AWS Blackbelt 2015シリーズ Amazon CloudWatch & Amazon CloudWatch Logs
20170906 AWS BlackBelt AppStream2
-
Upload
amazon-web-services-japan -
Category
Technology
-
view
6.590 -
download
0
Transcript of 20170906 AWS BlackBelt AppStream2
【AWS Black Belt Online Seminar】
アマゾンウェブサービスジャパン株式会社
ソリューションアーキテクト – ワークスペース 渡邉源太
2017.9.6
自己紹介
名前
• 渡邉源太
所属
• アマゾン ウェブ サービス ジャパン株式会社
• ソリューションアーキテクト
好きなAWSサービス• Amazon WorkSpaces/AppStream 2.0
内容についての注意点
本資料では2017年9月6日時点のサービス内容および価格についてご説明しています。最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。
• 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。
• 価格は税抜表記となっています。日本居住者のお客様が東京リージョンを使用する場合、別途消費税をご請求させていただきます。
AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
Agenda
• AppStream 2.0概要
• 管理ワークフロー
• ネットワーク
• ユーザーアクセス
• ストレージ
• リソースの管理
Agenda
• AppStream 2.0概要
• 管理ワークフロー
• ネットワーク
• ユーザーアクセス
• ストレージ
• リソースの管理
ユーザーにデスクトップアプリケーションへのインスタントアクセスを提供するフルマネージドのアプリケーションストリーミングサービス
ビジネスアプリ
書き換えなしでデスクトップアプリをクラウ
ドに移行
グラフィックの可視化 ISVs
• HTML5ブラウザでグラフィックアプリケー
ションを実行
• プラグイン不要
• 同時に複数のアプリを利用
• クリップボード、ファイルアップロード/ダウ
ンロード、印刷
• オーディオと帯域幅の制御
• 複数のストレージオプション
機能: シンプルなユーザーエクスペリエンス
機能: シンプルなユーザーエクスペリエンス
機能: NICE DCV
• 高精度のビジュアリゼーションをブラウザに
配信
• アダプティブで応答性の高いストリーミング
• AES-256暗号化
• 3Dとノングラフィックアプリケーションの両
方をサポート
機能: HTTPSアクセス
• ストリーミングゲートウェイ経由での
セキュアなアクセス
• ファイアウォールとの親和性 –
HTTPS/443
機能: アイデンティティ
• ユーザープールでのビルトインのユーザー管理
• SAML 2.0によるフェデレーションアクセス
• カスタムのアイデンティティ
機能: Active Directoryサポート
• イントラネットサイトへのSSOアクセス
• ファイル共有へのアクセス
• ネットワークプリンタへの印刷
• Kerberosサポート
• ユーザーとコンピュータのポリシー
機能: ストレージ
• 永続的なホームフォルダ (S3に格納)
• お客様VPC内のファイルサーバー
• クライアントからのアップロード/ダウン
ロード
機能: アプリに応じたインスタンスプロファイル
• Standard – ナレッジワーカー向けアプリ
• Compute – 高CPUを要求するアプリ
• Memory – 高メモリを要求するアプリ
機能: グラフィックインスタンス
• Graphics Desktop
• NVIDIA GRID K520 GPU
• 8 vCPUs, 16 GiB RAM, 4 GiB GPU
Memory
• Graphics Pro
• NVIDIA Tesla M60 GPU
• 3種類のインスタンスサイズ
16 - 64 vCPUs
122 GiB – 488 GiB RAM
8 GiB – 32 GiB GPU Memory
機能: グラフィックインスタンス
• Graphics Design
• AMD FirePro S7150x2 GPU with Multiuser
Technology
• 4種類のインスタンスサイズ
2 -16 vCPUs
7.5 GiB – 61 GiB RAM
1 GiB – 8 GiB GPU Memory
機能: セキュアなネットワーク
• Amazon VPC内で起動
• インスタンスからのインターネットアク
セスをコントロール
• VPC内のデータベース、ライセンス、
ファイルサーバーへの接続
機能: AWS SDK
• プログラムからのアクセス – AWS SDK
• 管理用API
• エンドユーザー用API
機能: 複数のロケーション
バージニア、オレゴン、アイルランド、東京
価格
ストリーミングリソースの時間による課金
• インスタントオン・エクスペリエンス – 待機/稼働中のリソース
ストリーミングインスタンスのタイプをベースにした時間課金
ユーザー単位の課金
• $4.19/ユーザー/月
• BYOLによる削減 (ライセンスモビリティ)
Agenda
• AppStream 2.0概要
• 管理ワークフロー
• ネットワーク
• ユーザーアクセス
• ストレージ
• リソースの管理
管理ワークフロー
1 2 3 4
管理ワークフロー – アプリケーションのインポート
• AWS Management ConsoleからImage
Builderを使用
• アプリのインストール、テストおよびイ
メージの公開
• アプリの起動時間の最適化と起動パラ
メータの構成
管理ワークフロー –イメージの作成
• Microsoft Windows Server 2012
R2
• アプリを含むイメージ
• Image Builderを使用したイメージ
作成
• AWS Management Consoleの使用$> aws appstream describe-images
管理ワークフロー –フリートの作成
• インスタンスのオートスケール
• 1ユーザー : 1インスタンス
• フリートのスケーリングによるコスト最適化
• インスタンスタイプを構成可能
• 非永続的インスタンス
• 稼働中のインスタンスがインスタントオン接
続を提供
• Amazon VPCアクセス
$> aws appstream create-fleet <instance type> <subnets> <image>
管理ワークフロー – スタックの作成
AppStream 2.0スタックをセットアップしてユーザーのブラウザにアプリのストリーミングを開始
スタックはストリーミングインスタンスのフリートとアクセスポリシーおよびコンフィグから構成される
$> aws appstream create-stack <fleet>
Agenda
• AppStream 2.0概要
• 管理ワークフロー
• ネットワーク
• ユーザーアクセス
• ストレージ
• リソースの管理
ネットワーク概要
On-premises
Public Internet
VPN
or
Direct Connect
Pixels - HTTPS
Identity/SAMLPixels - HTTPS
Streaming GatewayFleet
Utility/License/Database servers
Amazon AppStream 2.0 Network – 198.19.x
Customer/ISV VPC
172.X or 192.x or 10.x
Private Network Access
HPC Cluster
Stack
インスタンスのネットワーク詳細
Private network
resources
Amazon AppStream 2.0 Network – 198.19.x Customer/ISV VPC
172.X or 192.x or 10.x
Public
IP
Streaming Gateway
(AWS ALB)
AWS
Security
Group
Controls
Customer
Security
Group
Controls
Customer
Subnet
ETH0 ETH1
HTTPS経由のインタラクティブなピクセルストリーミング
ストリーミングインスタンス(シングルエンドユーザー)
• ストリーミング用のインスタンスはAWSが管理するVPCの一部
• インスタンスはAppStream 2.0フリートに所属• インスタンスはユーザー切断後に削除される• インスタンスはフリートに関連付けられたイメージから起動
• ユーザーからのアウトバウンドネットワークアクセスはすべてETH1経由
On-premises network
ストリーミングトラフィック
プライベートネットワークとインターネットへのアウトバ
ウンド
インターネットアクセスの有効化
• VPC内で有効なパブリックサブネットを作成後、フリートのインターネットアクセスを有効にすることが可能
• [Default Internet Access]を設定
• フリートのVPCとパブリックサブネットを指定
Agenda
• AppStream 2.0概要
• 管理ワークフロー
• ネットワーク
• ユーザーアクセス
• ストレージ
• リソースの管理
ユーザープールの使用
• ユーザーは自分のメールアドレスとパスワードを使用して永続的なURLと認証情報を使用してアクセスが可能
• 管理者は複数のスタックをユーザーに割り当てて複数のアプリケーションカタログを提供可能
• Active Directoryドメインに参加しているフリートではユーザープールは使用できない
ユーザープールの管理
• AWSマネージメントコンソールからユーザーの作成やスタックの割り当てなどユーザープールの管理が可能
• ユーザーが作成されると招待メールが送信されログインポータルからパスワードの設定が可能に
AppStream 2.0がActive Directoryをサポート
Active DirectoryドメインにAppStream 2.0を参加させることが可能に
必要な前提条件
ADへのネットワークアクセス
オンプレミスまたはAWSのActive Directoryドメインへのアクセスを許可するためにVPC, サブネット、およびセキュリティグループを構成
SAML2.0 identity provider
AppStream 2.0アプリを起動するユーザーへの認証と認可
アプリとADグループの関連付けを管理
Microsoft Active Directory
Windows Server 2008 R2レベル以降で動作するActive Directory*環境
コンピュータオブジェクトを作成/管理するためのサービスアカウント
AS2.0オブジェクト用のOU
*ADはオンプレミスまたはEC2, AWS Directory ServicesのMS AD
ユーザーエクスペリエンス
エンドユーザー
お客様のActive Directory
イントラネットサイト/SAMLログイン
お客様のActive Directory
ADグループによるアクセスコントロール
SSOまたはADログイン + 2要素
による認証
ユーザーログイン – セッションごとに一度
アプリアプリカタログ
ADログインによる認証
管理ワークフロー – ドメインへのリソースの参加
Active DirectoryでOUとサービスアカウントを
作成
AS2.0でディレクトリ設定を作成
Config ={fqdn, service account, OU}
フリートを起動してドメインへの参加
ディレクトリ設定の作成
• Active Directoryの設定をAppStream 2.0に登録
• 完全修飾ドメイン名(FQDN)
• 必要なアクセス権限を持つサービスアカウント名(DOMAIN¥username)
• サービスアカウントのパスワード
• ストリーミングインスタンスのオブジェクトを作成するOU
管理ワークフロー – ユーザーアクセスの追加
AppStream 2.0スタックへのアクセスを関連付けるグループをADに作成
ADにログインするためのSAML 2.0を作成(ADFS, Ping, Okta)
SAML 2.0による認証フロー
https://eng-apps.exampleco.comActive Directoryと連携したSAML IDプ
ロバイダー
1
2
4SAMLアサーション, stack=ENG-STACK, ユーザーをリダイレクト
AWSアカウントのパブリックなAWS
SAMLエンドポイント
5
認証リクエスト
3SAMLアサーション
IAM role ENG, ユーザーにひもづいた認証トークンをAppStream2.0にリダイレクト
• https://eng-apps.exampleco.comは内部/外部サイトのいずれも可
• IDプロバイダーでMFAを実装可能• 管理者はスタックへのアクセスをIAM role ENGに定義
• すべてのWebコネクションはHTTPS
AppStream 2.0がIAM role ENGが
ENG-STACKにアクセスできるか確認
IAM Role ENG, ユーザーを引き受けAWS IAMがSAMLアサーションとロールのリクエストを確認
IAM role ENG, ユーザーに有効な認証トークン
67
ユーザーはストリームされたアプリのインターナルページにアクセス
ユーザーのENG-STACK Webサイトにリダイレクト
8
アプリをローンチして操作
9
利用可能なSAML 2.0ソリューションプロバイダの設定例• Ping Identity
• http://ping.force.com/Support/PingIdentityArticle?id=kA340000000TOPDCA4
• Okta
• http://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-AppStream-2-0.html
• Microsoft Active Directoryフェデレーションサービス(AD FS)
• https://aws.amazon.com/blogs/compute/enabling-identity-federation-with-ad-fs-3-0-and-amazon-appstream-2-0/
• Shibboleth• https://aws.amazon.com/blogs/security/how-to-use-shibboleth-for-single-
sign-on-to-the-aws-management-console/
Agenda
• AppStream 2.0概要
• 管理ワークフロー
• ネットワーク
• ユーザーアクセス
• ストレージ
• リソースの管理
永続的ストレージとホームフォルダ
• ホームフォルダを使用しているエンドユーザーに対してAmazon S3をバックにした永続的ストレージが利用可能
• ストリーミングインスタンスのホームフォルダにアクセスしてストリーミングセッション間でコンテンツを保存することが可能
• AppStream 2.0コンソールまたはAWS SDKからAppStream 2.0スタックごとにホームフォルダ機能を有効にすることでAmazon S3バケットを自動的に作成
ホームフォルダのセットアップ
• ホームフォルダを有効にすると同じリージョンのアカウントでS3バケットが作成される
• appstream2-36fb080bb8-region-code-account-id-without-hyphens
• AppStream 2.0フリートからS3へのインターネットアクセスまたはVPCエンドポイントを有効にする必要がある
Agenda
• AppStream 2.0概要
• 管理ワークフロー
• ネットワーク
• ユーザーアクセス
• ストレージ
• リソースの管理
フリートのオートスケーリング
• Amazon AppStream 2.0でフリートのオートスケーリングをサポートすることによりコストの最適化が可能
• Minimum Capacity
• Maximum Capacity
• スケーリングポリシー
• フリートの使用率をベースにしてインスタンスの台数を増減
AppStream 2.0リソースのモニタリング
• AppStream 2.0コンソールまたはCloudWatchメトリクスを使用してフリートの使用状況をモニタリングすることが可能
• CloudWatchメトリクス• RunningCapacity
• InUseCapacity
• PendingCapacity
• AvailableCapacity
• DesiredCapacity
• CapacityUtilization
• InsufficientCapacityError
まとめ
• AppStream 2.0は、ユーザーにデスクトップアプリケーションへのインスタントアクセスを提供するフルマネージドのアプリケーションストリーミングサービス
• グラフィックアプリケーションをふくむ既存のデスクトップアプリケーションをHTML5対応ブラウザにストリーミング可能
• Active Directoryドメインへの参加およびSAML 2.0によるフェデレーションに対応
Learn more:
https://aws.amazon.com/appstream2/
Get started:
https://aws.amazon.com/appstream2/resources
Try now for no charge:
https://console.aws.amazon.com/appstream2/tryitnow/home
SAML 2.0 Setup example:
http://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-AppStream-2-0.html
Scaling set up example:
https://aws.amazon.com/blogs/compute/scaling-your-desktop-application-streams-with-amazon-appstream-2-0/
オンラインセミナー資料の配置場所
AWS クラウドサービス活用資料集• http://aws.amazon.com/jp/aws-jp-introduction/
AWS Solutions Architect ブログ• 最新の情報、セミナー中のQ&A等が掲載されています
• http://aws.typepad.com/sajp/
AWSの導入、お問い合わせのご相談
AWSクラウド導入に関するご質問、お見積り、資料請求をご希望のお客様は以下のリンクよりお気軽にご相談くださいhttps://aws.amazon.com/jp/contact-us/aws-sales/
※「AWS 問い合わせ」で検索してください