實戰架設VDI虛擬桌面 建置Horizon View環境

VMware的VDI桌面虛擬化解決方案,從早期2008年發行的VMware View Manager 3,至目前最新的版本,也就是2014年6月所發佈的VMware Horizon 6.0 with View,已經逐漸演變為成熟的解決方案,並將相關特色功能再進行增強。本文將示範如何利用最新的版本來建置Horizon View環境。

如圖9所示,可利用Composer伺服器角色所提供的「連結複製(Linked Virtual Machine Clones)」機制,它會為每個VM虛擬主機建立「唯一指標(Unique Pointers)」,因此每台VM虛擬主機所佔用的空間就只有「差異」的部分而已,與Master Image佔用空間相較之下,通常可以減少50%?70%的空間大小。


▲圖9 連結複製運作機制示意圖。(圖片來源:VMware White Paper – Storage Considerations for VMware Horizon View 5.2)

連結複製的運作機制如圖10所示,管理人員先將屆時的VDI虛擬桌面範本映像檔(Base Image)安裝設定好,接著為該台VM虛擬主機建立「快照(Snapshot)」,透過該份快照產生出複本虛擬主機(Replica VM),之後再利用連結複製的運作機制,大量產生出多台VDI虛擬桌面,而Persistent/Disposable磁碟的部分,則視使用者需求再決定是否導入。


▲圖10 VDI虛擬桌面範本運作機制示意圖。(圖片來源:VMware Education – Horizon (with View) Fundamentals v6.0)

新增vCenter和Composer角色

將VDI虛擬桌面架構中相關的伺服器角色安裝及設定完成後,便可以登入Horizon View Administrator管理介面(安裝好Connection伺服器角色後便具備)內新增vCenter和Composer伺服器資訊,以利後續VDI虛擬桌面的佈建作業。

登入管理介面後,依序點選「View 組態 > 伺服器 > vCenter Server > 新增」,在彈出的新增vCenter Server視窗內填入vCenter伺服器管理者資訊,如圖11所示。


▲圖11 填入vCenter伺服器管理者資訊。

通過vCenter伺服器的驗證程序後,接著填入Composer伺服器的管理資訊,此實作環境中,因為Composer伺服器並未與vCenter伺服器安裝在同一台主機中,所以選擇「獨立式View Composer Server」選項,如圖12所示。最後,勾選是否啟用相關特色功能,如「回收虛擬機器磁碟空間」或「啟用View儲存加速器」,如圖13所示。


▲圖12 填入Composer伺服器管理者資訊。


▲圖13 勾選是否啟用相關特色功能。

事實上,從VMware vSphere 5.0版本開始,便支援ESXi Host Caching機制(Content-Based Read Cache,CBRC)」,也就是VMware vSphere內建的「讀取快取」機制,並且在Horizon 6.0版本中(從舊版VMware View 5.1版本便開始支援此功能)可將底層的ESXi Host Caching CBRC機制整合進來,也就是View儲存加速器(View Storage Accelerator)特色功能。

安裝Security伺服器角色

如果企業或組織所建立的VDI虛擬桌面,僅供內部(Internal)進行連接存取作業,其實不必安裝Security伺服器。

但是,如果有從網際網路(Internet)存取VDI虛擬桌面的需求,則必須建置Security伺服器角色。因為,Security伺服器會直接接觸到從網際網路來的VDI連線需求,所以會置放於非軍事區DMZ(Demilitarized Zone),此台主機不會加入Windows AD網域中,同時視連線需求在第一道防火牆中開啟相關連接埠號,如圖14所示。


▲圖14 Security伺服器運作機制示意圖。(圖片來源:VMware Education – Horizon (with View) Fundamentals v6.0)

舉例來說,開啟Port 443以允許HTTPs流量通過,也就是允許Horizon View Client和HTTPs Security Gateway流量,或開啟Port 4172以允許PCoIP流量通過。詳細的相關防火牆連接埠號,可參考VMware KB 1026766、2061913、1027217及相關文件。

在防火牆連接埠號中,最常被管理人員遺忘的是Port 4172的通訊協定,因為必須要同時開啟TCP與UDP通訊協定,PCoIP網路流量才能正確運作,但管理人員卻經常忘記開啟「UDP」通訊協定。

此時,就會造成使用者能順利通過Windows AD的驗證及授權程序,也可以登入並連接VDI虛擬桌面,但卻因為PCoIP是透過UDP協定傳送VDI畫面,在防火牆未開啟的情況下將會造成畫面無法顯示,使用者便會看到「黑畫面(Black Screen)」然後斷線。

設定Event資料庫

操作至為止可能已經發現,在Horizon View Administrator管理介面中點選監視區塊內的「事件」項目,並無法看到任何事件記錄於其中,原因是必須先指定事件資料庫(Event DB)。目前,Horizon的事件資料庫支援的類型有Microsoft SQL Server及Oracle。

先登入管理介面後,然後依序點選「View 組態 > 事件組態 > 事件資料庫 > 編輯」,此時會彈出編輯事件資料庫視窗,填入資料庫伺服器主機名稱或IP位址、連接埠、資料庫名稱等等資訊,如圖15所示。設定好事件資料庫後再次點選「事件」項目,便可以看到相關事件,以幫助進行故障排除任務。


▲圖15 設定事件資料庫。

設定Persona漫遊使用者設定檔

熟悉Windows AD網域環境的管理者一定覺得很納悶,因為在Windows網域環境中已經有預設的「漫遊使用者設定檔(Roaming User Profile)」機制,為何還需要採用Horizon當中的Persona機制?

事實上,在Horizon所建構的VDI虛擬桌面環境中,管理人員仍然可以使用Windows原有的漫遊使用者設定檔機制,也可採用Persona機制,如圖16所示。那麼這兩種漫遊使用者設定檔機制之間到底有哪些不同的地方?


▲圖16 View Persona Management運作機制示意圖。(圖片來源:VMware技術白皮書 – Reviewer Guide for View in Horizon 6)

舉例來說,採用Windows內建的漫遊使用者設定檔機制時,使用者登入進行相關操作行為之後必須執行「登出」動作,才會一口氣地將相關變更寫回所指定的存放路徑中(網路流量大且密集),而Persona機制則可以設定每隔一段時間(如10分鐘)「自動」將相關變更寫回存放路徑中(網路流量小且分散)。

在預設的情況之下,群組原則設定中並不會有View Persona等相關設定項目。解開由官網上下載的View GPO Bundle壓縮檔,就會看到許多GPO的範本檔案,如圖17所示,接著便可以執行匯入的動作。


▲圖17 View GPO範本檔。

開啟群組原則管理,接著編輯準備要匯入View GPO範本檔的OU容器(此實作為Horizon-VDI),然後依序點選「電腦設定 > 原則 > 系統管理範本 > 新增/移除範本 > 新增」,並選擇剛才解壓縮的View GPO範本檔。

匯入完成後,便會出現「傳統系統管理範本(ADM)」項目,其中Persona的群組原則設定路徑在「VMware View Agent Configuration > Persona Management」。如果要採用的是Persona的漫遊使用者設定檔機制,請設定「Persona repository location」群組原則項目;如果想要設定每隔一段時間(預設為10分鐘)便自動將相關變更寫回漫遊使用者設定檔存放路徑中,則設定「Manage user persona」群組原則項目,如圖18所示。


▲圖18 匯入View GPO範本檔。

連線至VDI虛擬桌面

連線至VDI虛擬桌面部分,將分成「以Horizon View Client連線」及「以HTML5瀏覽器連線」兩方面來加以說明。

以Horizon View Client連線

順利將前置作業全部完成之後,如果是在區域網路內部直接連接,那麼在開啟Horizon View Client後直接輸入Connection伺服器的FQDN或IP位址即可。若是從外部網際網路進行連線的話,則輸入Security伺服器的FQDN或IP位址,待確認無誤後按下〔連線〕按鈕,如圖19所示。


▲圖19 由網際網路連線至內部VDI虛擬桌面。

成功連接後,首先會彈出視窗顯示憑證訊息詢問是否繼續,原因是預設會採用Self-Signed Certificate方式自行簽署SSL憑證,如果環境中有CA憑證的話,也可以進行導入。

順利通過連線驗證程序後,接著是使用者帳戶驗證程序,請輸入在Windows AD網域中允許連接VDI虛擬桌面的使用者帳號及密碼,此實作填入使用者帳號Weithenn及密碼,輸入完畢後按下〔登入〕按鈕,如圖20所示。


▲圖20 鍵入有權限可連接VDI虛擬桌面的使用者帳號和密碼。

順利登入VDI虛擬桌面之後可進行怎樣的操作行為,完全取決於所登入的使用者帳號擁有哪些權限,如圖21所示。舉例來說,如果所登入的帳號僅具備一般使用者的「Users」權限,那麼在嘗試調整防火牆設定時,便會彈出使用者帳戶控制(User Account Control,UAC)的驗證視窗。當然,若擁有本機Administrator權限的話,便不會發生任何問題。


▲圖21 登入後可執行何種操作,取決於登入的使用者帳號所擁有的權限。

以HTML5瀏覽器連線

當使用者人在外面出差,因為筆記型電腦作業系統當機,或者其他原因而無法透過Horizon View Client連線回公司的VDI虛擬桌面時,有沒有其他更簡單的方式可以進行連接?沒問題,只要透過如下所示支援HTML5技術的瀏覽器即可:

·Chrome 28(或更新的版本)
·Internet Explorer 9(或更新的版本)
·Safari 6(或更新的版本)
·Firefox 21(或更新的版本)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!