martes, 11 de noviembre de 2008

La seguridad del dato en el desktop y la productividad del usuario.

A todos nos queda claro que el dato debe asegurarse. La información con la que trabaja nuestra compañía está protegida por RAIDs, backups y réplica… ¿toda nuestra información lo está?

Hay determinados entornos donde, ya sea por las políticas de IT respecto a cuotas de disco o correo, bien por seguridad o por operativa de negocio, el dato de negocio “desborda” de los servidores de la compañía al desktop del usuario. Todos conocemos más de un caso donde una política de cuotas de correo más o menos estricta obliga al usuario a crear un archivado local del correo. O una política más o menos acertada de almacenamiento en red obliga al usuario a, inicialmente, copiar en su desktop (ya sea portátil o no), archivos que, en una segunda fase, son modificados localmente y en una tercera, almacenados periódicamente en el servidor de ficheros. Todo esto funciona hasta que el desktop falla (un fallo hardware o software) o se pierde o destruye (portátiles, por ejemplo). Según Murphy, esto pasa siempre el día antes en que el usuario tenía previsto actualizar el servidor. Todos sabemos que cualquier actividad informática genera un campo de Murphy de intensidad variable, pero directamente relacionada con la importancia del dato almacenado.

Por otro lado, hay datos que sin ser directamente corporativos, sí lo son para el trabajo diario del usuario: Documentos de referencia, favoritos, shortcuts en el escritorio, preferencias de impresión. No es cuantificable a priorí el impacto que la pérdida de estos datos supone para la productividad del usuario.

Aparte, claro, de la pérdida del dato, la reconstrucción de ese desktop también obliga al departamento de soporte a intervenir de inmediato, ya que al usuario un PC instalado con un Windows XP estándar no suele servirle de demasiado: Configuración de correo, configuraciones específicas de navegador, unidades de red, impresoras, etc, por no hablar de las aplicaciones corporativas…. Sin contar con que el usuario del PC a reconstruir no sea un VIP dentro de la compañía. Este factor suele elevar la tensión e importancia de la recuperación a niveles auténticamente estresantes.

¿Soluciones? Unas cuantas a lo largo del tiempo. Veamos algunas.

El perfil itinerante (roaming profile)

Evidentemente existen soluciones para minimizar el impacto de la pérdida de las configuraciones personales. Todos conocemos las capacidades de perfiles almacenados en un servidor que nos ofrece directorio activo, o la redirección de carpetas más o menos críticas (desde “Mis Documentos” a “Escritorio”) hacia un servidor de ficheros. Directorio Activo permite que el perfil de un usuario determinado “acompañe” al mismo cuando cambia de PC. También sabemos que hay aplicaciones a las que les sienta mejor o peor esta tecnología. Por otro lado, incorpora un factor de riesgo de fallo de esta sincronización, y no es precisamente ideal para usuarios con acceso de red por debajo de las 100Kb por segundo. En el caso de usuarios móviles, las dificultades se acentúan: La resolución de conflictos entre versiones on-line (almacenadas en el servidor) y las off-line (almacenadas en el portátil del usuario) suele traer más de un quebradero de cabeza.

También en el caso de usuarios con alta rotabilidad (es decir, que cambian de puesto de trabajo o PC’s en modo kiosko) esto suele obligar a una gestión del almacenamiento local de cada PC, ya que el contenido del perfil del usuario se copia en cada login al disco duro del PC. Además del inconveniente del limpiado del disco duro, aparece el componente de seguridad: En cada PC se almacena una copia de las preferencias del usuario que lo usa, incluyendo usuarios, contraseñas y certificados.

El PC en el datacenter (Blade PC).
Otra aproximación es la de “encerrar” el PC en un centro de datos. Evidentemente esto ofrece protección contra caídas eléctricas, robos, manipulaciones más o menos accidentales y demás factores medioambientales que afectan al PC. Pero desde luego mantienen la dependencia del ordenador físico (blade o no, esté o no en el CPD sigue siendo un PC), y por lo tanto, susceptible a fallos. La tecnología blade PC no hace más que trasladar los problemas hardware al datacenter.

Terminal Services.
La opción de usar terminal services (o sus equivalentes, como Citrix y demás) ha sido, durante mucho tiempo, la opción más razonable (según algunos, un mal necesario) para servir el entorno de desktop corporativo a los usuarios a través de cualquier dispositivo. Permite esquivar los problemas de las técnicas antes mencionadas: Los perfiles itinerantes funcionan (el servidor está en el datacenter y no se desconecta de la red, y la red de datos entre el servidor de terminales y el servidor de ficheros es de alta velocidad y calidad), no requieren de múltiples copias de los perfiles y garantiza la seguridad de los datos de usuario, pero también presenta otros serios inconvenientes.

En un entorno heterogéneo de aplicaciones de usuario, donde todos los usuarios usan la misma versión de todo (desde Internet Explorer hasta las aplicaciones corporativas), Terminal services ofrece claras ventajas. El problema viene cuando, sobre la misma granja de servidores hemos de mantener varias versiones de Explorer, de Office o de la aplicación corporativa, que utilizan distintas versiones de DLL’s o que, simplemente, son incompatibles. La administración de este tipo de granjas suele requerir de personal altamente cualificado, tiempo, entornos de desarrollo y, sobre todo, de mucho tiempo de evaluación de nuevas aplicaciones. Además, no debemos olvidar que terminal services no es más que un “ordenador” usado por múltiples usuarios, lo que, a priori, puede permitir, y de hecho suele convertirse en un quebradero de cabeza, que un problema en una sesión de usuario afecte a los restantes: Un “cuelgue” de Explorer, un “crash” de la aplicación de turno puede afectar al resto de los usuarios que usan la aplicación.

¿Qué ofrece virtual desktop?
Virtual desktop ofrece las ventajas de todos estos entornos: Por un lado el PC se ejecuta en el CPD (Donde las posibilidades de impacto medioambiental son menores), por otro, no se ejecuta en hardware de PC (más barato, sí, pero más propenso a fallos de hardware), y por último, cada virtual desktop es un entorno aislado: Un fallo de la aplicación, un solo usuario afectado.

Los modernos hypervisores ofrecen, en mayor o menor medida, sistemas de recuperación ante fallos del hardware o paradas programadas (vMotion, HA en VMware, Quick Migration en Hyper-V o XenMotion/HA en Xen), lo que garantiza un downtime mínimo (en caso de caída del host físico o contenedor) o desde el no impacto (en caso de vMotion o Xenmotion) hasta un downtime de entre 20-60 segundos (para Hyper-V) en el caso de tener que realizar una parada programada del hardware subyacente.

Otra ventaja del virtual desktop respecto a terminal services es que no requiere especialización para la administración del desktop: Un desktop virtual es, básicamente, un PC, con lo cual el conocimiento existente en gestión de desktops se reaprovecha, requiriendo sólo añadir la gestión del parque (provisionamiento, ciclo de vida, etc).

Por otro lado, Virtual desktop tiene la desventaja del coste inicial elevado de la implantación. En una visión superficial, el coste del desktop virtual puede parecer superior (y bastante) a cualquier otra solución, pero una visión detenida de aspectos como el de la seguridad del dato y la productividad asociada al desktop puede desvelar ahorros tanto económicos como en tiempo y productividad.

9 comentarios:

Anónimo dijo...

Como puntualización, decir que tanto TS como un escritorio VDI van via RDP. En el caso, por ejemplo, que es el que más trabajo, de Provision Networks, es un protocolo rdp mejorado y modificado, de hecho el ejecutable es pntsc.exe. Qué parecido no?

Pero bueno, magnífico artículo, tengo la suerte de trabajar a diario con temas VDI y la verdad que es algo que está dando, y dará, mucho bombo de aquí en adelante, cuando parece que la gente (los estoicos) empieza a creer en la virtualización, la virtualizacion del desktop va un poco más allá.

Un saludo compañero de fatigas.

dmarquina dijo...

Y por que no usar ICA para optimizar este acceso?

Alberto Gonzalez Martos dijo...

ICA no es la panacea por mucho marketing que haga Citrix.

Tanto ICA como RDP son protocolos de finales de los 90 que fueron pensandos para presentar simples aplicaciones a los usuarios y no escritorios multimedia que requieren 30FPS. La ventaja de ICA es que Citrix fue extendiendo su protocolo con mejoras para este tipo de entornos multimedia con tecnologias como MMR, SpeedScreen, etc.. cosa que MS no ha hecho y que ahora esta haciendo Provison Networks con RDP.

ICA y el RDP mejorado de Provision son muy similares y cada vez estan mas igualados para este tipo de entornos multimedia.

Aunque pienso que el futuro para entornos VDI multimedia pasara por los nuevos protocolos de presentación remota que se estan desarrollando para este fin RGS, SPICE, Teradicci, etc..

david dijo...

No es que lo sea, pero la verdad ayuda mucho :)

Totalmente de acuerdo en que RDP y ICA es lo mismo, la única diferencia es la posibilidad de disgragar paquetes según el uso, que Citrix permite.

Un saludos

J. L. Medina dijo...

Vamos a ver... ni ICA, ni RDP (Incluyendo su próxima versión que ya os adelanto que es impresionante), ni ninguna modificación de RDP (Incluyendo a Provision Networks) va a resolver el problema de los 30 FPS... ni de los 60... La solución vendrá por otro lado. Y tengo claro que no vendrá de fabricantes "nicho" como Provision Networks, Qumranet (Ahora Redhat) o similares, sino de los grandes: Microsoft, Citrix o HP. RGS no es un "nuevo" protocolo: Ya lleva unos cuantos años en el mundo de la capa de presentación... eso sí, en las Workstation HP corriendo su *nix... y garantizo que el porting a PC no es ninguna maravilla.

Centrar el debate de VDI en cuantas frames por segundo somos capaces de mostrar me parece de todo punto inadecuado. Y que conste que Seeds Foundation - El producto de mi empresa, permitirá en el primer Q del 2009 elegir capa de presentacion: (ICA, RDP, ALP, RGS, etc). El discurso/argumento debe ir por otro lado.

Mi planteamiento pasa por re-evaluar el valor y el papel del desktop en un entorno corporativo: ¿Es para ver Flash o para que la empresa facture más a menor coste?.

Alberto Gonzalez Martos dijo...

Yo creo que no va a haber una única solución para todos los problemas.

Cada empresa le dará un uso diferente a los vDesktops y habrá empresas que necesiten usar aplicaciones Flash, video, etc. Por eso la tendencia es que los brokers soporten distintos protocolos de presentación remota y utilizarlos según los requerimientos del usuario.

He trabajado con clientes que necesitan todo tipo de soluciones VDI.

Por ejemplo, una empresa puede requerir que una aplicación necesita 30FPS y MMR porque usa cámaras de video vigilancia.

Otra puede requerir aceleración 3D porque sus usuarios trabajan con CAD.

Otra que el protocolo soporte audio bidireccional porque su aplicación utiliza VOIP.

Otra que utilice bitmap-compression & Flash-Acceleration porque son peritos que tienen que trabajar con gran cantidad de fotos y aplicaciones Flash.

Otros que sus vDesktops sean Linux.

La experiencia me dice que el Desktop corporativo puede tener muchos usos y que ya no estamos en la era de TS/Citrix de publicar una aplicación concreta al usuario.

Si el usuario y sobre todo los directivos no se sienten cómodos con sus vDesktop es algo que van a rechazar.

Cierto es que RGS lleva mucho tiempo en el mercado, pero es ahora con las nuevas versiones y con RGS 5.x cuando se le esta viendo como una alternativa como protocolo de presentación remota para VDI. Y RGS tampoco es la panacea, RGS funciona bien en entornos LAN pero no tanto en WAN con mucha latencia.

A ICA yo no le veo futuro en VDI, ningun fabricante que no sea Citrix va a apostar por este protocolo. Desde luego VMware, Microsoft y Provision nunca lo soportaran en sus brokers.

A RGS le pasa un poco lo mismo al ser una solucion de HP no creo que vaya a tener mucho apoyo de otros fabricantes de thin-clients como Wyse por ejemplo.

El protocolo mas apoyado por todos los fabricantes de momento es RDP y es en el que se deberian centrar en mejorar y extender tal como esta haciendo Provision.

En el futuro veremos que nos depara VMware con PCoIP y si logra independizarlo del hardware que necesita. De momento VMware View 3 parece que solo sigue soportando RDP...

dmarquina dijo...

Si el cine tiene 25fps, creo que pedir 30 para un vdedsktop es descabellado.

Que conste que en mi oficina hay gente con vdesktop y son diseñadores, pero...para diseño gráfico creo que lo mejor es un PC tradicional!

Un saludo y gracias por estas lineas de agradable charla.

Daniel Matey dijo...

Atención Spoiler :-D

soy un enamorado de VDI y especialmente de la R2 del 2K8 que es la caña en ese aspecto.

Win 7 sera el mejor SO de todos los tiempos para VDI y creo que ademas las fechas seran propicias, al ritmo que madura la demanda de VDI.

Tambien tengo que decir que desde mi punto de vista TS es una gran solución para la mayoria de las demandas de los clientes con respecto a VDI, especialmente cuando se añade App-V. la ecuación es simple 1 sesión VDI= xxx RAM una sesión de TS= x RAM.

Puntualizo que desde 2K8 TS permite segregación de prioridades.

Y atentos a las novedades de 2K8R2 y lo de los FPS.

CarolM dijo...
Este comentario ha sido eliminado por un administrador del blog.