AWS クラウド環境

この記事では、Citrix Virtual Apps and Desktops で使用できるリソースの場所として AWS アカウントを設定する手順を説明します。このリソースの場所には、概念実証や、複数のアベイラビリティゾーンにリソースを分散させる必要のないその他の展開に最適な基本的なコンポーネントセットが含まれています。これらのタスクを完了すると、VDA のインストール、マシンのプロビジョニング、マシンカタログの作成、およびデリバリーグループの作成を行うことができます。

この記事のタスクを完了すると、リソースの場所には次のコンポーネントが含まれます。

• 単一のアベイラビリティゾーン内にパブリックサブネットとプライベートサブネットを持つ仮想プライベートクラウド (VPC)。
• VPC のプライベートサブネット内に配置され、Active Directory ドメインコントローラーと DNS サーバーの両方として実行されるインスタンス。
• VPC のパブリックサブネットで踏み台ホストとして機能するインスタンス。このインスタンスは、管理目的でプライベートサブネット内のインスタンスへの RDP 接続を開始するために使用されます。リソースの場所の設定が完了したら、このインスタンスをシャットダウンして、簡単にアクセスできないようにすることができます。VDA インスタンスなど、プライベートサブネット内の他のインスタンスを管理する必要がある場合は、踏み台ホストインスタンスを再起動できます。

タスクの概要

パブリックサブネットとプライベートサブネットを持つ仮想プライベートクラウド (VPC) をセットアップします。 このタスクを完了すると、AWS はパブリックサブネットに Elastic IP アドレスを持つ NAT ゲートウェイを展開します。このアクションにより、プライベートサブネット内のインスタンスがインターネットにアクセスできるようになります。パブリックサブネット内のインスタンスはインバウンドのパブリックトラフィックにアクセスできますが、プライベートサブネット内のインスタンスはアクセスできません。

セキュリティグループを構成します。 セキュリティグループは、VPC 内のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。パブリックサブネット内のインスタンスがプライベートサブネット内のインスタンスと通信できるようにするルールをセキュリティグループに追加します。また、これらのセキュリティグループを VPC 内の各インスタンスに関連付けます。

DHCP オプションセットを作成します。 Amazon VPC では、DHCP および DNS サービスがデフォルトで提供されるため、Active Directory ドメインコントローラーで DNS を構成する方法に影響します。Amazon の DHCP は無効にできず、Amazon の DNS はパブリック DNS 解決にのみ使用でき、Active Directory 名解決には使用できません。DHCP を介してインスタンスに渡されるドメインとネームサーバーを指定するには、DHCP オプションセットを作成します。このセットは、Active Directory ドメインサフィックスを割り当て、VPC 内のすべてのインスタンスの DNS サーバーを指定します。インスタンスがドメインに参加したときにホスト (A) および逆引き参照 (PTR) レコードが自動的に登録されるようにするには、プライベートサブネットに追加する各インスタンスのネットワークアダプタープロパティを構成します。

VPC に踏み台ホストとドメインコントローラーを追加します。 踏み台ホストを介して、プライベートサブネット内のインスタンスにログオンし、ドメインを設定してインスタンスをドメインに参加させることができます。

タスク 1: VPC をセットアップする

1. AWS マネジメントコンソールから、VPC を選択します。
2. VPC ダッシュボードから、VPC の作成 を選択します。
3. VPC など を選択します。
4. 「NATゲートウェイ ($)」で、「1つのAZ内」または「AZごとに1つ」を選択します。
5. 「DNSオプション」で、「DNSホスト名を有効にする」が選択されたままにします。
6. 「VPCを作成」を選択します。AWSは、パブリックサブネットとプライベートサブネット、インターネットゲートウェイ、ルートテーブル、およびデフォルトのセキュリティグループを作成します。

タスク2：セキュリティグループの構成

このタスクでは、VPC用に次のセキュリティグループを作成および構成します。

• パブリックサブネット内のインスタンスに関連付けるパブリックセキュリティグループ。
• プライベートサブネット内のインスタンスに関連付けるプライベートセキュリティグループ。

セキュリティグループを作成するには：

1. VPCダッシュボードで、「セキュリティグループ」を選択します。
2. パブリックセキュリティグループ用のセキュリティグループを作成します。「セキュリティグループを作成」を選択し、グループの名前タグと説明を入力します。VPCで、以前に作成したVPCを選択します。「はい、作成」を選択します。

パブリックセキュリティグループを構成する

1. セキュリティグループのリストから、パブリックセキュリティグループを選択します。

2. 「インバウンドルール」タブを選択し、「編集」を選択して次のルールを作成します。

   タイプ	ソース
   すべてのトラフィック	プライベートセキュリティグループを選択します。
   すべてのトラフィック	パブリックセキュリティグループを選択します。
   アイシーエムピー	0.0.0.0/0
   22 (SSH)	0.0.0.0/0
   80 (HTTP)	0.0.0.0/0
   HTTPS通信用ポート番号443	0.0.0.0/0
   ICA/HDX通信用ポート番号1494	0.0.0.0/0
   2598 (セッション信頼性)	0.0.0.0/0
   3389 (RDP)	0.0.0.0/0

3. 完了したら、保存を選択します。

4. Outbound Rulesタブを選択し、編集を選択して次のルールを作成します。

   タイプ	送信先
   すべてのトラフィック	プライベートセキュリティグループを選択します。
   すべてのトラフィック	0.0.0.0/0
   アイシーエムピー	0.0.0.0/0

5. 完了したら、保存を選択します。

プライベートセキュリティグループを構成する

1. セキュリティグループのリストから、プライベートセキュリティグループを選択します。

2. パブリックセキュリティグループからのトラフィックを設定していない場合は、TCPポートを設定する必要があります。Inbound Rulesタブを選択し、Editを選択して、次のルールを作成します。

   タイプ	ソース
   すべてのトラフィック	プライベートセキュリティグループを選択します。
   すべてのトラフィック	パブリックセキュリティグループを選択します。
   アイシーエムピー	パブリックセキュリティグループを選択します。
   TCP 53 (ディーエヌエス)	パブリックセキュリティグループを選択します。
   UDP 53 (ディーエヌエス)	パブリックセキュリティグループを選択します。
   80 (HTTP)	パブリックセキュリティグループを選択します。
   TCP 135	パブリックセキュリティグループを選択します。
   TCP 389	パブリックセキュリティグループを選択します。
   UDP 389	パブリックセキュリティグループを選択します。
   443 (HTTPS)	パブリックセキュリティグループを選択します。
   TCP 1494 (アイシーエー/エイチディーエックス)	パブリックセキュリティグループを選択します。
   TCP 2598 (セッションの信頼性)	パブリックセキュリティグループを選択します。
   3389 (RDP)	パブリックセキュリティグループを選択します。
   TCP 49152–65535	パブリックセキュリティグループを選択します。

3. 完了したら、保存を選択します。

4. アウトバウンドルールタブを選択し、編集を選択して、次のルールを作成します。

   タイプ	送信先
   すべてのトラフィック	プライベートセキュリティグループを選択します。
   すべてのトラフィック	0.0.0.0/0
   アイシーエムピー	0.0.0.0/0
   UDPポート53 (ディーエヌエス)	0.0.0.0/0

5. 完了したら、保存を選択します。

タスク 3: インスタンスの起動

2つのEC2インスタンスを作成し、Amazonが生成するデフォルトの管理者パスワードを復号するには、次の手順を実行します。

1. AWS管理コンソールから、EC2を選択します。
2. EC2ダッシュボードから、インスタンスの起動を選択します。
3. Windows Serverマシンイメージとインスタンスタイプを選択します。
4. インスタンスの詳細の設定ページで、インスタンスの名前を入力し、以前に設定したVPCを選択します。

5. サブネットで、各インスタンスについて次の選択を行います。

   • 踏み台ホスト: パブリックサブネットを選択します
   • ドメインコントローラー: プライベートサブネットを選択します

6. パブリックIPの自動割り当てで、各インスタンスについて次の選択を行います。

   • 踏み台ホスト: 有効を選択します。
   • ドメインコントローラー: デフォルト設定を使用または無効を選択します。
7. ネットワークインターフェイスで、ドメインコントローラーのプライベートサブネットのIP範囲内のプライマリIPアドレスを入力します。
8. 必要に応じて、ストレージの追加ページでディスクサイズを変更します。
9. インスタンスのタグ付けページで、各インスタンスにわかりやすい名前を入力します。

10. 「セキュリティグループの設定」ページで、「既存のセキュリティグループを選択」を選択し、各インスタンスについて以下の選択を行います。

    • バスティオンホスト: パブリックセキュリティグループを選択します。
    • ドメインコントローラー: プライベートセキュリティグループを選択します。
11. 選択内容を確認し、「起動」を選択します。
12. 新しいキーペアを作成するか、既存のキーペアを選択します。新しいキーペアを作成する場合は、プライベートキー (.pem) ファイルをダウンロードし、安全な場所に保管してください。インスタンスのデフォルトの管理者パスワードを取得する際に、プライベートキーを提供する必要があります。
13. 「インスタンスの起動」を選択します。「インスタンスの表示」を選択して、インスタンスのリストを表示します。新しく起動したインスタンスがすべてのステータスチェックに合格するまで待ってからアクセスしてください。

14. 各インスタンスのデフォルトの管理者パスワードを取得します。

    1. インスタンスリストからインスタンスを選択し、「接続」を選択します。
    2. 「RDPクライアント」タブに移動し、「パスワードの取得」を選択し、プロンプトが表示されたらプライベートキー (.pem) ファイルをアップロードします。
    3. 「パスワードの復号」を選択して、人間が読めるパスワードを取得します。AWSがデフォルトのパスワードを表示します。

15. 手順2から繰り返して、2つのインスタンスを作成します。

    • パブリックサブネット内のバスティオンホストインスタンス1つ
    • ドメインコントローラーとして使用するプライベートサブネット内のインスタンス1つ。

タスク4: DHCPオプションセットを作成する

1. VPCダッシュボードから、「DHCPオプションセット」を選択します。

2. 以下の情報を入力します。

   • 名前タグ: セットのわかりやすい名前を入力します。
   • ドメイン名: ドメインコントローラーインスタンスを構成するときに使用する完全修飾ドメイン名を入力します。
   • ドメインネームサーバー: ドメインコントローラーインスタンスに割り当てたプライベートIPアドレスと、AmazonProvidedDNSという文字列をカンマで区切って入力します。
   • NTPサーバー: このフィールドは空白のままにします。
   • NetBIOSネームサーバー: ドメインコントローラーインスタンスのプライベートIPアドレスを入力します。
   • NetBIOSノードタイプ: 2と入力します。

3. はい、作成します。を選択します。

4. 新しいセットをVPCに関連付けます。

   1. VPCダッシュボードから、お使いのVPCを選択し、以前に設定したVPCを選択します。
   2. アクション > DHCPオプションセットの編集を選択します。
   3. プロンプトが表示されたら、作成した新しいセットを選択し、保存を選択します。

タスク5: インスタンスの構成

1. RDPクライアントを使用して、踏み台ホストインスタンスのパブリックIPアドレスに接続します。プロンプトが表示されたら、管理者アカウントの資格情報を入力します。

2. 踏み台ホストインスタンスからリモートデスクトップ接続を起動し、構成するインスタンスのプライベートIPアドレスに接続します。プロンプトが表示されたら、そのインスタンスの管理者資格情報を入力します。

3. プライベートサブネット内のすべてのインスタンスについて、DNS設定を構成します。

   1. [スタート] > [コントロール パネル] > [ネットワークとインターネット] > [ネットワークと共有センター] > [アダプターの設定の変更] を選択します。表示されているネットワーク接続をダブルクリックします。
   2. [プロパティ] > [インターネット プロトコル バージョン 4 (TCP/IPv4)] > [プロパティ] を選択します。

   3. [詳細設定] > [DNS] を選択します。次の設定が有効になっていることを確認し、[OK] を選択します。

      • この接続のアドレスをDNSに登録する
      • この接続のDNSサフィックスをDNS登録で使用する

4. ドメインコントローラーを構成するには：

   1. サーバーマネージャーを使用して、すべてのデフォルト機能でActive Directoryドメインサービスロールを追加します。
   2. インスタンスをドメインコントローラーに昇格させます。昇格中にDNSを有効にし、DHCPオプションセットを作成したときに指定したドメイン名を使用します。プロンプトが表示されたらインスタンスを再起動します。

次のステップ

• コアコンポーネントのインストール
• VDAのインストール
• サイトの作成
• AWSで接続を作成および管理する方法については、AWSへの接続を参照してください。

詳細情報

• 接続とリソースを作成および管理する(/ja-jp/citrix-virtual-apps-desktops/2407/install-configure/connections.html)
• マシンカタログを作成する(/ja-jp/citrix-virtual-apps-desktops/2407/install-configure/machine-catalogs-create.html)