Opublikowany na:

Zarządzanie zwirtualizowanymi desktopami za pomocą MED-V – Część 1 – Budowa środowiska i jego konfiguracja

Wprowadzenie

Microsoft Enterprise Desktop Virtualization nazywany w skrócie MED-V ułatwia zarządzanie zwirtualizowanymi desktopami pracującymi w oparciu o Microsoft Virtual PC 2007 SP1. Obecnie dostępna jest pierwsza wersja tego produktu, wersje kolejne będą rozszerzały wsparcie o nowsze rozwiązania takie jak Windows Virtual PC i powiązane z nim wirtualne maszyny pozwalające na pracę w tzw. XP Mode. Produkt ten przeznaczony jest dla firm wykorzystujących licencjonowanie Microsoft Software Assurance , a jego dystrybucja odbywa się poprzez pakiet MDOP (Microsoft Desktop Optimization Pack) – od edycji 2009.

MED-V pozwala na centralizację zarządzania i dystrybucji obrazów maszyn wirtualnych, umożliwiając jednocześnie prostszą migrację starszych systemów operacyjnych (Windows 2000, Windows XP). Podobnie jak w przypadku opisywanego przeze mnie wcześniej trybu XP Mode i powiązanego z nim Windows Virtual PC, klienci Microsoft Enterprise Desktop Virtualization mogą korzystać z aplikacji działających w ramach maszyny wirtualnej bezpośrednio ze swojego pulpitu.

Przed przystąpieniem do dalszej lektury tego artykułu, należy jeszcze rozróżnić pojęcie „wirtualna maszyna”oraz „spakowany obraz maszyny wirtualnej”.

Wirtualna maszynę w przypadku VPC 2007 reprezentują dwa pliki (w nowszym rozwiązaniu Windows Virtual PC, struktura ta uległa rozszerzeniu), które można określić jako „instancję wirtualnego systemu operacyjnego”:

- <nazwa maszyny>.vhd – wirtualny dysk zawierający dane.

- <nazwa maszyny>.vmc – plik konfiguracyjny maszyny wirtualnej.

Spakowany obraz maszyny wirtualnej pozwala na jej prosty przesył pomiędzy repozytorium obrazów, a klientem i składa się z dwóch plików:

- <nazwa maszyny>.ckm – plik ze skompresowanymi plikami maszyny wirtualnej w formacie Kidaro Compressed Machine – Kidaro to nazwa firmy, która rozpoczęła projekt MED-V, a następnie została przejęta przez Microsoft.

- <nazwa maszyny>.ckm.index – plik indeksowania wykorzystywany przez technologię TrimTransfer (usprawniającą dystrybucję danych poprzez sieć).

Cechy

Rozszerzenie możliwości pracy z Microsoft Virtual PC odbywa się poprzez mechanizmy działające na różnych poziomach:

Łatwa obsługa przez użytkownika końcowego obejmująca interfejs i sposób dostarczenia wirtualnych desktopów lub aplikacji.

• Uruchamianie maszyn wirtualnych odbywa się poprzez ikonę w zasobniku systemowym, istnieje także możliwość tworzenia skrótów na pulpicie użytkownika kierujących go bezpośrednio do aplikacji zainstalowanej na wirtualnej maszynie , która zostanie wyświetlona jako okno aplikacji (bez wyświetlania pozostałych komponentów pulpitu wirtualnego) oraz zintegruje się z podstawowym pulpitem użytkownika.
• Użytkownicy zaawansowani mogą pracować w trybie rozszerzonym, pozwalającym na podgląd i kontrolę nad procesami związanymi z pracą w ramach maszyny wirtualnej (pełny widok wirtualnego pulpitu).

Repozytorium i dystrybucja obrazów zapewnia mechanizm centralnej obsługi oraz dystrybucji obrazów maszyn wirtualnych. Rozwiązania pracujące na tym poziomie:

• Konsola administratora pozwalająca na zarządzanie i konfigurację rozwiązania.
• Repozytorium obrazów oparte o IIS (Internet Information Services) stanowi źródło obrazów maszyn wirtualnych.
• Klient pobiera obrazy z repozytorium i może je automatycznie aktualizować, gdy pojawi się nowsza wersja.
• TrimTransfer minimalizuje ilości przesyłanych danych poprzez sieć (przesyłane są jedynie zmienione bity w stosunku do zaindeksowanej porcji informacji na kliencie).

Centralizacja zarządzania i monitoringu ułatwiająca kontrolę nad maszynami wirtualnymi pracującymi w obrębie przedsiębiorstwa przez cały okres ich funkcjonowania.

• Serwer MED-V zarządzający politykami.
• Integracja z Active Directory ułatwiająca nadawanie uprawnień do obrazów wirtualnych maszyn.
• Automatyzacja zadań personalizacji maszyny wirtualnej dla potrzeb użytkownika np. podłączenie maszyny wirtualnej do domeny.
• Raportowanie wykorzystujące centralną bazę danych do monitorowania aktywności użytkowników oraz zdarzeń związanych z MED-V.

Polityki użytkowania z wykorzystaniem klienta MED-V wymuszającego zasady użytkowania i dostępu.

• Ochrona przed nie uprawnionym użyciem obrazu maszyny wirtualnej poprzez kontrolę uprawnień oraz czasu wygaśnięcia możliwości użytkowania.
• Zarządzanie interakcjami pomiędzy systemem gospodarza, a systemem gościa (wirtualnym) poprzez nadawanie uprawnień do funkcji takich jak kopiuj/wklej, czy transfer plików.
• Rozwiązywanie problemów kompatybilności poprzez możliwość określenie zdefiniowanych przez administratora domen internetowych, które mają być otwierane poprzez przeglądarkę maszyny wirtualnej w celu zapewnienia kompatybilności z aplikacjami (najczęściej będącej starszą wersją przeglądarki użytkowanej na podstawowym systemie).

Składniki i wymogi

Role i składniki:

Microsoft Virtual PC 2007 SP1 – instalacja komponent VPC 2007 SP1, odpowiedzialnego za obsługę maszyn wirtualnych.

Microsoft Virtual PC 2007 SP1 QFE – Windows XP / Windows Vista – instalacja poprawki KB958162 dla VPC 2007 SP1.

Server Component (32-bit / 64-bit) – instalacja serwera MED-V.

Client Component – instalacja klienta MED-V oraz opcjonalnie konsoli zarządzania.

Workspace – komponent przygotowujący maszyny wirtualne do współpracy z MED-V (nie dostępny z poziomu graficznego menu MDOP).

Rys. 1. – Zbiór komponentów MED-V.

Serwer zarządzający

System operacyjny: Windows Server 2008 Standard/ Enterprise

Zalecana konfiguracja sprzętowa: Procesor 2×2.8ghz, RAM 4GB

Inne: musi być członkiem domeny Active Directory

Klient

System operacyjny: Windows Vista SP1 32bit, Windows XP SP2/SP3 32bit

Zalecana konfiguracja sprzętowa: RAM 1-2GB

Inne:  Microsoft Virtual PC 2007 SP1, .NET Framework 2.0 SP1 (lub nowszy)

Maszyny wirtualne

System operacyjny: Windows 2000 SP4 32bit, Windows XP SP2/SP3 32bit

Inne: Volume License

Repozytorium obrazów

Inne: Internet Information Services

Baza raportowania

Inne: Microsoft SQL Server 2005 SP2 Enterprise, Microsoft SQL Server 2008 Express/Standard/Enteprise

Baza raportowania

Microsoft Enteprise Desktop Virtualization posiada mechanizmy raportowania aktywności użytkownika oraz zdarzeń w obrębie środowiska tego rozwiązania. Wszystkie informacje muszą być zapisywane w bazie Microsoft SQL Server zainstalowanej lokalnie na serwerze, który będzie również MED-V Server lub zdalnej.

Dane konieczne do podłączenia MED-V Server z SQL Server definiowane są w postaci Connection String przyjmującego następującą formę:

Połączenie lokalne

Data Source=<nazwa serwera>\<nazwa instancji>; Initial Catalog=<nazwa bazy>; Integrated Security=True

Połączenie zdalne

Data Source=<nazwa serwera>\<nazwa instancji>; Initial Catalog=<nazwa bazy>; uid=<nazwa użytkownika>;password=<hasło>

Gdy wykorzystywana będzie zdalna baza danych konieczne jest wykonanie dodatkowych konfiguracji:

• Włączenie obsługi uwierzytelnienia SQL na serwerze baz danych – zintegrowane windowsowe uwierzytelnienie będzie identyfikować się jako anonimowy użytkownik, który nie otrzyma dostępu.
• W celu zwiększenia bezpieczeństwa powinien został utworzony login posiadający uprawnienia na poziomie dbcreator (w celu umożliwienia utworzenia bazy dla składowania danych raportowania MED-V).

Repozytorium obrazów

Przed rozpoczęciem instalacji właściwych komponentów MED-V, należy przygotować repozytorium obrazów maszyn wirtualnych, czyli miejsce, w którym składowane będą dane, a następnie pobierane później przez klientów (z repozytorium zdalnego) za pośrednictwem sieci. Dystrybucja może odbywać także poprzez media off-line (DVD itp.) oraz rozwiązania takie jak System Center Configuration Manager 2007.

Rozróżnić należy dwa typy repozytoriów: lokalne serwera definiowane jako ścieżka do folderu (np. c:\MEDV Server Images) oraz zdalne na serwerze WWW (np. http://server.domena.pl/MEDVImages). Pierwszy rodzaj repozytorium tworzony jest automatycznie i nie wymaga dodatkowych procedur – przechowuje jedynie maszyny lokalne.

Instalację repozytorium zdalnego należy rozpocząć od instalacji wymaganych komponentów:

Web Server (IIS) z następującymi komponentami:

• Basic Authentication
• Windows Authentication
• Client Certificate Mapping Authentication

BITS Server Extensions

Rys. 2. – Instalacja komponentów IIS.

W konsoli zarządzania IIS należy dodatkowo utworzyć wirtualny folder odwołujący się do ścieżki lokalnej, w której przechowywane będą obrazy oraz nadać odpowiednie uprawnienia:

Wirtualny Folder (alias + ścieżka do folderu z obrazami) – uprawnienia: Everyone Odczyt/Zapis.

Web Site (w którym został utworzony wirtualny folder) – uprawnienia: Everyone Odczyt

Konieczne jest także zdefiniowanie rozszerzeń komponentów MED-V w sekcji MIME Types:

.ckm (application/octet-stream)

.index (application/octet-stream)

BITS Upload – należy włączyć by umożliwić poprawne przekazywanie obrazów maszyn wirtualnych klientom do zdalnego repozytorium.

Rys. 3. – Konfiguracja IIS.

By zakończyć procedurę konfiguracji repozytorium należy zrestartować usługę IIS.

Bezpieczne połączenie z SSL

Komunikacja pomiędzy serwerem, a klientem może odbywać się poprzez protokoły http i https. Konfiguracja bezpieczniejszej wersji https wymaga dodatkowych konfiguracji:

1. Na poziomie konfiguracji IIS należy w sekcji Server Certificates wygenerować żądanie certyfikatu, wybierając z menu actions odpowiednio create domain/self-signed certificate.

2. W szczegółach certyfikatu serwera konieczne jest odnalezienie „Tumbprint” konieczny do poprawnej identyfikacji certyfikatu.

Rys. 4. – Tumbprint certyfikatu.

3. Znając tumbprint można już przypisać certyfikat dla portu na jakim łączyć będą się klienci, poleceniem wykonanym z konsoli linii poleceń uruchomionej jako administrator:

netsh http add sslcert ipport=0.0.0.0:<port> certhash=<tumbprint> appid={00000000-0000-0000-0000-000000000000}

np.

netsh http add sslcert ipport=0.0.0.0:4430 certhash=e3c2b8ba32acd9adf7ff7bf43a64635d2be58bbe appid={00000000-0000-0000-0000-000000000000}

Rys. 5. – Przypisanie certyfikatu do portu.

Serwer

Pierwszym z komponentów MED-V jaki należy zainstalować jest serwer, będzie on obsługiwać klientów weryfikując ich uprawnienia i wymuszając polisy im przypisane. Serwer dostępny jest zarówno w wersji 32 bitowej jak i 64 bitowej.

Proces instalacji jest intuicyjny i nie wymaga określania żadnych parametrów (poza miejscem, w którym zostaną umieszczone pliki). Po zakończeniu fazy instalacji należy uruchomić kreator MED-V Server Configuration Manager, w celu skonfigurowania parametrów serwera.

Rys. 6. – Ekran kończący instalację komponentu MED-V Server.

Pierwsza część konfiguracji dotyczy sposobu nawiązywania połączeń pomiędzy serwerem i klientami MED-V. Do tego zadania można wykorzystać dwa protokoły:

• HTTP (domyślnie port 80), nie wymagający dodatkowych konfiguracji ale jednocześnie nie zapewniający bezpiecznej komunikacji.
• HTTPS (domyślnie port 443), zabezpieczający komunikację z wykorzystaniem SSL – w tym przypadku konieczne jest przypisanie certyfikatu serwera do portu po jakim ma odbywać się komunikacja.

Uwaga: jeśli server MED-V będzie pełnić również rolę zdalnego repozytorium obrazów maszyn wirtualnych bądź działają na nim inne usługi na domyślnych portach 80 i 443, należy zdefiniować dowolne inne porty dla MED-V.

Rys. 7. – Konfiguracja połączeń.

Rozwiązanie MED-V może wykorzystywać różne metody dostarczania obrazów maszyn wirtualnych klientom, konfigurator serwera pozwala na zdefiniowania miejsc, w których znajduje się ich repozytorium. Zdefiniować można zarówno lokalne miejsce przechowywanie obrazów, jak i serwer zdalny oparty o serwer Web.

Rys. 8. – Konfiguracja lokalizacji repozytorium obrazów.

Konfiguracja polityk i obrazów (oraz innych ustawień) serwera MED-V odbywa  się za pomocną niezależnej konsoli (instalowanej z komponentu klienckiego), kreator podstawowej konfiguracji  (MED-V Server Configuration Manager) pozwala na zdefiniowanie uprawnień na jakich użytkownicy będą uzyskiwać dostęp do konfiguracji serwera. Nadanie uprawień odbywa się poprzez dodanie użytkownika/grupy do listy, a następnie poprzez nadanie uprawnienia „changes allowed” jeśli ma wnosić zmiany, w przypadku przeciwnym będzie mógł jedynie odczytać konfiguracje. Domyślnie serwer zezwala wszystkim (Everyone) na pełny dostęp i modyfikację konfiguracji.

Rys. 9. – Konfiguracja uprawnień.

Monitorowanie aktywności użytkowników oraz zdarzeń w środowisku MED-V może być raportowane przez serwer – do tego celu wykorzystywana jest serwer bazodanowy SQL Server. W celu konfiguracji połączenia należy zdefiniować Connection String określający parametry, a następnie utworzyć bazę, w której zapisywane będą dane poprzez wybór przycisku Create Database.

Rys. 10. – Konfiguracja połączenia do bazy raportowania.

Klient

Po zakończonej instalacji i konfiguracji serwera jest on gotów do pracy, do dalszych działań konieczna jest instalacja komponentu klienckiego. Jest on odrębnym składnikiem środowiska MED-V, odpowiedzialnym za dostarczenie funkcjonalności klienta (Workspace) oraz konsoli zarządzania serwerem (MED-V Management).

 

Rys. 11. – Instalacja komponentów IIS.

Podczas instalacji wymagane jest zdefiniowanie serwera z jakim ma łączyć się klient MED-V oraz protokołu i portu jaki będzie w tym celu wykorzystany. Dodatkowo należy określić miejsce lokalnego przechowywania obrazów maszyn wirtualnych, tryb startu usługi klienckiej MED-V oraz czy zainstalowana ma zostać także konsola zarządzania.

Rys. 12. – Konfiguracja parametrów klienta MED-V.

Po zakończeniu instalacji klient może rozpocząć pracę uruchamiając Microsoft Enterprise Desktop Virtualization, zgodnie z sugestią instalatora (lub poprzez utworzone skróty).

Rys. 13. – Ekran końcowy instalacji klienta.

Przygotowanie do pracy

Klienci MED-V wykorzystują swoje przestrzenie (workspace), w których administrator definiuje parametry pracy np. maszyny wirtualne, aplikacje oraz ich wydajność. By stworzyć taki workspace należy uruchomić konsolę zarządzania i połączyć się do serwera jako użytkownik posiadający prawo odczytu i modyfikacji (definiowane w MED-V Server Configuration Manager – zakładka Permissions).

Rys. 14. – Logowanie do konsoli zarządzania MED-V.

Po zalogowaniu do konsoli MED-V Management można zdefiniować przestrzeń pracy użytkownika, konfiguracje zostały podzielone na kilka sekcji:

Policy – parametry pracy przestrzeni użytkownika

• General – konfiguracja nazwy oraz integracji z systemem użytkownika.
• Virtual Machine – wybór maszyny wirtualnej mającej pracować w danej przestrzeni oraz parametrów jej pracy.
• Deployment – określenie użytkowników/grup jakie mogą pracować z workspace.
• Applications – publikacja aplikacji i skrótów istniejących na maszynie wirtualnej do systemu użytkownika (podobnie jak w XP Mode)
• Web – definiowanie miejsca (system/workspace) w którym otwierane mają być określone strony internetowe i linki mailto (odsyłacze mail).
• VM Setup – konfiguracja maszyny wirtualnej przy pierwszym jej uruchomieniu.
• Network – konfiguracja parametrów sieci na potrzeby workspace
• Performance – określenie dynamicznego przydziału pamięci dla maszyn wirtualnych w zależności od parametrów hosta.

Images - tworzenie i pobieranie obrazów maszyn wirtualnych

• Local Test Images – odwołanie do maszyn wirtualnych zgodnych z VPC 2007 SP1.
• Local Packed Images – obrazy maszyn wirtualnych przechowywane lokalnie na host.
• Packed Images on Server – obrazy maszyn wirtualnych znajdujące się w zdalnym repozytorium.

Reports - informacje o aktywności w obrębie środowiska MED-V

• Status – ogólne informacje o użytkownikach i klientach MED-V włącznie z wersją zainstalowanego klienta MED-V i wykorzystywanej wersji workspace.
• Activity Log – informacje o zdarzeniach i błędach.
• Error Log – lista i informacje o błędach.

Rys. 15. – Konsola MED-V Management.

Test działania

Działanie Microsoft Enterprise Desktop Virtualization opiera się o dystrybucję maszyn wirtualnych wraz z zestawem konfiguracji tworzących kompletną przestrzeń pracy użytkownika. Testowanie poprawnego działania wszystkich komponentów MED-V należy rozpocząć od utworzenia maszyny wirtualnej w Microsoft Virtual PC 2007 SP1 zgodnej z założeniami:

1. System operacyjny to Windows 2000 SP4 32bit lub Windows XP SP2/SP3 32bit (w przypadku nowszych systemów nie zadziała narzędzie konfiguracji wirtualnej maszyny – Workspace).
2. Nośnik i klucz są rodzaju Volume License
3. Na maszynie wirtualnej został zainstalowany komponent Workspace z nośnika MDOP 2009, została także wykonana konfiguracja za jego pomocą.

Uwaga: Kreator uruchamiany za pomocą Workspace na maszynie wirtualnej zostanie opisany dokładniej w drugiej części artykułu. Na potrzeby testowe wystarczy wykonać go akceptując domyślne ustawienia.

Wcześniej przygotowaną maszynę wirtualną trzeba powiązać z MED-V za pomocą konsoli zarządzania rozpoczynając od:

1. Dodania stworzonej wcześniej maszyny wirtualnej jako obrazu testowego w sekcji Images/Local Test Images, klikając New i definiując parametry:

• Base image file – wskazanie lokalizacji pliku .vmc (konfiguracyjnego maszyny wirtualnej).
• Image name – określenie nazwy maszyny

Rys. 16. – Konfiguracja obrazów maszyn wirtualnych.

1. Przypisania testowego obrazu maszyny wirtualnej do przestrzeni użytkownika w sekcji Policy/Virtual Machine/Virtual Machine Settings/Assigned Image – wybierając z rozwijanego menu (jeśli maszyna nie jest widoczna należy użyć przycisku refresh).
2. Określenie trybu dostarczenia środowiska pracy użytkownikowi odbywa się w sekcji Policy/General/Workspace UI/ w tym przypadku użyty zostanie pełny pulpit maszyny wirtualnej „Full Desktop” (można również skorzystać z trybu publikowania aplikacji „Seamless Integration”, którego zdaniem jest dostarczenie jedynie okien związanych z programami).
3. Zatwierdzić zmiany wybierając z menu Policy/Commit.

Tak  przygotowany workspace można już uruchomić z poziomu lokalnego klienta MED-V, potwierdzając komunikat „Confirm Running Test” pojawiający się po zatwierdzeniu danych użytkownika przyciskiem Use Test Image.

Rys. 17. – Potwierdzenie uruchomienia testu.

Jeśli wszystkie komponenty środowiska MED-V zostały poprawnie skonfigurowane, efektem końcowym powyższego testu powinno być pojawienie się okna Worspace zawierającego pulpit maszyny wirtualnej.

Rys. 18. – Workspace w trybie pełnego ekranu.

Podsumowanie

W pierwszej części cyklu artykułów poświęconych Microsoft Enterprise Desktop Virtualization przedstawione zostały podstawowe zagadnienia związane z działaniem i konfiguracją produktu. Jest to interesujące rozwiązanie przeznaczone dla przedsiębiorstw wykorzystujących wirtualizację desktopów oraz chcących w łatwy sposób przejść do najnowszych rozwiązań systemowych minimalizując problemy z kompatybilnością wykorzystywanych aplikacji. Liczba możliwych ustawień i konfiguracji pozwala na przygotowanie elastycznego i wygodnego środowiska pracy użytkownika końcowego, nie wymagając od niego zaawansowanych umiejętności obsługi i pełnego zrozumienia zagadnień wirtualizacji.