© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

アマゾンウェブサービスジャパン株式会社

ソリューションアーキテクト 渡邉源太2016/6/2

AWS for Windows

エンタープライズワークロードの効率的な展開と管理

自己紹介

名前• 渡邉源太

所属• アマゾンウェブサービスジャパン株式会社

• 技術本部レディネスソリューション部• ソリューションアーキテクト

エンタープライズのお客様支援を経て、現在はAWS for WindowsおよびAmazon WorkSpacesなどのエンタープライズアプリケーションを担当

Agenda

• AWS for Windowsとは？

• ソリューションシナリオ

• 効率的な展開と管理

• まとめ

AWS for Windowsとは？

柔軟性

AWS for Windowsとは？

セキュリティ 信頼性 ハイパフォーマンス 親和性 コスト効率 拡張性

Windowsベースのワークロードに最適化

幅広いスケーラブルなサービス

ビジネスニーズへの対応

コーポレートアプリケーション

コーポレートアプリケーションの例:

セキュリティの向上 容易なスケール パフォーマンスの向上 既存ツールの活用 コスト削減

基幹業務アプリケーション

基幹業務アプリケーションの例:

セキュリティ 信頼性 ハイパフォーマンス 親和性 コスト効率

セキュリティとアクセス

コーポレートアプリケーション

エンドユーザーコンピューティング

基幹業務アプリケーション

Amazon EC2 Windows,

Amazon RDS,

AWS CloudFormation,

AWS CloudFront

Amazon EC2 Windows,

AWS Directory Service,

Amazon RDS,

AWS Marketplace

Amazon WorkSpaces,

Amazon AppStream, AWS

Marketplace,

AWS Mobile Services, SaaS

AWS Identity and Access Management (IAM),

AWS CloudHSM, AWS Key Management Service,

security groups, AWS Marketplace

Amazon EC2, Amazon S3, Amazon RDS,

Amazon VPC, Amazon Direct Connect,

AWS Directory Service, AWS IAM,

AWS Service Catalog

インフラストラクチャ

WindowsワークロードのためのAWSサービスオファリング

AWS Elastic Beanstalk,

AWS CodeDeploy,

AWS CloudFormation

DevOps

EC2 Dedicated HostsによるBYOL

Host ID = h-123abc

Sockets = 2

Physical Cores = 20

• ライセンスのコンプライアンスを維持

• きめ細かいリソースと配置のコントロール

• 物理リソースの可視化

• 物理コアとソケットのカウント

• キャパシティ利用率

• インスタンス配置

• 費用ディスカウントとリソースの予約をサポート

マイクロソフトライセンスの選択肢

AWSからライセンスを購入

ライセンスモビリティの活用

ライセンスの持ち込み(BYOL)

• ソフトウェアライセンス費用の削減

• お客様によるISVのライセンスコストとコンプライアンスの管理

• ソフトウェアアシュアランス不要

• AWSによるWindows Serverライセンスの管理

• お客様によるISVのライセンスコストとコンプライアンスの管理

• ソフトウェアアシュアランスの利用

• AWSによるライセンス管理

• 従量課金

• マルチテナントまたは専有

• ソフトウェアアシュアランス不要

• CAL無制限

クラウドセキュリティツールの利用

暗号化

AWS Key

Management

Service

AWS

CloudHSM

Server-side

encryption

ネットワーク

Virtual

Private

Cloud

Web

Application

Firewall

コンプライアンス

AWS ConfigAWS

CloudTrail

AWS Service

Catalog

アイデンティティ

IAM Active

Directory

Integration

SAML

Federation

AmazonCloudwatch

各拠点／関連会社

監視システム

AWS Management Console

Internet

Active Directory

Amazon VPCの利用例

社内イントラ

既存DCからAWSへ接続し自社環境として利用

様々なメリット

• 低コスト/短期間導入

• セキュリティ向上

• 運用工数削減

• 老朽化対応コスト既存データセンター 専用線

SFA

会計/人事・給与

ファイル共有

ポータル

BI

各種業務処理

株式会社リコー様

グローバルで利用するMS SharePointをAWS上へ移行

AWS を採用したことにより、課題であった運用コストが旧システムの約 1/3 に！

ハードウェアを持つという制約から解放されたことにより運用状況にあわせた迅速な拡張・最適化が最小コストで実現！

発注から設置までの大幅な納期短縮が実現可能！

AWS for Windowsソリューションシナリオ

AWS クイックスタートリファレンス

セキュリティと可用性に関するAWSのベストプラクティスにしたがって以下のワークロードをデプロイ可能

• Active Directory ドメインサービス

• SQL Server 2012/2014

• SharePoint Server 2013/2016

• Exchange Server 2013

• Lync Server 2013

• Web Application ProxyとActive Directory フェデレーションサービス

• Windows PowerShell DSC

• Remote Desktop ゲートウェイ

AWSのベストプラクティスに基づき、250のメールボックスを展開可能なAWSCloudFormation テンプレートを提供

クイックスタートガイドでは、250、2,500のメールボックスをサポートする場合の、耐障害性が考慮された設計方法を記載

たとえば、Exchange Serverの場合（1/3）

クイックスタート(所要時間：15分)と、カスタムデプロイの2種類を提供

たとえば、Exchange Serverの場合（2/3）

①CloudFormationテン

プレートを選択

②AD, Exchangeに必要

な設定を入力

③約2時間で構築完了

たとえば、Exchange Serverの場合（3/3）

提供①：クイックスタートガイド

提供②：AWS CloudFormationテンプレート

Active Directory on AWS

Active Directory ドメインサービス

高可用性• ドメインコントローラーは異なるアベ

イラビリティゾーンにあるVPCサブネットにデプロイされる

ロール• Active Directoryドメインサービス

（AD DS）• グローバルカタログ（GC）

• Active Directory統合ドメインサーバー（DNS）

• Remote Desktopゲートウェイ• リモート管理

オンプレミスのAD DS をAWSクラウドへ拡張

AWS Directory Service

フルマネージド型のディレクトリサービス

• AWS上のスタンドアロンのディレクトリを新規に作成：

• 既存のActive Directory認証を利用して：

• AWSアプリケーションへのアクセス(Amazon WorkSpaces, WorkDocs, WorkMail)

• IAMロールによるAWS Management Consoleへのアクセス

AWS Directory Service for Microsoft Active Directory

高可用性• ドメインコントローラーは異なるアベ

イラビリティゾーンにあるVPCサブネットにデプロイされる

ロール• AWS Directory Service for

Microsoft AD• Active Directoryドメインサービス

（AD DS）• Active Directory統合ドメインサー

バー（DNS）

• Remote Desktopゲートウェイ• リモート管理

Microsoft AD:オンプレミスとの信頼関係

Availability Zone A

Private Subnet

C-DCA

Corporate Network

Seattle

DC1

Tacoma

DC2Availability Zone B

Private Subnet

C-DCB

company.cloudcompany.local

Direct Connect

ID as a Serviceによるシングルサインオン

C-DCA C-DCB

company.cloud

Microsoft AD

WS-federation/ SAML 2.0/OAuth2.0/ OpenID ConnectEC2 Windows

IDaaS SaaS

ID連携

エンタープライズアプリケーション

仮想デスクトップサービス マネージド型電子メール・カレンダー 企業向けファイル共有サービス

Amazon WorkSpaces

Amazon WorkSpaces は、費用効果の高い、柔軟なワークスタイルに対応できる、マネージド クラウド デスクトップ サービス

簡単にクラウドベースのデスクトップ環境を構築することが可能で、エンドユーザは文書、アプリケーション、リソースに対して、どこでも、どんなデバイス（タブレット、PC、ラップトップ、Chromebook、ゼロクライアント）からもアクセスすることができる

Amazon.comによる大規模な展開

動的アプリ配信 – アプリの展開, トレース, アップデートを高スケールで

ソフトウエアライセンスを所有しているアプリを追加

AWS Marketplace for Desktop Apps からのサブスクライブ

米国東海岸、西海岸、アイルランド、シドニー、シンガポールリージョンにてサービス提供中

Amazon WAM (WorkSpaces Application Manager)

WorkSpaces

Amazon WAM

カタログ アプリのデプロイ

for Desktop Apps

ライセンスを所有しているアプリケーション

特定業務向けアプリケーション

高スケールなアプリケーション管理

Amazon WorkDocs

Amazon WorkSpaces には Amazon WorkDocsが付帯

フルマネージドな、セキュア エンタプライズ ストレージとコラボレーション サービス

強固な管理者制御と監査機能

ファイル添付のメールを送ることなく、ドキュメントの共有、コメントの送付が可能

Microsoft Office や PDF に対応

50 GB までの利用を付帯、容量の追加も可能

SQL Server on AWS

SQL Server AlwaysOn 可用性グループ

高可用性• Windows Serverフェイルオー

バークラスタ（WSFC）

• SQL Server AlwaysOn 可用性グループ

ロール• Active Directory ドメインサービ

ス（AD DS）

• SQL Server Enterprise Edition

• Remote Desktopゲートウェイ

SQL Server ディザスタリカバリ＆バックアップ構成

Primary

Replica

Secondary

Replica 1

AG Listener:

ag.awslabs.net

自動フェイルオーバー

Secondary

Replica 2

(Readable)

レポーティングアプリケーション

バックアップ

手動フェイルオーバー

Direct Connect

Amazon RDS for SQL Server

• Active Directoryとの統合

• 自動フェイルオーバー

• 自動パッチ適用

• 自動バックアップ

• ポイントインタイムリカバリ

RDS for SQL Serverローンチ予定

• RDS for SQL ServerによるMulti-AZのサポート がAsia

Pacific (Tokyo), Asia Pacific (Sydney) と South America (Sao Paulo) リージョンで今後2週間以内に利用可能に

• RDS SQL ServerのS3へのNative BackUp/Restore が今

後2ヶ月以内に利用可能に

• RDS SQL Serverのローカルタイムゾーンサポート が第

三四半期に利用可能に

Multi-AZのサポート

RDS for SQL ServerはSQL Serverミラーリングによる高可用性を提供

• 本番環境のワークロードはつねにMulti AZモードで稼動させることを推奨

• プライマリとセカンダリのDBインスタンスは別々のアベイラビリティゾーンに配置される

• 自動フェイルオーバー (およそ1–2分)

軽減される一般的な障害シナリオ

• プライマリAZの可用性ロスト

• プライマリDBインスタンスのネットワーク接続ロスト

• プライマリDBインスタンスのコンピュートユニットまたはストレージ障害

Native Backup/Restore

RDS for SQL ServerがNative Backup/Restore (.bak ファイル)をサポート

• ネイティブのSQL Server Backup/Restore機能を活用

• お客様自身のAmazon S3バケットに.bakファイルを保存可能

• オンプレミスのSQL ServerバックアップをRDSインスタンスにリストア可能

RDS for SQL ServerインスタンスでNative Backup/Restoreを有効にするには

• 新規にAmazon S3バケットを作成するか既存のものを使用

• AWS IAMロールを作成してS3バケットまたはフォルダにRDSアクセスを許可

• Option Groupsを使用してRDS for SQL ServerインスタンスにIAMロールをアタッチ

.bak

.bak

ローカルタイムゾーンサポート

RDS for SQL Serverのローカルタイムゾーンサポート

• データベースに任意のタイムゾーンをセットできるように

• RDSインスタンスの作成中にローカルタイムゾーンを指定可能

• アプリケーションサーバーとデータへのタイムゾーンの変更による影響をアセスすることを推奨

SharePoint on AWS

SharePoint Server 2016

高可用性

• ELBによる負荷分散

• SQL Server AlwaysOn可用性グループ

従来のトポロジー

• Webフロントエンド

• アプリケーションサーバー

• データベース

合理化されたトポロジー（Streamlined Topology）

一般的なアーキテクチャー:

• フロントエンドサーバー

• バッチ処理サーバー

• データベースサーバー

• 分散キャッシュ

• リクエスト管理

• 専用ワークロード

• 検索

合理化されたトポロジーによって, サーバーリソースを最大化するためにサービスなどのコンポーネントが分散される

合理化されたトポロジーの構成例

Exchange Server on AWS

Exchange Server 2013

高可用性• 負荷分散• データベース可用性グルー

プ（DAG）

ロール• メールボックス（MBX）

• メールボックスの格納

• クライアントアクセスサーバー（CAS）• メールクライアントとAPI

• エッジトランスポート• インターネット接続

名前空間の設計と計画

無制限の名前空間

• それぞれのアベイラビリティゾーンにあるExchange Serverをまたがって統一された名前空間を使用

制限つき名前空間

• それぞれの物理ロケーションにユニークな名前空間を使用

• マルチリージョンデプロイメントに対応

Amazon WorkMail

セキュリティにすぐれたマネージド型の企業向けEメールおよびカレンダーサービス

• Microsoft Outlook、Webブラウザ、iOS/AndroidネイティブのEメールアプリケーションからのアクセス

• データを暗号化するためのキーとデータを保存する場所を管理することが可能

Amazon WorkMail Migration Tool

• Microsoft ExchangeからWorkMailへの移行を支援するツールを提供

• 移行ツールが稼動するために、オンプレミスかEC2にOutlookがインストールされたホストが必要

Exchange WorkMailEC2 Instance /On-prem Machine

Migration Tool

Outlook(32bit)2010/2013

AWS for Windows効率的な展開と管理

マネジメントツールの包括的な利用

モニタリングコンフィギュレーション

AWS CloudWatch AWS CloudTrailAWS ConfigAmazon EC2

Run Command

PowerShell

Integration

AWS CloudFormationAWS CodeDeploy AWS Elastic

Beanstalk

AWS Toolkit for Visual

Studio

.NET SDK

開発

APIでインフラの自動化が可能

aws ec2 run-instances ¥

--image-id ami-xxxxx ¥

--instance-count 10 ¥

--region us-west-2 ¥

--instance-type r3.4xlarge

aws ec2 run-instances ¥

--image-id ami-zzzzzz ¥

--instance-count 3 ¥

--region ap-northeast-1 ¥

--instance-type m3.medium

51

自動化のためのコマンドラインツール

AWS Command Line Interface (CLI)

•“aws”という名前の単一コマンドでAWSサービスを操作可能

•プラットフォームや開発言語などが限定されないWindows, Linux, Mac, Unixなど

•S3用にはsyncなどの便利な機能あり

AWS Tools for Windows PowerShell

• “AWSPowerShell”モジュール内のコマンドレットから、ほとんどのAWSサービスを操作可能

• PowerShellの強力なシェル機能が利用できる

VM Import/Exportを使用した仮想マシンのインポート

Citrix XenServer、Microsoft Hyper-VまたはVMware vSphereなどの仮想化環境からVMをAMIとしてインポート可能

サポートするイメージ形式• RAW/VHD（Hyper-Vおよび

Citrix XenServer）/VMDK（VMware ESX/vSphere）/OVA

ファイルシステムとボリュームタイプ• Windows:NTFSフォーマットさ

れたMBRボリューム

Windows PowerShellによるVM Import/Exportの実行

#ImageDiskContainerオブジェクトの作成

$windowsContainer = New-Object Amazon.EC2.Model.ImageDiskContainer

$windowsContainer.Format="VHD“

#イメージファイルのS3ロケーションを設定

$userBucket = New-Object Amazon.EC2.Model.UserBucket

$userBucket.S3Bucket = $bucketName

$userBucket.S3Key = "CustomWindows2012R2.vhd"

$windowsContainer.UserBucket = $userBucket

#インポートコマンドレットへのパラメータをセットアップ

$params = @{

"ClientToken"="CustomWindows2012R2_" + (Get-Date)

"Description"="My custom Windows 2012R2 image import“

"Platform"="Windows“

"LicenseType"="AWS“

}

#インポートコマンドレットの実行

Import-EC2Image -DiskContainer $windowsContainer @params

Amazon EC2 Run Command

実行中のEC2インスタンスをリモート操作

• OSやアプリケーションの設定変更

• ログファイルやシステムリソースの表示・収集

対象OS• Amazon Linux, Ubuntu Server, RHEL,

CentOS, etc.※SSM Agentの設定が必要

• Windows Server 2003-2012およびR2

EC2 コンソールを使用したEC2 Run Commandの実行

Amazon EC2コンソールで「コマンド」から「コマンドの実行」を選択して実行

1. [AWS-RunPowerShellScript]を選択

2. 対象となるインスタンスを指定

3. 実行するスクリプトを入力

Windows PowerShellによるEC2 Run Commandの実行

#使用可能なパラメータを表示

Get-SSMDocumentDescription -Name "AWS-RunPowerShellScript“

#パラメータの詳細情報を表示

Get-SSMDocumentDescription -Name "AWS-RunPowerShellScript" | select -ExpandProperty Parameters

#AWS-RunPowerShellScript ドキュメントを使用してコマンドを送信

$runPSCommand=Send-SSMCommand -InstanceId @('Instance-ID', 'Instance-ID') -DocumentName AWS-RunPowerShellScript -Comment 'Demo AWS-RunPowerShellScript with two instances' -Parameter@{'commands'=@('dir C:¥Users', 'dir C:¥')}

AWS CloudFormation

EC2やELBといったAWSリソースの環境構築を、設定ファイル（テンプレート）を元に自動化できるサービス

テンプレートを自由に作成できるため、自分好みのシステム構成を自動的に構築できる

テンプレートには起動すべきリソースの情報をJSONフォーマットのテキスト形式で記述する

テンプレートベースのプロビジョニング

インフラをコード化

宣言・柔軟性 簡単に利用可能

CloudFormation:コンポーネントとテクノロジー

テンプレート AWS CloudFormation スタック

JSON形式のテキスト

パラメータの定義

リソースの作成

実際の設定

AWSサービスの設定

サービス全体での統合

サービスのイベント管理

カスタマイズ

フレームワーク

スタックの作成

スタックの更新

エラー検知とロールバック

{

"AWSTemplateFormatVersion" : "2010-09-09",

"Description" : "AWS CloudFormation Sample Template EC2InstanceSample: **WARNING** This template an Amazon EC2 instances. You will be billed for the AWS resources used if you create a stack from this template.",

"Parameters" : {

"KeyName" : {

"Description" : "Name of an existing EC2 KeyPair to enable SSH access to the instance",

"Type" : "String"

},

"Environment": {

"Type" : "String",

"Default" : ”Dev",

"AllowedValues" : [”Mgmt", "Dev", ”Staging", "Prod"],

"Description" : "Environment that the instances will run in.”

}

},

"Mappings" : {

"RegionMap" : {

"us-east-1" : { "AMI" : "ami-7f418316" },

"us-west-2" : { "AMI" : "ami-16fd7026" }

}

},

"Conditions" : {

”EnableEBSOptimized" : {"Fn::Equals" : [{"Ref" : " Environment

"}, ”Prod"]},

},

"Resources" : {

"Ec2Instance" : {

"Type" : "AWS::EC2::Instance",

"Properties" : {

"KeyName" : { "Ref" : "KeyName" },

"EbsOptimized " : {"Fn::If": [ " EnableEBSOptimized ", {“true”}, {“false”}]},

"ImageId" : { "Fn::FindInMap" : [ "RegionMap", { "Ref" : "AWS::Region" }, "AMI" ]},

"UserData" : { "Fn::Base64" : "80" }

}

}

},

"Outputs" : {

"InstanceId" : {

"Description" : "InstanceId of the newly created EC2 instance",

"Value" : { "Ref" : "Ec2Instance" }

},

"PublicDNS" : {

"Description" : "Public DNSName of the newly created EC2 instance",

"Value" : { "Fn::GetAtt" : [ "Ec2Instance", "PublicDnsName" ] }

}

}

}

CloudFormation:JSONテンプレート

AWS CloudFormation Designer

• テンプレート内のリソースを可視化

• テンプレートの修正をドラッグ＆ドラッグで対応可能

• サンプルテンプレートのカスタマイズが容易

AWS CloudFormation Designer

ツールバー

Resources

JSONエディタ

Canvas

ハイブリッド環境の管理

マイクロソフト環境の管理

• AWS Systems Manager for Microsoft System Center Virtual Machine Manager

• AWS Management Pack for Microsoft System Center

VMware環境の管理

• AWS Management Portal for vCenter

Amazon CloudWatch

AWSの各種リソースを監視するサービス• AWSリソースの死活、性能、ログ監視 (監視)

• 取得メトリックスのグラフ化 (可視化)

• 各メトリックスをベースとしたアラーム(通知)、アクションの設定が可能

AWS Management Pack for Microsoft System Center

• オンプレミスとAWSリソースの両方をSystem Center Operations Managerから参照、監視することが可能に

監視対象• EC2インスタンス（WindowsおよびLinux）• EBSボリューム• Elastic Load Balancing• CloudFormationスタック• Auto Scalingグループ• Elastic Beanstalkアプリケーション

• SQL Server、SharePoint、Exchangeなどの監視との統合が可能

ダイアグラムビューによるAWSリソースの表示

CloudFormationスタック

Elastic Load Balancer

Auto scalingグループ

EC2インスタンス

EBSボリューム

まとめ

• AWS for Windowsは、Windowsベースのワークロードに最適化された幅広いスケーラブルなサービスを提供

• AWS クイックスタートリファレンスでは、セキュリティと可用性に関するベストプラクティスにしたがってエンタープライズワークロードをデプロイ可能

• AWSの提供するさまざまなサービスを活用することで、効率的な展開と管理が可能

AWS Black Belt Online Seminarのご案内

AWSJの Tech メンバーがAWSに関する様々な事を日本語で紹介・解説する無料のオンラインセミナー

AWSについてもっと勉強したい方にオススメ！

AWS イベント 検索

ハードウェア専有インスタンスと専有ホストの比較

特徴 ハードウェア専有インスタンス

専有ホスト

物理サーバを専有する ○ ○

インスタンスあたりの課金 ○

ホスト当たりの課金 ○

ソケット、コア、ホストIDの可視性 ○

ホストとインスタンス間のアフィニティ ○

対象インスタンスの配置 ○

自動インスタンスの配置 ○ ○

割当リクエストでのキャパシティ追加 ○

BYOLライセンスシナリオ

ライセンスタイプ EC2 専有ホスト EC2 ハードウェア専有インスタンス EC2 マルチテナント

Windows Server ✓ LI LI

SQL Server ✓

✓ Windows Server ライセンス込みEC2 ハードウェア専有インスタンス

でのみ可

✓ ライセンスモビリティ付きのライセンスを保有し、そのライセンスをWindows Server ライセンス込み

EC2 インスタンスで使用する場合のみ可

MS Office ✓ ✓ X

Windows 7/8/10 ✓ ✓ X

MSDN ✓ ✓ X

その他✓ Microsoft の規約に準ずる

✓ Windows Server ライセンス込みEC2 ハードウェア専有インスタンス

でのみ可

✓ ライセンスモビリティ付きのライセンスを保有し、そのライセンスをWindows Server EC2 インスタンス

で使用する場合のみ可

✓ = シナリオはサポートされているLI = AWS からライセンス込みインスタンスを購入した場合のみ可X = 不可

RDS for SQL ServerとSQL Server on EC2の比較（1/2）

Amazon RDS for SQL Server SQL Server on Amazon EC2

マネージド自動バックアップ Yes No (メンテナンスプランを構成して管理、またはサードパーティソリューションの利用)

Multi-AZによる自動フェイルオーバー

Yes No (手動によるフェイルオーバー管理)

ビルトインのインスタンスとデータベース監視メトリックス

Yes No (CloudWatchへのメトリックスのプッシュまたはサードパーティソリューションの利用)

自動ソフトウェアパッチ Yes No

構成済みパラメータ Yes No (デフォルトのSQL Serverインストール)

DBイベント通知 Yes No (手動でDBイベントをトラックして管理)

RDS for SQL ServerとSQL Server on EC2の比較（2/2）

Amazon RDS for SQL Server SQL Server on Amazon EC2

SQL認証 Yes Yes

Windows認証 Yes Yes

TDE (保管データの暗号化) Yes (EnterpriseEditionのみ)

Yes (EnterpriseEditionのみ)

AmazonKMSを使用したストレージ暗号化

Yes (すべてのEdition) Yes (すべてのエディション)

SSL (通信データの暗号化) Yes Yes

データベースレプリケーション No Yes

ログシッピング No Yes

データベースミラーリング Yes (Multi-AZ) Yes

AlwaysOn 可用性グループ No Yes