Максим Федотенко

gallery/1435337774_facebook
gallery/1435337799_twitter
gallery/logo
gallery/view.avatar

2013 год

Часть 3. Управление инфраструктурой

Раздел 1. Пулы виртуальных десктопов

Для осуществления делегирования административных задач пулы виртуальных десктопов отдельных клиентов, которым предоставляется услуга (возможно филиалов, других предприятий и т.п.) следует располагать в своей выделенной папке (folder) иерархии VMware View Manager.

Пулы виртуальных десктопов различных типов также рекомендуется располагать в отдельных папках (folder) иерархии VMware View Manager.

Для каждого пула виртуальных десктопов в инфраструктуре виртуализации VMware vSphere следует выделять свой пул ресурсов для облегчения контроля за распределением аппаратных ресурсов между пулами.

В Таблица 1 перечислены возможности использования различных пулов виртуальных и физических десктопов.

Таблица 1. Возможности использования пулов

gallery/view.tab.3.01

Выбор типа пула

Немного о том, каким образом осуществлять выбор между типами пулов.

Автоматизированный или неавтоматизированный пул?

Следует использовать автоматизированный пул во всех случаях, кроме:

  • необходимости предоставления пользователям доступа к аппаратным серверам/рабочим станциям;
  • необходимости предоставления пользователям доступа к уже сформированным ВМ.

Пул полных виртуальных десктопов или связанного клонирования?

Рекомендуется использовать автоматизированный пул виртуальных десктопов связанного клонирования с использованием View Composer.[1] Даже, если пользователям необходимы постоянные данные или собственные программы, их работа с виртуальным десктопом связанного клонирования должна осуществляться при помощи постоянных (persistent) дисков, перемещаемых пользовательских профилей и конвертирования программ в приложения ThinApp. Покупка VMware компании Wanova Mirage[2] и начало внедрения в VMware View технологии данной компании, которая может создавать образ пользовательского десктопа, разделив его на слои (система, приложения, данные и настройки пользователя), и централизованно управлять такими образами, позволяет надеяться, что в скором времени разделение собственно операционной системы, приложений и данных пользователей будет осуществляться в VMware View намного более удобно и с меньшим количеством исключений нежели сегодня.

Собственно автоматизированный пул виртуальных десктопов связанного клонирования с использованием View Composer следует использовать во всех случаях использования автоматизированного пула за исключением администраторов систем, которым вполне возможно, будет не очень удобно использовать только предопределенное программное обеспечение, распространяемое при помощи ThinApp, или оно не может быть виртуализировано при помощи ThinApp, или уже находящееся в основном образе пула виртуальных десктопов. [3]

Параметры пулов

Диски с операционной системой (OS disks) и постоянные (persistent) диски следует размещать на разных дисковых хранилищах.[4] Мы не рассматриваем в данном случае нагрузку, хотя, очевидно, что нагрузка различается в зависимости от типов дисков как по количеству IOPS так и по временным интервалам. Мы рассматриваем разность информации на этих дисках. На дисках с операционной системой хранится лишь временная информация пока не будет произведена реинициализация десктопа каким-либо методом, на постоянных же дисках хранятся пользовательские данные, которые должны быть защищены соответствующим образом средствами дисковых массивов, файловой структуры и т.п.

Для проверки необходимо зайти во View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” выбрать пул виртуальных десктопов и дважды щелкнуть мышкой на нем. В появившемся окне выбрать закладку “Settings”. В представленной информации выбрать область vCenter Server, параметр “Datastore”. В данном параметре должно быть отражено, что диски “OS disks” и “Persistent disks” находятся на различных хранилищах.

Доступ к сессии PCoIP на виртуальный десктоп из консоли vSphere Client через VMware vCenter или VMware ESXi должен быть запрещен.

В групповой политике организационной единицы, к которой принадлежат виртуальные десктопы, в настройках пользователя в ветке “PCoIP Session Variables” установить “Enable access to a PCoIP session from a vSphere console” в значение “Not Configured” или “Disabled”.[5]

Параметры пула связанного клонирования с использованием View Composer

При создании связанных клонов из основного образа пула View Composer-ом желательно использовать Sysprep. QuickPrep на мой взгляд лучше не использовать. Использование Sysprep связано с тем, что QuickPrep не создает для связанного клона новый SID, а использует общий SID для пула[6], а также с тем, что Microsoft официально не поддерживает QuickPrep. Сравнение QuickPrep и Sysprep приведено в Таблица 2.

 

 

Таблица 2. Сравнение QuickPrep и Sysprep[7]

gallery/view.tab.3.02

В Таблица 3 приведено сравнение поведения SID-ов связанных клонов при использовании Sysprep или Quickprep и GUID-ов приложений при таких операциях View Composer как создание клона, обновление и реконструкция.

Таблица 3. Операции View Composer, SID-ы связанных клонов и GUID-ы приложений[6]

gallery/view.tab.3.03

Рекомендуется хранить диски с репликами (View Composer replicas) и диски со связанными клонами (Linked Clones)  на разных дисковых хранилищах.[8] Такая рекомендация связана с разностью нагрузок на данные типы дисков.

Для проверки необходимо зайти во View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” выбрать пул виртуальных десктопов и дважды щелкнуть мышкой на нем. В появившемся окне выбрать закладку “Settings”. В представленной информации выбрать область vCenter Server, параметр “Datastore”. В данном параметре должно быть отражено, что диски “OS disks” и “Replica disks” находятся на различных хранилищах.

View Composer создает только одну реплику для каждого снимка (snapshot) основного образа на каждом кластере ESXi.[6]

Диски с операционной системой виртуальных десктопов связанного клонирования следует располагать на отдельных от дисков других типов виртуальных десктопов дисковых хранилищах.[9]

Виртуальные десктопы связанного клонирования следует располагать в отдельной от других виртуальных десктопов организационной единице OU каталога Active Directory.[10] Данная рекомендация связана с тем, что при расположении десктопов в отдельной организационной единице легче осуществлять управление ими при помощи групповой политики.

Для этого во View Administrator при создании пула выполнить следующие действия. Выбрать “Inventory –> Pools”. В панели “Pools” нажать кнопку “Add…”. В появившемся окне “Add Pool” в подменю “Type” меню “Pool Definition” выбрать “Automated Pool”, нажать кнопку “Next”. В подменю “User Assignment” выбрать любое необходимое значение, нажать кнопку “Next”. В подменю “vCenter Server” выбрать “View Composer linked clones” и соответствующий vCenter Server, нажать кнопку “Next”. Далее в меню “Settings” указывать необходимые параметры пула, а в подменю “Guest Customization” указать значение параметра “AD Container” (возможен выбор при помощи кнопки “Browse…”)

Для проведения очистки дискового пространства на дисках инфраструктуры, а также, чтобы все временные данные, сохраняемые во время сессии пользователя, были почищены, при выходе из гостевой операционной системы пользователя должно осуществляться обновление (refresh) виртуального десктопа или его удаление.[1]

Процесс обновления виртуального десктопа приведен на Рисунок 1.

gallery/view.3.01.refresh

Рисунок 1. Процесс обновления (refresh) виртуального десктопа

Для настройки обновления или удаления виртуального десктопа при выходе пользователя из гостевой операционной системы необходимо зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” выбрать пул и нажать кнопку “Edit…”. В появившемся окне “Edit <название пула>” выбрать вкладку “Pool Settings”. На странице “Pool Settings” в группе “Remote Settings” параметр “Delete or refresh desktop on logoff” установить в значение “Refresh Immediately” или “Delete Immediately”.[11]

Установка/удаление/обновление программного обеспечения, устанавливаемого нативно в операционную систему виртуальных десктопов, следует производить при помощи процесса реконструкции (recompose).

Процесс реконструкции (recompose) виртуального десктопа приведен на Рисунок 2.

gallery/view.3.02.recompose

Рисунок 2. Процесс реконструкции (recompose) виртуального десктопа

Параметры пула полных виртуальных десктопов

При создании полных виртуальных десктопов из основного образа пула также как и в случае пула связанного клонирования рекомендуется использовать Sysprep.[6]

Виртуальные десктопы автоматизированного пула полных виртуальных десктопов следует располагать в отдельной от других виртуальных десктопов организационной единице OU каталога Active Directory.[10] На мой взгляд, это не такая простая задача, т.к. View Composer в этом случае не отрабатывает, а Sysprep не имеет возможности добавить учетную запись компьютера в конкретную организационную единицу при включении в домен AD. Для автоматизации этой задачи предлагается следующие процедуры

Процедура в vCenter Server:

Зайти в vSphere Client, подключившись к vCenter Server. Зайти в “Customization Specifications Manager” и создать новую спецификацию настройки, в которой в подменю “Workgroup or Domain” указать имя домена в параметре “Windows Server Domain” и указать значения для параметров аутентификации “Username”, “Password” и “Confirm Password”.

Процедура во View Manager:

Зайти во View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” нажать кнопку “Add…”. В появившемся окне “Add Pool” в подменю “Type” меню “Pool Definition” выбрать “Automated Pool”, нажать кнопку “Next”. В подменю “User Assignment” выбрать любое необходимое значение, нажать кнопку “Next”. В подменю vCenter Server выбрать “Full Virtual Machines” и соответствующий vCenter Server, нажать кнопку “Next”. Далее в меню “Settings” указывать необходимые параметры пула, а в подменю “Guest Customization” выбрать спецификацию настройки.

При этом действия нужно понимать, что учетная запись виртуального десктопа попадет в организационную единицу по умолчанию, в которой создаются учетные записи компьютеров данного домена. Данное действие будет произведено под доменной учетной записью vCenter Server. Для того, чтобы учетные записи виртуальных десктопов попадали в специально выделенную для них организационную единицу OU, необходимо или создавать для них заранее учетные записи, размещенные в данной организационной единице (что не всегда удобно), или, например, воспользоваться приведенным ниже скриптом автоматического перемещения по событию.

Процедура в каталоге Active Directory:

Создать скрипт в “\\<Контроллер домена>\SYSVOL\<Домен>\Scripts” следующего содержания:

for /f %%i in ('dsquery computer "<различимое имя контейнера Computers в домене>" -name %1') do dsmove %%i -newparent "<различимое имя новой организационной единицы виртуальных десктопов>"

Пример:

for /f %%i in ('dsquery computer "cn=Computers,dc=UIB,dc=LOCAL" -name %1') do dsmove %%i -newparent "ou=VDI Computers,dc=MIB,dc=LOCAL"

Запустить оснастку “Group Policy Management” выбрать групповую политику “Default Domain Controllers Policy” соответствующего домена в контекстном меню нажать “Edit…”. В появившемся окне “Group Policy Management Editor” выбрать параметр “Computer Configuration –> Preferences –> Control Panel Settings –> Scheduled Tasks”. Создать задачу “Scheduled Task (Windows Vista and later)”. В закладке “Triggers” окна создания задачи нажать кнопку “New…”, в появившемся окне “New Trigger” параметр “Begin the task” установить в значение “On an event” и установить следующие значения параметров:

  • Settings = Basic
  • Log = Security
  • Source = Microsoft-Windows-Security-Auditing
  • EventID = 4741
  • Отметить Activate и Enabled.
  • Action = Start a program
  • Program/script = <путь до исполняемого файла> (например, \\mib-dc\SYSVOL\MIB.LOCAL\scripts\VMmove.bat)
  • Add arguments(optional) = <шаблон имени виртуальных машин> (например, VM-*)

В закладке “Actions” нажать кнопку “New…” и в появившемся окне “New Action” установить параметры:

Нажать кнопку “OK”.

Раздел 2. Аутентификация пользователей в инфраструктуре виртуальных десктопов

Конечно же, всегда рекомендуется осуществлять аутентификацию пользователей при помощи двух факторов, но далеко не всегда это разумно или просто выполнимо. Архитектурно хочется выделить некоторое подмножество пользователей или мест их размещения для осуществления аутентификации по двум факторам, а остальным, например, разрешить аутентифицироваться при помощи одного фактора.

VMware View позволяет аутентифицировать пользователя при доступе к инфраструктуре по двум факторам: при помощи сертификатов, в том числе расположенных на смарт-картах, и при помощи одноразовых паролей. И, если до версии 5.1 VMware View работало только с системой одноразовых паролей RSA, то в настоящий момент возможно осуществлять аутентификацию через сервер RADIUS и соответственно работать практически с любой системой одноразовых паролей.

Способы аутентификации при доступе в систему VMware View – это атрибут сервера, к которому подсоединяется пользователь. Следовательно, способы аутентификации могут быть различны для каждой связки серверов View Security – Connection.

В нашем случае (см. Часть 1 и 2), например, будем рекомендовать осуществлять двухфакторную аутентификацию при входе в инфраструктуру из сети Интернет, а при входе из внутренних сетей осуществлять любую аутентификацию, как по паролю, так и двухфакторную. Получается, что таким образом надо будет установить дополнительно еще одну связку серверов View Security – Connection и настроить на них способы аутентификации пользователей по-разному (см. Рисунок 3). Назовем сервера View Security и View Connection, расположенные в зоне Internet Edge сервер Internet Security и сервер Internet Connection, а сервера расположенные в зоне Extranet – Extranet Security и Extranet Connection соответственно. Получается, что на сервере Internet Connection необходимо настроить обязательную двухфакторную аутентификацию, а на сервере Extranet Connection – по выбору пользователя.

gallery/view.3.03.сеть.доступ

Рисунок 3. Сетевая архитектура инфраструктуры виртуализации десктопов

Далее рассмотрим рекомендации по использованию двухфакторной аутентификации в инфраструктуре виртуальных десктопов VMware View.

Аутентификация с использованием сертификатов

В случае выбора в качестве второго фактора для аутентификации пользователей сертификатов следует выполнять требования рекомендации приведенные ниже.

Для аутентификации пользователей по смарт-картам в AD должны быть:[12]

  • добавлены полные имена пользователей (user principal names, UPN)[13]
  • на контролерах домена добавлены сертификаты выпускающих центров сертификации в хранилище сертификатов Enterprise NTAuth.[14]

certutil –dspublish –f <path_to_root_CA_cert> NTAuthCA

  • на контролерах домена добавлены сертификаты корневых центров сертификации в хранилище сертификатов доверенных центров сертификации.[15]

Для этого необходимо запустить оснастку “Group Policy Management”. В контекстном меню “Default Domain Policy” выбрать “Edit”. Развернуть “Computer Configuration и открыть Windows Settings\Security Settings\Public Key”. В контекстном меню “Trusted Root Certification Authorities” выбрать “Import” и импортировать сертификат корневого центра сертификации.

  • На контроллерах домена добавлены сертификаты промежуточных центров сертификации в хранилище сертификатов промежуточных центров сертификации (в случае использования промежуточных центров сертификации).[16]

Для этого необходимо запустить оснастку “Group Policy Management”. В контекстном меню “Default Domain Policy” выбрать “Edit”. Развернуть “Computer Configuration” и открыть “Windows Settings\Security Settings\Public Key”. В контекстном меню “Intermediate Certification Authorities” выбрать “Import” и импортировать сертификат промежуточного центра сертификации.

В хранилище сертификатов серверов View Security и/или View Connection должны присутствовать действующие сертификаты корпоративных центров сертификации корневого и промежуточных, которыми подписываются сертификаты пользователей.[17]

Для этого необходимо выполнить команду:

keytool –import –alias <alias> –file <certificate CA> –keystore <keys.jks>

Скопировать файл хранилища сертификатов в <install_directory>\VMware\VMware View\Server\sslgateway\conf\<keys.jks>

Проверить выполнение требования можно следующим образом:

keytool –list –keystore <install_directory>\VMware\VMware View\Server\sslgateway\conf\<keys.jks>

Для каждого сертификата промежуточных и корневых УЦ в выводе проверить следующие поля:

  • Тип записи – “Entry type: trustedCertEntry”
  • Владелец – “Owner”
  • Выпускающий УЦ – “Issuer”
  • Время действия – “Valid from: … until: …”
  • Расширения – “Extensions:”
  • Использование ключа – “KeyUsage” с областью применения DigitalSignature и Key_CertSign
  • Основные ограничения – “BasicConstraints” с параметром CA:true

Файлы настройки серверов View Security и/или View Connection для разрешения аутентификации пользователей виртуальных десктопов по смарт-картам должен быть модифицирован.

В файле <install_directory>\VMware\VMware View\Server\sslgateway\conf\locked.properties добавить строки:

  • trustKeyfile=<keys.jks>
  • trustStoretype=JKS
  • useCertAuth=true

После модификации необходимо перезапустить службы сервера View Security/Connection.

В нашем случае сервер Internet Connection (сервер View Connection, расположенный в зоне Internet Edge) должен быть настроен на осуществление аутентификации пользователей виртуальных десктопов только по смарт-картам.

Список литературы

[1] VMware View Architecture Planning. Chapter 4. Architecture Design Elements and Planning Guidelines. “Pools for Tasks Workers”

[2] http://www.vmgu.ru/news/vmware-is-to-buy-wanova?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Vmguru+%28VMGU.ru+-+%D0%92%D1%81%D0%B5+%D0%BF%D0%BE%D1%81%D1%82%D1%8B+VMGU.RU%29

[3] VMware View Architecture Planning. Chapter 4. Architecture Design Elements and Planning Guidelines. “Pools for Knowledge Workers and Power Users”

[4] VMware View Administration. Chapter 5. Creating Desktop Pools. “Storage Sizing for Linked-Clone Desktop Pools”

[5] VMware View Administration. Chapter 8. Configuring Policies. “View PCoIP General Session Variables”

[6] VMware View Administration. Chapter 5. Creating Desktop Pools. “View Composer Support for Linked-Clone SIDs and Third-Party Applications”

[7] VMware View Administration. Chapter 5. Creating desktop Pools. “Choosing QuickPrep or Sysprep to Customize Linked-Clone Desktops”

[8] VMware View Administration. Chapter 5. Creating Desktop Pools. “Storing View Composer Replicas and Linked Clones on Separate Datastores”

[9] VMware View Administration. Chapter 10. Managing Linked-Clone Desktops. “Rebalancing Linked Clones Among Logical Drives”

[10] VMware View Installation. Chapter 3. Preparing Active Directory. “Creating an OU for View Desktops”

Для применения групповых политик

[11] VMware View Administration. Chapter 5. Creating desktop Pools. “Desktop and Pool Settings”

[12] VMware View Administration. Chapter 7. Setting Up User Authentication. “Prepare Active Directory for Smart Card Authentication”

[13] VMware View Administration. Chapter 7. Setting Up User Authentication. “Add UPNs for Smart Card Users”

[14] VMware View Administration. Chapter 7. Setting Up User Authentication. “Add the Root Certificate to the Enterprise NTAuth Store”

[15] VMware View Administration. Chapter 7. Setting Up User Authentication. “Add the Root Certificate to Trusted Root Certification Authorities”

[16] VMware View Installation. Chapter 7. Setting Up User Authentication. “Add the Intermediate Certificate to Intermadiate Certification Authorities”

[17] VMware View Administrator. Chapter 7. Setting Up User Authentication. “Add the Root Certificate to a Server Truststore File”

[18] VMware View Installation. Chapter 7. Setting Up User Authentication. “Configure Smart Card Settings in View Administrator”

[19] VMware View Security. VMware View Security Settings. “Security Settings in the View Client Configuration Template”

[20] VMware View Administration. Chapter 8. Configuring Policies. “View Client Configuration ADM Template Settings”

[21] VMware View Administration. Chapter 7. Setting Up User Authentication. “Enable Two-Factor Authentication in View Administrator”

[22] VMware View Architecture Planning. Chapter 5. Planning for Security Features. “Restricting View Desktop Access”

[23] VMware View Administration. Chapter 6. Entitling Users and Groups. “Tag Matching”

[24] [VMware View Administration. Chapter 8. Configuring Policies. “Client System Information Sent to View Desktop”

[25] VMware View Administration. Chapter 2. Configuring Role-Based Delegated Administration. “Best Practices for Administrator Users and Groups”

[26] VMware View Administration. Chapter 1. Configuring View Connection server. “Global Settings for Client Sessions and Connections”

[27] VMware View Security. VMware View Security Settings. “Security-Related Global Settings in View Administrator"

Для этого следует зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Authentication”. Параметр “Smart card authentication:” установить в значение “Required”.[18]

Сервер Extranet Connection (сервер View Connection, расположенный в зоне Extranet) должен иметь возможность аутентифицировать пользователей виртуальных десктопов по смарт-картам.

Для этого следует зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Authentication”. Параметр “Smart card authentication:” установить  в значение “Optional”. [18]

При аутентификации в инфраструктуре виртуальных десктопов VMware View по смарт-картам для клиентов, использующих View Client и работающих на платформе Windows, при помощи групповой политики возможно настроить единый вход (single sign-on), т.е. View Client будет автоматически пересылать реквизиты пользователя операционной системы на сервер View Security для аутентификации. Хотя для недоверенных зон, таких как сети сеть Интернет, данную опцию использовать не стоит (Запрещается в связи с хранением PIN-кода от смарт-карты пользователя клиентом View Client во временной памяти.).[19,20]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке “VMware View Client Configuration –> Security Settings” установить “Enable Single Sign-on for smart card authentication” в значение “Enable” или “Disabled” в зависимости от того на какие компьютеры данная клиентские политика будет распространяться.

Аутентификация с использованием одноразовых паролей

В случае выбора в качестве второго фактора для аутентификации пользователей одноразовых паролей следует выполнять требования рекомендации приведенные ниже.

В нашем случае сервер Internet Connection (сервер View Connection, расположенный в зоне Internet Edge) должен быть настроен на осуществление аутентификации пользователей виртуальных десктопов только с использованием одноразовых паролей.

Для этого следует зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели “View Connection Servers” выбрать сервер и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Authentication”. Параметр “2-factor authentication” установить в значение “RADIUS” или “RSA SecurID” в зависимости от той системы одноразовых паролей, которая используется в организации.[21]

Заметим, что параметр “Optional” (по выбору пользователя) в случае использования одноразовых паролей отсутствует. Это означает, что в нашем случае при доступе пользователя из внутренних сетей организации мы либо не будем осуществлять аутентификацию по одноразовым паролям, либо наоборот будем в обязательном порядке. Однако всегда можно настроить более гибко политику аутентификации на сервере RADIUS, выполняющем роль прослойки между VMware View и системой одноразовых паролей.

Например, при использовании в качестве сервера RADIUS Network Policy Server (далее NPS) под управлением Microsoft Windows Server 2008 возможно политиками установить для клиентов (серверов VMware View), расположенных в зоне Internet Edge, осуществлять аутентификацию перенаправляя запросы на удаленные сервера RADIUS (“Forward requests to the following remote RADIUS server group for authentication”), которые являются серверами одноразовых паролей, а для клиентов, расположенных в зоне Extranet, осуществлять аутентификацию в домене AD (“Authenticate requests on this server”).

Раздел 3. Права пользователей в инфраструктуре виртуальных десктопов

На пулы виртуальных десктопов должны быть установлены разрешения по использованию виртуальных десктопов пула ограниченному кругу пользователей. Таким образом, пользователям должны выдаются права на использование виртуальных десктопов определенного пула в случае пула “без привязки к пользователю” или определенных виртуальных десктопов в случае пула “с привязкой к пользователю”.

Для предоставления прав необходимо зайти во View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” выбрать пул виртуальных десктопов и нажать кнопку “Entitlements…”. В появившемся окне “Entitlements” нажать кнопку “Add..”. В появившемся окне “Find User and Group” найти соответствующих пользователей или группы пользователей AD и нажать кнопку “OK”.

Далее могут идти требования, связанные с конкретной организацией.

Например, пользователи, допущенные до использования определенного пула, должны принадлежать только организации, отделу, заказчику и т.п., в целях которых создан данный пул.

Пользователям, допущенным до использования определенного пула, должен требоваться функционал данного пула в рамках их должностных обязанностей. Например, только администраторы могут иметь доступ к пулам полных виртуальных десктопов, а остальные пользователи должны использовать станции связанного клонирования без привязки к пользователю.

Возможно, по политике информационной безопасности пользователи должны осуществлять доступ к различным виртуальным десктопам в случае обращения из локальной сети или из сети Интернет. VMware предлагает для этой цели использовать тэги[22].

Таким образом, мы должны опять таки использовать две связки серверов View – в зоне Extranet и в зоне Internet Edge (см. Рисунок 3). При этом мы должны серверу Extranet Connection установить тег, например, “LAN”, а серверу Internet Connection присвоить тег, например, “WAN”. Тогда пулам виртуальных десктопов, к которым можно осуществлять доступ из локальной сети необходимо установить тэг “LAN”; пулам, к которым можно осуществлять доступ только  из сети Интернет – тэг “WAN”; пулам, к которым можно осуществлять доступ отовсюду – оба тэга. Логика предоставления к виртуальным пулам в соответствии с назначаемыми тэгами представлена в Таблица 4.

 

 

Таблица 4. Соответствие тегов View Connection Server и пулов виртуальных рабочих станций и предоставляемого доступа[23]

gallery/view.tab.3.04

Заметим также, что логику предоставления доступа к виртуальным десктопам в зависимости от месторасположения пользователей, можно попытаться решить средствами View Agent/Client. Возможно получить IP-адрес клиентской системы на виртуальном десктопе из ключа реестра ViewClient_IP_Address[24], в который View Agent записывает IP-адрес, переданный View Client. Но, во-первых, обработать данный адрес мы сможем только в скрипте при загрузке виртуального десктопа, что является некорректным способом разделения доступа, а во-вторых, полученный IP-адрес обычно будет внутренним адресом, скрытым за NAT, и не будет предоставлять нам полезной для целей разграничения доступа информации.

Также отметим в этом разделе, что пользователям виртуальных десктопов не стоит предоставлять возможность осуществления сброса в исходное состояние (reset) виртуального десктопа. Сброс виртуального десктопа аналогичен нажатию кнопки “reset” на физическом компьютере, все несохраненные данные будут потеряны. На мой взгляд намного удобнее осуществлять пользователем выход из системы и при этом перезагружать виртуальный десктоп при помощи настроек пула.

Для того, чтобы пользователю запретить осуществлять сброс виртуального десктопа необходимо зайти во View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” выбрать пул и нажать кнопку “Edit…”. В появившемся окне “Edit <название пула>” выбрать вкладку “Pool Settings”. На странице “Pool Settings” в группе “Remote Settings” параметр “Allow users to reset their desktops” установить в значение “No”.[11]

Раздел 4. Права управляющего персонала

В данном разделе коснемся общих рекомендаций, предъявляемых к разграничению прав при администрировании VMware View.

Права во View Manager следует назначать группам администраторов из корпоративного каталога Active Directory, а не локальным группам.

Роли во View Manager не стоит назначать группам или пользователям, встроенным по умолчанию в операционную систему.[25] В соответствии с этим из группы Administrators инфраструктуры виртуальных десктопов должна быть исключена встроенная локальная группа Administrators операционной системы.

В случае распределенной системы администрирования оконечным администраторам должны выдаваться права только на конкретные папки (folders) инфраструктуры VMware View.

Аудиторам инфраструктуры виртуальных десктопов следует назначать роль Administrators (Read Only) на папку Root(/).

Т.к. основной образ пула виртуальных десктопов создается с использованием vCenter Server, пользователю создающему его, в инфраструктуре VMware vSphere рекомендуется предоставлять права не более прав, указанных в Таблица 5.

 

 

Таблица 5. Права на уровне vCenter Server для создания основного образа пула виртуальных десктопов

gallery/view.tab.3.05

Раздел 5. Защита взаимодействия

Web-соединение администратора инфраструктуры с View Administrator следует защищать использованием протокола SSL.

Для установки параметра использования SSL необходимо зайти во View Administrator. Выбрать “View Configuration –> Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” отметить чекбокс “Require SSL for client connections and View Administrator”.[26,27]

Web-соединение администратора инфраструктуры с View Administrator должно прерываться по таймауту в случае простаивающей сессии.

Для установки данного параметра необходимо зайти во View Administrator. Выбрать “View Configuration –> Global Settings”. В панели “Global Settings” нажать кнопку “Edit…”. В появившемся окне “Global Settings” снять отметку с чекбокса “Enable automatic status updates”.[26,27]

Вспомним Главу 1. View Administrator расположен на серверах View Connection, которые находятся где угодно, но только не в модуле Management. А по идее все управляющие сервера должны быть расположены в модуле Management. Мы же из-за архитектуры VMware View не можем разнести управляющий сервер (View Administrator) и брокер соединений (View Connection) по различным серверам, да и к тому же они находятся на одном сетевом интерфейсе сервера. Поэтому приходится “выходить из положения”. Дальше приведена рекомендация по настройке ограничения доступа с определенных (административных) IP-адресов (IP-сетей) на View Administrator.

На сервере Connection Server в директории %Program Files%\VMware\VMware View\Server\broker\conf создать (если не существуют) вложенные поддиректории Catalina, а в ней localhost. В поддиректории localhost создать файл admin.xml (если не существует). В файл admin.xml добавить следующие строки:

<Context path="/admin">

         <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="xxx\.xxx\.xxx\.xxx,zzzz\.zzzz\.zzzz\.zzzz”/>

</Context>

где:

          xxx\.xxx\.xxx\.xxx – регулярное выражение, IP-адреса (или маска) сети из vManagement.

Пример: 192\.168\.20.\5 или 192\.168\.20\..* или 192.\168\.2[12]\..*

Данная настройка относится к самому Web-серверу и нигде не описывается VMware.