2014年のAWSアップデートまとめ – Windows編(EC2, RDS, WorkSpaces, AppStream, etc)

JAWS-UG Advent Calenderの18日目のエントリーです。すっかりこのブログからはご無沙汰していましたが2014年もAWSにはさまざまなアップデートがありました。このブログではAWSのWindows関連の話題について取り上げていますが、今年もそろそろ終わりということで、2014年のアップデートをAWSブログの記事からふりかえってみたいと思います。

2014年のはじめはそれほどおおきなアップデートはありませんでしたが、CloudFrontがMicrosoftのスムーズストリーミングをサポートするようになりました。

【AWS発表】Amazon CloudFrontがMicrosoft スムーズストリーミングをサポート(2/24) http://aws.typepad.com/aws_japan/2014/02/amazon-cloudfront-now-supports-microsoft-smooth-streaming.html

3月にはいると、VM Import/ExportがWindows Server 2012をサポートするなどの機能アップデートがあり、仮想マシンイメージのAWS移行がより簡単にできるようになりました。VM Import/Exportはその後Windows Server 2012 R2にも対応しています。

【AWS発表】VM Import/ExportがWindows Server 2012をサポート(3/9)
http://aws.typepad.com/aws_japan/2014/03/vm-importexport-now-supports-windows-2012.html

また、Amazon AppStreamとAmazon WorkSpacesが利用できるようになりましたが、どちらのサービスもこの時点では東京リージョンには対応していませんでした。WorkSpacesはもちろんですが、AppStreamは内部の仕組みとしてEC2 Windowsインスタンスを利用しているため、ここではWindowsに関連するサービスとしてふくめています。

【AWS発表】Amazon AppStreamを全てのデベロッパーが利用可能に(3/18) http://aws.typepad.com/aws_japan/2014/03/amazon-appstream-now-available.html

【AWS発表】Amazon WorkSpacesが誰でもご利用可能に!(3/26)
http://aws.typepad.com/aws_japan/2014/03/amazon-workspaces-now-available.html

5月には、Amazon RDS for SQL ServerでMulti-AZ機能が利用可能になりました。2014/12現在はまだ東京リージョンではMulti-AZ機能を利用することはできないのですが、非常に待ち望まれている機能のひとつだと思います。

Amazon RDS for SQL ServerでもMulti-AZ機能を利用可能に(5/21)
http://aws.typepad.com/aws_japan/2014/05/amazon-rds-for-sql-server-with-multi-az.html

また、AppStreamの新機能が追加されています。 YUV444とはあまり聞きなれないかもしれませんが、色の再現性を高めるために重要な機能です。

Amazon AppStreamの新機能 – YUV444とアプリケーションのロギング(5/21)http://aws.typepad.com/aws_japan/2014/05/yuv-444-support-for-amazon-appstream.html

6月に、Windows Server 2012 R2とSQL Server 2014がEC2で利用できるようになっています。最新のWindows OSおよびSQL ServerがAWS上で利用可能になったということで、よりシステム構築の選択肢が広がったのではないかと思います。

【AWS発表】Windows Server 2012 R2 と SQL Server 2014 のAMIが利用可能に(6/4) http://aws.typepad.com/aws_japan/2014/06/windows-server-2012-r2-amis-now-available.html

6月と8月にかけて、Amazon SNS Mobile Pushのアップデート がされています。MPNSというのはMicrosoft Push Notification Serviceの略で、WNSはWindows Push Notification Serviceのことですが、それぞれWindows Phone 7およびWindows Phone 8.1、またWindowsストアアプリに対するプッシュ通知を可能にする機能となります。日本ではWindows Phoneのユーザーはほとんど見かけないのですが、8月のアップデートではMPNS認証済みモードにも対応しており、それだけSNS Mobile Pushチームの本気がうかがえるアップデートといえるのではないでしょうか。

【AWS発表】Amazon SNS Mobile Push アップデート – Baidu Cloud Push (中国)、MPNS、WNSのサポート(6/12) http://aws.typepad.com/aws_japan/2014/06/sns-mobile-push-update-baidu-windows.html

【AWS発表】Amazon SNS アップデート – ラージトピックスとMPNS認証済みモード(8/20) http://aws.typepad.com/aws_japan/2014/08/sns-large-topics-and-mpns-auth-mode.html

そして、8月にようやくAmazon WorkSpacesが東京リージョンで利用可能になりました。東京リージョンへの対応にあたっては、ワークスペースやクライアントの日本語化などのローカライズがされているため、日本のお客様により使いやすい形でリリースすることができました。そのため個人的にもとくに思い入れの強いアップデートです。

【AWS発表】Amazon WorkSpacesが東京リージョンでも利用可能に(8/26) http://aws.typepad.com/aws_japan/2014/08/workspaces-tokyo.html

Amazon WorkSpacesにつづいてAmazon AppStreamも9月から東京リージョンで利用可能になっています。この時点ではとくに機能アップデートはありませんが、すでに利用を開始しているお客様がいるということが話題となりました。

Amazon AppStreamが東京リージョンで利用可能に(9/30)
http://aws.typepad.com/aws_japan/2014/09/appstream-tokyo.html

10月に、Amazon WorkSpacesがPCoIPゼロクライアントをサポートするようになり、利用できるクライアントの種類が増えました。PCoIPゼロクライアントは、HPやDell Wyseなど各社から販売されていますのでぜひチェックしてみてください。

Amazon WorkSpacesがPCoIPゼロクライアントをサポート(10/20) http://aws.typepad.com/aws_japan/2014/10/workspaces_zeroclient.html

また、AWS Directory Serviceが発表され、ただちに利用可能となりました。AWS Directory Serviceは Amazon WorkSpacesやAmazon Zocaloのバックエンドで利用されているディレクトリの機能を単体のサービスとして提供するもので、Samba 4相当のスタンドアロンディレクトリをクラウド上で利用できるSimple ADと、オンプレミスのActive Directoryドメインとの認証の連携を提供するAD Connectorの2つの使い方ができるようになっています。

【AWS発表】新サービスAWS Directory Service(10/22)
http://aws.typepad.com/aws_japan/2014/10/aws-directory-service.html

さらに、Amazon WorkSpacesでゴールデンイメージを作成可能になり、ワークスペースの展開がよりやりやすくなりました。また、バリューバンドルが追加されたことによりより安価にWorkSpacesを利用できるようになったり、スタンダードバンドルのアップデートでこれまでよりCPUとメモリが多く利用できるようになったりなど重要なアップデートがありましたが、この時点ではまだ東京リージョンには対応していませんでした。

【AWS発表】Amazon WorkSpacesでゴールデンイメージを作成可能に(10/29) http://aws.typepad.com/aws_japan/2014/10/workspaces_goldenimage.html

Amazon WorkSpacesのアップデート – バリューバンドル、ハードウェアのアップグレード、そしてOffice 2013(11/7) http://aws.typepad.com/aws_japan/2014/11/ws-update-office-2013-value.html

11月には、Microsoft System Virtual Machine Manager用のプラグインが利用可能になったほか、CloudWatchのアップデートでWindowsのイベントログをふくむ任意のログファイルを管理することができるようになりました。このCloudWatch Logsの機能は、Windowsのログを集中管理したいというニーズにこたえるという意味で重要なアップデートといえるのではないかと思います。

あたらしいMicrosoft System Center Virtual Machine Managerアドイン(11/10) http://aws.typepad.com/aws_japan/2014/11/new-scvmm-add-in.html

CloudWatchアップデート – Windowsログファイルサポートの強化(11/11) http://aws.typepad.com/aws_japan/2014/11/additional-cloudwatch-logs-windows.html

また、Amazon AppStreamのアップデートにより任意のWindowsアプリケーションをクライアントに配信できるようになりました。アプリケーションを改変することなくGPUアプリケーションが利用できるようになりましたので、よりAppStreamの可能性が広がるアップデートとなりました。さらに、東京リージョンでもAmazon WorkSpacesのアップデートが利用可能になりました。

Amazon AppStream アップデート – Access Windows Apps on Chromebooks, MacBooks, Kindle Fires, and More(11/21)
http://aws.typepad.com/aws_japan/2014/11/appstream-win-apps-on-devices.html

Amazon WorkSpacesのアップデートが東京リージョンで利用可能に(11/27) http://aws.typepad.com/aws_japan/2014/11/amazon-workspaces-update-tokyo.html

こうやってふりかえってみると、Amazon WorkSpacesやAmazon AppStreamなど、よりクライアントに近いサービスのアップデートが印象的でした。サーバーサイドおよびクライアントサイドにてWindowsを利用している場合でも、AWSの適用範囲と可能性がより広がってきた1年になったのではないかと思います。さて、来年はどんなアップデートがあるのでしょうか?

Advertisements

Amazon EC2でWindows Server 2012 R2のAMIが利用可能になりました

Amazon Web Servicesブログに書かれている通り、Amazon EC2にWindows Server 2012 R2のAMI(Amazon Machine )が利用可能になりました(http://aws.typepad.com/aws_japan/2014/06/windows-server-2012-r2-amis-now-available.html)。Windows Server 2012 R2のAMIは19の言語で利用可能で、SR-IOVによるEnhanced Networkingにも対応しています。

というわけで、さっそく利用してみましょう。EC2のLaunch Instance Wizardから、Windows Server 2012 R2が選択可能になっていることが分かります。Quick Startに登録されているのは英語版のAMIなので、日本語版のAMIを利用したい場合はCommunity AMIsから検索する必要があります。

Step 1 Choose an Amazon Machine Image

Community AMIsで「Windows_Server-2012-R2_RTM-Japanese-64Bit-Base」を選択すると、日本語版のAMIが見つかりますので「Select」で次に進みます。あとのステップはこれまでと同じなので省略します。

Step 1 Choose an Amazon Machine Image_2

リモートデスクトップで接続すると、たしかにWindows Server 2012 R2が起動されていることがわかります。左下にスタートボタンが復活しており、より直感的に操作できるようになっています。スタートボタンをクリックするとスタートスクリーンが表示されます。

Windows Server 2012 R2

スタートスクリーンはWindows Server 2012とほぼ同等ですが、よくみると細かい使い勝手が向上しています。

Windows Server 2012 R2 Start

デバイスマネージャーを表示させてみると、Windows Server 2012 R2ではあたらしくAWS PV(Para Virtualization)ドライバが採用されていることがわかります。これにより、よりI/Oパフォーマンスが向上していることが期待されます。

Windows Server 2012 R2 AWS PV Driver

あとは、これまでのWindowsインスタンスと同様に利用できるようになっていますので、2012 R2の新機能などもすぐにためせるようになっています。EC2上でも、最新のWindows Server 2012 R2をつかいこなしていきましょう!

 

 

 

Amazon EC2 G2インスタンスをWindowsでつかってみる

AWSブログにて発表されたとおり、高速なグラフィック処理を可能にするG2インスタンス(g2.2xlarge)がAmazon EC2で利用可能になりました。g2.2xlargeは64bit HVMで動作し、以下のスペックを利用することができます。

  • NVIDIA GRID (GK104 "Kepler") GPU (Graphics Processing Unit), 1,536 CUDA コアと4 GB ビデオ(フレームバッファ) RAM.
  • Intel Sandy Bridge プロセッサ(2.6 GHz, Turbo Boost 有効), 8 vCPU (Virtual CPUs).
  • 15 GiB のメモリ.
  • 60 GB のSSD ストレージ

     

    NVIDIAがWindowsとAmazon Linux向けにGPUドライバインストール済みのAMIを提供しているため、AWS Marketplaceからかんたんにインスタンスを起動することが可能になっています。

  • Amazon Linux AMI with NVIDIA Drivers
  • Windows 2008 AMI with NVIDIA Drivers
  • Windows 2012 AMI with NVIDIA Drivers

    .

    いまのところ対応リージョンは米国東部(バージニア)、米国西部(北カルフォルニア)、米国西部(オレゴン)、欧州(アイルランド)にかぎられていますが、G2インスタンスを利用するとOpenGLやDirectXが動作するようになるため、いままでは動作させることができなかったGPUを利用したあーんなアプリや、こーんな使い方などができるようになることが期待されます。

    というわけで、さっそくWindowsからGPUの機能が利用できるかためしてみましょう。今回はUS-Eastリージョンを選択して、AWS MarketplaceからNVIDIAドライバインストール済みのWindows Server 2008 R2のAMIを選択してインスタンスを起動しましたが、ここまでの手順はさくっと省略します。

    インスタンスにログオンしてデバイスマネージャで「Display adapters」を確認すると、「NVIDIA GRID K520」と表示されているのがわかります。その下には「Standard VGA Graphics Adapter」がありますが、どうやらこちらは利用されていないようです。

    image

    さらに、GPU-Zをインストールしてグラフィックカードの情報を表示させると、「NVIDIA GRID K520」の表示とともにGPUの詳細が確認できました。このGPUが、クラウド上で利用可能になったという事があらためてよくわかります。

    image

    DirectXを利用する場合は、あらかじめ必要なバージョンのDirectXランタイムをインストールしておくとよいでしょう。DirectXをインストール方法については、以下のリンクが参考になると思います。

    DirectX のダウンロードとインストール方法 

    この環境で、ためしにFinal Fantasy XIVベンチマークを動かしてみることにしました。RDPとRealVNCでそれぞれベンチマークしてみた結果、どちらも画面のラグやコマ落ちが非常にはげしく実用的なゲーム環境とはいえないと感じました。これはUS-Eastリージョンを利用していることによるネットワークのレイテンシーが影響していると思われるため、このような用途ではTokyoリージョンにG2インスタンスがくるのを素直に待った方がよさそうです。

    まずはこちらがRDPによるベンチマーク結果です。スコアは903と、「動作困難」という評価になりました。画面表示が非常に遅れるためまるで紙芝居のように表示されます。

    image

    続いて、RealVNCによるベンチマーク結果です。RDPとはちがって、15128と非常によいスコアがでています。評価も「非常に快適」となっていますが、実際の画面表示はRDP同様とても快適とはいいがたい結果でした。スコアのちがいは、RDPとRealVNCの画面表示の仕組みが異なることからきているものと思われます。

    image

  • AWS Diagnostics for Microsoft Windows Serverベータ版をつかってみる

    AWSブログ(http://aws.typepad.com/aws_japan/2013/02/available-now-beta-release-of-aws-diagnostics-for-microsoft-windows-server.html)にて発表されたとおり、AWS Diagnostics for Microsoft Windows Serverのベータ版がリリースされています。AWS Diagnostics for Microsoft Windows Serverは、Amazon EC2上で動作するWindowsインスタンスの情報を収集することで、トラブシューティングなどに有効な情報を取得することができるツールです。

    というわけで、まずはつかってみることにしましょう。現在、AWS Diagnostics for Microsoft Windows Serverはこちら(http://aws.amazon.com/jp/windows/awsdiagnostics)からダウンロードできるようになっています。ダウンロードしたファイルを展開し、ECWindowsDiagnostics.exeを実行するとまず以下のようにLicense Agreementの画面が表示されます。内容を確認して「I Agree」をクリックすると先に進むことができます。

    image

    AWS Diagnostics for Microsoft Windowsが起動すると、以下の画面が表示されます。収集したい情報にチェックをつけて、ファイルを保存するディレクトリを指定します。必要な項目を指定したら、「Begin」をクリックします。

    image

    すると、AWS Credentialsの情報がもとめられます。ここでは、IAM Role、Credential FileおよびEnv Variableのいずれかが選択可能です。いずれかの認証方式を選択し、「OK」をクリックすると指定したディレクトリに結果が保存されます。

    image

    実行が完了したら、指定したディレクトリにあるファイルが正常に保存されているかどうか内容を確認してみてください。複数のファイルが新規に作成されていたら必要な情報が収集できたことになります。ここまでみてきたように、AWS Diagnostics for Microsoft Windows Serverの実行は非常に簡単ですが、これがあれば何かあった時も備えあれば憂いなしですね!

    Windows Server 2003 R2 – 2008 R2のAMIがアップデートされました。

    AWS forumでアナウンスされたとおり、Windows Server 2003 R2, 2008および2008 R2の各バージョンのAMIがアップデートされています。

    https://forums.aws.amazon.com/ann.jspa?annID=1897

    アップデートされたあたらしいAMIでは、Citrixのpara-virtualized (PV)ドライバが追加されており、これによりWindows Server 2012をふくむすべてのOSでこのPVドライバが使用できることになりました。このPVドライバを使用することで、以下のようなメリットをえることができるようになります。

    • どのインスタンスタイプでもすべてのWindows Server AMIを起動することが可能
    • マウント可能なEBSボリュームの上限が25個に(試験にでるかも!?)
    • ネットワークの信頼性とパフォーマンスの向上
      また、CloudFormationやAWS Tools for Powershellなど展開の自動化に対応したツールがAMIにふくまれています。というわけで、さっそくあたらしいAMIからインスタンス起動してみました。ここで起動に使用したAMIは、Windows_Server-2008-R2_SP1-Japanese-64Bit-Base-2013.03.14 (ami-adba3aac)です。デバイスマネージャーからドライバを確認すると、「ディスクドライブ」「ネットワークアダプター」「記憶域コントローラー」などにCitrix PVドライバを使用していることが確認できました。

      このように、あたらしくなったWindows AMI、ぜひおためしください!

    image

    Windows Server 2012インスタンスのAMIがアップデートされました

    Amazon EC2で提供されている、Windows Server 2012インスタンス用のAMIがアップデートされています。あたらしいAMIは、たとえば「Windows_Server-2012-RTM-Japanese-64Bit-Base-2013.02.13」のように日付がついていますのでCommunity AMIsから検索すると見つけられると思います。

    image

    あたらしいAMIからインスタンス起動してみたところ、一見あまりこれまでとちがいはありませんがこれまでのセキュリティアップデートが適用されているだけでなく、EC2 Config Servicesのバージョンが2.1.12.0にアップデートされていました。

    image

    ものすごい細かいところですが、「Administrator Password」の注意書(NOTE以下)の文面が以前のものと多少変わっていることに気づきました。ですが、おそらくこのあたりの動作には変更ないと思います。

    image

    ということで、今後Windows Server 2012インスタンスを起動する場合はこちらのAMIを利用していただくのがよいと思います。では!

    RD Gateway経由でAmazon EC2のWindowsインスタンスに接続してみる

    通常、EC2 Windowsインスタンスに接続するためには、通常リモートデスクトッププロトコル(RDP)を使用します。RDPはデフォルトではTCPポートの3389番を使用しているため、ファイヤーウォール経由での接続ではこのポートをオープンしておく必要があります。しかし、企業のファイヤーウォールなどではセキュリティ上の理由などからなかなかRDPのポートをオープンすることがむずかしいと言われることがありました。そこで、リモートデスクトップゲートウェイ(RD Gateway)経由でSSL(HTTPS)を使用してWindowsインスタンスに接続できるかどうかためしてみました。

    まず、RD Gateway用のWindowsインスタンスを立ち上げてElastic IPアドレス(EIP)を割り当てておきます。このとき、RD Gateway用のWindowsインスタンスにはまだ通常通りリモートデスクトップ接続を使用して接続する必要があります。サーバーマネージャーから、「役割の追加」を選択して役割の追加ウィザードを開始して、役割として「リモートデスクトップサービス」を追加します。

    image

    「役割サービスの選択」では、「リモートデスクトップゲートウェイ」のみにチェックをつけて次に進みます。ほかの役割サービスについてはチェックする必要はありません。

    image

    リモートデスクトップゲートウェイの前提として、「Webサーバー(IIS)」と「ネットワクポリシーとアクセスサービス」、「リモートサーバー管理ツール」が必要になることがわかります。「必要な役割サービスを追加」をクリックすることで、これらの役割サービスをまとめてインストールすることができます。

    image

    SSL暗号化用のサーバー認証証明書の選択を行います。外部の証明機関(CA)で発行された証明書がある場合は、ここでインポートすることができます。あるいは、SSL暗号化用の自己署名証明書を作成することもできますが、どちらの場合でも証明書のサブジェクト名はこのサーバーのFQDNと一致している必要があることに注意してください。ここでは、「SSL暗号化の証明書を後で選択する」を選択して次に進みます。

    image

    RDゲートウェイの承認ポリシーの作成を行います。リモートデスクトップの接続承認ポリシー(RD CAP)では、RD Gatewayサーバーに接続できるユーザーを指定することができます。また、リモートデスクトップのリソース承認ポリシー(RD RAP)では、RD Gatewayを経由して接続することのできるサーバーを指定することができます。RD Gatewayを構成するためにはRD CAPとRD RAPの両方のポリシーを作成する必要がありますので、ここでは「今すぐ作成する」を選択して次に進みます。

    image

    デフォルトでは、AdministratorsグループのみがRD Gatewayに接続できるようになっています。Windowsインスタンスへの管理用リモートアクセスの場合、このままの設定で十分かと思いますので、そのまま次へ進みます。

    image

    続いて、RD CAPの名前を入力します。ここでは、デフォルトで表示される名前をそのまま使用しています。また、Windows認証方法としてパスワードのほかにスマートカードも使用することができるようですが、ここではパスワードのみにチェックをつけて次に進みます。

    image

    さらに、RD RAPを作成します。ここでは、RD RAPの名前はデフォルトのまま、「ユーザーがネットワーク上の任意のコンピューターに接続できるようにする」

    image

    ここまでのインストールオプションを確認して、「インストール」をクリックするとRD Gatewayのインストールが開始されます。インストールの完了後に、インスタンスの再起動が必要になる場合があります。

    image

    RD Gatewayのインストールが完了すると、サーバーマネージャーで以下のように表示されます。この状態ではまだサーバー証明書がインストールされていないため、いまから証明書のインストールを行います。まず、「操作」から「プロパティ」をクリックします。

    image

    以下のような画面が表示されますので、「自己署名証明書を作成する」「証明書の作成とインポート」を選択します。

    image

    証明書の名前を入力します。ここで入力する名前は、RD Gatewayを動かしているWindowsインスタンスのFQDNと一致している必要があります。そのため、ここではインスタンスに割り当てたEIPをDNSに登録したFQDNと同じ名前を入力します。「ルート証明書を格納する」にチェックがついていると、ルート証明書がファイルとして保存されます。サーバー側での作業はこれで完了です。

    image

    次に、クライアント側でRD Gatewayに接続する前に、ルート証明書のインストールが必要になります。先ほど作成したルート証明書のファイルをクライアントにコピーして、ダブルクリックすると、以下のような画面が表示されます。まず、「証明書のインストール」をクリックします。

    image

    「証明書のインポートウィザード」で、証明書ストアを選択します。「証明書の種類に基づいて、自動的に証明書ストアを選択する」を選択して次へ進みます。

    image

    「証明書ストアの選択」で、「信頼されたルート証明機関」を選択して「OK」を推します。

    image

    以下のようなセキュリティ警告が表示されますが、ここではそのまま「はい」をクリックして先に進みます。ウィザードを完了させると、ルート証明書のインストールは完了です。

    image

    クライアントでリモートデスクトップ接続を起動して、「詳細設定」タブの「任意の場所から接続する」の「設定」をクリックすると、以下のような画面が表示されます。接続設定で「次のRDゲートウェイサーバー設定を使用する」に、RD GatewayのFQDNを入力します。また、「リモートコンピューターにRDゲートウェイの資格情報を使用する」のチェックをはずしておきます。

    image

    ここまでで、必要な設定はすべて完了です。実際に、WindowsインスタンスにRD Gateway経由でログオンしてみましょう。RD Gatewayを経由することによって、以下の例のようにEIPをもたないVPC内のインスタンスに対してもリモートデスクトップ接続でログオンできるようになります。

    image

    まず、RD Gatewayサーバーに対する認証が必要になりますのでAdministratorのユーザー名およびパスワードを指定してログオンします。

    image

    続けて、ログオンしたいWindowsインスタンスへの認証を行います。該当するWindowsインスタンスの管理者パスワードを入力して「OK」をクリックすると、Windowsインスタンスへのログオンが完了してデスクトップ画面が表示されるはずです。

    image

    Windowsの認証を二回行わなくてもすむようにするためには、VPC内にActive Directoryドメインをたててあげるといいと思います。

    RD Gatewayを使用することによって、HTTPSを使ったWindowsインスタンスへのログオンや、EIPをもたないVPC内のインスタンスに対してのリモートデスクトップ接続ができるようになります!また、SSL証明書を使用することでよりセキュアな接続が可能になりますが、ルート証明書およびパスワードの管理はくれぐれも厳密に行うようにしてください。