Home > Blogs > VMware Japan End-User Computing Blog

VMworld 2014速報 : EUC編!!

■はじめに
こんにちは。VMworldも残すところ2日となった今日、未だに会場で迷子になるVMwareの公森です。本日もVMworld 2014が開催されている現地からお届けしています。少しでも現地の雰囲気が伝わる事を意識しながらお伝えしたいと思いますので、最後までお付き合い頂けますと幸甚です。VMworld 2014は相変わらずの大盛況です。そんな熱いVMworld 2014の数あるセッションの中から、本ブログではEUC(End User Computing)に関するGeneral session、ブレークアウトセッションから、ぜひご紹介したい以下3セッションの概要を速報形式でお届け致します。
1: Workspace Portalの正統進化!!
2: VMware、NVIDA、Googleの3社協業がとんでもない世界を実現!!
3: Next-Generation VDIの未来!!

■Workspace Portalの正統進化!!
Workspace Portal 2.1が間もなく登場予定です。Workspace 2.1の新機能では、以下が要注目です。
image001
-Single Virtual Appliance (VA)
VAが1つになりました。今まで以上に展開や拡張、メンテナンスがより簡単になります。ウィザードで展開するだけでこれだけのシステムが自動でデプロイされるVAって本当にすごいですね。利用する側にとっては大変便利な時代になりました。
-Integrated Catalog with AirWatch
ついに本格的に始まりました。私のように毎回期待されている方も多かったのではないでしょうか。そうです、AirWatchとの連携がさらに大幅強化されました。ワークスペースで追加したアプリケーションがAirWatchを通してモバイルユーザに通知されるデモも実施されました。正式版の登場が今から待ち遠しいです。
image003

■VMware、NVIDA、Googleの3社協業がとんでもない世界を実現!!
image005
2つ目にご紹介したいのは、高性能な3Dグラフィックス機能が必要なソフトウェアやゲームがネットの向こうから飛んできて、それをブラウザ上で操作する、そんな世界が実現してしまうかもしれない一連のお話です。

-誰もが待っていた、3Dデスクトップ に待望のvGPUが登場
VMwareの提供する3Dデスクトップには、従来から最高の3D性能を叩き出すGPU占有型のvDGA、性能と集約率のバランスをとりながらGPUの共有を実現するvSGA、運用性と集約率を重視し、GPUが無い場合でも構成可能なSoft GPUがありました。今回、vGPUのサポートが現実化されたことで、VMwareが提供する3Dデスクトップの実現方法のオプションの幅が広がり、多くのお客様により最適な3Dソリューションを提供できるようになります。新登場のvGPU関連の説明ではデモも実施され、vGPUを利用中のVM上でTessellationを有効にする場面も確認する事ができました。
image007
Solution Exchangeでは間もなく登場予定のvSphere 6とvGPUを組み合わせた3D デスクトップ環境が多数稼動しており、目の前で操作感などを直接確認する事もできます。
image009

-Chromebooks上のブラウザで操作するリッチ3Dコンテンツが現実に
データセンターに配置される3D デスクトップ側の進化に続き、クライアント側でも期待されるテクノロジーが登場しました。
データセンター側のNVIDIA GPUとVMware Horizon、Chromebooksに搭載されているNVIDIA Tegraが連携し、低遅延で、高フレームレート、消費電力が少ない、そんな素晴らしい環境下で、ブラウザ上でリッチな3Dコンテンツが楽しめるようになりました。この先にどんな世界が待っているのか期待せずにはいられません。
image011

■Next-Generation VDIの未来!!
VMworld 2014ではVDIに関する新しいアーキテクチャが発表されました。それがNext-Generation VDIです。まだ全てが実現しているわけではありませんが、要素は揃いつつある事が紹介されました。Next-Generation VDIに関係する興味深い内容をご紹介します。
image013

-CloudVolumes
General Sessionの2日目にデモで紹介されましたが、実際に数多くのアプリケーションがリアルタイムに展開されました。これがあれば管理者もユーザも大満足でしょう。
アプリケーションが入っていないデスクトップユーザに、
image015CloudVolumesの管理画面からアプリケーションの権利を付与すると、
image019
デスクトップが一瞬でアプリケーションに埋め尽くされてしまいました。

OSの展開とは別にリアルタイムにアプリケーションを配信できるので、Next-Gen VDIの重要なコンポーネントの一つになりそうな事は間違いなさそうです。
-Project Fargo
メモリとディスクをParentから引き継ぐ事でBoot stormやカスタマイズ等に係る時間を一気に削減するプロジェクトです。まとめると、動作状態にあるメモリとディスクに対するLinked Cloneです。デスクトップ展開速度が高まり、管理も簡単になるでしょうから、大いに期待してしまいます。image021

■Just-in-Time(JIT) Desktop
ユーザがデスクトップブローカーにログインするまでデスクトップは用意しません。つまり、ユーザがアクセスしてきて初めてリアルタイムでVMを用意して引き渡します。この環境を実現するために前述のCloudVolumesやProject Fargoが必要になるのですね。
image023

■最後に
VMworld 2014ではEUCに関連するアーキテクチャ、協業、新製品などが発表されました。 とてもブログでお伝えしきれる内容ではないのですが、少しでも現地の雰囲気と盛り上がりを感じて頂けたのであれば幸いです。お伝えすべき事がまだまだたくさんあります。これらの発表詳細については、11月に日本で開催されるvForumにて説明させて頂く予定です。皆様奮ってご来場ください!

■次回予告
VMworld 2014速報シリーズは一旦明日で最後になる予定ですが、NSXなど、まだあまり登場していないカテゴリのブレークアウトセッションの内容をお届けする予定です。ご期待ください。

■ご注意
VMworld 2014速報ブログシリーズでは、USで開催されているVMworld 2014について現地から速報でお届けしています。発表時点での予定情報であり、本ブログに記載されている製品仕様やロードマップは将来予告無く変更になる可能性があります。

RSA SecurID との連携による Horizon 6 の二要素認証 Part 2

前回の Part 1 に続いて、RSA SecurID との連携による VMware Horizon 6 の二要素認証に関するエントリーです。Part 2 では、VMware View における二要素認証の実装例や設定方法、仮想デスクトップへのログイン時の動作について紹介します。

VMware View と RSA SecurID を連携すると、仮想デスクトップへのログイン時に二要素認証を要求することができます。通常はドメインパスワードのみで仮想デスクトップにログインしますが、さらに RSA SecurID の PIN コードとワンタイムパスワードを要求することで仮想デスクトップのセキュリティを向上することが可能です。

例えば以下の図のように、社外からインターネット経由でアクセスするユーザに対しては RSA SecurID による二要素認証を要求し、社内の LAN 環境からアクセスするユーザに対してはドメインパスワードのみ要求するといった実装が可能です。つまり、仮想デスクトップへのアクセス経路に基づいて認証方法を構成することができます。

view_rsa1

RSA SecurID を使った二要素認証を構成する方法は、非常に簡単です。VMware View では、仮想デスクトップとユーザ端末を接続する Connection Server で二要素認証を設定します。実際の設定箇所は、以下の図で示されている部分のみです。「高度な認証」という箇所で二要素認証を有効化し、認証方法として RSA SecurID を指定しています。この設定は Connection Server 単位の設定になるため、前述した実装例のようにアクセス経路によって認証方法を分ける場合は、認証方法が異なる Connection Server をそれぞれ構築する必要があります。

view_rsa2

二要素認証を構成すると、仮想デスクトップへのログイン時に RSA SecurID の PIN コードとワンタイムパスワードが要求されます。PIN コードが設定されていない場合は、初回接続時に PIN コードを設定します。PIN コードとワンタイムパスワードを入力すると、続いてドメインパスワードが要求されます。ドメインパスワードを入力すると、最終的にログインが完了して仮想デスクトップやアプリケーションの一覧が表示されます。

view_rsa3

ログインで使用するワンタイムパスワードは一定時間ごとに変化するため、ログイン時に二要素認証を要求することで仮想デスクトップのセキュリティ強度が向上します。特に、社外からのアクセスを伴うような場合にお薦めです。

なお、RSA SecurID と連携できる製品は VMware View だけではありません。Horizon 6 に含まれている VMware Workspace Portal も RSA SecurID と連携することで二要素認証を構成できます。具体的な構成イメージや設定方法については、末尾のスライドをご参照ください。

 

RSA SecurID との連携による Horizon 6 の二要素認証 Part 1

VMware Horizon 6 には、ログイン時のセキュリティ強度を高めるために二要素認証を実装できる機能が用意されています。その実装例の一つが、EMC ジャパン株式会社様の RSA SecurID を使用した二要素認証です。そこで、RSA SecurID を使用した Horizon 6 の二要素認証に関する検証を EMCジャパン株式会社 と VMware にて実施しました。その結果に基づいて、本ブログにて RSA SecurID と Horizon 6 の連携に関する内容を Part 1 と Part 2 の 2 回に分けてご紹介します。Part 1では二要素認証や RSA SecurID について EMC ジャパン株式会社より当ブログ用の記事を執筆、ご提供いただきましたので、その内容をご紹介します。

1. 二要素認証

二要素認証は文字通り、利用者に固有な「 2 要素」を組み合わせることによって認証する方法です。要素の種類については選択の余地がありますが、通常は、利用者の知識(記憶)と利用者が保持する物理的なモノ(またはソフトウェアのインストールされたデバイス)を選択することが一般的です。知識には暗証番号のような文字列、物理的なモノはトークンと呼ばれるパスワードを表示する装置となります。このパスワードは、ワンタイムパスワードという一定時間で変更される文字列であることが殆どです。犯罪者が不正アクセスを働くためには、これらが同時に必要となるため、不正アクセスは格段に困難になります。

RSABlog1

図1 二要素認証とその入力方法

2. RSA SecurID の概要

RSA SecurID は、グローバル 30,000 社以上の実績を持ち、日本でもシェアの高いワンタイムパスワード製品です。1 分ごとに 1 度しか使用できないパスワードを発生させて、不正アクセスのリスクを軽減します。

RSABlog2

図2 パスワードが 1 分毎に変わる様子

RSA SecurID は、ハードウェアとソフトウェアから選択できます。

ハードウェアはワンタイムパスワードを発生するトークンという小さな装置で数種類から選ぶことができます。(図を参照) このトークンは携行に便利な形と見やすい数字が特長で、不正改造や複製ができない設計となっています。また、形のあるセキュリティデバイスを持つことで、ユーザーのセキュリティ意識の向上にもつながります。

RSABlog3

図3 ハードウェアトークンの例 (RSA SID700)

ソフトウェアは、PC 版 (Windows 版、Mac 版) とスマートモバイル版 (Android 版、iPhone/iPad 版、Windows Phone 版、BlackBerry 版など) があり、最近では後者の導入が増える傾向にあります。ソフトウェアトークンは、スマートデバイスに入れて持ち歩くことが出来るため、トークンデバイスを紛失するということはありません。万が一スマートデバイスを紛失した場合は、サーバ側で使用を停止し、再発行できます。(紛失による再購入は必要ありません)

RSABlog4

図4 ソフトウェアトークンの例 (モバイル(iPhone/iPad) 用 RSA SecurID)

3. RSA SecurID と VMware View 連携のメリット (セキュリティ強度の向上や RSA Ready など)

VMware View / VMware Workspace Portal と RSA SecurID を連携させて、仮想デスクトップやアプリケーションへのアクセスをセキュアに保つことができます。VMware View / VMware Workspace Portal は、RSA のテクノロジーパートナープログラム認定制度で連携が検証されており、インテグレーションガイド等も準備されています。

古くて新しい問題である「パスワードリスト攻撃」のような不正アクセス手段が昨今の Web やニュースで話題になっていますが、その原因はユーザーが固定パスワードを複数のサイトで使い回していることにあります。二要素認証の RSA SecurID を利用することにより、犯罪者が不正アクセスのために二つの要素を入手することが困難であることはもとより、遠隔からパスワードが盗まれたとしても、ワンタイムパスワードの特長 (1度しか使えない、1分でパスワードは変更される) により、非常に強力な認証となります。

次回の Part 2 では、RSA SecurIDと連携するためのHorizon 6の設定方法や構成例についてご紹介します。

Horizon View環境でWEBカメラ、オーディデバイスのリアルタイム処理を可能にするReal-Time Audio-Video(RTAV)機能。

VMware Horizon View(View)環境では、アクセス端末側に接続されたwebカメラやヘッドセット等のデバイスを、USBリダイレクト機能を用いてリモートの仮想デスクトップ上で利用する事が可能です。
View 5.2以上のバージョンではこのUSBリダイレクト機能に加え、新たにReal-Time Audio-Video(RTAV)機能も利用する事が可能になりました。
本投稿ではこのRTAV機能について説明します。

Real-Time Audio-Video(RTAV)とは

RTAVはアクセス端末側のWebカメラやAudio-inのデバイスをリモートの仮想デスクトップ上にリダイレクトさせ仮想デスクトップ上で利用する事を可能にします。
Audio-out、すなわちリモートの仮想デスクトップ側で再生された音声データは従来からVMware Horizon Viewの標準機能を用い、手元のAudio-outデバイスで高音質で聞くことが可能でしたのでその機能がそのまま利用可能です。
VMware Horizon ViewとRTAVを利用すれば、手元のデバイスを使いながら仮想デスクトップ上でSkype,Webex,Google Hangoutsなどのビデオ会議システムを利用する事がが可能になります。

RTAVの仕組み

RTAVに対応した仮想デスクトップ上には、
イメージングデバイスとしてVMware Virtual Webcam
Audio-inデバイスとしてVMware Virtual Microphone
Audio-outデバイスとしてVMware Virtual Audioがあらかじめインストールされています。
WS000089
WS000090

仮想デスクトップ上で動作している電話会議などのアプリケーションはこの3つのデバイスを利用して動作します。
アクセス端末側のWebカメラで撮影された画像、入力されたAudio-inの音声データはアクセス端末側でエンコードされ、それぞれリモートの仮想デスクトップ上のVMware Virtual Webcam、VMware Virtual Microphoneへと送られます。
仮想デスクトップ上のVMware Virtual Webcam、VMware Virtual Microphoneは受信したデータをデコードして利用します。仮想デスクトップ上のアプリケーションからは通常のWebカメラ、Audio-inデバイスとして利用可能です。
仮想デスクトップ上で再生された音声データはVMware Viewが持つAudio-outリダイレクト機能を利用してアクセス端末側のAudio-outデバイスへ送信され、アクセス端末側で再生されます。
各データは暗号化機能を持つセキュアなPCoIPプロトコルを利用して高速に送受信され、WindowsのGPOを用いて利用帯域の制御設定が可能です。

以下にまとめます。

  1. アクセス端末に接続されたWebカメラ、Audio-inデバイスからのデータを一度アクセス端末側でエンコードしてからリモートの仮想デスクトップ側のデバイスへ送信する。
  2. 仮想デスクトップ側の仮想デバイスは受信したデータをデコードし利用する。アプリケーション側からは通常のWebカメラ、Audio-inデバイスとして利用できる。
  3. 暗号化機能を持つセキュアなPCoIPプロトコルを用いて高速にデータをやりとりする。WindowsのGPOを用いて利用帯域の制御設定が可能。

RTAVは上記の仕組みを用い利用帯域を削減し、さらにUSBリダイレクト以上のリアルタイム性を実現しています。

RTAV図

RTAVのシステム要件

Horizon View Server
VMware Horizon View 5.2以降

仮想デスクトップOS
Windows XP SP3(32ビット)
Windows Vista(32ビット)
Windows 7(32ビットまたは64ビット)
Windows 8/8.1(32ビットまたは64ビット)
Windows Server 2008 R2

仮想デスクトップ上のHorizon View Agent
VMware Horizon View Agent 5.2以降
VMware Horizon View 5.2 Feature Pack 2以降

アクセス端末上のクライアントソフトウェア
Windows版VMware Horizon View Client 5.4以降
Linux版VMware Horizon View Client 2.2以降
Mac OS X版Horizon View Client 2.3以降

対応通信プロトコル
PCoIP

その他詳細要件とインストールについて
以下ドキュメントをご査収ください。
http://www.vmware.com/jp/support/support-resources/pubs/view_pubs/

まとめ

RTAVの機能により、リモートの仮想デスクトップ上で利用するコミュニケーションツールがより使いやすくなりました。
既にHorizon View 5.2以降の環境をお持ちの方は仮想デスクトップ上にView 5.2 Feature Pack2以降をインストール、
アクセス端末側のクライアントバージョンを必要に応じてUPDATEしていただければすぐにお試し頂けます。
「RTAVの機能をテストしたいけど、実際にビデオ会議やWEB会議アプリケーションをインストールしたり、設定したりするのが大変そうだなあ」と思われた方、朗報です。
RTAVの機能がどのようなものか簡単に体感するためのインストール不要のアプリケーションが、VMwareのこちらのblogで紹介されています。
まだお使いになられた事がない方は、是非このblogで紹介されているインストール不要のツールも使って文字通りリアルタイムな体験をしてみてください。

 

 

Horizon View へのスマートカード認証の導入

仮想デスクトップ環境を導入するきっかけの一つに、社内の重要データの保護や、セキュリティの強化が課題になっている、といった点が挙げられます。今回は、ユーザーアカウントと、ログオンのセキュリティを強化するための、スマートカード認証をご紹介します。VMware Horizon Viewではスマートカード認証をサポートしていますので、よりセキュアな仮想デスクトップ環境が構築できます。

Smartcard

 

スマートカード認証のメリットは

  • 低コストで二要素認証を導入できる
  • スマートカードを取り外した時に、接続を切断することができる
  • Windows (Active Directory) ログオンでサポートされていて、実績がある

といったことがあります。

Active Directoryのスマートカードログオンをそのまま利用しますので、すでにスマートカードを利用中であれば、Horizon ViewのConnection Serverの設定追加のみで連携できます。新たに導入する場合でも、サーバー側はActive Directoryの基本的なインフラだけで実現できるため、追加投資が抑えられます。またカードやカードリーダーも入手しやすく、導入のハードルは比較的低いでしょう。一方、スマートカードと証明書の発行・更新・取り消しといったライフサイクルを管理するための、IT部門の工数が必要になります。

ユーザー操作の流れは次のようになります。

  • PCにカードリーダーを接続し、カードをセット
  • Horizon Viewクライアントでサーバーに接続
  • PINコードを入力し、ログオン 通常のユーザー名・パスワードの入力画面の代わりに、PINコードの入力画面が表示される
Smartcard Logon
  • カードをリーダーから取り出すと、設定により仮想デスクトップへの接続が切断される

Smartcard Removal

スマートカードがセットされている間だけ、仮想デスクトップに接続できるように設定できますので、接続したまま離席するといった状態を避けられます。
ユーザーの観点からは、カードを持ち歩く手間は増えますが、ログオン操作は同等または簡単になり、離席時にも自動的に切断されるなど、ユーザビリティを下げることなくセキュリティレベルを上げることができます。
このように、スマートカード認証との連携により、Horizon Viewの仮想デスクトップをよりセキュアに運用できるようになります。詳しくは以下のスライドをご参照下さい。

 

Virtual SANクラスタへのHorizon Viewの導入

3月13日にヴイエムウェアはVirtual SANの提供開始を発表しました。VMware Virtual SANを使用すると、サーバに内蔵されたハードディスクドライブ(HDD)とサーバサイドフラッシュをプール化することで、仮想マシンに対して共有データストアを作成できます。

Virtual SANで作成した共有データストアは、Horizon Viewの仮想デスクトップ環境でも使うことができます。3月11日にリリースされたHorizon View 5.3.1で、Virtual SAN機能を完全にサポートするようになりました。(参考:Horizon View 5.3.1 リリースノート) これにより View Administrator でデスクトッププールを作成するときに、仮想デスクトップの格納先としてVirtual SANデータストアを選択できるようになりました。

VSANSummaryPic

Virtual SANを使用することで、外部ストレージ装置のない環境でも高可用性・パフォーマンスに優れた仮想デスクトップ環境を構築できるようになります。また、Virtual SANクラスタにサーバを追加するだけで簡単にディスクリソースを追加することができるため、ユーザ数の少ない小規模な環境から段階的に仮想デスクトップ環境を拡張したい場合に非常に適しています。

このブログエントリーでは、Virtual SAN データストアをHorizon View環境で使用するための要件と構成方法について記載します。なお、Virtual SAN上でHorizon View環境を構築する際の要件や手順についてはすでにKBが公開されています。本エントリーと併せてご参照ください。

①必要なコンポーネント

Virtual SAN上でHorizon View環境を構築する際には、以下のコンポーネントが必要です。

  • vSphere ESXi 5.5 update 1 以降
  • vCenter Server 5.5 update 1 以降
  • VMware Compatibility Guide でVirtual SANがサポートされているRAIDコントローラ、HDD、SSD
  • 3台以上のESXiホスト
  • Horizon View 5.3.1

サーバに内蔵するSSDとHDDはそれぞれ最低1本が必要です。前述のKBにも記載されているとおり、SSDの容量はHDDの合計容量の少なくとも10%が必要です。さらに vSphere ストレージのドキュメントにも記載されているとおり、Virtual SANが使用するネットワークの帯域は10Gbpsが推奨です。

Horizon View についてはバージョン5.3.1が必須となりますが、バージョン5.3.1はVirtual SAN上に仮想デスクトップ環境を構築する場合のみ使用します。Virtual SAN を使わない場合はバージョン5.3.1を使用せずに、バージョン5.3を使用するようにしてください。

②デスクトッププールの構成方法

Horizon View 側の構成手順は非常に簡単です。View Administratorでデスクトッププールを作成する際に仮想デスクトップの格納先としてVirtual SANデータストアを指定するだけです。このとき、Virtual SANデータストアのタイプは「vsan」として表示されます。なお、リンククローンとフルクローンのいずれのプールでも作成が可能です。ただし、リンククローンのプールを作成する場合はレプリカ・OSディスク・パーシステントディスクを格納するデータストアを分離しないように構成する必要があります。

vsanpool

③構成上の注意点

最後にVirtual SAN上のHorizon View環境に関する注意点を記載します。

  • 仮想デスクトップには常にデフォルトのストレージポリシーが適用されます。
    Virtual SANを使用すると、パフォーマンスや可用性などの仮想マシンのストレージ要件をポリシープロファイルの形式で定義できます。ストレージポリシーを自由に定義して仮想マシンに適用することができますが、Horizon Viewで展開した仮想デスクトップについては常にデフォルトのポリシーが適用されます。そのため、デスクトッププールごとに異なるポリシーを適用することはできません。デフォルトのポリシーについては、vSphere ストレージのドキュメントに詳細が記載されています。例えば「許容する障害の数」は「1」、「オブジェクトあたりのストライプの数」は「1」に設定されています。
  • リンククローン仮想デスクトップに対するSpace-efficient diskによるディスク再利用機能はサポートされません。
  • Virtual SANはVAAI(vStorage API for Array Integration)をサポートしません。
  • View Storage Accelerator機能はサポートされます。

Virtual SANはHorizon Viewと非常に相性が良い機能なので、ぜひご検討ください!
なお、Virtual SANについてはVMware製品をオンラインで扱えるハンズオンラボの中にすでにコンテンツがあります。(HOL-SDC-1308 – Virtual SAN (VSAN) and Virtual Storage Solutions) こちらにハンズオンラボの詳しい使い方がありますので、ぜひお試しください。実際の管理画面を操作しながら、Virtual SANの構成やポリシーの定義等について一通りを体感できるようになっています。

Mirage入門 – ブロックのようにPCのイメージを組み立てる

前回は、VMwareが仮想デスクトップだけでなく物理PC管理ソリューションを手がける理由について、また仮想デスクトップのように物理PCを管理するために必要となるレイヤリングの考え方についてご紹介しました。今回はこの続きとして、レイヤリング管理の実体についてご説明していきたいと思います。

個々のレイヤーの取得方法

VMware Horizon Mirageでは事前準備として、基本レイヤ、アプリケーションレイヤ、ドライバライブラリの3つのレイヤを個別に取得します。それぞれのレイヤの取得方法と使い分けは以下の通りです。

基本レイヤ
全社共通で使用するイメージです。管理者の方は1台の参照マシンを管理頂き、Windowsのパッチや業務アプリケーションなど全社共通となるイメージを作成頂きます。Mirageの管理コンソールから参照マシンのイメージを吸い上げ、ユーザプロファイルや管理対象外とする領域を省いたものを基本レイヤとして取得します。

アプリケーションレイヤ
人や場所に依存する、全社共通で使用しないアプリケーションを個別に管理するために使用します。Mirageの管理コンソールからアプリケーションインストール前後のイメージを吸い上げ、差分をアプリケーションレイヤとして取得します。また、物理PCの機種固有なボタンにおいて必要となるドライバとアプリケーションのセット(OEMアプリケーション)については、アプリケーションレイヤで管理します。ThinAppのパッケージングの流れに似ておりますが、Mirageのアプリケーションレイヤには仮想化の考え方は無く、キャプチャされた差分イメージを元々あったところに正しく戻すだけというところが異なる動作です。

ドライバライブラリ
管理対象の物理PCごとに差分となるドライバをMirage管理コンソールに登録します。登録したドライバにメーカ名、機種名などを紐付け、管理対象の物理PCに対して自動的に登録したドライバが適用されます。

Mirage101-3

 

バラバラに取得したレイヤーを配信する

基本レイヤ、アプリレイヤ、ドライバライブラリの準備が出来たら、後は管理対象の物理PCに対して組み合わせて配信するだけです。物理PCの機種に依存したドライバ、部署に依存するアプリケーションや場所に依存するプリンタドライバ、そして全社で一意となる基本レイヤをまとめて対象の物理PCに配信します。配信されたイメージは一旦Windwos上のテンポラリ領域に保持され、全てのイメージが揃ったところで再起動を機に適用されます。Windowsが持つアプリケーションのDBなどに不整合を発生させないように後処理を実施し、機種に依存するドライバについてはWindows起動後にプラグ・アンド・プレイで適用します。これで作業は終了です。

Mirage101-4

Mirageはイメージ配信だけでなく、PCデータのバックアップ・リカバリや、Windwos XPからWindows 7へのマイグレーション自動化など多数の機能を持っています。これまでの延長でPC管理を行うことも出来るかと思いますが、規模に依存しないシンプルな管理を実現するMirageの活用も是非ご検討下さい!

もし実際に触って試して見たい方、VMware 製品をオンラインで扱えるハンズオンラボの中にMirageのコンテンツがあります(HOL-MBL-1309 – Horizon Mirage – Manage Physical Desktops)。こちらにハンズオンラボの詳しい使い方がありますので、是非試してみて下さい。2時間〜3時間程度で一通りのユースケースを試して頂けます!

Horizon Mirage入門 – 物理PCを仮想デスクトップのように管理するには?

皆様、Horizon Mirageってご存知ですか?

先日のEUCブログでも紹介されておりますが、Horizon Miraeは物理PC管理ソリューションで、2012年よりVMwareのEnd User Computingファミリーの一員となりました

VMware End User Computing のビジョンとHorizon Suite 

なぜ物理PC管理ソリューションを提供するのか?

VMwareではHorizon Viewという仮想デスクトップのソリューションを提供してますが、なぜ今更物理PC管理のソリューションを提供するのか?とお思いの方も多いかと思います。たしかに仮想デスクトップを導入することで、場所やデバイスに依存しないでWindows環境を便利に使用出来ますし、また管理者の方はマスターイメージ管理を一元化することが出来ます。しかしながら、仮想デスクトップを導入される企業の中でも働き方は多様であり、ネットワークの繋がらないオフライン環境下で業務を行う必要があったり、工場の生産設備の一部として特殊なデバイスを物理PCに接続して使用することがあります。また現時点の仮想デスクトップユーザの方が転勤により将来的に物理PCを活用しなければならない状況もありえます。様々な働き方に対応するためには、仮想デスクトップ環境の管理だけでなく物理PCのWindows実行環境まで管理対象を広げる必要があり、Horizon Mirageをラインナップに加えました

物理PC管理と仮想デスクトップ管理の違い

一般的なPC管理におけるパッチや業務アプリケーション管理は1台ずつ個別作業が必要となりますが、仮想デスクトップでは1台の親イメージさえメンテナンスすれば全台に対して展開出来ます。IT管理者の方に仮想デスクトップが支持されるのは、作業台数に依存して工数が増加する作業を、規模に依存しない作業に変えてしまうところにあります。同じアプローチで物理PCを管理出来るのが理想ですが、物理PCは機種が多くPC毎に必要なドライバが異なり、結果的にPC毎に個別にイメージ管理を行う必要があります。

MIrage101-1
仮想デスクトップのように物理PCを管理することは出来ないか??

実はMirageなら出来るんです!

それを実現するのがMirageのレイヤリング管理。下の図はエンドユーザのPCのCドライブを表していますが、物理的なCドライブを論理的にレイヤリング(分割)することで、依存関係のある部分を個別に管理出来るように実装されています。

Mirage101-2

Mirageのレイヤリング管理には大きく2つの特徴があります。

  1. 1つのCドライブを管理者領域、ユーザ領域に分割して管理可能できます。これにより、ユーザがインストールするアプリケーションと、管理者が展開するアプリケーションを両立出来ます
  2. 管理者領域は更に3分割され、PC機種に依存するドライバを管理するレイヤ、部署や勤務場所に依存するアプリケーションを管理するレイヤ、全従業員に対して共通となるイメージを管理するレイヤに分けて管理出来ます。依存関係のある部分を個別管理出来るので、全員共通で使用する基本レイヤは一元管理が可能となります

このような実装であれば、IT管理者の方が仮想デスクトップだけでなく物理PCについてもマスターイメージの一元管理が可能となりますね!

さて、次回は個々のレイヤーの取得方法について深堀りしていきたいと思います。

ThinApp をつかってみよう(準備編)

ヴイエムウェアにはアプリケーションの仮想化というソリューションでThinApp という製品があります。ThinApp はHorizon Suite の各製品(Horizon View ,Horizon Mirage ,Horizon Workspace )のすべてに含まれておりますが、単体での購入も可能です。ThinApp の製品概要やメリットにつきましては、こちらのリンク(わかるThinApp )の記事をご参照ください。ThinApp の良さを体感していただくためには、ご利用いただくのが一番の近道となります。
このブログエントリでは、ThinApp をつかってみるための準備について記載します。

◆ 準備するもの ◆
1.ThinApp の検証用ライセンスとバイナリ
下記サイトから申請していただくと入手可能となります。
2.比較的スペックのいいPC
(このブログエントリでは、VMware Workstation などを使用してゲストマシンとしてパッケージング環境を動作させます)
3.パッケージするアプリケーションとインストール手順
4.パッケージするアプリケーションが通常動作するOSのうち一番古いOS
(リカバリディスクではなく、OSのみのインストール媒体)

パッケージングしていただく環境は、ThinApp パッケージャライセンスに同梱のVMware Workstation をはじめVMware Player, VMware Fusion, ESXi, 物理PCのいずれかからご都合に合わせて選んでいただくことになります。スナップショット機能を利用するとより効率的に作業をすすめることができますので、VMware Workstation をご利用いただくことが一番多いです。
実際の作業手順に入る前に、ThinApp のアーキテクチャについて少し説明します。
アプリケーションの動作の違い
 通常のアプリケーションはOS にインストールされます。インストール時にOS のレジストリにアプリケーションが使用するキーを書き込んだり、OS のファイルシステムにdll (ダイナミックリンクライブラリ)を配置します。
インストールされたアプリケーションは、レジストリキーを読んだりファイルシステムに配置したdll やコンポーネントを使用してOS の一部を使用して動作します。このため、直接Win32 APIをコールします。アプリケーションのつくりによっては、ユーザーモードではなくカーネルモードでコールすることもあります。(図左)

これに対して仮想アプリケーションは、OS にインストールされません。パッケージ内の仮想レジストリや仮想ファイルシステム(パッケージの設定により、実ファイルシステムのファイルを読み書きさせることも可能です。)を使用して、ThinApp VOS上で動作します。(図右)
仮想アプリケーションは動作の際に、OSの一部を直接使用しません。すべてのWin32 API のコールはThinApp VOSを経てユーザーモードで実行されます。

◆ エントリポイント ◆
エントリポイントはパッケージされた仮想アプリケーションへの入り口です。パッケージされた仮想アプリケーションの中には、エントリポイント以外からアクセスすることはできません。

エントリポイント  エントリポイントは普段はかくしておいて、メンテナンス時だけ利用することも可能です。たとえば、cmd.exe, regedit.exe, iexplore.exe を準備しておき、トラブルシュート時に備えるといった使い方ができます。
エントリポイントは、複数定義することもできますし単一で定義することもできます。セットアップキャプチャー画面では、インストール前後の差分で発生した「エントリポイント候補」が表示されますので、その中から選択してエントリポイントを決めます。

◆ 分離モード ◆
分離モードはパッケージングされた仮想アプリケーションが動作する際のファイルシステムとのアクセスを定義します。WriteCopy、Merged、Fullの3種類ありそれぞれ下記の表のようにアクセスします。分離モードは基本的にはフォルダ単位で設定します。

WriteCopy Merged Full
実際のファイルの参照 参照可能 参照可能 参照不可能
仮想ファイルへの変更 SandBoxに反映 SandBoxに反映 SandBoxに反映
実際のファイルの変更 SandBoxに反映 実ファイルに反映 参照不可能
新規作成したファイル SandBoxに作成 実環境に作成 SandBoxに作成

分離モードの設定方法はプロジェクトフォルダにキャプチャーされたフォルダ構成に対して##Attributes.iniファイルを配置し、その中に下記のように記述して定義します。

[Isolation]
 DirectoryIsolationMode=Merged

なお、現在のセットアップキャプチャーのデフォルトはMergedです。

◆  準備手順  ◆
1.検証用PC にVMware Workstation をインストールします。
インストーラにしたがってインストールを実施します。

2.VMware Workstation でキャプチャー用ゲストマシンを作成して、OS をインストールします。
ThinApp ではインストールの前後の差分をキャプチャーしてパッケージを行います。このときにOS に余分なツールやアップデートファイル等が入ってしまうと、一緒にキャプチャーされてしまいます。ここで使用するOS にはツール類が入っていないものを使用します。

準備はここまでとなります。次回は実際にThinApp のパッケージを作成してみましょう。

VMware End User Computing のビジョンとHorizon Suite

VMware EUC ブログ第一回の続きです。

前回のブログでは、今日現在、市場で起こっているトレンド、そしてそのトレンドに対して取られているアプローチについてお話をしました。 また、現在取られているアプローチは、様々な課題を抱えており、Vmwareは、これらの課題を解決するためには、全く新しいアプローチが必要であると考えているところまでお話をしました。 それでは、VMwareの考える新しいアプローチとは何でしょうか。 VMware EUCの製品戦略をご紹介します。

vmware_euc_vision

まず最初に、VMwareでは、EUCには以下の4つのコンポーネントがあると考えています。

  • デスクトップ: ユーザが利用するPC環境
  • データ: ユーザが利用(作成、閲覧)するデータ
  • アプリケーション: ユーザが利用したい(させたい)様々なアプリケーション
  • デバイス: 上記にアクセスするデバイス

上記4つのコンポーネントをベースに、VMwareのアプローチをもう少し詳しく見ていきます。

  • Transform: 従来、PCにデスクトップやデータ、アプリケーションは紐付いています。 つまり、物理的なデバイスにしばれれて、とても管理しずらいものでした。これをソフトウェア的に分離して、柔軟な管理が可能なプラットフォームへと変革します。 また今日、アプリケーションは様々な場所に存在しています。 あなたのPCの中だったり、クラウド上のどこかだったりです。 これら、様々な場所に存在するアプリケーションをアプリケーション カタログとして統合します。 このことで、デスクトップ、データ、アプリケーションをITサービスとして再定義することができるのです。
  • Broker: 「Broker」には、2つの目的があります。 まず1つ目は、「Transform」でITサービスとして再定義したデスクトップ、データ、アプリケーションを集中管理することによって、よりセキュアでシンプルな管理を実現することです。 2つ目は、これらのITサービスをエンドユーザにポリシーベースで配信することです。 ここで言うポリシーベースでの配信とは、ユーザの属性(例えばID、所属する部門/部署、職位/職責など)によって最適なITサービスを提供することを言います。 従来、クライアント環境は、デバイス中心の管理が主流でしたが、本来あるべき姿は、デバイスを利用するユーザ中心に管理すべきでした。 ユーザによって、使用するアプリケーションやアクセスするデータは違います。 VMwareは、ユーザ中心の管理を実現することにより、そのユーザに最適なサービスを提供することを実現しているのです。
  • Delivery: 「Transform」で再定義したITサービスは、最終的にエンドユーザの利用する様々なデバイスに配信されます。 VMware EUC ソリューションでは、デバイスの違いを理解して適切なアプリケーションを配信するなど、インテリジェントな配信が可能になっています。

これらのVMware EUC のビジョンを具現化したのがVMware Horizon Suiteです。

HorizonSuite

VMware Horizon Suite は、複数の製品から構成されています。 以下、簡単にそれぞれの製品を紹介します。

  • VMware Horizon View: VMwareの仮想デスクトップ ソリューションです。 以前は、VMware Viewと呼ばれていた製品です。某リサーチ会社さんの最新の調査によると、お陰さまで日本でNo.1のシェアをいただいています。
  • VMware Horizon Mirage: 元々、物理PCのWindows イメージを階層型に集中管理できる製品でしたが、最新のバージョンでは、仮想デスクトップのイメージ管理もできるように進化しています。 この製品の特徴は、Windows イメージを論理的に階層型に管理できることです。 これにより、例えば、OSをWindows XPからWindows 7へ移行する際、ユーザのデータやプロファイルに影響を与えることなく、OSのみの移行が可能になります。 VDIを導入したとしても、物理PCは結構な割合で残るのが現実かと思います。 Mirageによって、仮想デスクトップと物理PC双方のWindows イメージを集中管理できるようになるのです。
  • VMware Horizon Workspace: マルチデバイスから業務に必要なアプリケーション、データ、そして仮想デスクトップにシングルサインオン(SSO)でアクセスできるポータルを提供します。 したがって、デバイスの種類や場所に囚われずに、いつでも、どこからでも業務に必要なリソースにアクセスすることが可能になります。
  • VMware ThinApp: 本来、アプリケーションとOSは深く紐づいていますが、アプリケーションを仮想化することによって、OSのバージョンから独立したアプリケーションを実現できます。 例えば、Windows XP上で稼動していたアプリケーションを、変更を加えることなく、Windows 7上で稼動させたり、バージョンの違う同一のアプリケーションを同じOS上で稼動させたりすることが可能になります。
  • VMware vCenter Operations Manager for Horizon View (V4V): 仮想デスクトップの環境は、様々な構成要素から成り立っています。 特に大規模環境では、日々のモニタリングとトラブルの際に迅速に対応できることが必須です。 V4Vは、既存のVMware vCenter Operations Managerを利用することにより、Viewの環境だけではなく、仮想化基盤も含め事細かにモニタリングできます。 また、トラブルが発生した際には、どのコンポーネントにトラブルが発生しているのかを的確に指摘してくれます。 V4Vによって、日々のVDIの管理、運用が非常に簡素化されるとともに、トラブルにも迅速に対応できるのです。

以上、VMware End User Computing のビジョン、そしてそのビジョンを具現化したHorizon Suiteをご紹介しました。 次回以降は、各製品やテクノロジーに関して、もっと深く紹介していきたいと考えています。 ぜひ、楽しみにお待ちください。