Настройка тонкого клиента vmware
Клиенты для доступа к виртуальным рабочим столам VDI делятся на два типа: нулевые и тонкие.
Главное отличие нулевых клиентов от тонких заключается в том, что нулевые клиенты в общем случае не содержат операционную систему, а взаимодействие с VMware Horizon View идет по протоколу PCoIP (PC over IP) или другим проприетарным протоколам.
Тонкий клиент имеет установленную операционную систему, например, Linux или Windows Embedded, служащую для запуска программного клиента View.
Тонкий клиент имеет все атрибуты, присущие обычной рабочей станции, за исключением, в подавляющем большинстве случаев, подвижных элементов: вентиляторов охлаждения, жестких дисков. Также представляем Вам сравнение тонких клиентов.
Нулевые клиенты
Рассмотрим два основных направления, по которым развиваются нулевые клиенты для VMware Horizon View.
Teradici
Первая группа – нулевые клиенты, построенные на чипе Teradici.
Teradici – компания-разработчик протокола PCoIP.
В нулевых клиентах, построенных на этом чипе, находится аппаратный обработчик протокола PCoIP, поэтому такие нулевые клиенты демонстрируют наилучшие показатели производительности видео и скорости работы с рабочим столом, среди устройств, работающих по протоколу PCoIP.
К достоинствам таких нулевых клиентов относится простота использования, высокая производительность.
К недостаткам – узкая специализация.
Нулевые клиенты на базе Teradici – отличное решение для тех компаний, которые точно определились, что будет использоваться VMware Horizon View.
При выходе новых версий VMware Horizon View, есть возможность обновить микропрограмму устройства, для обеспечения поддержки новых версий протокола.
У большинства производителей, выпускающих устройства на этом чипе (а это Wyse, Cisco, LG, Samsung), есть средства управления нулевыми клиентами, для централизованного изменения настроек.
Pano Logic
Самые нулевые из нулевых.
Отличное решение для минималистов (или наоборот, максималистов: выкидывать из устройства компоненты, так по максимуму).
Эти нулевые клиенты не содержат процессора, памяти – почти ничего.
Построены они на базе ПЛИС FPGA – обработчике собственного протокола передачи видео изображения.
Этот протокол оптимизирован для передачи данных по локальной сети и обеспечивает наивысшую производительность при работе с видео, не нагружая сервер кодированием/декодированием видео.
К достоинствам таких клиентов относится низкое энергопотребление, простота использования, широкий спектр применения.
Такие клиенты работают по собственному протоколу и требуют установки дополнительного агента на виртуальную машину, для обеспечения коммуникаций.
К недостаткам решения можно отнести необходимость установки дополнительного ПО в виртуальную машину, невозможность перепрограммировать устройство по мере выхода более развитых средств взаимодействия, в том числе и от самого Pano Logic.
Микросхема FPGA жестко запрограммирована и обновить микропрограмму не получится.
Широкого распространения технология не получила.
Тонкие клиенты
Тонкие клиенты – это мини компьютеры, на которых установлена в той или иной мере специализированная операционная система, например SUSE Linux или Windows 7 Embedded.
А клиент доступа к VMware View является программным.
Самый широкий спектр производителей выпускают такие устройства.
Главным параметром тонкого клиента является его универсальность.
Они могут поддерживать протоколы PCoIP, RDP и другие.
Подавляющее большинство тонких клиентов не содержат движущихся элементов, и здесь самое главное, выбрать устройство из большинства и случайно не наткнуться на модели с активным охлаждением.
Большинство тонких клиентов, например Wyse C50LE можно хорошо приспособить к работе не только пользователей, но и администраторов.
Системная консоль может содержать возможность доступа к устройствам по SSH или через браузер.
От нулевых клиентов ожидать такой гибкости не приходится.
В ущерб универсальности приносится производительность.
Для клиентов, не требовательных к качеству отображения видео, не работающих с графикой, видео, не решающих инженерные задачи, такого уровня взаимодействия с виртуальным рабочим столом будет вполне достаточно.
К достоинствам тонких клиентов относится гибкость и возможность решения задач администрирования.
К недостаткам стоит отнести низкую, по сравнению с аппаратными решениями, производительность графического интерфейса.
Существует, также, по нашему мнению, отдельный тип тонких клиентов – программные.
Например, Wyse PC Extender, который превращает обычный устаревающий ПК в тонкий клиент с возможностью централизованного управления.
Мы против такого решения, хотя оно явно сможет продлить срок службы ПК и обеспечить плавный переход на специализированные тонкие или нулевые клиенты.
Итого: прежде чем озаботится выбором тонкого клиента, определите:
Насколько Вам важна производительность отображения элементов виртуального рабочего стола: будут ли задачи, связанные с видео, фото, 3d, моделированием, возможно, насыщенными таблицами excel и прочим; Желаемый уровень автоматизации настройки устройств, например, подключил и забыл. Некоторые устройства могут получать настройки через FTP , а некоторые требуют для автоматизации настроек платных систем управления;
Мы можем предоставить на тестирование устройства HP и Wyse (статья со сравнением тонких клиентов).
А Вы можете ознакомиться со сравнением этих клиентов: Wyse P20 zero, Wyse C50LE thin, HP 5565z thin.
Всем нам не хватает информации о возможностях и использовании VMware Horizon View.
Мы проводим исследование этого вопроса.
Если у Вас есть мнение на этот счет, пожалуйста, заполните опросник и укажите свой e-mail.
Мы вышлем Вам результаты исследования, как только наберем достаточно статистики.
Это исследование призвано помочь, в первую очередь, Вам в обосновании перехода на виртуальные рабочие столы.
Ну и нам, чтобы лучше понимать потребности наших заказчиков.
На дворе уже осень, и многие сотрудники, которые полгода назад уходили на удаленную работу «на месяцок» с удивлением обнаружили, что руководство компании отказалось от аренды значительной части офисных площадей, направив освободившиеся средства на ускорение процесса цифровой трансформации бизнеса. А нам остается лишь признать, что незаметное превращение временных карантинных мер в новую реальность состоялось.
«Согласно результатам опроса Gartner 2020 Digital Workplace Survey, 68 % респондентов согласны с тем, что после COVID-19 руководители высшего звена обратили пристальное внимание на решения класса VDI, — отмечает ведущий аналитик виртуальных платформ и вице-президент Gartner Мэтт Кейн (Matt Cain). — Пандемия быстро изменила статус многих технологий виртуализации рабочих мест, ПО для совместной работы, корпоративных чат-платформ и Desktop as a Service (рабочий стол как услуга), с уровня «полезных» до «абсолютно обязательных».
Иными словами, сотрудники компаний продолжают привыкать работать из дома, понимая, что это уже не спринт, а марафон. А в это время обслуживающие корпоративную ИТ-инфраструктуру специалисты выбирают и внедряют системы управления VDI (Virtualization Desktop Infrastructure), стараясь максимально полно воспроизвести в виртуальной среде весь инструментарий привычного физического офиса.
Решений подобного класса на рынке несколько, но одно из самых универсальных и гибких на сегодняшний день — это практически беспроигрышная связка VMware Horizon, VMware Workspace ONE и VMware vSAN.
VMware Horizon
Платформа для управления виртуальными рабочими столами от VMware позволяет удаленным сотрудникам полноценно выполнять свои обязанности при помощи домашнего настольного ПК, ноутбука или нетбука, планшета, а также решений класса «тонкий клиент» (thin client) и «нулевой клиент» (zero client).
Наверное, не нужно еще раз подробно описывать преимущества этого подхода, поэтому мы просто их перечислим: сокращение затрат на поддержку ИТ-инфраструктуры, повышенная безопасность, новые сценарии работы, минимизация времени простоев.
Важное преимущество Horizon — это возможность создания «гибридных» рабочих сред, что может быть необходимо, если для выполнения своих задач часть сотрудников до начала удаленной работы использовала устройства со специфическими возможностями, например, станции 3D-рендеринга.
Инструментарий VMware позволяет включить их в общую инфраструктуру с виртуальными десктопами, обеспечив полный удаленный доступ к таким ПК с соблюдением всех правил безопасности. Для этого потребуется лишь брокер соединений и программные агенты.
Ускорить внедрение VDI в центры обработки данных поможет удобная функция «мгновенного клонирования». Благодаря тому, что клоны создаются из уже включенных виртуальных машин, создание новых занимает считанные секунды. При этом удается полностью избежать такого негативного явления как «boot-штормы».
Решение App Volumes дает возможность так же мгновенно устанавливать на свежую виртуальную машину все необходимые приложения, так как в среде VMware не происходит копирования файлов, а открывается лишь доступ к виртуальному диску.
Остается лишь подключить пользовательский профиль, и уже через 5–6 секунд с момента логина сотрудник получает свежую и полностью настроенную рабочую среду, доступ к которой осуществляется по протоколу Blast Extreme. Последний, кстати, прекрасно себя показывает даже в сетях с плохим качеством связи.
VMware Workspace ONE
В сущности, Workspace ONE представляет собой единую консоль безопасного доступа к физическим и виртуальным рабочим станциям (Windows 10, Mac OS, Chrome OS), совмещенную с мощной аналитической платформой. Такое комбинированное решение позволяет контролировать доступ к конечным устройствам и администрировать любые приложения на них.
Повысить производительность удаленных сотрудников помогают рабочие приложения Workspace ONE, отвечающие всем требованиям безопасности корпоративной инфраструктуры и подключаемые посредством каталога Workspace ONE Intelligent Hub. Среди них защищенный почтовый клиент, веб-браузер с доступом к внутренним ресурсам, средства работы к общим данным и пр.
Принципиальное преимущество Workspace ONE заключается в том, что развернуть его можно как в виде локального решения, так и в формате облачной услуги. Кроме того, только это решение позволяет в рамках одной инсталляции создавать множество «виртуальных организаций», и к каждой из них подключать совершенно независимые почтовые сервисы, службы сертификации, Active Directory и т. д. «Организации» могут быть одноранговыми или вложенными друг в друга, причем все правила наследования политик настраиваются администратором.
И еще раз о безопасности. При необходимости Workspace ONE интегрируется с самым современным антивирусом нового типа Carbon Black, работа которого не опирается на привычный сигнатурный анализ, а построена на выявлении аномалий активности процессов, демонстрирующих отклонения от предварительно изученных паттернов. Предупреждения Carbon Black поступают в Workspace ONE, а та в свою очередь применяет к подозрительному хосту одну из настроенных политик безопасности, блокируя дальнейшее распространение угрозы.
VMware vSAN
Осталось добавить, что наилучшим образом VMware Horizon и VMware Workspace ONE проявляют себя в связке с соответствующей системой хранения данных. Максимальной степени интеграции и, как следствие, наивысшей производительности всей инфраструктуры VDI позволяет добиться применение VMware vSAN — программной СХД, представляющей собой отказоустойчивое решение, использующее накопители, установленные в хосты виртуализации.
Подробнее ознакомиться с возможностями и принципами работы VMware vSAN поможет отдельный материал.
Большое обновление Horizon
Кстати, компания VMware совсем недавно анонсировала выход новой версии своей платформы для организации виртуальных рабочих столов VMware Horizon 8. Нас ждет множество нововведений, среди которых можно выделить следующие:
— поддержка Google Cloud VMware Engine, VMware Cloud Dell EMC и Azure VMware (AVS);
— новые возможности экономии памяти и увеличения числа рабочих столов на хост виртуализации благодаря обновленной функции «мгновенного клонирования» Instant Clone Smart Provisioning;
— расширение возможностей автоматизации взаимодействия с VMware Horizon 8 за счет использования VMware Horizon REST API (NewRESTful);
— оптимизация инструментов совместной работы с использованием видео и аудио (Zoom, Cisco Webex, Microsoft Teams);
— расширение поддержки приложений Linux, которые можно будет публиковать прямо с сервера Linux на платформе VMware Horizon, не привлекая другие операционные системы и не приобретая лицензии на них.
Выпуск VMware Horizon 8 намечен на октябрь 2020 года. Много новой и полезной информации о том, как работать с Workspace ONE и Horizon вы можете почерпнуть из вебинаров Syssoft, которых на данный момент доступно уже три (1, 2, 3). А если вы уверены в своих знаниях в области VDI-решений VMware, проверьте их в специальном квизе, победители которого получат именные сертификаты знатоков.
У VMware есть замечательный продукт: VMware View. VMware View позволяет создать отказоустойчивую инфраструктуру виртуальных рабочих мест. Что есть инфраструктура виртуальных рабочих мест? Это вариант размещения рабочих станций в ЦОДе в виде виртуальных машин, причем доступ к виртуальным машинам осуществляется практически с любого устройства, имеющего подключение к какой-либо сети (3G, Wifi, WAN, LAN, VPN). В данном мануале будет описано, как создать VDI на базе VMware View с нуля.
2. Как это работает
На картинке показаны компоненты, необходимые для работы VMware VDI:
- VMwareHypervisor (ESXi) – Физический сервер с установленным гипервизором – VMwareESXi, на котором хостятся виртуальные машины.
- vCenterServer – Сервер управления виртуальной инфраструктурой (хостами, в частности) VMware.
- ViewConnectionServer – Сервер управления инфраструктурой виртуальных рабочих столов. Управляет подключениями к виртуальным рабочим столам, созданием и мониторингом пулов десктопов.
- ViewSecurityServer – Опциональный компонент, позволяющий удаленно (WAN) подключаться к виртуальным рабочим столам и обеспечивающий повышенную безопасность подключения. Обычно устанавливается в DMZ.
- ViewTransferServer – Компонент, необходимый для работы т.н. ViewClientwithLocalMode – возможность работы с виртуальным десктопом в оффлайн-режиме (в этом случае виртуальная машина копируется на ПК-клиента, и запускается с помощью компонента VMwarePlayer).
- Composer – Компонент, позволяющий создавать т.н. LinkedClone-пулы виртуальных десктопов. В этом случае для создания пул виртуальных десктопов фактически не использует собственной установленной ОС – используется ОС, установленная на шаблоне. При этом к каждому виртуальному ПК пула подключается диск с профилем пользователя. Решение позволяет значительно экономить дисковую емкость СХД.
- Active Directory – здесь все понятно.
Не показано на картинке:
- ThinApp – компонент, позволяющий упаковывать практически любое приложение в один исполняемый exe-файл (или msi, если потребуется). Далее упакованное приложение возможно назначать на пулы десктопов или отдельные десктопы - таким образом, пользователь при логине будет получать назначенное ему приложение.
- SQLServer – сервер баз данных, необходимый для размещения 4-х баз: базы SSO сервера vCenterServer, базы сервера vCenterServer, базы Composer и базы для логов ViewConnectionServer’а – Events. Рекомендуется использовать выделенный сервер SQL, в нашем примере мы установим все на единый сервер SQLExpress, который устанавливается в комплекте с сервером vCenterServer.
- Клиент – любое устройство с возможностью подключения к сети: ПК, тонкий клиент, нулевой клиент, iPhone, iPad, Android-планшет или смартфон.
Для развертывания простого варианта VDI нам потребуется физический сервер с гипервизором VMware ESXi 5.1. На нем мы развернем сначала 3 виртуальных сервера: VMware vCenter Server, VMware Connection Server и сервер контроллера домена.
3. Подготовка инфраструктуры
Для начала подготовим инфраструктуру.
Что нам требуется:
- 1 физический сервер: в качестве сервера у меня под рукой оказался FujitsuPRIMERGYRX300S6 с двумя Xeon X56xx, 24GB RAM и дисками 6x 300 SAS 15k;
- 1 контроллер домена с ролями ADDS, DNS иDHCP (у меня в примере статика) - дадим ему 2 vCPU и 2GB RAM;
- 1 сервера vCenter Server – дадим ему 2 vCPU и 4GB RAM;
- 1 сервер View Connection Server – дадим ему 2 vCPU и 4GB RAM;
- Клиент – ноутбук с правленым файлом hosts – в файл добавим инфу о сервере-брокере.
192.168.1.201/24 iRMC управляющий порт сервера
192.168.1.221/24 vmhost01.vdi.local гипервизор ESXi
192.168.1.222/24 vcenter.vmvdi.local сервер vCenter Server
192.168.1.223/24 dc.vmvdi.local контроллер домена
192.168.1.224/24 view-mgr.vmvdi.local сервер View Connection Server
192.168.1.225/24 win7template шаблон windows 7
192.168.1.226/24 win8template шаблон windows 8
192.168.1.231/24 win701 пул windows 7
192.168.1.232/24 win702 пул windows 7
192.168.1.233/24 win801 пул windows 8
192.168.1.234/24 win802 пул windows 8
192.168.1.10/24 gate шлюз
192.168.1.100/24 client ноутбук-клиент
4. Установка VMware ESXi и базовая настройка.
Сначала установим VMware ESXi.
Установка проста – монтируем диск и устанавливаем. После ребута сервера нажимаем F2, вводим пароль и идем в настройки управляющей сети - делаем базовую настройку – меняем IP на нужный нам (в примере 192.168.1.221), правим настройки DNS (выставляем адрес будущего сервера DNS 192.168.1.223), и даем имя хосту:
Далее, используя vSphere Client, заходим на хост и качаем iso-образы Win-серверов и софта VMware на датастор:
Далее развернем 2 шт. Windows Server 2012, несмотря на ссыль, которая гласит, что vCenter Server не поддерживается ОС Windows Server 2012. Нам пригодится дока. Лишь машину view-mgr.vmvdi.local развернем с ОС Windows Server 2008 R2.
Итак, получим 3 сервера:
Сделаем базовую настройку серверов (дата-время-сеть согласно таблице требований-имя сервера-включаем RDP) и приступим к установки роли контроллера домена на сервере dc.vmvdi.local.
5. Развертывание роли контроллера домена
Все просто, есть отличия от развертывания роли контроллера в W2k8, но суть та же – устанавливаем службы и поднимаем контроллер с помощью dcpromo, - в общем, все на картинках – сначала выберем роль ADDS:
Роль установлена – теперь щелкаем по ссылке Promote this server… (на картинке выше) и создаем контроллер домена vmvdi.local – создаем новый лес и новый домен:
Здесь все по дефолту, введем лишь пароль для режима восстановления:
И собственно, развертывание и ребут.
Домен создан, надо его допилить. Создадим обратную зону в DNS, создадим OU VDI Users для пользователей виртуальными десктопами и VDI Computers для виртуальных десктопов, а в OU VDI Users создадим пользователей vdi01-vdi04:
Также создадим группы vdigroup01 (пользователи vdi01, vdi02) и vdigroup02 (пользователи vdi03, vdi04), ну и группу vdi со всеми юзерами:
Затем добавим в получившийся домен vmvdi.local машины vcenter и view-mgr, и приступим к установке сервера vCenter Server.
Продолжаем готовить тонкий клиент на базе Windows ThinPC (первая часть по ссылке). Сегодня - установка дистрибутива на эталонный ПК и допиливание его до кондиции.
Эталонный ПК
Для создания эталонного образа при помощи VMware Mirage вам понадобится компьютер с установленным клиентом Mirage. В качестве компьютера можно использовать как физический ПК, так и виртуальную машину (важно, чтобы в подготовленном вами дистрибутиве присутствовал необходимый набор драйверов, например, на сетевой адаптер).
- 2 vCPU.
- 3 ГБ ОЗУ.
- 24 ГБ жесткий диск.
- сетевой адаптер E1000 или VMXNET3.
Установка ПО
Для тонкого клиента потребуется установить, по крайней мере, клиент VMware Horizon View Client и VMware Mirage Agent.
Установку клиента Horizon View можно выполнить из командной строки:
, где VDM_Server - задает имя сервера View Connection по умолчанию;
ADDLOCAL - определяет перечень устанавливаемых компонентов дял клиента (Core - базовые компоненты, TSSO - сквозная SSO аутентификация с использованием учетной записи, под которой был выполнен вход, USB - поддержка проброса USB устройств).
Добавление сертификата УЦ
Если вы используете сертификаты, выданные корпоративным удостоверяющим центром, то для работы Horizon View Client и Mirage Client на компьютер потребуется импортировать соответствующий корневой сертификат. Сделать это можно из оснастки MMC Certificate Manager или из командной строки при помощи команды:
, где rootCA.crt - имя файла корневого сертификата.
Установка клиента Mirage
Если все настроено корректно, то вскоре в диспетчере задач появится ярлык клиента Mirage, а сам клиент будет отображать статус Pending Assignment.
Дополнительные настройки
- Настройка сценария, автоматически запускающегося после копирования образа на целевые компьютеры.
- Настройка защиты от записи на диск при помощи File-Based Write Filter.
- Настройка политик запуска приложений AppLocker.
- Кастомизация интерфейса ОС.
Настройка сценария
Как и в случае с установкой ОС из дистрибутива, VMware Mirage предоставляет возможность запускать скрипт, позволяющий выполнить дополнительные настройки, после того, как образ будет скопирован на целевые компьютеры и они будут готовы для использования. Для выполнения сценария создайте файл post_core_update.bat в каталоге "C:\ProgramData\Wanova\Mirage Service\". Например, следующий скрипт включает учетную запись локального администратора и настраивает автоматический вход в систему под локальной учетной записью User.В конце файла обязательно добавьте "exit 0", так клиент Mirage определит, что сценарий завершился без ошибок.
Настройка защиты от записи
Одной из интересных возможностей ОС Windows Embedded является функция защиты от записи File-Based Write Filter, которая позволяет обнулять все изменения, сделанные с ОС с момента загрузки, обеспечивая защиту ОС от вредоносного ПО и кривых рук пользователей.
Управление FBWF осуществляется из командной строки. Вы можете создать простой скрипт, который позволит администратору включить защиту от записи на целевом компьютере после разливки образа.
Включение FBWF может приводит к возникновению ошибки во время загрузки ОС, поэтому выполните следующую команду на эталонном компьютере:
Создайте файл fbwf-enable.cmd в каталоге "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maintenance" со следующим содержанием:
, где /enable - включает FBWF при следующей загрузке;
/setthreshold - задает размер RAM-диска для буфера записи в МБ;
/addvolume - задает том, для которого следует включить FBWF;
/addexclusion - указывает каталоги, для которых не следует включать FBWF.
Также создайте еще один файл fbwf-disable.cmd в том же каталоге для отключения FBWF:
Теперь администратор сможет легко включить или отключить защиту от записи на любом тонком клиенте, созданном из данного образа.
Настройка AppLocker
Настройте службу Application Identity на автоматический запуск.Настройте политики Applocker из оснастки локальных групповых политик или создайте файл applockerpolicy.xml и импортируйте при помощи powershell.
Пример файла политик, блокирующий запуск приложений из любых папок, кроме Program Files и Windows:
Кастомизация интерфейса ОС
Для отображения информации о системе (имя компьютера, IP адрес, версию клиента и т.д.) на экране вы можете использовать небольшую утилиту BGInfo.
Читайте также: