Anwender entmachten
Applikationen zentral bereitstellen – Die Virtualisierung des Desktops gibt dem Administrator mehr Kontrolle und Flexibilität, den Nutzer mit Anwendungen zu versorgen. Dieser Ansatz löst aber etwa Windows-Terminal-Server aber nicht ab. Die verschiedenen Technologien haben dabei ihre Berechtigungen. Eine Darstellung der Stärken und Schwächen soll bei der Auswahl helfen.
Ein Dampfer erscheint am Horizont. Beim Versuch, sich ihm zu nähern, entpuppt er sich als Fata Morgana. Eine Luftspiegelung hat die Seefahrer zum Narren gehalten. So könnte es auch Anwendern gehen, die sich Virtualisierung nicht vorstellen können. Denn der Desktop und die Anwendungen, die sie sehen, laufen gar nicht mehr auf ihrem PC, sondern irgendwo im Serverraum. Bei Internet-Anwendungen ist es klar, dass diese ein Web-Server bereitstellt, meist gemeinsam mit dahinter liegenden Applikations-Servern und Datenbanken. Schwieriger wird es bei Windows-Anwendungen. Diese könnten auch von einem Windows-Terminal-Server kommen. Dank des Virtual-Machine-Ansatzes (VM) lassen sich nun auch komplette Desktops auf den Server verschieben. Das Ganze firmiert oft unter dem Begriff »Virtual Desktop Infrastructure« (VDI). Bisher waren es Server, die der Administrator als VMs in größeren Systemen konsolidierte. Für eine VDI bieten sich Chassis an, die viele Blade-Server aufnehmen können. Auf jeder Maschine laufen dann mehrere Client-Betriebssysteme als Gäste. Wahlweise gibt es auch die Möglichkeit, PC-Blades einzusetzen. Dann hat jeder Nutzer wieder seinen eigenen Rechner, nur dass dieser jetzt im Rechenzentrum steht.
Mit WTS, VDI und PC-Blades haben die Unternehmen drei Möglichkeiten, zentral Applikationen beziehungsweise Desktops bereitzustellen. Das Spiel lässt sich aber auch auf dem Anwender-Rechner selbst betreiben. Dabei läuft die gewünschte Software vor Ort innerhalb der VM ab. Anstatt mit VM-Images zu arbeiten, lassen sich die benötigten Teile der Software auch per Stream herunterladen und auf dem Anwender-Rechner auführen. Schließlich gibt es noch die Variante der Teilvirtualisierung. Bei bestimmten Dingen wie Registry-Einträgen oder Dlls bekommt das System vorgegaukelt, dass diese tatsächlich am gewünschten Ort und nicht in einem separatem Bereich liegen.
Für den Administrator ergeben sich so viele verschiedene Möglichkeiten, die Applikationen seinen Anwender zur Verfügung stellen. Jedes Verfahren hat seine Vorteile, aber keins wird voraussichtlich alle anderen ablösen. Für den Nutzer sollte der Einsatz transparent ablaufen. Nur der Helpdesk muss vielleicht nachdenken, wenn sich ein User beschwert, dass eine Applikation auf seinem Rechner nicht läuft: Arbeitet diese tatsächlich dort, auf einem virtuellen Desktop oder woanders? Bildlich gesagt, muss der Helpdesk verstehen, welchen Mechanismus das Schiff (Anwendungsprogramm) auf den Nutzerrechner gespiegelt hat. Um das Pro und Kontra der jeweiligen Ansätze geht es im Folgenden.
Windows-Terminal-Server als das klassische Verfahren
Hier laufen die Programme auf großen Systemen im Rechenzentrum. Die WTS-Lösung überträgt die Bildschirmausgabe zum PC oder Thin-Client und schickt Maus- und Tastatursignale zurück. Als Protokolle kommen meist RDP (Remote-Desktop-Protocol) von Microsoft oder ICA (Independent-Computing-Architecture) von Citrix zum Einsatz. Der Anwender startet einzelne Programme auf dem WTS, die dort zentral installiert sind. Damit eignet sich der WTS gut, um Standard-Applikationen einer größeren Zahl von Nutzern zur Verfügung zu stellen. Diese haben in der Regel nur zu den für sie veröffentlichten Anwendungen Zugang. Die Server stehen geschützt im Rechenzentrum. Außerdem ermöglichen RDP oder ICA den Zugriff auch über schmalbandige WAN-Verbindungen. Das gilt auch für alle anderen zentralen Ansätze. Einmal auf dem WTS installierte Applikationen kann der Administrator schnell für weitere Nutzer freigeben. Kommt dabei ein Thin-Client zum Einsatz, lässt sich der Support vor Ort mit dem Austausch des Geräts erledigen. Daten liegen geschützt auf Datei-Servern oder im SAN (Storage-Area-Network). Der Transfer auf den PC oder Thin-Client lässt sich unterbinden.
Im Gegenzug muss der Nutzer die Rechenleistung mit anderen teilen. Nicht alle Anwendungen eignen sich für den WTS-Einsatz. Gründe dafür sind etwa schlechtes Memory-Management oder die Annahme der Software, dass eine IP-Adresse genau einem Nutzer entspricht. Hinzu kommen beispielsweise Probleme, die Druckertreiber verursachen können. Lösungen für WTS sind der »Presentation Server« von Citrix, die Windows-Terminal-Services von Microsoft oder der »Global Secure Desktop« von Sun (früher Tarantella).
Den Desktop auslagern
Virtuelle-Machine-Lösungen erlauben es, auf Desktop oder Server noch andere Betriebssysteme laufen zu lassen. Dazu abstrahiert ein so genannter Virtual-Machine-Monitor (VMM) die Ressourcen wie CPU, Speicher oder I/O. Die Software arbeitet entweder auf der Basis eines installierten Betriebssystems, oder sie bringt ihr eigenes mit, auch Hypervisor genannt. Letzteres hat Performancevorteile. Das Erstere ist interessant, wenn es Anwendungen auf dem Rechner gibt, die direkten Zugriff auf bestimmte Hardware benötigen. Auf einem Server lassen sich so mehrere Desktop-Systeme konsolidieren. Der Zugriff erfolgt meistens über RDP, das Windows schon mitbringt. Aber auch VNC ist eine Möglichkeit. ICA geht derzeit noch nicht. Der Nutzer kann mit einem Thin-Client oder auch einem schwachen PC arbeiten. Das VM-Konzept beschert für die Verwaltung des Desktops einige Vorteile. Mittels Snapshot-Funktion lassen sich VM-Desktops einfach sichern. Auch das Einrichten eines Systems ist leicht. Der Administrator muss nur ein vorhandenes VM-Image klonen. Im Fall von Installationsfehlern lässt sich das ursprüngliche System rasch wiederherstellen. Um einen Server zu warten, verschiebt der Administrator die VM-Desktops einfach auf eine andere Maschine. Außerdem lässt sich dank RDP auch ein Thin-Client als Terminal vor Ort nutzen. Der Anwender hat aber trotzdem einen vollwertigen Desktop zur Verfügung. Die Lizenznutzung oder Installation von fremder Software lässt sich leichter überwachen beziehungsweise verhindern. Auch das Testen von Patches wird einfacher. Außerdem kann der Anwender im Gegensatz zum WTS seinen Desktop wie gewohnt individuell gestalten.
Wie beim WTS muss der Nutzer die Rechenleistung des Servers aber mit anderen teilen. Diese Erfahrung verdauen sicherlich nicht alle Anwender gleich gut. Für Power-User spricht dann der Einsatz von PC-Blades. Nicht geeignet ist das VDI-Modell auch für mobile Arbeiter, da ohne eine Verbindung zum Server nichts läuft. Geht es etwa nur um den Wechsel zwischen Unternehmen und Home-Office, kann der Mitarbeiter zu Hause mit dem gleichen Desktop weiterarbeiten.
Der »ESX Server« von Vmware arbeitet als Hypervisor. Der kostenlos erhältliche »VMware Server« setzt auf einem Betriebsystem auf. Diesem entspricht bei Microsoft der »Virtual Server«. Die Hypervisor-Lösung »Windows Server Virtualization« (WSV) kommt erst mit dem »Windows Server 2008«, ehemals »Longhorn«. Dabei hat Redmond die WSV aus dem ersten Release herausgenommen. Stattdessen soll das Ganze ein halbes Jahr später kommen. Xen als Opensource ist eine Paravirtualisierungslösung: Bei Gast-Betriebssystemen ist eine Modifikation notwendig. Dies ändert sich erst bei Systemen, deren Prozessoren über Virtualization-Hardware-Assist-Lösungen von Intel oder AMD verfügen.
Das passende Image bekommen
Auf der einen Seite stehen die Server mit ihren Pools von virtuellen Maschinen, und auf der anderen Seite die Anwender. Damit diese zusammenkommen, sind so genannte Connection- oder Access-Broker notwendig. Diese authentifizieren den Anwender, weisen im eine VM zu und melden ihn automatisch dort an. Mit Hilfe der Software verwaltet der Administrator auch die VM-Pools und Policies für die Zuweisung. So kann es mehrere Pools mit einer anpassten Ausstattung für bestimmte Abteilungen geben. Der Access-Broker sorgt dafür, dass der Mitarbeiter eine passende Maschine bekommt. Eine andere Möglichkeit ist, einen Anwender eine noch nicht verwendete VM zuzuweisen und ihn danach immer mit dieser zu verbinden. Außerdem hilft das System bei der Überwachung der VMs. Auch Zugangsregeln wie bestimmte Zeiten sind möglich. Ohne einen Connection-Broker ist eine größere Anzahl von VMs sicher nicht gut zu steuern. Beim Einsatz von Thin-Clients ist es wichtig sicherzustellen, dass der Rechner mit dem Broker zurechtkommt.
Mit dem »Citrix Desktop Server« können Unternehmen auf einmal den Zugang zum Presentation-Server, zu virtuellen Maschinen und zu Blade-PCs kontrollieren. Bei der Kommunikation mit VMs ist derzeit nur RDP möglich. Ein ICA-Proxy sorgt für den Übergang auf das andere Protokoll. Ein durchgängiger ICA-Einsatz ist aber auf der Roadmap. Der »Hosted Desktop Broker« von Leostream dagegen bietet eine ganze Reihe von Verbindungsmöglichkeiten: RDP, ICA, VNC oder »VMware Remote Viewer«. Außerdem unterstützt die Lösung neben Windows auch Thin-Clients von Neoware oder Wyse. Sie ist aber nur ein Broker für VMs. HP unterzeichnete vor kurzem eine Erklärung, Neoware zu übernehmen. Wyse hat auch eine eigene Client-Version »S10-VDI Edition« für die Zusammenarbeit mit Vmware. Neoware hat seit kurzem ebenfalls spezielle VDI-Thin-Clients im Programm, auch für den Einsatz mit Vmware. Nach Neoware kommt Igel mit einer Leostream-Komponente in der Firmware für ihre Linux-Geräte. Laut mehreren Berichten erwarb Vmware Propero, die ebenfalls einen Desktop-Broker im Programm hat. Weitere Anbieter sind Dunes Technologies und Provision Networks. Wie wichtig Citrix das Thema nimmt, zeigt sich auch daran, dass es Xensource erwarb, das den den Hypervisor »Xen« entwickelt. Bereits zuvor war der Hersteller Mitglied in der von Citrix gegründeten »Dynamic Desktop Initiative«.
Ein PC am anderen Ende der Leitung
Desktop-Blades haben mit allen anderen, zentralen Lösungen den Vorteil, dass das eigentliche Gerät sicher im Serverraum arbeitet. Weiter muss vor Ort kein sperriger PC stehen, was den Einsatz bei räumlich beengten Verhältnissen interessant macht. Außerdem ist diese Lösung der Ausweg, wenn Anwender die maximale Rechenleistung des PC benötigen und trotzdem eine gewisse Konsolidisierung gewünscht ist.
Der Desktop im Desktop
Bei den verteilten Lösungen arbeiten die VMs nicht auf Servern im Rechenzentrum, sondern auf den PCs der Anwender. Damit können diese zwar nicht mehr von verschiedenen Orten auf ihre Desktops zugreifen. Es bleiben aber die Vorteile einer zentralen Verwaltung. Das Image für die VM auf dem PC enthält genau die gewünschten Anwendungen und Daten für den jeweiligen Rechner. Außerdem lässt sich der Zugriff auf lokale Ressourcen wie Clipboard, USB oder Print leichter steuern. Auch ein Auditing der Vorgänge auf der VM ist so möglich. Diese Form eignet sich auch für den mobilen Einsatz. Eine Verschlüsselung des VM-Images schützt die Daten beim Diebstahl des Rechners. Weiter lassen sich zentrale Policies leichter durchsetzen.
Wie bei allen VM-Lösungen eignet sich das Ganze nicht, wenn Applikationen einen direkten Zugriff auf Hardware brauchen. Außerdem ist es eine Frage der Performance. Erfahrungen der Real-World Labs mit Vmware zeigen, dass Windows die VM bremst. Bei Linux dagegen läuft Windows als VM fast genauso schnell wie vorher auch. Einem Rechner ein anderes Betriebssystem unterzujubeln, ist sicher nicht so einfach, ein falsches VM-Image dagegen schon. Deshalb gehört bei solchen Systemen eine entsprechende Prüfung dazu. Der »Managed Workspace« von Kidaro kann VMs von Vmware oder Microsoft betreiben. Weitere Lösungen sind »vThere« von Sentillion oder »VMware ACE 2 Enterprise Edition«.
Bei Streaming-Lösungen hält ein Server zentral die Anwendungen bereit. Auf Anfrage lädt der Client sich diese dann herunter. Citrix hat dies in ihren Presentation-Server integriert. Eine Cache-Funktion speichert heruntergeladene Programme zwischen. Nur bei Änderungen erfolgt ein Update. Damit ist der Client nicht auf eine ständige Verbindung zum Server angewiesen. Die Applikationen laufen in einem isolierten Bereich ab. Beim »Wyse Streaming Manager« dagegen wird nichts lokal zwischengespeichert. Vor einer Verteilung muss der Administrator Betriebssystem und Anwendungen über einen Art Paketmanager speziell präparieren. Dieser Ansatz ist besonders für Thin-Clients interessant. Allerdings geht ohne eine Netzwerkverbindung nichts. Wyse empfiehlt den Einsatz auch nicht über schmalbandige Verbindungen hinweg.
Die Software-Virtualisierung gaukelt Applikationen vor, dass sie ganz normal im System arbeiten. In Wirklichkeit hat jede Anwendung einen eigenen Bereich, im dem eigene Daten wie Dlls oder Einstellungen liegen. Dazu fängt die Software beispielsweise Registry-Aufrufe ab und leitet sie um. Mit diesem Ansatz lassen sich etwa Konflikte durch Anwendungen vermeiden, die die gleiche Dll in unterschiedlichen Versionen benötigen. »Software Virtualization Solution« von Symantec (ehemals Altiris) und »SoftGrid« von Microsoft (ehemals Softricity) setzen ein solches Konzept um.
Fazit
WTS, Virtual-Machines auf Servern und PC-Blades haben ihre Vorteile. Kein Ansatz ist jedoch für alle Anforderungen geeignet. Ein Unternehmen sollte daher zuerst sein Anforderungsprofil definieren. WTS sind besonders interessant, wenn es darum geht, Standardapplikationen einer größeren Anzahl von Anwendern zur Verfügung zu stellen. Der Virtual-Desktop-Infrstructure-Ansatz verlagert die eigentliche Clientsoftware ins Rechenzentrum. Dies bringt Vorteile bei der Mobilität und dem Management. Bei allen drei Ansätzen lassen sich Thin-Clients verwenden, was die Supportanforderungen vor Ort deutlich reduzieren kann. Virtualisierungs-Lösungen auf dem Rechner des Anwenders erleichtern eine zentrale Verwaltung von Applikationen. Als dezentrale Konzepte sind sie nicht ständig auf eine Verbindung zu Servern angewiesen.
wve@networkcomputing.de
