Citrix DaaS for Workspaces Core 検証レポート Part1　ー製品概要の確認ー

皆様、こんにちは。

ネットワールド SEの目木です。

以前の投稿にて紹介していたWorkspacesに、私が担当するCitrix製品と連携可能なWorkspaces Coreと呼ばれるソリューションが存在しておりましたので、今回はこちらのサービスについて検証していきたいと思います。

Workspaces Core自体はサードパーティVDIソリューションと連動するように設計されたサービスでして、連携先としてはCitrix、Omnissa、Workspotなどが連携可能です。各ソリューションによっても機能連携の開発状況に差があるかとは思いますが、本記事の中ではCitrix DaaSとの連携状況についてその実態をご紹介できればと思います。

なお、Part1となる今回の記事では構成概要、サポート要件、サービス価格、事前準備事項について整理していきます。続けてPart2では両製品の連携手順を、Part3では利用可能な機能と運用コンソールの中身を確認してまいりますので、ぜひ最後までお付き合いくださいませ。

それでは本題に入っていきたいと思います。

構成概要

まず、Citrix DaaSとWorkspacesがどのように連携するのかという話ですが、こちらはCitrixのTech Briefにてアーキテクチャが紹介されていましたのでそちらから見ていきましょう。

Citrix DaaS for AWS WorkSpaces Core - Tech Briefs - Citrix Community

以下はドキュメント内の構成概要図ですが、管理系のシステムとなるコントロールプレーンについてはCitrix DaaS単体の場合と差分がなく、展開されるVDIの部分のみがAmazon Workspaces Coreへと置き換えられています。

となると認証ポータルはCitrix Workspace、ストリーミングについてもCitrix Gateway Serviceを介するものとなり、ユーザからVDIへとアクセスする際にはAWS側のサービスは利用されないものと考えられます。

また、Citrix DaaSはAWS Workspaces CoreとAPIを通して直接通信を行うと記載されておりますので、EC2との連携についてはないものと考えられます。おそらく、Citrix DaaS上で操作できる範囲についてもAmazon Workspaces内で操作できる内容に限定されるでしょう。

このように従来の構成との差異があることで、Amazon Workspaces 単体、Citrix DaaS ＋ EC2それぞれの構成であれば使用できていた機能が使えない、という事態も出てくるかと思いますので、その違いを手順と一緒に確認していきたいと思います。

サポート要件

Citrix DaaSとしてのAmazon Workspacesのサポート状況に関してですが、こちらは以下のドキュメントに情報が載っています。

Citrix DaaS for Amazon WorkSpaces Core | Citrix DaaS

Image	Session Support	AWS Directory Tenancy	Deployment Type	Persistence
Windows Desktop 11 Pro	Single-Session	Dedicated	Dedicated or Pooled	Persistent
Windows Desktop 10 Pro	Single-Session	Dedicated	Dedicated or Pooled	Persistent
Windows Server 2022	Multi-Session	Shared	Pooled	Persistent
Windows Server 2022	Single-Session	Shared	Dedicated or Pooled	Persistent
Windows Server 2019	Multi-Session	Shared	Pooled	Persistent
Windows Server 2019	Single-Session	Shared	Dedicated or Pooled	Persistent

サポート範囲はWindows OSに限定され、またOSのバージョンについてもAmazon Workspaces のサポート範囲と比較してより新しいバージョンに絞られているようです。
そのほか導入するうえでの注意点としては以下の内容があげられます。

Windows 10 / 11についてはBYOLの条件があるため、Dedicated Hostでしか展開できない
プール型であってもPersistent（永続型）となっている
マルチセッションOSがサポートされている
※2025/4時点ではTech-Preview

2点目については通常プール型において削除されるWorkspacesが残り続けることから課金額に影響が出る可能性があるという意味で注意点としています。

サービス価格

サービス価格については、以下のページから確認できます。

Fully Managed VDI Infrastructure – Amazon WorkSpaces Core Resources – Amazon Web Services

個人型の価格しか確認できませんでしたが、Amazon Workspacesと比較して若干安価な値段設定となっているようなので、おそらくプール型でも同じような金額設定になるのではないかと思います。

参考までにAsia Pacific (Tokyo)の条件におけるStandard / Performance / Powerバンドルの金額を以下にまとめます。

金額としてはそこまで差が内容にも見えますが、もともとEC2インスタンスと比較してもAmazon Workspaces は月額価格が低めに設定されていますので、EC2からの移行と考えますとそれなりのコストメリットが得られるかと思います。
Workspaces Coreですとどうしても連携側の製品ライセンス分、コストがかさみますので、その増額分についても幾分吸収できるかと思います。

ちなみに今回連携で必要となるCitrix DaaSのライセンスですが、こちらはクラウド基盤での利用を前提としたHybrid Multi-Cloud（HMC）ライセンスが必要となります。より上位のライセンスでも問題ないのですが購入条件がかなり厳しいため、ほぼほぼHMCライセンスを購入することになるかと思います。加えて、250ライセンス／1年以上の最低購入条件があることにも注意いただければと思います。

欲を言うとAWSのmarketplaceからCitrix DaaSのライセンスが購入でき、ライセンス購入条件の緩和されることも少し期待していたのですが、残念ながら現時点では購入面での連携についてはありませんでした。もし、今後アップデートがあるようでしたら、あらためてブログ上でも情報を発信したいと思います。

事前準備

さて、ここからはCitrix DaaSをWorkspaces Coreの連携検証を行うために必要となるコンポーネント等を準備してまいります。

なお、今回の検証ですが、構築手順は以下のCitrixのサイトを参考としました。

Citrix DaaS for Amazon WorkSpaces Core | Citrix DaaS

以下がドキュメント内に記載されていた事前準備項目となりますので、まずはこちらの内容を進めていきます。

【Citrix】

Citrix DaaSのサブスクライブ
リソースロケーションの作成

【AWS】

Citrix Cloud Connectorがインターネットへアクセスするための経路確保
セキュリティグループの調整
連携用のIAM Roleの作成
ADDS環境の構成（ドメイン構成、OU構成、GPO設定など）
Workspacesにおけるディレクトリの作成

Windows 10 / 11にて展開する場合　※今回の検証では未実施

アカウントにおけるBYOLの有効化　
BYOL用のWindows 10 / 11ライセンスの準備

Citrix側の事前準備

Citrix DaaSのサブスクライブについてはライセンス購入後にcitrix.cloud.comにアクセスして実行するのですが、今回はすでに適用済みの環境を使用しますので、手順は省略となります。

リソースロケーションについては、ユーザーのリソースであるVDI（今回はWorkspace）が配置される環境を管理する論理グループを指しており、EC2上でCloud Connectorサーバを構成する際に、登録先となるグループが必要となりますので事前に作成だけ進めておきます。

AWS側の事前準備

Workspacesを利用するための前提として、VPC、ADDSサーバ、AD Connector (Directory Service)、セキュリティグループ、NAT Gateway、Internet Gatewayといった環境を構成する必要があるのですが、過去の記事で投稿した手順をもとに作成したこともあり、今回は省略いたします。

Amazon WorkSpaces検証 Part1：AWSベースの仮想デスクトップ基盤を探る - ネットワールドらぼ

上図の環境を構成したのち、Citrix DaaSと連携するための調整を進めていきます。

まず、セキュリティグループの調整からですが、ADDSサーバへのドメイン参加、管理に必要となる通信ポートは許可していますので、今回は以下のCitrixコンポーネントとして必要になる通信ポートを許可しています。

VDA(Workspaces)→Cloud Connector　
　TCP: 80
Cloud Connector→VDA(Workspaces)
　TCP: 80, 1498, 2598
　UDP: 1498, 2598
Cloud Connector→インターネット
　TCP: 80, 443

続けて、IAM Roleの設定を行います。
Citrix DaaSのクイック展開のウィザードにてCloud Formationテンプレートが取得できますので、こちらを使ってロールの作成を進めていきます。

こちらでダウンロードできるテンプレートの中身を確認したところ、「CitrixAssumeRole」と「WorkspacesDefaultRole」という二つのロールが作成されるように記述されていました。

こちらのテンプレートをAWSのCloudFormationにて、インポートしていきます。

　テンプレートの種類：既存のテンプレートを選択
　テンプレートソース：テンプレートファイルのアップロード
　スタック名：<任意の名前>
　パラメータ：<任意の値>

次にスタックの失敗オプションにて、以下の設定を変更しています。

　プロビジョニング失敗時の動作：正常にプロビジョニングされたリソースの保持

こちらの値を選択することで、先ほどのテンプレートに含まれていたロールの中にすでに作成されているものが存在していた場合でも新しく作成できたものが保持されるようになります。

上記の失敗時の挙動に関する設定は、手順ドキュメントの中で注意書きとして記載していたものですが、実際弊社の環境においても「WorkspacesDefaultRole」はこちらの手順の前から存在していたようで展開時にエラーが発生しまして有効に働きました。

とはいえ、CloudFormationのスタックとしてはエラー状態のままとなりますので、気になるようであれば事前に既存のRoleを確認のうえ、必要ない項目はテンプレートから削っておいた方がよいかもしれません。

次はVDI向けのOUとGPOを構成します。

まずOUについては展開するWorkspaceのコンピュータアカウント用OUを作成しました。本番導入時にはユーザアカウント用のOUについても作成されるかと思いますが、展開段階では不要のため、今回は割愛しています。

次にコンピュータアカウント用として作成したOUに対してCitrixポリシーのGPOを適用していきます。この手順なのですがドキュメント上でCitrixのエージェントがCloud Connectorを認識できるようにCitrixポリシーで調整するように記載されていまして、かつこのCloud Connectorの指定がGPOを使用する必要がある、ということで今回の手順に含めています。ただ、実際にはマスターへのVDAインストール時に手動で指定してしまえば展開後においても保持される可能性がありますので、こちらは最終的な動作確認の中で確認していきたいと思います。

こちらのポリシーですが、ADDSサーバにCitrixグループポリシー管理ツールをインストールして設定します。こちらのインストーラはCitrix Virtual Apps & Desktopsのインストールメディアから取得しています。

設定するポリシーは以下の通りです。

[Unfiltered]ポリシーに追加
　ポリシー名：Controller
　値：<Cloud ConnectorのFQDN>　※スペース区切りで2台指定

このポリシーを作成したOUに割り当てて設定完了となります。

最後にAmazon Workspacesディレクトリの準備です。
必要となるのはAmazon Workspaces に未登録のディレクトリサービスですので、Amazon Workspacesのディレクトリ作成を行ったのち、登録解除するといった手順を今回はとりました。こちらの方がAmazon Workspaces としての要件を満たす構成であることが確認できるため、トラブルが少なくなるだろうという判断ではあったのですが、ディレクトリサービスの画面にて作成いただいても問題ありません。