Gestion des solutions techniques d`accès
Transcription
Gestion des solutions techniques d`accès
Gestion des solutions techniques d’accès De nombreux problèmes liés à la nature du système d’information sont communs à toutes les entreprises. Lorsque la taille du parc informatique augmente, les activités de maintenance à effectuer croissent proportionnellement, et il devient compliqué de maintenir le système d’information de l’entreprise homogène en termes de matériel et de logiciel. Les responsables de service informatique sont souvent confrontés, entre autres, aux difficultés suivantes : Parc informatique hétérogène compliquant la réaffectation de postes : les machines obsolètes sont trop peu puissantes pour permettre l’utilisation de certains logiciels. Elles sont donc confinées à certaines tâches ; Mise à jour lente des applications : les mises à jour sont effectuées sur chaque poste et le déploiement d’une nouvelle application sur des centaines, voire des milliers de postes, prend du temps; Dégradation des performances : les utilisateurs non expérimentés adoptent des comportements (utilisation de disques externes infectés par des virus, installation de programmes inconnus, mauvaise protection contre les logiciels espions, ouverture de pièces jointes dangereuses, ...) qui nuisent au bon fonctionnement de leur poste de travail. La correction des problèmes ainsi générés nécessite régulièrement l’intervention des équipes de maintenance informatique. Les outils ou technologies permettant de faciliter la gestion des solutions techniques d’accès au sein des entreprises sont les outils de clonage de postes, de télédistribution d’application, de virtualisation des applications ou de virtualisation des postes de travail. Un parc peut donc être constitué soit de postes de type Windows Seven, sur lesquels tournent en local les applications nécessaires aux utilisateurs. Pour ce type de parc, on utilise généralement des solutions de clonage de postes et des solutions de télédistribution d’applications. Soit de postes physiques éventuellement légers sur lesquels on virtualise les applications en local ou en streaming (stockées sur un serveur distant et diffusées en streaming vers le client), ou solution ultime sur lequel on virtualise un poste de travail. Ce document a pour but de présenter ces différentes solutions. I I.1 LE CLONAGE DÉFINITION Une application de clonage permet de créer une image d’une partition, d’un lecteur logique ou même d’un disque complet d’ordinateur souvent appelé « Master ». L’image se présente sous la forme d’un fichier compressé ou non stocké sur tout type de supports, lecteurs réseaux compris. Les fichiers images sont ensuite utilisés localement sur une machine, en restauration de partitions système ou de données. Ils peuvent également être utilisés pour dupliquer ou cloner un ordinateur sur des machines semblables. Les opérations de création d’image et de restauration ou de duplication d’ordinateurs sont extrêmement rapides par rapport à une installation manuelle des systèmes d’exploitation et des logiciels. C’est la raison de la diffusion quasi-universelle des logiciels de clonage et de leur emploi dans la gestion de machines individuelles, de groupes de travail ou de réseaux évolués. 1 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie I.2 I.2.1 LES SOLUTIONS DE CLONAGE LES SOLUTIONS LIBRES : Clonezilla : Solution complète relativement simple à utiliser. Fonctionne en local ou en réseau, avec le grand avantage de faire de la multidiffusion ce qui fait gagner un temps énorme quand il y a beaucoup de PC à cloner. Fog: Solution complète relativement simple à utiliser. Fonctionne en local ou en réseau, avec le grand avantage de faire de la multidiffusion ce qui fait gagner un temps énorme quand il y a beaucoup de PC à cloner. Redo Backup : C’est un liveCD qui est très simple d’utilisation. Il permet de sauvegarder des partitions en s’affranchissant de questions techniques. Il travaille donc en local mais est capable de sauvegarder sur un lecteur réseau. SystemRescueCD : Celui-là c’est le CD à toujours avoir dans sa poche. Il contient un Gentoo avec tous les outils permettant de faire la maintenance d’un poste (partimage, gparted, dd, fdisk et ses amis). On peut tout faire avec, y compris le personnaliser, par contre, il faut connaître un minimum Linux pour l’utiliser. I.2.2 LES SOLUTIONS PAYANTES Symantec Ghost : Solution complète relativement simple à utiliser. Fonctionne en local ou en réseau, avec le grand avantage de faire de la multidiffusion ce qui fait gagner un temps énorme quand il y a beaucoup de PC à cloner. Accompagnée d’outils post-clonage. II LA TÉLÉDISTRIBUTION DES D’APPLICATIONS De nombreuses solutions ont été développées pour les professionnels de l'informatique qui ont besoin de distribuer des logiciels standards sur l'ensemble de leur entreprise, de façon continue. Le concept de "déploiement facile" de ces solutions plaît aussi bien aux petites et moyennes qu'aux grandes entreprises, parce qu'il permet de distribuer à distance des applications et des mises à jour depuis une console d’administration. Ces outils de distribution de logiciels " . . . sont de ceux qui contribuent le plus à la réduction des coûts dans les entreprises. L'automatisation de la distribution des applications et des données peut immédiatement contribuer à alléger les coûts associés à l'envoi de techniciens sur chaque station de travail. " (R. Colville, Gartner, Inc., Décembre 2001) 2 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie Ces solutions permettent donc d’industrialiser les phases d'installation et de mise à jour des logiciels destinés aux postes de travail de l'entreprise ? De nombreux outils de déploiement existent pour répondre à cette question. Basés notamment sur des mécanismes de télédistribution en réseau, ils permettent de régler bien des problèmes, notamment au sein des grandes entreprises présentant des milliers de terminaux à gérer répartis sur plusieurs implantations. Pour ces organisations, l'automatisation de ces actions fait figure d'enjeu central. Plusieurs solutions prennent en charge ce type de déploiement. Parmi elles, on compte Symantec Ghost, OCS Inventory ou encore Landesk Management Suite. Microsoft permet de déploiement de packages « .msi » sur un domaine géré par Active Directory via des GPO. III LA VIRTUALISATION DES APPLICATIONS III.1 DÉFINITION Virtualiser... Un mot qui devient à la mode. Appliqué au logiciel, il revient surtout à récupérer les appels à la base de registre et aux dossiers système, puis à les rediriger, afin d'éviter que le programme n'aille polluer la configuration existante. Toutes les solutions de ce type visent un même objectif : faire fonctionner chaque application dans une bulle pour l'isoler des autres et la séparer du système d'exploitation. Ainsi sont évités les conflits de DLL, et il devient possible, par exemple, d'utiliser Internet Explorer 5 et 6 sans qu'ils se télescopent. Avec un faible impact sur les performances. Une bulle pour chaque application virtualisée agrandir la photo 1. Une couche d'intégration : A la différence de VMware, qui crée une machine virtuelle sur laquelle on installe un système d'exploitation, la virtualisation d'applications rajoute une couche entre un programme donné et le système d'exploitation. Ensuite, cette couche se charge d'intercepter les appels à la base de registre et aux applications. 2. A chaque application ses fichiers système Le système de fichiers et la base de registre virtuels ne sont pas des copies de ceux du système d'exploitation. Ils regroupent uniquement les modifications effectuées par l'application pour qu'elle puisse fonctionner. 3. Des bulles étanches Si l'application veut chambouler la configuration système, elle ne le fera que dans sa copie de la base de registre. De même, elle n'aura accès qu'à ses propres versions de DLL et de fichiers de configuration système. Il n'y a donc pas de conflit avec les autres applications. C'est ce que l'on appelle le concept de bulle. 3 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie 4. Des tests réduits lors des changements d'OS Plusieurs applications peuvent opérer dans différentes bulles. Elles demeurent indépendantes les unes des autres et ne communiquent que par copier/coller dynamique ou statique (OLE ou DDE). Une telle garantie d'indépendance entre les applications limite fortement le volume des tests de régression nécessaires en cas de changement de système d'exploitation. III.2 VMWARE THINAPP VMware ThinApp est une solution de virtualisation d'applications qui permet d'exécuter quasiment tous les types d'applications sur la plupart des environnements d'exploitation Windows, sans aucun conflit. Les utilisateurs peuvent ainsi, par exemple, exécuter Internet Explorer (IE) 6 et IE 7 sur le même système d'exploitation sans interrompre leurs opérations en cours. VMware ThinApp consiste à générer un exécutable (fichier .exe) à partir du programme d'installation du logiciel à virtualiser. Stocké sur un répertoire partagé du réseau ou sur une clé USB, ce fichier sert ensuite à lancer le programme, sans la moindre modification sur la machine hôte. En effet, l'exécutable joue le rôle de conteneur, avec toutes les ressources nécessaires au fonctionnement de l'application (DLL, base de registres virtuelle, etc.). Un seul fichier est donc piloté par un micro-système d'exploitation propriétaire de 300 Ko, et opérationnel sur les plates-formes Windows 32 et 64 bits. III.3 LE STREAMING D’APPLICATIONS Autre intérêt de la virtualisation des applications : les déploiements s'en trouvent simplifiés. En effet, certains outils autorisent le stockage de l'application, de ses DLL et de ses fichiers de configuration sur un serveur. Rien n'est à installer sur le poste local. Du coup, certains n'appellent plus cela de la virtualisation, mais du streaming ou de la télédiffusion d'applications. Cela consiste à n'exporter que la partie "interaction" de l'application, c'est à dire l'affichage et les intéractions clavier/souris. Le programme s'exécute sur un serveur d'application (ex : Citrix), et un flux de donnée transporte les informations d'interaction. Il existe aussi des méthodes qui consistent à envoyer tout (exemple : java web start) ou partie du programme (on envoie uniquement les "briques" nécessaires au client, à la demande). Le principal avantage de cette technologie est l'administration centralisée sur les serveurs d'application. Ainsi, la maintenance est simplifiée et les interventions plus rapides en cas d'incidents. Enfin, les solutions de streaming applicatif utilisent généralement la virtualisation pour sécuriser le système d'exploitation des serveurs d'application (isolation). 4 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie III.4 CITRIX XENAPP Citrix XenApp (anciennement connu sous le nom de Citrix MetaFrame puis Citrix Presentation Server) est un produit de la société Citrix systems basé sur le protocole Independent Computing Architecture (ICA). Il s'agit d'un logiciel serveur permettant de déployer des applications ou des services sur un réseau et d'y accéder à distance à partir de clients légers. On parle de « solution d'infrastructure d'accès ». Par exemple l'installation d'une application se fait sur le serveur et se lance sur celui-ci. L'application s'exécute donc sur le serveur, en utilisant les ressources (CPU, mémoire, espace disque) du serveur. L'affichage et les commandes de clavier/souris sont transmis au poste de travail de l'usager via un réseau local. Cela a pour but de réduire le travail du poste client, permettant ainsi d'utiliser un poste de capacité réduite pour exécuter des applications nécessitant beaucoup de ressources. Pour lancer une application, on se connecte à un portail web contenant les applications auxquelles on a accès. On peut aussi installer sur le poste client un agent qui servira à afficher les applications disponibles à l'utilisateur. Le logiciel client initie la connexion au serveur en spécifiant l'application désirée. L'affichage ainsi que les commandes clavier/souris sont transmis via le réseau local en utilisant un protocole appelé ICA. Celui-ci permet un transfert rapide des données grâce à une méthode de compression développée par Citrix. Ce système permet donc de rendre disponible des applications diverses sans avoir à les installer dans chacun des postes clients qui le nécessitent. On parle ici de streaming applicatif. Citrix XenApp intègre aussi la virtualisation de manière similaire à VMWare ThinApp. Les applications sont packagées et rendues accessibles sur un serveur dédié ou publiées sur les serveurs d'applications pour être rendues disponibles en streaming via le client léger. Le schéma ci dessous représente une architecture typique de la mise en œuvre de Citrix : 5 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie IV LA VIRTUALISATION DU POSTE DE TRAVAIL IV.1 DÉFINITION ET AVANTAGES Le principe d’une infrastructure de postes de travail virtuels est le suivant : plusieurs machines virtuelles (une par poste physique) équipées d’un système d’exploitation de bureau s’exécutent sur un serveur, lui-même fonctionnant avec un système d’exploitation particulier appelé « hyperviseur ». Lorsqu’un utilisateur allume son poste physique, il se connecte à l’une de ces machines et y ouvre une session. L’affichage et le son de cette machine virtuelle sont transférés sur le poste physique par l’intermédiaire du réseau. Chaque éditeur utilise un protocole de connexion à une machine distante qui lui est propre : - RDP (Remote Desktop Protocol) pour Microsoft ; - ICA (Independent Computing Architecture) pour Citrix ; - PCoIP (PC over IP) pour VMware ; - SPICE (Simple Protocol for Independent Computing Environments) pour Red Hat. Les postes physiques servent uniquement à se connecter aux postes virtuels et à en récupérer l’affichage. Les performances du poste physique sont donc presque sans rapport avec les performances constatées par l’utilisateur. Ceci permet d’utiliser pour les mêmes besoins deux ordinateurs aux configurations très différentes. Nous n’abordons pas ici le déploiement des postes physiques qui, bien que simplifié dans une architecture virtualisée, doit être étudié au regard des solutions possibles. Les machines virtuelles partagent toutes le même disque dur (éventuellement répliqué pour répondre aux exigences de vitesse d’accès et de haute disponibilité). Les mises à jour s’effectuent donc de manière centralisée et sont déployées en quelques dizaines de minutes sur tous les postes. Les machines virtuelles sont stockées sous la forme de fichiers. Elles peuvent donc être sauvegardées, copiées, supprimées, ... Si des problèmes surviennent sur une machine virtuelle, la supprimer et la remplacer par une copie d’une machine saine prend quelques minutes. Les postes peuvent être remplacés par des terminaux légers, plus compacts, consommant moins d’énergie et meilleur marché que des machines classiques. Les machines virtuelles peuvent être surveillées de près, ce qui permet d’agir de manière préventive pour éviter les problèmes de performances. IV.2 CONCEPTS En théorie, on pourrait se limiter à cette première architecture. Cependant il faudrait alors : 6 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie Machine virtuelle modèle Broker Gère les connexions aux bureaux virtuels Pool de bureaux virtuels identiques à la machine modèle Postes physiques Hyperviseur - créer à la main chaque machine, même s’il s’agit à chaque fois d’une simple copie ; - allumer une par une les machines virtuelles pour que les utilisateurs puissent s’y connecter ; - déterminer quel utilisateur doit se connecter à quelle machine virtuelle ; laisser à l’utilisateur le contrôle de son poste physique et lui faire lancer la connexion vers une machine virtuelle disponible. Toutes ces opérations sont effectuées automatiquement dans les solutions de virtualisation du marché. Même si les outils varient d’une solution à l’autre, le principe utilisé pour créer les machines virtuelles est simple : il s’agit d’installer entièrement une unique machine virtuelle (système d’exploitation, mises à jour, pilotes d’impression, éventuellement applications, ...) et de créer toutes les autres machines virtuelles en se servant de cette machine « mère » comme modèle. Une copie du disque dur de la machine mère est faite, et les machines filles utilisent toutes cette copie comme leur disque dur local, à ceci près que les écritures sont faites dans un cache individuel et pas sur le disque lui-même. Les procédés utilisés seront détaillés plus loin. IV.2.1 ORIENTER LES UTILISATEURS SUR UNE MACHINE VIRTUELLE DISPONIBLE Les utilisateurs n’ont, à priori, pas accès aux outils de management du parc de machines virtuelles. Il leur est donc difficile d’identifier quelles machines sont allumées ou éteintes et quelles machines déjà 7 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie utilisées ou non. Quand plusieurs centaines d’utilisateurs veulent obtenir une connexion à une machine virtuelle, il faut pouvoir gérer leurs requêtes, les orienter vers une machine virtuelle allumée et disponible, et au besoin en allumer de nouvelles. C’est le rôle du « Broker ». Ce serveur a des noms différents suivants les solutions, mais toujours (à peu près) le même rôle : - Desktop Studio dans la solution de Citrix ; - VCS (View Connection Server) dans la solution VMWare ; - RDS Connection Broker dans la solution Microsoft. IV.2.2 GESTION DE L’ALIMENTATION DES MACHINES VIRTUELLES Les utilisateurs ne peuvent pas allumer ou éteindre à distance les machines virtuelles. Ils peuvent seulement réclamer une connexion à un bureau virtuel auprès du broker. Si aucune machine n’est allumée, aucune connexion n’est possible. Les brokers intègrent donc des fonctions pour démarrer ou éteindre automatiquement des machines virtuelles. On peut les configurer pour qu’il y ait toujours un certain nombre de machines virtuelles allumées et inactives, en attente d’une connexion. Lorsqu’un utilisateur réclame une connexion et utilise une de ces machines, une autre est démarrée par le broker pour conserver un nombre de machines allumées et inactives constant. Ce nombre peut être variable en fonction de l’heure de la journée et du jour de la semaine. Les machines virtuelles allumées et inactives excédentaires sont éteintes par le broker pour économiser de l’énergie. IV.2.3 SURVEILLANCE DES PERFORMANCES Les deux éditeurs ont développé des solutions de surveillance des performances des machines virtuelles (EdgeSight pour Citrix, ESXtop pour VMWare, Remote Desktop Terminal Services pour MS). Ces solutions permettent de détecter les problèmes de performances avant qu’ils ne deviennent bloquants pour l’utilisateur (par exemple, quand une machine consomme une quantité trop importante de ressources, l’administrateur peut en être alerté et rechercher l’origine du problème). IV.2.4 ADMINISTRATION DU PARC DE MACHINES VIRTUELLES L’administration des machines virtuelles se fait depuis des consoles qui diffèrent beaucoup d’une solution à l’autre. Dans la solution Citrix, toutes les informations sont remontées à la console d’administration par l’hyperviseur. Il suffit donc de se connecter à un (ou plusieurs) hyperviseur pour avoir accès aux options de gestion des machines virtuelles. Ceci est possible dans la solution de VMWare, mais ne permet d’accéder qu’à un nombre d’options de gestion limité. Les informations sur toutes les machines virtuelles sont centralisées par un serveur appelé « Virtual Center », auquel se connecte l’administrateur par l’intermédiaire d’un client (« VMWare Infrastructure Client ») pour avoir accès à tout le spectre des options possibles. Cette console principale, qui permet d’allumer, éteindre, surveiller les machines virtuelles (consommation de ressources, de réseau, ...) ainsi que d’interagir avec ces machines, ne gère malheureusement pas toutes les fonctionnalités décrites. Dans l’environnement VMWare, il vous faudra utiliser une console web supplémentaire, celle du View Connection Server, pour administrer votre infrastructure de postes de travail virtuels. Dans l’environnement Citrix, il vous faudra gérer deux consoles supplémentaires (une pour le Desktop Delivery Controller, une pour le Provisioning Server), voire même une troisième si vous utilisez XenApp, la solution de virtualisation d’applications de Citrix. Ces consoles supplémentaires peuvent être réunies en une seule (ce qui ramène le total à deux, comme pour VMWare) car ce sont des « composants logiciels enfichables ». La solution de virtualisation de Microsoft se gère à partir de la console d’administration SCVMM (System Center Virtual Machine Manager). Elle offre le même ensemble de fonctionnalités que les interfaces Citrix et VMWare, et y ajoute même des options telles que la gestion de la répartition de charge ou le déplacement à chaud de machines virtuelles. 8 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie V COMBINER LA VIRTUALISATION DE POSTE DE TRAVAIL ET LA VIRTUALISATION D’APPLICATION Il est tout à fait possible, et même recommandé, de combiner la virtualisation de poste de travail et la virtualisation d’application. Dans ce cas, la machine virtuelle à laquelle se connecte un utilisateur n’a aucune application installée (si ce n’est le client XenApp pour la solution Citrix) et reçoit toutes ses applications en streaming (ou certaines en streaming et d’autres exécutées sur le serveur avec la solution Citrix). On gère ainsi de manière relativement indépendante le poste physique client, le système d’exploitation, et les applications. On peut ainsi mettre à jour une application sans changer l’image du système d’exploitation, et inversement (à moins de changer radicalement de système d’exploitation, comme passer de Windows XP à Windows Seven, auquel cas les packages d’applications devront être recréés). Références http://blog.adminrezo.fr/2012/09/solutions-libres-de-sauvegarde-et-de-clonage-et-tuto/ http://pro.01net.com/editorial/324015/la-virtualisation-dapplications/ http://www-igm.univmlv.fr/~dr/XPOSE2008/virtualisation_et_streaming_d_applications/index.html?action=definition Livre blanc : LA virtualization du poste de travail et des applications par Eureva – Consulting when software matters - www.eureva.fr – 27, Rue Bezout, 75014 PARIS 9 Marie-pascale Delamare Synthèse des supports cités dans la bibliographie