Im Test: Univention DVS
Desktop-Virtualisierung auf Open-Source-Basis
Mit den Desktop Virtualization Services integriert Univention nun auch eine Desktop-Virtualisierungslösung in seinen Corporate Server. Durch die enge Verzahnung mit der LDAP-Benutzerverwaltung des Servers lassen sich die virtuellen Maschinen sehr einfach auf die Anwender verteilen.Der deutsche Anbieter von Linux-basierenden Business-Lösungen Univention hat seine Produktpalette um eine Desktop-Virtualisierung erweitert. Die UCS Desktop Virtualization Services (DVS) setzen auf dem Univention Corporate Server auf und verwenden KVM als Hypervisor für die Bereitstellung virtueller Rechner.
Als Desktop-Systeme eigenen sich virtuelle Clients mit Windows XP, Windows 7 und dem Linux-KDE-Betriebssystem Univention Corporate Desktop. Der Zugriff auf die virtuellen Desktops erfolgt wahlweise von Thin Clients oder von herkömmlichen PCs und Notebooks aus, auf denen eine DVS-Client-Software für den Zugriff auf die virtuellen Desktops installiert sein muss. Kommen Thin Clients zum Einsatz, ist auf dem UCS-Server die Komponente UCS Thin Client Services zu installieren. Als Übertragungsprotokoll verwendet Univention für virtuelle Windows-Clients das Remote-Desktop-Protokoll (RDP) von Microsoft. Auf Linux-Desktops greifen die Benutzer mit dem Protokoll X2go zu. Die Univention-Software ist zudem auch in der Lage, vorhandene physische Desktops zu virtualisieren (Physical-to-Virtual-Migration).
Installation in mehreren Schritten
Die Basis für die Desktop-Virtualisierung bildet der Univention Corporate Server. Für Testzwecke lassen sich alle erforderlichen Komponenten auf einem physischen Server installieren, der als Master agiert. Um eine hochverfügbare Virtualisierungsplattform zu erhalten, lassen sich weitere physische Systeme hinzufügen, die als Domänen-Backup-Server fungieren. Wenn ein Server ausfällt, starten die virtuellen Desktop-Sessions automatisch auf dem zweiten System neu. Voraussetzung dafür ist allerdings, dass der Session-Broker noch verfügbar ist. Um dies sicher zu stellen, lassen sich zwei oder mehr virtuelle Instanzen des Session Brokers in einer hochverfügbaren Konfiguration auf mehrere physische UCS-Server verteilen.
In hochverfügbaren Konfigurationen mit mehreren DVS-Systemen müssen alle Server Zugang zu den zentral ge-speicherten Desktop-Images haben. Dies kann entweder über ein Storage Area Network mit iSCSI- oder FC-Anbindung erfolgen. Alternativ ist es auch möglich, eine NFS-Freigabe einzurichten, damit alle DVS-Nodes auf die Image-Dateien der virtuellen Desktops zugreifen können. Bei verteilten Umgebungen unterstützt DVS auch ein Load Balancing der virtuellen Desktops zwischen den beteiligten DVS-Nodes.
Der Administrator kann die Server manuell aufsetzen oder eine profilbasierende Installation durchführen. Das Setup mit vorher definierten Profilen lässt sich auch für die Einrichtung der virtuellen Desktops nutzen. Im LANline-Test wählten wir die manuelle Installation. Der Master-Server verwaltet die neue Domäne und stellt dafür auch die DNS-Dienste bereit. Neben den LDAP-Directory-Diensten kann ein UCS-System unter anderem als DHCP?, Mail- und Web-Server agieren sowie Freigaben und Drucker verwalten. Dies ist nur ein kleiner Teil der unterstützten Funktionen, eine vollständige Übersicht findet sich auf www.univention.de. Da wir uns in diesem Test auf die Desktop-Virtualisierung konzentrieren, gehen wir auf den gesamten Funktionsumfang des UCS Business Servers nicht näher ein.
Nachdem die Installation abgeschlossen war, konnten wir uns per Web-Browser an der grafischen Verwaltungskonsole des UCS-Systems anmelden. Beim Login kann der Benutzer wählen, ob der Univention Directory Manager die Menüs in englischer oder deutscher Sprache anzeigt. Nach dem Aufsetzen des UCS-Systems war es zunächst auf die Version 2.4-2 zu aktualisieren, die von den Desktop Virtualization Services zwingend vorausgesetzt wird. Um das Update direkt von der Univention-Website herunterladen zu können, haben wir zunächst unseren Testnetz-Proxy auf dem UCS-Server eingetragen. System-Updates lassen sich entweder über die Kommandozeile einspielen oder über das Browser-Tool Univention Management Console, das sich von der Startseite des Directory Managers aus öffnen lässt. Mit diesem Werkzeug lassen sich die meisten Systemänderungen über eine grafische Oberfläche durchführen. Wir nutzten die GUI, um das Testsystem auf die vorgeschriebene Version zu aktualisieren. Die Setup-Routine spielt zunächst die Version 2.4-1 ein. Wenn dies erfolgreich durchgeführt wurde, kann der Administrator den Server auf 2.4-2 aktualisieren.
Desktop-Virtualisierung mit KVM
Im nächsten Schritt installierten wir die erforderlichen Komponenten, um den Server als Virtualisierungsplattform nutzen zu können. Als Basis nutzt Univention die KVM-Lösung für Linux (Kernel-based Virtual Machine), die aus einem Linux-Server einen Hypervisor-Host macht, der virtuelle Maschinen bereitstellen kann. Für die Verwaltung der virtuellen Rechner ist zudem der Univention Virtual Machine Manager (UVMM) erforderlich. Nachdem wir auch diese Komponenten installiert hatten, waren die Vorbereitungen für das Setup der Desktop-Virtualisierung abgeschlossen.
Die Installation von DVS erfolgt über die Kommandozeile. Dabei werden zunächst die aktuellsten Pakete heruntergeladen und anschließend das DVS-Setup gestartet. Bei Standalone-Systemen richtet es auch den Univention Session Broker ein, der die angemeldeten Benutzer registriert und sie mit den ihnen zugeordneten Desktops verbindet. In Konfigurationen mit Master- und Backup-Servern installiert der Administrator den Session Broker in einem separaten Schritt. Um DVS mit Thin Clients nutzen zu können, ist zudem die Thin-Client-Komponente von Univention auf dem DVS-Server zu installieren. Zum Abschluss der Installation ist ein Reboot erforderlich. Anschließend stehen in der Management-Konsole drei neue Einträge für den Virtual Machine Manager und für die Verwaltung der virtuellen Desktops zur Verfügung.
Univention DVS verwendet Vorlagen, um virtuelle Desktops automatisiert zu erstellen. Das Basis-Image wird in einem virtuellen Rechner installiert und mit den gewünschten Anwendungen versehen. Die Zuweisung einer Vorlage an einen Benutzer ist in die Benutzerverwaltung von UCS integriert. Der Systemverwalter kann einem neuen Benutzer gleich bei seiner Anlage im System einen virtuellen Desktop zuweisen. Bei der Erzeugung des virtuellen Rechners anhand der Vorlage mit dem Basis-Image kopiert das System standardmäßig nicht die gesamte virtuelle Maschine, sondern per Copy-and-Write nur die Differenz zum ursprünglichen Zustand. Alternativ ist es möglich, aus dem Image einen vollständigen Clone zu erstellen. Wenn ein Benutzer einen neuen Desktop erhält, wird dieses Image über Anpassungsskripte so verändert, dass es dem jeweiligen Benutzer als individueller Desktop zur Verfügung steht. Für Microsoft-Desktops kommt dazu Sysprep zum Einsatz, für die Linux Corporate Desktops verwendet Univention ähnlich arbeitende Skripte.
DVS-Templates erstellen
Im LANline-Test setzten wir einen Windows-7-Rechner als Basis-Image auf. Dazu erzeugten wir über den Univention Virtual Machine Manager eine neue virtuelle Maschine und legten eine Windows-7-DVD in den Univention-Server ein. Der Administrator hat außerdem die Möglichkeit, ein virtuelles DVD-Laufwerk mit einem Windows-7-Installationsmedium anzubinden. Anschließend starteten wir die VM und verbanden uns mithilfe der in UVMM integrierten VNC-Konsole auf den Rechner, um das Windows-Setup zu starten. Nachdem die Grundinstallation abgeschlossen war, spielten wir auf dem Rechner als Anwendung, die allen Benutzern zur Verfügung stehen sollte, Microsoft Office auf. Der Rechner gehört zu diesem Zeitpunkt noch nicht zur Domäne. Der Beitritt erfolgt erst, wenn anhand der Vorlage ein neuer virtueller Desktop entsteht, der mithilfe von Sysprep seine finale Konfiguration erhält. Die Vergabe der IP-Adressen muss über DHCP erfolgen. Für den RDP-Zugriff muss der Administrator noch die entsprechende Windows-Option aktivieren und die Firewall-Regel hinzufügen. Zudem ist es erforderlich, das standardmäßig deaktivierte Administratorkonto zu aktivieren und ein Kennwort zu vergeben. Durch die Installation spezieller Virtual-IO-Treiber lässt sich die Leistung der virtuellen Desktops deutlich steigern.
Wenn der virtuelle Rechner fertig installiert ist, wird er heruntergefahren, um im nächsten Schritt aus den Image-Dateien eine Vorlage zu erstellen. Der Administrator wählt für die Vorlage einen virtuellen Rechner aus und sollte die Option aktivieren, dass DVS eine Kopie der virtuellen Instanz erstellt. Dadurch kopiert das System zunächst das Image der Vorlage. Dann erfolgt mithilfe von Sysprep die Vorbereitung des virtuellen Desktops für die Anpassung an die Netzwerkumgebung. In der von Sysprep genutzten XML-Antwortdatei gibt der Administrator unter anderem die Informationen für den automatischen Domänenbeitritt ein. Sysprep kann wahlweise interaktiv oder im Silent-Modus laufen. Um vom Windows-Client aus auf die Sysprep-Dateien zugreifen zu können, muss der Administrator auf dem UCS-Server zuvor eine Freigabe mit dem Namen DVS erstellen. Dieses Verzeichnis enthält die für Windows 7 und XP erforderlichen Antwortdateien. Anschließend wählten wir für den Sysprep-Vorgang die Silent-Option, um ein angepasstes Desktop-Image für die Benutzer zu erstellen.
Automatische Zuweisung der Desktops
Univention hat die DVS-Funktionen eng mit der Benutzerverwaltung des Corporate Servers verbunden. Der Systemverwalter kann einem neuen Mitarbeiter bereits bei der Anlage des Benutzerkontos eine Vorlage für einen virtuellen Desktop zuweisen, der automatisch vom System erzeugt wird. Sobald sich der Benutzer das erste Mal an der Domäne anmeldet, steht ihm sein virtueller Rechner zur Verfügung. Über das DVS-Menü kann der Administrator neue virtuelle Desktops auch manuell aus der Vorlage heraus erstellen. Für die Verteilung der virtuellen Desktops an die Benutzer ist der Session Broker zuständig, der im Hintergrund arbeitet. Er speichert alle Sitzungsdaten in einer Datenbank. Funktionen wie Desktop-Pools sowie die Wahl zwischen persistenten und nicht-persistenten Desktops sind im ersten DVS-Release noch nicht unterstützt.
Im LANline-Test haben wir zwei neue Benutzer angelegt und jedem User die Windows-7-Vorlage zugeordnet. Damit Anwender von Thin Clients aus auf virtuelle Desktops zugreifen können, muss der Administrator vorher den Thin Client Server und die zugehörigen Boot-Optionen konfigurieren. Der Thin Client Server stellt den Thin Clients das Boot-Image zur Verfügung, wobei der Zugriff auf das Image über PXE (Preboot Execution Environment) oder über den lokalen Flash-Speicher erfolgen kann. Das UCS-System muss als DHCP-Server aktiv sein, damit die Clients IP-Adressen, DNS-Server und Gateway beim Hochfahren automatisch erhalten.Zudem empfiehlt es sich, die MAC-Adresse der Thin Clients vor dem ersten Hochfahren auf dem Directory Manager als Thin-Client-Objekt einzutragen. Die Verbindung des Thin Client zum virtuellen Desktop erfolgt bei Windows-Systemen per RDP, bei Linux-Systemen über X2go. Der Administrator kann einstellen, ob die Soundausgabe auf den DVS-Endgeräten erfolgen soll. Auch Drucker und über USB angeschlossene Geräte lassen sich an die virtuellen Desktops durchreichen.
Nachdem wir die Vorarbeiten durchgeführt hatten, starteten wir einen Thin Client von Wyse Technology und verbanden uns anschließend per RDP mit dem virtuellen Desktop des Test-Users. Mit der virtuellen Session ließ sich wie mit einem normalen PC arbeiten. Der Benutzer konnte die im Image enthaltenen MS-Office-Anwendungen nutzen, auf USB-Geräte zugreifen sowie Audio- und Videodateien abspielen.
Während der Migrationsphase auf eine Thin-Client-Umgebung können Unterneh-men auf den vorhandenen PCs und Notebooks die DVS-Client-Software installieren. Dadurch lassen sich die von Univention bereitgestellten virtuellen Desktops auch mit herkömmlicher Hardware nutzen. Eine Überwachung der DVS-Systeme ermöglicht die in UCS integrierte Open-Source-Lösung Nagios, die umfangreiche Monitoring-Funktionen bietet.
Fazit: leicht implementierbare Virtual-Desktop-Lösung
Mit den Desktop Virtualization Services ergänzt Univention seinen Corporate Server um eine Desktop-Virtualisierung, die sich in kleineren Umgebungen relativ einfach implementieren lässt. Durch die Integration in die LDAP-Benutzerverwaltung von UCS kann der Systemverwalter den Anwendern bereits beim Anlegen des Benutzerkontos eine Desktop-Vorlage zuweisen. Wählt er für die Erstellung der Desktops die Copy-on-Write-Technik, beanspruchen die Desktop-Systeme vergleichsweise wenig Speicherplatz, da sie dasselbe Basis-Image verwenden und nur die individuellen Änderungen gespeichert werden.
UCS Desktop Virtualization Services ist zu Staffelpreisen erhältlich und kostet im ersten Jahr zwischen 38 und 52 Euro pro Client. Im Folgejahr betragen die Kosten für Maintenance und Support zwischen 15 und 21 Euro je Client. Der Univention Corporate Desktop ist in DVS bereits enthalten.
Info: Univention
Tel.: 0421/22232-0
Web: www.univention.de
Der Autor auf LANline.de: chjlange
Lesen Sie mehr zum Thema
