Virtualizace pracovních stanic - desktopů

Bankovní institut vysoká škola Praha Katedra informatiky a kvantitativních metod

Virtualizace pracovních stanic - desktopů Diplomová práce

Autor:

Jiří Nováček Informační technologie a management

Vedoucí práce:

Praha

Ing. Vladimír Beneš, Ph.D.

duben, 2014

Prohlášení:

Prohlašuji, že jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu.

Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Lázních Toušeni dne

Jiří Nováček

Poděkování Chtěl bych poděkovat panu Ing. Vladimír Beneš, Ph.D. za odborné vedení a pomoc při vypracování mé bakalářské práce. Dále bych chtěl poděkovat panu Zdeňku Kaminskému z firmy IBM za poskytnutí konzultací a cenných informací a poznatků k řešené problematice. Dále bych chtěl poděkovat panu Heins-Jochen Petersovi z firmy Virtual Bridges za poskytnutí materiálů a svolení k jejich užití při přípravě této práce.

Anotace práce a klíčová slova Cílem mé práce je seznámit čtenáře s oblastí virtualizace pracovních stanic – desktopů. Nejprve se věnuji tématu obecně a popisuji, co sebou tato oblast přinesla a jaké má v sobě výhody. Poté popisuji, jak vypadá přechod na virtualizovaný desktop a co to obnáší. Ve výběru vhodného virtualizačního nástroje popisuji některé z hlavních produktů, které na trhu působí. A jejich vlastnosti. Na modelovém řešení jsem představil implementaci produktu VERDE 7 na fiktivní školící firmu. Klíčová slova: Virtualizace, virtuální pracovní stanice, virtuální desktop, VERD 7, Virtual Bridge,

Annotation The aim of my work is to introduce virtualization workstations - desktop. First, I describe the topic in general and what brought him to this area and what are the advantages. Then describe how it looks transition to virtualized desktop and what will bring. In selecting the appropriate virtualization tool describes some of the main products in the market. And their properties. The model solution, I introduced the implementation of the product VERDE 7 fictitious training company. Keywords Virtualization, virtual workstations, virtual desktop, VERDE 7, Virtual Bridge

Obsah práce Obsah práce ............................................................................................................................................................. 5 Úvod ........................................................................................................................................................................ 7 1 Úvod do problematiky virtualizace desktopů .................................................................................................. 9 1.1 Virtualizace desktopů............................................................................................................................. 9 1.2 Proč virtualizace desktopů ................................................................................................................... 10 1.2.1 Role osobního počítače v prostředí organizace ............................................................................... 12 1.2.2 Optimalizace výdajů na informační technologie ............................................................................. 13 1.2.3 Ekologické aspekty .......................................................................................................................... 13 1.2.4 Nový pohled na úspory energií ........................................................................................................ 15 1.2.5 Bezpečnostní požadavky a standardy .............................................................................................. 16 1.3 Současné trendy v oblasti virtualizace desktopů .................................................................................. 18 1.3.1 Podpora desktopových platforem .................................................................................................... 18 1.3.2 Prostředí pro provoz virtualizovaných desktopů ............................................................................. 18 1.3.3 Způsob poskytování VDI služeb ..................................................................................................... 19 2 Přechod na virtualizovaný desktop ................................................................................................................ 20 2.1 Virtuální desktop .................................................................................................................................. 20 2.2 Platforma a operační systém virtuálního desktopu............................................................................... 20 2.3 Role a služby desktopového operačního systému ................................................................................ 20 2.4 Prostředí pro virtualizaci desktopů....................................................................................................... 22 2.5 Přístup k tvorbě virtuálních desktopů .................................................................................................. 22 2.5.1 Oddělení operačního systému, aplikací a uživatelských dat ............................................................ 23 2.5.2 Optimalizace způsobu poskytování aplikací.................................................................................... 23 2.5.3 Využití konceptu Gold image .......................................................................................................... 24 2.5.4 Uchování nastavení a dat uživatele.................................................................................................. 24 2.5.5 Modely virtuálního desktopu ........................................................................................................... 24 2.6 Začlenění VDI řešení do existujícího prostředí.................................................................................... 25 2.7 Klientská zařízení pro přístup k virtualizovaným desktopům .............................................................. 26 2.8 Licencování virtualizovaných desktopových operačních systémů ....................................................... 27 2.9 Virtualizace aplikací pro virtuální desktop .......................................................................................... 31 2.9.1 Virtualizace aplikací vyžadující agenty ........................................................................................... 31 2.9.2 Virtualizace aplikací nevyžadující agenty ....................................................................................... 32 3 Výběr virtualizačních nástrojů....................................................................................................................... 34 3.1 Citrix .................................................................................................................................................... 35 3.1.1 Citrix VDI-in-a-Box (VIAB) ........................................................................................................... 35 3.1.2 Nástroje na správu aplikací.............................................................................................................. 37 3.1.3 Nástroje pro podporu multimédií..................................................................................................... 38 3.1.4 Nástroje na ochranu dat ................................................................................................................... 39 3.1.5 Nástroje na podporu mobilních uživatelů ........................................................................................ 40 3.2 Microsoft .............................................................................................................................................. 41 3.3 VMware Horizon ................................................................................................................................. 43 3.4 Virtual Bridges Verde 7 ....................................................................................................................... 44 4 Seznámení s Verde 7 firmy Virtual Bridges .................................................................................................. 44 4.1 Charakteristika produktu Verde 7 ........................................................................................................ 44 4.2 Infrastruktura řešení s Verde VDI ........................................................................................................ 46 4.2.1 Základní role serveru ....................................................................................................................... 47 4.3 Softwarové komponenty řešení ............................................................................................................ 49 4.3.1 Serverové komponenty .................................................................................................................... 49 4.3.2 Komponenty pro klienty .................................................................................................................. 50 4.4 Instalace Verde VDI prostředí ............................................................................................................. 51 4.5 Virtuální desktopy v prostředí Verde ................................................................................................... 52 4.5.1 Podporované operační systémy pro virtuální desktop ..................................................................... 52 4.5.2 Komunikační protokoly ................................................................................................................... 53 4.5.3 Režimy virtuálního desktopu ........................................................................................................... 53 4.6 Licenční model..................................................................................................................................... 53 4.7 Ukázka administrace prostředí Verde 7 ............................................................................................... 54 5

5

Modelové řešení ............................................................................................................................................ 56 5.1 Charakteristika modelové firmy ........................................................................................................... 56 5.2 Problémy a požadavky ......................................................................................................................... 57 5.3 Základní návrh řešení ........................................................................................................................... 59 5.3.1 Požadavky na Gold image ............................................................................................................... 59 5.3.2 Další požadavky .............................................................................................................................. 63 5.4 Volba řešení ......................................................................................................................................... 63 5.5 Kapacitní návrh řešení - produkt Verde 7.1 ......................................................................................... 63 5.6 Koncept architektury řešení ................................................................................................................. 65 6 Závěr.............................................................................................................................................................. 68 Seznam použité literatury ...................................................................................................................................... 69 Seznam použitých zkratek ..................................................................................................................................... 72 Seznam použitých obrázků .................................................................................................................................... 74 Seznam použitých tabulek ..................................................................................................................................... 75

6

Úvod Práce se zaměřuje na seznámení s klíčovými aspekty virtualizace desktopů. Soustředí se na ty metody a nástroje pro desktopovou virtualizaci, které mohou při rozsáhlejším nasazení v organizaci přinést výrazné úspory. Proto se soustřeďuje výhradně na možnosti použití centralizovaných řešení. Právě v tomto směru se v současnosti otevírají nové možnosti, využívající cloudových služeb. Přehled obecně dobře známých řešení byl doplněn o v Evropě poměrně málo známé řešení pro virtualizaci desktopů od americké firmy Virtual Bridges. Produkt Verde od této firmy lze charakterizovat jako řešení od počátku stavěné pro virtualizaci desktopů a cílené výhradně na tento účel. Firma začala v minulém roce aktivně působit i na evropském trhu. Vlastnosti řešení, snadnost implementace a jednoduchost licenční politiky činí řešení zajímavým jak pro komerční sféru, tak i v oblasti školství. Mezi zákazníky patří i několik univerzit. Souhrn těchto důvodů mne vedl k tomu, že jsem tomuto produktu věnoval rozsáhlejší část své práce, ve které zároveň vysvětluji aspekty návrhu virtualizačního řešení.

7

Zvolené metody zpracování Při zpracování diplomové práce jsem postupoval podle Metodických pokynů Bankovního institutu vysoká škola, které jsou dostupné na informačním systému BIVŠ.

8

1 Úvod do problematiky virtualizace desktopů Kapitola je zaměřena na vysvětlení základních pojmů z oblasti virtualizace desktopů, historické a aktuální souvislosti virtualizace systémů, určených pro osobní počítače.

1.1 Virtualizace desktopů Virtualizace desktopů je technologií, která mění přístup k typickému řešení pracovního prostředí uživatele osobního počítače. Odklání se od nutnosti využití plnohodnotného osobního počítače jako koncového zařízení. Hardware osobního počítače je spolu s operačním systémem a s aplikacemi virtualizován a pro jeho běh je používána centralizovaná infrastruktura. Virtuální počítače, operační systémy i aplikace uživatelů pro svou činnost využívají a zároveň sdílejí zdroje této centralizované infrastruktury. Uživatel přistupuje k virtualizovanému počítači pomocí vhodného koncového zařízení. Na koncové zařízení jsou kladeny odlišné požadavky, neboť se přenáší pouze interakce s virtualizovaným počítačem, jako jsou stisky kláves, pohyby myši a změny obrazovky. Moderní řešení umožňují používat i lokálně připojená zařízení jako jsou například USB tiskárny a disky (klíčenky), mohou podporovat i multimediální přenosy. Koncové zařízení není použito pro běh desktopového operačního systému a aplikací a není zde požadována platformová kompatibilita. Musí ale podporovat speciální komunikační protokoly použité k interakci s virtualizovaným počítačem. Tento koncept značně rozšiřuje výběr vhodných koncových zařízení a přináší i možnost jejich kombinování. Virtualizace desktopů přirozeně završuje určitou vývojovou etapu, charakterizovanou hlavně dozráním virtualizačních technologií, nástrojů pro aplikační virtualizaci a zrychlením a zvýšenou dostupností počítačových sítí a internetu. Důležitým impulsem byl rovněž rozvoj nových modelů poskytování služeb spojený s použitím cloudových modelů. S tím souvisí i nový model cloudové služby, označovaný jako „desktop jako služba“, zkráceně DaaS.

9

Všechny uvedené faktory naznačují, že technologie virtualizace desktopů překonala dětské nemoci a je připravena k masovému nasazení. Tuto skutečnost potvrzují i respektované studie Gartner Group1 (Obr. 1).

Obr. 1: Studie Gartner Group o virtualizaci desktopů Zdroj: MCMANUS, Chris. VIRTUAL BRIDGES. Virtualizace desktopů s produktem VERDE od společnosti Virtual Bridges. Praha, 2014. (5)

1.2 Proč virtualizace desktopů Pro plné pochopení problematiky virtualizace desktopů je potřebné porozumět nárokům, které jsou v současné době kladeny na oblast osobních počítačů. Požadavky na osobní počítače se vyvíjely a tříbily více než 30 let a odrážely se v nich pokroky nejen v technologiích, ale stále významněji i požadavky vycházející z masivního nasazení a rostoucí závislosti ekonomické sféry. Tato vzájemná provázanost je patrná právě na nových možnostech, přinášených rozvojem mobilních osobních výpočetních prostředků. Nejen, že jsou zde vytvářeny nové tržní segmenty, ale možnosti osobní výpočetní techniky se promítají i do nových způsobů poskytování služeb, vnitřní organizace a řízení práce. Význam a rozsah využívání osobních počítačů lze nejlépe pochopit ze stručné rekapitulace historického vývoje:

1

http://www.gartner.com 10

Osmdesátá léta: - Poměrně drahá technologie, postupné nasazování, nelze považovat za nástroj pro jednotlivce, - jednoduché aplikace, bez sdílení dat, - výměna informací a přístup na sdílená data s využitím modemových komunikací, - zpracování dat pro sálové počítače, terminály k sálovým počítačům, - znakově orientovaná rozhraní operačních systémů.

Devadesátá léta - Standardizace a masová výroba vede k postupnému snižování cen, roste penetrace do komerční sféry, - pokročilé aplikace, - propojení počítačů za účelem sdílení síťových prostředků (tiskárny, soubory), - aplikace využívají sdílení síťových prostředků (sdílená data), - přichází koncept klient-server aplikací, - nástup internetu, sdílení dat a informací, - nástup grafických rozhraní operačních systémů, víceúlohové operační systémy, - částečná individualizace pracovního prostředí počítačů (grafická rozhraní, aplikační nastavení).

Od konce devadesátých let do současnosti - Ceny technologií klesají a intenzivně vzrůstá penetrace do podnikové sféry, - schopnosti osobních počítačů dovolují použití i výpočetně a graficky velmi náročných aplikací, rozvíjí se i herní průmysl zaměřený na osobní počítače, - grafické uživatelské rozhraní standardem,

11

- individualizace pracovního prostředí přesahuje do oblasti sítových služeb (monitorovaní aktivit a přizpůsobování např. reklam uživateli), - obrovské portfolio komerčních aplikací pro profesionální použití, - multimediální aplikace, - rozvoj síťových aplikací a služeb, nové koncepty a nástroje, virtualizace aplikací, - internet se stává pracovním nástrojem a integrální součástí pracovního prostředí, - dominantní pozice operačních systémů Windows, nárůst významu „open source“2 aplikací a postupné získávání pozic operačním systémem Linux.

Výše uvedený přehled ukazuje, jakým rozvojem prošly technologie a využívání osobních počítačů a jak rozsáhlé možnosti využití nabízejí. Vyplývá z nich a napovídají, jak významnou pozici nyní zaujímají. Tento trend podporuje i masivní rozšíření v domácnostech, které podporuje všeobecnou oblíbenost osobních počítačů a to přes silný nárůst používání dalších, mobilních zařízení.

1.2.1 Role osobního počítače v prostředí organizace I přes nástup nových kategorií mobilních zařízení lze osobní počítače považovat za základní osobní výpočetní nástroj zaměstnance. Kromě zaměstnanců, kteří využívají osobní počítač a specifické aplikace v souvislosti s přímým plněním pracovních úkolů, je osobní počítač často vstupní branou k dalším aplikacím, sloužícím pro zajištění vnitřního chodu a služeb organizace. Do této skupiny patří například personální aplikace (např. docházkové systémy), různé rezervační systémy (stravování) apod. Stupeň využívání a rozsah užívaných aplikací se v jednotlivých organizacích liší, stejně tak jako rozsah podpory používání jednoúčelových anebo například „chytrých“ zařízení. Obecně platí, že nároky na počítačovou gramotnost se stále zvyšují a osobní počítač reprezentuje v současné době všestranný a široce zavedený nástroj. Zavedení technologie virtualizace desktopů pak může být cestou umožňující komplexně řešit poměrně různorodé požadavky související s poměrně rozsáhlým nasazením osobních počítačů v organizacích. Od čistě ekonomických aspektů (například snížení velikosti 2

Open source je software s otevřeným zdrojovým kódem. Znamená to tedy, že můžeme za určitých podmínek provádět úpravu zdrojového kódu softwaru. 12

a změna poměru provozních a investičních nákladů, optimalizace licenčních nákladů), přes technické (konsolidace, bezpečnost, potřeba upgrade), až po sociální (personalizace pracovního prostředí, použití vlastních zařízení). Využití nachází i v podpoře změn organizace práce a to podporou modelů využívajících mobility pracovní síly a dynamického vytváření pracovních týmů. Rozhodnutí o přechodu na technologii virtualizace desktopů je tak často navázáno na další požadované změny, které mohou toto řešení podpořit.

1.2.2 Optimalizace výdajů na informační technologie Hlavní impulsy pro rozvoj a zavádění virtualizace desktopů přichází z ekonomické oblasti, kde hlavně v posledních letech sílí tlaky na snižování vnitřních nákladů, které se tak dotýkají i řešení informatiky. U komerčních subjektů přitom nesmí docházet ke snížení, či dokonce ztrátě konkurenceschopnosti, požadavky na tuto oblast se naopak zvyšují a následně odráží v potřebě zavádět nová řešení. Nová řešení v současnosti souvisejí především se stále širším využíváním internetových technologií a se zaváděním nových typů služeb. To se promítá zpětně do technických požadavků na řešení. Optimalizace nákladů se může dotýkat zejména dále zmíněných oblastí: Investiční náklady (pořizování a cyklus obnovy)3 Provozní náklady4 Náklady na údržbu Licenční náklady Náklady na informační bezpečnost a certifikace Náklady na vzdělávání

1.2.3 Ekologické aspekty Dopad zařízení na životní prostředí Při přechodu na virtuální zařízení se nemusíme snažit jen o snížení spotřeby energie, ale také o snížení uhlíkové stopy5. Při pořizování nových zařízení si můžeme na stránkách 3

Investiční náklady (CAPEX - capital expenditures) nám udávají, kolik prostředků musí společnost vynaložit na nákup nebo obměnu majetku. Netýká se to jen fyzického majetku, ale také např. služeb. Tyto náklady můžeme v průběhu několika let odepisovat. 4 Provozní náklady udávají náklady, které jsou potřeba pro zajištění chodu společnosti. Tyto náklady se odepisují najednou. 13

programu EPEAT6 (Electronic Product Environmetal Assessment Tool) podívat, jaký mají tato zařízení dopad na životní prostředí. Tyto stránky vznikly díky grantu americké Agentury pro ochranu životního prostředí7 (US Environmental Protection Agency, zkráceně EPA). Byla zde zavedena hlavní a pomocná kritéria pro hodnocení dopadu IT zařízení a poté rozdělena na tři kategorie: bronzovou, stříbrnou a zlatou. Zařízení se rozdělí do těchto skupin podle toho, jak splňují jednotlivá ekologická kritéria: Bronzová kategorie obsahuje zařízení, která splňují všechna požadovaná kritéria. Stříbrná kategorie obsahuje zařízení, která splňují všechna kritéria a polovinu doplňkových kritérií. Zlatá kategorie obsahuje zařízení, která splňují všechna kritéria a také všechna doplňková kritéria. Program EPEAT obsahuje na svých internetových stránkách seznam zařízení, která jsou zařazena do jednotlivých kategorií. Stránky obsahují i spoustu informací a pravidel o tom jak se chovat, abychom nepoškozovali přírodu, určená pro jednotlivce i pro společnosti nabízející zařízení. I když tato stránka vznikla z grantu americké instituce, tak obsahuje seznam zemí, ve kterém si můžeme pro každou zemi uvedenou v seznamu najít zařízení a kategorii do které spadají. Seznam zařízení je pro každou zemi neustále aktualizován a postupem času jsou přidávány další produkty.

Ekologická likvidace zařízení V případě, že se v naší firmě rozhodneme přejít na ekologičtější řešení pomocí virtualizace, často zjistíme, že můžeme většinu starého IT vybavení znovu použít. Pokud bychom se k tomuto kroku rozhodli, tak nedocílíme téměř žádné úspory týkající se spotřeby energie a uhlíkové stopy. Pokud se rozhodneme nahradit staré zařízení novým, tak se naskytne otázka, co budeme dělat se starým zařízením. Vhodným krokem je ekologická

5

Uhlíková stopa udává kolik člověk vyprodukuje oxidu uhličitého svojí činnosti. V případě zařízení se sleduje kolik oxidu uhličitého bylo vyprodukováno při výrobě konkrétního výrobku. 6 http://www.epeat.net/ 7 http://www.epa.gov/ 14

likvidace. V současnosti se již nejedná pouze o ,,sešrotování“ starého zařízení, ale o recyklaci a o znovupoužití materiálů. Řada firem je specializována na výkup vyřazeného IT zařízení. Je to správná cesta, jak se zbavit starého vybavení, je ale třeba mít na paměti, že přináší i určité riziko úniku firemních dat. I když firmy v této době jsou celkem dobře chráněny před tímto únikem, tak stále zde nějaké riziko existuje. Na českém trhu se ekologickou likvidací zabývá několik firem. Pro tento účel byl zaveden REMA Systém8. Jde o akciovou společnost, která funguje jako nezisková organizace. Vznik tohoto systému byl iniciován novelou zákona č. 185/2001 Sb. o odpadech. Ukládá výrobcům elektroniky a informačních technologií povinnost zajistit financování zpětného odběru a následného šetrného zpracování elektroodpadu. Tento systém byl založen 14. února 2005. Jeho financování spočívá v připočtení příplatku k ceně výrobku. Příplatek je vždy stejný, aby se neovlivňovalo konkurenční postavení produktu na trhu.

1.2.4 Nový pohled na úspory energií Přechod na virtualizované řešení může přinést také poměrně velkou úsporu elektrické energie. Tato úspora bývá často opomíjena, ale v době kdy neustále roste cena elektřiny je tato úspora také znatelná. Zkušenosti z rozvinutých trhů se silnou konkurencí hovoří o tom, že tato úspora je lákavá i pro energetické firmy. Důvodem je, že když ušetří energii, tak ji potom mohou nabídnout u jiných zákazníků. Mohou tedy při úspoře obsloužit větší množství zákazníků. První energetickou společností, která nabídla program úspory energie pomocí virtualizace, byla kalifornská energetická společnost Pacific Gas & Electric Company9 (PG&E). Tato společnost zavedla slevový program, díky kterému mohou firmy ušetřit až 4 miliony dolarů na jednu lokalitu. Pobídka se může pohybovat v rozsahu 150 až 300 dolarů na jeden server. PG&E na tomto projektu spolupracuje s firmou VMware Corporation10. V dnešní době tyto pobídky již nenabízí pouze jediná energetická společnost. Tyto pobídky lze získat v současné době nejen od dalších soukromých firem, ale také například od federálních, státních a veřejně prospěšných společností. Spoustu informací o slevách na snížení elektrické energie lze získat z internetových stránek „Good to be green“11. Tyto

8

http://www.remasystem.cz http://www.pge.com/ 10 http://www.vmware.com/ 11 www.nrdc.org/energy/renewables/energymap.as 9

15

internetové stránky obsahují interaktivní mapu USA. Stačí si vybrat konkrétní stát a poté se zobrazí možnosti slev v daném státu. Pokud se nacházíme v zemi, kde takový program není k dispozici, je možnost kontaktovat energetickou společnost a navrhnout jim řešení na úsporu energie. Tady se nebavíme o malé firmě, která má pouze několik serverů, ale máme na mysli velká datová centra. Velké firmy si samozřejmě chtějí udržet tyto velké zákazníky, ale chtějí také svoji elektřinu dodávat efektivně. Před započetím takového projektu musíme nejprve kontaktovat energetickou firmu a domluvit se s nimi na spolupráci. Z těchto důvodů: Energetická společnost provede analýzu jak moc je spotřeba energie v datovám centu efektivní. Poté provede analýzu možné úspory pomocí virtualizace. Výsledky této analýzy použijí ke schválení projektu. Po schválení projektu můžeme začít virtualizovat naše servery a osobní počítače. Po dokončení virtualizace provedeme analýzu koncového stavu a zhodnotíme výsledek s požadovaným řešením. Pokud tam budou ještě nějaké nesrovnalosti, tak se doladí ve spolupráci s energetickou firmou. I když výše uvedený přístup není v našich podmínkách s poměrně nízkou konkurencí na trhu s energiemi ve zmíněném rozsahu uplatňován, existují pobídkové programy, které lze využít, případně podpořit ekologicky zaměřený projekt dotacemi. V každém případě je výše zmíněný model podpory virtualizace velmi zajímavý.

1.2.5 Bezpečnostní požadavky a standardy O virtualizaci desktopů se ve firemním prostředí často uvažuje v období vynucených změn, například při potřebě plošného upgrade operačního systému na novou verzi, nebo při zásadní změně požadavků na koncová klientská zařízení. Obojí úzce souvisí s požadavkem na bezpečnost informačních systémů. K podobné situaci dochází i v době přípravy této práce, kdy byla ukončena podpora velmi oblíbeného a ve firemním prostředí široce užívaného operačního systému Microsoft Windows XP. Zároveň pokračuje a stále zesiluje trend užívání vlastních klientských zařízení i ve firemním prostředí. Tento trend, označovaný BYOD (Bring Your Own Device = přines si 16

své vlastní zařízení) je ve firemním prostředí považován za přínosný, neboť má příznivý vliv na výkonnost a „spokojenost“ zaměstnanců a také částečně šetří investiční výdaje. Ve firemním IT ale působí proti tendenci unifikovat vybavení a nástroje na zajištění bezpečnosti firemních dat. Vedle obvyklých koncových zařízení s operačními systémy Windows tak současné firemní IT postupně čelí nárůstu zařízení s operačním systémem Android, iOS, Linux a Mac OS X Virtualizace desktopů pak může být řešením pro obě zmíněné situace. Obecným bezpečnostním rizikem v intranetovém prostředí je dostupnost firemních aplikací ze sítí, ve kterých jsou napojena i klientská zařízení, na kterých se mohou firemní data při zpracování ukládat. Bezpečnost firemních dat i aplikací je tak výrazně závislá na zabezpečení koncových zařízení. Pokud ovšem přesuneme možnost přístupu na firemní intranetové aplikace do virtualizovaných desktopů, které jsou pod plnou kontrolou a neumožňují zásahy běžného uživatele, a klientským zařízením umožníme pouze přístup na tyto „kontrolované“ desktopy, výrazně se změní požadavky jak na zabezpečení sítě pro klientská zařízení, tak i zabezpečení těchto zařízení. Součástí řešení pro virtualizaci desktopů je totiž i řízení možnosti využívání koncového zařízení například pro ukládání dat (ukládání na USB disky), tisky, přenos dat přes clipboard12 apod. V tomto kontextu tedy uživatel klientského zařízení nemůže přistoupit přímo k intranetové aplikaci, musí se přihlásit do VDI prostředí, ve kterém je autorizován ke spuštění vybraného virtuálního desktopu (případně má na výběr ze skupiny virtuálních desktopů). Interakce koncového zařízení uživatele je omezena pravidly pro virtuální desktop a další skupina pravidel může být uplatněna při přihlášení uživatele do operačního systému virtuálního desktopu (například uplatněny Windows politiky apod.). Aktualizace operačního systému, aplikací a zabezpečení virtuálního desktopu jsou prováděny centrálně a jsou zcela nezávislé na uživateli a jeho koncovém zařízení. Jak z popisu vyplývá, při vytváření virtuálního desktopu můžeme určit (omezit) jeho vlastnosti. Lze tak vytvořit například silně „omezený“ virtuální desktop, dovolující práci s citlivými intranetovými aplikacemi (účetní, personální a plánovací aplikace) bez možnosti přístupu do internetu, tisku a ukládání dat na koncovém zařízení.

12

Clipboard je část operační paměti, která je určená k dočasnému ukládání dat. 17

Vedle toho lze vytvořit „relaxovaný“ virtuální desktop pro práci s nekritickými aplikacemi (rezervace obědů, záznam docházky), dovolující souběžně přístup na internet a ukládání dat na koncovém zařízení. Mezi klientským zařízením a virtuálním desktopem tak v nejomezenějším režimu probíhá pouze výměna informací o změnách obrazovky, aktivitě a stavu klávesnice a navigačního zařízení (myš, touchpad). Tato základní interakce může být rozšířena o propojení virtuálního desktopu s lokálně připojenými USB zařízeními, přenosem clipboardu a mohou být umožněny i multimediální přenosy (zvuk a video). Tyto rozšiřující možnosti ale do jisté míry závisí na vhodné volbě komunikačního protokolu (typicky se využívá RDP13, Spice14 a NX15) a rovněž na platformě a operačním systému koncového zařízení.

1.3 Současné trendy v oblasti virtualizace desktopů 1.3.1 Podpora desktopových platforem Výrobci softwarových technologií pro virtualizace desktopů se soustřeďují na ty platformy, které mají na trhu majoritní zastoupení. V současnosti je to jednoznačně platforma osobního počítače odvozená ze standardu IBM PC s operačním systémem Microsoft Windows. Tuto platformu podporují všichni hlavní výrobci technologií pro virtualizaci desktopů a pomocných nástrojů, určených například i pro podporu virtualizace aplikací. Ekonomické aspekty (např. ceny licencí), zralost a vzrůstající uživatelská obliba řešení desktopu využívající operační systém Linux vede některé výrobce k zabudování podpory tohoto řešení do nabízených řešení. Podpora je však prozatím omezená.

1.3.2 Prostředí pro provoz virtualizovaných desktopů Virtualizované desktopy jsou technicky provozovány v centralizované infrastruktuře, typicky poskytující tuto službu více uživatelům. Technická řešení infrastruktury pro provoz virtuálních desktopů jsou k dispozici od více dodavatelů virtualizačních technologií. Pro

13

RDP (Remote Desktop Protocol) je síťový protokol, který slouží k vzdálenému ovládání desktopu nebo serveru. Tento protokol funguje na principu klient-server. Je k dispozici na operačních systémech Microsoft Windows, Mac OS X a Unixových operačních systémech. 14 SPICE (Simple Protocol for Independent Computing Environment) protokol se používá především pro komunikaci virtuálních desktopů provozovaných na serveru s koncovými zařízeními (desktopy, tencí klienti). 15 Protokol NX slouží k šifrovanému připojení ke vzdálené ploše pomocí SSH (Secure Shell). Při jeho vývoji je snaha, aby byl provozu schopný i na pomalých síťových připojeních. 18

řešení této infrastruktury je standardně používána zkratka VDI (Virtual Desktop Infrastructure). V oblasti virtualizace desktopů lze v současné době považovat za hlavní dodavatele technologií firmy Citrix16, Microsoft17 a VMware18. První dvě uvedené firmy čerpají hlavně z dlouhodobých zkušeností s podporou osobních počítačů a aplikací na operačním systému Windows. Řadu technologií, původně určených pro tuto platformu, tak úspěšně uplatňují i v nových VDI řešeních. Firma VMware byla a je jednou z nejúspěšnějších v oblasti řešení pro virtualizaci na platformě procesorů Intel19. Vhodným využitím a doplněním svého virtualizačního řešení, určeného primárně pro virtualizaci serverové infrastruktury, vytvořila VDI řešení. K těmto řešením se objevují i zajímavé alternativy, jako je například řešení americké firmy Virtual Bridges20. Tato firma vsadila na open source produkty, nad kterými vytvořila vlastní VDI řešení. Jeho hlavními atributy jsou „rovná“ podpora desktopových operačních systémů Windows i Linux, jednoduchá a transparentní licenční politika a rychle implementovatelná řešení, obsahující i řešení vysoké dostupnosti21.

1.3.3 Způsob poskytování VDI služeb VDI služba může být vytvořena a poskytována v rámci vlastní infrastruktury, nebo nakupována od poskytovatelů služeb. Pro poskytování v rámci vlastní infrastruktury je nutné kromě technické infrastruktury plně zajistit nákup a správné licencování všech potřebných produktů, včetně desktopových operačních systémů a počítat i náklady na další provoz a softwarovou údržbu. Poskytovatelé VDI služeb běžně nabízí služby jak formou veřejné cloudové služby22 (public cloud), tak i vytvořením privátního cloudu23 (private cloud). Nabídka řešení pro privátní cloud bývájí doprovázena i možnostmi plného bezpečnostního zajištění komunikace s VDI infrastrukturou. Nabízenou variantou bývá i vytvoření privátního cloudu s umístěním VDI infrastruktury do datového centra zákazníka. Ve všech těchto případech jsou veškeré 16

http://www.citrix.cz/ http://www.microsoft.com/cs-cz/ 18 http://www.vmware.com/cz/ 19 http://www.intel.eu 20 http://vbridges.com/ 21 Vysoká dostupnost je schopnost provozovat služby nebo systém při poruše hardwaru. 22 Veřejný cloud je kompletně provozován na zařízení poskytovatele. Zákazník platí pouze za výkon, který si pronajme. Velkou výhodou je, že si zákazník může navyšovat nebo snižovat pronajaté prostředky (výkon). 23 Zákazník platí celou částku za kompletní cloudové řešení. Většinou celé cloudové řešení slouží pro účely jedné společnosti. 17

19

výše zmíněné náklady (infrastruktura, provoz, licence) řešeny poskytovatelem služby, uživatel hradí pouze poplatek za poskytnutí služby virtuálního desktopu s dohodnutými parametry.

2 Přechod na virtualizovaný desktop 2.1 Virtuální desktop Desktopem se v kontextu termínu desktopová virtualizace rozumí individuální a personalizované prostředí pracovní stanice, typicky osobního počítače, ve kterém je pracovní prostředí uživatele tvořeno operačním systémem a aplikacemi. Virtuálním desktopem se pak rozumí pracovní prostředí uživatele přenesené z individuální pracovní stanice na virtualizovaný „osobní“ počítač.

2.2 Platforma a operační systém virtuálního desktopu Je potřebné si uvědomit, že výrobci softwarových technologií pro virtualizace desktopů se soustřeďují na ty platformy, které mají na trhu majoritní zastoupení. V současnosti je to jednoznačně platforma osobního počítače odvozená ze standardu IBM PC s operačním systémem Microsoft Windows. Tuto platformu podporují všichni hlavní výrobci technologií pro virtualizaci desktopů a pomocných nástrojů, mezi které například patří podpora virtualizace aplikací. Ekonomické aspekty (např. ceny licencí), zralost a vzrůstající uživatelská obliba řešení desktopu využívající operační systém Linux vede některé výrobce k zabudování podpory tohoto řešení do nabízených řešení. Podpora je však prozatím omezená.

2.3 Role a služby desktopového operačního systému Operační systém moderního osobního počítače zajišťuje tři základní roviny služeb:

1) Nad různorodými technickými prostředky počítače a periferiemi vytváří standardizovanou vrstvu služeb, umožňující vytváření a spouštění aplikací 20

V současné době je k dispozici široká nabídka samotných osobních počítačů, řešených s použitím čipových sad a procesorů různých výrobců. Na této úrovni probíhá standardizace, která je vynucována hlavně potřebou kompatibility s používanými operačními systémy. I když architektura osobního počítače stále vychází z původního IBM konceptu, je rozvíjena tak, aby podporovala nové potřeby a trendy. Virtualizace desktopů přináší zjednodušení z pohledu unifikace technického řešení (hardware) počítače. To je tvořeno virtuálním počítačem se „standardizovaným“ hardware a je dáno zvoleným virtualizačním řešením. Z pohledu potřebných přizpůsobení a ovladačů tak bývá plně podporován dodavatelem virtualizačního řešení. Další úroveň standardizace je na úrovni operačního systému prováděna pro periferní zařízení. Tato zařízení většinou spadají do skupin se specifickým účelem a vlastnostmi. Operační systém pak pro jednotlivé skupiny (kategorie) zařízení vytváří sjednocující rovinu služeb, sloužící jak pro aplikace, tak i pro uživatelské řízení zařízení. Kromě standardních vstupních a výstupních zařízení podporují virtualizační řešení cíleně možnost využívat univerzální rozhraní USB. Periferní zařízení připojené na koncové zařízení je pak z pohledu operačního systému virtuálního počítače obsluhováno stejně, jako by se jednalo o připojení na fyzický počítač. Je zde ale nutné brát v potaz možné odlišnosti, vyplývající například z omezené rychlosti připojení koncového zařízení na virtualizační infrastrukturu. Určité riziko a nutnost prověření představují periferní zařízení se specificky napsanými ovladači, obcházejícími nebo nestandardně využívajícími ovladače rozhraní operačního systému. Osobní počítače využívající speciální hardware (karty) je většinou nutné z virtualizačního řešení vyloučit.

2) Vytváří prostředí umožnující interakci uživatele Z hlediska zařízení zajišťujících interakci s uživatelem jsou standardně podporovány vstupní zařízení jako klávesnice, kurzorová zařízení typu myš (anglicky pointing device, trackpoint, trackball, touchpad, joystick apod.). S rozvojem multimédií se mezi poměrně běžná vstupní zařízení přiřadily i mikrofon a kamera. Typická výstupní zařízení zajišťující přímou interakci jsou zobrazovací (displeje) a zvuková. Velmi rozšířená jsou zařízení pro dokumentový vstup (skenery) a výstup (tiskárny). Uvedené skupiny zařízení a interakce jsou současnými technologiemi pro desktopovou virtualizaci velmi dobře podporovány. Hlavně

21

pro řešení využívajících multimediální přenosy platí již zmíněná nutnost vzít do úvahy například parametry připojení na virtualizační infrastrukturu. Klasické formy interakce (klávesnice, myš) jsou již běžně rozvíjeny pomocí dotykových technologií (včetně používání dotykových „gest“) a příjmu hlasových povelů. Objevují se ale radikálně nové směry, většinově založené na snímání uživatele kamerou. Pokud jsou tyto formy interakce pro řešení vituálního desktopu vyžadovány, lze opět doporučit prověření funkčnosti, případně je z řešení vyloučit.

3) Umožňuje individualizace pracovního prostředí uživatele Individualizaci (resp. personalizaci) pracovního prostředí uživatele považujeme za prostředek zvyšující komfort, efektivitu a tím i výkonnost při práci. I když může začít od uspořádání fyzického pracovního prostředí a třeba i možnosti využívat speciální periferní zařízení, v kontextu desktopové virtualizace ji vnímáme především jako možnost individualizace pracovní plochy, nastavení vlastností pracovního prostředí, specifického chování aplikací a uchování aplikačních nastavení. Můžeme sem zařadit i uložení a zpřístupnění individuálně vytvářených dokumentů (souborů).

2.4 Prostředí pro virtualizaci desktopů Virtualizované desktopy jsou technicky provozovány v centralizované infrastruktuře, typicky poskytující tuto službu více uživatelům. Služba může být vytvořena a poskytována v rámci vlastní infrastruktury, nebo nakupována od poskytovatelů služeb. Technická řešení infrastruktury pro provoz virtuálních desktopů jsou k dispozici od více dodavatelů virtualizačních technologií. Pro řešení této infrastruktury je standardně používána zkratka VDI (Virtual Desktop Infrastructure).

2.5 Přístup k tvorbě virtuálních desktopů Příprava virtuálního počítače a jeho aplikací se pricipiálně příliš neliší od přípravy běžného osobního počítače. Má ale určité zvláštnosti a jejich společným jmenovatelem jsou technologie, které vedou ke snižování nároků na hardwarové zdroje jejich sdílením.

22

Základním předpokladem je maximální unifikace instalací s uplatněním využití tzv. gold image a vhodné uplatnění modelů neperzistentního nebo perzistentního desktopu.

2.5.1 Oddělení operačního systému, aplikací a uživatelských dat Odlišnost přináší způsob, jakým jsou vytvářeny virtuální desktopy. Pro virtualizaci desktopů je velkou výhodou, pokud jsou instalace operační systému a aplikací oddělitelná od individuálních nastavení a dat. Toto ale patří do standardních vlastností moderních desktopových operačních systémů a je to využíváno i u klasických instalací. Bez těchto mechanizmů a vhodné další infrastruktury by bylo velmi obtížné sdílet osobní počítač více uživateli, respektive umožnit uživateli pohodlně užívat různé osobní počítače při zachování individualizovaného (personalizovaného) prostředí.

2.5.2 Optimalizace způsobu poskytování aplikací Aplikací pro osobní počítače existuje nepřeberné množství a lze na ně pohlížet z mnoha různých pohledů. Základní způsob využívání aplikací na virtualizovaném desktopu se prakticky neliší od používání na běžném osobním počítači. Lze používat plné instalace aplikací do prostředí operačního systému, nebo s výhodou využít dalších technologií, vyvinutých pro desktopové počítače. Mezi tyto technologie patří například virtualizace (publikování) aplikací, kde aplikace instalována na serveru a aktivace ikonou na desktopu klienta v podstatě bezešvým způsobem spustí instanci aplikace na serveru. Na desktopu je tak otevřeno okno aplikace. Dochází tedy pouze k přenosu obrazovek, zátěž plynoucí z běhu aplikace nese serverová infrastruktura. Druhou podobnou technologií je tzv. streamování aplikací, kde se využívá speciálně připravených aplikačních balíčků, které jsou v případě požadavku na spuštění aplikace zkopírovány na příslušný desktopový, resp. virtualizovaný počítač. Nejedná se o klasickou instalaci, ale zkopírování souborů a nastavení potřebných vlastností pro spuštění aplikace, která je většinou umístěna do „chráněného“ prostředí (sandbox). Zvláštní

pozornost

je

ale

potřeba

věnovat

dopadům

volby

jednotlivých

technologických řešení. Je patrné, že přímá instalace aplikací do virtuálních desktopů bude mít přímý dopad na kapacitní plánování VDI infrastruktury, použití virtualizace má tento dopad minimální, streamování omezený, nicméně obě tyto technologie vyžadují další serverovou infrastrukturu, speciální produkty a licence. 23

2.5.3 Využití konceptu Gold image Gold image představuje instalaci specifického operačního systému a vybrané skupiny aplikací, pokrývající potřeby dostatečně široké uživatelské skupiny. Představuje virtuální disk, ze kterého může být zaveden operační systém do virtuálního stroje, vytvořeného pro autorizovaného uživatele v rámci desktopové virtualizační platformy. Jsou z něj následně i spouštěny předinstalované aplikace. Pro potřeby organizace je běžné a dostačující vytvoření a použití jednotkových množství gold image. Další, jemnější přizpůsobení virtuálních desktopů lze totiž následně provést jinými nástroji (politiky, virtualizované/streamované aplikace apod.). Instalace a úpravy gold image se provádí ve zvláštním režimu. Virtuální desktop je tak pro skupinu uživatelů opakovaně vytvářen startem ze shodného gold image, který se při práci uživatele nikdy nemění. Změny způsobené uživatelem, pokud jsou vůbec přípustné, jsou zapamatovány mimo gold image jako tzv. přechodný (tranzientní) stav. Aktuální stav disku uživatele je tvořen složením gold image a přechodné části.

2.5.4 Uchování nastavení a dat uživatele Virtualizační infrastruktura může zajišťovat i připojení dalšího uživatelského disku, na který lze umístit specifická uživatelská nastavení a data. Pro tento účel lze ale využít i jiných technologií, specifických pro použitý operační systém virtuálního desktopu (například cestovní profily24 pro operační systémy Windows). Podle účelu použití virtuálního desktopu může, ale nemusí být potřebné, aby byla uživatelská data a nastavení po ukončení běhu virtuálního desktopu systémem uchována pro další připojení uživatele. Proto se většinou současně s definicí Gold image určuje i požadavek na způsob správy dat uživatele.

2.5.5 Modely virtuálního desktopu Při definici virtuálního desktopu většinou určujeme budoucí chování z pohledu zachovávání či potlačování změn mezi jednotlivými přihlášeními uživatele. Terminologicky je virtuální desktop, u kterého je po přihlášení stav operačního systému a aplikací vždy přebírán z Gold image, označován jako dynamický. Uživatelské změny, i když mohou být 24

Cestovní profil je uložený uživatelský účet na serveru. Při přihlášení se načte každému uživateli jeho vlastní uživatelský účet. V tomto případě nejsou uživatelé limitování konkrétním desktopem. 24

umožněny, se tak nezachovají. Naopak, pokud je zachování změn povoleno, je gold image použit pro vytvoření úvodního virtuálního desktopu, veškeré změny jsou uchovány a při dalším přihlášení zahrnuty. Takový desktop bývá označován jako statický. V oblasti uchování uživatelských profilů a dat je podobná, nicméně řeší se zachování dat mezi přihlášeními. Situace, kdy se data zachovávají, bývá označována jako perzistentní model, opačná situace jako neperzistentní model. Pro běžné pracovní prostředí uživatele je považováno za optimální kombinace dynamického desktopu a perzistentních dat. Pro aplikace typu „kiosek“ je vhodný model dynamického desktopu a neperzistentních dat.

2.6 Začlenění VDI řešení do existujícího prostředí Systémy pro virtualizaci desktopů se málokdy staví na „zelené“ louce a většinou se začleňují do existujícího řešení. Při návrhu VDI prostředí se řeší i požadavky, které mají přímou vazbu na existující infrastrukturní systémy a služby. Patří sem zejména: Správa uživatelů (LDAP25, MS Active Directory26,...) Síťové služby (LAN27, WAN28, VPN29, firewaly30,...) Systémy pro ukládání dat (SAN31, NAS32, souborové servery33) Systémy pro zálohování a archivaci dat (D2T34, D2D35, Virtuální páskové knihovny36)

25

LDAP (Lightweight Directory Access Protocol) je protokol pomocí, kterého pracujeme se záznamy uložených na adresářovém serveru. 26 MS Active Directory je adresářová služba LDAP od společnosti Microsoft. Pomocí této služby můžeme centrálně spravovat uživatelské účty. Mezi funkce například patří hromadné nastavení přístupových práv a instalace programů. 27 LAN (Local Area Network) je místní počítačová síť, která pokrývá menší prostředí. Může se jednat o budovu nebo skupinu budov. 28 WAN (Wide Area Network) je rozsáhlá počítačová síť, která může pokrývat celá města, regiony a kraje. 29 Pomocí VPN (Virtual Private Network) můžeme vytvořit šifrované spojení mezi několika zařízeními (desktopy, servery) přes veřejnou počítačovou síť. Jde o bezpečné propojení. 30 Firewall dohlíží na tok dat mezi sítěmi, které od sebe navzájem odděluje. Nebo mezi počítačem a vnější sítí. 31 SAN (Storage Area Network) je vysokorychlostní datová síť, která slouží k propojení různých zařízení sloužících k přenosu velkého množství dat. Většinou se jedná o disková pole, pásková záznamová zařízení a datové servery. 32 NAS (Network Attached Storage) je úložiště, které je připojeno k síti. Většinou se jedná o několik vzájemně propojených pevných disků. 33 Souborový server (File Server) slouží k centrálnímu ukládání a zpřístupnění souborů. 34 D2T (disk-to-tape) zálohování probíhá z disku přímo na pásku. Dříve byl tento způsob velice populární. V dnešní době se od něho již odstupuje. Hlavním důvodem je nespolehlivost. Pásková mechanika se nedokáže spolehlivě přizpůsobit měnícímu se datovému toku. Tím dochází k opakovanému záznamu a následnému opotřebení pásky. 25

Existující virtualizační prostředí a nástroje (VERDE, ThinApp, Horizon) Systémy pro monitorování a správu infrastruktury (Nagios37, Centreon38) Intranetové aplikace39, nástroje pro správu aplikací40 Aktivní řízení bezpečnosti41, bezpečnostní pravidla42

Zavedení VDI infrastruktury je vždy projekt s dlouhodobější perspektivou. Volba samotného VDI řešení může být silně ovlivněna již tím, že je v infrastruktuře využíváno určité řešení (např. specifické virtualizační řešení). Vždy je výhodné maximálně využít již existujících služeb a řešení zavádět s minimálními dopady do zavedených a osvědčených řešení. V každém případě je ale namístě posoudit i perspektivu dílčích řešení a požadavky v dlouhodobějším horizontu.

2.7 Klientská zařízení pro přístup k virtualizovaným desktopům Klientská zařízení pro přístup do VDI infrastruktury lze rozdělit do těchto základních skupin: Osobní počítač s operačním systémem Windows, Linux nebo Mac OS X Chytrý telefon nebo tablet s operačním systémem Android, iOS nebo Windows Tenký klient Speciální a ostatní (kiosky, dosud málo rozšířené mobilní platformy apod.)

35

D2D (disk-to-disk) je zálohování z disku na disk a poté na páskové zařízení. Velkou výhodou je, že díky uchovávání dat na disku jsou tyto data celkem rychle k dispozici. 36 Virtuální páskové knihovny (Virtual Tape Library – VTL) nahrazují klasické zálohování na pásky. Jejich velkou výhodou je, že odstraňují většinu nedostatků klasického zálohování na pásky. Zároveň je zde možnost provést zálohu pomocí páskového zařízení. 37 Nagios je open source produkt, pomocí kterého můžeme monitorovat IT infrastrukturu (aplikace, hardware, operační systémy) 38 Centreon je grafická nadstavba Nagiosu. Nabízí především lepší grafické uživatelské rozhraní (grafy, logy, statistiky). 39 Intranetové aplikace jsou většinou webové servery, které umožňují používat svoje služby širokému počtu zaměstnanců (helpdesk, poštovní servery). 40 Nástroje pro správu aplikací monitorují dobu odezvy aplikace napříč celou infrastrukturou. Tento způsob umožňuje předejít spoustě problémům s aplikacemi. 41 Aktivní řízení bezpečnosti spočívá v předcházení bezpečnostních hrozeb. 42 Bezpečnostní pravidla stanovují jakým způsobem se mají zaměstnanci chovat, aby neohrozili bezpečnost firmy. 26

Každá z uvedených skupin zařízení má své zvláštnosti. Z pohledu uživatele se odlišují zejména komfortem práce s virtualizovaným desktopem a možnostmi sdílení lokálních periferních zařízení. Při rozsáhlejším nasazení v rámci organizace k tomu přistupují i odlišnosti z pohledu investiční náročnosti, životnosti, spotřeby energií a spravovatelnosti. Významné mohou být i licenčními požadavky, zejména pokud se přistupuje na virtuální desktop s desktopovým operačním systémem Windows.

2.8 Licencování virtualizovaných desktopových operačních systémů Zde bych se chtěl věnovat především společnosti Microsoft a jejich operačnímu systému MS Windows. Je to z toho důvodu, že má největší zastoupení na trhu operačních systémů. Společnost Microsoft měla dlouhou dobu nejasnou politiku licencování virtuálních operačních systémů. To vše se změnilo s příchodem Windows Vista. Microsoft zde umožnil používat licenci Windows Vista Enterprise Centralized Desktop (VECD). Tuto licenci lze použít jak pro místní, tak centrální správu virtuálního počítače. Nyní Microsoft nabízí dvě možnosti jak licencovat jejich operační systém. Tyto licenční podmínky jsou platné od 1. července 2010. Tyto dvě možnosti jsou téměř stejné, ale každá je určena pro jiný způsob použití. První možností je Software Assurance. Tato možnosti v sobě obsahuje tyto výhody: Výhodný přechod na nové verze produktů. Jednotlivé nákupy licencí se sčítají. To umožňuje přístup ke slevám, které jsou poskytovány pouze při hromadném odběru licencí, i když podnik není velkoodběratel. Dostupné on-line školení a také přístup k výukovým materiálům společnosti Microsoft.

Tuto volbu může využít každý, kdo uzavže smlouvu Open Licence. K této smlouvě je ještě dodatek License and Software Assurance Package (L&SA), který umožňuje následující dva roky bezplatný přechod na novější verzi produktu. Cena Software Assurance na dobu jednoho roku je procentuálně určena z ceny nové licence.

27

Tabulka 1:Procentuální vyjádření z ceny (podle 1):

29%

Aplikace (Office, FoxPro, Project, Visual Studio)

29%

Operační systémy (Windows 7,8)

25%

Servery (Windows Server 2008/2012, Exchange server 2008/2012, SQL Server 2008/2012)

Sledování výdajů ve firmě ukázalo, že se firmám vyplatí přejít na Software Assurance. Je tedy výhodnější platit paušálně určitou částku než kupovat nové verze ,,krabicových“ vydání. Další licenční možností je Windows Virtual Desktop Access (VDA). Tato možnost se používá hlavně v případě použití tenkých klientů. Jde o tříleté předplatné pro zařízení, ze kterých budeme přistupovat k virtualizovaným desktopům. Licenční politika, která pokrývá Software Assurance, je zde téměř totožná. Navíc pro hlavního uživatele (firmu) platí tato pravidla: Hlavní uživatel má právo určit, z jakých zařízení lze k virtuálním desktopům přistupovat. Licenci lze zakoupit i pro jiná zařízení, která nejsou v majetku firmy. Může jít např. o domácí počítače zaměstnanců. V obou případech se kupuje licence pro koncové zařízení, ze kterého budeme přistupovat k virtuálnímu desktopu. V dokumentu Windows Licensing for VDI od společnosti Microsoft jsou přehledně zhodnoceny oba přístupy. Z tohoto zhodnocení vyplývá, že se firmám v případě zavedení VDI do firmy vyplatí pořídit si Software Assurance. Nabízí lepší cenu a také větší možnosti v případě zpřístupnění virtualizovaných počítačů zaměstnancům i firmám, se kterými probíhá například spolupráce na projektech.

V případě hromadného nákupu licencí od společnosti Microsoft bych chtěl ještě zmínit, jaké typy multilicenčních smluv se nabízejí.

Od této společnosti lze pořídit tyto druhy multilicencí: OEM (Original Equipment Manufacturer) 28

FPP (Full Package Product) Microsoft Open License (OLP) Microsoft Select a Enterprise Agreement (EA) Open Value (OLV)

OEM (Original Equipment Manufacturer) Tento software se nejčastěji pořizuje s nákupem počítačové sestavy nebo serveru. Je vázán na konkrétní hardware. Je zde velmi malý výběr softwaru, který lze takhle pořídit. Cena tohoto softwaru je zahrnuta v ceně hardwaru. Tato licence se nejčastěji váže na základní desku. V případě jejího poškození je možnost ji vyměnit, ale ztrácíme tím platnost naší licence. Poté musíme zakoupit novou licenci. Velkou výhodou je, že cena bývá mnohonásobně menší než při zakoupení plnohodnotné licence.

FPP (Full Package Product) Zde se jedná o klasickou ,,krabicovou“ verzi. Velkou výhodu je, že se neváže na konkrétní hardware. V případě, že původní osobní počítač přestane fungovat, můžeme vzít jiný osobní počítač a nainstalovat tento software na něj. Cena bývá poměrně vysoká, ale uživatel získá většinou slevu, pokud chce přejít na novější verzi.

Microsoft Open License (OLP) Jde o multilicenční smlouvu, která zákazníkovi poskytne slevu na produkty společnosti Microsoft. Většinou se uzavírá minimálně na dobu dvou let. Tuto licenci lze pořídit pro fimu, která má např. jen 1 – 2 osobní počítače až po firmu, která jich vlastní i několik stovek. Zákazníkovi je přiděleno jedinečné identifikační číslo, které po dobu platnosti smlouvy používá. Je zde umožněna průběžná platba za produkty společnosti Microsoft. Jsou zde dvě možnosti volby, jakou licenci si zákazník může pořídit a to OLP NL nebo OLP C.

OLP NL 29

Podmínkou je minimálně pět licencí při prvním nákupu. Produkty mohou být zvoleny ze tří bazénů.

OLP C K získání této licence je potřeba získat 500 bodů v jednom bazénu kvality. Nyní vysvětlím, čemu ve společnosti Microsoft říkají bazény. Microsoft rozdělil jejich produkty do tří skupin (podle dát stránku):

Aplikace (Office, Visio, Project atd.) Servery (Windows Server, SQL, Exchange Server, Sharepoint Server atd.) Operační systémy (desktopové operační systémy z řady Microsoft Windows)

Jednotlivé produkty jsou obodovány a při koupi se body sčítají. Jako příklad uvedu (podle dat odkaz): Office 2013 = 2 body Windows 7 = 2 body Windows Server 2012 = 15 bodů

Je tedy možnost produkty z jednotlivých bazénů kombinovat, abychom docílili požadovaného počtu bodů.

Microsoft Select a Enterprise Agreement (EA) Microsoft Select je multilicenční smlouva, která se uzavírá pro firmu s více než 500 počítači. Velkou výhodou je, že pokud má společnost pobočky i v zahraničí, tak se všechny licence sčítají. To umožňuje společnosti snáze dosáhnout tohoto partnerství. Enterprise Agreement je verzí smlouvy Microsoft Select. Je určena pro firmu s více než 250 počítači. Umožňuje využívat slev na produkty a provádět platbu v rámci poplatku z jednotlivého počítače. 30

Open Value (OLV) Tato smlouva je určena pro menší firmy. Za licence k softwarovým produktům se platí ve formě splátek. Po zaplacení všech splátek získá zákazník licenci do osobního vlastnictví. Do smlouvy nemusíme zahrnout všechny počítače ve firmě. Pokud se rozhodneme pro smlouvu, do které zahrneme všechny počítače ve firmě, tak uzavřeme smlouvu Open Value Company Wide (OLV CW). Smlova, ve které budou zahrnuty jen některé počítače, se jmenuje Open Value Non-Company Wide (OLV NCW). Cenově vychází levněji smlova pro všechna PC ve firmě, a to až o 10 %.

Společnost Microsoft umožňuje také pronájem softwaru. Zde existují dvě varianty smlouvy Open Value Subscription (OVS) a Enterprise Agreement Subscription (EAs). Výhodou je, že software je vždy aktuální a množství licencí se může podle potřeby měnit. Open Subscription License je určena firmám, které mají minimálně 5 počítačů. Enterprise Agreement Subscription (EAs) je určena pro firmu s více než 250 počítači.

2.9 Virtualizace aplikací pro virtuální desktop Další zajímavou oblastí je virtualizace aplikací (AppV - Application Virtualization). Zde dochází k vytvoření virtualizační vrstvy nad operačním systémem. Obrovskou výhodou tohoto řešení je, že operační systém je chráněn před jakýmikoliv zásahy, které by aplikace provedla při své instalaci. Dochází pouze k vytvoření snímku spuštěné aplikace. Díku tomu může být aplikace přístupná velkému počtu uživatelů bez nutnosti opětovné instalace. Aplikaci stačí většinou pouze zkopírovat do profilu uživatele. Produkty se rozdělují do dvou základních kategorií. První skupinu tvoří produkty, které používají streamovací technologie. Do druhé skupiny patří aplikace, které nevyžadují agenty.

2.9.1 Virtualizace aplikací vyžadující agenty Do této skupiny patří streamovací technologie

31

Microsoft Application Virtualization (MAV) XenApp Software Virtualization Pro

Microsoft Application Virtualization (MAV) Uživatelé mohou díky této aplikaci používat aplikace bez nutnosti jejich instalace. Jejich zpřístupnění probíhá dynamicky v případě potřeby (na vyžádání). Tato aplikace může být použita na stolních počítačích, noteboocích a terminálových serverech. Tento produkt v sobě obsahuje sada Desktop Optimization Pack for Software Assurance. Tato sada je k dispozici jako předplatné pro zákazníky Software Assurance. Umožňuje zjednodušené nasazení aplikací a zlepšení jejich kompatibility s operačním systémem MS Windows.

XenApp Jejím tvůrcem je společnost Citrix, která umožňuje virtualizaci aplikací a také virtualizaci prezentační vrstvy na straně klienta i serveru. Podporuje pouze operační systém MS Windows. Princip fungovaní je end to end43.

Software Virtualization Solution Pro (SVS) Umožňuje pro každou aplikaci založit novou vrstvu. Toto opatření je účinné proti zmatku v registrech. Použití této aplikace také zvýší stabilitu jednotlivých aplikací.

2.9.2 Virtualizace aplikací nevyžadující agenty ThinApp

43

Operace komunikačního protokolu by měly být provedeny buď v samotném koncovém bodě (v našem případě pracovní stanici). Nebo co nejblíže tomuto zařízení. 32

Toto řešení pochází od společnosti VMware. Umožňuje izolovat aplikace od operačního systému. Velikou výhodou je, že v případě provozu vice operačních systémů se nám velice zjednoduší používání jednotlivých aplikací na různých verzích. V případě instalace jednotlivých aplikací můžeme vytvořit jednotný soubor .msi nebo .exe. Tyto soubory jsou běžně používány k instalaci v operačních systémech Windows. Tedy není poté problém je na různých verzích nainstalovat. Výhoda tohoto řešení je také v tom, že nainstalované jednotlivé aplikace jsou navzájem od sebe izolované. V případě, že používáme více verzí stejného programu jako je např. MS Office 97, 2003, 2007 nebo Internet Explorer. Tak při instalaci do operačního systému každá verze provede svoje potřebné změny. Při použití tohoto řešení nejsou žádné změny v operačním sytému provedeny. Tato výhoda se také hodí při použití aplikací, které mohou způsobovat bezpečnostní rizika nebo mají slabiny, které může útočník využít. Z hlediska bezpečnosti bych zde také zmínil výhodu, která spočívá ve striktním nastavení, jaké aplikace může jaký uživatel používat. Zde není pouze výhodou, že uživatel nebude moci používat aplikace, které nepotřebuje. Zde bych chtěl především upozornit na riziko neznalých uživatelů ve firmě, kteří by mohli začít provádět úpravy v oblastech, kde nemají co dělat. Bylo by celkem nepříjemné, aby např. skladník začal upravovat mzdy zaměstnanců. Také jde zde velká výhoda v tom, že je velice snadné kontrolovat kolik uživatelů bude mít k aplikacím přístup. Tato kontrola je velice výhodná z hlediska licenční politiky. V popsaných řešeních je vidět, že řešení od společností VMware nevyžaduje nainstalování agentů na koncovém zařízení. Velkou výhodou tohoto řešení je velká přenositelnost aplikací. I v případě, že se rozhodneme pro řešení s použitím agenta, tak to není o mnoho komplikovanější cesta. Naopak použití klientů umožňuje větší kontrolu aplikací. Mezi další předností virtualizace aplikací je, že aplikace nedělají žádné změny v operačním systému. Tato výhoda velice usnadní práci správcům IT v době, kdy číhají mnohé bezpečností hrozby na každém kroku. Další výhodou je možnost spustit aplikace nezávisle na verzi operačního systému Windows. Tohle umožňuje vrstva virtualizace aplikací, která zajišťuje komunikaci mezi virtualizovanou aplikací a operačním systémem Windows. V zásadě stačí jednou aplikaci virtualizovat a poté jí libovolně přenášet mezi jednotlivými verzemi Windows.

33

3 Výběr virtualizačních nástrojů Předchozí části práce byly zaměřeny na seznámení s tím, jaké okruhy problémů může VDI technologie pomoci řešit a zároveň jaké technické principy využívá. Tato část je zaměřena na výběr vhodného nástroje pro tvorbu VDI prostředí. Pokud shrneme závěry z úvodních částí, zjistíme, že o nasazení VDI řešení rozhodují především ekonomické aspekty. Výběr konkrétního VDI řešení bývá výsledkem důkladné analýzy, jak řešení splňuje technické a bezpečnostní požadavky, ale zároveň i nákladů, které budou spjaty s jeho implementací, provozem a údržbou. Hlavně v posledních letech se klade velký důraz i na optimalizaci struktury nákladů. Možnost nakupovat IT služby umožňuje snižovat nejen přímé investiční náklady, ale částečně i náklady provozní. Tento postup, pokud tomu nebrání jiné aspekty, je možné uplatnit i při řešení virtualizace desktopů. Při výběru se běžně vyhodnocují ukazatele, označované jako TCO a ROI. TCO (Total Cost of Ownership) je zkratkou pojmu "ceny vlastnictví". Obvykle se do ní zahrnují veškeré náklady související s danou technologií. Ukazatel ROI (Return of Investment) udává dobu návratnosti investice. Jakou škálu řešení problémů může nasazení virtualizace desktopů přinést z pohledu zákazníků shrnuje výsledek provedeného průzkumu (původní zdroj Gartner). Zákazníci z firemního prostředí byli dotazováni, jaké tři základní okruhy problémů by chtěli pomocí desktopové virtualizace řešit. Vzniklý seznam tak poměrně dobře reprezentuje typické požadavky. Lze je využít při formulaci a zpřesnění vlastních požadavků na výběr konkrétního VDI řešení.

Požadavky jsou seřazeny sestupně podle procentního zastoupení odpovědí: Zjednodušení správy operačního systému 38,3% Zjednodušení správy aplikací 37,4% Zjednodušení správy koncových stanic 26,1% Připravenost na řešení výpadků (obnova po havárii) 26,1% Bezpečnost dat 22,6%

34

Omezení doby nedostupnosti desktopu uživateli 15,7% Zjednodušení licencování programového vybavení 13,9% Přechod na jiný operační systém 13,0% Celkové snížení TCO 11,3% Snížení TCO v porovnání s použitím běžných osobních počítačů 10,4% Snížení ceny koncových zařízení 10,4% Lepší škálovatelnost 8,7% Sdílení zdrojů 7,0% Zajištění souladu s vějšími předpisy 5,2%

Pokud lze požadavky kladené na VDI infrastrukturu splnit různými produkty, jsou v praxi často upřednostňována ta řešení, která jsou zákazníkovi alespoň dílčím způsobem známa, či částečně používána. To zvýhodňuje dodavatele řešení, která jsou řešena jako nadstavba, nebo rozšíření vlastností jiných rozšířených produktů, například serverových operačních systémů, virtualizace apod. Na druhé straně bývají taková řešení komplexnější a mívají složitější licenční model. V našich podmínkách jsou nejrozšířenější produkty firem Citrix, Microsoft a VMware. S jejich stručnou charakteristikou se seznámíme dále.

3.1 Citrix Firma Citrix nabízí virtualizační platformu pro desktopové operační systémy pod názvem VDI-in-a-box. Vedle toho nabízí i celou řadu podpůrných produktů, usnadňujících přípravu a distribuci aplikací určených pro běžné i virtuální desktopy.

3.1.1 Citrix VDI-in-a-Box (VIAB) Toto řešení má řídící server, který se nazývá vdiManager. Je postaven na linuxové distribuci CentOS. Jde o již připravený systém, který stačí nakopírovat do virtualizačního nástroje. Výhodou je, že toto řešení lze spustit nejen na Citrix XenServeru, ale také na

35

VMware ESXi nebo Microsoft Hyper-V. V případě potřeby je možné velice snadno spojit dohromady více vdiManageru. Této výhody využijeme v případě, když potřebujeme zajistit vysokou dostupnost nebo zvýšit výkon našeho řešení (v případě, že provozujeme více fyzických serverů). Podporované operační systémy, které lze virtualizovat jsou (podle 10): Windows XP SP3, Professional edition (32bit) Windows 7 Service Pack 1 Professional, Enterprise edice (32 i 64bit verze). Red Hat Enterprise Linux 5.x CentOS 5.x Ubuntu 10.x Mac OS 10.6 Podporované hypervisory, na kterých běží virtuální desktopy a vdiManageru jsou (podle 12): Citrix XenServer 5.6 a 6.0 VMware ESXi 4.1 a 5.0 MS Hyper-V 2008 R2 Service Pack 1 3.1.1.1 Licencování Licenci Citrix VIAB lze pořídit v tzv. plovoucím módu. Funguje tím způsobem, že když se připojíme na virtuální desktop, tak je čerpána. Když dojde k odpojení od virtuálního desktopu, tak je tato licence k dispozici jinému uživateli. Je možné si pořídit předplatné, které nám umožní přechod na vyšší verze produktu bez dalších investic. Ke zprovoznění VIAB je zapotřebí nainstalovat tyto tři části: Hypervisor VdiManager VIAB agenta do koncového zařízení

36

VdiManager je virtuální zařízení, v jeho případě tedy není potřeba provést žádnou instalaci. Stačí se podívat na prostředí, v jakém bude vdiManager provozován, a podle toho stáhnout požadovanou verzi vdiManageru, kterou poté stačí jen nakopírovat do konzole. Snadná je také instalace VIAB agenta. Zapotřebí je virtuální stroj, který podporuje řešení od Citrixu. Na něm musí být nainstalovány aplikace pro spolupráci s hypervisorem a povolen vzdálený přístup. Na posledním místě se instaluje VIAB Desktop Agent. Tento agent slouží jako rozhraní a také se přes něj spravuje virtuální počítač. Mezi hlavní výhody tohoto řešení lze považovat:

Velice jednoduchá instalace a konfigurace sníží čas potřebný na zavedení tohoto řešení. VdiManager je virtuální zařízení, tím pádem není potřeba provozovat operační systém, do kterého by se instaloval. V případě některých řešení, které používajá Microsoft Windows Server, je úspora financí značná. Široká podpora v současnosti nejrozšířenějších virtualizačních platforem. To přináší i velkou přenositelnost jednotlivých virtuálních strojů. V případě, že potřebujeme zprovoznit složitější řešení, jako je vysoká dostupnost, přidání dalšího fyzického serveru nebo datového úložiště, je tato procedura velice zjednodušena.

3.1.2 Nástroje na správu aplikací

Zrychlení aplikací pomocí migračních projektů (nástroj: Citrix appdna accelerate application migration projects)

Software CitrixAppDNA nám umožní pohodlnější správu aplikací. Především migraci aplikací mezi jednotlivými operačními systémy a jejich snadnější virtualizaci. Mezi další přednosti patří možnost sestavení aplikačního modelu. V tomto modelu určíme časový 37

harmonogram projektu a obtížnost virtualizace jednotlivých aplikací. Sestavení tohoto modelu nám pomůže při rozhodování o tom, jak s aplikacemi naložíme. Tedy jestli přistoupíme k virtulizaci aplikací, jejich instalaci na koncové zařízení, nebo budeme provozovat aplikace v obojím provedení. Při rozhodování bereme v úvahu především počty zaměstnanců, žádosti o nasazení, rozpočet a zdroje. Tento model rozlišuje obtížnost virtualizace aplikací podle třech barev (červená – obtížné, oranžová - středně obtížné, zelená – snadné). Tvorba virtuálních balíčků (nástroj: Automate application remediation and packaging processes)

Pomocí tohoto nástroje můžeme vytvořit tzv. virtuální balíčky. Tyto balíčky nám velice usnadní další nasazení. Stačí nám vytvořit jeden balíček pro určitou skupinu uživatelů a tento balíček už jen dále kopírovat. Jedná se o kompletní systém, který v sobě obsahuje požadované nainstalované aplikace.

3.1.3 Nástroje pro podporu multimédií

Citrix HDX technologies

Jedná se o sadu technologií, která slouží k dosažení maximálního multimediálního zážitku na koncových zařízeních. Jeho použití je vhodné především v případě, že vlastníme méně výkonná koncová zařízení. Díky tomuto řešení jsme schopni spustit i multimédia náročná na výpočetní a grafický výkon. Technologie HDX

se rozděluje do šesti kategorií podle použitých technologií.

Jednotlivé kategorie mezi sebou navzájem spolupracují, aby dosáhli společně nejlepšího řešení. Jednotlivé kategorie jsou (podle 4):  HDX MediaStream – posílá multimediální obsah v komprimovaném formátu a k přehrávání používá výpočetní výkon koncového zařízení. V tomto případě běží vše jako na klasickém PC.

38

 HDX RealTime – zajišťuje kvalitnější komunikaci v reálném čase pomocí pokročilejší streamovací technologie.

 HDX 3D – umožňuje spouštět náročné 2D i 3D aplikace pomocí softwarového a hardwarového referování44.

 HDX Plug-n-Play – dovoluje snadné připojení lokálních zařízení (např. monitor, tiskárna, myš atd.).  HDX Broadcast – umožňuje spolehlivý a rychlý přenos dat na pomalé sítí.

 HDX IntelliCache – slouží k optimalizaci sítě tím, že data, která jsou náročná na přenosovou rychlost, ukládá do vyrovnávací paměti. Následně jsou tyto data doručována z nejvhodnějšího místa.

Citrix vytvořil HDX Adaptive Orchestration, který umožňuje vzájemnou spolupráci mezi jednotlivými kategoriemi. Sleduje provozní možnosti sítě a zařízení a poté uplatňuje kombinaci Citrix HDX technologií.

3.1.4 Nástroje na ochranu dat

Zabezpečený vzdálený přístup k 3D modelům a 2D výkresům

Zejména průmyslové podniky potřebují sdílet 3D modely a 2D výkresy, které musejí následně jednotliví pracovníci mezi sebou konzultovat. V tomto případě mohou využít klasické cesty, jako jsou e-maily, fyzická média, FTP atd. Tyto způsoby jsou sice spolehlivé pro výměnu dat, ale hůře použitelné ke spolupráci většího množství lidí. Společnost Citrix ve 44

Pomocí referování tvoříme skutečný obraz, jehož podkladem je počítačová předloha. 39

spolupráci s firmou NVIDIA představila řešení, která umožní real-time spolupráci pracovníků a také jdou přes toto řešení sdílet ve vysoké zobrazovací kvalitě materiály. Řešení je založeno na produktech Citrix XenDesktop s technologií HDX 3D Pro.

3.1.5 Nástroje na podporu mobilních uživatelů

Citirix XenClient a XenVault

Tyto produkty se zaměřují na uživatele, kteří používají v práci notebook jak firemní, tak vlastní. V případě vlastního notebooku se bavíme o používaní notebooku v rámci BYOC (Bring Your Own Computer), v překladu to znamená, přines si vlastní počítač. Správcům umožňují využívat všechny výhody centrální správy, jako je tomu u virtuálních desktopů. Virtuální desktop je dostupný i v případě odpojení od serveru, protože je provozován lokálně na desktopu zaměstnance. Hlavní přednosti XenClient (podle 3):

 Mobilita virtuálních desktopů – XenClient je hypervisor, který je provozován na počítači uživatele. Není tedy závislý na neustálém připojení k serveru.

 Centrální správa a volnost uživatele – Umožňuje uživatelům centrální a bezpečnou správu jejich desktopů. Bez nutnosti narušení jejich činnosti. Je možné vytvořit si na desktopu druhý osobní počítač, který bude sloužit k osobním účelům.

 Centralizované zálohování a obnova – V případě odpojení od sítě funguje desktop jako klasický desktop. V případě opětovného připojení dojde k synchronizaci s datovým centrem a následnému načtení nových dat. 40

 Přenositelnost – Obraz desktopu lze přenášet mezi libovolným podporovaným hardwarem. Tato výhoda snižuje nároky především na instalaci a údržbu.  Rozšířená podpora zařízení – Nové verze přinesly podporu i pro tablety a mobilní telefony. U těchto typů zařízení se jedná především o operační systémy iOS a Android. Hlavní přednosti XenVault (podle 3):

 Ochrana dat uživatele – Automatické ukládání dat do zašifrované složky.

 Využití XenApp a App-V – XenVault automaticky šifruje všechna data, která jsou vytvořena aplikacemi, které jsou distribuovány pomocí Citrix XenApp.

3.2 Microsoft Společnost Microsoft v této oblasti desktopové virtualizace využívá především tyto technologie a produkty:

Virtual Desktop Infrastructure (VDI) Hyper-V na klientských OS Prezentační virtualizace User Experience virtualizace (UE-V)

Virtual Desktop Infrastructure (VDI) od společnosti Microsoft

41

Jde o sadu technologií, která umožňují centralizovanou správu IT prostředí jak virtuálních, tak fyzických počítačů.

Hyper-V na klientských OS

S novou verzí operačního systému Windows 8 přišlo několik novinek. Verze operačního systému Windows 8 Pro a Windows 8 Enterprise obsahují klientskou verzi hypervizoru Hyper-V. Klientská verze hypervizoru je plně kompatibilní s verzí používanou na serveru. Umožňuje tedy přenos virtuálních desktopů mezi jednotlivými verzemi.

Prezentační virtualizace

Tato virtualizace využívá služby Vzdálené plochy (Remote Desktop), která je standardní součástí Windows Serveru. Pomocí této služby se lze připojit přímo k operačnímu systému, který je provozován na serveru.

User Experience virtualizace (UE-V)

Pomocí této technologie můžeme měnit hardwarové části bez toho, abychom museli znovu konfigurovat software.

V oblasti virtualizace aplikací se používají technologie z nabídky Microsoft Application Virtualization.

Umožňují izolovat provozované aplikace od operačního systému. Mezi hlavní výhody patří snadnější nasazení a správa jednotlivých aplikací. Při použití této technologie můžeme používat aplikace i na operačních systémech, které nejsou na operačním systému podporovány.

42

V případě, že potřebujeme virtualizovat mnoho počítačů v datacentru, tak pro tuto možnost je určen produkt Hyper-V cloud. Jedná o privátní cloud. Další možností je použití Windows Azure. V tomto případě dojde k pronajmutí virtuálních serverů v cloudu Microsoftu.

3.3 VMware Horizon Firma VMware je po řadu let na špici vývoje virtualizačních nástrojů pro serverovou infrastrukturu. Řadu nástrojů vyvinutých pro tuto oblast s úspěchem využila i ve vlastním řešení virtualizace desktopů. Rodinu virtualizačních nástrojů nabízí pod označením Horizon.

VMware Horizon Platforma Vmware Horizon Suite obsahuje technologie, které zajišťují propojení různých zařízení. Je kladen velký důraz na bezpečnost a kontrolu nad IT. Toto řešení se skládá z produktů VMware Horizon Workspace, VMware Horizon View a VMware Horizon Mirage.

VMware Horizon Workspace Umožňuje IT oddělení centrálně spravovat virtualizované prostředí. Můžeme pomocí tohoto řešení spravovat aplikace, data a přístupová práva. Veškerá práce probíhá v rámci jedné pracovní plochy. VMware Horizon View Pomocí této technologie můžeme centrálně spravovat fyzické desktopy a umožňuje nám přistupovat k virtuálním desktopům. V případě nutnosti můžeme provozovat náročné 3D aplikace ve virtuálním desktopu. Tuto funkci nám umožní 3D hardwarová podpora grafiky.

VMware Horizon Mirage

43

Rozděluje desktop do logických vrstev. U těchto vrstev se stanoví, kdo bude jakou vrstvu spravovat. Jestli samotný uživatel, nebo IT oddělení. Jednotlivé vrstvy jsou navzájem od sebe izolované. V případě zásahu do jedné vrstvy tento zásah neovlivní jinou vrstvu. Tímto produktem se zlepší podpora pro virtualizaci operačního systému Windows na zařízeních s operačním systémem Mac OS pomocí zdarma dostupného nástroje WMware Fusion Professional.

3.4 Virtual Bridges Verde 7

4 Seznámení s Verde 7 firmy Virtual Bridges Řešení firmy Virtual Bridges teprve proniká na evropský trh a není pro něj dostupných tolik zdrojů a literatury, jako pro ostatní produkty. Vzhledem ke svým vlastnostem je však zajímavou alternativou a proto je mu v této práci věnována zvláštní kapitola a ukázka možné konfigurace pro nasazení v modelové situaci. Český text je tak možné výhodně využít pro podrobnější seznámení.

4.1 Charakteristika produktu Verde 7 Řešení Verde 7 je svým pojetím produkt nejen určený, ale i navržený pro účel virtualizace desktopů. Firma hovoří o produktu jako o řešení typu „vše v jednom“ (all in one), nebo ho charakterizuje jako úplné softwarové řešení (full software stack). Citované vychází z faktu, že produkt byl od počátku navržen pro virtualizaci desktopů, neopírá se ani nevyžaduje žádné další infrastrukturní prvky. Platí rovněž to, že produkt lze plnohodnotně provozovat na jednom jediném fyzickém serveru – samozřejmě s výjimkou funkcí clusteru, kde jsou vyžadovány alespoň dva fyzické servery. Produkt byl projektován s přihlédnutím k nasazení v běžných podmínkách, které zahrnují typickou situaci, kdy organizace má centrum a pobočky. Vedle možnosti vytvoření centrální infrastruktury a přístupu uživatelů z poboček přes WAN sítě, obsahuje řešení i možnost vytvoření pobočkové infrastruktury. Pobočková infrastruktura obsluhuje pobočkové 44

uživatele v místě a s centrální infrastrukturou si speciálním protokolem pouze synchronizuje řídící informace a Gold image. Správa celé infrastruktury se provádí výhradně v centru. Tento model zajištuje kvalitní obsluhu v pobočce bez přímé závislosti na WAN, ta musí pouze zajistit asynchronní synchronizaci zmíněných dat.

Obr. 2: Architektura VERDE Zdroj: MCMANUS, Chris. VIRTUAL BRIDGES. Virtualizace desktopů s produktem VERDE od společnosti Virtual Bridges. Praha, 2014.

Ve verzi 7 přibyla v produktu podpora pro tvorbu řešení pro poskytovatele VDI služeb, umožňující rozdělovat zdroje a dílčí administraci mezi více zákazníků/organizací (multitenancy). Zajímavou vlastností produktu je to, že obsahuje speciálního klienta, určeného pro 32/64bitové osobní počítače. Tento klient po zavedení do počítače (lokální nebo síťový boot) umožní přístup do VDI prostředí. Lze ho například použit na starších vyřazovaných počítačích, kde odbourá nutnost dále licencovat a udržovat operační systém.

45

4.2 Infrastruktura řešení s Verde VDI Základním stavebním blokem je VDI server na 64 bitové Intel platformě, podporující virtualizaci. Řešení ve značné míře využívá open source technologie. Operačním systémem serveru je Linux a jako virtualizační řešení se používá hypervisor KVM. Pro instalaci a provoz plně funkčního VDI prostředí je potřebný pouze jediný server. Pro vytvoření produkčního prostředí, zajišťujícího vysokou dostupnost, lze vytvořit cluster s použitím dvou a více serverů. Podpora clusterového řešení je nedílnou součástí produktu, nevyžaduje pořizování dalšího programového vybavení, ani licencí. Pro provoz clusteru je potřebné zajistit možnost sdílení dat mezi servery clusteru, pro tento účel lze využít sdílené úložiště poskytující NFS45, nebo CIFS46 službu. Další možností je využití clusterového souborového systému GlusterFS47. Za určitých předpokladů pak není nutné mít pro cluster k dispozici externí úložiště.

Obr. 3: Jeden server, dvouserverový cluster s NAS nebo GlusterFS Autor: Částečně upraveno z MCMANUS, Chris. VIRTUAL BRIDGES. Virtualizace desktopů s produktem VERDE od společnosti Virtual Bridges. Praha, 2014.

45

NFS (Network File System) je počítačový protokol, který se používá ke sdílení souborů mezi počítači na síti. CIFS (Common Internet File System) je počítačový protokol, který se především používá ke sdílení dat, tiskáren a portů. 47 GlusterFS je open source souborový systém, který nám umožňuje vytvářet disky, které se nacházejí na více strojích. 46

46

Při začlenění do infrastruktury lze využít možnosti definovat více síťových rozhraní a oddělit rozhraní, na která přistupují klienti (veřejné-public), od rozhraní, na kterých jsou přístupné infrastrukturní služby (sdílená úložiště, adresářové služby, zálohování apod.). Zcela samostatně a odděleně lze řešit rovněž sítě dostupné z virtuálních desktopů. Je podporováno sdružování adaptérů a definice připojení virtuálních sítí (VLAN48). Produkt dovoluje definovat a používat lokální uživatele a skupiny. Tito uživatelé se definují v rámci administračního rozhraní. Tato metoda je ale vhodná spíše pro definování speciálních administračních účtů a případně pro testování. Předpokládá se, že uživatelé se budou autentizovat hlavně s využitím existujících adresářových služeb. Verde dovoluje definovat napojení na více LDAP serverů a MS Active Directory serverů.

4.2.1 Základní role serveru Při instalaci serveru se stanoví, zda se jedná o server centra, nebo pobočky. Toto nastavení ovlivní způsob synchronizace řídících dat a Gold image.

Obr. 4: Konzole VERDE serveru - konfigurační obrazovka serveru Zdroj: Výstup z programu

48

Pomocí VLAN (Virtual Local Area Network) můžeme rozdělit síť na logické části. Toto rozdělení nezávisí na fyzickém uspořádání sítě. 47

Obr. 5: Konzole VERDE serveru - konfigurace pobočkového serveru Zdroj: Výstup z programu

Dále se stanoví role serveru ve VDI infrastruktuře. Cluster Master – server může řídit cluster Management Console – na serveru může být spuštěna administrační konzole VDI server – na serveru lze spouštět virtuální desktopy Gateway – server slouží pouze jako brána do VDI prostředí v DMZ

Tato nastavení rolí určí, jaké hlavní softwarové komponenty budou na serveru aktivně používány. Server může vybrané role kombinovat (může plnit více rolí současně). Serverům clusteru se typicky přidělují prvé tři uvedené role, každý ze serverů je pak schopen zpracovávat požadavky, spouštět virtuální desktopy a převzít roli řízení clusteru. V clusteru má aktivní roli řízení clusteru pouze jeden server, ostatní servery v této roli čekají a v případě výpadku mohou aktivní roli převzít. Role se serveru přiřadí bezprostředně po instalaci při prvotní konfiguraci. Toto nastavení se provádí z konzole serveru:

48

Obr. 6: Konzole VERDE serveru – výběr role Zdroj: Výstup z programu

4.3 Softwarové komponenty řešení Produkt Verde se skládá ze softwarových komponent, určených pro servery VDI infrastruktury a pro klienty.

4.3.1 Serverové komponenty Connection Broker Komponenta zpracovává požadavky na nová sezení přicházející z klientských zařízení a ve spolupráci s řídící komponentou clusteru dále je přesměrovává na určený server. VDI node Komponenta zajišťuje řízení běhu virtuálních desktopů. Podle požadavků spouští a ukončuje běh virtuálních desktopů. O stavu a aktuální zátěži informuje řídící komponentu clusteru. Cluster Master

49

Komponenta řídí běh clusteru, monitoruje stav VDI infrastruktury. Na základě zatížení členů clusteru a s uplatněním dalších konfiguračních pravidel rozděluje příchozí požadavky na členy clusteru. Management Console Zpřístupňuje a umožňuje upravovat konfiguraci VDI prostředí. Dynamicky vytváří informaci o aktuálním provozním stavu serveru a dovoluje provozní správu prostředí včetně uživatelských sezení. Veškeré interakce se provádí vzdáleně pomocí webového prohlížeče. Gateway Speciální komponenta určená výhradně pro případ, kdy je požadováno předsunutí vstupní brány do VDI prostředí, včetně vstupní autentizace a autorizace, do demilitarizované zóny (DMZ). Storage Optimizer with Cache I/O Základním účelem komponenty je zajištovat „inteligentní“ využívání vyrovnávacích pamětí. Verde využívá koncept rychlé interní diskové cache v každém serveru. V prostředí clusteru jsou Gold image umístěny na sdíleném úložišti. Jen ty Gold image, které jsou na serveru potřebné, jsou do interní cache zkopírovány a dále už jen synchronizovány se sdíleným úložištěm. Obsluha uživatelských požadavků (spouštění virtuálních desktopů) pak probíhá z interní cache a nezatěžuje sdílené úložiště. V interní cache serveru se ukládají i provozní změny, které není třeba „zapamatovat“ pro další sezení (dynamické desktopy). Tento koncept radikálně snižuje požadavky na sdílené úložiště a zároveň nevyžaduje zálohování jednotlivých VDI serverů. SmartSync protokol Protokol je navržen speciálně pro synchronizaci konfiguračních informací a Gold image mezi centrem a pobočkami. Optimalizace pro WAN sítě zajišťuje vyšší odolnost proti výpadkům. Protokol zajišťuje i přenosy některých provozních informací pro centrální správu.

4.3.2 Komponenty pro klienty User Console a Verde Tools Pro přihlášení do Verde VDI lze použít internetový prohlížeč s podporou Java. Prohlížeč umožní instalaci doplňkových komponent (např. podpory komunikačních

50

protokolů), otestování kompatibility doplňků a následně spuštění vybraného virtuálního desktopu. VERDE client Je samostatnou klientskou aplikací, dostupnou pro klientské počítače využívající operační systémy MS Windows, Linux a MacOS X. Aplikace umožní přihlášení do VDI infrastruktury, výběr a následně spuštění virtuálního desktopu. Leaf Legacy, Leaf Zero Speciální klient je určen pro 32 nebo 64bitové osobní počítače na platformě Intel. Klient je k dispozici ve dvou verzích. „Legacy“ verzi lze nainstalovat a spouštět z pevného disku počítače, případně z přenosného flash disku. „Zero“ verzi lze pomocí externího PXE serveru zavést do počítače po síti. Poznámka: Firma Virtual Bridges za určitých podmínek nabízí zákazníkům i speciálního „Managed“ Leaf klienta. Tento klient je schopen synchronizovat si Gold image a uživatelská data s VDI infrastrukturou a uživatel může pracovat s virtuálním desktopem i v nepřipojeném stavu. Osobní počítač musí podporovat virtualizaci, pro synchronizaci je použit SmartSync protokol.

4.4 Instalace Verde VDI prostředí Instalace produktu je v zásadě možná dvěma způsoby. Je možné použít distribuci VERDEOS, která po zavedení (možnost CD/DVD, případně i PXE boot) umožní asistovanou instalaci (jednoduchou nebo pokročilou). Tato distribuce využívá 64 bitový serverový operační systém Centos 6.4. Po instalaci je třeba z konzole serveru provést základní nastavení serveru (role, adresy). Toto nastavení se provádí interaktivně přes jednoduchá textová menu. Pokud zákazník využívá jiných serverových distribucí, může pro instalaci produktu použít distribuci ve formě RPM nebo DEB balíčků. Instalace a příprava serveru musí splňovat stanovené požadavky. Jsou podporovány tyto 64bitové serverové distribuce: Ubuntu 10.04 and 12.04 SUSE Linux Enterprise Server (SLES)11 SP2 Red Hat Enterprise Linux (RHEL) 6.4 Server Community Enterprise Operating System (CentOS) 6.4 51

Při přípravě clusteru se instaluje první server a konfiguruje se tak, že jeho data jsou uložena na sdílené úložiště. Cluster vznikne napojením dalšího serveru (respektive dalších serverů) na toto sdílené úložistě.

4.5 Virtuální desktopy v prostředí Verde 4.5.1 Podporované operační systémy pro virtuální desktop Pro tvorbu virtuálního desktopu jsou podporovány vybrané desktopové verze operačního systému MS Windows. Kromě desktopových jsou podporovány i některé serverové verze. Účelem podpory serverových verzí je možnost použití odlišného licencování desktopových licencí a serverových licencí při použití virtualizace. Za určitých okolností tak může být výhodné vytvořit virtuální desktop na bázi serverové verze Windows, proto je tato možnost podporována. Podporované verze MS Windows: Windows XP 32bit Windows 7 32/64bit Windows 8, 8.1 Windows Server 2008 32bit, 2008R2 64bit Windows Server 2012

Dále jsou podporovány rozšířenější distribuce operačního systému Linux: RedHat 5.x/6.x, 32/64bit CentOs 5.x/6.x 32/64bit SuSE SLED 11 32/64bit Ubuntu Desktop 10.x/12.x 32/64bit Fedora od verze 14, 32/64bit 52

4.5.2 Komunikační protokoly Pro klientský přístup jsou podporovány speciální protokoly, vyvinuté a optimalizované pro tento způsob interakce. Všechny podporované protokoly v podstatě patří mezi široce akceptované standardy. Pro přístup na virtualizované desktopy s operačním systémem MS Windows lze použít protokol RDP včetně verze 8, nebo protokol Spice. Pro desktopy s operačním systémem Linux je to protokol NX a Spice. Protokoly se odlišují svými vlastnostmi, při výběru je nutné vyhodnotit požadavky a potřeby z oblasti multimédií, napojování klientských periferií a případně i na SSO49 (single sign-on).

4.5.3 Režimy virtuálního desktopu Z hlediska zachovávání uživatelských změn proti stavu Gold image jsou podporovány tyto modely virtuálních desktopů: Dynamický (standardní), neuchovává uživatelské změny. Dynamický (long life), zachová uživatelské změny do aktualizace Gold image. Statický, uchovává trvale veškeré změny proti Gold image. Pool, plně dynamický, neuchovává žádné změny, automaticky ukončí neaktivní sezení po pěti minutách.

4.6 Licenční model Licenční model lze považovat za jednu ze silných stránek produktu. Licencuje se pouze počet uživatelů, přistupujících k produktu konkurenčně. V praxi je nutné licenčně pokrýt maximální počet virtuálních desktopů, které budou ve VDI infrastruktuře současně

49

SSO (single sign-on) jsou systémy, které se zaměřují na zvýšení bezpečnosti při přihlašování do systémů. 53

aktivní, nikoli plný počet uživatelů, využívajících VDI. Licence se nakupuje za plnou cenu na první rok, další roky se hradí pouze udržovací poplatek – podpora. Využitím klastru, rozšířením klastru, či použitím pobočkového modelu nevznikají žádné další požadavky na dokupování softwarových produktů či dalších licencí. V případě infrastruktury sloužící více organizacím/zákazníkům poskytovatel služby zajistí celkové potřebné množství licencí. Rozdělí je poté jednotlivým organizacím, vytvořeným v rámci VDI infrastruktury.

4.7 Ukázka administrace prostředí Verde 7 Administrační rozhraní (Management Console) pro správu prostředí je podřízeno a přizpůsobeno účelu produktu. Vyžaduje pouze podporovaný internetový prohlížeč. Umožňuje konfiguraci, monitorování a řízení provozního stavu desktopové virtualizační infrastruktury jedním rozhraním, kde oprávnění administrátorů jsou řízena přidělenými rolemi. Stav systému lze sledovat na záložce Dashboard:

Obr. 7: Dashboard Zdroj: Výstup z programu

Nastavení systému se provádí na záložce Configuration: 54

Obr. 8: Přehled konfigurace systému Zdroj: Výstup z programu

Možnost

konfigurace

prostředí

VERDE

pro

více

(multitenancy):

Obr. 9: Konfigurace pro více organizací Zdroj: Výstup z programu 55

nezávislých

organizací

Podrobně lze sledovat stav systému na obrazovce reporting:

Obr. 10: Reportování v systému VERDE Zdroj: Výstup z programu

5 Modelové řešení Pro ukázku návrhu VDI řešení byla vytvořena modelová firma s touto chrakateristikou:

5.1 Charakteristika modelové firmy Firma „e-Školení“ poskytuje školící služby v oblasti informačních systémů. Provádí školení koncových uživatelů standardních kancelářských produktů a ekonomického software pro malé a střední firmy. V menším měřítku nabízí rovněž specializované IT kurzy, zaměřené na instalaci a správu různých produktů. Primárně poskytuje instruktory vedená školení ve vlastních učebnách, nebo v místě u zákazníka.

56

Má k dispozici tři vlastní učebny, každou s 12+1 pracovišti vybavenými osobním počítačem. Celková kapacita učeben je 39 pracovišť včetně lektorských. Při školení v místě zákazníka typicky využívá infrastrukturu (školící zázemí) zákazníka. Firma má 4 zaměstnance, kteří na plný úvazek zajišťují marketing, prodej, organizaci a fakturaci kurzů. Dále zaměstnává na plný úvazek jednoho IT specialistu, odpovědného za správu intranetových systémů firmy a údržbu učeben. Školení zajišťuje skupina externích lektorů. Počet smluvních lektorů se pohybuje okolo 20. V odpovědnosti lektorů je i příprava prostředí pro kurzy. Intranetové prostředí pro zaměstnance je vytvořeno s využitím platformy MS Windows, s používáním účtů a autentizace pomocí MS Active Directory. Pracovní data a tiskárny se sdílí na MS Windows serveru, který je používán i pro intranetové aplikace. Server zároveň poskytuje základní síťové služby.

Pro přípravu počítačů učeben a pro podporu školení (účty, autentizace, síťové služby, tisky) je k dispozici další samostatný MS Windows server. Pro zajištění potřeb specifických školení má firma k dispozici několik serverů na platformě Intel. Prostředí pro kurzy je historicky vytvářeno buď specifickou instalací serveru, nebo virtualizací pomocí nástrojů nevyžadujících nákup licence (open source, nebo volné verze hypervizorů).

5.2 Problémy a požadavky 1) Osobní počítače pro zaměstnance i do učeben byly nakupovány postupně, jsou různého stáří a typů. Učebny jsou sice vždy vybaveny jedním typem počítače, ale v případě poruchy nelze v některých případech jednoduše přesunout počítače mezi učebnami. Rovněž obnova a servis jsou organizačně náročnější. Požadavek Konsolidace technického vybavení. Flexibilita koncových zařízení. Snížení náročnosti správy a provozu.

57

2) Operační systémy zakoupených počítačů byly OEM verze MS Windows. Zaměstnanecké počítače byly sice upgradovány na shodnou verzi, nicméně na počítačích učeben jsou původní OEM verze. Většina kurzů tak byla a je připravena pro specifické koncové stanice, což limituje využití učeben. Využívané klonování disků před kurzy je organizačně i časové náročné a limituje využitelnou kapacitu učebny. Metoda přímého zavedení specifického obrazu operačního systému a aplikací (PXE boot) se neosvědčila. Požadavek Odstranit závislost kurzů na verzi MS Windows instalované na klientech. Snížit pracnost přípravy učeben.

3) Optimalizace licenci Analýza ukázala, že pro významnou část školení je dostačující počítač s internetovým prohlížečem. Řada serverových produktů používá multiplatformní klienty. Z těchto důvodů se jeví jako licenčně zajímavá alternativa používat MS Windows pouze tam, kde je to bezpodmínečně nutné, a v ostatních případech používat operační systém Linux. Požadavek Optimalizovat liceční model z pohledu počtu licencí a možnosti použití různých licencí MS Windows. Využít vhodný desktopový operační systém Linux.

4) Příklon zákazníků k využívání Linux desktopu a open source aplikací Trh ukazuje na postupně vzrůstající zájem o desktopová řešení na bázi operačního systému Linux a volných kancelářských balíků. Požadavek Připravit podmínky pro kurzy v těchto oblastech.

5) Zvýšení výtěžnosti učeben Objevuje se zájem o půldenní a večerní kurzy. Zároveň se diskutují možnosti kombinované výuky, tj. část školení v učebně v kombinaci se vzdáleným přístupem, případně 58

plně online kurz s plně virtuální učebnou. Současné technologie přípravy učeben ani kurzů na toto nejsou připraveny. Požadavek Zcela odstranit nutnost fyzické přípravy počítačů na učebnách. Připravit prostředí dovolující studentům absolvovat část kurzu z domova s užitím vlastního zařízení. Připravit prostředí pro plně online kurzy desktopových aplikací s multimediální interakcí s lektorem.

6) Příprava prostředí pro školení u zákazníka Praxe ukazuje, že pokud má zákazník vlastní učebnu, má většinou i dobrou internetovou konektivitu. Požadavek Využití klientských počítačů zákazníka pro online školení z lokality zákazníka. Využití vlastních klientských zařízení pro online školení z lokality zákazníka.

5.3 Základní návrh řešení Po zvážení výše uvedených požadavků bylo rozhodnuto orientovat se na VDI řešení a provést detailnější analýzu, umožňující detailní návrh řešení a výběr konkrétního produktu. Předpokladem je, že řešení bude provedeno ve dvou etapách. V první etapě se budou řešit hlavně požadavky na řešení technických problémů a celkové zpružnění systému, ve druhé etapě pak požadavky rozvojové. Řešení bude vybráno tak, aby bylo schopné rozvoje a pokrýt funkční požadavky řešení obou etap.

5.3.1 Požadavky na Gold image Z analýzy požadavků na virtuální desktopy vyplynuly tyto požadavky: Zaměstnanci max. 5 klientů pro zaměstnance 59

MS Windows 7, MS Office, prohlížeč Mozilla Firefox (přístup do internetu), klienti pro poštu pro intranetové aplikace, antivirový program všechny aplikace instalovány lokálně, předpoklad 30GB uživatelská data se udržují i mezi přihlášeními, 5GB/uživatele autentizace s použitím existujícího systému Active Directory možnost přístupu na existující intranetové MS Windows serverové prostředí (sdílené disky, tiskárny, aplikace) možnost využívat flash disky a clipboard

Cílově se předpokládá jako koncové zařízení tenký klient pro firemní pracoviště, notebook pro mobilní.

Studenti a lektoři - poskytování kurzů Windows desktop max. 26 základních klientů pro kurzy vyžadující platformu MS Windows (uvažuje se souběh nejvýše dvou učeben) MS Windows 8.1 Pro, případně nižší, MS Office, Internet Explorer aplikace instalovány lokálně + možnost dynamické instalace dalších aplikací podle typu kurzu, předpoklad 20GB uživatelská data 2GB, neudržují se mezi přihlášeními autentizace s použitím existujícího systému Active Directory pro školící prostředí možnost přístupu pouze do prostředí určeného pro studenty, jednotná aplikace pro hodnocení kurzu a online testy, jinak přístup na podpůrné školící servery a aplikace podle potřeby kurzu volitelná možnost použít vlastní flash disk Linux desktop

60

max. 26 základních klientů využívajících platformu Linux (uvažuje se souběh nejvýše dvou učeben) Linux Desktop, LibreOffice (nebo OpenOffice), Mozilla Firefox aplikace instalovány lokálně, předpoklad 20GB uživatelská data 2GB, neudržují se mezi přihlášeními autentizace s použitím existujícího systému Active Directory, nebo LDAP pro školící prostředí možnost přístupu pouze do prostředí určeného pro studenty, jednotná aplikace pro hodnocení kurzu a online testy, jinak přístup na podpůrné školící servery a aplikace podle potřeby kurzu volitelná možnost použít vlastní flash disk

Jako VDI klient budou používány současné počítače umístěné na učebnách. Budou nadále využívány v kurzech, kde je nutné pracovat s operačním systémem koncového pracoviště. Mohou ale být postupně nahrazeny tenkými klienty.

Lektoři - příprava kurzů max. 5 speciálních klientů pro přípravu a dílčí správu infrastruktury školícího prostředí MS Windows 7, prohlížeč Mozilla Firefox (přístup do internetu), speciální klienti pro instalaci a správu školící infrastruktury, antivirový program všechny aplikace instalovány lokálně, předpoklad 30GB uživatelská data se udržují i mezi přihlášeními, 5GB/uživatele autentizace s použitím existujícího systému Active Directory možnost přístupu na existující infrastrukturu školícího prostředí možnost využívat flash disky a clipboard

Poznámka: 61

Tento typ klienta může používat až 20 lektorů, ale nepředpokládá se, že více jak 5 současně. Jako VDI klient může být použito vlastní zařízení lektora, nebo klientské zařízení na učebně (osobní počítač nebo tenký klient).

Administrátor (IT specialista)

Předpokládá se, že zaměstnanec (administrátor) bude pro zajištění administračních činností z praktických důvodů (nezávislost na běhu VDI infrastruktury) nadále využívat plnohodnotný osobní počítač.

Dále byl učiněn předpoklad, že pro každý virtuální desktop budou alokovány 2GB operační paměti a 2 virtuální CPU. Tabulka 2:Souhrnně tedy budou celkem 4 Gold image: Gold image

1

2

3

4

Max. současně spuštěných

5

26

26

5

Počet uživatelů

5

26(*)

26(*)

20

Velikost systémového a

30

20

20

30

ne

ne

ne

ne

Velikost uživatelského disku

5

2

2

5

Perzistence uživatelských dat

ano

ne

ne

ano

Správa uživatelů/autentizace

AD

AD

LDAP

AD

aplikačního disku Perzistence systémového a aplikačního disku

(AD)

62

Poznámka

(*) Vzhledem k tomu, že data uživatelů jsou neperzistentní, postačí kalkulovat maximální počet v obsluhovaný v rámci kurzů.

5.3.2 Další požadavky Pro virtualizaci desktopů se předpokládá využití pouze jedné VDI infrastruktury. Musí ale umožnit oddělit provoz a správu vnitřního prostředí (intranet) firmy a současného školícího prostředí a jeho infrastruktury (classnet). Cílově by nemělo činit problém začlenit a zcela samostatně spravovat i prostředí pro internetové kurzy.

5.4 Volba řešení S ohledem na to, že požadavkem i strategickou vizí je vyšší orientace na využívání operačního systému Linux, bylo vybráno řešení Verde firmy Virtual Bridges. Požadavek na oddělení prostředí bude realizován vhodným návrhem síťového prostředí a konfigurací Gold images. K oddělení správy a administračních rolí bude použit koncept více organizací. VDI bude centrálně spravováno zaměstnancem firmy (globálním administrátorem), pro zaměstnance bude vytvořena organizace "Administrativa" a pro provoz kurzů, lektory a studenty organizace "Skoleni". Vzhledem k tomu, že se jedná o kritickou funkčnost jak pro běh firmy, tak i pro poskytování školení, bude VDI realizováno jako klastr s redundancí minimálně jednoho serveru.

5.5 Kapacitní návrh řešení - produkt Verde 7.1 Pro kapacitní návrh řešení byly použity kalkulační tabulky firmy Virtual Bridges. Požadavky na Gold image, požadované parametry pro virtuální počítač (VM) a počty uživatelů jednotlivých Gold image byly zpracovány v předchozí kapitole. Při návrhu se využije součet všech požadavků. VDI řešení tak kapacitně pokryje potřeby pěti zaměstnanců, až čtyř souběžně běžících kurzů (48 studentů a 4 lektoři) a dále až pěti lektorů, připravujících současně kurzy. 63

Při kalkulaci jsou použity další hodnoty, doporučené pro běžné desktopové operační systémy a kancelářské nasazení (IO operace, počet uživatelů na fyzické jádro procesoru). Vzhledem k plánovanému charakteru využití se předpokládá, že pro kapacitní návrh doporučené hodnoty vyhoví. Při návrhu se dále uplatní tzv. "load factor" v doporučené výši 80%. Tento parametr vytváří i určitou rezervu kapacity operační paměti, která je kromě jiného využita i pro spolupráci s vnitřní diskovou vyrovnávací pamětí (disk cache).

Poznámka: Přesný postup výpočtu je popsán v administrační příručce. Vyjma výše uvedeného započítává například i požadavky operačních systémů serverů VDI prostředí a režii (overhead) jednotlivých virtuálních počítačů.

Obr. 11: Výpočet požadavků na VDI servery a sdílené úložiště Zdroj: Výstup z programu

64

Z návrhu je patrné, že na pokrytí poměrně nízkého cílového počtu souběžných (konkurenčních) virtuálních desktopů postačí jeden vhodně navržený server. Požadavek na vysokou dostupnost řešení znamená prakticky zdvojení počtu serverů. Řešení tak má poměrně značnou redundanci, nicméně pro běžný provoz zároveň poskytuje vysokou rezervu výkonu i kapacity. Z tabulky zároveň vyplývá, že pokud bude požadavky obsluhovat pouze jediný server, má stále dostačující rezervu operační paměti (čerpání mírně nad 80%). Pro sdílení dat bude použit klastrový souborový systém GlusterFS. Důvodem jsou poměrně nízké požadavky na kapacitu a IO operace sdíleného úložiště, které je řešitelné v rámci interní diskové kapacity serverů.

Navržená konfigurace VDI serverů: 2 ks rackových serverů (postačuje 1U provedení) Osazení serveru: 2x Intel XEON procesor, 6 jader (celkem 12 core/server) operační paměť 160GB 2x 300GB SAS disk pro interní cache (RAID 0) 4x 300GB SAS disk pro sdílené úložiště klastru/klastrový souborový systém (RAID 10) 4x Ethernet rozhraní 1Gb (VDI služba, GlusterFS, organizační sítě, management)

5.6 Koncept architektury řešení Hrubý koncept architektury řešení je nastíněn na následujícím obrázku:

65

Obr. 12: Začlenění VDI řešení do prostředí firmy e-Školení Zdroj: Autor diplomové práce

VDI řešení dovoluje přístup jak zaměstnanců, tak i studentů a lektorů. Přístup na VDI prostředí je možný jak po vnitřních (LAN) sítích, tak i z internetu. Při přístupu na VDI prostředí je uživatel autentizován vůči adresářové službě a obdrží nabídku virtuálního desktopu (resp. desktopů), které je autorizován používat. Virtuální desktopy pro firemní uživatele se mohou napojit pouze do sítě Intranet administrativa, studentské a lektorské pouze do sítě Intranet školení. Síťové oddělení může být provedeno na úrovni fyzických adapterů i s využitím VLAN – v rámci konceptu záměrně není detailněji řešeno. VDI řešení publikuje své služby na definovaném síťovém rozhraní, pro svou činnost vyžaduje přístup na adresářové služby. Virtuální desktopy, definované pomocí Gold image, zároveň využívají přístup na serverové aplikace a další sdílené prostředky. Konfigurace Gold image tak spolu s oprávněním jeho využití určuje, do jaké sítě, a tím i na jaké aplikace a další prostředky, může jeho uživatel přistupovat. Tím je zajištěno oddělení možností a firemních a externích uživatelů.

66

Poznámka: U zaměstnanců se předpokládá alespoň dočasné zachování možnosti přístupu do vnitřní sítě (Intranet administrativa) pomocí VPN, obdobně i pro lektory za účelem přípravy kurzů do sítě Intranet školení).

67

6 Závěr V práci jsem se snažil popsat a předvést problematiku virtualizace pracovních stanic – desktopů. Do své práce jsem vybíral zajímavé oblasti, které mě oslovili. V představení jednotlivých produktů jsem popsal klíčové vlastnosti jednotlivých produktů. Tyto informace by mohly sloužit jako dobrý průvodce pro případného zájemce o tuto oblast. Na modelovém řešení sem ukázal přímou implementaci produktu VERDE 7. Podle mého názoru je poslední kapitola nejvíce zajímavá. Této oblasti bych se chtěl do budoucna věnovat. Tak pro mě zpracování této práce bylo přínosem.

68

Seznam použité literatury (1) Daquas.cz. In: Licence pro desktopy v datacentrech: VDA, VDI, VECD [online]. 2014 [cit.2014-06-30].Dostupnéz:http://www.daquas.cz/articles/395-licence-pro-desktopy-vdatacentrech-vda-vdi-vecd (2)http://support.citrix.com. System Requirements for VDI-in-a-Box 5.0.2 [online]. 2013 [cit. 2014-06-30]. Dostupné z: http://support.citrix.com/proddocs/topic/vdi-50/vdisystem-requirements.html (3) Versino.cz. Nová verze Citrix XenDesktop s funkcemi XenClient a XenVault [online]. 2013 [cit. 2014-06-30]. Dostupné z: http://www.versino.cz/O-firme/Aktuality/Novavezrze-Citrix-XenDesktop.aspx (4)Lupa.cz. Technologie Citrix HDX přináší kvalitní multimediální prostředí do virtuálních

desktopů

a

aplikací

[online].

2009

[cit.

2014-06-30].

Dostupné

z:

http://www.lupa.cz/tiskove-zpravy/technologie-citrix-hdx/ (5) Zdroj: MCMANUS, Chris. VIRTUAL BRIDGES. Virtualizace desktopů s produktem VERDE od společnosti Virtual Bridges. Praha, 2014 (6) BOUŠKA, Petr. Samuraj-cz.com. In: Adresářové služby a LDAP [online]. 2007 [cit. 2014-06-30]. Dostupné z: http://www.samuraj-cz.com/clanek/adresarove-sluzby-a-ldap/ (7) Businessit.cz. Nejlepší open-source nástroje pro správu IT [online]. 2011 [cit. 2014-06-30]. Dostupné z: http://www.businessit.cz/cz/nejlepsi-open-source-nastroje-prospravu-it-zdarma.php (8) Daquas.cz. Typy multilicenčních smluv Microsoft [online]. 2014 [cit. 2014-06-30]. Dostupné z: http://www.daquas.cz/Articles/246-typy-multilicencnich-smluv-microsoft.aspx (9) Diit.cz. Vyzkoušeli jsme RemoteFX, využití grafiky v serveru na vzdálené ploše [online]. 2012 [cit. 2014-06-30]. Dostupné z: http://diit.cz/clanek/vyzkouseli-jsme-remotefxna-windows-serveru-2012 (10) DSL.cz: SSH – bezpečné používání vzdáleného počítače a kopírování dat. [online]. [cit. 2014-06-30]. Dostupné z: http://www.dsl.cz/jak-na-to/5-site-a-ochrana/232-jakna-ssh 69

(11) Encyklopedie.amapro.cz. In: Roaming profile [online]. 2014 [cit. 2014-06-30]. Dostupné z: http://amapro.cz/encyklopedie/digitalni_technika/roaming%20profile.php (12) G2Server. In: Http://blog.g2server.cz: Privátní nebo veřejný cloud? [online]. 2014,

2014

[cit.

2014-06-30].

Dostupné

z:

http://blog.g2server.cz/produkty-a-

technologie/privatni-a-verejny-cloud/ (13) KRÁTKÝ, Robert. Abclinuxu: Red Hat otevřel protokol SPICE pro virt. desktopy. [online]. [cit. 2014-06-30]. Dostupné z: http://www.abclinuxu.cz/zpravicky/red-hatotevrel-protokol-spice-pro-virt.-desktopy (14) KRAUS, Josef. Zive.cz. In: Nejlepší firewall (nejen) pro Windows [online]. 2013 [cit.

2014-06-30].

Dostupné

z:

http://www.zive.cz/clanky/nejlepsi-firewall-nejen-pro-

windows/sc-3-a-170914/default.aspx (15) Lupa.cz. Technologie Citrix HDX přináší kvalitní multimediální prostředí do virtuálních

desktopů

a

aplikací

[online].

2009

[cit.

2014-06-30].

Dostupné

z:

http://www.lupa.cz/tiskove-zpravy/technologie-citrix-hdx/ (16) RUEST, Danielle a Nelson RUEST. Virtualizace: podrobný průvodce. Vyd. 1. Brno: Computer Press, 2010, 408 s. ISBN 978-80-251-2676-9. (17) Software Ruminations. Microsoft Open Licensing (OLP) [online]. 2013 [cit. 2014-06 30]. Dostupné z: http://richfrombechtle.wordpress.com (18) Systemonline.cz. Citrix zdokonaluje technologii HDX [online]. 2009 [cit. 201406-30].Dostupnéz:http://www.systemonline.cz/virtualizace/citrix-zdokonaluje-technologiihdx-z.htm (19) Technet.microsoft.com. In: Co je VPN? [online]. 2008 [cit. 2014-06-30]. Dostupné z: http://technet.microsoft.com/cs-cz/library/cc731954%28v=ws.10%29.aspx (20) ZAPLETAL, Lukáš. Root. In: Lehký úvod do LDAP [online]. 2000 [cit. 2014-0630]. Dostupné z: http://www.root.cz/clanky/lehky-uvod-do-ldap/ (21) CITRIX. Citrix-appdna-accelerate-application-migration-projects [online]. 2014 [cit. 2014-06-30]. Dostupné z: citrix-appdna-accelerate-application-migration-projects

70

(22) CITRIX. Citrix-hdx-technologies [online]. [cit. 2014-06-30]. Dostupné z: www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/citrix-hdxtechnologies.pdf (23)CITRIX.[online].2014.vyd.[cit.2014-06-30]Dostupnéz www.citrix.com/citrix/en_us/documents/products-solutions/citrix-vdi-in-a-box-productoverview.pdf (24) Citrix. Securing-the-mobile-workspace [online]. [cit. 2014-06-30]. Dostupné z: www.citrix.com/dam/citrix/en_us/documents/products-solutions/securing-the-mobileworkspace.pdf

71

Seznam použitých zkratek DaaS - Desktop as a Service EPEAT - Electronic Product Environmetal Assessment Tool EPA - US Environmental Protection Agency PG&E - Pacific Gas & Electric Company BYOD - Bring Your Own Device USB – Universal Seriál Bus VDI - Virtual Desktop Infrastructure RDP - Remote Desktop Protocol SPICE - Simple Protocol for Independent Computing Environment SSH - Secure Shell LDAP - Lightweight Directory Access Protocol MS - Microsoft LAN - Local Area Network WAN - Wide Area Network VPN - Virtual Private Network SAN - Storage Area Network NAS - Network Attached Storage D2T - disk-to-tape D2D - disk-to-disk VTL - Virtual Tape Library VECD - Windows Vista Enterprise Centralized Desktop L&SA - License and Software Assurance Package VDA - Windows Virtual Desktop Access OEM - Original Equipment Manufacturer 72

FPP - Full Package Product OLP - Microsoft Open License OLV - Open Value EA - Enterprise Agreement OLV CW - Open Value Company Wide OLV NCW - Open Value Non-Company Wide OVS - Open Value Subscription EAs - Enterprise Agreement Subscription AppV - Application Virtualization MAV - Microsoft Application Virtualization SVS - Software Virtualization Solution Pro TCO - Total Cost of Ownership ROI - Return of Investment VIAB - Citrix VDI-in-a-Box BYOC - Bring Your Own Computer UE-V - User Experience virtualizace NFS - Network File System CIFS - Common Internet File System VLAN - Virtual Local Area Network SLES - SUSE Linux Enterprise Server RHEL - Red Hat Enterprise Linux CentOS - Community Enterprise Operating System SSO – Single Sign ON

73

Seznam použitých obrázků Obr. 13: Studie Gartner Group o virtualizaci desktopů Obr. 14: Architektura VERDE Obr. 15: Jeden server, dvouserverový cluster s NAS nebo GlusterFS Obr. 16: Konzole VERDE serveru - konfigurační obrazovka serveru Obr. 17: Konzole VERDE serveru - konfigurace pobočkového serveru Obr. 18: Konzole VERDE serveru – výběr role Obr. 19: Dashboard Obr. 20: Přehled konfigurace systému Obr. 21: Konfigurace pro více organizací Obr. 22: Reportování v systému VERDE Obr. 23: Výpočet požadavků na VDI servery a sdílené úložiště Obr. 24: Začlenění VDI řešení do prostředí firmy e-Školení

74

Seznam použitých tabulek Tabulka 1:Procentuální vyjádření z ceny Tabulka 2:Souhrnně tedy budou celkem 4 Gold image

75