Aufbau einer "Desktop as a Service"-Landschaft
Der Weg zum virtuellen Arbeitsplatz
Von Büro- und Call-Center-Arbeitsplätzen über Computer mit hohen Verfügbarkeits- oder Sicherheitsanforderungen bis hin zu mobilen Anwendern - die Szenarien für virtuelle Arbeitsplätze sind heutzutage vielfältig und branchenunabhängig. Doch ein Desktop-Virtualisierungsprojekt will genau geplant sein. Denn neben der Art der Bereitstellung ändern sich gerade für die IT-Mitarbeiter einige grundlegende Prozesse.Dem Endanwender fällt die Umstellung von physischen auf virtuelle Desktops relativ leicht, und auch die Rollenverteilung in der IT-Abteilung bleibt fast gleich. Die größten Änderungen ergeben sich durch die Verlagerung des Betriebs des Desktop-Betriebssystems in das zentrale Rechenzentrum. Dies beeinflusst nicht nur die Art der Softwarebereitstellung, die Konfiguration des Betriebssystems, zum Beispiel die grafischen Effekte oder die Verwaltung der Benutzerprofile, sondern auch die Art und Konfiguration der eingesetzten Sicherheitssoftware. Letzteres ist ein extrem wichtiger Punkt, den Unternehmen häufig missachten.
Die Verwendung von Antivirensoftware auf Desktop-Computern ist angesichts der täglichen Bedrohung durch Viren und andere Malware unumgänglich. Auf einem normalen Desktop-Arbeitsplatz stellt dies keine große Herausforderung dar, da die Hardwareressourcen des physischen Computers einzig und allein dem Anwender zur Verfügung stehen, der das Gerät bedient. Dies ist in einer virtuellen Desktop-Infrastruktur anders: Die Arbeitsplätze laufen hier alle auf einem zentralen Speichersystem. Gerade festplattenintensive Vorgänge wie der Aktualisierung von Antivirendefinitionen könnten je nach Auslegung des Speichersystems Ressourcenengpässe hervorrufen, die wiederum die Performance der Arbeitsplätze mindern. Um einen reibungslosen Betrieb zu gewährleisten, ist ein Umdenken im Bezug auf die Update-Prozesse nötig. Entweder erfolgen diese grundsätzlich nachts oder in Wartungsfenstern zeitversetzt während des Tagesbetriebs.
Der elegantere Weg aber besteht in der Verlagerung des kompletten Antivirus-Scan-Vorgangs aus der virtuellen Maschine heraus und auf den Hypervisor. Möglich wird dies durch eine Schnittstelle im Hypervisor, auf die Hersteller von Antiviren- oder anderer Sicherheitssoftware aufsetzen können. So ist nur noch an einer Stelle nach schadhafter Software zu suchen, was die Last innerhalb der virtuellen Desktops und damit auch die Last der Storage-Systeme und der Virtualisierungsschicht senkt.
Speicherplatz einsparen
Die Einsparung von Speicherplatz ist ein wichtiger Aspekt, will man den Desktop-Service kostengünstig anbieten. In VDI-Umgebungen (Virtual Desktop Infrastructure) ab einer Größe von 50 Desktop-Arbeitsplätzen ist es wichtig, eine möglichst hohe VM-(Virtual-Machine-)Dichte auf den Hosts zu erzielen und den Speicherbedarf auf dem zentralen Storage zu senken. Dies ermöglicht es, die Investitionskosten im Griff zu behalten und einen möglichst schnellen ROI (Return of Investment) zu erreichen. Dabei helfen VMs, die als Linked Clones bereitstehen.
Linked Clones arbeiten im Gegensatz zu Full Clone Desktops nicht mit jeweils einem eigenen Image, in der das gesamte Betriebssystem und die Anwendungen gespeichert sind, sondern lesen stattdessen alle aus einem so genannten Master-Image. Dies vermeidet es, Daten redundant zu speichern, und senkt den Speicherverbrauch. Jeder Linked Clone besitzt zusätzlich einen zweiten Speicherbereich, in dem die individuellen Daten für die Personalisierung der Arbeitsplätze sowie die Daten lagern, die der Benutzer zur Laufzeit erzeugt hat. Genau wie bei einem physischen Desktop lässt sich das Betriebssystem durch die Windows-Benutzerprofile personalisieren.
Anwendungsbereitstellung
Da sich die in VMs installierten Betriebssysteme nicht von denen physischer Desktops unterscheiden, steht der Weg herkömmlicher Anwendungsbereitstellung zum Beispiel über eine Softwareverteilungslösung weiterhin offen. Doch gerade bei virtuellen Desktops ist die Nutzung einer Applikationssvirtualisierung sinnvoll. Applikationsvirtualisierung entkoppelt Anwendungen vom Betriebssystem und packt sie in eigenständige Container. Die isolierten Container werden dann auf das Betriebssystem aufgesetzt und unabhängig von der Betriebssystemversion ausgeführt. Diese Modularität reduziert die Anzahl der VM-Basis-Images und damit den Verwaltungsaufwand.
Die virtuellen Anwendungen lassen sich entweder per Softwareverteilung direkt auf die Festplatte des virtuellen Desktops legen oder über das Netzwerk dorthin streamen. Das Streaming senkt den Festplatten-Speicherverbrauch der VMs, weil die virtuellen Anwendungspakete nicht in jedem Desktop installiert, sondern nur einmal zentral gespeichert sind; viele Benutzer greifen gleichzeitig darauf zu. Meist bevorzugen Unternehmen eine Mischinstallation aus herkömmlichen und virtuellen Anwendungen. Dies hängt von mehreren Faktoren wie dem Profil de Mitarbeiters und individuellen Anwendungsfällen ab. Man sollte es vor einer Einführung genau betrachten.
Derzeit steht das Thema Windows-7-Migration auf Platz eins der To-Do-Liste von IT-Abteilungen. Häufig sehen sich diese zu Beginn der Umstellung auf das neue Betriebssystem scheinbar unlösbaren Aufgaben gegenüber: Anwendungen, die auf Windows XP jahrelang gelaufen sind, können auf der neuen Version nicht mehr ausgeführt werden. Doch es gibt inzwischen Virtualisierungslösungen, die dieses Problem beseitigen. Das unabhängige VRC-Projektteam (Virtual Reality Check) hat sich die Anwendungsvirtualisierung verschiedener Hersteller im Zusammenspiel mit einer VDI-Installation genau angeschaut und dazu eine Studie veröffentlicht (www.virtualrealitycheck.net).
Remote-Arbeitsplätze nicht für jeden geeignet
Es ist leider ein Irrglaube, dass virtuelle Desktops im RZ, auf die ein Anwender über ein Remote-Protokoll zugreift, Allzwecklösungen für sämtliche Anwendungsfälle sind. Denn dem Anwender steht nicht immer eine Onlineverbindung zur Verfügung, die für den Zugriff auf einen zentral gehosteten virtuellen Desktop nötig ist. Dabei ist es unerheblich, welches Remote-Protokoll zum Einsatz kommen soll. Außendienstmitarbeiter und Vielreisende sind ein gutes Beispiel dafür.
Dies bedeutet aber noch nicht das Aus für einen virtuellen Desktop, denn auch diese speziellen Anwendungsfälle lassen sich über eine Enterprise-Desktop-Virtualisierungslösung abdecken. Ausgewählte Anwender können ihren Desktop bei Bedarf auf einem Laptop mit Host-Betriebssystem unabhängig vom Rechenzentrum betreiben. Dazu checkt der Benutzer den virtuellen Desktop aus: Die VM inklusive Benutzereinstellungen wird über das Netzwerk vom RZ aus mit dem lokalen Computer synchronisiert, und der Anwender kann nach dem Vorgang ohne Onlineverbindung arbeiten. Diverse Funktionen wie die Verschlüsselung der VM oder die ferngesteuerte Deaktivierung des Desktops erhöhen die Sicherheit des Systems.
Beim technischen Vergleich der verschiedenen Desktop-Lösungen sollten Unternehmen auf jeden Fall auf die integrierten Remote-Protokolle achten. Die in VDI-Lösungen verwendeten Bildschirm-Übertragungsprotokolle unterscheiden sich nämlich teils stark. Für eine bestmögliche User Experience arbeitet das PCoIP-Protokoll sehr eng mit der Virtualisierungsschicht zusammen. PCoIP prüft die vorhandene Bandbreite, die Latenzen der Netzwerkverbindung sowie den zu übertragenden Inhalt im Hinblick auf höchste Übertragungs- und Bildqualität. Vergleicht man dieses Vorgehen anhand einer Bandbreitenmessung mit anderen Remote-Protokollen, so kann es zu extrem unterschiedlichen Ergebnissen bei der Bandbreitennutzung kommen. Selbstverständlich lässt sich die gewollte Dynamik des PCoIP-Protokolls aber auch beeinflussen. Es sind noch immer Mythen im Umlauf, nach denen einige Remote-Protokolle nur 50 KBit/s verwenden sollen, um die angeforderten Bildschirminhalte zu übertragen. Dabei handelt es sich aber um Durchschnittswerte, die sich in Hinblick auf Video, Audio oder Bildinhalte als unrealistisch erweisen.
Desktop als Service
Desktop-Virtualisierung unternehmensintern einzuführen, ist die eine Sache, den Desktop als Service (Desktop as a Service, DaaS) anzubieten, jedoch eine andere. Die Herausforderungen können technischer Natur sein, aber auch finanzielle oder rechtliche Aspekte aufweisen. Gerade im Lizenzierungsumfeld kommt es häufig zu Missverständnissen. Wenn es um die Betriebssystemlizenzen für die Desktops geht, ist genau zu klären, wer die Lizenzen kauft, wer sie nutzt und wer den Betrieb der Umgebung übernimmt. Beim Hosting von Windows-Desktop-Betriebssystemen gibt es leider, anders als beim Hosting von Servern, keine Lizenzform, die es dem DaaS-Provider erlaubt, die Lizenzen zu erwerben und für den Kunden zu betreiben. Der Kunde muss die Lizenz immer selbst erworben haben, was es den Anbietern nicht einfach macht. Hier müsste ein Umdenken der Softwarehersteller stattfinden.
In jedem Fall ist zusätzlich zum Betriebssystem eine Windows-VDA-Lizenz (Virtual Desktop Access) nötig, die den Fernzugriff auf den Desktop lizenzrechtlich erst ermöglicht. In Microsoft-Enterprise-Lizenzverträgen kann diese Lizenz bereits enthalten sein, in vielen Fällen muss der Kunde sie aber erst erwerben. Aber auch allgemein ist es im Hinblick auf die eingesetzte Software wichtig, die Lizenzvereinbarungen der jeweiligen Softwarehersteller zu beachten, da diese Bestimmungen bei einer Verwendung von Virtualisierungssoftware häufig Einschränkungen aufweisen.
Einen Desktop als Service anzubieten bedeutet, die Leistung möglichst flexibel, kostenoptimiert und mit größtmöglicher Standardisierung bereitzustellen. Die Voraussetzung dafür ist, dass die verwendeten Softwarekomponenten für die VDI-Umgebung automatisierbar sind und Schnittstellen für die Integration in bestehende ITSM-Prozesse (IT-Service-Management) bieten. Die Automatisierung spielt bei DaaS-Umgebungen eine tragende Rolle, denn sie maximiert die Effizienz der Bereitstellung von Arbeitsplätzen und senkt die Administrationskosten.
Der Rollout neuer virtueller Computer und die Verwaltung können zeitgesteuert und ohne manuelles Einwirken eines Administrators erfolgen. Die Automation immer wiederkehrender Administrationsaufgaben kann gleichzeitig die Fehlerquote bei der Verwaltung senken. Um die Automatisierung zu ermöglichen, stellen die Hersteller APIs (Application Programming Interfaces) und die passenden Software Development Kits bereit, die meist auch schon Beispielcode für verschiedene Programmiersprachen enthalten. In Enterprise-Umgebungen wird gerne die Microsoft Powershell zur Steuerung verwendet, da viele Softwarehersteller ihre Produkte dafür bereits erweitert haben.
Die Anbieter versuchen ihre DaaS-Angebote möglichst standardisiert anzubieten, um die Kosten für die Bereitstellung und Verwaltung so niedrig wie möglich zu halten. Dies heißt aber nicht, dass durch die Standardisierung Flexibilität verlorengeht. Dank anpassungsfähiger Desktop-Virtualisierungslösungen lassen sich Kundenwünsche selbstverständlich integrieren.
Neben dem Performance Monitoring muss der Provider auch die Kapazitätsplanung und die Verrechnung bedenken. Nur durch eine ordentliche Kapazitätsplanung kann er sicherstellen, dass eine Erweiterung im Bedarfsfall oder das Ersetzen der Ressourcen bei einem Systemfehler schnell erfolgt.
Am Ende muss das Anwenderunternehmen natürlich auch wissen, was es für den Betrieb virtueller Desktops investieren muss. Auch hier gibt es verschiedene Ansätze und Kostenmodelle: von Lösungen, bei denen der Kunde alle Investitionen für die Beschaffung tätigt und dann monatlich für den Betrieb der Umgebung durch den Provider zahlt, bis hin zu kompletten Outsourcing-Projekten, bei denen nur die monatlichen Kosten anfallen.
Lesen Sie mehr zum Thema
