Excelを開く
Total Users in your organization に、1000
Instance Typeに、standard.medium
AWS Region に、Tokyo
Licenseに、Commercial License Included ※これにてマイクロソフトのRDS CALライセンスが含まれることになる。Eduは教育機関、BYOLはライセンスを持ち込みの意味
Fleet Utilizationは95%とする。
Usage Patternタブへ移動
平日朝8時から18時まで利用する想定なので、以下のようにする。
Price Estimatorタブへ戻る。結果を確認する。
読み解くと、以下となる。
月額の仮想デスクトップ（AppStream2.0)に係る費用 $17,345　これには、マイクロソフト係る費用が含まれている。（Windows 2019 OS、Windows RDS CAL )
$17,345 * 60 month(5年） = $1,040,700 (108円換算で、112,395,600円）
AppStream2.0は、インターネットへの画面転送に係るデータ転送量は上記利用料金に含まれる。
他にAWS部分で計上必要と思われるもの。
仮想デスクトップOSからオンプレミスへの通信費用は別途発生する。（VPNまたはDirect Connect転送料金）
仮想デスクトップのアプリケーション設定の保管領域として、Amazon S3 に5GB/user 用意しておく。
AWSのセキュリティ関連サービスの利用料（CloudWatch、CloudTrail、GuardDuty、など）
ログ解析のGlue、Athena　
AWS以外で計上必要と思われるもの。
マルウェア対策は、Defenderで済ますので、0円
Windows以外のアプリケーションライセンス費用

2020-04-19

AppStream2.0 仮想デスクトップとオンプレミス間の名前解決

AppStream2.0はAWSにあるAmazon VPC(プライベートネットワーク）に仮想デスクトップが作成される。AWS内の名前解決はRoute53（DNS)が自動的に実施してくれるが、一方でオンプレミスのサーバの名前解決はこのままでは出来ない。Route 53 Resolverを設定することで解決できる。例えば以下図のように、仮想デスクトップからFileサーバへ名前でアクセスしたい場合などがある。（VPN等でルーティングは完了している前提）

f:id:sha-1:20200419175544p:plain

今回はAWS内のリソースからオンプレミス側リソースの名前解決をしたいので、Route53 Resolver Outboundを設定する。こんなイメージである。（青の矢印）

f:id:sha-1:20200419180446p:plain

Route53⇒アウトバウンドエンドポイント⇒アウトバウンドエンドポイントの作成
エンドポイント名に、prod-r53ep-001
VPCに、prod-vpc-remotework
セキュリティグループに、Default
IPアドレス＃１にて、アベイラビリティゾーンに、ap-northeast-1a、サブネットに、prod-sub-pri1、IPアドレスは自動割当
IPアドレス＃２にて、アベイラビリティゾーンに、ap-northeast-1c、サブネットに、prod-sub-pri2、IPアドレスは自動割当
送信。ステータスが実行中になるまで待つ。これにてOutbound Endpointが２つのAZに作成される。
次にルールを設定する
ルールの作成
名前に、prod-r53eprule-001
ルールタイプに、転送
ドメイン名に、オンプレミスのドメイン名（解決したいドメイン名）
このルールを利用するVPCに、prod-vpc-remotework
アウトバウンドエンドポイントに、作成済のエンドポイントを選択
ターゲットIPアドレスに、DNSクエリの転送先として192.168.0.189を。
送信。ステータスが完了になるまで待つ。

これで、仮想デスクトップからオンプレミスの名前解決が出来る。逆に、オンプレミスからAWSの名前解決（ALB等）の場合はインバウンドエンドポイントを設定すればOK。

簡単ですね！

2020-04-18

AppStream2.0　仮想デスクトップのネットワーク

Amazon AppStream2.0のネットワーク図は下記のようなイメージである。クラウド型なので接続サーバはAWSが用意済であるためすぐに始めることが出来る。オンプレミスでSIで構築すると物理的サーバ、ストレージの手配に加えて仮想化基盤の用意、接続サーバや管理用データベースの導入が必要なので設計項目が多く時間がかかるしSI費用も応じて発生する。AppStream2.0ではこうした準備が済んでいるので、利用者は仮想デスクトップの作成・展開・管理だけすればよい。自宅の端末からはインターネット経由でhttpsで接続がされる。認証はUser PoolはAWS内の認証機能を使う。SAML連携で認証基盤との連携も可能だ。（ADFS、Octaなど）とってもシンプルである。自宅のWindows、Mac、スマホ、タブレットなどからブラウザによってhttpsで接続のうえ画面情報のみが転送される。実体はクラウド内で安全に情報処理、データ保管される。

f:id:sha-1:20200418203946p:plain

今回はオンプレミスにあるシステムへのアクセスを想定している。従いSite to Site VPNを設定しオンプレミスのネットワークとAmazon VPCをルーティングする。以下のようなイメージだ。これを実現するにはSite to Site VPNやDirect Connect（プライベート接続）が必要だ。VPNを設定してルート制御設定後は、仮想デスクトップOSからオンプレミスへの通信は当該VPN経路を通るようになる。画面転送の通信はインターネット経由のままである。画面転送の通信も閉域にしたい場合はDirect Connectのパブリック接続を使えば良い。

Site to Site VPNはYamahaさんに多くの情報が掲載されているので参考にされたい。

network.yamaha.com

Amazon VPC、VPN、Direct Connectは下記が参考になる。

https://aws.amazon.com/jp/blogs/news/webinar-bb-amazon-vpc-basic-2019/

2020-04-18

AppStream2.0 クライアントアプリケーションの利用

AppStream2.0は手軽に利用できるクラウド型仮想デスクトップ（DaaS)である。

画面転送中、保管中のファイルも暗号化されるということで安心して利用できる。

https://aws.amazon.com/jp/appstream2/faqs/

FAQに以下記載がある。さいっくる　が気になるがスルーして、USB周辺機器のサポートを期待したいので試してみる。

AppStream 2.0 は完全マネージド型のストリーミングサービスであり、DIY の労力を必要としません。AppStream 2.0 はより幅広い範囲のインスタンスタイプを提供し、プラグインなしでデスクトップアプリケーションを HTML5 準拠のウェブブラウザにストリーミングします。AppStream 2.0 クライアント (Windows 版) により、Web ブラウザーでのデュアルモニターサポート、4 モニター、4K モニター、USB 周辺機器のサポートを提供します。さらに、AppStream 2.0 はアプリケーションのライフさいっくる管理を簡素化し、アプリケーションが VPC でアクセスできるようにします。

https://clients.amazonappstream.com/にアクセス
サポートしているブラウザが増えた👍　Windows Client をダウンロードする（135MB)
ダウンロードしたファイルをクリック
インストーラー起動
AppStream2.0 Client USB Driverはチェックしたままとする。Finish。
Installをクリック
USBドライバのインストール
USBドライバがインストールされたら下記のログイン画面になる。
URLは通知メールに記載されいているのでコピペしてConnectする

f:id:sha-1:20200418130120p:plain — ログイン画面

Start in native application mode は後で試してみる。
Email、パスワードを入力してログイン。
SettingsにUSBデバイスの箇所が増えた。Switch to native application modeが増えた。Switch to native application modeをするとまるでローカルにインストールされたアプリのようだ👍　明確に仮想デスクトップと分かるようにしたいのでClassic Modeに戻しておく。（Classicというのか）

ネーティブアプリケーションモード
ここで疑問はUSBデバイスの認識がされるのか。USBデバイスはUSBメモリ、USBプリンタともに認識させたくない。とりあえず手元の端末にUSBメモリを刺す。Settings⇒USB Devicesを見てもNO USB Device to Share とある。Documentに管理者がUSBデバイスを登録する方法が記載があった。これであれば事前に登録したUSBデバイスだけを利用させることができる。確かにWacomとかは必要だ。でもオペレーションが面倒くさすぎ。https://docs.aws.amazon.com/ja_jp/appstream2/latest/developerguide/appstream2-dg.pdf
起動時にStart in native application modeにチェックをすると、本当にローカルアプリのような操作感がありユーザ教育不要と思った。
ローンチ画面

簡潔にまとめると、クライアントアプリケーションを使う場合は以下のケースである。

・マルチモニター　最大４Kが必要

・認証USBデバイス（Wacomとか）が必要

・ネーティブアプリケーションモード（ローカルのアプリと変わらない使用感）

今回の用途では不要。ブラウザベースのほうがデバイスフリーだし利用者からして手軽である。

AWS のサイトにあるAppStream2.0のユースケースに以下記載がある。今回はエンタープライズ又はソフトウェアベンダーに近い形態だ。AWS上でシステムが稼働していれば処理がクラウド内で完結して良いのだけど今回はオンプレミスにある既存システムへのアクセスが必要だ。ここまでの作業は素のWindows OSにChromeが動いてアプリの画面転送を実施しているだけ。通信先はNAT経由のインターネットアクセスだけである。次は、オンプレミスへネットワーク接続を検討する。不正アクセス対策も考えないとな。。