クライアントハイパーバイザーのメリットと製品選定のポイント:マイナー製品を選んだ米ユーザーの事例
クライアントハイパーバイザーは、従業員のPCを集中管理するのに有効な技術である。さまざまなベンダーがクライアントハイパーバイザー製品を提供しているが、どこに着目して選べばよいのだろう。
クライアントハイパーバイザーにまず注目したのは、仮想デスクトップをオフラインで実行する方法や、Windows 7マシンで旧バージョンのWindowsを使う方法を必要としているIT担当者だった。しかし、このデスクトップ仮想化技術は、従業員のデスクトップのセキュリティを確保する簡単な方法でもある。
米New Hanover Regional Medical Centerのネットワークエンジニア、ペイサー・ヒブラー氏は、米Citrix SystemsのVDI(仮想デスクトップインフラ)製品である「Citrix XenDesktop」と、同社のベアメタル型クライアントハイパーバイザーである「Citrix XenClient」を使っている。1台のマシンでWindows XPとWindows 7の両方を実行するためだが、XenClientを使うことで得られるデスクトップセキュリティの追加レイヤーも、非常に有益であることが分かった。
「ほとんどのユーザーは、会社支給のノートPCを私用マシンとしても使いたがる。このため、ビジネスアプリケーションに加えてビジネス以外のアプリケーションもインストールされてしまう」とヒブラー氏。「われわれシステム管理者は、インストールされるアプリケーションをコントロールできなければ、システムの保護を保証できない」
ヒブラー氏はXenClientにより、ユーザーが私用の仮想マシン(VM)とビジネス用のVMを同じノートPCで使えるようにするとともに、OSにインストールできるアプリケーションに関するポリシーを設定することで、ビジネスデスクトップを保護している。
クライアントハイパーバイザーを使って従業員の私物のノートPCで安全なビジネスVMを実行している管理者もいる。「こうすることで、会社は、『自分のコンピュータを持ってきて使う』ことを従業員に奨励する方針を維持しながら、データのセキュリティを確保できる一方、端末自体を管理する必要がなくなる」と、フォーチュン100に名を連ねるある通信会社のITデスクトップエンジニアは語った。同社は米MokaFiveのクライアントハイパーバイザーを利用している。
MokaFiveのクライアントハイパーバイザーの最新版である「MokaFive Suite 3.0」には、企業のVMが稼働する従業員の端末をスキャンするオランダのAVGのマルウェア対策ソフトウェアが含まれている。
クライアントハイパーバイザーのもう1つのセキュリティ機能として、従業員が退職した場合や、マシンを紛失したり盗まれた場合に、アクセス権限を無効にしたり、企業VMを使用不能にしたりできることが挙げられる。
例えば、XenClientがインストールされたノートPCをエンドユーザーが紛失した場合、管理者はCitrix Synchronizerを使って、そのノートPC上の企業VMを使用不能にするとともに、従業員が使っていたデータが全て保持された状態で、新しいVMを別のノートPCに配備できる。「一般のノートPCであれば、データは失われてしまう」(ヒブラー氏)
米Planned Parenthood League of Massachusetts(PPLM)は、同様のメリットに着目して米Virtual Computerの「NxTop」を利用している。管理者はこのクライアントハイパーバイザーを使ってデータを暗号化し、数カ所のオフィスの職員が使うノートPCをリモートで管理していると、PPLMのCIO、アーロン・ケイン氏は語った。
また、クライアントハイパーバイザーが提供するデスクトップの集中管理機能は、侵害されたマシンをリプレースしたり、OSを新バージョンにアップグレードしたりする場合の新しいOSイメージの展開も容易にする。セキュリティパッチの配布も、イメージ更新の一環として行える。
クライアントハイパーバイザーの選択
市場では、Citrix Systems、MokaFive、米Virtual Bridges、Virtual Computer、米VMwareといったベンダーのクライアントハイパーバイザーが提供されている。これらにはそれぞれ、考慮すべき固有の要件や制約がある。
例えば、「VMware View Client with Local Mode」は、Windows上で動作するタイプ2ハイパーバイザーであるため、その安定性は同OS次第だ。タイプ1クライアントハイパーバイザー、例えば、NxTopやXenClientなどはベアメタルで動作し、遅延が少なく、安定性に優れている。
各製品のハードウェアコストや互換性もそれぞれ異なる。例えば、タイプ2ハイパーバイザーを使う場合、ベアメタルクライアントハイパーバイザーの場合よりも多くのメモリやストレージ容量が必要になる。ネイティブOS、ハイパーバイザー、ゲストOSをサポートするためだ。
PPLMのケイン氏は、両方のタイプ(VMware View Client with Local Modeと、XenDesktopに付属するXenClient)を検討し、最終的にタイプ1ハイパーバイザーを選んだと語った。だが、同氏が選んだのはNxTopだった。大手ベンダーの製品は、ソフトウェア、ハードウェアともにコストが掛かり過ぎることが大きな理由だという。当時、XenClient 1を使う場合、Intel vProチップが必要なため、既存マシンをより長く使い続けるのではなく、新しいノートPCに全て買い替えなければならなかった。
「vProが必要なことは、われわれにとって大きな問題だった。vPro搭載ノートPCは非常に高くつくからだ」(ケイン氏)
Virtual Computerは、クライアントハイパーバイザーを最も早く投入した企業の1つであり、それ以来、XenClient 1よりも多くのプラットフォームをサポートしている。Virtual Computerが2011年4月にリリースした「NxTop Version 3 Service Pack 1」は、豊富な集中管理機能を備えている。
(編注)ただし、Citrix Systemsは2011年5月25日(米国日時)、XenClient 2を発表し、非vProチップとAMD製グラフィックスチップをサポート。対応ハードウェアを増やした。
NxTopは、競合製品よりも多くのプラットフォームで動作するが、XenClient(XenDesktopに付属する)やVMware View Client with Local Mode(VMware Viewの機能の1つ)とは異なり、VDIのフルスイートの一部ではない。だが、NxTopは、米Questのデスクトップ仮想化製品であるvWorkspaceやCitrix Recieverを介してVDI環境に接続する。
また、IT担当者は、既存のバックエンド管理システムに対するクライアントハイパーバイザーの接続性も考慮しなくてはならない。一部のデスクトップ仮想化ベンダーは、広く普及した管理システムに対応していないからだ。例えば、NxTopは、Microsoft System Centerに接続し、その管理対象にすることができるが、MokaFiveとVirtual Bridgesの「Verde LEAF」は、プロプライエタリな管理コンソールでしか管理できない。
統合やサポート、機能に関する考慮点もある。IT担当者はこれら全てについて、ベンダーと話し合い、それを踏まえて十分に検討した上で、契約を交わす必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.