテキスト
パラメータの定義
リソースの作成
実際の設定
AWSサービスの設定
サービス全体での統合
サービスのイベント管理
カスタマイズ
フレームワーク
スタックの作成
スタックの更新
エラー検知とロールバック
{
"AWSTemplateFormatVersion" : "2010-09-09",
"Description" : "AWS CloudFormation Sample Template EC2InstanceSample: **WARNING** This template an Amazon EC2 instances. You will be billed for the AWS resources used if you create a stack from this template.",
"Parameters" : {
"KeyName" : {
"Description" : "Name of an existing EC2 KeyPair to enable SSH access to the instance",
"Type" : "String"
},
"Environment": {
"Type" : "String",
"Default" : ”Dev",
"AllowedValues" : [”Mgmt", "Dev", ”Staging", "Prod"],
"Description" : "Environment that the instances will run in.”
}
},
"Mappings" : {
"RegionMap" : {
"us-east-1" : { "AMI" : "ami-7f418316" },
"us-west-2" : { "AMI" : "ami-16fd7026" }
}
},
"Conditions" : {
”EnableEBSOptimized" : {"Fn::Equals" : [{"Ref" : " Environment
"}, ”Prod"]},
},
"Resources" : {
"Ec2Instance" : {
"Type" : "AWS::EC2::Instance",
"Properties" : {
"KeyName" : { "Ref" : "KeyName" },
"EbsOptimized " : {"Fn::If": [ " EnableEBSOptimized ", {“true”}, {“false”}]},
"ImageId" : { "Fn::FindInMap" : [ "RegionMap", { "Ref" : "AWS::Region" }, "AMI" ]},
"UserData" : { "Fn::Base64" : "80" }
}
}
},
"Outputs" : {
"InstanceId" : {
"Description" : "InstanceId of the newly created EC2 instance",
"Value" : { "Ref" : "Ec2Instance" }
},
"PublicDNS" : {
"Description" : "Public DNSName of the newly created EC2 instance",
"Value" : { "Fn::GetAtt" : [ "Ec2Instance", "PublicDnsName" ] }
}
}
}
CloudFormation:JSONテンプレート
AWS CloudFormation Designer
• テンプレート内のリソースを可視化
• テンプレートの修正をドラッグ&ドラッグで対応可能
• サンプルテンプレートのカスタマイズが容易
AWS CloudFormation Designer
ツールバー
Resources
JSONエディタ
Canvas
ハイブリッド環境の管理
マイクロソフト環境の管理
• AWS Systems Manager for Microsoft System Center Virtual Machine Manager
• AWS Management Pack for Microsoft System Center
VMware環境の管理
• AWS Management Portal for vCenter
Amazon CloudWatch
AWSの各種リソースを監視するサービス• AWSリソースの死活、性能、ログ監視 (監視)
• 取得メトリックスのグラフ化 (可視化)
• 各メトリックスをベースとしたアラーム(通知)、アクションの設定が可能
AWS Management Pack for Microsoft System Center
• オンプレミスとAWSリソースの両方をSystem Center Operations Managerから参照、監視することが可能に
監視対象• EC2インスタンス(WindowsおよびLinux)• EBSボリューム• Elastic Load Balancing• CloudFormationスタック• Auto Scalingグループ• Elastic Beanstalkアプリケーション
• SQL Server、SharePoint、Exchangeなどの監視との統合が可能
ダイアグラムビューによるAWSリソースの表示
CloudFormationスタック
Elastic Load Balancer
Auto scalingグループ
EC2インスタンス
EBSボリューム
まとめ
• AWS for Windowsは、Windowsベースのワークロードに最適化された幅広いスケーラブルなサービスを提供
• AWS クイックスタートリファレンスでは、セキュリティと可用性に関するベストプラクティスにしたがってエンタープライズワークロードをデプロイ可能
• AWSの提供するさまざまなサービスを活用することで、効率的な展開と管理が可能
AWS Black Belt Online Seminarのご案内
AWSJの Tech メンバーがAWSに関する様々な事を日本語で紹介・解説する無料のオンラインセミナー
AWSについてもっと勉強したい方にオススメ!
AWS イベント 検索
ハードウェア専有インスタンスと専有ホストの比較
特徴 ハードウェア専有インスタンス
専有ホスト
物理サーバを専有する ○ ○
インスタンスあたりの課金 ○
ホスト当たりの課金 ○
ソケット、コア、ホストIDの可視性 ○
ホストとインスタンス間のアフィニティ ○
対象インスタンスの配置 ○
自動インスタンスの配置 ○ ○
割当リクエストでのキャパシティ追加 ○
BYOLライセンスシナリオ
ライセンスタイプ EC2 専有ホスト EC2 ハードウェア専有インスタンス EC2 マルチテナント
Windows Server ✓ LI LI
SQL Server ✓
✓ Windows Server ライセンス込みEC2 ハードウェア専有インスタンス
でのみ可
✓ ライセンスモビリティ付きのライセンスを保有し、そのライセンスをWindows Server ライセンス込み
EC2 インスタンスで使用する場合のみ可
MS Office ✓ ✓ X
Windows 7/8/10 ✓ ✓ X
MSDN ✓ ✓ X
その他✓ Microsoft の規約に準ずる
✓ Windows Server ライセンス込みEC2 ハードウェア専有インスタンス
でのみ可
✓ ライセンスモビリティ付きのライセンスを保有し、そのライセンスをWindows Server EC2 インスタンス
で使用する場合のみ可
✓ = シナリオはサポートされているLI = AWS からライセンス込みインスタンスを購入した場合のみ可X = 不可
RDS for SQL ServerとSQL Server on EC2の比較(1/2)
Amazon RDS for SQL Server SQL Server on Amazon EC2
マネージド自動バックアップ Yes No (メンテナンスプランを構成して管理、またはサードパーティソリューションの利用)
Multi-AZによる自動フェイルオーバー
Yes No (手動によるフェイルオーバー管理)
ビルトインのインスタンスとデータベース監視メトリックス
Yes No (CloudWatchへのメトリックスのプッシュまたはサードパーティソリューションの利用)
自動ソフトウェアパッチ Yes No
構成済みパラメータ Yes No (デフォルトのSQL Serverインストール)
DBイベント通知 Yes No (手動でDBイベントをトラックして管理)
RDS for SQL ServerとSQL Server on EC2の比較(2/2)
Amazon RDS for SQL Server SQL Server on Amazon EC2
SQL認証 Yes Yes
Windows認証 Yes Yes
TDE (保管データの暗号化) Yes (EnterpriseEditionのみ)
Yes (EnterpriseEditionのみ)
AmazonKMSを使用したストレージ暗号化
Yes (すべてのEdition) Yes (すべてのエディション)
SSL (通信データの暗号化) Yes Yes
データベースレプリケーション No Yes
ログシッピング No Yes
データベースミラーリング Yes (Multi-AZ) Yes
AlwaysOn 可用性グループ No Yes