AWSのマネージメントファイルサーバ FSx for Windowsを構築してみる

FSx for Windowsとは

Amazon FSx for Windows ファイルサーバーは、完全マネージド型のネイティブ Microsoft Windows ファイルシステムを提供しているので、ファイルストレージを必要とする Windows ベースのアプリケーションを AWS へ簡単に移行できます。Windows サーバーに構築された Amazon FSx は、Windows ベースのアプリケーションが依存している互換性と機能を装備した、共有のファイルストレージを提供します。SMB プロトコルと Windows NTFS、Active Directory (AD) 統合、Distributed File System (DFS) も完全サポートしています。Amazon FSx は、SSD ストレージを使用し、高速なスループットと IOPS、一貫したミリ秒未満のレイテンシーという、Windows アプリケーションとユーザーが期待する高速パフォーマンスを実現しています。Amazon FSx の互換性とパフォーマンスは、CRM、ERP、.NET アプリケーションなど、Windows の共有ファイルストレージを必要とするワークロードやホームディレクトリを移行する際にとりわけ重要になります。

Amazon FSx を使用すれば、業界標準の SMB プロトコルを使って、最大数千台のコンピューティングインスタンスからアクセス可能な、高い耐久性と可用性を備えた Windows ファイルシステムを構築できます。また、Windows ファイルサーバーの管理に伴う経費を削減できます。料金は、使用したリソースに対してのみ発生します。前払い料金、最低料金、追加料金はありません。
https://aws.amazon.com/jp/fsx/windows/

FSxはPaaS版ファイルサーバみたいな感じですね。
NetAppのVserver(7modeのvFiler)みたいな感じでボリュームだけ借りるようなイメージが近いかもしれません。
WindowsOSのメンテナンスは不要なので、管理工数などは大幅に下がります。
容量課金なのでコストメリットも十分あると思います。

以前までは、ボリュームシャドウコピー(以前のバージョンの復元)機能がありませんでしたので使いづらいかな、と思ってましたが、先日対応がされたことでPoCで検証をしてみることにしました。

FSx for Windowsのデプロイ環境

環境は以下のとおりです。

FSxのドメイン参加はオンプレミスにあるADサーバに行いました。
マネージメントサービスのMicrosoftADでもOKみたいです。
WORKGROUP環境では使えませんのでご注意ください。

オンプレミスのADサーバとの相互通信、クライアントからのアクセス経路は、先日接続したVPN経由で行います。

[nlink url=”https://www.ikura-oisii.com/?p=191″]

FSx for Windowsの料金は?

ストレージ容量 1 か月あたり 0.156USD/GB
スループットキャパシティー 1 か月あたり 2.53USD/MBps
バックアップストレージ 1 か月あたり 0.05USD/GB

スループットキャパシティは、最低でも8MBpsが必要です。8→16→32→64….と最大2048MBpsまで選択できます。
ストレージは、最低容量で300GBなので、バックアップ利用なしで87.28USD/月が最低利用料金です。

以下のページで料金計算も可能です。


参考
FSx料金計算Amazon FSx for Windows File Server の料金

FSx for WindowsのSLAは?

SLAの設定は以下の通りに設定されております。

ess than 99.9% but greater than or equal to 99.0% 10%
Less than 99.0% but greater than or equal to 95.0% 25%
Less than 95.0% 100%

冗長性は基本的には担保されておりませんので、Multi-AZ構成、WindowsのDFS機能を使って冗長性を確保する必要があります。

FSx for Windowsの構築方法

ざっくりとした手順は以下の流れです。

手順1
ActiveDirectoryの構築
EC2またはオンプレミス上のサーバでActiveDirectory環境の構築、または準備を行います。
手順2
委任用ユーザアカウントの作成
FSxにActiveDirectoryの操作権限を委任するアカウントを作成します。
手順3
FSx用のセキュリティグループ作成
FSx⇔クライアント、ActiveDirectory用のセキュリティグループを作成します。
手順4
FSx for Windowsの作成
FSxのデプロイを行います。
手順5
動作確認
ドメインに正常に参加できているか、FSxに正常にアクセス出来るか確認します。

前提条件

FSxを利用するにあたってドメイン環境が必須となります。MicrosoftADを使わずに自前のADサーバを利用する場合には条件にご注意ください。

・機能レベルがWindows Server 2008R2以上

・ADサーバのIPアドレス[10.0.0.0–10.255.255.255/172.16.0.0–172.31.255.255/192.168.0.0–192.168.255.255の範囲内] ※共有フォルダの作成等でFSxを管理するクライアントも上記IP範囲内である必要がある。

・FSxの管理委任アカウントが必要

などがあります。

公式ドキュメントにAD関係の条件が書いてますので一読ください。

Using Amazon FSx with Your Self-Managed Microsoft Active Directory – Amazon FSx for Windows File Server

セキュリティグループに関しては、ADサーバ⇔FSx間はanyで通してますが、ポートを絞られる場合は下記ドキュメントをご参照ください。

File System Access Control with Amazon VPC – Amazon FSx for Windows File Server

委任用ユーザの作成/権限の委任

FSxにActiveDirectoryの権限委任を行うためのユーザをまずは作成します。

下記ページを参考に作成します。

Best Practices for Joining Amazon FSx for Windows File Server File Systems to a Self-managed Microsoft Active Directory Domain – Amazon FSx for Windows File Server

ドメインコントローラ内の管理メニューから「Active Directory ユーザとコンピューター」を選択します。

OUの新規作成を行います。

OUの名前は任意の名前を入力してください。

次にグループの新規作成を行います。

グループ名は任意の名前を入力してください。

続いてユーザを作成します。

性、名、ユーザログオン名は任意の名前を入力してください。

パスワードも任意のパスワードを入力し、「パスワードを無期限にする」にチェックを入れてください。

作成したユーザを作成したグループに追加します。
ユーザを選択して右クリックの「グループに追加」を選択します。

先ほど作成したグループを選択します。

続いて権限の委任を行います。

作成したOUを右クリック→「制御の委任」を選択します。

ウィザードが表示されますので次へ。

追加を選択します。

作成したグループを選択します。

正常に選択されたら次へ。

委任するカスタム タスクを作成する」を選択します。

フォルダー内の次のオブジェクトのみ」を選択して「コンピューターオブジェクト」のみ選択します。
選択されたオブジェクトをこのフォルダーに作成する」と「選択されたオブジェクトをこのフォルダーから削除する」を選択します。

アクセス許可では、「全般」にチェックを入れ、以下の項目を選択します。

・パスワードのリセット
・アカウントの制限の読み取りと書き込み
・DNSホスト名への検証された書き込み
・サービスプリンシパル名への検証された書き込み

完了を選択して委任は完了です。

FSx用セキュリティグループの作成

FSxをデプロイする前にFSx用のセキュリティグループを作成します。

今回はVPN側(ADサーバのセグメント)からすべてのトラフィックを許可しております。

制限される方は以下のポートをインバウンドに設定してください。

・TCP / UDP 445(SMB)
・TCP 135(RPC)
・TCP / UDP 1024-65535(RPC用の一時ポート)

 

FSx for Windowsの作成

ActiveDirectoryの準備が出来ましたのでFSxの作成を行います。

 

マネジメントコンソールから「FSx」と検索して選択します。

Create file system」を選択します。

Amazon FSx for Windows File Server」を選択します。

以下のパラメータを選択します。

File system name:任意の名前(アクセスするホスト名ではありません)
Storage capacity:FSxの容量(300GB〜)
Throughput capacity:要求する平均スループット

容量、スループットに応じて課金されます。
スループットは、まずは8MB/sから初めて、速度的に問題がある場合は徐々に上げていけばいいのではないかと思います。

ネットワーク設定は、以下の値を選択

・Virtual Praivete Cloud(VPC):FSxをデプロイするVPC
・Subnet:FSxをデプロイするセグメント
・VPC Security Groups:先ほど作成したセキュリティグループを指定

セキュリティグループは、デフォルトのセキュリティグループでも問題ありません。

AD設定は自前のADサーバを利用しますので、「Self-managed Microsoft Active Directory」を選択。
その他値は、以下を参考に入力

・Fully qualified domain name:参加するドメイン名(例:example.local)
・DNS server IP addresses:ADサーバのIPアドレス
・Service account username:ドメインのadministrator
・Service account password:administratorのパスワード
・Organaizational Unit(OU)within which you want to join your file system -optional:FSxを参加させるOU
→example.localの場合は、「OU=AWSFSX(OU名),DC=example,DC=local」

暗号化はデフォルトのままで「Next」を選択します。

以上でFSxの作成は完了です。

デプロイまで20〜30分ほどかかりますのでお待ち下さい。

FSxドメイン参加等の確認

正常にデプロイされましたら、作成したOUを確認します。

AMZNFSX******というオブジェクトが登録されておりましたら正常にドメイン参加が行えております。

DNSレコードも正常に登録されていることを確認します。

エクスプローラーでアクセスして「share」フォルダが確認できると思います。
あとは、通常のファイルサーバと同様に利用が可能です。

共有フォルダの作成、ホスト名の変更などはまた別途紹介したいと思います。

簡単にファイルサーバの構築が可能となるFSxは、AWSも力を入れてプロモーションをしているようなので今後導入企業も増えてくると思います。

是非一度お試しください。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です