Nieuwsgierig naar de laatste aankondigingen vanuit VMware?

Woensdag 10 februari 2016 kondigde VMware in Europa via een online event de nieuwste ontwikkelingen aan op het gebied van End User Computing (EUC). Deze aankondiging was al weken het onderwerp van gesprek op sociale media. De verwachtingen zijn meer dan waar gemaakt: de nieuwe VMware Horizon omvat veel verbeteringen en verandert de manier van werken.

Laten we bij het begin beginnen; dit is er in hoofdlijnen aangekondigd:

• VMware instant clones
• VMware Blast Extreme
• VMware UEM 9
• Certificate based authentication
• DMZ based authentication met Access Points
• AMD multiuser support voor vDGA
• Intel vDGA support
• URL content redirection
• Flash redirection (tech preview)
• App volumes 3.0

Als we alleen al naar de eerste vijf punten kijken, dan wordt direct duidelijk dat dit een grote aankondiging is. Ik neem u hieronder mee in wat deze ontwikkelingen voor u kunnen betekenen.

VMware instant clones
Een aantal jaren terug kondigde VMware het project Fargo aan, dit was tijdens VMworld 2014. U kunt dit hier nalezen. Project Fargo is nu verder ontwikkeld tot instant clones. De functionaliteit was reeds in VMware vSphere 6 aanwezig, maar nog niet voor de VDI-omgeving beschikbaar. Het concept betreft Forking, in-memory cloning van een virtuele machine waarbij het geheugen en de harde schijf van de virtuele machine gebruikt worden voor een nieuwe virtuele machine. Klinkt ingewikkeld, maar het komt er op neer dat er heel snel, in luttele seconden, een kopie gemaakt kan worden van een virtuele machine.

Waarom is dit belangrijk? Uw VDI-omgeving bestaat uit een x aantal desktops. Om er voor te zorgen dat er in de ochtend voldoende aanwezig zijn worden er op voorhand 100, 200 klaargezet. Medewerkers die komen werken maken gebruik van deze desktops, zijn er te weinig dan worden er meer uitgerold. Dit uitrollen kost tijd. Daarnaast komen er overdag virusscanner updates uit, maar die kunt u niet toepassen op de desktops omdat de desktoppool hiervoor moet worden aangepast (virusscanner updates is maar 1 voorbeeld).

Met instant clones is er geen desktoppool uitgerold en is er slechts een enkele virtuele machine die als basis zal dienen, het golden image. Zodra een medewerker een desktop aanvraagt wordt deze op basis van deze virtuele machine, het golden image, gebouwd. Medewerker twee komt binnen, exact hetzelfde vindt plaats. U installeert een virusscanner update en alle medewerkers die hierna een desktop aanvragen krijgen deze op basis van de virtuele machine + virusscanner update. De desktoppool is dus flexibel geworden en elke desktop wordt opgebouwd met het image dat er op dat moment is.

Bij het afmelden van een desktop wordt de desktop niet meer gerefresht maar vernietigd. De volgende aanvraag maakt wederom gebruik van dat ene golden image dat u constant kunt bijwerken. VDI desktopbeheer wordt hiermee eenvoudig en uw gebruikers zijn altijd voorzien van de laatste software en updates.

VMware Blast Extreme
Blast ExtremeVMware gebruikt voor de ontsluiting naar VDI-desktops en -applicaties protocollen, die de mogelijkheid bieden om of RDP of PCoIP of Blast te gebruiken. De eerste twee zijn protocollen waarbij een cliënt nodig is en Blast is gebaseerd op het HTML5 protocol, clientless.

Vanaf VMware Horizon 7 is er Blast Extreme. Dit protocol is zover door ontwikkeld dat het zoals dat in het Engels heet “feature-parity” heeft met PCoIP. In goed Nederlands zeggen we dan, het heeft dezelfde functionaliteit als PCoIP.

Waarom is dit een belangrijke aankondiging? PCoIP is geen protocol waarbij een cliënt nodig is, maar een stukje software op de werkplek om verbinding te kunnen maken. Dit beperkt de flexibiliteit met werkplekken omdat het voor VMware niet mogelijk is te garanderen dat de software voor alle platformen altijd identiek werkt. PCoIP is namelijk een protocol van Terradici en VMware ontwikkeld al een tijdje een eigen versie hiervan.

Door in te zetten op Blast Extreme heeft VMware een eigen, cliëntonafhankelijk protocol in handen waarmee ze elk platform kunnen ondersteunen. De enige eis aan een werkplek is dat de browser HTML5 moet ondersteunen. Uw medewerkers kunnen met Blast Extreme vanaf elke werkplek (web-based) wereldwijd werken. Rare VPN-tunneltjes of andere trucages om remote werken mogelijk te maken zijn niet meer nodig.

Blast Extreme gaat daarnaast voor de externe verbinding een poort delen met PCoIP zodat er vanuit de access points minder poorten open gezet dienen te worden. In combinatie met het gebruik van Access Points scheelt dat drie tot vier poorten ten opzichte van eerdere versies. Een goede ontwikkeling dus.

VMware UEM 9
VMware heeft een jaar geleden het Nederlandse Immidio overgenomen, dat zal u niet zijn ontgaan. Initieel is vooral gewerkt aan het integreren van de software met de VMware-producten, maar met VMware User Environment Management (UEM) versie 9 zijn er naast de integratie ook nieuwe ontwikkelingen te melden. De belangrijkste verbeteringen zijn:

• Applicatie security
• PcoIP policies
• Folder redirection
• Integratie met ThinApp
• Condities

Applicatie security
User Environment Management is voor PQR en u als onze klant gesneden koek, we doen dit al jaren en weten waarom het nuttig en krachtig is. VMware heeft in dit kader Immidio gekocht. Vergeleken met RES Software en Appsense had Immidio wel een probleem, vanwege het ontbreken van een security module, kon men namelijk niet afdwingen wie welke applicatie mocht starten.

Met de aankondiging van VMware UEM 9 in VMware Horizon 7 is dat verleden tijd, de security module is nu aanwezig in UEM. Standaard, nadat de module is aangezet, zijn alleen de programma’s in de program folder en in Windows toegankelijk. Met de specifieke configuratie kunnen ook die verder worden beperkt zodat op basis van context kan worden bepaald wie welke applicatie mag starten en zien. Dit zorgt er direct voor dat VMware een serieuze speler is op de UEM-markt en vooral omdat het gebundeld zit in licenties die u toch al koopt.

PCoIP policies
Voorheen waren policies van PCoIP alleen via het View management console te regelen, globaal of per pool. Vanaf nu zijn deze policies vanuit UEM te beheren. Dit zijn policies op basis van context van de gebruiker, exact zoals u verwacht van een dynamische desktopomgeving.

Policies die u kunt beheren zijn:

• USB Redirection
• Printing
• PCoIP profile (bandbreedte)
• Clipboard
• Client drive redirection
• Folder redirection

Vanaf VMware UEM 9 is het mogelijk om folder redirection met UEM op basis van de gebruikerscontext aan te bieden. Dit was een functionaliteit die nog niet geboden werd in de eerdere versies. Natuurlijk kunt u dit met GPO’s doen, maar een GPO is niet context-aware en past zich niet aan zodra de gebruiker van werkplek wisselt.

ThinApp integratie
ThinApp integratie hoor ik u denken, ik heb geen ThinApp update voorbij zien komen. Thinapp is enige tijd terug ge-update, de functionaliteit die nu wordt aangekondigd zat in die release maar was nog niet beschikbaar.

Met Horizon 7 en UEM 9 kunt u alle UEM gerelateerde zaken binnen een ThinApp package volledig beheren. U hoeft hierbij geen rare scripts of zaken te regelen, het werkt direct. UEM zaken waaraan u moet denken zijn drive mappings en user settings. Het enige dat een vereiste is, is dat de package de laatste Thinapp versie is.

Condities
VMware UEM 9 heeft een aantal condities toegevoegd waardoor u meer mogelijkheden heeft om de context van de gebruiker te bepalen. Een belangrijke hierin is het gebruik van de vluchtige variable omgeving die VDI geeft. Mogelijk heeft u als eens gekeken naar wat er allemaal tijdelijk als variabele wordt aangeboden (u kunt dit zien via de command prompt), deze gegevens kunt u nu gebruiken binnen uw UEM-omgeving.

Certificate based authentication
Iedereen die zich aanmeldt op een desktop doet dit met een gebruikersnaam, een password en soms zelfs nog met een token. Het probleem hierbij is dat elke communicatie altijd maar tussen twee punten plaatsvindt en dus niet optimaal te beveiligen is. Een wachtwoord is sowieso niet veilig omdat veel wachtwoorden redelijk eenvoudig te herleiden dan wel te hacken zijn.

VMware heeft met Horizon 7 een oplossing voor dit probleem. De samenwerking en integratie met Airwatch komt hier om de hoek kijken. VMware biedt Certificate based authentication, waarbij gebruik gemaakt wordt van een identity manager.

Dit werkt als volgt:

• Een gebruiker authentiseert zich met de identity manager;
• Via RADIUS, SecureID of Biometrische authenticate wordt de gebruiker geautoriseerd;
• Een gebruiker kan dan een desktop of een applicatie selecteren;
• De desktop of applicatie wordt gestart met de hiervoor vastgestelde identiteit van de gebruiker;
• De connection broker valideert de gebruiker met de identity manager.

En dan komt het….

• Een tijdelijk certificaat wordt aangevraagd bij de interne Certificate Authority (CA);
• Dit certificaat wordt aan de Windows desktop gepresenteerd om in te loggen;
• De sessie wordt op basis van dit certificaat vanaf de medewerker zijn werkplek geïnitieerd;
• De gebruiker is aangemeld zonder dat zijn gegevens het netwerk over en weer gaan. Alles op basis van een certificaat.

Access Point
Het laatste in deze blog; de Access Point. Zoals u wellicht weet heeft VMware afgelopen jaar een vervanger voor de security server uitgebracht. Access Point is een Linux appliance die stateless in het DMZ draait.

Vanaf VMware Horizon 7 is het authenticeren, wat voorheen in het LAN plaatsvond, via de connectie server aangepast. Authenticatie van de gebruiker op basis van RADIUS en RSA SecureID kan vanaf Horizon 7 in het DMZ worden afgehandeld. Dit was een groot minpunt van vorige versies maar is nu dus verleden tijd.

Tot zover een update over de laatste VMware-ontwikkelingen op het gebied van End User Computing. Wilt u meer informatie of wilt u weten welke toegevoegde waarde deze ontwikkelingen u kunnen bieden? Neem contact op met PQR.

Auteur: Rob Beekmans, Senior Consultant PQR