Client Virtualisierung wie Citrix XenClient ist keine Randerscheinung für Entwickler oder Administratoren mehr, sondern ein probates Mittel, um komplexe PC-Infrastruktur zu konsolidieren und damit auch gleichzeitig das Client Management zu vereinfachen. In Vordergrund steht damit eindeutig die Reduzierung von Administrationskosten. So ist es nicht verwunderlich, dass es auch für den Desktop mittlerweile zahlreiche Anwendungen von verschiedenen Herstellern gibt, mit denen man virtuelle PCs erstellen kann.
Das grundlegende Konzept von Citrix XenClient ist einfach: Die bestehende Architektur des Xen-Hypervisors wurde einfach vom Server auf den Client-PC transferiert. Damit stellt der Hersteller dem Anwender erstmals Typ-1-Virtualisierung (Bare-Metal) zur Verfügung, die direkt auf der Hardware aufsetzt,. Diese Methode der Client Virtualisierung bietet eine hohe Performance und ermöglicht eine äußerst sichere Trennung der einzelnen virtuellen Maschinen (VM) untereinander.
Der besondere Vorteil dieser Lösung ist, das die virtuelle Maschinen auf den mobilen Clients auch offline betreiben werden können. Die klassischen VDI-Systeme erfordern eine permanente Online-Verbindung, um eine sichere Funktion zu gewährleisten.
Wir haben die Citrix-XenClient-Lösung getestet. um die Stärken und Schwächen dieser Lösung herauszufinden.
Zielgruppe Enterprise
Mit dem XenClient betritt Citrix als erster großer Hersteller - noch vor VMware - das Gebiet der Client-Hypervisor. Der Softwarehersteller adressiert mit diesem Konzept vornehmlich Laptop-User in größeren Unternehmen. Diese sollen mit der vormals Servern vorbehaltenen Technik zur Virtualisierung flexiblere IT-Umgebungen erhalten. Geschäfts- und private VMs können mit XenClient völlig isoliert voneinander auf demselben Gerät laufen. XenClient vermag somit die im VDI-Paradigma bestehende Lücke zu füllen: die durchgängige Unterstützung von Offline-Desktops.
Notebooks stellen in IT-Umgebungen zudem immer ein gewisses Sicherheitsrisiko dar und sind schwer zu verwalten: Sie können meist nur unregelmäßig gesichert werden, die Anwender verbinden sich unregelmäßig im Unternehmensnetzwerk, auf ihnen sind sensible Daten unterwegs, die zudem Gefahr laufen, samt Gerät gestohlen oder verloren zu werden. Die performante und zentral administrierte Virtualisierung mobiler Geräte kann diese Verwaltungs- und Sicherheitslücken schließen helfen und den Anwendern zusätzlich mehr Flexibilität geben.
Bekannte Technik aus XenServer
Auf dem Laptop selbst läuft mit XenClient kein Host-Betriebssystem, sondern der Xen-Hypervisor, der sich die Codebasis mit XenServer teilt. Die virtuellen Maschinen mit den Desktops werden - im Gegensatz zu VDI-Ansätzen - lokal ausgeführt und weisen dadurch eine optimale Performance auf. Neben der für Xen typischen Control Domain ("Domain 0") - einer privilegierten VM welche für die Steuerung der virtuellen Maschine und der Speicher- und Netzwerkzugriffe zuständig ist - bringt XenClient eine Service VM mit. In dieser läuft die Steuerungssoftware, mit welcher der Anwender interagiert, während die Control Domain für ihn unsichtbar bleibt.
Die Anzahl unterstützter Client-Geräte oder Notebooks ist - bedingt durch die frühe Produktphase (XenClient befindet sich derzeit noch im Stadium des Release Candidate) - noch recht stark eingeschränkt und umfasst derzeit einige gängige HP-, Dell- und Lenovo-Business-Modelle. Entscheidend ist dabei, dass Intels vPro-Technologie an Bord ist, eine in der Hardware implementierte Steuerungskomponente, sowie die VT-d-Schnittstelle, welche XenClient für erweiterten Durchgriff der Virtuellen Maschinen auf die physische Hardware nutzt. So können etwa alle laufenden VMs durch das Schließen des Laptop-Deckels automatisch in den Suspend-Modus versetzt und beim Öffnen wieder nahtlos in Betrieb genommen werden.
VMs haben Zugriff auf Hardware-Features des Geräts wie zum Beispiel Grafikkarte und 3D, so dass auch komplexe grafikintensive Anwendungen performant laufen sollen. USB-Geräte stehen ebenfalls transparent in virtuellen Maschinen zur Verfügung, so kann beispielsweise ein iPhone problemlos an einer Windows-VM angeschlossen und synchronisiert werden. Auch integrierte UMTS-Karten sollten funktionieren, wobei verschiedene Anwender hier im Citrix-Forum noch über Probleme berichten. Insgesamt sollten Anwender vorab in die Hardware Compatibility List (HCL) schauen, um zu prüfen, ob ihre spezielle Peripherie wie etwa externer Monitor oder Smartcards von XenClient unterstützt werden und im Zusammenhang mit welchem Rechnertyp.
Die erweiterten Sicherheitsfeatures TXT (Trusted Execution Platform) und TPM (Trusted Platform Module), die Bestandteil von vPro sind, werden von XenClient leider (noch) nicht integriert, könnten aber z.B. durch Verschlüsselung der VM-Images auf der Festplatte nochmals einen deutlichen Beitrag zu erhöhter Datensicherheit leisten.
VM-Deployment mit Citrix Receiver
Das Softwarepaket für die Virtualisierung umfasst neben der lokalen Komponente Citrix Receiver eine Server-basierte Verwaltungskomponente, den optionalen Synchronizer. Der Receiver ist dafür zuständig, dass virtuelle Maschinen auf den Rechner des Anwenders gelangen. Zwei Wege sind vorgesehen: Lokale Installation vom entsprechenden Medium sowie Herunterladen vorbereiteter VMs aus einem zentralen Speicher. Dieses Repository ermöglicht eine zentrale Verwaltung bereitgestellter virtueller Maschinen und verwaltet gleichzeitig die Backups der Anwender, wobei entsprechende Benutzerrechte und "Sichten" - auch mit Integration in Active Directory - definiert werden können.
VM-Management mit Citrix Synchronizer
Für das Management der virtuellen Maschinen ist der Synchronizer zuständig, der entscheidende Bestandteil für Enterprise-Umgebungen. Er sorgt dafür, dass der aktuelle Stand einer VM verschlüsselt mit dem Rechenzentrum synchronisiert wird, sobald der mobile Client wieder online geht.
Der Anwender hat damit zwei entscheidende Vorteile: Zum einen erfolgt ein automatisches Backup seines Gesamtsystems. Zum anderen gewinnt er Unabhängigkeit vom physischen Gerät, denn er kann sich eine VM, die er von dem einen Laptop hochgeladen hat, auf einen anderen Rechner herunterladen und damit seine gesamte Desktop-Landschaft sehr einfach und schnell umziehen, z.B. im Falle eines Hardware-Defektes.
Für den Fall, dass ein Laptop gestohlen oder verloren werden sollte, besteht seitens der zentralen Verwaltung die Möglichkeit, die VMs remote zu löschen, damit durch den Verlust keine Sicherheitslöcher oder Datenlecks entstehen.
Installation und Handling
XenClient kommt in zwei Downloadpaketen daher: Basiskomponente mit Receiver sowie Synchronizer. Derzeit ist die Software unter der Bezeichnung XenClient Express als Test- und Evaluationssoftware kostenlos verfügbar, das endgültige Release wird mit der nächsten XenDesktop-Version erscheinen und dem Vernehmen nach ebenfalls gratis abgegeben.
XenClient mit Receiver wird als ISO-Datei geliefert. Der Installer ermöglicht eine schnelle Bare-Metal Installation z.B. vom DVD-Laufwerk des Notebooks aus. Vom ersten Bootvorgang vom Installationsmedium bis zum XenClient-Begrüßungsfenster verstreichen höchstens 10 Minuten. Wichtige Voraussetzung ist die Aktivierung der Hardwarevirtualisierungsfunktionen (Intel VT und VT-d bzw. VT I/O) im BIOS des Laptops.
Dabei wirkt sich erschwerend aus, dass es sich bei der Installation um einen "destruktiven" Vorgang handelt - XenClient beansprucht das gesamte System für sich, parallele Installationen von Betriebssystemen auf derselben Festplatte sind nicht zulässig.
XenClient mit Receiver ist in dieser Form standalone lebensfähig: es ermöglicht die lokale Installation virtueller Maschinen von Originalmedien. Unterstützte Betriebssysteme sind Windows XP, Vista und Windows 7 (bislang nur 32 Bit, mit aktuellem RC2 auch 64 Bit). Der Anwender kann die Größe des Arbeits- und Festplattenspeichers sowie die Zahl der CPUs einstellen sowie die Art der Netzwerkanbindung (inklusive WLAN) auswählen.
Synchronizer wird als VM für XenServer geliefert. Ein entsprechender Server muss also im Netz vorhanden sein, damit Synchronizer-Dienste bereitgestellt werden können. Die Einrichtung ist dabei simpel: es handelt sich um eine komprimierte XVA-Datei, welche über XenCenter - die Managementkonsole von XenServer - importiert und dann gestartet wird. Nach dem VM-Start wird das System über einen Konfigurationsassistent eingerichtet.
Der Synchronizer-Administrator erstellt die zentral verfügbaren VMs und weist den XenClient-Usern über entsprechende Sicherheits-Policys die Zugriffsrechte zu. So dürfen nur freigegebene ("managed") VMs synchronisiert und gesichert werden. Vom Anwender in Eigenregie erstellte lokale virtuelle Maschinen ("unmanaged") sind hiervon aus Sicherheitsgründen ausgeschlossen - ihnen bleibt der Zugang zum Rechenzentrum verwehrt.
Die Einrichtung von virtuellen Maschinen auf XenClient-Rechnern erfolgt via Synchronizer als Downloadvorgang. Dabei wird das Image komprimiert und die Verbindung mit SSL verschlüsselt. Ein automatisches Wiederaufsetzen nach Verbindungsabbrüchen ist vorgesehen.
Citrix XenClient Pro und Contra
Nachfolgend fassen wir die wichtigsten Vor- und Nachteile von Citrix XenClient nochmals komprimiert zusammen:
Pro
-
Einfache Installation und Benutzung
-
Ausgefeiltes Management
-
Hohe VM-Performance
Contra
-
Geringe Auswahl an kompatibler Hardware
-
Destruktive Installation
-
Noch keine 64 Bit Betriebssysteme als Gäste möglich, (Update: Mit RC2 unterstützt XenClient 64 Bit Windows 7)
-
Kein lokaler Export von VMs möglich, um z.B. seine privaten Systeme selbständig zu sichern
Unterschiede zwischen Typ-1 (Bare-Metal) und Typ-2 Hypervisor
Bei Techniken zur Virtualisierung unterscheidet man zumeist danach, auf welcher Ebene die Abstraktionsschicht angesiedelt ist, welche die Virtualisierung implementiert.
Ist der Virtual Machine Monitor (VMM) oder Hypervisor direkt oberhalb der Hardware angesiedelt ("bare-metal"), handelt es sich um einen Typ-1 Hypervisor. Beispiele sind Xen, VMware ESX/ESXi, Microsoft Hyper-V als typische Serverlösungen.
Setzt das System jedoch als Basis ein Betriebssystem voraus, handelt es sich um einen Typ-2 Hypervisor. Beispiele sind typische Desktop-Virtualisierungsanwendungen: VMware Workstation, Microsoft Virtual-PC, Oracle Virtualbox.
Die Technologien unterscheiden sich vom Effekt her vor allem stark in der Performance sowie in der Art und Weise der Separierung der virtuellen Maschinen im Speicher, was sich auf die Sicherheit auswirkt.
Fazit
Citrix XenClient ist eine Lösung für eine Nische, welche jedoch zahlenmäßig immer größer wird: die Laptop-Nutzer vornehmlich in größeren Institutionen. Der Ansatz ist interessant, wenn das VM-Management konsequent zentral gesteuert wird und die Haupt-Nachteile - destruktive Installation des Hypervisors sowie geringe Geräte-Auswahl - in Kauf genommen werden können. Der Lohn ist größere Flexibilität und Sicherheit für die mobilen Anwender, welche damit nun ebenfalls von den Vorteilen der Virtualisierung profitieren können.
Ob der Ansatz des lokalen Hypervisors damit aber tatsächlich eine Marktlücke füllt oder auf Basis von vorhandenen Type-2 Virtualisierungsprogrammen praktikable Alternativen existieren, dürfte auch vom konkreten Anwendungsfall abhängen. Echter Nutzen entsteht unter Umständen nur für einen eingeschränkten Nutzerkreis, und zwar dürfte sich der Einsatz auf firmeneigene Notebooks fokussieren, nicht aber auf externe Mitarbeiter, da in ihrem Fall die notwendige Neuinstallation des Rechners meistens keine Option sein dürfte. Für diese Anwender könnte eine Typ-2 Virtualisierungslösung der bessere Ansatz sein, da aufgrund des Applikationscharakters der Virtualisierungs-Software eine nachträgliche Installation keine Probleme bereitet.
Inwieweit der XenClient-Ansatz in realen Szenarien tatsächlich funktioniert und nicht völlig neue Herausforderungen für Administration und Sicherheit schafft - Überlastung der Bandbreite bei der Synchronisation, Schwierigkeiten im Umgang mit Installation und Steuerung der diversen lokal betriebenen Virtuellen Maschinen, Compliance-Probleme - müssen dabei wohl erst konkrete Erfahrungen in einem längeren Betrieb erweisen.
Der Erfolg wird unter anderem von einer ausreichend breiten Hardwareunterstützung auf vielen gängigen Notebooks abhängen sowie von einer zuverlässigen Unterstützung sämtlicher typischer Geräte der Nomadenarbeiter wie Webcams, UMTS-Karten oser USB-Komponenten.
Gespannt darf man überdies sein, ob VMware die seit längerem angekündigte aber immer wieder hinausgezögerte Konkurrenzlösung CVP (Client Virtualization Platform) bringen wird. (hal))
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.