В предыдущем материале, посвященном Citrix XenClient, я показал возможности этого решения с точки зрения пользователя. Напомню, XenClient – это гипервизор первого уровня, который устанавливается на «голое железо» и позволяет одновременно работать на компьютере с двумя или более операционными системами. Преимущество XenClient по сравнению с обычными (скажем так, пользовательскими) виртуальными машинами в том, что все операционные системы имеют равные права на доступ к аппаратным ресурсам и полностью изолированы друг от друга. Соответственно, это позволяет одновременно работать в «домашнем» и «корпоративном» окружениях. В том случае, если у вас один ноутбук на все, это очень удобно: рабочая операционная система полностью защищена и постоянно синхронизируется с сервером, а личное окружение не страдает от ограничений, связанных с политикой безопасности.
В этой статье я подробнее опишу работу с XenClient с точки зрения системного администратора. Покажу, как можно настраивать машины пользователей за пару минут, как происходит резервное копирование данных и что происходит, если нерадивый сотрудник забыл ноутбук в такси.
Что новенького?
В прошлый раз я работал с XenClient на ноутбуке ThinkPad X201, который полностью соответствует техническим требованиям данного продукта. В этот раз для тестов использовался ThinkPad T410s с графикой NVIDIA Optimus, позволяющую переключаться между дискретной видеокартой NVIDIA и интегрированной графической системой Intel GMA HD. XenClient пока не поддерживает видеокарты NVIDIA, но со временем такая поддержка обязательно появится, поэтому есть смысл выбрать подобную конфигурацию, что называется, на вырост. А пока хотелось выяснить, нормально ли работает текущая версия гипервизора при условии использования интегрированной графики. Здесь проблем не возникло: в соответствующем разделе BIOS ноутбук был настроен так, чтобы использовать только графику Intel.
Кроме того, в самом начале года обновился сам XenClient: вышла версия 1.0 Service Pack 1, скачать которую можно по этой ссылке. Одно из заметных изменений новой версии – появилась возможность удаленного админстрирования компьютера по SSH. Кроме того, исчезли проблемы с воспроизведением видео высокой четкости при использовании графического ускорителя, с которыми я столкнулся при подготовке предыдущего материала.
На стороне администратора
Итак, сегодня мы тестируем работу виртуальной операционной системы под XenClient в корпоративном окружении. При таком сценарии операционная система не устанавливается на компьютер с XenClient при помощи установочного образа. Вместо этого уже готовый контейнер с виртуальной ОС загружается с сервера. Для управления компьютерами с установленным XenClient используется программа Citrix Synchronizer, которую также можно загрузить с сайта компании.
Настройка и управление компьютерами сотрудников производятся через веб-интерфейс Synchronizer, который выглядит следующим образом:
В главном окне системы отображаются доступные образы виртуальных ОС, но есть также возможность просмотреть список пользователей, зарегистрированных в системе, и список используемого оборудования:
Напротив каждого устройства есть кнопка Mark As Lost, по нажатию которой образ системы на ноутбуке будет автоматически удален при первом же подключении к интернету. Работает это следующим образом: для каждой виртуальной системы устанавливается определенная периодичность проверки на легитимность: для доступа к ОС пользователь должен подключиться к интернету, ввести логин и пароль для Citrix Synchronizer. Если пользователь этого не сделает, доступ к корпоративной ОС будет автоматически заблокирован. Если администратор пометил в Synchronizer, что компьютер потерян, данные с него будут автоматически удалены, даже если на компьютере будет правильно введен пароль доступа к системе. При этом между «отчетами» серверу, пользователь может без проблем работать с корпоративной ОС, даже не подключаясь к интернету.
Перейдем к настройкам образа виртуальной системы. Поле Phone Home Frequency отвечает за отправку отчета об использовании виртуальной ОС, а параметр Lease Time определяет максимальное время работоспособности системы без подключения к интернету. Здесь же можно задать частоту создания автоматических резервных копий, которые будут загружаться на сервер. Можно также разрешить или запретить пользователю запуск системы резервирования вручную.
Часть настроек виртуальной ОС в Synchronizer стандартная: администратор может задать количество используемых процессорных ядер и объем памяти. Много внимания уделяется безопасности. На скриншоте выше показаны настройки разрешений для подключения в виртуальной ОС внешних устройств: при необходимости администратор может запретить работу с внешними накопителями во избежание утечки данных. Кстати, сам контейнер с виртуальной ОС хранится на пользовательском компьютере в зашифрованном виде. Аналогичным образом настраивается доступ к сети: можно, например, разрешить доступ к проводной сети, но запретить подключение через WiFi. Дополнительную безопасность в данном случае можно обеспечить и настройками политик безопасности в самой Windows.
И еще немного настроек безопасности: вы можете разрешить пользователю доступ к оптическому приводу ноутбука, но – только для чтения. Суровые принципы защиты данных в некоторых компаниях вынуждают производителей ноутбуков на аппаратном уровне блокировать функцию записи у оптических приводов. Это, в некотором смысле, менее затратный способ сделать то же самое.
На стороне пользователя
Перейдем к настройке пользовательского ноутбука. Установку XenClient я описал в предыдущем материале, она занимает буквально несколько минут и не требует особого участия пользователя. Если ваш компьютер соответствует техническим требованиям (процессор и графика Intel, не менее двух гигабайт оперативной памяти, поддержка технологий виртуализации VT-x и VT-d), проблем возникнуть не должно. Сразу при установке или после первого запуска XenClient нужно ввести адрес сервера Synchronizer и ваш логин и пароль.
Дальше все просто: в стандартном меню добавления виртуальной машины выбираем не «Install from Disk» (так мы устанавливали «пользовательскую» ОС), а Download from Synchronizer.
XenClient свяжется с сервером и предложит загрузить одну из виртуальных машин на выбор (их может быть и несколько). В моем случае контейнер с виртуальной Windows 7 занимает около 12 гигабайт, и через интернет его загрузка заняла достаточно длительное время. Но для локальной сети предприятия, где и производится начальная настройка, это не должно быть проблемой.
После загрузки виртуальная ОС сразу же доступна для использования, со всеми программами и настройками, которые предусмотрел системный администратор. Правда, в нашем случае набор утилит XenClient для виртуальной ОС оказался устаревшим. Это не проблема: XenClient автоматически подключил к системе виртуальный накопитель с последней версией набора утилит и драйверов. Теоретически система может работать и без этого набора (в частности, у меня нормально установилась и заработала Ubuntu Linux), но некоторые функции могут быть недоступны.
По нажатию небольшого значка с буквой i в описании виртуальной машины можно просмотреть информацию о последней резервной копии и времени последнего подключения к серверу Synchronizer. Здесь же можно запустить процесс резервирования виртуальной машины вручную. Весь образ системы «заливать» обратно на сервер не обязательно: размер инкрементального бэкапа в моем случае оказался около 4 гигабайт – треть от общего размера.
Загрузку бэкапа можно в любой момент приостановить и запустить заново. В это время можно пользоваться виртуальной машиной без каких-либо ограничений. Если вы потеряли ноутбук, или он сломался и отправлен в сервис, достаточно установить XenClient на новую машину, ввести логин и пароль для Synchronizer, и при добавлении новой виртуальной ОС выбрать «Restore from Backup». Через некоторое время вы получите рабочую ОС со всеми вашими данными с момента создания последней резервной копии.
При работе XenClient в корпоративном окружении я привел только самые базовые возможности. При необходимости гипервизор от Citrix обеспечивает и более сложные конструкции, в частности – доставку приложений «по требованию» с помощью решения XenApp, а также запуск приложений из корпоративного окружения в пользовательской ОС с сохранением всех настроек безопасности. Как видите, XenClient достаточно гибкий в настройке, так что его удобно использовать и системному администратору, и пользователю. И все это – при минимальной (несколько процентов) потере производительности в виртуальной ОС по сравнению с аналогичной системой «на железе», и полной прозрачности гипервизора для внешних устройств.
В этой статье я подробнее опишу работу с XenClient с точки зрения системного администратора. Покажу, как можно настраивать машины пользователей за пару минут, как происходит резервное копирование данных и что происходит, если нерадивый сотрудник забыл ноутбук в такси.
Что новенького?
В прошлый раз я работал с XenClient на ноутбуке ThinkPad X201, который полностью соответствует техническим требованиям данного продукта. В этот раз для тестов использовался ThinkPad T410s с графикой NVIDIA Optimus, позволяющую переключаться между дискретной видеокартой NVIDIA и интегрированной графической системой Intel GMA HD. XenClient пока не поддерживает видеокарты NVIDIA, но со временем такая поддержка обязательно появится, поэтому есть смысл выбрать подобную конфигурацию, что называется, на вырост. А пока хотелось выяснить, нормально ли работает текущая версия гипервизора при условии использования интегрированной графики. Здесь проблем не возникло: в соответствующем разделе BIOS ноутбук был настроен так, чтобы использовать только графику Intel.
Кроме того, в самом начале года обновился сам XenClient: вышла версия 1.0 Service Pack 1, скачать которую можно по этой ссылке. Одно из заметных изменений новой версии – появилась возможность удаленного админстрирования компьютера по SSH. Кроме того, исчезли проблемы с воспроизведением видео высокой четкости при использовании графического ускорителя, с которыми я столкнулся при подготовке предыдущего материала.
На стороне администратора
Итак, сегодня мы тестируем работу виртуальной операционной системы под XenClient в корпоративном окружении. При таком сценарии операционная система не устанавливается на компьютер с XenClient при помощи установочного образа. Вместо этого уже готовый контейнер с виртуальной ОС загружается с сервера. Для управления компьютерами с установленным XenClient используется программа Citrix Synchronizer, которую также можно загрузить с сайта компании.
Настройка и управление компьютерами сотрудников производятся через веб-интерфейс Synchronizer, который выглядит следующим образом:
В главном окне системы отображаются доступные образы виртуальных ОС, но есть также возможность просмотреть список пользователей, зарегистрированных в системе, и список используемого оборудования:
Напротив каждого устройства есть кнопка Mark As Lost, по нажатию которой образ системы на ноутбуке будет автоматически удален при первом же подключении к интернету. Работает это следующим образом: для каждой виртуальной системы устанавливается определенная периодичность проверки на легитимность: для доступа к ОС пользователь должен подключиться к интернету, ввести логин и пароль для Citrix Synchronizer. Если пользователь этого не сделает, доступ к корпоративной ОС будет автоматически заблокирован. Если администратор пометил в Synchronizer, что компьютер потерян, данные с него будут автоматически удалены, даже если на компьютере будет правильно введен пароль доступа к системе. При этом между «отчетами» серверу, пользователь может без проблем работать с корпоративной ОС, даже не подключаясь к интернету.
Перейдем к настройкам образа виртуальной системы. Поле Phone Home Frequency отвечает за отправку отчета об использовании виртуальной ОС, а параметр Lease Time определяет максимальное время работоспособности системы без подключения к интернету. Здесь же можно задать частоту создания автоматических резервных копий, которые будут загружаться на сервер. Можно также разрешить или запретить пользователю запуск системы резервирования вручную.
Часть настроек виртуальной ОС в Synchronizer стандартная: администратор может задать количество используемых процессорных ядер и объем памяти. Много внимания уделяется безопасности. На скриншоте выше показаны настройки разрешений для подключения в виртуальной ОС внешних устройств: при необходимости администратор может запретить работу с внешними накопителями во избежание утечки данных. Кстати, сам контейнер с виртуальной ОС хранится на пользовательском компьютере в зашифрованном виде. Аналогичным образом настраивается доступ к сети: можно, например, разрешить доступ к проводной сети, но запретить подключение через WiFi. Дополнительную безопасность в данном случае можно обеспечить и настройками политик безопасности в самой Windows.
И еще немного настроек безопасности: вы можете разрешить пользователю доступ к оптическому приводу ноутбука, но – только для чтения. Суровые принципы защиты данных в некоторых компаниях вынуждают производителей ноутбуков на аппаратном уровне блокировать функцию записи у оптических приводов. Это, в некотором смысле, менее затратный способ сделать то же самое.
На стороне пользователя
Перейдем к настройке пользовательского ноутбука. Установку XenClient я описал в предыдущем материале, она занимает буквально несколько минут и не требует особого участия пользователя. Если ваш компьютер соответствует техническим требованиям (процессор и графика Intel, не менее двух гигабайт оперативной памяти, поддержка технологий виртуализации VT-x и VT-d), проблем возникнуть не должно. Сразу при установке или после первого запуска XenClient нужно ввести адрес сервера Synchronizer и ваш логин и пароль.
Дальше все просто: в стандартном меню добавления виртуальной машины выбираем не «Install from Disk» (так мы устанавливали «пользовательскую» ОС), а Download from Synchronizer.
XenClient свяжется с сервером и предложит загрузить одну из виртуальных машин на выбор (их может быть и несколько). В моем случае контейнер с виртуальной Windows 7 занимает около 12 гигабайт, и через интернет его загрузка заняла достаточно длительное время. Но для локальной сети предприятия, где и производится начальная настройка, это не должно быть проблемой.
После загрузки виртуальная ОС сразу же доступна для использования, со всеми программами и настройками, которые предусмотрел системный администратор. Правда, в нашем случае набор утилит XenClient для виртуальной ОС оказался устаревшим. Это не проблема: XenClient автоматически подключил к системе виртуальный накопитель с последней версией набора утилит и драйверов. Теоретически система может работать и без этого набора (в частности, у меня нормально установилась и заработала Ubuntu Linux), но некоторые функции могут быть недоступны.
По нажатию небольшого значка с буквой i в описании виртуальной машины можно просмотреть информацию о последней резервной копии и времени последнего подключения к серверу Synchronizer. Здесь же можно запустить процесс резервирования виртуальной машины вручную. Весь образ системы «заливать» обратно на сервер не обязательно: размер инкрементального бэкапа в моем случае оказался около 4 гигабайт – треть от общего размера.
Загрузку бэкапа можно в любой момент приостановить и запустить заново. В это время можно пользоваться виртуальной машиной без каких-либо ограничений. Если вы потеряли ноутбук, или он сломался и отправлен в сервис, достаточно установить XenClient на новую машину, ввести логин и пароль для Synchronizer, и при добавлении новой виртуальной ОС выбрать «Restore from Backup». Через некоторое время вы получите рабочую ОС со всеми вашими данными с момента создания последней резервной копии.
При работе XenClient в корпоративном окружении я привел только самые базовые возможности. При необходимости гипервизор от Citrix обеспечивает и более сложные конструкции, в частности – доставку приложений «по требованию» с помощью решения XenApp, а также запуск приложений из корпоративного окружения в пользовательской ОС с сохранением всех настроек безопасности. Как видите, XenClient достаточно гибкий в настройке, так что его удобно использовать и системному администратору, и пользователю. И все это – при минимальной (несколько процентов) потере производительности в виртуальной ОС по сравнению с аналогичной системой «на железе», и полной прозрачности гипервизора для внешних устройств.