Serie: Application Delivery, Teil 4
Virtuelle Desktops
Das Thema Desktop-Virtualisierung rückt seit Kurzem immer mehr in den Fokus. Die verschiedenen Ansätze haben gemeinsam, dass der Benutzer-Desktop nicht lokal auf dem Endgerät des Anwenders eingerichtet ist, sondern von einem RZ aus - also virtualisiert - bereitgestellt wird. Das Konzept verspricht erhebliche Kostenvorteile, größere Flexibilität, höhere Sicherheit und nicht zuletzt Anwenderfreundlichkeit. Beim unternehmensweiten Einsatz muss die Infrastruktur dabei ständig verfügbar und dynamisch skalierbar sein. Die Hersteller bieten dazu unterschiedliche Lösungsansätze.
Eine virtuelle Desktop-Infrastuktur stellt im einfachsten Fall einen Windows-XP- oder
Vista-Desktop über eine Virtualisierungsplattform oder ein Blade-System zentral bereit. Für die
Verbindung des Client-Systems mit dem zentral vorgehaltenen Desktop kommt bei Citrix das Protokoll
ICA (Independent Computing Architecture) zum Einsatz, bei Vmware Microsofts Remote Desktop Protocol
(RDP). RDP, das den Fernzugriff eines Benutzers auf ein Windows-System erlaubt, ist bei XP und
Vista bereits als Serverkomponente in das Betriebssystem integriert. Der Anwender kann von einem PC
oder Thin Client (TC) durch Angabe des DNS-Namens oder der IP-Adresse des Zielsystems eine
Verbindung aufbauen und das zentrale Desktop-System als Remote User nutzen. Das Verhalten des
Systems unterscheidet sich dabei nicht wesentlich von dem eines herkömmlichen PCs.
Für eine effizientere Verwaltung sowie die gesicherte Bereitstellung sehr vieler virtueller
Desktops über das Rechenzentrum ist eine Verbindungsverwaltung (Connection-Management) notwendig.
Über den so genannten Session Broker wird ein Benutzer authentifiziert und mit einem virtuellen
Desktop verbunden. Des Weiteren werden dort bestehende Sessions verwaltet, damit Anwender nach
einer Unterbrechung schnell wieder zu ihrem Desktop gelangen können. Über das Zugriffsmanagement
sind aber auch beliebige standardisierte Desktops zum Beispiel für Schulungs- oder
Sachbearbeiterarbeitsplätze aus einem Pool zuweisbar. Auch das Bereitstellen individueller
persistenter oder nicht-persistenter Desktops ist möglich. Eine umfassende Bereitstellung nach
Bedarf (On-Demand Provisioning) erfordert aber das Zusammenspiel mit weiteren Komponenten (Bild
1).
Vmware liefert mit seiner Virtual Desktop Infrastructure (VDI) auf Basis der Vmware
Infrastructure 3 mit dem ESX Server und dem Virtual Desktop Manager (VDM) eine vollständige Lösung.
Das Lösungspaket Xendesktop von Citrix enthält in der Platinum Edition neben der
Xen-Virtualisierungsinfrastruktur (Xen Server Enterprise) einen neu entwickelten Session Broker
(Desktop Delivery Controller) sowie eine Virtual-Desktop-Provisioning-Technik mit dem "Provisioning
Server for Desktops". Dieses Bundle bietet umfassende Funktionen für Virtualisierung, Management,
Ressourcenoptimierung, Anwendungsverfügbarkeit und die Automation des Betriebs (Tabelle 1).
Nutzung von Peripherie
Eine der wichtigsten Anforderungen der Anwender beim Einsatz virtueller Desktops ist die Nutzung
von Peripheriegeräten am Client. Dafür müssen die Funktionen des Standardkommunikationsprotokolls
erweitert werden. Sowohl auf dem Client als auch auf dem virtuellen Desktop erfordert dies weitere
Komponenten. Bei Vmware lassen sich in der virtuellen Umgebung lokale USB-Geräte und -Drucker über
ein erweitertes RDP mittels VDM-Client und VDM-Agent an die Anwendung weiterleiten. Citrix wiederum
ermöglicht nun mit dem Xendesktop 2.0 den Einsatz des ICA-Protokolls durchgängig ohne
Protokollbruch (wie noch in der "Citrix Desktop Server" genannten Version 1.0 vorhanden). Dazu
werden die ICA-Services mit dem Virtual Desktop Agent auf dem virtualisierten Desktop und auf dem
Client-System über die klassische Program-Neighborhood-Software installiert. So lassen sich neben
der USB-Umleitung auch viele andere ICA-Features nutzen, die vom Presentation Server (künftig
Xenapp genannt) her bekannt sind.
Die Desktop-seitige Erweiterung dient auch dem Session-Management und dem Single Sign-on (SSO)
für die Windows-basierte Benutzeranmeldung. Dies ist aber nur möglich, wenn der Desktop Mitglied in
einer Active-Directory-(AD-)Domäne oder in einer entsprechenden Vertrauensstellung ist und sich der
Benutzer am Connection-Manager erstmalig gegenüber dieser authentifiziert hat. Bei Vmware kann der
Benutzer über den VDM-Client einen VDM-Connection-Server direkt oder über einen Browser, den
VDM-Web-Access, für die Anmeldung kontaktieren. Zusätzlich wird eine Authentisierung mittels RSA
Secure ID unterstützt. Der Citrix Desktop Delivery Controller stellt über das neue Webinterface
(Version 5.0) und den PNA-Dienst (Program Neighborhood Agent) den Zugang zu den veröffentlichten
Desktops zur Verfügung.
Abgesicherter Zugriff
Zur sicheren Verbindung über das Internet lässt sich das Kommunikationsprotokoll in HTTP(S)
kapseln. Die Citrix-Lösung unterstützt dafür Secure ICA sowie zur Übertragung von ICA over HTTP das
softwarebasierte Secure Gateway und die Appliances der Access-Gateway-Familie mit der Secure Ticket
Authority (STA). Die Tickets haben eine konfigurierbare Gültigkeitsdauer und gelten nur für eine
einzige Anmeldung. Nach Benutzung oder Ablauf ist das Ticket ungültig und für den Zugriff auf
Desktops nicht mehr verwendbar.
Vmware wiederum stellt SSL-Tunneling als Funktion des VDM-Connection-Servers bereit. In einer
DMZ (Demilitarized Zone) platziert, fungiert dieser als ein so genannter VDM-Security-Server, der
dann nicht mehr einer Domäne angehören muss. Dieses Gateway terminiert die SSL-Verbindungen
zwischen dem VDM-Client und leitet das unverschlüsselte RDP-Protokoll an den VDM-Agent-Server
innerhalb des Intranets weiter. Ein VDM-Secure-Gateway-Server kommuniziert dazu über JMS (Java
Message Service) und das Apache Jserv Protocol AJP13 mit den entsprechenden Systemkomponenten auf
dem VDM-Connection-Server.
Die Konfigurationsdaten hält die Vmware-Lösung in einem "Embedded LDAP Directory" vor. Bei
Citrix findet der bekannte datenbankbasierte Data Store Verwendung, den es entsprechend
ausfallsicher bereitzustellen gilt. Zur Redundanz definiert man bei Vmware während der Installation
weitere Connection-Server als so genannte Replica, die dann in einer HA-Gruppe (High Avalibilty)
das komplette Configuration-Management replizieren und somit für Ausfallsicherheit sorgen.
Hochverfügbarkeit
Zur Erhöhung der Verfügbarkeit einer End-to-End-VDI-Lösung sind natürlich auch die virtuellen
Maschinen (VMs) selbst mit einzubeziehen. Unter diesem Aspekt ist der Funktionsumfang der
Virtualisierungsplattform für Hochverfügbarkeit und Failover zu betrachten. Die Anforderungen sind
beispielsweise dynamische Ressourcenoptimierung und Session Load Balancing von "Desktop-Pooled"-VMs
über alle Ressourcen-Pools hinweg. Snapshots virtueller Maschinen erhöhen die
Anwendungsverfügbarkeit und reduzieren den Aufwand für Backup-Fenster und Wiederherstellung.
Darüber hinaus ist die Betriebsart für das Power-Management wichtig. So ist über den
Connection-Manager der automatische Neustart (Remain on) eines virtuellen Desktops für den Benutzer
möglich, unabhängig davon, ob der virtuelle Desktop immer laufen soll oder nach einer gewissen Zeit
in den Suspend-Modus überführt wird, um Ressourcen zu sparen. Bei komplettem Serverausfall muss
eine HA-Lösung den schnellen und automatischen Neustart virtueller Desktops sicherstellen. Dies ist
in der Regel nur mit einem entsprechenden Storage-Management möglich.
Die Bereitstellung virtueller Desktops kann über eine Neuinstallation, aber auch über eine
Konvertierung erfolgen: Der Vmware Converter als Bestandteil des ESX-Servers erlaubt es, bestehende
physische PCs in VMs zu migrieren oder ein Template Image einzurichten, das als Basis für die
automatisierte Erstellung virtueller Desktops dient. Citrix hingegen benötigt heute noch Tools wie
zum Beispiel Platespin Powerconvert für eine P2V-Migration (Physical to Virtual) von
Windows-Systemen. Dafür steht mit dem Citrix Provisioning Server for Desktops eine leistungsfähige
Komponente bereit, die die universelle Trennung von Betriebssystem, Anwendungen und
Benutzerprofilen ermöglicht. Standardisierte Desktops stellt der Provisioning Server über eine
zentrale Vdisk bereit, benutzerspezifische Veränderungen schreibt er in einen dedizierten
serverbasierten Cache-Bereich. Optimal ergänzt wird dies durch ein zentrales Profilmanagement, etwa
mittels Appsense, Messerknecht Jumping Profiles oder der jüngst von Citrix übernommenen
Sepago-Profile-Technik. Zusätzlich können Anwendungen zum Beispiel mittels Citrix Application
Streaming benutzerspezifisch bereitgehalten werden, was den benötigten Plattenplatz für
personalisierte virtuelle Desktops minimieren hilft.
Fazit
VDI-Lösungen sind sehr komplex und bieten in den einzelnen Komponenten sehr unterschiedliche
Funktionsumfänge. Mit seiner Virtualisierungsplattform ESX hat Vmware hier serverseitig die größte
Erfahrung. Die Desktop Broker allerdings sind relativ neu entwickelt und definieren maßgeblich den
Leistungsumfang des Gesamtsystems. Neben Installation und Konfiguration ist die meiste Arbeit in
die Vorbereitung für die automatisierte Bereitstellung virtueller Desktops zu investieren. Citrix
erleichtert hier dem Administrator die Arbeit: Durch die Trennung von Betriebssystem und
Applikationen ist es nicht mehr nötig, für jeden Desktop separate virtuelle Maschinen mit
vorinstallierten Anwendungen zu verwalten. Dies senkt die Speicherkosten und vereinfacht das
Desktop-Lifecycle-Management.
Lesen Sie mehr zum Thema
