Sinds enige tijd werkt Interconnect grotendeels op een Virtual Desktop Infrastructure (VDI). Bij de implementatie is gekozen om VMware Horizon View te gebruiken als platform. In deze blog leggen wij je graag uit hoe onze VDI omgeving is ingericht. De blog is opgedeeld in een aantal onderdelen: de bouwstenen tot en met de werkplek zelf.
Onze redenen voor VDI
Voordat Interconnect overstapte op een VDI-omgeving werkte het niet-technische personeel van het bedrijf op een Terminal Server omgeving. Het technische personeel werkte op individuele werkstations met ieder een eigen configuratie en eigen set aan applicaties. Dit gaf op het gebied van beheer een aantal uitdagingen, waardoor we op zoek gingen naar mogelijkheden om onze omgeving te verbeteren.
Er was behoefte aan een schaalbaardere omgeving met individuele werkplekken voor iedere gebruiker. Daarnaast was het mogelijk maken van meerdere versies van werkplekken en locatie-onafhankelijk werken (ook voor het technische personeel) een groot voordeel. Een van de uitgangspunten was standaardisatie van zowel de omgeving als werkplekken, zodat beheer minder uitdagingen zou geven.
De Terminal Servers schaalden niet flexibel genoeg. En het was lastig om de mogelijkheid voor verschillende type werkplekken voor de verschillende gebruikers aan te bieden. Bovendien wilden we graag van de losse werkplekken af.
Hardware
Als basis voor ons VDI platform gebruiken we een viertal blade servers met ieder de volgende specificaties:
|
Processor |
Intel(R) Xeon(R) CPU E5-2697 v3 @ 2.60GHz (14 cores/28 threads) |
|
Werkgeheugen |
384 GB |
|
Storage |
2x 4 TB op onze IBM A9000 flash voor VMDKs van de werkplekken (shared storage voor alle blades) |
VMware Universal Access Gateway
Om veilige toegang van buiten mogelijk te maken, bijvoorbeeld bij de klant of in het geval van thuiswerken, zijn twee VMware Universal Access Gateways ingericht. Beide UAGs zitten achter de F5 load balancers voor hoge beschikbaarheid. De Horizon View Client, bijvoorbeeld op laptops, maakt via een SSL-tunnel verbinding met de werkplek via de UAG.
VMware Horizon View
Connection Servers
De daadwerkelijke verbinding met de werkplek wordt geïnitieerd vanaf een van de Connection Servers. Dit geldt voor toegang vanaf het corporate netwerk en voor toegang van buiten het corporate netwerk. De Connection Servers bepalen welke werkplek iemand daadwerkelijk toegewezen krijgt en zorgen ervoor dat als de gebruiker zijn sessie verbreekt of door omstandigheden verliest, de sessie hervat kan worden. De Connection Server speelt na de initiële verbinding met de daadwerkelijke werkplek geen rol meer in de sessie zelf. Je kunt de Connection Server eigenlijk het beste zien als een combinatie van Remote Desktop Services Broker en Remote Desktop Services Gateway.
Composer
De composer zorgt ervoor dat als een VDI-werkplek uitgerold moet worden, de daadwerkelijke acties in vCenter worden geïnitieerd. Dit gebeurt in het geval van het uitrollen van een nieuwe versie van een golden image of bij het verwijderen van een werkplek omdat deze is gecrasht. De composer zorgt ervoor dat het aantal VMs dat klaar moet staan voor gebruikers altijd gehandhaafd blijft door een nieuwe of vervangende werkplek uit te rollen.
Multi-factor authentication
Om onze bedrijfsdata beter te beveiligen, maken we gebruik van Multi-factor authentication voor toegang tot het corporate netwerk. Onze UAGs zijn zo ingericht dat ze voor toegang van buitenaf een token vereisen wanneer de gebruiker wil inloggen op zijn werkplek. Vanaf de UAG gaat een verzoek naar de RADIUS server van Interconnect en die zet het verzoek door naar de MFA provider. Als de gebruiker vervolgens het token invult wat op zijn smartphone verschijnt, kan hij zich authenticeren met zijn Windows gebruikersnaam en wachtwoord. Als extra beveiliging wordt de verbinding van buitenaf naar de werkplek na 30 minuten idle automatisch verbroken. De gebruiker moet dan het gehele authenticatie proces opnieuw doorlopen.
Desktop pools
We hebben twee soorten werkplekken (standaard en techniek) en drie versies (alfa, beta en productie). De techniekversie heeft iets andere standaardprogramma’s dan de standaardversie.
De alfa versie wordt gebruikt als eerste test van een nieuw gemaakt image. Als deze image stabiel genoeg wordt bevonden, wordt het een-op-een doorgezet naar de beta pool. Zodra key-users de beta versie goedkeuren, wordt in overleg het image een-op-een naar productie doorgezet. Wijzigingen worden in principe alleen doorgevoerd aan de alfa versie. Eigenlijk een soort OTAP straat, maar dan voor onze VDI-omgeving.
In het volgende deel van deze post komt het gehele proces rondom het aanmaken van de golden images aan bod. U kunt natuurlijk contact met ons opnemen hiervoor via info@interconnect.nl.
Plaats reactie