AWS Workspacesで3つのサブネットにそれぞれ配置できるか?
On-PremにあるAD環境をAWSにリフトアップしてみようと検証を試みた記録です
前提条件
- 同一認証基盤を利用したい
- ネットワークセグメントが3つある
検証環境のイメージ
以下のような構成で検証を進めました。
機能としてはセカンダリといいつつつ、
ターシャリ(3番目)もアタッチ可能なVPCのセカンダリCIDRを使います。Associating a secondary IPv4 CIDR block with your VPC
結論
- 不可能でした
- Workspacesで利用する認証基盤として以下の3つを用意しましたが、いずれも認証で利用可能なサブネットが2つまでしか選択できないため、一つの基盤で運用はできないことが分かりました
検証画像
3パターンのディレクトリサービスを立ち上げました。
例)SimpleAD
Registerで色々見ましたが、ポップアップが出てくるが選択可能なサブネットは2つまでしか選べない。
その他
ADConnector でターゲットとして予定していたEC2について
予め利用するサブネットごとにENIを用意して、EC2のプライベートIPアドレスは固定化します
AWS公式ドキュメントにあるElastic Network Interfaceに従って、
今回、NICを4つ採用する(インスタンス通信用1つ、Workspaces用だった3つ)ため、t3.xlarge 以上のインスタンスが必要となります。
実際、Windowsで起動したインスタンスにもNICを接続して問題なく通信ができるところまで確認できました。
ADDSをインストールするため、 getmac /Vやipconfig /allでOSが認識しているインターフェースとIPアドレスの範囲を間違えないようにOS上からもIPアドレス固定化しました。
まとめ
今回検証してみて、元々On-Premで出来ていたからクラウドでも出来るだろうとの見切り発車ではなく、
軽く作ってみようとクラウドらしくスモールかつクイックにやってみることの重要性を改めて感じました。
今回は、目的である環境の移設については、改めて構成検討から始めようと思います。
1台で賄っていたユーザをSimpleADを2台に分散するとして、おおよそ72USDなので、
分散管理になっていくかなとぼんやり考えています。Simple AD スモールディレクトリへの月々の課金 (30 日後または 1,500 時間の無料トライアル期間終了後)
- - 2020/11/30 追記
先日検証しているときに、Cognitoが表示されていたので改めて検証を試みたところ表示されず。
下記のブログを見たところ、ADがあることを前提とした仕組みでした。
結局、ADがサブネット2つまでというところで、実現できないことが確定となりました。
Creating a self-service portal for Amazon WorkSpaces end users
https://aws.amazon.com/jp/blogs/desktop-and-application-streaming/creating-a-self-service-portal-for-amazon-workspaces-end-users/
Authentication, which is handled by an Amazon Cognito User Pool federated via SAML 2.0 with Active Directory.