Skok na obsah stranky, Hlavní stranka webu, Mapa webu, Hlavní menu

VMware View 3: Doporučené postupy pro nasazení VMware View 3 (část třetí)

VMware View 3: Doporučené postupy pro nasazení VMware View 3 (část třetí) 30.3.2009 Třetí a zároveň poslední díl článku vás seznámí s doporučenými postupy pro implementaci VMware View 3 ve vašem prostředí.

Řešení Secure Remote Access (Vzdálený zabezpečený přístup)

Mezi různými firmami bohužel existují značné rozdíly pokud jde o zajištění rychlého a vysoce spolehlivého přístupu k Vmware View uživatelům mimo firemní síť. Pro získání více informací o technologii load balancingu a řešení secure remote access jsem využil příručky VMware VDM 2 Load Balancing Guide. V současné době patří mezi nejpoužívanější technologie pro ochranu podnikových datových center produkty Citrix Netscaler/Access Gateway nebo Cisco ASA. Tyto technologie umožňují uživatelům nacházejícím se mimo podnikovou síť bezpečný přístup ke svým standardním firemním desktopům.

Na počátku jsou dvě HTTP sessions, které jsou zřízeny mezi klientem a connection serverem, na který je pomocí load balanceru přesměrován požadavek klienta. První session slouží pro komunikaci s webový rozhraním View Portal a druhá směruje komunikaci protokolu RDP (Remote Desktop Protocol) na port 443 pomocí tunelového připojení protokolu HTTP(S). Connection server standardně odpovídá na HTTP požadavek klienta zasláním svého vlastního hostname. Použitím výchozího nastavení connection serveru dochází k otevření důležitých portů ve firewallu mezi bránou (Gateway device) a connection servery. Klientovi je tak umožněna přímá komunikaci s těmito servery. V konfigurační části konzole View Administrator je však možné toto výchozí nastavení změnit zadáním externí URL adresy, která je poté zaslána klientovi. Tato externí URL musí být nastavena každému connection serveru, ke kterému se chcete připojit.

View Administrator: Část okna, které se zobrazí po zvolení možnosti editace ‘Edit’ nastavení connection serveru.
Obr.č. 16 – Část okna, které se zobrazí po zvolení možnosti editace ‘Edit’ nastavení connection serveru.

Nastavením externí URL můžeme obejít bezpečnostní nastavení connection serveru (bypassing), čímž uživateli zprostředkujeme přímou komunikaci s požadovaným virtuálním desktopem.  Pokud tato externí URL bude nastavena jako DNS jméno load balanceru, load balancing zajistí rozdělení zátěže na dvou místech: jednak při nastavení přístupu k rozhraní View Portal a jednak při následném připojení uživatele k virtuálnímu PC. 

VMware příručka Load Balancing Guide dále upozorňuje, že pro správnou funkci load balancing je nutné u zařízení load balancer nastavit akceleraci SSL protokolu (SSL Offloading). Toto nastavení umožňuje šifrovat aplikační obsah tzv. „za běhu“ a connection server se tudíž nemusí zabývat šifrovacími úlohami náročnými na výpočetní sílu. Load balanceru je také nutné nakonfigurovat použití sticky sessions, a umožnit tak vzdálenou správu (RDP) přes HTTP klienta. Komunikace mezi SSL akcelerátorem a servery probíhá transparentně (protokol HTTP). S použitím cookies je pak load balancer schopen poskytnout RDP session, která je směřována ne na základě zatížení systému, ale na stejný serverový systém.

V této souvislosti je třeba zmínit dvě následující věci:

  1. Uživatelské jméno a heslo jsou směrovány na connection server jako čistý text (v komunikaci mezi load balancerem a connection serverem).
  2. Protože connection server používá protokol HTTP a ne HTTPS, RDP session jde rovněž zabalená do HTTP. Žádný problém tu nevzniká, protože data jsou z internetu odesílána na gateway pomocí tunelového připojení HTTPS; chtěl jsem na tuto skutečnost pouze upozornit.

Ve srovnání s řešením Citrix Web Interface nabízející možnost integrovaného přihlášení s použitím autentizačního protokolu Kerberos, VMware v tomto směru poněkud zaostává. Pro správnou funkci Cisco ASA by také nebylo od věci vyvinout View plugin pro toto zařízení.

Server Provisioning

Při porovávání řešení VMware View 3.0 a Citrix Provisioning mě zajímala možnost nasazení terminálových serverů nebo dokonce Citrix serverů v prostředí View 3.0. VMware oficiálně tvrdí, že toto prostředí podporuje pouze desktopové operační systémy. Rozhodl jsem se přesvědčit se sám, a opravdu, po vytvoření snímku virtuálního serveru a instalaci View Agent, se v průvodci pro nasazení poolu server nezobrazil. Přitom by pro tento účel velice dobře posloužil nástroj pro klonování Citrix serverů (například jeden z nástrojů z CitrixTools.net), který by spravoval veškeré specifické služby Citrix, v kombinaci s nástrojem Sysprep sloužícím pro nasazení jednoznačně identifikovatelných virtuálních strojů ve vCenter. Díky implementaci zásad skupin v Active Directory by vše fungovalo bez nutnosti dalších admistrativních zásahů.

Možná ale zacházím příliš daleko, pokouším-li se porovnávat VMware View s technologiemi XenDesktop nebo Provisioning Server? Tyto dva produkty mají očividně spoustu shodných rysů, přestože jsou založeny na zcela odlišných principech. Dovoluji si tvrdit, že uložení změn operačního systému do paměti cache, aneb způsob jakým to řeší Provisioning Server, je mnohem 'elegantnější' řešení než vytváření a mazání snapshotů, přestože výsledek je prakticky stejný; vytvoření okamžitě dostupných strojů, které jsou ihned po rebootu smazány.

Display Protocol

Musím se přiznat, že mě trochu zklamalo, že nebyly podniknuty dostatečné kroky pro optimalizaci RDP protokolu. Tato optimalizace je velice nezbytná, plánujete-li např. nasazení Windows XP, které obsahuje zatím asi nejhorší verzi RDP, a uživatelům jsou tak poskytovány desktopy přes připojení s vysokou latencí. Sice jsem se zatím neotestoval výkon RDP s latencí až okolo 300 ms, ale dokážu si představit, že se pro tento nedostatek spojení může přerušit. Chceme-li dosáhnout co nejefektivnější optimalizace RDP v prostředí View, je nutné v objektu zásad skupiny použít nastavení zásad Šablony pro správu  (The Group Policy Administrative Templates); ale samozřejmě možnosti upřesnění (Advanced Options) u protokolu ICA jsou úplně o něčem jiném.

V sekci Reference Architecture Kit (sada nástrojů pro referenční architekturu) VMware na tento problém upozorňuje, když tvrdí, že RDP je ideální pro připojení LAN či WAN při latenci do 150 ms. Při poskytování virtuálních desktopů přes spojení s vysokou latencí, se však použití RDP nedoporučuje. VMware navrhuje alternativní řešení jako např. Sun Microsystems Appliance Link Protocol™ (ALP) v případě nasazení tenkých klientů Sun Ray nebo Pano Logic (Pano Logic’s Console Direct), nicméně detailní popis těchto řešení by byl  nad rámec tohoto článku. Podařilo se mi najít síťový nástroj, který může být nakonfigurován na latenci až do 400 ms a který v blízké době otestuji.

Sizing (Dimenzování)

V sekci Reference Architecture Kit (sada nástrojů pro referenční architekturu) na stránkách VMware je popsána instalace samostatných ESX clusterů pro VDI. Samostatný ESX cluster použiji i při implementaci VMware View zákazníkovi. Protože Microsoft podporuje clusterování maximálně 8 uzlů, bude nutné změnit standardní konfiguraci 13 hostitelů v clusteru. Zjistil jsem, že stanice s dvěma Quad-Core procesory a 24 GB paměti dokáže obsloužit okolo 17 pokročilých uživatelů (power users). Díky funkci sdílené paměti se ESX server ukazuje jako nejlepší řešení pro prostředí VDI. Ostatní hypervizory totiž sdílení paměti zatím nepodporují. Plánuji tedy použít stejný vCenter, který již používám ve svém serverovém prostředí a které je v současné době jedno z největších v Evropě. Stav výkonu budu nicméně sledovat i nadále, protože vCenter má pravěpodobně také své limity.

User experience monitoring

Uvažujete-li o nasazení VMware View, nezapomeňte se také informovat o dostupných produktech pro monitorování uživatelů. Řešení nabízené poskytovateli eG Innovations nebo RTO PinPoint poskytuje relevantní informaci o výkonu front-end i back-end připojení a vy okamžitě zjistíte, kde a jak vznikla případná prodleva. Implementací této technologie tak získáte spoustu času.

Závěrem...

VMware View 3.0 je skutečné povedené řešení sdružující všechny volby konfigurace do jedné konzole. Tato konzole je intuitivní a rychlá a konfigurační nastavení (volby) v ní obsažená jsou logicky uspořádána do pouhých čtyř konzolových oken. Pochopení nové technologie linkovaných klonů se jeví jako trochu složitější, protože způsob, jakým pracuje s místem na disku zatím nebyl společností VMware dostatečně zdokumentován. (Více o technologii linkovaných klonů se dočtete v druhé části tohoto třídílného článku).


Pojem ‘trvalý desktop’ je třeba více objasnit; může být totiž zaměněn s desktopem pro pokročilé uživatele (power users), jakým je (např.) dedikovaný/vyhrazený desktop. Ve skutečnosti se však jedná o desktopy, které jsou spravovány administrátorem, což „power user“ desktopy zcela jistě nejsou.


Kromě toho VMware View obsahuje všechny důležité nástroje jako je univerzální tisk, jednotné přihlašování single sign-on, okamžité a automatické přidělování desktopů, dokonce i použití offline desktopu. Optimalizaci RDP protokolu tato verze bohužel postrádá, a čas od času tedy mohou nastat potíže spojené s vysokou síťovou latencí. Zákazníci využívající serverové řešení VMware ESX by měli v ideálním případě zvolit právě produkt View 3.0 díky jeho funkční integraci s prostředím virtuální infrastruktury. Společně s licenčním balíčkem „Premier“ zahrnujícím rovněž aplikaci ThinApp založenou na technologii Thinstall se jedná o opravdu slibné řešení na trhu VDI. Jsem zvědav, co VMware nabídne příště.

www.brianmadden.com

  • Promo akce

  • Kontaktní osoba

    Jaroslav Prodělal

    Jaroslav Prodělal


    tel.:+420 222 550 020

  • Sdílet

Používáme technologie společností: WMWARE Partner VEEAM Gold Pro Partner DELL Partner Direct IBM Business Partner Microsoft Small Business Specialist HP Aruba

Užíváním těchto webových stránek souhlasíte s použitím souborů cookies. Více informací