Het klinkt makkelijk, nietwaar? Gebruik gewoon wat bronnen uit de Azure-stack van Microsoft, zet er een VMware Horizon-besturing bovenop en je bent vertrokken. Nou, in theorie ziet de oplossing er zo uit, maar in de praktijk komt er meer bij kijken.
De oplossing zelf is eenvoudig. Ze bestaat uit twee delen: Horizon Cloud en Microsoft Azure.
Horizon Cloud
Je koopt in wezen een VMware Horizon-besturingspaneel. Die bestaat uit alle bewegende delen die nodig zijn om een desktop-workload uit te rollen, gehost op Azure. Je hoeft geen servers te installeren noch onderdelen te beheren: alles wordt voor je gedaan. Je hoeft alleen maar aan het roer te staan en alles te beheren via de web-interface van het besturingspaneel.
Microsoft Azure
Je hebt een infrastructuur nodig om je virtuele desktops op te laten landen, in dit geval Microsoft Azure. Die levert alle rekenkracht voor processor, geheugen, opslag en zelfs grafische acceleratie, mocht je deze nodig achten. Als extra optie heb je in Azure de mogelijkheid om Windows 7 voor een langere periode te blijven gebruiken in een ondersteunde configuratie. Ook de nieuwe Windows 10 Multi-sessie maakt deel uit van dit nieuwe Windows Virtual Desktop-programma.
Vanuit praktisch oogpunt zijn er veel dingen die je moet regelen alvorens eindgebruikers daadwerkelijk de dingen kunnen doen die ze moeten doen. Dit artikel is bedoeld om je te helpen een lijst te maken van zaken waar je aan moet denken en die je moet regelen voordat je op die magische ‘Deploy-knop’ drukt.
Om er zeker van te zijn dat je weet waar we het over hebben, is dit VMware’s beschrijving van de service, afkomstig uit de officiële Horizon Cloud op Microsoft Azure - FAQ. Ik zal hier in dit blog verder naar verwijzen met ‘HoA’.
Wat is Horizon Cloud op Microsoft Azure?
Horizon Cloud op Microsoft Azure biedt klanten de mogelijkheid om hun bestaande Microsoft Azure-infrastructuur te koppelen met de VMware Horizon® Cloud Service™.
Horizon Cloud levert veelzijdige virtuele desktops en applicaties met behulp van een speciaal gebouwd cloudplatform. Dat platform is schaalbaar over meerdere implementatie-opties, waaronder een volledig beheerde infrastructuur van VMware en openbare cloudinfrastructuur van Microsoft Azure. De service ondersteunt een cloud-schaalarchitectuur die het gemakkelijk maakt om gevirtualiseerde Windows-desktops en -toepassingen op elk apparaat en op elk moment te leveren. Met een flexibel abonnementsmodel kunnen organisaties gemakkelijk snel aan de slag.
Bekijk deze YouTube-video voor meer informatie.
Azure-infrastructuur
Bij de meeste cloudoplossingen kun je kiezen waar je de werklast wilt laten draaien. Deze keuze is van belang, want de impact op de prestaties kan enorm zijn. Azure-datacenters zijn verspreid over de hele wereld. Er moet een keuze worden gemaakt op basis van optimale prestaties voor alle applicaties en bronnen die toegankelijk moeten zijn vanuit de cloudoplossing.
Netwerken
Je infrastructuur moet kunnen communiceren. Wanneer zich dit in je lokaal gehoste datacenters bevindt, is dit redelijk eenvoudig te onderhouden en te beheren. Wordt er een public cloud aan de mix toegevoegd, dan wordt het ineens wat ingewikkelder.
De desktops en andere bronnen die in de cloud worden gehost, moeten mogelijk toegang hebben tot bronnen die zich nog in uw lokale datacenter bevinden. Gebruikers hebben een manier nodig om vanaf uw lokale vestigingen verbinding te maken met de in de cloud gehoste infrastructuur. Wordt dit verkeer via internet gerouteerd? Is dit veilig genoeg? Wil je dat dit verkeer privé is? Mogen de gebruikers via het openbare internet contact opnemen met de cloud-bronnen? Of niet?
Mogelijk moet je site-naar-site-VPN’s implementeren of andere manieren gebruiken om de cloud met het lokale datacenter te verbinden en vice versa. En vergeet de netwerksegmenten en configuratie van de cloudoplossing zelf niet. Mogelijk is een vorm van WAN-versnelling nodig als je wordt geconfronteerd met toenemende vertraging of redundantieproblemen.
Bedenk dat je netwerk de ruggengraat vormt van alle infrastructuur, in de cloud en lokaal. Zorg ervoor dat je de vereisten voor de volledige oplossing begrijpt en ontwerp dit onderdeel eerst.
Toepassingen en gegevens
Een virtuele desktop is erop gericht om de juiste applicaties en gegevens bij eindgebruikers te krijgen. Het eerste waar je vat op moet krijgen, is een goed begrip van wat de omgeving daadwerkelijk zal moeten opleveren. Dit heeft veel te maken met die apps en gegevens. De eerste stap in dit proces is het maken van een lijst met bronnen die eindgebruikers nodig hebben om zo’n oplossing te kunnen gebruiken.
Voor elke toepassing moet je nadenken over wie er daadwerkelijk toegang toe moet hebben, waar het zal worden gehost, hoe het zal worden geïnstalleerd, of het verbinding moet maken met een backend of niet en of het toegang moet hebben tot andere bronnen of dat er andere vereisten zijn. Controleer ook eventuele licentievoorwaarden voor je software en andere oplossingen in de infrastructuur brengt. Je moet wel compliant blijven wanneer je overstapt naar een cloudgebaseerde desktop-hostingoplossing, zoals HoA.
Licenties
De HoA-oplossing bestaat uit een aantal onderdelen met licenties. Een ervan is de VMware-oplossing, een op abonnementen gebaseerde licentie, de Horizon Universal License. Met deze licentie kunnen desktops en apps worden uitgevoerd, zowel vanuit elke ondersteunde, openbare cloud-oplossing als on-premises oplossingen samen.
Je eigen infrastructuur kan elk van de ondersteunde public cloud-opties zijn. Die hebben elk hun eigen mogelijkheden. On-premises heeft een bepaalde hoeveelheid infrastructuur nodig, samen met de kosten voor het exploiteren en beheren ervan.
Naast de infrastructuuronderdelen zijn licenties nodig voor je besturingssystemen. Er zijn veel combinaties mogelijk met Microsoft-licenties. Doe jezelf een plezier en praat met een Microsoft-licentiespecialist. Er zijn te veel opties die veel te vaak veranderen, vooral nu Microsoft zelf de VDI-markt is binnengetreden met hun nieuwe virtuele Windows-desktop.
Houd verder rekening met toepassingslicenties. Er zijn veel applicaties die zeer ouderwetse manieren gebruiken om hun software van een licentie te voorzien. Deze kunnen worden gekoppeld aan specifieke computernamen, MAC-adressen of zelfs hardware-dongels die fysiek moeten worden aangesloten op het systeem waarop je de software uitvoert. Deze opties passen niet altijd even goed in een virtuele omgeving. Houd hier rekening mee.
Herhaling: maak een lijst met alle software die je gebruikers nodig hebben en controleer hoe de licenties zijn om ervoor te zorgen dat ze passen bij je cloud-strategie.
Eindpuntsituatie
Iets wat vaak wordt vergeten, vooral door allerlei soorten marketing, is het eindpunt. Met andere woorden, het apparaat en de situatie van waaruit de gebruiker verbinding maakt met de omgeving. In theorie is de omgeving overal, altijd en vanaf elk apparaat toegankelijk. Maar het is wel belangrijk om te begrijpen vanuit welke situaties de gebruikers verbinding zullen maken. Komt dit van binnen een gesloten infrastructuur of van de andere kant van de wereld? Vanaf een tablet, een pc thuis of een thin client? Een goed begrip van deze vereisten moet deel uitmaken van de inventaris die je voltooit, voordat je verder gaat en daadwerkelijk de nieuwe cloudoplossing ontwerpt. Mogelijk moet je gebruikers voorzien van handleidingen over hoe men verbinding kan maken met deze nieuwe omgeving.
Er zijn twee manieren om verbinding te maken met elke Horizon-omgeving:
Er zitten beperkingen aan de browser-gebaseerde verbinding. Wat hebben de gebruikers daadwerkelijk nodig? Als ze realtime audio/video uit deze omgeving nodig hebben, is een browser-gebaseerde sessie misschien niet de juiste beslissing. Als ze alleen een manier nodig hebben om toegang te krijgen tot een eenvoudige applicatie, is HTML5 misschien de gemakkelijkste oplossing.
Authenticatie
Gebruikers hebben een manier nodig om hun identiteit aan het systeem te bewijzen. Dit gaat bij voorkeur via wat we ‘eenmalige aanmelding’ noemen. De gebruiker voert inloggegevens één keer in en krijgt toegang tot alle benodigde bronnen, zonder opnieuw te moeten verifiëren. Niet alle applicaties en middelen laten dit toe, maar het wordt steeds meer overgenomen.
Je moet nadenken over waar die primaire identiteitsprovider wordt gehost. Meestal wordt gedacht aan een Microsoft Active Directory, maar dit systeem is vrij beperkt. Voorbeelden van moderne IDP's die je misschien al kent zijn Okta, Ping, ADFS en OneLogin. Maar er zijn er nog veel meer.
Als je van plan bent om bij Active Directory te blijven, moet je een manier bedenken waarop het nieuwe cloudsysteem toegang kan krijgen tot deze directory om de gebruiker te valideren. Denk aan netwerktoegang tussen de twee, beveiliging (bv. firewall), naamomzetting en routering.
Zorg er bovendien voor dat het cloudsysteem de manier van authenticatie daadwerkelijk ondersteunt. Als je bedrijf al een vorm van multifactor-authenticatie gebruikt, zoals het bekende token, kan dit ook worden gebruikt met de meeste cloudplatforms. De twee belangrijkste opties zijn RSA, een bekend merk tokens, of een systeem dat het Radius-protocol gebruikt.
Als je meerdere identiteitssystemen probeert te combineren in één cloudoplossing, moet je misschien overwegen om er een Identity Manager voor te plaatsen. Dat biedt meer opties. VMware Workspace ONE Access is een van die opties. Hiermee kun je meer dan één IDP verbinden, migratieopties vergemakkelijken of een combinatie ervan toestaan. Dit biedt één toegangspoort voor de gebruikers en één beheerportaal voor het IT-personeel.
Veiligheid
Functionaliteit, gebruiksgemak en beveiliging gaan niet hand in hand, maar je moet er wel over nadenken. Omdat de hele oplossing erg afhankelijk is van de communicatie tussen alle componenten, is het even belangrijk ze te beveiligen. Er zullen veel nieuwe netwerkstromen van communicatie zijn bij het implementeren van een verhuizing naar de public cloud. Horizon on Azure zelf biedt uitstekende documentatie over de bewegende delen in de HoA-oplossing. Maar er zijn veel meer componenten nodig voor een oplossing als deze. Denk aan authenticatiestromen als ldap en Radius, maar ook aan applicaties en bijvoorbeeld netwerkdiensten zoals DNS, DHCP, NTP en KMS.
Maak een netwerkarchitectuur en bijbehorende lijst met alle communicatiestromen. Op basis hiervan kan elke firewall in de omgeving eenvoudig worden geconfigureerd om de juiste toegang mogelijk te maken.
De netwerkbeveiliging is slechts één onderdeel. De gebruiker is een andere factor. Die heeft toegang tot het systeem vanaf een eindpunt dat mogelijk geen deel uitmaakt van de infrastructuur. Ga je dit toestaan? Zo ja, welke diensten ga je eraan verlenen of niet? Hoe veilig is dit eindpunt? Wat moeten de gebruikers eigenlijk kunnen doen? Alleen toegang tot het externe systeem en informatie bekijken? Hebben ze USB-toegang nodig? Bestandsomleiding? Afdrukken op afstand? Wanneer sta je dit in wat voor soort situatie toe? De meeste hiervan vormen immers een potentieel risico voor gegevensverlies.
Er zijn oplossingen die hierbij kunnen helpen. Je kunt ervoor kiezen om een veilig eindpunt te gebruiken, door gebruik te maken van oplossingen zoals IGEL. Die biedt een scenario voor multi-boot voor de meeste x86-gebaseerde hardware. Start je op vanaf de IGEL USB-stick? Dan beschik je over een veilige omgeving, die primair in staat is om verbinding te maken met de geboden cloud infrastructuur. Haal je de USB-stick eruit? Dan is je thuis pc weer van jezelf.
Toegang tot de cloud-infrastructuur kan ook door middel van gebruik van je privé computer, in een beheerde situatie. Inschrijven bij een Mobile Device Management-platform zoals Workspace ONE UEM is een manier om dit met vertrouwen te doen. Hiermee dwing je bepaalde bedrijfspolicies af, zoals het bij zijn met je updates, controle op het juist werken van antivirus en meer. Hier is nog een combinatie te maken met zogeheten Next Gen Antimalware, met producten zoals Lookout of Carbon Black. Dit zijn beide zeer innovatieve manieren om endpoints te beveiligen.
Beveiliging is moeilijk te beheren. Het kan de productiviteit gemakkelijk belemmeren. Maar het wordt steeds harder nodig, aangezien kwaadwillende krachten op internet elke dag creatiever worden om manieren te vinden om in te breken in uw privé ruimte. Ontwerp het dus zorgvuldig!
Beheer
Doe jezelf een plezier en zorg ervoor dat al je componenten worden geleverd op een manier die makkelijk kan worden beheerd. Net als beveiliging is management overkoepelend. Het draait allemaal om verantwoordelijkheid: weet wie verantwoordelijk is voor welk onderdeel en of ze het daadwerkelijk kunnen beheren. Maak een matrix die laat zien wie er wat beheert en zorg ervoor dat dit de nieuwe situatie goed weergeeft. Als je dat niet doet, loopt je het risico dat je IT-personeel niet kan beheren wat ze moeten kunnen beheren.
De lijst
De lijst van alle onderdelen:
De daadwerkelijke implementatie
Wanneer alles is ontworpen en verzorgd, komt de daadwerkelijke implementatie. De uitrol van het landschap wordt gestart vanuit de Horizon Cloud Admin Console. Dit bestaat uit het doorlopen van een vragenformulier, oftewel een wizard. Dit klinkt simpel maar heeft wat voorbereiding nodig. Alles wat je moet weten en in de wizard moet invoeren, moet correct en beschikbaar zijn. Anders mislukt de implementatie en moet je opnieuw beginnen.
Hiervoor is een checklist beschikbaar. Die moet worden ingevuld voordat met de daadwerkelijke implementatie wordt begonnen. Dit is een goede manier om ervoor te zorgen dat je letterlijk alle vakjes afvinkt. Bekijk hier de checklist voor VMware Horizon 7 met Horizon Cloud-vereisten. Zodra je de wizard hebt voltooid, heb je een echte VMware Horizon Cloud-desktopomgeving tot je beschikking.
Heb je na dit alles nog vragen, hulp nodig of wil je het eens testen? Neem contact met ons op!