Alibaba Cloudで実現するお手軽DaaS環境 # 設計編

f:id:sbc_nttd_satouruzg:20200423183725p:plain

はじめに

こんにちは、エンジニアの佐藤です。

新型コロナウイルスの感染防止対策として、また働き方改革の一環として、
テレワークの導入を検討している方々も多くいらっしゃるのではないでしょうか。

しかしながら、セキュリティリスクや導入・運用コスト等の理由から、
テレワークの採用に踏み切れずにいる企業も少なからず存在するかと思われます。

f:id:sbc_nttd_satouruzg:20200415123010p:plain
リモートワークの障壁

そこで今回は、
Alibaba Cloudで実現するお手軽DaaS環境1と題して、
Alibaba Cloudを利用したセキュアローコストな仮想デスクトップ環境をご紹介します!

  • ・ イニシャルコストをなるべく抑えたい。
  • ・ パブリッククラウドは、セキュリティが心配、、、
  • ・ すぐに仮装デスクトップ環境を使い始めたい!

本記事では、上記のようなユーザのニーズに応えるためどのような設計を行なっているか、
どのように実現しているかを紹介していきたいと思います!!

DaaS環境の構成

構成図

まずはじめに、本記事で紹介するDaaS環境の全体構成をご紹介します。

f:id:sbc_nttd_satouruzg:20200417073058p:plain
DaaS環境構成図

主要コンポーネント

本DaaS環境で利用する主要コンポーネントの一覧と、それぞれの用途です。

f:id:sbc_nttd_satouruzg:20200415231954p:plain
主要コンポーネント

利用イメージ

簡単な利用イメージは以下になります。

  • システム利用者
    • ・DaaS環境の利用:仮想サーバ(Windows)にリモートデスクトップ接続し、業務を行います。
  • システム管理者
    • ・DaaS環境の構築:新規で利用者を追加する際、仮想サーバの増台や、Active Directoryユーザの追加を行い、DaaS環境の構築を行います。
    • ・DaaS環境の運用:必要に応じて、サーバスペックやストレージサイズ変更等の作業を行います。
    • ・グループポリシー制御:Active Directoryのグループポリシーを更新することで、利用者の仮想サーバ上における操作の制御を行います。

さて、次項では本DaaS環境を使うと何が嬉しいのか、どのようなメリットがあるのかについて記載していきたいと思います。

DaaS環境のメリット

メリット① セキュリティ向上

在宅勤務をはじめとするテレワークの導入に際し、1番のネックとなるのがセキュリティの担保方法 だと思われます。
本項では、本DaaS環境におけるセキュリティ観点での訴求ポイントについて紹介していきます。

通信の暗号化と端末制御

VPN Gatewayを用い、クライアントからの通信をSSL-VPN経由で行うことで、DaaS環境への不正侵入を防ぎます。
インターネット経由での通信は暗号化されるため、盗聴やデータ漏洩のリスクを低減することが可能です。

また、SSL-VPN経由での通信においては、クライアント証明書のインストールが必要となるため、
DaaS環境へのアクセスを許可した端末のみに制限することが可能です。

f:id:sbc_nttd_satouruzg:20200416001710p:plain
SSL-VPN①

HTTPSプロトコルでのリモートデスクトップ接続

SSL-VPNをするもう一つメリットとして、HTTPSプロトコル(443ポート)での通信が可能な点が挙げられます。

社内ネットワークからDaaS環境への接続を考える際、リモートデスクトップ接続で標準的に用いられるRDPプロトコル(3389ポート)は、セキュリティ上の問題から禁止されている可能性があります。

本構成では、社内プロキシ等でRDPプロトコル(3389ポート)が制限されている場合でも、HTTPSプロトコル(443ポート)が許可されていれば、DaaS環境へリモートデスクトップ接続を行うことが可能です。

f:id:sbc_nttd_satouruzg:20200416004936p:plain
SSL-VPN②

送信元IPアドレスの固定化

多くのシステム/サービスでは、送信元IPアドレスを絞ることでアクセス制限を行なっていると思われます。
在宅勤務社員が自宅回線からインターネット経由でアクセスする場合、グローバルIPアドレスが動的に変更されることがほとんであるため、
システム側での送信元IPアドレス制御が困難といった課題が発生します。

f:id:sbc_nttd_satouruzg:20200416014517p:plain
送信元IPアドレスの固定化①

本構成では、NAT Gateway(S-NAT)を利用することで、
仮想サーバからのインターネット向け通信を、単一のグローバルIPアドレスに固定しています。
そのため、社内システムや他のクラウドサービスのFireWallでの送信元IPアドレス制御を容易に実現出来ます。

f:id:sbc_nttd_satouruzg:20200416021149p:plain
送信元IPアドレスの固定化②

グループポリシーによる制限

本構成では、仮想サーバ群が属するActive Directoryのドメインコントローラとして、システム管理者のみが接続可能2なサーバを用意しています。
システム管理者がActive Directoryのグループポリシーを編集することで、利用者の仮想サーバ上での操作を制限することが可能です。

グループポリシーを用いた操作制御の一例として、リモートデスクトップ越しにおけるクリップボードの利用禁止を行なっており、
ローカル端末-仮想サーバ間のファイル持ち込み/持ち出しを禁止しています。

この設定により、情報流出やウイルス感染のリスク低減を実現します。

f:id:sbc_nttd_satouruzg:20200416033745p:plain
グループポリシー

なお、後述のカスタムイメージ機能を用いることで、業務に必要なToolやデータ等は仮想サーバ上に予め用意されます。
作業は全てDaaS環境上で完結するため、クライアント端末側にデータを保有する必要がないこともポイントです。

メリット② 運用コストの削減

次に、本DaaS環境を利用する最大のメリットである、運用面でのコスト削減方針について紹介していきます。

端末セットアップ工数の削減

テレワーク環境を準備する際に在宅勤務者用の端末を新たに払い出すこととなった場合、
それら端末を利用可能な状態にセットアップするまでに膨大な工数が掛かることが予想されます。

まずは端末を調達して、OSインストールと設定を行なって...
次にセキュリティソフトをインストールして....
業務に必要なMW/SWを入れて.....
...etc

上記作業を全端末分繰り返し行わなければならないことを考えると、それだけで在宅勤務へのハードルがグッと上がってしまいます。

本構成では、ECSのカスタムイメージ機能を用いることで、端末セットアップに掛かるコストの削減を実現しています。

f:id:sbc_nttd_satouruzg:20200416041705p:plain
カスタムイメージ

Auto Scalingでローンチした仮想サーバは、各種設定やインストールが完了した状態で起動されるため、
煩雑な設定作業はカスタムイメージ作成時のたった1回だけで済むように設計されています。

拡張性を考慮した設計

本構成では、運用時に予想される様々なケースを想定し、拡張性を考慮した設計が行われています。

例えば、以下のようなケースにも柔軟に対応可能です。

  • ・ 利用者が増えたので、仮想サーバを増台したい
  • ・ 想定以上に高負荷が掛かるため、サーバスペックをスケールアップしたい
  • ・ ディスクがパンパンなので、ストレージサイズを拡張したい
  • ・ 一定の時間帯に外部通信が集中するので、インターネット帯域幅を拡張したい

これらの操作は、Alibaba Cloudの管理コンソール上からいつでも、簡単に変更可能です。

f:id:sbc_nttd_satouruzg:20200417070204p:plain
Auto Scaling台数変更

メリット③ 維持コストの削減

最後に、ユーザが一番気になるであろう、DaaS環境の維持コストにフォーカスしてお話ししたいと思います。

従量課金制

自前でテレワーク環境を整えようと思うと新たに端末を購入したりネットワーク機器を揃えたりと、とにかく初期費用がかさみますが、
本構成では使った分だけの従量課金制なので、イニシャルコストはほとんど掛かりません。

また、任意のタイミングで容易に環境を停止・破棄可能であるため、
在宅要請がいつまで続くか予想困難な現状況に適した構成となっています。

極端な例では、在宅勤務開始の翌日に体制が解除されテレワーク環境が不要になった場合でも、1日分の料金だけで利用が可能です。

仮想サーバの計画停止

仮想サーバを構成するECSは、インスタンスを停止することで課金をストップすることが可能です。3

そのため、 夜間や休日等の利用者がDaaS環境を利用しない時間帯を見計らい、
計画的に仮想サーバを停止させることで、 Cloud利用費用を抑えることが出来ます。

例えば、

  • ・平日は9時-18時で勤務
  • ・土日祝は休み

といった勤務体系の場合、仮想サーバの維持コストは以下のようになります。4

f:id:sbc_nttd_satouruzg:20200417054618p:plain
料金比較

計画停止を行うことで約1/3程度コストを削減可能であることがお分り頂けたかと思います。

本構成においては、仮想サーバ料金がDaaS環境の維持コストの主要項となるため、是非とも計画停止を検討して頂ければと思います。
※ちなみに、計画停止を行うことで、不要不急の残業を強制シャットダウン!といった副次効果も期待出来ます

なお、今回の構成ではお手軽さを重視したため、1ユーザに対し1台の仮想サーバを割り当てていますが
セッションホストを適切に構成することで、一つの仮想サーバを複数人が同時に利用することも可能です。
このような構成をとることで、更なるコスト削減が見込めます。

最後に

いかがだったでしょうか?

Alibaba Cloudを用いたDaaS環境のポイントについて、簡単に紹介させていただきました。
本記事がテレワーク導入とAlibaba Cloud普及のきっかけになれば幸いです。

今回は触れませんでしたが、Fortinet社が提供するより仮想アプライアンス製品であるFortiGateを利用することで、
よりリッチな要件にも対応することが出来ます。
Alibaba Cloudのマーケットプレイスでは、オンデマンドで利用可能なFortiGate-VMも提供されていますので、
エンタープライズ向けにFortigateVMを採択した構成も検討頂ければと思います。

次回は、実際にDaaS環境を構築し、新規で仮想サーバを追加するデモを行いたいと考えていますので、
よろしくお願いします!

それでは、良いAlibaba Cloudライフを!!


  1. DaaS:Desktop as a Serviceの略。仮想デスクトップ環境を提供するサービスのこと。

  2. Security GroupによるソースIP制御、およびOSログインユーザの制限によって実現。

  3. ディスクの課金は継続します。

  4. 料金は執筆時点での概算料金となります。正確な費用はお問い合わせください。