Приступ инфраструктури

Клијенти приступају VDI инфраструктури на више начина: 

  • са наменских уређаја (thin/zero clients)
  • са мобилних уређаја (телефони и таблети)
  • са стандардних PC платформи (Windows, macOS, Linux

Уколико корисници прилазе инфраструктури споља (изван компанијске мреже), сигуран приступ обезбеђује се употребом додатне компоненте у виду UAG (Unified Access Gateway) уређаја.

За потребе аутентификације корисника, обезбеђена је пуна интеграција са активним директоријумом, као и Single-Sign-On (SSO) и Two-Factor-Authentication функционалности. 

Слика 1. Приступ из интерне мреже 
Слика 2. Приступ из спољне мреже 
Слика 3. Приступ са различитих клијентских уређаја 

Наменски уређаји

Постоје две врсте ових уређаја – thin clients и zero clients. Њихова употреба доноси значајне уштеде пре свега због њихове једноставности и веома малог утрошка енергије. Такође су и малих димензија, што је битан фактор у окружењима са ограниченим радним простором. Јефтинији су од класичних десктоп или лаптоп рачунара а захтеви за одржавањем су минимални. У наставку су наведене основне карактеристике: 

  • Zero Clients – немају оперативни систем, локални диск, као ни меморијске и процесорске ресурсе. Садрже само чип који служи за декодирање PCoIP протокола. Изузетно су енергетски ефикасни и лаки за администрацију. Ништа од података се не смешта на сам уређај па су погодни за примену у окружењима која захтевају повећану безбедност. Поједини клијенти су везани за одређени протокол, па то може бити проблем приликом већих промена на инфраструктури. Такође, употреба и конфигурисање USB уређаја може бити компликовано.
  • Thin Clients – поседују оперативни систем, дисковне, процесорске и меморијске капацитете. То им даје веће могућности у односу на zero clients уређаје, али и доноси више захтева у погледу одржавања, како хардверског тако и софтверског. Поседују могућност повезивања путем VPN-а као и ширу палету подржаних USB уређаја. 

Избор оптималног уређаја зависи од више фактора и захтева детаљну анализу у зависности од врсте посла коју корисник обавља, финансијских могућности као и стања целокупног VDI окружења. Генерално, треба обратити пажњу на следеће:

  • протокол који ће бити коришћен
  • потреба за Wi-Fi конекцијом
  • подршка за VPN
  • подршка за VoIP
  • подржана резолуција и број монитора
  • могућности графичке обраде
  • сигурносне функције
  • број и врста портова
  • могућности централизованог управљања уређајима
  • лакоћа конфигурисања

Мобилни уређаји и стандардне платформе

Приступ је могућ коришћењем Horizon Client софтвера или кроз browser (VMware Horizon HTML Access) у случајевима где инсталација наведеног клијента није могућа.

Стандардне платформе омогућавају веома добре перформансе али су скупље и далеко компликованије за одржавање од наменских уређаја. Једна од могућности за њихову економичну употребу је коришћење старијих уређаја који су при крају свог животног циклуса. Такође, као и мобилни уређаји, могу бити добар избор за удаљени приступ корисника компанијској VDI инфраструктури. 

Управљање корисничким профилима

Бенефити имплементације VDI инфраструктуре, нарочито у већим окружењима,  долазе до пуног изражаја уколико се цео процес што више аутоматизује. То подразумева да се ресурси динамички додељују у складу са потребама и у правом тренутку, са што мање унапред резервисаних, статички додељених капацитета. Кориснику се приликом пријаве на систем додељује прва расположива виртуелна машина, која може сваки пут бити различита. То повлачи питање управљања индивидуалним подацима и специфичним апликативним подешавањима сваког корисника. 

Постоји више начина за контролу корисничких профила, у зависности од конкретне имплементације, верзије Horizon 7 платформе и начина лиценцирања. Најчешће коришћени су: 

  • VMware Dynamic Environment Manager (DEM) 
  • VMware Persona Management
  • VMware App Volumes Writable Volumes
  • Microsoft FSLogix

Управљање се врши кроз интеграцију са активним директоријумом (АД), коришћењем групних полиса и посебно дефинисаних шаблона за Horizon 7 платформу. Новије верзије DEM решења подржавају и рад без АД-а. 

VMware Dynamic Environment Manager (DEM)

Ово решење чува специфична подешавања на нивоу апликација, уместо за цео профил, што пружа низ могућности за грануларну контролу. Конфигурације се чувају у посебним .zip фајловима за сваку апликацију (Слика 4). То омогућава да буду примењене на разним верзијама оперативних система, за разлику од већине класичних решења која су везана за један ОС. Неопходна је Enterprise верзија Horizon 7 платформе.  

Слика 4. Конфигурациони фајлови (DEM) 

VMware Persona Management

Чува се целокупан кориснички профил, слично као код класичних Microsoft Roaming Profile решења. Доступно је у свим Horizon 7 верзијама али не подржава рад са RDSH агентима као ни новије верзије Windows 10 оперативног система. 

VMware App Volumes – Writable Volumes

Профили се чувају на посебним виртуелним дисковима и по потреби придружују различитим виртуелним машинама. Захтева Enterprise верзију као и засебну инфраструктуру за App Volumes (сервери, агенти…). Виртуелни дискови су у класичном .vmdk формату што олакшава њихову администрацију, као и заштиту и опоравак података. Може се комбиновати са DEM решењем чиме се добија широк дијапазон опција за контролу профила. 

Microsoft FSLogix

Ово решење је погодно за кориснике који немају Horizon 7 Enterprise верзију и не могу користити напредне VMware функционалности за управљање корисничким подацима. Профили се чувају на мрежној локацији у облику VHD(X) фајлова и додају се виртуелној машини у форми виртуелних дискова. Тиме се избегава копирање целокупног садржаја профила што често значајно успорава процес пријављивања на систем. Поред тога, постоји још низ механизама за оптимизацију процеса и побољшање корисничког искуства:

  • за редирекцију се користи Filter Driver па апликације виде профил као да је на локалном диску; ово је важно јер многе апликације не раде добро са профилима смештеним на мрежним локацијама
  • употреба Cloud Cache технологије омогућава да се део корисничких података смести на локални диск, као и да се дефинишу вишеструке мрежне локације за смештај профила; тиме се повећава доступност у случају испада дела мрежне или сториџ инфраструктуре
  • приступ ресурсима може се ефикасно контролисати употребом Application Masking функционалности, на основу већег броја параметара (нпр. корисничко име, адресни опсег итд). 

Решење је примењиво на 32-битној и 64-битној архитектури и на свим оперативним системима почевши од Windows 7 и Windows Server 2008 R2. Право на коришћење имају корисници који поседују било коју од следећих лиценци:

  • Microsoft 365 E3/E5
  • Microsoft 365 A3/A5/ Student Use Benefits
  • Microsoft 365 F1
  • Microsoft 365 Business
  • Windows 10 Enterprise E3/E5
  • Windows 10 Education A3/A5
  • Windows 10 VDA per user
  • Remote Desktop Services (RDS) Client Access License (CAL)
  • Remote Desktop Services (RDS) Subscriber Access License (SAL)

Напредна VDI решења – Teradici PCoIP Remote Workstation 

Са општим растом количине података, повећава се и потреба за њиховом што бржом и квалитетнијом обрадом. Такође, одређене области пословања захтевају веома интензивне прорачуне и симулације, као и сложене графичке обраде. Наведене захтеве није могуће испунити стандарним VDI решењима и обично се такви процеси ретко измештају изван оквира дата центара. Са друге стране, постоји растућа потреба за мобилношћу запослених и приступом компанијским сервисима у било које време и са било ког места. 

Један од начина на који се ово може постићи је задржавање свих процеса у оквиру постојећих хардверских ресурса на централној локацији, уз обраду и пренос искључиво слике до удаљених клијената употребом напредног Teradici PCoIP Remote Workstation решења (Слика 5). Основу чине три компоненте: 

  • remote workstation host
  • remote workstation client
  • LAN/WAN мрежа
Слика 5. Teradici PCoIP Remote Workstation решење 

Хост може бити било која стандардна Windows или Linux платформа на којој се врше захтевани процеси, а затим се слика са њега, на нивоу пиксела, обрађује специфичним поступцима PCoIP протокола. Такође се и криптује и тек онда шаље преко мреже до клијента. Предуслов за примену ове технологије је да хост садржи следеће две хардверске компоненте: 

  • Графичка картица (GPU) – врши стандардну обраду визуелног садржаја
  • PCoIP Remote Workstation Card – преузима податке од графичке картице, своди их на ниво пиксела и врши специфичну обраду над њима, уз компресију и кодирање и затим тако обрађене податке шаље на мрежу; у зависности од захтева и конфигурације самог хоста, постоје три основне варијанте ове компоненте, укључујући и комбиновани GPU+PCoIP уређај (Слика 6).
Слика 6. PCoIP Remote Workstation Card 

С обзиром на велику разноликост визуелног садржаја (текст, слике, видео записи итд.) посвећена је посебна пажња препознавању сваког појединачног типа података и примени одговарајућег метода компресије. Такође, у циљу оптимизације саобраћаја, врши се и прилагођавање степена компресије у складу са флуктуацијама на мрежи.

На клијентској страни се врши декомпресија и приказ слике са хоста. Клијенти могу бити стандардне платформе (десктоп, лаптоп) или наменски уређаји (thin/zero clients). Подржан је приказ на максимално 4 монитора, у зависности од резолуције.

Без обзира на избор клијента, безбедност је на високом нивоу, пошто подаци практично никад не напуштају дата центар, већ се преносе само пиксели и то у криптованој форми. Употреба наменских уређаја, нарочито zero client типа свакако још више смањује ризик од могућих напада и цурења података.

Имплементација

Као што је већ напоменуто, свака инфраструктура има своје специфичности и конкретна имплементација зависи од низа параметара. Ипак, могу се дефинисати одређене врсте типских окружења и на основу тога направити приближни прорачуни потребних ресурса.  

Опција 1. Мала и средња окружења

Основна варијанта подразумева окружење за 50 корисника, уз могућност проширења до 200 виртуелних машина додавањем хардверских ресурса (scale-up) и одговарајућих лиценци.

Предвиђено је да се користи Horizon 7 Advanced Add-on (Named/CCU) пакет уз засебно лиценцирање vSAN, vSphere и vCenter компоненти.

Виртуелни десктопови су у форми линкованих клонова чиме се постиже значајна уштеда у дисковном простору и олакшава њихова администрација. Кориснички подаци се не налазе у оквиру појединачних виртуелних машина, већ се смештају на дељени мрежни фолдер. Сваки корисник има на располагању до 100 GB простора за смештај података. 

Серверску основу чине 4 хоста конфигурисана у vSAN кластер са RAID-5 степеном заштите. Оперативни систем (ESXi) инсталиран је на посебним М2 дисковима у RAID1 конфигурацији. У Табели 1 су наведени детаљи оквирног прорачуна за vSAN кластер, а у Табели 2 карактеристике самог сервера. Неопходне лиценце наведене су у Табели 3. 

Табела 1. Прорачун параметара кластера (50 ВМ)
Табела 2. Карактеристике сервера (50 ВМ)
Табела 3. Потребне лиценце (50 ВМ)

Опција 2. Велика окружења

Већа окружења, поред додатних хардверских ресурса, обично захтевају и функционалности које омогућавају лако и брзо управљање великим бројем компоненти, интеграцију са постојећим решењима као и одређени ниво аутоматизације.

Приликом дефинисања параметара за ову опцију, узете су у обзир следеће претпоставке: 

  • Број корисника 200, уз могућност проширења до 500
  • До 100 GB података по кориснику
  • Могућност коришћења RDS Published апликација
  • Могућност виртуелизације апликација кроз App Volumes функционалност
  • Могућност смештања и контроле корисничких података кроз профиле

Напредне функције које су наведене у претпоставкама захтевају употребу Horizon 7 Enterprise верзије. Она у себи садржи лиценце за vSANvSphere и vCenter па није потребно додатно лиценцирање тих компоненти. Такође, омогућава и да виртуелне машине буду у форми инстант клонова, што поред уштеде у простору доноси и драстично већу агилност система и брзину креирања виртуелних машина (много већу него код линкованих клонова). Лиценцирање може бити Named или CCU, по потреби, уз уважавање раније изнетих ограничења по питању мрежне виртуелизације. 

За управљање корисничким профилима и смештај података могуће је користити Writable Volumes – виртуелне дискове који се додељују сваком кориснику и који у себи садрже све инсталиране апликације, податке и специфична подешавања. Овај диск се придружује виртуелној машини у моменту пријављивања на систем, тако да корисник увек има расположив свој профил, без обзира на то који виртуелни десктоп му је додељен. У комбинацији са VMware Dynamic Environment Manager опцијом, може се постићи још већа грануларност управљања подацима и укључивање разних полиса за управљање профилима. 

Серверска основа је иста као за Опцију 1, уз коришћење хостова већег капацитета. Детаљи прорачуна и неопходних хардверских и софтверских компоненти наведени су у Табелама 4, 5 и 6.  

Табела 4. Прорачун параметара кластера (200 ВМ)
Табела 5. Карактеристике сервера (200 ВМ)
Табела 6. Потребне лиценце (200 ВМ)