[VMware] 09-27 Horizon(VDI)

[ Horizon (VDI) ] 

ㅁ VDI

 - Virtual Desktop Infrastructure

 > 가상 데스크탑 인프라

 * COVID-19 시작 후 엄청나게 각광 받고 있는 솔루션이자 사업분야

ㅁ Horizon

- VDI의 Basic한 Infra구축이 목표! 

- TA(Technical Architector) 

 > 기술적으로 업무망 구축 해주는 Engineer!

 

ㅁ Virtualization 

 - 가상화의 개요 

 >  가상화는 물리적인 자원을 효율적 사용을 하기 위해 논리적 객체로 추상화 하는 프로세스를 뜻 함

>  대표적인 가상화 벤더의 Solution :  Hypervisor - MS:Hyper-V, VMware:vSphere,ESXi, CiTRiX, KVM(Linux)

   :  vCenter의 장점 - vSphere의 모든 제품군을 SSO로 모든 Instance에 별도의 인증없이 Access가능

 ㄴ 가상화 대상은 단순히 CPU, Memory에 그치지 않고, Storage, Network, Application 등을 포함하며, 가상화를 통해 물리 컴포넌트(Compute)의 Resource를 효율적으로 사용 할 수 있음

 ㄴ DRS, HA, vMotion in vCenter / Horizon : Server에 있는 Client가 피해를 입게 되면 다른 Server로 vMotion이 이루어지게 되며, 이는 Client들의 Resource를 사전에 DRS를 통해 미리 예측해 자원 분배를 하게 된다

 ㄴ Empower Digital WorkSpace (EUC : End User Computing)

 ㄴ VMware EUC : App, Desktop Virtualization (Horizon 제품군)

   > App, Desktop 가상화를 주력으로 하고 있다. 

 

 ㅁ EUC의 개요 

   ㄴ Horizon : Desktop 가상화 Solution 

     > 망분리사업 : 인터넷 및 업무 망분리

      : User의 업무 환경이 있는데, Internet에 data유출 하거나, 보안상의 Issue가 있을 수 있지만 VM에 접속하면 VDI로 연결 하는 환경이 외부망으로 통신이 단절되기 때문에 이러한 Issue의 우려사항은 없다 

     > 엔지니어링 VDI : vGPU 가상화 기술과 연계해 설계 및 고화질 영상업무 사용자에 적용 

     > 개방형 : 국내엔 없다! Window나 Linux를 개방형 OS로 사용 하는것? 호환성을 Vendor에서 제공하기 어려워

                      CloudPlatform 쪽에서 Drive하고 있긴 하지만 거의 없다.

   ㄴ Horizon Apps : RDSH 기반의 Application 가상화 기술

     > M/S RDSH 기반의 Application 가상화 Solution으로 Session 기반으로 가상화된 개별 App 사용 

      ex) 그림판을 사용할 떄는 사용자의 PC의 Resource를 사용하는데, 캐드나, 개발App 등 Resource 사용률이 높은

            경우 또는 기업의 보안상 Data를 원하는 곳에 저장 해야 할 때 사용하는 Solution이다

    ㄴ Horizon Cloud : VMC on AWS, VMware VMC on Azure 등의 이름으로 Cloud Service 제공 

        > Horizon : On-premise 고객사의 IDC내 물리 Server에서 구축하는 Infra를 의미

        > VM의 Horizon Solution을 이용해 Public Cloud로 접속해서 사용하는 장점 

    ㄴ Horizon 왜쓸까?

    > IDC가 필요 없다

    > 사용환경의 증대, 축소 시에도 유연함(Infra 운영의 유연성)

    > VMware Product의 기반으로 모두 접목이 가능하다(Intigration가능)

    > Performance적으로 엄청난 Merit(NSX를 통해 VPN 구현 가능, NVIDIA w.VMware vGPU로 : AI, Machine Learning 에 활용도가 높음) 

    > Service운영의 유연성, Resource 절감 등을 이룩(!?)할 수 있다~ 

 

 ㅁ VMware Horizon 특/장점

 . > vSphere에 최적화된 Solution으로 다양한 Fail Scenario 에도 정상적 System 접속 및 운영을 보장

      HA, DRS, vMotion 제공 

   > 산출물은 User의 작업 장비(Computer)에 Data저장 되는데, 예를 들어 자율주행이나, DeepLearning에서 사용되는 NVIDIA GRID2.0(vGPU)을 VM환경에서 준수한 업무 환경을 제공한다

   > PC가 고정되어 있지 않다 보니, IP가 고정되어 있지 않고 동적임 (기존 VDI) 

    : 아무나 어디든 모두 접근 가능해 DHCP의 효율적 제어나 접근 권한의 제어가 불리함 

     : Solution으로 Secure VDI Farm : 사용자 기반의 접근제어를 제공하며 불필요한 접근 권한을 관리 한다 

    > External Area

  : 원격 접속(재택이나, 다른 환경에서의 업무환경 접속이 가능해짐)

    > DMZ Area 

    > Internal Area

      : External과 연결 해주는 VPN의 막대한 비용때문에 사실상 제약이 많지만 DMZ를 거치는 VAG(가상의 App:VMware Horizon UAG)을 통해 VDI 와의 통신을 가능하게 해줌 

 

 - 구성 목표 Architecture

VDI의 중요한 Service중 하나인 AD, View, vCenter Infra

UAG(gateway)를 통해 End-User가 어디서든 업무 환경에 접속 가능 

Multi Factor 인증(MFA : Multi Factor Authentication)

View : 예를 들면 마우스를 End-User의 PC에서 움직이면, 

Blast Extreme : 사용자의 움직임에 따라서 즉각 반응 할 수 있고, 움직이는 화면을 볼때 Codec을 통해 Shader의 역할을 한다

 VMware Horizon은 내 VM화면에 Redirection기능을 제공한다(Data Protection을 위함)

  > 하지만 사용자의 편의에 따라 그에 맞는 정책을 제공함 

    : ex) 클립보드 정책은 3가지 Client > VM , VM > Client , VM <-> Client 이다

Horizon

> OS, End-Device에 제한이 없이 언제 어디서든 업무환경에 접근 할 수 있는게 제일 큰 장점임

> Performance를 십분 발휘 할 수 있도록 사용자에게 맞는 Spec에 맞게 Resource를 조절해 제공

 HTML5 이전엔 모든 VM을 Block 지정해 좀 편리한 점이 있었지만 HTML5 접목 이후로는 Web이나 App에서 제공하는 페이지에 출력되는 VM 갯수만큼만 지정이 가능해서 작업할 때 좀 불편하다 

> 인터넷 망분리 

 

 - Horizon Redirection 

  > 클립보드 Redirection : 원하는 text를 자유롭게 이동하도록 지원 

  > Flash Redirection : Flash 기반 Contents를 사용 할 때 User가 VM을 사용하는데 있어 Performance 능력 향상 효과를 기대 할 수 있다 

  > USB Redirection : 저장소 Device도 VM에 연결해서 사용할 수 있도록 지원하는 Service

    : CD(Client Device) Redirection : User의 Disk 조차도 Redirection이 가능하다!!!! 

  > Printer Redirection : VM환경에서 출력을 하면 Client의 local 환경에서도 프린터를 이용해 문서나 작업물을 출력할 수 있음 ㄷㄷㄷ 

 

  ㄴ Template - 공용으로 사용하는 환경 ex. PC방의 경우엔 내가 어떤 addon이나 app을 설치해도 재기동 될 시 모두 리셋 되는 것처럼 Stateless VM(공용VM, 휘발성VM) 이라고도 한다 

   > Instance Clone(Template)을 통해 VM을 배포하게되면 Gold Image라고 하게 되는데, 이 Gold Image에 의해 VM이 순차적으로 배포된다 

     : Log out(Session out) , Power off(reboot)등을 실행하면 Reset되는 환경 (ex. 교육장 등)에서 많이 사용된다 

     : 이 초기화 떄문에 문제가 생길 수 있으므로, 정책 설정을 통해 공용 VM을 사용자가 불편하지 않게 이용 할 수 있도록 편의성도 제공 가능하다 

               

   ㄴ VM으로서의 특/장점은 중복제거라고 할 수 있다 

  > VM들의 동일한 영역들을 하나만 남기고 나머지 VM에서는 해당 영역을 제거하면 그만큼 Storage의 효율성을 높일 수 있는데, 이를 중복제거라고 한다 

   : 작업 산출물, 사용자 별도의 Program, 개별 설정값 정도만 Stroage에 저장하는 개념

     * 1:8 정도의 효율성, 원래는 8개의 Component가 필요 했다면 중복제거 기능은 1개의 Component만 있어도 가능하다

     * 중복제거의 장점이 있으면 단점도 있는데, 일관성의 문제.. 얼마든지 설정값이 바뀌거나 할 수 있고 운영시간이 오래 될 수록 1:8의 효율성이 점점 줄어 1:4.6까지도 떨어지기도 하며 이는 일관성이 퇴색/퇴행 하는... Issue가 있을 수 있지만 이 또한 Solution이 존재한다

 

ㅁ  VM Horizon 특/장점 2 - TCO

 

배포되는 VM에 대한 정책 설정 Sysprep - Window뿐만 아니라 다른 OS 들도 마찬가지고 SID라는것이 생성되는데 미리 생성해둔 VM을 배포하게되면 모두 동일안 SID로 VM이 생성됨 > 이정도는 그냥 아 같은 SID로 배포된거구나 하는 정도의 Issue여서 중대 사항은 아님 

하.지.만. S/W를 License 단위로 구매하는 App이 있다고 가정하면, License 연동 시 사용 수량을 Monitoring하는 기능이 있고 Sysprep을 통해 Filtering을 하지 않으면 동일 SID로 생성되어 500개의 VM이 배포되어도 1개의 VM으로 인식되기 때문에 Window나 VM사용자 지정 규격을 통해 Sysprep을 돌려서 다른 SID로 생성되게끔 설정 해야 한다 

 

 ㅁ Sysprep 설정 및 VM적용까지~ (AD로 쓸 Win2019 VM에 적용)

 ㄴ Sysprep 설정 in vCenter VM 사용자 지정 규격

 

 ㄴ NetBIOS가 되도록 가상 시스템 이름 사용을 체크하고 생성한다 

 

  ㄴ Sysprep 용 규격 생성이기 때문에 해당 란은 별도의 추가 없이 Skip

 

 ㄴ Network 설정 

 

 

 

 ㄴ 생성 규격으로 VM 배포 (Win2019)

 

 

ㄴ App Volumes

  > Integration에 의해 실시간으로 Provisioning, Update, Newest App 지원 가능 

  > RDSH에 의존하지 않더라도 App 가상화를 App volumes를 통해 가능해짐 

   : 하.지.만 사용자가 하나의 VM license가 소모 되지만, VM에 App 하나를 붙이면 App 수당 Horizon License가 한 개 씩 소모되므로 이는 App volume과, Horizon License 기회비용을 고려해서 사용한다  

   * Horizon =/ DaaS, Horizon을 이용해 DaaS를 이용하는 것이지 DaaS 그 자체는 아님

 

접속 장소 / 다른 정책 

	사내	원격
보안 정책 강도	10점짜리 Profile	15~20점 Profile

 

ㅁ CI / HCI 의 차이점 각 장단점 ㄴ HCI 는 서버에 있는 local disk로 Raid 구성 후 Storage로 사용하며 Storage가 없기 때문에 SAN switch도 존재하지 않는다  ㄴ CI권장 VDI 환경 : 대규모 환경, 사업계획(유저수)이 명확한 경우  ㄴ CI 장점 : HCI에 비해 안정적인 운영환경과 기존과 동일한 운영방식 x86서버 리소스의 100%활용 (CPU, Mem 등)

 

ㅁ VDI왜 쓰는 것인가 

> 망분리 : 보안규제를 준수하기 위한 망 분리를 목적으로 도입하는 경우 

> 원격/재택근무 : 

> 개발 고성능 PO : 외주 기업/내부 재택 인원들의 Data 유출을 막을 수 있고 동시 접속자 수의 제한이 있었는데 이마저도 Unlimit! 

> 유지보수 

 

ㅁ VM Horizon 활용 사례 

---

ㅁ Horizon 구성 

[ Topology ] 

1. AD(Active Directory) 구성은 필 수 이다!

 > AD경우 DNS구성이 되지 않으면 구성이 아예 안되기 때문에 AD Service 설치시 자동으로 같이 설치됨 

 > 3가지 유형으로 Architecture 설계를 할 수 있다 

  * AD Fade out 중임 > M/S AD의 의존성을 줄여보자! 그렇다면 대체재는 무엇인가? IDP Service : Octa? 

    Trust SSO도 제공하고 Device(OS)의 Life Cycle 도 관리를 해주는 Service

  * Azure 기반의 AD를 많이 사용하는 추세여서 M/S의 AD에서 이관을 하고자 한다면 Azure AD로 이관을 

   하는 경향이지 않을까.. 

   > 실습 환경에서는 Unique한 Domain Name을 사용하도록 해본다 (이니셜.local)

---

 잠깐.. 여기서 깨알 같은 중요정보!

 * Control Up > VM의 성능을 분석 및 Managing하는 Solution : VMware 자사의 Solution은 아니고, 타사 제품이고 이 회사를 인수해버림. Agent VM에서 WMI가 agent VM에 대한 정책, 배포, 시스템을 관리함.... 뭔지 모르겠어요.. 사실 ^-^

 *  Public Cloud에 Management가 있다는 것은 항상 최신 Service의 현상 유지를 해준다는 것 

 > on-premise 방식으로 monitor server, insight server, managing console 를 배포함으로써 Enterprise 내부 Network에 유치함 : 국내 빡빡한 보안환경에 Disabled... 

 * vRealize > Automation, loginsight, lifecycle VM의 UPdate등을 자동으로 관리 해주는 Solution 

   : 대규모의 운영 환경에서 (ex. 10000명) 예를들어 유저당 ESXi Server가 250~300ea 라고 가정하면 언제 이걸 일일히 설치하고 업데이트하고 다합니까! 이 모든걸 자동화 해주는 효자같은 Solution이고 DRS등도 자동구성되어 매우 편리한 Solution이지만 주력은 아니라고합니다..

" NSX-T + vRealize + K8S 모두 다 쓸 줄 알아야 하는 Engineer가 되어야 합니다"가 결론.... !

---

 

 ㄴ 다시 AD Service 구성으로 돌아와서 사용자 그룹 및 사용자를 생성 해준다 

 

 ㄴ 그다음은 AD를 구성하면 DNS는 자동으로 되기 때문에 역방향 

 

2. CS Server 구성 

 - CS Server의 개요 

  VMware Horizon View(Connection Server : CS) 일맥 상통하는 용어

  ㄴ WinServer에 올라가게 되고, AD를 참조 해야한다 

 

  * 깨알 정보

 VMTools (Linux only) - OpenSource :

별도의 CD Mount없이 외부망 통신이 되면 Package 설치를 할 수 있다. 내부망의 경우 이미 외부망에서 가져와 내부망에서 설치를 한다거나 ~

   >  IP 10.10.10.15/24 g/w : 10.10.10.1 DNS 10.10.10.14 (AD) 

    : Network 설정 

   > 기존 생성한 AD에 CS Server를 Join한다 

 

 > 다시 vCenter에서 CS Server VM에 Horizon Connection server ISO를 마운트 해준 후 설치 진행 

 

 > 설치 과정이 끝난 후 vCenter에 접속하기 위해 host file을 만들어 준 것 처럼 Horizon도 작업과정이 필요하다

 해당 내용은 28일자 포스팅에 계속!