プレスリリースやお知らせ、開発ブログ、会社の活動状況、Mattermost・aws・AI等の技術情報などを発信しています。

もう踏み台いらず、Fleet Managerを試してみた

完全版を表示する

こんにちは、mori です。
久しぶりの技術系のブログ更新となります。

弊社では主にLinux系のディストリビューションを多く利用していますが、私の担当している顧客中にはWindowsサーバをメインで利用している企業もいらっしゃいます。
どうしてもWindowsサーバを利用する場合は、リモートデスクトップ(RDP)を利用してサーバに接続する必要が出てきてしまいます。
その場合、セキュリティの観点から踏み台サーバを経由して、リモートデスクトップを利用するのが定石となります。

1台や2台程度の踏み台サーバで対応できる場合は問題ありませんが、企業によってはプロジェクトごとや協力ベンダーごとに踏み台サーバを用意するケースなどもあります。
十数台の踏み台サーバを用意することは、環境作成の手間やコストがかさんでしまいます。
かといって、RDS CALの購入する場合も利用者数が多いと高額になりがちです。

代替手法を調査している中で、AWS System Managerの機能の一つであるFleet Managerを利用できないかという話が出てきました。
Fleet Manager自体はだいぶ前からある機能となりますが、私自身が使ったのことのない機能でしたので、内容の整理も兼ねて、まとめさせていただきます。

Fleet Managerの動作条件の準備

まず、FleetManagerの動作条件を確認していきます。

基本的な環境準備はセッションマネージャーと同様となり以下のものが必要となります。
エンドポイントへの通信はNatGatewayで代替することも可能です。

  • IAMロール
  • VPCエンドポイント(3つ)
    • ssm
    • ssmmessages
    • ec2messages

それぞれ設定していきたいと思います。

IAM ロールの設定

Fleet Managerのために設定するポリシーは「AmazonSSMManagedInstanceCore」になります。
Fleet Managerで接続したいEC2のロールにポリシーをアタッチします。

VPCエンドポイントの作成

次にVPCエンドポイントを作成します。以下の3つのVPCエンドポイントが必要となります。 ※セキュリティグループでは、VPC内からHTTPS(443)のインバウンド通信を許可する必要があります。

  • com.amazonaws.ap-northeast-1.ssm
  • com.amazonaws.ap-northeast-1.ssmmessages
  • com.amazonaws.ap-northeast-1.ec2messages

これで、準備完了です

Fleet Managerの動作検証

準備ができたので、早速、試してみましょう。

AWSコンソールのサービスから「systems manager」を入力し、Systems Managerの画面にアクセスします。

Systems Managerの画面が表示されたら、左のメニューのノード管理にある「フリートマネージャー」を選択します。

Fleet Managerの画面が表示され、マネージドノードに接続可能なノード一覧が表示されます。
接続したいノードを選択し、右上の「ノードアクション」から「接続」ー「リモートデスクトップで接続」を選択します。

接続にあたっての認証方法は、ユーザ名とパスワードによる認証とキーペアによる認証が選べます。
それぞれ環境に合わせた方法で認証してください。

※今回はWindowsサーバ側にローカルユーザを用意していなかったので、キーペアによる認証で実施しました。

無事に接続できました。
これで踏み台なしでWindowsサーバにリモートデスクトップ接続ができました。
保守作業などを行う際は複数サーバに同時につなぐことも多いかと思いますので、
リモート画面の上のヘッダー部分に「ノード名」が表示されているのが個人的にはありがたいと思いました。

制限事項について

今回の検証の範囲で分かったことで、すべてを洗い出せたわけではありませんが、私が確認した感じだと、Windowsの操作は問題なさそうでした。

ただし、通常のリモートデスクトップのようにファイルをコピーしてローカルとやり取りすることはできませんでした。
(テキストのみ、ブラウザ経由でコピーすることができます。)
ファイルをやり取りする場合は、ファイルサーバやS3を経由しないといけないようです。

もう一点はセッション時間の制限です。「残りセッション時間」と表示されているように1時間でセッションが切れてしまうようです。

コストについて

ありがたいことにFleet Managerの機能としては無料となります。

※準備段階で必要となるVPCエンドポイントもしくはNatGatewayは有料となりますのでご注意ください。

最後に

ファイル転送やセッション時間なのど、制限事項はあるものの手軽に直接Windowsサーバにリモートデスクトップ接続できるのはとても便利な機能かと思いました。

何よりも無料で利用できるというのがありがたいですね。

業務内容によっては、長時間接続する必要があるものもあるかと思いますので、現状の踏み台サーバの代わりにできない可能性もありますが、Fleet Managerは知っていて損のない機能ではないでしょうか。

  • B!

おすすめ記事リンク