Home > Blogs > VMware Japan End-User Computing Blog

VMware が提供する 3D デスクトップ

皆様こんにちは VMware の七澤と申します。

先日8月末に、米国サンフランシスコで開催された VMworld 2014 にて発表されたトピックを「 VMworld 2014 速報 : EUC 編!!」でご紹介させて頂きました。 その中の一つである「 VMware が提供する 3D デスクトップ」ですが、本稿ではそれらの方式の解説と発表された内容についての詳細をご紹介致します。

VMware が提供する 3D デスクトップとは?

昨今仮想デスクトップの特に 3D アプリケーション の利用シーンでは、以下のような利用ニーズがありセキュリティなどの管理面のみではなく、生産性や利便性の向上を狙った導入が進んでおります。

ワークスタイル変革による生産性向上

・3D アプリケーションを遠隔地から利用 (在宅や常駐先からの利用など)

・工場など従来のワークステーションの利用が厳しい環境での利用

・タブレット端末などを用いた、現場における CAD 図面へのアクセス

管理性向上

・データ流出に対してのセキュリティ強化

・CAD の管理の集中化によるコスト削減

・迅速な障害対応とシステム展開、更新の迅速化

環境・ユーザ利便性向上

・ワークステーションの騒音対策や設置スペースの有効利用

・ ファイルアクセスのレスポンス向上

・レイアウト変更が容易、フリーアドレス化による席数削減

VMware が提供する 3D デスクトップの方式

・リッチ 3D コンテンツを仮想デスクトップで実現可能に

データセンターに配置される仮想デスクトップで、リッチ 3D コンテンツを利用できる事はご存知でしょうか。 VMware では利用用途により、様々な提供方式を用意しております。

利用するコンテンツにより、様々な方式を使い分ける事が出来ます。

 3dg1

Soft 3D – グラフィックカードなしで 3D を実現

ソフトウェアレンダラがアプリケーションへ 3D を提供

vSGA – GPU リソースを複数仮想マシンで共有

最新の vSphere 5.5 で NVIDIA に加えて AMD の GPU をサポート

3dg2

vDGA – パワーユーザー向けの仮想デスクトップ

NVIDIA のグラフィックカードを仮想マシンが専有して使用することで、 ワークステーション並みのユーザーエクスペリエンスを実現

 

3dg3

NVIDIA GRID vGPU – NVIDIA Driver を用いた共有型 GPU

アーリーアクセスプログラムにより提供

NVIDIA GRID の 共有型 GPUによるアプリケーションサポートの拡大

Direct X9/10/11, Open GL 4.4対応

3dg4

 

各方式の特徴及び詳細については、以下よりご確認下さい。

VMware / Google / NVIDIA との協業により Chromebook でも高パフォーマンスのグラフィックを実現

・Google Chromebook 上のブラウザでリッチ 3D コンテンツが現実に

従来は高性能のワークステーション上でなければ稼働させることができなかった高精細の 3D グラフィックは、今や仮想デスクトップ環境においても容易に稼働できる時代が到来しております。

VMware は 2014 年 3 月に NVIDIA の GRID virtual GPU (vGPU) のサポートを発表しておりましたが、この分野において NVIDIA との協業をさらに深めることを発表致しました。

 

3dg6

 

発表された内容は、データセンターやクラウド側の NVIDIA GPU (GRID vGPU)と VMware Horizon、Google Chromebook に搭載されている NVIDIA Tegra K1 プロセッサ、VMware の次世代 Blast Performance の連携です。

またGoogle が提供する Chromebook において、ワークステーション クラスの高性能な3Dグラフィック機能を必要とする、 Windows アプリケーションをクラウド(パブリック、プライベート)からエンドポイントへスムーズかつ省電力で利用できることを目指し、ベータプログラム(テクノロジープレビュー)を開始します。

TECHNOLOGY PREVIEW: END to END Acceleration for CHROMEBOOKS

VMware, Google および NVIDIA のテクノロジーが連携し、3D グラフィックを描画します。

 

3dg7

・VMware Horizon の画面エンコードして送信

・NVIDIA Tegra K1搭載の Google Chrombookで受信し、Tegra K1 でデコード

・Blast (HTML) 上に高品質な画面を表示 ・低遅延を実現

・高フレームレート (FPS) を実現 ・低消費電力によりバッテリーでも長時間稼働可能

NVIDIA at VMworld 2014 Keynote

こちらは、VMworld 2014 の Keynote で紹介された ビデオクリップです。

実際にテクノロジーが連携し、3D のビデオが Google Chromebook 上で再生されているところをご覧頂けます。

 

本稿の内容は以上となります。

これからも EUC の最新情報を随時お届けする予定となっておりますので、ご期待ください。

 

本稿の内容の一部は、VMworld 2014 にて発表された予定情報であり、本ブログに記載されている製品仕様やロードマップは将来予告無く変更になる可能性があります。

RDS ホストベースの公開デスクトップ/公開アプリケーション導入ステップ

前回の「RDS ホストベースの公開デスクトップ/公開アプリケーション」では、RDS ホストベースの公開デスクトップ/公開アプリケーションの概要と、適用例を説明しました。今回は、ユーザーが公開デスクトップ/公開アプリケーションを利用できるようになるまでの導入ステップを説明したいと思います。

 

■ RDS ホストベースの公開デスクトップ/公開アプリケーション導入ステップ

全体の導入ステップは以下になります。少し多く感じるかもしれませんが、1つ1つの作業はとても簡単です。VMware Horizon 6.0 with View で新しく追加された導入ステップは、”View Administrator にてファームの作成” 、 “View Administrator にてアプリケーション プールの作成” 、 “View Administrator にて RDS デスクトップ プールの作成” の3つになります。

image-01-02

 

 

■ ファームとは?
具体的な手順の説明の前に、VMware Horizon 6.0 with View で新しく追加された “ファーム” という設定に関して確認しましょう。
ファームは、アプリケーションとデスクトップを公開して実行する RDS ホストをグループ化したものです。ファームに含まれた RDS ホスト群で以下の機能が提供されます。

 

・負荷分散
ファーム内の RDS ホストで、 デスクトップ およびアプリケーション セッションの負荷を分散します。

・冗長性
ファーム内の 1 つの RDS ホストがオフラインの場合、ファーム内の他の RDS ホストが引き続きユーザーにアプリケーションやデスクトップを提供します。

・スケーラビリティ
ファームには最大200台の RDS ホストを含めることができます。さまざまなサイズのユーザー グループを処理するために、さまざまな数の RDS ホストを持つファームを作成できます。

 

RDS ホストベースの公開デスクトップ/公開アプリケーションでは、必ず最初にファームを作成します。作成したファーム単位にデスクトップ、アプリケーションの公開設定を行います。
image-27

 

では、 ”View Administrator にてファームの作成” ステップから具体的な手順を見て行きましょう。

 

 

■ View Administrator にてファームの作成

1.  View Administrator へ管理者アカウントでログオンします。

2. [インベントリ] – [リソース] – [ファーム] を選択して、[追加] をクリックします。

image-02

 

3. “ファームを追加” ウィザードが表示されます。必要な情報を入力して、完了します。

image-03 image-04 image-05
ファーム名を入力します。ここでは、
“AppFarm-8″ と入力しています。必要に応じて、その他のファーム設定を指定します。
ファームに含める RDS ホストを表示されたリストから選択します。
View Agent を RDS ホストにインストールし、コネクションサーバに登録されるとこのリストにホスト名が表示されます。
設定内容確認します。

 

4. ファームが作成され、ファーム一覧に表示されます。

image-06

 

ファームの設定は以上です。
次は、ユーザーへ公開するアプリケーションとデスクトップの設定を行います。

 

 

■ View Administrator にてアプリケーション プール の作成

ユーザーにアプリケーションを公開するには、アプリケーションプールを作成します。公開設定したアプリケーションは 指定したファーム内の RDS ホストで実行されます。

 

1.  View Administrator へ管理者アカウントでログオンします。

2. [インベントリ] – [カタログ] – [アプリケーション プール] を選択して、[追加] をクリックします。

image-07

 

3. “アプリケーション プールを追加” ウィザードが表示されます。必要な情報を入力して、完了します。

image-08 image-09 image-10
アプリケーションを実行するファームを選択します。
ファーム内の RDS ホストのスタートメニューに登録されているアプリケーションは、自動でリストされます。リストされたアプリケーションからユーザーに公開したいアプリケーションを選択します。
リストにないアプリケーションは、[アプリケーションを手動で追加] から追加します。
必要に応じて、アプリケーションの表示名を変更します。
[このウィザードの終了後にユーザーに資格を割り当てる] を選択します。
公開するアプリケーションを利用可能なユーザーを指定します。
[追加] をクリックします。
image-11 image-12
Active Directory のユーザーまたはグループから指定します。 指定したユーザーまたはグループが表示されていることを確認して[OK] をクリックします。

 

4. アプリケーションプールに公開指定したアプリケーションが表示されます。

image-13

 

アプリケーションの公開手順は以上です。公開したアプリケーションは、VMware Horizon View Client を使用して直ぐに利用することが出来ます。

 

 

■ View Administrator にて RDS デスクトップ プールの作成

RDS ホスト ベースのデスクトップをユーザーに公開する場合は、RDS デスクトップ プールを作成します。RDS デスクトップ プールは、作成可能な 3 種類のデスクトップ プールのうちの 1 つです。このタイプのプールは、以前の View リリースでは Microsoft Terminal Services プールと呼ばれていました。

 

1.  View Administrator へ管理者アカウントでログオンします。

2. [インベントリ] – [カタログ] – [デスクトップ プール] を選択して、[追加] をクリックします。

image-14

 

3. “デスクトップ プールを追加” ウィザードが表示されます。必要な情報を入力して、完了します。

image-15 image-16 image-17
[RDS デスクトップ プール] を選択します。 表示名等を入力します。 このデスクトップ プールに関する設定をします。
image-18 image-19 image-20
デスクトップを公開するファームを指定します。ユーザーが公開デスクップへ接続すると、このファームに含まれる RDS ホストでデスクトップが実行されます。 設定内容を確認します。
[このウィザードの終了後にユーザーに資格を割り当てる] を選択します。
公開するデスクトップを利用可能なユーザーを指定します。[追加] をクリックします。
image-21 image-22
Active Directory のユーザーまたはグループから指定します。 指定したユーザーまたはグループが表示されていることを確認して[OK] をクリックします。

 

4. デスクトップ プールに公開指定した RDS デスクトップ プールが表示されます。

image-23

 

RDS デスクトップ プールの公開手順は以上です。公開したデスクトップは、VMware Horizon View Client を使用して直ぐに利用することが出来ます。

 

 

■ 接続動作確認

公開設定したアプリケーションとデスクトップに対して、接続動作確認を行いましょう。RDS ホストベースの公開デスクトップ/公開アプリケーションへの接続は、VMware Horizon View Client バージョン 3.0 以降が必要です。

 

1. VMware Horizon View Client を起動します。

image-24

 

2. コネクションサーバーへ接続してユーザー認証が通ると、そのユーザーが利用可能な公開デスクトップと公開アプリケーションがアイコンとしてリストに表示されます。
先ほど設定した公開アプリケーションと公開デスクトップのアイコンが表示されています。

image-25

 

3. 利用したい公開デスクトップまたは公開アプリケーションのアイコンをクリックすると、RDS ホストへPCoIP で接続し、RDS ホスト上で実行されているアプリケーション、デスクトップの画面が接続端末側の画面に表示されます。

image-26

 

 

■ まとめ

RDSホストベースの公開デスクトップ/公開アプリケーションの導入は非常にシンプルで簡単にできる事がご理解いただけたと思います。

なお、今回の手順は、VMware HOL (ラボ名:HOL-MBL-1451 – Horizon 6 with View from A to Z ) を使用して作成しました。ご紹介した手順以外にも、様々な機能を実際にお試し頂けます。どなたでもご利用いただけますので、是非ご体感下さい!!
※Tips: View Administrator の管理画面を日本語で表示させるには、ラボ内で使用するブラウザの言語設定を日本語にします。

 

 

■ 関連リソース

VMware Horizon 6 プロダクトサイト
http://www.vmware.com/jp/products/horizon-view

VMware Horizon with View 管理者ガイド
https://www.vmware.com/support/pubs/view_pubs.html

VMware HOL
http://labs.hol.vmware.com/HOL/catalogs/

VMware Horizon  製品版ダウンロード
www.vmware.com/go/tryview-jp

RDS ホストベースの公開デスクトップ/公開アプリケーション

VMware Horizon 6.0 with View にて View に大きな機能追加がありました。RDS ホストを利用したデスクトップ/アプリケーションへのリモート接続です。

この機能追加により、あらゆるニーズに対応した、フルスタックのリモートユーザー環境を提供することが可能になりました。本稿では、RDS ホストベースの公開デスクトップ/公開アプリケーションの概要と導入ステップを2回に分けて解説します。

 

■ RDS ホストベースの公開デスクトップ/公開アプリケーションとは?

先ずは RDS という言葉ですが、Remote Desktop Services の略になります。これは、Windows Server OS の機能の一部で、1つの OS 上に複数のユーザーがリモートから接続をして、同時にアプリケーションを実行することが出来る機能です。

View では、この RDS 機能を使用してユーザーにリモートからデスクトップやアプリケーションを実行する環境を提供しますが、接続時に RDP ではなく PCoIP を使用することが出来ます。つまり、RDS 機能に PCoIP のリッチなプロトコル機能を付加価値として提供している点がポイントです。

image-1

 

RDS ホストベースの公開デスクトップは、ユーザーにサーバ OS のデスクトップを提供します。ユーザーが View Client を使用して接続すると、サーバ OS のデスクトップが表示されます。

image-2

 

RDS ホストベースの公開アプリケーションは、ユーザーにサーバ OS 上で動作するアプリケーションを提供します。ユーザーが View Client を使用して接続すると、アプリケーションの画面だけが表示されます。例えば、Mac 端末から接続すると、あたかも MacOS 上で動いているアプリケーションの様に Windows アプリケーションを表示させることが出来ます。

image-3

 

■ なぜ RDS ホストベースの公開デスクトップ/公開アプリケーションが必要なのか?

では、今までの View で提供されていた仮想デスクトップと何が違うのでしょうか? もう少し掘り下げて解説します。

仮想デスクトップでは、ユーザー1人の接続に対して、仮想デスクトップとして1つの 仮想マシン が割り当てられます。各ユーザーの実行環境は分離されているため、1人のユーザー環境でのイベントが他のユーザー環境へ影響を与えることはありません。例えば、アプリケーションのインストールやメモリーリークに代表されるアプリケーションの不具合によるリソース枯渇、OS のクラッシュ等が挙げられます。しかし、集約率という観点では共通イメージであるOS部分 がオーバーヘッドとなり、効率があまり良くありません。

一方 RDS ホストベースでの公開デスクトップ/公開アプリケーションでは、複数のユーザーが1つのサーバ OS 上に割り当てられます。ユーザー環境は分離されていますが OS レベルは共有しているため、アプリケーションのインストール、リソース枯渇、OS のクラッシュといったイベントに対しては、同じサーバ OS 上へ接続しているユーザー全てに影響が出ます。しかし、OS の部分を共有しているため、オーバーヘッドが軽減され、集約率が向上します。

image-4

 

■ 適材適所での選択が可能に

View 5.3 までは、クライアント OS (Windows 8,7,Vista,XP) と、サーバ OS (Windows 2008 R2) を使用した仮想デスクトップを提供していましたが、View 6.0 で RDS ホストベースの公開デスクトップ/公開アプリケーションが追加され、合計4つの接続方法が提供されています。

 

image-5

 

では、どの接続方法をどのように選択すればよいのでしょうか?

先ほど述べた様に、それぞれ長所短所があります。おおまかには、仮想デスクトップはユーザーの自由度が高いがコストが高くなります。一方、RDS ホストベースはユーザーの自由度は低いがコストは低くなります。

これまでの内容をまとめると、次のように分けられます。

image-7

 

■ まとめ

RDS ホストベースの公開デスクトップ/公開アプリケーションが追加されたことで、 よりコストを意識した適材適所での仮想デスクトップ環境の構築が可能になりました。

次回は、「RDS ホストベースの公開デスクトップ/公開アプリケーションの導入ステップ」を解説します。

 

 

 

標準設定で帯域を30%削減!Horizon 6 のPCoIP

今回の投稿は、下記URL の日本語化並びにVMworld 2014 EUC1476 What’s New with View and PCoIP in Horizon 6の内容を元に、補足説明を追加し、全2回でHorizon 6 PCoIPについてご紹介を致します。

Horizon 6 with PCoIP—Up to 30% Bandwidth Savings out of the Box!
http://blogs.vmware.com/euc/2014/06/vmware-horizon-view-6-pcoip-optimization-bandwidth-changes.html
Posted on June 9, 2014 by tonyhuynh

まず、はじめに、既にご存知の方も多いと思いますが、PCoIPプロトコルの特徴をおさらいします。

  • PCoIPのプロトコルの特徴
    Build to Lossless(可逆圧縮)、QOS/COSにももちろん対応もしていますが、最大の特徴の1つは、最初の画面表示の際に回線帯域の空き状況に合わせて、下記の3段階で表示画質を上げる事です。
    1 .  最初に高い圧縮率の非可逆(粗い)イメージがクライアントに送信され、イメージコンテンツがクライアント側にキャッシュされる
    2 .  知覚的可逆圧縮のイメージが表示される
    3 .  高品質(可逆圧縮)のイメージが表示される
    その為、初期画面表示する際にアクセスが集中化しても回線帯域に併せて少しずつ表示画質レベルを向上させています。このように回線使用率の向上と、ネットワーク輻輳を軽減し、自動的に最適化を行うことが可能なプロトコルと言えます。
    さらに、Flash Playerを使用している場合に、回線帯域が少ない環境では、画質を落とし、Flash Player上の表示画面にマウスがある時のみ画質を向上するといった事も可能です。

ここまでは、ご存知の方も多いのではないかと思います。 さて、今回の投稿では、Horizon 6にてリモートディスプレイプロトコルであるPCoIPにおける一部のアルゴリズム変更とデフォルト値の変更による効果をご紹介します。

  • Horizon 6 PCoIP拡張機能
    Horizon 6を導入するお客様環境に合わせた画面描画及び使用されるネットワーク帯域幅を最適化する事ができます。 PCoIPは、可能な限り、ユーザー環境を快適に提供するために、ネットワークの利用可能な帯域に合わせて柔軟に適応するプロトコルです。しかし、特定条件のネットワーク環境において、特にワイドエリアネットワーク(WAN)環境等の低帯域幅の場合には、ネットワークに合わせた設定をした方が良い場合がありました。というのも、従来PCoIP ( Horizon View 5.3まで)では、可逆圧縮設定とし、完全な画像描画を行う設定がデフォルト設定でしたが、お客様やパートナー企業の声を反映し、VMwareとTeradici社のPCoIPはデフォルト設定に変更を加えました。その内容は、Horizon 6 PCoIPにおいてネットワーク輻輳及び非可逆圧縮におけるネットワーク帯域幅管理機能の強化です。これにより、特に、WANおよび無線ネットワークにおいて最良のパフォーマンスを提供する事ができるようになります。無線デバイスを利用される方々に従来のネットワーク使用帯域幅の30%削減する事ができます。また、Horizon 6ユーザは、この機能強化より新たな設定をせずこの恩恵を受けることが可能となります。

※補足説明 : データ圧縮レベルの違いによる特徴
・  完全な可逆圧縮:データをロスさせることなく、元のデータを圧縮データから完全に再構築できます。
・  知覚的可逆圧縮:元のデータの完全性は多少失われますが、目に見えない部分のデータを削除してあたかも全ての描画をしているかのように表示します。そして、完全な可逆圧縮よりも帯域幅とコンピューティングリソースを節約できます。

  • ネットワーク帯域幅管理の機能強化
    次のグラフは、新たな帯域幅管理アルゴリズムの強化により改善された結果を示しています。
    グラフ内には、パケットロスの無い環境において、レイテンシ 50msの5Mbpsネットワークでは、新たな帯域幅管理アルゴリズムにより、480pの映像において20%以上のフレームレート(frame/sec)を向上させ、17%のフレームレートの標準偏差を減少させる事で安定的なフレーム送信が可能となり画像描画の滑らかさを維持することができる事がわかります。
    さらに、1%のパケットロスをしてしまう環境においても、40%以上のフレームレート(frame/sec)を向上させ、59%のフレームレートの標準偏差を減少させる事で、大幅に機能改善した事を示しています。

480p_NB1※RTT : ラウンドトリップタイム

という事で、前半部分については、PCoIPの基本的な特徴とHorizon 6 PCoIP帯域制御アルゴリズムの変更と初期設定変更による効果をご紹介しました。
次回、Horizon 6 のPCoIP を使いこなすポイントをご紹介させて頂きます。

 

VMworld 2014速報 : EUC編!!

■はじめに
こんにちは。VMworldも残すところ2日となった今日、未だに会場で迷子になるVMwareの公森です。本日もVMworld 2014が開催されている現地からお届けしています。少しでも現地の雰囲気が伝わる事を意識しながらお伝えしたいと思いますので、最後までお付き合い頂けますと幸甚です。VMworld 2014は相変わらずの大盛況です。そんな熱いVMworld 2014の数あるセッションの中から、本ブログではEUC(End User Computing)に関するGeneral session、ブレークアウトセッションから、ぜひご紹介したい以下3セッションの概要を速報形式でお届け致します。
1: Workspace Portalの正統進化!!
2: VMware、NVIDA、Googleの3社協業がとんでもない世界を実現!!
3: Next-Generation VDIの未来!!

■Workspace Portalの正統進化!!
Workspace Portal 2.1が間もなく登場予定です。Workspace 2.1の新機能では、以下が要注目です。
image001
-Single Virtual Appliance (VA)
VAが1つになりました。今まで以上に展開や拡張、メンテナンスがより簡単になります。ウィザードで展開するだけでこれだけのシステムが自動でデプロイされるVAって本当にすごいですね。利用する側にとっては大変便利な時代になりました。
-Integrated Catalog with AirWatch
ついに本格的に始まりました。私のように毎回期待されている方も多かったのではないでしょうか。そうです、AirWatchとの連携がさらに大幅強化されました。ワークスペースで追加したアプリケーションがAirWatchを通してモバイルユーザに通知されるデモも実施されました。正式版の登場が今から待ち遠しいです。
image003

■VMware、NVIDA、Googleの3社協業がとんでもない世界を実現!!
image005
2つ目にご紹介したいのは、高性能な3Dグラフィックス機能が必要なソフトウェアやゲームがネットの向こうから飛んできて、それをブラウザ上で操作する、そんな世界が実現してしまうかもしれない一連のお話です。

-誰もが待っていた、3Dデスクトップ に待望のvGPUが登場
VMwareの提供する3Dデスクトップには、従来から最高の3D性能を叩き出すGPU占有型のvDGA、性能と集約率のバランスをとりながらGPUの共有を実現するvSGA、運用性と集約率を重視し、GPUが無い場合でも構成可能なSoft GPUがありました。今回、vGPUのサポートが現実化されたことで、VMwareが提供する3Dデスクトップの実現方法のオプションの幅が広がり、多くのお客様により最適な3Dソリューションを提供できるようになります。新登場のvGPU関連の説明ではデモも実施され、vGPUを利用中のVM上でTessellationを有効にする場面も確認する事ができました。
image007
Solution Exchangeでは間もなく登場予定のvSphere 6とvGPUを組み合わせた3D デスクトップ環境が多数稼動しており、目の前で操作感などを直接確認する事もできます。
image009

-Chromebooks上のブラウザで操作するリッチ3Dコンテンツが現実に
データセンターに配置される3D デスクトップ側の進化に続き、クライアント側でも期待されるテクノロジーが登場しました。
データセンター側のNVIDIA GPUとVMware Horizon、Chromebooksに搭載されているNVIDIA Tegraが連携し、低遅延で、高フレームレート、消費電力が少ない、そんな素晴らしい環境下で、ブラウザ上でリッチな3Dコンテンツが楽しめるようになりました。この先にどんな世界が待っているのか期待せずにはいられません。
image011

■Next-Generation VDIの未来!!
VMworld 2014ではVDIに関する新しいアーキテクチャが発表されました。それがNext-Generation VDIです。まだ全てが実現しているわけではありませんが、要素は揃いつつある事が紹介されました。Next-Generation VDIに関係する興味深い内容をご紹介します。
image013

-CloudVolumes
General Sessionの2日目にデモで紹介されましたが、実際に数多くのアプリケーションがリアルタイムに展開されました。これがあれば管理者もユーザも大満足でしょう。
アプリケーションが入っていないデスクトップユーザに、
image015CloudVolumesの管理画面からアプリケーションの権利を付与すると、
image019
デスクトップが一瞬でアプリケーションに埋め尽くされてしまいました。

OSの展開とは別にリアルタイムにアプリケーションを配信できるので、Next-Gen VDIの重要なコンポーネントの一つになりそうな事は間違いなさそうです。
-Project Fargo
メモリとディスクをParentから引き継ぐ事でBoot stormやカスタマイズ等に係る時間を一気に削減するプロジェクトです。まとめると、動作状態にあるメモリとディスクに対するLinked Cloneです。デスクトップ展開速度が高まり、管理も簡単になるでしょうから、大いに期待してしまいます。image021

■Just-in-Time(JIT) Desktop
ユーザがデスクトップブローカーにログインするまでデスクトップは用意しません。つまり、ユーザがアクセスしてきて初めてリアルタイムでVMを用意して引き渡します。この環境を実現するために前述のCloudVolumesやProject Fargoが必要になるのですね。
image023

■最後に
VMworld 2014ではEUCに関連するアーキテクチャ、協業、新製品などが発表されました。 とてもブログでお伝えしきれる内容ではないのですが、少しでも現地の雰囲気と盛り上がりを感じて頂けたのであれば幸いです。お伝えすべき事がまだまだたくさんあります。これらの発表詳細については、11月に日本で開催されるvForumにて説明させて頂く予定です。皆様奮ってご来場ください!

■次回予告
VMworld 2014速報シリーズは一旦明日で最後になる予定ですが、NSXなど、まだあまり登場していないカテゴリのブレークアウトセッションの内容をお届けする予定です。ご期待ください。

■ご注意
VMworld 2014速報ブログシリーズでは、USで開催されているVMworld 2014について現地から速報でお届けしています。発表時点での予定情報であり、本ブログに記載されている製品仕様やロードマップは将来予告無く変更になる可能性があります。

RSA SecurID との連携による Horizon 6 の二要素認証 Part 2

前回の Part 1 に続いて、RSA SecurID との連携による VMware Horizon 6 の二要素認証に関するエントリーです。Part 2 では、VMware View における二要素認証の実装例や設定方法、仮想デスクトップへのログイン時の動作について紹介します。

VMware View と RSA SecurID を連携すると、仮想デスクトップへのログイン時に二要素認証を要求することができます。通常はドメインパスワードのみで仮想デスクトップにログインしますが、さらに RSA SecurID の PIN コードとワンタイムパスワードを要求することで仮想デスクトップのセキュリティを向上することが可能です。

例えば以下の図のように、社外からインターネット経由でアクセスするユーザに対しては RSA SecurID による二要素認証を要求し、社内の LAN 環境からアクセスするユーザに対してはドメインパスワードのみ要求するといった実装が可能です。つまり、仮想デスクトップへのアクセス経路に基づいて認証方法を構成することができます。

view_rsa1

RSA SecurID を使った二要素認証を構成する方法は、非常に簡単です。VMware View では、仮想デスクトップとユーザ端末を接続する Connection Server で二要素認証を設定します。実際の設定箇所は、以下の図で示されている部分のみです。「高度な認証」という箇所で二要素認証を有効化し、認証方法として RSA SecurID を指定しています。この設定は Connection Server 単位の設定になるため、前述した実装例のようにアクセス経路によって認証方法を分ける場合は、認証方法が異なる Connection Server をそれぞれ構築する必要があります。

view_rsa2

二要素認証を構成すると、仮想デスクトップへのログイン時に RSA SecurID の PIN コードとワンタイムパスワードが要求されます。PIN コードが設定されていない場合は、初回接続時に PIN コードを設定します。PIN コードとワンタイムパスワードを入力すると、続いてドメインパスワードが要求されます。ドメインパスワードを入力すると、最終的にログインが完了して仮想デスクトップやアプリケーションの一覧が表示されます。

view_rsa3

ログインで使用するワンタイムパスワードは一定時間ごとに変化するため、ログイン時に二要素認証を要求することで仮想デスクトップのセキュリティ強度が向上します。特に、社外からのアクセスを伴うような場合にお薦めです。

なお、RSA SecurID と連携できる製品は VMware View だけではありません。Horizon 6 に含まれている VMware Workspace Portal も RSA SecurID と連携することで二要素認証を構成できます。具体的な構成イメージや設定方法については、末尾のスライドをご参照ください。

 

RSA SecurID との連携による Horizon 6 の二要素認証 Part 1

VMware Horizon 6 には、ログイン時のセキュリティ強度を高めるために二要素認証を実装できる機能が用意されています。その実装例の一つが、EMC ジャパン株式会社様の RSA SecurID を使用した二要素認証です。そこで、RSA SecurID を使用した Horizon 6 の二要素認証に関する検証を EMCジャパン株式会社 と VMware にて実施しました。その結果に基づいて、本ブログにて RSA SecurID と Horizon 6 の連携に関する内容を Part 1 と Part 2 の 2 回に分けてご紹介します。Part 1では二要素認証や RSA SecurID について EMC ジャパン株式会社より当ブログ用の記事を執筆、ご提供いただきましたので、その内容をご紹介します。

1. 二要素認証

二要素認証は文字通り、利用者に固有な「 2 要素」を組み合わせることによって認証する方法です。要素の種類については選択の余地がありますが、通常は、利用者の知識(記憶)と利用者が保持する物理的なモノ(またはソフトウェアのインストールされたデバイス)を選択することが一般的です。知識には暗証番号のような文字列、物理的なモノはトークンと呼ばれるパスワードを表示する装置となります。このパスワードは、ワンタイムパスワードという一定時間で変更される文字列であることが殆どです。犯罪者が不正アクセスを働くためには、これらが同時に必要となるため、不正アクセスは格段に困難になります。

RSABlog1

図1 二要素認証とその入力方法

2. RSA SecurID の概要

RSA SecurID は、グローバル 30,000 社以上の実績を持ち、日本でもシェアの高いワンタイムパスワード製品です。1 分ごとに 1 度しか使用できないパスワードを発生させて、不正アクセスのリスクを軽減します。

RSABlog2

図2 パスワードが 1 分毎に変わる様子

RSA SecurID は、ハードウェアとソフトウェアから選択できます。

ハードウェアはワンタイムパスワードを発生するトークンという小さな装置で数種類から選ぶことができます。(図を参照) このトークンは携行に便利な形と見やすい数字が特長で、不正改造や複製ができない設計となっています。また、形のあるセキュリティデバイスを持つことで、ユーザーのセキュリティ意識の向上にもつながります。

RSABlog3

図3 ハードウェアトークンの例 (RSA SID700)

ソフトウェアは、PC 版 (Windows 版、Mac 版) とスマートモバイル版 (Android 版、iPhone/iPad 版、Windows Phone 版、BlackBerry 版など) があり、最近では後者の導入が増える傾向にあります。ソフトウェアトークンは、スマートデバイスに入れて持ち歩くことが出来るため、トークンデバイスを紛失するということはありません。万が一スマートデバイスを紛失した場合は、サーバ側で使用を停止し、再発行できます。(紛失による再購入は必要ありません)

RSABlog4

図4 ソフトウェアトークンの例 (モバイル(iPhone/iPad) 用 RSA SecurID)

3. RSA SecurID と VMware View 連携のメリット (セキュリティ強度の向上や RSA Ready など)

VMware View / VMware Workspace Portal と RSA SecurID を連携させて、仮想デスクトップやアプリケーションへのアクセスをセキュアに保つことができます。VMware View / VMware Workspace Portal は、RSA のテクノロジーパートナープログラム認定制度で連携が検証されており、インテグレーションガイド等も準備されています。

古くて新しい問題である「パスワードリスト攻撃」のような不正アクセス手段が昨今の Web やニュースで話題になっていますが、その原因はユーザーが固定パスワードを複数のサイトで使い回していることにあります。二要素認証の RSA SecurID を利用することにより、犯罪者が不正アクセスのために二つの要素を入手することが困難であることはもとより、遠隔からパスワードが盗まれたとしても、ワンタイムパスワードの特長 (1度しか使えない、1分でパスワードは変更される) により、非常に強力な認証となります。

次回の Part 2 では、RSA SecurIDと連携するためのHorizon 6の設定方法や構成例についてご紹介します。

Horizon View環境でWEBカメラ、オーディデバイスのリアルタイム処理を可能にするReal-Time Audio-Video(RTAV)機能。

VMware Horizon View(View)環境では、アクセス端末側に接続されたwebカメラやヘッドセット等のデバイスを、USBリダイレクト機能を用いてリモートの仮想デスクトップ上で利用する事が可能です。
View 5.2以上のバージョンではこのUSBリダイレクト機能に加え、新たにReal-Time Audio-Video(RTAV)機能も利用する事が可能になりました。
本投稿ではこのRTAV機能について説明します。

Real-Time Audio-Video(RTAV)とは

RTAVはアクセス端末側のWebカメラやAudio-inのデバイスをリモートの仮想デスクトップ上にリダイレクトさせ仮想デスクトップ上で利用する事を可能にします。
Audio-out、すなわちリモートの仮想デスクトップ側で再生された音声データは従来からVMware Horizon Viewの標準機能を用い、手元のAudio-outデバイスで高音質で聞くことが可能でしたのでその機能がそのまま利用可能です。
VMware Horizon ViewとRTAVを利用すれば、手元のデバイスを使いながら仮想デスクトップ上でSkype,Webex,Google Hangoutsなどのビデオ会議システムを利用する事がが可能になります。

RTAVの仕組み

RTAVに対応した仮想デスクトップ上には、
イメージングデバイスとしてVMware Virtual Webcam
Audio-inデバイスとしてVMware Virtual Microphone
Audio-outデバイスとしてVMware Virtual Audioがあらかじめインストールされています。
WS000089
WS000090

仮想デスクトップ上で動作している電話会議などのアプリケーションはこの3つのデバイスを利用して動作します。
アクセス端末側のWebカメラで撮影された画像、入力されたAudio-inの音声データはアクセス端末側でエンコードされ、それぞれリモートの仮想デスクトップ上のVMware Virtual Webcam、VMware Virtual Microphoneへと送られます。
仮想デスクトップ上のVMware Virtual Webcam、VMware Virtual Microphoneは受信したデータをデコードして利用します。仮想デスクトップ上のアプリケーションからは通常のWebカメラ、Audio-inデバイスとして利用可能です。
仮想デスクトップ上で再生された音声データはVMware Viewが持つAudio-outリダイレクト機能を利用してアクセス端末側のAudio-outデバイスへ送信され、アクセス端末側で再生されます。
各データは暗号化機能を持つセキュアなPCoIPプロトコルを利用して高速に送受信され、WindowsのGPOを用いて利用帯域の制御設定が可能です。

以下にまとめます。

  1. アクセス端末に接続されたWebカメラ、Audio-inデバイスからのデータを一度アクセス端末側でエンコードしてからリモートの仮想デスクトップ側のデバイスへ送信する。
  2. 仮想デスクトップ側の仮想デバイスは受信したデータをデコードし利用する。アプリケーション側からは通常のWebカメラ、Audio-inデバイスとして利用できる。
  3. 暗号化機能を持つセキュアなPCoIPプロトコルを用いて高速にデータをやりとりする。WindowsのGPOを用いて利用帯域の制御設定が可能。

RTAVは上記の仕組みを用い利用帯域を削減し、さらにUSBリダイレクト以上のリアルタイム性を実現しています。

RTAV図

RTAVのシステム要件

Horizon View Server
VMware Horizon View 5.2以降

仮想デスクトップOS
Windows XP SP3(32ビット)
Windows Vista(32ビット)
Windows 7(32ビットまたは64ビット)
Windows 8/8.1(32ビットまたは64ビット)
Windows Server 2008 R2

仮想デスクトップ上のHorizon View Agent
VMware Horizon View Agent 5.2以降
VMware Horizon View 5.2 Feature Pack 2以降

アクセス端末上のクライアントソフトウェア
Windows版VMware Horizon View Client 5.4以降
Linux版VMware Horizon View Client 2.2以降
Mac OS X版Horizon View Client 2.3以降

対応通信プロトコル
PCoIP

その他詳細要件とインストールについて
以下ドキュメントをご査収ください。
http://www.vmware.com/jp/support/support-resources/pubs/view_pubs/

まとめ

RTAVの機能により、リモートの仮想デスクトップ上で利用するコミュニケーションツールがより使いやすくなりました。
既にHorizon View 5.2以降の環境をお持ちの方は仮想デスクトップ上にView 5.2 Feature Pack2以降をインストール、
アクセス端末側のクライアントバージョンを必要に応じてUPDATEしていただければすぐにお試し頂けます。
「RTAVの機能をテストしたいけど、実際にビデオ会議やWEB会議アプリケーションをインストールしたり、設定したりするのが大変そうだなあ」と思われた方、朗報です。
RTAVの機能がどのようなものか簡単に体感するためのインストール不要のアプリケーションが、VMwareのこちらのblogで紹介されています。
まだお使いになられた事がない方は、是非このblogで紹介されているインストール不要のツールも使って文字通りリアルタイムな体験をしてみてください。

 

 

Horizon View へのスマートカード認証の導入

仮想デスクトップ環境を導入するきっかけの一つに、社内の重要データの保護や、セキュリティの強化が課題になっている、といった点が挙げられます。今回は、ユーザーアカウントと、ログオンのセキュリティを強化するための、スマートカード認証をご紹介します。VMware Horizon Viewではスマートカード認証をサポートしていますので、よりセキュアな仮想デスクトップ環境が構築できます。

Smartcard

 

スマートカード認証のメリットは

  • 低コストで二要素認証を導入できる
  • スマートカードを取り外した時に、接続を切断することができる
  • Windows (Active Directory) ログオンでサポートされていて、実績がある

といったことがあります。

Active Directoryのスマートカードログオンをそのまま利用しますので、すでにスマートカードを利用中であれば、Horizon ViewのConnection Serverの設定追加のみで連携できます。新たに導入する場合でも、サーバー側はActive Directoryの基本的なインフラだけで実現できるため、追加投資が抑えられます。またカードやカードリーダーも入手しやすく、導入のハードルは比較的低いでしょう。一方、スマートカードと証明書の発行・更新・取り消しといったライフサイクルを管理するための、IT部門の工数が必要になります。

ユーザー操作の流れは次のようになります。

  • PCにカードリーダーを接続し、カードをセット
  • Horizon Viewクライアントでサーバーに接続
  • PINコードを入力し、ログオン 通常のユーザー名・パスワードの入力画面の代わりに、PINコードの入力画面が表示される
Smartcard Logon
  • カードをリーダーから取り出すと、設定により仮想デスクトップへの接続が切断される

Smartcard Removal

スマートカードがセットされている間だけ、仮想デスクトップに接続できるように設定できますので、接続したまま離席するといった状態を避けられます。
ユーザーの観点からは、カードを持ち歩く手間は増えますが、ログオン操作は同等または簡単になり、離席時にも自動的に切断されるなど、ユーザビリティを下げることなくセキュリティレベルを上げることができます。
このように、スマートカード認証との連携により、Horizon Viewの仮想デスクトップをよりセキュアに運用できるようになります。詳しくは以下のスライドをご参照下さい。

 

Virtual SANクラスタへのHorizon Viewの導入

3月13日にヴイエムウェアはVirtual SANの提供開始を発表しました。VMware Virtual SANを使用すると、サーバに内蔵されたハードディスクドライブ(HDD)とサーバサイドフラッシュをプール化することで、仮想マシンに対して共有データストアを作成できます。

Virtual SANで作成した共有データストアは、Horizon Viewの仮想デスクトップ環境でも使うことができます。3月11日にリリースされたHorizon View 5.3.1で、Virtual SAN機能を完全にサポートするようになりました。(参考:Horizon View 5.3.1 リリースノート) これにより View Administrator でデスクトッププールを作成するときに、仮想デスクトップの格納先としてVirtual SANデータストアを選択できるようになりました。

VSANSummaryPic

Virtual SANを使用することで、外部ストレージ装置のない環境でも高可用性・パフォーマンスに優れた仮想デスクトップ環境を構築できるようになります。また、Virtual SANクラスタにサーバを追加するだけで簡単にディスクリソースを追加することができるため、ユーザ数の少ない小規模な環境から段階的に仮想デスクトップ環境を拡張したい場合に非常に適しています。

このブログエントリーでは、Virtual SAN データストアをHorizon View環境で使用するための要件と構成方法について記載します。なお、Virtual SAN上でHorizon View環境を構築する際の要件や手順についてはすでにKBが公開されています。本エントリーと併せてご参照ください。

①必要なコンポーネント

Virtual SAN上でHorizon View環境を構築する際には、以下のコンポーネントが必要です。

  • vSphere ESXi 5.5 update 1 以降
  • vCenter Server 5.5 update 1 以降
  • VMware Compatibility Guide でVirtual SANがサポートされているRAIDコントローラ、HDD、SSD
  • 3台以上のESXiホスト
  • Horizon View 5.3.1

サーバに内蔵するSSDとHDDはそれぞれ最低1本が必要です。前述のKBにも記載されているとおり、SSDの容量はHDDの合計容量の少なくとも10%が必要です。さらに vSphere ストレージのドキュメントにも記載されているとおり、Virtual SANが使用するネットワークの帯域は10Gbpsが推奨です。

Horizon View についてはバージョン5.3.1が必須となりますが、バージョン5.3.1はVirtual SAN上に仮想デスクトップ環境を構築する場合のみ使用します。Virtual SAN を使わない場合はバージョン5.3.1を使用せずに、バージョン5.3を使用するようにしてください。

②デスクトッププールの構成方法

Horizon View 側の構成手順は非常に簡単です。View Administratorでデスクトッププールを作成する際に仮想デスクトップの格納先としてVirtual SANデータストアを指定するだけです。このとき、Virtual SANデータストアのタイプは「vsan」として表示されます。なお、リンククローンとフルクローンのいずれのプールでも作成が可能です。ただし、リンククローンのプールを作成する場合はレプリカ・OSディスク・パーシステントディスクを格納するデータストアを分離しないように構成する必要があります。

vsanpool

③構成上の注意点

最後にVirtual SAN上のHorizon View環境に関する注意点を記載します。

  • 仮想デスクトップには常にデフォルトのストレージポリシーが適用されます。
    Virtual SANを使用すると、パフォーマンスや可用性などの仮想マシンのストレージ要件をポリシープロファイルの形式で定義できます。ストレージポリシーを自由に定義して仮想マシンに適用することができますが、Horizon Viewで展開した仮想デスクトップについては常にデフォルトのポリシーが適用されます。そのため、デスクトッププールごとに異なるポリシーを適用することはできません。デフォルトのポリシーについては、vSphere ストレージのドキュメントに詳細が記載されています。例えば「許容する障害の数」は「1」、「オブジェクトあたりのストライプの数」は「1」に設定されています。
  • リンククローン仮想デスクトップに対するSpace-efficient diskによるディスク再利用機能はサポートされません。
  • Virtual SANはVAAI(vStorage API for Array Integration)をサポートしません。
  • View Storage Accelerator機能はサポートされます。

Virtual SANはHorizon Viewと非常に相性が良い機能なので、ぜひご検討ください!
なお、Virtual SANについてはVMware製品をオンラインで扱えるハンズオンラボの中にすでにコンテンツがあります。(HOL-SDC-1308 – Virtual SAN (VSAN) and Virtual Storage Solutions) こちらにハンズオンラボの詳しい使い方がありますので、ぜひお試しください。実際の管理画面を操作しながら、Virtual SANの構成やポリシーの定義等について一通りを体感できるようになっています。