日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Google Cloud ( GCP )向け RDS 導入ガイド

寄稿者 tvanroo

概要

本書では、 Google Cloud の NetApp Virtual Desktop Service ( VDS )を利用してリモートデスクトップサービス( RDS )を導入する手順を、順を追って説明します。

このコンセプトの実証( POC )ガイドは、独自のテスト GCP プロジェクトで RDS の導入と構成を迅速に行えるように設計されています。

本番環境の導入、特に既存の AD 環境への導入は非常に一般的ですが、この POC ガイドではプロセスについては考慮していません。複雑な POC や本番環境の導入は、ネットアップ VDS の営業 / サービスチームで開始し、セルフサービスでは実施しないでください。

この POC ドキュメントでは、 RDS 導入全体を説明し、 VDS プラットフォームで利用できる導入後の構成の主な領域について簡単に説明します。完了すると、セッションホスト、アプリケーション、ユーザーを含む、完全に展開された機能的な RDS 環境が実現します。オプションで、自動化されたアプリケーション配信、セキュリティグループ、ファイル共有権限、 Cloud Backup 、インテリジェントなコスト最適化を構成できます。VDS では、 GPO 経由で一連のベストプラクティス設定が導入されます。オプションでこれらの制御を無効にする方法についても説明します。 POC では、管理対象外のローカルデバイス環境と同様に、セキュリティ制御を行わない必要があります。

導入アーキテクチャ

幅 = 75%

RDS の基礎

VDS では、フル機能の RDS 環境が導入され、必要なサポートサービスがすべてゼロから提供されます。この機能には次のものがあります。

  • RDS ゲートウェイサーバ

  • Web クライアントアクセスサーバ

  • ドメインコントローラサーバ

  • RDS ライセンスサービス

  • ThinPrint ライセンスサービス

  • Filezilla FTPS サーバサービス

ガイドの範囲

このガイドでは、 GCP と VDS の管理者の視点から、 NetApp VDS テクノロジを使用した RDS の導入方法を順を追って説明します。GCP プロジェクトを初期構成にする場合、このガイドは RDS のエンドツーエンドの設定に役立ちます

サービスアカウントを作成します

  1. GCP で、 _iam & Admin > Service Accounts _ に移動します(または検索します)

  2. [+] サービスアカウントの作成 _ をクリックします

  3. 一意のサービスアカウント名を入力し、 _CREATE _ をクリックします。後の手順で使用するサービスアカウントのメールアドレスをメモしておきます。

  4. サービスアカウントの _Owner_role を選択し、 _CONTINUE _ をクリックします

  5. 次のページで変更する必要はありません (_ このサービスアカウントへのアクセスをユーザーに許可する ( オプション )_) 。 _done をクリックします

  6. _ サービスアカウント _ ページで ' アクションメニューをクリックして _ キーの作成 _ を選択します

  7. P12_ を選択し、 _CREATE _ をクリックします

  8. .P12 ファイルをダウンロードし、コンピュータに保存します。_Private キーの PASSWORD_Unchanged を実行します。

Google コンピューティング API を有効にします

  1. GCP で、 APIs & Services > Library に移動(または検索)します

  2. GCP API ライブラリで、 Compute Engine API に移動(または検索)し、 _enable_を クリックします

新しい VDS 導入を作成します

  1. VDS で、 Deployments] に移動し、 [+] New Deployment_ をクリックします

  2. 導入環境の名前を入力します

  3. Google Cloud Platform _ を選択します

インフラプラットフォーム

  1. _ プロジェクト ID_ および OAuth 電子メールアドレスを入力します。このガイドの前半の .p12 ファイルをアップロードし、この配置に適したゾーンを選択します。[Test] をクリックして、エントリが正しいことと、適切な権限が設定されていることを確認します。

    注記 OAuth メールは、このガイドで先に作成したサービスアカウントのアドレスです。

  2. 確認したら、 Continue をクリックします

アカウント

ローカル VM アカウント

  1. ローカル管理者アカウントのパスワードを指定します。このパスワードは後で使用するために文書化しておいて

  2. SQL SA アカウントのパスワードを入力します。このパスワードは後で使用するために文書化しておいて

注記 パスワードを複雑にするには、大文字、小文字、数字、特殊文字の 4 種類のうち 3 種類が必要です

SMTP アカウント

VDS では、カスタム SMTP 設定で E メール通知を送信することも、 Automatic を選択して組み込みの SMTP サービスを使用することもできます。

  1. VDS から E メール通知を送信する場合に、送信元アドレスとして使用する E メールアドレスを入力します。_no-reply@<your-domain>.com は一般的な形式です。

  2. 成功レポートを送信する E メールアドレスを入力します。

  3. 障害レポートの送信先となる E メールアドレスを入力します。

レベル 3 の技術者

レベル 3 の技術者アカウント(別名、は 'VDS 環境で VM の管理タスクを実行するときに 'VDS 管理者が使用するドメイン・レベルのアカウントですこの手順以降では、追加のアカウントを作成できます。

  1. レベル 3 管理者アカウントのユーザ名とパスワードを入力します。入力したユーザ名に「 .tech 」が追加され、エンドユーザと技術アカウントを区別できるようになります。これらのクレデンシャルは、あとで使用できるように記録

    注記 環境に対するドメインレベルのクレデンシャルを持つすべての VDS 管理者に対して名前付きアカウントを定義することを推奨します。このタイプのアカウントを持たない VDS 管理者は 'VDS に組み込まれた server_functionality への _Connect 経由で VM レベルの管理者アクセス権を持つことができます

ドメイン

Active Directory

目的の AD ドメイン名を入力します。

パブリックドメイン

外部アクセスは SSL 証明書を使用して保護されます。独自のドメインと自己管理 SSL 証明書を使用してカスタマイズできます。また、 Automatic_ を選択すると、証明書の 90 日の自動更新を含む SSL 証明書を管理することができます。自動を使用する場合は、各導入環境で固有のサブドメイン _cloudworkspace.app_を 使用します。

仮想マシン

RDS の導入では、ドメインコントローラ、 RDS ブローカー、 RDS ゲートウェイなどの必要なコンポーネントをプラットフォームサーバにインストールする必要があります。本番環境では、これらのサービスを専用の冗長仮想マシンで実行する必要があります。コンセプトの実証環境では、 1 台の VM でこれらすべてのサービスをホストできます。

プラットフォーム VM の構成

単一の仮想マシン

これは、 POC 環境で推奨される選択です。シングル仮想マシン環境では、次の役割がすべて 1 つの VM でホストされます。

  • CW Manager の略

  • HTML5 ゲートウェイ

  • RDS ゲートウェイ

  • リモートアプリ

  • FTPS サーバ(オプション)

  • Domain Controller の略

このコンフィグレーションで推奨される RDS 使用事例の最大ユーザー数は 100 ユーザーです。この構成では、ロードバランシングが行われた RDS+ HTML5 ゲートウェイはオプションではないため、冗長性が制限されるだけでなく、将来的に拡張性を高めるためのオプションも制限されます。

注記 この環境がマルチテナンシー用に設計されている場合、シングル仮想マシン構成はサポートされません。
複数のサーバ

VDS プラットフォームを複数の仮想マシンに分割する場合は、次の役割が専用 VM でホストされます。

  • リモートデスクトップゲートウェイ

    VDS セットアップを使用して、 1 つまたは 2 つの RDS ゲートウェイを展開および設定できます。これらのゲートウェイは、オープンインターネットから、導入環境内のセッションホスト VM への RDS ユーザセッションをリレーします。RDS ゲートウェイは重要な機能を処理し、 RDS をオープンインターネットからの直接攻撃から保護し、環境内のすべての RDS トラフィックを暗号化します。2 つのリモートデスクトップゲートウェイが選択されている場合、 VDS セットアップは 2 つの VM を展開し、着信 RDS ユーザーセッションをロードバランシングするように設定します。

  • HTML5 ゲートウェイ

    VDS セットアップを使用して、 1 つまたは 2 つの HTML5 ゲートウェイを導入および設定できます。これらのゲートウェイは、 VDS の Server_feature への _ 接続と Web ベースの VDS クライアント( H5 ポータル)で使用される HTML5 サービスをホストします。2 つの HTML5 ポータルを選択すると、 VDS セットアップによって 2 つの VM が導入され、受信する HTML5 ユーザセッションの負荷を分散するように設定されます。

    注記 複数サーバオプションを使用する場合(インストールされている VDS クライアントのみを介して接続する場合でも) VDS から Server_Functionality への _ 接続を有効にすることを推奨します。
  • 『 Gateway Scalability Notes 』

    RDS のユースケースでは、追加のゲートウェイ VM を使用して環境の最大サイズをスケールアウトでき、 RDS または HTML5 ゲートウェイは約 500 ユーザをサポートします。ゲートウェイの追加は、ネットアッププロフェッショナルサービスによるサポートが最小限で済むため、後で追加できます

この環境がマルチテナンシー用に設計されている場合は、 _multiple servers _ selection を指定する必要があります。

サービスの役割
  • Cwmgr1

    この VM はネットアップ VDS 管理 VM です。SQL Express データベース、ヘルパーユーティリティ、およびその他の管理サービスを実行します。a_single server_deployment では、この VM は他のサービスもホストできますが、 _multiple server_configuration では、これらのサービスは別の VM に移動されます。

  • CWPortal1(2)

    最初の HTML5 ゲートウェイの名前は CWPortal1'2 番目は _CWPortal2_です導入時に 1 つまたは 2 つ作成できます。導入後にサーバを追加して容量を増やすことができます(サーバあたり最大 500 接続)。

  • CWRDSGateway1 ( 2 )

    最初の RDS ゲートウェイの名前は CWRDSGateway1、 2 番目は _CWRDSGateway2_です 。導入時に 1 つまたは 2 つ作成できます。導入後にサーバを追加して容量を増やすことができます(サーバあたり最大 500 接続)。

  • リモートアプリ

    App Service は、 RemotApp アプリケーションをホストするための専用コレクションですが、 RDS ゲートウェイとその RDWeb ロールを使用して、エンドユーザセッション要求をルーティングし、 RDWeb アプリケーションサブスクリプションリストをホストします。このサービスロールには VM 専用 VM が導入されていません。

  • ドメインコントローラ

    導入時に 'VDS と連携するように 1 つまたは 2 つのドメインコントローラを自動的に構築および構成できます

オペレーティングシステム

プラットフォームサーバーに展開するサーバーオペレーティングシステムを選択します。

タイムゾーン

希望するタイムゾーンを選択します。プラットフォームサーバがこの時間に設定され、ログファイルにこのタイムゾーンが反映されます。この設定に関係なく、エンドユーザセッションには、自身のタイムゾーンが反映されます。

その他のサービス

FTP

VDS では、オプションで Filezilla をインストールして設定し、 FTPS サーバで環境との間でデータを移動することができます。このテクノロジーは古く、より最新のデータ転送方法( Google ドライブなど)を推奨します。

ネットワーク

VM をそれぞれの目的に応じて別のサブネットに分離することを推奨します。

ネットワークスコープを定義し、 /20 範囲を追加します。

VDS セットアップは、検出して、成功したことを示す範囲を提案します。ベストプラクティスに従い、サブネット IP アドレスはプライベート IP アドレス範囲にする必要があります。

範囲は次のとおりです。

  • 192.168.0.0 ~ 192.168.255.255

  • 172.16.0.0 ~ 172.31.255.255

  • 10.0.0.0 ~ 10.255.255.255

必要に応じて確認と調整を行い、 [ 検証 ] をクリックして、次のそれぞれのサブネットを特定します。

  • テナント:セッションホストサーバとデータベースサーバが配置される範囲です

  • サービス: Cloud Volumes Service などの PaaS サービスが提供される範囲です

  • プラットフォーム : プラットフォームサーバーが存在する範囲です

  • Directory : AD サーバが配置される範囲です

ライセンス

SPLA#

VDS で RDS ライセンスサービスを構成して SPLA RDS CAL レポートを簡単に作成できるように、 SPLA 番号を入力します。POC 導入では一時的な番号( 12345 など)を入力できますが、試用期間( 120 日以内)後、 RDS セッションの接続は停止します。

SPLA 製品

SPLA でライセンスされた Office 製品の MAK ライセンスコードを入力して 'VDS レポートから SPLA レポートを簡単に作成できるようにします

ThinPrint

同梱の ThinPrint ライセンスサーバとライセンスをインストールして、エンドユーザーのプリンタのリダイレクトを簡素化します。

レビューとプロビジョニング

すべての手順が完了したら、選択内容を確認し、環境を検証してプロビジョニングします。

次のステップ

導入の自動化プロセスでは、導入ウィザードで選択したオプションを使用して、新しい RDS 環境が導入されるようになりました。

導入が完了すると、複数の E メールが送信されます。完了すると、最初のワークスペースに対応できる環境が整います。ワークスペースには、エンドユーザーをサポートするために必要なセッションホストとデータサーバーが含まれます。このガイドに戻って、導入の自動化が 1~2 時間で完了したら次の手順に進みます。

新しいプロビジョニングコレクションを作成します

コレクションのプロビジョニングは、 VM イメージの作成、カスタマイズ、 Sysprep を可能にする VDS の機能です。ワークプレースの導入に入ると、導入するイメージが必要になり、次の手順で VM イメージを作成します。

導入の基本イメージを作成するには、次の手順を実行します。
  1. [Deployments] > [Provisioning Collections] に移動し、 [_Add] をクリックします

  2. 名前と概要を入力します。[Type] に [Shared_] を選択します。

    注記 共有または VDI を選択できます。Shared は、セッションサーバと、データベースなどのアプリケーション用のビジネスサーバ(オプション)をサポートします。VDI は VM 用の単一の VM イメージで、個々のユーザ専用になります。
  3. [ 追加 ] をクリックして、ビルドするサーバーイメージのタイプを定義します。

  4. 「 TSData 」を「 server role」 、適切な VM イメージ(この場合は「 Server 2016 」)、および必要なストレージタイプとして選択します。サーバーの追加 _ をクリックします

  5. 必要に応じて、このイメージにインストールするアプリケーションを選択します。

    1. 使用可能なアプリケーションのリストは、 App Library から読み込まれます。 App Library にアクセスするには、右上にある _ 設定 > App Catalog_page の下にある管理者名メニューをクリックします。

  6. [ コレクションの追加 ] をクリックし、 VM が作成されるまで待ちます。VDS は、アクセスおよびカスタマイズ可能な VM を構築します。

  7. VM のビルドが完了したら、サーバに接続し、必要な変更を行います。

    1. ステータスに「 Collection Validation」 と表示されたら、コレクション名をクリックします。

    2. 次に、 _ サーバテンプレート名 _ をクリックします

    3. 最後に、 Connect to Server ボタンをクリックします。接続され、ローカル管理者資格情報を使用して VM に自動的にログインします。

  8. すべてのカスタマイズが完了したら、 _Validate Collection_so VDS を使用して sysprep を実行し、イメージをファイナライズできます。完了すると VM が削除され、 VDS 導入ウィザードで導入フォームを使用できるようになります。

    5.

新しいワークスペースを作成します

ワークスペースは、ユーザーのグループをサポートするセッションホストとデータサーバーの集合です。導入環境には、単一のワークスペース(シングルテナント)または複数のワークスペース(マルチテナント)を含めることができます。

ワークスペースは、特定のグループの RDS サーバーコレクションを定義します。この例では、仮想デスクトップ機能をデモンストレーションするために単一のコレクションを導入します。ただし、モデルを複数のワークスペース /RDS コレクションに拡張して、同じ Active Directory ドメイン領域内の異なるグループと異なる場所をサポートすることもできます。管理者は、必要に応じて、ワークスペースやコレクション間のアクセスを制限して、アプリケーションやデータへのアクセスを制限するなどのユースケースに対応できます。

クライアント設定( &S )

  1. NetApp VDS で、 _ ワークスペース _ に移動し、 _ + 新規ワークスペース _ をクリックします

  2. Add をクリックして ' 新しいクライアントを作成しますクライアントの詳細は、通常、会社情報または特定の場所 / 部門の情報のいずれかを表します。

    1. 会社の詳細を入力し、このワークスペースを配置する展開を選択します。

    2. * データドライブ: * 会社の共有マップドライブに使用するドライブ文字を定義します。

    3. * ユーザー・ホーム・ドライブ:マップされたドライブに使用するドライブ文字を定義します

    4. * 追加設定 *

      以下の設定は、導入時または導入後に定義できます。

      1. _ リモートアプリを有効にする: _ リモートアプリは、完全なリモートデスクトップセッションを表示するのではなく、ストリーミングアプリケーションとしてアプリケーションを表示します。

      2. _App Locker を有効にする: _VDS にはアプリケーションの展開とエンタイトルメント機能が含まれています。デフォルトでは、システムはエンドユーザーに対してアプリケーションを表示 / 非表示にします。App Locker を有効にすると、 GPO セーフリストを介したアプリケーションアクセスが強制されます。

      3. ワークスペースユーザーデータストレージを有効にする:エンドユーザーが仮想デスクトップでデータストレージアクセスを行う必要があるかどうかを判断します。RDS 環境では、ユーザプロファイルのデータアクセスを有効にするには、この設定を常にチェックする必要があります。

      4. _ プリンタアクセスを無効にする: _VDS はローカルプリンタへのアクセスをブロックできます。

      5. _ タスクマネージャへのアクセスを許可する :_VDS は、 Windows のタスクマネージャへのエンドユーザーアクセスを有効または無効にすることができます。

      6. 複雑なユーザーパスワードを要求する :_ 複雑なパスワードを要求すると、ネイティブの Windows Server の複雑なパスワードルールが有効になります。また、ロックされたユーザアカウントの自動ロック解除の遅延時間も無効になります。このため、有効にすると、エンドユーザが複数回失敗したパスワードを使用してアカウントをロックする場合に、管理者の介入が必要になります。

      7. すべてのユーザーに対して MFA を有効にする :_VDS には無料の電子メール /SMS MFA サービスが含まれており、エンドユーザーや VDS 管理者アカウントへのアクセスを保護するために使用できます。これを有効にすると、このワークスペースのすべてのエンドユーザーが MFA を使用して認証し、デスクトップやアプリケーションにアクセスする必要があります。

アプリケーションを選択します

このガイドで前の手順で作成した Windows OS バージョンと Provisioning コレクションを選択します。

この時点でアプリケーションを追加することもできますが、この POC では、導入後にアプリケーションの使用権に対処します。

ユーザを追加します

ユーザを追加するには、既存の AD セキュリティグループを選択するか、個々のユーザを選択します。この POC ガイドでは、導入後にユーザを追加します。

レビューとプロビジョニング

最後のページで、選択したオプションを確認し、 _Provision _ をクリックして、 RDS リソースの自動ビルドを開始します。

注記 展開プロセス中にログが作成され、展開詳細ページの下部にある _ タスク履歴 _ でアクセスできます。アクセスするには、 _VDS > 配置 > 配置名 _ に移動します

次のステップ

ワークプレース自動化プロセスでは、導入ウィザードで選択したオプションを使用して、新しい RDS リソースを配置できるようになりました。

完了すると、一般的な RDS 配置をカスタマイズするためのいくつかの一般的なワークフローを実行できます。