Vmware horizon создание пула
Connection Servers are one of the most important components in any Horizon environment, and they come in two flavors – the standard connection server and the replica connection server.
Connection Servers handle multiple roles in the Horizon infrastructure. They handle primary user authentication against Active Directory, management of desktop pools, provide a portal to access desktop pools and published applications, and broker connections to desktops, shared hosted desktops, and published applications.
When you run the Horizon installer, you will see two connection server types – the standard connection server and the replica connection server. The Standard and Replica Connection Servers have the same feature set and perform identically after installation has completed. The only difference between the two is that the standard connection server is the first server installed in the pod and initializes a new environment while a replica server copies data from a server in an existing environment.
Note: When you run the Connection Server installer, you will see a third role – the TrueSSO Enrollment Server role. This role is used to enable TrueSSO, which provides passwordless authentication to desktops in conjunction with VMware Workspace ONE Access. That role will not be covered at this time.
In previous versions of Horizon, there was another connection server role – the Security Server. The Security Server is a stripped down version of the regular Connection Server designed to provide secure remote access. The Security Server was discontinued in Horizon 8, and it has been replaced by the Unified Access Gateway.
Понятия Pod и Block в Horizon 7
Одной из ключевых концепций в дизайне Horizon 7 уровня Enterprise является двух основных компонентов: Pod и Block. Для больших инсталляций крайне важна возможность масштабирования, а ее можно достичь, если архитектура строится из одинаковых компонентов, объединенных в логические узлы.
Pod состоит из группы Connection серверов, связанных между собою в консоли управления. Максимально один Pod может принимать до 20 000 подключений пользователей к виртуальным машинам VDI и RDSH приложениям. Pod-ы могут объединяться в соответствии с Cloud Pod Architectuer (CPA) и принимать до 140к подключений.
Pod-ы состоят из Block-ов. Для масштабирования системы Horizon рекомендуется либо увеличивать количество блоков, либо количество Pod-ов.
Рис. 3 Архитектура Horizon 7. Состав Pod.
Каждый Block состоит из одного или нескольких кластеров vSphere под управлением одного vCenter server. Также в Block есть один Composer server (если используются связные клоны) и один NSX Manager (если используется NSX). Есть программные ограничения на количество виртуальных машин VDI, которые можно запустить в одном Block:
- 5000 виртуальных машин, при условии использования Instant clone технологии без AppVolumes
- 4000 виртуальных машин, при условии использования Linked clones без App Volumes
- 2000 виртуальных машин на Block, если используется технология доставки приложений AppVolumes
Таким образом, если используется доставка приложений через AppVolumes и нужно развернуть 5000 виртуальных машин VDI, нужно в рамках Pod-а настроить 3 Block-а.
В рамках одного Pod для Horizon 7 рекомендуется развертывание системы не более чем на 10 000 одновременных сессий (подключений). При этом будет настроено несколько блоков (зависит от технологий) и 7+ Connections серверов. Если нужно предоставить доступ более чем к 10к сессий, то придется создавать второй Pod.
Для работы Pod необходимо обеспечить быстрые каналы связи между компонентами, лучше всего в одном ЦОД. Pod-ы можно располагать в разных ЦОД, связать их можно через CPA (Cloud Pod Architecture).
В рамках одного большого Pod рекомендуется все компоненты управления рекомендуется выносить в отдельный кластер управления vSphere, который не пересекается с пулами виртуальных машин VDI и RDSH серверами. Компоненты управления — это vCenter server, Connections servers, Unified Access Gateway, AppVolumes Manager, Composer server, NSX Manger, SQL DB, File servers и пр.
Основные проблемы удаленного доступа
ИТ отделы занимаются организацией удаленного доступа сотрудников к их рабочим местам в офисах. Основные проблемы следующие:
- скорость предоставления удаленного доступа
- сложная для пользователя инструкция по настройке удаленного доступа
- для доступа нужен домашний компьютер
- удаленный доступ организован, но нарушает политики безопасности компании. Отдел ИБ не может его контролировать.
- не работают периферийные устройства
- и др.
Installing the First Connection Server
Before you can begin installing the Horizon Connection Server, you will need to have a server prepared that meets the minimum requirements. The basic requirements, which are described in Part 2, are a server running Server 2012 R2 or later with 2 CPUs and at least 4GB of RAM.
Note: If you are going have more than 50 virtual desktop sessions on a Connection Server, it should be provisioned with at least 10GB of RAM.
1. Launch the Connection Server installation wizard by double-clicking on VMware-viewconnectionserver-x86_64-8.x.x-xxxxxxx.exe.
2. Click Next on the first screen to continue.
3. Accept the license agreement and click Next to continue.
4. If required, change the location where the Connection Server files will be installed and click Next.
5. Select the type of Connection Server that you’ll be installing. For this section, we’ll select the Horizon Standard Server. If you plan on allowing access to desktops through an HTML5 compatible web browser, make sure that “Install HTML Access” is installed. This option should be enabled by default. Select the IP protocol that will be used to configure the Horizon environment. Click Next to continue.
If you are installing a standard server to create a new pod, please skip to step 6. If this is a replica server to expand an existing pod, please see Step 5a.
5a – Applies only to Replica Servers. If you are installing a Horizon Replica Server, you will be prompted to provide the IP address or host name of another server in the pod. This is the server that the AD LDS instance will be replicated from.
6. Enter a strong password for data recovery. This will be used if you need to restore the Connection Server’s LDAP database from backup. Make sure you store this password in a secure place. You can also enter a password reminder or hint, but this is not required.
7. Horizon requires a number of ports to be opened on the local Windows Server firewall, and the installer will prompt you to configure these ports as part of the installation. Select the “Configure Windows Firewall Automatically” to have this done as part of the installation.
Note: Disabling the Windows Firewall is not recommended.
8. The installer will prompt you to select the default Horizon environment administrator. The options that can be selected are the local server Administrator group, which will grant administrator privileges to all local admins on the server, or to select a specific domain user or group. The option you select will depend on your environment, your security policies, and/or other requirements.
If you plan to use a specific domain user or group, select the “Authorize a specific domain user or domain group” option and enter the user or group name in the “domainname\usergroupname” format.
Note: If you plan to use a custom domain group as the default Horizon administrator group, make sure you create it and allow it to replicate before you start the installation.
9. Chose whether you want to participate in the User Experience Improvement program. If you do not wish to participate, just click Next to continue.
10. If you are installing into an SDDC on a public cloud, such as VMware Cloud on AWS, select the cloud service from the drop down box. Otherwise, select General. Click Install to begin the installation.
11. The installer will install and configure the application and any additional windows roles or features that are needed to support Horizon.
12. The installer will wait for the Horizon web apps to start.
13. Once the install completes, click Finish. You may be prompted to reboot the server after the installation completes.
What to do next
Entitle users to access the pool. See "Add Entitlements to Desktop Pools" in Setting Up Virtual Desktops in Horizon Console .
После установки и базовой настройки инфраструктурных сервисов VMware Horizon 7 можно создать первый Desktop Pool — это набор виртуальных машин VDI, которые будут иметь идентичные настройки. В этой статье будет создан пул с настройками по-умолчанию, но будет рассказано об альтернативных вариантах выбора предоставленных во время прохождения мастера. Много текста и информации.
1 — Открываем консоль управления Connection server, переходим в закладку Catalog -> Desktop pool, нажимаем на кнопку Add. Мастер установки предлагает нам три варианта десктоп пулов:
- Automated desktop pool — из «золотого» образа будут созданы виртуальные машины VDI. Причем мы можем контролировать количество созданных сразу машин, разрешить машинам создаваться по необходимости в online режиме, задать максимальное количество машин. Автоматический пул используется чаще всего, т.к. находящимися в нем машинами проще всего управлять с помощью общих политик, настроек, в крайнем случае, скриптов.
- Manual desktop pool — в ручном режиме сможем добавлять виртуальные и физические машины, на которые установлен Horizon Agent. Используется для предоставления доступа к отдельным машинам, личным ПК и т.п.
- RDS Desktop Pool — это пул, состоящий из терминальных серверов, на которые также был установлен Horizon Agent. На нашем сайте есть отдельный раздел, в котором рассказывается про терминальные серверы, в этом же цикле статей только про VDI.
3 — Мы уже выбрали в первом пункте, что пул у нас будет автоматический. Здесь необходимо выбрать, каким образом пользователю будет назначаться виртуальная машина VDI:
4 — Мы выбрали автоматический пул, мы выбрали автоматическое назначение пользователям машин с привязкой. Теперь необходимо выбрать технологию создания виртуальных машин VDI:
- Linked clones — технология связных клонов, ради нее был установлен Composer server. Неоспоримым преимуществом данной технологии является экономия дискового пространства, быстрый процесс создания и обновления машин. Есть и минусы, все машины привязаны к реплике «золотого» образа, которая будет создана во время создания десктоп пула, такие машины нельзя бэкапить, нельзя перемешать, их лучше всего вообще не трогать, чтобы не повредить.
- Full virtual machines — из «золотого» образа путем клонирования будут созданы отдельные виртуальные машины, затем эти машины по шаблону, который обычно используется для разворачивания темплейтов в vSphere, будут кастомизированы и добавлены в десктоп пул. Каждая такая машина будет занимать полный объем на системе хранения данных. Из плюсов, с этой машиной можно будет использовать стандартные средства управления, как и для физических машин, например, Microsoft System Center Configuration manager. У VMware также есть продукт для управления физическими рабочими станциями и рабочими станциями, созданными по технологии Full Clone — называется VMware Mirage.
- Instant Clone — новый способ создания виртуальных машин VDI, который не требует использования Composer server. На каждом хосте ESXi, который будет использоваться под десктоп пул, создается виртуальная машина, реплика «золотого» образа. Эта реплика находится во включенном состоянии, но так, что ее оперативная память и жесткий диск доступны только на чтение. Машины пула создаются в рамках хостов ESXi, исключительно из своей локальной реплики. Виртуальная машина создается сразу включенной и готовой принять пользователя. Значительно увеличивается скорость развертывания виртуальных машин пула, снижается нагрузка на систему хранения в операциях создания пула, обновления пула, очищения машины при логофе пользователя. Более подробно про создание машин способом Instant Clone будет рассказано в последующих статьях цикла, посвященного Horizon 7.
5 — Необходимо задать идентификаторы создаваемого десктоп пула. ID будет отображаться в консоли управления VMware Connection server, а Display name увидит пользователь, когда будет подключаться к своей виртуальной машине VDI.
6 — 7 Задаем Desktop Pool Settings.
В General указываем будет ли пул после создания включен или выключен для пользователей. Connection server restrictions — может понадобиться для случаев, если у нас в системе несколько Connection серверов и мы хотим, чтобы создаваемый пул был виден, только при подключении через указанные нами.
- Remote Machine Power policy — для виртуальным машин VDI, находящихся в пуле Connection сервер может управлять их питанием после выхода пользователя из сессии. Машина может остаться в том состоянии, в котором ее покинул пользователь (он мог ее уходя выключить, а мог оставить включенной), можно задать настройки, чтобы Connection пытался держать машину включенной или замораживал (Suspend) или выключал.
- Automatically logoff after disconnect — пользователь всегда может просто отключиться от своей сессии, закрыть ноутбук, потерять интернет соединение или выбрать соответствующий пункт в меню Horizon client. Здесь мы задаем параметр автоматического выхода из сессии, после такого отключения пользователя. На выбор Connection server может предложить следующие варианты: не выходить из сессии, немедленно выйти из сессии, либо подождать N минут и выйти из сессии.
- Allow user to reset their machines — дать право пользователю перезагрузить машину, выбрав соответствующий пункт в Horizon client. Бывает полезно, если к машине не получается подключиться.
- Refresh OS disk after logoff — можно после выхода пользователя из сессии вернуть диск, содержащий операционную систему к исходному состоянию. Про варианты разделения жесткого диска виртуальной машины на части будет рассказано ниже.
- Default display protocol — можно указать на выбор Microsoft RDP, PCoIP и VMware Blast.
- 3D render — в виртуальных машинах VDI важным вопросом является работа с графикой, т.к. почти все современные приложения для визуализации отображаемой картинки научились использовать ресурсы видеоадаптера. В виртуальной машине, чаще всего, видеокарта отсутствует, поэтому гипервизору ESXi приходится ее эмулировать. Для этого существуют разные способы, которые нам и предлагается выбрать. Software — часть оперативной памяти сервера используется, как видеопамять. Hardware — гипервизор использует ресурсы видеоадаптера, чтобы обрабатывать простые задачи, типа Windows Aero или работа браузера. Nvidia vGPU — требует установки видеокарт Nvidia GRID K1, K2 или Tesla M60, M10. В этом случае можно получить в виртуальной машине полноценный доступ к видеопамяти и ресурсам чипа.
- Параметры максимального количества мониторов и их разрешения влияют на выделяемые каждой виртуальной машине ресурсы виртуального видеоадаптера, при отсутствии карт Nvidia
- HTML access — доступ к виртуальной машине VDI через HTML5 браузер по протоколу VMware Blast с некоторыми ограничениями, по сравнению с Horizon client
- Adobe Flash settings — параметрами из этого раздела можно уменьшить качество картинки и FPS во Flash контенте, как следствие, уменьшение требований к ширине канала.
- Mirage settings — при использовании продукта для управления полными клонами виртуальных машин VDI, можно через этот параметр задавать адрес сервера Mirage, который будет автоматически прописываться во всех создаваемых виртуальных машинах.
8 — Provisioning setting — параметры развертывания виртуальных машин. Задается шаблон имени виртуальной машины в vCenter и в домене. В пункте Desktop Pool Sizing указываем соответственно максимальное количество машин в пуле, количество включенных свободных машин, готовых принять пользователей. Provisioning timing — здесь можно выбрать, нужно ли сразу создать весь объем VDI машин или динамически наращивать их кол-во с ростом числа пользователей.
9 — View Composer Disks — при использовании связных клонов для создания машин VDI есть возможность разделения жесткого диска на несколько.
- Persistent disk — на этот диск перенаправляются данные профиля пользователя, которые обычно хранятся в c:\Users\, можно выбрать лимит объема данного диска.
- Non-persisten disk — на этот диск сохраняется папка Temp, т.е. временные файлы, которые образуются во время работы с Windows. После выхода пользователя из сессии этот диск очищается.
- OS disk — его нет на экране выбора, т.к. он создается в любом случае по-умолчанию.
- Internal disk — его можно найти, если открыть свойства виртуальной машины, его объем 20Мб и он хранит информацию о доменных свойствах машины, таких как SID, доменное имя и пр.
10 — Storage Optimization. Инфраструктура VDI создает серьезную нагрузку на систему хранения данных, 30-100 IOPS в расчете на одну виртуальную машину. Причем из-за разделения дисков можно довольно точно описать характер нагрузки на каждую категорию. Именно поэтому VMware предлагает вариант для разнесения по разным Datastore различных категорий дисков, для более эффективного использования СХД.
Отдельно можно выбрать использование vSAN, при этом все заморочки с СХД отпадают, распределенное хранилище автоматически будет оптимизировать нагрузку.
11 — 21 vCenter settings — выбираем из какого «золотого» образа будут создаваться машины и на каких ресурсах VMware vSphere они будут создаваться.
Программная платформа VMware Horizon 7.7 в редакции Enterprise объединяет в себе все лучшие наработки и технологии компании VMware в области быстрой и безопасной доставки виртуальных рабочих столов VDI и опубликованных корпоративных приложений.
Рис. 1 Логическая архитектура VMware Horizon 7
VMware Horizon 7 полностью совместим с продуктами виртуализации VMware, некоторые из них входят в состав лицензии Horizon
(NSX нужно покупать отдельно) и могут использоваться для его работы. Речь идет о VMware vSphere — серверная виртуализация, VMware vSAN — виртуализация системы хранения и VMware NSX — виртуализация сетей передачи данных. На рис. 1 эти платформенные продукты образуют фундамент для запуска Horizon.
Horizon 7 не просто запускается на платформе виртуализации, как любые другие виртуальные машины, но умеет нативно использовать новейшие технологии vSphere, vSAN и NSX. (например, технология SE Sparse VAAI, storage acceleration и пр.) Все это вкупе добавляет продукту производительности, безопасности и снижает стоимость владения.
После интеграции системы Horizon 7.7 Enterprise в свою текущую инфраструктуру вы получите следующие функциональные возможности (в терминах VMware):
- JMP (Next-Generation Desktop and Application Delivery Platform) — доставка виртуальных столов VDI, приложений «на лету». Когда пользователь пытается получить доступ к VDI, то для него, персонализированно, на основании политик собирается виртуальная машина с приложениями, назначенными администратором. Для этой процедуры используются следующие технологии: VMware Instant Clone Technology for fast desktop and RDSH provisioning, VMware App Volumes for real-time application delivery, VMware User Environment Manager for contextual policy management. Виртуальная машина собирается, из независимых друг от друга, отдельно администрируемых частей. Ниже будет рассмотрен механизм работы.
- Just-in-Time Desktops — быстрое создание новых виртуальных машин VDI за счет использования технологии VMware Instant Clone Technology. По этой технологии виртуальные машины создаются уже во включенном состоянии и сразу готовы к работе, раньше для создания использовалась технология связных клонов (linked clones, она и сейчас доступна), в которой процесс создания новой VDI машины занимал больше минуты, с новой технологией секунду.
- VMware User Environment Manager (UEM) — решение VMware для работы с персональными политиками на виртуальных, физических и облачных рабочих станциях. Можно рассматривать, как дополнение к групповым политикам AD, ранее в VMware использовался собственный шаблон, который загружался в административные шаблоны групповых политик. Не очень удобное решение с точки зрения предоставляемых возможностей и удобства использования. Новое решение, User Environment Manager, более универсальное, пользователь получает единообразное рабочее пространство, сохраненные настройки программ, интерфейсов на всех устройствах. Например, пользователь настраивает под себя Excel в виртуальной машине Windows 10, а потом решает работать в опубликованном терминальном приложении Exel, настройки перенесутся. То же касается профилей пользователей. Технология UEM ускоряет процесс логина пользователя в систему, что бывает критично, у некоторых логин затягивается на 10 минут и более.
- Horizon Smart Policies — в Horizon 7 добавлены политики на основе информации об устройстве подключения, локации подключения и пр. Появилась возможность менять политики назначенные сессии при первом подключении при возникновении различных событий. Поддержка сквозной аутентификации SSO тоже относится к Smart Polices.
- Blast Extreme — высокопроизводительный протокол подключения к виртуальным рабочим станциям VDI и терминальными приложениям RDSH. Активно развивается компанией VMware, чтобы заменить устаревший PCoIP. Blast Extreme поддерживает два режима работы в JPG/PNG и в H.264, может работать и в TCP и в UDP. Переключение между режимами может быть настроено на основе политик или адаптивно, в зависимости от характеристик канала связи.
Architecture and Concepts
Before we go through the steps to deploy a Horizon Connection Server, let’s cover some basic architecture and concepts around Connection Servers.
VMware uses the “pod and block” concept to describe the basic Horizon architecture. A pod is a cluster of Horizon connection servers. Pods can scale out to 7 connection servers supporting up to 10,000 user sessions. Horizon uses Microsoft Active Directory Lightweight Directory Services (AD LDS, formerly ADAM) as it’s primary datastore. The AD LDS instance contains all of the common configuration for the Horizon pod, such as vCenter information, Instant Clone AD provisioning accounts, and pool configuration and entitlements. Each connection server in the pod has a local copy of the AD LDS instance.
All connection servers in the pod must be in the same physical datacenter, and Cloud Pod Architecture must be used if a multi-site deployments are required. VMware does not support Horizon deployments where connection servers in the same pod are spread across sites. This includes sites where active-active storage technologies are used, including technologies like VPLEX and Stretched VSAN. If active-active storage technologies are used, the Horizon management components must all be pinned to one site. They can manage desktops that are deployed into the other site, but all of the connection servers must be located together.
There are two reasons for this – the AD LDS instance mentioned above and the message bus technology used for communications between the connection servers. AD LDS can be prone to split-brain and USN rollback issues in the event of a network or server outage, especially if a server is operating on it’s own or restored from a backup or snapshot. These can prevent servers from replicating data and resolving replication conflicts when two connection server have different , which will impact the stability and operation of the environment.
Horizon uses Java Message Bus for communications between the desktops, and this requires extremely low latency (sub-millisecond) to ensure that all connection servers are in sync. If the connection servers are not in sync, then there may be errors where two users may have the same floating desktop assigned which will lead to errors. Simon Long has a great blog post explaining this in more detail.
In the Horizon block and pod architecture, blocks are the vSphere resources that desktops and RDSH servers will run on. A block is a vCenter servers for management and one or more ESXi hosts or clusters for running virtual machines. A Horizon deployment can have one or more resource blocks. The management components can along side desktop or RDSH resources, but this is not recommended for most deployments.
Note: While the Horizon connection servers must be located together in the same site, the desktop resources do not need to be located in the same site as the Connection Servers.
Configuring the Locked.Properties file
Before you sign into Horizon Administrator to configure the environment or allowing users to connect to a new connection server in an existing pod, a configuration change needs to be made.
Horizon is configured to perform origin checking on all incoming connections. This can prevent users from accessing the HTML5 client and admin interface through a load balanced URL or the Unified Access Gateway. This KB explains the issue in more detail.
In order to properly configure Horizon, we will need to create a file called locked.properties on the connection server. The locked.properties file is a simple text file, and it needs to be created in C:\Program Files\VMware\ VMware View\Server\sslgateway\conf .
The steps for configuring HTML client access when using load balanced connection servers can be found in the VMware documentation here, and the steps for configuring HTML client access when using the Unified Access Gateway can be found here. Depending on your environment, one or both of the articles may apply, and these changes must be applied to each connection server in the pod.
The connection server services will need to be restarted after the changes have been made.
Origin checking is not the only thing the locked.properties file is used for. This file is used to control the behavior of the web server used with Horizon. You can learn more about the Cross-Origin Resource Sharing options used in the locked.properties file here.
Now that the Connection Server is installed, it’s time to begin configuring the Horizon application so the Connection Server can communicate with vCenter as well as setting up any required license keys and the events database. Those steps will be covered in the next part.
You can create an instant-clone floating desktop pool for Linux virtual machines using the Add Desktop Pool wizard. After creating an instant-clone floating desktop pool, you can use the Linux virtual machines as remote desktops in a Horizon 7 deployment.
Horizon Agent for Linux supports instant-clone desktop pools only on systems with Ubuntu 20.04/18.04/16.04, RHEL 7.1 or later, RHEL 8.x, or SLED/SLES 12.x.
Note: vGPU graphics capabilities are not supported on instant-clone desktop pools created from Linux desktops.
The following procedure provides guidelines for configuring the mandatory settings for a Linux-based instant-clone desktop pool. For more information about creating instant-clone desktop pools, see Setting Up Virtual Desktops in Horizon Console .
Architecture and Concepts
Before we go through the steps to deploy a Horizon Connection Server, let’s cover some basic architecture and concepts around Connection Servers.
VMware uses the “pod and block” concept to describe the basic Horizon architecture. A pod is a cluster of Horizon connection servers. Pods can scale out to 7 connection servers supporting up to 10,000 user sessions. Horizon uses Microsoft Active Directory Lightweight Directory Services (AD LDS, formerly ADAM) as it’s primary datastore. The AD LDS instance contains all of the common configuration for the Horizon pod, such as vCenter information, Instant Clone AD provisioning accounts, and pool configuration and entitlements. Each connection server in the pod has a local copy of the AD LDS instance.
All connection servers in the pod must be in the same physical datacenter, and Cloud Pod Architecture must be used if a multi-site deployments are required. VMware does not support Horizon deployments where connection servers in the same pod are spread across sites. This includes sites where active-active storage technologies are used, including technologies like VPLEX and Stretched VSAN. If active-active storage technologies are used, the Horizon management components must all be pinned to one site. They can manage desktops that are deployed into the other site, but all of the connection servers must be located together.
There are two reasons for this – the AD LDS instance mentioned above and the message bus technology used for communications between the connection servers. AD LDS can be prone to split-brain and USN rollback issues in the event of a network or server outage, especially if a server is operating on it’s own or restored from a backup or snapshot. These can prevent servers from replicating data and resolving replication conflicts when two connection server have different , which will impact the stability and operation of the environment.
Horizon uses Java Message Bus for communications between the desktops, and this requires extremely low latency (sub-millisecond) to ensure that all connection servers are in sync. If the connection servers are not in sync, then there may be errors where two users may have the same floating desktop assigned which will lead to errors. Simon Long has a great blog post explaining this in more detail.
In the Horizon block and pod architecture, blocks are the vSphere resources that desktops and RDSH servers will run on. A block is a vCenter servers for management and one or more ESXi hosts or clusters for running virtual machines. A Horizon deployment can have one or more resource blocks. The management components can along side desktop or RDSH resources, but this is not recommended for most deployments.
Note: While the Horizon connection servers must be located together in the same site, the desktop resources do not need to be located in the same site as the Connection Servers.
Prerequisites
- Familiarize yourself with the steps for creating virtual machines in vCenter Server and installing Linux operating systems. For more information, see Create a Virtual Machine and Install Linux.
- Understand the steps for AD integration using the PBISO authentication solution or Samba Winbind offline join. For more information, see Configure PowerBroker Identity Services Open (PBISO) Authentication or Configure the Samba Offline Domain Join.
Note: To create an instant-clone desktop pool from a Linux virtual machine running RHEL 8.x, perform the AD integration using Samba Winbind offline join. Instant-clone desktop pools are not supported for RHEL 8.x virtual machines that use PBISO authentication.
Варианты решения
По запросу удаленный доступ Яндекс выдает программы, которые больше подходят для личного использования: TeamViewer, AmmyAdmin и др. Кроме того, эти программы используют внешние (облачные) ресурсы для авторизации и соединения с компьютером, что неприемлемо для конфиденциальной информации.
Корпоративные решения такие как Citrix XenDesktop, Microsoft RDS и VMware Horizon в своей полной реализации сложны в настройке, зато не передают информацию за пределы компании, полностью управляются администраторами и имеют широкий спектр возможностей для решения задач бизнеса в изменяющихся условиях.
Самым доступным, на наш взгляд, корпоративным решением для быстрой настройки удаленного доступа к физическим персональным компьютеров сотрудников является VMware Horizon в его минимальной конфигурации. Этот продукт позволяет решить вышеописанные проблемы, дать системному администратору и администратору информационной безопасности необходимые возможности управления.
Отказоустойчивость Horizon 7
В референсной документации по VMware Horizon 7 разбираются варианты по обеспечению отказоустойчивости на уровне центров обработки данных. Для больших инсталляций рекомендуется развертывание Horizon 7 Entrprise в двух независимых ЦОД. Выделяют два основных принципа построения такой архитектуры:
- Site redundancy — устранение единой точки отказа, которая может привести к недоступности сервиса.
- Data Replication — обеспечение избыточности достаточной для обеспечения работоспособности сервисов при выходе из строя компонентов системы Horizon 7.
Для достижения Site redundancy необходимо выполнить следующие условия:
- Сервисы Horizon 7 должны работать независимо друг от друга в разных ЦОД
- Для каждого пользователя в каждом ЦОД должны быть выделены соответствующие ресурсы
- Некоторые сервисы Horizon 7 доступны пользователям одновременно из разных ЦОД (актив\актив)
- Некоторые сервисы в резервном ЦОД требуют операции перевода в рабочее состояние в ручном режиме в случае аварийной ситуации (актив\пассив)
Отказоустойчивость. Active/Active
Архитектура VMware Horizon 7 уровня Active/Active подразумевает использования двух и более Pod-ов в разных ЦОД. Pod-ы объединены друг с другом через Cloud Pod Architecture и обмениваются глобальными настройками, которые позволяют пользователям системы Horizon 7 получать доступ к опубликованным ресурсам в любом доступном Pod.
Рис. 6 Архитектура Horizon 7 Active/Active
Доступ к виртуальным рабочим станциям VDI, опубликованным приложениям RDSH часто для компаний является бизнес критичным сервисом. Доступность уровня 99,99 не может быть гарантированно обеспечена архитектурой решения Active/Passive, поэтому чаще применяют мультисайтовую архитектуру Active/Active (Рис. 7)
Рис. 7 Репликация в Horizon 7 Active/Active
Архитектура Active/Active подразумевает доступность сервиса при обращении пользователя к Site1 или Site2. Поэтому в случае аварийной ситуации на одном из сайтов, пользователь без простоя подключится к другому сайту и продолжит работу. Распределение пользователей по сайтам может быть настроено интеллектуально по географическому признаку.
Коронавирус изменил всё. Многие компании оказались не готовы к такому повороту событий, не прошли эту первую проверку на прочность, которых будет еще много в наше непростое беспокойное время. Карантин диктует свои правила работы, и уже сейчас нужно переводить сотрудников на удаленную работу из дома. Именно поэтому система удаленного доступа превратилась в необходимость.
Архитектура
Красной линией на Рис. 1 выделена схема подключения, которая должна быть реализована для организации простейшего удаленного доступа к физическому ПК пользователя.
Рис. 1 Удаленный доступ. Архитектура
У пользователя на его устройстве должен быть установлена программа клиент, в котором необходимо ввести адрес сервера подключения. Ввести свой логин и пароль, после чего откроется рабочий стол рабочего компьютера.
Настройка
Последовательность настройки удаленного доступа на базе VMware Horizon 7.12 следующая:
- Установка Connection server
- Установка Security server
- Установка VMware Horizon Agent на физический ПК пользователя
- Установка сертификатов, проброс портов, тестирование удаленного доступа
Для демонстрации настройки у меня настроена тестовая инфраструктура: Windows домен, виртуальная машина для VMware Connection server, виртуальная машина для VMware Security server, виртуальная машина в качестве ПК, куда я буду подключаться.
Отказоустойчивость. Active/Passive
Архитектура Active/Passive подразумевает наличие двух и более Pod-ов, находящихся в разных ЦОД. Они объединены через Cloud Pod Architecture и постоянно обмениваются информацией о глобальных настройках прав пользователей на ресурсы Horizon 7. Как видно на Рис. 4, пользователь в штатном режиме не имеет доступа к резервному Site 2 и Pod 2.
Рис. 4 Архитектура Acive/Passive в Horizon 7
Рассмотрим архитектуру VMware Horizon 7 в режиме отказоустойчивости active/passive (Рис. 5). Есть основной ЦОД (Site 1), который работает большую часть времени и резервный ЦОД (Site 2), который может быть задействован в случае аварии на основном.
Рис. 5 Репликация в Horizon 7 Active/Passive
Для работы в режиме отказоустойчивости лучше всего подходят инфраструктуры Horizon 7, в которых используются продукты редакции Enterprise. Виртуальная машина VDI в этом случае «собирается» для пользователя во время логина из трех основных компонентов:
- Мастер образ — эталонная виртуальная машина для VDI или для RDSH с базовым набором приложений, который подходит для всех пользователей. Из подготовленного мастер образа путем клонирования создаются все виртуальные машины для каждого пула. У VMware есть 3 технологии клонирования: full clone, linked clone и самая современная Instant clone.
- Приложения — чтобы дополнить приложениями мастер образ в Horizon Enterprise есть технология App Volumes. С помощью этого сервиса администратор готовит слои приложений, которые доставляются в мастер образ во время логина пользователя или «на лету» в процессе работы (что не рекомендуется). Слой приложения представляет собой файл vmdk доступный только для чтения. Он монитируется к виртуальной машине, а агент App Volumes в гостевой операционной системе Windows подключает этот диск без перезагрузки. На Рис. 2 можно увидеть еще один тип слоя Writable Volume. Он предназначен для категории пользователей, которые самостоятельно могут устанавливать приложения и вносить иные изменения в гостевую ОС. Все изменения записываются на этот слой и подключаются к VDI виртуальный машине при каждом входе в систему.
- Профиль пользователя — у каждого пользователя есть личные данные, документы, настройки программ, которые сохраняются в профиле. Во время входа в систему, к виртуальной машине подключается (перенаправляется) профиль.
Для реализации отказоустойчивости Active/Passive необходимо три вышеописанных компонента реплицировать с основного Site1 на резервный Site2. При наступлении аварийной ситуации, пользователи смогут подключаться к Site2, получая виртуальные машины с данными, актуальными на момент крайней репликации.
Помимо репликации, чтобы было куда реплицировать, на Site2 нужно инсталлировать инфраструктуру Horizon 7. Создать пулы в соответствии со структурой Site1 из мастер образов. С помощью Cloud Pod Architecture (CPA) можно поддерживать на обоих сайтах в актуальном состоянии информацию о правах пользователя на объекты VDI и RDSH.
App Volumes кластеризуется, поэтому поддерживать в актуальном состоянии «слои» (AppStacks) приложений во всех хранилищах просто. Сложнее с Writable Volumes, которые нужно реплицировать, а затем подключать. Здесь уже появляются ручные действия администратора и такие понятия как RTO (60-90 минут) и RPO (1-2 часа).
Настройки User Environment Manager (UEM) также реплицируется на Site 2 и восстанавливается за несколько минут
Профили пользователей под управлением UEM имеют RTO = 1 мин, RPO = 2 часа (в зависимости от частоты репликации)
Дистрибутивы
Для настройки системы удаленного доступа на базе VMware Horizon 7.12 потребуются следующие дистрибутивы:
VMware Connection server (сервер управления) и VMware Security server (сервер подключения) устанавливаются из одного архива (ссылка)
Программное обеспечение, которое необходимо установить на рабочий ПК пользователя VMware Horizon Agent (ссылка)
Программное обеспечение, которое необходимо установить на личное устройство пользователя.
— для Windows устройств (ссылка)
— для Mac устройств (ссылка)
— для Android устройств доступен Google Play store
— для iOS устройств доступен в Apple App Store
Архитектура и компоненты
Для развертывания инфраструктуры Horizon 7 Enterprise потребуется установить определенное количество серверов и сервисов в ЦОД. Ниже подробно разберем, какие это компоненты и какую роль они выполняют.
Рис. 2 Логическая архитектура VMware Horizon 7 Enterprise
На Рис. 2 в блочном виде отображены основные компоненты архитектуры VMware Horizon 7 в редакции Enterprise.
- VMware Identity Manager — служба сквозной SSO аутентификации пользователей во всех приложениях, которые могут быть доставлены через продукты VMware (не только Horizon).
- Connection Server — компонент VMware Horizon выполняющий роль брокера подключений пользователей. После аутентификации пользователя, перенаправляет его на доступный ресурс. Это может быть VDI виртуальная машина, терминальный сервер, физический ПК.
- Instant Clone Technolodgy — передовая технология VMware для «мгновенного» клонирования (создания) виртуальных машин VDI или терминальных серверов RDSH из базового образа.
- Unified Access Gateway — шлюз для безопасного доступа к опубликованным ресурсам VMware Horizon 7 из сети интернет.
- AppVolumes Manager — позволяет доставлять приложения пользователям в VDI рабочие станции без необходимости их инсталляции. В любой момент, можно подключить слои приложения или отключить их «на лету». В штатном режиме работы приложения доставляются во время входа пользователя в систему.
- Microsoft SQL server — компонентам управления VMware Horizon для работы требуется база данных для хранения информации.
- vRealize Operations Manager for Horizon — сервис для мониторинга VMware Horizon и аналитики использования. Позволяет оценить работоспособность всех компонентов Horizon, производительность, эффективность.
- File servers — в основном, используется для хранения профилей пользователей.
- VMware ESXi Hosts — физические серверы, на которых запущен гипервизор VMware ESXi.
- vSAN storage — гиперконвергентная высокопроизводительная система хранения данных на базе платформы виртуализации VMware vSphere.
- NSX for vSphere — решение от VMware для виртуализации сетей передачи данных. Позволяет производить микросегментацию сети на уровне виртуальных машин или приложений. Можно полностью изолировать одни виртуальные машины друг от друга или использовать программный firewall, который входит в состав NSX.
- VMware vCenter server — центр управления всеми компонентами vSphere. Используется в Horizon для выполнения операций с виртуальными машинами, слоями приложений AppVolumes и т.д.
Предварительные требования
За один рабочий день системный администратор, вполне, может настроить простейшую систему удаленного доступа на базе VMware Horiozon и предоставить доступ первым пользователям. Для этого ему потребуется:
- скачать необходимые дистрибутивы VMware
- установить и настроить сервер управления
- установить и настроить сервер подключений
- установить на ПК пользователя ПО агента
- предоставить учетной записи пользователя удаленный доступ к конкретному ПК
- выслать пользователю инструкцию для получения удаленного доступа
Results
In Horizon Console , you can view the desktop VMs as they are added to the pool by selecting Inventory > Desktops .
After you create the pool, do not delete the master image or remove it from the vCenter Server inventory if the pool exists. If you remove the master image VM from the vCenter Server inventory by mistake, you must add it back and then do a push image using the current image.
Procedure
- Create a Linux virtual machine (VM) with Ubuntu 20.04/18.04/16.04, RHEL 7.1 or later, RHEL 8.x, or SLED/SLES 12.x installed.
-
To use the PBISO authentication solution, perform the following steps:
Note: You must use Samba Winbind to integrate a RHEL 8.x VM with Active Directory. Otherwise, the creation of the instant-clone floating desktop pool fails.
A new virtual network adapter is added when a new instant-cloned VM is created. Any setting in the network adapter, such as the DNS server, in the VM template is lost when the new network adapter is added to the instant-cloned VM. PBIS requires a valid DNS server and the FQDN mapping in the /etc/hosts is not acceptable. To avoid losing the DNS Server setting when the new network adapter is added to the cloned VM, you must specify a DNS server in your Linux system. For example, in an Ubuntu 16.04 system, specify the DNS server by adding the following lines in the /etc/resolvconf/resolv.conf.d/head file.
- Add a 'soft' flag in /etc/fstab , such as:
- If you do not want to use the 'soft' flag in /etc/fstab , you cannot configure the /etc/fstab in the master Linux VM image. You can write a power-off script to configure the /etc/fstab file, and then specify this power-off script for the ClonePrep tool. For more information, see the VMware Horizon Console Administration document.
See "Take a Snapshot in the VMware Host Client" in vSphere Single Host Management - VMware Host Client for information.
- When prompted, set the Virtual Machine Naming options.
Option Description Enable provisioning Select this option. Stop provisioning on error Select this option. Naming Pattern Specify a pattern that Horizon 7 uses as a prefix in all the desktop VM names, followed by a unique number. For example, specify LinuxVM- . Max number of machines Specify the total number of machines in the pool. Number of spare (powered on) machines Specify the number of desktop VMs to keep available to users. Provision all machines up front Select this option to have Horizon 7 provision the number of VMs specified in Max number of machines . - When prompted, select Use VMware Virtual SAN for the storage management policy.
- When prompted, specify the Domain setting, AD container, and any extra customization scripts that must be run after the VM is cloned.
Important: When you use ClonePrep power-off or post-synchronization scripts, ensure that the scripts are located in the /var/userScript folder, owned by the root user, and have the file permissions set to 700.
Читайте также: