Gestion des solutions techniques d`accès

Gestion des solutions techniques d’accès
De nombreux problèmes liés à la nature du système d’information sont communs à toutes les
entreprises. Lorsque la taille du parc informatique augmente, les activités de maintenance à effectuer
croissent proportionnellement, et il devient compliqué de maintenir le système d’information de
l’entreprise homogène en termes de matériel et de logiciel. Les responsables de service informatique
sont souvent confrontés, entre autres, aux difficultés suivantes :
Parc informatique hétérogène compliquant la réaffectation de postes : les machines
obsolètes sont trop peu puissantes pour permettre l’utilisation de certains logiciels. Elles sont donc
confinées à certaines tâches ;
Mise à jour lente des applications : les mises à jour sont effectuées sur chaque poste et le
déploiement d’une nouvelle application sur des centaines, voire des milliers de postes, prend du temps;
Dégradation des performances : les utilisateurs non expérimentés adoptent des
comportements (utilisation de disques externes infectés par des virus, installation de programmes
inconnus, mauvaise protection contre les logiciels espions, ouverture de pièces jointes dangereuses, ...)
qui nuisent au bon fonctionnement de leur poste de travail. La correction des problèmes ainsi générés
nécessite régulièrement l’intervention des équipes de maintenance informatique.
Les outils ou technologies permettant de faciliter la gestion des solutions techniques d’accès au sein
des entreprises sont les outils de clonage de postes, de télédistribution d’application, de virtualisation
des applications ou de virtualisation des postes de travail.
Un parc peut donc être constitué soit de postes de type Windows Seven, sur lesquels tournent en local
les applications nécessaires aux utilisateurs. Pour ce type de parc, on utilise généralement des solutions
de clonage de postes et des solutions de télédistribution d’applications. Soit de postes physiques
éventuellement légers sur lesquels on virtualise les applications en local ou en streaming (stockées sur
un serveur distant et diffusées en streaming vers le client), ou solution ultime sur lequel on virtualise
un poste de travail.
Ce document a pour but de présenter ces différentes solutions.
I
I.1
LE CLONAGE
DÉFINITION
Une application de clonage permet de créer une image d’une partition, d’un lecteur logique ou même
d’un disque complet d’ordinateur souvent appelé « Master ». L’image se présente sous la forme d’un
fichier compressé ou non stocké sur tout type de supports, lecteurs réseaux compris.
Les fichiers images sont ensuite utilisés localement sur une machine, en restauration de partitions
système ou de données. Ils peuvent également être utilisés pour dupliquer ou cloner un ordinateur sur
des machines semblables.
Les opérations de création d’image et de restauration ou de duplication d’ordinateurs sont
extrêmement rapides par rapport à une installation manuelle des systèmes d’exploitation et des
logiciels. C’est la raison de la diffusion quasi-universelle des logiciels de clonage et de leur emploi
dans la gestion de machines individuelles, de groupes de travail ou de réseaux évolués.
1
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie
I.2
I.2.1
LES SOLUTIONS DE CLONAGE
LES SOLUTIONS LIBRES :
Clonezilla : Solution complète relativement simple à utiliser. Fonctionne en local ou en réseau, avec le
grand avantage de faire de la multidiffusion ce qui fait gagner un temps énorme quand il y a beaucoup
de PC à cloner.
Fog: Solution complète relativement simple à utiliser. Fonctionne en local ou en réseau, avec le grand
avantage de faire de la multidiffusion ce qui fait gagner un temps énorme quand il y a beaucoup de PC
à cloner.
Redo Backup : C’est un liveCD qui est très simple d’utilisation. Il permet de sauvegarder des partitions
en s’affranchissant de questions techniques. Il travaille donc en local mais est capable de sauvegarder
sur un lecteur réseau.
SystemRescueCD : Celui-là c’est le CD à toujours avoir dans sa poche. Il contient un Gentoo avec
tous les outils permettant de faire la maintenance d’un poste (partimage, gparted, dd, fdisk et ses
amis). On peut tout faire avec, y compris le personnaliser, par contre, il faut connaître un minimum
Linux pour l’utiliser.
I.2.2
LES SOLUTIONS PAYANTES
Symantec Ghost : Solution complète relativement simple à utiliser. Fonctionne en local ou en réseau,
avec le grand avantage de faire de la multidiffusion ce qui fait gagner un temps énorme quand il y a
beaucoup de PC à cloner. Accompagnée d’outils post-clonage.
II
LA TÉLÉDISTRIBUTION DES D’APPLICATIONS
De nombreuses solutions ont été développées pour les professionnels de l'informatique qui ont besoin
de distribuer des logiciels standards sur l'ensemble de leur entreprise, de façon continue. Le concept de
"déploiement facile" de ces solutions plaît aussi bien aux petites et moyennes qu'aux grandes
entreprises, parce qu'il permet de distribuer à distance des applications et des mises à jour depuis une
console d’administration. Ces outils de distribution de logiciels " . . . sont de ceux qui contribuent le
plus à la réduction des coûts dans les entreprises. L'automatisation de la distribution des applications et
des données peut immédiatement contribuer à alléger les coûts associés à l'envoi de techniciens sur
chaque station de travail. " (R. Colville, Gartner, Inc., Décembre 2001)
2
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie
Ces solutions permettent donc d’industrialiser les phases d'installation et de mise à jour des logiciels
destinés aux postes de travail de l'entreprise ? De nombreux outils de déploiement existent pour
répondre à cette question. Basés notamment sur des mécanismes de télédistribution en réseau, ils
permettent de régler bien des problèmes, notamment au sein des grandes entreprises présentant des
milliers de terminaux à gérer répartis sur plusieurs implantations. Pour ces organisations,
l'automatisation de ces actions fait figure d'enjeu central.
Plusieurs solutions prennent en charge ce type de déploiement. Parmi elles, on compte Symantec
Ghost, OCS Inventory ou encore Landesk Management Suite.
Microsoft permet de déploiement de packages « .msi » sur un domaine géré par Active Directory via
des GPO.
III LA VIRTUALISATION DES APPLICATIONS
III.1
DÉFINITION
Virtualiser... Un mot qui devient à la mode. Appliqué au logiciel, il revient surtout à récupérer les
appels à la base de registre et aux dossiers système, puis à les rediriger, afin d'éviter que le programme
n'aille polluer la configuration existante.
Toutes les solutions de ce type visent un même objectif : faire fonctionner chaque application dans une
bulle pour l'isoler des autres et la séparer du système d'exploitation. Ainsi sont évités les conflits de
DLL, et il devient possible, par exemple, d'utiliser Internet Explorer 5 et 6 sans qu'ils se télescopent.
Avec un faible impact sur les performances.
Une bulle pour chaque application virtualisée
agrandir la photo
1. Une couche d'intégration : A la différence de VMware, qui crée une machine virtuelle sur laquelle
on installe un système d'exploitation, la virtualisation d'applications rajoute une couche entre un
programme donné et le système d'exploitation. Ensuite, cette couche se charge d'intercepter les appels
à la base de registre et aux applications.
2. A chaque application ses fichiers système Le système de fichiers et la base de registre virtuels ne
sont pas des copies de ceux du système d'exploitation. Ils regroupent uniquement les modifications
effectuées par l'application pour qu'elle puisse fonctionner.
3. Des bulles étanches Si l'application veut chambouler la configuration système, elle ne le fera que
dans sa copie de la base de registre. De même, elle n'aura accès qu'à ses propres versions de DLL et de
fichiers de configuration système. Il n'y a donc pas de conflit avec les autres applications. C'est ce que
l'on appelle le concept de bulle.
3
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie
4. Des tests réduits lors des changements d'OS Plusieurs applications peuvent opérer dans
différentes bulles. Elles demeurent indépendantes les unes des autres et ne communiquent que par
copier/coller dynamique ou statique (OLE ou DDE). Une telle garantie d'indépendance entre les
applications limite fortement le volume des tests de régression nécessaires en cas de changement de
système d'exploitation.
III.2
VMWARE THINAPP
VMware ThinApp est une solution de virtualisation d'applications qui permet d'exécuter quasiment
tous les types d'applications sur la plupart des environnements d'exploitation Windows, sans aucun
conflit. Les utilisateurs peuvent ainsi, par exemple, exécuter Internet Explorer (IE) 6 et IE 7 sur le
même système d'exploitation sans interrompre leurs opérations en cours.
VMware ThinApp consiste à générer un exécutable (fichier .exe) à partir du programme d'installation
du logiciel à virtualiser. Stocké sur un répertoire partagé du réseau ou sur une clé USB, ce fichier sert
ensuite à lancer le programme, sans la moindre modification sur la machine hôte. En effet, l'exécutable
joue le rôle de conteneur, avec toutes les ressources nécessaires au fonctionnement de l'application
(DLL, base de registres virtuelle, etc.). Un seul fichier est donc piloté par un micro-système
d'exploitation propriétaire de 300 Ko, et opérationnel sur les plates-formes Windows 32 et 64 bits.
III.3
LE STREAMING D’APPLICATIONS
Autre intérêt de la virtualisation des applications : les déploiements s'en trouvent simplifiés. En effet,
certains outils autorisent le stockage de l'application, de ses DLL et de ses fichiers de configuration sur
un serveur. Rien n'est à installer sur le poste local. Du coup, certains n'appellent plus cela de la
virtualisation, mais du streaming ou de la télédiffusion d'applications.
Cela consiste à n'exporter que la partie "interaction" de l'application, c'est à dire l'affichage et les
intéractions clavier/souris. Le programme s'exécute sur un serveur d'application (ex : Citrix), et un flux
de donnée transporte les informations d'interaction. Il existe aussi des méthodes qui consistent à
envoyer tout (exemple : java web start) ou partie du programme (on envoie uniquement les "briques"
nécessaires au client, à la demande). Le principal avantage de cette technologie est l'administration
centralisée sur les serveurs d'application. Ainsi, la maintenance est simplifiée et les interventions plus
rapides en cas d'incidents. Enfin, les solutions de streaming applicatif utilisent généralement la
virtualisation pour sécuriser le système d'exploitation des serveurs d'application (isolation).
4
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie
III.4
CITRIX XENAPP
Citrix XenApp (anciennement connu sous le nom de Citrix MetaFrame puis Citrix Presentation
Server) est un produit de la société Citrix systems basé sur le protocole Independent Computing
Architecture (ICA). Il s'agit d'un logiciel serveur permettant de déployer des applications ou des
services sur un réseau et d'y accéder à distance à partir de clients légers. On parle de « solution
d'infrastructure d'accès ».
Par exemple l'installation d'une application se fait sur le serveur et se lance sur celui-ci. L'application
s'exécute donc sur le serveur, en utilisant les ressources (CPU, mémoire, espace disque) du serveur.
L'affichage et les commandes de clavier/souris sont transmis au poste de travail de l'usager via un
réseau local. Cela a pour but de réduire le travail du poste client, permettant ainsi d'utiliser un poste de
capacité réduite pour exécuter des applications nécessitant beaucoup de ressources. Pour lancer une
application, on se connecte à un portail web contenant les applications auxquelles on a accès. On peut
aussi installer sur le poste client un agent qui servira à afficher les applications disponibles à
l'utilisateur.
Le logiciel client initie la connexion au serveur en spécifiant l'application désirée. L'affichage ainsi
que les commandes clavier/souris sont transmis via le réseau local en utilisant un protocole appelé
ICA. Celui-ci permet un transfert rapide des données grâce à une méthode de compression développée
par Citrix. Ce système permet donc de rendre disponible des applications diverses sans avoir à les
installer dans chacun des postes clients qui le nécessitent. On parle ici de streaming applicatif.
Citrix XenApp intègre aussi la virtualisation de manière similaire à VMWare ThinApp. Les
applications sont packagées et rendues accessibles sur un serveur dédié ou publiées sur les serveurs
d'applications pour être rendues disponibles en streaming via le client léger. Le schéma ci dessous
représente une architecture typique de la mise en œuvre de Citrix :
5
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie
IV LA VIRTUALISATION DU POSTE DE TRAVAIL
IV.1
DÉFINITION ET AVANTAGES
Le principe d’une infrastructure de postes de travail virtuels est le suivant : plusieurs machines
virtuelles (une par poste physique) équipées d’un système d’exploitation de bureau s’exécutent sur un
serveur, lui-même fonctionnant avec un système d’exploitation particulier appelé « hyperviseur ».
Lorsqu’un utilisateur allume son poste physique, il se connecte à l’une de ces machines et y ouvre une
session. L’affichage et le son de cette machine virtuelle sont transférés sur le poste physique par
l’intermédiaire du réseau. Chaque éditeur utilise un protocole de connexion à une machine distante qui
lui est propre :
-
RDP (Remote Desktop Protocol) pour Microsoft ;
-
ICA (Independent Computing Architecture) pour Citrix ;
-
PCoIP (PC over IP) pour VMware ;
-
SPICE (Simple Protocol for Independent Computing Environments) pour Red Hat.
Les postes physiques servent uniquement à se connecter aux postes virtuels et à en récupérer
l’affichage. Les performances du poste physique sont donc presque sans rapport avec les performances
constatées par l’utilisateur. Ceci permet d’utiliser pour les mêmes besoins deux ordinateurs aux
configurations très différentes. Nous n’abordons pas ici le déploiement des postes physiques qui, bien
que simplifié dans une architecture virtualisée, doit être étudié au regard des solutions possibles.
Les machines virtuelles partagent toutes le même disque dur (éventuellement répliqué pour
répondre aux exigences de vitesse d’accès et de haute disponibilité). Les mises à jour s’effectuent donc
de manière centralisée et sont déployées en quelques dizaines de minutes sur tous les postes.
Les machines virtuelles sont stockées sous la forme de fichiers. Elles peuvent donc être
sauvegardées, copiées, supprimées, ... Si des problèmes surviennent sur une machine virtuelle, la
supprimer et la remplacer par une copie d’une machine saine prend quelques minutes.
Les postes peuvent être remplacés par des terminaux légers, plus compacts, consommant moins
d’énergie et meilleur marché que des machines classiques.
Les machines virtuelles peuvent être surveillées de près, ce qui permet d’agir de manière
préventive pour éviter les problèmes de performances.
IV.2
CONCEPTS
En théorie, on pourrait se limiter à cette première architecture. Cependant il faudrait alors :
6
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie
Machine virtuelle
modèle
Broker
Gère les connexions
aux bureaux virtuels
Pool de bureaux virtuels
identiques à la machine modèle
Postes physiques
Hyperviseur
-
créer à la main chaque machine, même s’il s’agit à chaque fois d’une simple copie ;
-
allumer une par une les machines virtuelles pour que les utilisateurs puissent s’y connecter ;
-
déterminer quel utilisateur doit se connecter à quelle machine virtuelle ;
laisser à l’utilisateur le contrôle de son poste physique et lui faire lancer la connexion vers une
machine virtuelle disponible.
Toutes ces opérations sont effectuées automatiquement dans les solutions de virtualisation du marché.
Même si les outils varient d’une solution à l’autre, le principe utilisé pour créer les machines virtuelles
est simple : il s’agit d’installer entièrement une unique machine virtuelle (système d’exploitation,
mises à jour, pilotes d’impression, éventuellement applications, ...) et de créer toutes les autres
machines virtuelles en se servant de cette machine « mère » comme modèle. Une copie du disque dur
de la machine mère est faite, et les machines filles utilisent toutes cette copie comme leur disque dur
local, à ceci près que les écritures sont faites dans un cache individuel et pas sur le disque lui-même.
Les procédés utilisés seront détaillés plus loin.
IV.2.1 ORIENTER LES UTILISATEURS SUR UNE MACHINE VIRTUELLE DISPONIBLE
Les utilisateurs n’ont, à priori, pas accès aux outils de management du parc de machines virtuelles. Il
leur est donc difficile d’identifier quelles machines sont allumées ou éteintes et quelles machines déjà
7
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie
utilisées ou non. Quand plusieurs centaines d’utilisateurs veulent obtenir une connexion à une machine
virtuelle, il faut pouvoir gérer leurs requêtes, les orienter vers une machine virtuelle allumée et
disponible, et au besoin en allumer de nouvelles. C’est le rôle du « Broker ». Ce serveur a des noms
différents suivants les solutions, mais toujours (à peu près) le même rôle :
-
Desktop Studio dans la solution de Citrix ;
-
VCS (View Connection Server) dans la solution VMWare ;
-
RDS Connection Broker dans la solution Microsoft.
IV.2.2 GESTION DE L’ALIMENTATION DES MACHINES VIRTUELLES
Les utilisateurs ne peuvent pas allumer ou éteindre à distance les machines virtuelles. Ils peuvent
seulement réclamer une connexion à un bureau virtuel auprès du broker. Si aucune machine n’est
allumée, aucune connexion n’est possible. Les brokers intègrent donc des fonctions pour démarrer ou
éteindre automatiquement des machines virtuelles. On peut les configurer pour qu’il y ait toujours un
certain nombre de machines virtuelles allumées et inactives, en attente d’une connexion. Lorsqu’un
utilisateur réclame une connexion et utilise une de ces machines, une autre est démarrée par le broker
pour conserver un nombre de machines allumées et inactives constant. Ce nombre peut être variable en
fonction de l’heure de la journée et du jour de la semaine. Les machines virtuelles allumées et
inactives excédentaires sont éteintes par le broker pour économiser de l’énergie.
IV.2.3 SURVEILLANCE DES PERFORMANCES
Les deux éditeurs ont développé des solutions de surveillance des performances des machines
virtuelles (EdgeSight pour Citrix, ESXtop pour VMWare, Remote Desktop Terminal Services pour
MS). Ces solutions permettent de détecter les problèmes de performances avant qu’ils ne deviennent
bloquants pour l’utilisateur (par exemple, quand une machine consomme une quantité trop importante
de ressources, l’administrateur peut en être alerté et rechercher l’origine du problème).
IV.2.4 ADMINISTRATION DU PARC DE MACHINES VIRTUELLES
L’administration des machines virtuelles se fait depuis des consoles qui diffèrent beaucoup d’une
solution à l’autre.
Dans la solution Citrix, toutes les informations sont remontées à la console d’administration par
l’hyperviseur. Il suffit donc de se connecter à un (ou plusieurs) hyperviseur pour avoir accès aux
options de gestion des machines virtuelles.
Ceci est possible dans la solution de VMWare, mais ne permet d’accéder qu’à un nombre d’options de
gestion limité. Les informations sur toutes les machines virtuelles sont centralisées par un serveur
appelé « Virtual Center », auquel se connecte l’administrateur par l’intermédiaire d’un client («
VMWare Infrastructure Client ») pour avoir accès à tout le spectre des options possibles.
Cette console principale, qui permet d’allumer, éteindre, surveiller les machines virtuelles
(consommation de ressources, de réseau, ...) ainsi que d’interagir avec ces machines, ne gère
malheureusement pas toutes les fonctionnalités décrites. Dans l’environnement VMWare, il vous
faudra utiliser une console web supplémentaire, celle du View Connection Server, pour administrer
votre infrastructure de postes de travail virtuels. Dans l’environnement Citrix, il vous faudra gérer
deux consoles supplémentaires (une pour le Desktop Delivery Controller, une pour le Provisioning
Server), voire même une troisième si vous utilisez XenApp, la solution de virtualisation d’applications
de Citrix. Ces consoles supplémentaires peuvent être réunies en une seule (ce qui ramène le total à
deux, comme pour VMWare) car ce sont des « composants logiciels enfichables ».
La solution de virtualisation de Microsoft se gère à partir de la console d’administration SCVMM
(System Center Virtual Machine Manager). Elle offre le même ensemble de fonctionnalités que les
interfaces Citrix et VMWare, et y ajoute même des options telles que la gestion de la répartition de
charge ou le déplacement à chaud de machines virtuelles.
8
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie
V
COMBINER LA VIRTUALISATION DE POSTE DE TRAVAIL ET LA VIRTUALISATION
D’APPLICATION
Il est tout à fait possible, et même recommandé, de combiner la virtualisation de poste de travail et la
virtualisation d’application. Dans ce cas, la machine virtuelle à laquelle se connecte un utilisateur n’a
aucune application installée (si ce n’est le client XenApp pour la solution Citrix) et reçoit toutes ses
applications en streaming (ou certaines en streaming et d’autres exécutées sur le serveur avec la
solution Citrix). On gère ainsi de manière relativement indépendante le poste physique client, le
système d’exploitation, et les applications. On peut ainsi mettre à jour une application sans changer
l’image du système d’exploitation, et inversement (à moins de changer radicalement de système
d’exploitation, comme passer de Windows XP à Windows Seven, auquel cas les packages
d’applications devront être recréés).
Références
http://blog.adminrezo.fr/2012/09/solutions-libres-de-sauvegarde-et-de-clonage-et-tuto/
http://pro.01net.com/editorial/324015/la-virtualisation-dapplications/
http://www-igm.univmlv.fr/~dr/XPOSE2008/virtualisation_et_streaming_d_applications/index.html?action=definition
Livre blanc : LA virtualization du poste de travail et des applications par Eureva – Consulting when software
matters - www.eureva.fr – 27, Rue Bezout, 75014 PARIS
9
Marie-pascale Delamare Synthèse des supports cités dans la bibliographie