Lösungen für die Desktop-Virtualisierung
Citrix Xendesktop versus Vmware VDM
Die Virtualisierung von im Rechenzentrum gehosteten Desktop-Betriebssystemen (Virtual Desktop Infrastructure, VDI) hat sich innerhalb kürzester Zeit zu einem wichtigen Thema entwickelt. Dieser Beitrag vergleicht die VDI-Lösungen zweier führender Hersteller: VDM 2 von Vmware, dem Marktführer in der Servervirtualisierung, und Xendesktop 2.0 von SBC-Schwergewicht Citrix.
Zu Beginn der Konzeption von VDI wurde lediglich Windows XP statt Windows 2003 Server virtualisiert und dem Endbenutzer als Arbeitsplatz über das Netzwerk zugewiesen. Die Virtualisierung von Desktop-Betriebssystemen wie Windows XP oder Vista gleicht im Ansatz einer traditionellen SBC-Lösung (Server-Based Computing) mit Terminalservices, bringt aber einige wesentliche Unterschiede mit sich. Einer der wichtigsten Aspekte für den Endbenutzer ist der Zugriff auf ein vom heimischen Arbeitsplatz bekanntes Betriebssystem - und je nach Bereitstellungsart auch Zugriff auf einen ihm vertrauten individuellen Desktop.
So genannte Desktop Broker ermöglichen die Verwaltung und Sicherheitskonfiguration für den Zugriff auf die virtualisierten Desktops. Innerhalb eines Jahres wurden viele Desktop Broker veröffentlicht, und nahezu jeder Hersteller von Virtualisierungssoftware nennt heute einen Broker und die passende Technik sein eigen. Momentan sind die Desktop-Virtualisierungslösungen Citrix Xendesktop 2.0 und Vmware Virtual Desktop Manager (VDM) 2 sehr beliebt, weshalb wir sie in diesem Bericht direkt miteinander vergleichen.
Vmware VDM
Der Funktionsumfang von Vmware VDM ist geringer als der der Citrix-Lösung. Allerdings muss dies absolut kein Nachteil sein, da die Vmware Lösung dadurch wenig Möglichkeiten für Konfigurationsfehler bietet. Sie besteht aus drei Komponenten: VDM Server, VDM Agent und VDM Client. Der VDM Agent wird auf dem Template oder der zu nutzenden virtuellen Maschine installiert, der VDM Client lässt sich statt der Active-X-Browservariante für den Zugriff auf den Server verwenden.
Zu Beginn der Serverinstallation sollte man sich Gedanken zur Nutzung machen, da der Server drei verschiedene Rollen wahrnehmen kann: VDM Connection Server, VDM Replica Server oder VDM Security Server. Mittels VDM Replica Servern kann eine ausfallsichere und lastverteilende VDI-Farm aufgebaut werden. Die Konfiguration gibt der erste VDM Connection Server vor. Der Security Server wird normalerweise in der DMZ platziert und muss im Gegensatz zum VDM Connection/Replica Server nicht zwingend Mitglied einer Active-Directory-Domäne sein. Bei einer Platzierung in der DMZ ist auf die Öffnung der relevanten Ports zu achten, da sonst sehr allgemeine Fehlermeldungen die Verbindung zum VDI-Desktop verwehren. Server mit Replica- wie auch Security-Rollen aktualisieren ihre Konfigurationen direkt vom angegebenen VDM Connection Server im Netz.
Sowohl Administrations- (vdm-ser ver/admin) als auch Client-Zugriffe (vdm-server) sind über die Webschnittstellen des VDM Servers möglich. VDM unterscheidet nur zwischen Administratoren und Usern, also zwei Benutzertypen, die entweder VDI-Desktops administrieren oder auf diese per Client zugreifen.
Eine wichtige Einstellung auf dem VDM Server ist der Kommunikationsweg: Der VDM Server arbeitet entweder als Proxy (alle Kommunikation läuft via VDM Server) oder ausschließlich als Broker (Erstkommunikation über VDM Server, RDP-Verbindung vom Client dann direkt zum VDI-Desktop). Zudem ist es mit einer einfachen URL-Einstellung möglich, den VDM Server über einen anderen Namen zugänglich zu machen. Dies ist sehr nützlich, wenn der VDM Server beispielsweise direkt über das Internet mittels Adressumsetzung erreichbar sein soll.
Falls gewünscht bietet der VDM Server zusätzlich die Möglichkeit einer Authentifizierung über RSA Securid, also eine Token-basierte Einmalauthentifizierung. Dies gilt nur für die Anmeldung über den Broker an den VDI-Desktops und nicht für die Administration über die Webschnittstelle.
Der Administrator kann drei Typen von VDI-Desktops anlegen: Individual (vorinstallierte VM), Persistent Desktop Pool (Pool von Servern, allerdings wird jedem authentifizierten Benutzer ein Desktop zugeordnet) und Non-Persistent Desktop Pool (jeder authentifizierte Benutzer bekommt eine beliebige ungenutzte VM aus dem Pool). Abhängig von der Auswahl wird danach die Vmware-Infrastruktur samt Hierarchieeinheiten (Cluster, Resource Pool), Template (mit Guest Customization Specification) und Datastore angegeben, außerdem die Namensgebung und die Anzahl der Desktops. Danach ist eine Zuordnung zwischen Active-Directory-Benutzern oder -Gruppen und dem jeweiligen Desktop beziehungsweise Desktop Pool einzurichten.
Sobald diese provisioniert sind, kann der berechtigte VDI-Benutzer mittels VDM Client oder Browser auf den virtuellen Desktop zugreifen - und leider scheitern, sofern der Fernzugriff für diesen Benutzer in Windows (Remote Desktop Protocol, RDP) noch nicht erlaubt ist. Daher sollte man die Gruppenrichtlinien importieren (Vmware liefert diese mit) oder manuell nach Anleitung anlegen. Ein sehr gutes Whitepaper findet man unter
www.vmware.com/files/pdf/vdm_2.1_reviewers _guide.pdf.
Vmware bietet eine 30-Tage-Testversion an, die alle benötigten Komponenten umfasst: die Verwaltungslösung Virtualcenter, die Virtualisierungsplattform ESX Server und die VDI-Software VDM Server. Obwohl alle Komponenten sehr einfach zu installieren und konfigurieren sind, steckt der Teufel im Detail. So sind es oft die kleinen Fehlkonfigurationen, die eine Infrastruktur stark beeinflussen. Daher sollte man auch hier bei fehlender Erfahrung auf Beratung oder zumindest die Vmware-Manuals und -Whitepaper zurückgreifen.
Der Anbieter plant für die nächste Version einige interessante Neuerungen. So sollen zum Beispiel "Linked Clones" es erlauben, dass nur noch wenige Master-Desktops erforderlich sind und alle weiteren VDI-Desktops für gleiche Daten auf die Master-Kopie zurückgreifen. Damit belegen nur die Änderungen der Linked Clones Speicherplatz, was gerade in VDI-Umgebungen zu hohen Platzeinsparungen führen kann.
Leider hielt uns beim Test von VDM ein unschöner Bug auf, der sich durch die fehlende Löschung des Bootrun-Dienstes darstellt, sodass der VDI-Client seine Anpassung der VM nie abschließt. Das Problem löst sich, nachdem in der VM der Befehl "sc delete bootrun" abgesetzt wird (siehe
communities.vmware.com/message/ 977539).
Vmware hat für VDM ein eigenes Lizenzmodell, das auf der Anzahl der virtuellen Desktops basiert und die Lizenzen für die virtuelle Infrastruktur heranzieht (Virtualcenter und ESX-Hosts). Die Listenpreise der VDI-Software belaufen sich auf 150 Dollar pro Nutzer (Concurrent User). Zudem gibt es zwei Bundles: das Starter-Bundle (Vmware VDI inklusive zehn Benutzer für 1500 Dollar) und das VDI Bundle 100 (Vmware VDI inklusive 100 Benutzer für 15.000 Dollar). Will man eine bestehende Vmware-Infrastruktur um VDI-Lizenzen erweitern, kann man mit 50 Dollar pro VDM-Benutzer rechnen.
Citrix Xendesktop
Citrix Xendesktop basiert auf der Kombination von Xenserver, Xencenter (der zentralen Verwaltungsoberfläche für mehrere Xenserver) und einer VDI-Verwaltung. Außerdem bietet Citrix sehr viele Integrationsmöglichkeiten für andere Citrix-Angebote aus dem reichhaltigen Fundus, der im SBC bekannt und beliebt ist.
Beim Installationspaket Xendesktop 2.0 sind alle verwendbaren Produkte bereits integriert, vom Xenserver über den Desktop Controller bis hin zum Secure Gateway. Letzteres dient zur Nutzung des Zugriffs der Xendesktop Infrastruktur über unsichere Netzwerke wie das Internet und tunnelt das ICA-Protokoll (das Citrix anstelle von Microsofts RDP verwendet) über ein VPN - insgesamt also ein rundes Paket, mit dem man direkt starten kann. Wer sich noch nicht mit Citrix-Lösungen auseinandergesetzt hat, sollte allerdings wiederum einen Berater mit ins Boot holen, da die Installation und Konfiguration alles andere als ein Kinderspiel sind.
Die vollfunktionale Installation der Xendesktop-Umgebung benötigt neben der obligatorischen Active-Directory-Umgebung einen Controller Server (DCC) und einen Provisioning Server (PVS). Je nachdem, ob die Infrastruktur nur lokal oder auch über WAN oder aus dem Internet nutzbar sein soll, ist zusätzlich ein Access Gateway vonnöten. Dieses wird normalerweise in der DMZ aufgestellt und tunnelt die Verbindungen zwischen Client und Server. Die Installation ist nicht trivial und besonders Anwender, die über keinerlei Citrix-Erfahrung verfügen, müssen sich erst einarbeiten. Hier ist von etwas Schulungsaufwand auszugehen. Der Provisioning Server ist neben dem OS Streaming (vergleichbar mit Linked Clones) auch für das von Citrix bekannte Printer-Management zuständig. Dieses fehlt im Vmware-VDM-Umfeld.
Hat der Administrator die Infrastruktur aufgesetzt, muss er entweder VM-Templates anlegen, oder er verwendet die bereits komplett installierten virtuellen Maschinen und konfiguriert eine 1:1-Zuordnung. Arbeitet er mit Templates, kann aufgrund dieser eine Provisionierung stattfinden (inklusive Customization-Skripts), bei der er die Namensgebung der VMs und der zugeordneten Gruppe sowie die Anzahl der VDI-VMs angibt. Außerdem ist die Zuordnung für die Gruppenberechtigung im Active Directory zu hinterlegen. Nach der Provisionierung kann bereits mittels Citrix Program Neighborhood Agent (PNA), einer korrekten Anmeldung und entsprechender Berechtigung direkt ein Zugriff auf den virtuellen Desktop oder einen Pool stattfinden.
Die Citrix-Lösung punktet dabei mit einer sehr schönen, intuitiven grafischen Einbindung. Auch die Administrationswerkzeuge sind sehr gut zu bedienen und haben im Test fehlerfrei funktioniert. Die Active-Directory-Integration ist vorbildlich, und es werden automatisch Gruppenrichtlinien für die VDI-Desktops integriert, um diese abzusichern.
Sehr positiv ist außerdem die Flexibilität der Citrix-Lösung zu bewerten, da bereits bei Version 2.0 Citrix Xencenter wie auch Vmware Virtualcenter integrierbar sind. Xencenter stellt hier die zentrale Verwaltungsoberfläche für mehrere Xenserver-Systeme, Virtualcenter die zentrale Verwaltungsoberfläche für mehrere ESX Server dar. Support für das Äquivalent von Microsoft, den Systems Center Virtual Machine Manager, soll in einer kommenden Version folgen. Außerdem ist es möglich, neben virtuellen Maschinen auch physische Plattformen direkt als VDI-System zu nutzen. Dies kann vor allem bei hohen Sicherheitsanforderungen oder Power Usern notwendig sein. Hier geht Citrix definitiv auf die Bedürfnisse der Unternehmen ein, und der Anwender muss sich nicht auf ein Verwaltungswerkzeug samt Hypervisor festlegen. In jedem Fall ist man mit Citrix Xendesktop in der Lage, eine ausfallsichere und lastverteilende VDI-Umgebung aufzubauen, unabhängig von der genutzten Virtualisierungslösung.
Die kostenfreie Xendesktop-Express-Version erlaubt den Einstieg ohne großen Budgetplan. Wer mehr Funktionalität will, muss auf eine höherwertige Version zurückgreifen. Citrix lizenziert auf Benutzerbasis (Concurrent User) und unterscheidet die Lösungsvarianten zwischen Advanced (75 Dollar), Enterprise (175 Dollar) und Platinum (275 Dollar). Der sehr nützliche Provisioning Server ist erst ab der Enterprise-Version enthalten. Die Platinum-Variante enthält weitere Komponenten wie das Verwaltungs-Tool Edgesight. Deshalb wird wohl die Enterprise Edition für die meisten Unternehmen interessant sein.
Die Unterstützung von Vmware VI 3.5 seitens Citrix ist zwar sehr sauber implementiert, allerdings ist es nicht möglich, verschiedene Data Stores als Ablageorte anzugeben. Momentan wird der Ablageort des gewählten Templates der virtuellen Maschine genutzt. Gleiches gilt allerdings auch für Vmware VDM, das im Test trotz Angabe unterschiedlicher Data Stores 15 VMs auf dem ersten angegebenen Datastore anlegte, obwohl dort bereits zehn VMs lagen. Drei weitere angegebene Datastores waren frei, wurden aber nicht genutzt. Eine solche Storage-Nutzung kann aufgrund des SAN-Zugriffs des ESX Servers beim Einsatz sehr vieler virtueller Maschinen im SAN zu erheblichen Leistungseinbrüchen führen. Eine Provisionierung auf NFS-Storage ist von diesem Problem nicht betroffen.
RDP versus ICA
Die Frage des Zugriffsprotokolls beschäftigt die Administratoren seit Langem und ist nicht immer eindeutig zu beantworten, da es auf die Anforderungen der Infrastruktur ankommt. Für diesen Artikel führten wir verschiedene Tests mit der Trial-Version von Shunra VE Desktop zur Simulation von WAN-Verbindungen durch. Befindet man sich im LAN, ist für den Anwender kaum ein Unterschied bezüglich Antwortzeit und Performance erkennbar. In WAN-Umgebungen zeigt das ICA-Protokoll allerdings Vorteile, da es weniger Last im Netzwerk erzeugt und die Performance vor allem grafikintensiver Anwendungen besser ist als beim Microsoft-Protokoll. Die Multimediabeschleunigung Citrix Speedscreen erweitert die Leistungsfähigkeit der ICA-Session wesentlich. Leider ist gerade diese Funktion in Xendesktop 2.0 noch nicht integriert; sie soll aber künftig Bestandteil von Xendesktop werden. ICA bietet Vorteile bei Druckdatenströmen und der Audiounterstützung, die im Gegensatz zu der von RDP bidirektional ist und daher zum Beispiel IP-Telefonie ermöglicht. Für Anwender von Mac OS X bietet Citrix einen zertifizierten ICA-Client an. RDP unterstützt derzeit keine USB-Redirection, deshalb bringt Vmwares VDM Agent eine eigene Unterstützung für USB-Redirection mit.
Im Test stand uns ein Wyse V10L Thin Client zur Verfügung, mit dem wir die Wyse Multimedia Extension testen konnten. Diese Zusatzfunktion dient zur Auslagerung der Berechnung verschiedener Grafikdaten von der virtuellen Maschine zum Thin Client. Das Ergebnis ist erstaunlich: Beim Test mit einem ablaufenden Video sank die CPU-Nutzung im Gast und damit auch auf dem Host-System um mehr als zwei Drittel. Dies ermöglicht indirekt auch den Betrieb von mehr virtuellen Maschinen auf der gleichen Host-Hardware.
Fazit
Citrix bietet mit dem Xendesktop die flexiblere und umfangreichere VDI-Lösung. Neben dem eigenen Xenserver kann derzeit Vmware Virtual Infrastructure 3 und in der nächsten Version die Hyper-V-Lösung von Windows genutzt werden. Durch die jahrelange SBC-Erfahrung zeigt sich die Konfiguration der Lösung als ausgereift, da zum Beispiel die AD-Einstellungen mit Sicherheitsgruppen und Gruppenrichtlinien direkt integriert und nicht vom Nutzer nachträglich zu konfigurieren sind. Zusätzlich sind große Teile der Citrix-Produktsuite zur Zugriffsbeschränkung, WAN-Beschleunigung und Application Streaming direkt nutzbar. Außerdem glänzt Citrix mit dem ICA-Protokoll.
Vmware VDM ist dadurch noch lange nicht geschlagen, da hier mit Einfachheit stark gepunktet wird. Die Installation und Konfiguration der Lösung sind klar und intuitiv. Selbst ohne Handbuch kommt man schon sehr weit und kann eine laufende VDI-Infrastruktur realisieren. An den Aufbau von Load Balancing und Hochverfügbarkeit hat Vmware gedacht, und auch ein Remote-Zugang über das Internet ist leicht einzurichten. Allerdings steckt viel Arbeit in der Konfiguration des Virtual-Desktop-Templates und in der AD-Einbindung.
Die Nutzbarkeit von VDI-Lösungen ist bereits sehr hoch. Der Funktionsumfang ist insgesamt gut bis sehr gut, und der Endanwender fühlt sich gegenüber der traditionellen SBC-Technik eher zu Hause, da er auf einem wirklichen Desktop statt auf einem Server arbeitet. Außerdem ist der Desktop bei weitem nicht so kritisch zu härten, wie man es von der Verwendung eines Terminalservers kennt. Der Nutzer hat daher mehr Freiheiten. Momentan betrachten die großen Anbieter VDI allerdings nur für Windows-Desktops, was Linux-Benutzer einschränkt.
Im Test mit den beiden Hypervisors Citrix Xenserver und Vmware ESX ist allerdings klar festzustellen, dass Microsoft Vista ein wahrer Ressourcenfresser ist (vor allem bei Aktivierung der Grafikeffekte) und VDI-Sitzungen daher merklich langsamer laufen als unter Windows XP. Dadurch ist auch die maximale Anzahl von Vista-VMs gegenüber XP-VMs bei gleicher Host-Hardware um 25 Prozent und mehr verringert.
Lesen Sie mehr zum Thema
