Praxistest Moka5 Enterprise Anywhere
Lokale VDI-Alternative
Die Zentralisierung von Desktops im Rechenzentrum im Sinne einer Virtual Desktop Infrastructure (VDI) ist nicht die einzige Möglichkeit, virtuelle Desktops zentral bereitzustellen. Moka5 bietet eine spannende Alternative auf der Basis lokaler Virtualisierung.
Während zentral gehostete virtualisierte Desktops (VDI) allgemein als Nachfolger der Terminal-Services gehandelt werden, geht der US-Anbieter Moka5 einen ganz eigenen Weg. Die virtuelle Maschine (VM), bei Moka5 als "LivePC" bezeichnet, arbeitet abgeschottet vom Host-System in einem gesicherten Container. Welche Interaktionen zulässig sind, beispielsweise die Verwendung von Copy-and-Paste-Befehlen oder der Einsatz von USB-Geräten, steuert der Administrator über Richtlinien. Die Bereitstellung und Verwaltung der VM übernimmt der Administrator über ein Web-Interface. Die Server-Software selbst bezieht das Unternehmen entweder als Cloud-Service von Moka5 oder installiert und betreibt sie lokal. Das Zusammenspiel mit System-Management-Lösungen ist laut Moka5 möglich.
Schematisch betrachtet arbeitet Moka5, wie andere VDI-Konzepte auch, in einer Teilung von Grunddaten des Betriebssystems (Golden Image), den darüber liegenden Benutzerapplikationen und den Benutzerdaten als oberster Schicht. Die Aktualisierung eines Layers kann der Administrator losgelöst von den anderen Schichten vornehmen. Um möglichst mit einem einzigen Golden Image für ein Betriebssystem aufzuwarten, nutzt Moka5 ein System namens "Dynamic Application Visibility". Welche Applikationen ein Benutzer innerhalb des LivePCs erhält, steuern "Guest Tools" im Zusammenspiel mit der Gruppenzuordnung, beispielsweise über ein Active Directory.
Ist keine Verbindung zum Management-Server möglich, so arbeitet der LivePC im Offline-Modus weiter. Eine durch den Administrator aktivierbare "Time Bomb"-Funktion stellt sicher, dass ein LivePC nur eine definierbare Anzahl von Tagen ohne Kontakt zum Management-Server weiterläuft und sich je nach Vorgabe sogar selbstständig löscht. Die sichere Verbindung in das Unternehmensnetzwerk konfiguriert der Administrator innerhalb der virtuellen Maschine.
Für diese Betrachtung nutzen wir die SaaS-Variante (Software as a Service), die Moka5 selbst betreibt. In der Testumgebung stellten wir einen Windows-7-Desktop bereit und konfigurierten diesen, von einem Image ausgehend, für zwei Testbenutzer in unterschiedlicher Art und Weise. Für eine On-Premise-Installation ist mindestens ein Windows Server 2008 R2 SP2 und ein Microsoft SQL Server 2008 SP3 gefordert. Das System setzt sich aus den Rollen-Management-Server, Datenbank-Server, Application Gateway und Image Store zusammen. In kleineren Umgebungen ist ein gemeinsamer Betrieb auf einem Server möglich. Als Gastbetriebssystem im Produktiveinsatz kommen lediglich Windows XP und Windows 7 (32- oder 64-Bit) in Frage. Die Unterstützung für Windows 8.x ist laut Produktinformationen noch immer experimentell, da einige Funktionen wie das automatische Mapping der Drucker oder das Provisioning-Paket für den Domänenbeitritt nicht umfassend funktionieren. Host-seitig kommen Windows 7, Windows 8.x, OS X 10.7 und höher oder eine Installation von Moka5s gehärtetem "Bare-Metal"-Linux in Frage.
Die Bearbeitung in einer noch leeren Umgebung beginnt mit der Erstellung einer VM mit dem Moka5 Creator, einer Variante des VMware Players, die der Administrator auf einen Windows-PC in der x64-Ausprägung installiert. In der Produktinformationen findet sich kein genauer Hinweis darauf, auf welcher Windows-Plattform Creator läuft. Der Versuch einer Installation auf einem Windows-8-PC mit aktivierter Hyper-V-Rolle scheiterte mit dem Hinweis, dass ein anderer Hypervisor bereits aktiv sei. Innerhalb einer virtualisierten Umgebung kann der Administrator Creator ebenfalls nicht nutzen.
Die Installation der VM beginnt wie üblich mit dem Einspielen von Windows von einem ISO-Image oder einer DVD. Die Produktaktivierung von Windows ist nur über die Key-Management-Services (KMS) möglich, MAK wird nicht unterstützt. Während des Aufsetzens wird der Administrator befragt, ob der künftige LivePC "Non-Layered" oder "Layered" anzulegen ist. "Layered"-Maschinen erlauben die logische Teilung in Benutzer- und Programmbereiche, während "Non-Layered" eher für den festen Arbeits-Desktop zum Einsatz kommen. Technisch betrachtet legt der Creator für einen Layered-LivePC drei virtuelle vmdk-Platten an: system.vmdk für das Golden Image des Betriebssystems, app.vmdk für die Programme und local.vmdk für Benutzerdaten. Einmal festgelegt, kann der Administrator die Entscheidung nicht mehr revidieren.
Nach der Produktaktivierung und der Basisinstallation installiert der Administrator die Guest Tools innerhalb des LivePCs. Der Creator erlaubt dem IT-Profi die Funktionsprüfung im so genannten Testmodus - diese Testinstanzen kann er jederzeit über den Befehl "Manage" wieder löschen. Jedoch gelten für den neuen LivePC im Creator stets nur die Default-Richtlinien von Moka5. Erst mit dem Upload auf den Server und der anschließenden Bereitstellung aus dem Management-Server heraus ist eine Erprobung mit eigenen Richtlinien möglich.
Moka5 bietet dem Administrator eine Vielzahl von Einstellungsmöglichkeiten hinsichtlich der Betriebssicherheit und Performance von LivePCs. Für jede unterschiedliche LivePC-Basis unterscheidet die Software zwischen Regelwerken für Admins und Benutzer. Ob eine Einstellung auf einem Host mit Windows, Mac oder Linux anwendbar ist, erkennt der Administrator anhand eines kleinen Symbols in der Regelwerkauflistung. Die 44 Policies reichen von der Erlaubnis für den Benutzer, die virtuelle Maschine auf seinem System zu löschen, über die Verwendung fixer MAC-Adressen und den automatischen Disk-Repair-Service bis zur Erlaubnis für den Benutzer, die Netzwerkadressen anzupassen oder DVD/USB-Geräten zu verwenden. Eine Änderung in der Einstellung wird mit dem nächsten Update auf die betroffenen LivePCs übermittelt. Welche Änderung welcher Administrator wann über die Web-Konsole in Auftrag gegeben hat, zeigt sich in der Auflistung im Dashboard und in der History.
Für den Anwender beginnt der Zugriff auf die Umgebung durch den Besuch der Webseite für den Download des Moka5 Players - im Test Version 4.1.2.70435. Die Login-Daten, bestehend aus Benutzernamen und Passwort, muss der zuständige Administrator ausgeben. Der Download des Players mit seinen 252 MByte dauerte im Test nur wenige Minuten, in Abhängigkeit zur Netzwerk- beziehungsweise Internetanbindung. Da sich auf unserem Testrechner bereits eine Installation von VMware Workstation fand, erhielten wir einen Warnhinweis, dass die zusätzliche Installation des Players nicht unterstützt sei, der Vorgang aber fortgesetzt wird. Die Installation selbst dauerte nur wenige Augenblicke. Nach dem Start des Players wird der Benutzer erneut aufgefordert, seine Login-Daten einzugeben. In einer lokalen Installation, integriert in ein Active Directory, sind dies höchstwahrscheinlich die Zugangsdaten, die dem Anwender vom Unternehmen her bekannt sind.
Es folgt eine Quick-Tour in fünf Schritten, in denen der Benutzer darüber aufgeklärt wird, dass Moka5 einen LivePC auf dem lokalen PC einrichtet, der wie in einer "gesicherten Blase" als zweiter Windows-PC fungiert. Es folgen einige grundlegende Informationen zum Herunterfahren, Maximieren und Minimieren. In dem einzigen Menüpunkt klickt der Anwender anschließend auf "Add LivePC" und sieht die Maschinen, die der Administrator für ihn freigegeben hat, in unserem Fall der "Windows 7 x64 - Corp"-Rechner mit 7,9 GByte Download-Volumen. Dieser Download zieht sich dann doch ein wenig hin - eine lokale Bereitstellung, beispielsweise über USB-Sticks, ist ebenfalls möglich.
Die Bedienung ist denkbar einfach. Eine wichtige Schaltfläche findet der Benutzer ebenfalls im Menü: "Update". Gibt es eine Aktualisierung für den LivePC, die nicht sofort zwingend zur Anwendung kommen soll, kann der Anwender das Update damit manuell anstoßen. Den LivePC fährt der Benutzer wie gewohnt bei Bedarf herunter oder schaltet die virtuelle Maschine in den "Suspended Mode". Der Restore der pausierten VM dauert abhängig von der Leistung des Host-Systems rund eine Minute. Auch ansonsten entspricht alles den üblichen Funktionen, die von einer Software wie VMware Player bekannt ist. Der Versuch, das Sicherheitssystem von Moka5 dahingehend zu umgehen, die .vmdk-Dateien direkt in das Betriebssystem des Host-Computers einzubinden, scheiterte im Test. Die .vmx-Konfigurationsdatei der VM ist auch nicht in eine VMware Workstation einzubinden - die Maschine sei "korrumpiert", so die Meldung.
Fazit
Moka5 ist eine interessante Alternative für die Bereitstellung gesicherter virtueller Desktops. Der dezentrale Ansatz ähnelt dem der bereits eingestellten Lösung VMware ACE. Äußerst praktisch ist das Layering für die Abbildung von Benutzerumgebungen und die Tatsache, dass nur die Differenzdaten bei Änderung eines Images zu übertragen sind. Als primäre VDI-Lösung ist Moka5 eher weniger gut geeignet, jedoch äußerst spannend für BYOD-Projekte (Bring Your Own Device). Der Richtpreis des Herstellers liegt bei umgerechnet rund 205 Euro pro Jahr und LivePC, der Vertrieb in Deutschland erfolgt über Cirosec.
Der Autor auf LANline.de: BÄR
Der Autor auf LANline.de: Frank-Michael Schlede
Info: CirosecTel.: 07131/59455-0Web: www.cirosec.de
Lesen Sie mehr zum Thema
