Citrix与VMware、微软在VDI上的交锋
BYOD增加了托管VDI实现的复杂性
我们比较了托管虚拟桌面基础架构(VDI)产品来自微软,思杰,VMware的,Oracle和Ericom公司来到很多结论,但最重要的一条就是:在BYOD的世界建立托管的桌面会话是一项复杂的工作。
当用户抓取设备并想要访问会话时,第一步是下载设备的应用程序,可能有,也可能没有其他配置步骤。谢天谢地,我们测试的大多数客户端应用程序只需要一个IP或DNS地址名——其中一个(Oracle)可以通过预先在客户端中植入的地址进行自动搜索。
如果和在可能情况下,我们强烈建议强制连接到网络之前的VPN连接,但是这并不总是可行或不可行。一旦用户发起会话,连接代理将用户的请求,并验证步骤之后,券商选择一个临时或永久性会话。
这是事情变得更糟的地方。会话是作为网络上的虚拟机运行的活动实例,因此,会话必须唤醒并成为该网络上的完全正常运行的成员,以便访问其资源并将会话的某些特性传递给用户的远程设备。无论他们在什么设备上或在哪里,用户都想要一个他们可能在办公室桌面上看到的漂亮的模拟。
用户还必须通过本地用户数据库、LDAP或Microsoft的活动目录进行身份验证。必须定义打印资源。根据用户或组属性,管理员必须确定以下概念中的信息共享:是否允许用户将数据存储到主机会话之外?用户是否可以在虚拟化和远程连接的会话上启动web会话?是只有一个或几个应用程序可以使用,还是整个会话都是开放的?用户是否拥有会话以供下次重用,从而烧掉许可证?
事实上,由于微软提供了许多许可计划,以及VDI会话可能会耗尽可用的许可证,许可问题以及微软如何对待Windows许可证,都让VDI制造商感到相当悲痛。需要仔细考虑,因为在某些情况下,100个非持久会话可能会快速而永久地减少整个100个许可证池,直到找到并解决问题。
然后是会话自定义,这样用户就可以使用正确的会话自定义进行登录。会话必须运行良好,可能在一些恶劣的情况下,例如在远程位置订阅过多的Wi-Fi接入点。
不可控制的事件可能会发生,例如登录风暴,这时许多人必须使用VDI突然召开联机会议,或其他事件风暴,这些事件风暴可以任务构建临时会话。这是很多工作。我们知道是因为我们做到了。还有一些我们必须修饰的项目,比如多监视器功能(Horizon View有它)、限制视频特性(大多数人共享)、超级多媒体(设备差异太多)、严格遵守策略(Active Directory或session managed)。
[观看幻灯片版本关于这个故事。】
- 我们的明智选择测试的赢家是思杰在VDI-in-a-Box的的易于集成的,两者的灵活托管操作系统和各种客户端,它的最终用户体验。
- VMware的重新做了地平线视图5.2也很能干,可以大大扩展,但它在担任两个主机(Windows)和客户端的更多的限制。
--Oracle VDI是Sun和Solaris(或Linux)的结合体,对于较小的组织来说,它的使用可能更为有限,但它做了一些令人惊讶的事情:它可以托管非Windows映像。***编者按:甲骨文本周宣布,已经结束了针对甲骨文虚拟桌面基础设施的新功能开发,但客户支持将继续不间断地进行,客户可以继续购买新的许可证。甲骨文表示,将继续投资甲骨文安全全球桌面和甲骨文虚拟机虚拟机软件***
--Windows 2012服务器很好,但需要购买Microsoft的Windows System Center配置管理器,并且客户端灵活性较低。
--我们还测试了Ericom的PowerConnect作为一个连接代理和传输系统——它非常棒。以下是个人评论:
思杰在VDI-in-a-Box的5.2
在VDI-in-a-Box的是下载的,则授权的应用程序,其功能如同一个VDI控制器。它坐落在数据中心的虚拟机应用,无2020欧洲杯预赛论是和VMware的5.0更新之间1+欢快地扔会议上,微软的Hyper-V 2008 R2,或Citrix XenCenter的6.1 hypervisor和用户设备 - 其中一个惊人的数字。
您可以虚拟化Windows XP SP3+的主机会话,但不能虚拟化非Windows主机操作系统的主机会话。Citrix使用HDX协议,这是对微软RDP协议的增强。
最后一个障碍是:您需要有一个Microsoft批量许可协议,以便Windows虚拟授权桌面可用。您可以尝试使用试用版或Microsoft Developer Network使用Windows许可证进行实验和概念验证,但生产系统需要Windows批量协议。必须存在至少包含25个用户的批量许可证密钥或KMS(许可证池服务)。DHCP服务器和数据存储也是必需的,并且必须考虑和选择托管vm的命名约定。
每个支持的管理程序都有不同的下载。我们尝试了这三种方法,它们的工作方式基本相同:解压和部署。最初会建立一个网格名称,即使它可能只是一个VDI-in-A-Box服务器。您可以使用内部VDI-in-a-Box-specific用户数据库或连接到活动目录。如果这是一个迭代安装,则通过将后续设备安装登录到初始主机来形成VDI-in-a-Box主机的实际网格。
在那里,Citrix glue应用程序安装在要托管的VM实例中。必须为所选的环境正确构建实例,这一部分至关重要。如果您通过让用户登录来克隆一个坏的原型,那么您将有多个有问题的vm坏实例——所有这些都似乎是在记录时间内完成的。因此,对于每个可克隆的托管实例,我们强烈建议在原型“草稿”实例中花费大量时间。当坏情况发生变化时,它们会造成外部服务台问题,并在压力下大量拆卸和翻新。
思杰滞后仅次于VMware本身的实例形象的考虑了一下 - 虽然两家公司有没有为这次审查测试的额外/可选产品。一旦一个获取图像正确安装,还有如何授权这些图像的考虑(如果微软的Windows),允许持久性和非持久使用正确的许可递减和池分化 - 这有不同的许可限制。让微软或Citrix解释给你,如果你不确定。
思杰还允许在VDI-in-a-Box的进行配置,以防止在事件的峰值资源排水,像早晨启动时,或者大家-IN-A-远程会议时间。我们无法召集足够的资源来真正的测试,我们的产品相比,可以承受在磁盘和内存的使用风暴的考验。针对Citrix运行Citrix VDI思杰推荐的服务器基础设施的描述比VMware的那么详细,如VMware的建设建议是相当精确的。我们认为,一些本可能来自一个事实,即思杰与和在几个不同的虚拟机管理程序的家庭连接代理运行,这是灵活的,在VMware的地平线View是一个更可控的环境。
我们拼凑了样本图像。这是一个相对简单的过程后,考虑到环境的图像将居住和使用。VDI-in-a-Box将它们顺利地交付到本地和远程桌面。“草案”图像允许我们选择微软的RDP协议或Citrix HDX。HDX是我们的首选,但是对于Windows 2012服务器登录来说,通过必须驻留在主机内的代理(对于服务器VDI)是不可用的。最终,在快速链接上,HDX被认为与VMware使用的PCoIP协议一样好——尽管在较慢的链接或具有不可预测的延迟的链接上,我们更喜欢PCoIP,但我们无法找到PCoIP明显更好的确切临界点。
我们还可以选择托管的虚拟机是否有使用网络/本地到该虚拟机或设备的磁盘驱动器,打印机,智能卡或其他USB设备。我们还可以限制色彩深度,它可以在低速或性能高延迟连接方面产生巨大影响。
VDI的最终用户端允许Windows 7和我们的测试产品Office 2010的清晰图像。我们能够为iOS、Android、Mac/Linux/Windows甚至我们的Blackberry/RIM Playbook2获得Citrix接收器。Citrix接收器似乎无处不在。我们通过宽带从实验室测试到网络运营中心的连接很容易实现,并且具有统一的高质量。其中一个设备Playbook 2运行缓慢,但我们怀疑这可能是playbook2缺乏动力的原因,因为其他设备运行良好。
由于Citrix VDI-in-a-Box可以在多个hypervisor系列平台上工作,并且可以使用自己的用户数据库或Active Directory,因此安全问题基本不在产品的范围内,必须在安装之前“关闭”。由于大多数组织已经(希望)使用了最佳实践,误用的机会有些有限。这与使用并显著增强基于证书的安全性的VMware的Horizon视图模型形成了鲜明对比,我们认为Active Directory基础架构的安全性方案更强。
VMware地平线视图5.2
Horizon视图具有很强的可扩展性,适合于VMware的产品模型,并且包含一个特定于Active Directory的连接和安全模型。基本安装有许多可选组件,虽然我们测试的精简版非常有用且灵活,但其他组件是秘密的调味品--而且应该包括在内--即使这提高了地平线视图产品的基本价格,我们也感觉到。秘方View Composer是可选的,它允许非常强大的定制潜力,但是在我们的橙子到橙子的基础产品比较中,我们将其排除在我们的测试方程之外。Horizon View是可扩展的,提供了漂亮的VDI客户端体验,安装时需要强大的VMware和活动目录专业知识。
随着一些事后驱动的注意事项,地平线视图是大大扩张,但它仅支持VDI桌面的Windows,就像思杰在VDI-in-a-Box的。
基础层查看包允许各种各样的客户端访问hypervised Windows虚拟机和VMware也可选择允许“ThinApp的”被访问,虽然这并没有进行测试。对用户来说,经验是灵活的,初始连接是很容易理解。在后端,他们正在验证和Active Directory,如果存在的话,需要的成员。地平线景观粘合以及微软的Active Directory和使用剧烈的安全方法。
我们需要ESXi的主机和vSphere 5.1(不支持vSphere的旧版本)服务器设备。Horizon View连接服务器是Windows 2008R2标准虚拟机/VM,Windows 2008R2标准的另一个实例是安全服务器。或者,我们可以向连接服务器添加额外的成本模板生成器Horizon View Composer,但是对于流量更大的安装,不建议将它们放在同一个服务器实例上。
地平线视图服务器都不能是活动目录域控制器,并且连接服务器上安装了活动目录轻型LDAP服务。记分卡到目前为止:基本主机加上两台服务器(或更多),以及基本映像/模板,它们将用于生成用于桌面池的其他映像。
运行可选的视图生成器需要自己兼容的Microsoft或Oracle数据库。一种方法是创建以各种方式自定义的Windows VDI主机变体的模板。但它不是基本装备的一部分,所以我们就到此为止。
而VMware允许使用自签名地平线查看证书,我们发现这是困难可能充满并促成了我们的产品脆感。一个死/缺少证书可能很难再承认。
我们强烈建议使用Microsoft的证书颁发机构服务,或者更好的是,使用一个实际的根证书从可信源生成SSL证书地平线视图所需的证书。我们能够使自签名证书起作用,但这涉及到痛苦和痛苦。
一旦证书问题进行了整理,地平线查看了我们测试的VDI产品的最佳整体安全性,虽然有很多很多的服务器端口开放的东西互相通信。客户端连接到地平线视图,并通过SSL关系和Active Directory安全性的约束。其中的VMware / Teradici公司的PCoIP协议的客户端支持,没有延迟问题,在客户端的用户体验是非常,非常好。
与Oracle VDI一样,Horizon View可以在台式机之间缓存内存和存储,并且可以进行优化以帮助在访问风暴中生存。我们没有足够的资源来描述登录访问的占空比,这在部署时非常有用,但是我们有一种强烈的感觉,即优化存储提供了很多细节。