Windows on AWS オールインワンセミナー
~Windowsからマイクロソフトアプリケーションまで、丸ごとAWSに移行!~
- 日時 2014年02月21日(15:00-17:30)
- 場所 アマゾン目黒オフィス
まとめ
- SAP, MSプロダクト(Sharepoint,Exchange)などWindows環境使用顧客が多い
- 開発環境などが整っており、サポート体制、ライセンスモビリティなど新規、移行問わず整っている。
- 個人的にWindowsについては2003までしか経験がないが、基幹業務系で結構Windowsなんだなと知った。
『Windows on AWSによるエンタープライズクラウド』
- アマゾン データ サービス ジャパン株式会社
- ソリューションアーキテクト 渡邉 源太
なぜエンタープライズがAWSクラウドでWindowsを使うのか?
理由その1
- グローバルなインフラをセキュアに使える
- 9箇所のリージョン(近々北京リージョン)
- エッジロケーション
- どのリージョンでも同じ使い方、同じやり方で自由に利用可能
- AZ(AZ間は高速専用線接続)
理由その2
- Microsoftソリューションを容易に動かすことが出来る
- 既存のMicrosoftライセンスを使用できる
- SQL Server AlwayOn可用性グループ on AWS
- RDS(SQL Server)
- 2008から2012へのバージョンアップ機能もある
- マイクロソフトライセンスモビリティ(ソフトウェアアシュアランスの特典)
- SharePoint on AWS(Cloud Formationにテンプレートあり)
- .Netアプリ稼働環境もElastic Beanstolkで構築できる
- System CrnterにAWSプラグインあり
- Workspaces(既存のADと連携可能)
- AppStream
- 理由その3
- 国内外で多くの導入実績があるから(国内2万以上)
- AmazonでもSharePointを利用してる
- スシロー SQL ServerでDWHをAWSで運用
- 東急ハンズ ファイルサーバをAWSに移行
- クオリカ WindowsベースのHPC
- グラニ ソシャゲもWIndows on AWS
『Active Directory を中心とした Windowsインフラ on AWS 構築時の留意点』
- アマゾンデータサービスジャパン株式会社
- ソリューションアーキテクト 吉松 龍輝
ADの運用に関する留意点
- DC配置のデザインパターン
- AZを利用した冗長化が基本
- FSMOの配置場所を決定(自社orAWS)
- AWS上のみだとリストア方法に考慮が必要
- ドメイン構造
- 子ドメイン、信頼関係に関する留意点
- クラウドという理由でドメインを分ける必要はない
- ドメインを分割する際の判断基準
- セキュリティの境界
- 企業・組織体の境界
- 地域の境界 etc
- サイトの設計
- 考慮事項については従来の設計方法と一緒
- レイテンシーと複製にかかるコストを考慮
- 複製のトポロジー
- AWS曜のサイトを作成してDCを配置した場合
- 複製トポロジーが意図したとおりに作成しているか要確認
- 適切な複製パートナーと接続されているか?
- サイト間複製の間隔は180分
- グローバルカタログ(GC)の配置を検討
- 特にExchange ServerのようなGCへのアクセス頻度が高いサーバをAWSに配置する場合は必ずGCを設定
- DNSの設計
- 障害発生時にも名前解決が出来る状態を確保する
- 優先DNS等を自分自身
- 代替DNS等に他のDCのDNSを設定
- NICのTCP/IP設定
- 参照先のDNSはDCのDNSを設定
- AWSが提供するDNSをは指定しない
- DC上のDNSフォワーダーにAWSが提供するDNSをを設定する
- DHCP Optinons Setの利用
- ADの設定を行う
- NTPサーバ設定はPDCエミュレータ同期するので設定しない(ADでKerberos認証するが前提でDCと同期する)
- PDCエミュレータはNTP設定をする
- FQDN解決のためにWINSを設定
- バックアップ
- 従来のバックアップ手法を利用
- VSSに対応したバックアップを使用
- EC2のスナップショットの利用
- バックアップツールによって取得されたバックアップデータが保管されているボリュームのスナップショットを取得し、データを保全
- DCのシステム全体のスナップショットについては、留意点あり
- DCのシステム全体のスナップショットをリストアに使用しない
- USNロールバックを誘発
- ロールバックが発生したDCはドメイン環境から隔離され複製パートナーとみなされなくなる * USNロールバックをつかわない
- リストア
- ディレクトリサービス復元モードの(DSRM)利用
- Windows ServerのF8を入力し、起動メニューからDSRMを選択してサーバを起動する
- AWS上のDCではDSRMでブートすることがd境内
- ADゴミ箱の活用
- 誤って削除したオブジェクトをリストア可能
- WIndows Server 2012の場合はGUIから実行
- WIndows Server 2008 R2の場合はPowerShellから実行
- 致命的な障害が発生
- 全てのDCが破損
- DSRMを使用しないフルリストアの手順を実行
- 全台破損の場合のリストアシナリオの一例
- AWS上のDCで取得したバックアップデータを容易
- バックアップデータを用いて自社環境で仮DCを立てる
- ntdsutil metadata cleanupで存在しないDCを削除
- AWSに新規でDCを立て、仮DCをからデータ複製
- 複製完了後、FSMOを仮DCからAWSのDCDCに移動
- 仮DCを降格し、AWS上のDCをを稼働
- AWSとADの認証連携
- IAMのSAML2.0サポート
- ADとSAML2.0の連携
- ADの認証と認可を利用
- WSUSの利用
- ネットワーク帯域を圧迫しないWSUSの配置
- サイトに対するグループポリシーを利用し、参照先のWSUSサーバを制御
- インターネット経由で直接アップデートを取得する場合はAWSのNATインスタンスをVPCのパブリックサブネットで利用
- ファイルサーバの設置
- Storage Gatewayの利用
- JAWS DAYS 2014来てね!!!
『ここまでできる!Microsoftアプリケーション on AWS~エンタープライズ事例とTIPS~』
- 日本ビジネスシステムズ株式会社 マネージドサービス本部
- マネージドサービスセンター クラウドサービスグループ テクニカルマネージャー 風間 徹哉
- MS + サードベンダーでOffice365のサービスを提供している
Windows on AWSの実際
- とりあえずクラウドの始めでファイルサーバとかバックアップの用途が多い
- 情報系基盤はMSG製品利用が多い
- Exchange,sharepoint,ファイルサーバ
- 次はクラウドでやりたい
- SaaSは合う合わない
- 結構クリティカルが高いものが多い
- メール、ERP(SQL Server)
- AD必須で社内とのシームレスな接続が可能
セキュリティが重要
- 安心出来るのか?
MS基盤としてAWSを選ぶ利用
- ライセンスモビリティ
- エンタープライズに必要なサービス
- ELC,マルチNIC,I/O保証,NW ACL,Dedicated環境
- VPN及び専用線・セキュリティ
- FISCのリファレンスの影響が大きかった
- サポート及び豊富な情報
- MSとのアライアンス
- 開発環境
- .Net,VisialStudio,Powershell,CLI,SCE
- 日本語のイメージ(AMI)がある
- OS及びSQL Serverカスタムイメージ
Windows Application in AWS
- AWSの魅力的なサービスを利用できる
- シンプルに安価にサービス提供可能
- EDS
- クラウドに任せたいバックアップ、パッチ、DB機能のみ、簡単に導入
- ライセンス込み
- 機能制限がまだ多い
- Oracle RDS並になると嬉しい
Windows on AWSのTIPS
- 昔の話
- ドライバ
- ルーティングでいろいろあった
- ライセンス認証サーバへの繋ぎ
- 複数NIX
- DGWが2つになるのでメトリックで優先NICを指定する
- ライセンス
- ライセンスモビリティ
- MS以外の対応も多数
- SQL ServerのAMI
- 認定(Certify)
- SAP
- Oracleが基本Nonサポート
- Windowsが多い
- SQL Server多い
- ADの話
- オンプレからの移行
- バックアップはSnapshotとWindows Server Backupで取得
- 導入事例多数
- 各種Writepaper
- ADFS事例多い
- AWSサービス
- MS好きとはいえDNSやLB、NATまでは
- 積極的にAWSのサービスを利用
- Route53とかSNSとかSQSとかDynamoDBとかエンプラでも利用可能!
- ELB
- MSでよく使うNLBは使えない
- 内部ELBがうれしい
- SSLターミネーションもうれしい
- 単純にリバプロ利用もうれしい
- ELB経由でのWindows認証には注意
- セッション維持(スティッキー)なしやクレームベース認証で
- 要件によってはF5などのネットワーク・アプライアンスも検討
- AZ
- すぐに使えるDR環境
- AZ間のネットワーク帯域は十分(レイテンシーに一部問題)
- データの転送等問題なし
- 運用
- 開発環境充実
- CloudFormation使える!
- System Centerのアドオン
- ディスクはまずプロビジョンド IOで
- 従量課金でスタートして、安定したらリザーブドインスタンスで
- 監視の話
- CLoud Watch
- カスタムメトリック
- 対応している監視ツールもある
- アプリケーションレイヤーはオンプレと同様
- バックアップ
- 要件ではSnapshotやAMIを使用したバックアップ
- 合わせてWindowsバックアップ等検討
- オンプレ並のバックアップならバックアップソフト(CA ARCserve)
- VM Inport
- 社内のリソースが枯渇して緊急でAWSを使いたい
- 移行検証
- 2012は未対応
- RDPの許可を忘れずに
- ExportはInportしたもののみ
Windows on AWS事例紹介
- sharepoint
- Dynamics CRM
- Windowsサーバ移行
- ファイルサーバ(ROBOCOPY)
- MDM on AWS
- クラウドファイルサーバ
- AWS Storage Gatewayを利用(iSCSI)
- JBS内でもMSソリューションを検証
- SAP on AWS
- SAP SQL 路地シッピング Powerd by AWS
Sharepointクラウドホスティング紹介
- もうすぐ始める!
- 最短5日で提供