Максим Федотенко

gallery/1435337774_facebook
gallery/1435337799_twitter
gallery/logo
gallery/view.avatar

2013 год

Часть 7. Дополнительные режимы работы инфраструктуры

Глава 1. Локальный режим

Использование локального режима

В основном все инфраструктуры виртуальных десктопов строятся для использования удаленного режима в качестве основного, поэтому локальный режим следует по умолчанию запретить для всего View Manager.

Введите текст

Для этого зайти в View Administrator. Выбрать “Policies –> Global Policies”. В панели справа “Local Mode Policies” нажать кнопку “Edit Policies…”. В появившемся окне “Edit Local Mode Policies” установить параметр “Local Mode” в значение “Deny”.[1]

Список литературы

[1] VMware View Administration. Chapter 8. Configuring Policies. “Local Mode Policies”

[2] VMware View Administration. Chapter 8. Managing Local Desktops. “Set Replication Policies”

[3] VMware View Administration. Chapter 8. Configuring Policies. “View Policies”

[4] VMware View Security. VMware View Security Settings. “Security-Related Server Settings in View Administrator”

[5] VMware View Administration. Chapter 8. Managing Local Desktops. “Settings Security Options for Local desktop Operations”

[6] VMware View Administration. Managing Local desktops. “Optimizing Data Transfers Between Local Desktop Host Computers and the Datacener”

[7] VMware View Security. VMware View Security Settings. “Security-Related Global Settings in View Administrator”

[8] VMware View Administration. Chapter 8 Configuring Policies. “View Client Configuration ADM Template Settings”

[9] VMware View Administration. Chapter 18. Setting Up Clients in Kiosk Mode. “Prepare Active Directory and View Manager for Clients in Kiosk Mode”

[10] ] VMware View Administration. Chapter 18. Setting Up Clients in Kiosk Mode.

[11] VMware View Architecture Planning. Chapter 4. Architecture Design Elements and Planning Guidelines. “Pools for Kiosk Users”

[12] VMware View Administration. Chapter 5. Creating desktop Pools. “Desktop and Pool Settings”

При этом локальный режим следует разрешать только на конкретном пуле и только для конкретных пользователей/групп пользователей пула.

Проверка:

в View Administrator. Выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. Далее в зависимости от привязки политики сделать:

1) Если политика привязывается к пулу, то выбрать “Pool Policies” и в таблице “Local Mode Policies” проверить значение “Local Mode” в столбце “Applied Policy”. Значение “Applied Policy” может быть “Allow”.
2) Если политика привязывается к пользователю, то выбрать “Pool Policy” и в таблице “Local Mode Policies” значение “Applied Policy” должно быть “Deny”, затем выбрать “User Overrides” и проверить, что конкретному пользователю или группе пользователей установлена политика “Local Mode” со значением “Allow”.

Назначение прав на использование локального режима рекомендуется осуществлять с использованием групп пользователей Active Directory.

Локальный режим может использоваться только для пула виртуальных десктопов с привязкой к пользователям (Dedicated).

Необходимо назначить период репликации локального и удаленного виртуальных десктопов. Например, репликация должна происходить не реже одного раза в 4 часа.[2,3]

Проверка:

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. Далее в зависимости от привязки политики сделать:

1) Если политика привязывается к пулу, то выбрать “Pool Policies” и в таблице “Local Mode Policies” проверить значение “Target replication frequency” в столбцах “Pool Policy” и “Applied Policy”. Значение должно быть “4 Hours”. Далее выбрать “User Overrides” и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей.
2) Если политика привязывается к пользователю, то выбрать “User Overrides” и проверить, что конкретному пользователю или группе пользователей установлена политика “Target replication frequency” со значением “4 Hours”.

Также в инфраструктуре VMware View пользователю виртуального десктопа можно отключить возможность приостановить репликацию локального и удаленного виртуального десктопа (после приостановки репликации она запускается заново через 2 часа).[2]

Проверка:

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. Далее в зависимости от привязки политики сделать:

1) Если политика привязывается к пулу, то выбрать “Pool Policies” и в таблице “Local Mode Policies” проверить значение “User deferred replication” в столбце “Applied Policy”. Значение должно быть “Deny”. Далее выбрать “User Overrides” и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей.
2) Если политика привязывается к пользователю, то выбрать “User Overrides” и проверить, что конкретному пользователю или группе пользователей установлена политика “User deferred replication” со значением “Deny”.

Очевидно, что в репликации должны участвовать только изменяемые данные, которые необходимо сохранить. Поэтому должны реплицироваться только постоянные (Persistent) диски, а диски с операционной системой реплицировать не нужно (политика устанавливается только после выгрузки виртуального десктопа в локальный режим).[2]

Проверка:

Зайти в View Administrator. ВыбратЗь “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. Далее в зависимости от привязки политики сделать:

1) Если политика привязывается к пулу, то выбрать “Pool Policies” и в таблице “Local Mode Policies” проверить значение “Disks replicated” в столбце “Applied Policy”. Значение должно быть “Persistent disks”. Далее выбрать “User Overrides” и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей.
2) Если политика привязывается к пользователю, то выбрать “User Overrides” и проверить, что конкретному пользователю или группе пользователей установлена политика “Disks replicated” со значением “Persistent disks”.

Возможно, пользователям стоит предоставить возможность инициировать репликацию локального и удаленного виртуальных десктопов.[2]

Проверка:

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. Далее в зависимости от привязки политики сделать:

1) Если политика привязывается к пулу, то выбрать “Pool Policies” и в таблице “Local Mode Policies” проверить значение “User initiated replication” в столбце “Applied Policy”. Значение должно быть “Allow”. Далее выбрать “User Overrides” и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей.

2) Если политика привязывается к пользователю, то выбрать “User Overrides” и проверить, что конкретному пользователю или группе пользователей установлена политика “User initiated replication” со значением “Allow”.

Также можно отключить возможность пользователям самим возвращать локальный виртуальный десктоп в исходное состояние (Roll Back).

Проверка:

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. Далее в зависимости от привязки политики сделать:

1) Если политика привязывается к пулу, то выбрать “Pool Policies” и в таблице “Local Mode Policies” проверить значение “User-initiated rollback” в столбце “Applied Policy”. Значение должно быть “Deny”. Далее выбрать “User Overrides” и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей.
2) Если политика привязывается к пользователю, то выбрать “User Overrides” и проверить, что конкретному пользователю или группе пользователей установлена политика “User-initiated rollback” со значением “Deny”.

И можно запретить пользователю возвращать локальный виртуальный десктоп в централизованную виртуальную инфраструктуру (Check In).

Проверка:

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. Далее в зависимости от привязки политики сделать:

1) Если политика привязывается к пулу, то выбрать “Pool Policies” и в таблице “Local Mode Policies” проверить значение “User-initiated check in” в столбце “Applied Policy”. Значение должно быть “Deny”. Далее выбрать “User Overrides” и проверить, что в появившейся таблице отсутствуют записи по переопределению политики для пользователей.
2) Если политика привязывается к пользователю, то выбрать “User Overrides” и проверить, что конкретному пользователю или группе пользователей установлена политика “User-initiated check in” со значением “Deny”.

Желательно осуществлять шифрование файлов локального виртуального десктопа при помощи усиленного протокола шифрования AES с длиной ключа 256 бит.

На сервере View Connection Server запустить ADSI Edit. В диалоговом окне Connection Settings ввести Connection Point=“DC=vdi,DC=vmware,DC=int”, Computer=”localhost” и подсоединиться. Далее выбрать объект CN=Common, OU=Global, OU=Properties и открыть диалоговоое окно свойств объекта. В окне параметру pae-OVDIKeyCipher присвоить значение AES-256.

Взаимодействие

Локальные виртуальные десктопы должны использовать туннелированное соединение для взаимодействия с внутренней инфраструктурой посредством серверов View Security Server.

Для этого необходимо зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели справа выбрать закладку “Connection Servers”, в ней выбрать соответствующий сервер Connection Server и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Local Mode” и отметить параметр “Use Secure Tunnel connection for Local Mode operations”. [4,5]

Коммуникации локальных виртуальных десктопов с внутренней инфраструктурой должны быть защищены при помощи протокола SSL. При помощи протокола SSL защищается передача данных при выгрузке (Check In) и загрузке обратно (Check Out) виртуальных десктопов, а также при репликации данных между локальными виртуальными десктопами и внутренней инфраструктурой. При этом передача основных образов пула View Composer не защищается.

Для использования протокола SSL нужно зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели справа выбрать закладку “Connection Servers”, в ней выбрать соответствующий сервер Connection Server и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Local Mode” и отметить параметр “Use SSL for Local Mode operations”.[4,5]

Существует возможность также защитить передачу основных образов пула View Composer при помощи протокола SSL.

Для этого нужно зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели справа выбрать закладку “Connection Servers”, в ней выбрать соответствующий сервер Connection Server и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Server Settings” выбрать закладку “Local Mode” и отметить параметр “Use SSL when provisioning desktops in Local Mode”.[4,5]

В целях уменьшения объема трафика, передаваемого между локальным и удаленным виртуальными десктопами, рекомендуется использовать режим дедупликации.

Зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели справа “Servers” выбрать сервер View Connection Server и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Servers” выбрать закладку “Local Mode”. Далее отметить пункт “Use deduplication for Local Mode operations”.[6]

Также для уменьшения объема трафика, передаваемого между локальным и удаленным виртуальными десктопами, рекомендуется использовать режим сжатия трафика.

Зайти в View Administrator. Выбрать “View Configuration –> Servers”. В панели справа “Servers” выбрать сервер View Connection Server и нажать кнопку “Edit…”. В появившемся окне “Edit View Connection Servers” выбрать закладку “Local Mode”. Далее отметить пункт “Use compression for Local Mode operations”.[6]

Локальный виртуальный десктоп не должен работать без связи с View Connection Server. Время, которое разрешается использовать локальную виртуальную станцию без осуществления ее взаимодействия с View Connection Server, рекомендуется ограничивать, например, 2 днями.

Проверка:

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели справа “Pools” выбрать пул виртуальных десктопов и дважды нажать на нем. В появившемся окне <Название пула> выбрать закладку Policies. Далее в зависимости от привязки политики сделать:

1) Если политика привязывается к пулу, то выбрать “Pool Policies” и в таблице “Local Mode Policies” проверить значение “Max time without server contact” в столбце “Applied Policy”. Значение должно быть не более 2 дней.
2) Если политика привязывается к пользователю, то выбрать “User Overrides” и проверить, что конкретному пользователю или группе пользователей установлена политика “Max time without server contact” со значением не более 2 дней.

Аутентификация

В зависимости от целей использования локального режима может запрещаться предоставление возможности подключения пользователей к виртуальным десктопам в локальном режиме с использованием механизма единого входа (Single Sign-On).

Зайти в View Administrator. Выбрать “View Configuration –> Global Settings”. В панели справа “Security” нажать кнопку “Edit…”. В появившемся окне “Security Settings” установить параметр “Disable Single Sign-On for Local Mode operations”.[7]

Для использования возможности аутентификации при помощи смарт-карт в виртуальном десктопе, находящемся в локальном режиме, необходимо разрешить перенаправление смарт-карт, используемых на локальном физическом устройстве, в локальный виртуальный десктоп.[8]

В групповой политике организационной единицы, к которой принадлежат клиентские физические устройства, в настройках компьютера в ветке VMware View Client Configuration установить Redirect smart card readers in Local Mode в значение Enabled или Not Configured.

 

Глава 2. Режим киоска

Архитектура

Виртуальные десктопы, к которым осуществляется доступ в режиме киоска, следует выделять в отдельный сетевой сегмент, доступ к которому/от которого должен регулироваться централизованным межсетевым экраном отдельно от других сетей модуля Virtual LAN.

Желательно существенно ограничить доступ пользователей из виртуальных киосков за пределы выделенного для них сетевого сегмента. Исключение может быть сделано для инфраструктурных сервисов, таких как DHCP, DNS и т.п. Рекомендуется использовать View Client в режиме киоска только в случае использования выделенных серверов View Security и View Connection.

Аутентификация

Для использования View Client в режиме киоска в Active Directory должна быть создана отдельная организационная единица[9] и отдельная пользовательская группа[9].

Для осуществления настройки режима киоска используется утилита vdmadmin. При использовании vdmadmin для создания учетных записей необходимо иметь права на заведение учетных записей в домене Active Directory и добавлении ее в группу, а также записи в соответствующую организационную единицу.

Для того чтобы было легче осуществлять управление политиками, заводимые для виртуального киоска пользователи должны в Active Directory находиться в специально выделенной организационной единице.

vdmadmin -Q -clientauth -setdefaults -ou DN [10]

А также заводимые для виртуального киоска пользователи должны в Active Directory принадлежать специально выделенной группе.

vdmadmin -Q -clientauth –setdefaults -group group_name [10]

Имена учетных записей, заводимых для виртуального киоска, должны быть явно привязаны к соответствующему физическому устройству.

vdmadmin -Q -clientauth -add –clientid custom-<идентификатор физического устройства>

Пароли учетных записей, заводимых для режима киоска, могут заводиться как в ручном режиме, так и в режиме автоматической генерации. В зависимости от целей использования виртуальных десктопов может применяться любой из методов.

Пароли учетных записей виртуальных киосков заводятся в ручном режиме следующим образом:

vdmadmin -Q -clientauth -add –clientid <client_id> –password <password> [10]

А в режиме автоматической генерации следующей командой:

vdmadmin -Q -clientauth -add –clientid <client_id> –genpassword [10]

Также необходимо проводить приведенные ниже меры по управлению паролями пользователей виртуальных киосков.

Заводимые для виртуальных киосков учетные записи должны иметь настройку истечения пароля.

vdmadmin -Q -clientauth -setdefaults –expirepassword [10]

При аутентификации пользователя View Security Server должен требовать пароль.

vdmadmin -Q -enable -s connection_server –requirepassword [10]

Настройки виртуальных десктопов

При использовании режима киоска пул виртуальных десктопов должен быть автоматизированным без привязки к пользователям с использованием View Composer.[11]

В режиме киоска при выходе из системы пользователя рекомендуется осуществлять обновление (refresh) виртуального десктопа пула или его удаление.[11]

Зайти в View Administrator. Выбрать “Inventory –> Pools”. В панели “Pools” выбрать пул и нажать кнопку “Edit…”. В появившемся окне “Edit <название пула>” выбрать вкладку “Pool Settings”. На странице “Pool Settings” в группе “Remote Settings” параметр “Delete or refresh desktop on logoff” установить в значение “Refresh Immediately” или “Delete Immediately”.[12]