Edition de février 2009 - Numéro 1 Virtualisation du Poste de Travail
Edition de février 2009 - Numéro 1 Edito Depuis maintenant plus de deux ans, l équipe technique d Amosdec a communiqué et engrangé de l expérience autour des technologies de virtualisation du poste de travail. Ce concept, qui n était à l époque qu un cas d usage de la virtualisation, s est transformé en une gamme de services répondant à l ensemble des problématiques utilisateurs. Gestion centralisé, accès à distance sécurisé, impressions, usage des périphériques, mode non connecté sont autant de solutions destinées à la productivité des utilisateurs et des gestionnaires bureautiques. Afin de vous assister dans votre démarche projet, depuis la fin d année dernière nous vous avons mis à disposition une formation «VMware View Essentials» permettant en une journée de découvrir l ensemble des fonctionnalités de VMware View. Dès le mois de mars, nous vous proposerons une formation technique complète d une durée de 3 jours intitulée «VMware View : Install Configure & Manage» qui abordera tous les détails de la solution VMware, y compris ThinApp. Merci à Pierre-François Guglielmi pour la rédaction de ce cahier produits. N hésitez pas à nous faire part de vos commentaires : cta@amosdec.fr Bonne lecture! Thierry MALQUIN Directeur Technique Amosdec SOMMAIRE Les Cahiers Techniques et Produits sont diffusés par Amosdec. Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, sans l autorisation d Amosdec est illicite et constitue une contrefaçon.
3 Virtualisation du poste de travail Le terme virtualisation a longtemps été associé quasi exclusivement aux serveurs. En effet, certaines problématiques telles que consolidation et écologie ont conduit et conduisent encore les entreprises à virtualiser tout ou partie de leurs serveurs. Depuis environ 3 ans, c est la virtualisation du poste de travail qui suscite de plus en plus l attention. De prime abord on pourrait se demander pourquoi virtualiser les postes de travail, quels avantages sont à attendre, quels challenges sont à relever. C est ce que ce dossier se propose d aborder. Sera développé ensuite, plus particulièrement la solution de gestion des postes de travail de VMware, récemment renommée VMware View.
4 Virtualisation du poste de travail > Les challenges du poste de travail Administration La gestion et l administration des postes de travail physiques sont délicates, en particulier lorsqu ils sont géographiquement dispersés dans plusieurs sites ou agences, et en l absence de technicien support sur site. Déploiement Le déploiement de PCs physiques nécessite le plus souvent la création d autant de «masters» que de modèles matériels, multiplié par le nombre de systèmes d exploitation ou de versions de systèmes d exploitation. Sécurité et protection Mais le plus gros challenge reste sans doute la sécurisation et la protection des données. En effet, il est très compliqué de mettre en place des stratégies de sauvegarde pour des PCs physiques, d autant plus lorsque ceux-ci sont mobiles. Dans ce dernier cas des données importantes sortent de l entreprise, il est alors indispensable de les protéger, de sorte qu elles ne soient pas accessibles en cas de perte ou de vol du matériel. De même, lors de la mise en place d un PRA (Plan de Reprise d Activité), un certain nombres de composantes sont à définir, parmi lesquels le PSI (Plan de Secours Informatique) destiné à redémarrer les systèmes d information le plus rapidement possible avec un minimum de perte de données, mais également le PRU (Plan de Repli Utilisateurs), dont le but est de fournir aux utilisateurs tout ce qui leur est nécessaire afin de reprendre leurs activités. Ce PRU s avère délicat et coûteux à mettre en place avec un modèle complètement physique. > Pourquoi virtualiser les postes de travail? Si l on considère la création de postes de travail dans des machines virtuelles, elles-mêmes exécutées sur des serveurs ESX, le premier avantage est que les postes de travail vont utiliser des ressources de type serveur : des processeurs avec architecture adaptée aux serveurs, embarquant des technologies d assistance matérielle à la virtualisation de plus en plus avancées, de la RAM avec correction d erreur, des cartes réseaux Gigabit Ethernet le plus souvent pour des serveurs ESX, du stockage SCSI, et dans certains cas des SANs Fibre Channel ou iscsi ou NAS très performants. De telles ressources mises à disposition ne sont pas comparables avec celles d un poste en local. D ailleurs quel PC physique a droit à tant d égard? Au-delà des considérations autour des ressources mises à disposition de ces postes de travail virtuels, d autres avantages se dessinent, notamment liés à leur hébergement au sein du DataCenter. Grâce à ce positionnement privilégié, les postes de travail vont accéder non seulement aux performances réseau excellentes pour l accès aux applications hébergées dans le DataCenter (grâce au Gigabit Ethernet), mais également d une proximité jamais atteinte par rapport à ces mêmes applications et donc des latences applicatives extrêmement faibles! L exécution de postes travail sur un environnement VI3 permet également de fournir une gestion des ressources précises ainsi que de la haute disponibilité, grâce à l utilisation d options telles que VMotion, DRS et HA. De plus, l implémentation d une solution de gestion de postes de travail virtuels peut être sécurisée pour des accès depuis l extérieur, par exemple à travers le WAN. Des utilisateurs sédentaires, n ayant pas de PC portable à disposition, vont pouvoir retrouver leur environnement de travail lorsqu ils sont en dehors du bureau, par exemple en cas de problèmes de transports, alors même qu aucune solution VPN n a été mise en place. > Relever les challenges Administration En hébergeant les postes de travail dans le DataCenter, toute l administration se trouve centralisée. La virtualisation des postes de travail apporte aussi une réduction des coûts de gestion de ces postes, notamment en termes de maintenance et de support. Déploiement Les machines étant virtualisées, les systèmes d exploitation voient alors du matériel virtuel générique, commun à tous les postes, avec comme bénéfice la simplification de la gestion des déploiements. Il n est plus nécessaire d avoir autant de «masters» (ou plutôt «templates» pour des VMs) que de matériels différents. Sécurité et protection Les postes de travail étant regroupés dans le DataCenter, toutes les données (y compris celles qui seraient éventuellement stockées en local sur les postes) restent dans le DataCenter, et peuvent être facilement sauvegardées. De plus, dans le cadre de la mise en place d un PRA basé sur la virtualisation et la réplication de stockage par exemple, l implémentation du PRU est largement facilitée. Les postes de travail virtuels sont également répliqués, permettant aux utilisateurs de reprendre le travail dès que les systèmes d information ont redémarré sur le site de secours.
5 VMware s intéresse à la virtualisation du poste de travail dès 2005, et développe sa propre vision de ce que l on appelle globalement VDI (Virtual Desktop Infrastructure). A l origine VDI n est pas un produit mais un concept : fournir des environnements de travail à des utilisateurs en permettant la connexion via un protocole d accès à distance. C est donc à travers ses «Professional Services» que VMware a commencé à accompagner les «early adopters» sur les projets naissants de virtualisation de postes de travail. La première version de VDM (Virtual Desktop Manager) est alors apparue pour gérer les connexions et les environnements utilisateurs. Malheureusement, cette solution «maison» a rapidement atteint ses limites pour faire face aux besoins des entreprises et pour adresser les différentes problématiques liées aux postes de travail virtualisés. C est pourquoi VMware a racheté en 2007 la société anglaise Propero qui proposait un «connection broker» appelé workspace. C est sur ce produit que VMware s appuie pour développer VDM 2.0, sorti en janvier 2008. Le premier véritable connection broker de VMware était alors disponible pour les entreprises. Mais VMware va plus loin, continue de travailler sur le développement du produit, qui est d ailleurs passé par quelques mises à jour plus ou moins importantes (VDM 2.1 le 27 mai 2008 et enfin VDM 2.1.1 le 31 octobre 2008), pour finalement sortir le 2 décembre 2008 sa nouvelle solution de gestion du poste de travail : VMware View.
6 VMware View Manager 3 VMware View Manager 3 est ce que l on appelle le «connection broker» de VMware, successeur de VDM 2. Le rôle fondamental d un connection broker (nommé plutôt Connection Server dans une implémentation View) est de recevoir les demandes de connexion utilisateur, traiter l authentification et enfin fournir un environnement de poste de travail à l utilisateur, en fonction de son profil. C est donc l élément central de l infrastructure poste de travail. Il est important de préciser que VMware View s appuie très fortement sur une infrastructure Microsoft Active Directory. L authentification se fera automatiquement auprès d un contrôleur de domaine AD, mais VMware View Manager 3 supporte également l authentification RSA Secure ID afin de renforcer le contrôle des accès. En outre, VMware View Manager 3 permet de déployer des postes de travail via vcenter Management Server, de contrôler la redirection de périphériques USB ainsi que la redirection multimédia (MMR) dans les machines virtuelles et de fournir une authentification unique SSO (Single Sign-On) jusqu au poste de travail. Ce composant de VMware View peut être implémenté de différentes manières, en fonction de la taille, des besoins et des contraintes de l environnement. Sur des petits déploiements, un seul Connection Server est suffisant. Pour des déploiements plus importants plusieurs Connection Servers peuvent être nécessaires. Dans ce cas, on déploiera des serveurs «Replica», dans le but de fournir de la tolérance de panne, mais aussi de la répartition de charge. Néanmoins cette répartition de charge devra passer par une solution tierce partie telle que Microsoft Network Load Balancing par exemple. Dans le cas où les postes de travail doivent être accessibles depuis l extérieur, et en particulier à travers le WAN, on préfèrera alors l installation d un ou plusieurs «Security Servers» en DMZ, en amont des Connection Server.
7 VMware View Administrator VMware View Administrator désigne l interface web permettant la configuration et l administration de la solution. Il devient inutile d installer ou de déployer un client lourd sur les stations des administrateurs, un simple navigateur web suffit. L accès se fait de manière sécurisée en https, tout le trafic est donc sécurisé, encapsulé dans un tunnel SSL. A partir de cette interface web, on peut renseigner la clé de produit, configurer le ou les vcenter Server(s) qui gère(nt) les postes de travail virtuels, configurer le ou les Security Server(s), etc
8 VMware View Administrator Toujours à partir de cette même interface, on crée les Desktops, configurations de postes de travail mis à disposition des utilisateurs. lls sont de 4 types: Manual Desktop - Configuration un pour un, une seule machine, virtuelle ou physique déjà existante et préconfigurée, est mise à disposition. Automated Desktop Pool - Ici on s appuiera sur une machine modèle préconfigurée à partir de laquelle, vcenter pourra automatiquement déployer de nouveaux postes de travail mis à disposition des utilisateurs. Manual Desktop Pool - Configuration regroupant un ensemble de machines virtuelles ou physiques désignées, déjà existantes et préconfigurées, qui seront mises à disposition des utilisateurs depuis un nom unique. Microsoft Terminal Services Desktop Pool - Dans ce dernier cas de figure ce sont des sessions Microsoft Terminal Server qui sont mises à disposition des utilisateurs via le Connection Broker de VMware. VMware View Administrator permet aussi de gérer les attributions de postes de travail aux utilisateurs, c est-à-dire quel(s) utilisateur(s) ou groupe(s) d utilisateurs est(sont) autorisé(s) à se connecter à quel(s) Desktop(s) ou Pool(s). L interface donne également la possibilité d autoriser ou de refuser la redirection USB et la redirection multimédia (MMR) individuellement pour chacun des Desktops ou Pools.
9 VMware View Portal VMware View Portal est l autre interface web d accès au Connection Server, destinée elle, aux utilisateurs. C est l une des 3 méthodes d accès aux Desktops, la seconde étant l utilisation du VMware View Client, un client lourd qui doit être déployé sur les PCs riches ou les ordinateurs portables par les administrateurs et la troisième méthode étant l utilisation de clients légers supportés. VMware View Portal est accessible via une URL du type https://nom_ou_adresse_ip_du_connection_server. Cette connexion est donc elle aussi sécurisée, le trafic est encapsulé dans un tunnel SSL. Lorsque l utilisateur se rend à cette URL, il arrive sur une page d authentification sur laquelle il devra renseigner son nom d utilisateur Active Directory, s il veut pouvoir bénéficier du SSO, ainsi que son mot de passe habituel. Une fois authentifié, l utilisateur voit alors la ou les configuration(s) de poste de travail à laquelle ou auxquelles il s est vu attribué un droit de connexion. Il ne lui reste plus à qu à choisir un mode d affichage (Full Screen, Multiple Monitors ou Window) et à cliquer sur la configuration à laquelle il souhaite accéder. VMware View Client VMware View Client est une alternative au View Portal pour fournir l accès d un poste de travail à un utilisateur. C est un client lourd qui nécessite les privilèges administratifs locaux pour être installé sur les machines. Il doit par conséquent être déployé par des administrateurs. La différence essentielle entre View Portal et View Client est que seule l installation du client lourd permet de bénéficier de la redirection des périphériques USB locaux dans la machine virtuelle. Le client lourd est décliné en deux versions distinctes : VMware View Client et VMware View Client with Offline Desktop. Comme son nom l indique le second permet l utilisation d un poste de travail en mode déconnecté, c est-à-dire en local lorsqu aucune connexion réseau n est disponible.
10 VMware Offline Desktop VMware Offline Desktop est une nouveauté de VMware View qui permet tout simplement à l utilisateur de travailler en mode déconnecté lorsqu il se trouve dans une situation sans aucune connexion réseau possible. Dans le cas du Offline Desktop, l utilisateur peut décider de télécharger (Check Out) son poste de travail virtualisé en local afin de pouvoir utiliser son environnement de travail habituel par exemple lors de ses déplacements. La version en ligne de la machine virtuelle est alors verrouillée de sorte que celle-ci ne soit pas modifiée tant qu une copie locale est en cours d utilisation en mode déconnecté. Lorsque la connexion avec le Connection Server est retrouvée, l utilisateur a le choix entre 3 actions différentes : Check In - Opération qui consiste à appliquer les modifications faites en local sur la version en ligne de la machine virtuelle. Une fois les modifications effectuées, c est la version en ligne qui est utilisée de nouveau et non plus la copie locale. Rollback - Quand cette action est lancée, les modifications effectuées en local ne sont pas appliquées à la version en ligne de la machine virtuelle, elles sont donc perdues et l utilisateur peut reprendre son travail avec la version en ligne dans l état dans lequel elle se trouvait au moment du précédent Check Out. Backup - Dans ce cas les modifications effectuées en local sont appliquées sur la version en ligne, mais l utilisateur continue de travailler avec la copie locale de sa machine virtuelle. Afin de répondre aux exigences de sécurité, les fichiers qui constituent la machine virtuelle et qui sont stockés en local sont cryptés, de sorte que les données de l entreprise qui pourraient s y trouver ne soit pas accessibles en cas de perte ou de vol du matériel. De même il est possible de donner une durée de vie maximum à la copie locale de la machine virtuelle, durée maximum pendant laquelle il peut ne pas y avoir de communication avec le Connection Server. La machine locale devient inaccessible si la durée configurée est dépassée.
11 VMware View Composer VMware View Composer est une autre des nouveautés majeures de VMware View. Il s appuie sur une technologie VMware mature, déjà éprouvée dans des produits comme VMware Workstation ou VMware Lab Manager : «Linked Clone». Ce composant, qui s installe sur un vcenter Management Server, apporte des économies de stockage significatives puisqu il permet de déployer à partir d une machine parent des postes de travail virtuels, appelés alors des linked clones (clones liés) dont les disques durs virtuels ne sont que des différentiels du disque de la machine parent. De cette fonctionnalité découlent d autres avantages tels que : la rapidité de déploiement puisque des disques différentiels, donc de petite taille, sont créés. les mises à jour ainsi que le déploiement d applications sont centralisés, facilités et plus rapide, puisqu il suffit de réaliser ces opérations sur la machine parent pour que tous les clones liés héritent automatiquement des modifications. un second disque dur virtuel peut être ajouté automatiquement à chaque poste de travail virtuel afin de séparer le système des données utilisateur. Unified Desktop Access Unified Desktop Access est probablement ce que l on pourrait appeler la nouvelle vision de la gestion des postes de travail de VMware. En effet, VMware View permet désormais d accéder de la même manière et depuis n importe où à différents types de postes de travail. Les sources supportées sont les machines virtuelles gérées par vcenter Server ou d autres plateformes de virtualisation, les PCs physiques, les Blade PCs, mais également les sessions Microsoft Terminal Server. Tous ces différents environnements utilisateurs sont accessibles à partir de la même interface, sont gérés par le même serveur et sont accessibles d un réseau local ou depuis Internet. La diversité des environnements pris en charge permet l intégration de solutions de gestion de postes de travail, déjà en place, dans VMware View.
12 Virtual Printing Virtual Printing permet désormais d accéder, depuis un poste de travail géré par VMware View, aux imprimantes disponibles en local sur la machine depuis laquelle l utilisateur est connecté. C est le principe d impression universelle, à la différence près que ce sont les drivers disponibles sur le client qui sont utilisés. Par exemple, un utilisateur qui travaille depuis chez lui peut avoir besoin d imprimer sur son imprimante personnelle des documents qu il a créé dans le poste de travail auquel il accède par VMware View. Le flux d impression est alors compressé, crypté et envoyé au driver d impression installé localement sur l ordinateur personnel de l utilisateur. Virtual Printing s appuie sur les technologies ThinPrint. Il est d ailleurs possible depuis la version 3.0.1 de View Manager (sortie le 30 janvier 2009) de centraliser les impressions sur un serveur ThinPrint grâce à l intégration du module ThinPrint Virtual Channel Gateway. VMware ThinApp VMware ThinApp est la solution de virtualisation d application de VMware. Lorsque l on virtualise un système, on découple le système de la couche matérielle qui est en dessous. Lorsque l on virtualise une application, le principe est le même, on découple cette fois-ci l application de la couche système qui est en dessous. ThinApp permet donc de capturer l installation d une application et d en faire un fichier exécutable unique, qui pourra ensuite être lancé sans aucune installation préalable de l application, ni même d un agent spécifique. Ce package peut alors être déployé sur des postes de travail, sur des périphériques amovibles tels qu une clé USB ou un disque dur externe ou être exécuté en streaming à partir d un simple répertoire partagé. Les problèmes de conflits entre applications ou entre différentes versions d une même application sont éliminés grâce à l isolation. Dans le cadre d une infrastructure VMware View, ThinApp permet notamment de réduire le nombre de masters ou templates, puisqu il n est alors plus nécessaire d installer les applications dans ces machines, de faciliter la mise à disposition des applications aux utilisateurs, de centraliser les mises à jour grâce à la fonctionnalité AppSync et de faciliter la migration vers une nouvelle version de système d exploitation. > Conclusion Le retour sur investissement d acquisition d une solution de virtualisation de poste de travail devient de plus en plus évident. Economie de stockage, centralisation, sécurité, mobilité, productivité sont autant de critères indispensables à prendre en compte en 2009. Un prochain dossier des cahiers techniques d Amosdec sera consacré à la virtualisation d application à travers VMware ThinApp.