Terug naar overzicht

Sinds enige tijd werkt Interconnect grotendeels op een Virtual Desktop Infrastructure. Bij de implementatie is gekozen om VMware Horizon View te gebruiken als platform. In deze blog leggen we je graag uit hoe onze VDI omgeving is ingericht. De blog is opgedeeld in een aantal onderdelen: de bouwstenen tot en met de werkplek zelf.

Onze redenen voor VDI

Voordat Interconnect overstapte op de VDI-omgeving werkte het niet-technische personeel van het bedrijf op een Terminal Server omgeving. Het technische personeel werkte op individuele werkstations met ieder een eigen configuratie en eigen set aan applicaties. Dit gaf op het gebied van beheer een aantal uitdagingen, waardoor we op zoek gingen naar mogelijkheden om onze omgeving te verbeteren.

Er was behoefte aan een schaalbaardere omgeving met individuele werkplekken voor iedere gebruiker. Daarnaast was het mogelijk maken van meerdere versies van werkplekken en locatie-onafhankelijk werken voor ook het technische personeel een groot voordeel. Een van de uitgangspunten was standaardisatie van zowel de omgeving als werkplekken, zodat beheer minder uitdagingen zou geven.

De Terminal Servers schaalden niet flexibel genoeg en boden lastig de mogelijkheid om verschillende type werkplekken aan te bieden aan de gebruikers. Bovendien wilden we graag van de losse werkplekken af.

Hardware

Als basis voor ons VDI platform gebruiken we een viertal blade servers met ieder de volgende specificaties:

Processor

Intel(R) Xeon(R) CPU E5-2697 v3 @ 2.60GHz (14 cores/28 threads)

Werkgeheugen

384 GB

Storage

2x 4 TB op onze IBM A9000 flash voor VMDKs van de werkplekken (shared storage voor alle blades)

VMWare Universal Access Gateway

Om veilige toegang van buiten mogelijk te maken, bijvoorbeeld bij de klant of in het geval van thuiswerken zijn twee VMware Universal Access Gateways ingericht. Beide UAGs zitten achter de F5 load balancers voor hoge beschikbaarheid. De Horizon View Client op bijvoorbeeld laptops maakt via een SSL-tunnel verbinding met de werkplek via de UAG.

VMware Horizon View

Connection Servers

De daadwerkelijke verbinding met de werkplek wordt geïnitieerd vanaf een van de Connection Servers. Dit geldt voor toegang vanaf het corporate netwerk en voor toegang van buiten het corporate netwerk. De Connection Servers bepalen welke werkplek iemand daadwerkelijk toegewezen krijgt en zorgen ervoor dat als de gebruiker zijn sessie verbreekt of door omstandigheden verliest, de sessie hervat kan worden. De Connection Server speelt na de initiële verbinding met de daadwerkelijke werkplek geen rol meer in de sessie zelf. Je kunt de Connection Server eigenlijk het beste zien als een Remote Desktop Services Broker en Remote Desktop Services Gateway in een.

Composer

De composer zorgt ervoor dat als een VDI-werkplek uitgerold moet worden, de daadwerkelijke acties in vCenter worden geïnitieerd. Dit gebeurt in het geval van het uitrollen van een nieuwe versie van een golden image of bij het verwijderen van een werkplek omdat deze is gecrasht. De composer zorgt ervoor dat het aantal VMs dat klaar moet staan voor gebruikers altijd gehandhaafd blijft door een nieuwe of vervangende werkplek uit te rollen.

Multi-factor authentication

Om onze bedrijfsdata beter te beveiligen maken we gebruik van Multi-factor authentication voor toegang tot het corporate netwerk. Onze UAGs zijn zo ingericht dat ze voor toegang van buitenaf een token vereisen wanneer de gebruiker in wil loggen op diens werkplek. Vanaf de UAG gaat een verzoek naar de RADIUS server van Interconnect en die zet het verzoek door naar de MFA provider. Als de gebruiker vervolgens het token invult wat op diens telefoon verschijnt kan hij zich authenticeren met zijn Windows gebruikersnaam en wachtwoord. Als extra beveiliging wordt de verbinding van buitenaf naar de werkplek na 30 minuten idle automatisch verbroken. De gebruiker moet dan het gehele authenticatie proces opnieuw doorlopen.

VDI BLOG

Desktop pools

We hebben twee soorten werkplekken (standaard en techniek) en drie versies (alfa, beta en productie). De techniek versie heeft iets andere standaardprogramma’s aan boord dan de standaardversie.

De alfa versie wordt gebruikt als eerste test van een nieuw gemaakt image. Als deze image stabiel genoeg wordt bevonden wordt het een-op-een doorgezet naar de beta pool. Zodra key-users de beta versie goedkeuren wordt in overleg het image een-op-een naar productie doorgezet. Wijzigingen worden in principe alleen doorgevoerd aan de alfaversie. Eigenlijk een soort OTAP straat, maar dan voor onze VDI-omgeving.

In het volgende deel van deze post komt het gehele proces rondom het aanmaken van de golden images aan bod.

Plaats reactie

1000 Resterende tekens