Настройка тонкого клиента vdi
Citrix + бездиковая станция + технологии Microsoft
Со стороны пользователя. Он приходит на работу, жмет на кнопку включения, загружается операционная система, вообщем все как обычно. Не подозревает, что у него в миниатюрном системном блоке нет жесткого диска. Если вдруг ломается компьютер, то заменяется на такой же, без простоев.
Со стороны администратора. Типичные задачи администратора или специалиста технической поддержки упрощаются. Новое рабочее место сотрудника, установка драйверов или стандартного программного обеспечения — легко. Данные пользователя в перемещаемом профиле (roaming profile) и перенаправленных папках хранятся централизованно, а значит, резервное копирование данных тоже централизованное.
Все очень похоже на VDI, только нет сумасшедшей нагрузки на серверную инфраструктуру. Похоже на локальные компьютеры, но данные хранятся централизованно.
Итак, посмотрим на архитектуру самого решения.
1 шаг. У администратора есть системный блок, где он развернул операционную систему, установил стандартные программы, драйверы. Далее, с помощью Citrix Provisioning server client снимается образ системы и импортируется на Citrix Provisioning server.
2 шаг. Минимально достаточно двух виртуальных (или не виртуальных машин). Одна с установленной ролью Active Directory, DHCP, DNS, вторая сервер Citrix Provisioning. Искренне советую использовать SSD диск для хранения золотого образа из шага 1. Именно этот образ будет доступен на чтение всем (или группе) бездисковых системных блоков пользователей.
Возможно я буду советовать использовать Microsoft vApp 5.0 после того, как проведу тесты. Тогда можно будет образ операционной системы не нагружать программами, а запускать их из контейнеров. Каждый сотрудник сможет использовать те программы, которые ему нужны.
3 шаг. Загрузка рабочих станций происходит по PXE, для этого нужно в DHCP прописать два параметра и активировать LAN Boot в BIOS мини-компьютера
4 шаг. Компьютер получает виртуальный диск на чтение. Это похоже на технологию презентации LUN-а по iSCSI. Сеть нагружена незначительно, это я потом покажу в статьях по настройке. Естественно, во время работы образуются временные файлы (КЭШ) он может храниться в RAM оперативной памяти или на сервере.
Если происходит перезагрузка, то вся информация удаляется, профиль перед выходом из сессии синхронизируется. Чтобы не потерять файлы при внезапном выключении питания или потере связи с сервером, нужно приучить пользователей хранить их в перенаправленных папках.
Можно создать персональную машину для пользователя, презентовав ему в единоличное пользование на чтение-запись отдельный диск.
Всем доброго дня. Сегодня мы рассмотрим тонкий клиент HP T410 All-in-one и его возможности в VDI-сетях. Начнем, пожалуй, с интересного, с инфраструктуры.
VDI — Virtual Desktop Infrastructure — подразумевает использование мощного сервера с надежной СХД и практически «беспомощных» клиентов, единственное назначение которых — подключиться по сети к серверу, получить доступ к виртуализированному рабочему месту и дать возможность пользователю делать то, зачем он пришел на работу.
Мы уже рассказывали в общих чертах, что такое VDI и чем оно отличается от RDS. Настало время для тесного знакомства c программно-аппаратным комплексом! В качестве устройства, которое будет демонстрировать работу с VDI — наш Smart Zero тонкий клиент, выполненный в форм-факторе моноблока.
Первым делом — смотрим eго спецификации:
- ARM Cortex A8 процессор, 1 ГГц;
- 1 гигабайт DDR3 памяти;
- 2 гигабайта флеш-памяти;
- 4 USB-порта 2.0:
- 1 порт Ethernet;
- 3.5 мм выход под наушники и микрофон;
- стереоколонки.
- блок питания — 24 ватт, 100-240 вольт, 50-60 герц;
- возможность использовать POE-T1 (Power over Ethernet, Type 1).
Как видите, потребности у этого клиента не велики, ему хватает питания от сетевого кабеля (правда, POE-оборудование не относится к классу дешёвого и доступного), а собственные мощности позволяют не только загрузить свой сервисный софт, но подключить к нему беспроводные мышку с клавиатурой, внешний накопитель (жесткий диск или флешку), девайсы для авторизации через биометрию и средства аутентификации. На флеш-носителе хранится микро-ОС, отвечающая за первоначальную настройку и хранение некоторой сервисной иформации, мы называем эту технологию Smart Zero — это не полностью Zero-клиент, наша операционка чуть сложней и функциональней, но до монструозной (по меркам тонких клиентов) Windows Embedded ей очень и очень далеко.
Подключить к серверу виртуальных рабочих станций этого малыша можно самыми разными способами, от коннекта по RDP к обычной рабочей станции или серверу с Windows Server 2012 до полноценного подключения к VDI-серверу, скажем, через Citrix ICA 12.
За первоначальную настройку отвечает простой и удобный мастер:
Yичего сложного в этом нет, и подключение нового рабочего места занимает 15 минут, из которых 10 — достать из коробки новый T410 и подключить его к сети (питанию, опционально), а мышка и клавиатура идет в комплекте.
Подключение и работа в дальнейшем также максимально просты и быстры:
И снова внутри ничего сверхъестесственного. Выдача настроек, конфигурация окружения, резервирование дискового пространства, если указано в групповых политиках. Просто для администратора, прозрачно и абсолютно незамтно для пользователя.
На что теперь способен HP T410? Зависит от того, что крутится на сервере для «виртуалок». Если там — Windows 7 — то весь доступный ей софт, от офисного пакета и веб-обозревателя до 1С и прочих бухгалтерских приложений. Если Linux — удобные средства разработки ПО, которые не требовательны к мощностям клиентской машины в момент написания кода, но активно потребляют все доступные в момент компиляции и отладки.
Стоимость обслуживания
Сейчас многие пересмотрели своё отношение к стоимости содержания парка компьютерной техники (ее ведь и обновлять регулярно надо, а некоторые за это время успели сменить четыре сокета, например, долгожитель-775 практически полностью исчез с рынка, 1136 канул в лету, 1156 последовал за ним же, да и 1155 осталось не долго, в тыкву превратится этим летом). Тонкие клиенты практически не выходят из строя (в них просто нечему ломаться — вся электроника примитивна, потребляет мало электроэнергии, выделяет мало тепла, да и не несет никаких тяжелых нагрузок), а серверное оборудование при должном обслуживании тратит куда меньше нервов администратора, отличается повышенной надежностью и «гудит» в отдельно отведенном помещении, оставляя офис тихим и прохладным.
Надёжность программно-аппаратного
Самое главное — VDI позволяет построить полностью независимую инфраструктуру, в которой падение одной виртуальной машины (мало ль у вас в офисе есть пользователь с кармой тестировщика, роняющий Windows в BSOD даже блокнотом) никак не отразится на работе остальных.
Обратной стороной такого решения становится стоимость мощного серверного оборудования и, возможно, отдельной СХД, которые будут поддерживать бесперебойную работу нескольких десятков человек, гибко обеспечивая доступ к необходимым вычислительным ресурсам и надежной системе хранения данных, которая обеспечивает бесперебойный доступ к информации и не боится выхода из строя нескольких носителей.
Модельный ряд HP Flexible Thin Clients предлагает несколько тонких клиентов с различной конфигурацией и производительностью. На тонких клиентах используется несколько операционных систем: HP ThinPro, HP Smart Zero Core, Windows Embedded.
Далее я опишу процесс настройки тонких клиентов на базе ОС HP Smart Zero Core с рекомендациями.
Основной модельный ряд t5565/t5565z и t5570/t5570e представляют из себя одно устройство, тонкие клиенты отличаются между собой базовой ОС, размером флеш накопителя и оперативной памяти. После появления t510 от прежней маркировки отказались, и тонкие клиенты можно отличить только по парт номеру.
t520 отличается от своих предшественников. Установлен процессор AMD, используется разъем для блока питания как в линейке ноутбуков Probook/ElitBook, отсутствуют порты PS/2.
Документацию для t5565/t5570/t510 можно загрузить здесь, а для t520 здесь.
HP ThinPro и HP Smart Zero Core основаны на Ubuntu Linux.
Начиная с версии 5.0, HP ThinPro и HP Smart Zero Core объединили, сейчас для скачивания доступна версия 5.2.
Модель t5570/t5570e с ОС Windows стоит дороже своих аналогов на Linux, но при желании вы можете установить HP ThinPro или HP Smart Zero Core.
Если зайти на страницу загрузки ПО для t5565/t5565z вам предложат скачать только HP Smart Zero Core 4.4. Вы можете смело скачать образ версии 5.2 для t510 и установить.
На t5565/t5565z установить Windows не получится, флешка маловата. Заменить флешку на практике экономически не выгодно, это превысит стоимость тонкого клиента.
Для управления парком тонких клиентов предлагается использовать HP Smart Zero Client Service.
Установите Profile Editor и Automatic Intellidgence. Intellidgence Delivery Service я не использую.
В процессе установки Automatic Intellidgence создается веб узел HP Automatic Update.
Создайте на DHCP сервере «ссылку» на HP Automatic Update, за это отвечает String параметр 137.
Профиль по умолчанию
Запустите Profile Editor и создайте профиль по умолчанию.
Обратите внимание на наличие галочки «показывать все параметры».
Все ваши параметры будут подсвечены зеленым цветом.
Если вы только начали работу с HP Smart OS:
1 — Укажите версию вашего образа.
2 — Укажите протокол (RDP, Citrix, VMware View, WEB Browser).
3 — Укажите хост.
Индивидуальный профиль
Для создания индивидуального профиля, поместите файл в папку MAC, в имени используйте MAC адрес тонкого клиента.
В данный момент у пользователей установлено примерно 100 шт. t5565/t5570/t510. На все тонкие клиенты установлена ОС HP Smart Zero Core 4.4. Все тонкие клиенты используются для подключения к RDSH Windows Server 2008 R2.
Установка
Последнюю версию Smart Zero Core Image Z6X44017 Rev. 1(13 Jun 2014) можно скачать здесь.
1 — Создайте установочную флешку.
2 — Подключите флешку и перезагрузите тонкий клиент.
3 — После перезагрузки тонкий клиент проверит наличие сервера HP Automatic Update, загрузит профиль и обновления, а если его нету запустит wizard и предложит вам выбрать протокол и хост.
Для каждого протокола предлагается свой стиль оформления. После выборе RDP вы будете наблюдать следующий рабочий стол.
Обновления также можно скачать здесь. На этом ftp сервере можно обнаружить тестовые сборки пакетов.
Распакуйте архив и разместите xar файл в каталог с пакетами на сервер HP Automatic Update. Чтобы установить пакет на все тонкие клиенты используйте каталог auto-update\Packages.
Для установки пакета только на тонкие клиенты t510 используйте каталог auto-update\t510\Packages, с другими моделями поступайте аналогично.
После перезагрузки, начнется скачивание и установка.
Рекомендации по профилю
1 — Если на хосте работает служба Windows Audio, при отсутствии гарнитуры тонкий клиент будет воспроизводить звук используя внутренний динамик. Рекомендую звук отключить, при необходимости пользователи смогут его включить.
За отключение звука отвечают ключи root/Audio/OutputMute и root/Audio/RecordMute.
2 — Пользователи блокируются после первого ввода не правильного пароля, это происходит если используется шифрование SSL(TLS 1.0). Когда используется RDP Security Layer таких проблем с блокировкой нет.
Чтобы принудительно установить шифрование RDP Security Layer, необходимо воспользоваться справкой по freerdp клиенту.
Добавьте аргумент /sec:rdp в следующий ключ root/ConnectionType/freerdp/connections//ExtraArgs.
Более подробно про уровни шифрования можно прочитать здесь.
3 — Проверку сертификата хост сервера можно отключить, за это отвечает ключ root/ConnectionType/freerdp/connections//certificateCheck.
4 — Настройте время, за это отвечает ветка root/time.
5 — Установите пароль администратора, за это отвечает ключ root/users/root/password.
6 — Настройте VNC сервер, за это отвечает ветка root/vncserver.
7 — Укажите домен по умолчанию, за это отвечает root/zero-login/defaultCredentials/domain.
Обновление
Используя HP Automatic Update чтобы обновить ОС 4.4 до версии 5.x, необходимо установить пакет ThinPro Upgrade to 5.x Prerequisite Thinstate Addon for 4.x. Если вы не установите Prerequisite Addon, тонкий клиент перестанет загружаться и ОС придется восстанавливать используя флешку.
Разместите образ T6X52011.dd.gz в папке auto-update\Images чтобы обновить все тонкие клиенты, или в папку auto-update\t510\Images чтобы обновить только t510, с другими моделями поступайте аналогично.
2 — В каталоге auto-update/Custom/Z6X52011 создайте необходимую структуру каталогов и файлов:
Каталог Image с образом ОС.
Каталог Packages с апдейтами.
Каталог PersistentProfile и файл profile.xml.
файл index.txt разместите в корне.
Перезагрузите тонкий клиент, новый образ будет загружен и установлен.
Оформление HP Smart Zero Core 5.х для RDP.
Отличия от 4.4
Это только мои наблюдения:
1 — 5.х загружается заметно дольше.
2 — Изменили стиль оформления, добавили «панель задач».
3 — Используя переходник DVi-HDMI я не могу подключить HDMI монитор если установлена ОС 4.4, в 5.2 это исправили.
4 — Если кликнуть на кнопку питания, в случаи 4.4 и протокола RDP выполняется дисконнект сессии. В случаи 5.2 при клике на кнопку питания тонкий клиенты выключится, если вам нужно работать с несколькими учетными записями, нововведение очень не удобно.
Если вы решите вернуть версию 4.4
Скопируйте образ 44017 обратно в папку Image, после перезагрузки начнется скачивание и установка.
Если тонкие клиенты установлены в удаленных офисах и каналы связи не отличаются качеством, HP идет к вам на помощь и предлагает инструмент HP Velocity.
В маркетинговых роликах HP Velocity выглядит очень интересно.
Установка
1 — Обновите пакет Velocity на тонких клиентах.
2 — Установите Velocity на хост машины.
Пакет с обновлением 2.1 для тонкого клиента можно скачать здесь, а серверную част для терминального сервера или виртуальных десктопов здесь. В составе пакета для хостов включены msi дистрибутивы для х86 и х64, документация, и adm шаблон для групповых политик.
После установки, на хосте вы сможете запустить HP Velocity Management.
Практика
На предприятии где я работаю, тонкие клиенты подключаются к серверам на одной площадке, плохие каналы связи по умолчанию отсутствуют. HP Velocity я установил на все терминальные сервера с параметрами по умолчанию, шаблоны для групповых политик не использую.
Вопрос: Зачем я установил HP Velocity?
Ответ: Используя HP Velocity Management, на закладке Flow Information можно наблюдать загрузку процессора тонкого клиента.
Считаю что локальный принтер это зло для службы поддержки и лишние расходы для бизнеса.
Медленно но уверено начали менять на сетевые принтера.
Очень я не хотел подключать принтера к тонким клиентам, но желание заменить старые ПК победило.
В качестве службы печати используется Common UNIX Printing System.
Принтера которые я смог подключить: HP 1022, HP 1102, HP 1160, HP 2015, Samsung 2171N.
Принтера которые отказались печатать: HP 1320, Samsung SCX-4200, Canon LBP 2900/3000.
Подключение принтера
Для подключения USB принтера к тонкому клиенту необходимо установить пакет CUPS Printer Support .
HP Smart Zero Core 5.х содержит данный пакет по умолчанию.
После установки пакета CUPS, в меню Additional Configuration появится новый пункт Printers.
Запустите wizard и добавьте ваш принтер.
Перенаправление принтера (High-level redirection)
По умолчанию перенаправление включено. В случаи необходимости отключить перенаправление используйте ключ root/ConnectionType/freerdp/connections//printerMapping.
После соединение с вашим хостом, вы обнаружите в устройствах принтер.
Обратите внимание на драйвер перенаправленного принтера. Рекомендуется название драйвера задать в настройках принтера, драйвер должен быть заранее установлен на хост.
Принт сервер
Чтобы несколько пользователей могли печатать на один принтер, необходимо настроить принт сервер на тонком клиенте.
Откройте настройки принт сервера и разрешите печать из интернета.
Если принтер не хочет печатать с родным драйвером, попробуйте подсунуть ему драйвер «MS Publisher Imagesetter».
В руководстве к версии 4.4 на странице 48 можно найти раздел посвященный оформлению рабочего стола, а для версии 5.2 на странице 73. Лично я нечего не понял, лед тронулся после прочтение этой публикации.
Стиль оформления состоит из 3х файлов: bgConfig.rtf, zero-login.rtf, desktop.qss. Конфигурационные файлы находятся здесь /etc/hptc-zero-login/styles/, данный каталог содержит несколько стилей оформления: default, firefox, freerdp, rdesktop, view, xen. Скопируйте себе эти файлы, так вам будет проще разобраться. Переключитесь в режим администратора, запустите Х терминал, и скопируйте содержимое на флешку.
Я решил добавить на рабочий стол логотип компании и контакты службы поддержки
1 — Изменил файл bgConfig.rtf из стиля freerdp.
text name: Remote Desktop text;
text: Remote Desktop;
color: white;
font: DejaVuSans-ExtraLight;
max-height: 200;
max-width: 600;
alignment: left vcenter;
font-size: 200;
position: 100,100;
>
text name: Support text;
text: Support 911;
color: white;
font: DejaVuSans-ExtraLight;
font-size: 20;
max-width: 70%;
position: 0%,100%;
alignment: left bottom;
padding: 20;
>
image name: Logo;
source: /etc/hptc-zero-login/styles/demo/logo.jpg;
size: 200x50;
proportional: true;
position: 100%,100%;
alignment: right bottom;
padding: 20;
>
2 — Сделал логотип с прозрачным фоном в формате png.
3 — Создал новый профиль для тонких клиентов, в профиль я импортировал логотип и файлы стиля, новые файлы сохранятся на тонком клиенте в каталоге etc/hptc-zero-login/styles/demo/. В ключе реестра root/zero-login/styledir/freerdp, необходимо указать каталог нового стиля.
После применения нового профиль получилось вот что. Контакты суппорта слева, логотип справа.
Если вы не желаете останавливаться на достигнутом, и хотите установит дополнительное ПО на тонкий клиент.
Используйте Х терминал и команду «sudo mount -o rw,remount /» чтобы перемонтировать файловую систему с правами на запись, затем используйте dpkg или apt-get для установки пакетов.
Для работы apt-get необходимо отредактировать файл /etc/apt/sources.list, по умолчанию репозитории пакетов закомментированы.
Файл sources.list приобретет следующий вид:
Чтобы настроить работу apt-get через прокси сервер, создайте файл /etc/apt/apt.conf с следующим содержимым:
By default, smart cards will be redirected using high-level redirection, allowing them to be used to log in to the session and other remote applications.
This technology requires drivers for the smart card reader driver to be installed on the client. By default, the CCID and Gemalto drivers are installed, which adds support for the majority of smart card readers available. Additional drivers can be installed by adding them to /usr/lib/pkcs11/.
Обещали работу из коробки, но на практике нечего у меня не работало
Долго у меня не получалось настроить проброс токена «BIFIT iBank 2 Key», пока я не добавил аргумент /smartcard:"*" в ключ root/ConnectionType/freerdp/connections//ExtraArgs. Ключ приобрел следующий вид /sec:rdp /smartcard:"*".
Токен начал работать с банком №1, с банком №2 работать не захотел
Диагностика
За работу смарт карт отвечает служба pcscd, в состав SmartOS 4.4 и 5.2 включена версия 1.7.4.
Чтобы проверить работу токена необходимо:
1 — остановить службу /etc/init.d/pcscd stop
2 — запустите службу в режиме отладки pcscd -d -f
После подключения токена вы увидите процесс его загрузки.
По какой то причине, токен периодически не загружается, выявить закономерность у меня не получилось.
Установка драйверов
Токен для банка №2 и №3 не определяется в системе пока не установлены драйвера.
sudo mount -o rw,remount /
sudo apt-get remove pcscd
sudo apt-get update
sudo iBank2Key-Driver-Linux-x86-1.08.sh
Без предварительного удаления службы pcscd, токены не будут определяются. Также чтобы подстраховаться я удалял каталоги /usr/lib/pcsc/ и /usr/lib/pkcs11/.
В тонкие клиенты 5565/5570 установлен процессор VIA Nano u3500 (1 GHz), в t510 установлен процессор VIA Eden X2 U4200 (1 GHz, 2 cores).
Подключение к RDSH Windows Server 2008 R2
На сервере активен протокол RemoteFX, про RemoteFX я писал здесь.
Конфигурация RemoteFX:
Screen capture rate = Highest (best quality).
Screen Image Quality = Highest (best quality).
VIA Nano u3500 заметно уступает VIA Eden X2 U4200, это хорошо видно при работе в Autocad LT 2012.
Autocad LT 2012 необходим для редактирования плоских фигур.
Некоторые пользователи работают на терминальном сервере ws2008R2 и используют RemoteApp Autocad LT 2012.
Autocad LT 2012 установлен на отдельный виртуальный сервер ws2012R2, в этом случаи можно запустить две копии приложения.
Чтобы создать нагрузку на сервер и клиент, я начинал рисовать круг и менял ему радиус по горизонтали несколько минут.
Чтобы снизить нагрузку с процессора сервера и клиента можно и нужно отключить RDP Compression.
В ключе root/ConnectionType/freerdp/connections//compression установите значение 0.
Отключение сжатия дает заметный эффект, но про снижение нагрузки на процессор сервера говорить рано.
Подключение к RDSH Windows Server 2012 R2
VIA Nano u3500 приятно удивил, в сравнении с подключением к ws2008R2, загрузка процессора тонкого клиента заметно ниже.
При работе в Autocad LT 2012 все плавно и быстро в отличии от ws2008R2.
t510 и более ранние модели HP больше не отгружает.
t520 J9A27EA HP ThinPro
320$ — Россия
346$ — Украина
362$ — Молдова
t520 G9F08AA Windows Embedded Standard 7
425$ — Россия
433$ — Украина
Это розничная цена за 1 шт, и цена не самая интересная.
Чтобы получить интересную цену от HP, нужен проект, мне озвучивали условие в 60 шт.
Если вы не тяните на проект или просто хотите сэкономить, можно рассмотреть вариант покупки БУ тонких клиентов t5570/t510, стоимость БУ t510 примерно 120$ за 1 шт.
Предприятие на котором я работаю больше половины тонких клиентов приобрело БУ. Комплект поставки минимальный, тонкий клиент и блок питания. Отдельно пришлось покупать адаптеры DVI-VGA. Один тонкий клиент ремонтировали по гарантии.
Спустя 2 года, тонкими клиентами HP я доволен, плюсов больше чем минусов.
Модельный ряд меняется медленно, не спеша в течении нескольких лет можно заменить проблемные ПК, и в итоге получится одинаковый парк устройств.
Огорчает ценовая политика, трудно объяснить руководству необходимость покупки тонких клиентов по цене, сопоставимой с ценой некоторых ноутбуков.
Нижеследующий текст автора не претендует на истину в последней инстанции и по нему не стоит судить о среднестатистическом уровне IT инфраструктуры в небольших компаниях нашей необъятной страны. Статья написана по мотивам общения с многочисленными знакомыми IT-шниками (в основном уровня «студент» и «только что из института»), начинающих свою карьеру с эникейщика в небольших компаниях.
Все это хозяйство связано в единую локальную сеть посредством одного/нескольких дешевых коммутаторов на 100Мбит. И работает это в едином домене NT/Active directory (хотя встречаются варианты одноранговых рабочих станций безо всяких доменов).
На всех машинах с Windows обычно установлен (хотя и тут бывают исключения) какой-то антивирус. Часто встречается не сетевые версии этих программ (тот же Avast), хотя, опять таки в более продвинутых (с точки зрения IT) конторах, стоят сетевые версии антивирусов с централизованным управлением и обновлением антивирусных баз.
Приведенные выше ситуации варьируются от случая к случаю, так как на конфигурацию сети, железа и софта влияют как знания/умения/желания (и, что немаловажно, лень) системного администратора(ов), так и понимание начальства (в лице главного Босса) «чем же именно этот наш системный администратор занимается, когда все и так отлично работает» (из последнего вытекает — сколько денег выделяется на оборудование для IT и зарплату будущего специалиста). Если денег выделяется мало (а так обычно и бывает управленцы торговых компаний от IT обычно далеки и слабо понимают, что же там происходит), то поднабравшийся знаний эникейщик уходит в другую компанию. На место ушедшего приходит очередной студент и все повторяется по новой.
Думаю излишне говорить, что в подобных конторах отдел системного администрирования состоит из одного человека, который совмещает в себе инженера по прокладке/поддержанию офисной сети, системного администратора как такового (т.е. ту самую личность, что отвечает за работоспособность серверного парка на программном и аппаратном уровнях и внедрением нового функционала) и эникейшика — «мальчика на побегушках» который занимается разрешением проблем у пользователей, протиркой мышек, сменой картриджей у принтеров и подобными вещами.
В результате, в небольших компаниях часто наблюдается довольно разнообразный парк пользовательских машин класса от pentium2/128Mb ram/5Gb hdd до P4 Celeron/1Gb ram/80Gb hdd. На всех машинах, разумеется, Windows (98, 2000 и XP Home/Pro) и разные версии софта (ставили то машины в разное время). Доходит до того, что и антивирусное ПО на машинах тоже от разных производителей.
- вентиляторы начинают противно жужжать (их надо чистить и смазывать или же менять на новые);
- блоки питания выходят из строя;
- винчестеры — сыпятся;
- сетевые карты (как встроенные в материнскую плату, так и внешние — перестают работать и требуют замены);
- остальное железо, обычно, летит сильно реже, но тем не менее летит тоже
- ставим Windows;
- ставим необходимые драйвера (весь парк железа разный — не забыли?), предварительно определив модель материнской платы в данной машине и скачав из Интернет последние версии драйверов или найдя нужные у себя на файл-сервере;
- вводим машину в домен (если он настроен);
- ставим необходимый софт (офис, браузер, почтовый клиент, тотал-коммантеры, аськи, джабберы, пунто-свитчеры и подобное) — в случае домена Active Directory часть софта можно поставить автоматически, но не у всех он настроен, да и не все знают его возможности;
- ставим антивирус;
- плюс дополнительные танцы с бубном, индивидуальные для конкретной сети каждой организации вокруг новой рабочей станции;
После успешного выполнения всех пунктов (эта процедура занимает примерно два часа) рапортуем Боссу, что рабочее место сотрудника спасено и он может приступать к работе.
- у меня тут была папка с важными документами — где она?
- а еще я там фотографии из Турции сохранил, можно их восстановить?
- на рабочем столе было много важных ярлыков и еще сотня документов — куда они пропали?
- в избранном (это про закладки в браузере ) моих любимых сайтов больше нет — где их теперь искать? и так далее…
Знакомо? Хорошо, если полетел не жесткий диск, а всего лишь материнская плата. Или же часть информации на осыпавшемся диске поддается восстановлению. Но все эти процедуры занимают рабочее время системного администратора, которое можно было бы потратить с куда большей пользой поиграть в сетевую стрелялку или же… изучить IPv6 — ведь уже все на него переходят и совсем скоро перейдут, адреса в пространстве Ipv4 уже лет пять как закончились :)
- переустановить Windows;
- настроить на новой машине весь необходимый софт;
- восстановить все то, что потерялось;
- доустановить нуждающимся новые программы;
- провести профилактику корпуса (пыль пропылесосить в системном блоке);
И в оставшееся время (если системный администратор не сильно ленив) надо пытаться изучить что-то новое, проапгрейдить софт на сервере (серверах) и ввести в строй новый сетевой сервис. Т.е. на основные обязанности (именно то, чем системный администратор и должен заниматься большую часть времени) времени то как раз и не остается.
Как же выйти из этого замкнутого круга?
Одним из вариантов решения вышеописанной проблемы, является отказ от «толстых» рабочих станций (там, где это можно сделать) и переход на тонкие клиенты.
Под «толстой» рабочей станцией понимается любой компьютер с установленной ОС, который и выполняет обработку большинства пользовательской информации. Т.е. браузер, офис и все остальное выполняется локально именно на рабочей станции пользователя, системный блок которой жужжит у него под столом или где то рядом.
Надо понимать, что требования современных ОС (не обязательно Windows) идут в ногу с современным железом — другими словами, для относительно комфортной работы в Windows XP старой (но полностью работоспособной и относительно мощной) машины класса Celeron 800Mgz/128Mb Ram/ 10Gb HDD может и не хватить. Работать под современной ОС на подобном железе, конечно, можно, но подтормаживать эта операционка и приложения будут довольно часто хотя бы из-за малого количества набортной памяти и старого (читай медленного) жесткого диска.
А тонкий клиент, если вкратце, можно определить как бездисковый компьютер, работа которого заключается лишь в подключении к удаленному серверу и отображении полученной с сервера информации на экране. Обычно такой сервер называется сервером терминалов или терминальным сервером. Вся же обработка пользовательской информации происходит именно на нем (одновременно к которому может быть подключено множество хотя и не бесконечное количество тонких клиентов).
Обычно тонкие клиенты делают на основе слабого (а, соответственно, и малопотребляющего) железа — часто это единая системная плата, на которой все и интегрировано. Процессор и память так же могут быть намертво припаяны к материнской плате. Некоторые тонкие клиенты имеют flash-диск (вставляемый в IDE разъем материнской платы), на котором прошита специализированная ОС (WinCE или другие).
Сравнение тонкого клиента Clientron U700 со стандартным корпусом для рабочей станции.
В результате, при включении тонкого клиента (их еще называют терминалами), ОС грузится со встроенного flash-диска (обычно на загрузку уходит менее 30 секунд), после чего на экране появляется диалог подключения к терминальному серверу. Некоторые из этих клиентов умеют подключаться только Windows Terminal Server или же Citrix Metaframe, другие — в том числе и к терминальным серверам других ОС. В любом случае, в цену таких решений закладывается и цена лицензии на WindowsCE, прошитую на встроенный flash-диск. Мы рассказывали о подобных решениях ранее:
- Windows-терминал K-Systems Termin
- Тонкий клиент AK-Systems GP
- Windows-терминал AK-Systems GPN
Разумеется, подобные решения существуют и у других компаний. В том числе и без встроенной ОС (за которую, в случае Microsoft Windows CE, нужно дополнительно платить, да и flash-диск копейки, но стоит).
Терминальные клиенты без встроенного flash-диска, при включении загружают нужный образ ОС по сети, после чего они тратят на загрузку те же пару десятков секунд. После чего готовы к работе, под чем подразумевается вывод на экран меню со списком терминальных серверов для подключения или же автоматическое подключение к одному из жестко заданных терминальных серверов (в зависимости от настроек) — пользователю останется ввести лишь логин и пароль. После правильного ввода оного, он попадает в свою сессию на сервере терминалов и может приступать к работе.
- отсутствие жесткого диска (которые греются и ломаются);
- отсутствие вентиляторов (на процессоре и блоке питания установлены лишь радиаторы, которых хватает для рассеивания выделяемого при работе тепла);
- низкое энергопотребление;
- теоретическая дешевизна (при самосборе можно подобрать очень дешевые комплектующие ведь производительности от железа не требуется; а вот производители за специализированные тонкие клиенты попросят раза в два больше)
- минимальные временные затраты на обслуживание (при поломке такой железяки, достаточно отключить поломавшуюся и подключить запасную работы на пять минут; а это уже минимальный простой для рабочего места сотрудника, а так же минимум затраченного на устранение поломки времени системного администратора)
- весь софт для работы пользователей настраивается централизовано на одном (двух/трех/…) терминальных серверах это значительно проще, чем поддерживать зоопарк софта на «толстых» рабочих станциях сотрудников
Не стоит забывать и о пользовательских данных локально терминал ничего не хранит (все данные пользователя находятся на удаленных серверах). В результате легко настроить автоматических бекап всего и вся и, в случае чего, восстановить «случайно удаленный» документ.
- при отказе сети, рабочие места сотрудников «превращаются в тыкву» (а сотрудники на «толстых» клиентах могут продолжать набивать документ, к примеру, в OpenOffice);
- при отказе терминального сервера рабочие места сотрудников опять «превращаются в тыкву» (но это решается установкой нескольких — например, двух — терминальных серверов; при выходе одного из них из строя, второй его подменит или же сотрудники просто переподключатся ко второму серверу вручную)
- тонкие клиенты подходят не всем: к примеру, людям, постоянно смотрящим видео или работающим активно работающих с графикой (в фотошопе) или занимающимся версткой журнала, лучше делать это на локальном «толстом» клиенте (зато тонкие клиенты отлично подходят большинству остальных сотрудников, которым нужен лишь браузер с Интернет, почта, создание и редактирование документов в Openoffice и работа с 1C).
- лицензия на Windows Server
- CAL (Client Access License) лицензии на подключение к Windows-серверу и их кол-во должно быть не меньше количества подключаемых к серверу клиентов (обычно в составе Windows-сервера уже идет некоторое кол-во таких лицензий от пяти и выше)
- лицензии на работу с сервером терминалов (их количество тоже должно быть равно количеству подключаемых клиентов)
Не забываем про отдельные лицензии на весь используемый софт (например на Microsoft Office) в количестве, равном количеству подключаемых к серверу клиентов. Если клиентские лицензии на Microsoft Office еще можно обойти, отказавшись от данного продукта и поставив ему замену в виде, к примеру, OpenOffice, то от самого терминального сервера в лице Windows 2000/2003 TS избавиться несколько сложнее :) Хотя и это возможно в некоторых случаях.
Есть, правда, еще один «минус» (кроме боязни нового) который часто останавливает от внедрения подобных решений — почему то многие думают, что эти тонкие клиенты надо покупать (а они не очень дешевые — от 200 долларов и выше). Куда же девать весь парк уже существующих компьютеров?
Именно для ответа на последний вопрос написана данная серия статей. В ней будет рассматриваться софт тонкого клиента Thinstation.
Этот небольшой, но обладающий множеством возможностей и, что немаловажно, OpenSource софт, позволяет превратить практически любые древние компьютеры в тонкие клиенты. Минимальные требования описанные на его родном сайте к используемому железу — это Pentium 100Mhz и 16Mb оперативной памяти. Ах да, жесткий/flash диск тоже не нужен — компьютеры при включении могут скачивать образ тонкого клиента (это около двадцати! мегабайт) по сети (хотя так же возможна установка Thinstation клиента на жесткий или usb диск). В наш век операционных систем, с радостью сжирающих гигабайты места на диске после установки, это впечатляет, не так ли?
Thinstation базируется на Linux, но для его использования знаний Linux, как таковых не нужно — достаточно в своей сети поднять dhcp и tftp сервера и соответствующим образом их настроить (оба этих сервера есть и в составе продуктов Windows Server). Таким образом, даже в сети, где кроме Windows-а ничего не знают, использование Thinstation клиента затруднений не вызовет.
- Сервера Microsoft Windows по протоколу RDP или через nxclient (Windows NT4TSE, W2k Server, W2k3 Server или же Windows XP в однопользовательском режиме);
- Citrix servers по протоколу ICA (на серверах MS Windows, SUN Solaris и IBM AIX);
- Сервера Tarantella
- *nix-like сервера по протоколу X11;
- подключение к VNC-серверам (tightVNC);
- подключение к SSH и Telnet серверам;
Для того, что бы загрузить Thinstation по сети, от компьютера требуется лишь встроенная или внешняя сетевая карта, поддерживающая стандарт PXE (есть и другие варианты, но, к примеру все встроенные в системную плату сетевые карты работают именно по этому протоколу).
PXE расшифровывается как Pre-boot eXecution Environment среда предзагрузочного выполнения. Этот стандарт был впервые реализован компанией Intel. Первый признак наличия PXE-биоса на борту встроенной сетевой карты, это пункт «Enable Boot ROM» рядом с пунктом активации сетевой карты в биосе. Если встроенная сетевая карта не поддерживает загрузку по сети (или отсутствует вовсе), можно использовать любую внешнюю сетевую плату с опцией «Boot ROM» (этот вопрос в подробностях будет рассмотрен далее).
- Сетевая карта по протоколу PXE запрашивает DHCP сервер следующую информацию: IP адрес, маску подсети, шлюз а так же IP-адрес сервера TFTP (на котором лежат образы, в данном случае, ThinStation) и имя образа, которое она попытается загрузить.
- DHCP сервер возвращает запрашиваемую информацию (помечая у себя, что выданный клиенту IP адрес занят таким-то клиентом)
- Клиент подключается к TFTP серверу, IP-адрес которого ему только что сообщили и скачивает с него файл загрузчика PXE (имя которого ему опять таки сообщил DHCP-сервер)
- Скаченный PXE загрузчик исполняется и, в свою очередь скачивает с TFTP сервера конфигурационный файл, в котором прописаны имена файлов ядра ОС Linux vmlinuz и образа файловой системы initrd. Эти файлы скачиваются и управления передается ядру Linux
- После распаковки и загрузки ядра Linux с подмонтированным образом файловой системы, Thinstation снова обращается к TFTP серверу для скачивания необходимых ему конфигурационных файлов (там, среди прочего, записаны адреса терминальных серверов, к которым нужно подключаться), после чего запускает нужный терминальный клиент (в нашем случае это будет rdesktop) и ожидает от пользователя ввода его логина с паролем для подключения.
На первый взгляд, описанная схема выглядит сложно. Но по факту настройка оной занимает полчаса-час и в дальнейшем она работает полностью автономно. Загрузка тонкого клиента с момента первого запроса в сеть по PXE (этот момент совпадает с моментом начала загрузки ОС с жесткого диска) занимает секунд 20…30.
Как уже отмечалось выше, Thinstation умеет работать с разными терминальными серверами. Но мы в ближайших статьях, как самое простое в реализации (но еще раз напоминаю о покупке множества клиентских лицензий, необходимых для официальной работы), рассмотрим лишь связку Thinstation с Microsoft Terminal Server.
Для начала нам надо иметь настроенный сервер терминалов от Microsoft. Этот сервер может работать как в составе домена (в этом случае удобнее управлять аккаутами пользователей — они общие особенно если терминальных серверов в сети несколько), так и в вне домена — в одноранговой сети. Второй случай отличается от первого тем, что необходимых пользователей придется заводить на каждом сервере локально и синхронизировать актуальные списки пользователей и их прав — вручную.
Вторым пунктом нашей программы будет настройка DHCP и TFTP серверов. Первый ведает динамической раздачей IP адресов для рабочих станций, а так же сообщает, с какого IP адреса (с какого сервера tftp) и какое имя файла компьютеру нужно скачать в качестве загрузочного образа тонкого клиента. А второй tftp сервер фактически и отдает образы тонкого клиента и конфигурационные файлы для них же. Эти настройки могут быть как глобальными (для всех бездисковых терминалов сети), так и локальные для определенных групп машин или же одиночных тонких клиентов.
Оба эти сервиса можно поднять как в составе Windows сервера (запуском и настройкой соответствующих служб), так и отдельными демонами в составе *nix-сервера мы это рассмотрим на примере сервера с установленным Gentoo Linux.
А третьим пунктом идет настройка клиентских машин перевод их на загрузку по сети и рассмотрение стандартных подводных камней.
В прошлом году 91% компаний сталкивались с инцидентами нарушения безопасности, а 13% — пострадали финансово. Виртуальные рабочие места — не панацея от всех бед, но шаг в сторону защиты корпоративных данных. Подробно разбираемся в материале Selectel, что такое VDI, какие минусы при внедрении возможны, кому и чем конкретно будет полезен.
Один из способов повысить защищенность — VDI или виртуализация рабочих столов. VDI затруднит утечку конфиденциальных данных, а администратор может посмотреть, кто странно себя вел, например, изучал документы соседнего отдела. VDI не идеален, но у него есть множество достоинств, которые выгодны бизнесу. Материал будет особенно полезен компаниям, которые еще не внедряли VDI, чтобы сформировать ожидания.
Спойлер: для сотрудника VDI ничего не меняет в интерфейсе. Но виртуальный рабочий стол точно будет удобен для IT-департамента.
VDI, или Virtual Desktop Infrastructure, — инфраструктура виртуальных рабочих столов. До появления персональных компьютеров, сотрудник организации сидел за столом с бумагами, отчетами, скрепками, папками. С распространением ПК данные постепенно перенесли в них. На мониторе у сотрудника появились те же папки и «бумаги», к которым добавились программы. Все это хранилось локально — на жестком диске компьютера.
VDI, или виртуализация рабочих мест, — это концепция, в которой данные с ПК сотрудника хранятся централизованно, а у каждого сотрудника ПК виртуальный. Это удобно бизнесу, потому что на жестком диске сотрудника уже нет никаких чувствительных данных. Администратор сервера создает виртуальное рабочее место с отдельным набором приложений, программ, документов и доступов, которые хранятся на сервере — в ЦОД. Подключение и вся работа сотрудника идет через «прослойку» — «тонкий клиент».
«Тонкий клиент» — это специализированный мини-ПК с характеристиками, достаточными, чтобы поддерживать работу протоколов передачи данных (RDP, ICA, PCoIP). Клиент ничего не хранит, не проводит вычисления, не рисует графику, а транслирует изображение с сервера на монитор. Именно поэтому он называется «тонким» (это не физическая характеристика).
Клиент потребляет гораздо меньше электричества — 7-15 Вт (зависит от модели), а ПК — около 100 ВТ. У клиента прочный корпус, устойчив к перепадам температуры, влажности и работает непрерывно годами. В устройстве отсутствуют движущиеся части, чаще всего нет охлаждения и жесткого диска. Как следствие, когда оно ломается, данные пользователя не теряются.
Современные «тонкие клиенты» работают со всеми ОС, например, Windows, Mac OS или Linux, поддерживают локальные сети, удаленный доступ, аудио и видеоконференции. Дополнительно позволяют работать с флешками, смарт-картами, E-token, сканерами и принтерами.
Иногда вместо «тонкого клиента» используют обычный ПК. Технические характеристики здесь не важны, потому что удаляется жесткий диск и другие «лишние» детали и ставится специализированное ПО.
Для сотрудника с VDI ничего не меняется — на экране тот же рабочий стол, та же ОС и программы. Но такая система удобнее для IT-департамента благодаря нескольким преимуществам:
- безопасность,
- централизованное управление,
- экономия.
Утечки случаются как у маленьких кофеен, так и у корпораций. Именно поэтому на черном рынке появляются данные кредитных карт крупных российских банков или записи колл-центров операторов связи.
Обычно, слабое звено в безопасности — это человек. Сотрудник может взять работу домой, стать жертвой корпоративного шпионажа или случайно загрузить вредоносный файл. Кроме того жесткий диск выходит из строя из-за естественного износа, сильной вибрации или случайного удара, а часть данных могут случайно удалить.
С VDI эти случаи маловероятны.
- Все данные, конфиденциальная информация и коммерческая тайна хранятся не на жестком диске компьютера сотрудника, а в дата-центре.
- Дата-центр защищен лучше, чем персональный ПК: резервированием, резервным питанием, физической охраной, пожарными системами. Выключение света в офисе не приведет к потерям — виртуальный рабочий стол будет также доступен из любой точки мира с интернетом. Это повышает доступность и катастрофоустойчивость.
- Системный администратор клиента всегда видит, что происходит в виртуальных ПК. Настроенные скрипты при подозрительной активности блокируют рабочее место. При наличии списка доступных пользователю приложений, которые разрешил системный администратор, пользователь не сможет загрузить вредоносные приложения.
VDI облегчает управление рабочими местами. Обычно системные администраторы и руководители IT-подразделений работают с «зоопарком» приложений, лицензий и офисной техники разных вендоров разной степени «усталости». Обслуживание занимает много времени, а хаос затрудняет использование единых решений и стандартов.
С виртуализацией все гораздо проще.
- Централизованное управление. Настраивать резервное копирование, обновлять ПО, управлять трафиком, следить за действиями пользователей гораздо удобнее с одной точки. При этом парком из тысячи систем может управлять 1-2 администратора.
- Масштабирование. Когда требуется новое рабочее место, администратор создает его за пару минут (или автоматически) и удаляет также быстро.
- «Тонкие клиенты» требуют меньше обслуживания, чем ПК: реже ломаются, чаще всего в них нет систем охлаждения и не нужно чистить.
- Развертывание и обновление приложений на виртуальных машинах выполняется гораздо проще из-за централизации: обновить нужно только образ, а не каждый физический ПК. Программы обновляются централизованно и география здесь не имеет значения.
- Единая производительность. С VDI возраст ПК не влияет на работу: все пользователи на разном оборудовании получат единую производительность.
Преимущество централизации особенно заметно для компаний с филиалами или удаленными офисами. С VDI администратор управляет десятками компьютеров в разных филиалах в разных городах из одного кабинета из центрального офиса. Это экономия времени, затрат на командировки и штат техподдержки.
Это следствие предыдущих пунктов — централизованное управление уменьшает расходы. Например, закупить рабочую станцию ПК для десятков сотрудников, установить ОС, настроить и прочее — это большие затраты денег и времени. Для VDI нужно гораздо меньше инфраструктуры: понадобится сервер, монитор и «тонкий клиент». При этом «тонкий клиент» проще и быстрее настроить.
У VDI низкие требования к клиентской части, поэтому здесь можно сэкономить, как на обновлении железа, так и на «тонких клиентах». Представим небольшую подрядную организации: 10-20 рабочих мест и устаревший парк ПК. IT-директор думает, что делать: обновить все сразу дорого, а обновлять по частям и растянуть на месяцы — некомфортно для сотрудников. VDI это компромиссный вариант: извлечь из компьютеров все лишнее, зарезервировать сервер, оплатить лицензии, настроить высокоскоростной интернет и перейти на VDI.
Экономия в том, что любой ПК можно превратить в тонкий клиент. Это сразу уменьшает расходы на операционное обслуживание: не нужно обновлять парк техники, из графы «расходные материалы» исчезают жесткие диски и другие комплектующие. Меньше «начинки» у физических машин — меньше обслуживания.
Меньше обслуживания — меньше штат технической поддержки. Сокращается количество инцидентов, которые требуются решать на рабочем месте сотрудника. ПК одинаковы, поэтому большинство работ стандартизированы. Например, восстановление виртуальной машины дело нескольких минут, как и замена тонкого клиента: отсоединить провода и поставить в новую «коробку». Сам «тонкий клиент» может бесперебойно работать тот же срок, что и ПК, потребляя меньше энергии. Заменив даже десяток ПК на виртуальные, будет заметна разница в платежах за электричество.
Теперь о недостатках. Полноценная виртуализация подойдет не всем, потому что основной недостаток VDI — первоначальные вложения.
Оборудование. Цены на новые тонкие клиенты варьируются от 3 до 30 тыс рублей, в зависимости от модели. Закупить одновременно десятки, сотни или даже тысячи, ощутимо для бюджета, не считая оборудования для ЦОД.
Но, как уже говорили выше, частично этот недостаток можно обойти: использовать имеющиеся ПК с минимумом оперативной памяти или закупить б/у «тонкие клиенты».
Инфраструктура. Кроме оборудования, требуется создать инфраструктуру для хранения и обработки данных. Если в офисе невысокая пропускная способность сети, от VDI не получите преимуществ — ПК будут тормозить, а сотрудники с клиентами ругаться. IT-службе придется наладить стабильный и скоростной канал связи.
Высокие требования к безопасности самой сети. VDI подвержена тем же угрозам, что и физические станции, например, инъекциям или эксплойтам. Потребуется дополнительно поработать над безопасностью.
Долгое внедрение в случае крупных компаний. Полноценно развернуть VDI на 1000 рабочих мест и больше занимает от нескольких месяцев до года, с учетом тестирования.
С учетом достоинств и недостатков есть несколько причин для внедрения виртуализации.
- Контроль доступа сотрудников к корпоративным данным.
- Перерывы в работе из-за ремонта устаревших ПК, постоянных обновлений и настройки ПО.
- Возможность превратить капитальные затраты в операционные.
- Организовать работу мобильных сотрудников.
- Обновления в филиальной сети вызывают сбои в работе и раздувают штат администраторов — на каждом объекте требуется команда техников.
- «Зоопарк» технологий и устройств.
Технология VDI изолирует пользователей друг от друга, поэтому ее применяют там, где важна конфиденциальность. Например, в колл-центрах банков, чтобы данные клиентов не утекли в сеть при постоянной текучке. VDI также поможет в организации удаленного офиса, особенно в текущих условиях.
VDI подойдет организациям, для которых важна гибкость. Например, ритейлу поможет быстро открыть новую торговую точку, или обновлять ПО во всех филиалах одновременно.
В некоторых частных случаях небольшие компании тоже почувствуют пользу виртуализации. Например, VDI подходит для работы с тяжелыми программами: построение графики, проектирование CAD-систем, рендер видеопроектов. Вычисления идут на сервере, а благодаря современным графическим адаптерам и ПО, разница в производительности между физическим ПК и виртуальным незаметна.
Есть разные варианты использования. Типовое решение для полноценного масштабного внедрения VDI можно представить в таком виде.
В этом «пироге» есть несколько слоев.
Аппаратная часть. Производительные серверы с достаточным объемом RAM и СХД, либо ЦОД и место для установки нового оборудования, в котором системы питания и охлаждения выдержат дополнительную нагрузку.
Платформы: виртуализации (например стандартные решения от Microsoft или VMware) и программной инфраструктуры VDI\TS (Terminal Server).
Лицензии: на VDI, на обслуживающие сервисы (Active Directory, MS Hyper-V), на ПО. Часто, при переходе на VDI меняется модель лицензирования ПО. Это следует учитывать, поскольку требуется индивидуальный подход к выбору правильной модели.
Клиентские устройства — «тонкие клиенты» или аналоги.
Чтобы все это работало, потребуется понять, как будут связаны между собой серверы, хранилища, конфигурация сетевых адаптеров, портов. А сетевая инфраструктура должна стабильно работать с высокой скоростью передачи данных.
Еще придется рассчитать плановую и пиковую нагрузки на сеть, интервалы резервного копирования, как восстанавливаться после сбоя, какие механизмы защиты организовать. Дополнительно рассчитать производительность: время входа, отклика, загрузки сервера при работе всех виртуальных десктопов.
Затраты придется рассчитать главному человеку — руководителю IT-отдела, который и «продает» проект бизнесу. Для наглядности поможет сравнительная таблица. В нее записываются все затраты на содержание текущего парка, и атраты на VDI, с учетом железа, лицензий. Таблица даст понимание, возможен ли запуск проекта, не только экономически, но и технически.
Ограниченный вариант. От виртуализации не получат выгоду подразделения, которым нужна вычислительная мощность или локальные хранилища. Поэтому иногда стоит рассмотреть внедрение VDI только для отдельных подразделений, например, техподдержки. В этот вариант также можно внести гибридную схему, когда VDI арендуется для части пользователей.
Упрощенный вариант. Здесь организация просто настраивает некую локальную сеть: покупает мощный компьютер, как сервер, и «тонкие клиенты». К клиентам запрещается подключение флешек и периферийных устройств и отключается доступ в интернет.
DaaS. Когда начинающим компаниям нужны мощные машины, закупить все сразу дорого. Здесь поможет DaaS — VDI «по подписке» через облачный хостинг. Также подойдет, чтобы протестировать виртуализацию или использовать для временных и удаленных сотрудников.
Терминальный доступ или RDS. Подходит для малого и среднего бизнеса если IT-инфраструктура достаточно просто администрируется. Такие решения предоставляют Citrix XenApp или Microsoft RDS.
В терминальном доступе все сотрудники получают доступ к одной ОС на всех и одному набору приложений через корпоративную сеть или интернет. Например, так работают с программой 1С Предприятие.
Недостатки терминального доступа.
- Нельзя создать полностью изолированное окружение с отдельным набором прав и программ.
- Некоторые производители не поддерживают приложения в терминальной среде, например, Autodesk AutoCAD.
- Некоторые приложения требуют права администратора. В терминальном режиме, это иногда приводит к тому, что пользователь выключает сервер не только для себя, но и для остальных.
Код — в окне, VDI — на столе.
Selectel
VDI подойдет не всем. Если у компаний нет проблем с безопасностью и производительностью имеющихся в наличии ПК или администраторы справляются с обслуживанием небольшого штата ПК — VDI не нужен.
Виртуализация рабочих столов поможет крупным сетевым компаниям:
- для масштабирования — организации новых филиалов;
- для отдельных подразделений, например, в колл-центрах;
- для удаленных офисов — жесткого ограничения прав пользователей.
Крупный бизнес ощутит преимущества виртуализации за счет снижения капитальных расходов на IT-инфраструктуру.
Для организаций поменьше VDI предпочтительнее использовать в формате аренды (DaaS) высокопроизводительных машин или удаленного доступа. Такое решение поможет:
Проблемы Terminal Server и VDI
Цена оборудования — как один заказчик мне сказал про VDI — это п***ец. Есть еще мнение что у данной технологии нет будущего из-за цены, которую нужно заплатить за «одно рабочее место». Если считать, получается, что стоимость и TS и VDI около 1000$ на одного сотрудника. В эту сумму входит: серверы, системы хранения данных, сетевые коммутаторы, лицензии Microsoft + Citrix или VMware. А можно вместо этой мороки, по-старинке, закупить компьютеров, так и делают.
Тонкие клиенты — помимо того, что он стоит дорого 300+$ (если не китайский и не самосбор), так еще и установлен на нем часто Linux или урезанный Linux (ThinOS у Wyse или ThinPRO у HP), а подключаться скорее всего с тонкого клиента придется к Windows, отсюда масса проблем. Если брать тонкий клиент на Windows Embedded, то получаем маломощный мини-компьютер на рабочем месте. Причем, сам тонкий клиент небольшой, но проводов меньше не становится.
Поддержка программ — тесты показывают, что у многих заказчиков есть корпоративные программы, которые не совместимы с технологиями TS и VDI. Это могут быть самописные клиент-серверные приложения, это может быть софт, привязывающийся к железу, это могут быть программы, которые требуют локального подключения к ОС сканера, веб камеры, принтера, IP телефона и т.п. Хотите распространенный пример, пожалуйста, Microsoft Lync 2013 или Skype, будут у вас недостаточно хорошо работать как в терминальном режиме, так и в VDI сценарии. А это необходимы средства коммуникации, основная тенденция сегодняшнего времени.
Я не говорю, категорическое НЕТ, просто перед покупкой нужно хорошенько протестировать в реальных условиях.
Поддержка периферии — печатать, сканировать, использовать вебкамеру в конференц звонках и видеть собеседников в хорошем качестве без лагов и тормозов — эти и другие задачи открыты. Сейчас как-то что-то работает у кого-то работает. стандартная ситуация — подключаешь к тонкому клиенту принтер, он его определяет как совершенно другой принтер и печатает кракозябры. Подключаешь сканер и сканирование происходит 10 минут. Подключаешь веб камеру и наслаждаешься разрешением 320х240, хотя камера HD.
Поддержка новых версий ОС — многие заказчики хотят убить сразу двух зайцев и перейти с XP на Win7 (или 8) и с персональных компьютеров на тонкие клиенты. И при более плотном знакомстве с инфраструктурой оказывается, что проще нанять пару студентов для этой задачи и докупить новые модели компьютеров.
Поэтому, коллеги, давайте трезво оценивать возможности современных программных комплексов, чтобы наши корпоративные потребности совпадали с их возможностями и не приводили к разочарованиям на этапе внедрения. А такие случаи нередки, в том числе потому, что нас зомбируют маркетологи, а мы им верим.
Бездисковая рабочая станция
Долгое получилось вступление… а хотел я рассказать, как можно реализовать проект который сможет решить те же проблемы, что и Терминальный сервер и VDI, еще раз их повторю:
- централизация данных пользователей в центре обработки данных
- разделение данных пользователя и операционной системы
- отделение операционной системы от оборудования («железа»)
- инструмент для удобного обновления ОС
- инструмент для управления софтом
Меня натолкнули на данную схему следующие тезисы:
- для повседневных офисных задач заказчики стали покупать вот такие компьютеры, состоящие из Mini-ITX корпуса с выносным блоком питания, материнской платы со встроенным процессором Atom или Celeron (охлаждение пассивное), сюда же жесткий диск и планка памяти. Система простая, как лом и справляется с офисными задачами, могут в дальнейшем (когда мощности перестанет хватать) использоваться как тонкие клиенты для VDI или TS. Устанавливается на такие системы ОС Windows 7 и используется как обычный компьютер. Нельзя не согласиться, что этот неттоп уже сам по себе решение — недорогое примерно (5-6 тысяч рублей), энергосберегающее (потребляет 8Вт), без движущихся деталей (отказоустойчивость), компактное.
- следующий тезис, лучше всего программы работают не в терминальном режиме, а на локальном компьютере. Это относится и к Lync, Skype+ вебкамера, и к сканирующему, печатающему ПО, обычный серфинг в интернет браузере на локальном компьютере лучше выглядит. В локальную ОС Windows можно установить драйверы от любого оборудования и оно будет работать.
- Если пользователь работает локально, использует ресурсы своего неттопа или компьютера, то покупать дорогостоящее серверное оборудование не нужно. У нас нагрузка размазана по локальным устройствам.
Рабочее место сотрудника (в офисе)
Как же все было просто, когда я сам админил — никаких тебе тонких клиентов, никакого VDI, голова не занята лишними мыслями, руки сами знают, как собрать из комплектующих полноценный ATX системный блок, как накатить на него образ, как засунуть его под стол, как мигрировать со старого компьютера пользователя данные на новое железо. Вот времена были, никто не гнался за энергосбережением, красотой рабочего места, главное, чтобы провода сильно не торчали и работало.
Я уже писал на сайте про новые (относительно) технологии, которые придуманы, чтобы заменить старый подход, когда все данные пользователя хранятся на его локальном компьютере. Еще раз перечислю их:
- Терминальный сервер Microsoft — существует давно, хорошо себя зарекомендовал, при правильной настройке вполне может заменить локальный компьютер. Есть ограничения, речь о которых пойдет позже.
- Терминальный сервер Microsoft c надстройкой в виде Citrix XenApp (теперь XenDesktop) — Enterprise решение для работы сотрудников в удаленной сессии, по сравнению с чистым терминальным сервером Microsoft добавлены удобные средства управления и мониторинга для администратора, различные украшательства интерфейса. Citirx протокол — ICA — позволяет пользователям работать комфортно не только в локальной сети, но и из филиалов по плохим каналам. Вообщем много плюсов для большой инфраструктуры, но есть и ограничения.
- VDI — виртуальные рабочие станции — каждому пользователю по виртуальной машине, к которой он подключается с рабочего места. Это может быть статическая ВМ или самоочищающаяся после выхода пользователя из сеанса. Делают программные продукты для организации VDI таие компании, как Citrix, VMware, Microsoft, Dell, Parallels…
Нужно отметить, что основные цели у перечисленных выше технологий преследуются одинаковые: централизация данных пользователей в центре обработки данных, разделение данных пользователя и операционной системы, отделение операционной системы от оборудования («железа»), инструмент для удобного обновления ОС, инструмент для управления софтом, который доступен пользователям.
По принципу — разделяй и властвуй. К самой концепции нет никаких вопросов, она абсолютна правильная.
Читайте также: