Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax.

972-97442444

‫עגול‬-‫סיכום מפגש שולחן‬

\ VDI ‫תפעול וניהול תחנות קצה – יישומי‬

Application Streaming

‫מנחה‬
‫פיני כהן‬

Page 1 of 12
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫לקוחות נכבדים שלום‪,‬‬

‫תודה על השתתפותכם במפגש שולחן עגול ‪ Round Table‬תפעול וניהול תחנות קצה –‬
‫יישומי ‪.Application Streaming \ VDI‬‬

‫מצ"ב סיכום עקרי הדברים שעלו במהלך המפגש‪ .‬במפגש עלו נושאים מהותיים שתומצתו‬
‫בסיכום כפי שעלו‪ .‬אין בסיכום זה המלצה גורפת ללקוחות אלא מתן פרספרטיבה והצגה של‬
‫ההתלבטויות שעלו במפגש כלומר "מהשטח"‪.‬‬

‫לקוחות דיברו בעיקר על יישומים מתקדמים בתחום של ‪.VDI‬‬

‫ל‪ VDI -‬יש מספר ייתרונת מהותיים לעומת הטכנולוגיה הותיקה של ‪Terminal Servers‬‬
‫(‪ Citrix, WTS, Jetro‬וכד')‪ .‬האפשרות לפרסונליזציה מוגברת של תחנת הקצה‪ ,‬האפשרות‬
‫לעבוד עם כל אפליקציה בלי "חשש" שהאפליקציה אינה מוטעמת לסביבת ‪ multi-user‬וגם‪,‬‬
‫אפשרות לכניסה לטכנולוגיה ללא שימוש כלל במשאבים יקרים של צוותי הפיתוח‬
‫שבטכנולוגיה של ‪ Terminal Servers‬נדרשים לעיתים לבצע שינויים באפליקציות ועוד'‪.‬‬
‫אך מצד שני הטכנולוגיה של ‪ VDI‬מחייבת משאבים יותר גדולים – הן מבחינת כמות‬
‫השרתים וכמות האחסון שנדרש‪ .‬לאחרונה ישנו שיפור בתחום של אחסון – שימוש ב‪-‬‬
‫‪ – snaps‬אולם נכון להיום הפתרונות עדיין לא בשלים בצורה מלאה‪ .‬נקודה נוספת היא‬
‫שסביבת ‪ VDI‬עדיין מחייבת התייחסות לסוגיה של הפצת תוכנה‪ ,‬הפצה רגילה ל‪images -‬‬
‫נפרדים או שימוש בטכנולוגיה של ‪ .application streaming‬טכנולוגיה זו מחייבת גם רישוי‬
‫‪ VECD‬של מיקרוסופט (כיום יש לרישוי זה שם חדש)‪ ,‬נקודה שלקוחות לעיתים שוכחים‪.‬‬
‫אין ספק שטכנולוגיית ה‪ VDI -‬תגרום ליותר לקוחות להכנס לתחום של ‪Server – SBC‬‬
‫‪ .Based Computing‬יש לקוחות שמקבלים חסכון מיידי מכניסה לעולם ה‪ .SBC -‬לדוגמה‬
‫לקוח דיבר על כך שישנו בארגון אדם במשרה מלאה אשר עיסוקו הוא הזזת תחנות קצה בין‬
‫משרדים‪ .‬כניסה ל‪ SBC -‬ול‪ Thin Clients -‬תחסוך בצורה מיידית צורך זה‪.‬‬
‫עם זאת יש לקוחות אשר חוששים מעולם ה‪ SBC -‬וזאת מכיוון שתקלה מערכתית בסביבת‬
‫ה‪ SBC -‬תשבית בצורה מיידית את הפעולה של כל המשתמשים ולכן יש השלכות חמורות‪.‬‬

‫בברכה‪,‬‬

‫פיני כהן‬

‫‪Page 2 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫תוכן עניינים‬

‫שונות‪ :‬שליטה על התקנות וניהול רשיונות ו‪3................................ ................................ Win7 -‬‬

‫סיפור לקוח – גלישה מאובטחת באמצעות טכנולוגיה של ‪4................................. Virtual Desktop‬‬
‫סיפור לקוח – תחנות עבודה סטנדרטיות באמצעות ‪6.......................... ................................ VDI‬‬
‫סיפור לקוח‪ VDI -‬במקום ‪ PC‬שני ‪8........................ ................................ ................................‬‬
‫סיפור לקוח‪ -‬תחנת ‪ VDI‬כמענה מהיר לסביבת פיתוח ‪9............................. ................................‬‬
‫תגובות של ספקים ‪10........................................ ................................ ................................‬‬
‫מיקרוסופט ‪10.............. ................................ ................................ ................................‬‬
‫‪ NESS‬טכנולוגיות ‪11....................................... ................................ ................................‬‬

‫שונות‪ :‬שליטה על התקנות וניהול רשיונות ו‪Win7 -‬‬

‫לקוחות רבים דיברו על סוגיות מקבילות של שליטה על התקנות – מי יכול להתקין מה –‬
‫במיוחד בסביבה של מפתחים\מהנדסים שלהם בד"כ זכויות של ‪ .admin‬בתחום זה הוזכרה‬
‫תכונה של ‪ AD‬ו‪ win7 -‬בשם ‪ APPLOCKER‬אשר מאפשרת שליטה מסוימת לגבי התקנות‬
‫‪http://www.microsoft.com/windows/enterprise/products/windows-‬‬ ‫‪admin‬‬ ‫לגבי‬ ‫גם‬
‫‪. 7/features.aspx#applocker‬‬
‫לקוחות דיברו על כך שישנו שיפור גדול בדיווחים של ‪ SMS-SCCM‬בגרסאות האחרונות‪.‬‬
‫עם זאת יש הבדל מהותי בין מה שמותקן לבין מה שנמצא בשימוש‪ .‬זאת מכיוון שלעיתים אין‬
‫שימוש בתוכנות יקרות אשר הותקנו‪ .‬תחום זה נקרא ‪ sw metering‬או ‪ sw usage‬ובו יש‬
‫מוצרים ספציפיים כמו ‪ /http://www.softwatch.com optimizeIT‬וגם ‪( aternity‬אשר‬
‫מספקים גם חווית משתמש) ‪ . /http://www.aternity.com‬גם לספקי השו"ב הגדולים יש‬
‫לפעמים מודולים אשר מטפלים ב‪( sw metering -‬לדוגמה ‪.)CA‬‬
‫‪-‬‬ ‫‪OpenLM‬‬ ‫כמו‬ ‫צפים‬ ‫רשיונות‬ ‫לניהול‬ ‫מוצרי‬ ‫של‬ ‫שמות‬ ‫גם‬ ‫עלו‬ ‫בדיון‬
‫‪. /http://www.openlm.com‬‬

‫‪Page 3 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫לגבי הטמעה של ‪ – Windows7‬עלו בדיון דעות שונות‪ .‬המלצת ‪ STKI‬בנדון מופיעה בפירוט‬
‫‪ .‬בקצרה‪ ,‬במידה ובארגון מבצעים‬ ‫ב‪http://pinicohenstki.blogspot.com/2010/01/windows-7-office-2010.html -‬‬

‫הדרכה פורמלית‪ ,‬תהליך ארוך ויקר‪ ,‬רצוי לשקול איחוד שדרוג של ‪ Win7‬ושל ‪Office 2010‬‬
‫יחדיו (או דחייה של ‪ – Office 2010‬דבר שאינו טריוואלי למשתמשים ‪SPS-MOSS‬‬
‫לדוגמה)‪ .‬ארגונים שאינם מבצעים הדרכה פורמלית (בד"כ ארגוני ‪ high-tech‬אשר שמים‬
‫סרטון הדרכה באתר החברה והמשתמשים מדריכים את עצמם) לא צריכים לאחד את‬
‫השדרוגים‪.‬‬
‫לקוחות דיברו על שיפורים ב‪ – sms-sccm 2007 -‬אך ציינו סוגיה ספציפית בתחום של‬
‫‪ – Remote assistance‬השתלטות על תחנות קצה שאינה עובדת מספיק טוב ב‪.WAN -‬‬

‫סיפור לקוח – גלישה מאובטחת באמצעות טכנולוגיה של ‪Virtual‬‬

‫‪Desktop‬‬
‫המשימה שניצבה בפני הלקוח היא בניית סביבת גלישה מאובטחת לכ‪ K3-‬משתמשים‬
‫בארגון‪.‬‬
‫ישנם ארגונים רבים בישראל אשר בצעו פרויקטים בתחום זה באמצעות טכנולוגיות של‬
‫‪ – terminal server‬הן באמצעות‪ , Citrix ,‬מיקרוסופט ואף ‪ .Jetro‬הלקוח העריך פרוייקט‬
‫כזה בעלות של כ‪ K$500 -‬עד ‪ K$700‬הכוללת רישוי תוכנה‪ ,‬שרתים וכד' מכיוון שהמועד‬
‫היה בתחילת המיתון‪ ,‬נדרש במקרה זה פתרון יצירתי לפרוייקט בטכנולוגיה שונה אשר תייצר‬
‫את אותה תוצאה אך בעלויות מופחתות משמעותית‪ .‬ספציפית לגבי ‪ Jetro‬פתרון הגלישה‬
‫המאובטחת שהוצע ללקוח היה מאוד מתקדם אך בקונפיגורציה הספציפית עצר יישומי‬
‫‪ FLASH‬לאחר ‪ 10‬שניות ופונקציונליות זו לא התאימה‪.‬‬
‫הלקוח ביצע את הפרוייקט באמצעות טכנולוגיה מתקדמת של מיקרוסופט – ה‪MED-V -‬‬
‫(לשעבר ‪ Kidaro‬הישראלית)‪ .‬מדובר על טכנולוגיה אשר מריצה תחת ‪ virtual PC‬עותק‬
‫נוסף של מערכת הפעלה בצורה כזו שהמשתמש רואה את החלונות של המערכת ההפעלה‬
‫השנייה בצורה "שקופה"‪.‬‬
‫מערכת ההפעלה השניה‪ ,‬הסמוייה‪ ,‬מקבלת ‪ VLAN TAG‬שונה מזו של התחנה הרגילה‪.‬‬
‫כלומר יש ‪ TUNNEL‬תקשורת ספציפי של כל התחנות שמשתתפות בגלישה המאובטחת‪.‬‬
‫מערכת ההפעלה ה"סמויה" שרצה היא גרסה מוקטנת של ‪ WinXP‬ולכן לא תופסת את כל‬
‫המערכת מאפשרת את כל הנדרש‬ ‫המקום בדיסק וגם "נוחה" יותר להרצה במקביל‪.‬‬

‫‪Page 4 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫מדפדפן‪ ,‬כולל צפיה ב ‪ Flash‬לקבלת חווית גלשיה מלאה‪.‬מבחינת השימוש בפתרון‪ ,‬אם‬
‫המשתמש גולש בתוך החברה – באינטראנט‪ -‬הרי שהגלישה מתבצעת בתחנה באופן רגיל‪.‬‬
‫אם המשתמש גולש החוצה‪ ,‬נפתח דפדפן נוסף עם מסגרת אדומה‪ .‬שהוא חלון שמתקבל‬
‫ממערכת ההפעלה השנייה (הסמוייה)‪ .‬מעבר בין כתובות דפדפן חיצוניות ופנימיות מבצע‬
‫בצורה אוטומטית‪.‬‬
‫ברמת ארכיטקטורה יש שרת ניהול שנמצא ברשת הגלישה‪ .‬תפקידו הוא להפיץ עדכוני‬
‫תוכנה למערכות ההפעלה (הסמויות)‪ .‬כלומר מבחינת זמינות‪ ,‬גם אם שרת זה נופל‬
‫המשתמשים ממשיכים לגלוש – רק לא מקבלים עדכונים חדשים (שממילא לא מתבצעים‬
‫בתדירות גבוהה כי מדובר על סביבה די מוקטנת)‪ .‬כלומר אין רכיבים בעייתיים בפרוייקט‬
‫מבחינת שרידות‪ .‬דוגמה לשימוש בשרת מעבר ל‪ patches -‬רגילים – אחת המחלקות הייתה‬
‫צריכה גרסת ‪ JVM‬ספצפית לאחד האתרים‪ .‬הגרסה הועברה לשרת והותקנה אצל אותם‬
‫משתמשים ללא בעיה‪.‬‬
‫כבכול פתרון גלישה מאובטחת ישנה סוגייה של הורדת קבצים‪ .‬הקבצים מורדים ל‪shared -‬‬
‫‪ folder‬ברשת הגלישה ואז עוברים מסלול של ניקוי ואבטחה‪ .‬לאחר ‪ 3‬עד ‪ 5‬דקות הקבצים‬
‫מופיעים בתקייה של המשתמש ברשת הפנימית‪ .‬ה‪ my documents -‬של מערכת ההפעלה‬
‫ה"סמוייה" מנותב לשרת ב‪ VM -‬שבו יש כמה שרתים שמעבירים קבצים מאחד לשני‬
‫ומבצעים סריקות שונות‪ .‬ה‪ VM -‬האחרון כבר שייך לרשת הפנימית כלומר באותו ‪ host‬יש‬
‫חיבור גם של הרשת הפנימית וגם רשת הגלישה‪.‬‬
‫מבחינת יציבות הפתרון‪ ,‬מתוך כ‪ 3000 -‬תחנות שעובדות‪ ,‬התקבלו כ‪ 50 -‬קריאות בנושאי‬
‫גלישה ב‪ , help desk -‬רובן קריאות שאינן קשורות לפרוייקט (אתר מסויים חסום‪ ...‬וכד')‪.‬‬
‫בגלל שהפתרון מחייב הרצה במקביל של שתי מערכות הפעלה (אומנם אחת מהן "רזה")‬
‫צריך תחנות קצה "חזקות"‪ .‬בארגון הוחלפו תחנות הקצה לתחנות מעודכנות עם ‪RAM G4‬‬
‫כאשר ישנן מספר מועט של תחנות אשר מכילות ‪ RAM G2‬ועובדות יפה עם הפתרון‪.‬‬
‫לגבי כרטיס חכם (הזדהות חזקה) נכון להיום הטכנולוגיה שמותקנת אינה תומכת אולי בעתיד‬
‫אמור להיות פתרון‪.‬‬
‫חויית הגלישה הבסיסית זהה אולם מכיוון שהגלישה מתבצעת במערכת הפעלה אחרת‬
‫לקוחות לא רואים את ספריות הקבצים שלהם ולכן פעולות כמו "קליק ימני‪ -‬העבר" לא‬
‫אפשריות‪ .‬מדובר על התנגדות לא משמעותית‪.‬‬
‫לאחר הקמת הפרוייקט בוצעו מספר בדיקות אבטחת מידע לגילוי פרצות ( ‪.)Pen Test‬‬
‫הבדיקות עברו בהצלחה מרובה‪ .‬חלק מהבוחנים הצליחו לפרוץ את סביבת הגלישה אך‬
‫הפתרון‬ ‫נעצרו בשלבים הראשונים של "תחנות ההלבנה"‪ .‬כלומר מדובר על ציון טוב‪.‬‬
‫מאפשר לספק למשתמשים‪ ,‬לפי בחירת הארגון‪ ,‬יכולות כגון ‪ copy paste‬בין שתי הסביבות‪.‬‬

‫‪Page 5 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫יכולת זו צריכה להנתן במשורה עקב היכולת להעביר תכנית זדוניים בין שתי הסביבות‪.‬‬
‫בציפיות כמו בכל פרויקט המבוצע לראשונה‪ ,‬ברמה עולמית‪ ,‬הקמת המערכת לא הייתה‬
‫פשוטה‪ .‬נדרשו שתי גרסאות ‪ BETA‬של חברת מיקרוסופט עד לקבלת הגרסא המלאה‪ ,‬תוך‬
‫שיתוף צוות הפיתוח המקומי של החברה‪.‬‬
‫לסיכום‪ ,‬הלקוח מאפשר גלישה מאובטחת לעובדי החברה בעלות של כ‪ K$40 -‬במקום עלות‬
‫"מקובלת" לפרוייקט של גלישה מאובטחת של ‪ K$500‬עד ‪.$K700‬‬

‫סיפור לקוח – תחנות עבודה סטנדרטיות באמצעות ‪VDI‬‬

‫מדובר על חברת פיתוח בישראל ששייכת לקונצרן בינלאומי ענק‪ .‬הצורך לפרויקט התפתח‬
‫עם השנים‪ .‬חברת הפיתוח בישראל עבדה בטכנולוגיה מתקדמת ונתנה למפתחים כלים‬
‫מתקדמים ויכולות (כמו לדוגמה יכולות ‪ admin‬לתחנות הפיתוח)‪ .‬כאשר נרכשה החברה על‬
‫ידי הקונצרן‪ ,‬הסתבר שלא ניתן לחבר את עמדות הפיתוח לרשת העולמית של הקונצרן זאת‬
‫מכיוון שלקונצרן יש דרישות מאוד קשוחות הקשורות לתחנות שיכולות להתחבר לרשת‬
‫(לדוגמה כללים לגבי ‪ screen saver‬או מניעת אפשרות לבצע ‪ )hibernation‬ובמקרה זה‬
‫"הלבנת" עמדות הפיתוח תגרום אפילו לשינוי מאוד יקר כולל תהליכי הפיתוח בצורה‬
‫מהותית‪ .‬מצד שני במרכז הפיתוח בישראל זקוקים לתחנות הגלובליות (ה"ירוקות") בכדי‬
‫לבצע פעולות שקשורות למערכות המידע בקונצרן (לדוגמה מערכות כ"א)‪.‬‬
‫האלטרנטיבות שעמדו בפני המנהלים היו‪:‬‬
‫‪ .1‬לרכוש עוד ‪ – PC‬אלטרנטיבה זו נמצאה כמאוד יקרה‪.‬‬
‫‪ .2‬איפשור הרשת ה"ירוקה" באמצעות טכנולוגיה של )‪. Terminal Server (Citrix, WTS, Jetro‬‬
‫הסתבר שבמקרה זה הפתרון לא התאים כי רצו לאפשר שונות\קונפיגורציה בין המשתמשים‬
‫השונים‪.‬‬
‫‪ .3‬בחנו ‪( VMWARE VDI‬הפתרון היחידי שהיה בזמנו – לפני כ‪ 3 -‬שנים)‪.‬‬

‫בסופו של דבר הוחלט איפשור הגישה לרשת הקונצרנית ("הירוקה") באמצעות טכנולוגיה‬
‫של ‪ VDI‬כאשר הרשת היום יומית נקראת בז'רגון של החברה כ"רשת חומה"‪ .‬משתמשים‬
‫יכולים להעביר חומר מהרשת ה"הירוקה" ל"חומה" ללא הגבלה אך העברת חומר ל"ירוקה"‬
‫נחשבת כהעברת חומר מרשת חיצונית (כמו מייל חיצוני) ומקבלת את כל תשומת הלב‬
‫מבחינת בדיקה של וירוסים וכד'‪.‬‬

‫‪Page 6 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫ארכיטקטורת הפרוייקט היא כדלהלן‪ .‬על ה‪ PC -‬הרגיל של המשתמש\מפתח מותקן‬

‫‪ VMware client‬אשר מציג את תמונת המסך שמתקבלת מהשרתים‪ .‬החיבור מתבצע דרך‬
‫ה‪ connection broker -‬ל‪.VMware view server -‬‬
‫אין ‪ .thin clients‬מריצים ה‪ - PC -‬ועליו ‪ – VMWAER CLIENT‬שיודע להראות תמונת‬
‫מסך‪ .‬מתחבר עם ה‪ VMware view server - .connection broker -‬ועם ה‪virtual -‬‬
‫‪ center‬שמנתב את ה‪ session -‬ל‪ ESX -‬השרת שעליו מתקנים ה‪ PC -‬הוירטואליים‪ .‬אותו‬
‫‪ PC‬הוא ה‪ PC -‬ה"ירוק" שמחובר לרשת הקונצרנית עם כל האפליקציות הקונצרניות‬
‫הנדרשות‪ .‬שרת ה‪ ESX -‬במקרה זה מריץ רק ‪ PC‬וירטואלי ולא שרתים בגלל מגבלות רישוי‬
‫(כי רישוי ‪ VMWARE‬לסביבה וירטואלית יותר זול מרישוי לסביבת שרתים)‪.‬‬
‫הקונפיגורציה מורכבת מ‪ 3 -‬אתרים ב‪ 3 -‬יבשות שונות‪ .‬בכל אתר – זוג ‪ ESX‬עם ‪G64‬‬
‫‪ CORES 4 .RAM‬עם ‪ 4‬מעבדים (כלומר ‪ CORES 16‬שרת גדול סטנדרטי בעלות‬
‫משוערת של כ—‪ .)K$13‬מריצים ‪ VMWARE‬גרסה ‪ – 3‬עדין לא גרסה ‪ ESX .4‬טוב‬
‫בשיתוף של זיכרון במיוחד אם מריצים אותה תחנה בדיוק‪ .‬כאשר נכנסו לפרוייקט תכננו חצי‬
‫‪ G RAM‬לכל תחנה‪ .‬בפועל נתנו ‪ RAM G1‬בגלל ניצול הזיכרון המשופר של ה‪ .ESX -‬נכון‬
‫להיום מריצים על כך שרת ‪ 60 – 50‬מכונות כאשר מבחינת השרתים אפשר אפילו להריץ עד‬
‫‪ 120‬משתמשים לכל שרת‪ .‬המגבלה היום היא שטח דיסק‪ .‬בכל תחנה מותקנת תוכנה של‬
‫דיווח שעות‪ ,‬כניסה ל‪ CRM -‬כניסה ל‪ SAP -‬וכד'‪ .‬התקינו גם ‪ outlook‬ו‪ Office -‬מלא‪.‬‬
‫תצורת ההתקנה היא ‪ non persistence‬כלומר בכל פעם שעובדים מקבלים ‪ PC‬חדש לפי‬
‫ה‪ image -‬שהוגדר‪ .‬אין שמירה של העבודה מה‪ Session -‬הקודם‪ .‬לדוגמה‪ ,‬אין ‪, ost pst‬‬
‫עובדים ‪ .outlook on line‬כלומר ה‪ PC -‬הוא נקי‪ .‬שמירה של קבצים – דרך כונני רשת‪ .‬אם‬
‫מדובר על קבצים גדולים – לוקח זמן עד למיפוי ולהעברת קבצים‪ .‬בקונפיגורציה הנוכחית לא‬
‫מאפשרים הדפסה‪ .‬אחד היתרונות בעבודה של ‪ no persistence‬היא שכאשר מעדכנים‬
‫‪ image‬לא מדובר בהשבתה של משתמשים‪ .‬רק כאשר יתחברו בפעם הבאה יקבלו את ה‪-‬‬
‫‪ image‬החדש‪ Image .‬נוכחי יכול לעבוד ללא בעיות למרות שהמרכז כבר מכיל ‪image‬‬
‫חדש‪.‬‬
‫לגבי הבעיה שהוזכרה‪ ,‬שטח דיסק נכון להיו אין שימוש בטכנולוגיה בשם ‪- Linked clones‬‬
‫( כיום נכנסים לטכנולוגיה)‪.‬ההקצאה לכל ‪ PC‬היא ‪ G8‬מקום על ‪ HD‬על ‪ NETAPP‬עם ‪FC‬‬
‫(לא ‪ .)SATA‬בהגדרת האחסון יש לשים לב הייטב הגדרות האחסון (‪ raids , spindles‬וכד')‪.‬‬
‫הלקוח בצע ניסוי של ‪ DEDUP‬על ‪ NETAPP‬בניסוי זה חסך רק רק ‪.20%‬‬
‫מבחינת זמינות של השרתים‪ -‬במידה ושרת נופל השרת השני לוקח את שאר ה‪PC -‬‬
‫(מנגנוני ‪ VMWARE‬סטנדרטיים)‪ .‬במקרה כזה תהייה איטיות אבל המשתמשים ימשיכו‬
‫לקבל שירות‪.‬‬

‫‪Page 7 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫פרוטוקול התצוגה הוא ‪ .6 RDP‬עוד לא ‪.... teradici‬‬

‫כל זאת הפרויקט המקורי שעובד כבר מספר שנים‪ .‬לאחרונה ישנו שימוש חדש בטכנולוגיה‪.‬‬
‫בהודו – קנתה החברה מרכז פיתוח קטן ‪ 20‬מפתחים שמרוחק ממרכז הפיתוח העקרי של‬
‫החברה שנמצא בפונה‪ .‬לכן המפתחים עובדים דרך פונה‪ .‬במקום שתהיה התקנה של‬
‫‪ clients‬מלאים במרכז הפיתוח הקטן ואז יש נדרשת תקשורת מאוד חזקה ועם ‪latency‬‬
‫נמוך (אחרת אפליקציות נתקעות‪ )..‬החליטו בחברה להשתמש בטכנולוגיית ה‪.VDI -‬‬
‫טכנולוגיה זו דורשת פס לא גדול בסך הכל העברת ‪ . RDP‬תצורה זו פחות חשופה לנושא‬
‫של ‪ latency‬בהקשר של "תקיעה" של אפליקציות‪ .‬ה‪ sizing -‬במקרה זה שונה כמובן‬
‫והעבודה היא ‪ .persistence‬באחסון מדובר על ‪ G 80‬לכל ‪ PC‬ו‪ G4 -‬של ‪20 .RAM‬‬
‫מפתחים על ‪ 2‬שרתים בגלל שרידות (כלומר ‪ 10‬משתמשים לשרת)‪.‬‬
‫בפתרון מתקדם זה אין בעיות של ‪ .CPU‬יש בעיות של גרפיקה בעיקר בגלל ‪– LATENCY‬‬
‫בגלל גרפיקה‪...‬‬

‫סיפור לקוח‪ VDI -‬במקום ‪ PC‬שני‬

‫הרקע לפרוייקט הוא המשבר הכלכלי האחרון‪ .‬בארגון פיתוח זה יש ‪ 50%‬יותר ‪desktops‬‬
‫מאשר עובדים (!)‪ .‬כלומר ישנם עובדים רבים שיש להם ‪ PC‬שני לצרכים כגון בדיקות‪,‬‬
‫קומפליציות כבדות‪ ,‬פרויקטים שהם ‪( PC -CROOS SITE‬לדוגמה עובדים בהודו שעובדים‬
‫על פרוייקט בישראל ומקבלים ‪ PC‬בישראל כדי שלעובד מהודו יהיה זמן תגובה מהיר) וכד'‪.‬‬
‫כלומר מטרת הפרוייקט היא להוריד את ה‪ PC -‬השני כאשר החסכון הוא בעיקר בעלויות‬
‫נילוות כגון חשמל מספר ‪ PORTS‬פיזיים ברשת‪ ,‬נקודות חשמל בחדרים‪ ,‬רעש חום וכד'‪.‬‬
‫בחנו ‪ 2‬פתרונות ‪ .VMWARE CITRIX‬לבסוף בחרו ‪ VMWARE‬בגלל פשטות‪.‬‬
‫אין בעיה של פרוטוקול – כי מדובר על ‪ desktop‬שני – לא משתמשים שם בוידאו וכד'‪.‬‬
‫היום יש כ‪" PC 150 -‬שני" שעובדים בתצורה זו‪.‬‬
‫מתכנתים (הלקוחות) מקבלים פרוייקט זה בברכה‪ .‬כי ה‪ PC -‬השני תופס מקום גורם לרעש‬
‫חום וכד'‪ .‬החדרים צפופים ולכן המתכנתים מקבלים זאת בברכה‪.‬‬
‫משתמשים שעוברים – מקבלים ‪ image‬חדש אבל אפשר גם לבצע ‪ .P2V‬עובד די טוב‪ .‬כ‪-‬‬
‫‪ 30%‬זה ‪ .V2P‬הבעיה ב‪ P2V -‬כי דיסקים ב‪ PC -‬גדולים ואז צריך להקצות הרבה אחסון‪.‬‬
‫מנסים לשכנע את האנשים לוותר על חלק מהקבצים‪.‬‬
‫הדפסות – אותו הדבר‪ -‬מגדירים אותה מדפסת דרך הרשת‪ .‬ממילא אין מדפסות שמחוברות‬
‫ל‪ .PORTS -‬ישירות‪.‬‬
‫‪ – ROI‬החזר השקעה מחשמל‪ .‬על ‪ PC 1000‬ל‪ 3 -‬שנים‪ .‬שיריצו ב‪ .HOSTS 20-30 -‬בארץ‬
‫חסכון גדול‪ .‬בארה"ב החשמל יותר זול ופחות ‪ .ROI‬ישנו גם חסכון מבחינת תפעול כי‬

‫‪Page 8 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫חוסכים את התפעול של ה‪ PC -‬השני ‪ -‬טכנאי שמוסיף זיכרון‪ ,‬מלאי זיכרון מאוורים‪ ,‬בעיה‬
‫ברמת שרת‪ .‬גיבוי יותר טוב‪.‬‬
‫תפעול סביבת ה‪ VDI -‬הוא נוח ונמצא אצל ה‪ . service desk -‬כלומר ה‪service desk -‬‬
‫מקצה בעצמו ‪ , VDI‬תוך ‪ 20‬דקות מאז שמבקשים! עדיין צריך תהליך אישור‪ .‬כלומר אין‬
‫הכבדה משמעותית על צוות התשתיות‪.‬‬
‫לגבי ‪ – SIZING‬מתלבטים בין ‪ 50‬או ‪ 60‬שרתים לשרת ‪ 2 – bl460 G6‬מעבדים של ‪4‬‬
‫‪ .CORES‬כולם עובדים בו זמנית‪ .RAM G48 .‬מתלבטים לעלות ל‪. RAM G60 -‬‬
‫כל ‪( GUEST‬כלומר סביבת מערכת הפעלה ללקוח) מוקצה עם ‪ .RAM G 2‬יש משתמשים‬
‫עם ‪ .RAM G 3‬נכון להיום כמות האחסון היא הנקודה שכואבת‪ .‬הם השתמשו באחסון‬
‫‪ FIBER‬של ‪ EVA‬אבל עברו ל‪ NETAPP -‬בגלל ‪ ISCSI( .DEDUP‬לא היה טוב בזמנו)‪.‬‬
‫התצורה החדשה על ‪ NETAPP‬חסכה ‪ 60%‬ב‪! DEDUP -‬‬
‫עלות ‪ desktop‬הייתה ‪ $600‬כעת היא ‪ $470‬מבחינת חומרה רישוי וכד'‪.‬‬

‫ה‪ desktop -‬הם ‪ . persistence‬אבל אם אפשר להגדיר פרופיל אחיד (כלומר לעבוד ‪Non-‬‬
‫‪ - )persistence‬זה יחסוך בעלויות אחסון ‪ ,‬בניית ‪ , IMAGE‬מערכות הפעלה וכד‪ .‬נכון‬
‫להיום בגלל אופי הארגון עוד לא הצליחו לתצורה כזו‪.‬‬

‫פרוייקט מוצלח שבא לעולם עקב הרצון לחסוך בעלויות‪.‬‬

‫סיפור לקוח‪ -‬תחנת ‪ VDI‬כמענה מהיר לסביבת פיתוח‬

‫מדובר על חברת ‪ high-tech‬דינאמית אשר מחוייבת ב‪ SLA -‬פנימי גבוה והטמעה מאוד‬
‫מהירה של תחנות קצה הן לעובדי החברה והן לעובדי קבלן‪ .‬בתור רעיון לשיפור השירות‬
‫והורדה בעלויות הוחלט להכנס לפרוייקט ‪ VDI‬כשהשימוש העיקרי הוא כ‪ PC-‬הראשי לצרכי‬
‫פיתוח‪ .‬כל זאת בצורה מהירה ביותר ומאובטחת ברמה גבוה‪.‬‬
‫היה נסיון בזמנו לספק שירות זה באמצעות טכנולוגיה של ‪ terminal servers‬אולם‬
‫טכנולוגיה זו אינה מספקת למתכנת את חויית השימוש והפרסונלידציה הרצויה וכמו כן ישנה‬
‫הגבלה בגודל הזכרון הראשי המוקצה (סביבת ‪ 32 BIT‬כאשר סביבת ‪ BIT64‬מחייבת‬
‫לעיתים שינויים\עדכוני תוכנה בעייתיים)‪.‬‬
‫לגבי בחירה של טכנולוגיות‪ ,‬בוצע ‪ POC‬עם ‪ CITRIX‬ובעקבות התוצאות הטובות ובעיקר‬
‫חויית המשתמש הטובה שמסתמכת על פרוטוקול ה‪ ,ICA -‬פרוטוקול בשל‪ ,‬מנוטר ויעיל‪,‬‬
‫הוחלט לא לבצע ‪ POC‬נוסף ולבחור ב‪ .CITRIX -‬יתרון נוסף לסביבת ‪ CITRIX‬הוא היכולת‬

‫‪Page 9 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫להפיץ אפליקציות ב‪ streaming -‬בסביבת ה‪ .SBC -‬כלומר התקנה מיידית של אפליקציה‬

‫לפי צרכי הלקוח‪.‬‬
‫נכון להיום משתמשים ב‪ PC -‬ישנים או ניידים ישנים ולא ב‪.thin clients -‬‬
‫חלק מהתחנות מצויות בצורה של ‪ persistence‬וחלק בתצורה של ‪.none-persistence‬‬
‫נכון להיום הפרוייקט עובד מצויין מבחינה טכנולוגית כאשר בעתיד התיקווה היא להראות‬
‫חסכון במשאבים המוקצים בארגון – החל מ‪ PC -‬זולים\ישנים‪ ,‬כניסות ב‪ firewalls -‬וכד'‪.‬‬
‫אולם מבחינת מידת השימוש מדובר כרגע על עשרות משתמשים בלבד‪ .‬זאת עקב קשיים‬
‫אדמיניסטרטיביים וזאת מכיוון שסביבת תחנות הקצה נמצאת בארגון במיקור חוץ‬
‫(‪ )outsourcing‬והטכנולוגיה של ‪ VDI‬לא נכללה בהסכם מול הספק בזמנו (כי לא הייתה‬
‫קיימת‪.)...‬‬
‫לסיכום‪ ,‬פרוייקט שיתפוס תאוצה כאשר הסביבה האדמיניסטרטיבית תאפשר זאת‪.‬‬

‫תגובות של ספקים‬

‫מיקרוסופט‬

‫להלן התייחסות מיקרוסופט‪:‬‬

‫סל פתרונות הווירטואליזציה לתחנות הקצה של מיקרוסופט כולל שני רבדים‪:‬‬

‫‪ .1‬הרובד המפריד את האפליקציה ממערכת ההפעלה מכיל מס' פתרונות‪:‬‬

‫‪( RemoteApp .a‬אפליקציות ‪ Terminal‬שיש ל‪ MS -‬ולסיטירקס אך לא ל‪)VMWARE -‬‬
‫‪ .b‬פתרון ה‪ Application Virtualization -‬העוטף את האפליקציה בבועה‪.‬‬
‫‪ .2‬הרובד המפריד בין מ"ה לבין החומרה מכיל מס' פתרונות ‪:‬‬
‫‪ – Med-V .a‬המוזכר בסיפור לקוח הראשון (מטפל גם בנושאי תאימות אפליקציה‬
‫בשדרוג מ"ה ולא רק גלישה בטוחה )‬
‫‪ .b‬פתרון ה‪ VDI -‬של מיקרוסופט אשר הינו חלק ממערכת ההפעלה ‪Windows Server‬‬
‫‪2008 R2‬‬

‫ברובד הטכנולוגי כולל הפתרון‪ :‬שרתי ‪ Microsoft Hyper-V‬ב‪ Data Center -‬עם ‪Connection Broker‬‬
‫המשרת הן את אפליקציות ה‪ RemoteApp -‬ואת ה‪VDI -‬‬

‫פתרון הניהול הכולל עוטף את שרתי ה‪ Hyper-V -‬והמכונות הוירטואליות בניהול תשתית‬
‫וירטואליות‪/‬ניטור שרתים ואפליקציות‪/‬הפצת תוכנה‪/‬ניהול מצאי‪/‬ניהול תהליכים אוטומטיים ב‪-‬‬
‫‪ DC‬וכל אלה ממשפחת כלי הניהול של מיקרוסופט‪System Center -‬‬

‫‪Page 10 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫פרוטוקול החיבור לתחנה הינו ‪ RDP‬אשר בגרסת ‪Windows Server 2008 R2 SP1‬‬
‫שתצא ביוני הקרוב יכלול את "קליסטה" (הרכישה האחרונה של מיקרוסופט) והפרוטוקול‬
‫מתחזק משמעותית בכל מה שקשור למדיה‪/‬וידאו ואפליקציות תלת מימדיות בחוויית העבודה‬
‫על מכונה וירטואלית ויקרא ‪ RemoteFX‬וייתמך ע"י ספקי ה‪ Thin Client -‬ושותפי‬
‫האפליקציה‪ :‬סיטריקס ו‪. Quest -‬‬

‫‪ VDI‬של מיקרוסופט זמין להטמעה ונבחן בימים אלו אצל מספר לקוחות‬ ‫פתרון ה‪-‬‬
‫‪ Enterprise‬לרבות מהמגזר הביטחוני‪ .‬הרחבת פתרון ה‪ VDI-‬ניתנת למימוש בשילוב‬
‫פתרונות השותפים ‪ Citrix‬או ‪ . Quest‬בהקשר זה ראוי לציין כי בימים אלו מתבצעות‬
‫בישראל הטמעות ראשונות של שילוב זה‪.‬‬

‫חשוב לציין כי ברמה הקונספטואלית‪ ,‬פתרון ה‪ VDI -‬מספק מענה לצורך של טיפול מרכזי‬
‫במערכת הפעלה כאשר האפליקציות "מתניידות" למערכת ההפעלה על בסיס ה‪User-‬‬
‫והרשאותיו לאפליקציות‪ ,‬וזהו החיבור שלנו לפתרונות הווירטואליזציה לאפליקציה שהוזכרו‬
‫‪Visual‬‬ ‫(‪ App-V‬ו‪ RemoteApp -‬הוטמעו במס' ארגונים‪ ,‬כמו חיל הים‪ ,‬אשר "עטפו" את‬
‫‪ Studio 2010‬והפיצו את ה"בועה" לתחנות וירטואליות ע"ג תשתית מיקרוסופט)‬

‫כמו כן‪ ,‬בתחילת המסמך כתוב שם על ‪ Software Metering‬גם אנחנו עושים זאת עם ה‪-‬‬
‫‪. System Center Configuration Manager‬‬

‫‪ NESS‬טכנולוגיות‬
‫חשוב לי מאוד לתקן אי דיוקים בכמה נקודות‪:‬‬
‫‪ " .1‬ישנם ארגונים רבים בישראל אשר בצעו פרויקטים בתחום זה באמצעות טכנולוגיות של‬
‫‪ -terminal server‬הן באמצעות ‪, Citrix ,‬מיקרוסופט ואף ‪." Jetro‬‬
‫מאז שג'טרו הוציאו את הפתרון הייעודי שלהם לנושא (‪ )Jetro Secure Browsing‬רק ארגון‬
‫אחד בארץ ביצע פרויקט עם פתרון אחר שהוא לא של ג'טרו‪.‬‬
‫יתרה מכך – גם ארגונים שגלשו בעבר על גבי פלטפורמות אחרות עוברים ל ‪Jetro Secure‬‬
‫‪.Browsing‬‬
‫פרויקטים לדוגמא‪ :‬חברת חשמל‪ ,‬בנק ישראל‪ ,‬ביטוח איילון‪ ,‬הראל המשמר‪ ,‬בנק הדואר‪,‬‬
‫לאומי כארד ועוד‪.‬‬

‫כלומר‪ ,‬בשנתיים האחרונות בוצעו כ‪ 20-‬פרויקטי גלישה מאובטחת חדשים בארץ‪ ,‬כולם‬
‫מלבד אחד בוצעו עם הפתרון הייחודי של ג'טרו‪.‬‬
‫הפתרון של ג'טרו הוא היחיד שנותן למשתמש חווית גלישה כמעט כמו גלישה מקומית אבל‬
‫עם מקסימום אבטחה ‪ -‬שכן הגלישה נמצאת מחוץ ל‪.LAN‬‬

‫‪Page 11 of 12‬‬
‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫‪ JSB‬גם כולל יכולות נוספות – טיפול בהדפסה‪ ,‬הלבנת קבצים‪ ,‬יצירת משתמש וירטואלי‬
‫לטובת הגלישה (אוטומטי) כדי להסתיר פרטי המשתמש ועוד‪.‬‬

‫‪" .2‬הפתרון של ג'טרו עצר ‪ flash‬לאחר ‪ 10‬שניות וזה לא התאים לארגון"‪.‬‬

‫‪ Jetro Secure Browsing‬יש יכולת ייחודית הנקראת ‪ .Flash On demand‬ה‪ feature‬הזה‬
‫מחליף כל ‪ Flash‬שנמצא בדף אינטרנט בלינק "‪ ."Click here to run Flash‬ה‪ Flash‬רץ כמה‬
‫שניות (ניתן לקנפוג) ואז נעצר ומוחלף ע"י הלינק‪.‬‬

‫‪ Flash‬ידוע כשותה משאבים ‪ -‬לא ניתן להריץ יותר מ‪ 5-6‬משתמשים ב ‪ IE‬על שרת‬
‫‪ .terminal server‬ה‪ Flash On demand‬מאפשר להכיל ‪ 50-60‬משתמשים לשרת‬
‫(ואפילו יותר) וגם מאפשר גמישות למשתמש כדי שיוכל להחזיר את ה‪ Flash‬אם הוא‬
‫רוצה אותו‪.‬‬
‫יש כאן מקסימום גמישות – גם העלאת מספר משתמשים לשרת‪ ,‬גם מאפשר‬
‫למשתמשים לראות את האתר בשלמותו בהתחלה וגם האפשרות למשתמש להחזיר‬
‫‪ Flash‬אחד בודד באופן סלקטיבי‪.‬‬

‫‪" .3‬מעבר בין כתובות דפדפן חיצוניות ופנימיות מבצע בצורה אוטומטית‪".‬‬
‫בכל הקלקה על ‪( URL‬גם אם נמצא בתוך מייל) הפתרון של ג'טרו מזהה באופן אוטומטי האם‬
‫מדובר ב ‪ URL‬פנימי או חיצוני והאם המשתמש מורשה לגשת אליו‪.‬‬
‫במידה והמשתמש מורשה לגשת ל ‪ URL‬החיצוני‪ ,‬נפתח לו ‪ Internet Explorer‬חדש‪ ,‬שהוא‬
‫בעצם תמונה של ה‪ Internet Explorer‬שרץ ב‪ DMZ‬בחווה המאובטחת‪.‬‬
‫‪ JSB‬מאפשר למשתמש לגלוש לאתרים פנימיים וחיצוניים ללא התערבות ידנית או‬
‫סקריפטואלית‪.out of the box ,‬‬

‫‪Page 12 of 12‬‬