試玩虛擬桌面 vmware view

各校資訊相關業務問題討論,經驗分享

試玩虛擬桌面 vmware view

文章lucia » 週日 10月 28, 2012 8:25 pm

一時興起,試玩了一下vmware view 5.1虛擬桌面,不玩還好,玩下去真的是牢騷滿腹,這讓我重新思考是否要往虛擬桌面發展.

抱怨1: AD 必須
要安裝vmware view ,必須先安裝 MS AD ,光這就讓我罵半天了 ,因為網域是我心中的創痛 ,想當年在前任組長任下 ,學校是有安裝 MS DC 的 ,所有電腦必須登入網域 ,
不料本人剛接任沒多久 , DC 掛了,由於並無 BDC 存在 ,所以全校電腦也掛了 ,本人手機也被打掛了 ,這讓我恨 AD 入骨 ,研究 AD 之後 ,發現 AD的可怕之處 ,若要
走 AD架構 ,AD必須要有2台 ,想要 AD穩定 ,則內部與外部 DNS 都必須設定正確 ,另外個人電腦登入網域必須走 tcp/ip 架構 ,而非 Netbios 架構 ,加入網域的個人
電腦要輸入 primary dns suffix ,AD 架設過程環節馬虎不得 ,一知半解的亂架亂裝 AD ,絕對是替自己找麻煩不如不架.
AD 的確有它的好處 ,集中式的帳號 密碼 系統原則 方便一次管理 ,但 AD 它的好處必須在大量與複雜使用者的環境下才能顯現出來 ,更何況一般國中小學校的組織架構
都很單純 ,扣除學生後使用人數真的不多 ,單純的環境 少數的使用者 這樣的環境下架設 AD所產生的效益並不大.

總論 : vmware 與 microsoft 應該有暗盤交易

抱怨2: VCenter 必須
vmware view 伺服器端最少必須安裝 AD server ,view connetction server ,view compose server ,而view composer 安裝會偵測 VCenter server存在 ,沒 VCenter就
無法安裝 view compose , 這讓我很感冒 ,view compose 絕對是必須安裝的 ,想快速部屬虛擬桌面 ,想節省大量的虛擬桌面儲存空間 ,view compose 是必要的 ,但 vCenter
則非必要 ,更何況大多數學校機房裡面的伺服器主機真的用幾隻手指頭就可以算清楚 ,有需要 VCenter server 的集中式管理功能 ? 更何況甚麼 HA ,Vmotion..., 管理方面
說真的 vSphere client 就足夠滿足一般學校大部分的管理需求 ,了不起加上 putty就十分足夠了 ,搞得那麼大的陣仗幹嗎? 這讓我感覺 ,我只為了吃幾片牛肉而已 ,可是卻
必須買下整個牧場一般 ,vmware 社群關於 view without vcenter 相關文章蠻多的 ,相當多人在引頸期待期待免安裝 vcenter 的 view 版本降臨

總論 : vmware 將 view與vcenter 搞捆包式強迫銷售

抱怨3: SSL憑證認證
這安全的也過了頭了吧 ,安裝 view connetion server,view composer server,vCenter server安裝之前還必須先搞定 ssl伺服器認證憑證 , 不要懷疑 ,vmware view 5.1
真的搞這一套 ,還好vmware view 5.0尚未這樣做, 否則我可能真的會直接放棄安裝 ,不過是小小的國中小學校單位有需要搞到這樣 "安全" 嗎? 感覺像用大砲打蚊子 ,
或許vmware 將 view 主要使用階層定位上給大型企業用的 ,尚未考慮到一般教育單位或小型企業的需求.

結論 : 整個台北市中小學應該算 "大型企業" 吧 ,統購 vmware view 如何 ,再給各學校 client使用權
lucia
 
文章: 61
註冊時間: 週一 10月 27, 2003 11:29 pm

Re: 試玩虛擬桌面 vmware view

文章slps » 週一 10月 29, 2012 1:22 am

最後的結論大概是最不可能發生的! 再來,老師使用的意願恐怕不高?!
slps
 
文章: 62
註冊時間: 週四 11月 20, 2008 9:37 pm

Re: 試玩虛擬桌面 vmware view

文章ntueees » 週一 10月 29, 2012 5:19 pm

吾校AD也是為了測試VDI才安裝,但也僅作為VDI驗證功能,AD使用的程度其實看學校是採集中管理或分散管理,現在很多單位為了
解決使用者忘記眾多服務的帳密都強調單一認證功能,個人替學校規劃是採用分散式管理,AD壞掉頂多就是VDI不能登入,其他如
NAS或MAIL主機等都能正常使用,不採用AD統一管理是因為資安風險太高,老師帳密流出去等同個人所有應用服務資料泄漏,另方
面,使用者使用資訊服務本來就要負責保管帳密。舉一例,有學校利用AD進行程式派送或Windows Update功能,很自動化沒錯,校務
評鑑也有看頭,但從另個角度想,你沒有辦法讓老師"自動"學會安裝程式與Windows Update功能,雖然很多時候資訊人員也是"手動"
協助老師Windows Update,但這些本該屬於教師資訊基本能力才對。有時候資訊人員應作為"指導"而非"執行"的角色,讓老師學得愈
多對IT人員愈輕鬆。因此吾校從不管教師端Windows有沒有update,也不管老師安裝哪些程式,也不用所謂資產管理程式,更沒有單一
簽入這種高風險系統,這些都是使用者要去負的責任,那中毒怎辨?真的,就給他中毒,然後再來教育訓練。"太易於使用"是要付出
代價的。回到View主題,要使用VDI就必需採用AD或LDAP認證,這沒得挑。

不要懷疑vCenter的重要性,強烈建議臺北市在採購時加上vCenter授權,否則對IT人員極不人道(好像太誇張)。有些設定是vSphere
Client無法作到的,例如Template的部署,除非你希望操作CLI。即然都VM化了,vCenter絕對能協助並減少IT人員操作VM的工作量。
View需要vCenter是為了取得ESXi內的VM資料,vCenter算是View與ESXi的溝通者,View可以不管後端ESXi,直接交由vCenter進行VM
的產生、刪除、移動、reset與recompose等動作,少了vCenter,則View Connectation必需指定ESXi為溝通對像,必需把ESXi密碼寫入
View Connectation,如此一來就有資安風險。像ESXi運行這麼多VM的Server不應該有太多程式真接與它接觸或溝通才對,甚至學校
應該在firewall阻擋外界與ESXi的連繫。透過類vCenter服務是正確的,像經紀人一樣。

View5.0版確實不強迫導入SSL,SSL若可以是一個"選項"供使用者選擇那更好,不過站在原廠的角度來看,它當然會希望愈安全愈好,
就像Yahoo與Gmail的登入也是用SSL,至少VMware允許各網域自行產生SSL而非公正單位發的SSL。此方面,VMware的View Client與PCOIP目前為止是可以不用SSL與View connectation或View Security進行認證,但各Server(vCenter, View Composer, View connectation, View Security)間則強制SSL認證,此部份為安全考量是可以接受的。學校自行DIY SSL應不會有太大困擾,VMware有pdf可供參考。

對於尚未VM化且考量VDI的學校,直接購買View的License內含全部功能比較有利。
至於學校老師是否願意採用VDI,個人這邊VDI大致上都測試完畢,就等機會召開資訊會議讓各學年主任與科任一起討論看明年採購桌
機要用傳統桌機或VDI,我會分析兩者的優劣並讓老師共同來決定,告訴傳統桌機有哪些缺點,例如灰塵、老化、接觸不良、HD容易
壞等,若老師選擇傳統桌機,當遇到灰塵當機等情形我會直接拒絕並請廠商進行維修,因為這是各位的決定啊!當然VDI目前亦有需
改善之處,例如反應速度問題,這部份仍有待學校全部汰換GIGA交換器。

導如VDI之前必需先具備VM系統的概念與實際操作經驗,說實在並不輕鬆,個人自私認為不能因此由資訊室進行集中管理或交由某廠商
集中管理,與其將經費交給廠商,不如多多辦理研習,學校IT人員除了提昇能力之外,資訊室亦不會集權力於一身,廠商亦不會接觸到
學校資料。

總結來說,站在IT人員立場,VDI絕對可以有效減少桌機維修次數與內容,雲端桌面VDI尚有待使用者正確操作方能提昇整體效能,例
如檔案儘量不要存於local而改存到NAS雲端,除了IT人員適時導入之外,使用者根深柢固的電腦操作觀念亦需同步修正,導入過程亦
需透過社群、學年會議等與老師進行溝通與訓練。現在正是過渡期與痛苦期,頭過身就過,現在不做未來還是要做,想想看,給老師8
核心的桌機操作Office有必要嗎?

更多VDI導入過程與問題可參見http://www.ntueees.tp.edu.tw/wordpress/?cat=158
ntueees
 
文章: 20
註冊時間: 週一 11月 19, 2007 5:00 pm

Re: 試玩虛擬桌面 vmware view

文章lucia » 週一 11月 26, 2012 7:05 pm

目前已將view 安裝測試完畢 ,安裝設定過程中幾次差點抓狂 ,說真的 ,整個安裝有一些眉眉角角的地方需要注意 ,
安裝測試完畢後 ,才真的了解 view 為何物

所謂 虛擬桌面 view , 講白一點就是所謂的遠端桌面 ,管 win server 系統的都一定用過 mstsc 這個程式
但是 mstsc 只在一般 window 系統下執行 ,無法在平板與 pcoip 或非 window 系統下執行 , 為此有了 view 的存在
view 安裝完畢後 , 一定有一個範本 VM 存在.
當第1位 A 使用者連線 view connection 時 , view 便會產生 一個 範本VM 的 clone (這個 clone 簡稱為 VM A)
view connection 便將使用者連接到這個 VM A 的遠端桌面執行.
當第2位 B 使用者連線 view connection 時 , view 便會再次產生 一個 範本VM 的 clone (這個 clone 簡稱為 VM B)
view connection 便將使用者連接到這個 VM B 的遠端桌面執行.

今天如果有100位使用者連入 view connection 的話 , 就會產生 100 個 clone VM , 如果每個 clone VM 都
獨立的記憶體與儲存空間的話 , 這個需求足以打掛學校內任一台伺服器 , 所以在這 vmware 引入 view compose
的存在 ,讓共用的程式模組使用相同的記憶體與儲存空間 ,降低伺服器負擔 .

view 簡單而言就是 mstsc 的跨平台自動化加強版 , 也由於 所有的 VM clone 都一樣 , 所以才需要 AD Server
進行使用者權限管理 , 若所有的 clone VM 都由一部伺服器產生 , 伺服器若有表情的話 , 臉上絕對會出現三條線
所以才要 Vcenter 存在 ,將 clone VM 的工作分散由數部伺服器執行 , 更何況 vmware 可是老奸巨猾的 ,
ESXi 是無法進行 VM clone 的 , 要 View 給 ESXi 發出 clone 指令 , 那是不可能執行 , 說到底 view 就是要 vcenter
不過也有方法可以規避vcenter , 那便是一開始時便手動產生足夠量的 VM clone , 決定好哪些人使用 , 那便可規避
vcenter 的束縛

view 真的還算蠻方便也蠻好用的 , 只是剛開始時的設定安裝有些痛苦 , 值得一試.
lucia
 
文章: 61
註冊時間: 週一 10月 27, 2003 11:29 pm


回到 各校資訊業務

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 0 位訪客

cron