Віддалена робота з нами залишиться надовго і за межами бурхливої сьогодні пандемії. 74% компаній з 317 опитаних Gartner продовжать використовувати дистанційний формат роботи. ІТ-інструменти для її організації будуть активно потрібні в майбутньому. Огляд продукту Citrix Workspace Environment Manager – невід'ємний елемент для створення цифрового робочого простору. У цьому матеріалі розглянемо архітектуру та основні можливості продукту.
Архітектура рішення
Citrix WEM має класичну клієнт-серверну архітектуру рішення.
WEM агент WEM агент – клієнтська частина програмного забезпечення Citrix WEM. Встановлюється на робочі місця (віртуальні або фізичні, однокористувацькі (VDI) або розраховані на багато користувачів (термінальні сервери)) для управління оточенням користувачів.
WEM Infrastructure services інфраструктурні служби - Серверна частина, що забезпечує обслуговування агентів WEM.
MS SQL Server – сервер СУБД необхідний обслуговування бази даних WEM, де зберігається конфігураційна інформація Citrix WEM.
WEM administration console - Консоль управління оточенням WEM.
Зробимо невелике коригування в описі компонента WEM Infrastructure services на сайті Citrix (див. скріншот):
На сайті помилково вказано, що WEM Infrastructure Services встановлюється на термінальний сервер. Це не так. На термінальних серверах встановлюється WEM agent управління оточенням користувачів. Крім того, неможливо виконати встановлення WEM agnet та сервер WEM на одному сервері. Для роботи сервера WEM роль термінальних служб не потрібна. Цей компонент є інфраструктурним і як будь-який сервіс його бажано розміщувати на окремо виділеному сервері. Один сервер WEM з характеристиками 4 vCPU, 8 GB RAM здатний обслуговувати до 3000 користувачів. Щоб забезпечити стійкість до відмов, варто встановити в оточенні мінімум два сервери WEM.
Основні можливості
Одним із завдань ІТ-адміністраторів є організація робочого простору користувачів. Робочі інструменти, якими користуються співробітники, мають бути під рукою та налаштовані належним чином. Адміністраторам необхідно забезпечити доступ до програм (розмістити ярлики на робочому столі та меню «Пуск», налаштувати асоціацію файлів), забезпечити доступ до інформаційних ресурсів (підключити мережні диски), підключити мережні принтери, можливість централізованого зберігання документів користувача, забезпечити можливість користувачам виконувати налаштування свого оточення та головне – забезпечити комфортну роботу користувачів. З іншого боку, адміністратори відповідають за безпеку даних залежно від тих чи інших умов, у яких працює користувач та умови дотримання ліцензійної політики ПЗ. Для вирішення цих завдань і призначено Citrix WEM.
Отже, основні можливості Citrix WEM:
- управління робочим оточенням користувачів
- управління споживанням обчислювальних ресурсів
- обмеження доступу до програм
- управління фізичними робочими станціями
Управління робочим оточенням користувачів
Які можливості дає Citrix WEM для керування параметрами створення робочого середовища користувачів? Нижче наведено консоль управління Citrix Workspace Environment Manager. У розділі Action перелічені дії, які адміністратор може застосовувати для налаштування робочого оточення. А саме створювати ярлики додатків на робочому столі та в меню «Пуск» (у тому числі і для опублікованих додатків через інтеграцію з Citrix Storefront, а також можливість призначення гарячих клавіш для швидкого запуску додатків та координати для розташування ярликів у певному місці екрану), підключати мережеві принтери і мережеві диски, створювати віртуальні диски, управляти ключами реєстру, створювати змінні оточення, налаштовувати мапування COM і LPT портів у сесії, модифікувати INI файли, запускати програми скрипти (під час операцій LogOn, LogOff, Reconnect), управляти файлами і папками (файли та папки), створювати User DSN для налаштування підключення до БД на сервері SQL, налаштовувати асоціації файлів.
Для зручності адміністрування створені «дії» можна об'єднувати в групи Action Group.
Щоб застосувати створені дії, їх потрібно призначити на групу безпеки або УЗ користувача домену на вкладці Assignments. На малюнку нижче показано розділ Assessments і призначення створених «дій». Можна призначити Action Group з усіма «діями», що входять до неї, або додавати необхідний набір «дій» окремо, перетягуючи їх з лівої колонки Available в праву Assigned.
Призначаючи "дії", потрібно вибрати фільтр, за результатами аналізу якого система визначатиме необхідність застосування тих чи інших "дій". За промовчанням у системі створюється один фільтр Always True. При його використанні всі призначені дії застосовуються завжди. Для більш гнучкого управління адміністратори створюють свої фільтри у розділі Filters. Фільтр складається з двох частин: «Умови» (Conditions) та «Правила» (Rules). На малюнку показані два розділи, у лівій частині вікно зі створенням умови, а в правій правило, що містить вибрані умови для застосування потрібної дії.
У консолі є досить велика кількість «умов» – на малюнку відображена лише частина з них. Окрім перевірки приналежності до сайту або групи Active Directory, окремих атрибутів AD доступні фільтри для перевірки найменування ПК або IP-адрес, відповідності версії ОС, перевірка відповідності дати та часу, тип опублікованих ресурсів тощо.
Крім керування налаштуваннями робочого оточення користувачів через застосування Action, у консолі Citrix WEM є ще один великий розділ. Цей розділ називається Policies and Profiles. Він надає можливість додаткових налаштувань. Розділ складається з трьох підрозділів: Environmental Settings, Microsoft USV Settings та Citrix Profile Management Settings.
Environmental Settings включає велику кількість налаштувань, тематично згрупованих за кількома вкладками. Їхні назви говорять самі за себе. Подивимося, які можливості доступні адміністраторам для формування оточення користувачів.
Вкладка Start Menu:
Вкладка Desktop:
Вкладка Windows Explorer:
Вкладка Control Panel:
Вкладка SBCHVD Tuning:
Налаштування з розділу Microsoft USV Settings пропустимо. У цьому блоці налаштовуються штатні компоненти Microsoft – Folder Redirection та Roaming Profiles аналогічно до настройок у групових політиках.
І останній підрозділ – це Citrix Profile Management Settings. Він відповідає за налаштування Citrix UPM, призначеного для керування профілями користувачів. Налаштувань у цьому розділі більше, ніж у попередніх двох разом узятих. Налаштування згруповані за розділами та організовані у вигляді вкладок та відповідають налаштуванням Citrix UPM у консолі Citrix Studio. Нижче малюнок із вкладкою Main Citrix Profile Management Settings та перелік доступних вкладок доданий для загального представлення.
Централізоване керування налаштуваннями робочого оточення користувача – ще не головне, що пропонує WEM. Багато з перерахованого вище функціоналу можна виконати за допомогою стандартних групових політик. Перевага WEM у тому, як ці налаштування застосовуються. Стандартні політики використовуються під час підключення користувачів послідовно один за одним. І тільки після застосування всіх політик процес входу (logon) у систему завершується і користувачеві стає доступний робочий стіл. Чим більше настройок задіяно через групові політики, тим більше часу потрібно їх застосування. Це серйозно подовжує час входу до системи. На відміну від групових політик, агент WEM змінює порядок обробки та застосовує налаштування у кілька потоків паралельно та асинхронно. Час входу користувача до системи значно знижується.
Перевага налаштувань через Citrix WEM над груповими політиками продемонстрована на відео.
Управління споживанням обчислювальних ресурсів
Розглянемо інший аспект використання Citrix WEM, а саме можливість оптимізації системи щодо управління споживанням ресурсів (Resource Management). Налаштування знаходяться в розділі System Optimization і поділяються на декілька блоків:
- CPU Management
- Управління пам'яттю
- IO Management
- Fast Logoff
- Citrix Optimizer
CPU management містить параметри управління процесорними ресурсами: обмеження споживання ресурсів загалом, обробка стрибківвсплесків споживання процесорних ресурсів і пріоритизація ресурсів лише на рівні додатків. Основні налаштування розташовані на вкладці CPU Manager Settings та представлені на малюнку нижче.
У цілому нині призначення параметрів зрозуміло з їхньої назви. Цікава можливість управління процесорними ресурсами, яку Citrix називає "розумна" оптимізація - CPU Intelligent CPU optimization. Під гучною назвою ховається простий, але ефектний функціонал. При запуску програми призначається максимальний пріоритет використання CPU. Це забезпечує швидкий запуск програми та загалом підвищує рівень комфорту при роботі з системою. Вся "магія" у відео.
У розділах Memory Management та IO Management налаштувань мало, а суть їх гранична проста: керування пам'яттю та процесом введення-виводу під час роботи з диском. Керування пам'яттю увімкнено за замовчуванням і застосовується для всіх процесів. При запуску програми його процеси резервують своєї роботи частина оперативної пам'яті. Як правило, цей заділ більше, ніж необхідний в даний момент, - резерв створюється "на виріст", щоб забезпечити швидку роботу програми. Оптимізація пам'яті полягає у звільненні пам'яті тих процесів, які перебували протягом встановленого часу в неактивному стані (Idles State). Досягається це за рахунок перенесення сторін пам'яті, що не використовуються, у файл підкачки. Оптимізація дискової активності досягається завдяки призначенню пріоритетів для програм. На малюнку нижче представлені доступні для використання параметри.
Розглянемо розділ "Fast Logoff". При звичайному завершенні сеансу роботи користувач бачить, як закриваються програми, копіюється профіль та ін. При використанні опції Fast Logoff агент WEM відстежує виклик завершення сеансу роботи (Log Off) і відключає сесію користувача – переводить її в стан Disconnect. Для користувача завершення сеансу відбувається миттєво. А система штатно завершує всі робочі процеси у «фоні». Опція Fast Logoff включається однією "галкою", але можуть бути призначені винятки.
І, нарешті розділ, Citrix Optimizer. Адміністраторам Citrix добре відомий інструмент для оптимізації "золотого образу" - Citrix Optimizer. Цей інструмент інтегрований у Citrix WEM 2003. На малюнку нижче представлено перелік доступних шаблонів.
Адміністратори можуть редагувати поточні шаблони, створювати нові, переглядати встановлені шаблони параметри. Вікно з налаштуваннями – на малюнку нижче.
Обмеження доступу до програм
Citrix WEM можна використовувати для обмеження запуску установки додатків, виконання скриптів, завантаження DLL – бібліотек. Ці налаштування зібрані у розділі Security. На малюнку нижче перелічені правила, які система пропонує створити за промовчанням для кожного з підрозділів і за умовчанням все дозволено. Адміністратори можуть перевизначати ці налаштування або створювати нові, для кожного правила є одна з двох дій – AllowDeny. У дужках із назвою підрозділу зазначено кількість створених у ньому правил. У розділі Application Security своїх налаштувань немає, у ньому відображаються всі правила його підрозділів. Крім створення правил, адміністратори можуть імпортувати існуючі правила AppLocker, якщо він використовується в організації, та централізовано керувати налаштуваннями оточення з однієї консолі.
У розділі Process management можна створювати чорні та білі списки для обмеження запуску програм за іменами виконуваних файлів.
Управління фізичними робочими станціями
Попередні налаштування нам були цікаві для управління ресурсами та параметрами формування робочого оточення користувачів щодо роботи з VDI та термінальними серверами. Що Citrix пропонує керувати фізичними робочими станціями, з яких здійснюється підключення? Можливості WEM, освітлені вище, можуть застосовуватись до фізичних робочих станцій. Крім цього інструмент дозволяє "перетворити" ПК на "тонкий клієнт". Це перетворення відбувається при блокуванні доступу користувачів до робочого столу та використання вбудованих можливостей Windows загалом. Замість робочого столу, запускається графічна оболонка агента WEM (використовується той самий агент WEM, що і на VDIRDSH), в інтерфейсі якої відображаються опубліковані ресурси Citrix. У Citrix є програмне забезпечення Citrix DesktopLock, яке так само дозволяє трансформувати ПК в «ТК», але можливості Citrix WЕМ ширші. Нижче наведено зображення основних параметрів, які можна використовувати для керування фізичними комп'ютерами.
Нижче представлений скріншот виглядає як робоче місце після трансформації його в «тонкий клієнт». У меню «Параметри» перелічені елементи, за допомогою яких користувач може налаштувати оточення на свій розсуд. Частина або всі елементи можна прибрати з інтерфейсу.
Адміністратори можуть централізовано додавати до розділу «Сайти» посилання на веб-ресурси компанії, а до розділу «Інструменти» програми, встановлені на фізичних ПК, необхідні для роботи користувачів. Наприклад, корисно додати до «Сайтів» посилання на портал техпідтримки користувачів, де співробітник може створити заявку, якщо виникли проблеми з підключенням до VDI.
Назвати повноцінним тонким клієнтом таке рішення не можна: його можливості обмежені в порівнянні з комерційними версіями аналогічних рішень. Але його достатньо, щоб спростити та уніфікувати інтерфейс роботи з системою, обмежити доступ користувачів до системних налаштувань ПК та використовувати старий парк ПК як тимчасову альтернативу спеціалізованим рішенням.
***
Отже, резюмуємо огляд Citrix WEM. Продукт «уміє»:
- керувати параметрами робочого оточення користувачів
- керувати ресурсами: процесор, пам'ять, диск
- забезпечувати швидкий вхід вихід із Системи (LogOnLogOff) та запуск додатків
- обмежувати використання додатків
- трансформувати ПК у «тонкі клієнти»
Звісно, можна зі скепсисом оцінювати демонстраційні ролики використання WEM. Як показує наш досвід, у більшості компаній, які не використовують WEM, середній час входу становить 50-60 секунд, що не дуже відрізняється від часу на відео. З WEM час входу до системи можна значно скоротити. Також використовуючи прості правила керування ресурсами компанії, можна збільшити щільність користувачів на сервер або забезпечити кращу якість роботи із системою для поточних користувачів.
Citrix WEM добре вписується в концепцію «цифрового робочого місця», доступний для всіх користувачів Citrix Virtual Apps And Desktop, починаючи з редакції Advanced та за наявності чинної підтримки Customer Success Services.
Автор: Валерій Новіков, провідний інженер-проектувальник обчислювальних комплексів «Інфосистеми Джет»
Джерело: habr.com