Aplicaciones empresariales

Estrategia de escritorio virtual con Amazon WorkSpaces - Criterios de migración VDI y diseño de costos

Explicamos el modelo de precios de Amazon WorkSpaces, la selección de protocolo, la integración con directorios y el diseño de seguridad, presentando criterios de decisión para migrar desde VDI on-premises y técnicas prácticas de optimización de costos.

約 7 分で読めます

Problemas estructurales del VDI on-premises

El VDI (Virtual Desktop Infrastructure) on-premises centrado en Citrix y VMware Horizon ha operado en muchas empresas durante más de 10 años, pero los problemas estructurales se han hecho evidentes. Primero, la gestión del ciclo de vida del hardware. Los servidores VDI requieren renovación cada 3-5 años, y en entornos VDI de cientos de servidores, solo el proyecto de renovación requiere inversiones de cientos de millones de yenes y más de medio año. Segundo, la inflación de costos de licencias. Las licencias de Citrix Virtual Apps and Desktops cuestan decenas de miles de yenes por usuario al año, y a escala de 1.000 usuarios generan decenas de millones de yenes anuales en costos de licencias. Tercero, las limitaciones para el trabajo remoto. El VDI on-premises depende del ancho de banda de la red del centro de datos, por lo que el rendimiento se degrada cuando todos los empleados acceden remotamente simultáneamente. Muchas empresas enfrentaron este problema durante la pandemia. Amazon WorkSpaces resuelve estos problemas como un servicio VDI gestionado que opera sobre la infraestructura global de AWS.

Modelo de precios de WorkSpaces y punto de equilibrio

WorkSpaces ofrece dos modelos de precios: tarifa mensual fija y cobro por hora. La tarifa mensual fija para el bundle Standard (2 vCPU, 4GB de memoria, 50GB de almacenamiento) es de 35 USD por unidad al mes (us-east-1). El cobro por hora tiene una tarifa base mensual de 9,75 USD + 0,30 USD por hora de uso para el mismo bundle Standard. El punto de equilibrio es aproximadamente 84 horas mensuales (9,75 + 0,30 × 84 ≈ 35). Es decir, los usuarios que utilizan más de 4 horas diarias (más de 80 horas en 20 días laborables al mes) se benefician de la tarifa mensual fija, y los que usan menos se benefician del cobro por hora. En entornos empresariales reales, es común asignar tarifa mensual fija a empleados a tiempo completo y cobro por hora a empleados a tiempo parcial o temporales. Además, WorkSpaces ofrece el modo AutoStop, que apaga automáticamente después de un período de inactividad y se inicia automáticamente en el siguiente acceso. Combinando cobro por hora y AutoStop, se elimina completamente el cobro por tiempo no utilizado. A escala de 1.000 usuarios, usar apropiadamente tarifa mensual fija y cobro por hora puede lograr una reducción de costos del 20-30% comparado con asignar tarifa mensual fija a todos.

Selección de protocolo - Diferenciación entre PCoIP y WSP

WorkSpaces soporta dos protocolos de streaming: PCoIP (PC over IP) y WSP (WorkSpaces Streaming Protocol). PCoIP es un protocolo desarrollado por Teradici, disponible desde el inicio de WorkSpaces. Destaca en la estabilidad de calidad de imagen, especialmente para cargas con mucho procesamiento gráfico (CAD, edición de imágenes). WSP es un protocolo desarrollado internamente por AWS, disponible desde 2020. La mayor ventaja de WSP es la adaptabilidad de red. Incluso en entornos con ancho de banda variable (conexiones móviles, acceso desde el extranjero), ajusta dinámicamente el bitrate para mantener una experiencia de operación estable. Además, WSP soporta redirección de webcam, redirección de tarjetas inteligentes y múltiples monitores (hasta 4), siendo superior a PCoIP en funcionalidades. Desde 2024, AWS posiciona WSP como el protocolo recomendado, y las nuevas funcionalidades se proporcionan prioritariamente para WSP. Para nuevas implementaciones es racional elegir WSP, usando PCoIP solo para mantener compatibilidad con entornos existentes.

Integración con directorios y diseño de seguridad

La autenticación de usuarios de WorkSpaces se integra con Active Directory (AD). Usando AWS Managed Microsoft AD, se puede establecer una relación de confianza con el AD on-premises y aplicar las cuentas de usuario y políticas de grupo existentes directamente a WorkSpaces. Esto permite gestionar centralizadamente políticas de contraseñas, bloqueo de pantalla, control de dispositivos USB y restricciones de portapapeles con las mismas políticas de grupo que on-premises. En el diseño de seguridad, la prevención de fuga de datos es especialmente importante. WorkSpaces permite por defecto copiar y pegar del portapapeles, carga/descarga de archivos e impresión, pero todo esto se puede restringir mediante políticas de grupo o configuración de administración de WorkSpaces. En entornos con requisitos estrictos de gestión de datos como instituciones financieras u hospitales, es común deshabilitar el portapapeles, prohibir la redirección de unidades locales y limitar la impresión a impresoras de red específicas. Además, WorkSpaces puede restringir las direcciones IP de origen de conexión con grupos de control de acceso IP, permitiendo configuraciones que solo permitan acceso desde la red corporativa o a través de VPN.

Framework de decisión de migración y enfoque gradual

La migración de VDI on-premises a WorkSpaces tiene mayor tasa de éxito con un enfoque gradual en lugar de una migración total. Primero, como fase piloto, se migran 50-100 usuarios a WorkSpaces para verificar rendimiento, experiencia de usuario y procesos operativos. Los candidatos para el piloto son departamentos de TI o departamentos con alta proporción de trabajo remoto, ya que permiten descubrir problemas técnicos tempranamente y obtener feedback fácilmente. Los elementos a verificar en el piloto son tres: latencia de red (se recomienda menos de 100ms), compatibilidad de aplicaciones (especialmente aplicaciones desarrolladas internamente) y funcionamiento de periféricos (impresoras, escáneres, tokens USB). Basándose en los resultados del piloto, en la fase de expansión se migra gradualmente por departamento. La prioridad de migración se establece racionalmente en este orden: departamentos cuyo hardware VDI está próximo a renovación, departamentos con alta proporción de trabajo remoto, y departamentos con requisitos de seguridad estrictos (prohibición de sacar datos fuera de la empresa). Los departamentos con contratos de licencia VDI on-premises vigentes minimizan los costos dobles migrando al vencimiento del contrato. Para aprender sistemáticamente el diseño y operación de escritorios virtuales, puede consultar libros especializados (Amazon).

Servicios relacionados

Amazon WorkSpacesServicio de escritorios virtuales gestionados (VDI) en la nubeAWS Directory ServiceUn servicio que proporciona Active Directory administrado en AWS

Artículos relacionados

Escritorio en la nube con Amazon WorkSpaces - Diseño y optimización de costos de DaaSLogra optimización de costos según patrones de uso con los modelos de precios AlwaysOn y AutoStop. Presentamos el fortalecimiento de seguridad con integración Active Directory, MFA y control de acceso por IP.Integración con Active Directory - Extensión de la infraestructura de identidad on-premises a la nube con AWS Directory ServiceExplicamos la integración en la nube de Active Directory con AWS Directory Service. Presentamos la diferenciación entre AWS Managed Microsoft AD, AD Connector y Simple AD, y la integración con WorkSpaces, RDS y FSx.Inicio de sesión único con AWS IAM Identity Center - Gestión de acceso multi-cuentaLogra inicio de sesión único para entornos multi-cuenta y controla los niveles de acceso a cada cuenta con conjuntos de permisos. Cubre integración con IdP externo y uso de ABAC.

Más sobre este tema

Integración de comunicación en tiempo real con Amazon Chime SDK - Voz, video y mensajeríaAprenda sobre patrones de implementación del SDK para integrar videoconferencias y conexión PSTN en sus propias aplicaciones. Efectivo para servicios donde la comunicación es un diferenciador, como telemedicina y educación en línea.Asistente de IA empresarial con Amazon Q Business - Búsqueda de conocimiento interno y automatización de tareasConstruye un asistente de IA que busca en el conocimiento interno de la empresa y automatiza tareas de negocio. Presentamos la integración con fuentes de datos, los controles de acceso y los plugins de acciones.

Artículos y servicios similares

Escritorio en la nube con Amazon WorkSpaces - Diseño y optimización de costos de DaaSLogra optimización de costos según patrones de uso con los modelos de precios AlwaysOn y AutoStop. Presentamos el fortalecimiento de seguridad con integración Active Directory, MFA y control de acceso por IP.Amazon WorkSpacesServicio de escritorios virtuales (DaaS) completamente gestionado que proporciona escritorios Windows o Linux persistentes accesibles desde cualquier dispositivoIntegración con Active Directory - Extensión de la infraestructura de identidad on-premises a la nube con AWS Directory ServiceExplicamos la integración en la nube de Active Directory con AWS Directory Service. Presentamos la diferenciación entre AWS Managed Microsoft AD, AD Connector y Simple AD, y la integración con WorkSpaces, RDS y FSx.AWS Directory ServiceServicio que proporciona Active Directory administrado e integración de directorios en AWS, construyendo la infraestructura de autenticación para cargas de trabajo Windows en la nube