はじめに
AWSのWorkspacesやAzureのAVDなどDaaS(Desktop as a Services)が一般的になってきた気がします。一方で、これらは皆の集合住宅となっており、1ユーザー、1仮想マシンごとに管理が必要だったり、仮想化レイヤーが不明瞭なため、一部のソフトウェアが動作しない、あるいはHWリソースの具体的な割り当てが仮想化レイヤーで曖昧となってしまうために、サポートされないといったもの、など、細かくみていくとFitしないケースもあります。
そこで、個人や自社の運用チームで比較的自由にデスクトップを変更できるPrivateなDaaSの作り方を整理してみました。
PrivateなDaaSについて
HWあるいはサーバーのレイヤーから、自社の区画として他と分離して構築するDaaS環境のイメージです。
リソースや搭載ソフトウェアが自社の区画に分離できることで一定のセキュリティを担保しつつ、DaaSを利用できるメリットがあります。一般的には、HWや仮想サーバーのレイヤーで分離するため、その分だけお金がかかるものですが、工夫次第では、小規模なものから作ることはできます。
プライベートDaaSを作る上での選択肢としては、主に以下の選択肢がありそうです。
- サーバー1台からの小規模でより安い運用費にする
- ベアメタルサーバーや仮想サーバー上にWindows Remote Desktop Servicesで作る
- コストは少し高くなっても、管理しやすい状態にしたい
- VMware Horizonなどを使って作る。オンプレだと自社構築・運用という選択肢が一般的だと思いますが、クラウドだと独立環境として作りつつも、構築・運用作業をマネージド業者に任せるパターンもあるようです。(*1)
(*1) Dizzion on IBM Cloud
ちなみに、ある程度の規模になると、VMware HorizonなどでPrivate DaaSを作った方が便利かもしれません。
事例
小規模な作り方
Windows Remote Desktop Services(RDS)を使えば、ささっと作ることができます。
なおWindows RDSには、2つの方式があります。
- Windows RDS Session Host(セッションホスト型)
- 1つのWindows Serverに複数のユーザーが別セッションでログインするもの
- Windows RDS Virtualizaiton Host(仮想化ホスト型)
- Windows ServerにHyper-Vの仮想化レイヤーを挟み、Windows 10などの独立した仮想マシンを構築、それぞれにユーザーがログインできるようにするもの。この環境のメリットは、物理的なCPUから選択できるので、Amazon WorkspacesのようなパブリックDaaSと違って、CPU速度やリソース配分(GPUをサーバーに付けたり、CPUやメモリを単体でスケールアップしたり)を細かく制御できる点ですね。Workspacesを使ってみたとき、自分が期待したよりCPUパワーが弱くてハマりました。サーバーの物理レイヤーから制御できると、そういうハマり方をしないのがいいですね
上記のいずれについても、Windowsの2016から、Active Directoryが必須となりましたので、上記サーバーに同居させるか、別の仮想サーバーとしてActive Directoryを構築する必要があることに注意してください。
- 補足)Windows RDS構築上のサーバーの種類について
セッションホスト型は、仮想サーバーでも物理サーバーでも構築することができます。
ただ、仮想化ホスト型はHyper-Vが仮想化の多段構成を認めていないため、物理サーバー上でのみ構築が可能な構成となります。IBM Cloudには仮想サーバーも、物理サーバーも柔軟なリソースの組み合わせがありますので、どちらも構築することができます。
仮想化ホスト型の作り方はこちらです。
https://qiita.com/ymaruoka/items/453e68a9b48e8b628080
お手軽DaaS環境構築)Windows RDSセッションホストの作り方
簡単なのは、仮想サーバー1台の上にWindows RDSセッションホストを構築する方法ですね。これだと、仮想サーバー1台からなのでお安くできますし、利用ユーザー(セッションユーザー)が環境を汚しても管理者が横から環境をお掃除することもでき、お試しには良さそうです。
さて作り方です。
準備物
- 仮想サーバー1台 (Windows Server OSを指定すること)
- Windows RDS CAL(Windows Serverに2名以上の同時ログインを実現するためには、Windows RDS CALというライセンスをマイクロソフト社から購入し、サーバーにセットする必要があります。購入は自力で購入する必要があります。が、もし困ったら、IBM Cloudのサポートへの問い合わせ(チケット|CASE)でIBM Cloudから調達可能か問い合わせしてみると何か助言をもらえるかもしれません)
WindowsのActive Directoryを構築する
一般情報がたくさんあると思いますので割愛します。
IBM Cloud固有での注意点はこちらをご参照ください。
Windows RDSセッションホストを構築する
1.対象の仮想サーバーをADのドメインに所属させる
所属した後の再起動のポップアップダイアログが出た時、以下のFirewallの設定になっているか確認すること。この時、Firewallの設定がPublicにチェックが入っていない場合、再起動後、IBM CloudのVPNからのリモートデスクトップ接続が遮断され、KVMからしか接続できなくなります。
(セキュリティを考えると正しい振る舞いとは思うのですが、知らないと罠に感じる仕様ですね...)
2.対象の仮想サーバーにログインする
注意としては、RDSのインストールは、Domain Adminユーザーで実施する必要があります。
RDSの導入自体はGUIですので、画面通りの選択で導入が可能です。
- RDSのCollectionを作る。
CollectionはRDSの環境を定義するものです。
これで構築完了です。
- RDS CALの導入
RDSの管理画面にありライセンスマネージャーを導入します。
二種類のライセンスが存在しますので、必要なものを調達します。
https://docs.microsoft.com/ja-jp/windows-server/remote/remote-desktop-services/rds-client-access-license
この後、RDS CALの導入をすれば、指定した数のユーザーが同時ログインして、それぞれの操作を行うことができます。
実績
今回、実際に作ってみて、簡単に動作検証を行いました。
-
RDSセッションホスト100人までの同時操作ができることを確認済みですので、興味があったら作ってみてください。
-
RDS仮想化ホストも20人程度の同時ログインができる構成までは確認済みです。ベアメタルはハイスペックCPUやGPU搭載などで複数台にスケールアウトするケースもあると考え、2台のベアメタルに分散する構成も構築検証済みです。ちゃんと動作しました!
後半(仮想化ホスト編)へ
今回は仮想化ホストの構築手順は記載しませんでしたが、リクエストがあれば考えます。
↓↓↓↓↓
某所からリクエストがあり、作りました。仮想化ホスト型の作り方はこちらです。
https://qiita.com/ymaruoka/items/453e68a9b48e8b628080