Windows on AWS オールインワンセミナーに行ってきた


Windows on AWS オールインワンセミナー

~Windowsからマイクロソフトアプリケーションまで、丸ごとAWSに移行!~

  • 日時 2014年02月21日(15:00-17:30)
  • 場所 アマゾン目黒オフィス

まとめ

  • SAP, MSプロダクト(Sharepoint,Exchange)などWindows環境使用顧客が多い
  • 開発環境などが整っており、サポート体制、ライセンスモビリティなど新規、移行問わず整っている。
  • 個人的にWindowsについては2003までしか経験がないが、基幹業務系で結構Windowsなんだなと知った。

『Windows on AWSによるエンタープライズクラウド』

  • アマゾン データ サービス ジャパン株式会社
  • ソリューションアーキテクト 渡邉 源太

なぜエンタープライズがAWSクラウドでWindowsを使うのか?

  • 理由その1

    • グローバルなインフラをセキュアに使える
    • 9箇所のリージョン(近々北京リージョン)
    • エッジロケーション
    • どのリージョンでも同じ使い方、同じやり方で自由に利用可能
    • AZ(AZ間は高速専用線接続)
  • 理由その2

    • Microsoftソリューションを容易に動かすことが出来る
    • 既存のMicrosoftライセンスを使用できる
    • SQL Server AlwayOn可用性グループ on AWS
    • RDS(SQL Server)
    • 2008から2012へのバージョンアップ機能もある
    • マイクロソフトライセンスモビリティ(ソフトウェアアシュアランスの特典)
    • SharePoint on AWS(Cloud Formationにテンプレートあり)
    • .Netアプリ稼働環境もElastic Beanstolkで構築できる
    • System CrnterにAWSプラグインあり
    • Workspaces(既存のADと連携可能)
    • AppStream
  • 理由その3
    • 国内外で多くの導入実績があるから(国内2万以上)
    • AmazonでもSharePointを利用してる
    • スシロー SQL ServerでDWHをAWSで運用
    • 東急ハンズ ファイルサーバをAWSに移行
    • クオリカ WindowsベースのHPC
    • グラニ ソシャゲもWIndows on AWS

『Active Directory を中心とした Windowsインフラ on AWS 構築時の留意点』

  • アマゾンデータサービスジャパン株式会社
  • ソリューションアーキテクト 吉松 龍輝

ADの運用に関する留意点

  • DC配置のデザインパターン
    • AZを利用した冗長化が基本
    • FSMOの配置場所を決定(自社orAWS)
    • AWS上のみだとリストア方法に考慮が必要
  • ドメイン構造
    • 子ドメイン、信頼関係に関する留意点
    • クラウドという理由でドメインを分ける必要はない
    • ドメインを分割する際の判断基準
    • セキュリティの境界
    • 企業・組織体の境界
    • 地域の境界 etc
    • サイトの設計
    • 考慮事項については従来の設計方法と一緒
    • レイテンシーと複製にかかるコストを考慮
    • 複製のトポロジー
    • AWS曜のサイトを作成してDCを配置した場合
    • 複製トポロジーが意図したとおりに作成しているか要確認
    • 適切な複製パートナーと接続されているか?
      • サイト間複製の間隔は180分
    • グローバルカタログ(GC)の配置を検討
      • 特にExchange ServerのようなGCへのアクセス頻度が高いサーバをAWSに配置する場合は必ずGCを設定
    • DNSの設計
    • 障害発生時にも名前解決が出来る状態を確保する
    • 優先DNS等を自分自身
    • 代替DNS等に他のDCのDNSを設定
    • NICのTCP/IP設定
    • 参照先のDNSはDCのDNSを設定
    • AWSが提供するDNSをは指定しない
    • DC上のDNSフォワーダーにAWSが提供するDNSをを設定する
    • DHCP Optinons Setの利用
    • ADの設定を行う
    • NTPサーバ設定はPDCエミュレータ同期するので設定しない(ADでKerberos認証するが前提でDCと同期する)
    • PDCエミュレータはNTP設定をする
    • FQDN解決のためにWINSを設定
  • バックアップ
    • 従来のバックアップ手法を利用
    • VSSに対応したバックアップを使用
    • EC2のスナップショットの利用
    • バックアップツールによって取得されたバックアップデータが保管されているボリュームのスナップショットを取得し、データを保全
    • DCのシステム全体のスナップショットについては、留意点あり
    • DCのシステム全体のスナップショットをリストアに使用しない
    • USNロールバックを誘発
    • ロールバックが発生したDCはドメイン環境から隔離され複製パートナーとみなされなくなる  * USNロールバックをつかわない
  • リストア
    • ディレクトリサービス復元モードの(DSRM)利用
    • Windows ServerのF8を入力し、起動メニューからDSRMを選択してサーバを起動する
    • AWS上のDCではDSRMでブートすることがd境内
    • ADゴミ箱の活用
    • 誤って削除したオブジェクトをリストア可能
    • WIndows Server 2012の場合はGUIから実行
    • WIndows Server 2008 R2の場合はPowerShellから実行
    • 致命的な障害が発生
    • 全てのDCが破損
    • DSRMを使用しないフルリストアの手順を実行
    • 全台破損の場合のリストアシナリオの一例
    1. AWS上のDCで取得したバックアップデータを容易
    2. バックアップデータを用いて自社環境で仮DCを立てる
    3. ntdsutil metadata cleanupで存在しないDCを削除
    4. AWSに新規でDCを立て、仮DCをからデータ複製
    5. 複製完了後、FSMOを仮DCからAWSのDCDCに移動
    6. 仮DCを降格し、AWS上のDCをを稼働
  • AWSとADの認証連携
    • IAMのSAML2.0サポート
    • ADとSAML2.0の連携
    • ADの認証と認可を利用
  • WSUSの利用
    • ネットワーク帯域を圧迫しないWSUSの配置
    • サイトに対するグループポリシーを利用し、参照先のWSUSサーバを制御
    • インターネット経由で直接アップデートを取得する場合はAWSのNATインスタンスをVPCのパブリックサブネットで利用
  • ファイルサーバの設置
    • Storage Gatewayの利用
  • JAWS DAYS 2014来てね!!!

『ここまでできる!Microsoftアプリケーション on AWS~エンタープライズ事例とTIPS~』

  • 日本ビジネスシステムズ株式会社 マネージドサービス本部
  • マネージドサービスセンター クラウドサービスグループ テクニカルマネージャー 風間 徹哉
    • MS + サードベンダーでOffice365のサービスを提供している

Windows on AWSの実際

  • とりあえずクラウドの始めでファイルサーバとかバックアップの用途が多い
  • 情報系基盤はMSG製品利用が多い
    • Exchange,sharepoint,ファイルサーバ
  • 次はクラウドでやりたい
  • SaaSは合う合わない
  • 結構クリティカルが高いものが多い
    • メール、ERP(SQL Server)
  • AD必須で社内とのシームレスな接続が可能
  • セキュリティが重要

    • 安心出来るのか?
  • MS基盤としてAWSを選ぶ利用

    • ライセンスモビリティ
    • エンタープライズに必要なサービス
    • ELC,マルチNIC,I/O保証,NW ACL,Dedicated環境
    • VPN及び専用線・セキュリティ
    • FISCのリファレンスの影響が大きかった
    • サポート及び豊富な情報
    • MSとのアライアンス
    • 開発環境
    • .Net,VisialStudio,Powershell,CLI,SCE
    • 日本語のイメージ(AMI)がある
    • OS及びSQL Serverカスタムイメージ
  • Windows Application in AWS

  • AWSの魅力的なサービスを利用できる
    • シンプルに安価にサービス提供可能
  • EDS
    • クラウドに任せたいバックアップ、パッチ、DB機能のみ、簡単に導入
    • ライセンス込み
    • 機能制限がまだ多い
    • Oracle RDS並になると嬉しい

Windows on AWSのTIPS

  • 昔の話
    • ドライバ
    • ルーティングでいろいろあった
  • ライセンス認証サーバへの繋ぎ
  • 複数NIX
    • DGWが2つになるのでメトリックで優先NICを指定する
  • ライセンス
    • ライセンスモビリティ
    • MS以外の対応も多数
    • SQL ServerのAMI
  • 認定(Certify)
    • SAP
    • Oracleが基本Nonサポート
    • Windowsが多い
    • SQL Server多い
  • ADの話
    • オンプレからの移行
    • バックアップはSnapshotとWindows Server Backupで取得
    • 導入事例多数
    • 各種Writepaper
    • ADFS事例多い
  • AWSサービス
    • MS好きとはいえDNSやLB、NATまでは
    • 積極的にAWSのサービスを利用
    • Route53とかSNSとかSQSとかDynamoDBとかエンプラでも利用可能!
  • ELB
    • MSでよく使うNLBは使えない
    • 内部ELBがうれしい
    • SSLターミネーションもうれしい
    • 単純にリバプロ利用もうれしい
    • ELB経由でのWindows認証には注意
    • セッション維持(スティッキー)なしやクレームベース認証で
    • 要件によってはF5などのネットワーク・アプライアンスも検討
  • AZ
    • すぐに使えるDR環境
    • AZ間のネットワーク帯域は十分(レイテンシーに一部問題)
    • データの転送等問題なし
  • 運用
    • 開発環境充実
    • CloudFormation使える!
    • System Centerのアドオン
    • ディスクはまずプロビジョンド IOで
    • 従量課金でスタートして、安定したらリザーブドインスタンスで
  • 監視の話
    • CLoud Watch
    • カスタムメトリック
    • 対応している監視ツールもある
    • アプリケーションレイヤーはオンプレと同様
  • バックアップ
    • 要件ではSnapshotやAMIを使用したバックアップ
    • 合わせてWindowsバックアップ等検討
    • オンプレ並のバックアップならバックアップソフト(CA ARCserve)
  • VM Inport
    • 社内のリソースが枯渇して緊急でAWSを使いたい
    • 移行検証
    • 2012は未対応
    • RDPの許可を忘れずに
    • ExportはInportしたもののみ

Windows on AWS事例紹介

  • sharepoint
  • Dynamics CRM
  • Windowsサーバ移行
    • ファイルサーバ(ROBOCOPY)
  • MDM on AWS
  • クラウドファイルサーバ
    • AWS Storage Gatewayを利用(iSCSI)
  • JBS内でもMSソリューションを検証
  • SAP on AWS
  • SAP SQL 路地シッピング Powerd by AWS

Sharepointクラウドホスティング紹介

  • もうすぐ始める!
    • 最短5日で提供

Q&Aセッション