Изучаем новинку VMware Horizon Suite

В последнее время число ОС, архитектур и устройств, при помощи которых пользователь подключается к корпоративным сетям, растет лавинообразно. Сотрудники компаний все меньше привязаны к своему рабочему месту и требуют обеспечить доступ к сетевым ресурсам из любой точки, где есть интернет. Как в этом случае решить проблемы доставки приложений и услуг, а также обеспечить удобство пользователя, доступность и безопасность?

Назначение VMware Horizon Suite

Исторически компания VMware известна своими продуктами для виртуализации серверной инфраструктуры, где она занимает главенствующие позиции. На рынке же виртуализации и доставки приложений лидером традиционно считается Citrix со своими продуктами XenApp и Receiver. Такие разработки VMware, как View и ThinApp, не смогли изменить положение дел, поэтому в середине 2011 года компания начала продвигать идею End-User Computing (EUC). Уже в августе 2012-го на конференции VMworld 2012 она получила реальное воплощение в виде альфа-версии совершенно нового продукта — VMware Horizon Suite. Название Horizon выбрали не случайно, как бы намекая, что новая разработка выходит за горизонты традиционного ПК. Окончательный релиз новой платформы состоялся 20 февраля 2013 года, и теперь можно оценить результат.

Технологии, используемые в Horizon Suite, унифицируют (виртуализируют) все составляющие (приложения, данные и учетные записи) в единые централизованные сервисы, к которым можно легко подключиться и, что не менее важно, которыми просто управлять при помощи политик. Обычно, чтобы пользователь удаленно подключался к ресурсам компании, необходимо настроить VPN, обеспечить доступ к сервису или приложению, указать, где он находится (например, создав ярлык на рабочем столе). Нюансов в таком сценарии очень много, и чем больше устройств и приложений, тем больше возникает нестыковок. Поэтому развертывание и поддержка всего этого занимает много времени и требует постоянного внимания для обеспечения работоспособности и безопасности. Решение VMware в корне меняет подход. Пользователь с любого устройства подключается по стандартному протоколу HTTPS/443 к своему Workspace и сразу получает список доступных приложений, SaaS-сервисов и компьютеров, на которые заходит одним кликом.

Панель администрирования VMware Horizon
Панель администрирования VMware Horizon

Возможности VMware Horizon Suite

Horizon Suite представляет собой набор продуктов, в который включены как уже известные разработки VMware в области виртуализации рабочих станций, так и новые технологии для мобильной и совместной работы: VMware Horizon Data, AppBlast, AppShift, ThinApp, Horizon Application Manager и Horizon Mobile. Состоит из трех главных компонентов, каждый из которых отвечает за свой участок (их по-прежнему можно приобрести отдельно или сразу пакетом в рамках Horizon Suite):

  • VMware Horizon View 5.2 (ранее VMware View версия Premier) — новая версия системы инфраструктуры VDI (Virtual Desktop Infrastructure), в которой появился веб-интерфейс на базе стандарта HTML 5 (управлять можно при помощи жестов) и реализована поддержка аппаратного ускорения 3D-графики, позволяющая запускать тяжелые графические приложения. Для подключения к виртуальным ПК используется WAN-оптимизированный протокол PCoIP. Поддерживается VMware ThinApp, позволяющий упаковывать и переносить Windows-программы на другие платформы без перекомпиляции и тестирования на любое устройство, поддерживающее HTML 5 или Java.
  • VMware Horizon Mirage 4.0 обеспечивает оптимальную работу с физическими ПК (не ориентирован на виртуальные среды) в сетевом и автономном режимах. Для этого компьютер разделяется на несколько логических слоев: система, приложения, данные и настройки пользователя. Затем образ сохраняется в ЦОД, c которым периодически синхронизируются все изменения. Например, если пользователь работал в автономном режиме, после подключения в сеть все новые данные будут отправлены на сервер. Такой подход на порядок упрощает миграцию, резервирование и управление удаленными ПК (в том числе установку обновлений, нового ПО и подобного) без необходимости разворачивать соответствующую инфраструктуру. В новом релизе пользователи могут работать с бесплатным пакетом виртуализации рабочих станций VMware Fusion Professional, который обеспечивает виртуализацию Windows-систем в OS X. С Mirage также может быть интегрирован VMware ThinApp.
  • VMware Horizon Workspace 1.0 — совершенно новое решение, по сути, это клей для всех остальных компонентов. С его помощью администратор объединяет все компьютеры, доступные приложения, сервисы и данные в единое рабочее пространство, к которому может получить доступ пользователь вне зависимости от типа устройства, ОС и места доступа. Для администратора это означает уменьшение точек управления, упрощение внедрения, доступ при помощи политик положительно сказывается на безопасности. Например, для мобильных устройств реализовано более ста политик; создавая классы политик, администратор затем их применяет для отдельных пользователей или групп.
Чтобы запустить приложение или подключиться к VDI, пользователю достаточно выбрать его в списке
Чтобы запустить приложение или подключиться к VDI, пользователю достаточно выбрать его в списке

В рамках Horizon Workspace объединены два проекта: Horizon Data (ранее Project Octopus) и Horizon Application Manager. Первый представляет собой онлайн-хранилище данных наподобие Dropbox, но ориентирован на корпоративное применение. Такой подход имеет больше плюсов, чем традиционный: любые файлы доступны из любого места и с любого устройства, проще управлять самой информацией. Так, нет необходимости рассылать по списку большой документ для ознакомления, а затем собирать и отслеживать все изменения и версии. Просто открываем доступ и даем ссылку кому нужно, пользователи здесь же могут оставить комментарии и вносить правки, о чем сразу все участники получают уведомление, что сильно ускоряет процесс. Поддерживается контроль версий (можно восстановить даже удаленные файлы), история, закладки, предпросмотр офисных документов и PDF. Очень удобно реализована передача прав на администрирование общей папки и файлов другим пользователям. Администратор может настроить квоты, указать разрешенный тип и максимальный размер файлов, срок хранения, удалить файлы с мобильного устройства (в случае увольнения сотрудника или потери гаджета) и так далее. Соответственно, уменьшается количество дублей и старых ненужных файлов, хранящихся на жестких дисках, упрощается резервное копирование.

Второй проект — Horizon Application Manager (HAM), представляет собой веб-портал, на котором публикуются веб/мобильные/ThinApp приложения, VDI-системы и данные, он позволяет получить доступ к нужному ресурсу в один клик. Администратор может добавить мобильные предложения, не копируя, а просто указав их в Apple Store или Google Play. Для подключения служб SaaS используется SAML (Security Assertion Markup Language, язык разметки подтверждения безопасности). Портал фактически реализует концепцию Single Sign-On (SSO), пользователю нет необходимости запоминать и вводить пароль для доступа к каждому сервису, он авторизуется только один раз. По сути, HAM — это единый каталог, после регистрации пользователь получает список только того, к чему имеет доступ. Приложение может открываться непосредственно в браузере, даже если оно выполняется в виртуальном ПК VMware View. За доставку «картинки» в этом случае отвечает технология VMware AppBlast, использующая HTML 5 и Java. Помимо веб-клиента, предложен и специальный клиент для Windows, OS X, iOS и Android, обеспечивающий доступ к файлам и приложениям, а также синхронизацию данных. Для подключения пользователей по умолчанию используется стандартный протокол HTTPS (443-й порт), который обычно не блокируется межсетевыми экранами. Поддерживается внутренняя база данных пользователей, интеграция с LDAP-каталогом, включая Active Directory, аутентификация по логину/паролю, Kerberos и RSA SecurID. Возможно внедрение любого другого механизма сторонних разработчиков. Удобно, что системные администраторы смогут выделять данные, приложения и рабочие столы пользователям или группам, а не конкретным устройствам. В рамках Workspace реализован аудит, позволяющий узнать, кто и к какому файлу или приложению пытался получить и получил доступ.

Настройка приложений в Horizon Application Manager
Настройка приложений в Horizon Application Manager

Еще одно решение разрабатывается в рамках проекта Horizon Mobile (ранее VMware Mobile Virtualization Platform), в его задачу входит виртуализация мобильных устройств и разделение персональной и корпоративной информации на устройстве Android и iOS. Администраторы создают шаблоны корпоративных устройств компании, привязывая их, например, к должности, могут указывать политики использования телефона, развертывать рабочее виртуальное окружение на телефоне, публиковать мобильные приложения и следить за статусом. Поддерживается защита от потери или кражи устройства, шифрование данных (AES 256), уничтожение информации на устройстве из центральной консоли.

Настройка работы Horizon Mobile Manager
Настройка работы Horizon Mobile Manager
Настройка политики в Horizon Mobile Manager
Настройка политики в Horizon Mobile Manager

Развертывание VMware Horizon Suite

Установку Horizon Suite нельзя назвать сложной, но она и не совсем уж простая. Процесс требует внимания, важно последовательно выполнять все рекомендации и понимать, что нужно делать. Один пропущенный этап, и потом будешь долго разбираться, почему что-то не работает. Все нюансы пошагово расписаны в документации проекта, внимательное чтение которой позволит во всем разобраться. Минимальные требования к серверу по современным меркам небольшие: CPU класса 2 Intel Quad Cores, 3,0 ГГц с 4 Мб кеша, 16 Гб ОЗУ, 500 Гб HDD. Поставляется VMware Horizon Suite в виде OVA образа. И хотя этот формат поддерживается большинством современных виртуальных машин, для развертывания Horizon Suite необходимо использовать только vCenter, прямая установка на ESX или другие VM невозможна и заканчивается ошибкой. Решения Application Manager и Horizon Mobile идут отдельными образами. В основе образов виртуальные машины, построенные на SUSE Linux Enterprise 11. Еще один сюрприз: OVA Horizon Suite содержит пять виртуальных модулей (virtual appliance/VA):

  • Configurator (configurator-va) — интерфейс для настроек, которые затем распространяются на остальные модули. Установку необходимо производить с него. Для управления VM используется SSH (22-й порт). Требования: 1 vCPU, 1 Гб ОЗУ, 5 Гб HDD;
  • Manager (service-va) — отвечает за синхронизацию пакетов ThinApp и доступ к веб-интерфейсу администратора (Administrator Web interface), при помощи которого создаются учетные записи пользователей, групп и ресурсов. В модуль включена база данных PostgreSQL, которую можно использовать для ознакомительных целей, в реальной среде лучше подключиться к отдельному серверу СУБД. Требования: 6 vCPU, 8 Гб ОЗУ, 9 Гб HDD;
  • Connector (connector-va) — обеспечивает аутентификацию пользователей и сервисов (identity provider), синхронизацию каталогов и пула Horizon View, загрузку каталога ThinApp. Для взаимодействия с Horizon Workspace используется SAML 2.0. Требования: 2 vCPU, 4 Гб ОЗУ, 12 Гб HDD;
  • Data (data-va) — управление хранением и синхронизацией файлов между устройствами пользователя. Требования: 6 vCPU, 32 Гб ОЗУ, 175 Гб HDD;
  • Gateway (gateway-va) — единая точка для подключения пользователя к ресурсам Horizon Suite. Требования: 6 vCPU, 32 Гб ОЗУ, 9 Гб HDD.

Перед развертыванием для каждого модуля необходимо настроить разрешение имен через службу DNS, также потребуется SMTP-сервер. В настройках vCenter выбираем режим статического IP и указываем свой адрес для каждого модуля. После загрузки ОС следует задать сетевые параметры (IP, адрес DNS) и затем уже подключаться к веб-консолям, где при помощи визардов производятся все настройки. Небольшую путаницу вносит то, что после загрузки образов будет доступно сразу несколько веб-консолей, каждая из которых дает доступ к специфическим функциям, а в документации этот момент отражен не совсем четко.

  • https://WorkspaceFQDN/admin — веб-интерфейс администратора, позволяет управлять настройками подключения к службе каталогов, учетными записями пользователей и групп, правами и получать ответы. Для регистрации необходимо использовать учетку Active Directory с ролью админа.
  • https://WorkspaceFQDN/SAAS/login/0 — веб-интерфейс администратора для подключения при помощи логина admin в случае невозможности использования учетных данных Active Directory.
  • https://WorkspaceFQDN/web — пользовательский веб-клиент для доступа к файлам, приложениям и рабочим столам (доступ при помощи учетной записи AD или внутренней базы).
  • https://ConnectorFQDN/hc/admin/ — интерфейс управления Connector, для настройки ThinApp и пула VDI, проверки статуса синхронизации и так далее. Для входа используется admin.
  • https://ConfiguratorFQDN/cfg — веб-интерфейс конфигуратора, просмотр системной информации, статус модулей, установка лицензионного ключа и создание пароля для учетной записи пользователя admin.
  • https://ConnectorFQDN:8443/ — интерфейс настройки Application Manager.
  • https://ham:8443/ — интерфейс управления Horizon Mobile Manager.

Необходимо перейти по всем указанным адресам и выполнить предложенные настройки. При создании учетной записи admin будет сгенерирован токен активации, который затем необходимо будет ввести, перейдя в интерфейс Сonfigurator, где тебя опять встретит мастер, позволяющий выбрать базу данных (по умолчанию используется внутренняя) и активировать модули.

В настройках Application Manager сначала необходимо указать подключение к службе каталогов. В случае выбора Active Directory задается порт, доменная учетная запись, которая будет использована для поиска пользователей, ряд атрибутов AD. После подключения появится новый мастер, позволяющий поэтапно настроить проверку пользователей Windows, включить поддержку SSL, задать имя и сгенерировать сертификат, настроить маппинг атрибутов пользователей, здесь же доступны: настройка синхронизация, фильтрация аккаунтов AD, выбор группы для синхронизации с Application Manager и так далее. Также потребуется указать UNC путь к сетевому каталогу с ThinApp-приложениями. После сканирования папки в консоли управления появится список приложений.

 

Лицензирование VMware Horizon Suite

С объявлением нового продукта немного изменился и принцип лицензирования. Решения можно купить как отдельно (Horizon View, Horizon Mirage, Horizon Workspace), так и в составе Horizon Suite. Лицензирование в Horizon View ведется по количеству одновременных подключений, во всех остальных вариантах — по числу пользователей (Named User). Цена лицензии зависит от количества учетных записей и начинается от 300 долларов. Все варианты приведены в документе VMware Horizon Family: Pricing, Packaging, and Licensing. Также объявлено, что с конца 2013 года VMware ThinApp будет поставляться только в составе Horizon, то есть уже недоступен как отдельный продукт.

Заключение

Эра ПК в традиционном понимании подходит к концу, пользователь становится более мобильным, а данные и приложения зачастую находятся в облаках. Эти изменения требуют иного подхода к организации корпоративных сетей, и на первый план выходят такие платформы, как Horizon Suite.

 

Клиент доставки Citrix Receiver

Citrix Receiver обеспечивает доступ к виртуальным рабочим столам, приложениям и сервисам с любого места и устройства. Существуют версии для настольных и мобильных ОС: Windows/CE/Mobile/8/RT, Linux, OS X, iOS, Android, Blackberry и других. Обеспечивается разделение корпоративной и персональной информации, что позволяет применять политики к бизнес-данным, оставляя все личное нетронутым. Поддерживаются прозрачная аутентификация и все функции, необходимые для работы, в том числе проброс USB и технология Citrix HDX, обеспечивающая работу с приложениями и десктопами высокой четкости. Пользователю после подключения показывается список всех разрешенных приложений и файлов, к которым он получит доступ одним щелчком. В организации сервиса участвуют все продукты Citrix, выполняющие свою роль: XenDesktop (обеспечивает работу виртуальной ОС), XenApp (доставка Windows приложений в виртуальную или физическую среду), ShareFile (инструмент обмена данными и синхронизации между несколькими устройствами, наподобие Dropbox), инструменты управления мобильными устройствами XenMobile MDM и CloudGateway. Для подключения клиенты используют порт TCP 80/443, для работы некоторых компонентов потребуется открыть и ряд других портов (хорошее описание на страничке. Чтобы попробовать в работе Citrix Receiver, достаточно создать аккаунт на citrixcloud.net и установить клиент.

Запуск MS Word в Android посредством Citrix Receiver
Запуск MS Word в Android посредством Citrix Receiver
 

WWW

Оставить мнение

Check Also

Конкурс хаков: пишем на PowerShell скрипт, который уведомляет о днях рождения пользователей Active Directory

В компаниях часто встречается задача уведомлять сотрудников о приближающихся днях рождения…