Professional Documents
Culture Documents
972-97442444
מנחה
פיני כהן
Page 1 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
תודה על השתתפותכם במפגש שולחן עגול Round Tableתפעול וניהול תחנות קצה –
יישומי .Application Streaming \ VDI
מצ"ב סיכום עקרי הדברים שעלו במהלך המפגש .במפגש עלו נושאים מהותיים שתומצתו
בסיכום כפי שעלו .אין בסיכום זה המלצה גורפת ללקוחות אלא מתן פרספרטיבה והצגה של
ההתלבטויות שעלו במפגש כלומר "מהשטח".
בברכה,
פיני כהן
Page 2 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
תוכן עניינים
Page 3 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
לגבי הטמעה של – Windows7עלו בדיון דעות שונות .המלצת STKIבנדון מופיעה בפירוט
.בקצרה ,במידה ובארגון מבצעים בhttp://pinicohenstki.blogspot.com/2010/01/windows-7-office-2010.html -
הדרכה פורמלית ,תהליך ארוך ויקר ,רצוי לשקול איחוד שדרוג של Win7ושל Office 2010
יחדיו (או דחייה של – Office 2010דבר שאינו טריוואלי למשתמשים SPS-MOSS
לדוגמה) .ארגונים שאינם מבצעים הדרכה פורמלית (בד"כ ארגוני high-techאשר שמים
סרטון הדרכה באתר החברה והמשתמשים מדריכים את עצמם) לא צריכים לאחד את
השדרוגים.
לקוחות דיברו על שיפורים ב – sms-sccm 2007 -אך ציינו סוגיה ספציפית בתחום של
– Remote assistanceהשתלטות על תחנות קצה שאינה עובדת מספיק טוב ב.WAN -
Page 4 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
מדפדפן ,כולל צפיה ב Flashלקבלת חווית גלשיה מלאה.מבחינת השימוש בפתרון ,אם
המשתמש גולש בתוך החברה – באינטראנט -הרי שהגלישה מתבצעת בתחנה באופן רגיל.
אם המשתמש גולש החוצה ,נפתח דפדפן נוסף עם מסגרת אדומה .שהוא חלון שמתקבל
ממערכת ההפעלה השנייה (הסמוייה) .מעבר בין כתובות דפדפן חיצוניות ופנימיות מבצע
בצורה אוטומטית.
ברמת ארכיטקטורה יש שרת ניהול שנמצא ברשת הגלישה .תפקידו הוא להפיץ עדכוני
תוכנה למערכות ההפעלה (הסמויות) .כלומר מבחינת זמינות ,גם אם שרת זה נופל
המשתמשים ממשיכים לגלוש – רק לא מקבלים עדכונים חדשים (שממילא לא מתבצעים
בתדירות גבוהה כי מדובר על סביבה די מוקטנת) .כלומר אין רכיבים בעייתיים בפרוייקט
מבחינת שרידות .דוגמה לשימוש בשרת מעבר ל patches -רגילים – אחת המחלקות הייתה
צריכה גרסת JVMספצפית לאחד האתרים .הגרסה הועברה לשרת והותקנה אצל אותם
משתמשים ללא בעיה.
כבכול פתרון גלישה מאובטחת ישנה סוגייה של הורדת קבצים .הקבצים מורדים לshared -
folderברשת הגלישה ואז עוברים מסלול של ניקוי ואבטחה .לאחר 3עד 5דקות הקבצים
מופיעים בתקייה של המשתמש ברשת הפנימית .ה my documents -של מערכת ההפעלה
ה"סמוייה" מנותב לשרת ב VM -שבו יש כמה שרתים שמעבירים קבצים מאחד לשני
ומבצעים סריקות שונות .ה VM -האחרון כבר שייך לרשת הפנימית כלומר באותו hostיש
חיבור גם של הרשת הפנימית וגם רשת הגלישה.
מבחינת יציבות הפתרון ,מתוך כ 3000 -תחנות שעובדות ,התקבלו כ 50 -קריאות בנושאי
גלישה ב , help desk -רובן קריאות שאינן קשורות לפרוייקט (אתר מסויים חסום ...וכד').
בגלל שהפתרון מחייב הרצה במקביל של שתי מערכות הפעלה (אומנם אחת מהן "רזה")
צריך תחנות קצה "חזקות" .בארגון הוחלפו תחנות הקצה לתחנות מעודכנות עם RAM G4
כאשר ישנן מספר מועט של תחנות אשר מכילות RAM G2ועובדות יפה עם הפתרון.
לגבי כרטיס חכם (הזדהות חזקה) נכון להיום הטכנולוגיה שמותקנת אינה תומכת אולי בעתיד
אמור להיות פתרון.
חויית הגלישה הבסיסית זהה אולם מכיוון שהגלישה מתבצעת במערכת הפעלה אחרת
לקוחות לא רואים את ספריות הקבצים שלהם ולכן פעולות כמו "קליק ימני -העבר" לא
אפשריות .מדובר על התנגדות לא משמעותית.
לאחר הקמת הפרוייקט בוצעו מספר בדיקות אבטחת מידע לגילוי פרצות ( .)Pen Test
הבדיקות עברו בהצלחה מרובה .חלק מהבוחנים הצליחו לפרוץ את סביבת הגלישה אך
הפתרון נעצרו בשלבים הראשונים של "תחנות ההלבנה" .כלומר מדובר על ציון טוב.
מאפשר לספק למשתמשים ,לפי בחירת הארגון ,יכולות כגון copy pasteבין שתי הסביבות.
Page 5 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
יכולת זו צריכה להנתן במשורה עקב היכולת להעביר תכנית זדוניים בין שתי הסביבות.
בציפיות כמו בכל פרויקט המבוצע לראשונה ,ברמה עולמית ,הקמת המערכת לא הייתה
פשוטה .נדרשו שתי גרסאות BETAשל חברת מיקרוסופט עד לקבלת הגרסא המלאה ,תוך
שיתוף צוות הפיתוח המקומי של החברה.
לסיכום ,הלקוח מאפשר גלישה מאובטחת לעובדי החברה בעלות של כ K$40 -במקום עלות
"מקובלת" לפרוייקט של גלישה מאובטחת של K$500עד .$K700
מדובר על חברת פיתוח בישראל ששייכת לקונצרן בינלאומי ענק .הצורך לפרויקט התפתח
עם השנים .חברת הפיתוח בישראל עבדה בטכנולוגיה מתקדמת ונתנה למפתחים כלים
מתקדמים ויכולות (כמו לדוגמה יכולות adminלתחנות הפיתוח) .כאשר נרכשה החברה על
ידי הקונצרן ,הסתבר שלא ניתן לחבר את עמדות הפיתוח לרשת העולמית של הקונצרן זאת
מכיוון שלקונצרן יש דרישות מאוד קשוחות הקשורות לתחנות שיכולות להתחבר לרשת
(לדוגמה כללים לגבי screen saverאו מניעת אפשרות לבצע )hibernationובמקרה זה
"הלבנת" עמדות הפיתוח תגרום אפילו לשינוי מאוד יקר כולל תהליכי הפיתוח בצורה
מהותית .מצד שני במרכז הפיתוח בישראל זקוקים לתחנות הגלובליות (ה"ירוקות") בכדי
לבצע פעולות שקשורות למערכות המידע בקונצרן (לדוגמה מערכות כ"א).
האלטרנטיבות שעמדו בפני המנהלים היו:
.1לרכוש עוד – PCאלטרנטיבה זו נמצאה כמאוד יקרה.
.2איפשור הרשת ה"ירוקה" באמצעות טכנולוגיה של ). Terminal Server (Citrix, WTS, Jetro
הסתבר שבמקרה זה הפתרון לא התאים כי רצו לאפשר שונות\קונפיגורציה בין המשתמשים
השונים.
.3בחנו ( VMWARE VDIהפתרון היחידי שהיה בזמנו – לפני כ 3 -שנים).
בסופו של דבר הוחלט איפשור הגישה לרשת הקונצרנית ("הירוקה") באמצעות טכנולוגיה
של VDIכאשר הרשת היום יומית נקראת בז'רגון של החברה כ"רשת חומה" .משתמשים
יכולים להעביר חומר מהרשת ה"הירוקה" ל"חומה" ללא הגבלה אך העברת חומר ל"ירוקה"
נחשבת כהעברת חומר מרשת חיצונית (כמו מייל חיצוני) ומקבלת את כל תשומת הלב
מבחינת בדיקה של וירוסים וכד'.
Page 6 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 7 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 8 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
חוסכים את התפעול של ה PC -השני -טכנאי שמוסיף זיכרון ,מלאי זיכרון מאוורים ,בעיה
ברמת שרת .גיבוי יותר טוב.
תפעול סביבת ה VDI -הוא נוח ונמצא אצל ה . service desk -כלומר הservice desk -
מקצה בעצמו , VDIתוך 20דקות מאז שמבקשים! עדיין צריך תהליך אישור .כלומר אין
הכבדה משמעותית על צוות התשתיות.
לגבי – SIZINGמתלבטים בין 50או 60שרתים לשרת 2 – bl460 G6מעבדים של 4
.CORESכולם עובדים בו זמנית .RAM G48 .מתלבטים לעלות ל. RAM G60 -
כל ( GUESTכלומר סביבת מערכת הפעלה ללקוח) מוקצה עם .RAM G 2יש משתמשים
עם .RAM G 3נכון להיום כמות האחסון היא הנקודה שכואבת .הם השתמשו באחסון
FIBERשל EVAאבל עברו ל NETAPP -בגלל ISCSI( .DEDUPלא היה טוב בזמנו).
התצורה החדשה על NETAPPחסכה 60%ב! DEDUP -
עלות desktopהייתה $600כעת היא $470מבחינת חומרה רישוי וכד'.
ה desktop -הם . persistenceאבל אם אפשר להגדיר פרופיל אחיד (כלומר לעבוד Non-
- )persistenceזה יחסוך בעלויות אחסון ,בניית , IMAGEמערכות הפעלה וכד .נכון
להיום בגלל אופי הארגון עוד לא הצליחו לתצורה כזו.
Page 9 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
תגובות של ספקים
מיקרוסופט
ברובד הטכנולוגי כולל הפתרון :שרתי Microsoft Hyper-Vב Data Center -עם Connection Broker
המשרת הן את אפליקציות ה RemoteApp -ואת הVDI -
פתרון הניהול הכולל עוטף את שרתי ה Hyper-V -והמכונות הוירטואליות בניהול תשתית
וירטואליות/ניטור שרתים ואפליקציות/הפצת תוכנה/ניהול מצאי/ניהול תהליכים אוטומטיים ב-
DCוכל אלה ממשפחת כלי הניהול של מיקרוסופטSystem Center -
Page 10 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
פרוטוקול החיבור לתחנה הינו RDPאשר בגרסת Windows Server 2008 R2 SP1
שתצא ביוני הקרוב יכלול את "קליסטה" (הרכישה האחרונה של מיקרוסופט) והפרוטוקול
מתחזק משמעותית בכל מה שקשור למדיה/וידאו ואפליקציות תלת מימדיות בחוויית העבודה
על מכונה וירטואלית ויקרא RemoteFXוייתמך ע"י ספקי ה Thin Client -ושותפי
האפליקציה :סיטריקס ו. Quest -
VDIשל מיקרוסופט זמין להטמעה ונבחן בימים אלו אצל מספר לקוחות פתרון ה-
Enterpriseלרבות מהמגזר הביטחוני .הרחבת פתרון ה VDI-ניתנת למימוש בשילוב
פתרונות השותפים Citrixאו . Questבהקשר זה ראוי לציין כי בימים אלו מתבצעות
בישראל הטמעות ראשונות של שילוב זה.
חשוב לציין כי ברמה הקונספטואלית ,פתרון ה VDI -מספק מענה לצורך של טיפול מרכזי
במערכת הפעלה כאשר האפליקציות "מתניידות" למערכת ההפעלה על בסיס הUser-
והרשאותיו לאפליקציות ,וזהו החיבור שלנו לפתרונות הווירטואליזציה לאפליקציה שהוזכרו
Visual ( App-Vו RemoteApp -הוטמעו במס' ארגונים ,כמו חיל הים ,אשר "עטפו" את
Studio 2010והפיצו את ה"בועה" לתחנות וירטואליות ע"ג תשתית מיקרוסופט)
כמו כן ,בתחילת המסמך כתוב שם על Software Meteringגם אנחנו עושים זאת עם ה-
. System Center Configuration Manager
NESSטכנולוגיות
חשוב לי מאוד לתקן אי דיוקים בכמה נקודות:
" .1ישנם ארגונים רבים בישראל אשר בצעו פרויקטים בתחום זה באמצעות טכנולוגיות של
-terminal serverהן באמצעות , Citrix ,מיקרוסופט ואף ." Jetro
מאז שג'טרו הוציאו את הפתרון הייעודי שלהם לנושא ( )Jetro Secure Browsingרק ארגון
אחד בארץ ביצע פרויקט עם פתרון אחר שהוא לא של ג'טרו.
יתרה מכך – גם ארגונים שגלשו בעבר על גבי פלטפורמות אחרות עוברים ל Jetro Secure
.Browsing
פרויקטים לדוגמא :חברת חשמל ,בנק ישראל ,ביטוח איילון ,הראל המשמר ,בנק הדואר,
לאומי כארד ועוד.
כלומר ,בשנתיים האחרונות בוצעו כ 20-פרויקטי גלישה מאובטחת חדשים בארץ ,כולם
מלבד אחד בוצעו עם הפתרון הייחודי של ג'טרו.
הפתרון של ג'טרו הוא היחיד שנותן למשתמש חווית גלישה כמעט כמו גלישה מקומית אבל
עם מקסימום אבטחה -שכן הגלישה נמצאת מחוץ ל.LAN
Page 11 of 12
Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
JSBגם כולל יכולות נוספות – טיפול בהדפסה ,הלבנת קבצים ,יצירת משתמש וירטואלי
לטובת הגלישה (אוטומטי) כדי להסתיר פרטי המשתמש ועוד.
Flashידוע כשותה משאבים -לא ניתן להריץ יותר מ 5-6משתמשים ב IEעל שרת
.terminal serverה Flash On demandמאפשר להכיל 50-60משתמשים לשרת
(ואפילו יותר) וגם מאפשר גמישות למשתמש כדי שיוכל להחזיר את ה Flashאם הוא
רוצה אותו.
יש כאן מקסימום גמישות – גם העלאת מספר משתמשים לשרת ,גם מאפשר
למשתמשים לראות את האתר בשלמותו בהתחלה וגם האפשרות למשתמש להחזיר
Flashאחד בודד באופן סלקטיבי.
" .3מעבר בין כתובות דפדפן חיצוניות ופנימיות מבצע בצורה אוטומטית".
בכל הקלקה על ( URLגם אם נמצא בתוך מייל) הפתרון של ג'טרו מזהה באופן אוטומטי האם
מדובר ב URLפנימי או חיצוני והאם המשתמש מורשה לגשת אליו.
במידה והמשתמש מורשה לגשת ל URLהחיצוני ,נפתח לו Internet Explorerחדש ,שהוא
בעצם תמונה של ה Internet Explorerשרץ ב DMZבחווה המאובטחת.
JSBמאפשר למשתמש לגלוש לאתרים פנימיים וחיצוניים ללא התערבות ידנית או
סקריפטואלית.out of the box ,
Page 12 of 12