技術概要:Workspace Environment Management
はじめに
Workspace Environment Management(WEM)は、インテリジェントなリソース管理およびプロファイル管理テクノロジを使用して、Citrix Virtual Apps and Desktops(CVAD)展開において、可能な限り最高のパフォーマンス、デスクトップログオン、およびアプリケーション応答時間を提供します。WEM には、展開のセキュリティポスチャを強化するいくつかのセキュリティ機能があります。これは、ドライバーを必要としない、ソフトウェアのみのソリューションです。
アーキテクチャ
Workspace Environment Management は、オンプレミスでインストールすることも、Citrix Cloudからサービスとしてアクセスすることもできます。
WEM は、セッションを実行しているユーザーとマシンにプロファイル設定をプッシュし、組織の Active Directoryからデータを取得します。
WEM エージェント -WEM エージェントは、オンプレミスとサービス展開オプションの両方に共通です。これは、WEM が管理する Windows セッションホストまたは物理マシンにインストールされます。WEM エージェントは、ホストをリアルタイムで監視し、マシンの状態を報告します。WEM インフラストラクチャサービスから、マシンにポリシー設定を適用して構成するための指示を受け取ります。エージェントは、WEM サーバー/サービスに到達できない状況に対して復元できるように設定のローカルキャッシュを維持します。
オンプレミスの展開
オンプレミスの WEM 展開アーキテクチャ:
オンプレミスアーキテクチャの他のコンポーネントは次のとおりです。
WEM 管理コンソール — WEM の管理に使用されるコンソールを、単一セッションまたはマルチセッションの Windows OS マシンに展開します。インフラストラクチャサーバーと対話し、管理者はさまざまな機能を制御できます。
WEM インフラストラクチャサーバ — マルチセッション Windows OS マシンにインストールされ、WEM 展開のさまざまなコンポーネント間の通信と同期を容易にします。
SQL Server データベース — WEM では、設定を保存するために SQL Server データベースが必要です。必要に応じて、データベースを SQL Server Always On 可用性グループでホストできます。
WEM サービス
WEM サービス展開アーキテクチャは次のとおりです。
Citrix CloudでホストされたWEMサービスを使用すると 、制御コンポーネントとデータベースコンポーネントがクラウドでホストされ、Citrixによって管理されます。管理コンソール、インフラストラクチャサービス、およびデータベース (Azure SQL でホストされている) は、サービスの一部です。管理コンソールは、Citrix Cloud WebコンソールからWEMサービスにアクセスするときに、[ 管理 ]タブからアクセスできます。
Cloud Connector — Citrix Cloud Connector は、リソースの場所にあるエンティティからCitrix Cloudサービスと通信するためのコンジットです。耐障害性のために、各リソースの場所には、少なくとも一対のCloud Connectorをインストールすることをお勧めします。WEM サービスは、Cloud Connectorを使用してカスタマー Active Directory にアクセスし、リソースの場所で WEM エージェントを認証します。
WEMエージェント -これは、Citrix Cloud メッセージングサービスを使用してHTTPS経由でWEMサービスと対話します。エージェントは、ネットワークの中断やサービスの停止に復元できるように設定のローカルキャッシュを維持します。この記事の執筆時点では、単一のサービスインスタンスで 100,000 WEM エージェントをサポートできます。 制限ページをチェックして 、WEM サービスインスタンスごとにサポートされている WEM エージェントの現在の数を取得します。
オンプレミスの WEM を WEM サービスに移行する
移行には、オンプレミスの SQL Server のコンテンツをエクスポートし、サービスにアップロードします。既存のオンプレミスの WEM データベースを WEM サービスに移行するためのツールキットが実行されます。ツールキットには、オンプレミスの WEM データベースのコンテンツを含む SQL ファイルを生成するウィザードが含まれています。管理者は、SQL ファイルを WEM サービスの Azure データベースにアップロードできます。詳細については、「 WEM サービスへの移行」を参照してください。
WEM の特徴
WEM のオンプレミスとサービスの両方のアーキテクチャを理解したら、WEM が組織に提供する機能を見てみましょう。主な機能セットには、次の 3 つがあります。
リソース管理
ユーザーに最適なエクスペリエンスを提供するために、WEM エージェントは、セッション内のユーザーとアプリケーションの動作をリアルタイムで監視および分析します。その後、ユーザーのワークスペース環境で RAM、CPU、I/O をインテリジェントに調整します。
RAM最適化
新しいプロセスが起動されると、通常の実行に必要以上のRAMが消費されます。しかし、一般的に、プロセスはそのリソースに割り当てられた後にこれらのリソースを放棄しません。WEM は、ユーザーの焦点が置かれているプロセスをリアルタイムで検出します。RAMワーキングセットのうち、フォーカスが合っていないアプリの一部を再利用することができます。これらのアプリにフォーカスが戻った場合でも、通常はそれらから回収された RAM の量のより小さなサブセットが必要であることが観察されます。これらのアクションは、クラウドの RAM 消費を最適化し、単一サーバーのスケーラビリティを向上させます。
次のグラフは、WEM の有無にかかわらず、一連のセッションによって消費されるメモリの量を示しています。
RAM 最適化に関する Tech Insight のビデオはこちらでご覧ください。
CPUの最適化
プロセスが CPU リソースを消費していることが検出された場合、プロセスが実行されているセッションだけでなく、同じマシンで実行されている他のセッションが遅くなり、他のユーザーのログオン時間にも影響する可能性があります。
WEM による CPU 最適化では、各 VM で実行されているプロセスのリアルタイム監視が含まれます。プロセスが CPU リソースを (定義された時間) 占有していることが検出されると、WEM は自動的にプロセスの優先度を下げます。このアクションにより、他のプロセスが CPU を使用できるようになり、サーバーの負荷が軽減されます。プロセスが CPU 消費量の低い残業に戻ったことがわかった場合、優先度は正常にリセットされます。
CPU 最適化に関する Tech Insight のビデオは、 こちらでご覧ください。
WEM による CPU 最適化の効果を検証するために、ノイズの多いネイバーのシナリオでは、ログイン VSI ベースのスケールテストを実施しました。ノイズの多いネイバーをシミュレートするために、LoginVSI ナレッジワーカーのテスト実行の一部ではないユーザをテストセットアップに追加します。このユーザーのセッションは、Azure VM のコア数に基づいて、合計 CPU の平均 50% ~ 70% で 3 つの CPU コアを使用するプロセスを起動するように構成されています。
Windows 10 2004マルチセッション仮想マシンは、CVAD 2006がインストールされ、Citrix Optimizerが適用され、HDX経由でWEMエージェントでテストされました。テスト結果のベースラインとなるため、接続プロトコルと同じテストを Microsoft RDP で実行し、VM はMicrosoftからアウトオブザボックス最適化を実行しました。
次の表からわかるように、WEM を含めると、CPU 消費ノイズの多いネイバーの影響が抑制されます。WEM を含めると、VSImax(マシンでサポートできるユーザーなし)が 20% から 43% に増加します。その結果、ストレスシナリオであっても、単一の仮想マシン上で実行できるユーザーの数が増えます。
ノイズの多いネイバーシナリオでのスケール内訳:
| Azure サイズ | ベースライン | Citrix HDX | % WEM スケーラビリティの向上 |
|---|---|---|---|
| D4V3 | 7.3 | 11.3 | 43.0% |
| D3V2 | 12 | 16 | 28.6% |
| D4V2 | 28 | 34.5 | 20.8% |
WEM は CPU スパイクを減らすため、結果からのもう一つの重要な推論は、ユーザーの応答時間がはるかに優れているということです。Citrix Virtual Apps and Desktopsセッションの応答時間は、同じユーザー数のベースラインと比較して(VSImaxに達した瞬間)、ほぼ1000ミリ秒短縮されます。
同様に、セッションで観察されるレイテンシーは、4 つの vCPU を搭載した両方のマシンで 25% ~ 50% 小さくなります。これらの結果はどちらも、WEMが画像の中にあるときに、はるかに滑らかでスナッパーなユーザーエクスペリエンスを指します。
ログオン最適化
可能な限り最高のログオンパフォーマンスを提供するために、WEM サービスは、よく使用される Windows グループポリシーオブジェクトオブジェクト、ログオンスクリプト、および基本設定を、各仮想マシンまたはサーバーに展開されるエージェントに置き換えます。エージェントはマルチスレッドで、必要なときにのみユーザー環境に変更を適用し、ユーザーは常に可能な限り迅速にデスクトップにアクセスできるようにします。時間のかかるプロセスは、最初のログオンプロセスと同期しなくなります。
ログオンの最適化に関する Tech Insight のビデオは、 こちらでご覧ください。
Profile Management
Citrixプロファイル管理への管理インターフェイスを提供します。[ポリシーとプロファイル]の[Citrix Profile Managementの設定]で、現在のバージョンのCitrix Profile Managementのすべての設定を構成できます。
セキュリティ機能
WEM には、セキュリティ体制を強化し、展開の脅威領域を軽減するいくつかの機能が含まれています。
アプリケーションセキュリティ
WEM のアプリケーションセキュリティコンポーネントは、Microsoft AppLocker のフロントエンドです。
Workspace Environment Management を使用してアプリケーションセキュリティポリシー (AppLocker) を設定する場合は、グループポリシーオブジェクトを使用して行うのと同じプロセスに従います。管理者は、実行可能ファイル、Windows インストーラ、スクリプト、パッケージ、および DLL ルールを作成します。各規則について、発行元、パス、またはファイルハッシュに基づく規則のベースに同じオプションを使用できます。ただし、AppLocker とは異なり、WEM では、管理者は複数のルールを選択して割り当てられたユーザーを変更できるため、何百ものアプリケーションセキュリティポリシーを簡単にサポートできます。
WEM ポリシーエンジンは、AppLocker による GPO ベースのアプローチと比較して、管理されているすべてのセッションに AppLocker ポリシーが一貫して適用されます。
権限昇格
多くの場合、ユーザーはアプリケーションをインストールまたは実行できる管理者権限が必要です。ほとんどの組織では最小権限の原則を採用しているため、通常はエンドユーザーに管理者権限が与えられません。
必要なシナリオでは、管理者はシステムに(物理的に、またはリモートアクセスで)ログインするか、一時的な管理者パスワードを提供する必要があります。この方法は管理者にとって面倒な作業であるか、セキュリティポリシーの回避策の作成で終わります。
この機能により、管理者はユーザーの権限をローカル管理者権限に一時的に昇格できるため、必要なアプリケーションをインストールまたは実行できます。許可リストに含まれているアプリは、この機能を使用してインストールできます。ただし、ブロックリストのアプリをインストールできず、操作がログに記録されます。各ルールは、パス、発行元、または実行可能ファイルのハッシュのいずれかに基づいています。
新しい規則が追加されると、 子プロセスに権限昇格を継承させるかどうかという 3 つのオプションを使用できます。[子プロセスに適用]。
[ 開始時間] および [終了時間 ] オプションを使用すると、標高を一定期間に制限できます。
展開オプション
WEM を展開する構成には 3 種類あります。実際の環境に合ったタイプを最適に使ってください。
単一フォレスト内の単一ドメイン
この構成は、単一のフォレスト内に単一のドメインを持つ環境で使用できます。通常、この単一のドメインには、すべてのリソースとユーザーオブジェクトが含まれます。したがって、この構成では、管理者は、すべてのデバイスが WEM サービスに接続できるように、Cloud Connectorの 1 セットを展開するだけで済みます。
1 つのフォレスト内の複数のドメイン
この構成は、単一のフォレストに複数のドメインが存在する環境で使用できます。フォレスト内のドメインは相互に通信できるため、この構成では、管理者はCloud Connectorのセットを 1 セットだけ展開して、すべてのデバイスを WEM サービスに接続できるようにします。
別のフォレスト内のユーザーとリソース (信頼あり)
この構成では、ユーザーとリソースは、管理目的で異なるドメインフォレストに存在します。2 つのフォレストの間には、ユーザーが別のフォレストのリソースにログオンできる信頼が存在します。この展開では、管理者は、WEM の展開を完了するために Cloud Connectorを各ドメインフォレストに展開する必要があります。
構成に関する考慮事項
WEM サービスは、大規模なエンタープライズ展開用に設計されています。サーバー側では、WEM サービスはフロントエンドコンポーネントとバックエンドコンポーネント間の通信フローを監視し、転送中のデータに基づいて動的にスケールアップまたはスケールダウンします。 WEM サービスのサイジングとスケーラビリティを評価する際には、Cloud Connectorのマシンサイズと数が重要です。高可用性を確保するために、前述のデプロイオプションに基づいて、各リソースの場所に 2 つ以上の Cloud Connectorを使用することをお勧めします。
クラウドコネクタのサイズ設定については、「 Citrix Cloud Connector」を参照してください。
詳細については、 WEM 製品ドキュメントを参照してください。
WEM に関する最新の更新情報については、 「新機能」を参照してください。