VMware-Forum

Hallo zusammen,

ich habe ein Problem und muss diesbezüglich etwas ausholen:

Wir sind ein kleines Software-Unternehmen und administrieren viele unserer Kunden aus der Ferne. Der Kunde stellt diesbezüglich einen "Weg" in sein Netzwerk bereit. Zu 90% über eine kundespezifische VPN-Lösung a'la Cisco etc.
Dieser VPN-Tunnel wird von mir eingerichtet und bleibt dann auch auf unbestimmte Zeit bestehen (für spätere Wartungsarbeiten, Software-Updates etc.).

Mein Problem:

Die Artenvielfalt der einzelnen VPN -Lösungen der Kunden sind extrem - jeder nutzt eine andere Lösung. Diese VPN-Clients "vertragen" sich auch untereinander nicht, und müssen gesondert installiert werden.
Jeder Client bringt diverse Treiber und Schnittstellen mit. Ausserdem gibt es bis dato 5 Mitarbeiter die sich um die Remote-Kunden kümmern - somit müssen die Zugänge zentral und für jeden zur Verfügung stehen.

Bisherige Lösung:

Jeder Kunde bekommt eine eigene virtuelle Maschine (Windows XP) in unserer DMZ. In dieser VM wird der jeweilige VPN-Client eingerichtet, über welchen dann letztendlich der Tunnel zum Kunden XYZ geschlagen wird.
Die einzelnen Mitarbeiter arbeiten über die Konsole der VM, stellen die VPN-Verbindung her und graben sich dann via RDP oder VNC bis zu unserem Leitsystem durch.

- wir haben vSphere 5 Essentials im Einsatz.
- bisher ca. 50 "Remote-VM's"

Problem:

Utopie…jede VM kostet Speicherplatz und Performance…möchte mit Updates versorgt werden etc. Demnächst läuft Windows XP aus, wenn ich dann die VM's auf Windows 7 umstelle wird der Aufwand noch heftiger und undurchsichtiger (mal abgesehen vom Aufwand einer Migration).

Lösung:

Ich teste gerade VMware View bzw. läuft derzeit die Evaluierung. Ich wollte meine Problematik mittels Linked Clones erschlagen. Ich habe ein Master Image erzeugt und über den Composer bereits mehrere Linked Clones erstellt.
Feine Sache: Performant und durch die verlinkten Klone natürlich auch kein Vergleich zum bisherigen Verbrauch auf dem Datenspeicher.
Gepflegt wird lediglich das Master-Image (Updates etc.), um dieses dann in einer Neuzusammenstellung den Linked Clones wieder unterzuschieben.

Allerdings habe ich noch ein Problem oder eine Wissenslücke:

- Ich erzeuge einen Linked Clone und installiere in diesem den VPN-Client des Kunden

Nach einer Neuzusammenstellung ist diese Installation verschwunden bzw. wird diese nicht auf dem verlinkten Klon persistiert. Es sind nur die "Standard-Installationen" und Features aus dem Master-Image vorhanden.
Benutzerspezifische Daten lassen sich ja auf der gesonderten virtuellen Festplatte persistieren und sind von einem Wechsel der Basis unberührt.

Mir ist bewusst das dies schon heftig ist bzw. muss sich der verlinkte Klon die Installation samt Einstellungen im Dateisystem und der Registrierung merken.

Wie könnte ich meine Anforderung generell realisieren bzw. muss ich demnächst eine "komplette" Lösung aus dem Koffer ziehen?

Über jeden Tipp und für jede Denkanregung dankbar...

Grüße !!

Ich wuerde dafuer Linked clones nehmen ohne View.

Muss man einmal von Hand anlegen - danach verhalten sich die einzelnen linked Clones wie unabhaengige VMs

danke...werd ich mir anschauen bzw. ist mir jetzt nicht ganz klar wie ich "out of the Box" in unserer vSphere Umgebung Linked Clones erzeugen kann.

Soweit ich informiert bin, kann ich Linked Clones via Scripting erzeugen - also PowerCLI...was auch nicht das Problem wäre.

Mit VMware View kann ich die Basis-VM aktualisieren (Updates einpflegen etc), um diese dann wieder zu einem günstigen Zeitpunkt den Linked Clones unterzuschieben.

Ich denke das wird mit den manuell erzeugten Linked Clones nicht möglich sein bzw. verändere ich die Basis-VM, werden die "angeschlossenen" LC's ungültig. Zumindest war das früher so.

Bin ich da auf dem aktuellen Stand?

thx....!

Hi,
der Ansatz von Ulli ist sicher interessant, da man sich so die Liznezkosten für View spart. Ich würde mir aber auch mal View in Kombination mit ThinApp anschauen. Sprich ob ihr die Installierten VPN Clients nicht per ThinApp virtualisiert bekommt. Du bräuchtest dann nur noch ein Masterimage mit Linked Clones und dort staret mann dann das gewünschte TinApp Paket.

Gruß Peter

Hallo,

daran dachte ich auch schon...allerdings wird eine Virtualisierung mit ThinApp meines Erachtens keinen Sinn machen, da hier Treiber verwendet werden durch die VPN Clients.

Meine Wunsch-Lösung:

jeder unserer Mitarbeiter (der Kunden via Remote betreut) hat seine eigene VM. Bei Bedarf kann er eine bereits erzeugte (und im Backend abgelegte) VPN-Konfiguration in seine VM laden. Mit VPN-Konfiguration meine ich den VPN-Client inkl. Treibern und Einstellungen. (= Snapshot)

Ich bräuchte also eine zentrale Snapshot-Bibliothek - auf die jeder der Mitarbeiter Zugriff hat und diesen bei Bedarf in seine VM laden kann. Das wäre die Waffe der Wahl....leider sind Snapshots immer an eine VM gebunden.

ich muss mir noch die VMware Mirage Lösung unter www.wanova.com anschauen....eventuell ist das was - jemand Erfahrung damit?

thx...

Sofern die VPN Clients Kernel Treiber verwenden wirst du mit Thinapp nicht weiter kommen wie du es schon vermutet hast.

Aber vielleicht kannst du ja einen ganz anderen Ansatz für den Support wählen. Wäre es nicht einfacher für euch eine VM Appliance für die Fernwatung zu bauen welche ihr bei dem Kunden in der virtuellen Umgebung z.B. vSphere Cluster laufen lasst und auf die ihr dann z.B. über sslvpn zugreifen könnt.

Der Vorteil für euch wäre, dass ihr die ganzen Kunden VPN Clients los werdet.
Deine Mitarbeiter müssten sich nur noch mit einem Verfahren auskennen, was mit Sicht auf eine Einarbeitung auch von Vorteil wäre.
Du minimierst deinen administrativen Aufwand, da du nicht mehr x VM´s nur für den VPN Zugriff bereitstellen musst.

Du meinst eine Art BlackBox bzw. ein von uns entwickeltes VPN-Gateway (virtuell oder nicht), welches direkt im Kundennetz integriert wird? Wäre natürlich eine feine Sache - zumal wir dann die Technik in der Hand hätten. Allerdings wird da die kundenseitige EDV nicht mitmachen bzw. ist es so schon oft kompliziert in den größeren Konzernen einen Zugang zu kriegen bzw. zu beantragen.

Ja genau das wäre der Ansatz. Es muss natürlich ein gutes Argument für den Kunden geben, die Appliance bei ihm laufen zu lassen. Ich würde aber für mich die Überlegung anstellen was komplizierter ist:

a) Ich halte x VM´s mit diversen Kunden VPN Clients bereit

oder

b) Ich finde die richtigen Argumente gegenüber dem Kunden, damit er den bestmöglichen Support erhalten kann von eurer Firma.

Ich würde mich für b entscheiden

@ celto32....ich geb Dir zu 100% Recht bzw. würde ich sofort zu "b" tendieren. Allerdings wird die Akzeptanz nicht da sein - werd ich aber noch mal checken. ...

@ continuum
Unabhängig von der irgendwann bereitstehenden Lösung:
Der Einsatz von verlinkten Klonen wäre generell eine feine Sache - deshalb: Innerhalb von vSphere kann ich LC lediglich über die Scripting API anlegen, oder? Gibt es einen Trick wie ich einem Linked Clone die Basis-VM "klauen", verändern und wieder anhängen kann?

thx...

Guck dir mal
http://sanbarrow.com/linkedcloneswithesxi.html
an - mittlerweile kann man die Basis-vmdk noch besser vor Snapshotmanager-fehlern schuetzen - sag Bescheid wenn du das ausprobieren willst

Unabhängig von vSphere: Wir haben mit diesen Geräten sehr gute Erfahrungen gemacht.
Der Kunde braucht nur einen freien Ethernet-Port, der DHCP spricht und ins Internet kann, alles weitere regelt die Appliance.
Die Konfiguration geschieht fast vollständig in der Zentrale, es muß lediglich einmal die ID eingestellt werden, bevor das Device an den Kunden geht. Technisch sind das übrigens Geräte von Astaro.

@ Santa
interessant, werde ich mal als mögliche Lösung in die Runde werfen - mal schauen ob sich meine Befürchtungen bewahrheiten.
Würde sich ja komplett mit der Meinung von celto32 "decken"

@ continuum
hab ich ausprobiert und funktioniert perfekt - zum Testen habe ich mir meine Linked Clones bisher immer via PowerCLI erzeugt:



Die Krux an der Sache ist aber immer die Tatsache das man das Master-Image nie wieder anfassen sollte - am besten einbetonieren. Wenn das Master-Image beschädigt wäre, und meine verlinkten Klone daraufhin die Laufbereitschaft kapitulieren....kann ich mich warm anziehen

Zumindest ist das mein jetziger Kenntnisstand...bitte gerne korrigieren.
Wie kann ich die Basis-VM noch besser schützen?

thx...[/code]

Von dem Basisimage legt man sich natuerlich eine Sicherheitskopie unters Kopfkissen ....

Als 2te Massnahme bekommt jeder linkedclone noch eine spezial vmsd Datei mit diesem Inhalt:



den Namen von der vmdk muss man entsprechend anpassen