Wirtualizacja aplikacji czy pulpitu polega na przeniesieniu danych z urządzeń końcowych użytkowników do chmury obliczeniowej. W tym artykule wyjaśniamy, w jaki sposób budowane są tego typu rozwiązania z wykorzystaniem aplikacji VMware Horizon.
O zaletach VDI oraz VDA pisaliśmy już przy okazji realizacji największego tego typu wdrożenia na polskim rynku w PKO Banku Polskim. Wirtualizacja miejsca pracy polega na przeniesieniu danych i aplikacji (a w niektórych projektach nawet systemu operacyjnego) z terminali końcowych użytkowników do chmury. W efekcie dane są bezpiecznie przetwarzane na wysokowydajnych serwerach, a utrata urządzenia końcowego (np. kradzież laptopa) nie oznacza utraty danych.
W przypadku organizacji, którym zależy przede wszystkim na przeniesieniu do chmury środowiska pracy biurowej, w większości przypadków doskonale sprawdzają się takie pakiety jak Google Workspace czy Microsoft 365. Niektóre przedsiębiorstwa mają specyficzne wymogi dotyczące bezpieczeństwa danych lub potrzebę korzystania z innych aplikacji niż te zawarte w klasycznych pakietach biurowych. Wówczas lepiej sprawdzą się rozwiązania, które pozwalają lepiej dopasować się do potrzeb danej organizacji, a jednocześnie “uchmurowić” praktycznie dowolną aplikację. Nie można zapominać też o zapewnieniu zgodności ze specyficznymi wymogami regulacyjnymi, takimi jak komunikat chmurowy Urzędu Komisji Nadzoru Finansowego. W dalszej części tekstu przybliżymy techniczną stronę realizacji tego typu projektów.
Na rynku dostępnych jest kilka rozwiązań do wirtualizacji (m.in. Citrix lub Microsoft AVD). W OChK zdecydowaliśmy się na zastosowanie VMware Horizon.
Horizon umożliwia tworzenie wirtualnych pulpitów i aplikacji, które są centralnie zarządzane i mogą być dostarczane do użytkowników na żądanie - bez względu na urządzenie czy system operacyjny, z którego korzystają. Może to przynieść szczególne korzyści przedsiębiorstwom, które mają zróżnicowane wymagania sprzętowe, chcą utrzymać ścisłą kontrolę nad swoimi danymi czy też potrzebują specyficznych ustawień dla różnych grup użytkowników. Ponadto Horizon oferuje zaawansowane funkcje w zakresie bezpieczeństwa i zarządzania, takie jak możliwość definiowania polityk dostępu czy zarządzanie cyklem życia wirtualnych pulpitów i aplikacji.
Co jest potrzebne do uruchomienia Horizona?
Przygotowanie do wdrożenia Horizona wymaga podjęcia kilku ważnych decyzji. Przede wszystkim należy ustalić, gdzie będą przechowywane dane użytkowników oraz wybrać tryb działania stacji: bezstanowy lub stanowy. W trybie bezstanowym stacje są usuwane i tworzone na nowo po wylogowaniu użytkownika. Oznacza to, że wszystkie niezapisane dane są tracone przy wyłączeniu komputera i użytkownik zaczyna pracę na "świeżej" stacji po ponownym uruchomieniu. W tym przypadku dane użytkowników przechowywane są w chmurze i ładowane do sesji podczas logowania.
Tryb stanowy pozwala z kolei na przechowywanie danych lokalnie, na maszynach wirtualnych, które nie są usuwane po wylogowaniu. Z jednej strony użytkownicy zachowują dostęp do danych nawet w przypadku problemów z połączeniem z siecią, z drugiej strony takie rozwiązanie wiąże się z większym ryzykiem ich wycieku i wymaga też większego zaangażowania w zarządzanie środowiskiem IT.
W przypadku migracji środowiska do wersji wirtualnej, należy również uwzględnić sposób przeniesienia danych oraz ewentualną obecność plików PST, w których przechowywana jest poczta elektroniczna. Aby móc skorzystać z VMware Horizon, niezbędna jest warstwa fizycznych serwerów wyposażonych w system operacyjny ESXi oraz narzędzie do zarządzania klastrem tych serwerów, tj. vCenter. Oba te produkty są dostarczane przez firmę VMware. Dodatkowo, do poprawnego działania rozwiązania, konieczne jest wykorzystanie domeny Microsoft Active Directory.
Opracowane w OChK rozwiązanie umożliwia wirtualizację aplikacji i pulpitów z wykorzystaniem VMware Horizon, istotnie zmieniając sposób, w jaki biznes może korzystać z zasobów IT. Connection server, który można określić mianem “dyspozytora ruchu”, jest sercem systemu zarządzającego dostępem użytkowników do zasobów.
Po autoryzacji użytkownik otrzymuje dostęp do przydzielonych przez administratora zasobów. W przypadku bezstanowych puli maszyn, system automatycznie przypisuje dostępną maszynę użytkownikowi lub decyduje, na którym Windows Server ma być uruchomiona aplikacja zdalna. Zaletą VMware Horizon jest intuicyjny interfejs zarządzania wykorzystujący HTML5. Ten łatwy w obsłudze moduł umożliwia efektywne zarządzanie sesjami użytkowników, a w razie potrzeby administrator może udzielić zdalnego wsparcia.
Golden Image - złoty środek w przypadku standaryzacji
W dużym środowisku nie jest łatwo utrzymać jeden standard systemu operacyjnego, aplikacji oraz innych narzędzi zainstalowanych na terminalu użytkownika. Brak najnowszych aktualizacji, zwłaszcza w obszarze bezpieczeństwa, może zwiększać ryzyko ataku. Aby do tego nie dopuścić, należy sięgnąć po Golden Image - wstępnie skonfigurowaną maszynę wirtualną do standaryzacji środowiska.
Pierwszym krokiem do zbudowania wzorcowego Golden Image jest standardowa instalacja systemu operacyjnego, np. Windows 10. Dzięki temu każdy użytkownik otrzymuje swoją niezależną jednostkę do pracy z dostępem do standardowego interfejsu użytkownika (GUI).
Jeżeli natomiast chcemy udostępniać jedynie aplikacje, w takim wypadku stosujemy system Windows Server. Wykorzystanie Windows Server umożliwia wielu użytkownikom pracę na jednej maszynie. Alternatywą jest użycie darmowego systemu Linux np. Ubuntu. Za pomocą Horizona możemy udostępniać użytkownikom pulpity działające na Ubuntu lub same aplikacje.
Po instalacji systemu niezbędne jest zainstalowanie agenta Horizona, który komunikuje się z connection serverem oraz agenta Dynamic Environment Manager (DEM). Dzięki DEM dane użytkowników podążają za nimi, bez względu na rodzaj połączenia.
Po tych czynnościach czas na “gwóźdź programu”, czyli optymalizację systemu. Polega ona na wyłączeniu nieużywanych usług, zaplanowanych zadań oraz Windows Update. Najłatwiej zrobić to przy użyciu automatycznej bezpłatnej aplikacji o nazwie Windows OS Optimization Tool for VMware Horizon.
Po zamknięciu Golden Image należy wykonać snapshota maszyny, który posłuży nam jako baza do stworzenia naszych stacji wirtualnych. Na jednej maszynie Golden Image możemy mieć wiele snapshotów, dzięki czemu wracanie do poprzednich konfiguracji nie jest problematyczne.
Pule, farmy i magia…
Czym są pule i farmy w Horizonie? Możemy je nazwać zbiorem konfiguracji. W pulach i farmach są zapisane różne dane, między innymi liczba maszyn, która ma być oferowana użytkownikom czy informacje, w której jednostce organizacyjnej Active Directory mają być tworzone obiekty maszyn wirtualnych.
W tym miejscu warto wspomnieć o technologii instant clone, która tworzy maszyny na podstawie wybranego snapshota i robi to nieporównywalnie szybciej niż manualny proces klonowania i konfiguracji.
A co to oznacza w praktyce? Zamiast ręcznego przygotowania 100 laptopów, możemy udostępnić wirtualne stanowiska pracy oparte o jeden wzorzec. Dzięki temu mamy pewność, że każdy użytkownik otrzyma system w tej samej konfiguracji. Proces klonowania będzie trwał zaledwie minutę. To ogromna oszczędność czasu i zasobów dla działu IT.
Oczami użytkownika
Mamy gotową infrastrukturę i co dalej? Chcemy, aby użytkownicy mogli zalogować się do naszego środowiska. Potrzebny do tego będzie klient Horizona na Windows, Mac, Linux czy na systemy mobilne. Przy pierwszym uruchomieniu klienta należy wskazać adres naszego środowiska.
Istnieją dwie możliwości wejścia do środowiska. Jedną z nich jest Unified Access Gateway (UAG), czyli przygotowane przez VMware rozwiązanie, które pozwala na bezpieczne korzystanie z Horizona. Użytkownik może logować się kontem domenowym, możliwa jest też konfiguracja logowania poprzez Microsoft 365. Drugą opcją jest wykorzystanie standardowego VPN.
Widok klienta Horizon dla Windows
Horizon do komunikacji używa opracowanego przez VMware protokołu Blast. Jest to protokół dostępu do wirtualnych desktopów i aplikacji, który oferuje wysoką jakość grafiki oraz niskie opóźnienia przy transmisji danych. Dzięki temu użytkownicy mogą pracować na zdalnych pulpitach i aplikacjach równie sprawnie, jakby były uruchamiane lokalnie na ich komputerach. Cały ruch pomiędzy klientem a serwerem jest szyfrowany algorytmem AES-256.
Użytkownicy mogą korzystać z urządzeń peryferyjnych, np. skanerów USB, czytników inteligentnych kart czy kodów kreskowych/QR. Horizon pozwala też na obsługę przekierowania drukarek, która umożliwia korzystanie z urządzeń z pominięciem lokalnej instalacji na zdalnej maszynie.
Równie ciekawą funkcją w Horizon jest możliwość nagrywania sesji użytkownika, co świetnie sprawdza się w dostępie nadzorowanym do środowiska dla konsultantów z firm trzecich.
W obliczu rosnących cen energii, wdrożenie rozwiązania Horizon może przynieść także znaczące oszczędności. Pracownicy w biurach czy oddziałach firmy mogą korzystać z energooszczędnych terminali, które służą do łączenia się ze zdalnymi sesjami. Nie wymagają one wysokiej mocy obliczeniowej, a tym samym zużywają mniej energii.
Standardowy komputer biurowy pobiera ok. 150 W, podczas gdy terminal zużywa tylko do 10 W. W skali roku organizacja wykorzystująca 100 urządzeń zużyje ponad 130 MWh w przypadku standardowych komputerów, a używając uproszczonych - zaledwie ok. 8 MWh. Oszczędność energii może zatem wynieść nawet 95%!
Co ciekawe, wirtualna stacja robocza może być wykorzystywana nie tylko do obsługi mało wymagających aplikacji, takich jak pakiety biurowe, ale także do zaawansowanego przetwarzania grafik i animacji, np. w działach zajmujących się projektowaniem w środowisku CAD czy przy tworzeniu gier. Warunkiem jest zainstalowanie w środowisku dodatkowych wysokowydajnych serwerowych kart graficznych.
Podsumowanie
Wdrożenie rozwiązania takiego jak Horizon pozwala firmie unifikować system operacyjny i aplikacje. Dział IT może szybciej wdrażać różnego rodzaju poprawki. Warto również wspomnieć, że w przypadku wykrycia podatności typu 0-day, administrator może natychmiast dodać poprawkę do obrazu systemu i ją wdrożyć. Wirtualne pulpity i aplikacje są odizolowane od systemu klienta, co zapewnia większe bezpieczeństwo. Dodatkowo najnowsza wersja klienta dla systemu Windows posiada opcję blokowania keyloggerów.
Wykorzystanie rozwiązania takiego jak VMware Horizon przyczynia się także do zwiększenia elastyczności i mobilności pracowników. Bez względu na to czy pracują z domu, biura czy z innego dowolnego miejsca, zawsze mają dostęp do swojego stanowiska pracy oraz niezbędnych aplikacji.
Elastyczne i bezpieczne środowisko pracy jest dzisiaj pożądane zarówno przez pracowników, jak i pracodawców, ale jego stworzenie może być kosztowne. VMware Horizon, wdrażany przez zespół ekspercki OChK, pozwala skrócić ten proces, zapewnia oszczędności w obszarze zakupu licencji, energii elektrycznej oraz urządzeń przy zachowaniu bezpieczeństwa i wygody użytkownika.