2015年6月14日日曜日

Horizon FLEXを使ってみた(1)

PC環境における、セキュリティ対策からHorizon Viewを使ったBYODが一般的なソリューションですが、通信回線がないとそもそも使えないという課題は残ります。
飛行機での移動中や電波状態の悪いところでのVDIの作業は難しいものがあります。

そこで、VMware ACEとOSマイグレーションができるmirageが一体化して、Horizon FLEXがVMwareよりリリースされています。
私自身は、ACEもmirageも今まで使ったことはなかったのですが、Viewが適用できない上記のような環境に、ACE改め、FLEXはどんあものなのかを確かめてみました。

ちなみに、Horizon FLEXの情報は世界的にも非常に少なく、結構謎なソリューションだったりもします...。

そもそもFLEXとは
管理された仮想マシンを、クライアントのVMware Player及び VMware Fusion上で動作させ、物理PCと違うレイヤーで隔離されたPCを利用できるソリューションです。
サーバーで管理された仮想マシンを、クライアントはサーバーと通信することで、ポリシーに則ったPC運用が可能となります。
この機能にmirageをプラスすることで、仮想マシンを動作させるPCの故障等があっても、直前のバックアップデーターをまたリカバリすることが可能となります。
ちなみに、クライアントとしては、VMware Workstationは対応していません。VMware Player PROのみとなります。


製品構成
基本mirageのプログラムとなります。
ACEとして機能は、新たに作られたWEB画面での操作となります。
ちなみに、仮想マシンをPlayerやFusionに転送する機能は、mirageと一切連携するような機能は無く、明らかに独自製品的な感じです。(mirageが、MMCコンソールであることに対して、FLEXの配信機能は、WEB管理画面となります)
たぶん、仮想マシンを配信するだけでは、機能が少なすぎるので抱き合わせたといった感じです。


システム構成
まず、mirageの管理サーバー一式を構築した上で、IISと.NET Framework 4をインストールした上で、WEBManagement(mirage.WebManagement.x64.31896.msi)をインストールすることで動作します。


アーキテクチャー
正直言って単純な構造です。
仮想マシンマスターを作成し、それをtar形式でエクスポートした上で、IISの公開フォルダに配置します。仮想マシンのVMXファイルを管理し、仮想マシンの有効期限やロックダウン、いわゆる親マシンと仮想マシン(子マシン)間でのクリップボードなどのやりとりをコントロールできます。


仮想マシンを配信するまでの流れ
  1. mirageとFLEXの各モジュールをサーバーにインストールします。
    (mirageにはSQLServerが、FLEXには、IIS+.NET Framework4が必要です)

  2. ADの設定等必要な競って事項をすませます。

  3. 仮想マシンのマスターを作るには、VMware Fusion もしくは、VMware Workstaionが必要ですのであらかじめインストールをしておきます。

  4.  Fusion/Workstaionで、仮想マシンを作成後、暗号化と制限の有効化をONにし、制限のタイプを「管理にします。

  5.  tar形式でエクスポートして、IISで公開されているフォルダーにこのtarファイルを配置します。
    ここで勘のいい人はわかるかと思いますが、FLEXには、特に配信のテクノロジーがあるわけではなく、普通にIIS経由で仮想マシンイメージが配信されます。(PlayerやFusionは、HTTPSでIISを経由して仮想マシンをダウンロードします。
    言い換えますと、仮想マシンのtarファイルのパスだけわかれば、権限がないユーザーも仮想マシンイメージだけはダウンロードができてしまいます。IIS側のセキュリティ設定も必要になると思います。


  6.  管理WEB画面にログインします。
    なんともシンプルなログイン画面です。製品名すら記載がありません...。

  7. Imagesから、Newを選択し、SelectImageで、先ほど作成した仮想マシンのvmxファイルを選択します。(先ほど作成したtarファイルではないことに注意してください)

  8. ImageNameは、管理する仮想マシン名を入れます。

  9. Image URLに、先ほど置いたtarファイルをパスを、IIS(https)経由でのパスで記載します。
    (要は、ダウンロード用URLを自分で書きなさいと言うことです。)
    この仕様から、FLEX自体が、tarの仮想マシンを管理していないことがわかります。あくまでも、仮想マシンの構成であるvmxを管理するということなります。

  10. ここまできたら、後もう少しです。Policesで、必要なポリシーを定義します。
    設定できるポリシーは、
    • 仮想マシン利用可能有効期限
    • USBデバイスブリッジ(ホストOSから仮想OSへ)利用可否
    • ドラッグアンドドロップによるホストOSと仮想OS間のファイルコピー
    • 仮想マシン利用可能期限切れの際に表示するメッセージ
    • 仮想マシン有効期限のX日前に表示するメッセージ
    • FLEXサーバーのアドレスと、サーバーとの通信間隔時間、オフラインでの稼働を許可する最大日数
    となります。

    この制限できる内容、VMware Workstationで設定できる項目と同じですね。
    クライアントから仮想マシンを動作させるのは、VMware Player/Fusionですので、このアーキテクチャーが踏襲されていると思われます。

    ↓VMware Workstationのセキュリティ設定項目


  11. あとは、Entitlementで利用する仮想マシンとユーザーと適用ポリシーを設定して終わりです。
サーバー側の設定はこれで終わりです。
次回は、クライアント側での操作をみたいと思います。

0 件のコメント:

コメントを投稿