VDI от Microsoft: новые возможности и перспективы
VDI на базе Windows Server 2012
Инструмент развертывания VDI на основе сценариев определяет и настраивает все необходимые роли автоматически на одном или нескольких серверах
Одна из проблем, с которой сегодня все чаще сталкиваются ИТ-отделы, заключается в повышении эффективности труда сотрудников, использующих для работы разнообразные мобильные устройства. Решить эту задачу можно с помощью технологии Virtual Desktop Infrastructure (VDI, инфраструктура виртуальных рабочих столов), которая обеспечивает пользователям персонализированный доступ к приложениям и данным практически из любой точки и с любого устройства. Виртуализация рабочих столов дает возможность преодолеть несовместимость между разными устройствами, централизовать их обслуживание, упростить развертывание, настройку, конфигурирование и обновление приложений, осуществлять контроль инфраструктуры в соответствии с требованиями безопасности.
Как правило, технология VDI применяется в следующих случаях:
- в распределенных средах, в которых требования к готовности рабочих мест высоки, а техническая поддержка не может обеспечиваться быстро;
- в средах, в которых сетевые задержки значительно снижают производительность традиционных приложений клиент/сервер;
- в средах, в которых используется удаленный доступ и в то же время предъявляются высокие требования к информационной безопасности.
В данной статье рассматривается последний вариант, т.е. применение VDI для удаленного доступа.
Системы Windows Server 2012 и System Center 2012, в которых появился расширенный набор VDI-инструментов, упрощают развертывание на предприятиях инфраструктуры виртуальных рабочих столов и управление ею.
Подход Microsoft к виртуализации рабочих столов
Основу для реализации инфраструктуры виртуальных рабочих столов составляет гипервизор Hyper-V и служба удаленных рабочих столов Remote Desktop Services (RDS). С помощью VDI сотрудники могут получить удаленный доступ к ресурсам корпоративной сети, а системные администраторы — управлять клиентами, находящимися за пределами внутренней сети. При этом виртуальные машины (ВМ) пользователей работают на базе Hyper-V на одном или нескольких серверах, которые могут быть расположены в корпоративном ЦОДе, у стороннего провайдера или в облаке.
На клиентское устройство выводится только пользовательский интерфейс, а на сервер с устройства передаются команды от мышки и клавиатуры, а также по выбору данные от USB-устройств, видеокамеры, флэш-накопителей. Для подключения удаленного устройства к серверу предназначена служба RDS. Такое взаимодействие пользователя с виртуальной машиной, находящейся на сервере, напоминает взаимодействие телезрителя с ТВ-центром: с помощью пульта он выбирает канал и получает изображение, но при этом остается изолированным от среды, являющейся источником информации. Эта изоляция позволяет отделить корпоративную систему от физической машины пользователя и тем самым обеспечить ее защиту от вирусов, несанкционированного доступа, неожиданного прекращения питания и других напастей, которым подвержены клиентские устройства.
Windows Server 2012 предоставляет пользователям унифицированный интерфейс администрирования для настройки и управления виртуальными рабочими столами, сеансами доступа к удаленным рабочим столам и приложениям. Кроме того, в Windows Server 2012 появилось немало улучшений, которые упрощают удаленным пользователям просмотр графических файлов и видеозаписей, а также обеспечивают поддержку широкого спектра устройств и сохранение персональных параметров настройки.
В Windows Server 2012 реализована поддержка трех вариантов развертывания VDI:
- персональные рабочие столы;
- пулы рабочих столов;
- удаленные рабочие столы с сеансовым доступом (подход, ранее реализуемый через службы терминалов).
Сценарий персональных рабочих столов позволяет пользователю работать с точной виртуальной копией его физической машины. При этом у каждого есть отдельный экземпляр ВМ, с которым он может делать то же самое, что и со своим физическим устройством: самостоятельно устанавливать, обновлять и удалять приложения, загружать информацию и выступать в роли администратора. После выхода из системы все внесенные изменения сохраняются, а при запуске каждый раз пользователь подключается к последнему сеансу. Исправления координируются таким образом, чтобы избежать конфликтов и сбалансировать нагрузку на сервер. Следует отметить, что этот сценарий довольно ресурсоемкий, так как каждая ВМ занимает место на диске сервера и их число ограничено объемом дискового пространства.
Вариант пула рабочих столов поддерживает вместо отдельных экземпляров виртуальной машины единую ведущую ВМ с возможностью общего доступа. Здесь важную роль играют профили пользователей. Когда кто-либо подключается к общей ВМ, из его профиля на нее загружаются нужные ему приложения, персональные настройки и необходимые данные. В этом случае существенно экономится место на дисках и упрощается развертывание VDI. Управлять исправлениями и устанавливать их придется только в одном образе.
Сценарий удаленных рабочих столов с сеансовым доступом, который также называют терминальной сессией, предполагает, что человек работает не с настольной ОС, а с серверной и вместе с коллегами использует одну и ту же машину. Поэтому когда один из них загрузит какое-нибудь приложение, все смогут им воспользоваться. По сравнению с двумя предыдущими вариантами сценарий терминальной сессии гораздо проще в администрировании, дешевле с точки зрения использования ресурсов и быстрее в развертывании.
Выбор варианта зависит от характера работы сотрудников предприятия. Обычно применяются несколько сценариев, когда одна часть пользователей работает в режиме терминального доступа, а другая — с виртуальными рабочими столами. Ведь далеко не всем нужна мощная виртуальная машина. Если сотрудник работает только с программами Outlook и Word, то ему вполне достаточно терминального доступа.
Сценарий персональных рабочих столов требуется тем, кто выполняет сложную работу, для которой нужны административные права в системе, а также в тех случаях, когда в организации используются разные ОС. Вариант пула рабочих столов подходит для операционистов, тестировщиков и других сотрудников, которые каждый день начинают работу с нуля.
В общем случае Microsoft рекомендует подход “30 на 70”, когда для 30% пользователей применяется сценарий виртуальных рабочих столов, а для 70% — терминальный доступ.
RDS — что нового?
Служба удаленных рабочих столов — подсистема Windows Server, через которую пользователи подключаются к виртуальным рабочим столам и терминальным сессиям. Главная задача RDS — поддержка централизации и контроля всех приложений и данных, которые сотрудники используют на различных устройствах.
В Windows Server 2012 в службу RDS внесены существенные усовершенствования, направленные на упрощение работы ИТ-администраторов и пользователей. Первым предложена централизованная консоль управления, которая сокращает общие затраты времени на организацию доступа к инфраструктуре виртуальных рабочих столов.
Инструмент развертывания на основе сценариев определяет и настраивает все необходимые роли (узел сеансов удаленных рабочих столов, посредник, веб-доступ) автоматически на одном или нескольких серверах, поэтому вычислительная среда может быть запущена в течение нескольких минут.
Единая консоль позволяет централизованно управлять группами серверов, ролями и виртуальными рабочими столами, а также публиковать приложения с помощью технологии RemoteApp.
Одним из компонентов службы RDS является протокол Remote Desktop Protocol (RDP). В Windows Server 2012 реализована версия RDP 8, которая работает с клиентскими ОС Windows 7 и 8, обеспечивая поддержку новых графических эффектов, а также передачу звука, перенаправление USB-устройств, обмен файлами между хостом и виртуальной машиной через буфер обмена, одноразовый ввод паролей при веб-доступе к удаленным рабочим столам, использование видео-конференций посредством клиента Lync в сессиях удаленных виртуальных рабочих столов и другие возможности.
В RDP 8 существенно расширен функционал входящей в него технологии RemoteFX, предназначенной для удаленной работы с видео высокой четкости и сложной графикой в любых форматах за счет виртуализации серверного видеоадаптера. Благодаря RemoteFX вся графическая обработка, нужная пользователям виртуальных рабочих столов, выполняется на сервере, причем теперь для RemoteFX не требуется, чтобы на сервере был установлен мощный видеоадаптер.
Среди других важных новшеств RemoteFX следует отметить поддержку мультитач-экранов на клиентских устройствах и улучшенные средства удаленной работы с мультимедийным контентом в глобальных сетях.
Упрощение администрирования
Разнообразие сценариев использования корпоративных ресурсов и подключаемых к ним клиентских устройств приводит к существенному усложнению управления корпоративной ИТ-средой. Решить эту проблему и повысить эффективность работы ИТ-администраторов позволяет предлагаемый Microsoft пакет System Center.
В новой версии System Center 2012 значительно расширены возможности подсистемы Configuration Manager, которая служит для управления ресурсами, работой и настройками персональных и виртуальных клиентских устройств. При этом применяется единый подход, позволяющий унифицировать управление физическими, виртуальными и мобильными клиентами. Кроме того, Configuration Manager содержит инструменты и функции, упрощающие работу ИТ-администраторов, и базовый функционал для управления устройствами Exchange ActiveSync, позволяющий выполнять инвентаризацию ресурсов, дистанционное удаление данных или ввод PIN-кода с помощью единой инфраструктуры управления физическими и виртуальными клиентами.
Благодаря единому набору инструментов, унифицирующему управление настольными компьютерами, тонкими клиентами и виртуальными рабочими столами, Configuration Manager 2012 позволяет упростить реализацию инфраструктуры виртуальных рабочих столов и скоординировать доставку на них приложений.
Преимущества VDI
Таким образом, с помощью Windows Server 2012 и System Center 2012 ИТ-отделы могут предоставлять пользователям гибкий доступ к приложениям и данным практически из любой точки мира, гарантируя поддержку наиболее популярных устройств и различных пользовательских интерфейсов. Благодаря внедрению VDI значительно упрощается управление, усовершенствуется защита данных, а также контроль за их соответствием нормативным требованиям. При этом преимущества получают и ИТ-специалисты, и конечные пользователи.
Инструмент развертывания на основе сценариев определяет и настраивает все необходимые роли автоматически на одном или нескольких серверах, поэтому вычислительная среда может быть запущена в течение нескольких минут. Единая консоль управления позволяет централизованно администрировать и управлять группами серверов, ролями и виртуальными рабочими столами, а также публиковать приложения RemoteApp.
Работа пользователей упрощается за счет унификации интерфейса удаленного доступа, усовершенствований в RemoteFX, обеспечивающих высокое качество обмена данными даже в сетях с узкой полосой пропускания, перенаправления USB-устройств, сохранения параметров пользовательской персонализации, поддержки мультитач-ввода и однократной аутентификации при входе в систему.
Второе поколение виртуальных машин в Windows Server 2012 R2
Сегодня я хотел бы подробнее остановиться на одной из новых возможностей Hyper-V в Windows Server 2012 R2, упомянутой мною в обзорном посте, а именно, обсудить второе поколение виртуальных машин (ВМ). Тема становится особенно актуальной с доступностью RTM Windows Server 2012 R2 для подписчиков TechNet и MSDN и скорым выпуском финальной версии System Center 2012 R2
Почему появилось второе поколение ВМ?
С выходом Windows Server 2012 R2 в Hyper-V появилось возможность создавать ВМ двух разных типов или двух разных поколений (Generation 1 и Generation 2). ВМ первого поколения представляют собой виртуальные машины, хорошо известные по предыдущим версиям Hyper-V. Все, что вы привыкли видеть в настройках ВМ, плюс ряд новых настроек, вы увидите в машинах первого поколения. Они никуда не делись, вы можете и дальше спокойно их использовать.
Но помимо этого вы можете теперь создавать ВМ второго поколения. Это поколение отражает изменения, которые произошли и продолжают происходить как в архитектуре ОС, так и в аппаратном обеспечении современных компьютеров. На рубеже Windows 2000, Windows XP, Windows Server 2003 операционные системы проектировались без учета технологий виртуализации, тогда еще только набиравших обороты. Чтобы нормально запустить такие ОС внутри виртуальной машины необходимо было создать для них иллюзию запуска на физическом компьютере. Как следствие, приходилось эмулировать различное оборудование, как то: BIOS, контроллер прерываний, IDE-контроллер, стандартные порты ввода-вывода и пр. Вы легко увидите перечень эмулируемых устройств, если загляните в Device Manager на ВМ первого поколения.
Эмуляция, с одной стороны, приводит к дополнительным накладным расходам, прежде всего, к лишним тактам процессора, с другой стороны, каждое эмулируемой устройство – дополнительный довольно сложный код, потенциально расширяющий поверхность для атак.
С течением времени ОС стали проектироваться с учетом того, что система может, или даже скорее всего будет работать в виртуальной среде. Такая ОС «знает», что запускается внутри ВМ и, как на этапе загрузки, так и в ходе своей работы, опирается на ресурсы, предоставляемые родительским разделом (хостовой ОС). Иными словами, ОС уже при старте общается с гипервизором через шину VMBus, а не рассчитывает обнаружить контроллер прерываний или чипсет определенного типа. Следовательно, для таких ОС можно отказаться от унаследованных эмулируемых устройств и повысить производительность ВМ. Действительно, в Deviсe Manager ВМ второго поколения картина будет иной.
В чем преимущества ВМ второго поколения?
Отказ от эмуляции устаревших устройств изменяет «начинку» ВМ второго поколения. В свойствах таких ВМ вы увидите примерно следующее:
Отсюда можно выделить следующие преимущества ВМ второго поколения:
- Безопасная загрузка (Secure Boot) ВМ. Вместо стандартного BIOS используется firmware на основе спецификации UEFI и как часть этой спецификации поддерживается безопасная загрузка ВМ, что предотвращает возможность поражения ОС при запуске. Secure Boot может быть отключена.
- Загрузка с виртуального SCSI-диска или SCSI-DVD. Виртуальный IDE-контроллер вообще отсутствует в машинах второго поколения.
- «Горячее» изменение размера загрузочного раздела. «Горячее» добавление, а также изменение размера (в том числе, уменьшение) виртуальных SCSI-дисков возможно и для ВМ первого поколения. Но поскольку именно ВМ второго поколения умеют грузиться со SCSI, то для них вы можете изменить размер в том числе загрузочного раздела «на лету».
- Загрузка по сети с использованием синтетического сетевого адаптера проходит быстрее, чем при использовании Legacy Network Adapter в ВМ первого поколения.
Таблица ниже подытоживает «аппаратные» изменения в ВМ второго поколения.
| Legacy Devices Removed | Replacement Devices | Enhancements |
|---|---|---|
| IDE Controller | Virtual SCSI Controller | Boot from VHDx (64TB max size, online resize) |
| IDE CD-ROM | Virtual SCSI CD-ROM | Hot add/remove |
| Legacy BIOS | UEFI firmware | Secure Boot |
| Legacy NIC | Synthetic NIC | Network boot with IPv4 & IPv6 |
| Floppy & DMA Controller | No floppy support | |
| UART (COM Ports) | Optional UART for debugging | Faster and more reliable |
| i8042 keyboard controller | Software based input | No emulation – reduced resources |
| PS/2 keyboard | Software based keyboard | No emulation – reduced resources |
| PS/2 mouse | Software based mouse | No emulation – reduced resources |
| S3 video | Software based video | No emulation – reduced resources |
| PCI Bus | VMBus | |
| Programmable Interrupt Controller (PIC) | No longer required | |
| Programmable Interrupt Timer (PIT) | No longer required | |
| Super I/O device | No longer required |
Возникает резонный вопрос, отличается ли скорость работы ВМ первого и второго поколений? Когда ОС загрузилась, какую-то разницу в скорости работы вы, скорее всего, не заметите. Интеграционные компоненты внутри гостевой ОС позволяют работать ВМ максимально эффективно. Но есть две ситуации, в которых разница может быть очень ощутимой – это установка гостевой ОС и загрузка ВМ. Именно на этих этапах эмуляция оборудования сказывается весьма существенно.
В качестве иллюстрации я провел следующий эксперимент: создал две ВМ, первого и второго поколения соответственно, обеим ВМ выделил одинаковое количество оперативной памяти и виртуальных процессоров и одновременно запустил установку Windows Server 2012 R2 внутри созданных ВМ с одного и того же ISO-образа. Вот так выглядела картина в начальной фазе установки (ВМ второго поколения внизу):
И вот такую разницу можно было наблюдать позже:
Таким образом, при развертывании ВМ, а также при старте ВМ, что, например, особенно важно в сценариях VDI, разница в производительности ВМ второго поколения может достигать 50% и более.
Особенности использования ВМ второго поколения
Необходимо помнить несколько принципиальных моментов, относящихся к эксплуатации ВМ второго поколения.
В качестве гостевых ОС в ВМ второго поколения могут использоваться только:
- Windows Server 2012
- Windows Server 2012 R2
- 64-битная версия Windows 8
- 64-битная версия Windows 8.1
Это связано с тем, что именно эти версии ОС поддерживают спецификацию UEFI 2.3.1, в которой, в частности, реализована технология Secure Boot.
Вы можете создать ВМ второго поколения в консоли Hyper-V,
либо с помощью командлета PowerShell New-VM, указав ключ –Generation 2.
При этом надо иметь в виду, что поколение указывается только на этапе создания ВМ. В дальнейшем конвертировать ВМ из одного поколения в другое невозможно как раз в силу того, что в одном случае используется BIOS, в другом – UEFI.
Последний аспект, который хотелось бы отметить, связан с управлением. Управление хостами с Windows Server 2012 R2 возможно с помощью System Center 2012 R2 Virtual Machine Manager. В доступной сейчас preview-версии System Center 2012 R2 поддержка второго поколения ВМ отсутствует. Но в RTM-версии System Center 2012 R2 (а она уже не за горами) эта поддержка будет добавлена.
Итак, новое поколение ВМ в Windows Server 2012 R2 лишено устаревших эмулируемых устройств, поддерживает ряд новых возможностей и обеспечивает прирост производительности, особенно на этапах установки и загрузки гостевых ОС. Применение машин второго поколения сейчас сужает перечень поддерживаемых гостевых ОС, однако для остальных систем можно по-прежнему применять ВМ первого поколения, которые прекрасно сосуществуют с ВМ второго поколения на одном хосте виртуализации.
Дополнительную информацию о новых технологиях Windows Server 2012 R2 вы сможете найти на портале MVA в курсе “Jump Start: Все о Windows Server 2012 R2”.