FireタブレットでZoomを使う
AppStream2.0 上限緩和
AppStream2.0 概算見積もり方法
AppStream2.0の見積もりは超簡単!
下記Blogに簡易見積ツール(Excel)が公開されているのでダウンロードする。
手順はこんな感じである。
1000名が同時に最大500台利用するシナリオで概算してみる。
- Excelを開く
- Total Users in your organization に、1000
- Instance Typeに、standard.medium
- AWS Region に、Tokyo
- Licenseに、Commercial License Included ※これにてマイクロソフトのRDS CALライセンスが含まれることになる。Eduは教育機関、BYOLはライセンスを持ち込みの意味
- Fleet Utilizationは95%とする。
- Usage Patternタブへ移動
- 平日朝8時から18時まで利用する想定なので、以下のようにする。
- Price Estimatorタブへ戻る。結果を確認する。
-
読み解くと、以下となる。
- 月額の仮想デスクトップ(AppStream2.0)に係る費用 $17,345 これには、マイクロソフト係る費用が含まれている。(Windows 2019 OS、Windows RDS CAL )
- $17,345 * 60 month(5年) = $1,040,700 (108円換算で、112,395,600円)
- AppStream2.0は、インターネットへの画面転送に係るデータ転送量は上記利用料金に含まれる。
- 他にAWS部分で計上必要と思われるもの。
- 仮想デスクトップOSからオンプレミスへの通信費用は別途発生する。(VPNまたはDirect Connect転送料金)
- 仮想デスクトップのアプリケーション設定の保管領域として、Amazon S3 に5GB/user 用意しておく。
- AWSのセキュリティ関連サービスの利用料(CloudWatch、CloudTrail、GuardDuty、など)
- ログ解析のGlue、Athena
- AWS以外で計上必要と思われるもの。
- マルウェア対策は、Defenderで済ますので、0円
- Windows以外のアプリケーションライセンス費用
AppStream2.0 仮想デスクトップとオンプレミス間の名前解決
AppStream2.0はAWSにあるAmazon VPC(プライベートネットワーク)に仮想デスクトップが作成される。AWS内の名前解決はRoute53(DNS)が自動的に実施してくれるが、一方でオンプレミスのサーバの名前解決はこのままでは出来ない。Route 53 Resolverを設定することで解決できる。例えば以下図のように、仮想デスクトップからFileサーバへ名前でアクセスしたい場合などがある。(VPN等でルーティングは完了している前提)
今回はAWS内のリソースからオンプレミス側リソースの名前解決をしたいので、Route53 Resolver Outboundを設定する。こんなイメージである。(青の矢印)
- Route53⇒アウトバウンドエンドポイント⇒アウトバウンドエンドポイントの作成
- エンドポイント名に、prod-r53ep-001
- VPCに、prod-vpc-remotework
- セキュリティグループに、Default
- IPアドレス#1にて、アベイラビリティゾーンに、ap-northeast-1a、サブネットに、prod-sub-pri1、IPアドレスは自動割当
- IPアドレス#2にて、アベイラビリティゾーンに、ap-northeast-1c、サブネットに、prod-sub-pri2、IPアドレスは自動割当
- 送信。ステータスが実行中になるまで待つ。これにてOutbound Endpointが2つのAZに作成される。
- 次にルールを設定する
- ルールの作成
- 名前に、prod-r53eprule-001
- ルールタイプに、転送
- ドメイン名に、オンプレミスのドメイン名(解決したいドメイン名)
- このルールを利用するVPCに、prod-vpc-remotework
- アウトバウンドエンドポイントに、作成済のエンドポイントを選択
- ターゲットIPアドレスに、DNSクエリの転送先として192.168.0.189を。
- 送信。ステータスが完了になるまで待つ。
これで、仮想デスクトップからオンプレミスの名前解決が出来る。逆に、オンプレミスからAWSの名前解決(ALB等)の場合はインバウンドエンドポイントを設定すればOK。
簡単ですね!
AppStream2.0 仮想デスクトップのネットワーク
Amazon AppStream2.0のネットワーク図は下記のようなイメージである。クラウド型なので接続サーバはAWSが用意済であるためすぐに始めることが出来る。オンプレミスでSIで構築すると物理的サーバ、ストレージの手配に加えて仮想化基盤の用意、接続サーバや管理用データベースの導入が必要なので設計項目が多く時間がかかるしSI費用も応じて発生する。AppStream2.0ではこうした準備が済んでいるので、利用者は仮想デスクトップの作成・展開・管理だけすればよい。自宅の端末からはインターネット経由でhttpsで接続がされる。認証はUser PoolはAWS内の認証機能を使う。SAML連携で認証基盤との連携も可能だ。(ADFS、Octaなど)とってもシンプルである。自宅のWindows、Mac、スマホ、タブレットなどからブラウザによってhttpsで接続のうえ画面情報のみが転送される。実体はクラウド内で安全に情報処理、データ保管される。
今回はオンプレミスにあるシステムへのアクセスを想定している。従いSite to Site VPNを設定しオンプレミスのネットワークとAmazon VPCをルーティングする。以下のようなイメージだ。これを実現するにはSite to Site VPNやDirect Connect(プライベート接続)が必要だ。VPNを設定してルート制御設定後は、仮想デスクトップOSからオンプレミスへの通信は当該VPN経路を通るようになる。画面転送の通信はインターネット経由のままである。画面転送の通信も閉域にしたい場合はDirect Connectのパブリック接続を使えば良い。
Site to Site VPNはYamahaさんに多くの情報が掲載されているので参考にされたい。
Amazon VPC、VPN、Direct Connectは下記が参考になる。
https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-vpc-basic-2019/
AppStream2.0 クライアントアプリケーションの利用
AppStream2.0は手軽に利用できるクラウド型仮想デスクトップ(DaaS)である。
画面転送中、保管中のファイルも暗号化されるということで安心して利用できる。
https://aws.amazon.com/jp/appstream2/faqs/
FAQに以下記載がある。さいっくる が気になるがスルーして、USB周辺機器のサポートを期待したいので試してみる。
AppStream 2.0 は完全マネージド型のストリーミングサービスであり、DIY の労力を必要としません。AppStream 2.0 はより幅広い範囲のインスタンスタイプを提供し、プラグインなしでデスクトップアプリケーションを HTML5 準拠のウェブブラウザにストリーミングします。AppStream 2.0 クライアント (Windows 版) により、Web ブラウザーでのデュアルモニターサポート、4 モニター、4K モニター、USB 周辺機器のサポートを提供します。さらに、AppStream 2.0 はアプリケーションのライフさいっくる管理を簡素化し、アプリケーションが VPC でアクセスできるようにします。
- https://clients.amazonappstream.com/にアクセス
- サポートしているブラウザが増えた👍 Windows Client をダウンロードする(135MB)
-
- ダウンロードしたファイルをクリック
- AppStream2.0 Client USB Driverはチェックしたままとする。Finish。
- Installをクリック
- USBドライバがインストールされたら下記のログイン画面になる。
- URLは通知メールに記載されいているのでコピペしてConnectする
- Start in native application mode は後で試してみる。
- Email、パスワードを入力してログイン。
- SettingsにUSBデバイスの箇所が増えた。Switch to native application modeが増えた。Switch to native application modeをするとまるでローカルにインストールされたアプリのようだ👍 明確に仮想デスクトップと分かるようにしたいのでClassic Modeに戻しておく。(Classicというのか)
- ここで疑問はUSBデバイスの認識がされるのか。USBデバイスはUSBメモリ、USBプリンタともに認識させたくない。とりあえず手元の端末にUSBメモリを刺す。Settings⇒USB Devicesを見てもNO USB Device to Share とある。Documentに管理者がUSBデバイスを登録する方法が記載があった。これであれば事前に登録したUSBデバイスだけを利用させることができる。確かにWacomとかは必要だ。でもオペレーションが面倒くさすぎ。https://docs.aws.amazon.com/ja_jp/appstream2/latest/developerguide/appstream2-dg.pdf
- 起動時にStart in native application modeにチェックをすると、本当にローカルアプリのような操作感がありユーザ教育不要と思った。
簡潔にまとめると、クライアントアプリケーションを使う場合は以下のケースである。
・マルチモニター 最大4Kが必要
・ネーティブアプリケーションモード(ローカルのアプリと変わらない使用感)
今回の用途では不要。ブラウザベースのほうがデバイスフリーだし利用者からして手軽である。
AWS のサイトにあるAppStream2.0のユースケースに以下記載がある。今回はエンタープライズ又はソフトウェアベンダーに近い形態だ。AWS上でシステムが稼働していれば処理がクラウド内で完結して良いのだけど今回はオンプレミスにある既存システムへのアクセスが必要だ。ここまでの作業は素のWindows OSにChromeが動いてアプリの画面転送を実施しているだけ。通信先はNAT経由のインターネットアクセスだけである。次は、オンプレミスへネットワーク接続を検討する。不正アクセス対策も考えないとな。。
AppStream2.0 接続のしかた
- 通知メールが来たらログインする。接続Linkをクリックして、仮パスワードを登録⇒新しいパスワードを設定する。
- ログイン完了したら、アプリのカタログが表示される。
- ツールバーの説明は以下の通り。
- ⑤Settings
- Enable mirophone ⇒マイクを有効にする Web会議などで使うかな。許可する。
- Streaming Mode⇒Best responsivenessで十分。Best qualityは超高品質な画面転送を求める場合(CAD等)
- Show streaming metricsでは現在のフレームレート、ネットワーク遅延が表示される。便利。
- Screen Resolution⇒画面の解像度を調整する。解像度固定したい場合。
- Reagional Settingsを日本に変更してSAVE。
- Chrome を開いて、日本語入力がされることを確認しましょう。
- ログアウト時は右上のユーザアイコンをクリックしてログアウトする。
- 放置しておいても指定時間が来たら、切断、ログアウトされる。
- 誤って切断してしまっても15分以内であればセッションは維持されているので同じ仮想デスクトップへアクセス可能。