投稿者:坂本

こんにちは。日本情報通信の坂本と申します。

昨今、政府のテレワーク推進やコロナウイルスの流行に伴いテレワークへの業務移行が求められております。
弊社としても2020年度、上記の課題をクリアする製品を検証するという目的の基、弊社で取り扱いがあり且つ得意とするCloudであるIBM CloudにVDIを構築する取り組みを行いました。
本記事では構成・簡単なコンポーネントの紹介・セットアップ方法についてまとめます。

構成について

今回弊社が作成したVDI環境はIBM Cloud上にVMware vSphere+VMware Horizonを導入する構成となります。

構成.png
各コンポーネントの役割については後述にて説明させていただきます。

必要コンポーネント

NW コンポーネント
①VRA:IBM Cloudのセグメント管理やファイアウォール機能を担うNW機器
 Sever コンポーネント
②コネクションサーバ:VDIに関する設定を行うサーバ
③vCenter:vSphereの管理サーバ
④Fileサーバ:Windowsのユーザプロファイルを保管するサーバ
 (通常のファイルサーバとしても利用可能)
⑤ADサーバ:ユーザ管理やポリシー管理をするサーバ
⑥Radiusサーバ:UAGにて二要素認証を行うためのユーザ管理するサーバ
 (ADサーバのユーザ情報との連携は可能)
⑦View Conposerサーバ:VDIのリンククローン方式を実行するための管理サーバ

VDI コンポーネント
①UAG:二要素認証の設定を行うアプライアンス(パスワードに加え、2段階パスワードやIPsec設定等設定可)
②VDI Desktop(Windows10):ユーザが利用するOS環境

実際に構築してみた!

1.ADサーバー構築

ADサーバの設定内容は、VDI環境認証用のユーザ作成、仮想サーバのDNSレコード登録となります。
ADサーバではVDI環境のユーザの管理を主に行います。仮想サーバのDNSレコード登録の目的としては、vCenter Server Appliance作成時に名前解決が不可能な場合デプロイが不可能なため事前に登録する必要があります。

2.vCenter Server構築

vCenter Server Appliance(以後VCSA)のISOファイルをADサーバにマウントし、VCSAをデプロイします。
VCSAのネットワーク情報やホスト名などのデプロイに必要な情報を入力後、ESXi上にVCSAが作成されます。

3.View Connection サーバ構築

VDI環境の仮想デスクトップの作成・管理のためView Administratorをインストールし、View Connectionサーバを作成します。まず初めに2.で構築を実施したVCSAの情報の追加を行います。次にデスクトッププールの追加に移ります。ここでは仮想デスクトップの構築方法、割り当て方法、vSANを利用するかや命名規則、利用ユーザ等の設定を選択します。
デスクトッププールの設定についてはプルダウン型ですが選択項目が多いため、事前にパラメータを確認しておくとよいと思います。

この段階でフルクローン方式での仮想デスクトップのプロビジョニングが可能となります。

039.jpg

4.MSSQLサーバ データベース作成

リンククローン方式での仮想デスクトップの作成にはView Composerサーバが必要となります。
View Composerサーバデプロイに伴い、リンククローン方式で作成した仮想デスクトップ情報を格納するための
データベースの作成が必要となります。弊社ではView Connection サーバにMSSQLサーバを作成しました。

5.View Composerサーバ構築

4.にて作成したデータベ-スを指定し、View Composerサーバを作成します。
具体的には、WindowsServerにView Composerをインストールします。

インストール後View Connection サーバからView Composerサーバを指定することで、リンククローン方式での仮想デスクトップの作成が可能となります。

071.jpg

6.VDI環境用の仮想デスクトップ作成

事前にフルクローン方式用、リンククローン方式用のWindows10の仮想サーバを用意します。

View Connection サーバから先ほど作成したWindows10の仮想サーバを基にフルクローン、リンククローン方式にて仮想デスクトップを作成します。

7.UAGによる二段階認証の設定

VDI環境にログインする際に、UAG+Radiusサーバにて二要素認証の設定を行うことが出来ます。
検証ではLinux上にRadiusサーバを構築し、GoogleAuthenticatorをインストールします。これにより、ADサーバの通常パスワードとGoogleAuthenticatorのワンタイムパスワードを使用した二要素認証の設定をしました。

UAGではアクセス制御をするために今回3.で構築したView Connection サーバへの情報と二要素認証の設定を行ったRadiusサーバの情報を入力し、構築完了となります。
(UAGを作成することによりView Connection サーバへ直接ユーザがアクセスすることを防ぎます。)

090.jpg

操作イメージ

パソコン上でHorizon Clientをインストール後、起動し、Windows10の仮想デスクトップに接続します。

400.JPG

ADサーバのパスワード(知識)による通常パスコード認証と、GoogleAuthenticator(所有)によるワンタイムパスワード認証の認証を求められるので入力し次に進みます。

402_2.jpg

View Connection サーバのIPアドレスを選択し、ログインします。

405.jpg

ログインをしたいVDI Desktopを選択し、ログインが実施出来ます。

406.jpg

キャプチャ1.png

VDI環境の接続状況はView Connection サーバからでも確認できます。

構築時に気を付けるポイント

1:NWに関するポイント

・セキュリティを向上させるためにDMZを構築してUAGサーバを隔離しましょう。
・VDI Desktopをインターネット通信させたい場合は、SNATが必要となります。それに伴い、VRAの設定を迂回経路からルートスルーに変更しVRAを通過するように設定しましょう。また、初期設定ではVRRPの設定が無効化になっているため有効化しましょう。
・障害発生時の問題切り分けやベアメタルサーバへのログイン制限の目的のため、ベアメタルサーバのセグメントと仮想サーバのセグメントを分けましょう。

2:ユーザ管理に関するポイント

・ADサーバで一元的にユーザ管理をしましょう。
 理由としてはADサーバとRadiusサーバというユーザ管理をするコンポーネントがそれぞれ独立した管理をすると煩雑になり作業ミスが増えてしまうというや
 ADサーバとRadiusサーバのコンポーネントにユーザ登録をするという作業が運用上の手間を軽減するためです。

3:IBM CloudにてIPアドレスの購入に関するポイント
 VMwareHorizon環境では(Serverコンポーネント、VDIコンポーネント、vSphereの機能(vMotionなどのメンテナス用のIPアドレスなど))
 など様々なコンポーネントがありますので、必要なセグメント数、IPアドレス数を事前に確認確認しておきましょう。

最後に

以上が「IBM CloudにVDI環境を実装してみた」でした。
リモートワークは今後の主流になる業務形態ですので、導入を検討してみてはいかがでしょうか。
もちろん、価格との相談になりますが、IBM Cloud on VDIにて安全且つより良いリモートワーク環境を構築できるような構成を検討できればと思います。

本記事で弊社が行った構築すべてを語ることはできていませんが、IBM Cloud on VDIついて興味があるかたは弊社までお問い合わせください。

また、今後掲載予定の「VDI環境を準備する上で必要となる検討事項」というBlogでは必要コンポーネント、ライセンス等のVDI購入時に必要な内容を掲載しますので、興味がある方は是非そちらの記事も併せてご覧ください。

記載の会社名、商品名、サービス名は各社の商標または登録商標です。

参考)VMware on IBM Cloud

https://www.niandc.co.jp/sol/product/vmoncloud/