0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@s-niim(俊介 新村)inIBM

WorkSpaces PersonalへのPrivateLink 接続 GA

0
Last updated at Posted at 2025-06-27

はじめに

2025/6/26に個人的にとても興味深い新機能がGAしました。
早速検証したので報告します。

どんな機能がリリースされたのか

Amazon WorkSpacesへのPrivateLink接続です。

Amazon WorkSpacesについて

Amazon WorkSpacesについては以下参照ください。

端的にいうとAWSが提供する仮想端末サービスです。
AWSのVPC上に仮想端末を作成してインターネット経由で仮想端末を利用できます。

何が嬉しいのか

従来Amazon WorkSpacesを使用するにはクライアントからWorkSpacesへのインターネット接続が必須でした。

どのような接続が必要かはBlackBeltの以下スライドがわかりやすいです。
image.png

もし専用線で繋ぎたいと言う時でも、Direct ConnectのPublic接続で、AWSの持つPublicなIPアドレスに接続する必要がありました。

今回リリースされた新機能によって、上記スライドのクライアントからAWS上のStreaming Gatewayに至る青い線の経路が、「PrivateLink経由」つまりVPC内のIPアドレスを使って接続することができるようになります。
つまり通常のDirect Connect Private接続でWorkSpacesが使用できるようになります。

現状の制約

以下に記載があります

わかりにくいものもありますが、要約すると下記のようになると思います。
「ユーザー認証のためにインターネット接続が必要」が少し残念です。

  • 利用できるのはWorkSpaces Personalのみ、WorkSpaces Poolsでは使用不可
  • DCVのみ、PCoIPは使用不可
  • PrivateLink接続をDirectoryで設定すると、そのDirectoryのWorkSpacesは全てPrivateLink接続になり、インターネット接続との併用不可
    • ※同じディレクトリに作成したPCoIP WorkSpacesはインターネット接続可
  • IPv4 VPC エンドポイントのみをサポート
  • ユーザー認証のためにインターネット接続が必要
  • クライアントからPrivateLinkのエンドポイントへのルーティングが必要
  • 設定時にc2:DescribeVpcEndpoints権限が必要
  • FIPS暗号化未サポート
  • AWS Global Accelerator(AGA)との統合不可
  • IPアクセスコントロールグループは使用不可

実際に構成してみる。

今回はすでに通常のインターネット接続用のWorkSpacesをPrivateLink接続に変える手順で構成してみます。

既存WorkSpacesとインターネット接続の確認

まず今あるWorkSpaces Personal(DCV)です。リージョンはeu-west-1(ireland)です。
image.png

インターネット側から接続できることを確認します。
image.png

WorkSpacesのVPC Endpoint作成

VPC Endpointをドキュメントの通りに作成します。

サービス名は「highlander」です。

image.png

作成できました。
image.png

作成したEndpointのPrivateIPアドレスは以下でした。
image.png

WorkSpaces Directoryの設定変更

WorkSpacesのDirectoryを作成したVPC Endpointを使用するように設定します。
Directoryの設定画面に設定項目が増えています。

image.png

先ほど作成したEndpointを設定します。
image.png

設定後にInternet経由で接続してみるとエラーになりました。
image.png

VPC内部から接続(WorkSpacesクライアント)

Direct Connectの環境はないので、VPC内のWindows EC2インスタンスにWorkSpacesクライアントを導入して接続します。

image.png

接続できました。
image.png

コマンドプロンプトでnetstat -nを実行してどこに接続しているか確認します。
image.png
VPC EndpointのPrivateIPアドレスに対して、DCV WorkSpacesのストリーミングポートの"4195"で通信していることが確認できました。

VPC内部から接続(WorkSpaces WebAccess)

EdgeのWebAccessでの接続も確認します。
WebAccesesはクライアントアプリケーションではなくブラウザでWorkSpacesが使用できる機能です。

image.png

Edgeでも無事に接続できました。
image.png

同様にVPC EndpointのPrivateIPアドレスに対して4195ポートで通信していることが確認できました。
image.png

まとめ

2025/6/26にGAされたWorkSpaces PersonalへのPrivateLink接続を検証し、実際にWorkSpacesにPrivateIPアドレスでストリーミング接続できることが確認できました。
WorkSpacesの導入でよくひっかかるポイントである「インターネット接続」が一部なりとも不要になったのは大変嬉しく思います。

もう一声、認証のインターネット通信もPrivateLinkに寄せられればさらに嬉しいとは思いますが、認証の通信は一般的なHTTPS(443)のポートなので、だいぶWorkSpaces導入のハードルが低くなったと考えています。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?