ブログシリーズ 【第1回】AVDを活用し、DXを進める(基礎編)の続き
皆さん、こんにちは。今回は、Azure Virtual Desktop (AVD) を活用し、DX を進めるシリーズのブログ第2弾となります。クラウドオンリーのシーンベースとして、AVD環境を構築する手順(OSイメージの用意からホストのメンテナンスまで)を前編/後編に分けてご紹介いたします。
それでは、早速ですが、前半の本題に入ります。
構築手順
今回は、以下の構成図で環境を構築します。
AVD構築するためには、大まかに以下の流れとなります。
- ライセンスの購入
- OSイメージの用意
- AVDネットワークアーキテクチャの設計
- AAD DSの構成
- FSLogixのストレージの設計
- ドメイン側の準備
- ホストプールの作成
- セッションホストへの接続
今回の前編では、「1. ライセンスの購入」から、「4. AAD DSの構成」 まで説明します。
「5. FSLogix のストレージの設計」以降は、後編で説明いたします。
1. ライセンスの購入
事前準備として、ライセンスの購入が必要となります。
前回のブログをご参照いただき、必要のライセンスをご購入ください。
2. OSイメージの用意
AVD環境を効率的に構築するためには、オンプレミス環境と同様に、OSイメージをまず用意しましょう。
基本的なやり方は、オンプレミス環境と同じですが、いくつかAzure上での特別なステップも含まれます。詳しい手順は以下をご参照ください。オンプレミス環境と同様の部分についての手順は割愛します。
- イメージ作成用のVMを作成する
- 言語パックをインストール
- 必要なアプリケーションをインストール
- レイアウトのカスタマイズ
- 不要なアプリケーションを削除する
- グループポリシーの設定
- (オプション)[Virtual Desktop Optimization Tool] の実行
- (オプション)FSLogixをインストール
- 検証
- Sysprepを実行する
- ポータルで管理対象イメージを作成する
- OSイメージを展開と検証 (単体テスト)
各項目の詳細は以下のとおりになります。
A. イメージ作成用のVMを作成する
ここは、オンプレミス環境と違う部分です。オンプレミス環境では、VMではなく、物理デバイスをご利用するのが一般的です。なぜなら、ドライブなどの問題を配慮しないといけないからです。Azureでは、VMなので、ドライブなどを配慮する必要ないので※1、すこしは楽かもしれません。
※1勿論Azure N シリーズ VM などGPUを利用するVMでは、ドライブをインストールする必要がありますが、拡張機能によりインストールすれば良いので、イメージを作成する段階では、配慮しなくてもよいです。
また、Azureに詳しくない方は、以下の詳細手順を参照しながら、VMを作成してください。
(1) Azure Portalにログインします。
(2) [リソースの作成] を選択します。
(3) [Compute] を選択し、[仮想マシン] を選択します。
(4) [サブスクリプション] を選択する。
(5) [新規作成] をクリックして、リソースグループを作成します。
※既存のリソースグループを選択してもよいです。
(6) [仮想マシン名] を指定します。例:win10template
(7) [地域] を [東日本] に選択します。
(8) [可用性オプション] を [インフラストラクチャ冗長は必要ありません] を選択します。
(9) [イメージ] をご利用する予定のWindowsバージョンに合わせて選択します。例:Windows 10 Enterprise multi-session, Version 2004 – Gen1
(10) [サイズ] を選択します。
(11) 管理者の [ユーザー名] と [パスワード] を指定します。
(12) [パブリック受信ポート] を [選択したポートを許可する] を指定します。
(13) [マルチテナントをホストする権利を持つ有効なWindows 10 ライセンスを所有しています] をチェックします。
※ 具体的なライセンスについては、[https://docs.microsoft.com/ja-jp/azure/virtual-machines/windows/windows-desktop-multitenant-hosting-deployment]をご参照ください。
(14) [次:ディスク >] をクリックします。
(15) [OSディスクの種類] を [Standard SSD (ローカル冗長ストレージ)] に選択します。
※ コストパフォーマンスを配慮し、一般的にはOSイメージを作成する際には、Standard SSDをお勧めします。実際の運用に合わせて、選定ください。
(16) [暗号化の種類] を [(既定)プラットフォーム マネージドキーを使用した保存時の暗号化] に選択します。
(17) [次:ネットワーク >] をクリックします。
(18) ネットワークについては、規定のままで良いです。つきましては、新規の仮想ネットワークを作成し、パブリックIPを付与し、ポート3389をNSGにより公開することです。
(19) [次:管理 >] をクリックします。
(20) [自動シャットダウンを有効にする] のチェックを外します。ここでは、OSイメージを作成する途中とかのシャットダウンを防ぐため、手動でVMのシャットダウンや削除することは一般的です。
(21) [パッチオーケストレーション オプション] を [手動で更新] に選択します 。これも、オンプレミス環境と同じ考え方で、指定されたOSの更新を適用し検証する必要がありますので、手動で更新するのは一般的です。
(22) その他は規定のままで良いです。
(23) [詳細] と [タグ] の部分については、特に変更がないため、割愛します。
(24) [確認および作成] をクリックします。
(25) 検証に成功しましたら、[作成] をクリックします
(26) デプロイが完了したら、[リソースに移動] をクリックします。
(27) [接続] を選択してから、[RDP] を選択します。
(28) [RDPファイルのダウンロード] をクリックします。
(29) ダウンロードしたいRDPファイルをクリックし、ユーザー認証情報を入力して、仮想マシンに接続します。
以下B~Fはオンプレミス環境の操作とほぼ同じなので、通常のタスクのみをリストします。
B. 言語パックをインストール
C. 必要なアプリケーションをインストール
D. レイアウトのカスタマイズ
E. 不要のアプリケーションを削除する
F. グループポリシーの設定
G. (オプション)[Virtual Desktop Optimization Tool]の実行
以下のMS公開資料を参照ください。
H. (オプション)FSLogixをインストール
オプションと書いていますが、Personal Poolではない場合では、ユーザープロファイル問題を解決には不可欠です。VDI環境では、ログインする度に違うデスクトップが割り当てられる可能性があります。そのため、ユーザープロファイルをファイルサーバーに保存し、ユーザーがログインした際に、自身のプロファイルをファイルサーバーから読み込む必要があります。
AVDサービスでは、ユーザー プロファイル ソリューションとして FSLogix プロファイル コンテナーが推奨されています。FSLogixは2018 年 11 月 19 日に、MSに買収されていたため、ファーストパーティ製品となります。
FSLogixは以下5つの機能で、多くのプロファイル コンテナーの課題に対処しています。
① Office Containers
ユーザープロファイル内の[Outlook/OneNote/OneDrive]をVHD(X)として、1箇所のファイルサーバーに保存する。
② Profile Containers
ユーザープロファイル全体をVHD(X)として、1箇所のファイルサーバーに保存が可能。
ログイン時には、VHD(X)をマウントしてユーザープロファイルを利用する。
③ Cloud Cache
ユーザープロファイル全体をVHD(X)として、ファイルサーバーとPage Blobに保存が可能。
ログイン時には、VHD(X)をマウントしてユーザープロファイルを利用する。
④ Application Masking
VDIにインストールした各種アプリケーションを、管理者が指定したユーザーにのみ利用を許可する機能。リアルタイムに変更が可能。
⑤ Java Version Control
ブラウザなど各種アプリケーションにて使用される、Javaのバージョンを変更する事が可能
この中に、一番利用されているのは[Profile Containers]です。これから、[Profile Containers]についての利用する流れをご紹介します。
- FSLogix プロファイルの置き場を選定
上記で述べているように、プロファイルをファイルサーバーに置くので、まずプロファイルの置き場を選定する必要があります。一般的には、コストパフォーマンスの観点から、ご選択いただければと思います。つまり、必要のIOPS/Throughputを把握して、使えるオプションを選択いただければと思います。詳しくは、以下のFSLogixのストレージの設計の部分にてご説明します。
- (オプション)GPOを構築する
FSLogixに関連するGPOを設定することで、Containerをストレージとか、ログインする際の動作とかを指定することが可能です。
以下の観点から、LocalのGPOではなく、ドメインのGPOで設定するをお勧めします。
(ア) テスト環境と本番環境の設定を分ける。
適用したい設定、テスト用のOUあるいは、AD Groupを指定することができます。
(イ) 移行しやすい。
例えば、ストレージを変更したい場合、ドメインGPOで設定すれば、ユーザーが次回サインインする際に、反映されます。
以下I~Jもオンプレミス環境の操作とほぼ同じなので、通常のタスクのみをリストします。
I. 検証
J. Sysprepを実行する
K. ポータルで管理対象イメージを作成する
この部分は、Azure上で操作する必要があるため、詳しい手順を以下にご参照ください。
(1) Azure Portalにログインします。
(2) [Virtual Machines] を検索して選択します。
(3) 一覧から該当する VM を選択します。
(4) VMの [仮想マシン] ページの上部のメニューで、[キャプチャ] を選択します。
(5) [ターゲット イメージ ギャラリー] にて、[新規作成] をクリックし、イメージを保存するためのギャラリーを作成します。
(6) [ターゲットイメージ定義] にて、[新規作成] をクリックし、[イメージの定義名] などの情報を入力してから、[OK] をクリックします。
(7) バージョン番号を指定します。例: 1.0.0
(8) その他の設定を規定のままで、[確認および作成] をクリックします。
(9) 検証に成功したら、[作成] をクリックします。
(10) デプロイが完了したら、[リソースに移動] をクリックします。
L. OSイメージを展開と検証 (単体テスト)
こちらもAzure上で操作する必要があります。大まかな手順以下となります。
(1) 上記ステップで移動したイメージバージョン画面にて、[VMの作成] をクリックする。
(2) 上記VMの作成手順をご参照し、必要の情報を入力して、VMを作成する。
(3) RDPを経由して、VMにアクセスする。
(4) テストを実行する。
上記ステップに従ってテストを行い、問題が無くなるまで、繰り返し実施を行います。そして、次のステップに入ります。
ここまで、AVDを導入する準備が完了です。これから、AVDの導入手順を紹介します。
3. AVDネットワーク アーキテクチャの設計
利用人数は、セッションホストの台数に影響し、台数は様々なリソースの制限に影響します。スポーク(一仮想ネットワーク)あたり、1000VM以下を目処にしてください。
拡張性を確保するために、Azure のハブスポーク ネットワーク トポロジを活用することお勧めします。
本ブログでは、小規模企業に向け(1000 VM以下)の想定なので、1つの仮想ネットワークにまとめます。
仮想ネットワークを作成する
(1)Azure portal にサインインします。
(2)検索ボックスに、[仮想ネットワーク] と入力します。 検索結果から [仮想ネットワーク] を選択します。
(3)[仮想ネットワーク] ページで、 [作成] を選択します。
(4)[仮想ネットワークの作成] の [基本] タブで入力または選択します。
(5)[IPアドレス] で以下のように入力します。
(6)[確認および作成] をクリックして、[作成]をクリックします。
4. AAD DS の構成
AAD DSのマネージド ドメインを作成する
以下の手順で、AAD DSのマネージド ドメインを構成します。
(1) Azure portal メニュー上または [ホーム] ページから [リソースの作成] を選択します。
(2) 検索バーに [Domain Services] と入力し、検索候補から [Azure AD Domain Services] を選択します。
(3) [Azure AD Domain Services] ページで [作成] を選択します。 [Azure AD Domain Services の有効化] ウィザードが起動します。
(4) マネージド ドメインを作成する Azure サブスクリプション を選択します。
(5) マネージド ドメインが属する リソース グループ を選択します。 リソース グループを 新規作成 するか、既存のリソース グループを選択してください。
(6) DNS ドメイン名 を入力します。これは、AAD のプライマリ ドメインと一致すればよいです。
(7) マネージド ドメインを作成する Azure の 地域 を選択します。例えば、東日本。
(8) SKUを選択します。パフォーマンスとバックアップの頻度は SKU によって決まります。 マネージド ドメインの作成後、ビジネス上の需要や要件に変化が生じた場合は SKU を変更できます。 ここは、Standard SKUを選択します。
(9) フォレストの種類をユーザーに選択します。
(10)[ネットワーク]で上記作成した 仮想ネットワークとサブネット を選択します。
(11)[確認および作成] を選択して、これらの既定の構成オプションをそのまま使用します。
(12)[作成] をクリックし、マネージド ドメインを作成します。
(13)デプロイが完了したら、[リソースに移動] をクリックする。
(14)[構成の診断] を選択し、[実行] をクリックします。
(15)[DNSレコード] のしたにある [修正] をクリックします。
(16)[修正] をクリックします。このステップにより、AAD DSが所在した仮想ネットワークのDNSサーバーに、AAD DSのIPが自動的に追加されます。
(17)管理者のパスワードを変更します。このステップより、AAD DSにて、正しくユーザーのパスワードハッシュ同期させるためです。Azure AD Domain Services に対してパスワード ハッシュ同期を有効にするまで、ユーザーが Secure LDAP を使用してバインドしたり、マネージド ドメインにサインインしたりすることはできません。
- Azure AD アクセス パネルのページ (https://myapps.microsoft.com) に移動します。
- 右上隅にあるご自身の名前を選択し、ドロップダウン メニューから [プロファイル] を選択します。
- [プロファイル] ページの [パスワードの変更] を選択します。
- [パスワードの変更] ページで既存の (古い) パスワードを入力した後、新しいパスワードを入力して、それを確認します。
- [Submit] (送信) をクリックします。
パスワードの変更後、Azure AD DS で新しいパスワードを使用したり、マネージド ドメインに参加しているコンピューターに正常にサインインしたりできるようになるまでには数分かかります。
まとめ
前半は、クラウドオンリーの利用シーンにして、AVDの構築手順のライセンスの購入、OSイメージの用意、AVDネットワーク アーキテクチャの設計、AAD DS の構成について説明いたしました。
後半は、FSLogix のストレージの設計、ドメイン側の準備、ホストプールの作成、セッションホストへの接続について、説明いたします。
【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~後編~ に続く
~~~~~ ”Azure Virtual Desktop(AVD)を活用してみよう”【全5回】シリーズ ~~~~~
☆【第1回】AVDを活用し、DXを進める(基礎編)
☆【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~前編~
☆【第2回】AVDを活用し、DXを進める(構築編-クラウド オンリー)~後編~
☆【第3回】AVDを活用し、DXを進める(構築編-ハイブリッドクラウド)~前編~
☆【第3回】AVDを活用し、DXを進める(構築編-ハイブリッドクラウド)~後編~
☆【第4回】AVDを活用し、DXを進める(運用編)
☆【第5回掲載予定】AVDを活用し、DXを進める(統括編)