Wer in seiner Organisation die Desktop-Virtualisierung einführen möchte, steht vor weitreichenden technischen und organisatorischen Neuerungen. Die Praxis zeigt, dass ein solches Virtualisierungsprojekt nur bei einer guten Vorbereitung und einer präzisen Planung die erhofften Vorteile bringt. Nicht immer ist für die Verantwortlichen auf den ersten Blick ersichtlich, war-um ein Virtualisierungsprojekt so viele Eingriffe in die bestehende IT-Infrastruktur und in die IT-Prozesse erfordert. Der Grund hierfür ist schnell ausgemacht: Es ist die für die Desktop-Virtualisierung notwendige Standardisierung von Technologien und Prozessen. Je nach Ist-Zustand der bestehenden Infrastruktur sowie der Prozesse fällt der Gesamtaufwand des Projekts aus.
Der häufigste Irrglaube besteht darin, dass durch die einfache Virtualisierung von bestehenden Windows-PCs bereits ein deutlicher Mehrwert erzielt wird. Zu unterschiedlich sind die Anforderungen an den einzelnen Arbeitsplätzen, als dass sich mit einer universellen Virtualisierungsebene Einspareffekte erzielen ließen.
Zu Beginn steht daher die umfassende Analyse, wie die eigene IT-Landschaft genutzt wird. Zu untersuchen sind beispielsweise Anwendergruppen und ihre Bedürfnisse, die zu virtualisierenden Applikationen, die bestehenden Betriebssysteme und Endgeräte sowie die benötigten Bandbreiten, Netz- und Speicherkapazitäten. Daraus abgeleitet ergeben sich die Sicherheitsanforderungen, die benötigten Übertragungsprotokolle und Zugriffsmöglichkeiten sowie die Auswahl der einzusetzenden Techniken und Produkte wie des Hypervisor. So lassen sich Abläufe, Prozesse und Geräte sinnvoll standardisieren, virtualisieren und automatisieren.
Auch das organisatorische Umfeld ist zu betrachten, da gerade in großen Unternehmen verschiedene Ansprechpartner für unterschiedliche Komponenten verantwortlich sind. Für die Desktop-Virtualisierung sind Prozesse jedoch abteilungsübergreifend zu harmonisieren. In der Praxis hat sich gezeigt, dass Unternehmen in Projekten zur Desktop-Virtualisierung jeweils vor ähnlichen Problemen, Herausforderungen, Fragen und Entscheidungen stehen.
1) Sanfte Migration oder harter Wechsel?
Die Gründe zur Virtualisierung von Desktops sind vielfältig. Häufig ist gleichzeitig die Migration auf ein neues Betriebssystem geplant, oder es sollen veraltete Hardwarekomponenten ausgetauscht werden. Ein weiterer Treiber ist der Wunsch nach einer Harmonisierung der Applikationslandschaft, beispielsweise um Lizenzkosten zu sparen.
Eine geplante Windows-7-Migration kann die Virtualisierung beschleunigen. Hier hat sich ein Parallelbetrieb bewährt: Der neue virtuelle Desktop mit Windows 7 steht schon bereit, dennoch kann der Anwender in einer Übergangsphase noch auf den alten PC mit dem bisherigen Betriebssystem zurückgreifen. Applikationen sind in diesem Szenario lokal oder teilweise auf einem Terminal-Server gehostet verfügbar. Zusätzlich erhalten die Anwender einen virtuellen Desktop, den sie auf ihren vorhandenen PCs einsetzen können. Mit einem solchen Parallelbetrieb kann ein Benutzerkreis Erfahrungen sammeln und testen, ob die bestehenden Anwendungen mit den gewählten Konfigurationen wie gewünscht in der virtualisierten Umgebung arbeiten.
Aufwendiger ist der komplette Umstieg auf virtuelle Desktops. Hier sollte der Status der gesamten Infrastruktur bereits im Detail bekannt sein, wie zum Beispiel die benutzten Anwendungen und in welchen Versionen und Abteilungen diese im Einsatz sind.
Zum Projektstart wird der virtuelle Desktop genau spezifiziert: von der Betriebssys-tem-Konfiguration über Einstellungen und Benutzerdaten bis zu den eingesetzten Softwareapplikationen sowie dem Benutzerstamm. Die Techniken zur Bereitstellung können je nach Anforderung kombiniert werden und umfassen die lokale Installation auf dem PC, die Applikationsbereitstellung über Terminal-Server, Terminal-gehostete Applikationen und virtuelle Desktops. Entscheidend für den Erfolg ist es, die gesamte Client-Infrastruktur zu standardisieren und ein Konzept zu finden, das die verschiedenen Bereitstellungsformen integriert. Letztlich bezeichnet die Desktop-Virtualisierung nur eine weitere Möglichkeit, dem Anwender eine Arbeitsplatzumgebung zur Verfügung zu stellen. Die gewohnten Herausforderungen in der Client-Administration bleiben bestehen.
2) Client-Verwaltung nicht direkt übertragen
Die Client-Verwaltung umfasst auch weiterhin Aufgaben wie beispielsweise Benutzer- und Rechteverwaltung, Softwareverteilung, Patch-Management und Client-Security, wird jedoch um eine zusätzliche Administrationsschicht erweitert. Um daher tatsächlich einen Mehrwert zu erzielen, ist das Grundkonzept der IT-Bereitstellung zu ändern: eine direkte Nachbildung der Client-Infrastruktur ist nicht zielführend.
Betreibt ein Unternehmen beispielsweise verschiedene IT-Abteilungen mit jeweils individuellen Verzeichnisdiensten und E-Mail-Servern, sind zunächst die Infrastrukturdienste zu zentralisieren. Durch eine Analyse wird anschließend festgestellt, welche Applikationen in welchen Fachabteilungen tatsächlich im Einsatz sind, um so einen Standard für die Bereitstellung von Software abzuleiten. In einer späteren Phase lassen sich die Softwarekomponenten effizient über ein Self-Service-Portal bereitstellen. Hier können sich Anwender zusätzlich zu den Standardanwendungen weitere Werkzeuge herunterladen, deren Konfigurationen die IT überwacht. All diese Überlegungen werden weit vor der Entscheidung für eine Virtualisierungstechnik getroffen.
3) Benutzergruppen und Anwendungen festlegen
Einer der wesentlichen Unterschiede zwischen der Desktop- und der Server-Virtualisierung liegt in der Betrachtung von Benutzergruppen. Während sich der Ressourcenverbrauch von Servern durch Monitoring-Werkzeuge gut einschätzen lässt, ist er beim Endanwender deutlich schwieriger zu messen. Es ist jedoch möglich, Benutzer mit vergleichbarem Verhalten zu identifizieren. Diese erhalten dann die für sie jeweils passenden standardisierten Arbeitsumgebungen.
Im nächsten Schritt werden die Anwendungen definiert und in standardisierten Versionen bereitgestellt. Hier ergibt sich eine Reihe von weiteren Detailfragen: Sollen Applikationen wie bisher nutzbar sein, oder ist der Zugriff beispielsweise über einen Terminal-Server möglich? Lassen sich durch einen Concurrent-User-Zugriff die Lizenzkosten senken? Im klassischen Fall werden Anwendungen in Softwarepaketen auf die virtuellen Maschinen oder auf die Benutzer-PCs verteilt. Eventuell müssen auch selbst programmierte Applikationen paketiert und in die virtuelle Welt übertragen werden. In jedem Fall ist bei der Desktop-Virtualisierung die Kompatibilität von Softwareanwendungen vorher gründlich zu prüfen.
Welche Lösungswege geeignet und in der eigenen Infrastruktur funktionsfähig sind, zeigen nur umfangreiche Tests der verschiedenen Varianten.
Die Virtualisierung bietet verschiedene Umsetzungsmöglichkeiten: rein virtuelle Maschinen, Terminal-Server, Terminal-Desktops, physikalische Maschinen mit entsprechendem Zugriffs-Client und Basis-Images für die gleichzeitige Bereitstellung an mehrere Benutzer. Unternehmen müssen anhand der bereits genannten Voraussetzungen und Anforderungen individuell analysieren, welche Lösung für welche Bereiche geeignet ist.
4) Mit welchen Endgeräten arbeiten die Anwender?
Kaum ein Unternehmen wird im Rahmen eines Virtualisierungsprojekts sämtliche vorhandenen Arbeitsplatz-PCs durch einheitliche Thin Clients ersetzen wollen. Wirtschaftlicher ist ein Migrationspfad, bei dem neue Thin Clients die alte Hardware ablösen. Alternativ können virtuelle Desktops parallel zum vorhandenen Rechner zum Einsatz kommen, oder es wird ein vorhandener PC als Thin-Client-Ersatz genutzt.
Sollen sich die Anwender auch von unterwegs mit dem Notebook, Smartphone oder Tablet-PC einwählen können, kommen weitere Anforderungen an die Sicherheit, die Infrastruktur sowie das Management der mobilen Geräte hinzu. Je mehr iPhones, iPads, Notebooks etc. in die Infrastruktur einzubinden sind, desto aufwendiger wird die Administration der Gesamtlandschaft. Daher führt auch bei den Hardwarekomponenten kein Weg an einer Standardisierung von Geräten, Konfigurationen, Zugriffsmöglichkeiten, Authentifizierung und Verschlüsselung vorbei.
5) Sicherheit braucht komplexe Strukturen
Erfolgt der Zugriff auf die virtuellen Desktops nur über das LAN, greifen die gängigen Sicherheitsmechanismen wie Firewall und Content-Filter. Sobald die Infrastruktur nach außen sichtbar wird, benötigt die IT weitere Sicherheitsstufen wie beispielsweise Token, Fingerabdruck-Scanner und Smartcard zur Identifizierung. Wichtig ist zu klären, ob auch die Endgeräte diese Verfahren unterstützen und sich diese Mechanismen in die Infrastruktur integrieren lassen. Auch hier gilt: Je mehr Sicherheit geschaltet wird, desto komplexer wird das Management der Infrastruktur.
Virenscanner sind in virtuellen Infrastrukturen ein heikles Thema. Sie produzieren eine hohe zusätzliche Last und können damit die Performance negativ beeinflussen. Werden die virtuellen Clients in einem gesicherten Rechenzentrum betrieben, kann unter Umständen auf einen Virenscanner verzichtet werden. In diesem Fall muss jedoch das Rechenzentrum entsprechend gesichert sein, so dass im Ernstfall die virtuellen Maschinen über ein sauberes Basis-Image neu aufgesetzt werden können.
6) Den Speicherplatz ausgewogen bemessen
In den Anfängen der Desktop-Virtualisierung wurden Eins-zu-eins-Kopien der physischen Maschinen als virtuelle Abbilder im Plattenspeicher vorgehalten. Das verbrauchte zu viele Ressourcen und war damit zu teuer. Das Kapazitätsproblem hat sich mittlerweile entschärft. Die Hersteller haben ihre Produkte um Technologien ergänzt, die es ermöglichen, von einem Basis-Image mehrere virtuelle Desktops zur Verfügung zu stellen. So reicht es beispielsweise aus, für jede Benutzergruppe nur noch ein Basis-Image zu erstellen und zu pflegen. Von diesem Image werden im laufenden Betrieb individuelle Instanzen für die jeweiligen Benutzer erstellt und nur noch die Deltas zum Basis-Image gespeichert.
Hier ist genau zu analysieren, welche Benutzer mit welchen Applikationen und auf welchem Betriebssystem arbeiten und welche Auswirkungen dies auf die Plattenkapazität hat, um den Speicher entsprechend zu bemessen.
7) Bandbreite für schnelle Übertragungsprotokolle
Bei der Bereitstellung virtueller Windows-PCs sind Citrix mit dem ICA-Protokoll und HDX sowie VMware mit RDP beziehungsweise PC over IP weit verbreitet. Inzwischen unterstützen diese Protokolle auch datendurchsatzstarke Anwendungen für Multimedia-, 3D- und CAD-Anwendungen. Auch das Drucken wurde verbessert.
Die Protokollauswahl richtet sich nach den Anforderungen der Benutzergruppen und den bereitzustellenden Anwendungen. Die Abschätzung der Bandbreiten orientiert sich vor allem an den Benutzergruppen. Die Übertragungskapazität wird durchgängig bis ins Rechenzentrum auf die virtuelle Maschine benötigt. Was im LAN meist kein Problem darstellt, kann bei der Bereitstellung über das WAN bedeuten, dass eine leistungsfähigere Internet-Anbindung vorhanden sein muss. Es kommt auch hier auf die Standardisierung der Benutzergruppen an, um die benötigte Bandbreite abhängig vom Benutzerverhalten abzuschätzen.
8) Strukturen und Prozesse automatisieren
Ob Storage, Server, Netz, Applikationen, Systeme oder Support, die Desktop-Virtualisierung betrifft alle Bereiche der IT. Prozesse aus unterschiedlichen Abteilungen sind zu integrieren, und Anforderungen von Mitarbeitern aus verschiedenen Fachabteilungen wollen berücksichtigt werden. Jedoch sollte ein solches Projekt nicht in einem Wunschkonzert der Anwender enden. Es ist ein erprobter Lösungsweg, zunächst nur zentrale Komponenten zu standardisieren und anschließend die entworfenen Prozesse zu automatisieren.
Aus den definierten Standards entstehen schließlich IT-Dienste, die über einen Servicekatalog im Intranet-Portal angeboten werden. Diese Leistungen können Kunden oder Mitarbeiter direkt aktivieren und erhalten so neue IT-Ressourcen auf Mausklick. (pg/jha)
Andreas Kohne ist IT-Management-Consultant bei der Materna GmbH in Dortmund.