Horizon

新卒2年目SE社員が贈る 仮想デスクトップのキソ! 第7回 ~完結編、仮想デスクトップと関連ソリューション総まとめ~

■はじめに

こんにちは。 新卒 2 年目の川崎です。”新卒2年目 SE が贈る 仮想デスクトップのキソ!”、第7回目のこの記事ではこれまでの6回の記事でご説明してきた VMware Horizon ® 6 によって実現される仮想デスクトップについて振り返りつつ、他の製品と連携させることで提供されるメリットや仮想デスクトップ以外も含めたエンドユーザーコンピューティングの全体像をお伝えして参ります。

§1. Horizon 6 の振り返り

第1回から第6回で扱ってきた Horizon 6 によって実現される仮想デスクトップ環境を振り返ります。
仮想デスクトップは、仮想環境上に OS (例えば Windows 7 や Windows 8 )をインストールした仮想マシンとして展開され、ユーザはラップトップやデスクトップ、シンクライアント、ゼロクライアント、モバイル端末など様々な端末からアクセスして利用可能です。

図1: 仮想デスクトップ利用イメージ
図1: 仮想デスクトップ利用イメージ

仮想デスクトップをユーザが使えるように構成するにあたり、Horizon 6 では View 接続サーバや View Agent、Horizon Client、View Composer というコンポーネントが登場し、これらが vSphere 環境や AD と連携して仮想デスクトップ環境が実現されます。
図2: Horizon 6 の基本コンポーネント
図2: Horizon 6 の基本コンポーネント

どのユーザがどの仮想デスクトップを使えるか、という点にいついては、ユーザとプール(=同種の仮想デスクトップリソースのまとまり)を事前にマッピングします。
図3: ユーザとプールのマッピング
図3: ユーザとプールのマッピング

Horizon 6 でユーザに提供されるのは、「仮想デスクトップ(または VDI )」という、1ユーザ1デスクトップで利用する方式で提供されるデスクトップのほかに、「 RDS (リモートデスクトップセッション)」方式で提供される公開デスクトップと公開アプリケーションがあり、ユーザのニーズに応じて適切な環境を構成可能です。
図4: VDI方式とRDS方式の比較
図4: VDI方式とRDS方式の比較

 

§2. VMware の考える EUC の全体像

仮想デスクトップ環境は、これまででご紹介したHorizon 6 の機能でも十分に構築可能ですが、ユーザと管理者の双方でより良いクライアント環境について様々な要望が生じるかもしれません。図5ではその例を示していますが、Horizon 6 だけでなく、VMware Horizon® の他の機能や AirWatch® by VMware を利用することにより多くのニーズに応えたクライアント環境を実現することが可能です。

図5: ユーザと管理者の考えるEUCの課題例
図5: ユーザと管理者の考えるEUCの課題例

実は図5に挙げた課題や要望は、Horizon と AirWatch により、下記のように解決して満たしていくことが可能です。
図6: Horizon と AirWatch により実現されるEUC全体像
図6: Horizon と AirWatch により実現されるEUC全体像

特にハイライトしたコンポーネントについてカテゴリを分けて説明していきます。

§2.1. サーバサイドの構成・管理について – SDDC との組み合わせ

◇コスト面( vSphere, VMware Virtual SAN™ 

コスト面について懸念点となりうるのは、コストの総額を抑えたいという点と、初期導入コストを抑えスケールアウト時に線形に投資を増やしたいという点ではないでしょうか。vSphere では多くの仮想マシンを一台の物理サーバ上で稼動させることができ、サーバについてはハードウェアコストを比較的抑えながら仮想基盤を準備することができます。一方、ストレージについては、共有ストレージはそれなりの規模感での導入が必要になり、スモールスタートして効果を見ながら徐々に部署ごとに導入していくといった展開の仕方にそぐわない場合があります。初期導入時に今後の展開を見越した規模で購入されるケースも多く、初期導入コストの高さは導入時のハードルの一つになりえます。Virtual SAN ではローカルのデータストアを活用しつつ共有ストレージとして扱うことができるため、仮想デスクトップ数に比例してサーバ数とディスクを増やし、ストレージコストを必要容量に比例させることが可能です。

図7: Virtual SAN データストアのイメージ
図7: ローカルディスクを共有ストレージとして扱うことが可能な Virtual SAN

◇ポリシーに基づくストレージ利用(Virtual SAN、VMware vSphere® Virtual Volumes™ 

一口に仮想デスクトップ環境といっても用途は様々で、ストレージに必要とされる性能や耐障害性も環境ごとにバラバラであることが考えられます。従来の方法では、ストレージ側で LUN を作成する際にRAID構成を決め、データストアに紐付いたストレージ性能に応じて仮想デスクトップへの割り当てがされていたと考えられます。しかしながら、これはLUNという単位に縛られ、柔軟な容量の伸縮や細かい単位でのストレージポリシーの変更には限界がありました。Virtual SAN や Virtual Volumes を利用した場合には、性能や耐障害性に関するポリシーを設定することで、ストレージ内に自動で適切な配置が行われます。Virtual SAN、Virtual Volumes それぞれの詳細やポリシーとして設定可能な項目については、リンク先をご参照ください。
<Virtual SAN> https://blogs.vmware.com/vmware-japan/2013/11/vsphere-55-vsan-1.html
<Virtual Volumes> http://blogs.vmware.com/vmware-japan/2015/05/vmware-vsphere-virtual-volumes-vvols.html

◇セキュリティ対策(VMware NSX、VMware vShield Endpoint™ 

仮想デスクトップもデスクトップとして利用される以上、セキュリティ対策は必要となります。ここで2点言及するのは、ネットワークをどう構成するか、とウィルス対策のようなセキュリティソリューションをどう活用するか、についてです。ネットワーク構成については、近年の情報漏洩問題や攻撃の報告から、ゼロトラスト型、あるいは拡散防止型と呼ばれる社内環境をファイアウォールで細かく区切る方式が推奨されます。ファイアウォールで区切られたセグメントが極小化するということで、マイクロセグメンテーションとも呼ばれますが、このような環境は NSX によりハイパーバイザ内で仮想マシンごとにファイアウォールを設置することで実現可能です。NSX は vSphere と連携して、vSphere Web Client の画面上からレイヤ4レベルのファイアウォールルールを、プールに属する仮想デスクトップのような vSphere 上のオブジェクト単位で設定可能です。また、レイヤ7のファイアウォールを希望される際には、Palo Alto Networks社と連携した対策が可能です。

図8: 分散ファイアウォールによるマイクロセグメンテーション
図8: 分散ファイアウォールによるマイクロセグメンテーション

ウィルス対策に関しては、McAfee社やTrend Micro社、Symantec社といったセキュリティベンダーのソリューションの利用が考えられます。vSphere 環境上でセキュリティソリューションを利用される際には、vShield Endpoint を利用することで、スキャン機能のハイパーバイザへのオフロードが可能です。これにより、エージェントのインストールなしに仮想デスクトップのスキャンが行えたり、スキャン時刻がずれるようスケジュールすることでパフォーマンスの低下を抑えたりすることが可能です。また、ウィルスが発見されるなど問題のある仮想マシンが発見された場合にはセキュリティベンダーが指定した仮想マシンについて、NSX によるファイアウォールルールを自動で変更して通信を遮断するといった対策も可能です。
http://vmware-juku.jp/solutions/vmware-nsx-vdi-security/

◇管理工数(VMware vRealize Operations for Horizon®(以下V4H))

仮想デスクトップは仮想環境上で動作し、リモートから接続するため、管理対象は仮想環境に関わるコンピューティング、ネットワーク、ストレージリソースと各ユーザのセッションが必要となります。このような環境を可視化し、一元的に管理して運用していくためのツールとして V4H が利用可能です。VMware vRealize Operations は vSphere 環境の運用管理を行う製品ですが、V4H では Horizon 環境向けのアダプタを追加してvRealize Operations を利用することにより、仮想デスクトップ環境に特化した監視が提供されます。

図9: V4Hによる仮想デスクトップ環境の監視
図9: V4Hによる仮想デスクトップ環境の監視

 

§2.2. ユーザサイドの構成・管理について – Horizon の機能で仮想デスクトップの多様なニーズに対応

*AirWatch の機能をご利用いただくことで、モバイル環境を中心に更に多様な環境に対応することができますが、今回は Horizon の機能に対象を絞ってご説明いたします。
ユーザサイドの構成や管理をサポートする Horizon の機能を紹介して参りますが、具体的な機能名を挙げる前に、ユーザや管理者にとって必要な機能とは何かを改めて見てみましょう。
仮想デスクトップにはフルクローン/リンククローンといった展開方法の違いや専有/流動といった割り当て方法の違いがありました。いずれの形式で展開・割り当てされた仮想マシンでも、事前にいくつかのアプリケーションがインストールされたデスクトップイメージを管理者が用意し、それを複製してユーザに渡すという点では同じです。この時、ユーザや管理者からは、次のような要望が上がる場合が考えられます。
≪ユーザの要望≫

  • 個別の自由なアプリケーションインストール
  • ユーザプロファイルの保持
  • アプリケーション利用申請から利用環境整備までの迅速さ(利用に申請が必要な場合)
  • 仮想デスクトップ外にあるアプリケーションへのアクセスの分かりやすさ
  • 環境に縛られず幅広いアプリケーションが利用できる環境

≪管理者の要望≫

  • リソース利用効率とユーザの利便性の両立
  • OSやアプリケーションの柔軟なカスタマイズ
  • アプリケーションの迅速な配信ときめ細かなアクセス制御
  • 多様なアプリケーションの一元管理

 

図10: アプリケーションとプロファイルの管理イメージ
図10: アプリケーションとプロファイルの管理イメージ

これらの要望には、仮想デスクトップが下記のような機能を備えることで応えていくことができます。

  • リンククローンや流動割り当てでもアプリケーションのインストールと保持が可能
  • ユーザのプロファイル情報(OS の設定情報、アプリケーションの設定情報、ユーザデータ)をユーザに紐付けて保持・管理
  • アプリケーションの迅速な配信
  • アプリケーションのカプセル化(仮想化)
  • 一元的なアクセス管理が可能なポータル

本稿では、アプリケーション管理、プロファイル管理、アクセス管理、という3つの視点で説明いたします。

◇アプリケーション管理

管理者が事前に仮想デスクトップイメージに含めたアプリケーションは当然利用可能となりますが、この他にユーザは権限を満たせば個別にデスクトップにアプリケーションのインストールを行うことができます。しかしながら、リンククローンの環境では更新時に差分ディスクにインストールされたアプリケーションデータは消えてしまいますし、流動割り当ての場合は各ユーザがログインの度に別のデスクトップの利用になりえます。VMware AppVolumes では、各デスクトップにWritable Volumes というアプリケーションのインストールデータを保持する仮想ディスクをつけることで、ユーザに紐付けた個別インストールアプリケーションの管理を行います。
一方で、管理者の目線では、ライセンス数の都合などで管理された範囲内でユーザにアプリケーション利用を提供したい場合が考えられます。AppVolumes のAppStack という機能では、アプリケーションがインストールされた仮想ディスクを直接各仮想デスクトップに読み取り専用としてつけることで、ユーザに対する紐付けのみでアプリケーションを利用可能に配信することが可能です。また、VMware ThinApp®という機能では、アプリケーションをカプセル化することで、異なる Windows OS 間でも環境に依存せずにアプリケーションを利用可能にします。ThinApp もユーザに対する割り当てが可能なため、仮想デスクトップ内にないアプリケーションを管理者が配信して利用させるもう一つの方法となります。
これらの方法によって、アプリケーションはユーザに紐付けた管理も可能となり、デスクトップリソースは共有しつつもユーザには個別のカスタマイズされたアプリケーション利用環境を提供することが可能となります。

◇プロファイル管理

ユーザに提供される仮想デスクトップは、管理者が事前にカスタマイズすることが可能です。この際、管理者側で事前に定義したい設定事項はGPOとして設定し、ドメインに参加している物理ラップトップ/デスクトップ同様に仮想デスクトップOSの管理が行えます。一方で、ユーザが個別に変更可能な部分に関する情報は、ユーザごとに保持する必要があります。Active Directoryの機能である移動ユーザプロファイルによって保持することも可能ですが、VMware User Environment Manager ( 以下UEM )という機能では、ユーザのOSレベルのプロファイルだけでなく、アプリケーションの設定情報やユーザデータもプロファイルとして管理または保持することが可能です。UEM により、管理者は事前にアプリケーションレベルでより細かくカスタマイズした環境を提供したり、ユーザ個別のプロファイルの反映された環境を提供する一方で基盤となる仮想デスクトップは共有のリソースとして構成したりすることが可能となります。

◇アクセス管理

ユーザが仮想デスクトップを利用する際にアクセスするのは、仮想デスクトップ内のアプリケーションやデータには限られません。社内システム上のアプリケーションは当然ながら、公開アプリケーションや XenApp により提供されるアプリケーション、ThinApp によりカプセル化されたアプリケーション、SaaS として社外の環境から提供されるアプリケーションなど様々です。Identitiy Manager(旧称:Workspace Portal )では、ユーザごとに権限の割り当てられている仮想デスクトップ、公開アプリケーション、ThinApp アプリケーション、XenApp アプリケーション、SaaS アプリケーションをポータルとして集めて表示し、一元的なアクセスポータルを提供します。ユーザはブラウザ経由でアクセスし、それぞれのコンポーネントを一度のみのログインで利用可能となります。Horizon Client では、仮想デスクトップと公開デスクトップ、公開アプリケーションへのアクセスを提供するため、より広い範囲で、VMware 製品以外の環境へのアクセスもシングルサインオンで提供する点が Identity Manager の差異となって参ります。

図11: Identity Manager のポータル画面イメージ
図11: Identity Manager のポータル画面イメージ

なお、以上で紹介しているコンポーネントに関して、Horizon 6 の各エディションで含まれるコンポーネントはホワイトペーパーをご参照ください。
https://www.vmware.com/files/jp/pdf/products/horizon-view/VMware-Horizon-View-Pricing-Licensing-FAQ.pdf

■まとめ

以上で全7回の連載は終了です。シリーズを通じていかがでしたでしょうか。仮想デスクトップとは、という基本的なところからHorizon 6の機能をベースに基本的な接続に必要な構成、オプションとして構成可能な選択肢を全般的に見てきました。この連載を機会に少しでも仮想デスクトップへの理解を深めていただければ幸いです。パフォーマンスのチューニング方法など細かい点については、まだまだ奥の深い部分もありますので、ぜひ他の記事や弊社ウェブページの資料もご参照ください。最後までお読みいただきありがとうございました。
新卒2年目社員が贈る 仮想デスクトップのキソ!
第1回 仮想デスクトップと Horizon 6 ( with View)
第2回 仮想デスクトップの基本構成
第3回 プール作成と割り当て
第3.5回 View Composer の仕組み
第4回 接続方法と接続元端末
第5回 公開アプリケーションのキソ
第5.5回 ThinAppによるアプリケーション仮想化のキソ
第6回 スケールアウト対応
第7回 完結編、仮想デスクトップと関連ソリューション総まとめ
第 8.1 回 App Volumes を使ってみよう その1
第 8.2 回 App Volumes を使ってみよう その2

関連記事