Dossier poste de travail : la virtualisation approche de la maturité
Les analystes sont d’accord sur le sujet : la virtualisation du poste de travail décolle. Certes, le phénomène est loin d’une adoption étendue telle que celle que peut connaître la virtualisation côté serveurs. Mais les barrières psychologiques semblent avoir sauté. Il faut reconnaître aux acteurs du secteur leurs nombreux efforts en ce sens. Pédagogiques, notamment, alors que, pour certaines entreprises, le concept même relève de la science-fiction. Mais techniques, aussi, pour apporter au poste de travail virtualisé un confort d’utilisation aussi proche que possible de celui du client lourd classique. Des efforts qui sont encore toutefois loin d’être achevés.
Poste de travail : la virtualisation approche de la maturité
En février dernier, Gartner estimait que le chiffre d’affaires mondial de l’industrie logicielle de la virtualisation atteindrait 2,7 Md$ en 2009, soit 43 % de plus qu’en 2008. Le niveau de pénétration de cette technologie dans les entreprises devrait en profiter pour passer de 12 à 20 %. Selon le cabinet, c’est en bonne partie à la virtualisation du poste de travail que le marché doit son insolente santé dans le contexte actuel. Gartner estime en effet que ce seul domaine d’application de la virtualisation générera près de 300 M$ de chiffre d’affaires en 2009, trois fois plus qu’en 2008. Un marché naissant, mais très dynamique donc. Une santé quasiment insolente qui trouve son explication dans un faisceau d’éléments.
La promesse d’une exploitation simplifiée
La virtualisation du poste de travail tombe tout d’abord à point nommé dans un contexte de crise : elle doit permettre de réduire les coûts d’exploitation. En mai 2008, Brian Gammage, analyste du Gartner, relevait ainsi que « dans en environnement modérément administré, les coûts indirects d’exploitation du poste de travail peuvent représenter 50 % de la facture totale. » Avec la virtualisation, l’entreprise « trace une ligne pour délimiter les responsabilités de chacun. » Bref, l’utilisateur final dispose d’un environnement de travail, virtualisé, administré par la DSI, et avec lequel il doit travailler... et c’est tout. Dans certaines entreprises, aux Etats-Unis notamment, la démarche est poussée plus loin : l’entreprise accorde un budget à son collaborateur pour qu’il achète l’ordinateur qu’il veut et se contente de fournir l’environnement de travail. En contrepartie, l’utilisateur est responsable de la partie physique de son équipement. Une logique qui, en France, se heurte notamment à des contraintes fiscales.
L’autre promesse de la virtualisation, c’est la sécurité, avec un hyperviseur qui offre une surface d’attaque réduite par rapport à un OS classique. En outre, les solutions de sécurité qui pourront s’interfacer directement sur l’hyperviseur – et elles arrivent, notamment en profitant des API vSafe de VMware – peuvent profiter d’une visibilité considérablement étendue sur ce qui se passe dans la machine virtuelle. Pour mieux la protéger.
Dans le cadre d’un entretien accordé au MagIT, Bernard Ourghanlian, directeur technique et sécurité de Microsoft France, relevait aussi d’autres perspectives, particulièrement alléchantes : « mettre un terme au cauchemar de la migration que représente l’arrivée d’un nouveau système d’exploitation dans l’entreprise. » De fait, avec la virtualisation, plus besoin de s’interroger sur la compatibilité du parc applicatif existant… Une approche retenue par Microsoft avec le mode de compatibilité XP de Windows 7.
Des soucis à régler sur le plan technique
Mais la technologie ne manque pas, pour l’heure, de points faibles. La connectivité en est un : par essence, un poste de travail virtualisé doit, pour que son utilisateur puisse travailler, accéder au centre de calcul. Avec View 4, VMware propose bien une solution permettant de supporter des postes de travail virtualisés asynchrones (travaillant parfois en mode déconnecté donc). Mais la solution n’est pour l’heure supportée par l’éditeur que dans le cadre de déploiements expérimentaux. L’avènement des hyperviseurs clients de type 1, attendue pour 2010, devrait apporter une réponse à ces questions. Une réponse incomplète car elle ne règle pas la question de la qualité de la bande passante, et notamment des temps de latence. Là, Akamaï, par exemple, cherche à profiter de ses infrastructures pour apporter une solution, via son offre IP Application Accelerator. Et de revendiquer d’ailleurs un partenariat avec Citrix, pour XenDesktop.
Des usages à réinventer
Reste aussi la question de la personnalisation de l’environnement de travail, une logique qui peut sembler, en première lecture, opposée à celle de l’industrialisation apportée par la virtualisation. C’est sur ce terrain qu’intervient notamment Res Software, avec sa solution PowerFuse. Philippe Pech, directeur commercial de Res Software, résume la situation du point de vue de l’entreprise : « dans certains cas, la DSI fournit un service aux utilisateurs, qui, au final, la paient. La DSI doit alors rendre des comptes à son client. » Un client exigeant qui ne veut pas simplement une machine virtuelle, mais un environnement de travail qui soit taillé en fonction de ses besoins métiers. C’est là qu’intervient la personnalisation et la gestion des utilisateurs. Les solutions de RingCube ou de Mokafive permettent une approche de ce type où l’environnement virtuel est exécuté au dessus de l’OS de la machine hôte : ce dernier peut être personnalisé à volonté par l’utilisateur, tandis que le premier est standardisé. Avec le risque, néanmoins, de perdre au moins une partie de l’industrialisation apportée par la virtualisation.
Pour corriger cela, une solution comme PowerFuse vise à gérer l’environnement de travail et sa personnalisation dans une couche logicielle au sommet de la pile OS/applications. Une approche qui a convaincu La France Mutualiste et Le Pays Voironnais. Mais aussi VMware et Citrix. « L’utilisateur est encore mal adressé par leurs solutions, explique Philippe Pech. Ils nous regardent du coin de l’œil et nous travaillons ensemble. » Carole Manuali, responsable solutions postes de travail chez VMware pour la France, ne cache d’ailleurs pas l’intérêt de l’éditeur pour ce type de solutions.
Les coûts cachés de la virtualisation du poste de travail |
Les spécialistes de la virtualisation l’oublient volontiers – ou au moins en donnent-ils l’impression – : la virtualisation des postes de travail nécessite quelques prérequis. Jean-Pierre Ullmo, directeur des solutions Business Service Management chez CA, les énumère : « organiser son stockage autour d’un SAN, virtualiser ses serveurs, ce sont des étapes nécessaires. » Ne serait-ce que parce qu’elles sont susceptibles d’apporter la maîtrise des hyperviseurs aux équipes internes. « Mais ce n’est pas suffisant. Il faut étudier la combinatoire des technologies en fonctions des services à rendre et des profils des utilisateurs. » De fait, le seul terme de virtualisation, appliqué au poste de travail, recouvre plusieurs réalités allant de la simple virtualisation des applications – pour en simplifier le déploiement, notamment – à celle de l’environnement de travail avec une infrastructure VDI. Des réalités qu’il peut être pertinent de combiner, selon les cas : « une infrastructure exclusivement VDI ne convient qu’à des petits projets, de 100 à 500 postes. Au-delà, les coûts de stockage explosent. » Des projets en outre assez spécifiques, comme dans le cas du renouvellement des systèmes d’exploitation. Comme avec l’arrivée de Windows 7 ? « Certains client commencent en effet à envisager la virtualisation dans ce contexte », reconnaît Jean-Pierre Ullmo. Bref, pour lui, « il faut veiller à éviter une approche monolithique. » Un raisonnement dans lequel XenDesktop 4 s’intègre à merveille. Mais la réflexion ne doit pas, pour autant, s’arrêter là et d’autres éléments sont à surveiller, comme la bande passante sur le réseau, la conduite du changement auprès des utilisateurs et l’évaluation des bénéfices qu'ils retireront de la solution. Mais, potentiellement, il peut être pertinent d’envisager aussi des coûts induits : pour Jean-Pierre Ullmo, « dans un contexte [de virtualisation des postes de travail], l’IAM [gestion des identités et accès, NDLR] devient très important. » Et là, on parle de projets lourds profondément structurant pour l’entreprise. |
VMware mise sur la version 4 de View pour accélérer la virtualisation des postes de travail
Accélérer l’adoption. C’est la mission de la nouvelle mouture de View, la solution de virtualisation du poste de travail de VMware. Celle-ci intègre notamment le support de vSphere ainsi que celui de PCoIP, la technologie de Teradici conçue pour améliorer le support des applications 3D/HD sur les postes de travail virtualisés. Mais d’autres évolutions, comme l’hyperviseur client de type 1 ou encore la gestion non expérimentale de l’asynchronisme, devront attendre. Et il en va de même pour le support complet de Windows 7 dans les machines virtuelles.
« Cette nouvelle génération de View doit permettre d’accélérer l’adoption de la virtualisation du poste de travail en levant les freins qui s’y opposent. » C’est l’ambition affichée par Carole Manuali, responsable solutions postes de travail chez VMware pour la France. Et d’insister sur deux freins : « les coûts de mise en œuvre » d’une part, et « l’expérience utilisateur » de l’autre. C’est le support de vSphere, la plateforme de virtualisation d’infrastructures de VMware lancée officiellement fin avril dernier, qui doit, avec View 4, lever le premier obstacle. De fait, et comme l’avait alors annoncé Paul Maritz, Pdg de VMware, les déploiements View 4 peuvent s’appuyer sur une infrastructure vSphere existante avec, à la clé, des avantages tels que l’équilibrage de charge automatique ou encore une évolutivité plus transparente. Surtout, ce support doit permettre d’unifier l’administration des postes de travail et des serveurs virtualisés, dans le centre de calcul. Au-delà, cette intégration implique également le support de vMotion pour la migration des machines virtuelles afin d'assurer une meilleure disponibilité et une gestion simplifiée des éventuelles défaillances matérielles.
La seconde problématique doit trouver une réponse dans le support officiel de PCoIP (soit PC over IP), la solution de la start-up canadienne Teradici pour l’optimisation matérielle, centralisée, du rendu graphique 3D/HD. Ce support prend sa source dans un partenariat annoncé lors de VMworld, la manifestation organisée par VMware en septembre 2008. La solution de Teradici a ensuite fait l’objet de démonstrations lors de la conférence VMworld, à Cannes, en février dernier. Bref, ce qui était de l’ordre du travail en cours passe désormais au stade de fonctionnalité supportée en environnement de production.
Des avancées majeures qui devront attendre
On peut difficilement en dire autant de l’initiative CVP, pour Client Virtualization Platform. Cet hyperviseur de type 1 pour poste de travail doit venir compléter l’offre View et tirer notamment partie de la technologie vPro d’Intel pour le volet administration. Une réponse de VMware à l’alliance entre Citrix et Intel pour le développement d’un hyperviseur de type 1 basé sur Xen. Mais, comme dans le cas de Citrix, CVP devra attendre courant 2010, indique Carole Manuali.
La fonctionnalité Offline Desktop, qui doit répondre à la problématique de l’utilisation des machines virtuelles en mode déconnecté, introduite avec View 3 en décembre 2008, continue de se contenter d’un support « expérimental. » Plus surprenant encore, Windows 7, en tant que système d’exploitation pour les machines virtuelles, hérite du même traitement. Pour VMware, ce support « expérimental » doit surtout permettre aux entreprises de « réduire le coût et la complexité associés à la migration des postes de travail vers Windows 7. » Mais de manière expérimentale donc, pour le moment. Une limitation dont on peut trouver une explication dans l’analyse de Carole Manuali sur le lancement du nouvel OS client de Microsoft : pour elle, « la virtualisation du poste de travail évolue très vite ; nous étendons ses scénarios d’usage. Et aujourd’hui, quitte à investir, les DSI préfèrent le faire dans quelque chose qui va vite. » Bref, les DSI préfèreraient miser sur la virtualisation, plutôt que sur le changement de leur OS client.
Enfin, de son côté, l'outil facilitant les déploiements industriels ThinApp (hérité du rachat de Thinstall par VMware) n’évolue pas : il reste en version 4.0 – lancée en juin 2008 –, proposé de manière intégrée dans l’édition Premier de View 4 ou comme produit indépendant.
Les clones liés réservés à l'offre Premier
Pour View 4, VMware a choisi de maintenir une politique tarifaire basée sur le nombre d’utilisateurs simultanés. En version Entreprise, View 4 est ainsi proposé à partir de 150 $ par utilisateur simultané. La version Premier est quant à elle disponible à partir 250 $/utilisateur. Cette édition donne notamment accès au mode déconnecté ainsi qu’à View Composer, l’outil qui permet de construire des images de postes de travail virtuels en profitant de la technologie des clones liés pour réduire les besoins en ressources de stockage (les images effectivement utilisées ne contiennent pas l’image maître, mais uniquement les éléments ajoutés ou modifiés par l’utilisateur). ThinApp est également intégré dans la solution.
XenDesktop 4, véritable couteau suisse de la virtualisation du poste de travail
Virtualiser les applications, l’environnement de travail complet, déporter simplement un affichage… la virtualisation du poste de travail recouvre, en réalité, de nombreuses variantes techniques. Chacune amenant son lot de questions à l’heure du choix. Avec XenDesktop 4, Citrix a voulu éviter aux entreprises de choisir : la solution propose un package complet laissant ouvertes toutes les hypothèses techniques, jusqu’à permettre de les associer au sein d’un même parc. Bref, le choix sans l’embarras. Mais pas sans un certain coût.
Pour répondre au besoin de mélanger les multiples formes de virtualisation du poste de travail, Citrix a placé au cœur de XenDesktop 4 la technologie FlexCast. Pour résumer, de manière un peu simpliste, FlexCast permet, avec une même licence XenDesktop, de choisir au cas par cas entre virtualisation complète du poste de travail, virtualisation des applications, ou simple streaming d’affichage vers un poste client, depuis le centre de calcul. Là où, auparavant, il fallait choisir sans se tromper entre une licence VDI ou une licence XenApp. Pour Guillaume Le Tyrant, responsable marketing produit chez Citrix, c’est bien simple, « avec ce panel de solutions de fourniture du poste de travail virtualisé activables à la demande, nous apportons une réponse aux besoins d’évolution des environnements de nos clients » : plus besoin de renégocier ses licences pour faire migrer tout ou partie de son parc d’une méthode à l’autre ; FlexCast supporte l’ensemble. Et histoire d’assurer une ouverture aussi vaste que possible, XenDesktop 4 supporte même les hyperviseurs de VMware et de Microsoft – pour ne rien gâcher, XenDesktop est même compatible avec la suite d’administration de l’éditeur de Redmond, System Center. Pour un hyperviseur poste de travail de type 1, bare metal, signé Citrix, il faudra attendre le premier semestre 2010.
Des limitations… tarifaires
Sur le papier, XenDesktop 4 s’affiche donc comme une solution ouverte et particulièrement flexible. Côté portefeuille, c’est un peu moins vrai. De fait, XenDesktop 4 est proposé en trois éditions – Standard, Enterprise, et Platinum –, de 75 à 350 $ par utilisateur (en licence perpétuelle, ou de 35 à 145 $ en licence annuelle). L’édition Standard ne donne accès qu’à un éventail limité des possibilités de FlexCast avec distribution du poste de travail via VDI ou RDP. Pour accéder à plus – postes de travail virtualisés partagés, machines virtuelles sur le poste de travail lourd, virtualisation d’application –, il faut au moins opter pour l’édition Enterprise, facturée 225 $/utilisateur. C’est d’ailleurs à partir de cette édition qu’il est possible d’accéder à des fonctions avancées comme la gestion des images des machines virtuelles, la gestion des profils et des packages applicatifs ou encore la supervision des machines virtuelles et la gestion de la consommation énergétique de l’infrastructure d’exécution des environnements virtualisés. L’édition Platinum, à 350 $ par utilisateur, ajoute à cela l’authentification SSO, ainsi que des fonctions de gestion de la qualité de service ou encore d'analyse de la configuration de sécurité du poste client, notamment. Bref, à de nombreux égards, l’édition Standard de XenDesktop 4 ressemble à un produit d’appel tout au plus susceptible d’inciter à migrer rapidement vers une édition plus complète.
Néanmoins, face à la fronde de certains de ses clients, Citrix a quelque peu amendé sa politique tarifaire pour XenDesktop 4. Et l’éditeur de proposer une licence par terminal plutôt que par utilisateur (en option), de commercialiser une version limitée à VDI (Virtual Desktop Infrastructure) – et tant pis si la solution perd, au passage, ses airs de couteau suisse –, et enfin de mettre au catalogue une offre de licences en volume, à l’échelle d’un campus, pour le marché de l’éducation.
L’offre de licence par terminal doit en particulier répondre aux besoins de certains secteurs d’activité, comme l’industrie, « où il arrive que plusieurs utilisateurs partagent le même terminal », explique Citrix. De quoi donner plus de souplesse à l’offre de l’éditeur, du moins sur le plan commercial.
Enfin, la construction d’une version limitée à VDI doit permettre de répondre aux aspirations de clients qui entendent se limiter à cette technologie pour leurs déploiements et ne souhaitent pas payer pour l’ensemble des options de XenDesktop 4. De quoi ramener le prix de la licence à 95 $ par utilisateur et terminal ou à 195 $ par utilisateur concurrent.
A noter que, pour les utilisateurs de XenApp, Citrix vient de lancer une campagne de promotion pour encourager la migration de XenApp vers XenDesktop 4 proposant, jusqu’en juin 2010, deux licences XenDesktop 4 pour une licence XenApp.
Une nouvelle mouture de HDX optimisée |
XenDesktop 4 embarque la nouvelle version de HDX, la technologie maison utilisée pour le support des applications multimédia et des périphériques USB sur les postes de travail virtualisés. Cette nouvelle mouture a été présentée en septembre dernier, à l’occasion du salon VMworld de San Francisco. Elle intègre notamment des optimisations spécifiques aux applications 3D intensives, promettant une consommation de bande passante « 10 fois » inférieure à celle « de solutions alternatives, tout en garantissant une expérience utilisateur haute définition. » Citrix revendique en outre des optimisations pour les contenus Flash, les communications temps réel, ou encore des périphériques USB spécifiques – claviers, systèmes de dictée vocale, etc. HDX IntelliCache doit permettre d’optimiser l’utilisation des ressources réseau ndash ; il n’est disponible qu’avec l’édition Platinum de XenDesktop 4. |
Wyse poursuit ses efforts pour amener au Thin Client l’expérience du client lourd
Améliorer le confort d’utilisation. C’est le principal objectif affiché par Wyse avec les enrichissements apportés à son offre client léger. Mais cela ne s’arrête pas là : au-delà du confort, il y a la perspective de nouvelles applications. Wyse a mis à jour, en décembre 2008, son offre logicielle TCX, autorisant un meilleur support de la vidéo, du multi-affichage, des flux audio et des périphériques USB connectés au client léger. Avec cette mise à jour, la société étend la portée de son architecture CPA – Collaborative Processing Architecture – de répartition de la charge entre serveur et client léger, avec le protocole ICA de Citrix aussi bien qu'avec le RDP 6.0 de Microsoft ou le VDI de VMWare.
Une expérience utilisateur qui se rapproche de celle du client lourd
Le composant TCX Virtualizer 2.0 assure la gestion des périphériques USB connectés au client léger au sein du poste de travail virtuel, qu’il s’agisse d’imprimantes, de scanners, de supports de stockage, de terminaux mobiles, de webcam ou de casques audio. TCX Multi-display 1.2 permet lui au poste de travail virtuel de gérer jusqu’à 6 écrans connectés au client léger. De quoi répondre aux besoins des salles de marché, notamment. TCX Rich Sound 1.0 assure de son côté le support des flux audio aussi bien descendant que montant, y compris pour des applications telles que la téléphonie sur IP. Conséquence de cette extension de TCX, ThinOS, le système d’exploitation maison de Wyse, passe à la version 6.3 afin de profiter des nouveaux apports.
Laurent Charreyron, vice-président Europe du Sud de Wyse, explique : « en étendant notre architecture CPA à des flux qui, initialement, n’étaient pas concernés, comme les flux audio montant, nous cherchons à rapprocher l’expérience utilisateur du client léger de celle du client lourd. » De quoi ouvrir les clients légers à de nouvelles applications.
Afin de concrétiser les évolutions de son offre logicielle, Wyse a également lancé de nouveaux terminaux clients légers. Les R50LE, livrés avec Suse Linux Enterprise, et R90LE, sous Windows XP Embedded, se distinguent tout particulièrement par leur possibilité d’extension par cartes PCI Express, mais aussi par le support natif de deux écrans 2560x1600, de l’affichage de vidéos HD 720p et du Bluetooth 2.0 pour la voix sur IP.
IBM accommode le poste de travail virtuel à la sauce Cloud
IBM a profité de la grand messe de la virtualisation, VMworld, qui se déroulait à San Francisco au mois de septembre dernier, pour présenter une offre de postes de travail virtualisés hébergés dans ses centres de calcul. Le tout assorti d'une facturation mensuelle sur la base des usages, et sans frais d'entrée. De quoi potentiellement séduire les entreprises, freinées depuis des années par tout changement sur le poste de travail en raison des coûts de migration.
C’est en tout cas cette logique que privilégie IBM avec son offre Smart Business Desktop Cloud (SBDC), présentée comme « le premier service de poste de travail dans le Cloud public. » Au-delà d’une utilisation forcément opportuniste du terme très médiatique de Cloud, Big Blue lance là un authentique service de poste de travail OnDemand s’appuyant sur la virtualisation. A l’heure où Microsoft commercialise Windows 7 en espérant bien l’imposer sur les postes de travail du plus grand nombre d’entreprises, IBM s’associe à Citrix, Desktone, VMware et Wyse pour proposer un poste de travail virtualisé, sur client lourd ou léger, sur le mode de l’abonnement.
VDI, version Cloud
Concrètement, côté infrastructure, l’offre SBDC s’appuie sur les services d’infrastructure virtualisée d’IBM et, en particulier, sur ses datacenters, pour les ressources de calcul et de stockage. VMware apporte l’hyperviseur ; Citrix, son broker de connexions HDX ; Wyse peut fournir des clients légers.
C’est la solution Desktops as a Service (DaaS) – bien nommée – de Desktone, qui fournit la brique essentielle de l’offre de Big Blue. Celle-ci repose sur Virtual-D de l’éditeur, une plateforme qui se pose en tiers de médiation entre entreprise utilisatrice et fournisseur de services – IBM, dans le cas présent – pour l’ensemble des fonctionnalités de l’infrastructure VDI. C’est notamment Virtual-D, via son composant Access Fabric, qui assure l’association entre utilisateurs individuels et postes de travail virtuels. Côté entreprise utilisatrice, Virtual-D apporte les services nécessaires à l’administration des postes de travail, à leur provisionnement ainsi qu’à leur déploiement : automatisation des tâches de maintenance, gestion du cycle de vie des machines virtuelles, supervision et reporting, etc. Le tout via une interface Web, Virtual-D Enterprise Center.
Souplesse et investissements limités
Du côté des utilisateurs individuels, Virtual-D propose un portail Web de self-service – permettant même la création de machines virtuelles si les utilisateurs y sont autorisés – ainsi que l’accès distant à leur poste de travail virtuels, via une applet Java. Les entreprises pourront retenir un package applicatif prédéfini par IBM – comprenant la suite bureautique Office – ou bien transférer leurs propres applications aux postes de travail virtuels.
IBM a commercialisé son offre Smart Business Desktop Cloud en Amérique du Nord et en Europe courant octobre. Les détails tarifaires de la solution n’ont pas été communiqués.\
Les RSSI face au défi de la sécurisation des environnements virtuels
La virtualisation doit-elle conduire à repenser les architectures de sécurité des SI ? Oui... et non. Pour Gérôme Billois, manager de la practice sécurité et gestion du risque du cabinet de conseil Solucom, « dans tous les cas, il faut faire de la sécurité comme on en faisait avant : un serveur, même virtuel, reste un serveur, visible sur le réseau. Même chose pour les postes clients : il ne faut pas oublier les bonnes pratiques. » Le ton est donné : la promesse d’isolation logique des systèmes virtualisés, par l’hyperviseur, ne suffit pas à produire une couche de sécurité suffisante pour renoncer aux méthodes classiques.
Une promesse d’isolation qui a, de toute façon, ses limites, avec le risque de « rebond entre machines virtuelles » pour un code malicieux. Reste que, pour Gérôme Billois, la probabilité associée à ce risque « est assez faible. » Même son de cloche chez l'éditeur Sourcefire, où Martin Roesch, directeur technique et créateur du célèbre système de détection d'intrusion Snort, assure : « le meilleur moyen de sécuriser l’hyperviseur, c’est déjà d’en réduire la taille. ESX, par exemple, ne pèse que 6 Mo. » Pour le reste, si l’hyperviseur concentre toutes les communications – et constitue de facto un nœud particulièrement intéressant pour un pirate –, « il s’agit d'échanges comme tous les autres. C’est donc un problème classique. » Bref, pour écouter du trafic de machines virtuelles, le faire au niveau de l’hyperviseur n’apporte pas grand chose par rapport à la prise de contrôle d’un commutateur.
Commencer par contrôler l’accès à la console d’administration
En fait, pour Gérôme Billois, le meilleur moyen aujourd’hui de protéger l’hyperviseur, c’est d’abord de contrôler finement et sévèrement les droits d’accès correspondant : « si quelqu’un vient à prendre le contrôle de l’hyperviseur, il peut lancer un déni de service massif. Le risque de pertes de données est également très élevé si quelqu’un venait à supprimer les images des machines virtuelles. » Bref, pour lui, la sécurisation d’un environnement virtualisé doit commencer par la protection de l’administration de cet environnement, en démarrant avec les postes permettant l’accès aux consoles d’administration. Vient ensuite la sécurisation du stockage.
Au-delà, pour se protéger des risques liés aux éventuels défaut d’imperméabilité de l’hyperviseur, « il ne faut pas virtualiser ensemble des systèmes aux besoins de sécurité très différents, » estime Gérôme Billois. Selon lui, mieux vaut créer des silos en fonction des contextes de sécurité : « chez nos clients, on considère même l’organisation des datacenters en fonction des besoins en matière de niveaux de sécurité. »
La sécurité s’invite dans l’hyperviseur
Au-delà, et notamment pour associer étroitement fonctions de sécurité et hyperviseur, on flirte avec la découverte d’un nouveau monde. Pour Martin Roesch, « c’est une assez bonne idée que d'ajouter des outils de contrôle d’application des politiques de sécurité au-dessus de l’hyperviseur. » Une idée séduisante qui permet de gérer une partie des questions de sécurité non plus au niveau des machines virtuelles, mais directement au niveau de l’hyperviseur. Mais là, relève Gérôme Billois, « il n’y a que VMware qui permette cela, avec vSafe. C’est un sujet en pleine évolution. CheckPoint travaille dans ce sens, Cisco aussi. » Une perspective qui ne manque pas d’intérêt : « cela permet de couvrir des menaces de bas niveau comme les rootkits (programme pirate permettant de maintenir un accès frauduleux, ndlr), par exemple. Mais aussi, cela ouvre la voie à une simplification, à un assouplissement de l’infrastructure de sécurité. Par exemple, dans le cadre d’un PCA (plan de continuité de l'activité, NDLR), on peut migrer une machine virtuelle d’un serveur à l’autre, tout en préservant son contexte de sécurité. »
IBM se prepare à lancer ses solutions de sécurité pour vSafe |
C’est un travail de longue haleine que se prépare à finaliser IBM avec, notamment, l’aide de sa division sécurité ISS. Après avoir lancé, au premier semestre, ses premières appliances virtuelles de sécurité – Proventia Virtualized Network Sécurity Platform, avec notamment détection et prévention d’intrusion et sécurisation des accès Web, ainsi que Proventia Network Mail Security System pour la protection des messageries électroniques – IBM s’apprête, d’ici la fin de l’année, à présenter les premiers fruits de son initiative Phantom. Lancée en avril 2008, Phantom vise à proposer des solutions de protection des machines virtuelles – sans agent résident – et de l’hyperviseur basées sur l’API vSafe de VMware. En particulier, la solution résultant de l’initiative Phantom – dont le nom devrait être Proventia Server for VMware – doit profiter de la visibilité que lui donnera l’API vSafe sur les ressources matérielles partagées par les machines virtuelles pour superviser leur exécution – et leurs échanges – ainsi que le fonctionnement de l’hyperviseur, mais également les interfaces réseau (LAN et VLAN). Le tout devant être intégralement administrable via Proventia SiteProtector. |
Hyperviseur de type 1 client : c’est pour 2010
Simplifier l’administration des postes de travail, réduire les coûts associés, tracer une ligne précise entre ce qui relève de la responsabilité des salariés et de celle de l’entreprise… Ce sont quelques-unes des promesses de la virtualisation du poste de travail. Des promesses qui ne devraient pleinement se concrétiser qu’avec l’arrivée des hyperviseurs de type 1 (ou bare metal) pour le poste client – à savoir, exécutés sans le support d’un système d’exploitation hôte. Concrètement, comme sur les serveurs, il s’agit d’installer un hyperviseur sur le disque dur du poste client, hyperviseur lancé au démarrage de la machine et chargé de démarrer une première machine virtuelle, puis une seconde, voire une troisième, etc. Autant, sur un serveur, c’est à peu près simple, autant, sur le poste client, c’est un véritable casse-tête.
En effet, il faut cette fois gérer des éléments comme la carte graphique, un composant pour lequel la virtualisation n’est pas encore complètement maîtrisée dans les hyperviseurs de type 2, ceux qui s’exécutent dans le système d’exploitation du poste de travail. Et il y a les ports USB : « lorsqu'on branche un périphérique, à quelle machine virtuelle doit-il être affecté ? », relevait, en janvier 2009, Guillaume Le Tyrant, responsable marketing produits chez Citrix pour l’Europe du Sud. Autant de points qui doivent être réglés et qui justifient l’association de spécialistes des processeurs graphiques au projet Xen Client Initiative, un projet Open Source visant à adapter Xen aux postes clients.
Une course entre Citrix et VMware...
En janvier dernier, Citrix et Intel se sont associés pour développer, ensemble, une solution complète de distribution, d’administration et d’exécution de machines virtuelles sur le poste client, via un hyperviseur de type 1. Ce dernier sera basé sur Xen. La collaboration avec Intel doit notamment apporter l’optimisation de la solution pour la technologie d’administration vPro du fondeur. Et s’il faudra attendre 2010 pour voir la concrétisation de ces efforts, Citrix a tout de meme profité de VMworld, à Cannes, en février dernier, pour faire la démonstration, sur son stand, d’un prototype de son hyperviseur de type 1 développé en coopération avec Intel. Après le test décevant de celui de Phoenix, également basé sur Xen, l’hyperviseur de Citrix apparaît étonnamment efficace. De fait, ce dernier permet à une machine virtuelle, dite « principale » de profiter pleinement des capacités d’accélération graphique matérielles de la machine hôte ; démonstration faite avec la parfaite lecture d’une vidéo HD sur un PC portable avec Vista fonctionnant au dessus de l’hyperviseur prototype. Les propriétés de la machine, affichées par Windows, confirment : Vista dispose d’un accès direct à la puce graphique du PC. L’astuce est là : permettre à une machine virtuelle d’accéder directement aux contrôleurs vidéo de l’hôte. Mais l’astuce trahit aussi certaines limites de ce prototype : l’accès direct au contrôleur vidéo ne peut pas être transmis d’une machine virtuelle à l’autre. Et il en va de même des ports USB. Mais il ne s’agit que d’un prototype.
Démonstration du prototype d'Hyperviseur de Type 1 de Citrix
envoyé par LeMagIT
VMware n’est pas en reste et s’est lui aussi associé à Intel pour développer et promouvoir CVP – Client Virtualization Platform. Cet hyperviseur de type 1 pour PC, viendra compléter l'offre VMware View pour la doter de capacités d'exécution d'environnements de travail virtualisés tant en mode connecté que déconnecté. Le tout fonctionnera sur les puces Core 2 et Centrino 2 d'Intel et fera usage de la technologie vPro du fondeur afin d’améliorer l’administration des postes de travail virtualisés. Bref CVP apparaît clairement comme la réponse du tac au tac de VMware à l'alliance récente entre Citrix et Intel.
…avec Microsoft en embuscade
Et Microsoft ? En février dernier, Bernard Ourghanlian, directeur technique et sécurité de la filiale française de l'éditeur, expliquait, en réponse à une question du MagIT sur l’absence d’hyperviseur de type 1 pour poste client avec Windows 7 : « en réfléchissant à moyen terme, il est facile d’imaginer un environnement d'hypervision pour poste de travail que l'on pourrait baptiser Hyper-V 3. Pour qu'un tel hyperviseur apparaisse, nous avons besoin de terminer nos travaux de nettoyage du noyau Windows pour arriver à ce que nous appelons « MinWin ». On a besoin d'avoir un noyau Windows minimal - sujet sur lequel on travaille déjà depuis longtemps -, qui soit modulaire de façon à ce que l'on puisse débrayer des composants comme Internet Explorer ou le Shell [Ce que Bernard Ourghanlian appelle ici Le Shell est en fait l'interface graphique de Windows, l'équivalent du Finder de Mac OS X ou de KDE pour Linux, NDLR]. […] Il faut également que ce nouveau noyau soit capable de fonctionner sans Shell. A partir de ce moment, on aura un noyau d'exécution minimal et qui sera adapté à l'accueil d'un hyperviseur. Il faudra ensuite adapter cet hyperviseur aux contraintes d'usage d'un poste client. Emuler une carte VGA comme on le fait aujourd'hui avec Hyper-V n'est par exemple pas acceptable pour un hyperviseur client du fait de l'impact sur les performances. De même, il faudra implémenter des capacités d'entrées sorties directes utilisant les extensions des processeurs AMD et Intel car ces fonctionnalités sont très intéressantes pour un usage desktop. Sur un portable où par exemple les disques durs ne sont déjà pas très rapides, elles éviteront de perdre beaucoup de performances en matière d'entrées sorties. Tous ces travaux sont en cours... » Des travaux qui laissent donc penser qu’après s’être laissé à la poursuite de Citrix et de VMware sur le terrain de la virtualisation des applications, avec App-V, Microsoft s’apprête à jouer une seconde partie, sur le poste client, avec un Hyper-V taillé sur mesure.
Virtual Computer virtualise les postes clients |
Virtual Computer a profité de VMworld 2009, à San Francisco en septembre dernier, pour faire la démonstration de sa solution de virtualisation de postes clients et de distribution et d'administration d'environnements de travail. La solution de l'éditeur s'appuie sur un hyperviseur pour poste de travail basé sur Xen. Ce dernier s'installe sur les postes clients et permet d'héberger en parallèle plusieurs environnements de travail. Cet hyperviseur fournit des services avancés de sécurité tels que le chiffrage des données locales, l'effacement en cas de vol, l'application de politiques d'accès aux périphériques USB, etc. Il travaille de pair avec la console d'administration NxTop Center de l'éditeur, qui permet à l'administrateur de créer des environnements de travail personnalisés ou génériques, et de définir des politiques de distribution des environnements par type de machines, d'utilisateurs... NxTop Center supporte le packaging d'environnements Linux et Windows, mais est plus particulièrement optimisé pour permettre la gestion des environnements Windows XP, Windows Vista et Windows 7. |
La Communauté de communes de l’aéroport du Bourget virtualise son millier de postes de travail
La Communauté de Communes de l’aéroport du Bourget, ce sont trois villes et, surtout, un millier de postes de travail répartis entre les services d’accueil au public, les postes bureautiques, les services d’études – qui utilisent AutoCAD –, des écoles, des mairies, des machines en libre service pour les habitants, etc. L’enjeu, pour David Larose, DSI de la mairie de Drancy en charge du projet de virtualisation de ces postes de travail ? Mettre en place une infrastructure consolidée et évolutive. Le tout dans un contexte de réflexion sur le renouvellement du parc de PC.
Le déploiement a débuté courant septembre, avec une centaine de terminaux en exploitation – « et un objectif de 500 à fin 2009. Le projet a pris un peu de retard, avec des indisponibilités de personnel liées à la grippe, notamment. » Tout devra être néanmoins terminé à la fin du premier trimestre 2010.
Une solution associant VDI et virtualisation d’applications
La solution retenue repose sur une infrastructure de type VDI, supportée par 16 serveurs lames installés dans le centre de calcul de Drancy. Un chiffre qui peut paraître faible mais s’explique par les usages liés aux postes de travail concernés – « principalement de la bureautique ; la consommation en ressources CPU est limitée. » Des applications qui sont elles-mêmes virtualisées avec ThinApp : « cela nous a permis de limiter les templates de machines virtuelles avec un seul master Windows XP. » Les besoins en ressources de stockage sont quant à eux réduits par le recours à la technologie des clones liés : seuls les éléments de divergence entre le poste virtuel et son modèle sont effectivement stockés ; « Le SAN de 6 To suffit largement. Il y a un an, lorsque la technologie des clones liés n’était pas disponible, j’aurais effectivement eu besoin de plus », commente le DSI.
Côté compétences, David Larose a pu s’appuyer ses équipes, déjà formées à la virtualisation des serveurs – un projet mené de septembre à novembre 2008 : « on a joué le transfert de compétences pour éviter que nos collaborateurs se contentent d’appuyer sur des boutons. » Des équipes qui, en partie, seront redéployées sur les applications métiers grâce à l’industrialisation de l’exploitation du parc de postes de travail liée à leur virtualisation. Avec ce projet à quelque 400 000 € HT, David Larose estime avoir réalisé une économie de l’ordre de 20 % par rapport à un renouvellement de parc – certains PC ont au passage gagné une seconde jeunesse. Une première économie qui en appelle d’autres, notamment en électricité, avec une consommation réduite d’environ 2,2 GW en 3 ans.
Un changement mené par le haut
Pour s’assurer de l’adhésion des utilisateurs au projet, David Larose a commencé par impliquer la direction générale des services. Dont les membres ont à la fois servi d’exemples et de… bêta testeurs. De la même manière, à l’échelle de chaque service, « on a commencé par équiper les utilisateurs les plus exigeant. » Le tout agrémenté par une dimension confort d’utilisation avec le remplacement des claviers et des souris. Deux difficultés ont néanmoins été rencontrées, en particulier pour la population ayant recours à des applications de CAO : « on a conduit des tests en associant VDI et terminaux Wyse en 2008… Nous avons eu des soucis pour le double affichage. Mais cela s’est fortement amélioré en l’espace d’un an. » Au final, seul les utilisateurs nomades devraient, pour le moment, échapper à la virtualisation : « ils conservent leurs portables. » Même chose pour les 30 Mac déployés à la Mairie de Drancy.
Capgemini virtualise les postes de travail du ministère hollandais de l'Agriculture
Cette année, Capgemini a signé un contrat de 5 ans avec le ministère hollandais de l'Agriculture. Si ce contrat prévoit classiquement l'administration de toute l'infrastructure (9 000 postes de travail, réseau, serveurs, stockage, téléphonie fixe, coordination de la téléphonie mobile et de l'impression), il couvre également la conception d'un poste de travail dédié au ministère. Capgemini a été retenu en proposant une solution à base de virtualisation, les environnements des agents devant être hébergés dans le datacenter du prestataire, à Amsterdam.
La SSII indique avoir choisi, pour la majorité des agents, les clients légers Sun Ray, qui viendront supplanter les traditionnels PC. Capgemini utilisera également le logiciel de poste de travail virtuel du même Sun, couplé à un hyperviseur de VMware. L'environnement des agents lui-même sera très largement bâti à base de briques Open Source, comme le spécifiait l'appel d'offres européen passé par l'administration néerlandaise.
Selon Capgemini, ce contrat, qui s'accompagne du transfert d'environ 50 informaticiens, s'élève à environ 50 millions d'euros.
A Orléans, la Setao entame la virtualisation de ses postes de travail
La Setao – Société d’exploitation des transports de l’agglomération orléanaise – entame la migration de près de 300 postes de travail lourds vers une solution associant terminaux légers Wyse et virtualisation avec VMware View 3 mais aussi… App-V. Une opération onéreuse mais qui ouvre à la voie à de nombreux gains.
Car, pour la Setao, la maîtrise de l’énergie est une priorité, selon son administrateur systèmes et réseaux, Olivier Parcollet, qui explique que l’entreprise est certifiée ISO 14001 : « notre ancien directeur voulait décliner notre approche green dans tous les domaines. » Du coup, même si la virtualisation des infrastructures informatiques, des serveurs aux postes de travail, ne permet que quelques « milliers d’euros » d’économie par an, elle est validée. Les politiques tarifaires ne sont d’ailleurs pas pour rien dans le fait que l’économie n’ait rien de spectaculaire. Car Olivier Parcollet se souvient de la réaction d’EDF après la virtualisation de ses serveurs : « EDF ne comprenait pas ; ils ont pensé à une panne de compteur et l’ont changé… »
Aujourd’hui, la Setao exploite deux fermes sous VMware Infrastructure 3.5 – lequel a permis le passage de 32 serveurs Dell 1425 à 3 serveurs bi-Xeon par ferme, avec un capacité CPU libre par serveur pour assurer la redondance en cas de panne. Les deux sites fonctionnent en mode réplication, à 19 km de distance, via une synchronisation sur IP. Une infrastructure qui doit évoluer prochainement en Fibre Channel sur Ethernet (FCoE) avec passage du réseau à 10 Gbps. Un réseau de 24 km au total, avec 60 points d’accès dans toute l’agglomération orléanaise : « il offre des services à la Setao et à ses clients : vidéo-surveillance ; supervision du trafic du tramway ; information en temps réel pour les usagers ; sonorisation des stations ; interconnexion des locaux de la Setao (5 sites principaux) », explique Olivier Parcollet.
Un coût significatif
Au milieu de tout cela, la Setao ne compte finalement que relativement peu de postes utilisateurs : « nos principaux utilisateurs, ce sont les conducteurs – environ 500 personnes – mais qui n’accèdent au SI, avec des applications comme le portail ressources humaines, qu’à travers des postes banalisés », constate Olivier Parcollet. Le reste de ses troupes représente 250 à 300 postes lourds qui doivent migrer vers un client léger Wyse avec View 3, après une phase expérimentale sur une dizaine d’utilisateurs. Un investissement conséquent. Olivier Parcollet a chiffré à 26 450 euros HT, après négociation, le coût pour 50 postes de travail – sur les 250 à 300 qu’il prévoit de virtualiser : cinquante terminaux Wyse v10L, un serveur bi-Xeon 2,6 GHz avec 32 Go de mémoire vive, une interface Fiber Channel Qlogic bi-canal, deux disques SAS à 15000 t/min, 50 licences VMware View 3 Premier (pour bénéficier des fonctionnalités de clones liées et de virtualisation d’applications ThinApp), 50 licences Windows XP, 1 To de stockage en SAN. Et d’estimer à 25 000 euros HT le coût d’un parc de clients lourds équivalents. Un peu plus cher, donc. Mais de nombreux bénéfices sont attendus.
Des gains opérationnels importants
Sur le terrain de la consommation électrique, tout d’abord : « un petit client Wyse consomme 14 Wh [et 600 Wh pour le serveur 50 postes], tandis qu’un PC peut monter à 300 Wh… » Mais aussi sur celui de la fiabilité : « lors d'un chantier, un coup de pioche malheureux peut couper une liaison ; l’utilisateur qui travaillait à ce moment-là sur un document ouvert sur le réseau va perdre ses données. » Ce qui n’est pas le cas si la machine virtuelle continue imperturbablement de s’exécuter sur un serveur. Même chose en cas de coupure électrique impromptue.
Le confort d’utilisation d’une machine immédiatement disponible dès la mise en route du poste de travail – « parce que la machine n’est qu’en sommeil sur le serveur » - n’est pas négligé non plus : « pour l’utilisateur final, ça boote en quelques secondes. » Présenté comme un « PC light », le terminal a été accepté sans peine. Et puis, « si un utilisateur me demande une application spécifique, disponible uniquement sous Linux, par exemple, je ne peux plus lui dire non ! », s'amuse l'administrateur
A cela s’ajoutent des avantages en termes d'administration précisément : « 10 minutes pour préparer un client Wyse contre une à six heures pour un client lourd. […] Quand je dois remplacer un client léger, il part par coursier, dans un petit carton ; l’utilisateur le branche tout seul. » Impensable avec un PC classique – « on a bien essayé de faire des ghost [des images génériques prêtes à installer sur les clients lourds, NDLR], mais on s’est retrouvés à ne gérer que du spécifique… ». Et puis, pour les gros calculs, « il y a la puissance du serveur ; ça peut aller beaucoup, beaucoup plus vite. » Pour Olivier Parcollet, avec cet effort de virtualisation, « il n’y a plus de déperdition de puissance CPU ou de mémoire vive qui passe l’essentiel de son temps à dormir. »
Mais il faut encore ajouter les bénéfices relatifs au plan de reprise de l’activité. « Toutes les VM des utilisateurs ne sont pas dupliquées, mais très rapides à reconstruire à partir de leurs modèles. » Une « légèreté » que peut se permette l’administrateur dans la mesure où, en plus de VMware View, il utilise App-V, de Microsoft, pour la virtualisation des applications. Du coup, ni les applications ni les données – hébergées sur les serveurs – ne risquent d’être perdues. Et là, Olivier Parcollet voit un avantage à la virtualisation en mode client/serveur : « l’intégration des postes de travail au PRA est impossible avec un hyperviseur bare metal (ou de type 1, NDLR). » Et puis, « si on nous demande de passer à Vista ou à Windows 7, il nous suffira de mettre à jour les images modèles des postes de travail ». Sans avoir à redéployer toutes les applications. La fonction des clones liés de VMware View 3 accélérera encore le processus.
Une technologie qui n'est pas applicable à tous...
Mais tout n’est pas bon à virtualiser. A commencer par les clients lourds exigeant en termes de performances graphiques. « Le chipset graphique du client Wyse ne propose que 15 bits de profondeur de couleurs ; c’est très insuffisant pour le marketing. » Les postes de travail les plus lourds, comme ceux dédiés à la vidéo-surveillance, qui affichent, en temps réel, neuf flux vidéos, ne peuvent pas plus, en l’état, être virtualisés. Mais la solution récemment présentée par Teradici, sur VMwold Europe, à Cannes, pourrait ouvrir de nouvelles perspectives : en assurant le rendu au niveau du serveur, puis en diffusant les trames sur le réseau, elle déleste complètement le poste client de tout rendu graphique.
Au final, Olivier Parcollet insiste sur les moyens limités, « de PME », dont il dispose : « si j’avais les budgets, j’appellerais un prestataire pour me déployer 50 postes, sans y penser. » Dans son cas, il n’en est pas question : « nous sommes trois pour gérer l'ensemble. Il faut faire preuve d’imagination et être rationnel. La virtualisation nous a permis d’utiliser nos ressources de manière optimale. »
Pourqui App-V plutôt que ThinApp ? |
Malgré une architecture virtualisée s’appuyant massivement sur les outils VMware, Olivier Parcollet, administrateur systèmes et réseaux de la Setao, a retenu App-V, de Microsoft, de préférence au ThinApp de VMware, pour la virtualisation de ses applications : « parce qu’App-V présente un haut niveau d’intégration avec Active Directory. » Ce qui simplifie tant la gestion des déploiements que celle des licences. Et App-V ne serait pas plus gourmand que ThinApp en ressources CPU, selon les tests menés en interne à la Setao. Ce serait même l’inverse, à iso-utilisation : « c’est du factuel, on l’a testé. » |
Agrica virtualise ses postes de travail… en réponse à des bandes passantes limitées
Voilà qui n’est pas banal. Agrica vient de virtualiser près de 900 postes de travail, avec les solutions VMware, afin, principalement, de répondre à des contraintes de bande passante limitée pour certains de ses sites de province et pour ses travailleurs nomades. A la clé, un ensemble d’une efficacité certaine mais dont l’équation économique n’est que partiellement définie.
Le groupe Agrica gère la retraite, la prévoyance, l’épargne et la couverture santé des salariés du monde agricole, avec 1,4 million de cotisants et 156 000 entreprises adhérentes en 2007. Ce sont 875 postes de travail qui y ont été virtualisés, notamment pour les commerciaux nomades ainsi que dans 13 sites provinciaux. Julien Mousqueton, architecte systèmes et réseaux chez Agrica, raconte : « avant, nos populations nomades avaient accès à un portail Web, à Lotus Notes, à notre intranet et à Internet, et c’est tout. Maintenant, ils ont accès à Word, Excel, etc. » Et d’évoquer aussi le cas de sites provinciaux d’Agrica, connectés au SI central par des liens SDSL de faible capacité (jusqu’à 512 kbps) : « pour ouvrir certains fichiers [dont le stockage est centralisé sur le SAN parisien de l’organisation, NDLR], il fallait plusieurs minutes, le temps d’aller prendre un café », raconte Julien Mousqueton. C’est donc de là qu’est partie la réflexion : « est-ce que l’on augmente notre bande passante, ou est-ce que l’on trouve une solution sur notre réseau existant ? »
Efficace, même en 3G
Et le résultat s’avère plutôt convaincant. Dans la pratique, la connexion au poste de travail virtuel, en accès distant, se fait après connexion au réseau interne d’Agrica, via un VPN SSL. Une applet Java entre ensuite en jeu, avant que ne puisse se faire effectivement l’ouverture de session sous Windows, sur le poste de travail virtuel. Sur une connexion 3G – et même GPRS/EDGE – l’ensemble ne prend qu’environ une minute, temps de saisie des identifiants inclus. Par la suite, l’utilisation est plus que confortable. Seul bémol : certains rafraichissements graphiques peuvent être saccadés, comme lorsque l’on fait défiler une page Web dans un navigateur. Démonstration en images.
Connexion VMware View sur réseau mobile 3G
envoyé par LeMagIT
La direction du développement d’Agrica, qui a endossé le rôle de bêta testeur, a tout de suite adhéré au projet, déclenchant sa généralisation. Une démarche qui a grandement facilité l’adoption par les utilisateurs : « on a fait une démonstration un jeudi à un directeur commercial ; le lendemain, nous recevions les premières demandes. » Mais quelques soucis ont tout de même été identifiés. Les populations habituées à travailler avec deux écrans – 400 personnes – doivent désormais se contenter d’un seul : RDP, le protocole utilisé, supporte encore mal ce type de configuration et les quelques essais conduits autour de solutions complémentaires n’ont pas été concluants. Surtout, leur coût aurait été bien plus élevé qu’un seul écran 24 pouces ; la solution de remplacement finalement retenue. Le poste de travail virtuel ne semble surtout pas encore adapté aux populations exploitant des applications de création graphique, ne serait-ce que pour des impératifs de conformité de la colorimétrie tout au long de la chaine graphique.
Au-delà apparaissent encore quelques problèmes d’usage, liés aux habitudes : « certains utilisateurs enregistrent des fichiers dans le dossier Mes Documents de leur PC portable physique et ne comprennent pas, ensuite, pourquoi ils ne les retrouvent pas dans leur poste de travail virtuel. On réfléchit à changer le fond d’écran, par exemple. » Certains utilisateurs, en outre, oublient d’éteindre le poste virtuel avant d’arrêter le poste physique sur lequel ils l’utilisent : « c’est arrivé à l’un de mes collègues ; 33 jours sans redémarrer et… un écran bleu. Mais, tous les week-ends, on peut forcer l’arrêt et le redémarrage des postes ».
Un surcoût à l’acquisition
Dans ce projet, l’inconnue principale réside dans la dimension économique. Certes, Julien Mousqueton reconnaît un surcoût d’acquisition, par poste de travail, de l’ordre de 50 % par rapport à un poste non virtualisé. Ce surcoût est notamment lié aux licences, mais également aux équipements, même si, pour Agrica, l’infrastructure serveurs était déjà virtualisée à 90 % : « le socle était déjà opérationnel et maîtrisé. Mais on a dédié des serveurs ESX aux postes de travail, en raison des montées de versions qui ne sont pas forcément synchrones, ainsi que pour isoler précisément les responsabilités. » Suivant la même logique, un nouveau LUN sur le SAN existant a été dédié aux postes de travail. Un SAN dont la sollicitation a fortement augmenté : « c’est simple, 875 multiplié par 22 Go… », calcule l'architecte. Soit près de 20 To. Résultat : « nos baies sont quasiment en limite de capacité. On étudie des solutions ; la déduplication en fait partie. » Les ressources CPU des serveurs ne sont en revanche pas trop violemment sollicitées, avec entre 5 et 8 postes virtuels par cœur : « on ne va pas au maximum de notre capacité CPU ; on répartit entre les deux salles de notre centre de calcul, mais on doit pouvoir, en mode dégradé, ne fonctionner que sur un seul. »
Une administration simplifée
Quid des coûts d’administration ? Ils ne sont pas chiffrés : la DSI d’Agrica ne refacture pas ses prestations en interne. Mais Julien Mousqueton ne tarit pas d’éloges sur l’administration désormais grandement simplifiée de ses postes de travail : « tout se fait à partir d’une console Web. » Et encore, il n’est pas allé jusqu’à utiliser certaines fonctions de gestion des postes et des configurations par groupe, « pour des raisons de licences sur les logiciels que nous utilisons. » Et puis, au moment de lancer le projet, ThinApp ne faisait pas partie de la solution VMware ; VDI n’en était qu’à la version 2. « On commence à regarder ThinApp et l’on pense à créer des groupes adossés à ActiveDirectory pour la gestion des droits d’utilisation », explique Julien Mousqueton, qui envisage ce projet pour cette année. Le passage à ThinApp devrait en outre permettre de réduire les besoins en stockage.
A la marge, Julien Mousqueton relève que, outre une solution à des contraintes de bande passante, la virtualisation des postes de travail apporte aussi des éléments de réponse « en matière de PRA [Plan de reprise de l’activité, NDLR] et même de PCA [Plan de continuité de l’activité, NDLR] : nos utilisateurs sont ‘nomadisables’ ; les astreintes peuvent être effectuées à domicile, etc. »
La virtualisation gagne les terminaux mobiles
Le terminal mobile, nouvel univers à conquérir pour la virtualisation ? Citrix, VMware ou encore Wyse ne font pas grand secret de leurs projets en la matière. Des projets qui, pour certains, sont récemment entrés dans le domaine du concret.
Wyse a ainsi récemment lancé PocketCloud, un logiciel de client léger pour iPhone et iPod Touch. Proposé à 16 euros sur l’AppStore, le logiciel de Wyse permet au propriétaire d’un smartphone Apple de se connecter à ses postes de travail virtuels en déplacement, via RDP 6.0 ou la couche client VMware View 3.1. PocketCloud supporte un chiffrement 128 bits avec RDP 6.0, ainsi que la sécurisation TLS/SSL et l’authentification RSA pour les machines virtuelles VMware.
Optimisé pour les postes de travail virtuels Windows XP / Vista / 7, PocketCloud peut en outre faire aussi office de navigateur Web amélioré pour iPhone : un composant installé sur le poste de travail, PocketCloud Windows Compagnon, assure le rendu des pages Web et l’exécution des éléments Flash et ActiveX.
De son côté, Citrix a commencé en avril dernier la distribution du client XenApp pour iPhone, gratuitement, sur l’App Store, la plateforme de téléchargement d’applications d’Apple.
Baptisé Citrix Receiver, ce logiciel permet d’accéder, sur le smartphone, à des applications virtualisées via XenApp 5 ou Presentation Server 4.5 ; il donne aussi un accès partiel aux XenApp Web Services. Petit raffinement : Citrix Reveicer bénéficie des extensions multimédia du protocole RDP supportées par Citrix, à savoir la technologie HDX. Du coup, il est possible, sur l’iPhone, de profiter d’applications 3D ou vidéo – Flash comme Silverlight.
Fin février dernier, lors du salon VMworld de Cannes, Simon Crosby, directeur technique de Citrix, nous avait fait une rapide démonstration de ce logiciel Citrix Receiver. Une démonstration, réalisée sur le réseau 3G d’Orange, convaincante en matière de fluidité.
VMware a également l'ambition de permettre l’accès distant à l’environnement de travail depuis un smartphone ou un PDA : c’est même l’un des objectifs de View 3. Lors de l'édition européenne de VMworld, en février dernier, à Cannes, Jerry Chen, directeur de la division Desktop Virtualization de VMware a donc été très logiquement sollicité pour faire une démonstration, sur scène, de l’état d’avancement des travaux de l’éditeur en la matière. Ca se passe sur une tablette Nokia N810, connectée en WiFi et chargeant, via le réseau, deux environnements virtuels successivement : l’un professionnel, fonctionne sous Windows ; l’autre, personnel, sous Android. Les ressources matérielles de la petite tablette de Nokia sont fortement sollicitées, mais l’ensemble reste parfaitement exploitable, malgré quelques latences perceptibles (voir ci-dessous).
Virtualisation sur terminal mobile par VMware
envoyé par LeMagIT