AWSでWindowsからFSxにマウントしてみた

レガシーなわが現場でもクラウド化の波に乗りAWSを使うことになりました。

その中でAWSのマネージドサービスFSxを使う可能性が高そうということで、

AWS上でゼロからWindowsサーバの構築~FSxへのマウントまでの手順を纏めてみました。

#動作確認用のゆるーい設定です。お仕事で使うときには、セキュリティの設定はしっかりやりましょう。

 

1.VPCの作成

なにはともあれお約束。適当な名前を付けて作りましょう。CIDRブロックは参考書とかでは10.0.0.0/16が使われていたのでそれを指定。

あっさり出来上がります。

ここで一つポイント。作成したVPCのDNSホスト名の編集を有効化しておいてください。

これをやっとかないと、作成したWindowsインスタンスにRDPでアクセスすることができません。

地味に重要。

 

2.環境周りの整備

2点目でいきなりざっくりとしましたが、以下を設定しておきましょう。

・インターネットゲートウェイの作成、VPCにアタッチ

・パブリックサブネット(2つ)の作成
・ルートテーブルの作成

 

ルートテーブルを作成したらルートにインターネットゲートウェイを追加、

サブネットの関連付けで、パブリックサブネットを紐づけてあげましょう。

これでサブネット上に作ったインスタンスがインターネットと繋がります。

 

3.ActiveDirectoryの作成

唐突にADが出てきましたが、FSxの利用にはADが必須だそうです。

というわけでささっとADを作ってしまいます。

「サービス」→「Directory Service」で作成画面に飛べます。

 

「ディレクトリのセットアップ」をクリック。

次の画面では「 AWS Managed Microsoft AD 」を選択して次へ。

最近はほかのADでも行けるそうですが、純正はなんか安心しますよね。

 

次の画面ではADの詳細を設定していきます。

この辺りは特に引っかかるところもないので、好みで指定してください。
Enterpriseはお金がよりかかるので要注意。
 
次の画面で前に作成したVPCと、サブネットをそれぞれ指定します。
これでADはOK。作成完了までしばし待ちましょう。
 
4.セキュリティグループの作成
次にセキュリティグループを作っておきます。
誰かに勝手に触られないように、ルールを決めておく感じですね。
(私はここの設定を適当にやって、しばらく時間を無駄にしました)
 
最低限必要なグループは以下2点。
・EC2インスタンス用
 RDPの接続を許容するようにインバウンドルールを追加します。ソースは例のごとくすべてを受け入れる設定にしていますが、
 本番相当の環境で使うときには要注意です。
 
・FSx用
 Windowsサーバからマウントするので、上記EC2からのみアクセスを受け入れるようにしています。
 (動作確認であれば全解放でも動きます)

 

5.IAMロールの作成

EC2がADに参加できるようにあらかじめ設定を作っておきます。

以下の2点の権限をつけておきます。

AmazonSSMManagedInstanceCore (システム管理のコア機能)
AmazonSSMDirectoryServiceAccess (ADアクセス用)

 

6.WindowsのEC2インスタンスを作成

Linuxの情報は多いのですが、Windowsの情報は少なかったのでちょっと迷ったところです。

EC2インタスタンスの設定のうち2までは端折ります。

 

ステップ 3: インスタンスの詳細の設定

自動割り当てパブリック IP :「有効」を選択します

ネットワーク~IAM ロール :先に作ったものたちを指定します

で、次へ。

 

ステップ 4: ストレージの追加

好みで。デフォルトのままでもOKです。

 

ステップ 5: タグの追加

ここではキーとして、ADで指定したDNS名を指定してください。値は空で構いません。

AWSのサイトで手順にあったのですが、なぜこれでAD認証ができるようになるのかはわかりませんでした・・・。

 

ステップ 6: セキュリティグループの設定

ここでは「 既存のセキュリティグループを選択する 」を選択し、

先に作った「EC2インスタンス用」にチェックを入れておいてください。

 

ステップ 7: インスタンス作成の確認 

最後に「起動」をクリックして完了です。ここでログインのためのキーペアの作成/指定を求められます。

このキーペアがログインに必要になってくるので忘れない場所に保管しておきましょう。

 

 

以上でEC2のインスタンスが作られ始めます。

 

7.FSxの作成

メインディッシュのFSxの作成です。

「サービス」→「FSx」で飛べます。

「Create file system」をクリックすると、ファイルシステムの選択画面に遷移します。

ここでは左側を選択しておきます。

 

次に詳細なパラメータを設定していきます。

今まで作ったものを当てはめていってください。

 

8.Windowsサーバへの接続(ローカル)

 

先ほど作ったWindowsサーバにログインします。

 

ADを作りましたが、まだサーバ側に設定を行っていないため、AD統合できるようサーバに設定を行います。
 
まずEC2に接続します。そのものずばりのボタンがあるのでクリックします。
 
すると以下のダイアログが表示されるので、パスワードの取得ボタンを押して、
パスワードの取得を行います。次の画面でキーペアファイルを参照し、
パスワードを復号することで、ログインのための情報が設定されます。

 

パスワード欄にパスワードが設定されたら「リモートデスクトップファイルのダウンロード」をクリックします。

するとこんな画面が出てくるので、構わず接続します。

 

その後おなじみの資格情報の入力画面が表示されるので、

先ほど取得したパスワードをコピーして入力すると無事にログインができるはずです。

(最初この画面見たときちょっと感動しました)

 

さて、無事にログイン完了できたわけですが、

こちらあくまでローカルユーザでログインしただけなので、ここからさらにActiveDirectoryに参加する必要があります。

 

9.ActiveDirectoryへの参加

ログインした状態で、スタートメニューから「ServerManager」を選択します。

 

ダッシュボードが表示されるので、「2.Add roles and features」を選択します

 

以下の画面までひたすら次へ。

 
この画面では以下を選択します。
 [Group Policy Management] チェックボックスをオンにします。
 [Remote Server Administration Tools]、[Role Administration Tools] の順に展開します。
 [AD DS and AD LDS Tools] チェックボックスをオンにします。
 [DNS Server Tools] チェックボックスをオンにします。
 
これらを設定したら次へ移動しInstall。
この画面は閉じちゃっても大丈夫とのこと。一応プログレスバーが終わるまで見守ります。
 
これで、このサーバでActiveDirectoryサービスが有効になりました。
一旦サーバからサインアウトします。
 
10.Windowsサーバへの接続(AD)
今度はADユーザでログインしてみましょう。
途中まではローカルユーザと同じ手順で以下の画面が出るところまで進みます。
 
この画面から、ADの資格情報を使ってログインします。
「別のアカウントを使用」をクリックすると、ユーザ名も入力できる画面になるので、
そこで、ADで指定したDNS+'\Admin'を指定します。
(DNSがral.workだとすると、[ral.work\Admin]になる)
 
そしてパスワードはADを作った際に自身で指定したパスワードを入力します。
 
これでADアカウントでサーバにログインできます。
 
11.FSxへのマウント
最後の仕上げにFSxへのマウントです。
FSxのコンソールにAttachというメニューがあるので、ターゲットのFSxを選択した状態で、
Attachをクリックすると、マウントのためのコマンドが表示されるので、それをコピペしてWinServerのコマンドプロンプトで実行します。
(ドライブレターは任意のドライブに変更しておいてください。以下ではDドライブにしています)
 
net use D: \\xxxxxxxxxxxx.ral.work\share
 
これで、Windowsサーバからマウントしたディレクトリが参照できるようになりました。
 
 
と、ここまで長々と説明しましたが、本家サイトにも同じようなガイドがあるので貼っておきますね。

テレワーク

昨今の流行に乗りついにわが現場でもテレワークがなし崩しに始まりました。

なし崩しなので、細かいところが適当なのですが、何とか始まっています。

 

それに伴い我が家の書斎もテレワーク仕様にバージョンアップしました!

 

以下テレワーク化にあたり購入したもの。

・長机:\10,000

 →テレワーク用とサブの2台を使うために机を拡張!

・USBマウス/キーボード切替機:\3,980

 →2台の端末を一組のキーボード/マウスで操作!

・24インチモニタ:\15,000

 →テレワークマシンがノートなので、大画面で操作できるように。&テレワーク時以外はサブマシンをデュアル化。
・ビデオボード:\4,580

 →サブマシンのデュアル化!
・カラーボックス:\698

・キャスター付きカラーボックス:\4,658

 →部屋のデッドスペースを有効活用!

 

総計4万弱・・・。

なかなかの出費でしたが、それに見合う環境は手に入ったよ!

特にデュアルモニタは長年の夢だったので自宅に構築で来て感無量・・・!

(別にデュアルじゃなくても困ってもいなかったので踏ん切りがつかなかった・・・)

右端のVAIOがテレワークマシン。

テレワーク時はこれを右側のディスプレイとつなげてデュアル環境で作業!

 

AWSソリューションアーキテクト

最近はやりのAWS。先日ようやく資格を取ってきました。

 

AWS Certified Solutions Architect - Associate

 

 

実はすでに一昨年仕事の関係で見積もりのみやっていたのですが、

去年に社内で受験のための勉強会が開催されたので、ここぞとばかりに獲りに行きました。

資格の位置づけ的は以下の通り真ん中です。

https://aws.amazon.com/jp/certification/

 

一昨年に見積もりをやっていたので、AWSの知見があるつもりだったのですが、

その見積もりというのが、他の人が作った見積もりを細部だけ手直ししただけのものだったのですね。(笑

そんな状態で、別の見積もりを新規で行うと、あれまあ突っ込みの嵐。

これはとんでもない状態だと気が付いて、きっちり基礎からおぼえようとなったわけです。

 

そんなこんなで、去年の11月末から本格的に勉強を始めて、

去る2月14日バレンタインデーに資格取得と相成ったわけです。

スコア836、知識は偏っていなかった模様。↓

 

会社の勉強会がかなり手厚かったので、7割がた会社のおかげで取れました。

で、せっかく資格も取れたので、記念に勉強法でも纏めてみます。

受験したいけどどうやって勉強したらいいんだろうという方に向けて、自分なりの解釈を纏めてみます。

 

【参考資料】

AWSの公式ドキュメント!につきます。

が、あまりにも量が多い・・・。間違いなく最新の情報であり、すべて網羅されていますが、

ちょっと時間がかかりすぎます。そこで今回のカリキュラムで使用した本をご紹介。

 

と、

 

この2冊です。

一冊目は本当にAWSを全く知らない状態で読むべき本で、

二冊目は試験対策に特化しており、いきなり読むと高い確率で挫折します。

 

おすすめの勉強法ですが、

まずは一冊目を一通り読み、AWSの世界観をつかみ、

2週目以降で定着させていきます。
 

AWSのサービスの全体像が頭に入ったところで、ようやく二冊目に取り掛かります。

一冊目が頭に入っている状態であれば、二冊目の記載の意図がくみ取れるようになっています。

おすすめの読み方ですが、頭っから読んでいくのではなく、巻末の問題集を解いてみて、

間違ったところ、理解できなかったところをピンポイントで辞典のように見ていくやり方がおすすめです。

当然頭っから読んで、すべて理解するのが最良ですが、そのあたりは集中力と相談ですね。

 

 

さて、それぞれの本の所感です。まず一冊目。

「この一冊で合格!」と題されていますが、個人的には「無理じゃね?」と思ってます。

基本が抑えてあり、とても良い本なのですが、試験で出題される細かいところまでは手が届いていないかなと。

この本だけでおそらく5~6割は取れると思いますが、あと一歩を補完する必要があります。

 
 
そして、その補完にあたるのが二冊目です。
こちらは試験のツボを抑えてあり、もう一歩踏み込んだ内容が記載されているのですが、
EC2やRDSといったサービス観点ではなく、回復性や拡張性といった設計観点でまとめられているので、
初心者お断りの本です

ま、「一夜漬け」と題しているくらいなので、初学者が一夜漬けで受かるわけないよねって感じですね。

 

 

 

とりあえず、この二冊をじっくりやりこめばいい線行けると思います。

なお、3/23から新しい試験に移行するらしいので、これから勉強を始める方は要注意です。