Citrix DaaS

AWS仮想化環境

この記事では、Citrix DaaSで使用できるリソースの場所としてAWSアカウントを設定する方法について説明します。

このリソースの場所には基本的なコンポーネントセットのみが含まれており、概念実証など、リソースを複数のアベイラビリティゾーンに展開する必要のない展開に最適です。

この記事のタスクを完了すると、リソースの場所に次のコンポーネントが追加されます:

  • 単一アベイラビリティゾーン内にパブリックサブネットとプライベートサブネットを持つ仮想プライベートクラウド(VPC)。
  • VPCのプライベートサブネットに配置され、Active DirectoryドメインコントローラーとDNSサーバーの両方として実行されるインスタンス。
  • VPCのプライベートサブネットに配置され、Citrix Cloud Connectorがインストールされた2つのドメイン参加済みインスタンス。
  • VPCのパブリックサブネットに配置され、要塞ホストとして機能するインスタンス。このインスタンスは、管理目的でプライベートサブネット内のインスタンスへのRDP接続を開始するために使用されます。リソースの場所の設定が完了したら、このインスタンスをシャットダウンし、アクセスできないようにしてもかまいません。プライベートサブネット内の他のインスタンス(VDAインスタンスなど)を管理する必要性が生じた場合に、このインスタンスを再起動できます。

本記事のタスクの完了後、VDAのインストール、マシンのプロビジョニング、マシンカタログの作成、デリバリーグループの作成を行えます。

タスクの概要

パブリックサブネットとプライベートサブネットを持つ仮想プライベートクラウド(VPC)の設定。このタスクを完了すると、パブリックサブネット内のエラスティックIPアドレスを持つNATゲートウェイがAWSによって展開されます。これにより、プライベートサブネット内のインスタンスからインターネットにアクセスできるようになります。パブリックサブネット内のインスタンスが受信パブリックトラフィックにアクセスできるようになりますが、プライベートサブネット内のインスタンスはアクセスできません。

セキュリティグループの構成。セキュリティグループは、VPC内のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。セキュリティグループにルールを追加することで、パブリックサブネット内のインスタンスがプライベートサブネット内のインスタンスと通信できるようになります。また、これらのセキュリティグループを仮想プライベートクラウド内の各インスタンスに関連付けることもできます。

DHCPオプションセットの作成。Amazon VPCではデフォルトでDHCPサービスとDHCPサービスが提供されるため、Active DirectoryドメインコントローラーのDNSの構成方法が変わります。AmazonのDHCPを無効にすることはできません。またAmazonのDNSは、Active Directoryの名前解決には使用できず、パブリックDNS解決にのみ使用できます。DHCP経由でインスタンスに渡すドメインサーバーとネームサーバーを指定するため、DHCPオプションセットを作成します。このセットによりActive Directoryドメインサフィックスを割り当てて、VPC内のすべてのインスタンスにDNSサーバーを指定します。ドメインへのインスタンスの参加時にホスト(A)レコードと逆引き参照(PTR)レコードが自動的に登録されるようにするため、プライベートサブネットに追加するインスタンスごとに、ネットワークアダプタープロパティを構成します。

VPCへの要塞ホスト、ドメインコントローラー、Citrix Cloud Connectorの追加。要塞ホストにより、プライベートサブネット内のインスタンスにログオンし、ドメインの設定、ドメインへのインスタンスの追加、Cloud Connectorのインストールを行うことができます。

タスク1:VPCを設定する

  1. AWSマネジメントコンソールで [VPC] を選択します。
  2. VPCダッシュボードで、[Create VPC] を選択します。
  3. [VPC and more] を選択します。
  4. [NAT gateways ($)]で [In 1 AZ] または [1 per AZ] を選択します。
  5. [DNS]オプションで [Enable DNS hostnames] が選択されたままにします。
  6. [Create VPC] を選択します。AWSにより、パブリックサブネット、プライベートサブネット、インターネットゲートウェイ、ルートテーブル、デフォルトのセキュリティグループが作成されます。

注:

AWSコンソールでAWS仮想プライベートクラウド(VPC)の名前を変更すると、Citrix Cloudの既存のホスティングユニットが破損します。ホスティングユニットが破損している場合、カタログを作成したり、既存のカタログにマシンを追加したりすることはできません。既知の問題から:PMCS-7701

タスク2:セキュリティグループを構成する

このタスクでは、VPC用に次のセキュリティグループを作成して構成します:

  • パブリックサブネット内のインスタンスを関連付けるパブリックセキュリティグループ。
  • プライベートサブネット内のインスタンスを関連付けるプライベートセキュリティグループ。

セキュリティグループを作成するには:

  1. VPCダッシュボードで、[Security Groups] を選択します。
  2. パブリックセキュリティグループのセキュリティグループを作成します。[Create Security Group] を選択し、グループの名前タグと説明を入力します。[VPC]では、先ほど作成したVPCを選択します。[Yes, Create] を選択します。

パブリックセキュリティグループを構成する

  1. セキュリティグループの一覧で、先ほど作成したパブリックセキュリティグループを選択します。
  2. [Inbound Rules] タブを選択し、[Edit]を選択して次の規則を作成します:

    種類 接続元
    すべてのトラフィック プライベートセキュリティグループを選択します。
    すべてのトラフィック パブリックセキュリティグループを選択します。
    ICMP 0.0.0.0/0
    22(SSH) 0.0.0.0/0
    80(HTTP) 0.0.0.0/0
    443(HTTPS) 0.0.0.0/0
    1494(ICA/HDX) 0.0.0.0/0
    2598(セッション画面の保持) 0.0.0.0/0
    3389(RDP) 0.0.0.0/0
  3. 最後に [Save] を選択します。
  4. [Outbound Rules] タブを選択し、[Edit] を選択して次の規則を作成します。

    種類 接続先
    すべてのトラフィック プライベートセキュリティグループを選択します。
    すべてのトラフィック 0.0.0.0/0
    ICMP 0.0.0.0/0
  5. 最後に [Save] を選択します。

プライベートセキュリティグループを構成する

  1. セキュリティグループの一覧で、先ほど作成したプライベートセキュリティグループを選択します。
  2. パブリックセキュリティグループからのトラフィックに対する設定をまだ行っていない場合は、TCPポートを設定する必要があります。[Inbound Rules] タブを選択し、[Edit] を選択して次の規則を作成します:

    種類 接続元
    すべてのトラフィック プライベートセキュリティグループを選択します。
    すべてのトラフィック パブリックセキュリティグループを選択します。
    ICMP パブリックセキュリティグループを選択します。
    TCP 53(DNS) パブリックセキュリティグループを選択します。
    UDP 53(DNS) パブリックセキュリティグループを選択します。
    80(HTTP) パブリックセキュリティグループを選択します。
    TCP 135 パブリックセキュリティグループを選択します。
    TCP 389 パブリックセキュリティグループを選択します。
    UDP 389 パブリックセキュリティグループを選択します。
    443(HTTPS) パブリックセキュリティグループを選択します。
    TCP 1494(ICA/HDX) パブリックセキュリティグループを選択します。
    TCP 2598(セッション画面の保持) パブリックセキュリティグループを選択します。
    3389(RDP) パブリックセキュリティグループを選択します。
    TCP 49152~65535 パブリックセキュリティグループを選択します。
  3. 最後に [Save] を選択します。

  4. [Outbound Rules] タブを選択し、[Edit] を選択して次の規則を作成します。

    種類 接続先
    すべてのトラフィック プライベートセキュリティグループを選択します。
    すべてのトラフィック 0.0.0.0/0
    ICMP 0.0.0.0/0
    UDP 53(DNS) 0.0.0.0/0
  5. 最後に [Save] を選択します。

タスク3:インスタンスを起動する

次の手順に従い、EC2インスタンスを4つ作成し、Amazonで生成されたデフォルトの管理者パスワードの暗号化を解除します:

  1. AWSマネジメントコンソールで [EC2] を選択します。
  2. EC2ダッシュボードで [Launch Instance] を選択します。
  3. Windows Serverマシンのイメージとインスタンスの種類を選択します。
  4. [Configure Instance Details] ページで、インスタンスの名前を入力し、先ほど設定したVPCを選択します。
  5. [Subnet] で、各インスタンスに対して次の選択を行います:
    • Bastion host:パブリックサブネットを選択します
    • Domain controller and Connectors:プライベートサブネットを選択します
  6. [Auto-assign Public IP address] で、各インスタンスに対して次の選択を行います:

    • Bastion host:[Enable] を選択します
    • Domain controller and Connectors:[Use default setting] または [Disable] を選択します
  7. [Network Interfaces] で、ドメインコントローラーインスタンスとCloud Connectorインスタンスに、プライベートサブネットのIP範囲に含まれるプライマリIPアドレスを入力します。
  8. 必要に応じて、[Add Storage] ページでディスクサイズを変更します。
  9. [Tag Instance] ページで、各インスタンスにわかりやすい名前を付けます。
  10. [Configure Security Groups] ページで、[Select an existing security group] を選択し、インスタンスごとに次の選択を行います:

    • Bastion host:パブリックセキュリティグループを選択します。
    • Domain controller and Cloud Connectors:プライベートセキュリティグループを選択します。
  11. 選択した内容を確認し、[Launch] を選択します。
  12. 新しいキーペアを作成するか、既存のキーペアを選択します。新しいキーペアを作成する場合は、秘密キー(.pem)ファイルをダウンロードして安全な場所に保管します。インスタンスのデフォルトの管理者パスワードを取得するときに、この秘密キーを提供する必要があります。
  13. [Launch Instances] を選択します。[View Instances] をクリックしてインスタンスの一覧を表示します。新しく起動したインスタンスがすべての状態チェックに合格するまで待ってから、インスタンスにアクセスします。
  14. 各インスタンスのデフォルトの管理者パスワードを取得します。

    1. インスタンスの一覧で目的のインスタンスを選択し、[Connect] を選択します。
    2. [RDP client] タブに移動し、[Get Password] を選択し、プロンプトが表示されたら秘密キー(.pem)ファイルをアップロードします。
    3. 人間が判読できるパスワードを取得するには、[Decrypt Password] を選択します。AWSにデフォルトのパスワードが表示されます。
  15. 4つのインスタンスを作成し終わるまで、手順2以降のすべてのステップを繰り返します:

    • パブリックサブネットに含まれる1つの踏み台ホストインスタンス
    • プライベートサブネットに含まれる3つのインスタンスは次のように使用されます:
      • 1つをドメインコントローラーとして使用
      • 2つをCloud Connectorとして使用

タスク4:DHCPオプションセットを作成する

  1. VPCダッシュボードで [DHCP Options Sets] を選択します。
  2. 次の情報を入力します:

    • Name tag:オプションセットのフレンドリ名を入力します。
    • Domain name:ドメインコントローラーインスタンスの構成に使用する完全修飾ドメイン名を入力します。
    • Domain name servers:ドメインコントローラーインスタンスに割り当てたプライベートIPアドレスと、「AmazonProvidedDNS」という文字列をカンマで区切って入力します。
    • NTP servers:このフィールドは空白のままにします。
    • NetBIOS name servers:ドメインコントローラーインスタンスのプライベートIPアドレスを入力します。
    • NetBIOS node type:「2」と入力します。
  3. [Yes, Create] を選択します。
  4. 新しく作成したセットをVPCに関連付けます:

    1. VPCダッシュボードで [Your VPCs] を選択し、先ほど設定したVPCを選択します。
    2. [Actions]>[Edit DHCP Options Set] の順に選択します。
    3. プロンプトが表示されたら、新しく作成したセットを選択して [Save] を選択します。

タスク5:インスタンスを構成する

  1. RDPクライアントを使用して、要塞ホストインスタンスのパブリックIPアドレスに接続します。プロンプトが表示されたら、管理者アカウントの資格情報を入力します。
  2. 踏み台ホストインスタンスでリモートデスクトップ接続を起動し、構成するインスタンスのプライベートIPアドレスに接続します。プロンプトが表示されたら、インスタンスの管理者アカウントの資格情報を入力します。
  3. プライベートサブネット内のすべてのインスタンスに対して、DNS設定を構成します:

    1. [スタート]>[コントロールパネル]>[ネットワークとインターネット]>[ネットワークと共有センター]>[アダプターの設定の変更] の順に選択します。表示されたネットワーク接続をダブルクリックします。
    2. [プロパティ]>[インターネットプロトコルバージョン4(TCP/IPv4)]>[プロパティ] を選択します。
    3. [詳細設定]>[DNS] を選択します。次の設定を有効にして [OK] を選択します:

      • この接続のアドレスをDNSに登録する
      • この接続のDNSサフィックスをDNS登録に使う
  4. ドメインコントローラーを構成する:

    1. サーバーマネージャーを使用して、すべてのデフォルト機能を持つActive Directoryドメインサービスの役割を追加します。
    2. インスタンスをドメインコントローラーに昇格させます。昇格時には、DNSを有効にして、DHCPオプションセットの作成時に指定したドメイン名を使用します。メッセージに従ってインスタンスを再起動します。
  5. 最初のCloud Connectorを構成する:

    1. インスタンスをドメインに参加させ、プロンプトが表示されたら再起動します。踏み台ホストインスタンスから、RDPを使用してインスタンスに再び接続します。
    2. Citrix Cloudにサインインします。左上のメニューで、[リソースの場所]を選択します。
    3. Cloud Connectorをダウンロードします。
    4. プロンプトが表示されたら、cwcconnector.exeファイルを実行してCitrix Cloudの資格情報を入力します。ウィザードの指示に従って操作します。
    5. ウィザードが完了したら、[更新] を選択して [リソースの場所] ページを表示します。Cloud Connectorが登録されると、インスタンスがページに表示されます。
  6. 2番目のCloud Connectorを構成するため、Cloud Connectorを構成する手順を繰り返します。
  7. IAMポリシーをCloud Connectorにアタッチして、役割ベースの承認によりAWSホスト接続をサポートします。リソースの場所にあるすべてのCloud Connectorに同じIAMポリシーをアタッチする必要があります。AWS権限については、「Required AWS permissions」を参照してください。

次の手順

追加情報

AWS仮想化環境