Active Directory 統合管理の夢(Amazon FSx編)


経緯

EC2で立てていたファイル共有サーバをAmazon FSx移行する。

・メリット
 Active Directoryによるアクセス管理
 マネージドサービスであるため管理不要
 冗長化
 高速化
 暗号化

・デメリット
 VPN接続の利用によるNW/ルータへの負荷
 データ移行が必要

構成図

before


ユーザーはインターネットを通じてファイル共有サーバにアクセス
もちろん通信内容バレバレ(SMB2プロトコルの為)

after


FSxはでSambav3をサポートしてるので通信は暗号化できる。
また、暗号化通信をサポートしていない古い端末の接続を拒否することができる

FSxの設定

FSxの作成自体は簡単なので割愛。
ちょっと忘れそうな設定だけを載せておきます。
(AWSドキュメントは全部英語)

シャドウコピーの設定

ファイルのバージョン管理っぽいことをしてくれます。

リモートでFSxのpowershellを操作できるように、以下のコマンドを入力する。

enter-pssession -computername <FSxFileSystem-Remote-PowerShell-Endpoint> -configurationname fsxremoteadmin

デフォルトの設定でシャドウコピーを有効にする。

Set-FsxShadowStorage -Default
Set-FsxShadowCopySchedule -Default

デフォルトのスケジュール設定では平日7:00と12:00にシャドウコピーを取得する設定になっている。

通信暗号化の設定

以下のコマンドで、通信データを暗号化する。
また、暗号化に対応していないクライアントは拒否される。

Set-FsxSmbServerConfiguration -EncryptData $True -RejectUnencryptedAccess $True

重複排除の設定

ファイルの重複部分を1つのみ保存することで、容量を節約できる。
効果が分からないので、進展ありましたら、追記します。

Enable-FsxDedup
Set-FSxDedupConfiguration -MinimumFileAgeDays 0