ユーザーを企業クラウドに接続する

クラウドへの接続は、2つの側面から見ることができます。

• エンドユーザーをクラウドに接続する技術、
• 企業クライアントのローカルインフラストラクチャをクラウド内のIaaSインフラストラクチャに接続します。

この投稿では、エンドユーザーからクラウドサービスへの接続の実装（考えられる方法、オプション、ツール）を検討します。

多くの場合、中小企業の多くは独自のローカルITインフラストラクチャを持たず、必要なすべてのビジネスソリューションとサービスをIaaSプロバイダーのクラウド（IT-GRADなど）に展開することを好みます。 このアプローチは、経済的に正当化され、収益性が高く、便利です。 時々質問や議論を引き起こす唯一のことは、適切な接続方法の選択です。 特定の状況で、どちらがより良く、より便利で、安全ですか？ わかります。

エンドユーザーがクラウドサービスに接続するには、原則として、さまざまなソリューションの組み合わせが使用されます。 それらを個別に検討しますが、今日の選択は次のとおりです。

• RDPクライアント
• RemoteApp
• Webアクセス
• リモートアクセスVPN
• VPNサイト間、
• DirectAccess
• VDI

実践が示すように、特定のリモート接続ツールの選択は、特定のクライアント/従業員/部門のニーズに直接依存します。 会計士、アナリスト、マーケティング担当者はWebインターフェイスを使用する方が便利かもしれませんが、RDP接続オプションなどは、開発者、アプリケーションテスター、ERPコンサルタントに非常に適しています。 各テクノロジーを個別に検討しましょう。

RDPクライアント（リモートデスクトップ接続）

リモートデスクトップは、クラウドを含む展開されたワークステーションへのリモートアクセスを可能にする、最も一般的で便利な、普遍的で頻繁に使用されるツールの1つです。

このタイプのアクセスは、独自のアプリケーションレベルのプロトコルであるRDP（リモートデスクトッププロトコル）に基づいています。 ターミナルアクセスサービスが実行されているコンピューターでリモートユーザーの作業を提供するのは彼です。 現在、Windows、Linux、FreeBSD、Mac OS X、iOS、Android、Symbianファミリーのほぼすべてのオペレーティングシステム用のクライアントがあります。

リモートデスクトップクライアントをさらに構成できます。 ユーザーは、ユーザー名/パスワードを保存して、接続時に毎回再入力しないようにすることができます。 ただし、セキュリティの観点からは、しない方が良いです。 画面設定、キーボードレイアウト、再生音などを調整することもできます。 リモートデスクトップに接続しているコンピューターのローカルリソースとクリップボードを使用する必要がある場合-これが「お願い」です。 上記のオプションに加えて、ユーザーはグラフィック設定を変更できます。これにより、インターネット速度が遅い場合に作業が快適になります。

サービスプロバイダーの要件	クライアント接続
専用のターミナルサーバー（ターミナルサーバー）の存在。	RDPクライアント（Windows、Linux、FreeBSD、Mac OS X、iOS、Android、Symbian）を起動します。

ユーザーから見ると、ユーザーはRDPクライアントを使用してターミナルサーバーに接続し、リモートシステムのデスクトップを確認します。 確立されたセッションのフレームワーク内で、ターミナルサーバーに展開されたアプリケーションを実行できます。

しかし、セキュリティについてはどうでしょうか。また、そのような接続はどのように信頼できると見なされますか？

RDP経由で接続するときにデフォルト設定を選択すると、リモートアクセスを実装するときに弱い暗号化が使用され、トラフィックが途中で復号化されます。 ただし、RDPの保護と最適化に役立つ追加の方法がいくつかあります。

例は、以前はターミナルサービスゲートウェイ（TSG）と呼ばれていたリモートデスクトップゲートウェイです。

リモートデスクトップゲートウェイ（リモートデスクトップゲートウェイ）は、リモートの承認されたユーザーが企業の物理ネットワークのリソースとIaaSプロバイダーのクラウド内のネットワークの両方に接続できるツールです。

リモートデスクトップゲートウェイは、HTTPSプロトコル経由でリモートデスクトッププロトコル（RDP）を使用し、リモートインターネットユーザーとユーザーアプリケーションに必要なクラウド内のリソースとの間に信頼できる暗号化方式を提供しながら、安全な接続を保証します

RemoteApp（リモートターミナルサービスアプリケーション）

RemoteAppは、上記のオプションのバリエーションです。 類似点と相違点は何ですか？

実際、RemoteAppは、クラウド内のサーバーにインストールされたアプリケーションへのリモートアクセスを整理できるツールです。

クライアントは、ローカルにインストールされているかのようにアプリケーションを使用できます。 物語のこの段階で違いが完全に明らかでない場合は、先に進みます。

RDPのオプションを考慮して、オペレーティングシステムのインスタンスを操作できるようにするリモートデスクトップへの直接接続について説明しました。 ユーザーには、デスクトップ、プログラム、アイコン、コントロールパネルなどが表示されます。 RemoteAppの状況は異なります。ユーザーには、物理​​デバイス内で実行中のリモートアプリケーションのみが表示されます。

たとえば、クライアントは、ローカルコンピューターのデスクトップにあるMicrosoft Wordショートカットを起動し、その後、認証プロセスが開始されます。 ただし、Wordはユーザーのローカルステーションにインストールされません。 認証/承認が成功すると、アプリケーションが起動し、動作する準備が整います。 これはどのように実装されますか？

アプリケーションがリモートサーバーで公開されます。 また、RemoteAppを使用してショートカットを起動すると、リモートサーバーに接続します。 アプリケーションショートカットの起動の一部として、RDPセッションが形成され、その後、アプリケーション自体が起動し、リモートデスクトップを表示する機能なしで起動します。 ユーザーに対するこのプロセスは、アプリケーションをローカルにインストールする効果を生み出します。

このオプションは、たとえば次の場合に役立ちます。

• 特定のアプリケーションへのアクセスを制限する必要がある場合。
• ユーザーがクラウドに持ち出されたいくつかのアプリケーションを使用して、ローカルマシンで作業を結合する必要がある場合。
• 特定の条件で、インターネットの低速でアプリケーションを使用できるようにする必要がある場合。

サービスプロバイダーの要件	クライアント接続（可能なオプション）
関連プログラムのリスト（RemoteAppプログラムリスト）を使用して、構成済みのRDセッションホストサーバーが存在します。	構成されたrdpファイルを実行して、RDPを介してアプリケーションへの接続を開始します（RemoteAppプログラムリストから）。 デスクトップまたは[スタート]メニューからアプリケーションアイコンを起動して、RDP経由でアプリケーションへの接続を開始します（RemoteAppプログラムリストから）。

ユーザーから見ると、ユーザーにとって、起動されたリモートターミナルサービスアプリケーションは、ユーザーのシステムで直接実行されているように見えます。 アプリケーションが実行されているリモートシステムのデスクトップではなく、アプリケーションがユーザーのシステムのデスクトップに統合され、ウィンドウスケーリングとタスクバーの独自のアプリケーションアイコンが表示されます。

ターミナルサービスWebアクセス

クラウド内の特定のアプリケーションおよびデスクトップ（前述のオプションの両方）へのアクセスは、ブラウザーを使用して調整できます。ブラウザーは現在、大多数のデバイスにインストールされています。 ユーザーの場合、このオプションは次のとおりです。ブラウザを起動し、必要なアドレスを入力し、認証を渡し、公開されたアプリケーション/アプリケーションまたはリモートデスクトップ/デスクトップを操作します。 この場合、アプリケーションのショートカットは事前に構成されたWebページに配置されます。

サービスプロバイダーの要件	クライアント接続
専用のターミナルサーバー（ターミナルサーバー）の存在。 例：OS Windows Server 2008/2012 + TS Webアクセス。	URLを使用して、Webブラウザーを介してリソースにアクセスします。

ユーザー側から見ると、ユーザーはWebブラウザーを使用して適切なURLを入力してリソースにアクセスし、認証と承認を渡し、Webを使用してアプリケーションまたはリモートデスクトップにアクセスします。

クラウドサービスに接続するためのもう1つのオプションは、VPN接続です。

VPN（仮想プライベートネットワーク）は仮想プライベートネットワークであり、さまざまな暗号化ツールを使用して、インターネットなどの安全でないネットワーク上で1つ以上の信頼性の高いネットワーク接続を可能にする技術の総称です。

VPNトンネルには、リモートアクセスVPNとサイト間VPNの2種類があります。 それぞれについて詳しく見ていきましょう。

リモートアクセスVPN

クラウドリソースに接続するための別の便利で安全で頻繁に使用されるツールは、リモートアクセスVPNです。

サービスプロバイダーの要件	クライアント接続
構成されたVPNデバイス/サーバーの存在。	VPNサーバーに接続するためのショートカットを起動します。 VPN接続が確立されると、会社のリソースへのアクセスが実現します。

ユーザー側から見ると、クライアント側で発信VPN接続が確立され、必要に応じてユーザーが使用します。 リモートリソースへのアクセスを実装するには、ユーザーはVPNショートカットを起動し、資格情報を入力し、認証に成功すると、必要なリソースにアクセスします。 つまり、ユーザーのコンピューターは、VPN接続中に発行されたIP構成パラメーターにより、クラウド内の仮想リモートオフィスネットワークに入り、会社のオフィス（ローカルネットワーク）に直接配置されているかのようにリソースを使用できます。



クラウド内のファイルサーバーのリソースにアクセスするには、各ユーザーがVPN接続を使用する必要があります。 認証と承認に成功すると、ユーザーはFile_server1にアクセスできます。

サイト間VPN

ただし、このシナリオも可能です。仮想化されていない非クラウドインフラストラクチャの会社の従業員は、クラウド内のリソースに接続する必要があります。

リモートアクセスVPNの使い慣れた実装ではどうなりますか？



クラウド内のリソースにアクセスする前に、各ユーザーはVPNサーバーへの個別のVPN接続を確立してから、ファイルサーバー\\ File_server1のリソースにアクセスします。 そして、これはサイト間VPNでどのように見えますか？ 定義から始めましょう。

サイト間VPN-トンネルが確立される2つのデバイス（たとえば、図4のVPNサーバー1とVPNサーバー2）が存在することを意味します。 この場合、ユーザーはローカルネットワーク上のデバイスの背後にあり、コンピューターに特別なソフトウェアは必要ありません。

たとえば、ファイルサーバーのリソースにアクセスする必要がある会社のユーザー数が十分に多い場合、クラウドのVPNサーバーと会社のオフィスのVPNサーバーのレベルでサイト間VPN接続を実装する方が簡単です。 これを行うには、会社のオフィスにVPNサーバーを追加で展開する必要があります。ファイルサーバーリソースにアクセスするプロセスは次のようになります。



このようなシナリオでは、ユーザーはクラウド内のリソースに直接アクセスします。 この例では、このアクセス権を持つクラウドサブネットのリソース\\ File_server1に対して、VPN Server 1はクラウド内のVPN Server 2サーバーとのVPN接続を確立します。その後、ユーザーは要求されたリソースの内容を確認します。 クライアント側では、発信VPN接続を作成する必要はありません。 この構成は、サイト間VPNと呼ばれます。

サービスプロバイダーの要件	クライアント接続
2つの構成されたVPNサーバーの存在。 例：会社のVPNサーバーとクラウドのVPNサーバー。	VPN接続のショートカットを作成して実行する必要はありません。 支店/本社/クラウドリソースに直接アクセスします。 リソースにアクセスすると、VPN接続はサーバーレベルで自動的に編成されます。 エンドユーザーに対して透過的。

直接アクセス

クラウドへのリモート接続に使用できる通常のVPN実装に加えて、まさに「ヤング」と呼ばれる別のテクノロジーがあります。 DirectAccessについてです。

DirectAccessでは、次のように企業ネットワークリソースにリモートアクセスする機能を実装できます。ユーザーのコンピューターがインターネットに接続するとすぐに、インターネットリソースおよび企業ネットワーク全体にアクセスできるようになります。

つまり、DirectAccessクライアントとして構成されたユーザーコンピューターは、DirectAccessサーバーへのトンネルを自動的に確立し、それを介して企業ネットワーク全体へのアクセスを取得します。 この場合、ユーザーは追加のアクションを必要としません。 クライアントとDirectAccessサーバー間のトンネルは自動的にインストールされ、このプロセスはユーザーに対して完全に透過的です。 VPN接続を開始したり、資格情報（ログインとパスワード、スマートカードのPINなど）を開始したりする必要はありません。さらに、インターネットへの接続がしばらく失われた場合（もちろん、同時に、トンネルが壊れた）、復元された後、ユーザーの介入なしに自動的に再び、企業ネットワークへのトンネルが復元されます。

サービスプロバイダーの要件	クライアント接続
ドメイン内の1つ以上のDirectAccessサーバーの存在。 証明機関（PKI）の可用性。 Windowsインフラストラクチャ。	接続できるクライアントOSの限定リスト：Windows 7 EnterpriseまたはWindows 7 Ultimate。 クライアントコンピューターは、ドメインのメンバーである必要があります。 接続ショートカットを作成して実行する必要はありません。 インターネットへのアクセスにより、クライアントとサーバー間の信頼できるトンネルが自動的に構築されます。 会社のリソースへのアクセスは、ユーザーに対して透過的です。 クライアントの物理的な場所は重要ではありません。

VDI（デスクトップ仮想化）

今日の高いビジネスモビリティでは、従業員がアプリケーションを常に利用できる必要があるため、このような問題を実装および解決するためのアプローチは常に変化しています。 現在、仮想デスクトップインフラストラクチャ（VDI、仮想デスクトップインフラストラクチャ）は、企業のIaaSプロバイダーの多くのクラウドプラットフォームに実装されています。 このテクノロジーにより、ユーザーワークステーションを仮想化サーバーに集中化しながら、管理、展開、およびメンテナンスの単一ポイントを作成できます。

クライアント側では、すべてが同じように簡単です。インターネット接続とデスクトップPC /ラップトップ/携帯電話/タブレットが必要です。 これらの条件に従って、ユーザーは世界中のどこからでも自分の仮想職場にアクセスできます。これがVDIのメリットです。

実際のデスクトップ仮想化は次のようになります。

サーバーは、ハイパーバイザーがインストールされているIaaSプロバイダーのクラウドに割り当てられます。 その上に、原則として、クライアントOSから個別の仮想マシンがデプロイされます。 クライアントプログラムがユーザーのエンドデバイスで起動され、インフラストラクチャに接続されます。 このタイプの接続は、一見、RDP接続と大差ありません。 しかし、違いは何ですか？

ターミナルサーバーへのRDP接続の場合、これは共有Windowsサーバー上の別個のセッションです。 VDI（デスクトップ仮想化）の場合、これはクライアントOSを備えた独立した分離コンテナーです。 したがって、2つの重要な違いを区別できます。サーバーOSとクライアント、および別のセッション（1つのOSのリソースを共有）と分離された仮想マシンです。

ターミナルモードで作業している場合、分離はセッションレベルで行われ、アプリケーションがOS自体のレベルで障害を引き起こす場合、同じサーバーで作業している他のユーザーは、そのようなアプリケーションを起動したユーザーで再起動します。 また、デスクトップ仮想化を使用する場合、1つの仮想マシンのみが再起動されます。

サービスプロバイダーの要件	クライアント接続
展開されたVDI仮想デスクトップインフラストラクチャ（VMware、Citrix、Microsoftのソリューション）。	ユーザーは、シンクライアント、デスクトップPC、ラップトップ、タブレット、携帯電話を使用して接続できる独自の仮想PCを取得します。

結論として、ユーザーをクラウドに接続するための考慮された技術を含む一般的な表を提示します。

接続	サービスプロバイダーの要件	クライアント接続
RDPクライアント	専用ターミナルサーバー（ターミナルサーバー）の存在	RDPクライアントの起動（Windows、Linux、FreeBSD、Mac OS X、iOS、Android、Symbian）
Remoteapp	構成されたRDセッションホストサーバーが存在し、関連するプログラムのリスト（RemoteAppプログラムリスト）が存在する	構成されたrdpファイルを実行して、RDPを介してアプリケーションへの接続を開始します（RemoteAppプログラムリストから）。 デスクトップまたは[スタート]メニューからアプリケーションアイコンを起動して、RDP経由でアプリケーションへの接続を開始します（RemoteAppプログラムリストから）。
Webアクセス	専用ターミナルサーバー（ターミナルサーバー）+ TS Webアクセスサービスの存在	URLを使用して、Webブラウザーを介してリソースにアクセスします。
リモートアクセスVPN	構成されたVPNサーバーの存在	VPNサーバーに接続するためのショートカットを起動します。 VPN接続が確立されると、会社のリソースへのアクセスが実現します。
VPNサイト間	2つの構成されたVPNサーバーの存在。 例：本社のVPNサーバーとクラウドのVPNサーバー	VPN接続のショートカットを作成して実行する必要はありません。 支店/本社/クラウドリソースに直接アクセスします。 リソースにアクセスすると、VPN接続はサーバーレベルで自動的に編成されます。 エンドユーザーに対して透過的。
直接アクセス	ドメイン内の1つ以上のDirectAccessサーバーの存在。 証明機関（PKI）の可用性。 Windowsインフラストラクチャ。	接続できるクライアントOSの限定リスト：Windows 7 EnterpriseまたはWindows 7 Ultimate。 クライアントコンピューターは、ドメインのメンバーである必要があります。 接続ショートカットを作成して実行する必要はありません。 インターネットへのアクセスにより、クライアントとサーバー間の信頼できるトンネルが自動的に構築されます。 会社のリソースへのアクセスは、ユーザーに対して透過的です。 クライアントの物理的な場所は重要ではありません。
Vdi	展開されたVDI仮想デスクトップインフラストラクチャ（VMware、Citrix、Microsoftのソリューション）	ユーザーは、シンクライアント、デスクトップPC、ラップトップ、タブレット、携帯電話を使用して接続できる独自の仮想PCを取得します。

さらに、企業のIaaSに関するブログの記事「 企業のクラウドへの接続 」で、企業のローカルインフラストラクチャをクラウドのIaaSインフラストラクチャに接続するためのオプションについて読むことができます。