Digital Workspaсe и VMware: VDI мёртв, да здравствует VDI
Всем привет! Сегодня мы хотим поговорить о том, как видит рынок VDI вендор VMware.
Цифровизация правит миром. Во многих компаниях уже нет фиксированного рабочего дня, а где-то даже фиксированного рабочего места. Бизнесу нужно, чтобы сотрудники всегда были на связи — как минимум, читали бы почту — и быстро реагировали на какие-то события. То есть идеальная картинка с точки зрения бизнеса выглядит так: в компании реализован удобный, прозрачный, защищённый доступ к рабочим инструментам с любого устройства из любой точки мира.
Как было раньше
Какие-то лет 5–10 назад всё было иначе. Царил классический VDI: на рабочих местах стояли Windows-ноутбуки и десктопы, а каждая уважающая себя компания бережно разворачивала у себя локально VDI и терминальные фермы. Компании активно пытались обеспечить доступ к виртуальному рабочему месту с мобильных устройств, чтобы пользователь мог, к примеру, почитать свою корпоративную почту или отредактировать корпоративный документ. Такой способ работы был, мягко говоря, неудобен. Пользователю гораздо проще открыть мобильное приложение, прочитать почту, скачать файл, отредактировать его в мобильном редакторе и отправить дальше. Люди привыкли к повседневному использованию мобильных приложений, мессенджеров и социальных сетей в личной жизни, и хотят использовать такие же удобные инструменты и в работе. С точки зрения компании, все эти действия должны быть максимально безопасны для ценных корпоративных данных.
С тех пор изменилось очень многое.
Мобильные экосистемы прошли стадию взрывного роста: сегодня в ходу как Windows, так и macOS-ноутбуки, а мобильный лагерь поделился на Android и iOS со своими приложениями и средами разработки. Множатся количество учетных записей в корпоративных системах и других сервисах, а также пути доступа к ним: сегодня мы используем не только пароли и смарт-карты, но также биометрическую аутентификацию по отпечатку пальца или сканированию лица. Многократно возросло количество информации, генерируемой пользователями — мы часто повторяем эту фразу, но не всегда придаем ей достаточное значение, хотя от этого у нас не станет меньше данных, которые нужно обрабатывать, передавать и хранить.
В общем, классический VDI 5–10-летней давности — это лишь маленький кусочек современной концепции цифрового рабочего места, бурно изменяющийся под воздействием ускоряющегося мира и требований о сокращении Time-to-Market.
Сейчас актуально не просто создавать виртуальные рабочие столы и пускать на них пользователей, а решать более глобальные задачи:
- Управлять пользовательскими конечными устройствами (включая смартфоны, планшеты, ноутбуки).
- Управлять пользовательским окружением (динамическая настройка пользовательского окружения на любых виртуальных рабочих местах, управление пользовательским профилем).
- Получать расширенную аналитику о пользовательских приложениях, сессиях, устройствах и т. д.
- Обеспечивать высокую сохранность корпоративных данных.
- Максимально всё автоматизировать.
Сегодня востребовано цифровое рабочее место, поддерживающее доступ с любых гаджетов и ОС, работающее удобно и бесшовно для пользователя, при этом защищенное от взлома и проникновения. Пользователям нужен не рабочий стол или среда, которые предоставляет классический VDI, а конкретные приложения as a service. Человек хочет зайти на корпоративный портал приложений, нажать кнопку и получить нужное приложение.
Поэтому в настоящее время VDI — это лишь часть большой экосистемы под названием «цифровое рабочее место».
В конечном счете, всё делается для того, чтобы пользователь мог эффективно решать свои рабочие задачи.
Как от этой красивой идеи перейти к практической реализации?
Что нам предлагают сегодня
Ряд вендоров сегодня предлагают решения разной степени комплексности, с помощью которых вы можете создать у себя инфраструктуру цифровых рабочих мест. И сегодня мы поговорим о том, как видит этот рынок VMware.
Несколько лет назад компания VMware разглядела тенденцию, куда движется мир End-user computing (в направлении инфраструктурных технологий для конечных пользователей), и поглотила ряд фирм, чтобы интегрировать их продукты в свою экосистему — Workspace ONE.
Существуют различные издания Workspace ONE:
- Workspace ONE Standard
- Workspace ONE Advanced
- Workspace ONE Enterprise
- Workspace ONE Enterprise for VDI
Все издания доступны для приобретения как в виде облачной услуги, так и в виде программного обеспечения для инсталляции в собственной инфраструктуре (on-premise). Надо отметить, что большинство российских заказчиков ввиду разных причин предпочитает разворачивать и использовать продукты в собственной инфраструктуре, в то время как западные заказчики довольно часто используют облачные версии.
Основные продукты, входящие в Workspace ONE:
- Horizon — решает задачи создания и управления виртуальными рабочими местами, а также включает в себя важные продукты для построения современного цифрового рабочего места:
- AppVolumes, от поглощенной компании Cloud Volumes, реализует слои, «отвязывающие» приложения от виртуального рабочего места, благодаря чему его можно в любой момент поменять безо всякого вреда для приложений и пользовательских данных.
- User Environment Manager (UEM), от поглощенной компании Immidio, позволяет персонализировать и динамически управлять пользовательским окружением, независимо от того, откуда подключается пользователь и с какого устройства. Допустим, вы настроили отображение писем в Outlook и свою подпись, и все эти настройки «прилетят» на любое другое ваше виртуальное рабочее место.
- Identity Manager — решает задачи по созданию портала доступа к различным приложениям (облачным, legacy-приложениям, веб-приложениям), а также виртуальным рабочим местам. Реализует механизм Single Sign-On для всех корпоративных приложений (как внутренних, так и сторонних).
- Unified Endpoint Management (UEM), ранее и продукт, и поглощенная компания назывались AirWatch — набор продуктов, решающий задачи централизованного управления конечными клиентскими мобильными устройствами (iOS и Android) и современными версиями клиентских операционных систем (Windows 10, macOS), с которых пользователи получают доступ к корпоративным данным.
Описание всей доступной функциональности каждого из этих продуктов может занять несколько больших статей. Ниже мы расскажем о возможностях VMware Horizon, без которого построение современного цифрового рабочего места невозможно. А описание возможностей управления клиентскими рабочими местами мы вынесем в одну из следующих наших статей.
Horizon
Это базовый продукт для создания и управления инфраструктурой виртуальных рабочих столов.
VMware Horizon доступен в нескольких изданиях, отличающихся друг от друга набором доступной функциональности:
- Horizon Standard
- Horizon Advanced
- Horizon Enterprise
- Horizon for Linux
Источник.
За последнее время сильно изменился и подход к применению VDI в корпоративной инфраструктуре, и подход к развертыванию самих виртуальных машин — виртуальных рабочих столов.
Объясним подробнее.
Раньше мы для каждого пользователя создавали Full-клоны виртуальных машин, и если в них нужно было что-то поменять, то приходилось сначала обновлять исходную машину, а затем долго и нудно клонировать заново или использовать сторонние средства управления конфигурациями (например, Microsoft System Center Operations Manager). Для хранения Full-клонов нужна СХД с хорошо работающими технологиями дедупликации и компрессии, а в случае поломки полного клона необходимо иметь его резервную копию, или же тратить время на повторную настройку такого уникального виртуального десктопа.
В дополнение к Full-клонам были придуманы Linked-клоны — они позволяли экономить дисковое пространство в СХД в те времена, когда ещё не были развиты технологии компрессии и дедупликации на уровне хранилища. Администратор управлял «золотым образом», наполняя его тем, что нужно пользователям: офисными приложениями и клиентами корпоративных приложений. После этого образ клонировался, а пользователям раздавался доступ к клонам.
Предполагалось, что в Linked-клонах нельзя было ничего менять (например устанавливать дополнительное приложение в уже созданное виртуальное рабочее место), а все данные сохранялись на файловых серверах. Администратор мог довольно быстро убить и заново развернуть такой клон.
В целом схема была рабочая, только создавать и редактировать «золотой образ», а затем переразвёртывать виртуальные десктопы было долго и неудобно.
Но проблемы с сохранением пользовательского окружения всё ещё сохранялись. Простой сервиса в течение обновлений сильно сократился, но избавиться от него не удавалось. Сама инфраструктура была достаточно сложной в эксплуатации для ИТ-персонала.
Источник.
В настоящий момент VMware делает упор на технологию Instant-клонов. Они позволяют очень быстро создавать и предоставлять конечному пользователю виртуальную машину — виртуальный рабочий стол.
Суть технологии состоит в том, что «на лету» создается клон уже включенной виртуальной машины, который начинает использовать ту же область памяти, что и родительская виртуальная машина. При этом дочерняя виртуальная машина не может писать в общую область памяти, только в выделенную специально для нее. Операции чтения/записи выполняются аналогично, с использованием базового диска родительской виртуальной машины.
Источник.
Instant-клон реализует подход Just In Time Desktop: содержимое образа минимизировали, а управление настройками и доступом к приложению вынесли на разные уровни. При таком подходе виртуальные рабочие места разворачиваются за несколько секунд (в отличие от Linked-клонов).
Но дело в том, что Instant-клон не является постоянным рабочим местом. После окончания работы пользователя виртуальная машина удаляется. Для избавления от этого недостатка была предложена концепция, оформленная в виде отдельного фреймворка Just In Time Management Platform (JMP). (https://techzone.vmware.com/resource/jmp-and-vmware-horizon-7-deployment-considerations). Для персонализации такого временного рабочего места используются продукты AppVolumes и User Environment Manager (UEM), входящие в JMP.
К виртуальным десктопам, в соответствии с политиками, с помощью VMware AppVolumes подключаются назначенные read-only приложения — Appstack, а также выделенные writable-диски, позволяющие пользователю сохранять свои данные и устанавливать персональные приложения.
- AppVolumes — технология бесшовной доставки приложений и персональных дисков на виртуальные рабочие места. Она включает в себя:
- AppStack — представляет собой подготовленное портируемое приложение или набор приложений, подключаемых к рабочим столам пользователей в режиме read-only. Технически это отдельный виртуальный диск (vmdk-файл), который динамически можно подключать к пользовательским виртуальным рабочим местам.
- Writable disk — персональный виртуальный диск (vmdk-файл), привязанный к конкретному пользователю. Эта технология позволяет пользователю сохранять личные файлы, настройки, данные реестра и устанавливать персональные приложения.
- User Environment Manager — управление пользовательским окружением в виртуальном рабочем месте. Отвечает за перенаправление пользовательских папок, монтирование сетевых дисков, сценарии logon/logoff, подключение принтеров и т. д.
То есть VMware предлагает такой подход: пользователь авторизуется, получает виртуальное рабочее место со своими приложениями и примененными настройками окружения, и спокойно работает. А когда выходит из системы, виртуалка уничтожается. При следующем входе пользователя создается новая ВМ, которая опять динамически собирается из компонентов, как конструктор. И для разных сотрудников можно собирать индивидуальные рабочие места.
Такая схема сильно упрощает поддержку. Например, раньше, чтобы обновить приложения, администратор сначала ставил свежие версии, создавал новый «золотой образ», нажимал кнопку «Обновить», и за несколько часов развертывались новые виртуальные рабочие места. А в случае с Instant-клонами всё происходит «вживую» и занимает буквально минуты: пользователь разлогинился, потом вошёл снова — и попал уже в новое рабочее место с обновленными приложениями.
При использовании AppVolumes администратор готовит новый AppStack (контейнер для приложения), нажимает несколько кнопок — и старый контейнер отвязывается от пользователя, а новый привязывается, обновление готово.
Если выражаться маркетинговым языком, time-to-market сократилось в разы.
Сложив всё это вместе, мы получаем единую экосистему, в которой пользователю максимально комфортно получать доступ к корпоративным данным и приложениям с любого рабочего места, а с точки зрения администратора обеспечивается безопасный доступ к данным, упрощается управление инфраструктурой.
Бандл Horizon, начиная с редакции Advanced, включает в себя лицензию на использование гиперконвергентной системы хранения данных VMware vSAN, чего не предлагает ни один другой вендор на рынке. Купив программное обеспечения Horizon как отдельный продукт или в составе платформы Workspace ONE, заказчику уже не нужно думать о том, где размещать виртуальные рабочие места.
Корпоративный магазин приложений
Еще одной интересной возможностью является корпоративный магазин приложений. Это портал, на страницах которого, пользователи могут выбирать необходимые им инструменты, сразу же запускать их и использовать. Реализовать этот портал можно с помощью приложения VMware Identity Manager, входящего в VMware Horizon Enterprise и, в зависимости от требуемой функциональности, в различные издания Workspace ONE.
Портал авторизует пользователя и на основе прописанных политик показывает, какими корпоративными ресурсами сотрудник может воспользоваться, какие приложения ему будут доступны.
Помимо своих собственных приложений, в магазине можно опубликовать облачные приложения, которые находятся на стороне сервис-провайдеров или SaaS-провайдеров. Пользователю не потребуется запоминать кучу ссылок, достаточно щёлкнуть на ярлыки в магазине: «Нажми сюда, чтобы получить доступ к системе ведения заявок», «Нажми сюда, чтобы попасть в лабораторию для развертывания окружения, тестирования», «Нажми иконку, и у тебя запустится твоё рабочее место с необходимым доступом», и тому подобное.
Пользователю даже не нужно запоминать, куда нужно пойти, всё необходимое можно разместить на своеобразной витрине, которая собирается индивидуально для каждого сотрудника в соответствии с политиками.
Источник.
Единый портал очень удобен и для адаптации новичков — не нужно вести корпоративные базы знаний, которые вечно устаревают. Можно забыть о ситуации, когда пользователь не знает, какие приложения используются в компании, как их найти и применять. А когда пользователь уволится, администратор сможет быстро и централизованно заблокировать все доступы. Не нужно ходить по всем системам в отдельности, и если админа отвлекут или позовут пить чай, он не оставит случайно часть доступов открытыми.
На портале можно авторизоваться как по паролю, так и с помощью двухфакторной аутентификации. Поскольку это один из ключевых механизмов защиты, управление методом входа выполняется централизованно. Обычно пользователю достаточно ввести пароль один раз (Single Sign-On), и внутри системы он сможет переходить между приложениями и сервисами сколько угодно, больше не подтверждая, что он — это он, нигде не вводя пароли. Пользователю не нужно помнить множество разных паролей, которые, в результате, часто записывают на бумажку и кладут под клавиатуру.
Облака и сервисы
Всё вышеописанное богатство не обязательно разворачивать и поддерживать на мощностях своей инфраструктуры. Из облака можно получить Identity Manager, Unified Endpoint Management (он же Airwatch), или даже полностью VDI как услугу. В таком случае в собственной инфраструктуре разворачиваются специализированные коннекторы. Этот подход освобождает администратора от обновления инфраструктурных компонентов, обеспечения их доступности и резервного копирования, позволяя заняться решением проблем конечных пользователей.
Конечно, банку или государственной организации такая модель не подойдет, но многие коммерческие компании могут перенести затраты на ИТ-инфраструктуру с помощью облака в категорию операционных расходов, тем самым оптимизировать бюджет и минимизировать свои траты. Если же необходимость в каком-то компоненте облачной ИТ-инфраструктуры пропадает, достаточно от него отказаться.
Пилотный проект
Вместе с вендором мы реализовали пилотный проект магазина приложений у одного крупного телеком-оператора. Коллеги из VMware помогали настраивать Unified Endpoint Management (Airwatch) для управления конечными пользовательским устройствами, а мы настраивали подготовку виртуальных машин, установку брокеров, специализированных серверов безопасности, Unified Access Gateway, AppVolumes, UEM.
Технологически схема выглядела следующим образом:
- Unified Endpoint Management управляет пользовательскими устройствами.
- Horizon организует создание и развертывание терминальных столов, RDSH.
- На виртуальных машинах с ролью терминального сервера работают бизнес-приложения.
- Доступ к бизнес-приложениям осуществляется через Identity Manager с любого пользовательского устройства, включая смартфоны, планшеты и ноутбуки.
Виртуальные терминальные серверы создавались по технологии Linked-клонов, но в целом можно было использовать и Instant-клоны, которые только-только начинали применять. После развертывания виртуальных терминальных серверов к ним автоматически подключались упакованные в AppStack приложения, после чего на портале автоматически появлялись опубликованные бизнес-приложения. То есть пользователь даже не знает, что он заходит на терминальную ферму, которая поднята на виртуальных машинах на платформе виртуализации VMware. Пользователь видит просто иконку бизнес-приложения, или, если это необходимо, полноценного виртуального рабочего места.
Доступ к информации был не только с ВМ, но и любых мобильных устройств. Например, на iPad в два клика можно было открыть документы, сохраненные в корпоративном хранилище документов. При этом сам документ невозможно было скопировать на мобильное устройство или любое другое внешнее хранилище, что обеспечивало сохранность конфиденциальных документов в корпоративной инфраструктуре. Проект оказался успешным, и дальше заказчик сам продолжил сопровождение системы. То есть Workspace ONE не потребует от вас пожизненной зависимости от вендора или интегратора, достаточно развернуть и настроить систему, а дальше вы можете поддерживать ее работу и перенастраивать своими силами.
Заключение
Напомним, что система Workspace ONE состоит из трёх основных блоков:
- Horizon — старый добрый VDI.
- Identity Manager — портал приложений, который можно покупать отдельно или в составе Horizon.
- Unified Endpoint Management — управление клиентскими устройствами.
Все вместе они решают несколько больших задач при создании цифровых рабочих мест:
- Упрощают администрирование.
- Защищают информацию.
- Максимально автоматизируют.
- Обеспечивают удобство использования.
Последний пункт далеко не последний по важности. Если результатом сочетания нескольких технологий неудобно пользоваться, то пользы от нововведения будет мало — люди будут всячески избегать навязанной боли. Сотрудники не обязаны страдать от плохого UX (user experience), нужно стремиться к тому, чтобы корпоративными инструментами было так же удобно пользоваться, как и лучшими коммерческими. Конечно, не в ущерб информационной безопасности.
Итак, благодаря поглощению компаний и адаптации их программных продуктов VMware разработала линейку продуктов Workspace ONE для создания среды цифрового рабочего места, в которой виртуальная машина с ОС не играет ключевую роль. Её в любой момент можно пересоздать, что никак не повлияет на пользователя: все его файлы, настройки и приложения останутся на своих местах. Причём не важно, какое устройство будет использоваться для доступа.
Дмитрий Горохов, начальник отдела виртуализации «Инфосистемы Джет»