VMware View アーキテクチャの計画

View 5.0View Manager 5.0

View Composer 2.7

このドキュメントは新しいエディションに置き換わるまで、ここで書いてある各製品と後続のすべてのバージョンをサポートします。このドキュメントの最新版をチェックする

には、http://www.vmware.com/jp/support/pubsを参照してください。

JA-000698-00

VMware View アーキテクチャの計画

2 VMware, Inc.

最新の技術ドキュメントは VMware の Web サイト（http://www.vmware.com/jp/support/pubs/）にあります

VMware の Web サイトでは最新の製品アップデートも提供されています。

このドキュメントに関するご意見およびご感想がある場合は、docfeedback@vmware.comまでお送りください。

Copyright © 2009–2011 VMware, Inc. 無断転載を禁ず。本製品は、米国著作権法および米国知的財産法ならびに国際著作権法および国際知的財産法により保護されています。VMware 製品には、http://www.vmware.com/go/patents-jp に列記されている 1 つ以上の特許が適用されます。VMware は、米国およびその他の地域における VMware, Inc. の登録商標または商標です。他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

目次

VMware View アーキテクチャの計画 5

1 VMware View の概要 7

VMware View を使用した場合の利点 7VMware View の機能 9VMware View のコンポーネント間の連携 9VMware View の統合およびカスタマイズ 13

2 豊かなユーザー体験の計画 15

機能サポート一覧 15表示プロトコルの選択 17View 個人設定管理を使用したユーザーのデータと設定の保持 18View デスクトップをローカル モードで使用した場合の利点 19ローカル コンピュータに接続された USB デバイスへのアクセス 21View デスクトップからの印刷 21View デスクトップへのマルチメディアのストリーミング 22シングル サインオンを使用した View デスクトップへのログイン 22View デスクトップでの複数モニタの使用 22

3 中央からのデスクトップ プールの管理 25

デスクトップ プールの利点 25ストレージ要件の低減と管理 26アプリケーション プロビジョニング 27Active Directory GPO によるユーザーおよびデスクトップの管理 29

4 アーキテクチャ設計の要素と計画のガイドライン 31

仮想マシンの要件 31VMware View ESX/ESXi ノード 36特定のタイプの就業者用のデスクトップ プール 37デスクトップ仮想マシンの構成 41vCenter および View Composer の仮想マシン構成とデスクトップ プールの最大サイズ 42View Connection Server の最大接続数と仮想マシン構成 43View Transfer Server の仮想マシン構成とストレージ 44vSphere クラスタ 44VMware View ビルディング ブロック 45VMware View ポッド 49

5 セキュリティ機能の計画 51

クライアント接続について 51ユーザー認証方法の選択 54View デスクトップ アクセスの制限 56

VMware, Inc. 3

グループ ポリシー設定を使用した View デスクトップのセキュリティ保護 57クライアント システムのセキュリティを保護するためのベスト プラクティスの実装 58管理者ロールの割り当て 58セキュリティ サーバを使用するための準備 58VMware View 通信プロトコルについて 63

6 VMware View 環境のセットアップ手順の概要 69

インデックス 71

VMware View アーキテクチャの計画

4 VMware, Inc.

VMware View アーキテクチャの計画

本マニュアル『VMware View アーキテクチャの計画』では、VMware View™ の概要について説明します。これには、主な機能および展開オプションの説明と、本番環境で一般的な VMware View コンポーネントのセットアップ方法の概要が含まれます。

このガイドは次の疑問に答えます。

n VMware View は解決の必要な問題を解決してくれるのか。

n 会社に VMware View ソリューションを実装することは可能なのか。また、コスト効率は良いのか。

また、VMware View のインストールの保護を支援するために、セキュリティ機能についても説明します。

対象読者

本マニュアルの情報は、IT の意思決定者、アーキテクト、管理者、および VMware View のコンポーネントおよび機能に精通する必要があるその他の読者を対象としています。アーキテクトやプランナーはこの情報により、Windows デスクトップおよびアプリケーションを効率的かつ安全にエンド ユーザーに提供するという企業のニーズを VMware View が満たすかどうかを判別できます。アーキテクチャの例が示されているため、プランナーは VMware View を大規模に展開するためのハードウェア要件と必要なセットアップ作業を理解できます。

VMware, Inc. 5

VMware View アーキテクチャの計画

6 VMware, Inc.

VMware View の概要 1VMware View を使用すると、IT 部門はデータセンター内で仮想デスクトップを実行し、デスクトップを管理対象サービスとして従業員に提供することができます。エンド ユーザーは、社内のあらゆる場所にある任意の数のデバイスから、または自宅からアクセスできる、パーソナライズされたなじみのある環境を手にすることができます。管理者は、デスクトッ

プ データをデータセンター内に保持できるため、制御の集中化、効率性、およびセキュリティを確保できます。

この章では次のトピックについて説明します。

n VMware View を使用した場合の利点 (P. 7)

n VMware View の機能 (P. 9)

n VMware View のコンポーネント間の連携 (P. 9)

n VMware View の統合およびカスタマイズ (P. 13)

VMware View を使用した場合の利点VMware View によってエンタープライズ デスクトップを管理すると、信頼性、セキュリティ、ハードウェアからの独立性、および利便性の向上などの利点があります。

信頼性とセキュリティ

仮想デスクトップは、VMware vSphere と統合し、サーバ、ストレージ、およびネットワーク リソースを仮想化することによって、中央から管理できるようになります。デスクトップのオペレーティング システムおよびアプリケーションをデータセンター内のサーバに配置することには、次の利点があります。

n データへのアクセスを容易に制限できます。機密データがリモートの従業員の自宅コンピュータにコピーされること

を防止できます。

n エンド ユーザーのシステムがいつオフになるかを気にせずに、データのバックアップをスケジュールできます。

n データセンター内でホストされる仮想デスクトップは、ダウンタイムがほとんどないか、まったくありません。仮想

マシンは VMware サーバの高可用性クラスタ上に配置できます。

仮想デスクトップをバック エンドの物理システムおよび Windows Terminal Services サーバに接続することもできます。

利便性

Adobe Flex の拡張性を考慮して管理コンソールが統一されたことにより、View を大規模に導入した場合でも、1 つのView Manager インターフェイスでそれらの View を効率的に管理できます。ウィザードとダッシュボードによってワークフローが強化され、詳細の表示や設定の変更にドリルダウン機能を活用できます。 図 1-1 は View Administrator のブラウザ ベースのユーザー インターフェイスの例です。

VMware, Inc. 7

図 1-1. View Manager の管理コンソール（ダッシュボード表示）

利便性を向上させるもう 1 つの機能は VMware のリモート表示プロトコルである PCoIP です。PCoIP (PC-over-IP) 表示プロトコルは、物理 PC を使用した場合の現在の体験に匹敵するエンド ユーザー体験を提供します。

n LAN 上では、従来のリモート表示よりも高速かつ滑らかに表示できます。

n WAN 上では、プロトコルはレイテンシーの増加または帯域幅の減少を補って、ネットワークの状態に関わらずユーザーの生産性を維持できるようにします。

管理性

エンド ユーザー用のデスクトップのプロビジョニングは、短時間で終わるプロセスです。各エンド ユーザーの物理 PCに 1 台ずつアプリケーションをインストールするのではなく、アプリケーションを完備した仮想デスクトップにエンドユーザーが接続します。エンド ユーザーは、さまざまな場所にあるさまざまなデバイスから同じ仮想デスクトップにアクセスできます。

VMware vSphere を使用して仮想デスクトップをホストすると、次の利点があります。

n 管理の作業が削減されます。管理者はユーザーの物理 PC に手を触れることなく、アプリケーションとオペレーティング システムのパッチ適用およびアップグレードを実行できます。

n ストレージの管理が簡素化されます。VMware vSphere を使用すると、ボリュームおよびファイル システムを仮想化できるため、個別のストレージ デバイスを管理する必要がなくなります。

ハードウェアからの独立性

仮想マシンはハードウェアに依存しません。View デスクトップはデータセンター内のサーバ上で実行され、クライアント デバイスからのみアクセスされるため、クライアント デバイスのハードウェアと互換性がない可能性のあるオペレーティング システムでも View デスクトップで使用できます。

たとえば、Windows 7 は Windows 7 対応の PC 上のみで実行できますが、仮想マシンに Windows 7 をインストールして、Windows 7 対応でない PC 上でその仮想マシンを使用することができます。仮想デスクトップは、PC、タブレット、Mac、シン クライアント、およびシン クライアントとして機能する PC 上で実行されます。

VMware View アーキテクチャの計画

8 VMware, Inc.

VMware View の機能VMware View に備わる機能は、操作性、セキュリティ、中央からの制御、およびスケーラビリティをサポートします。

次の機能は、エンド ユーザーになじみのある体験を提供します。

n Microsoft Windows クライアント デバイス上では、仮想デスクトップから Windows クライアント デバイスで定義されているローカルまたはネットワーク上の任意のプリンタに印刷できます。この仮想プリンタ機能を使用する

と、互換性の問題が解決され、仮想マシンに追加のプリンタ ドライバをインストールする必要がなくなります。

n 任意のクライアント デバイス上で、ロケーションベースの印刷機能を使用して物理的にクライアント システムの近くにあるプリンタにマッピングできます。ロケーションベースの印刷では、仮想マシン上にプリンタ ドライバをインストールする必要があります。

n 複数のモニタを使用します。PCoIP では複数モニタがサポートされるため、表示の解像度と回転をモニタごとに調整できます。

n 仮想デスクトップを表示するローカル デバイスに接続されている USB デバイスやその他の周辺機器にアクセスします。

n View 個人設定管理を使用して、デスクトップが更新または再構成された後でもセッション間でユーザー設定およびデータを保持できます。View 個人設定管理には、構成可能な間隔でユーザー プロファイルをリモート プロファイル ストア（CIFS 共有）に複製する機能があります。

VMware View は、次のようなセキュリティ機能を備えています。

n ログインに RSA SecurID の 2 要素認証またはスマート カードを使用します。

n SSL トンネリングを使用して、すべての接続が完全に暗号化されるようにします。

n VMware High Availability を使用して、デスクトップをホストし、自動フェイルオーバーを実現します。

次の機能は、管理の集中化を実現します。

n Microsoft Active Directory を使用して、仮想デスクトップへのアクセスを管理し、ポリシーを管理します。

n Web ベースの管理コンソールを使用して、任意の場所から仮想デスクトップを管理します。

n テンプレート（マスター イメージ）を使用して、デスクトップのプールをすばやく作成し、プロビジョニングします。

n ユーザーの設定、データ、または環境設定に影響を及ぼすことなく、アップデートおよびパッチを仮想マシンに送信

します。

スケーラビリティの機能は、デスクトップとサーバの両方を管理する VMware 仮想化プラットフォームに依存します。

n VMware vSphere との統合により、コスト効率の良い密度、高水準の可用性、および仮想デスクトップのリソース割り当ての高度な制御を実現します。

n エンド ユーザーと、それらのユーザーにアクセスが許可されている仮想デスクトップとの接続を仲介するように ViewConnection Server を構成します。

n View Composer を使用して、仮想ディスクをマスター イメージと共有するデスクトップ イメージをすばやく作成します。リンク クローンをこの方法で使用すると、ディスク領域を節約でき、オペレーティング システムのパッチおよびアップデートの管理が簡素化されます。

VMware View のコンポーネント間の連携エンド ユーザーは、View Client を起動して View Connection Server にログインします。Windows Active Directoryと統合されるこのサーバは、VMware vSphere 環境、ブレード PC、物理 PC、または Windows Terminal Servicesサーバ上でホストされている仮想デスクトップへのアクセスを提供します。

図 1-2は、VMware View の展開を構成する主要コンポーネントの関係を示しています。

第 1 章 VMware View の概要

VMware, Inc. 9

図 1-2. VMware View 環境の高水準での例

仮想デスクトップ仮想マシンを実行中の ESXi ホスト

View接続 サーバ

View管理者

（ブラウザ）

View Composer を備えたVMware vCenter Server

ネットワーク

WindowsView Client

MacView Client

Windows View Client with Local Mode シン クライアント

仮想デスクトップ

ESXi ホスト

仮想 マシン

仮想 マシン

仮想マシン

仮想マシン

デスクトップ OS

アプリ アプリ アプリ

View Agent

MicrosoftActive Directory

ターミナル サーバ

ブレード PC

物理 PC

vCenter以外の VM

View Agent

ViewTransfer Server ThinApp

タブレット

仮想 マシン

仮想 マシン

仮想 マシン

仮想 マシン

クライアント デバイスVMware View を使用した場合の主な利点は、デバイスや場所に関係なく、デスクトップがエンド ユーザーについて回ることです。ユーザーは、会社のラップトップ、自宅の PC、シン クライアント デバイス、Mac、またはタブレットから、パーソナライズされた自分の仮想デスクトップにアクセスできます。

タブレットや Mac および Windows ラップトップ/PC からは、エンド ユーザーは View Client を開いて各自の View デスクトップを表示します。クライアント デバイスは、View シン クライアント ソフトウェアを使用するため、ユーザーがそのデバイス上で直接起動できる唯一のアプリケーションが View Thin Client になるように構成できます。レガシーPC の用途を変更してシン クライアント デスクトップにすると、ハードウェアの寿命を 3 ～ 5 年延長できます。たとえば、シン デスクトップ上で VMware View を使用すると、古いデスクトップ ハードウェア上で Windows 7 などの新しいオペレーティング システムを使用できます。

View Connection Serverこのソフトウェア サービスは、クライアント接続のブローカーとして機能します。View Connection Server は WindowsActive Directory を介してユーザーを認証し、適切な仮想マシン、物理 PC、ブレード PC、または Windows TerminalServices サーバに要求を送ります。

View Connection Server は、次の管理機能を備えています。

n ユーザーの認証

VMware View アーキテクチャの計画

10 VMware, Inc.

n ユーザーへの、特定のデスクトップおよびプールに対する資格の付与

n VMware ThinApp でパッケージ化されたアプリケーションの特定のデスクトップおよびプールへの割り当て

n ローカルおよびリモート デスクトップ セッションの管理

n ユーザーとデスクトップの安全な接続の確立

n シングル サインオンの有効化

n ポリシーの設定および適用

企業ファイアウォールの内側に、2 つ以上の View Connection Server インスタンスのグループをインストールして構成します。その構成データは組み込み LDAP ディレクトリに格納され、グループのメンバー間で複製されます。

企業ファイアウォールの外側では、DMZ に View Connection Server をセキュリティ サーバとしてインストールできます。DMZ 内のセキュリティ サーバは、企業ファイアウォールの内側の View Connection Server と通信します。セキュリティ サーバにより、企業のデータ センターに入ることができるリモート デスクトップ トラフィックが、強力な認証を経たユーザーのトラフィックのみに確実に限定されます。ユーザーはアクセスが許可されているデスクトップ リソースにのみアクセスできます。

セキュリティ サーバは View Connection Server の機能のサブセットを提供するため、Active Directory ドメイン内に配置する必要はありません。View Connection Server は、Windows Server 2008 サーバ（できれば VMware 仮想マシン上の）にインストールします。

View ClientView デスクトップにアクセスするためのクライアント ソフトウェアはタブレット、Windows または Mac PC、ラップトップ、シン クライアントなどの上で実行できます。

ユーザーはログインした後、使用を許可されている仮想デスクトップのリストから選択します。認証には、Active Directoryの認証情報、UPN、スマート カードの PIN、または RSA SecurID トークンの使用を義務付けることができます。

管理者は、エンド ユーザーが表示プロトコルを選択できるように View Client を構成できます。プロトコルには PCoIPと Microsoft RDP が使用できます。PCoIP の速度と表示品質は物理 PC に匹敵します。

View Client with Local Mode（旧称 Offline Desktop）は、ネットワーク接続の有無に関わらずエンド ユーザーが仮想マシンをダウンロードしてローカル Windows システムで使用できるようにするために拡張された View Client のバージョンです。

使用する View Client によって機能が異なります。このガイドは、Windows 用 View Client に焦点を合わせています。次のタイプのクライアントについては、このガイドでは詳しく説明しません。

n タブレット用および Mac 用の View Client についての詳細。https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html にある VMware View Clientsのマニュアルを参照してください。

n View Client for Linux（認定されたパートナーからの購入に限定）。

n 様々なサードパーティ クライアント（認定されたパートナーからの購入に 限定）。

n View Open Client（VMware のパートナー認定プログラムをサポート）。View Open Client は正式な View クライアントでないため、サポートされていません。

第 1 章 VMware View の概要

VMware, Inc. 11

View PortalView Portal を使用するには、Windows または Mac PC やラップトップ上のエンド ユーザーは Web ブラウザを開いて View Connection Server インスタンスの URL を入力します。View Portal には Windows 用 View Client またはMac OS 用 View Client を完全インストールするためのインストーラのダウンロード用リンクがあります。

View AgentView Agent サービスは、View デスクトップのソースとして使用するすべての仮想マシン、物理システム、およびTerminal Service サーバにインストールします。仮想マシン上で、このエージェントは View Client と通信して、接続の監視、仮想印刷、View 個人設定管理、ローカルに接続された USB デバイスへのアクセスなどの機能を提供します。

デスクトップ ソースが仮想マシンの場合は、最初に View Agent サービスをその仮想マシンにインストールした後、その仮想マシンをリンク クローンのテンプレートまたは親として使用します。この仮想マシンからプールを作成すると、すべての仮想デスクトップに View Agent が自動的にインストールされます。

このエージェントは、シングル サインオンのオプションを有効にしてインストールできます。シングル サインオンを有効にすると、ユーザーは View Connection Server に接続したときだけログインを要求され、仮想デスクトップに接続したときには 2 回目のログインを要求されません。

View Administratorこの Web ベースのアプリケーションでは、View Connection Server の構成、View デスクトップの展開と管理、ユーザー認証の制御、およびエンド ユーザーの問題のトラブルシューティングを管理者が実行できます。

View Connection Server インスタンスをインストールすると、View Administrator アプリケーションもインストールされます。このアプリケーションを使用すると、管理者は自分のローカル コンピュータにアプリケーションをインストールすることなく、任意の場所から View Connection Server インスタンスを管理できます。

View Composerこのソフトウェア サービスは、仮想マシンを管理する vCenter Server インスタンスにインストールします。ViewComposer はその後、指定された親仮想マシンからリンク クローンのプールを作成できます。この戦略を採用すると、ストレージ コストが最大 90% 削減されます。

各リンク クローンは一意のホスト名および IP アドレスを持ち、独立したデスクトップのように動作しますが、リンク クローンは基本イメージを親と共有するため、ストレージの必要量がはるかに少なくなります。

リンク クローン デスクトップ プールは基本イメージを共有しているため、親仮想マシンを更新するだけで、アップデートおよびパッチをすばやく展開できます。エンド ユーザーの設定、データ、およびアプリケーションは影響を受けません。View 4.5 からは、View デスクトップのリンク クローン テクノロジーを使用して、ローカル システムにリンク クローンをダウンロードしてチェックアウトできるようになりました。

vCenter Serverこのサービスは、ネットワークに接続されている VMware ESX/ESXi サーバに対して中央からの管理者の役割を果たします。vCenter Server（旧称 VMware VirtualCenter）は、データセンター内の仮想マシンを構成、プロビジョニング、および管理するための中心点となります。

それらの仮想マシンを View デスクトップ プールのソースとして使用するだけでなく、仮想マシンを使用して、ConnectionServer インスタンス、Active Directory サーバ、vCenter Server インスタンスなどの VMware View のサーバ コンポーネントをホストすることもできます。

View Composer を vCenter Server と同じサーバにインストールして、リンク クローン デスクトップ プールを作成できます。その場合、物理サーバおよびストレージへの仮想マシンの割り当てと、仮想マシンへの CPU およびメモリ リソースの割り当てが vCenter Server によって管理されます。

View Server は、Windows Server 2008 サーバ（できれば VMware 仮想マシン上の）にインストールします。

VMware View アーキテクチャの計画

12 VMware, Inc.

View Transfer Serverこのソフトウェアは、エンド ユーザーのローカル システムで使用するためにチェックアウトされたデータ転送を、データセンターと View デスクトップとの間で管理して効率化します。View Client with Local Mode（旧称 View Clientwith Offline Desktop）を実行するデスクトップをサポートするには、View Transfer Server が必要です。

一部の操作では、View Transfer Server を使用して、vCenter Server の View デスクトップとクライアント システム上の対応するローカル デスクトップとの間でデータを送信します。

n ユーザーがデスクトップにチェックインまたはチェックアウトするとき、View Manager はこの操作を認証して管理します。View Transfer Server はデータセンターとローカル デスクトップの間でファイルを転送します。

n View Transfer Server は、ユーザーが生成した変更をデータセンターに複製して、ローカル デスクトップをデータセンター内の対応するデスクトップと同期化します。

複製はローカル モード ポリシーに指定した間隔で実行されます。複製を View Administrator から開始することもできます。ユーザーがローカル デスクトップから複製を開始できるようにするポリシーを設定できます。

n View Transfer Server は、共通のシステム データをデータセンターからローカル クライアントに分散させます。View Transfer Server は View Composer 基本イメージを Transfer Server リポジトリからローカル デスクトップにダウンロードします。

VMware View の統合およびカスタマイズ組織内での VMware View の効率を高めるために、いろいろなインターフェイスを使用して、VMware View を外部アプリケーションと統合したり、コマンド ラインからまたはバッチ モードで実行できる管理スクリプトを作成したりできます。

View とビジネス インテリジェンス ソフトウェアの統合次のようなイベントを Microsoft SQL Server や Oracle データベースに記録するように、VMware View を構成できます。

n ログインやデスクトップ セッションの開始などのエンド ユーザー アクション。

n 資格の追加やデスクトップ プールの作成などの管理者アクション。

n システムの障害やエラーを報告するアラート。

n 24 時間のユーザー最大数を報告するなどの統計サンプリング。

Crystal Reports、IBM Cognos、MicroStrategy 9、および Oracle Enterprise Performance Management Systemなどのビジネス インテリジェンスのレポート エンジンを使用して、イベント データベースにアクセスして分析することもできます。

詳細については、『VMware View の統合』ドキュメントを参照してください。

View PowerCLI による管理スクリプトの作成Windows PowerShell は、Microsoft Windows 向けに設計されたコマンド ラインによるスクリプト作成環境です。PowerShell では .NET オブジェクト モデルが使用され、管理機能と自動化機能が管理者に提供されます。他のコンソール環境と同じように PowerShell の作業でもコマンドを実行しますが、このコマンドを PowerShell では cmdlet（コマンドレット）と呼びます。

View PowerCLI には使いやすい VMware View への PowerShell インターフェイスが提供されています。View PowerCLIcmdlet を使用することにより、View コンポーネントで次のような様々な管理タスクを実行できます。

n デスクトップ プールの作成と更新。

n 完全仮想マシンまたはリンク クローン プールへのデータ センター リソースの追加。

n リンク クローン デスクトップでの再分散、更新、再構成操作の実行。

n 一定時間における特定のデスクトップまたはデスクトップ プールの使用状況のサンプリング。

第 1 章 VMware View の概要

VMware, Inc. 13

n イベント データベースのクエリ。

n View サービスの状態のクエリ。

View PowerCLI cmdlet を、VMware vSphere 製品への管理インターフェイスを提供する vSphere PowerCLI cmdletと関連付けて使用することもできます。

詳細については、『VMware View の統合』ドキュメントを参照してください。

View での LDAP 構成データの変更View Administrator を使用して VMware View の構成を変更すると、リポジトリ内の対応する LDAP データが更新されます。VMware View は構成情報を LDAP 互換のリポジトリに格納します。たとえば、デスクトップ プールが追加されると、VMware View はユーザー、ユーザー グループ、および資格に関する情報を LDAP に格納します。

VMware および Microsoft のコマンド ツールを使用して、VMware View　との間で LDAP 構成データを LDAP データ交換形式 (LDIF) ファイルでエクスポートおよびインポートできます。これらのコマンドは、構成データの更新にView Administrator や View PowerCLI ではなくスクリプトを使用する上級管理者向けのコマンドです。

LDIF ファイルを使用して、いくつかのタスクを実行できます。

n View Connection Server インスタンス間での構成データの転送。

n デスクトップ プールなどの View オブジェクトを多数定義した後に、それらを View Administrator や View PowerCLIを使用せずに View Connection Server インスタンスに追加。

n View Connection Server インスタンスの状態を回復できるようにするための View 構成のバックアップ。

詳細については、『VMware View の統合』ドキュメントを参照してください。

SCOM による View コンポーネントの監視Microsoft System Center Operations Manager (SCOM) を使用して、VMware View コンポーネントの状態とパフォーマンスを監視できます。監視対象のコンポーネントには、View Connection Server インスタンス、セキュリティ サーバ、およびそれらのホストで実行している View サービスが含まれます。

詳細については、『VMware View の統合』ドキュメントを参照してください。

vdmadmin コマンドによる View の管理vdmadmin コマンド ライン インターフェイスを使用すると、View Connection Server インスタンスに対して各種の管理タスクを行うことができます。View Administrator ユーザー インターフェイス内からは行えない管理タスクやスクリプトで自動的に実行する必要のある管理タスクを vdmadmin を使って行えます。

詳細については、『VMware View の管理』ドキュメントを参照してください。

VMware View アーキテクチャの計画

14 VMware, Inc.

豊かなユーザー体験の計画 2VMware View は、エンド ユーザーが期待する、なじみのあるパーソナライズされたデスクトップ環境を提供します。エンド ユーザーは、各自のローカル コンピュータに接続された USB デバイスやその他のデバイスにアクセスしたり、ローカル コンピュータで検出できる任意のプリンタにドキュメントを送信したり、スマート カードで認証したり、複数のディスプレイ モニタを使用したりできます。

VMware View は、エンド ユーザーに提供されることが望ましい機能を多数備えています。使用する機能を決定する前に、各機能の制限および制約を理解しておく必要があります。

この章では次のトピックについて説明します。

n 機能サポート一覧 (P. 15)

n 表示プロトコルの選択 (P. 17)

n View 個人設定管理を使用したユーザーのデータと設定の保持 (P. 18)

n View デスクトップをローカル モードで使用した場合の利点 (P. 19)

n ローカル コンピュータに接続された USB デバイスへのアクセス (P. 21)

n View デスクトップからの印刷 (P. 21)

n View デスクトップへのマルチメディアのストリーミング (P. 22)

n シングル サインオンを使用した View デスクトップへのログイン (P. 22)

n View デスクトップでの複数モニタの使用 (P. 22)

機能サポート一覧

ローカル USB デバイスへのアクセス、ロケーションベースの印刷、PCoIP および Microsoft RDP 表示プロトコルなどの機能の多くは、ほとんどのクライアント OS でサポートされています。その機能が View デスクトップのオペレーティング システムでサポートされているかどうかも、考慮に入れる必要があります。

エンド ユーザーに提供する表示プロトコルおよび機能を計画するときは、以下の表を使用して、その機能をサポートするクライアント OS およびエージェント（View デスクトップ）の OS を判別してください。

Windows Vista のエディションには、Windows Vista Home、Enterprise、Ultimate、および Business が含まれます。Windows 7 のエディションには、Home、Professional、Enterprise、および Ultimate が含まれます。Windowsターミナル サーバーのエディションは Standard Edition です。

VMware, Inc. 15

表 2-1. View デスクトップのオペレーティング システムでサポートされる機能（View Agent がインストールされている場合）

機能

Windows XPPro SP3、32ビット

Windows VistaSP1 および SP2、32 ビット

Windows 7 およびSP1、32 ビットおよび 64 ビット

Windows 2003SP2/2003 R2 ターミナル サーバー SP2、32ビット

Windows 2008SP2/2008 R2 およびSP1 ターミナル サーバー 64 ビット

USB アクセス 〇 〇 〇

RDP 表示プロトコル

〇 〇 〇 〇 〇

PCoIP 表示プロトコル

〇 〇 〇

個人設定管理 〇 〇 〇

Wyse MMR 〇 〇

ロケーション ベースの印刷

〇 〇 〇

仮想印刷 〇 〇 〇

スマート カード 〇 〇 〇 〇 〇

RSA SecurID 〇 〇 〇 該当なし 該当なし

シングル サインオン

〇 〇 〇 〇 〇

複数のモニタ 〇 〇 〇 RDP 7 を使用

ローカル モード 〇 〇 〇

表 2-2. Windows クライアントでサポートされる機能

機能

Windows XP Home/ProSP3、32 ビット

Windows Vista SP1、SP2、32ビット

Windows 7 および SP1、32 ビットおよび 64 ビット

USB アクセス 〇 〇 〇

RDP 表示プロトコル 〇 〇 〇

PCoIP 表示プロトコル 〇 〇 〇

個人設定管理 〇（ローカル モード未使用） 〇（ローカル モード未使用） 〇（ローカル モード未使用）

Wyse MMR 〇 〇

ロケーション ベースの印刷 〇 〇 〇

仮想印刷 〇 〇 〇

スマート カード 〇 〇 〇

RSA SecurID 〇 〇 〇

シングル サインオン 〇 〇 〇

複数のモニタ 〇 〇 〇

ローカル モード 〇 〇 〇

また、VMware のパートナー数社が、VMware View の展開用のシン クライアント デバイスを提供しています。各シンクライアント デバイスで使用可能な機能は、ベンダおよびモデルと、企業が採用する構成によって決定されます。シンクライアント デバイスのベンダーおよびモデルの詳細については、VMware Web サイトから入手可能な『シン クライアント互換性ガイド』（英語版）を参照してください。

注意 Mac またはタブレットでサポートされる機能については、https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html の VMware View Client のマニュアルを参照してください。

VMware View アーキテクチャの計画

16 VMware, Inc.

表示プロトコルの選択

表示プロトコルは、データセンターに存在する View デスクトップへのグラフィカル インターフェイスをエンド ユーザーに提供します。VMware で提供される PCoIP（PC-over-IP）、または Microsoft RDP（Remote Desktop Protocol）を使用できます。

使用するプロトコルを制御するポリシー、またはエンド ユーザーがデスクトップにログインしたときにプロトコルを選択できるようにするポリシーを設定できます。

注意 ローカル クライアント システムでの使用のためにデスクトップをチェック アウトすると、PCoIP リモート表示プロトコルと RDP リモート表示プロトコルの両方とも使用されなくなります。

VMware View での PCoIP の使用PCoIP は、VMware によって提供される高パフォーマンスな新しいリモート表示プロトコルです。このプロトコルは、仮想マシン、Teradici クライアント、および Teradici 対応のホスト カードを備えた物理マシンをソースとする View デスクトップに使用できます。

PCoIP は、レイテンシーの増加または帯域幅の減少を補って、ネットワークの状態に関わらずユーザーの生産性を維持できるようにします。PCoIP は、LAN または WAN 上の様々なユーザーを対象とするイメージ、オーディオ、およびビデオ コンテンツの配信のために最適化されています。PCoIP は次の機能を備えています。

n Windows Aero テーマや Google Earth などの 3D アプリケーションを最大 1920 x 1200 の画面解像度で使用できます。この非ハードウェアの高速グラフィック機能により、物理的なグラフィック プロセシング ユニット（GPU）を必要とすることなく、DirectX 9 と OpenGL 2.1 アプリケーションを実行できます。この機能は、WAN 上で最大 100ms という許容可能なパフォーマンスを提供します。

n 最大 4 つのモニタを使用し、各モニタの解像度を個別に調整できます。ディスプレイごとの解像度は最高 2560 ﾗ1600 です。3D 機能を有効にする場合、最大 1920x1200 の解像度で 2 台までのモニタがサポートされています。

n ローカル システムとデスクトップの間でのテキストや画像のコピーおよび貼り付けは、1 MB まで可能です。　サポートされているファイル形式は、テキスト、画像、RTF（リッチ テキスト フォーマット）です。フォルダやファイルなどのシステム オブジェクトは、システム間でコピーおよび貼り付けすることができません。

n PCoIP は 32 ビット カラーをサポートします。

n View 5 で追加された最適化制御により、LAN および WAN 上の帯域幅使用を削減でき、帯域幅が最大 75% 向上します。

n PCoIP は Advanced Encryption Standard（AES）128 ビット暗号化をサポートします。これはデフォルトで有効になっています。

n 企業ファイアウォールの外側にいるユーザーに対しては、このプロトコルを View セキュリティ サーバまたは企業の仮想プライベート ネットワークとともに使用できます。

クライアント ハードウェアは次の要件を満たす必要があります。

n SSE2 拡張命令に対応する x86 ベースのプロセッサ。800MHz 以上のプロセッサ処理速度。

n NEON（推奨）または WMMX2 拡張命令に対応する ARM プロセッサ。1GHz 以上のプロセッサ処理速度。

Microsoft RDPRemote Desktop Protocol は、多くのユーザーが自宅のコンピュータから職場のコンピュータにアクセスするためにすでに使用しているものと同じプロトコルです。RDP は、リモート コンピュータ上のすべてのアプリケーション、ファイル、およびネットワーク リソースへのアクセスを提供します。

Microsoft RDP は次の機能を備えています。

n RDP 6 では、複数のモニタをスパン モードで使用できます。RDP 7 では、最大 16 台までのモニタに対する実際の複数モニタがサポートされています。

第 2 章 豊かなユーザー体験の計画

VMware, Inc. 17

n ローカル システムと View デスクトップの間で、テキストおよびシステム オブジェクト（フォルダやファイルなど）のコピーと貼り付けを実行できます。

n RDP は 32 ビット カラーをサポートします。

n RDP は 128 ビットの暗号化をサポートします。

n このプロトコルを使用すると、企業 DMZ にある View セキュリティ サーバへの、暗号化された安全な接続を確立できます。

View 個人設定管理を使用したユーザーのデータと設定の保持View 個人設定管理は、ユーザーがプロファイルに加えた変更を保持します。ユーザー プロファイルはユーザーが生成したさまざまな情報から構成されます。

n ユーザー固有のデータおよびデスクトップ設定。ユーザーがどのデスクトップにログインしても同じデスクトップ

デザインを表示できます。

n アプリケーション データおよび設定。たとえば、ツールバーの位置や設定をアプリケーションに記憶させることができます。

n ユーザー アプリケーションによって構成された Windows レジストリ エントリ。

これらの機能を活用するため、View 個人設定管理では CIFS 共有でユーザーのローカル プロファイル サイズ以上のストレージが必要です。

ログオンおよびログオフ時間の最小化

View 個人設定管理は、デスクトップのログオンおよびログオフにかかる時間を最小限に抑えます。

n View は View デスクトップでのプロファイルの最近の変更を記録し、定期的にその変更をリモート リポジトリにコピーします。デフォルトは 10 分ごとです。これに対して、Windows 移動プロファイルはログオフまで待機し、ログオフ時にすべての変更をサーバーにコピーします。

n ログオン時に、View は Windows で必要なファイルのみ（ユーザー レジストリ ファイルなど）をダウンロードします。その他のファイルは、ユーザーまたはアプリケーションが View デスクトップのプロファイル フォルダからそれらを開いたときに View デスクトップにコピーされます。

n View 個人設定管理では、ログオフ時には前回のレプリケーション以降に更新されたファイルだけがリモート リポジトリにコピーされます。

View 個人設定管理では、プロファイルを管理するために Active Directory に変更を加える必要はありません。個人設定管理を構成するには、Active Directory でユーザーのプロパティを変更せずに、中央リポジトリを指定します。この中央リポジトリで、ユーザーがログオンする可能性のある他の物理マシンに影響を及ぼすことなく、1 つの環境でユーザーのプロファイルを管理できます。

View 個人設定管理で VMware ThinApp アプリケーションがインストールされたデスクトップをプロビジョニングする場合、ユーザー プロファイルに ThinApp サンドボックス データも格納できます。このデータはユーザーとともに移動可能で、ログオン時間には大きな影響を及ぼしません。この戦略により、データの損失や破損に対する保護が強化されます。

構成オプション

View 個人設定は次のいくつかのレベルで構成できます。展開内の単一 View デスクトップ、デスクトップ プール、OU、またはすべての View デスクトップ。グループ ポリシー（GPO）を設定することで、個人設定に含めるファイルとフォルダを次のように細かく制御できます。

n ローカル設定フォルダを含めるかどうかを指定します。Windows 7 または Windows Vista の場合、このポリシーは AppData\Local フォルダに影響します。Windows XP の場合、このポリシーは Local Settings フォルダに影響します。

n ログイン時にロードするファイルとフォルダを指定します。例：ApplicationData\Microsoft\Certificates.フォルダ内で除外するファイルを指定することもできます。

VMware View アーキテクチャの計画

18 VMware, Inc.

n ユーザーがデスクトップにログインした後に、バックグラウンドでダウンロードするファイルとフォルダを指定しま

す。フォルダ内で除外するファイルを指定することもできます。

n View 個人設定管理の代わりに Windows 移動プロファイル機能で管理する、ユーザーの個人設定内のファイルとフォルダを指定します。フォルダ内で除外するファイルを指定することもできます。

Windows 移動プロファイルと同様に、フォルダ リダイレクトを構成できます。次のフォルダをネットワーク共有にリダイレクトできます。

Contacts（連絡先） マイ ドキュメント Save Games（セーブ ゲーム）

Cookies（クッキー） My Music（マイ ミュージック） Searches（検索）

Desktop（デスクトップ） My Pictures（マイ ピクチャ） Start Menu（スタート メニュー）

Downloads（ダウンロード） My Videos（マイ ビデオ） Startup Items（スタートアップ項目）

お気に入り Network Neighborhood（ネットワーク コンピュータ） Templates（テンプレート）

History（履歴） Printer Neighborhood（近くのプリンタ） Temporary Internet Files（インターネット一時ファイル）

Links（リンク） Recent Items（最近使った項目）

個人設定を格納するリモート リポジトリを構成するには、ネットワーク共有、または Windows 移動プロファイル用に構成した既存の Active Directory ユーザー プロファイル パスを使用できます。ネットワーク共有には、サーバ上、ネットワーク接続ストレージ（NAS）デバイス上、またはネットワーク サーバ上のフォルダを使用できます。大規模な View 展開をサポートするために、さまざまなデスクトップ プールに個別のリポジトリを構成できます。

制限付き

View 個人設定管理には、次の制限および制約があります。

n View 個人設定管理コンポーネントを含む View ライセンスが必要です。

n View 個人設定管理は仮想マシンでのみ動作します。物理コンピュータや Microsoft Terminal Server では動作しません。

n View 個人設定管理には CIFS（共通インターネット ファイル システム）共有が必要です。

n ローカル モードで実行するデスクトップには、View Persona Management を使用できません。

n v1 ユーザーのプロファイルを持つデスクトップと v2 ユーザーのプロファイルを持つデスクトップ間でユーザーを切り替える場合、ユーザーは同じプロファイルにはアクセスできません。ただし、リダイレクトされたフォルダは v1プロファイルと v2 プロファイル間で共有できます。Windows XP では、v1 プロファイルを使用します。WindowsVista および Windows 7 では、v2 プロファイルを使用します。

View デスクトップをローカル モードで使用した場合の利点View Client with Local Mode では、ユーザーが View デスクトップをチェックアウトしてラップトップなどのローカル システムにダウンロードできます。管理者は、バックアップ頻度やサーバへの接続頻度、USB デバイスへのアクセス、およびデスクトップのチェック イン許可のポリシーを設定することで、これらのローカル View デスクトップを管理できます。

ネットワーク接続が貧弱なリモート オフィスでは、従業員はリモート デスクトップよりローカル View デスクトップの方がアプリケーションを速く実行できます。また、ローカル版のデスクトップは、ネットワーク接続がある場合にもない

場合にも使用できます。

クライアント システムでネットワーク接続が行われている場合は、デスクトップをチェックアウトしても、ViewConnection Server との通信は継続されてポリシーがアップデートされ、ローカルにキャッシュされた認証基準は最新の状態に保たれます。デフォルトでは、5 分ごとに接続が試行されます。

第 2 章 豊かなユーザー体験の計画

VMware, Inc. 19

ローカル モードの View デスクトップは、リモート デスクトップと同じように動作しますが、ローカル リソースを使用できます。レイテンシーが解消され、パフォーマンスが強化されます。ユーザーは自分のローカル View デスクトップから切断し、View Connection Server に接続しないで再ログインすることができます。ネットワーク アクセスが回復するか、ユーザーの準備が整うと、チェックアウトした仮想マシンのバックアップ、ロール バック、またはチェック インを実行できます。

ローカル リソースの利用 ローカル デスクトップをチェックアウトした後は、ローカル システムのメモリおよび CPU の能力を利用できます。たとえば、利用可能なメモリのうち、ホスト OS とゲスト OS の動作に必要な容量を超えた分は通常、vCenter Server で仮想マシンに対して指定されたメモリ設定に関係なく、ホストとローカルの View デスクトップに配分されます。同じように、ローカル View デスクトップは、ローカル システムで使用可能な最大 2 つの CPU を自動的に使用できます。また、最大 4 つの CPU を使用するようにローカル デスクトップを構成できます。

ローカル デスクトップはローカル リソースを利用できますが、ESX/ESXi 3.5 ホスト上に作成された Windows 7 または Windows Vista View デスクトップでは、3D 効果と Windows Aero 効果を再現できません。この制限は、Windows 7 または WindowsVista ホスト上でローカルで使用するためにデスクトップをチェックアウトしたときにも適用されます。Windows Aero 効果と 3D 効果は、vSphere 4.x 以降を使用してView デスクトップを作成した場合にのみ利用可能です。

ローカル モードの強制によるデータセンター リソースの節約

必ず View デスクトップをダウンロードしてローカル モードでのみ使用するようにすると、帯域幅、メモリ、および CPU リソースに関連するデータセンターのコストを削減できます。この方式は、従業員および請負業者向けの BYOC（PC 持ち込み）プログラムと呼ばれることがあります。

チェックアウト View デスクトップがチェックアウトされると、仮想マシンの状態を保存するために、vCenter でスナップショットが作成されます。デスクトップの vCenter Server バージョンは他のユーザーがアクセスできないようにロックされます。View デスクトップがロックされると、vCenter Server での操作は無効になります。これには、オンライン デスクトップのパワーオン、スナップショットの作成、仮想マシンの設定の編集が含まれます。ただし、この場合も View 管理者はローカル セッションを監視でき、vCenter Server バージョンにアクセスして、デスクトップへのアクセスの削除またはデスクトップのロールバックを行うことができます。

バックアップ バックアップ中に、チェックアウトした仮想マシンの状態を保存するために、クライア

ント システムでスナップショットが作成されます。このスナップショットと、vCenterでのスナップショットの差分は、vCenter に複製され、そこのスナップショットにマージされます。vCenter Server の View デスクトップはすべての新しいデータと構成でアップデートされますが、ローカル デスクトップはローカル システム上でチェックアウトされたままとなり、vCenter Server でのロックも有効なままとなります。

ロールバック ロールバックを行うと、ローカル View デスクトップは破棄され、vCenter Server でのロックは解除されます。以後のクライアント接続は、デスクトップが再度チェックア

ウトされるまで vCenter Server の View デスクトップにダイレクトされます。

チェックイン View デスクトップがチェックインされると、仮想マシンの状態を保存するために、クライアント システムでスナップショットが作成されます。このスナップショットと、vCenter でのスナップショットの差分は、vCenter に複製され、そこのスナップショットにマージされます。vCenter Server の仮想マシンはロックされません。以後のクライアント接続は、デスクトップが再度チェックアウトされるまで vCenter Server のView デスクトップにダイレクトされます。

VMware View アーキテクチャの計画

20 VMware, Inc.

各ローカル システムのデータは、AES で暗号化されています。128 ビット暗号がデフォルトですが、192 ビットまたは256 ビット暗号を構成できます。デスクトップには、ポリシーに基づいて制御される有効期限があります。クライアントが View Connection Server と通信不能になった場合、サーバと無通信になる最大時間は、アクセスを拒否されるまでユーザーがデスクトップを使用し続けることができる期間と等しくなります。同様に、ユーザーのアクセスが削除される

と、キャッシュの有効期限が切れるか、またはクライアントが View Connection Server を介してアクセス削除を検出したときに、クライアント システムはアクセス不可能になります。

View Client with Local Mode には、次の制限および制約があります。

n Local Mode コンポーネントを含む View ライセンスが必要です。

n ロールバックまたはチェックインの実行中、エンド ユーザーはローカル デスクトップにアクセスできません。

n この機能が使用できるのは、vCenter Server によって管理されている仮想マシンのみです。

n 仮想ハードウェア バージョン 8 を使用する View デスクトップのチェックアウトはサポートされていません。vSphere5 を使用して、ローカル モード デスクトップのソースになる仮想マシンを作成する場合は、仮想ハードウェア バージョン 7 を使用する仮想マシンを作成するようにしてください。

n ローカル モードで実行するデスクトップには、View 個人設定管理 を使用できません。

n VMware ThinApp で作成されたアプリケーション パッケージの割り当ては、ローカル モードでダウンロードおよび使用されている View デスクトップではサポートされていません。デスクトップをロールバックすると、ViewConnection Server で、ロールバック デスクトップ上の ThinApps についての不正な情報が生じる可能性があります。

n セキュリティ上の理由により、View デスクトップ内からホストの CD-ROM にアクセスすることはできません。

n また、セキュリティ上の理由により、ローカル システムと View デスクトップの間でテキストおよびシステム オブジェクト（ファイルやフォルダなど）をコピーして貼り付けることはできません。

ローカル コンピュータに接続された USB デバイスへのアクセス管理者は、サム フラッシュ ドライブ、VoIP（Voice over IP）デバイス、プリンタなどの USB デバイスを View デスクトップから使用できるように構成できます。この機能を USB リダイレクトといいます。

この機能を使用すると、ローカル クライアント システムに接続されているほとんどの USB デバイスを View Client のメニューから使用できるようになります。デバイスの接続と切断にはメニューを使用します。

メニューに表示されなくても View デスクトップで使用可能な USB デバイスとしては、スマート カード リーダと、キーボードやポインティング デバイスなどのヒューマン インターフェイス デバイスがあります。View デスクトップとローカル コンピュータは、これらのデバイスを同時に使用します。

この機能には次の制限があります。

n View Client のメニューから USB デバイスにアクセスして、View デスクトップでそのデバイスを使用しているとき、ローカル コンピュータ上ではそのデバイスにアクセスできません。

n USB リダイレクトは Windows 2000 システム、および Microsoft Terminal Server をソースとする View デスクトップではサポートされません。

View デスクトップからの印刷仮想印刷機能を使用すると、View デスクトップに追加のプリンタ ドライバをインストールする必要なく、Windows システム上で View Client を使用しているエンド ユーザーが View デスクトップからローカル プリンタまたはネットワーク プリンタを使用できます。ロケーションベースの印刷機能により、エンドポイントのクライアント デバイスに最も近いプリンタに対して、View デスクトップをマッピングすることができます。

仮想印刷を使用すると、ローカル Windows コンピュータ上でプリンタを追加すると、View デスクトップで使用可能なプリンタのリストにもそのプリンタが追加されます。何も構成する必要はありません。この機能で使用可能なプリンタご

とに、データ圧縮、印刷品質、両面印刷、カラーなどの環境設定ができます。その場合でも、管理者権限のあるユーザー

は、仮想印刷コンポーネントとの競合をもたらすことなく View デスクトップにプリンタ ドライバをインストールできます。

第 2 章 豊かなユーザー体験の計画

VMware, Inc. 21

印刷ジョブを USB プリンタに送信するには、USB リダイレクト機能または仮想印刷機能を使用できます。

ロケーションベースの印刷機能は、Windows かどうかを問わず、すべてのクライアント システムで利用できます。ロケーションベースの印刷により、IT 組織は、エンドポイントのクライアント デバイスに最も近いプリンタに対して、Viewデスクトップをマッピングすることができます。たとえば、病院で医師が複数の部屋を移動しても、医師が書類を印刷す

るたびに、最も近くにあるプリンタに印刷ジョブが送信されます。この機能を使用するには、適切なプリンタ ドライバが View デスクトップにインストールされている必要があります。

View デスクトップへのマルチメディアのストリーミングWyse MMR（マルチメディア リダイレクト）を使用すると、View デスクトップにマルチメディア ファイルがストリーミングされたときに、完全に忠実な再生が可能になります。

MMR 機能は、ローカル デコーダがクライアントに存在しているはずであることから、クライアント システムがサポートしているメディア ファイル形式をサポートします。ファイル形式は、MPEG2、WMV、AVI、WAV などです。

この機能には次の制限があります。

n 最高の品質を得るには、Windows Media Player 10 以降を使用し、ローカル コンピュータまたはクライアント アクセス デバイスと View デスクトップの両方にインストールします。

n View デスクトップでのファイアウォールの例外に、Wyse MMR のポート（デフォルトで 9427）を追加する必要があります。

n MMR は、Windows 7 のクライアントまたは仮想デスクトップではサポートされません。

MMR は Windows 7 の仮想デスクトップではサポートされませんが、Windows 7 デスクトップが 1GB の RAMと 2 つの仮想 CPU を備えている場合は、PCoIP を使用すると、480p および 720p でフォーマットされたビデオをネイティブ解像度で再生できます。1080p の場合は、HD 品質を得るにはウィンドウのサイズを小さくすることが必要になる場合があります。

シングル サインオンを使用した View デスクトップへのログインシングル サインオン（SSO）機能を使用すると、エンド ユーザーがログインを 1 回だけ要求されるように View Managerを構成できます。

シングル サインオン機能を使用しない場合、エンド ユーザーは 2 回ログインする必要があります。最初に View ConnectionServer へのログインを要求され、次に View デスクトップへのログインを要求されます。スマート カードも使用する場合、エンド ユーザーはスマート カード リーダに PIN を要求されたときにもログインが必要なため、3 回ログインする必要があります。

この機能には、Windows XP 用の Graphical Identification and Authentication（GINA）ダイナミック リンク ライブラリと、Windows Vista 用の認証情報プロバイダ ダイナミック リンク ライブラリが含まれます。

View デスクトップでの複数モニタの使用View デスクトップでは、表示プロトコルに関係なく、複数のモニタを使用できます。

VMware の表示プロトコルである PCoIP を使用する場合は、表示の解像度と回転をモニタごとに調整できます。PCoIPでは、スパン モード セッションではなく、実際に複数モニタ セッションが可能です。

スパン モードのリモート セッションは、実際にはシングル モニタ セッションです。モニタのサイズと解像度を同じにする必要があり、モニタのレイアウトが境界ボックスに収まる必要があります。アプリケーション ウィンドウを最大化すると、ウィンドウがすべてのモニタにまたがって表示されます。Microsoft RDP 6 ではスパン モードが使用されます。

実際の複数モニタ セッションでは、モニタの解像度とサイズが異なってもよく、モニタを回転させることもできます。アプリケーション ウィンドウを最大化すると、ウィンドウはそれが表示されているモニタの画面いっぱいに広がるだけです。

VMware View アーキテクチャの計画

22 VMware, Inc.

この機能には次の制限があります。

n PCoIP を使用する場合は、View デスクトップの表示に使用できるモニタの最大数は 4 です。 3D 機能を有効にする場合、最大 1920x1200 の解像度で 2 台までのモニタがサポートされています。縦回転モニタはサポートされていますが、縦置きデュアル モニタはサポートされていません。

n Microsoft RDP 7 を使用する場合は、View デスクトップの表示に使用できるモニタの最大数は 16 です。

n Microsoft RDP 表示プロトコルを使用する場合は、Microsoft Remote Desktop Connection（RDC）6.0 以降をView デスクトップにインストールする必要があります。

n ローカル モードで View デスクトップを使用する場合、リモート表示プロトコルは使用されません。複数のモニタをスパン モードで使用できます。

第 2 章 豊かなユーザー体験の計画

VMware, Inc. 23

VMware View アーキテクチャの計画

24 VMware, Inc.

中央からのデスクトップ プールの管理 3デスクトップ プールを作成する場合、含まれる仮想デスクトップは 1 つでも 100 でもかまいません。デスクトップ ソースとしては、仮想マシン、物理マシン、および Windows Terminal Services サーバを使用できます。基本イメージとして 1 つの仮想マシンを作成すれば、VMware View はそのイメージから仮想デスクトップのプールを生成できます。VMware ThinApp を使用して、アプリケーションをプールに簡単にインストールまたはストリーミングすることができます。

この章では次のトピックについて説明します。

n デスクトップ プールの利点 (P. 25)

n ストレージ要件の低減と管理 (P. 26)

n アプリケーション プロビジョニング (P. 27)

n Active Directory GPO によるユーザーおよびデスクトップの管理 (P. 29)

デスクトップ プールの利点VMware View は、その集中管理の基礎として、デスクトップのプールを作成し、プロビジョニングする機能を備えています。

仮想デスクトップ プールは、次のいずれかのソースから作成できます。

n 物理デスクトップ PC や Windows Terminal Services サーバなどの物理システム

n ESX/ESXi ホスト上でホストされ、vCenter Server によって管理される仮想マシン

n VMware Server、または View Agent をサポートする他の何らかの仮想プラットフォームで実行される仮想マシン

vSphere 仮想マシンをデスクトップ ソースとして使用する場合は、同一の仮想デスクトップを必要な数だけ作成するプロセスを自動化できます。プールに作成される仮想デスクトップの最小数と最大数を設定できます。これらのパラメータ

を設定すると、すぐに使用できる View デスクトップの数を常に十分確保できますが、使用可能なリソースを過剰に使用するほどの数は作成されません。

プールを使用してデスクトップを管理すると、プール内のすべての仮想デスクトップに設定を適用したり、アプリケーショ

ンを展開したりすることができます。次の例は、使用可能な設定の一部を示しています。

n View デスクトップのデフォルトとして使用するリモート表示プロトコルと、ユーザーにデフォルトのオーバーライドを許可するかどうかの指定。

n Adobe Flash アニメーションの表示品質と帯域幅スロットルの構成。

n 仮想マシンを使用する場合、仮想マシンが使用されていないときに仮想マシンをパワーオフするか、完全に削除する

かの指定。

n vSphere 4.1 以降を使用する場合、Microsoft Sysprep カスタマイズ仕様を使用するか、VMware の QuickPrepを使用するかの指定。Sysprep はプール内の各仮想マシンに一意の SID および GUID を生成します。

VMware, Inc. 25

n View デスクトップをダウンロードできるか、ダウンロードして、ローカル クライアント システムで実行する必要があるかどうかの指定。

また、デスクトップ プールの使用には多くの利点があります。

専用割り当てプール 各ユーザーが特定の View デスクトップに割り当てられ、ログインするたびに同じ仮想マシンに戻ります。ユーザーは各自のデスクトップをパーソナライズしたり、アプリ

ケーションをインストールしたり、データを格納したりできます。

フローティング割り当てプー

ル

オプションで、仮想デスクトップが使用後に毎回削除および再作成されるため、高度な

制御の可能な環境が提供されます。フローティング割り当てデスクトップは、各デスク

トップに必要なアプリケーションがロードされ、すべてのデスクトップが必要なデータ

にアクセスできるコンピュータ室またはキオスク環境に似ています。

フローティング割り当てプールを使用すると、異なるシフトのユーザーが使用できるデ

スクトップのプールも作成できます。たとえば、ユーザーが一度に 100 人のシフトで勤務している場合、100 のデスクトップのプールを 300 人のユーザーが使用できます。

ストレージ要件の低減と管理

vCenter Server によって管理される仮想デスクトップを使用すると、以前には仮想化されたサーバのみで利用できたストレージの効率性をすべて実現できます。View Composer を使用すると、プール内のすべてのデスクトップが仮想ディスクを基本イメージと共有するため、ストレージの節減が促進されます。

n vSphere によるストレージの管理 (P. 26)

VMware vSphere を使用すると、ディスク ボリュームおよびファイル システムを仮想化できるため、データの物理的な格納場所を考慮に入れる必要なく、ストレージを管理および構成できます。

n View Composer によるストレージ要件の低減 (P. 27)

View Composer を使用すると、仮想ディスクを基本イメージと共有するデスクトップ イメージが作成されるため、必要なストレージ容量を 50 ～ 90% 削減できます。

vSphere によるストレージの管理VMware vSphere を使用すると、ディスク ボリュームおよびファイル システムを仮想化できるため、データの物理的な格納場所を考慮に入れる必要なく、ストレージを管理および構成できます。

ファイバ チャネル SAN アレイ、iSCSI SAN アレイ、および NAS アレイは広く使用されているストレージ テクノロジであり、データセンターのストレージのさまざまなニーズを満たすために VMware vSphere によってサポートされています。これらのストレージ アレイは、ストレージ エリア ネットワークを介してサーバのグループに接続され、サーバのグループ間で共有されます。このような配置によってストレージ リソースを集約でき、仮想マシンに対してストレージ リソースをより柔軟にプロビジョニングできます。

View 4.5 以降と vSphere 4.1 以降では、次の機能も使用できるようになりました。

n vStorage シン プロビジョニング。ディスク領域を必要最小限で始め、後にディスクを増やして領域を追加できます階層化ストレージ。

n View 環境内で仮想ディスクを高パフォーマンスなストレージの階層と低コストなストレージの階層とに分散させ、パフォーマンスと費用節約を最大限実現します

n ESX/ESXi ホスト上のローカル ストレージ。ゲスト オペレーティング システムの仮想マシンで使用するスワップファイルを格納するために配置します

VMware View アーキテクチャの計画

26 VMware, Inc.

View Composer によるストレージ要件の低減View Composer を使用すると、仮想ディスクを基本イメージと共有するデスクトップ イメージが作成されるため、必要なストレージ容量を 50 ～ 90% 削減できます。

View Composer では、基本イメージ、つまり親仮想マシンが使用され、最大 512 のリンク クローン仮想マシンのプールが作成されます。各リンク クローンは一意のホスト名および IP アドレスを持ち、独立したデスクトップのように動作しますが、リンク クローンの方がストレージの必要量がはるかに少なくなります。

リンク クローン デスクトップ プールを作成すると、最初に親仮想マシンから完全なクローンが作成されます。完全クローン、つまりレプリカと、それにリンクされたクローンは、同じデータ ストア、つまり LUN（Logical Unit Number）に配置できます。必要に応じて、再分配機能を使用してレプリカとリンク クローンを 1 つの LUN から別の LUN に移動できます。

あるいは、View Composer レプリカとリンク クローンをパフォーマンス特性の異なる別々のデータストアに配置することもできます。たとえば、レプリカの仮想マシンは半導体ディスク ドライブ (SSD) に格納するようにします。半導体ディスク ドライブはストレージ容量は低いものの 1 秒あたりの I/O 動作回数 (IOPS) で数万回をサポートするほどに高い読み取りパフォーマンスを備えています。リンク クローンは従来の回転式メディアのデータストアに格納することができます。このディスクはパフォーマンスは低いですが、価格が安くて格納容量が大きいので、大規模なプールに多数のリンク

クローンを格納する場合に適しています。ストレージ構成を階層化すると、多数の仮想マシンを同時にリブートしたり、

アンチウィルス スキャンをスケジュールして実行したりする場合のように多大の I/O が発生するシナリオを費用対効果の高い方法で処理できます。

リンク クローン プールを作成する場合、ユーザー セッション中に生成されるゲスト オペレーティング システムのページングや一時ファイルを格納するために一時利用する仮想ディスクを別個に構成しておくこともできます。仮想マシンがパ

ワーオフになると、View Manager は一時利用のディスクを削除します。一時利用のディスクを使用することにより、リンク クローンの増加を抑えてストレージ領域を節約でき、またパワーオフ後も仮想マシンによって使用されていた領域を削減できます。

専用割り当てデスクトップ プールを作成する場合、View Composer によって各仮想デスクトップ用に別個の通常仮想ディスクが作成されるようにすることもできます。その通常ディスクにエンド ユーザーの Windows プロファイルおよびアプリケーション データが保存されます。リンク クローンが更新、再構成、または再分散されても、通常仮想ディスクの内容は保たれます。View Composer の通常ディスクは別のデータストアに保持することをお勧めします。その場合、通常ディスクを保持している LUN 全体をバックアップできます。

詳細については、ベスト プラクティス ガイドである『Storage Considerations for VMware View』を参照してください。

アプリケーション プロビジョニングVMware View では、アプリケーション プロビジョニングに関するいくつかのオプションがあります。従来のアプリケーション プロビジョンのテクニックを使用したり、VMware ThinApp で作成されたアプリケーション パッケージを配布したり、アプリケーションを View Composer の基本イメージの一部として展開したりできます。

n View Composer によるアプリケーション アップデートおよびシステム アップデートの展開 (P. 28)

リンク クローン デスクトップ プールは基本イメージを共有しているため、親仮想マシンの更新により、アップデートおよびパッチをすばやく展開できます。

n View Administrator での VMware ThinApp アプリケーションの管理 (P. 28)

VMware ThinApp™ では、仮想化されたアプリケーション サンドボックスで実行される 1 つのファイルにアプリケーションをパッケージ化できます。この戦略を採用すると、柔軟で競合の発生しないアプリケーション プロビジョニングが可能になります。

n アプリケーション プロビジョニングでの既存のプロセスの使用 (P. 29)

VMware View では、企業で現在使用しているアプリケーション プロビジョニングのテクニックをそのまま使い続けることができます。ただし、サーバの CPU 使用率およびストレージ I/O の管理と、ユーザーにアプリケーションのインストールを許可するかどうかの決定という 2 つの考慮事項が加わります。

第 3 章 中央からのデスクトップ プールの管理

VMware, Inc. 27

View Composer によるアプリケーション アップデートおよびシステム アップデートの展開リンク クローン デスクトップ プールは基本イメージを共有しているため、親仮想マシンの更新により、アップデートおよびパッチをすばやく展開できます。

再構成機能を使用すると、親仮想マシンを変更し、新しい状態のスナップショットを作成して、イメージの新しいバージョ

ンをすべてのユーザーおよびデスクトップまたはそのサブセットにプッシュすることができます。この機能は次のタスク

に使用できます。

n オペレーティング システムとソフトウェアのパッチおよびアップデートの適用

n サービス パックの適用

n アプリケーションの追加

n 仮想デバイスの追加

n 使用可能メモリなど、その他の仮想マシン設定の変更

ユーザー設定やその他のユーザー生成データを格納する View Composer 通常ディスクを作成できます。この通常ディスクは再構成操作による影響を受けません。リンク クローンの削除時に、ユーザー データを保持できます。従業員が退職する際に、別の従業員が離職する従業員のユーザー データにアクセスできます。複数のデスクトップを使用しているユーザーは、1 つのデスクトップにユーザー データを統合できます。

ソフトウェアの追加・削除、または設定の変更をユーザーに許可しない場合は、更新機能を使用してデスクトップをデフォ

ルト値に戻すことができます。この機能によって、時間の経過とともに大きくなる傾向のあるリンク クローンのサイズも削減できます。

View Administrator での VMware ThinApp アプリケーションの管理VMware ThinApp™ では、仮想化されたアプリケーション サンドボックスで実行される 1 つのファイルにアプリケーションをパッケージ化できます。この戦略を採用すると、柔軟で競合の発生しないアプリケーション プロビジョニングが可能になります。

ThinApp はアプリケーションを基盤となるオペレーティング システムおよびそのライブラリとフレームワークから切り離し、アプリケーション パッケージという 1 つの実行ファイルにバンドルすることにより、アプリケーションの仮想化を実現します。View 4.5 以降、View Administrator を使用して ThinApp アプリケーションをデスクトップとプールに展開できるようになりました。

ThinApp で仮想化されたアプリケーションを作成してから、アプリケーションを共有ファイル サーバからストリーミングするかまたは仮想デスクトップにアプリケーションをインストールするかを選択できます。仮想化されたアプリケーショ

ンをストリーミング用に構成する場合は、アーキテクチャに関する次の考慮事項に対処する必要があります。

n アプリケーション パッケージが格納されている特定のアプリケーション リポジトリに対する特定のユーザー グループのアクセス

n アプリケーション リポジトリのストレージ構成

n ストリーミングによって生成されるネットワーク トラフィック（アプリケーションのタイプに大きく左右される）

アプリケーションをストリーミングする場合、ユーザーはアプリケーションをデスクトップ ショートカットを使用して起動できます。

仮想デスクトップにインストールされるように ThinApp パッケージ ファイルを割り当てる場合も、アーキテクチャに関して、従来の MSI ベースのソフトウェア プロビジョニングを使用する場合と類似の考慮事項があります。アプリケーションをストリーミングするにしても、仮想デスクトップに ThinApp パッケージをインストールするにしても、どちらの場合でもアプリケーション リポジトリのストレージ構成について考慮する必要があります。

注意 VMware ThinApp で作成されたアプリケーション パッケージの割り当ては、ローカル モードでダウンロードおよび使用されている View デスクトップではサポートされていません。デスクトップをロールバックすると、View ConnectionServer で、ロールバック デスクトップ上の ThinApps についての不正な情報が生じる可能性があります。

VMware View アーキテクチャの計画

28 VMware, Inc.

アプリケーション プロビジョニングでの既存のプロセスの使用VMware View では、企業で現在使用しているアプリケーション プロビジョニングのテクニックをそのまま使い続けることができます。ただし、サーバの CPU 使用率およびストレージ I/O の管理と、ユーザーにアプリケーションのインストールを許可するかどうかの決定という 2 つの考慮事項が加わります。

アプリケーションをほぼ同時刻に多数の仮想デスクトップにプッシュすると、CPU 使用率とストレージ I/O が大きく急上昇することがあります。このピーク ワークロードは、デスクトップのパフォーマンスに顕著な影響を及ぼす場合があります。ベスト プラクティスとしては、アプリケーションの更新がピーク時以外に実行されるようにスケジュールし、可能であれば各デスクトップの更新時刻をずらします。また、ストレージ ソリューションがそのようなワークロードをサポートできるように設計されていることを確認する必要があります。

会社がユーザーにアプリケーションのインストールを許可している場合は、現在のポリシーを継続できますが、デスクトッ

プの更新や再構成などの View Composer の機能は活用できません。View Composer では、アプリケーションが仮想化されていないか、あるいはユーザーのプロファイルまたはデータ設定に含まれている場合、そのアプリケーションは

View Composer の更新、再構成、または再分散操作が実行されるたびに破棄されます。多くの場合、インストールされるアプリケーションをこのように厳格に制御できることは、利点となります。View Composer デスクトップは既知の優れた構成とほぼ同じに保たれるため、サポートが容易です。

ユーザーが独自のアプリケーションをインストールし、仮想デスクトップの有効期限までそれらのアプリケーションを存

続させる確固とした必要がユーザー側にある場合は、アプリケーション プロビジョニングに View Composer を使用する代わりに、完全な通常のデスクトップを作成して、ユーザーにアプリケーションのインストールを許可することができ

ます。

Active Directory GPO によるユーザーおよびデスクトップの管理VMware View には、View コンポーネントと View デスクトップの管理および構成を集中化するためのグループ ポリシー管理（ADM）テンプレートが多数含まれています。

これらのテンプレートを Active Directory ディレクトリにインポートしてから、それを使用して次のグループおよびコンポーネントに適用されるポリシーを設定できます。

n ログインするユーザーに関係なく、すべてのシステム

n ユーザーがどのシステムにログインするかに関係なく、すべてのユーザー

n View Connection Server の構成

n View Client の構成

n View Agent の構成

GPO を適用すると、プロパティは指定されたコンポーネントのローカル Windows レジストリに格納されます。

GPO を使用して、View Administrator ユーザー インターフェイス (UI) で選択可能なすべてのポリシーを設定できます。GPO を使用すると、UI で選択できないポリシーを設定することもできます。ADM テンプレートによって使用できる設定の詳細なリストおよび説明については、『VMware View の管理』ドキュメントを参照してください。

第 3 章 中央からのデスクトップ プールの管理

VMware, Inc. 29

VMware View アーキテクチャの計画

30 VMware, Inc.

アーキテクチャ設計の要素と計画のガイドライン 4

一般的な VMware View アーキテクチャ設計では、vSphere 4.1 以降のインフラストラクチャを使用して最大 10,000 の仮想デスクトップをサポートするコンポーネントから構成されるポッド戦略を使用します。ポッド定義は、ハードウェア

構成、使用されている View および vSphere ソフトウェアのバージョン、その他の環境固有の設計要因によって異なることがあります。

このアーキテクチャは、企業環境および特殊な要件に適合できる標準的でスケーラブルな設計を備えています。この章で

は、VMware View ソリューションの展開に含まれる要素を IT アーキテクトや計画担当者が実務的に理解できるように、メモリ、CPU、ストレージ容量、ネットワーク コンポーネント、およびハードウェアの要件について詳しく説明します。

この章では次のトピックについて説明します。

n 仮想マシンの要件 (P. 31)

n VMware View ESX/ESXi ノード (P. 36)

n 特定のタイプの就業者用のデスクトップ プール (P. 37)

n デスクトップ仮想マシンの構成 (P. 41)

n vCenter および View Composer の仮想マシン構成とデスクトップ プールの最大サイズ (P. 42)

n View Connection Server の最大接続数と仮想マシン構成 (P. 43)

n View Transfer Server の仮想マシン構成とストレージ (P. 44)

n vSphere クラスタ (P. 44)

n VMware View ビルディング ブロック (P. 45)

n VMware View ポッド (P. 49)

仮想マシンの要件

View デスクトップの仕様を計画する場合、RAM、CPU、およびディスク領域に関して行う選択は、サーバとストレージ ハードウェアの選択と費用に大きく影響します。

n 就業者のタイプに基づく計画 (P. 32)

RAM、CPU、ストレージのサイズ設定など、構成の多くの要素は、仮想デスクトップを使用する就業者のタイプと、インストールする必要があるアプリケーションによって要件が大きく変動します。

n 仮想デスクトップのメモリ要件の見積もり (P. 33)

サーバには PC よりも多くの RAM コストがかかります。RAM のコストは、サーバ ハードウェアの総コストや、必要な合計ストレージ容量の大きな部分を占めるため、デスクトップの展開を計画する際には適切なメモリ割り当

てを特定することがきわめて重要です。

VMware, Inc. 31

n 仮想デスクトップの CPU 要件の見積もり (P. 35)

CPU の見積もりを行う場合は、社内の各種就業者の平均 CPU 使用率に関する情報を収集する必要があります。また、仮想化のオーバヘッドとピーク使用期間のために、10 ～ 25% の追加処理能力を計算する必要があります。

n 適切なシステム ディスク サイズの選択 (P. 35)

ディスク領域を割り当てるときは、オペレーティング システム、アプリケーション、およびユーザーがインストールまたは生成する可能性のあるその他のコンテンツを格納できるだけの領域を割り当てます。通常この容量は、物

理 PC に搭載されているディスクのサイズを下回ります。

就業者のタイプに基づく計画

RAM、CPU、ストレージのサイズ設定など、構成の多くの要素は、仮想デスクトップを使用する就業者のタイプと、インストールする必要があるアプリケーションによって要件が大きく変動します。

アーキテクチャの計画では、就業者をいくつかのタイプに分類できます。

タスク ワーカー タスク ワーカーおよび事務職就業者は、一連の少数のアプリケーションで反復的な作業を行い、通常は据え置き型のコンピュータを使用します。通常それらのアプリケー

ションは、ナレッジ ワーカーが使用するアプリケーションのように CPU 集約型でもメモリ集約型でもありません。特定のシフトに就業するタスク ワーカーは、各自の仮想デスクトップに同時にログインする可能性があります。タスク ワーカーには、コールセンターのアナリスト、小売店の従業員、倉庫作業員などが含まれます。

ナレッジ ワーカー ナレッジ ワーカーの日常業務では、インターネットへのアクセス、電子メールの使用や、複雑なドキュメント、プレゼンテーション、およびスプレッドシートの作成などを

行います。ナレッジ ワーカーには、会計士、セールス マネージャー、マーケティング リサーチ アナリストなどが含まれます。

パワー ユーザー パワー ユーザーには、アプリケーション開発者や、グラフィックス集約型アプリケーションのユーザーが含まれます。

ローカル モードのみでデスクトップを使用する従業員

これらのユーザーはローカル システムでのみ View デスクトップをダウンロードして実行するため、帯域幅、メモリ、CPU リソースに関連するデータセンターのコストが削減されます。複製をスケジュール設定すると、システムとデータを確実にバックアッ

プできます。管理者は、ロック アウトされるのを防ぐためにエンド ユーザーのシステムが View Manager へのアクセスを必要とする回数を設定します。

キオスク ユーザー これらのユーザーは、公共の場所に置かれているデスクトップを共有する必要がありま

す。キオスク ユーザーの例としては、教室で共有コンピュータを使用する学生、ナース ステーションで勤務する看護師、就職の斡旋や求人活動に使用されるコンピュータなどがあります。これらのデスクトップでは、自動ログインが必要になります。認証

は、必要に応じて特定のアプリケーションで行うことができます。

VMware View アーキテクチャの計画

32 VMware, Inc.

仮想デスクトップのメモリ要件の見積もり

サーバには PC よりも多くの RAM コストがかかります。RAM のコストは、サーバ ハードウェアの総コストや、必要な合計ストレージ容量の大きな部分を占めるため、デスクトップの展開を計画する際には適切なメモリ割り当てを特定する

ことがきわめて重要です。

RAM の割り当てが少なすぎると、発生するメモリ スワップが多すぎるため、ストレージ I/O に悪影響を及ぼすことがあります。RAM の割り当てが多すぎると、ゲスト オペレーティング システムのページング ファイルと各仮想デスクトップのスワップ ファイルおよびサスペンド ファイルが大きくなりすぎるため、ストレージ容量に悪影響を及ぼすことがあります。

注意 このトピックでは、View デスクトップへのリモート アクセスのためのメモリ割り当てに関連した問題を扱います。ユーザーがクライアント システム上で View デスクトップをローカル モードで実行した場合、使用されるメモリの量は、そのクライアント デバイス上で使用可能なメモリのある程度の割合を占めます。

クライアント コンピュータでホスト オペレーティング システムを実行するための十分なメモリに加えて、View デスクトップのオペレーティング システムに必要なメモリ、およびクライアント コンピュータと View デスクトップで実行するアプリケーションに必要なメモリが必要です。Windows XP および Windows Vista の場合は 2GB 以上、Windows7 の場合は 3GB 以上のメモリを用意することをお勧めします。

ローカル クライアント システムで対応できるよりも多くの必要メモリ容量が vCenter Server で構成されているデスクトップをチェックアウトしようとしても、Windows のレジストリ設定を変更しない限りチェックアウトできません。方法については、『VMware View 管理者ガイド』を参照してください。

パフォーマンスに対する RAM サイズ設定の影響

RAM を割り当てるときは、低すぎる設定を選択するのは避けてください。次の点を考慮します。

n RAM の割り当てが不十分な場合、ゲストのスワップが過剰に発生することがあり、そのためにパフォーマンスの大幅な低下とストレージ I/O 負荷の増加を招く I/O が生成されるおそれがあります。

n VMware ESX/ESXi は、透過的なメモリ共有やメモリのバルーニングなどの高度なメモリ リソース管理アルゴリズムをサポートしています。そのため、ゲストへの特定の RAM 割り当てをサポートするために必要な物理 RAM がこれによって大きく減少する可能性があります。たとえば、仮想デスクトップに 2 GB が割り当てられたとしても、物理 RAM での使用量はそのごく一部となります。

n 仮想デスクトップのパフォーマンスは応答時間に大きく左右されるため、ESX/ESXi ホスト上では RAM の予約設定を 0 以外の値に設定してください。いくらかの RAM を予約した場合、アイドルでも使用中のデスクトップが完全にディスクにスワップ アウトされることはありません。また、ESX/ESXi スワップ ファイルによって使用されるストレージ容量も削減されます。ただし、予約の設定を高くすると、ESX/ESXi ホスト上でメモリをオーバーコミットできるかどうかに影響し、VMotion の保守操作にも影響する場合があります。

ストレージに対する RAM サイズ設定の影響

仮想マシンに割り当てる RAM 容量は、仮想マシンで使用される特定のファイルのサイズに直接関連します。次のリスト内のファイルにアクセスするには、Windows ゲスト オペレーティング システムを使用して Windows のページ ファイルとハイバネーション ファイルを見つけ、さらに ESX/ESXi ホストのファイル システムを使用して ESX/ESXi のスワップ ファイルとサスペンド ファイルを見つけます。

Windows のページ ファイル デフォルトでは、このファイルのサイズはゲスト RAM の 150% に設定されます。デフォルトでは C:¥sys にあるこのファイルは頻繁にアクセスされるため、シン プロビジョニングされたストレージのサイズが大きくなる原因になります。リンク クローン仮想マシンでは、ページ ファイルと一時ファイルを、仮想マシンがパワーオフされると削除される個別の仮想ディスクにリダイレクトすることができます。破棄可能なペー

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 33

ジ ファイルをリダイレクトするとストレージが節約されるため、リンク クローンの増大を抑えるだけでなく、パフォーマンスも向上します。このサイズは Windows 内から調整できますが、これを調整するとアプリケーションのパフォーマンスに悪影響を及

ぼすことがあります。

ラップトップ用の Windowsハイバネーション ファイル

このファイルはゲスト RAM の 100% に相当する場合があります。このファイルはView Client with Local Mode を使用する場合でも View の展開には不要なため、削除しても安全です。

ESX/ESXi スワップ ファイル .vswp 拡張子の付いたこのファイルは、予約した仮想マシンの RAM が 100% 未満の場合に作成されます。スワップ ファイルのサイズは、ゲスト RAM の予約されていない部分に等しくなります。たとえば、ゲスト RAM の 50% を予約していて、ゲストRAM が 2GB の場合、ESX/ESXi スワップ ファイルは 1GB です。このファイルは、ESX/ESXi ホストまたはクラスタ上のローカル データストアに格納できます。

ESX/ESXi サスペンド ファイル

.vmss 拡張子の付いたこのファイルは、エンド ユーザーがログオフしたときに仮想デスクトップがサスペンドされるようにデスクトップ プールのログオフ ポリシーを設定した場合に作成されます。このファイルのサイズは、ゲスト RAM のサイズに等しくなります。

PCoIP 使用時における特定のモニタ構成での RAM サイズ設定

VMware の表示プロトコルである PCoIP を使用する場合、ESX/ESXi ホストに必要な追加の RAM の量は、エンド ユーザー用に構成されたモニタの数とディスプレイ解像度に一部依存します。 表 4-1 は、各種の構成に必要なオーバーヘッド RAM の量を示しています。各列に示したメモリ容量は、他の PCoIP 機能に必要なメモリ容量に加算されるものです。

表 4-1. PCoIP クライアント ディスプレイのオーバーヘッド

ディスプレイ解像度の

標準 幅（ピクセル単位）

高さ（ピクセル単

位）

モニタ 1 台でのオーバーヘッド

モニタ 2 台でのオーバーヘッド

モニタ 4 台でのオーバーヘッド

VGA 640 480 2.34MB 4.69MB 9.38MB

SVGA 800 600 3.66MB 7.32MB 14.65MB

720p 1280 720 7.03MB 14.65MB 28.13MB

UXGA 1600 1200 14.65MB 29.30MB 58.59MB

1080p 1920 1080 15.82MB 31.64MB 63.28MB

WUXGA 1920 1200 17.58MB 35.16MB 70.31MB

QXGA 2048 1536 24.00MB 48.00MB 96.00MB

WQXGA 2560 1600 31.25MB 62.50MB 125.00MB

これらの要件を考慮する場合は、割り当てられた RAM の仮想マシン構成が変更されないことに注意してください。つまり、アプリケーションに 1GB の RAM を割り当て、デュアル 1080p モニタにさらに 31MB を割り当てる必要はありません。代わりに、各 ESX/ESXi ホストに必要な物理 RAM の合計を計算するときにオーバーヘッド RAM を考慮してください。オーバーヘッド RAM にゲスト オペレーティング システムの RAM を追加し、仮想マシンの数を掛けます。

注意 View 5.0 で提供される新しい 3D レンダリング機能を使用するには、各 Windows 7 View デスクトップに 64MBから 128MB までの VRAM を割り当てる必要があります。この非ハードウェアの高速グラフィック機能により、WindowsAero テーマや Google Earth などの 3D アプリケーションを使用できます。

VMware View アーキテクチャの計画

34 VMware, Inc.

特定のワークロードおよびオペレーティング システムでの RAM サイズ設定

必要な RAM 容量は就業者のタイプによって大きく異なるため、多くの企業では社内就業者のさまざまなプールに適した設定を特定するためにパイロット段階を設けています。

出発点として適切なのは、Windows XP デスクトップと 32 ビットの Windows Vista および Windows 7 デスクトップに 1GB、64 ビットの Windows 7 デスクトップに 2GB を割り当てることです。パイロット運用中は、各種の就業者に使用されるディスク領域のパフォーマンスを監視し、就業者のプールごとに最適な設定がみつかるまで調整を行います。

仮想デスクトップの CPU 要件の見積もりCPU の見積もりを行う場合は、社内の各種就業者の平均 CPU 使用率に関する情報を収集する必要があります。また、仮想化のオーバヘッドとピーク使用期間のために、10 ～ 25% の追加処理能力を計算する必要があります。

注意 このトピックでは、リモートで View デスクトップにアクセスする場合の CPU 要件に関連した問題を扱います。ユーザーがクライアント システム上で View デスクトップをローカル モードで実行した場合、View デスクトップは、そのクライアント デバイス上で使用可能な CPU（最大 2 個の CPU）を使用します。

CPU 要件は、就業者のタイプによって異なります。パイロット段階で、仮想マシンの Perfmon や ESX/ESXi の esxtop、vCenter パフォーマンス監視ツールなどのパフォーマンス監視ツールを使用して、これらの就業者グループの平均とピークの両方の CPU 使用率レベルを把握してください。また、次のガイドラインも使用してください。

n ソフトウェア開発者や、高パフォーマンスを必要とするその他のパワー ユーザーの CPU 要件は、ナレッジ ワーカーやタスク ワーカーよりもはるかに高くなる場合があります。計算集約型のタスクや、PCoIP 表示プロトコルを使用して 720p ビデオを再生する必要のある Windows 7 デスクトップには、デュアル仮想 CPU をお勧めします。

n シングル仮想 CPU は一般に、その他の場合に推奨されます。

多数の仮想マシンが 1 台のサーバ上で実行されるため、ウィルス対策エージェントなどのすべてのエージェントがまったく同じ時刻にアップデートの有無をチェックすると、CPU 使用率が急上昇するおそれがあります。パフォーマンスの問題を引き起こす可能性のあるエージェントの種類と数を特定し、それらの問題に対処するための戦略を採用します。たとえ

ば、企業では次の戦略が有効な場合があります。

n ソフトウェア管理エージェントを使用して個別のデスクトップごとにソフトウェア アップデートをダウンロードするのではなく、View Composer を使用してイメージを更新する。

n ウィルス対策とソフトウェアの更新が、ログインしているユーザーが少ない可能性が高いオフピークの時間に実行さ

れるようにスケジュールする。

n 更新の実行時刻をずらすか、ランダム化する。

まず非公式な最初のサイズ設定のアプローチとして、各仮想マシンには、保証された最小の計算能力として CPU コアの1/8 ～ 1/10 が必要であると見なしてください。つまり、コアあたり 8 ～ 10 台の仮想マシンを使用するパイロットを計画します。たとえば、コアあたり 8 台の仮想マシンを想定したときに、2 ソケットの 8 コア ESX/ESXi ホストがある場合は、パイロット運用中にそのサーバ上で 128 台の仮想マシンをホストできます。この期間中にホスト上の全体的な CPU使用率を監視し、使用率の急上昇に対する十分な余裕を確保するための安全マージン（たとえば、80 %）をほとんど超えることがないようにしてください。

適切なシステム ディスク サイズの選択ディスク領域を割り当てるときは、オペレーティング システム、アプリケーション、およびユーザーがインストールまたは生成する可能性のあるその他のコンテンツを格納できるだけの領域を割り当てます。通常この容量は、物理 PC に搭載されているディスクのサイズを下回ります。

データセンターのディスク領域は通常、従来の PC 展開でのデスクトップまたはラップトップのディスク領域よりもギガバイトあたりのコストが高いため、オペレーティング システムのイメージ サイズを最適化してください。イメージ サイズを最適化するために、次の提案が有効な場合があります。

n 不要なファイルを削除します。たとえば、一時インターネット ファイルに割り当てられた領域を削減します。

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 35

n 将来の増加を十分見越しながらも、非現実的なほど大きくない仮想ディスク サイズを選択します。

n ユーザーが生成するコンテンツおよびユーザーがインストールするアプリケーションには、中央で管理されるファイ

ル共有または View Composer の通常ディスクを使用します。

必要なストレージ容量については、各仮想デスクトップで使用される次のファイルを考慮に入れる必要があります。

n ESX/ESXi サスペンド ファイルは仮想マシンに割り当てられた RAM の量に相当します。

n Windows のページ ファイルは RAM の 150% に相当します。

n ログ ファイルは仮想マシンあたり約 100MB を占有します。

n 仮想ディスク、つまり .vmdk ファイルには、オペレーティング システム、アプリケーション、将来のアプリケーション アップデートおよびソフトウェア アップデートを格納する必要があります。ローカル ユーザー データおよびユーザーがインストールするアプリケーションをファイル共有ではなく仮想デスクトップ上に配置する場合は、それ

らも仮想ディスクに格納する必要があります。

View Composer を使用すると、時間の経過にともない .vmdk ファイルが大きくなりますが、View Composer の更新操作をスケジュールし、View デスクトップ プールに対してストレージのオーバーコミット ポリシーを設定し、Windows のページ ファイルと一時ファイルを別個の読み取り専用ディスクにリダイレクトすると、サイズの増加量を抑制できます。

ユーザーのディスク領域不足を確実に防止するため、この見積もりに 15% を加えてもかまいません。

VMware View ESX/ESXi ノードノードとは、VMware View の展開で仮想マシン デスクトップをホストする 1 台の ESX/ESXi ホストです。

ESX/ESXi ホスト上でホストされるデスクトップの数を示す統合率を最大にすると、VMware View のコスト効率が最大限に高まります。サーバの選択には多くの要因が影響しますが、厳密に取得価格に関して最適化する場合は、処理能力と

メモリが適切にバランスされたサーバ構成を見つける必要があります。

環境およびハードウェア構成のための適切な統合率を特定するには、パイロット運用などの実際の、実環境の状況の下で

パフォーマンスを測定する方法に代わるものはありません。統合率は、使用パターンや環境要因によって大幅に異なる場

合があります。次のガイドラインを使用してください。

n 一般的なフレームワークとして、CPU コアあたり 8 から 10 の仮想デスクトップ数の点から見た計算容量を考慮します。各仮想マシンの CPU 要件の計算については、「仮想デスクトップの CPU 要件の見積もり (P. 35)」を参照してください。

n 仮想デスクトップの RAM、ホストの RAM、およびオーバーコミット率の点から見たメモリ容量を考慮します。CPUコアあたりの仮想デスクトップ数を 8 ～ 10 台にすることができますが、仮想デスクトップに 1GB 以上の RAM がある場合は、物理 RAM の要件も慎重に考慮する必要があります。仮想マシンごとに必要な RAM 容量の計算については、「仮想デスクトップのメモリ要件の見積もり (P. 33)」を参照してください。

物理 RAM のコストは線形ではないこと、および場合によっては DIMM チップを使用しない小型のサーバを多数購入した方がコスト効率が良いことに注意してください。別の場合には、ラック密度、ストレージの接続性、管理性、

およびその他の考慮事項により、展開のサーバ数を最小限に抑えた方が適切な選択となることもあります。

n 最後に、クラスタの要件と、フェイルオーバーの要件がある場合はそれを考慮します。詳細については、「高可用性

の要件の特定 (P. 45)」を参照してください。

vSphere での ESX/ESXi ホストの仕様については、『VMware vSphere 構成の上限』ドキュメントを参照してください。

VMware View アーキテクチャの計画

36 VMware, Inc.

特定のタイプの就業者用のデスクトップ プールVMware View は、さまざまなユースケースに必要なストレージを節約したり、処理能力の量を削減したりするのに役立つ多くの機能を提供します。これらの機能の多くは、プールの設定として使用できます。

考慮すべき最も基本的な問題は、特定のタイプのユーザーにとって、ステートフル デスクトップ イメージとステートレス デスクトップ イメージのどちらが必要かという点です。ステートフル デスクトップ イメージが必要なユーザーは、保存、保守、およびバックアップする必要のあるデータをオペレーティング システム イメージ自体に保持しています。たとえば、これらのユーザーは独自のアプリケーションをいくつかインストールするか、またはファイル サーバ上やアプリケーション データベース内などの、仮想マシン自体の外部には保存できないデータを保持しています。

ステートレス デスクトップ イメージ

ステートレス アーキテクチャには、より容易なサポート、より低いストレージ コストなどの多くの利点があります。その他の利点として、リンク クローン仮想マシンをバックアップする必要性が低いことや、より容易で、より低価格なディザスタ リカバリおよびビジネス継続性オプションがあります。

ステートフル デスクトップ イメージ

これらのイメージには、従来のイメージ管理テクニックが必要な可能性があります。ス

テートフル イメージでは、特定のストレージ システム テクノロジとの組み合わせによりストレージ コストが低くなる場合があります。バックアップ、ディザスタ リカバリ、およびビジネス継続性のための戦略を考慮する場合は、VMware ConsolidatedBackup や VMware Site Recovery Manager などのバックアップ/リカバリ テクノロジが重要です。

ステートレス デスクトップ イメージは、View Composer を使用し、リンク クローン仮想マシンのフローティング割り当てプールを作成することによって作成します。ステートフル デスクトップ イメージは、リンク クローン仮想マシンまたはフル仮想マシンの専用割り当てプールを作成することによって作成します。リンク クローン仮想マシンを使用する場合、View Composer の通常ディスクとフォルダ リダイレクトを構成できます。一部のストレージ ベンダーは、ステートフル デスクトップ イメージのためのコスト効率の良いストレージ ソリューションを用意しています。これらのベンダーは多くの場合、独自のベスト プラクティスおよびプロビジョニング ユーティリティを備えています。これらのベンダーのいずれかを使用した場合、手動の専用割り当てプールの作成が必要になることがあります。

n タスク ワーカー用プール (P. 38)

タスク ワーカー用のステートレス デスクトップ イメージを標準化すると、常にイメージをサポートの簡単な使い慣れた構成にすることができるため、就業者はどれでも使用可能なデスクトップにログインできるようになります。

n ナレッジ ワーカーとパワー ユーザー用プール (P. 38)

ナレッジ ワーカーは、複雑なドキュメントを作成し、それらをデスクトップ上に保持できる必要があります。パワー ユーザーは、独自のアプリケーションをインストールし、それらを保持できる必要があります。保持する必要のある個人データの性質および量に応じて、デスクトップはステートフルまたはステートレスのどちらかになります。

n モバイル ユーザー用プール (P. 39)

これらのユーザーは、View デスクトップをチェックアウトし、ネットワーク接続がなくてもそれを自分のラップトップまたはデスクトップ上でローカルに実行することができます。

n キオスク ユーザー用プール (P. 40)

キオスク ユーザーには、航空会社のチェックイン ステーションにいる顧客、教室または図書館にいる学生、医療データ入力ワークステーションにいる医療スタッフ、セルフサービス地点にいる顧客などが含まれます。ユーザー

はクライアント デバイスまたは View デスクトップを使用するためにログインする必要がないため、これらのデスクトップ プールを使用する資格はユーザーではなく、クライアント デバイスに関連付けられたアカウントに付与されます。ただし引き続き、ユーザーに、一部のアプリケーションでは認証情報を入力するよう求めることもできます。

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 37

タスク ワーカー用プールタスク ワーカー用のステートレス デスクトップ イメージを標準化すると、常にイメージをサポートの簡単な使い慣れた構成にすることができるため、就業者はどれでも使用可能なデスクトップにログインできるようになります。

タスク ワーカーは一連の少数のアプリケーションで反復的な作業を行うため、ステートレス デスクトップ イメージを作成することで、ストレージ容量を節約し、処理要件を抑えることができます。次のプール設定を使用します。

n 自動プールを作成して、そのプールの作成時にデスクトップが作成されるようにするか、プールの使用量に基づいて

オン デマンドでデスクトップが生成されるようにすることができます。

n フローティング割り当てを使用して、使用可能なすべてのデスクトップにユーザーがログインできるようにします。

全員が同時にログインする必要がない場合、この設定を行うことで、必要なデスクトップの数を削減できます。

n View Composer リンク クローン デスクトップを作成することで、デスクトップが同じ基本イメージを共有し、データセンターで使用するストレージ容量をフル仮想マシンより少なくて済むようにします。

n ユーザーがログオフするときに実行されるアクションの種類を決定します（アクションがある場合）。ディスクは、

時間の経過とともに大きくなります。ユーザーがログオフするときにデスクトップを元の状態に更新すると、ディス

ク領域を節約できます。また、スケジュールを設定することでデスクトップを定期的に更新できます。たとえば、デ

スクトップが毎日、毎週、または毎月更新されるようにスケジュールを設定できます。

n 個人設定管理機能を使用すると、Windows のユーザー プロファイルと同じように、ユーザーは常に好みのデスクトップの外観とアプリケーションの設定を使用できます。ログオフ時に更新または削除するように設定されているデ

スクトップがない場合には、ログオフ時に個人設定を削除するように構成できます。

重要 View 個人設定管理は、セッション間で設定を保持したいユーザー向けのフローティング割り当てプールの実装を促進します。以前は、フローティング割り当てデスクトップの制限の一つは、エンド ユーザーがログオフすると、そのユーザーのすべての構成設定および View デスクトップに保存したデータが失われることでした。

エンド ユーザーがログオンするたびに、デスクトップの背景はデフォルトの壁紙に設定され、ユーザーは各アプリケーションの環境設定を再度構成する必要がありました。View 個人設定管理を使用すると、エンド ユーザーはフローティング割り当てデスクトップのセッションと専用割り当てデスクトップのセッションの区別がつきません。

ナレッジ ワーカーとパワー ユーザー用プールナレッジ ワーカーは、複雑なドキュメントを作成し、それらをデスクトップ上に保持できる必要があります。パワー ユーザーは、独自のアプリケーションをインストールし、それらを保持できる必要があります。保持する必要のある個人デー

タの性質および量に応じて、デスクトップはステートフルまたはステートレスのどちらかになります。

パワー ユーザーや、会計士、セールス マネージャー、マーケティング リサーチ アナリストなどのナレッジ ワーカーは、ドキュメントや設定を作成して保持できる必要があるため、それらのユーザーのための専用割り当てデスクトップが作成

されます。一時的な使用を除き、ユーザーがインストールするアプリケーションを必要としないナレッジ ワーカーの場合は、ステートレス デスクトップ イメージを作成し、すべての個人データを、ファイル サーバ上やアプリケーション データベース内などの仮想マシンの外部に保存することができます。その他のナレッジ ワーカーおよびパワー ユーザーの場合は、ステートフル デスクトップ イメージを作成できます。次のプール設定を使用します。

n 各ナレッジ ワーカーまたはパワー ユーザーが毎回同じデスクトップにログインするように、専用割り当てプールを使用します。

n 個人設定管理機能を使用すると、Windows のユーザー プロファイルと同じように、ユーザーは常に好みのデスクトップの外観とアプリケーションの設定を使用できます。

n 最初に、各デスクトップでディスクが初期の操作に必要とするストレージ容量のみが使用されように、vStorage シン プロビジョニングを使用します。

n 独自のアプリケーションをインストールする（これにより、オペレーティング システムのディスクにデータが追加されます）必要のあるパワー ユーザーおよびナレッジ ワーカーの場合は、フル仮想マシン デスクトップを作成します。

VMware View アーキテクチャの計画

38 VMware, Inc.

n ナレッジ ワーカーが、一時的な使用を除き、ユーザーがインストールするアプリケーションを必要としない場合は、View Composer リンク クローン デスクトップを作成できます。デスクトップ イメージは同じ基本イメージを共有し、フル仮想マシンより少ないストレージ容量を使用します。

n View Composer のリンク クローン デスクトップを使用する場合、View 個人設定管理、移動プロファイル、または別のプロファイル管理ソリューションを実装します。

各ユーザー プロファイルのローカル コピーを通常ディスクに保持しながらリンク クローン OS ディスクを更新および再構成できるように、通常ディスクを構成します。

モバイル ユーザー用プールこれらのユーザーは、View デスクトップをチェックアウトし、ネットワーク接続がなくてもそれを自分のラップトップまたはデスクトップ上でローカルに実行することができます。

View Client with Local Mode は、エンド ユーザーと IT 管理者の両方に利点を提供します。管理者の場合は、ローカル モードによって、View セキュリティ ポリシーをこれまで管理されていなかったラップトップまで拡張できるようになります。管理者は、View デスクトップ上で実行されるアプリケーションを引き続き緊密に制御できるだけでなく、そのデスクトップをリモート View デスクトップと同じように集中して管理できます。ローカル モードではまた、VMwareView のすべての利点を、低速な、または信頼性の低いネットワークしか備えていないリモート オフィスや支社まで拡張できます。

エンド ユーザーにとっての利点には、独自のコンピュータを引き続きオンラインまたはオフラインで使用できるという柔軟性が含まれます。View デスクトップは自動的に暗号化され、さらにディザスタ リカバリの目的でデータセンター内のイメージと容易に同期できます。

一般的な推奨事項

ローカル モードのユーザーは、ネットワーク接続が使用できないときに、自分のラップトップからデスクトップ アプリケーションやデータにアクセスしなければならない場合があります。さらに、そのラップトップが紛失、損傷、または盗

難にあった場合に備えて、このデータをデータセンターに定期的、かつ自動的にバックアップしなければならない場合が

あります。これらの機能を提供するために、次のプールの設定を使用できます。

n このプールの基盤となる仮想マシンを作成する場合は、ゲスト オペレーティング システムに必要な最小量の RAMおよび仮想 CPU を構成します。ローカル モードで動作するデスクトップは、使用するメモリおよび処理能力の量を、クライアント コンピュータから使用可能な量に基づいて調整します。

n 自動プールを作成して、そのプールの作成時にデスクトップが作成されるようにするか、プールの使用量に基づいて

オン デマンドでデスクトップが生成されるようにすることができます。

n ローカル モードのユーザーは毎回同じデスクトップにログインする必要があるため、専用割り当てを使用します。

n View Composer リンク クローン デスクトップを作成することで、デスクトップが同じ基本イメージを共有し、データセンターで使用するストレージ容量をフル仮想マシンより少なくて済むようにします。

n プロビジョニング プロセスで、プール内のリンク クローンごとに一意のローカル コンピュータ SID および GUID を生成する場合は、プールを作成するときに Sysprep カスタマイズ仕様を選択します。Sysprep は、初期プロビジョニング中、および再構成操作の後に新しい SID と GUID を作成します。ローカル モードのプールを再構成する可能性は低いため、通常、SID と GUID は変更されません。

n このプールには、ローカル モードで使用することを目的にしたデスクトップのみを含めます。ローカル モードの仮想マシンは、多数のリモート View デスクトップをサポートすることを目的にしたストレージに比べて IOPS 要件が低いデータストア上に配置できます。

設備投資を最小限に抑えるための追加の推奨事項

ESX/ESXi ホストあたりの仮想マシンの数を増やすと、ローカル モードのプールに必要な ESX/ESXi ホストの数を減らすことができます。同時に大部分の仮想マシンがパワーオンされることがない（ローカル モードのプールではこの状態が一般的です）場合、ESX/ESXi 4.1 ホストは最大 500 台の仮想マシンに対応できます。

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 39

各仮想マシンに必要な帯域幅および I/O 操作の量を減らし、ESX/ESXi ホスト上の仮想マシンの数を最大化するには、次の推奨事項を使用してください。

n エンド ユーザーが View デスクトップをローカル モードでしか使用できないように View ポリシーを設定します。この設定を使用すると、データセンター内の仮想マシンはロックされ、パワーオフされたままになります。

n エンド ユーザーがデスクトップのロールバック、データのバックアップ、またはデータセンターへのチェックインを開始できないようにローカル モードのポリシーを設定します。

n 自動バックアップをスケジュールしないでください。

n ローカル モードのデスクトップのプロビジョニングまたはダウンロードのために SSL を有効にしないでください。

n View Connection Server のパフォーマンスがローカル デスクトップの数によって影響を受ける場合は、ハートビートの間隔を低い頻度に設定します。ハートビートによって、View Connection Server は、ローカル デスクトップがネットワークに接続されていることを認識できます。デフォルトの間隔は 5 分です。

キオスク ユーザー用プールキオスク ユーザーには、航空会社のチェックイン ステーションにいる顧客、教室または図書館にいる学生、医療データ入力ワークステーションにいる医療スタッフ、セルフサービス地点にいる顧客などが含まれます。ユーザーはクライアン

ト デバイスまたは View デスクトップを使用するためにログインする必要がないため、これらのデスクトップ プールを使用する資格はユーザーではなく、クライアント デバイスに関連付けられたアカウントに付与されます。ただし引き続き、ユーザーに、一部のアプリケーションでは認証情報を入力するよう求めることもできます。

ユーザー データをオペレーティング システムのディスクに保存する必要がないため、キオスク モードで動作するように設定されている View デスクトップはステートレス デスクトップ イメージを使用します。キオスク モードのデスクトップは、シン クライアント デバイスまたはロックダウンされた PC で使用されます。デスクトップ アプリケーションに安全なトランザクションのための認証メカニズムが実装されていること、物理ネットワークが改ざんやスヌーピングに対し

て安全であること、およびネットワークに接続されているすべてのデバイスが信頼できることを確認する必要があります。

ベスト プラクティスとして、専用の View Connection Server インスタンスを使用してキオスク モードのクライアントを処理し、Active Directory 内にこれらのクライアントのアカウントのための専用の組織単位とグループを作成してください。これにより、これらのシステムが不正な侵入から分離されるだけでなく、これらのクライアントの構成や管理も容

易になります。

キオスク モードを設定するには、vdmadmin コマンドライン インターフェイスを使用し、『VMware View の管理』ドキュメントのキオスク モードに関するトピックに記載されているいくつかの手順を実行する必要があります。このセットアップの一部として、次のプールの設定を使用できます。

n 自動プールを作成して、そのプールの作成時にデスクトップが作成されるようにするか、プールの使用量に基づいて

オン デマンドでデスクトップが生成されるようにすることができます。

n ユーザーがプール内の任意の使用可能なデスクトップにアクセスできるように、フローティング割り当てを使用しま

す。

n View Composer リンク クローン デスクトップを作成することで、デスクトップが同じ基本イメージを共有し、データセンターで使用するストレージ容量をフル仮想マシンより少なくて済むようにします。

n デスクトップが頻繁に（たとえば、ユーザーがログオフするたびに）更新されるように、更新ポリシーを設定します。

n デスクトップに対して最も近いプリンタが使用されるように、ロケーションベースの印刷を構成するための ActiveDirectory GPO（グループ ポリシー オブジェクト）を使用します。グループ ポリシー管理（ADM）テンプレートによって使用できる設定の詳細なリストおよび説明については、『VMware View の管理』ドキュメントを参照してください。

n デスクトップが起動されたとき、またはクライアント コンピュータに USB デバイスが挿入されたときの、デスクトップへのローカル USB デバイスの接続を可能にするデフォルトのポリシーを無効にする場合は、GPO を使用します。

VMware View アーキテクチャの計画

40 VMware, Inc.

デスクトップ仮想マシンの構成

仮想デスクトップに必要な RAM、CPU、およびディスクの容量はゲスト オペレーティング システムによって異なるため、Windows XP、Windows Vista、および Windows 7 の仮想デスクトップについて、別個の構成例を示します。

仮想マシンでのメモリ、仮想プロセッサ数、ディスク容量などの設定例は VMware View に固有のものです。

表 4-2 に示したガイドラインは、リモート モードで実行される標準の Windows XP 仮想デスクトップについてのものです。

表 4-2. Windows XP のデスクトップ仮想マシンの例

アイテム 例

オペレーティング システム 32 ビット Windows XP（最新のサービス パックを適用）

RAM 1GB（ロー エンドで 512MB、ハイ エンドで 2GB）

仮想 CPU 1

システム ディスク容量 16GB（ロー エンドで 8GB、ハイ エンドで 40GB）

ユーザー データの容量（通常のディスクとして） 5GB（出発点）

仮想 SCSI アダプタのタイプ LSI Logic Parallel（デフォルトではありません）

仮想ネットワーク アダプタ フレキシブル（デフォルト）

必要なシステム ディスク容量は、基本イメージに必要なアプリケーションの数に依存します。当社では、8GB のディスク容量を含むセットアップを検証しています。アプリケーションには、Microsoft Word、Excel、PowerPoint、AdobeReader、Internet Explorer、McAfee Antivirus、および PKZIP が含まれます。

ユーザー データに必要なディスク容量は、エンド ユーザーの役割と、データ ストレージに関する組織のポリシーによって変わります。View Composer を使用する場合、このデータは通常のディスクに保管されます。

表 4-3 に示したガイドラインは、リモート モードで実行される標準の Windows Vista 仮想デスクトップについてのものです。

表 4-3. Windows Vista のデスクトップ仮想マシンの例

アイテム 例

オペレーティング システム 32 ビット Windows Vista（最新のサービス パックを適用）

RAM 1GB

仮想 CPU 1

システム ディスク容量 20GB（標準）

ユーザー データの容量（通常のディスクとして） 5GB（出発点）

仮想 SCSI アダプタのタイプ LSI Logic Parallel（デフォルト）

仮想ネットワーク アダプタ VMXNET 3

表 4-4 に示したガイドラインは、リモート モードで実行される標準の Windows 7 仮想デスクトップについてのものです。

表 4-4. ESX/ESXi 4.1 以降のホストでホストされている Windows 7 のデスクトップ仮想マシンの例

アイテム 例

オペレーティング システム 32 ビット Windows 7（最新のサービス パックを適用）

RAM 1GB

仮想 CPU 1

システム ディスク容量 20GB（標準よりやや少なめ）

ユーザー データの容量（通常のディスクとして） 5GB（出発点）

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 41

表 4-4. ESX/ESXi 4.1 以降のホストでホストされている Windows 7 のデスクトップ仮想マシンの例 (続き)

アイテム 例

仮想 SCSI アダプタのタイプ LSI Logic SAS（デフォルト）

仮想ネットワーク アダプタ VMXNET 3（このアダプタを使用するには、Windows 7 SP1 の場合は http://support.microsoft.com/kb/2550978、以前のバージョンの場合は http://support.microsoft.com/kb/2344941 のMicrosoft 修正プログラム パッチをインストールする必要があります）

vCenter および View Composer の仮想マシン構成とデスクトップ プールの最大サイズ

vCenter Server と View Composer は、両方とも同じ仮想マシンにインストールします。この仮想マシンはサーバであるため、デスクトップ仮想マシンよりもはるかに多くのメモリと処理能力が必要です。

vSphere 4.1 以降を使用している場合、View Composer でプールあたり最大 1,000 のデスクトップを作成およびプロビジョニングできます。View Composer は、一度に最大 1,000 のデスクトップに対して再構成操作を実行することもできます。デスクトップ プール サイズは次の要素によって制限されます。

n 各デスクトップ プールに含むことのできる ESX/ESXi クラスタは 1 つだけです。

n 各 ESX/ESXi クラスタには 8 台までの ESX/ESXi ホストを含むことができます。

n 各 CPU コアは 8 ～ 10 の仮想デスクトップを計算する能力があります。

n サブネットに使用できる IP アドレス数によってプール内のデスクトップ数が制限されます。たとえば、プールのサブネットに使用できる IP アドレスが 256 個しかない設定のネットワークの場合、プール サイズは 256 デスクトップに制限されます。

vCenter Server および View Composer は物理マシンにインストールできますが、この例では 表 4-5 に示す仕様の仮想マシンを使用します。 この仮想マシンの ESX/ESXi ホストは、物理サーバの障害から保護するための VMware HA クラスタに含めることができます。

この例では、VMware View with vSphere 4.1 以降と vCenter Server 4.1 以降を使用していることを前提としています。

表 4-5. vCenter Server 仮想マシンの例とプール サイズの最大値

アイテム 例

オペレーティング システム 64 ビット Windows Server 2008 R2 Enterprise

RAM 4 GB

仮想 CPU 2

システム ディスク容量 40GB

仮想 SCSI アダプタのタイプ LSI Logic SAS（Windows Server 2008 のデフォルト）

仮想ネットワーク アダプタ E1000（デフォルト）

View Composer の最大プール サイズ 1,000 デスクトップ

重要 vCenter と View Composer が接続するデータベースは、別の仮想マシン上に配置することをお勧めします。データベースのサイズ設定に関するガイダンスについては、 http://www.vmware.com/support/vsphere4/doc/vsp_4x_db_calculator.xls の『vCenter Server 4.x DatabaseSizing Calculator for Microsoft SQL Server』を参照してください。

VMware View アーキテクチャの計画

42 VMware, Inc.

View Connection Server の最大接続数と仮想マシン構成View Connection Server をインストールすると、View Administrator ユーザー インターフェイスもインストールされます。このサーバには、vCenter Server インスタンスより多くのメモリおよび処理リソースが必要です。

View Connection Server の構成View Connection Server は物理マシンにインストールできますが、この例では 表 4-6 に示す仕様の仮想マシンを使用します。 この仮想マシンの ESX/ESXi ホストは、物理サーバの障害から保護するための VMware HA クラスタに含めることができます。

表 4-6. Connection Server の仮想マシンの例

アイテム 例

オペレーティング システム 64 ビット Windows Server 2008 R2

RAM 10GB

仮想 CPU 4

システム ディスク容量 40GB

仮想 SCSI アダプタのタイプ LSI Logic SAS（Windows Server 2008 のデフォルト）

仮想ネットワーク アダプタ E1000（デフォルト）

1 つの NIC 1 ギガビット

View Connection Server のクラスタ設計に関する考慮事項ロード バランシングと高可用性をサポートするために、複数の複製された View Connection Server インスタンスをグループで展開できます。複製されたインスタンスのグループは、LAN に接続された単一データセンター環境内のクラスタリングをサポートするように設計されています。グループ化されたインスタンス間で必要な通信トラフィックのために、

複製された View Connection Server インスタンスのグループを WAN をまたがって使用することはお勧めしません。データセンターをまたがって View の展開を構成する必要がある場合は、データセンターごとに個別の View の展開を作成してください。

View Connection Server の最大接続数表 4-7 は、VMware View の展開が対応できる同時接続の数に関してテストされた制限の詳細を示しています。

この例では、VMware View with vSphere 4.1 以降と vCenter Server 4.1 以降を使用していることを前提としています。また、View Connection Server が 64 ビットの Windows Server 2008 R2 Enterprise オペレーティング システム上で実行されていることを前提としています。

表 4-7. View デスクトップの接続

展開あたりの Connection Server 数 接続のタイプ 同時接続の最大数

1 つの Connection Server 直接接続、RDP または PCoIPトンネル接続、RDPPCoIP セキュリティ ゲートウェイ接続

2,000

7 つの Connection Server（5 + 2 つのスペア）

直接接続、RDP または PCoIP 10,000

1 つの Connection Server 物理 PC への Unified Access 100

1 つの Connection Server ターミナル サーバへの Unified Access 200

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 43

企業ネットワークの外部からの PCoIP 接続にセキュリティ サーバを使用する場合は、PCoIP Secure Gateway 接続が必要です。企業ネットワークの外部からの RDP 接続、および PCoIP Secure Gateway 接続を使用する USB リダイレクトとマルチメディア リダイレクト（MMR）のアクセラレーションにセキュリティ サーバを使用する場合は、トンネル接続が必要です。複数のセキュリティ サーバを 1 台の Connection Server と組み合わせることができます。

View Transfer Server の仮想マシン構成とストレージView Client with Local Mode（旧称 View Client with Offline Desktop）を実行するデスクトップをサポートするには、View Transfer Server が必要です。このサーバが必要とするメモリの量は、View Connection Server より少なくなります。

View Transfer Server の構成View Transfer Server は物理マシンではなく仮想マシンにインストールする必要があり、その仮想マシンは、vCenterServer インスタンスが管理するローカル デスクトップと同じインスタンスによって管理される必要があります。 表 4-8に、View Transfer Server インスタンスの仮想マシンの仕様を示します。

表 4-8. View Transfer Server の仮想マシンの例

アイテム 例

オペレーティング システム 64 ビット Windows Server 2008 R2

RAM 4GB

仮想 CPU 2

システム ディスク容量 20GB

仮想 SCSI アダプタのタイプ LSI Logic Parallel（デフォルトではありません。デフォルトは SAS）

仮想ネットワーク アダプタ E1000（デフォルト）

1 つの NIC 1 ギガビット

View Transfer Server のストレージと帯域幅の要件一部の操作では、View Transfer Server を使用して、vCenter Server の View デスクトップとクライアント システム上の対応するローカル デスクトップとの間でデータを送信します。ユーザーがデスクトップにチェックインまたはデスクトップからチェックアウトすると、View Transfer Server はデータセンターとローカル デスクトップとの間でファイルを転送します。また、View Transfer Server は、ユーザーが行った変更をデータセンターに複製することで、ローカルデスクトップをデータセンター内の対応するデスクトップと同期します。

ローカル デスクトップに View Composer リンク クローンを使用する場合、Transfer Server のリポジトリを構成するディスク ドライブには、静的なイメージ ファイルを保存できるだけの領域が存在している必要があります。イメージ ファイルは、View Composer の基本イメージです。ネットワーク ストレージ ディスクの速度が速いほど、パフォーマンスは良くなります。基本イメージ ファイルのサイズの特定については、『VMware View の管理』ドキュメントを参照してください。

1 つの Transfer Server インスタンスで、理論上は 60 の同時ディスク操作に対応できます。ただし、それ以下の数の操作数でネットワーク帯域幅が飽和状態になる可能性があります。当社では、20 の同時ディスク操作での検証を行いました（1Gbps 以上のネットワーク接続で、20 個のクライアントから 1 つのローカル デスクトップを同時にダウンロード）。

vSphere クラスタVMware View の展開では、VMware HA クラスタを使用して物理サーバの障害に備えることができます。View Composerに制限事項があるため、クラスタに含めるサーバ（ノード）が 8 台を超えないようにする必要があります。

VMware vSphere および vCenter は、View デスクトップをホストするサーバのクラスタを管理するための豊富な機能セットを備えています。View デスクトップ プールはそれぞれ vCenter リソース プールに関連付ける必要があるため、クラスタの構成も重要です。したがって、プールあたりのデスクトップの最大数は、実行を予定するサーバおよび仮想マ

シンのクラスタあたりの数に関連します。

VMware View アーキテクチャの計画

44 VMware, Inc.

非常に大規模な VMware View の展開では、クラスタ オブジェクトを 1 つのデータセンター オブジェクトにつき 1 つだけにすると、vCenter のパフォーマンスと応答性を向上させることができます。これはデフォルトの動作ではありません。デフォルトでは、VMware vCenter によって、同じデータセンター オブジェクト内に新規クラスタが作成されます。

高可用性の要件の特定

VMware vSphere ではその効率性およびリソース管理により、サーバあたりの仮想マシン数を、業界をリードするレベルまで高めることができます。しかし、サーバあたりの仮想マシンの密度を高くするということは、サーバに障害が発生

した場合に影響を受けるユーザーが多くなるということです。

高可用性の要件は、デスクトップ プールの目的に応じて大きく異なる場合があります。たとえば、ステートレス デスクトップ イメージ（フローティング割り当て）プールの目標復旧ポイント（RPO）の要件は、ステートフル デスクトップイメージ（専用割り当て）プールとは異なる場合があります。流動割り当てプールの場合受容可能な解決策として、ユー

ザーが使用しているデスクトップが使用できなくなったとき、それらのユーザーを別のデスクトップにログインさせると

いう方法が考えられます。

可用性の必要性が高い場合は、VMware HA の適切な構成が不可欠です。VMware HA を使用していて、サーバあたりのデスクトップ数を固定する予定の場合は、各サーバを低減容量で稼働させます。サーバに障害が発生した場合、デスクトッ

プが別のホスト上で再起動しても、サーバあたりのデスクトップ数の容量を超えません。

たとえば、各ホストが 128 のデスクトップを実行でき、1 台のサーバの障害に耐えることを目標とする 8 ホストのクラスタでは、そのクラスタ上で実行されるデスクトップの数を必ず 128 × (8 - 1) = 896 以内にします。VMware DRS（Distributed Resource Scheduler）を使用して、8 台のホストすべてにデスクトップを均等に分散させることもできます。どのホット スペア リソースもアイドルにしておくことなく、余ったサーバ容量を最大限に利用できます。また、DRSは障害の発生したサーバがサービスに復帰した後のクラスタの再分散にも役立ちます。

サーバの障害に応答して多数の仮想マシンが一斉に再起動するために発生する I/O 負荷をサポートするため、ストレージが適切に構成されていることも確認する必要があります。ストレージの IOPS は、デスクトップがサーバの障害から復旧する速さに最も大きく影響します。

例: クラスタ構成の例表 4-9 に示した設定は、VMware View に固有のものです。 vSphere での HA クラスタの制限事項については、『VMwarevSphere 構成の上限』ドキュメントを参照してください。

表 4-9. HA クラスタの例

アイテム 例

ノード（ESX/ESXi ホスト） 8 (1 台のホット スペアを含む）

クラスタ タイプ DRS（Distributed Resource Scheduler）/HA

ネットワーク コンポーネント 標準の ESX/ESXi 4.1 クラスタ ネットワーク

スイッチ ポート 80

ネットワークの要件は、サーバのタイプ、ネットワーク アダプタの数、および vMotion の構成方法に依存します。

VMware View ビルディング ブロック2,000 ユーザーのビルディング ブロックは、物理サーバ、VMware vSphere インフラストラクチャ、VMware View サーバ、共有ストレージ、および 2,000 台の仮想マシン デスクトップで構成されます。View ポッドには最大 5 つのビルディング ブロックを含めることができます。

表 4-10. LAN ベースの View ビルディング ブロックの例

アイテム 例

vSphere クラスタ 2 以上（各クラスタ内に最大 8 台の ESX/ESXi ホスト）

80 ポートのネットワーク スイッチ 1

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 45

表 4-10. LAN ベースの View ビルディング ブロックの例 (続き)

アイテム 例

共有ストレージ システム 1

View Composer を備えた vCenter Server 1（ブロック自体で実行可能）

データベース MS SQL Server または Oracle データベース サーバ（ブロック自体で実行可能）

VLAN 3 (それぞれに 1 ギガビット イーサネット：管理ネットワーク、ストレージ ネットワーク、および VMotion ネットワーク）

vCenter 4.1 および 5.0 では、vCenter Server あたりの仮想マシン数の制限は 10,000 であり、2,000 以上の仮想デスクトップを含むビルディング ブロックを使用できる可能性があります。このドキュメントが記述された時点では、VMwareではまだ、このようなアプローチを VMware View と組み合わせて検証していませんでした。VMware View と組み合わせた vCenter Server 4.1 および 5.0 のテストは、1 台の vCenter Server での 2,000 の仮想デスクトップのテストに制限されていました。

ポッドにビルディング ブロックが 1 つしかない場合は、冗長性を確保するために 2 つの View Connection Server インスタンスを使用します。

図 4-1. VMware View ビルディング ブロックのコンポーネント

2 つの VMware ESX クラスタ

VMwarevCenter Server

8 台のホスト 8 台のホスト

共有ストレージ

2000 ユーザー

View アーキテクチャ用の共有ストレージストレージ設計に関する考慮事項は、View アーキテクチャを成功させるための最も重要な要素の 1 つです。アーキテクチャに最大の影響を及ぼす決定は、リンク クローン テクノロジを使用する View Composer デスクトップを採用するかどうかです。

VMware vSphere が使用する外部ストレージ システムは、ファイバ チャネルまたは iSCSI の SAN（ストレージ エリアネットワーク）、あるいは NFS（ネットワーク ファイル システム）の NAS（ネットワーク接続ストレージ）です。ESX/ESXiバイナリ、仮想マシンのスワップ ファイル、および親仮想マシンの View Composer レプリカはこのシステムに格納されます。

アーキテクチャの観点から見ると、View Composer では、基本イメージを共有するデスクトップ イメージが作成されるため、ストレージの必要量を 50% 以上削減できます。デスクトップを定期的に元の状態に戻し、最終更新操作以降の変更の追跡に使用される領域を回収する更新ポリシーを設定すると、さらにストレージの必要量を削減できます。

VMware View アーキテクチャの計画

46 VMware, Inc.

また、View Composer の通常ディスクまたは共有ファイル サーバをユーザー プロファイルおよびユーザー ドキュメントのプライマリ リポジトリとして使用すると、オペレーティング システムのディスク領域も削減できます。View Composerではユーザー データをオペレーティング システムから分離できるため、通常ディスクのみをバックアップまたは複製するだけでよい場合があり、そのためにストレージの必要量がさらに削減されます。詳細については、「View Composerによるストレージ要件の低減 (P. 27)」.

注意 専用ストレージ コンポーネントに関する意思決定はパイロット段階で行うのが最適です。主な考慮事項は、1 秒あたりの I/O 数（IOPS）です。パフォーマンスおよびコスト削減を最大化するために、階層型ストレージ戦略を試してみることもできます。

詳細については、ベスト プラクティス ガイドである『Storage Considerations for VMware View』を参照してください。

ストレージ帯域幅に関する考慮事項

VMware View 環境をサポートするストレージ システムの設計には重要な要素が多数ありますが、サーバ構成の観点から見た場合、適切なストレージ帯域幅の計画が不可欠です。また、ポート統合ハードウェアの影響も考慮する必要があります。

VMware View 環境では、すべての仮想マシンが同時にアクティビティを実行しているときに、I/O ストームの負荷が発生することがあります。I/O ストームは、ウィルス対策ソフトウェアやソフトウェア更新エージェントなどのゲスト ベースのエージェントによってトリガされることがあります。また、従業員全員が朝のほぼ同じ時刻にログインした場合のよ

うに、人間の動作によって I/O ストームがトリガされることもあります。

仮想マシンごとに更新の時刻をずらすなどの運用上のベスト プラクティスによって、このストーム ワークロードを最小限に抑えることができます。また、パイロット段階でさまざまなログオフ ポリシーをテストして、ユーザーがログオフした場合のサスペンドまたは電源オフによって I/O ストームが発生するかどうかを判別することもできます。View Composerレプリカを個別の高性能データストアに格納することにより、集約型の同時読み取り操作を高速化して I/O ストームの負荷に対処することができます。

ベスト プラクティスの特定に加え、帯域幅の平均使用量が 1Gbps の 10 分の 1 未満であっても、仮想マシン 100 台あたり 1Gbps の帯域幅を提供することをお勧めします。このように余裕をもって計画すると、ピーク時の負荷にも十分なストレージの接続性を確保できます。

ネットワーク帯域幅に関する考慮事項

ディスプレイ トラフィックについては、使用されるプロトコル、モニタの解像度と構成、ワークロードに含まれるマルチメディア コンテンツの量など、多くの要素がネットワーク帯域幅に影響を及ぼします。ストリーミングされた複数のアプリケーションを同時に起動した場合も、使用量が急増することがあります。

これらの問題による影響は大きく変動する場合があるため、多くの企業ではパイロット プロジェクトの一環として帯域幅の使用量を監視しています。パイロットの出発点として、一般的なナレッジ ワーカー用に 150 ～ 200Kbps の容量を計画してください。

PCoIP 表示プロトコルでは、100Mb または 1Gb のスイッチド ネットワークを備えた企業 LAN がある場合、エンド ユーザーは次の条件の下で優れたパフォーマンスを期待できます。

n 2 台のモニタ（1920x1080）

n Microsoft Office アプリケーションの大量の使用

n フラッシュが埋め込まれた Web ブラウズの大量の使用

n フル スクリーン モードの使用が制限されたマルチメディアの頻繁な使用

n USB ベースの周辺機器の頻繁な使用

n ネットワーク ベースの印刷

この情報は、『PCoIP Display Protocol: Information and Scenario-Based Network Sizing Guide』（英語）という情報ガイドから抜粋したものです。

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 47

PCoIP で使用可能な最適化制御

VMware の PCoIP 表示プロトコルを使用する場合は、帯域幅の使用に影響するいくつかの要素を調整できます。

n Windows および Linux クライアント システムのイメージ キャッシュのサイズを 50MB から 300MB の間で調整できます。イメージ キャッシュにより、再送される必要のある表示データ量が削減されます。

n ネットワーク輻輳期間中に使用されるイメージ品質レベルとフレーム レートを構成できます。品質レベル設定により、表示イメージ内の変更された領域の初期品質を制限できます。イメージの変更されていない領域は、プログレッ

シブ方式でロスレス（完全）品質まで構築されます。毎秒 1 フレームから 120 フレームの間でフレーム レートを調整できます。

この制御は、静的な画面のコンテンツを更新する必要がない場合 または一部分のみ更新する必要がある場合に 有効に機能します。

n プログレッシブ方式で完全な品質（ロスレス）まで構築する代わりに知覚的ロスレスまで構築する場合は、 ロスレス構築機能全体を無効にすることもできます。

n セッション ネゴシエーション中に PCoIP エンドポイントによってアドバタイズされる暗号化アルゴリズムを制御できます。デフォルトでは、Salsa20-256round12 と AES-128-GCM の両方のアルゴリズムを使用できます。

n セッションの帯域幅に関しては、4 メガビット/秒のインターネット接続などのネットワーク接続のタイプに対応するため、最大帯域幅をキロビット/秒単位で構成できます。この帯域幅には、イメージ、オーディオ、仮想チャネル、USB、および制御 PCoIP のすべてのトラフィックが含まれます。

帯域幅が使用可能になるまでユーザーが待つ必要がないようにするため、セッション用に予約される帯域幅の下限を

キロバイト/秒単位で構成することもできます。PCoIP セッションでの UDP パケットの最大転送ユニット（MTU）サイズを 500 バイトから 1500 バイトの間で指定できます。

n PCoIP セッションでオーディオ（サウンドの再生）に使用できる最大帯域幅を指定できます。

WAN のサポートと PCoIPWAN（ワイド エリア ネットワーク）については、帯域幅の制約とレイテンシーの問題を考慮する必要があります。VMware が提供する PCoIP 表示プロトコルは、さまざまなレイテンシーと帯域幅の条件に対応しています。

RDP 表示プロトコルを使用する場合は、支社または小規模オフィスのユーザー向けにアプリケーションを高速化する WAN最適化製品が必要です。PCoIP では、多くの WAN 最適化技術がベース プロトコルに組み込まれています。

n WAN の最適化が有効になるのは、RDP など TCP ベースのプロトコルです。その理由は、これらのプロトコルではクライアントとサーバの間で多くのハンドシェイクが行われるためです。こうしたハンドシェイクでは、レイテン

シーが非常に大きくなることがあります。WAN アクセラレータのスプーフィングはハンドシェイクに応答するため、ネットワークのレイテンシーはプロトコルから隠れるようになります。PCoIP は UDP ベースであるため、このような形での WAN 高速化は不要です。

n WAN アクセラレータではクライアントとサーバ間のトラフィックの圧縮も行われますが、この圧縮は通常、2：1の圧縮率に限定されます。PCoIP では、イメージとオーディオを最大 100：1 の圧縮率で圧縮できます。

View 5 で導入された制御によって PCoIP の消費帯域幅を調整する方法の詳細については、「PCoIP で使用可能な最適化制御 (P. 48)」を参照してください。

次の例は、PCoIP がさまざまな WAN 条件で実行できる動作の予想を示しています。

自宅での仕事 ダウンロード速度が 4 ～ 8MB、レイテンシーが 300 ミリ秒未満の専用ケーブルまたは DSL 接続を使用するユーザーは、次の条件で、非常に高いパフォーマンスが予想されます。

n 2 台のモニタ（1920x1080）

n Microsoft Office アプリケーション

n Flash が組み込まれた Web ページを時折参照

VMware View アーキテクチャの計画

48 VMware, Inc.

n マルチメディアを定期的に利用

n ローカル接続された USB プリンタで時折印刷

モバイル ユーザー ダウンロード速度が 5 ～ 500Kb、レイテンシーが 300 ミリ秒未満の専用 3G 接続を使用するユーザーは、次の条件で、帯域幅を適切に保ち、レイテンシーを許容範囲に抑え

ることができると予想されます。

n 1 台のモニタ

n Microsoft Office アプリケーション

n Flash が組み込まれた Web ページを時折参照

n ローカル接続された USB プリンタで時折印刷

モバイル ユーザーがマルチメディア コンテンツを利用する場合は、ローカル アプリケーションの使用を推奨します。

支社またはリモート オフィス 1Mb の帯域幅につき、同時アクティブ ユーザー数を 3 名として計画します。速度が20Mb、レイテンシーが 200 ミリ秒未満で、UDP ベースの専用のサイト間 VPN が設置されたオフィスのユーザーは、次の条件で、許容可能なパフォーマンスになることが

予想されます。

n 2 台のモニタ（1920x1080）

n Microsoft Office アプリケーション

n Flash が組み込まれた Web ページを時折参照

n ローカル接続された USB プリンタで時折印刷

この情報は、『PCoIP Display Protocol: Information and Scenario-Based Network Sizing Guide』（英語）という情報ガイドから抜粋したものです。

VMware View ポッドVMware View ポッドは、2,000 ユーザーのビルディング ブロック 5 つを統合して、1 つのエンティティとして管理できる View Manager インストールにします。

ポッドとは、VMware View のスケーラビリティの制限によって決定される編成の単位です。 表 4-11 に、View ポッドのコンポーネントを示します。

表 4-11. VMware View ポッドの例

アイテム 数

View ビルディング ブロック 5

View Connection Server 7（各ビルディング ブロックに 1 台および 2 台のスペア）

10Gb イーサネット モジュール 1

モジュラ型ネットワーク スイッチ 1

ロード バランシング モジュール 1

WAN 用 VPN 1（オプション）

ネットワーク コアによって、受信したリクエストの View Connection Server インスタンス間でのロード バランシングが実行されます。通常はネットワーク レベルで冗長性およびフェイルオーバーがサポートされるため、ロード バランサが単一点障害になることが防止されます。たとえば、Virtual Router Redundancy Protocol（VRRP）はロード バランサと通信して、冗長性およびフェイルオーバーの機能を追加します。

第 4 章 アーキテクチャ設計の要素と計画のガイドライン

VMware, Inc. 49

View Connection Server インスタンスに障害が発生するか、アクティブなセッション中に応答がなくなった場合でも、ユーザーのデータは失われません。デスクトップの状態は仮想マシン デスクトップに保存されているため、ユーザーは別の View Connection Server インスタンスに接続でき、障害が発生した時点の状態からデスクトップ セッションが再開されます。

図 4-2 は、すべてのコンポーネントを管理の容易な 1 つのエンティティにどのように統合できるかを示しています。

図 4-2. 10,000 の View デスクトップのポッド図

スイッチドネットワーク

VMware ViewConnection Server

VMware Viewビルディング

ブロック

ロード バランシング

ネットワーク コア

各スイッチド ネットワークが各 View Connection Server に接続

VMware View アーキテクチャの計画

50 VMware, Inc.

セキュリティ機能の計画 5VMware View は、企業の機密データを保護するための強力なネットワーク セキュリティ機能を備えています。セキュリティを強化するため、VMware View を他社製のユーザー認証ソリューションと統合したり、セキュリティ サーバを使用したり、制限付き資格の機能を実装したりできます。

この章では次のトピックについて説明します。

n クライアント接続について (P. 51)

n ユーザー認証方法の選択 (P. 54)

n View デスクトップ アクセスの制限 (P. 56)

n グループ ポリシー設定を使用した View デスクトップのセキュリティ保護 (P. 57)

n クライアント システムのセキュリティを保護するためのベスト プラクティスの実装 (P. 58)

n 管理者ロールの割り当て (P. 58)

n セキュリティ サーバを使用するための準備 (P. 58)

n VMware View 通信プロトコルについて (P. 63)

クライアント接続について

View Client および View Administrator は、安全な HTTPS 接続を介して View Connection Server ホストと通信します。

ユーザー認証と View デスクトップの選択に使用される最初の View Client 接続は、ユーザーが View Client を開き、View Connection Server ホストまたはセキュリティ サーバ ホストの IP アドレスまたはドメイン名を入力したときに作成されます。View Administrator 接続は、管理者が Web ブラウザに View Administrator の URL を入力したときに作成されます。

View Connection Server のインストール時に、デフォルトのサーバ SSL 証明書が生成されます。デフォルトでは、クライアントが View Administrator などの安全なページにアクセスすると、この証明書が提示されます。

デフォルトの証明書はテストに使用できますが、できるだけ早く独自の証明書に交換する必要があります。デフォルトの

証明書は、商用の証明機関（CA）によって署名されていません。承認されていない証明書を使用すると、信頼されていないパーティーにサーバを装ってトラフィックを傍受される可能性があります。

n PCoIP Secure Gateway を使用するクライアント接続 (P. 52)

VMware の PCoIP 表示プロトコルを使用する View デスクトップにクライアントが接続された場合、View Clientは View Connection Server インスタンスまたはセキュリティ サーバの PCoIP Secure Gateway コンポーネントへの第 2 の接続を確立できます。この接続によって、インターネットから View デスクトップにアクセスする場合に必要なレベルのセキュリティと接続性が提供されます。

VMware, Inc. 51

n Microsoft RDP を使用するトンネル クライアント接続 (P. 52)

Microsoft RDP 表示プロトコルを使用する View デスクトップにユーザーが接続すると、View Client は ViewConnection Server ホストへの第 2 の HTTPS 接続を確立できます。この接続は、RDP データを送信するためのトンネルになるため、トンネル接続と呼ばれます。

n 直接クライアント接続 (P. 53)

管理者は、View デスクトップ セッションが View Connection Server ホストをバイパスしてクライアント システムと View デスクトップ仮想マシンとの間で直接確立されるように View Connection Server の設定を構成できます。このタイプの接続を直接クライアント接続といいます。

n View Client with Local Mode のクライアント接続 (P. 53)

View Client with Local Mode は、モバイル ユーザーが View デスクトップをローカル コンピュータ上にチェックアウトできるようにする機能です。

PCoIP Secure Gateway を使用するクライアント接続VMware の PCoIP 表示プロトコルを使用する View デスクトップにクライアントが接続された場合、View Client は ViewConnection Server インスタンスまたはセキュリティ サーバの PCoIP Secure Gateway コンポーネントへの第 2 の接続を確立できます。この接続によって、インターネットから View デスクトップにアクセスする場合に必要なレベルのセキュリティと接続性が提供されます。

View 4.6 からは、セキュリティ サーバに PCoIP Secure Gateway コンポーネントが含まれます。PCoIP Secure Gateway接続には次の利点があります。

n 企業のデータ センターに入ることができるリモート デスクトップ トラフィックが、強力な認証を経たユーザーのトラフィックのみになります。

n ユーザーはアクセスが許可されているデスクトップ リソースにのみアクセスできます。

n この接続では PCoIP がサポートされます。PCoIP は、ビデオ表示パケットを TCP ではなく UDP でカプセル化することで、ネットワークをより効率的に使用できる高度なリモート デスクトップ プロトコルです。

n PCoIP は AES-128 暗号によって保護されます。

n PCoIP がいずれかのネットワーク コンポーネントによってブロックされない限り、VPN は必要ありません。たとえば、誰かがホテルの客室内から自分の View デスクトップにアクセスしようとしていて、そのホテルで使用されているプロキシが TCP ポート 4172 での受信トラフィックと UDP ポート 4172 での受信トラフィックおよび送信トラフィックを許可するように構成されていないことが判明する場合があります。

詳細については、「DMZ ベースのセキュリティ サーバのファイアウォール ルール (P. 62)」を参照してください。

PCoIP をサポートするセキュリティ サーバは Windows Server 2008 R2 上で実行され、64 ビット アーキテクチャを最大限に活用します。このセキュリティ サーバは、AES New Instructions (AESNI) をサポートし、高度に最適化されたPCoIP 暗号化および暗号化解除のパフォーマンスを実現する Intel プロセッサの利点も活かします。

Microsoft RDP を使用するトンネル クライアント接続Microsoft RDP 表示プロトコルを使用する View デスクトップにユーザーが接続すると、View Client は View ConnectionServer ホストへの第 2 の HTTPS 接続を確立できます。この接続は、RDP データを送信するためのトンネルになるため、トンネル接続と呼ばれます。

トンネル接続には次の利点があります。

n RDP データが HTTPS によってトンネリングされ、SSL を使用して暗号化されます。この強力なセキュリティ プロトコルは、オンライン バンキングやクレジット カードの支払いに使用されるような他の安全な Web サイトで提供されているセキュリティに一致しています。

n クライアントは単一の HTTPS 接続を介して複数のデスクトップにアクセスできるため、プロトコル全体のオーバーヘッドが削減されます。

VMware View アーキテクチャの計画

52 VMware, Inc.

n それらの HTTPS 接続は VMware View によって管理されるため、基盤となるプロトコルの信頼性が大幅に向上します。ユーザーが一時的にネットワーク接続を失った場合に、ネットワーク接続が復元された後、ユーザーが再接続し

て再度ログインしなくても HTTP 接続が再確立され、RDP 接続が自動的に再開されます。

View Connection Server インスタンスの標準展開では、HTTPS の安全な接続の終点は View Connection Server になります。DMZ 展開では、HTTPS の安全な接続の終点はセキュリティ サーバになります。DMZ 展開およびセキュリティ サーバの詳細については、「セキュリティ サーバを使用するための準備 (P. 58)」を参照してください。

PCoIP 表示プロトコルを使用するクライアントは USB リダイレクトおよびマルチメディア リダイレクト（MMR）のアクセラレーションのためにトンネル接続を使用できますが、他のすべてのデータについては、PCoIP ではセキュリティサーバ上の PCoIP Secure Gateway が使用されます。詳細については、「PCoIP Secure Gateway を使用するクライアント接続 (P. 52)」.

直接クライアント接続

管理者は、View デスクトップ セッションが View Connection Server ホストをバイパスしてクライアント システムとView デスクトップ仮想マシンとの間で直接確立されるように View Connection Server の設定を構成できます。このタイプの接続を直接クライアント接続といいます。

直接クライアント接続でも、ユーザーが認証して View デスクトップを選択するための HTTPS 接続をクライアントとView Connection Server ホストとの間に確立できますが、その第 2 の HTTPS 接続（トンネル接続）は使用されません。

直接 PCoIP 接続では、次の組み込みのセキュリティ機能が使用されます。

n PCoIP は Advanced Encryption Standard（AES）暗号化をサポートします。これはデフォルトで有効になっています。

n PCoIP のハードウェア実装では、AES および IP Security（IPsec）が使用されます。

n PCoIP は他社製の VPN クライアントとも連動します。

Microsoft RDP 表示プロトコルを使用するクライアントでは、展開が企業ネットワーク内に限定される場合にのみ直接クライアント接続が適切です。直接クライアント接続を使用すると、RDP トラフィックがその接続を介してクライアントと View デスクトップ仮想マシンの間で暗号化されないまま送信されます。

View Client with Local Mode のクライアント接続View Client with Local Mode は、モバイル ユーザーが View デスクトップをローカル コンピュータ上にチェックアウトできるようにする機能です。

View Client with Local Mode では、LAN ベースのデータ転送用に、トンネリングされた通信とトンネリングされていない通信の両方がサポートされています。トンネリングされた通信では、すべてのトラフィックが View ConnectionServer ホストを介してルーティングされ、通信およびデータ転送を暗号化するかどうかの指定が可能です。トンネリングされていない通信では、暗号化されていないデータがクライアント システムのローカル デスクトップと vCenter Serverの View デスクトップ仮想マシンとの間で直接転送されます。

ローカル データは、トンネリングされた通信またはトンネリングされていない通信のどちらを構成したかに関係なく、ユーザーのコンピュータ上で常に暗号化されます。

クライアント システムにローカルで格納されるデータ ディスクは、デフォルトの AES-128 暗号方式を使用して暗号化されます。暗号キーは暗号化されて、ユーザーのクレデンシャル（ユーザー名およびパスワード、またはスマート カードおよび PIN）のハッシュから派生したキーと一緒にクライアント システムに保存されます。 サーバ側では、キーは ViewLDAP に保存されます。 サーバで View LDAP の保護に使用するセキュリティ対策がどのようなものであっても、LDAPに保存されているローカル モードの暗号キーも保護されます。

注意 暗号化キー暗号を AES-128 から AES-192 または AES-256 に変更できます。

第 5 章 セキュリティ機能の計画

VMware, Inc. 53

デスクトップには、ポリシーによって制御された有効期限があります。 クライアントが View Connection Server への接続を失うと、サーバとの接続がない最大時間が、ユーザーがデスクトップを使用し続けることのできる期間となり、そ

の期間を超えるとユーザーはアクセスを拒否されます。 クライアント側において、この有効期限のポリシーは、アプリケーションに組み込まれているキーで暗号化されているファイルに格納されます。 この組み込みキーにより、パスワードにアクセスできるユーザーは、有効期限ポリシーを回避できません。

ユーザー認証方法の選択

VMware View は、ユーザーを認証および管理するために既存の Active Directory インフラストラクチャを利用します。セキュリティを強化するため、VMware View を RSA SecurID およびスマート カード認証ソリューションと統合することができます。

n Active Directory 認証 (P. 54)

各 View Connection Server インスタンスは Active Directory ドメインに参加しており、ユーザーは参加しているドメインを利用するために Active Directory に対して認証されます。信頼契約の存在する追加ユーザー ドメインがある場合、ユーザーはそのドメインに対しても認証されます。

n RSA SecurID 認証 (P. 55)

RSA SecurID は、2 要素認証によってセキュリティの向上をもたらします。これには、ユーザーの PIN およびトークン コードに関する知識が必要です。トークン コードは、物理 SecurID トークンでのみ入手できます。

n スマート カード認証 (P. 55)

スマート カードは、コンピュータ チップが埋め込まれた小さなプラスチック カードです。多くの官公庁や大企業が、そのコンピュータ ネットワークにアクセスするユーザーの認証にスマート カードを使用しています。スマート カードは Common Access Card（CAC）とも呼ばれます。

n 現在のユーザーとしてログイン機能の使用 (P. 55)

View Client ユーザーが [Log in as current user（現在のユーザーとしてログイン）] チェック ボックスをオンにすると、クライアント システムにログインするときに入力した認証情報が、View Connection Server インスタンスおよび View デスクトップへの認証に使用されます。追加のユーザー認証は必要ありません。

Active Directory 認証各 View Connection Server インスタンスは Active Directory ドメインに参加しており、ユーザーは参加しているドメインを利用するために Active Directory に対して認証されます。信頼契約の存在する追加ユーザー ドメインがある場合、ユーザーはそのドメインに対しても認証されます。

たとえば、View Connection Server インスタンスがドメイン A のメンバーであり、ドメイン A とドメイン B の間に信頼契約が存在する場合、ドメイン A とドメイン B の両方のユーザーが View Client を使用して View Connection Serverインスタンスに接続できます。

同様に、ドメイン混在環境でドメイン A と MIT Kerberos 領域の間に信頼契約が存在する場合、Kerberos 領域のユーザーは View Client で View Connection Server に接続するときに Kerberos 領域名を選択できます。

View Connection Server は、ホストが存在するドメインから始めて、信頼関係をたどって、アクセスできるドメインを決定します。小さく、十分に接続されているドメインのセットであれば、View Connection Server は短時間でドメインの完全なリストを決定できますが、ドメインの数が増えたり、ドメイン間の接続が不十分であったりすると、要する時間

は長くなります。リストには、デスクトップにログインしたユーザーに提供しない方がよいドメインも含まれる場合があ

ります。

管理者は、vdmadmin コマンドライン インターフェイス使用して、ドメインのフィルタ処理を構成できます。フィルタを使用すると、View Connection Server インスタンスが検索してユーザーに表示するドメインを制限できます。詳細については、『VMware View の管理』ドキュメントを参照してください。

ログインを許可する時間を制限したり、パスワードの失効日を設定するなどのポリシーも、Active Directory の既存の運用手順に従って処理されます。

VMware View アーキテクチャの計画

54 VMware, Inc.

RSA SecurID 認証RSA SecurID は、2 要素認証によってセキュリティの向上をもたらします。これには、ユーザーの PIN およびトークンコードに関する知識が必要です。トークン コードは、物理 SecurID トークンでのみ入手できます。

管理者は、View Connection Server ホストに RSA SecurID ソフトウェアをインストールし、View Connection Serverの設定を変更することで、個別の View Connection Server インスタンスで RSA SecurID 認証を有効にできます。

ユーザーは、RSA SecurID 認証が有効になっている View Connection Server インスタンスを介してログインすると、最初に RSA ユーザー名とパスコードを入力して認証するように求められます。ユーザーがこのレベルで認証されないと、アクセスが拒否されます。ユーザーが RSA SecurID によって正しく認証された場合は、通常どおり続行することになり、次に Active Directory の認証情報の入力を求められます。

View Connection Server インスタンスが複数ある場合は、一部のインスタンスで RSA SecurID 認証を構成し、他のインスタンスでは別のユーザー認証方法を構成することができます。たとえば、インターネットを介してリモートで Viewデスクトップにアクセスするユーザーのみに RSA SecurID 認証を構成できます。

VMware View は RSA SecurID Ready プログラムによって認定されており、新規 PIN モード、次のトークン コード モード、RSA Authentication Manager、ロード バランシングなど、SecurID のあらゆる機能をサポートしています。

スマート カード認証スマート カードは、コンピュータ チップが埋め込まれた小さなプラスチック カードです。多くの官公庁や大企業が、そのコンピュータ ネットワークにアクセスするユーザーの認証にスマート カードを使用しています。スマート カードはCommon Access Card（CAC）とも呼ばれます。

スマート カード認証は Windows ベースの View Client と View Client with Local Mode でのみサポートされます。View Administrator ではサポートされません。

管理者は、個別の View Connection Server インスタンスでスマート カード認証を有効にできます。View ConnectionServer インスタンスでのスマート カードの使用を有効にすると、通常は信用ストアにルート証明書が追加された後、ViewConnection Server の設定が変更されるという処理が伴います。

スマート カード認証を使用するクライアント接続は、SSL に対応している必要があります。管理者は、View Administratorでグローバル パラメータを設定して、クライアント接続の SSL を有効にできます。

スマート カードを使用するには、クライアント マシンにスマート カード ミドルウェアおよびスマート カード リーダが必要です。スマート カードに証明書をインストールするには、コンピュータを登録ステーションとして動作するように設定する必要があります。

ローカル デスクトップでスマート カードを使用するには、スマートカードの登録時に 1024 ビットまたは 2048 ビットのキー サイズを選択する必要があります。ローカル デスクトップでは、512 ビット キーの証明書はサポートされていません。デフォルトでは、ユーザーのローカル デスクトップのチェックインおよびチェックアウト時に、View ConnectionServer は AES-128 を使用して、仮想ディスク ファイルを暗号化します。暗号化キー暗号を AES-192 または AES-256に変更できます。

現在のユーザーとしてログイン機能の使用

View Client ユーザーが [Log in as current user（現在のユーザーとしてログイン）] チェック ボックスをオンにすると、クライアント システムにログインするときに入力した認証情報が、View Connection Server インスタンスおよびView デスクトップへの認証に使用されます。追加のユーザー認証は必要ありません。

この機能をサポートするため、ユーザー認証情報が View Connection Server インスタンスとクライアント システムの両方に保存されます。

n View Connection Server インスタンスで、ユーザー認証情報は、ユーザー名、ドメイン、オプションの UPN とともにユーザー セッションに暗号化されて保存されます。認証情報は、認証が行われると追加され、セッション オブジェクトが破棄されると削除されます。セッション オブジェクトは、ユーザーがログアウトするか、セッションがタイムアウトになるか、認証が失敗した場合に破棄されます。セッション オブジェクトは揮発性メモリに保存され、View LDAP またはディスク ファイルには保存されません。

第 5 章 セキュリティ機能の計画

VMware, Inc. 55

n クライアント システムで、ユーザー認証情報は暗号化され、View Client のコンポーネントである AuthenticationPackage のテーブルに保存されます。認証情報は、ユーザーのログイン時にテーブルに追加され、ユーザーのログアウト時にテーブルから削除されます。テーブルは揮発性メモリに存在します。

管理者は、View Client グループ ポリシー設定を使用して、 [Log in as current user（現在のユーザーとしてログイン）] チェック ボックスを使用できるかどうかを制御し、そのデフォルト値を指定できます。さらに、管理者はグループ ポリシーを使用して、ユーザーが View Client で [Log in as current user（現在のユーザーとしてログイン）] チェック ボックスを選択すると渡されるユーザー ID と認証情報を受け付ける View Connection Server インスタンスを指定することもできます。

現在のユーザーとしてログイン機能には、次の制限と要件があります。

n View Connection Server インスタンスに、スマート カード認証が [Required（必須）] と設定されている場合、[Log in as current user（現在のユーザーとしてログイン）] チェック ボックスを選択したスマート カード ユーザーは、View デスクトップにログインするときに、引き続きスマート カードと PIN で再認証を行う必要があります。

n ユーザーはログイン時に [Log in as current user（現在のユーザーとしてログイン）] チェック ボックスを選択した場合、デスクトップをローカル モードで使用するためにチェック アウトできません。

n クライアントがログインするシステムの時間と、View Connection Server ホストの時間が同期している必要があります。

n クライアント システムでデフォルトの [Access this computer from the network（ネットワーク経由でコンピュータへアクセス）] ユーザー権限割り当てを変更する場合は、VMware ナレッジ ベース（KB）の記事 1025691 の説明に従って変更する必要があります。

n クライアント マシンは、会社の Active Directory サーバと通信できる必要があり、 キャッシュされた認証情報は認証に使用されません。たとえば、ユーザーが社外のネットワークから クライアント マシンにログインすると、キャッシュされた 認証情報が認証に使用されます。その後ユーザーが最初に VPN 接続を確立しないで セキュリティ サーバや View Connection Server インスタンスに接続しようとすると、 認証情報の入力が求められ、 現在のユーザーとしてログイン機能が動作しなくなります。

View デスクトップ アクセスの制限制限付き資格の機能を使用し、ユーザーが接続する View Connection Server インスタンスに基づいて View デスクトップ アクセスを制限できます。

制限付き資格では、1 つ以上のタグを View Connection Server インスタンスに割り当てます。その後、デスクトッププールを構成するときに、デスクトップ プールにアクセスできるようにする View Connection Server インスタンスのタグを選択します。ユーザーがタグ付きの View Connection Server インスタンスを通してログインするとき、ユーザーは少なくとも 1 つのタグが一致するか、タグがないデスクトップ プールにのみアクセスできます。

たとえば、VMware View の展開に 2 つの View Connection Server インスタンスが含まれるものとします。第 1 のインスタンスは内部ユーザーをサポートします。第 2 のインスタンスはセキュリティ サーバと対になって、外部ユーザーをサポートします。外部ユーザーが特定のデスクトップにアクセスできないようにするには、次のように制限付き資格を設

定します。

n タグ「Internal」を、内部ユーザーをサポートする View Connection Server インスタンスに割り当てます。

n タグ「External」を、セキュリティ サーバと対になって外部ユーザーをサポートする View Connection Server インスタンスに割り当てます。

n 内部ユーザーのみがアクセスできるようにするデスクトップ プールに、「Internal」タグを割り当てます。

n 外部ユーザーのみがアクセスできるようにするデスクトップ プールに、「External」タグを割り当てます。

外部ユーザーは「External」というタグの付いた View Connection Server を使用してログインするので、「Internal」というタグの付いたデスクトップ プールにはアクセスできません。同様に、内部ユーザーは「Internal」というタグの付いた View Connection Server を使用してログインするので、「External」というタグの付いたデスクトップ プールにはアクセスできません。 図 5-1 にこの構成を示します。

VMware View アーキテクチャの計画

56 VMware, Inc.

図 5-1. 制限付き資格の例

DMZ

外部ネットワーク

リモートView Client

ViewConnection

Serverタグ："External"

デスクトップ プール Aタグ："External"

ViewSecurityServer

VM VM

VM VM

ローカルView Client

ViewConnection

Serverタグ："Internal"

デスクトップ プール Bタグ："Internal"

VM VM

VM VM

制限付き資格を使用して、特定の View Connection Server インスタンスに対して構成されているユーザー認証方法に基づいて、デスクトップ アクセスを制御することもできます。たとえば、スマート カードで認証されているユーザーのみが特定のデスクトップ プールを使用できるようにすることができます。

制限付き資格の機能は、タグの一致を適用するだけです。特定のクライアントが特定の View Connection Server インスタンスを通して接続するように、ネットワーク トポロジを設計する必要があります。

グループ ポリシー設定を使用した View デスクトップのセキュリティ保護VMware View には、View デスクトップのセキュリティ保護に使用できるセキュリティ関連グループ ポリシー設定を備えたグループ ポリシー管理（ADM）テンプレートが含まれています。

たとえば、グループ ポリシー設定を使用して、次のタスクを実行できます。

n ユーザーが View Client の [現在のユーザーとしてログイン] チェック ボックスを選択した場合に渡されるユーザー ID と認証情報を受け入れる View Connection Server インスタンスを指定する。

n View Client でシングル サインオン スマート カード認証を有効にする。

n View Client でサーバ SSL 証明書チェックを構成する。

n ユーザーが View Client コマンド ライン オプションによって認証情報を指定できないようにする。

n View 以外のクライアント システムが RDP を使用して View デスクトップに接続できないようにする。このポリシーは、接続が View によって管理される必要がある、つまりユーザーが View デスクトップに接続するために ViewClient を使用する必要があることを意味します。

View Client グループ ポリシー設定の使用については、『VMware View の管理』ドキュメントを参照してください。

第 5 章 セキュリティ機能の計画

VMware, Inc. 57

クライアント システムのセキュリティを保護するためのベスト プラクティスの実装

クライアント システムのセキュリティを保護するためのベスト プラクティスを実装する必要があります。

n クライアント システムが、一定期間動作していない場合にスリープ状態になり、コンピュータをアクティブにする前にユーザーがパスワードを入力する必要があるように構成されていることを確認してください。

n クライアント システムの起動時に、ユーザーはユーザー名とパスワードを入力する必要があります。クライアントシステムで自動ログインを許可するように構成しないでください。

n Mac クライアント システムの場合、キーチェーンとユーザー アカウントに異なるパスワードを設定することを考慮してください。パスワードが異なる場合、システムが自動的にパスワードを入力する前に、ユーザーに入力が要求さ

れます。さらに、FileVault 保護を有効にすることも考慮してください。

n ローカル モード クライアント システムは、リモートでイントラネットに接続されている場合よりも、ローカル モードで実行している場合の方が多くネットワーク アクセスする可能性があります。ローカル モード クライアント システムにイントラネット ネットワーク セキュリティ ポリシーを適用するか、ローカル モード クライアント システムがローカル モードで実行している場合に、ネットワーク アクセスを無効にすることを考慮してください。

管理者ロールの割り当て

VMware View 環境の重要な管理タスクは、View Administrator を使用できるユーザーとそれらのユーザーに実行を許可するタスクを決定することです。

View Administrator でタスクを実行する許可は、管理者ロールと権限から構成されるアクセス制御システムによって管理します。ロールは権限のコレクションです。権限は、ユーザーへのデスクトップ プールに対する資格の付与や構成設定の変更などの特定のアクションを実行する機能を与えます。さらに、権限は、管理者が View Administrator で表示できるものも制御します。

管理者は View Administrator でフォルダを作成してデスクトップ プールを再分割し、特定のデスクトップ プールの管理を別の管理者に委任できます。管理者がフォルダ内のリソースへの管理者アクセスを構成するには、そのフォルダに対

するロールをユーザーに割り当てます。管理者は、ロールを割り当てたフォルダに存在するリソースにのみアクセスでき

ます。管理者がフォルダに対して持つロールによって、管理者がそのフォルダ内のリソースに対して持つアクセスのレベ

ルが決定します。

View Administrator には一連の定義済みのロールが備えられています。管理者は、選択した権限を組み合わせてカスタム ロールを作成することもできます。

セキュリティ サーバを使用するための準備セキュリティ サーバは、View Connection Server 機能のサブセットを実行する、View Connection Server の特殊なインスタンスです。セキュリティ サーバを使用すると、インターネットと内部ネットワークとの間にセキュリティのレイヤを追加できます。

セキュリティ サーバは DMZ 内に存在し、信頼されるネットワーク内の接続に対してプロキシ ホストの役割を果たします。各セキュリティ サーバは View Connection Server のインスタンスと対になっていて、すべてのトラフィックをそのインスタンスに転送します。複数のセキュリティ サーバを 1 台の Connection Server と組み合わせることができます。この設計では、公衆網に接するインターネットから View Connection Server インスタンスを遮断し、保護されていないすべてのセッション要求が強制的にセキュリティ サーバを通過するようにして、セキュリティのレイヤを追加します。

DMZ ベースのセキュリティ サーバの展開では、クライアントが DMZ 内のセキュリティ サーバに接続できるようにファイアウォール上で数個のポートを開く必要があります。また、セキュリティ サーバと内部ネットワーク内の ViewConnection Server インスタンスが通信できるように、ポートを構成する必要があります。具体的なポートの詳細については、「DMZ ベースのセキュリティ サーバのファイアウォール ルール (P. 62)」を参照してください。

VMware View アーキテクチャの計画

58 VMware, Inc.

内部ネットワーク内からはユーザーが任意の View Connection Server インスタンスに直接接続できるため、LAN ベースの展開にはセキュリティ サーバを実装する必要はありません。

注意 View 4.6 では、セキュリティ サーバに PCoIP Secure Gateway コンポーネントが含まれているため、PCoIP 表示プロトコルを使用するクライアントは VPN ではなくセキュリティ サーバを使用できます。

PCoIP を使用するための VPN のセットアップについては、VMware Web サイトで次のソリューション概要を参照してください。

n VMware View and Juniper Networks SA Servers SSL VPN Solution （英語）

n VMware View and F5 BIG-IP SSL VPN Solution（英語）

n VMware View and Cisco Adaptive Security Appliances (ASA) SSL VPN Solution（英語）

セキュリティ サーバ展開のベスト プラクティスDMZ でセキュリティ サーバを運用する場合、ベスト プラクティスのセキュリティ ポリシーおよび手順に従う必要があります。

DMZ Virtualization with VMware Infrastructure』ホワイト ペーパーに、仮想 DMZ のベスト プラクティスの例を紹介しています。このホワイト ペーパーの推奨事項の多くは、物理 DMZ にも適用されます。

フレーム ブロードキャストの範囲を制限するには、セキュリティ サーバと組み合わせた View Connection Server インスタンスを、分離されたネットワークに展開する必要があります。このトポロジによって、内部ネットワーク上の悪意あ

るユーザーによるセキュリティ サーバと View Connection Server インスタンス間の通信の監視を防止することができます。

または、ネットワーク スイッチの高度なセキュリティ機能を使用して、セキュリティ サーバと View Connection Serverの通信の悪意ある監視を防止し、ARP キャッシュ ポイズニングなどの監視攻撃に対して保護することもできます。詳細については、お使いのネットワーク機器の管理マニュアルを参照してください。

セキュリティ サーバのトポロジ複数の異なるセキュリティ サーバ トポロジを実装できます。

図 5-2 のトポロジは、ロード バランスされた 2 台のセキュリティ サーバを DMZ に配置した高可用性環境を示しています。 これらのセキュリティ サーバは、内部ネットワーク内の 2 つの View Connection Server インスタンスと通信します。

第 5 章 セキュリティ機能の計画

VMware, Inc. 59

図 5-2. DMZ 内のロード バランスされたセキュリティ サーバ

vCenter管理サーバ

MicrosoftActive Directory

ViewConnection

Server

ロード バランシング

ViewSecurityServer

DMZ

外部ネットワーク

リモートView Client

仮想デスクトップ仮想マシンを 実行する ESX ホスト

リモート ユーザーがセキュリティ サーバに接続する場合、View デスクトップにアクセスするには、認証に成功する必要があります。DMZ の両側に適切なファイアウォール ルールが適用されるため、このトポロジは、インターネット上のクライアント デバイスから View デスクトップにアクセスする場合に適しています。

View Connection Server の各インスタンスに複数のセキュリティ サーバを接続できます。DMZ 展開を標準展開と組み合わせて、内部ユーザーと外部ユーザーにアクセスを提供できます。

図 5-3 のトポロジは、View Connection Server の 4 つのインスタンスが 1 つのグループとして機能する環境を示しています。 内部ネットワーク内のインスタンスは内部ネットワークのユーザー専用であり、外部ネットワーク内のインスタンスは外部ネットワークのユーザー専用です。セキュリティ サーバと対になっている View Connection Server インスタンスで RSA SecurID 認証を有効にすると、すべての外部ネットワーク ユーザーに RSA SecurID トークンを使用した認証が義務付けられます。

VMware View アーキテクチャの計画

60 VMware, Inc.

図 5-3. 複数のセキュリティ サーバ

vCenter管理サーバ

MicrosoftActive Directory

ViewConnection

Server

ロード バランシング

ViewSecurityServer

DMZ

外部ネットワーク

リモートView Client

ロード バランシング

内部ネットワーク

View Client

仮想デスクトップ仮想マシンを 実行する ESX ホスト

セキュリティ サーバを複数インストールする場合は、ハードウェアまたはソフトウェアのいずれかのロード バランシング ソリューションを実装する必要があります。View Connection Server 自体はロード バランシング機能を提供しません。View Connection Server は他社製の標準的なロード バランシング ソリューションと連動します。

DMZ ベースのセキュリティ サーバのファイアウォールDMZ ベースのセキュリティ サーバの展開には、2 つのファイアウォールを含める必要があります。

n DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロント エンド ファイアウォールが必要です。外部からのネットワーク トラフィックが DMZ に到達できるように、このファイアウォールを構成します。

n 2 つ目のセキュリティの層を提供するために、DMZ と 内部ネットワークの間のバック エンド ファイアウォールが必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成します。

ファイアウォール ポリシーによって DMZ サービスからの受信通信が厳格に制御されるため、内部ネットワークが侵害されるリスクが大幅に軽減されます。

図 5-4 は、フロント エンド ファイアウォールとバック エンド ファイアウォールを含む構成の例を示しています。

第 5 章 セキュリティ機能の計画

VMware, Inc. 61

図 5-4. デュアル ファイアウォール トポロジView Client View Client

HTTPSトラフィック

HTTPSトラフィック

フォールト トレラント

ロード バランシングメカニズム

ViewSecurity

Server

DMZ

内部ネットワーク

ViewConnection

Server

ViewConnectionServer

VMware vCenter

ActiveDirectory

VMware ESX サーバ

View SecurityServer

バック エンドファイアウォール

フロントエンドファイアウォール

DMZ ベースのセキュリティ サーバのファイアウォール ルール

DMZ ベースのセキュリティ サーバには、フロント エンド ファイアウォールとバック エンド ファイアウォールに関する特定のファイアウォール ルールが必要です。

フロント エンド ファイアウォールのルール

外部のクライアント デバイスが DMZ 内のセキュリティ サーバに接続できるようにするには、フロント エンド ファイアウォールで、トラフィックを特定の TCP ポートおよび UDP ポートで許可する必要があります。 表 5-1 にフロント エンド ファイアウォールのルールの概要を示します。

表 5-1. フロント エンド ファイアウォールのルール

送信元 プロトコル ポート 送信先 備考

任意 HTTP 80 セキュリティ サーバ SSL が無効になっている場合、外部クライアント デバイスは DMZ 内のセキュリティ サーバへの接続にポート 80を使用します。

任意 HTTPS 443 セキュリティ サーバ SSL が有効になっている場合（デフォルト）、外部クライアント デバイスは DMZ 内のセキュリティ サーバへの接続にポート 443 を使用します。

任意 PCoIP TCP 4172UDP 4172

セキュリティ サーバ SSL が有効になっている場合、外部クライアント デバイスは DMZ 内のセキュリティ サーバへの接続に TCP ポート 4172 を使用し、UDP ポート 4172 も両方向で使用します。

VMware View アーキテクチャの計画

62 VMware, Inc.

バック エンド ファイアウォールのルール

セキュリティ サーバが、内部ネットワーク内に存在する各 View Connection Server インスタンスと通信できるようにするには、バック エンド ファイアウォールで、受信トラフィックを特定の TCP ポートで許可する必要があります。Viewデスクトップと View Connection Server インスタンスが互いに通信できるようにするために、バック エンド ファイアウォールの背後で、内部のファイアウォールが同様に構成されている必要があります。 表 5-2 にバック エンド ファイアウォールのルールの概要を示します。

表 5-2. バック エンド ファイアウォールのルール

送信元 プロトコル ポート 送信先 備考

セキュリティ サーバ HTTP 80 Transfer Server セキュリティ サーバは、Transfer Server からローカル モードのデスクトップに View デスクトップのデータをダウンロードするた

め、および Transfer Server にデータを複製するために、ポート 80 を使用できます。

セキュリティ サーバ HTTPS 443 Transfer Server ローカル モードでの動作およびデスクトップのプロビジョニングに SSL を使用するように View Connection Server を構成すると、セキュリティ サーバはローカル モードのデスクトップと Transfer Server の間のダウンロードおよび複製にポート 443 を使用します。

セキュリティ サーバ AJP13 8009 View Connection Server セキュリティ サーバは、AJP13 によって転送された Web トラフィックを ViewConnection Server インスタンスに送信するために、ポート 8009 を使用します。

セキュリティ サーバ JMS 4001 View Connection Server セキュリティ サーバは、Java MessageService（JMS）トラフィックを ViewConnection Server インスタンスに送信するために、ポート 4001 を使用します。

セキュリティ サーバ RDP 3389 View デスクトップ セキュリティ サーバは、RDP トラフィックを View デスクトップに送信するために、ポート 3389 を使用します。注意 MMR には、RDP とともに TCP ポート 9427 が使用されます。

セキュリティ サーバ PCoIP TCP 4172UDP4172

View デスクトップ セキュリティ サーバは、PCoIP トラフィックを View デスクトップに送信するためにTCP ポート 4172 を使用し、PCoIP トラフィックを両方向に送信するために UDP ポート 4172 を使用します。

セキュリティ サーバ PCoIP またはRDP

TCP32111

View デスクトップ USB リダイレクトには、クライアントからView デスクトップへ PCoIP または RDP とともに TCP ポート 32111 が使用されます。

View Connection Server 間通信に使用される TCP ポート

View Connection Server インスタンスのグループは、互いに通信するために追加の TCP ポートを使用します。たとえば View Connection Server インスタンスは、JMS のルータ間（JMSIR）トラフィックを互いに送信するために、ポート 4100 を使用します。通常、ファイアウォールはグループ内の View Connection Server インスタンス間では使用されません。

VMware View 通信プロトコルについてVMware View のコンポーネントは、複数の異なるプロトコルを使用してメッセージをやりとりします。

図 5-5 は、セキュリティ サーバが構成されていない場合に各コンポーネントが通信に使用するプロトコルを示しています。この場合、RDP および PCoIP Secure Gateway 用の安全なトンネルは確立されていません。この構成は一般的なLAN の展開で使用される可能性があります。

第 5 章 セキュリティ機能の計画

VMware, Inc. 63

図 5-5. セキュリティ サーバが構成されていない VMware View のコンポーネントとプロトコル

ViewAdministrator

ViewMessaging

View Broker とAdmin Server

View Agent

View Client

Mac、Windows、および Linux クライアント シン クライアント

ViewConnection

Server

View デスクトップ仮想マシン

View ManagerLDAP

HTTP(S)HTTP(S)

HTTP(S)

JMS

RDP

RDP クライアント

RDP

PCoIP

PCoIP

vCenterServer

シン クライアントオペレーティング

システム

SOAP

RDP RDP

PCoIP

PCoIP

View SecureGW Server と PCoIP

Secure GW

注意 この図は、PCoIP または RDP を使用するクライアントへの直接接続を示しています。ただし、デフォルト設定では、PCoIP には直接接続、RDP にはトンネル接続が使用されます。

各プロトコルに使用するデフォルト ポートの詳細については、表 5-3を参照してください。

図 5-6 は、セキュリティ サーバが構成されている場合に各コンポーネントが通信に使用するプロトコルを示しています。この構成は一般的な WAN の展開で使用される可能性があります。

VMware View アーキテクチャの計画

64 VMware, Inc.

図 5-6. セキュリティ サーバが構成されている VMware View のコンポーネントとプロトコル

ViewAdministrator

ViewMessaging

View Broker とAdmin Server

View Agent

View Client

Mac、Windows、および Linux クライアント シン クライアント

ViewSecurityServer

ViewConnection

Server

View デスクトップ仮想マシン

View ManagerLDAP

HTTP(S)

HTTP(S)

HTTP(S)HTTP(S)

JMS AJP13

HTTP(S)

JMS

RDP

RDP クライアント

RDP

PCoIP PCoIP

PCoIP

vCenterServer

シン クライアントオペレーティング

システム

SOAP

RDPRDP

View SecureGW Server と PCoIP

Secure GW

View SecureGW Server と PCoIP

Secure GW

PCoIP

PCoIP

表 5-3 に、各プロトコルで使用されるデフォルト ポートを示します。

表 5-3. デフォルト ポート

プロトコル ポート

JMS TCP ポート 4001

AJP13 TCP ポート 8009注意 AJP13 はセキュリティ サーバの構成のみで使用されます。

HTTP TCP ポート 80

HTTPS TCP ポート 443

RDP TCP ポート 3389MMR には、RDP とともに TCP ポート 9427 が使用されます。注意 View Connection Server インスタンスが直接クライアント接続用に構成されている場合、それらのプロトコルはクライアント

から View デスクトップに直接接続され、View Secure GatewayServer コンポーネントを介してトンネリングされません。

SOAP TCP ポート 80 または 443

第 5 章 セキュリティ機能の計画

VMware, Inc. 65

表 5-3. デフォルト ポート (続き)

プロトコル ポート

PCoIP View Client から View デスクトップへの TCP ポート 4172。PCoIP では双方向で UDP ポート 4172 も使用されます。

PCoIP または RDP USB リダイレクトには、クライアントから View デスクトップへPCoIP または RDP とともに TCP ポート 32111 が使用されます。

View ブローカーと管理サーバView Connection Server のコアである View Broker コンポーネントは、VMware View クライアントと ViewConnection Server 間のすべてのユーザー操作を管理します。View Broker には、View Administrator Web クライアントに使用される Administration Server も含まれます。

View Broker は vCenter Server と緊密に連動して、仮想マシン作成や電源操作を含む View デスクトップの高度な管理を実現します。

View Secure Gateway ServerView Secure Gateway Server は、VMware View クライアントとセキュリティ サーバまたは View Connection Serverインスタンスとの安全な HTTPS 接続を実現するサーバ側コンポーネントです。

View Connection Server のトンネル接続を構成すると、RDP、USB、およびマルチメディア リダイレクト（MMR）トラフィックが View Secure Gateway コンポーネントを介してトンネリングされます。直接クライアント接続を構成すると、それらのプロトコルはクライアントから View デスクトップに直接接続され、View Secure Gateway Server コンポーネントを介してトンネリングされません。

注意 PCoIP 表示プロトコルを使用するクライアントは USB リダイレクトおよびマルチメディア リダイレクト（MMR）のアクセラレーションのためにトンネル接続を使用できますが、他のすべてのデータについては、PCoIP ではセキュリティ サーバ上の PCoIP Secure Gateway が使用されます。

View Secure Gateway Server は、VMware View クライアントから View Broker コンポーネントへの、ユーザー認証やデスクトップ選択トラフィックを含むその他の Web トラフィックの転送も管理します。また、View Secure GatewayServer は View Administrator クライアントの Web トラフィックを Administration Server コンポーネントに渡します。

PCoIP Secure GatewayView 4.6 からは、セキュリティ サーバに PCoIP Secure Gateway コンポーネントが含まれます。PCoIP Secure Gatewayを有効にすると、認証が行われた後、PCoIP を使用する View クライアントがセキュリティ サーバへの第 2 の安全な接続を確立できます。この接続により、リモート クライアントがインターネットから View デスクトップにアクセスできるようになります。

PCoIP Secure Gateway コンポーネントを有効にすると、PCoIP トラフィックがセキュリティ サーバによって View デスクトップに転送されます。PCoIP を使用するクライアントで USB リダイレクト機能またはマルチメディア リダイレクト（MMR）のアクセラレーションも使用する場合は、そのデータを転送するために View Secure Gateway コンポーネントを有効にできます。

直接クライアント接続を構成した場合は、PCoIP トラフィックとその他のトラフィックが View クライアントから Viewデスクトップに直接送信されます。

自宅やモバイルの就業者などのエンド ユーザーがインターネットからデスクトップにアクセスする場合、必要なレベルのセキュリティおよび接続性がセキュリティ サーバによって提供されるため、VPN 接続は必要ありません。PCoIP SecureGateway コンポーネントによって、企業のデータ センターに入ることができるリモート デスクトップ トラフィックが、強力な認証を経たユーザーのトラフィックに確実に限定されます。エンド ユーザーはアクセスが許可されているデスクトップ リソースにのみアクセスできます。

VMware View アーキテクチャの計画

66 VMware, Inc.

View LDAPView LDAP は View Connection Server の組み込み LDAP ディレクトリであり、すべての VMware View 構成データの構成リポジトリです。

View LDAP には、各 View デスクトップ、アクセス可能な各 View デスクトップ、まとめて管理される複数の View デスクトップ、および View コンポーネントの構成設定を表すエントリが含まれています。

View LDAP には、他の View コンポーネントに自動化および通知サービスを提供する、一連の View プラグイン DLL も含まれています。

View MessagingView Messaging コンポーネントは、View Connection Server コンポーネント間、および View Agent と ViewConnection Server との間のメッセージング ルータとして機能します。

このコンポーネントは、VMware View でのメッセージングに使用される Java Message Service（JMS）API をサポートしています。

デフォルトで、コンポーネント間メッセージ検証に使用される RSA キーは 512 ビットです。暗号化を強化する場合は、RSA キー サイズを 1024 ビットに増やすことができます。

すべてのキーを 1024 ビットにする場合は、最初の View Connection Server インスタンスをインストールした直後に、追加のサーバやデスクトップを作成する前に、RSA キー サイズを変更する必要があります。詳細については、VMwareナレッジ ベース（KB）の記事 1024431 を参照してください。

View Connection Server のファイアウォール ルールView Connection Server インスタンスおよびセキュリティ サーバ用にファイアウォールの特定のポートを開く必要があります。

View Connection Server を Windows Server 2008 にインストールするときは、必要な Windows ファイアウォールルールをインストール プログラムのオプションで自動的に構成できます。View Connection Server を Windows Server2003 R2 にインストールするときは、必要な Windows ファイアウォール ルールを手動で構成する必要があります。

表 5-4. View Connection Server のインストール時に開かれるポート

プロトコル ポート View Connection Server インスタンスの種類

JMS TCP 4001（受信） 標準およびレプリカ

JMSIR TCP 4100（受信） 標準およびレプリカ

AJP13 TCP 8009（受信） 標準およびレプリカ

HTTP TCP 80（受信） 標準、レプリカ、およびセキュリティ サーバ

HTTPS TCP 443（受信） 標準、レプリカ、およびセキュリティ サーバ

PCoIP TCP 4172（受信）、UDP 4172（双方向）

標準、レプリカ、およびセキュリティ サーバ

第 5 章 セキュリティ機能の計画

VMware, Inc. 67

View Agent のファイアウォール ルールView Agent インストール プログラムはファイアウォールの特定の TCP ポートを開きます。これらのポートは、特に記述のない限り受信ポートです。

表 5-5. View Agent のインストール時に開かれる TCP ポート

プロトコル ポート

RDP 3389

USB リダイレクト 32111

MMR 9427

PCoIP 4172（TCP および UDP）

View Agent インストール プログラムによって、ホスト OS の現在の RDP ポート（通常は 3389）に合わせて受信 RDP接続のローカル ファイアウォール ルールが構成されます。この RDP ポート番号を変更する場合は、関連するファイアウォール ルールも変更する必要があります。

View Agent インストール プログラムに、リモート デスクトップのサポートを有効にしないように指示した場合、ポート 3389 および 32111 が開かれないため、それらのポートを手動で開く必要があります。

仮想マシン テンプレートをデスクトップ ソースとして使用する場合は、そのテンプレートがデスクトップ ドメインのメンバーである場合にのみ、展開されたデスクトップにファイアウォールの例外が継承されます。Microsoft のグループ ポリシー設定を使用して、ローカルでのファイアウォールの例外を管理できます。詳細については、Microsoft のサポート技術情報（KB）の記事 875357 を参照してください。

Active Directory のファイアウォール ルールVMware View 環境と Active Directory サーバの間にファイアウォールがある場合は、必要なポートがすべて開いていることを確認する必要があります。

たとえば View Connection Server は、Active Directory グローバル カタログおよび Lightweight Directory AccessProtocol（LDAP）サーバにアクセスできる必要があります。使用しているファイアウォール ソフトウェアによってグローバル カタログと LDAP のポートがブロックされると、管理者がユーザーの資格を構成する際に問題が発生します。

ファイアウォールを介して Active Directory を正常に機能させるために開く必要があるポートの詳細については、使用する Active Directory サーバのバージョンに関する Microsoft のマニュアルを参照してください。

View Client with Local Mode のファイアウォール ルールView Client with Local Mode のデータはポート 902 を介してダウンロードおよびアップロードされます。View Clientwith Local Mode を使用する予定の場合は、ESX/ESXi ホストがポート 902 にアクセスできるようにする必要があります。

VMware View アーキテクチャの計画

68 VMware, Inc.

VMware View 環境のセットアップ手順の概要 6

次の高水準のタスクを完了して、VMware View のインストールと初期展開の構成を行います。

表 6-1. View のインストールおよびセットアップのチェックリスト

ステップ タスク

1 必要な管理者ユーザーおよびグループを Active Directory で設定します。手順：『VMware View のインストール』および vSphere のマニュアル

2 まだ行っていない場合は、VMware ESX/ESXi ホストおよび vCenter Server をインストールして設定します。手順：vSphereのマニュアル

3 リンク クローン デスクトップを展開する場合は、View Composer を vCenter Server システムにインストールします。手順：『VMware View のインストール』ドキュメント

4 View Connection Server をインストールして設定します。手順：『VMware View のインストール』ドキュメント

5 デスクトップをローカル モードで使用する場合は、Transfer Server をインストールします。手順：『VMware View のインストール』ドキュメント

6 完全クローン デスクトップ プールのテンプレートとして、またはリンク クローン デスクトップ プールの親として使用できる仮想マシンを 1 台以上作成します。手順：『VMware View の管理』ドキュメント

7 デスクトップ プールを作成します。手順：『VMware View の管理』ドキュメント

8 デスクトップへのユーザー アクセスを制御します。手順：『VMware View の管理』ドキュメント

9 エンド ユーザーのマシンに View Client をインストールして、エンド ユーザーが View デスクトップにアクセスできるようにします。

手順：VMware View のインストール

10 （オプション）追加の管理者を作成して構成し、特定のインベントリ オブジェクトと設定に対して異なるレベルのアクセス権を許可します。

手順：『VMware View の管理』ドキュメント

11 （オプション）ポリシーを構成して、View コンポーネント、デスクトップ プール、およびデスクトップ ユーザーの動作を制御します。

手順：『VMware View の管理』ドキュメント

12 （オプション）View 個人設定管理を構成して、 ユーザーがデスクトップにログインするたびに各自のデータと設定にアクセスできるようにします。

手順：『VMware View の管理』ドキュメント

13 （オプション）セキュリティを強化するために、スマート カード認証と RSA SecurID ソリューションを統合します。手順：『VMware View の管理』ドキュメント

VMware, Inc. 69

VMware View アーキテクチャの計画

70 VMware, Inc.

インデックス

記号

.vmdkフアイル 35

AActive Directory 9, 29, 54Administration Server 66ADM テンプレート ファイル 57Adobe Flash 25AJP13 プロトコル 62, 63

CCPU の見積もり 35, 41

DDemilitarized Zone（DMZ） 58Distributed Resource Scheduler（DRS） 44DMZ 10, 58, 59, 61, 66

EESX/ESXi ホスト 36

GGPO、View デスクトップのセキュリティ設定 57

HHA クラスタ 42–44

II/O ストーム 47iSCSI SAN アレイ 26

JJava Message Service 67Java Message Service プロトコル 62JMS プロトコル 62, 63

LLAN 構成 45LDAP 構成データ 13LDAP ディレクトリ 10, 67LUN 27

MMac クライアント 10, 12Microsoft RDP 15, 17, 22, 53

NNAS アレイ 26

PPCoIP 7, 9, 15, 17, 53, 58, 66PCoIP Secure Gateway 接続 52, 66PCoIP セキュリティ ゲートウェイ接続 58

RRSA SecurID 認証 55RSA キー サイズ、変更 67

SSCOM 13SCSI アダプタのタイプ 41

TTCP ポート

Active Directory 68View Client with Local Mode 68View Agent 68View Connection Server 67

ThinApp 28

UUDP ポート 62Unified Access 43USB デバイス、View デスクトップでの使用 9, 15,

21USB リダイレクト 21

VvCenter、構成 42vCenter Server 12, 25vdmadmin コマンド 13View Administrator 12, 29View Broker 66View Client for Linux 11View Client with Local Mode、接続 53View Composer、操作 43, 46View Connection Server

RSA SecurID 認証 55概要 10グループ化 59構成 12, 29, 43

VMware, Inc. 71

スマート カード認証 55ロード バランシング 59

View Messaging 67View Open Client 11View PowerCLI 13View Secure Gateway Server 66View Transfer Server構成 44ローカル デスクトップの同期化 13

View Agent 12, 29View Client 11, 29View Portal 10, 12View デスクトップの構成 31View ノードの構成 36View の展開図 9View の展開の図 9View ポッド 45, 49VMotion 44VMware View with Local Mode、「ローカル デスク

トップ」を参照

VMware View セットアップのチェックリスト 69vSphere 7, 9, 26vSphere クラスタ 44, 45

WWAN のサポート 48Windows 移動プロファイル 18Windows のページ ファイル 35Wyse MMR 15, 22

あ

アーキテクチャ設計の要素 31アプリケーションの仮想化およびプロビジョニン

グ 27–29アプリケーションのストリーミング 28暗号化

Microsoft RDP でのサポート 17PCoIP でのサポート 17ユーザー認証情報 55

い

移動プロファイル 18委任された管理 58印刷、仮想 21

え

エージェント、View 12

お

オフライン デスクトップ（ローカル モード）、「ローカル デスクトップ」を参照

親仮想マシン 27, 28

か

仮想印刷機能 9, 15, 21仮想デスクトップの基本イメージ 26, 27仮想デスクトップへのディスク容量の割り当て 35, 41仮想プライベート ネットワーク 17, 58仮想プロファイル 9, 15仮想マシン構成

vCenter 用 42View Composer 用 42View Connection Server 用 43View Transfer Server 用 44View デスクトップ用 31

仮想マシンへの RAM の割り当て 33, 41仮想マシンへのメモリの割り当て 33, 41管理者ロール 58管理対象サービスとしてのデスクトップ (DaaS) 7

き

キオスク モード 40機能サポート一覧 15共有ストレージ 26, 46

くクライアント システム、セキュリティ保護のベスト プ

ラクティス 58クライアント接続

PCoIP Secure Gateway 52, 66PCoIP セキュリティ ゲートウェイ 58直接 53トンネル 52

クラスタ、vSphere 44クローン、リンク 12, 28

け

ゲートウェイ サーバ 66現在のユーザーとしてログイン機能 55「現在のユーザーとしてログイン」機能 22

こ

コア、仮想マシンの密度 35更新機能 28, 35個人設定管理、構成と管理 18

さ

再構成機能 28再分散機能 27サスペンド ファイル 33, 35サポートされるメディア ファイル形式 22

し資格、制限付き 56就業者のタイプ 31–33, 35, 37処理要件 35

VMware View アーキテクチャの計画

72 VMware, Inc.

シン クライアント サポート 10, 15シングル サインオン（SSO） 12, 22, 55

す

スケーラビリティ、計画 31ストレージ、低減、View Composer による 26, 27ストレージ構成 46ストレージ帯域幅 47スナップショット 28スマート カード認証 55スマート カード リーダ 21, 55スワップ ファイル 33

せ

制限付き資格 56セキュリティ機能、計画 51セキュリティ サーバ

PCoIP Secure Gateway 66概要 10実装 58展開のベスト プラクティス 59ファイアウォール ルール 62ロード バランシング 59

接続タイプ

PCoIP セキュリティ ゲートウェイ 58外部クライアント 58直接 53トンネル 52

接続のタイプ

PCoIP Secure Gateway 52, 66クライアント 51

セットアップ、VMware View 69専用割り当てデスクトップ プール 25, 27

そ

ソフトウェア プロビジョニング 28, 29

た

ターミナル サーバ 43帯域幅 47, 48タスク ワーカー 32, 33, 38

ち

直接クライアント接続 43, 53

つ

通常のディスク 27通信プロトコル、理解 63

て

データストア 27データベースのサイズ設定 42データベースのタイプ 45

テクニカル サポート 5デスクトップ ソース 25デスクトップのプロビジョニング 7デスクトップ プール 12, 25, 27, 37デュアル ファイアウォール トポロジ 61テンプレエト、GPO 29

と

トンネリングされた通信 53, 66トンネル接続 43, 52

な

ナレッジ ワーカー 32, 33, 38

に

認証情報、ユーザー 55

ね

ネットワーク帯域幅 47

はバック エンド ファイアウォール構成 61ルール 62

パワー ユーザー 32

ひ

ビジネス インテリジェンス ソフトウェア 13非武装地帯 59, 61, 66表示プロトコル

Microsoft RDP 15, 17, 53PCoIP 53, 58View PCoIP 9, 15, 17定義 17

ふファイアウォール

バック エンド 61フロントエンド 61ルール 62

ファイアウォール ルールActive Directory 68View Client with Local Mode 68View Agent 68View Connection Server 67

ファイバ チャネル SAN アレイ 26プール

キオスク ユーザー 40タスク ワーカー 38デスクトップ 27desktop 37ナレッジ ワーカー 38ローカル モードのユーザー 39

インデックス

VMware, Inc. 73

プール、デスクトップ 12, 25複数モニタ 9, 17, 22物理 PC 43プリンタ 15フローティング割り当てデスクトップ プール 25プロフェッショナル サービス 5フロント エンド ファイアウォール構成 61ルール 62

ほ

ポリシイ、デスクトツプ 29

ま

マルチメディア ストリーミング 22マルチメディアのストリーミング 22マルチメディア リダイレクト（MMR） 22

め

メッセージング ルータ 67

ゆユーザー認証

Active Directory 54RSA SecurID 55スマート カード 55方法 54

ユーザーのタイプ 32ユーザー プロファイル 18

りリモート デスクトップ、ローカル デスクトップとの比

較 19リンク クローン 12, 27, 28, 43, 46

れ

レイテンシー 48レガシー PC 10レプリカ 27

ろローカル デスクトップ、View Transfer Server 13ローカル デスクトップの使用、メリット 19ローカル モード、「ローカル デスクトップ」を参照ローカル モードのユーザー 39ロード バランシング、View Connection Server 45,

49, 59

VMware View アーキテクチャの計画

74 VMware, Inc.