• 1
实施VDI项目时的10个错误做法 2013-10-22

TechRepublic几个月前就虚拟桌面整合 (VDI)做了个调查,得到一些很有意思的结果。调查发现45%的公司使用VDI,雇员超过250人的公司中至少有50%的公司里出现过VDI,这表明VDI不单单是一个出项在超级大公司的现象。据Gartner Research资料,虚拟桌面会在2015年达到7千万个并会占市场的40%(2010年当时预测2013年会达到4千万个)。

规划使用VDI的步骤和其他大规模的IT项目一样,要收集需求,确定利益相关者,建立时间表,定出成功目标,开展研究,选择供应商,测试计划/推出使用,收集反馈意见,实际使用,然后再解决遗留下来的问题,圆满完成计划。不过,有些是VDI所具有的特殊问题,应该避免。下面将列出其中的10项。

1. 没有足够的资源规划

就像买房子一样,买的时候看到那个储藏室好大,都可以做办公室用,觉得不可能不够用的,而10年以后,那里面塞得连插一根针都困难。

VDI坏境有点像储藏室。虚拟机(和用户)会如饥似渴地吃掉CPU周期、内存、存储从和网络带宽。不能按今天或明天的需要设置资源——要为明年甚至未来的三年建一个基础设施。配置规划可参考网上的一些文章。

要在推出VDI前、期间、后监控资源的使用。非常关键的一点是要深刻洞察组件应该做什么相对于组件实际上是在做什么。例如,要确保对网络流量、子网和在子网上运行的主机/应用十分熟悉,如此,出问题时就不会靠猜测做事。

2、不利用现有资源

有些供应商可能会(眉飞色舞地)告诉你,你必须出去给你的数据中心买一堆硬件,当然也少不了为用户买一些锃光瓦亮的瘦客户端。如第一点里讲的,你绝对不应该吝啬而不准备足够的资源,但是在适当的情况下,也要利用现有的东西。不要因为新的瘦客户端硬件而报废老桌面电脑,可以稍微再等等。等它们用到该换的时候再换掉。不要假设Windows虚拟桌面一定要从电脑或瘦客户端才能连接——平板和移动设备也可以用的(处决于网络和远程访问功能),这时的BYOD程序真的很有用。

有需要测试一个虚拟环境?不要浪费产品VDI硬件的空间,可能的话就用旧的服务器。不要假设每一个用户都需要一个独立的许可证/虚拟桌面,可以看看是不是有可能让用户分享许可证/虚拟桌面(比如,兼职用户和轮班员工共享)—— 当然,也要看供应商是不是提供这种选项(下面还要讲到)。

3、不控制无序拓展

这一条对VDI和对储藏室都适用,当然虚拟无序拓展(Virtualization sprawl)是个老问题,但是这个问题在VDI世界里会特别烦人。

尽可能在虚拟镜像上标准化,这样就可以减少为每一个镜像所要做的维护和保养。如果一组人需要一些特定的程序,也许可以在用户登录后再通过Group Policy或System Center Configuration Manager把程序推给他们。这样的话所有的用户就可以用标准的“普通” Windows镜像,而不需要为一个独立的程序做一个镜像。

如果采用多种镜像,要熟悉用户要求,如果可能的话,将镜像根据用途整理成分布式桌面模式 (例如,软件开发需要大量的RAM,销售人员需要通过VPN连接并要求响应时间短,实习生不可以访问某些应用程序或使用USB驱动器等等)。做足文档记录工作,比如一些用户升级后或是离开公司时,要确保让一些用不到的虚拟桌面退役。

4、没有充分与员工/用户互动

俗话说,钱不怕多。也许有人不同意这说法。无可争议的是,怎么培训用户都不嫌多,而且推出新东西是要尽可能早地通知用户。要确保用户知道如何或是用什么方法使用虚拟桌面,是通过VPN,还是用智能手机,用什么证书,怎么存文档,存到什么地方等等。要确认用户是项目的利益相关者,可以先不理会用户具体活动,看看用户在整个推出过程中的角色。这一点是非常重要的。

要对用户讲明VDI的利弊,让他们知道以后有程序延迟、登录时间太长、视频问题等等时会通知你。在试点迁移时,也可以让用户在一个“VDI相关”的内网里记录问题,比如通过Sharepoint、 Google Sites或wiki等合作软件。

在部署VDI时不要操之过急。要分步进行,每一步完成后做一些跟进工作,向用户搜集反馈。了解他们的习惯和需求。“没有消息就是好消息”的假设是个有缺陷的假设。

5、没有清晰认识有关用户配置文件

大家都用物理桌面的时候,没人理会用户配置文件 (定义用户桌面环境那一套,可以细到壁纸)。但是现在管理和排除用户配置文件故障却是良好的VDI策略的重要元素。可以通过配置Windows环境里的文件夹重定向或漫游配置文件(或二者),确保不管用户从什么地方登录,他们的设置和访问权都是一样。

也有人对微软的漫游配置持怀疑态度,是他们的经验之谈。他们觉得小配置文件能很好地工作,但是大的配置文件往往会导致登录和登出时间长。坊间也有不少人抱怨起这个问题(要知道,许多用户同时登录到VDI环境里会用到更多资源)。除此以外,也有人说漫游配置不是那么可靠,做的修改同步备件上没有反映出来,无论是本地还是远程。当然,每一个环境(和管理员)都不一样, 主要是要对用户配置有一个清晰的理解,这些配置放在什么地方以及是如何部署的——而且确实像预期般运作。还有一点值得指出的是,可以用如Citrix Profile Manager或AppSense Environment Manager等的其它产品。

6、没有宕机时的计划

系统宕机是一个不争的事实。如果你读过VDI的文章,那一定听说过“一窝端”这词,就没必要在这再用这词了。在一个单一系统里使用中心化的虚拟桌面有点像用那种方便的密码管理程序——只要记一个密码,但是如果忘了这个密码的话就死定了。

什么东西都要留有余地。服务器,存储,网络连接,网络交换器,路由,甚至镜像。还有,要弄清楚即使有了这些余地后,VDI环境还是宕掉后你会怎么办。有没有现场维修?支持合同?备份? 在员工不能访问虚拟桌面是有没有为他们制定策略(那些什么“洗洗睡吧”的策略不算数)?设置好一个物理服务器让他们连上使用(可能壁纸不一样),也不失为一个救场的方法。

把整个虚拟桌面基础设施画出来,看看链里组件之间的连接。那些地方是问题——及答案—— 所在。

7、没有与专才人士讨论过许可证策略

要写一个详细的有关VDI许可证策略的分析是不太现实的,因为公司和公司之间的区别太大了。就套用Facebook上一句讲关系的老话吧:“有点复杂。”不管是三个家庭成员的小公司还是跨国大公司都一样。

许可证要求是一团稀泥,而且虚拟系统和物理系统还可能不一样。要找有关的厂商查清楚。有人认为: 微软的许可即使不考虑虚拟都复杂得很,一般外行人处理不了。找一篇好文章读一读可能会让你拨迷雾见青天。不过,那才是第一步。要找许可证专业人士,让他们解释给你听。要承认,这是件伤脑筋的事——实际上,有关许可证的事可能是VDI项目里最头痛的——但总得有人做。再者,一定要确保支持协议涵盖虚拟环境。

8、视VDI迁移为将物理资源搬迁到虚拟资源里

一个国家的有些习俗和另一个国家的习俗可能不太一样。比如,在俄国,站立时将手插在口袋里是很粗鲁的。“OK”手势在巴西是一个侮辱手势。不要再举例了,就这意思。虚拟桌面不是“想象出来的物理桌面”。虚拟桌面是一些软件在另外一些软件里运行,用到不同的规则,你应该对这些规则有些了解,要做好准备采用一些不同的策略和新思维。

例如,在虚拟环境里用杀毒软件的最佳做法不适用于物理环境。赛门铁克提供了一个应用这些方针的下载,是用于他们的Symantec Endpoint Protection终端上的,这些终端有特定虚拟设置。

假定有一个用户用Outlook时出现一些奇怪的问题。你要帮他纠正软件错误?呃,你自然可以那样做,但是也许那方法更适宜于物理桌面。不是可以往回走一个虚拟桌面到出问题以前那个快照(对,在物理Windows箱里可以用System Restore,不过快照的方法更快更可靠)?也许可以从基础镜像开始重新部署用户的虚拟桌面。这样用户重新登录时不是可以在新部署的用户设置里用上他们的首选设置?还有很多可能未能一一列举。

9、拿身家(或声誉)赌节约成本

如果你已经对VDI迁移里有足够的了解,你可能已经知道这事情从节省成本的角度看并不是一个粉红色的梦幻项目。Network Computing的Art Wittman今年四月时说过:“VDI贵得不能单从成本上考虑。”

实现VDI的效益可能来自几个方面,比如管理能力的提高、用户访问更方便、可预测和可控制的环境以及灾难恢复/业务连续性的考量。如果你说“因为不需要为每个用户购买这么多硬件,公司会节省n美元(或更槽糕的说法,比如节省‘无数金钱’)”,那以后别人可能会拿你说过的话来堵你的嘴巴。有可能电费是少了,但是要用更多的网络带宽,响应时间更长。新产品就是这样,要考虑“取舍”平衡。

10、假设所有的安全危机已经结束

所有的数据都在(这样或那样的)服务器机房里,锁得牢牢的,除了IT员工谁也够不着,不是吗?你可以鼠标点那么几下后,禁用一个离职员工的虚拟桌面,继而禁止他的访问权,对吧?厉害!笔记本电脑掉了时不用再担心秘密被人偷走了。轻松一下,忘记那些新闻里常听到的数据侵害之类的后顾之忧。

没那么好的事。现在的数据不在你办公室里的物理系统里(或是更糟糕的情况下在出租车里),不过这并不说你就可以轻松了。数据侵害还是可以以传统的方式发生:社会工程,网络嗅探,漏洞攻击,心怀不满的员工,觉得自己是Walter White的流氓系统管理员,等等。如果你在?客户端上读一份机密文件,别的人没法存到闪存驱动器上或是打印出来,但是他们可以用iPhone照相……一点痕迹都没有。

对DVI来说,同样的安全规则仍然有效。密码,加密,屏幕锁定,断开空闲会话等,这些是永远不会消失的风格。针对VDI的好建议包括将虚拟系统分离成子网并让他们相互之间隔开。尽可能使用双因素认证,像对待物理机器一样保持对部署安全更新的警觉。

此外,虚拟世界的安全有一些新方法可以帮助主队的管理员们。其中的一个例子是用身份感知网络。Enterprise Strategy Group的一个白皮书身份称感知网络为“一个基于策略的网络架构,可以理解并作用于用户和设备的身份和设置。”要密切关注安全动向和各种焦点问题,确保了解最新变化。

结语

上面列出的远远不是所有部署VDI时出现失误的详尽总结。还有更多的失误,有些是已经有记录的,还有些会在将来出现。不要假定将来没有失误。将来肯定还会有失误,有DVI就有失误。对于碰到的任何陷阱,要记录下来,从错误中学习,并将经验融合到当下的虚拟管理策略里去。

来源:51cto.com