Citrix App Layering и контейнеры профилей Microsoft FSLogix

Rob Zylowski (Citrix Consulting Enterprise Architect), будучи экспертом Citrix App Layering, подeлился своим видением относительно оптимизации Windows и приложений Windows в решениях Citrix Virtual Apps and Desktops. Я же, в свою очередь, адаптирую его видение выработки правильных решений на стыке технологий Microsoft и Citrix.

Ключом к построению наилучшего решения, является хорошее понимание всех доступных инструментов, что позволяет подбирать наилучший вариант в каждой конкретной ситуации. Так же важно понимать, что Microsoft FSLogix часто используется совместно с Citrix App Layering, так как эти инструменты решают разные задачи. Далее будут рассмотрены различия между App Layering и FSLogix, чтобы разобрать ситуации, когда один инструмент предпочтительнее другого, а в каких случаях их необходимо использовать совместно.

Различия FSLogix и App Layering.

Многие полагают, что Microsoft FSLogix и Citrix App Layering полностью идентичные технологии. Из-за того, что в App Layering есть уровень или технология на базе контейнера, которая позволяет пользователям хранить изменения машин VDI без сохранения состояния (Non-persistent VDI) при помощи доступного для записи файла VHD, сохраненного на общем сетевом ресурсе. А FSLogix предоставляет похожую технологию, с собственным решением на базе контейнера для хранения профиля пользователя Windows или файлов, связанных с Office (подобно тем, которые используют Outlook и OneDrive), также при помощи файлов VHD/VHDX в общем сетевом расположении.

Однако, пользовательские уровни (User Layer) App Layering на самом деле предназначены для предоставления практически полного сохранения состояния для платформы VDI без сохранения состояния (Non-persistent). Пользовательский уровень (User Layer) может быть использован для параметров приложений, сохраненных в профиле пользователя, а также для установленных пользователем приложений и сохраненных пользователем файлов где-либо на системе. FSLogix имеет две технологии на базе контейнеров – одна из которых охватывает весь профиль пользователя (Profile Container) и вторая, содержащая часть профиля пользователя имеющую отношение к Microsoft Office и поддерживающим его технологиям, таким как OneDrive (Office Container). Таким образом области применения продуктов существенно отличаются: FSLogix нацелен на профиль или часть профиля пользователя, а пользовательские уровни (User Layer) App Layering охватывают все операции записи на рабочей станции.

Это архитектурное отличие обозначает, что FSLogix и пользовательские уровни (User Layer) соответствуют двум различным наборам клиентских потребностей. Если необходимо решить проблемы, связанные с профилем или запуском Office в окружении VDI без сохранения состояния (Non-persistent) или в окружении служб удаленного рабочего стола (RDS) в таком случае лучше всего подойдут FSLogix или управление профилем Citrix (Citrix Profile Management, начиная с версии 7.18), которые имеют подобные возможности. Если необходимо предоставить пользователю возможности сохранения состояния (Persistent) поверх окружения VDI без сохранения состояния (Non-persistence), что может включать Outlook, OneDrive, индексирование поиска (Search Indexing) и так далее, то в таком случае пользовательские уровни (User Layer) App Layering могут стать правильным решением.

Разумеется, возможности App Layering гораздо шире, чем просто предоставление пользовательского уровня (User Layer). App Layering предоставляет платформу для управления комплексными наборами приложений и образов в окружениях с разными гипервизорами и облаках, в том числе управление облаками и динамическую доставку приложений.

В результате FSLogix прекрасно подходит для управления профилями пользователей и Outlook, а Citrix App Layering – для управления образами и приложениями.

Интеграция Citrix App Layering и Microsoft FSLogix.

На самом деле установка и использование FSLogix довольно проста. Установка состоит из загрузки и развертывания маленького установщика драйверов фильтрации, которые использует FSLogix. Затем используется набор объектов групповой политики (Group Policy), которые разворачиваются за счет вложенного файла ADMX. Для совместного использования с Citrix App Layering, FSLogix может быть установлен в уровень платформы (Platform Layer) или приложения (Application Layer). Если необходимо использовать образы настольной системы (Desktop Image), как с FSLogix, так и без, то рекомендуется использовать уровень приложений (Application Layer).

После запуска машины упаковки (Packaging Machine) уровня приложений (Application Layer), первый шаг установки – это скопировать FSLogixAppSetup.exe и запустить его от имени администратора (Run As Administrator). Следующий шаг очень важен: драйвер фильтрации (Filter Driver) использует концепцию высоты (Altitude), которая определяет порядок, в котором драйвер фильтрации одного типа будет предоставлять доступ к вызовам файловой системы от операционной системы. Производители драйверов фильтрации файловой системы запрашивают назначение высоты у Microsoft, которая управляет этим и назначает высоты. По умолчанию, высоты Citrix App Layering и Microsoft FSLogix не позволяют продуктам корректно работать совместно. Чтобы использовать FSLogix с Citrix App Layering, высота драйвера FSLogix (frxdrvvt) должна быть изменена при помощи следующей правки в реестре:

Отредактировать ключ HKLM\System\CurrentControlSet\Services\frxdrvvt\Instances\frxdrvvt\Altitude установив значение 138010.

Micah Adamson рекомендует использовать это значение высоты (138010) в его посте в msdn. После внесения изменения в реестр, необходимо перезагрузить машину упаковки (Packaging Machine), затем финализировать уровень.

FSLogix создает 4 локальные группы, которые используются для управления тем, какие пользователи FSLogix будут применяться в процессе установки:

• FSLogix Profile Include List.
• FSLogix Profile Exclude List.
• FSLogix ODFC Include List.
• FSLogix ODFC Exclude List.

Если используется Citrix App Layering, то единственный уровень, на котором можно добавить локальные группы – это уровень операционной системы (OS Layer). Это связано с тем, что база данных SAM зашифрована в Windows, и нет возможности собрать ее из разных уровней. Это значит, что даже добавленные при установке FSLogix группы в машину упаковки (Packaging Machine) при создании уровня приложений (Application Layer) останутся только в машине упаковки. Лучший способ решить данную задачу – это создать эти группы и настроить их членство при помощи предпочтений групповой политики (Group Policy Preferences) в доменных службах Active Directory (AD DS). Аналогичный способ используется для обработки членства в группах во время установки VDA в уровень платформы.

В соответствующем объекте групповой политики (GPO) добавьте предпочтение групповой политики в Конфигурация компьютера (Computer Configuration) → Предпочтения (Preferences) → Параметры панели управления (Control Panel Settings) → Локальные пользователи и группы (Local Users and Groups) и добавить группу с именем «FSLogix Profile Include List». Затем добавить в список ее членов необходимую доменную группу.

В группу исключения (FSLogix Profile Include List) необходимо добавить административные учетные записи и локального администратора. Это гарантирует, что при входе под административной учётной записью FSLogix не будет создавать контейнер для профиля, что в последствии может вызвать проблемы при управлении образом.

После публикации образа, который включает уровень FSLogx и развертывания файлов ADMX с корректной конфигурацией, VDA автоматически подключается к контейнеру профиля FSLogix, что позволяет настроить Outlook OST.

Чтобы увидеть список перенаправленного можно воспользоваться командной FSLogix: frx.exe list-redirects.

Последний вопрос – как много времени данные технологии добавляют к процессу входа в систему. Rob Zylowski провел эксперимент с одним и тем же образом опубликованным в трех конфигурациях:

• Совсем без управления профилями.
• С FSLogix и без пользовательских (User Layer) и эластичных уровней (Elastic Layer).
• С пользовательским уровнем (User Layer), без эластичных уровней (Elastic Layer) и без FSLogix.

Пять входов с расчетом среднего времени входа от нажатия иконки в интерфейсе StoreFront до отрисовки иконки файлового менеджера в панели задач показали незначительное преимущество FSLogix над пользовательским уровнем (User Layer). С небольшим отставанием от них показал себя полный вход в систему Windows без управления профилем.

Заключительные рекомендации.

1. Используйте FSLogix для решения проблем, связанных с перемещающимся профилем на VDI без сохранения состояния (Non-persistent).
2. Используйте пользовательские уровни (User Layers), если необходимо предоставить возможности сохраненного состояния (Persistent Experience) пользователю на VDI без сохранения состояния (Non-persistent).
3. При совместном использовании FSLogix и App Layering, необходимо устанавливать FSLogix в уровень приложений (Application Layer).
4. При совместном использовании FSLogix и App Layering, необходимо изменить высоту (Altitude) у драйвера фильтрации FSLogix.
5. При совместном использовании FSLogix и App Layering, необходимо использовать предпочтения групповой политики (GPP) для создания локальных групп FSLogix.

Хотелось бы выразить благодарность Rob Zylowski за предоставленный передовой опыт (Best Practices), надеюсь, он окажется полезным для вас. Возможно, в последствии, мы вернемся к теме совместного использования App Layering и FSLogix в части интеграции маскировки приложений (App Masking).

P.S. Если вы не знакомы с Microsoft FSLogix, то начать свое знакомство можно с моей статьи «Решения Microsoft FSLogix», также я уже ранее писал об интеграции FSLogix и App Layering: «Применение возможностей платформы FSLogix в виртуальном окружении Citrix».

Применение возможностей платформы FSLogix в виртуальном окружении Citrix

Отличные новости для администраторов Citrix: 1 июля 2019-го года Microsoft анонсировала, что приобретенные в начале года технологии FSLogix будут доступны без дополнительных затрат для клиентов Office 365 и Remote Desktop Services (RDS). Эти расширения для платформы удаленных рабочих столов (Remote Desktop) нацелены на улучшение возможностей Office в виртуальном окружении, в том числе на оптимизацию Outlook, OneDrive и поиска. В свою очередь Citrix уже обеспечивает лучшие интерактивные возможности для виртуальных пользователей Microsoft Teams.

Предоставление великолепных пользовательских возможностей – это критически важная задача для успеха любого проекта виртуализации и пользовательские ожидания никогда не были столь высоки. Корпоративные пользователи привыкли к стабильной работе устройств и сервисов в их повседневной жизни и ожидают того же от доставляемых им приложений и рабочих столов.

Персонализация и доставка приложений – это несущая колонна пользовательского окружения и требования по этому направлению, в связи с меняющимися трендами, за последние годы стали более комплексными. В том числе на персонализацию и доставку приложений оказывают влияние:

• Рассвет облачных сервисов, таких как Office 365 и OneDrive for Business.
• Увеличивающееся смешение традиционные и новых приложений (Modern Apps) для Windows.
• Миграция некоторых нагрузок в публичные облака, такие как Microsoft Azure, в то время, как остальные нагрузки остаются локальными (на земле).

Citrix предлагает набор технологий для решения этих задач, такие как Citrix Workspace Environment (WEM) и Citrix App Layering, которые очень плотно взаимодействуют с технологиями Microsoft, такими как App-V и System Center Configuration Manager (SCCM). Набор инструментов Citrix становится значительно сильнее благодаря включению решений FSLogix в качестве компонента платформы.

Большинство успешных развертываний начинаются с чистого листа бумаги, когда определяется инструменты, которые могут быть объединены для лучшего соответствия определенным требованиям клиента. Существует множество путей, в которых данные компоненты могут быть объединены для предложения великолепного решения. Давайте кратко рассмотрим некоторые примеры от штатных инженеров Citrix.

Citrix Workspace Environment Management (WEM) + контейнер профиля (Profile Container) и контейнер Office (Office Container) из набора FSLogix.

Citrix WEM – это коллекция технологий которые охватывают оптимизации как профиля так и производительности. На фронте производительности WEM может агрессивно управлять приложениями, которые потребляют слишком много процессора или памяти, увеличивая и плотность сессий на сервере и производительность конечных пользователей. Так как корпоративные клиенты рассматривают облака для увеличения возможностей новых развертываний рабочих столов и решений аварийного восстановления, управление использованием ресурсов это главная задача. Управление приложениями с непрогнозируемым поведением позволяет упростить масштабирование виртуальных машин и управление затратами без негативного влияния на конечных пользователей.

Применение управления профилями Citrix на базе WEM может применять объекты групповой политики (GPO), скрипты входа и предпочтения через многопоточный агент, который увеличивает скорость и отклик сессий за счет выборки и применения конфигурации по требованию. Эти оптимизации существенно улучшают пользовательские возможности на широком диапазоне приложений, но теперь доступные контейнеры профиля (Profile Container) из набора Microsoft FSLogix предоставляют немного другой подход, который может оптимизировать Office 365 напрямую.

За счет модульной природы WEM, администраторы теперь могут выбирать использование контейнеров профиля (Profile Container) в своих окружениях, получая преимущества от оптимизированного поиска, кэширующего режима Outlook и One Drive for Business. Контейнеры профиля (Profile Container) монтируются через драйвер фильтра (Filter Driver) на базе блоков операционной системой, таким образом даже очень большой профиль может быть смонтирован и будет доступен на лету.

Эти преимущества существенно расширяют возможности решений вместе с поддержкой Citrix для развертывания гибридных облаков на Windows Virtual Desktop, где Azure Files могут быть использованы в качестве хранилища контейнеров профилей (Profile Container) в том же регионе Azure, обеспечивая преимущества производительности и мобильность окружения.

Ключевые преимущества:

• Простая адаптация профиля Office (Office Profile) в существующих окружениях WEM.
• Применение хранилища Azure Files для данных профиля в развертываниях гибридных облаков.

Citrix App Layering + маскировка приложений (Application Masking) и перенаправление Java ( Java Redirection) из набора FSLogix.

Citrix App Layering – это лидирующая на рынке технология управления образами, которая упрощает управление множеством «золотых» образов за счет сборки их из общих блоков (уровней). Администраторы исправляют и обслуживают отдельные компоненты – уровни, такие как базовая операционная система или определенное приложение и могут обновлять отдельные компоненты (например, переходить на новую версию приложения) по собственному расписанию. Многоуровневая подсистема объединяет их в единые возможности (многоуровневый образ), доставляемые пользователю.

В примере ниже демонстрируется использование App Layering для управления золотыми образами для четырех отделов:

Когда App Layering используется совместно с маскировкой приложений из набора FSLogix, администраторы могут применять подход «сокрытия» некоторых компонентов из образа. Таким образом администраторы могут управлять меньшим количеством золотых образов, маскируя видимость приложений для отдельных групп пользователей и предоставляя эффективность за счет консолидации рабочих нагрузок в меньшее число образов и групп доставки.

Перенаправление Java (Java Redirection) создает новую область консолидации за счет поддержки нескольких конфликтующих версий Java в одном образе, обеспечивая назначение каждой версии на указанное приложение или URL, даже в многоуровневом окружении. Это может сократить число угроз безопасности и/или ошибок совместимости.

Применение всех этих технологий вместе, для тех же четырех отделов из предыдущего примера позволит сократить число золотых образов до двух, при помощи маскировки приложений (App Masking) для обеспечения отделов только необходимыми приложениями или версиями в образах, используемых в нескольких сценариях. При этом нужно учесть, что сокращение числа конечных коллекций машин будет увеличивать накладные расходы на балансировку пользовательских сессий.

Ключевые преимущества:

• Сокращённое число золотых образов, создание более эффективного использования возможностей рабочих нагрузок.
• Маскировка приложений (App Masking) также примеряет лицензии на устройство для таких приложений, как Visio и Project.

Лучшая платформа.

Технологии Citrix вместе с новым набором решений FSLogix от Microsoft предлагают новые возможности для администраторов, которые позволяют упростить развертывание одновременно с этим предоставляя лучшие возможности Office 365. Демонстрируя приверженность Microsoft к виртуализации серверов и приложений, эти изменения расширяют совместимость Office 365 в виртуальном окружении, предоставляя целостность на любой платформе. Также данные изменения упрощают миграцию в облака и однозначно дают администраторам новую гибкость в развертываниях, обеспечивая максимальную выгоду от вложений в виртуализацию.

Решения Microsoft FSLogix

Сегодня я расскажу вам о недавно приобретенном компанией Microsoft наборе решений FSLogix.

FSLogix – это набор решений, которые расширяют, обеспечивают и упрощают вычислительные окружения Windows без сохранения состояния (Non-Persistent). Решения FSLogix подходят для виртуальных окружений в публичных и частных облаках. Решения FSLogix также могут быть использованы для создания более портативных сессий при использовании физических устройств.

Решения FSLogix включают в себя:

• Контейнер профиля (Profile Container).
• Контейнер Office (Office Container).
• Маскировку приложений (Application Masking).
• Контроль версий Java (Java Version Control).

Ключевые возможности FSLogix.

Контейнер профиля (Profile Container) может обеспечить перенаправление профиля пользователя в сетевое расположение. Профили размещаются в файлах VHD/VHDX и мигрируют в запущенном состоянии. Обычно профили копируются по сети в процессе входа и выхода пользователя из удаленного окружения. Так как профили часто бывают очень большими, время входа и выхода из системы становится не приемлемым. Монтирование и использование профиля по сети устраняет задержку, связанную с решениями, которые полностью передают файлы по сети.

Контейнер Office (Office Container) может обеспечить перенаправление только части профиля, которая содержит данные Office. Контейнер Office (Office Container) позволяет организациям, которые уже используют альтернативные решения управления профилем расширить возможности Office в окружении без сохранения состояния (Non-Persistent). Эти возможности совместимы с файлом Outlook .OST.

Приложения используют профиль также, как если бы он был локальным накопителем. Так как решения FSLogix используют Filter Driver для перенаправления профиля, приложения не знают о том, что профиль находится в сети. Скрытие перенаправления очень важно, так как многие приложения не могут корректно работать с профилем, сохраненным в удаленном расположении.

Контейнер профиля (Profile Container) можно использовать с облачным кэшем (Cloud Cache) для создания устойчивых и высоко доступных окружений. Облачный кэш (Cloud Cache) размещает часть VHD профиля на локальном жестком диске. Облачный кэш (Cloud Cache) также позволяет администратору указать несколько удаленных расположений профиля. Локальный кэш (Local Cache) с несколькими удаленными контейнерами профилей изолирует пользователей от ошибок сети и хранилища.

Маскировка приложений (Application Masking) может управлять доступом к приложениям, шрифтам, принтерам и прочим элементам. Доступ может контролироваться на уровне пользователей, диапазонов IP-адресов или прочих критериев. Маскировка приложений (Application Masking) значительно снижает потребность в управлении большим количеством золотых образов.

Контроль версий Java (Java Version Control) может указывать версию Java, которая будет использоваться определенными URL и/или приложениями.

Предварительные требования.

Абсолютно легальный доступ к инструментам FSLogix есть у всех обладателей хотя бы одной из следующих лицензий:

• Microsoft 365 E3/E5.
• Microsoft 365 A3/A5/ Student Use Benefits.
• Microsoft 365 F1.
• Microsoft 365 Business.
• Windows 10 Enterprise E3/E5.
• Windows 10 Education A3/A5.
• Windows 10 VDA для пользователя.
• Remote Desktop Services (RDS) Client Access License (CAL).
• Remote Desktop Services (RDS) Subscriber Access License (SAL).

Решения FSLogix могут быть использованы в любом публичном или частном центре обработки данных (ЦОД) до тех пор, пока пользователи корректно лицензированы. Инструменты FSLogix работают на всех операционных системах, начиная с Windows 7 и Windows Server 2008 R2. Решения FSLigix поддерживают и 32-ух и 64-ех битную архитектуры.

Примечание.

Решения FSLogix не поддерживаются в окружениях, которые не поддерживает Microsoft или не поддерживаются оригинальным производителем оборудования или программного обеспечения.

Также решения FSLogix обладают уникальной интеграцией и преимуществами при использовании с Windows Virtual Desktop.

P.S. Немного позже я расскажу о возможностях применения решений FSLogix в окружении Citrix Virtual Apps and Desktops.