Home > Blogs > VMware Japan End-User Computing Blog > 月別アーカイブ: 2014年3月

月別アーカイブ: 2014年3月

Horizon View へのスマートカード認証の導入

仮想デスクトップ環境を導入するきっかけの一つに、社内の重要データの保護や、セキュリティの強化が課題になっている、といった点が挙げられます。今回は、ユーザーアカウントと、ログオンのセキュリティを強化するための、スマートカード認証をご紹介します。VMware Horizon Viewではスマートカード認証をサポートしていますので、よりセキュアな仮想デスクトップ環境が構築できます。

Smartcard

 

スマートカード認証のメリットは

  • 低コストで二要素認証を導入できる
  • スマートカードを取り外した時に、接続を切断することができる
  • Windows (Active Directory) ログオンでサポートされていて、実績がある

といったことがあります。

Active Directoryのスマートカードログオンをそのまま利用しますので、すでにスマートカードを利用中であれば、Horizon ViewのConnection Serverの設定追加のみで連携できます。新たに導入する場合でも、サーバー側はActive Directoryの基本的なインフラだけで実現できるため、追加投資が抑えられます。またカードやカードリーダーも入手しやすく、導入のハードルは比較的低いでしょう。一方、スマートカードと証明書の発行・更新・取り消しといったライフサイクルを管理するための、IT部門の工数が必要になります。

ユーザー操作の流れは次のようになります。

  • PCにカードリーダーを接続し、カードをセット
  • Horizon Viewクライアントでサーバーに接続
  • PINコードを入力し、ログオン 通常のユーザー名・パスワードの入力画面の代わりに、PINコードの入力画面が表示される
Smartcard Logon
  • カードをリーダーから取り出すと、設定により仮想デスクトップへの接続が切断される

Smartcard Removal

スマートカードがセットされている間だけ、仮想デスクトップに接続できるように設定できますので、接続したまま離席するといった状態を避けられます。
ユーザーの観点からは、カードを持ち歩く手間は増えますが、ログオン操作は同等または簡単になり、離席時にも自動的に切断されるなど、ユーザビリティを下げることなくセキュリティレベルを上げることができます。
このように、スマートカード認証との連携により、Horizon Viewの仮想デスクトップをよりセキュアに運用できるようになります。詳しくは以下のスライドをご参照下さい。

 

Virtual SANクラスタへのHorizon Viewの導入

3月13日にヴイエムウェアはVirtual SANの提供開始を発表しました。VMware Virtual SANを使用すると、サーバに内蔵されたハードディスクドライブ(HDD)とサーバサイドフラッシュをプール化することで、仮想マシンに対して共有データストアを作成できます。

Virtual SANで作成した共有データストアは、Horizon Viewの仮想デスクトップ環境でも使うことができます。3月11日にリリースされたHorizon View 5.3.1で、Virtual SAN機能を完全にサポートするようになりました。(参考:Horizon View 5.3.1 リリースノート) これにより View Administrator でデスクトッププールを作成するときに、仮想デスクトップの格納先としてVirtual SANデータストアを選択できるようになりました。

VSANSummaryPic

Virtual SANを使用することで、外部ストレージ装置のない環境でも高可用性・パフォーマンスに優れた仮想デスクトップ環境を構築できるようになります。また、Virtual SANクラスタにサーバを追加するだけで簡単にディスクリソースを追加することができるため、ユーザ数の少ない小規模な環境から段階的に仮想デスクトップ環境を拡張したい場合に非常に適しています。

このブログエントリーでは、Virtual SAN データストアをHorizon View環境で使用するための要件と構成方法について記載します。なお、Virtual SAN上でHorizon View環境を構築する際の要件や手順についてはすでにKBが公開されています。本エントリーと併せてご参照ください。

①必要なコンポーネント

Virtual SAN上でHorizon View環境を構築する際には、以下のコンポーネントが必要です。

  • vSphere ESXi 5.5 update 1 以降
  • vCenter Server 5.5 update 1 以降
  • VMware Compatibility Guide でVirtual SANがサポートされているRAIDコントローラ、HDD、SSD
  • 3台以上のESXiホスト
  • Horizon View 5.3.1

サーバに内蔵するSSDとHDDはそれぞれ最低1本が必要です。前述のKBにも記載されているとおり、SSDの容量はHDDの合計容量の少なくとも10%が必要です。さらに vSphere ストレージのドキュメントにも記載されているとおり、Virtual SANが使用するネットワークの帯域は10Gbpsが推奨です。

Horizon View についてはバージョン5.3.1が必須となりますが、バージョン5.3.1はVirtual SAN上に仮想デスクトップ環境を構築する場合のみ使用します。Virtual SAN を使わない場合はバージョン5.3.1を使用せずに、バージョン5.3を使用するようにしてください。

②デスクトッププールの構成方法

Horizon View 側の構成手順は非常に簡単です。View Administratorでデスクトッププールを作成する際に仮想デスクトップの格納先としてVirtual SANデータストアを指定するだけです。このとき、Virtual SANデータストアのタイプは「vsan」として表示されます。なお、リンククローンとフルクローンのいずれのプールでも作成が可能です。ただし、リンククローンのプールを作成する場合はレプリカ・OSディスク・パーシステントディスクを格納するデータストアを分離しないように構成する必要があります。

vsanpool

③構成上の注意点

最後にVirtual SAN上のHorizon View環境に関する注意点を記載します。

  • 仮想デスクトップには常にデフォルトのストレージポリシーが適用されます。
    Virtual SANを使用すると、パフォーマンスや可用性などの仮想マシンのストレージ要件をポリシープロファイルの形式で定義できます。ストレージポリシーを自由に定義して仮想マシンに適用することができますが、Horizon Viewで展開した仮想デスクトップについては常にデフォルトのポリシーが適用されます。そのため、デスクトッププールごとに異なるポリシーを適用することはできません。デフォルトのポリシーについては、vSphere ストレージのドキュメントに詳細が記載されています。例えば「許容する障害の数」は「1」、「オブジェクトあたりのストライプの数」は「1」に設定されています。
  • リンククローン仮想デスクトップに対するSpace-efficient diskによるディスク再利用機能はサポートされません。
  • Virtual SANはVAAI(vStorage API for Array Integration)をサポートしません。
  • View Storage Accelerator機能はサポートされます。

Virtual SANはHorizon Viewと非常に相性が良い機能なので、ぜひご検討ください!
なお、Virtual SANについてはVMware製品をオンラインで扱えるハンズオンラボの中にすでにコンテンツがあります。(HOL-SDC-1308 – Virtual SAN (VSAN) and Virtual Storage Solutions) こちらにハンズオンラボの詳しい使い方がありますので、ぜひお試しください。実際の管理画面を操作しながら、Virtual SANの構成やポリシーの定義等について一通りを体感できるようになっています。

Mirage入門 – ブロックのようにPCのイメージを組み立てる

前回は、VMwareが仮想デスクトップだけでなく物理PC管理ソリューションを手がける理由について、また仮想デスクトップのように物理PCを管理するために必要となるレイヤリングの考え方についてご紹介しました。今回はこの続きとして、レイヤリング管理の実体についてご説明していきたいと思います。

個々のレイヤーの取得方法

VMware Horizon Mirageでは事前準備として、基本レイヤ、アプリケーションレイヤ、ドライバライブラリの3つのレイヤを個別に取得します。それぞれのレイヤの取得方法と使い分けは以下の通りです。

基本レイヤ
全社共通で使用するイメージです。管理者の方は1台の参照マシンを管理頂き、Windowsのパッチや業務アプリケーションなど全社共通となるイメージを作成頂きます。Mirageの管理コンソールから参照マシンのイメージを吸い上げ、ユーザプロファイルや管理対象外とする領域を省いたものを基本レイヤとして取得します。

アプリケーションレイヤ
人や場所に依存する、全社共通で使用しないアプリケーションを個別に管理するために使用します。Mirageの管理コンソールからアプリケーションインストール前後のイメージを吸い上げ、差分をアプリケーションレイヤとして取得します。また、物理PCの機種固有なボタンにおいて必要となるドライバとアプリケーションのセット(OEMアプリケーション)については、アプリケーションレイヤで管理します。ThinAppのパッケージングの流れに似ておりますが、Mirageのアプリケーションレイヤには仮想化の考え方は無く、キャプチャされた差分イメージを元々あったところに正しく戻すだけというところが異なる動作です。

ドライバライブラリ
管理対象の物理PCごとに差分となるドライバをMirage管理コンソールに登録します。登録したドライバにメーカ名、機種名などを紐付け、管理対象の物理PCに対して自動的に登録したドライバが適用されます。

Mirage101-3

 

バラバラに取得したレイヤーを配信する

基本レイヤ、アプリレイヤ、ドライバライブラリの準備が出来たら、後は管理対象の物理PCに対して組み合わせて配信するだけです。物理PCの機種に依存したドライバ、部署に依存するアプリケーションや場所に依存するプリンタドライバ、そして全社で一意となる基本レイヤをまとめて対象の物理PCに配信します。配信されたイメージは一旦Windwos上のテンポラリ領域に保持され、全てのイメージが揃ったところで再起動を機に適用されます。Windowsが持つアプリケーションのDBなどに不整合を発生させないように後処理を実施し、機種に依存するドライバについてはWindows起動後にプラグ・アンド・プレイで適用します。これで作業は終了です。

Mirage101-4

Mirageはイメージ配信だけでなく、PCデータのバックアップ・リカバリや、Windwos XPからWindows 7へのマイグレーション自動化など多数の機能を持っています。これまでの延長でPC管理を行うことも出来るかと思いますが、規模に依存しないシンプルな管理を実現するMirageの活用も是非ご検討下さい!

もし実際に触って試して見たい方、VMware 製品をオンラインで扱えるハンズオンラボの中にMirageのコンテンツがあります(HOL-MBL-1309 – Horizon Mirage – Manage Physical Desktops)。こちらにハンズオンラボの詳しい使い方がありますので、是非試してみて下さい。2時間〜3時間程度で一通りのユースケースを試して頂けます!

Horizon Mirage入門 – 物理PCを仮想デスクトップのように管理するには?

皆様、Horizon Mirageってご存知ですか?

先日のEUCブログでも紹介されておりますが、Horizon Miraeは物理PC管理ソリューションで、2012年よりVMwareのEnd User Computingファミリーの一員となりました

VMware End User Computing のビジョンとHorizon Suite 

なぜ物理PC管理ソリューションを提供するのか?

VMwareではHorizon Viewという仮想デスクトップのソリューションを提供してますが、なぜ今更物理PC管理のソリューションを提供するのか?とお思いの方も多いかと思います。たしかに仮想デスクトップを導入することで、場所やデバイスに依存しないでWindows環境を便利に使用出来ますし、また管理者の方はマスターイメージ管理を一元化することが出来ます。しかしながら、仮想デスクトップを導入される企業の中でも働き方は多様であり、ネットワークの繋がらないオフライン環境下で業務を行う必要があったり、工場の生産設備の一部として特殊なデバイスを物理PCに接続して使用することがあります。また現時点の仮想デスクトップユーザの方が転勤により将来的に物理PCを活用しなければならない状況もありえます。様々な働き方に対応するためには、仮想デスクトップ環境の管理だけでなく物理PCのWindows実行環境まで管理対象を広げる必要があり、Horizon Mirageをラインナップに加えました

物理PC管理と仮想デスクトップ管理の違い

一般的なPC管理におけるパッチや業務アプリケーション管理は1台ずつ個別作業が必要となりますが、仮想デスクトップでは1台の親イメージさえメンテナンスすれば全台に対して展開出来ます。IT管理者の方に仮想デスクトップが支持されるのは、作業台数に依存して工数が増加する作業を、規模に依存しない作業に変えてしまうところにあります。同じアプローチで物理PCを管理出来るのが理想ですが、物理PCは機種が多くPC毎に必要なドライバが異なり、結果的にPC毎に個別にイメージ管理を行う必要があります。

MIrage101-1
仮想デスクトップのように物理PCを管理することは出来ないか??

実はMirageなら出来るんです!

それを実現するのがMirageのレイヤリング管理。下の図はエンドユーザのPCのCドライブを表していますが、物理的なCドライブを論理的にレイヤリング(分割)することで、依存関係のある部分を個別に管理出来るように実装されています。

Mirage101-2

Mirageのレイヤリング管理には大きく2つの特徴があります。

  1. 1つのCドライブを管理者領域、ユーザ領域に分割して管理可能できます。これにより、ユーザがインストールするアプリケーションと、管理者が展開するアプリケーションを両立出来ます
  2. 管理者領域は更に3分割され、PC機種に依存するドライバを管理するレイヤ、部署や勤務場所に依存するアプリケーションを管理するレイヤ、全従業員に対して共通となるイメージを管理するレイヤに分けて管理出来ます。依存関係のある部分を個別管理出来るので、全員共通で使用する基本レイヤは一元管理が可能となります

このような実装であれば、IT管理者の方が仮想デスクトップだけでなく物理PCについてもマスターイメージの一元管理が可能となりますね!

さて、次回は個々のレイヤーの取得方法について深堀りしていきたいと思います。