VMware View アーキテクチャの計画 View 4.6

VMware View アーキテクチャの
計画
View 4.6
View Manager 4.6
View Composer 2.6
このドキュメントは新しいエディションに置き換わるまで、
ここで書いてある各製品と後続のすべてのバージョンをサ
ポートします。このドキュメントの最新版をチェックする
には、http://www.vmware.com/jp/support/pubs を参
照してください。
JA-000524-00
VMware View アーキテクチャの計画
最新の技術ドキュメントは VMware の Web サイト（http://www.vmware.com/jp/support/pubs/）にあります
VMware の Web サイトでは最新の製品アップデートも提供されています。
このドキュメントに関するご意見およびご感想がある場合は、[email protected] までお送りください。
Copyright © 2009–2011 VMware, Inc. 無断転載を禁ず。本製品は、米国著作権法および米国知的財産法ならびに国際
著作権法および国際知的財産法により保護されています。VMware 製品には、
http://www.vmware.com/go/patents-jp に列記されている 1 つ以上の特許が適用されます。
VMware は、米国およびその他の地域における VMware, Inc. の登録商標または商標です。他のすべての名称ならびに
製品についての商標は、それぞれの所有者の商標または登録商標です。
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2
ヴイエムウェア株式会社
105-0013 東京都港区浜松町 1-30-5
浜松町スクエア 13F
www.vmware.com/jp
VMware, Inc.
目次
VMware View アーキテクチャの計画
5
1 VMware View の概要 7
VMware View を使用した場合の利点 7
VMware View の機能 9
VMware View のコンポーネント間の連携
VMware View の統合およびカスタマイズ
9
13
2 豊かなユーザー体験の計画 15
機能サポート マトリックス
15
17
View デスクトップをローカル モードで使用した場合の利点 18
ローカル コンピュータに接続された USB デバイスへのアクセス 20
View デスクトップからの印刷 20
View デスクトップへのマルチメディアのストリーミング 21
シングル サインオンを使用した View デスクトップへのログイン 21
View デスクトップでの複数モニタの使用 21
表示プロトコルの選択
3 中央からのデスクトップ プールの管理 23
デスクトップ プールの利点
ストレージ要件の低減と管理
23
24
アプリケーション プロビジョニング
25
Active Directory GPO によるユーザーおよびデスクトップの管理
27
4 アーキテクチャ設計の要素と計画のガイドライン 29
29
VMware View ESX ノード
仮想マシンの要件
34
特定のタイプの就業者用のデスクトップ プール
35
38
vCenter および View Composer の仮想マシン構成とデスクトップ プールの最大サイズ
View Connection Server の最大接続数と仮想マシン構成 40
View Transfer Server の仮想マシン構成とストレージ 41
vSphere クラスタ 42
VMware View ビルディング ブロック 43
VMware View ポッド 46
デスクトップ仮想マシンの構成
40
5 セキュリティ機能の計画 49
クライアント接続について
ユーザー認証方法の選択
49
52
View デスクトップ アクセスの制限 54
グループ ポリシー設定を使用した View デスクトップのセキュリティ保護
VMware, Inc.
56
3
VMware View アーキテクチャの計画
クライアント システムのセキュリティを保護するためのベスト プラクティスの実装
管理者ロールの割り当て
56
56
セキュリティ サーバを使用するための準備
VMware View 通信プロトコルについて
57
62
6 VMware View 環境のセットアップ手順の概要 67
インデックス
4
69
VMware, Inc.
VMware View アーキテクチャの計画
本マニュアル『VMware View アーキテクチャの計画』では、VMware View™ の概要について説明します。これには、
主な機能および展開オプションの説明と、本番環境で一般的な VMware View コンポーネントのセットアップ方法の概要
が含まれます。
このガイドは次の疑問に答えます。
n
VMware View は解決の必要な問題を解決してくれるのか。
n
会社に VMware View ソリューションを実装することは可能なのか。また、コスト効率は良いのか。
また、VMware View のインストールの保護を支援するために、セキュリティ機能についても説明します。
対象読者
本マニュアルの情報は、IT の意思決定者、アーキテクト、管理者、および VMware View のコンポーネントおよび機能に
精通する必要があるその他の読者を対象としています。アーキテクトやプランナーはこの情報により、Windows デスク
トップおよびアプリケーションを効率的かつ安全にエンド ユーザーに提供するという企業のニーズを VMware View が
満たすかどうかを判別できます。アーキテクチャの例が示されているため、プランナーは VMware View を大規模に展開
するためのハードウェア要件と必要なセットアップ作業を理解できます。
VMware, Inc.
5
VMware View アーキテクチャの計画
6
VMware, Inc.
VMware View の概要
1
VMware View を使用すると、IT 部門はデータセンター内で仮想デスクトップを実行し、デスクトップを管理対象サービ
スとして従業員に提供することができます。エンド ユーザーは、社内のあらゆる場所にある任意の数のデバイスから、ま
たは自宅からアクセスできる、パーソナライズされたなじみのある環境を手にすることができます。管理者は、デスクトッ
プ データをデータセンター内に保持できるため、制御の集中化、効率性、およびセキュリティを確保できます。
この章では次のトピックについて説明します。
n
VMware View を使用した場合の利点 (P. 7)
n
VMware View の機能 (P. 9)
n
VMware View のコンポーネント間の連携 (P. 9)
n
VMware View の統合およびカスタマイズ (P. 13)
VMware View を使用した場合の利点
VMware View によってエンタープライズ デスクトップを管理すると、信頼性、セキュリティ、ハードウェアからの独立
性、および利便性の向上などの利点があります。
信頼性とセキュリティ
仮想デスクトップは、VMware vSphere と統合し、サーバ、ストレージ、およびネットワーク リソースを仮想化するこ
とによって、中央から管理できるようになります。デスクトップのオペレーティング システムおよびアプリケーションを
データセンター内のサーバに配置することには、次の利点があります。
n
データへのアクセスを容易に制限できます。機密データがリモートの従業員の自宅コンピュータにコピーされること
を防止できます。
n
エンド ユーザーのシステムがいつオフになるかを気にせずに、データのバックアップをスケジュールできます。
n
データセンター内でホストされる仮想デスクトップは、ダウンタイムがほとんどないか、まったくありません。仮想
マシンは VMware サーバの高可用性クラスタ上に配置できます。
仮想デスクトップをバック エンドの物理システムおよび Windows Terminal Services サーバに接続することもできます。
利便性
Adobe Flex の拡張性を考慮して管理コンソールが統一されたことにより、View を大規模に導入した場合でも、1 つの
View Manager インターフェイスでそれらの View を効率的に管理できます。ウィザードとダッシュボードによってワー
クフローが強化され、詳細の表示や設定の変更にドリルダウン機能を活用できます。 図 1-1 は View Administrator の
ブラウザ ベースのユーザー インターフェイスの例です。
VMware, Inc.
7
VMware View アーキテクチャの計画
図 1-1. View Manager の管理コンソール（ダッシュボード表示）
利便性を向上させるもう 1 つの機能は VMware のリモート表示プロトコルである PCoIP です。PCoIP (PC-over-IP) 表
示プロトコルは、物理 PC を使用した場合の現在の体験に匹敵するエンド ユーザー体験を提供します。
n
LAN 上では、従来のリモート表示よりも高速かつ滑らかに表示できます。
n
WAN 上では、プロトコルはレイテンシーの増加または帯域幅の減少を補って、ネットワークの状態に関わらずユー
ザーの生産性を維持できるようにします。
管理性
エンド ユーザー用のデスクトップのプロビジョニングは、短時間で終わるプロセスです。各エンド ユーザーの物理 PC
に 1 台ずつアプリケーションをインストールするのではなく、アプリケーションを完備した仮想デスクトップにエンド
ユーザーが接続します。エンド ユーザーは、さまざまな場所にあるさまざまなデバイスから同じ仮想デスクトップにアク
セスできます。
VMware vSphere を使用して仮想デスクトップをホストすると、次の利点があります。
n
管理の作業が削減されます。管理者はユーザーの物理 PC に手を触れることなく、アプリケーションとオペレーティ
ング システムのパッチ適用およびアップグレードを実行できます。
n
ストレージの管理が簡素化されます。VMware vSphere を使用すると、ボリュームおよびファイル システムを仮想
化できるため、個別のストレージ デバイスを管理する必要がなくなります。
ハードウェアからの独立性
仮想マシンはハードウェアに依存しません。View デスクトップはデータセンター内のサーバ上で実行され、クライアン
ト デバイスからのみアクセスされるため、クライアント デバイスのハードウェアと互換性がない可能性のあるオペレー
ティング システムでも View デスクトップで使用できます。
たとえば、Windows Vista は Vista 対応の PC 上のみで実行できますが、仮想マシンに Windows Vista をインストール
して、Vista 対応でない PC 上でその仮想マシンを使用することができます。仮想デスクトップは、PC、Mac、シン クラ
イアント、およびシン クライアントとして機能する PC 上で実行されます。
8
VMware, Inc.
第 1 章 VMware View の概要
VMware View の機能
VMware View に備わる機能は、操作性、セキュリティ、中央からの制御、およびスケーラビリティをサポートします。
次の機能は、エンド ユーザーになじみのある体験を提供します。
n
仮想デスクトップから、クライアント デバイス上で定義されている任意のローカル プリンタまたはネットワーク プ
リンタで印刷します。またはロケーション ベース印刷機能を使用して物理的にクライアント システムの近くにある
プリンタにマッピングします。仮想プリンタ機能を使用すると、互換性の問題が解決され、仮想マシンに追加のプリ
ンタ ドライバをインストールする必要がなくなります。
n
複数のモニタを使用します。PCoIP では複数モニタがサポートされるため、表示の解像度と回転をモニタごとに調整
できます。
n
仮想デスクトップを表示するローカル デバイスに接続されている USB デバイスやその他の周辺機器にアクセスしま
す。
VMware View は、次のようなセキュリティ機能を備えています。
n
ログインに RSA SecurID の 2 要素認証またはスマート カードを使用します。
n
SSL トンネリングを使用して、すべての接続が完全に暗号化されるようにします。
n
VMware High Availability を使用して、デスクトップをホストし、自動フェイルオーバーを実現します。
次の機能は、管理の集中化を実現します。
n
Microsoft Active Directory を使用して、仮想デスクトップへのアクセスを管理し、ポリシーを管理します。
n
Web ベースの管理コンソールを使用して、任意の場所から仮想デスクトップを管理します。
n
テンプレート（マスター イメージ）を使用して、デスクトップのプールをすばやく作成し、プロビジョニングします。
n
ユーザーの設定、データ、または環境設定に影響を及ぼすことなく、アップデートおよびパッチを仮想マシンに送信
します。
スケーラビリティの機能は、デスクトップとサーバの両方を管理する VMware 仮想化プラットフォームに依存します。
n
VMware vSphere との統合により、コスト効率の良い密度、高水準の可用性、および仮想デスクトップのリソース
割り当ての高度な制御を実現します。
n
エンド ユーザーと、それらのユーザーにアクセスが許可されている仮想デスクトップとの接続を仲介するように View
Connection Server を構成します。
n
View Composer を使用して、仮想ディスクをマスター イメージと共有するデスクトップ イメージをすばやく作成
します。リンク クローンをこの方法で使用すると、ディスク領域を節約でき、オペレーティング システムのパッチ
およびアップデートの管理が簡素化されます。
VMware View のコンポーネント間の連携
エンド ユーザーは、View Client を起動して View Connection Server にログインします。Windows Active Directory
と統合されるこのサーバは、VMware ESX サーバ、ブレード PC、物理 PC、または Windows Terminal Services サー
バ上でホストされている仮想デスクトップへのアクセスを提供します。
図 1-2 は、VMware View の展開を構成する主要コンポーネントの関係を示しています。
VMware, Inc.
9
VMware View アーキテクチャの計画
図 1-2. VMware View 環境の高水準での例
Windows
Windows View Client
View Client
with Local Mode
View
Transfer Server
Microsoft
Active Directory
Mac
View Client
View
Administrator
（ブラウザ）
シン クライアント
ネットワーク
ThinApp
View
Connection
Server
vCenter 以外の VM
VM
View Composer を備えた
VMware vCenter Server
物理 PC
ブレード PC
View Agent
仮想デスクトップ仮想マシンを
実行する ESX ホスト
ターミナル サーバ
仮想デスクトップ
デスクトップ OS
アプリ アプリ アプリ
VM
VM
VM
VM
VM
VM
ESX ホスト
View Agent
仮想マシン
クライアント デバイス
VMware View を使用した場合の主な利点は、デバイスや場所に関係なく、デスクトップがエンド ユーザーについて回る
ことです。ユーザーは、会社のラップトップ、自宅の PC、シン クライアント デバイス、または Mac から、パーソナラ
イズされた自分の仮想デスクトップにアクセスできます。
Mac および Windows ラップトップ/PC からは、エンド ユーザーは View Client を開いて各自の View デスクトップを
表示します。クライアント デバイスは、View シン クライアント ソフトウェアを使用するため、ユーザーがそのデバイ
ス上で直接起動できる唯一のアプリケーションが View Thin Client になるように構成できます。レガシー PC の用途を変
更してシン クライアント デスクトップにすると、ハードウェアの寿命を 3 ～ 5 年延長できます。たとえば、シン デスク
トップ上で VMware View を使用すると、古いデスクトップ ハードウェア上で Windows Vista などの新しいオペレー
ティング システムを使用できます。
10
VMware, Inc.
第 1 章 VMware View の概要
View Connection Server
このソフトウェア サービスは、クライアント接続のブローカーとして機能します。View Connection Server は Windows
Active Directory を介してユーザーを認証し、適切な仮想マシン、物理 PC、ブレード PC、または Windows Terminal
Services サーバに要求を送ります。
View Connection Server は、次の管理機能を備えています。
n
ユーザーの認証
n
ユーザーへの、特定のデスクトップおよびプールに対する資格の付与
n
VMware ThinApp でパッケージ化されたアプリケーションの特定のデスクトップおよびプールへの割り当て
n
ローカルおよびリモート デスクトップ セッションの管理
n
ユーザーとデスクトップの安全な接続の確立
n
シングル サインオンの有効化
n
ポリシーの設定および適用
企業ファイアウォールの内側に、2 つ以上の View Connection Server インスタンスのグループをインストールして構成
します。その構成データは組み込み LDAP ディレクトリに格納され、グループのメンバー間で複製されます。
企業ファイアウォールの外側では、DMZ に View Connection Server をセキュリティ サーバとしてインストールできま
す。DMZ 内のセキュリティ サーバは、企業ファイアウォールの内側の View Connection Server と通信します。セキュ
リティ サーバにより、企業のデータ センターに入ることができるリモート デスクトップ トラフィックが、強力な認証を
経たユーザーのトラフィックのみに確実に限定されます。ユーザーはアクセスが許可されているデスクトップ リソースに
のみアクセスできます。
セキュリティ サーバは View Connection Server の機能のサブセットを提供するため、Active Directory ドメイン内に
配置する必要はありません。View Connection Server は、Windows Server 2008 サーバ（できれば VMware 仮想マ
シン上の）にインストールします。
View Client
View デスクトップにアクセスするためのクライアント ソフトウェアは、Windows または Mac PC 上でネイティブ アプ
リケーションとして、または View Client for Linux の場合にシン クライアント上で実行されます。
ユーザーはログインした後、使用を許可されている仮想デスクトップのリストから選択します。認証には、Active Directory
の認証情報、UPN、スマート カードの PIN、または RSA SecurID トークンの使用を義務付けることができます。
管理者は、エンド ユーザーが表示プロトコルを選択できるように View Client を構成できます。使用できるプロトコルと
しては、PCoIP、Microsoft RDP、および HP Blade 上でホストされている View デスクトップ用の HP RGS がありま
す。PCoIP の速度と表示品質は物理 PC に匹敵します。
View Client with Local Mode（旧称 Offline Desktop）は、ネットワーク接続の有無に関わらずエンド ユーザーが仮想
マシンをダウンロードしてローカル システムで使用できるようにするために拡張された View Client のバージョンです。
使用する View Client によって機能が異なります。このガイドでは、主に Windows 対応の View Client および Mac 対
応の View Client について説明します。次のタイプのクライアントについては、このガイドでは詳しく説明しません。
n
View Client for Linux（認定されたパートナーからの購入に限定）。
n
様々なサードパーティ クライアント（認定されたパートナーからの購入に 限定）。
n
View Open Client（VMware のパートナー認定プログラムをサポート）。View Open Client は正式な View クラ
イアントでないため、サポートされていません。
VMware, Inc.
11
VMware View アーキテクチャの計画
View Portal
エンド ユーザーは Windows PC またはラップトップから Web ブラウザを開き、View Portal を使用して Windows
ベースの View Client をダウンロード、インストール、更新、および起動できます。View 4.5 からは、View Portal が
View Client for Windows with Local Mode または Local Mode なしの View Client for Windows を完全インストー
ルします。
エンド ユーザーが View Portal を使用するには、Internet Explorer ブラウザを開き、View Connection Server インス
タンスの URL を入力します。View Portal には View Client for Windows を完全インストールするためのインストーラ
のダウンロード用リンクがあります。
View Agent
View Agent サービスは、View デスクトップのソースとして使用するすべての仮想マシン、物理システム、および
Terminal Service サーバにインストールします。このエージェントは View Client と通信して、接続の監視、仮想印刷、
ローカルに接続された USB デバイスへのアクセスなどの機能を提供します。
デスクトップ ソースが仮想マシンの場合は、最初に View Agent サービスをその仮想マシンにインストールした後、そ
の仮想マシンをリンク クローンのテンプレートまたは親として使用します。この仮想マシンからプールを作成すると、す
べての仮想デスクトップに View Agent が自動的にインストールされます。
このエージェントは、シングル サインオンのオプションを有効にしてインストールできます。シングル サインオンを有
効にすると、ユーザーは View Connection Server に接続したときだけログインを要求され、仮想デスクトップに接続し
たときには 2 回目のログインを要求されません。
View Administrator
この Web ベースのアプリケーションでは、View Connection Server の構成、View デスクトップの展開と管理、ユー
ザー認証の制御、およびエンド ユーザーの問題のトラブルシューティングを管理者が実行できます。
View Connection Server インスタンスをインストールすると、View Administrator アプリケーションもインストール
されます。このアプリケーションを使用すると、管理者は自分のローカル コンピュータにアプリケーションをインストー
ルすることなく、任意の場所から View Connection Server インスタンスを管理できます。
View Composer
このソフトウェア サービスは、仮想マシンを管理する vCenter Server インスタンスにインストールします。View
Composer はその後、指定された親仮想マシンからリンク クローンのプールを作成できます。この戦略を採用すると、
ストレージ コストが最大 90% 削減されます。
各リンク クローンは一意のホスト名および IP アドレスを持ち、独立したデスクトップのように動作しますが、リンク ク
ローンは基本イメージを親と共有するため、ストレージの必要量がはるかに少なくなります。
リンク クローン デスクトップ プールは基本イメージを共有しているため、親仮想マシンを更新するだけで、アップデー
トおよびパッチをすばやく展開できます。エンド ユーザーの設定、データ、およびアプリケーションは影響を受けませ
ん。View 4.5 からは、View デスクトップのリンク クローン テクノロジーを使用して、ローカル システムにリンク ク
ローンをダウンロードしてチェックアウトできるようになりました。
vCenter Server
このサービスは、ネットワークに接続されている VMware ESX サーバに対して中央からの管理者の役割を果たします。
vCenter Server（旧称 VMware VirtualCenter）は、データセンター内の仮想マシンを構成、プロビジョニング、および
管理するための中心点となります。
それらの仮想マシンを View デスクトップ プールのソースとして使用するだけでなく、仮想マシンを使用して、Connection
Server インスタンス、Active Directory サーバ、vCenter Server インスタンスなどの VMware View のサーバ コンポー
ネントをホストすることもできます。
12
VMware, Inc.
第 1 章 VMware View の概要
View Composer を vCenter Server と同じサーバにインストールして、リンク クローン デスクトップ プールを作成で
きます。その場合、物理サーバおよびストレージへの仮想マシンの割り当てと、仮想マシンへの CPU およびメモリ リソー
スの割り当てが vCenter Server によって管理されます。
vCenter Server は、Windows Server 2003 または 2008 サーバ（できれば VMware 仮想マシン上の）にインストール
します。
View Transfer Server
このソフトウェアは、エンド ユーザーのローカル システムで使用するためにチェックアウトされたデータ転送を、デー
タセンターと View デスクトップとの間で管理して効率化します。View Client with Local Mode（旧称 View Client
with Offline Desktop）を実行するデスクトップをサポートするには、View Transfer Server が必要です。
一部の操作では、View Transfer Server を使用して、vCenter Server の View デスクトップとクライアント システム上
の対応するローカル デスクトップとの間でデータを送信します。
n
ユーザーがデスクトップにチェックインまたはチェックアウトするとき、View Manager はこの操作を認証して管
理します。View Transfer Server はデータセンターとローカル デスクトップの間でファイルを転送します。
n
View Transfer Server は、ユーザーが生成した変更をデータセンターに複製して、ローカル デスクトップをデータ
センター内の対応するデスクトップと同期化します。
複製はローカル モード ポリシーに指定した間隔で実行されます。複製を View Administrator から開始することも
できます。ユーザーがローカル デスクトップから複製を開始できるようにするポリシーを設定できます。
n
View Transfer Server は、共通のシステム データをデータセンターからローカル クライアントに分散することによ
り、ローカル デスクトップを最新の状態に保ちます。View Transfer Server は View Composer 基本イメージをイ
メージ リポジトリからローカル デスクトップにダウンロードします。
n
ローカル コンピュータが破損または欠落している場合、View Transfer Server はローカル デスクトップをプロビ
ジョニングし、データとシステム イメージをローカル デスクトップにダウンロードしてユーザー データを回復しま
す。
VMware View の統合およびカスタマイズ
組織内での VMware View の効率を高めるために、いろいろなインターフェイスを使用して、VMware View を外部アプ
リケーションと統合したり、コマンド ラインからまたはバッチ モードで実行できる管理スクリプトを作成したりできます。
View とビジネス インテリジェンス ソフトウェアの統合
次のようなイベントを Microsoft SQL Server や Oracle データベースに記録するように、VMware View を構成できます。
n
ログインやデスクトップ セッションの開始などのエンド ユーザー アクション。
n
資格の追加やデスクトップ プールの作成などの管理者アクション。
n
システムの障害やエラーを報告するアラート。
n
24 時間のユーザー最大数を報告するなどの統計サンプリング。
Crystal Reports、IBM Cognos、MicroStrategy 9、および Oracle Enterprise Performance Management System
などのビジネス インテリジェンスのレポート エンジンを使用して、イベント データベースにアクセスして分析すること
もできます。
詳細については、『VMware View の統合』ドキュメントを参照してください。
View PowerCLI による管理スクリプトの作成
Windows PowerShell は、Microsoft Windows 向けに設計されたコマンド ラインによるスクリプト作成環境です。
PowerShell では .NET オブジェクト モデルが使用され、管理機能と自動化機能が管理者に提供されます。他のコンソー
ル環境と同じように PowerShell の作業でもコマンドを実行しますが、このコマンドを PowerShell では cmdlet（コマ
ンドレット）と呼びます。
VMware, Inc.
13
VMware View アーキテクチャの計画
View PowerCLI には使いやすい VMware View への PowerShell インターフェイスが提供されています。View PowerCLI
cmdlet を使用することにより、View コンポーネントで次のような様々な管理タスクを実行できます。
n
デスクトップ プールの作成と更新。
n
完全仮想マシンまたはリンク クローン プールへのデータ センター リソースの追加。
n
リンク クローン デスクトップでの再分散、更新、再構成操作の実行。
n
一定時間における特定のデスクトップまたはデスクトップ プールの使用状況のサンプリング。
n
イベント データベースのクエリ。
n
View サービスの状態のクエリ。
View PowerCLI cmdlet を、VMware vSphere 製品への管理インターフェイスを提供する vSphere PowerCLI cmdlet
と関連付けて使用することもできます。
詳細については、『VMware View の統合』ドキュメントを参照してください。
View での LDAP 構成データの変更
View Administrator を使用して VMware View の構成を変更すると、リポジトリ内の対応する LDAP データが更新され
ます。VMware View は構成情報を LDAP 互換のリポジトリに格納します。たとえば、デスクトップ プールが追加され
ると、VMware View はユーザー、ユーザー グループ、および資格に関する情報を LDAP に格納します。
VMware および Microsoft のコマンド ツールを使用して、VMware View との間で LDAP 構成データを LDAP データ
交換形式 (LDIF) ファイルでエクスポートおよびインポートできます。これらのコマンドは、構成データの更新に
View Administrator や View PowerCLI ではなくスクリプトを使用する上級管理者向けのコマンドです。
LDIF ファイルを使用して、いくつかのタスクを実行できます。
n
View Connection Server インスタンス間での構成データの転送。
n
デスクトップ プールなどの View オブジェクトを多数定義した後に、それらを View Administrator や View PowerCLI
を使用せずに View Connection Server インスタンスに追加。
n
View Connection Server インスタンスの状態を回復できるようにするための View 構成のバックアップ。
詳細については、『VMware View の統合』ドキュメントを参照してください。
SCOM による View コンポーネントの監視
Microsoft System Center Operations Manager (SCOM) を使用して、VMware View コンポーネントの状態とパフォー
マンスを監視できます。監視対象のコンポーネントには、View Connection Server インスタンス、セキュリティ サー
バ、およびそれらのホストで実行している View サービスが含まれます。
詳細については、『VMware View の統合』ドキュメントを参照してください。
vdmadmin コマンドによる View の管理
vdmadmin コマンド ライン インターフェイスを使用すると、View Connection Server インスタンスに対して各種の管
理タスクを行うことができます。View Administrator ユーザー インターフェイス内からは行えない管理タスクやスクリ
プトで自動的に実行する必要のある管理タスクを vdmadmin を使って行えます。
詳細については、『VMware View の管理』ドキュメントを参照してください。
14
VMware, Inc.
豊かなユーザー体験の計画
2
VMware View は、エンド ユーザーが期待する、なじみのあるパーソナライズされたデスクトップ環境を提供します。エ
ンド ユーザーは、各自のローカル コンピュータに接続された USB デバイスやその他のデバイスにアクセスしたり、ロー
カル コンピュータで検出できる任意のプリンタにドキュメントを送信したり、スマート カードで認証したり、複数のディ
スプレイ モニタを使用したりできます。
VMware View は、エンド ユーザーに提供されることが望ましい機能を多数備えています。使用する機能を決定する前
に、各機能の制限および制約を理解しておく必要があります。
この章では次のトピックについて説明します。
n
機能サポート マトリックス (P. 15)
n
表示プロトコルの選択 (P. 17)
n
View デスクトップをローカル モードで使用した場合の利点 (P. 18)
n
ローカル コンピュータに接続された USB デバイスへのアクセス (P. 20)
n
View デスクトップからの印刷 (P. 20)
n
View デスクトップへのマルチメディアのストリーミング (P. 21)
n
シングル サインオンを使用した View デスクトップへのログイン (P. 21)
n
View デスクトップでの複数モニタの使用 (P. 21)
機能サポート マトリックス
ローカル USB デバイスへのアクセス、仮想印刷、Wyse マルチメディア リダイレクト（MMR）
、PCoIP および Microsoft
RDP 表示プロトコルなどの機能の多くは、ほとんどの Windows クライアント OS でサポートされています。その機能
が View デスクトップのオペレーティング システムでサポートされているかどうかも、考慮に入れる必要があります。
エンド ユーザーに提供する表示プロトコルおよび機能を計画するときは、以下の表を使用して、その機能をサポートする
クライアント OS およびエージェント（View デスクトップ）の OS を判別してください。
Windows Vista のエディションには、Windows Vista Home、Enterprise、Ultimate、および Business が含まれま
す。Windows 7 のエディションには、Home、Professional、Enterprise、および Ultimate が含まれます。Windows
ターミナル サーバーのエディションは Standard Edition です。
VMware, Inc.
15
VMware View アーキテクチャの計画
表 2-1. View デスクトップのオペレーティング システムでサポートされる機能（View Agent がインストールされてい
る場合）
Windows Vista
SP1、SP2、32
Windows 7、32
ビットおよび 64
Windows
2003/2003 R2 ターミ
ナル サーバー SP2、32
機能
Windows XP
Home/Pro
SP3、32 ビット
ビット
ビット
ビット
Windows 2008
SP2/2008 R2 ターミナ
ル サーバー、64 ビット
USB アクセス
〇
〇
〇
RDP 表示プロトコ
〇
〇
〇
〇
〇
〇
〇
〇
〇
〇
Wyse MMR
〇
〇
仮想印刷
〇
〇
〇
スマート カード
〇
〇
〇
〇
〇
RSA SecurID
〇
〇
〇
適用外
適用外
シングル サインオ
ン
〇
〇
〇
〇
〇
複数モニタ
〇
〇
〇
ローカル モード
〇
〇
〇
ル
PCoIP 表示プロト
コル
HP RGS 表示プロ
トコル
RDP 7 を使用
表 2-2. Windows クライアントでサポートされる機能
Windows XP Home/Pro
SP3、32 ビット
Windows Vista SP1、SP2、32
Windows 7、32 ビットおよび 64
機能
ビット
ビット
USB アクセス
〇
〇
〇
RDP 表示プロトコル
〇
〇
〇
PCoIP 表示プロトコル
〇
〇
〇
HP RGS 表示プロトコル
〇
〇
Wyse MMR
〇
〇
仮想印刷
〇
〇
〇
スマート カード
〇
〇
〇
RSA SecurID
〇
〇
〇
シングル サインオン
〇
〇
〇
複数モニタ
〇
〇
〇
ローカル モード
〇
〇
〇
表 2-3. Mac クライアントでサポートされる機能
機能
Mac OS X（10.5、6）
Mac OS X（10.6）
〇
〇
USB アクセス
RDP 表示プロトコル
PCoIP 表示プロトコル
HP RGS 表示プロトコル
Wyse MMR
仮想印刷
16
VMware, Inc.
第 2 章 豊かなユーザー体験の計画
表 2-3. Mac クライアントでサポートされる機能 (続き)
Mac OS X（10.5、6）
Mac OS X（10.6）
RSA SecurID
〇
〇
シングル サインオン
〇
〇
機能
スマート カード
複数モニタ
ローカル モード
また、VMware のパートナー数社が、VMware View の展開用のシン クライアント デバイスを提供しています。各シン
クライアント デバイスで使用可能な機能は、ベンダおよびモデルと、企業が採用する構成によって決定されます。シン
クライアント デバイスのベンダおよびモデルの詳細については、弊社 Web サイトより入手可能な『シン クライアント互
換性ガイド』（英語版）を参照してください。
表示プロトコルの選択
表示プロトコルは、データセンターに存在する View デスクトップへのグラフィカル インターフェイスをエンド ユーザー
に提供します。Microsoft RDP（Remote Desktop Protocol）
、HP 物理マシン用の HP RGS、または PCoIP（PC-overIP）を使用できます。
使用するプロトコルを制御するポリシー、またはエンド ユーザーがデスクトップにログインしたときにプロトコルを選択
できるようにするポリシーを設定できます。
注意 ローカル クライアント システムでの使用のためにデスクトップをチェック アウトすると、RDP リモート表示プロ
トコルと PCoIP リモート表示プロトコルの両方とも使用されなくなります。
VMware View での PCoIP の使用
PCoIP は、VMware によって提供される高パフォーマンスな新しいリモート表示プロトコルです。このプロトコルは、
仮想マシン、Teradici クライアント、および Teradici 対応のホスト カードを備えた物理マシンをソースとする View デ
スクトップに使用できます。
PCoIP は、レイテンシーの増加または帯域幅の減少を補って、ネットワークの状態に関わらずユーザーの生産性を維持で
きるようにします。PCoIP は、LAN または WAN 上の様々なユーザーを対象とするイメージ、オーディオ、およびビデ
オ コンテンツの配信のために最適化されています。PCoIP は次の機能を備えています。
n
最大 4 つのモニタを使用し、各モニタの解像度を個別に調整できます。ディスプレイごとの解像度は最高 2560 ×
1600 です。
n
ローカル システムと View デスクトップの間でテキストのコピーと貼り付けを行うことはできますが、フォルダや
ファイルなどのシステム オブジェクトをシステム間でコピーして貼り付けることはできません。
n
PCoIP は 32 ビット カラーをサポートします。
n
PCoIP は 128 ビットの暗号化をサポートします。
n
PCoIP は Advanced Encryption Standard（AES）暗号化をサポートします。これはデフォルトで有効になってい
ます。
n
企業ファイアウォールの外側にいるユーザーについては、このプロトコルを社内の仮想プライベート ネットワーク
または View セキュリティ サーバとともに使用できます。
クライアントには次のようなハードウェア要件があります。
n
800MHz 以上のプロセッサ速度
n
SSE2 拡張命令に対応する x86 ベースのプロセッサ
VMware, Inc.
17
VMware View アーキテクチャの計画
Microsoft RDP
Remote Desktop Protocol は、多くのユーザーが自宅のコンピュータから職場のコンピュータにアクセスするためにす
でに使用しているものと同じプロトコルです。RDP は、リモート コンピュータ上のすべてのアプリケーション、ファイ
ル、およびネットワーク リソースへのアクセスを提供します。
Microsoft RDP は次の機能を備えています。
n
複数のモニタをスパン モードで使用できます。
n
ローカル システムと View デスクトップの間でテキストのコピーと貼り付けを行うことはできますが、フォルダや
ファイルなどのシステム オブジェクトをシステム間でコピーして貼り付けることはできません。
n
Adobe Flash コンテンツによって使用される帯域幅の量を構成して、Web ブラウズ体験全体を向上させ、他のアプ
リケーションの応答性を高めることができます。
n
RDP は 32 ビット カラーをサポートします。
n
RDP は 128 ビットの暗号化をサポートします。
n
このプロトコルを使用すると、企業 DMZ にある View セキュリティ サーバへの、暗号化された安全な接続を確立で
きます。
HP RGS プロトコル
RGS は HP の表示プロトコルであり、これを使用すると、ユーザーは標準ネットワーク上にあるリモートの物理コンピュー
タのデスクトップにアクセスできます。
HP Blade PC、HP Workstation、および HP Blade Workstation に接続するときに、表示プロトコルとして HP RGS を
使用できます。VMware ESX サーバ上で実行する仮想マシンへの接続はサポートしていません。
HP RGS は次の機能を備えています。
n
複数のモニタをスパン モードで使用できます。
n
Adobe Flash コンテンツによって使用される帯域幅の量を構成して、Web ブラウズ体験全体を向上させ、他のアプ
リケーションの応答性を高めることができます。
VMware では、HP RGS を VMware View にバンドルしていません。また、ライセンスも付与していません。VMware
View で使用するには、HP RGS バージョン 5.2.5 のライセンスを HP より取得してください。HP RGS コンポーネントを
インストールして構成する方法の詳細については、http://www.hp.com で入手可能な HP RGS のドキュメントを参照し
てください。
View デスクトップをローカル モードで使用した場合の利点
View Client with Local Mode を使用すると、ユーザーは、View デスクトップをチェックアウトし、ラップトップなど
のローカル システムにダウンロードできます。管理者は、バックアップ頻度やサーバへの接続頻度、USB デバイスへの
アクセス、およびデスクトップのチェック イン許可のポリシーを設定することで、これらのローカル View デスクトップ
を管理できます。
ネットワーク接続が貧弱なリモート オフィスでは、従業員はリモート デスクトップよりローカル View デスクトップの
方がアプリケーションを速く実行できます。また、ローカル版のデスクトップは、ネットワーク接続がある場合にもない
場合にも使用できます。
クライアント システムでネットワーク接続が行われている場合は、デスクトップをチェックアウトしても、View
Connection Server との通信は継続されてポリシーがアップデートされ、ローカルにキャッシュされた認証基準は最新
の状態に保たれます。デフォルトでは、5 分ごとに接続が試行されます。
View Client with Local Mode は、以前のリリースで View Client with Offline Desktop と呼ばれていた試験的な機能
を完全にサポートしたものです。
18
VMware, Inc.
第 2 章 豊かなユーザー体験の計画
ローカル モードの View デスクトップは、リモート デスクトップと同じように動作しますが、ローカル リソースを使用
できます。レイテンシーはなくなり、パフォーマンスは向上します。ユーザーは、自分のローカル View デスクトップを
切断し、View Connection Server に接続されていない状態で再ログインできます。ネットワーク アクセスが回復する
か、ユーザーの準備が整うと、チェックアウトした仮想マシンのバックアップ、ロール バック、またはチェック インを
実行できます。
ローカル リソースの使用
ローカル デスクトップをチェックアウトすると、そのローカル デスクトップは、ロー
カル システムのメモリと CPU 機能を使用できるようになります。たとえば、通常の場
合、vCenter Server で仮想マシン用に指定したメモリ設定に関係なく、ホスト OS と
ゲスト OS が必要とする以上の使用可能なメモリが、ホストとローカル View デスク
トップで二分して使用されるようになります。同じように、ローカル View デスクトッ
プは、ローカル システムで使用可能な最大 2 つの CPU を自動的に使用できます。ま
た、最大 4 つの CPU を使用するようにローカル デスクトップを構成できます。
ローカル デスクトップはローカル リソースを使用できますが、ESX 3.5 ホスト上で作
成された Windows 7 または Windows Vista の View デスクトップでは、3D を表示
したり、Windows Aero 効果を使用したりすることはできません。この制限は、
Windows 7 または Windows Vista のホストでローカル使用のためにデスクトップを
チェックアウトした場合にも適用されます。Windows Aero 効果と 3D 効果が使用で
きるのは、View デスクトップが vSphere 4.x を使用して作成されている場合のみです。
ローカル モードの必須化によ
るデータセンターのリソース
節約
View デスクトップをダウンロードしてローカル モードでのみ使用することを必須化す
ると、帯域幅、メモリ、CPU リソースに関連したデータセンターのコストを削減でき
ます。この戦略は、従業員や請負業者のための PC 持ち込み型（Bring-Your-OwnPC）プログラムと呼ばれることがあります。
チェックアウト
View デスクトップをチェックアウトすると、vCenter でスナップショットが取得さ
れ、仮想マシンの状態が保持されます。vCenter Server 版のデスクトップはロックさ
れ、他のどのユーザーもアクセスできなくなります。View デスクトップがロックされ
ると、オンライン デスクトップのパワーオン、スナップショットの取得、仮想マシン
設定の編集といった vCenter Server での操作が無効になります。ただし、View 管理
者は引き続き、ローカル セッションをモニタしたり、vCenter Server 版にアクセスし
てアクセスの解除やデスクトップのロールバックを実行したりすることができます。
バックアップ
バックアップを行うと、クライアント システム上でスナップショットが取得され、
チェックアウトされた仮想マシンの状態が保持されます。このスナップショットと
vCenter のスナップショットの間の差分が vCenter に複製され、vCenter のスナップ
ショットとマージされます。vCenter Server の View デスクトップはすべての新しい
データと構成でアップデートされますが、ローカル デスクトップはローカル システム
上でチェックアウトされたままとなり、vCenter Server でのロックも有効なままとな
ります。
ロールバック
ロールバックを行うと、ローカル View デスクトップは破棄され、vCenter Server で
のロックは解除されます。以降のクライアント接続は、デスクトップを再びチェックア
ウトするまで、vCenter Server の View デスクトップに対して行われます。
チェックイン
View デスクトップをチェックインすると、クライアント システム上でスナップショッ
トが取得され、仮想マシンの状態が保持されます。このスナップショットと vCenter
のスナップショットの間の差分が vCenter に複製され、vCenter のスナップショット
とマージされます。vCenter Server の仮想マシンのロックは解除されます。以降のク
ライアント接続は、デスクトップを再びチェックアウトするまで、vCenter Server
の View デスクトップに対して行われます。
VMware, Inc.
19
VMware View アーキテクチャの計画
各ローカル システムのデータは、AES で暗号化されています。128 ビット暗号がデフォルトですが、192 ビット暗号ま
たは 256 ビット暗号を構成できます。デスクトップには、ポリシーによって制御された有効期限があります。クライアン
トが View Connection Server への接続を失うと、サーバとの接続がない最大時間が、ユーザーがデスクトップを使用し
続けることのできる期間となり、その期間を超えるとユーザーはアクセスを拒否されます。同様に、ユーザーのアクセス
が削除されると、キャッシュの有効期限が切れるか、またはクライアントが View Connection Server を介してアクセス
削除を検出したときに、クライアント システムはアクセス不可能になります。
View Client with Local Mode には、次の制限および制約があります。
n
Local Mode コンポーネントを含む View ライセンスが必要です。
n
ロールバックまたはチェックインの実行中、エンド ユーザーはローカル デスクトップにアクセスできません。
n
この機能が使用できるのは、vCenter Server によって管理されている仮想マシンのみです。
n
VMware ThinApp で作成したアプリケーション パッケージの割り当ては、ローカル デスクトップではサポートさ
れていません。
n
セキュリティ上の理由により、View デスクトップ内からホストの CD-ROM にアクセスすることはできません。
n
また、セキュリティ上の理由により、ローカル システムと View デスクトップの間でテキストおよびシステム オブ
ジェクト（ファイルやフォルダなど）をコピーして貼り付けることはできません。
ローカル コンピュータに接続された USB デバイスへのアクセス
管理者は、サム フラッシュ ドライブ、VoIP（Voice over IP）デバイス、プリンタなどの USB デバイスを View デスク
トップから使用できるように構成できます。この機能を USB リダイレクトといいます。
この機能を使用すると、ローカル クライアント システムに接続されているほとんどの USB デバイスを View Client のメ
ニューから使用できるようになります。デバイスの接続と切断にはメニューを使用します。
メニューに表示されなくても View デスクトップで使用可能な USB デバイスとしては、スマート カード リーダと、キー
ボードやポインティング デバイスなどのヒューマン インターフェイス デバイスがあります。View デスクトップとロー
カル コンピュータは、これらのデバイスを同時に使用します。
この機能には次の制限があります。
n
View Client のメニューから USB デバイスにアクセスして、View デスクトップでそのデバイスを使用していると
き、ローカル コンピュータ上ではそのデバイスにアクセスできません。
n
USB リダイレクトは Windows 2000 システム、および Microsoft Terminal Server をソースとする View デスク
トップではサポートされません。
View デスクトップからの印刷
仮想印刷機能を使用すると、View デスクトップに追加のプリンタ ドライバをインストールする必要なく、Windows シ
ステム上で View Client を使用しているエンド ユーザーが View デスクトップからローカル プリンタまたはネットワー
ク プリンタを使用できます。この機能で使用可能なプリンタごとに、データ圧縮、印刷品質、両面印刷、カラーなどの環
境設定ができます。
ローカル Windows コンピュータ上でプリンタを追加すると、View デスクトップで使用可能なプリンタのリストにもそ
のプリンタが追加されます。何も構成する必要はありません。その場合でも、管理者権限のあるユーザーは、仮想印刷コ
ンポーネントとの競合をもたらすことなく View デスクトップにプリンタ ドライバをインストールできます。
印刷ジョブを USB プリンタに送信するには、USB リダイレクト機能または仮想印刷機能を使用できます。
また、View 4.5 以降に搭載されているロケーションベースの印刷機能を使用すると、IT 部門は、View デスクトップをエ
ンドポイントのクライアント デバイスに最も近いプリンタにマップできます。たとえば、病院の医師が次々と部屋を移動
している場合、その医師がドキュメントを印刷する度に、印刷ジョブはその医師が現在いる部屋に最も近いプリンタに送
信されます。
20
VMware, Inc.
第 2 章 豊かなユーザー体験の計画
View デスクトップへのマルチメディアのストリーミング
Wyse MMR（マルチメディア リダイレクト）を使用すると、View デスクトップにマルチメディア ファイルがストリー
ミングされたときに、完全に忠実な再生が可能になります。
MMR 機能は、ローカル デコーダがクライアントに存在しているはずであることから、クライアント システムがサポート
しているメディア ファイル形式をサポートします。ファイル形式は、MPEG2、WMV、AVI、WAV などです。
この機能には次の制限があります。
n
最高の品質を得るには、Windows Media Player 10 以降を使用し、ローカル コンピュータまたはクライアント ア
クセス デバイスと View デスクトップの両方にインストールします。
n
View デスクトップでのファイアウォールの例外に、Wyse MMR のポート（デフォルトで 9427）を追加する必要が
あります。
n
MMR は、Windows 7 のクライアントまたは仮想デスクトップではサポートされません。
MMR は Windows 7 の仮想デスクトップではサポートされませんが、Windows 7 デスクトップが 1GB の RAM
と 2 つの仮想 CPU を備えている場合は、PCoIP を使用すると、480p および 720p でフォーマットされたビデオを
ネイティブ解像度で再生できます。1080p の場合は、ウィンドウのサイズを全画面表示より小さくすることが必要
になる場合があります。
シングル サインオンを使用した View デスクトップへのログイン
シングル サインオン（SSO）機能を使用すると、エンド ユーザーがログインを 1 回だけ要求されるように View Manager
を構成できます。
シングル サインオン機能を使用しない場合、エンド ユーザーは 2 回ログインする必要があります。最初に View Connection
Server へのログインを要求され、次に View デスクトップへのログインを要求されます。スマート カードも使用する場
合、エンド ユーザーはスマート カード リーダに PIN を要求されたときにもログインが必要なため、3 回ログインする必
要があります。
SSO は、View Agent をデスクトップ ソースにインストールする際に選択できるオプション コンポーネントとして実装
されます。この機能には、Windows XP 用の Graphical Identification and Authentication（GINA）ダイナミック リ
ンク ライブラリと、Windows Vista 用の認証情報プロバイダ ダイナミック リンク ライブラリが含まれます。
View デスクトップでの複数モニタの使用
View デスクトップでは、表示プロトコルに関係なく、複数のモニタを使用できます。
VMware の表示プロトコルである PCoIP を使用する場合は、表示の解像度と回転をモニタごとに調整できます。PCoIP
では、スパン モード セッションではなく、実際に複数モニタ セッションが可能です。
スパン モードのリモート セッションは、実際にはシングル モニタ セッションです。モニタのサイズと解像度を同じにす
る必要があり、モニタのレイアウトが境界ボックスに収まる必要があります。アプリケーション ウィンドウを最大化する
と、ウィンドウがすべてのモニタにまたがって表示されます。
実際の複数モニタ セッションでは、モニタの解像度とサイズが異なってもよく、モニタを回転させることもできます。ア
プリケーション ウィンドウを最大化すると、ウィンドウはそれが表示されているモニタの画面いっぱいに広がるだけです。
この機能には次の制限があります。
n
View デスクトップの表示に使用できるモニタの最大数は、RDP 表示プロトコルを使用する場合は 10 台、PCoIP を
使用する場合は 4 台です。
n
Microsoft RDP 表示プロトコルを使用する場合は、Microsoft Remote Desktop Connection（RDC）6.0 以降を
View デスクトップにインストールする必要があります。
n
ローカル モードで View デスクトップを使用する場合、リモート表示プロトコルは使用されません。複数のモニタを
スパン モードで使用できます。
VMware, Inc.
21
VMware View アーキテクチャの計画
22
VMware, Inc.
中央からのデスクトップ プールの管理
3
デスクトップ プールを作成する場合、含まれる仮想デスクトップは 1 つでも 100 でもかまいません。デスクトップ ソー
スとしては、仮想マシン、物理マシン、および Windows Terminal Services サーバを使用できます。基本イメージとし
て 1 つの仮想マシンを作成すれば、VMware View はそのイメージから仮想デスクトップのプールを生成できます。
VMware ThinApp を使用して、アプリケーションをプールに簡単にインストールまたはストリーミングすることができ
ます。
この章では次のトピックについて説明します。
n
デスクトップ プールの利点 (P. 23)
n
ストレージ要件の低減と管理 (P. 24)
n
アプリケーション プロビジョニング (P. 25)
n
Active Directory GPO によるユーザーおよびデスクトップの管理 (P. 27)
デスクトップ プールの利点
VMware View は、その集中管理の基礎として、デスクトップのプールを作成し、プロビジョニングする機能を備えてい
ます。
仮想デスクトップ プールは、次のいずれかのソースから作成できます。
n
物理デスクトップ PC や Windows Terminal Services サーバなどの物理システム
n
ESX サーバ上でホストされ、vCenter Server によって管理される仮想マシン
n
VMware Server、または View Agent をサポートする他の何らかの仮想プラットフォームで実行される仮想マシン
vSphere 仮想マシンをデスクトップ ソースとして使用する場合は、同一の仮想デスクトップを必要な数だけ作成するプ
ロセスを自動化できます。プールに作成される仮想デスクトップの最小数と最大数を設定できます。これらのパラメータ
を設定すると、すぐに使用できる View デスクトップの数を常に十分確保できますが、使用可能なリソースを過剰に使用
するほどの数は作成されません。
プールを使用してデスクトップを管理すると、プール内のすべての仮想デスクトップに設定を適用したり、アプリケーショ
ンを展開したりすることができます。次の例は、使用可能な設定の一部を示しています。
n
View デスクトップのデフォルトとして使用するリモート表示プロトコルと、ユーザーにデフォルトのオーバーライ
ドを許可するかどうかの指定。
n
Adobe Flash アニメーションの表示品質と帯域幅スロットルの構成。
n
仮想マシンを使用する場合、仮想マシンが使用されていないときに仮想マシンをパワーオフするか、完全に削除する
かの指定。
VMware, Inc.
23
VMware View アーキテクチャの計画
n
vSphere 4.1 を使用する場合、Microsoft Sysprep カスタマイズ仕様を使用するか、VMware の QuickPrep を使
用するかの指定。Sysprep はプール内の各仮想マシンに一意の SID および GUID を生成します。
n
View デスクトップをダウンロードできるか、ダウンロードして、ローカル クライアント システムで実行する必要が
あるかどうかの指定。
また、デスクトップ プールの使用には多くの利点があります。
専用割り当てプール
各ユーザーが特定の View デスクトップに割り当てられ、ログインするたびに同じ仮想
マシンに戻ります。ユーザーは各自のデスクトップをパーソナライズしたり、アプリ
ケーションをインストールしたり、データを格納したりできます。
フローティング割り当てプー
ル
オプションで、仮想デスクトップが使用後に毎回削除および再作成されるため、高度な
制御の可能な環境が提供されます。フローティング割り当てデスクトップは、各デスク
トップに必要なアプリケーションがロードされ、すべてのデスクトップが必要なデータ
にアクセスできるコンピュータ室またはキオスク環境に似ています。
フローティング割り当てプールを使用すると、異なるシフトのユーザーが使用できるデ
スクトップのプールも作成できます。たとえば、ユーザーが一度に 100 人のシフトで
勤務している場合、100 のデスクトップのプールを 300 人のユーザーが使用できます。
ストレージ要件の低減と管理
vCenter Server によって管理される仮想デスクトップを使用すると、以前には仮想化されたサーバのみで利用できたス
トレージの効率性をすべて実現できます。View Composer を使用すると、プール内のすべてのデスクトップが仮想ディ
スクを基本イメージと共有するため、ストレージの節減が促進されます。
n
vSphere によるストレージの管理 (P. 24)
VMware vSphere を使用すると、ディスク ボリュームおよびファイル システムを仮想化できるため、データの物
理的な格納場所を考慮に入れる必要なく、ストレージを管理および構成できます。
n
View Composer によるストレージ要件の低減 (P. 25)
View Composer を使用すると、仮想ディスクを基本イメージと共有するデスクトップ イメージが作成されるた
め、必要なストレージ容量を 50 ～ 90% 削減できます。
vSphere によるストレージの管理
VMware vSphere を使用すると、ディスク ボリュームおよびファイル システムを仮想化できるため、データの物理的な
格納場所を考慮に入れる必要なく、ストレージを管理および構成できます。
ファイバ チャネル SAN アレイ、iSCSI SAN アレイ、および NAS アレイは広く使用されているストレージ テクノロジで
あり、データセンターのストレージのさまざまなニーズを満たすために VMware vSphere によってサポートされていま
す。これらのストレージ アレイは、ストレージ エリア ネットワークを介してサーバのグループに接続され、サーバのグ
ループ間で共有されます。このような配置によってストレージ リソースを集約でき、仮想マシンに対してストレージ リ
ソースをより柔軟にプロビジョニングできます。
View 4.5 以降と vSphere 4.1 以降では、次の機能も使用できるようになりました。
n
vStorage シン プロビジョニング。ディスク領域を必要最小限で始め、後にディスクを増やして領域を追加できます
階層化ストレージ。
n
View 環境内で仮想ディスクを高パフォーマンスなストレージの階層と低コストなストレージの階層とに分散させ、
パフォーマンスと費用節約を最大限実現します
n
24
ESX サーバ上のローカル ストレージ。ゲスト オペレーティング システムの仮想マシンで使用するスワップ ファイル
を格納するために配置します
VMware, Inc.
第 3 章 中央からのデスクトップ プールの管理
View Composer によるストレージ要件の低減
View Composer を使用すると、仮想ディスクを基本イメージと共有するデスクトップ イメージが作成されるため、必要
なストレージ容量を 50 ～ 90% 削減できます。
View Composer では、基本イメージ、つまり親仮想マシンが使用され、最大 512 のリンク クローン仮想マシンのプー
ルが作成されます。各リンク クローンは一意のホスト名および IP アドレスを持ち、独立したデスクトップのように動作
しますが、リンク クローンの方がストレージの必要量がはるかに少なくなります。
リンク クローン デスクトップ プールを作成すると、最初に親仮想マシンから完全なクローンが作成されます。完全クロー
ン、つまりレプリカと、それにリンクされたクローンは、同じデータ ストア、つまり LUN（Logical Unit Number）に
配置できます。必要に応じて、再分配機能を使用してレプリカとリンク クローンを 1 つの LUN から別の LUN に移動で
きます。
あるいは、View Composer レプリカとリンク クローンをパフォーマンス特性の異なる別々のデータストアに配置するこ
ともできます。たとえば、レプリカの仮想マシンは半導体ディスク ドライブ (SSD) に格納するようにします。半導体ディ
スク ドライブはストレージ容量は低いものの 1 秒あたりの I/O 動作回数 (IOPS) で数万回をサポートするほどに高い読み
取りパフォーマンスを備えています。リンク クローンは従来の回転式メディアのデータストアに格納することができま
す。このディスクはパフォーマンスは低いですが、価格が安くて格納容量が大きいので、大規模なプールに多数のリンク
クローンを格納する場合に適しています。ストレージ構成を階層化すると、多数の仮想マシンを同時にリブートしたり、
アンチウィルス スキャンをスケジュールして実行したりする場合のように多大の I/O が発生するシナリオを費用対効果の
高い方法で処理できます。
リンク クローン プールを作成する場合、ユーザー セッション中に生成されるゲスト オペレーティング システムのページ
ングや一時ファイルを格納するために一時利用する仮想ディスクを別個に構成しておくこともできます。仮想マシンがパ
ワーオフになると、View Manager は一時利用のディスクを削除します。一時利用のディスクを使用することにより、リ
ンク クローンの増加を抑えてストレージ領域を節約でき、またパワーオフ後も仮想マシンによって使用されていた領域を
削減できます。
専用割り当てデスクトップ プールを作成する場合、View Composer によって各仮想デスクトップ用に別個の通常仮想
ディスクが作成されるようにすることもできます。その通常ディスクにエンド ユーザーの Windows プロファイルおよび
アプリケーション データが保存されます。リンク クローンが更新、再構成、または再分散されても、通常仮想ディスク
の内容は保たれます。View Composer の通常ディスクは別のデータストアに保持することをお勧めします。その場合、
通常ディスクを保持している LUN 全体をバックアップできます。
詳細については、ベスト プラクティス ガイドである『Storage Considerations for VMware View』を参照してください。
アプリケーション プロビジョニング
VMware View では、アプリケーション プロビジョニングに関するいくつかのオプションがあります。従来のアプリケー
ション プロビジョンのテクニックを使用したり、VMware ThinApp で作成されたアプリケーション パッケージを配布し
たり、アプリケーションを View Composer の基本イメージの一部として展開したりできます。
n
View Composer によるアプリケーション アップデートおよびシステム アップデートの展開 (P. 26)
リンク クローン デスクトップ プールは基本イメージを共有しているため、親仮想マシンの更新により、アップデー
トおよびパッチをすばやく展開できます。
n
View Administrator での VMware ThinApp アプリケーションの管理 (P. 26)
VMware ThinApp™ では、仮想化されたアプリケーション サンドボックスで実行される 1 つのファイルにアプリ
ケーションをパッケージ化できます。この戦略を採用すると、柔軟で競合の発生しないアプリケーション プロビ
ジョニングが可能になります。
n
アプリケーション プロビジョニングでの既存のプロセスの使用 (P. 27)
VMware View では、企業で現在使用しているアプリケーション プロビジョニングのテクニックをそのまま使い続
けることができます。ただし、サーバの CPU 使用率およびストレージ I/O の管理と、ユーザーにアプリケーショ
ンのインストールを許可するかどうかの決定という 2 つの考慮事項が加わります。
VMware, Inc.
25
VMware View アーキテクチャの計画
View Composer によるアプリケーション アップデートおよびシステム アップデートの展開
リンク クローン デスクトップ プールは基本イメージを共有しているため、親仮想マシンの更新により、アップデートお
よびパッチをすばやく展開できます。
再構成機能を使用すると、親仮想マシンを変更し、新しい状態のスナップショットを作成して、イメージの新しいバージョ
ンをすべてのユーザーおよびデスクトップまたはそのサブセットにプッシュすることができます。この機能は次のタスク
に使用できます。
n
オペレーティング システムとソフトウェアのパッチおよびアップデートの適用
n
サービス パックの適用
n
アプリケーションの追加
n
仮想デバイスの追加
n
使用可能メモリなど、その他の仮想マシン設定の変更
ユーザー設定やその他のユーザー生成データを格納する View Composer 通常ディスクを作成できます。この通常ディス
クは再構成操作による影響を受けません。リンク クローンの削除時に、ユーザー データを保持できます。従業員が退職
する際に、別の従業員が離職する従業員のユーザー データにアクセスできます。複数のデスクトップを使用しているユー
ザーは、1 つのデスクトップにユーザー データを統合できます。
ソフトウェアの追加・削除、または設定の変更をユーザーに許可しない場合は、更新機能を使用してデスクトップをデフォ
ルト値に戻すことができます。この機能によって、時間の経過とともに大きくなる傾向のあるリンク クローンのサイズも
削減できます。
View Administrator での VMware ThinApp アプリケーションの管理
VMware ThinApp™ では、仮想化されたアプリケーション サンドボックスで実行される 1 つのファイルにアプリケー
ションをパッケージ化できます。この戦略を採用すると、柔軟で競合の発生しないアプリケーション プロビジョニングが
可能になります。
ThinApp はアプリケーションを基盤となるオペレーティング システムおよびそのライブラリとフレームワークから切り
離し、アプリケーション パッケージという 1 つの実行ファイルにバンドルすることにより、アプリケーションの仮想化を
実現します。View 4.5 以降、View Administrator を使用して ThinApp アプリケーションをデスクトップとプールに展
開できるようになりました。
ThinApp で仮想化されたアプリケーションを作成してから、アプリケーションを共有ファイル サーバからストリーミン
グするかまたは仮想デスクトップにアプリケーションをインストールするかを選択できます。仮想化されたアプリケーショ
ンをストリーミング用に構成する場合は、アーキテクチャに関する次の考慮事項に対処する必要があります。
n
アプリケーション パッケージが格納されている特定のアプリケーション リポジトリに対する特定のユーザー グルー
プのアクセス
n
アプリケーション リポジトリのストレージ構成
n
ストリーミングによって生成されるネットワーク トラフィック（アプリケーションのタイプに大きく左右される）
アプリケーションをストリーミングする場合、ユーザーはアプリケーションをデスクトップ ショートカットを使用して起
動できます。
仮想デスクトップにインストールされるように ThinApp パッケージ ファイルを割り当てる場合も、アーキテクチャに関
して、従来の MSI ベースのソフトウェア プロビジョニングを使用する場合と類似の考慮事項があります。アプリケーショ
ンをストリーミングするにしても、仮想デスクトップに ThinApp パッケージをインストールするにしても、どちらの場
合でもアプリケーション リポジトリのストレージ構成について考慮する必要があります。
注意 VMware ThinApp で作成されたアプリケーション パッケージの割り当ては、ローカル モードでダウンロードおよ
び使用されている View デスクトップではサポートされていません。
26
VMware, Inc.
第 3 章 中央からのデスクトップ プールの管理
アプリケーション プロビジョニングでの既存のプロセスの使用
VMware View では、企業で現在使用しているアプリケーション プロビジョニングのテクニックをそのまま使い続けるこ
とができます。ただし、サーバの CPU 使用率およびストレージ I/O の管理と、ユーザーにアプリケーションのインストー
ルを許可するかどうかの決定という 2 つの考慮事項が加わります。
アプリケーションをほぼ同時刻に多数の仮想デスクトップにプッシュすると、CPU 使用率とストレージ I/O が大きく急上
昇することがあります。このピーク ワークロードは、デスクトップのパフォーマンスに顕著な影響を及ぼす場合がありま
す。ベスト プラクティスとしては、アプリケーションの更新がピーク時以外に実行されるようにスケジュールし、可能で
あれば各デスクトップの更新時刻をずらします。また、ストレージ ソリューションがそのようなワークロードをサポート
できるように設計されていることを確認する必要があります。
会社がユーザーにアプリケーションのインストールを許可している場合は、現在のポリシーを継続できますが、デスクトッ
プの更新や再構成などの View Composer の機能は活用できません。View Composer では、アプリケーションが仮想
化されていないか、あるいはユーザーのプロファイルまたはデータ設定に含まれている場合、そのアプリケーションは
View Composer の更新、再構成、または再分散操作が実行されるたびに破棄されます。多くの場合、インストールされ
るアプリケーションをこのように厳格に制御できることは、利点となります。View Composer デスクトップは既知の優
れた構成とほぼ同じに保たれるため、サポートが容易です。
ユーザーが独自のアプリケーションをインストールし、仮想デスクトップの有効期限までそれらのアプリケーションを存
続させる確固とした必要がユーザー側にある場合は、アプリケーション プロビジョニングに View Composer を使用す
る代わりに、完全な通常のデスクトップを作成して、ユーザーにアプリケーションのインストールを許可することができ
ます。
Active Directory GPO によるユーザーおよびデスクトップの管理
VMware View には、View コンポーネントと View デスクトップの管理および構成を集中化するためのグループ ポリシー
管理（ADM）テンプレートが多数含まれています。
これらのテンプレートを Active Directory ディレクトリにインポートしてから、それを使用して次のグループおよびコ
ンポーネントに適用されるポリシーを設定できます。
n
ログインするユーザーに関係なく、すべてのシステム
n
ユーザーがどのシステムにログインするかに関係なく、すべてのユーザー
n
View Connection Server の構成
n
View Client の構成
n
View Agent の構成
GPO を適用すると、プロパティは指定されたコンポーネントのローカル Windows レジストリに格納されます。
GPO を使用して、View Administrator ユーザー インターフェイス (UI) で選択可能なすべてのポリシーを設定できます。
GPO を使用すると、UI で選択できないポリシーを設定することもできます。ADM テンプレートによって使用できる設
定の詳細なリストおよび説明については、『VMware View の管理』ドキュメントを参照してください。
VMware, Inc.
27
VMware View アーキテクチャの計画
28
VMware, Inc.
アーキテクチャ設計の要素と計画のガイド
ライン
4
一般的な VMware View アーキテクチャの設計では、ビルディング ブロック戦略を採用してスケーラビリティを実現し
ます。各ビルディング ブロック定義は、ハードウェア構成、使用されている View および vSphere ソフトウェアのバー
ジョン、その他の環境固有の設計要因によって異なることがあります。
この章では、vSphere 4.1 を使用して最大 2,000 の仮想デスクトップをサポートするコンポーネントで構成された、検証
済みのビルディング ブロックの例について説明します。展開全体では、合計 10,000 の仮想デスクトップに相当するこれ
らのビルディング ブロックの 5 つを、「ポッド」と呼ばれるものに統合します。
このアーキテクチャは、企業環境および特殊な要件に適合できる標準的でスケーラブルな設計を備えています。この章で
は、VMware View ソリューションの展開に含まれる要素を IT アーキテクトや計画担当者が実務的に理解できるように、
メモリ、CPU、ストレージ容量、ネットワーク コンポーネント、およびハードウェアの要件について詳しく説明します。
この章では次のトピックについて説明します。
n
仮想マシンの要件 (P. 29)
n
VMware View ESX ノード (P. 34)
n
特定のタイプの就業者用のデスクトップ プール (P. 35)
n
デスクトップ仮想マシンの構成 (P. 38)
n
vCenter および View Composer の仮想マシン構成とデスクトップ プールの最大サイズ (P. 40)
n
View Connection Server の最大接続数と仮想マシン構成 (P. 40)
n
View Transfer Server の仮想マシン構成とストレージ (P. 41)
n
vSphere クラスタ (P. 42)
n
VMware View ビルディング ブロック (P. 43)
n
VMware View ポッド (P. 46)
仮想マシンの要件
View デスクトップの仕様を計画する場合、RAM、CPU、およびディスク領域に関して行う選択は、サーバとストレー
ジ ハードウェアの選択と費用に大きく影響します。
n
就業者のタイプに基づく計画 (P. 30)
RAM、CPU、ストレージのサイズ設定など、構成の多くの要素は、仮想デスクトップを使用する就業者のタイプ
と、インストールする必要があるアプリケーションによって要件が大きく変動します。
n
仮想デスクトップのメモリ要件の見積もり (P. 31)
サーバには PC よりも多くの RAM コストがかかります。RAM のコストは、サーバ ハードウェアの総コストや、
必要な合計ストレージ容量の大きな部分を占めるため、デスクトップの展開を計画する際には適切なメモリ割り当
てを特定することがきわめて重要です。
VMware, Inc.
29
VMware View アーキテクチャの計画
n
仮想デスクトップの CPU 要件の見積もり (P. 33)
CPU の見積もりを行う場合は、社内の各種就業者の平均 CPU 使用率に関する情報を収集する必要があります。ま
た、仮想化のオーバヘッドとピーク使用期間のために、10 ～ 25% の追加処理能力を計算する必要があります。
n
適切なシステム ディスク サイズの選択 (P. 33)
ディスク領域を割り当てるときは、オペレーティング システム、アプリケーション、およびユーザーがインストー
ルまたは生成する可能性のあるその他のコンテンツを格納できるだけの領域を割り当てます。通常この容量は、物
理 PC に搭載されているディスクのサイズを下回ります。
就業者のタイプに基づく計画
RAM、CPU、ストレージのサイズ設定など、構成の多くの要素は、仮想デスクトップを使用する就業者のタイプと、イン
ストールする必要があるアプリケーションによって要件が大きく変動します。
アーキテクチャの計画では、就業者をいくつかのタイプに分類できます。
タスク ワーカー
タスク ワーカーおよび事務職就業者は、一連の少数のアプリケーションで反復的な作
業を行い、通常は据え置き型のコンピュータを使用します。通常それらのアプリケー
ションは、ナレッジ ワーカーが使用するアプリケーションのように CPU 集約型でもメ
モリ集約型でもありません。特定のシフトに就業するタスク ワーカーは、各自の仮想
デスクトップに同時にログインする可能性があります。タスク ワーカーには、コール
センターのアナリスト、小売店の従業員、倉庫作業員などが含まれます。
30
ナレッジ ワーカー
ナレッジ ワーカーの日常業務では、インターネットへのアクセス、電子メールの使用
や、複雑なドキュメント、プレゼンテーション、およびスプレッドシートの作成などを
行います。ナレッジ ワーカーには、会計士、セールス マネージャー、マーケティン
グ リサーチ アナリストなどが含まれます。
パワー ユーザー
パワー ユーザーには、アプリケーション開発者や、グラフィックス集約型アプリケー
ションのユーザーが含まれます。
ローカル モードのみでデスク
トップを使用する従業員
これらのユーザーはローカル システムでのみ View デスクトップをダウンロードして
実行するため、帯域幅、メモリ、CPU リソースに関連するデータセンターのコストが
削減されます。複製をスケジュール設定すると、システムとデータを確実にバックアッ
プできます。管理者は、ロック アウトされるのを防ぐためにエンド ユーザーのシステ
ムが View Manager へのアクセスを必要とする回数を設定します。
キオスク ユーザー
これらのユーザーは、公共の場所に置かれているデスクトップを共有する必要がありま
す。キオスク ユーザーの例としては、教室で共有コンピュータを使用する学生、ナー
ス ステーションで勤務する看護師、就職の斡旋や求人活動に使用されるコンピュータ
などがあります。これらのデスクトップでは、自動ログインが必要になります。認証
は、必要に応じて特定のアプリケーションで行うことができます。
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
仮想デスクトップのメモリ要件の見積もり
サーバには PC よりも多くの RAM コストがかかります。RAM のコストは、サーバ ハードウェアの総コストや、必要な
合計ストレージ容量の大きな部分を占めるため、デスクトップの展開を計画する際には適切なメモリ割り当てを特定する
ことがきわめて重要です。
RAM の割り当てが少なすぎると、発生するメモリ スワップが多すぎるため、ストレージ I/O に悪影響を及ぼすことがあ
ります。RAM の割り当てが多すぎると、ゲスト オペレーティング システムのページング ファイルと各仮想デスクトップ
のスワップ ファイルおよびサスペンド ファイルが大きくなりすぎるため、ストレージ容量に悪影響を及ぼすことがあり
ます。
注意 このトピックでは、View デスクトップへのリモート アクセスのためのメモリ割り当てに関連した問題を扱います。
ユーザーがクライアント システム上で View デスクトップをローカル モードで実行した場合、使用されるメモリの量は、
そのクライアント デバイス上で使用可能なメモリのある程度の割合を占めます。
クライアント コンピュータ上でホスト オペレーティング システムを実行するために十分なメモリに、View デスクトッ
プのオペレーティング システムと、クライアント コンピュータおよび View デスクトップ上のアプリケーションに必要
なメモリを加えたメモリ容量が必要です。Windows XP および Windows Vista の場合は 2GB 以上、Windows 7 の場
合は 3GB 以上のメモリを用意することをお勧めします。
ローカル クライアント システムで対応できるよりも多くの必要メモリ容量が vCenter Server で構成されているデスク
トップをチェックアウトしようとしても、Windows のレジストリ設定を変更しない限りチェックアウトできません。手
順については、『VMware View の管理』ドキュメントを参照してください。
パフォーマンスに対する RAM サイズ設定の影響
RAM を割り当てるときは、低すぎる設定を選択するのは避けてください。次の点を考慮します。
n
RAM の割り当てが不十分な場合、ゲストのスワップが過剰に発生することがあり、そのためにパフォーマンスの大
幅な低下とストレージ I/O 負荷の増加を招く I/O が生成されるおそれがあります。
n
VMware ESX は、透過的なメモリ共有やメモリのバルーニングなどの高度なメモリ リソース管理アルゴリズムをサ
ポートしています。そのため、ゲストへの特定の RAM 割り当てをサポートするために必要な物理 RAM がこれに
よって大きく減少する可能性があります。たとえば、仮想デスクトップに 2 GB が割り当てられたとしても、物理
RAM での使用量はそのごく一部となります。
n
仮想デスクトップのパフォーマンスは応答時間に大きく左右されるため、ESX サーバ上では RAM の予約設定を 0 以
外の値に設定してください。いくらかの RAM を予約した場合、アイドルでも使用中のデスクトップが完全にディス
クにスワップ アウトされることはありません。また、ESX スワップ ファイルによって使用されるストレージ容量も
削減されます。ただし、予約の設定を高くすると、ESX サーバ上でメモリをオーバーコミットできるかどうかに影響
し、VMotion の保守操作にも影響する場合があります。
ストレージに対する RAM サイズ設定の影響
仮想マシンに割り当てる RAM 容量は、仮想マシンで使用される特定のファイルのサイズに直接関連します。次のリスト
内のファイルにアクセスするには、Windows ゲスト オペレーティング システムを使用して Windows のページ ファイ
ルとハイバネーション ファイルを見つけ、さらに ESX サーバのファイル システムを使用して ESX のスワップ ファイル
とサスペンド ファイルを見つけます。
Windows のページ ファイル
デフォルトでは、このファイルのサイズはゲスト RAM の 150% に設定されます。デ
フォルトでは C:¥.sys にあるこのファイルは頻繁にアクセスされるため、シン プロ
ビジョニングされたストレージのサイズが大きくなる原因になります。リンク クロー
ン仮想マシンでは、ページ ファイルと一時ファイルを、仮想マシンがパワーオフされ
ると削除される個別の仮想ディスクにリダイレクトすることができます。破棄可能な
VMware, Inc.
31
VMware View アーキテクチャの計画
ページ ファイルをリダイレクトするとストレージが節約されるため、リンク クローン
の増大を抑えるだけでなく、パフォーマンスも向上します。このサイズは Windows
内から調整できますが、これを調整するとアプリケーションのパフォーマンスに悪影響
を及ぼすことがあります。
ラップトップ用の Windows
ハイバネーション ファイル
このファイルはゲスト RAM の 100% に相当する場合があります。このファイルは
View Client with Local Mode を使用する場合でも View の展開には不要なため、削
除しても安全です。
ESX スワップ ファイル
.vswp 拡張子の付いたこのファイルは、予約した仮想マシンの RAM が 100% 未満の
場合に作成されます。スワップ ファイルのサイズは、ゲスト RAM の予約されていな
い部分に等しくなります。たとえば、ゲスト RAM の 50% を予約していて、ゲスト
RAM が 2GB の場合、ESX スワップ ファイルは 1GB です。このファイルは、ESX ホ
ストまたはクラスタ上のローカル データストアに格納できます。
ESX サスペンド ファイル
.vmss 拡張子の付いたこのファイルは、エンド ユーザーがログオフしたときに仮想デ
スクトップがサスペンドされるようにデスクトップ プールのログオフ ポリシーを設定
した場合に作成されます。このファイルのサイズは、ゲスト RAM のサイズに等しくな
ります。
PCoIP 使用時における特定のモニタ構成での RAM サイズ設定
VMware の表示プロトコルである PCoIP を使用する場合、ESX ホストに必要な追加の RAM の量は、エンド ユーザー用
に構成されたモニタの数とディスプレイ解像度に一部依存します。 表 4-1 は、各種の構成に必要なオーバーヘッド RAM
の量を示しています。各列に示したメモリ容量は、他の PCoIP 機能に必要なメモリ容量に加算されるものです。
表 4-1. PCoIP クライアント ディスプレイのオーバーヘッド
ディスプレイ解像度の
標準
幅（ピクセル単位）
高さ（ピクセル単
位）
モニタ 1 台でのオー
バーヘッド
モニタ 2 台でのオー
バーヘッド
モニタ 4 台でのオー
バーヘッド
VGA
640
480
2.34MB
4.69MB
9.38MB
SVGA
800
600
3.66MB
7.32MB
14.65MB
720p
1280
720
7.03MB
14.65MB
28.13MB
UXGA
1600
1200
14.65MB
29.30MB
58.59MB
1080p
1920
1080
15.82MB
31.64MB
63.28MB
WUXGA
1920
1200
17.58MB
35.16MB
70.31MB
QXGA
2048
1536
24.00MB
48.00MB
96.00MB
WQXGA
2560
1600
31.25MB
62.50MB
125.00MB
これらの要件を考慮する場合は、割り当てられた RAM の仮想マシン構成が変更されないことに注意してください。つま
り、アプリケーションに 1GB の RAM を割り当て、デュアル 1080p モニタにさらに 31MB を割り当てる必要はありま
せん。代わりに、各 ESX サーバに必要な物理 RAM の合計を計算するときにオーバーヘッド RAM を考慮してください。
オーバーヘッド RAM にゲスト オペレーティング システムの RAM を追加し、仮想マシンの数を掛けます。
特定のワークロードおよびオペレーティング システムでの RAM サイズ設定
必要な RAM 容量は就業者のタイプによって大きく異なるため、多くの企業では社内就業者のさまざまなプールに適した
設定を特定するためにパイロット段階を設けています。
出発点として適切なのは、Windows XP デスクトップと 32 ビットの Windows Vista および Windows 7 デスクトップ
に 1GB、64 ビットの Windows 7 デスクトップに 2GB を割り当てることです。パイロット運用中は、各種の就業者に使
用されるディスク領域のパフォーマンスを監視し、就業者のプールごとに最適な設定がみつかるまで調整を行います。
32
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
仮想デスクトップの CPU 要件の見積もり
CPU の見積もりを行う場合は、社内の各種就業者の平均 CPU 使用率に関する情報を収集する必要があります。また、仮
想化のオーバヘッドとピーク使用期間のために、10 ～ 25% の追加処理能力を計算する必要があります。
注意 このトピックでは、リモートで View デスクトップにアクセスする場合の CPU 要件に関連した問題を扱います。
ユーザーがクライアント システム上で View デスクトップをローカル モードで実行した場合、View デスクトップは、そ
のクライアント デバイス上で使用可能な CPU（最大 2 個の CPU）を使用します。
CPU 要件は、就業者のタイプによって異なります。パイロット段階で、仮想マシンの Perfmon や ESX の esxtop、
vCenter パフォーマンス監視ツールなどのパフォーマンス監視ツールを使用して、これらの就業者グループの平均とピー
クの両方の CPU 使用率レベルを把握してください。また、次のガイドラインも使用してください。
n
ソフトウェア開発者や、高パフォーマンスを必要とするその他のパワー ユーザーの CPU 要件は、ナレッジ ワーカー
やタスク ワーカーよりもはるかに高くなる場合があります。計算集約型のタスクや、PCoIP 表示プロトコルを使用
して 720p ビデオを再生する必要のある Windows 7 デスクトップには、デュアル仮想 CPU をお勧めします。
n
シングル仮想 CPU は一般に、その他の場合に推奨されます。
多数の仮想マシンが 1 台のサーバ上で実行されるため、ウィルス対策エージェントなどのすべてのエージェントがまった
く同じ時刻にアップデートの有無をチェックすると、CPU 使用率が急上昇するおそれがあります。パフォーマンスの問題
を引き起こす可能性のあるエージェントの種類と数を特定し、それらの問題に対処するための戦略を採用します。たとえ
ば、企業では次の戦略が有効な場合があります。
n
ソフトウェア管理エージェントを使用して個別のデスクトップごとにソフトウェア アップデートをダウンロードす
るのではなく、View Composer を使用してイメージを更新する。
n
ウィルス対策とソフトウェアの更新が、ログインしているユーザーが少ない可能性が高いオフピークの時間に実行さ
れるようにスケジュールする。
n
更新の実行時刻をずらすか、ランダム化する。
まず非公式な最初のサイズ設定のアプローチとして、各仮想マシンには、保証された最小の計算能力として CPU コアの
1/8 ～ 1/10 が必要であると見なしてください。つまり、コアあたり 8 ～ 10 台の仮想マシンを使用するパイロットを計
画します。たとえば、コアあたり 8 台の仮想マシンを想定したときに、2 ソケットの 8 コア ESX サーバがある場合は、
パイロット運用中にそのサーバ上で 128 台の仮想マシンをホストできます。この期間中にホスト上の全体的な CPU 使用
率を監視し、使用率の急上昇に対する十分な余裕を確保するための安全マージン（たとえば、80 %）をほとんど超えるこ
とがないようにしてください。
適切なシステム ディスク サイズの選択
ディスク領域を割り当てるときは、オペレーティング システム、アプリケーション、およびユーザーがインストールまた
は生成する可能性のあるその他のコンテンツを格納できるだけの領域を割り当てます。通常この容量は、物理 PC に搭載
されているディスクのサイズを下回ります。
データセンターのディスク領域は通常、従来の PC 展開でのデスクトップまたはラップトップのディスク領域よりもギガ
バイトあたりのコストが高いため、オペレーティング システムのイメージ サイズを最適化してください。イメージ サイ
ズを最適化するために、次の提案が有効な場合があります。
n
不要なファイルを削除します。たとえば、一時インターネット ファイルに割り当てられた領域を削減します。
n
将来の増加を十分見越しながらも、非現実的なほど大きくない仮想ディスク サイズを選択します。
n
ユーザーが生成するコンテンツおよびユーザーがインストールするアプリケーションには、中央で管理されるファイ
ル共有または View Composer の通常ディスクを使用します。
必要なストレージ容量については、各仮想デスクトップで使用される次のファイルを考慮に入れる必要があります。
n
ESX サスペンド ファイルは、仮想マシンに割り当てられた RAM 容量に等しいサイズになります。
n
Windows のページ ファイルは RAM の 150% に相当します。
VMware, Inc.
33
VMware View アーキテクチャの計画
n
n
ログ ファイルは仮想マシンあたり約 100MB を占有します。
仮想ディスク、つまり .vmdk ファイルには、オペレーティング システム、アプリケーション、将来のアプリケー
ション アップデートおよびソフトウェア アップデートを格納する必要があります。ローカル ユーザー データおよび
ユーザーがインストールするアプリケーションをファイル共有ではなく仮想デスクトップ上に配置する場合は、それ
らも仮想ディスクに格納する必要があります。
View Composer を使用すると、時間の経過にともない .vmdk ファイルが大きくなりますが、View Composer の
更新操作をスケジュールし、View デスクトップ プールに対してストレージのオーバーコミット ポリシーを設定し、
Windows のページ ファイルと一時ファイルを別個の読み取り専用ディスクにリダイレクトすると、サイズの増加量
を抑制できます。
ユーザーのディスク領域不足を確実に防止するため、この見積もりに 15% を加えてもかまいません。
VMware View ESX ノード
ノードとは、VMware View の展開で仮想マシン デスクトップをホストする 1 台の ESX サーバです。
ESX サーバ上でホストされるデスクトップの数を示す統合率を最大にすると、VMware View のコスト効率が最大限に高
まります。サーバの選択には多くの要因が影響しますが、厳密に取得価格に関して最適化する場合は、処理能力とメモリ
が適切にバランスされたサーバ構成を見つける必要があります。
環境およびハードウェア構成のための適切な統合率を特定するには、パイロット運用などの実際の、実環境の状況の下で
パフォーマンスを測定する方法に代わるものはありません。統合率は、使用パターンや環境要因によって大幅に異なる場
合があります。次のガイドラインを使用してください。
n
一般的なフレームワークとして、CPU コアあたり 8 から 10 の仮想デスクトップ数の点から見た計算容量を考慮し
ます。各仮想マシンの CPU 要件の計算については、「仮想デスクトップの CPU 要件の見積もり (P. 33)」を参照し
てください。
n
仮想デスクトップの RAM、ホストの RAM、およびオーバーコミット率の点から見たメモリ容量を考慮します。CPU
コアあたりの仮想デスクトップ数を 8 ～ 10 台にすることができますが、仮想デスクトップに 1GB 以上の RAM が
ある場合は、物理 RAM の要件も慎重に考慮する必要があります。仮想マシンごとに必要な RAM 容量の計算につい
ては、
「仮想デスクトップのメモリ要件の見積もり (P. 31)」を参照してください。
物理 RAM のコストは線形ではないこと、および場合によっては DIMM チップを使用しない小型のサーバを多数購
入した方がコスト効率が良いことに注意してください。別の場合には、ラック密度、ストレージの接続性、管理性、
およびその他の考慮事項により、展開のサーバ数を最小限に抑えた方が適切な選択となることもあります。
n
最後に、クラスタの要件と、フェイルオーバーの要件がある場合はそれを考慮します。詳細については、「高可用性
の要件の特定 (P. 42)」を参照してください。
vSphere での ESX ホストの仕様については、『VMware vSphere 構成の上限』ドキュメントを参照してください。
34
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
特定のタイプの就業者用のデスクトップ プール
VMware View は、さまざまなユースケースに必要なストレージを節約したり、処理能力の量を削減したりするのに役立
つ多くの機能を提供します。これらの機能の多くは、プールの設定として使用できます。
考慮すべき最も基本的な問題は、特定のタイプのユーザーにとって、ステートフル デスクトップ イメージとステートレ
ス デスクトップ イメージのどちらが必要かという点です。ステートフル デスクトップ イメージが必要なユーザーは、保
存、保守、およびバックアップする必要のあるデータをオペレーティング システム イメージ自体に保持しています。た
とえば、これらのユーザーは独自のアプリケーションをいくつかインストールするか、またはファイル サーバ上やアプリ
ケーション データベース内などの、仮想マシン自体の外部には保存できないデータを保持しています。
ステートレス デスクトップ イ
メージ
ステートレス アーキテクチャには、より容易なサポート、View Composer ベースの
イメージ管理の実現、より低いストレージ コストなどの多くの利点があります。その
他の利点として、リンク クローン仮想マシンをバックアップする必要性が低いことや、
より容易で、より低価格なディザスタ リカバリおよびビジネス継続性オプションがあ
ります。
ステートフル デスクトップ イ
メージ
これらのイメージには、従来のイメージ管理テクニックが必要になります。ステートフ
ル イメージでは、特定のストレージ システム テクノロジとの組み合わせによりスト
レージ コストが低くなる場合があります。バックアップ、ディザスタ リカバリ、およ
びビジネス継続性のための戦略を考慮する場合は、VMware Consolidated Backup
や VMware Site Recovery Manager などのバックアップ/リカバリ テクノロジが重要
です。
ステートレス デスクトップ イメージは、View Composer を使用し、リンク クローン仮想マシンのフローティング割り
当てプールを作成することによって作成します。ステートフル デスクトップ イメージは、フル仮想マシンの専用割り当
てプールを作成することによって作成します。一部のストレージ ベンダーは、ステートフル デスクトップ イメージのた
めのコスト効率の良いストレージ ソリューションを用意しています。これらのベンダーは多くの場合、独自のベスト プ
ラクティスおよびプロビジョニング ユーティリティを備えています。これらのベンダーのいずれかを使用した場合、手動
の専用割り当てプールの作成が必要になることがあります。
n
タスク ワーカー用プール (P. 36)
タスク ワーカー用のステートレス デスクトップ イメージを標準化すると、常にイメージをサポートの簡単な使い
慣れた構成にすることができるため、就業者はどれでも使用可能なデスクトップにログインできるようになります。
n
ナレッジ ワーカーとパワー ユーザー用プール (P. 36)
ナレッジ ワーカーは、複雑なドキュメントを作成し、それらをデスクトップ上に保持できる必要があります。パ
ワー ユーザーは、独自のアプリケーションをインストールし、それらを保持できる必要があります。保持する必要
のある個人データの性質および量に応じて、デスクトップはステートフルまたはステートレスのどちらかになります。
n
モバイル ユーザー用プール (P. 37)
これらのユーザーは、View デスクトップをチェックアウトし、ネットワーク接続がなくてもそれを自分のラップ
トップまたはデスクトップ上でローカルに実行することができます。
n
キオスク ユーザー用プール (P. 38)
キオスク ユーザーには、航空会社のチェックイン ステーションにいる顧客、教室または図書館にいる学生、医療
データ入力ワークステーションにいる医療スタッフ、セルフサービス地点にいる顧客などが含まれます。ユーザー
はクライアント デバイスまたは View デスクトップを使用するためにログインする必要がないため、これらのデス
クトップ プールを使用する資格はユーザーではなく、クライアント デバイスに関連付けられたアカウントに付与さ
れます。ただし引き続き、ユーザーに、一部のアプリケーションでは認証情報を入力するよう求めることもできます。
VMware, Inc.
35
VMware View アーキテクチャの計画
タスク ワーカー用プール
タスク ワーカー用のステートレス デスクトップ イメージを標準化すると、常にイメージをサポートの簡単な使い慣れた
構成にすることができるため、就業者はどれでも使用可能なデスクトップにログインできるようになります。
タスク ワーカーは一連の少数のアプリケーションで反復的な作業を行うため、ステートレス デスクトップ イメージを作
成することで、ストレージ容量を節約し、処理要件を抑えることができます。次のプール設定を使用します。
n
自動プールを作成して、そのプールの作成時にデスクトップが作成されるようにするか、プールの使用量に基づいて
オン デマンドでデスクトップが生成されるようにすることができます。
n
フローティング割り当てを使用して、使用可能なすべてのデスクトップにユーザーがログインできるようにします。
全員が同時にログインする必要がない場合、この設定を行うことで、必要なデスクトップの数を削減できます。
n
View Composer リンク クローン デスクトップを作成することで、デスクトップが同じ基本イメージを共有し、デー
タセンターで使用するストレージ容量をフル仮想マシンより少なくて済むようにします。
n
ユーザーがログオフするときに実行されるアクションの種類を決定します（アクションがある場合）。ディスクは、
時間の経過とともに大きくなります。ユーザーがログオフするときにデスクトップを元の状態に更新すると、ディス
ク領域を節約できます。また、スケジュールを設定することでデスクトップを定期的に更新できます。たとえば、デ
スクトップが毎日、毎週、または毎月更新されるようにスケジュールを設定できます。
ナレッジ ワーカーとパワー ユーザー用プール
ナレッジ ワーカーは、複雑なドキュメントを作成し、それらをデスクトップ上に保持できる必要があります。パワー ユー
ザーは、独自のアプリケーションをインストールし、それらを保持できる必要があります。保持する必要のある個人デー
タの性質および量に応じて、デスクトップはステートフルまたはステートレスのどちらかになります。
パワー ユーザーや、会計士、セールス マネージャー、マーケティング リサーチ アナリストなどのナレッジ ワーカーは、
ドキュメントや設定を作成して保持できる必要があるため、それらのユーザーのための専用割り当てデスクトップが作成
されます。一時的な使用を除き、ユーザーがインストールするアプリケーションを必要としないナレッジ ワーカーの場合
は、ステートレス デスクトップ イメージを作成し、すべての個人データを、ファイル サーバ上やアプリケーション デー
タベース内などの仮想マシンの外部に保存することができます。その他のナレッジ ワーカーおよびパワー ユーザーの場
合は、ステートフル デスクトップ イメージを作成できます。次のプール設定を使用します。
36
n
各ナレッジ ワーカーまたはパワー ユーザーが毎回同じデスクトップにログインするように、専用割り当てを使用し
ます。
n
最初に、各デスクトップでディスクが初期の操作に必要とするストレージ容量のみが使用されように、vStorage シ
ン プロビジョニングを使用します。
n
ナレッジ ワーカーが、一時的な使用を除き、ユーザーがインストールするアプリケーションを必要としない場合は、
View Composer リンク クローン デスクトップを作成できます。これらのステートレス デスクトップ イメージは同
じ基本イメージを共有し、フル仮想マシンより少ないストレージ容量を使用します。
n
View Composer リンク クローン デスクトップを使用する場合は、ユーザー データを集中して格納するためのロー
ミングまたは仮想プロファイル ベースのソリューションを実装するか、またはデスクトップのための通常ディスク
を構成します。ただし、デスクトップを更新または再構成した後、集中して格納されたデータおよび通常ディスクは
保持されますが、オペレーティング システムとアプリケーションを含むディスクが保持されないことに注意してく
ださい。
n
独自のアプリケーションをインストールする（これにより、オペレーティング システムのディスクにデータが追加
されます）必要のあるパワー ユーザーおよびナレッジ ワーカーの場合は、フル仮想マシン デスクトップを作成しま
す。これらのユーザーには、ステートフル デスクトップ イメージが必要です。
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
モバイル ユーザー用プール
これらのユーザーは、View デスクトップをチェックアウトし、ネットワーク接続がなくてもそれを自分のラップトップ
またはデスクトップ上でローカルに実行することができます。
View Client with Local Mode は、エンド ユーザーと IT 管理者の両方に利点を提供します。管理者の場合は、ローカ
ル モードによって、View セキュリティ ポリシーをこれまで管理されていなかったラップトップまで拡張できるようにな
ります。管理者は、View デスクトップ上で実行されるアプリケーションを引き続き緊密に制御できるだけでなく、その
デスクトップをリモート View デスクトップと同じように集中して管理できます。ローカル モードではまた、VMware
View のすべての利点を、低速な、または信頼性の低いネットワークしか備えていないリモート オフィスや支社まで拡張
できます。
エンド ユーザーにとっての利点には、独自のコンピュータを引き続きオンラインまたはオフラインで使用できるという柔
軟性が含まれます。View デスクトップは自動的に暗号化され、さらにディザスタ リカバリの目的でデータセンター内の
イメージと容易に同期できます。
一般的な推奨事項
ローカル モードのユーザーは、ネットワーク接続が使用できないときに、自分のラップトップからデスクトップ アプリ
ケーションやデータにアクセスしなければならない場合があります。さらに、そのラップトップが紛失、損傷、または盗
難にあった場合に備えて、このデータをデータセンターに定期的、かつ自動的にバックアップしなければならない場合が
あります。これらの機能を提供するために、次のプールの設定を使用できます。
n
このプールの基盤となる仮想マシンを作成する場合は、ゲスト オペレーティング システムに必要な最小量の RAM
および仮想 CPU を構成します。ローカル モードで動作するデスクトップは、使用するメモリおよび処理能力の量
を、クライアント コンピュータから使用可能な量に基づいて調整します。
n
自動プールを作成して、そのプールの作成時にデスクトップが作成されるようにするか、プールの使用量に基づいて
オン デマンドでデスクトップが生成されるようにすることができます。
n
ローカル モードのユーザーは毎回同じデスクトップにログインする必要があるため、専用割り当てを使用します。
n
View Composer リンク クローン デスクトップを作成することで、デスクトップが同じ基本イメージを共有し、デー
タセンターで使用するストレージ容量をフル仮想マシンより少なくて済むようにします。
n
プロビジョニング プロセスで、プール内のリンク クローンごとに一意のローカル コンピュータ SID および GUID を
生成する場合は、プールを作成するときに Sysprep カスタマイズ仕様を選択します。Sysprep は、初期プロビジョ
ニング中、および再構成操作の後に新しい SID と GUID を作成します。ローカル モードのプールを再構成する可能
性は低いため、通常、SID と GUID は変更されません。
n
このプールには、ローカル モードで使用することを目的にしたデスクトップのみを含めます。ローカル モードの仮
想マシンは、多数のリモート View デスクトップをサポートすることを目的にしたストレージに比べて IOPS 要件が
低いデータストア上に配置できます。
設備投資を最小限に抑えるための追加の推奨事項
ESX サーバあたりの仮想マシンの数を増やすと、ローカル モードのプールに必要な ESX サーバの数を減らすことができ
ます。同時に大部分の仮想マシンがパワーオンされることがない（ローカル モードのプールではこの状態が一般的で
す）場合、ESX 4.1 サーバは最大 500 台の仮想マシンをホストできます。
各仮想マシンに必要な帯域幅および I/O 操作の量を減らし、ESX サーバ上の仮想マシンの数を最大化するには、次の推奨
事項を使用してください。
n
エンド ユーザーが View デスクトップをローカル モードでしか使用できないように View ポリシーを設定します。
この設定を使用すると、データセンター内の仮想マシンはロックされ、パワーオフされたままになります。
n
エンド ユーザーがデスクトップのロールバック、データのバックアップ、またはデータセンターへのチェックイン
を開始できないようにローカル モードのポリシーを設定します。
n
自動バックアップをスケジュールしないでください。
VMware, Inc.
37
VMware View アーキテクチャの計画
n
ローカル モードのデスクトップのプロビジョニングまたはダウンロードのために SSL を有効にしないでください。
n
View Connection Server のパフォーマンスがローカル デスクトップの数によって影響を受ける場合は、ハートビー
トの間隔を低い頻度に設定します。ハートビートによって、View Connection Server は、ローカル デスクトップ
がネットワークに接続されていることを認識できます。デフォルトの間隔は 5 分です。
キオスク ユーザー用プール
キオスク ユーザーには、航空会社のチェックイン ステーションにいる顧客、教室または図書館にいる学生、医療データ
入力ワークステーションにいる医療スタッフ、セルフサービス地点にいる顧客などが含まれます。ユーザーはクライアン
ト デバイスまたは View デスクトップを使用するためにログインする必要がないため、これらのデスクトップ プールを
使用する資格はユーザーではなく、クライアント デバイスに関連付けられたアカウントに付与されます。ただし引き続
き、ユーザーに、一部のアプリケーションでは認証情報を入力するよう求めることもできます。
ユーザー データをオペレーティング システムのディスクに保存する必要がないため、キオスク モードで動作するように
設定されている View デスクトップはステートレス デスクトップ イメージを使用します。キオスク モードのデスクトッ
プは、シン クライアント デバイスまたはロックダウンされた PC で使用されます。デスクトップ アプリケーションに安
全なトランザクションのための認証メカニズムが実装されていること、物理ネットワークが改ざんやスヌーピングに対し
て安全であること、およびネットワークに接続されているすべてのデバイスが信頼できることを確認する必要があります。
ベスト プラクティスとして、専用の View Connection Server インスタンスを使用してキオスク モードのクライアント
を処理し、Active Directory 内にこれらのクライアントのアカウントのための専用の組織単位とグループを作成してくだ
さい。これにより、これらのシステムが不正な侵入から分離されるだけでなく、これらのクライアントの構成や管理も容
易になります。
キオスク モードを設定するには、vdmadmin コマンドライン インターフェイスを使用し、『VMware View の管理』ド
キュメントのキオスク モードに関するトピックに記載されているいくつかの手順を実行する必要があります。このセット
アップの一部として、次のプールの設定を使用できます。
n
自動プールを作成して、そのプールの作成時にデスクトップが作成されるようにするか、プールの使用量に基づいて
オン デマンドでデスクトップが生成されるようにすることができます。
n
ユーザーがプール内の任意の使用可能なデスクトップにアクセスできるように、フローティング割り当てを使用しま
す。
n
View Composer リンク クローン デスクトップを作成することで、デスクトップが同じ基本イメージを共有し、デー
タセンターで使用するストレージ容量をフル仮想マシンより少なくて済むようにします。
n
デスクトップが頻繁に（たとえば、ユーザーがログオフするたびに）更新されるように、更新ポリシーを設定します。
n
デスクトップに対して最も近いプリンタが使用されるように、ロケーションベースの印刷を構成するための Active
Directory GPO（グループ ポリシー オブジェクト）を使用します。グループ ポリシー管理（ADM）テンプレート
によって使用できる設定の詳細なリストおよび説明については、『VMware View の管理』ドキュメントを参照して
ください。
n
デスクトップが起動されたとき、またはクライアント コンピュータに USB デバイスが挿入されたときの、デスク
トップへのローカル USB デバイスの接続を可能にするデフォルトのポリシーを無効にする場合は、GPO を使用しま
す。
デスクトップ仮想マシンの構成
仮想デスクトップに必要な RAM、CPU、およびディスクの容量はゲスト オペレーティング システムによって異なるた
め、Windows XP、Windows Vista、および Windows 7 の仮想デスクトップについて、別個の構成例を示します。
仮想マシンでのメモリ、仮想プロセッサ数、ディスク容量などの設定例は VMware View に固有のものです。
表 4-2 に示したガイドラインは、リモート モードで実行されている標準の Windows XP 仮想デスクトップについてのも
のです。
38
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
表 4-2. Windows XP のデスクトップ仮想マシンの例
アイテム
例
オペレーティング システム
32 ビット Windows XP（最新のサービス パックを適用）
RAM
1GB（ロー エンドで 512MB、ハイ エンドで 2GB）
仮想 CPU
1
システム ディスク容量
16GB（ロー エンドで 8GB、ハイ エンドで 40GB）
ユーザー データの容量（通常のディスクとして）
5GB（出発点）
仮想 SCSI アダプタのタイプ
LSI Logic Parallel（デフォルトではありません）
仮想ネットワーク アダプタ
フレキシブル（デフォルト）
必要なシステム ディスク容量は、基本イメージに必要なアプリケーションの数に依存します。当社では、8GB のディス
ク容量を含むセットアップを検証しています。アプリケーションには、Microsoft Word、Excel、PowerPoint、Adobe
Reader、Internet Explorer、McAfee Antivirus、および PKZIP が含まれます。
ユーザー データに必要なディスク容量は、エンド ユーザーの役割と、データ ストレージに関する組織のポリシーによっ
て変わります。View Composer を使用する場合、このデータは通常のディスクに保管されます。
表 4-3 に示したガイドラインは、リモート モードで実行されている標準の Windows Vista 仮想デスクトップについての
ものです。
表 4-3. Windows Vista のデスクトップ仮想マシンの例
アイテム
例
オペレーティング システム
32 ビット Windows Vista（最新のサービス パックを適用）
RAM
1GB
仮想 CPU
1
システム ディスク容量
20GB（標準）
ユーザー データの容量（通常のディスクとして）
5GB（出発点）
仮想 SCSI アダプタのタイプ
LSI Logic Parallel（デフォルト）
仮想ネットワーク アダプタ
E1000（デフォルト）
表 4-4 に示したガイドラインは、リモート モードで実行される標準の Windows 7 仮想デスクトップについてのものです。
表 4-4. ESX 4.1 サーバでホストされている Windows 7 のデスクトップ仮想マシンの例
アイテム
例
オペレーティング システム
32 ビット Windows 7
RAM
1GB
仮想 CPU
1
システム ディスク容量
20GB（標準よりやや少なめ）
ユーザー データの容量（通常のディスクとして）
5GB（出発点）
仮想 SCSI アダプタのタイプ
LSI Logic SAS（デフォルト）
仮想ネットワーク アダプタ
E1000（デフォルト）
VMware, Inc.
39
VMware View アーキテクチャの計画
vCenter および View Composer の仮想マシン構成とデスクトップ プールの最大
サイズ
vCenter Server と View Composer は、両方とも同じ仮想マシンにインストールします。この仮想マシンはサーバであ
るため、デスクトップ仮想マシンよりもはるかに多くのメモリと処理能力が必要です。
View Composer は、1 プールにつき最大 512 のデスクトップを作成およびプロビジョニングできます。View Composer
は、一度に最大 512 のデスクトップに対して再構成操作を実行することもできます。
vCenter Server および View Composer は物理マシンにインストールできますが、この例では表 4-5 に示す仕様の仮想
マシンを使用します。 この仮想マシンの ESX/ESXi ホストは、物理サーバの障害から保護するための VMware HA クラ
スタに含めることができます。
この例では、VMware View with vSphere 4.1 と vCenter Server 4.1 を使用していることを前提としています。
表 4-5. vCenter Server 仮想マシンの例とプール サイズの最大値
アイテム
例
オペレーティング システム
64 ビット Windows Server 2008 R2 Enterprise
RAM
4 GB
仮想 CPU
2
システム ディスク容量
40GB
仮想 SCSI アダプタのタイプ
LSI Logic SAS（Windows Server 2008 のデフォルト）
仮想ネットワーク アダプタ
E1000（デフォルト）
View Composer の最大プール サイズ
512 デスクトップ
重要 vCenter と View Composer が接続するデータベースは、別の仮想マシン上に配置してください。データベースの
サイズ設定に関するガイダンスについては、
http://www.vmware.com/support/vsphere4/doc/vsp_4x_db_calculator.xls の『vCenter Server 4.x Database
Sizing Calculator for Microsoft SQL Server』を参照してください。
View Connection Server の最大接続数と仮想マシン構成
View Connection Server をインストールすると、View Administrator ユーザー インターフェイスもインストールされ
ます。このサーバには、vCenter Server インスタンスより多くのメモリおよび処理リソースが必要です。
View Connection Server の構成
View Connection Server は物理マシンにインストールできますが、この例では表 4-6 に示す仕様の仮想マシンを使用し
ます。★xml で調整必要：このセグメントの外にある<?xm-replace...>を削除する必要があります☆ この仮想マシンの
ESX/ESXi ホストは、物理サーバの障害から保護するための VMware HA クラスタに含めることができます。
表 4-6. Connection Server の仮想マシンの例
40
アイテム
例
オペレーティング システム
64 ビット Windows Server 2008 R2
RAM
10GB
仮想 CPU
4
システム ディスク容量
40GB
仮想 SCSI アダプタのタイプ
LSI Logic SAS（Windows Server 2008 のデフォルト）
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
表 4-6. Connection Server の仮想マシンの例 (続き)
アイテム
例
仮想ネットワーク アダプタ
E1000（デフォルト）
1 つの NIC
1 ギガビット
View Connection Server のクラスタ設計に関する考慮事項
ロード バランシングと高可用性をサポートするために、複数の複製された View Connection Server インスタンスをグ
ループで展開できます。複製されたインスタンスのグループは、LAN に接続された単一データセンター環境内のクラスタ
リングをサポートするように設計されています。グループ化されたインスタンス間で必要な通信トラフィックのために、
複製された View Connection Server インスタンスのグループを WAN をまたがって使用することはお勧めしません。
データセンターをまたがって View の展開を構成する必要がある場合は、データセンターごとに個別の View の展開を作
成してください。
View Connection Server の最大接続数
表 4-7 は、VMware View の展開が対応できる同時接続の数に関してテストされた制限の詳細を示しています。
この例では、VMware View with vSphere 4.1 と vCenter Server 4.1 を使用していることを前提としています。また、
View Connection Server が 64 ビットの Windows Server 2008 R2 Enterprise オペレーティング システム上で実行さ
れていることを前提としています。
表 4-7. View デスクトップの接続
展開あたりの Connection Server 数
接続のタイプ
同時接続の最大数
1 つの Connection Server
直接接続、RDP または PCoIP
2,000
トンネル接続、RDP
PCoIP Secure Gateway 接続
7 つの Connection Server（5 + 2 つのス
ペア）
直接接続、RDP または PCoIP
10,000
1 つの Connection Server
物理 PC への Unified Access
100
1 つの Connection Server
ターミナル サーバへの Unified Access
200
企業ネットワークの外部からの PCoIP 接続にセキュリティ サーバを使用する場合は、PCoIP Secure Gateway 接続が必
要です。企業ネットワークの外部からの RDP 接続、および PCoIP Secure Gateway 接続を使用する USB リダイレクト
とマルチメディア リダイレクト（MMR）のアクセラレーションにセキュリティ サーバを使用する場合は、トンネル接続
が必要です。
View Transfer Server の仮想マシン構成とストレージ
View Client with Local Mode（旧称 View Client with Offline Desktop）を実行するデスクトップをサポートするに
は、View Transfer Server が必要です。このサーバが必要とするメモリの量は、View Connection Server より少なく
なります。
View Transfer Server の構成
View Transfer Server は物理マシンではなく仮想マシンにインストールする必要があり、その仮想マシンは、vCenter
Server インスタンスが管理するローカル デスクトップと同じインスタンスによって管理される必要があります。 表 4-8
に、View Transfer Server インスタンスの仮想マシンの仕様を示します。
VMware, Inc.
41
VMware View アーキテクチャの計画
表 4-8. View Transfer Server の仮想マシンの例
アイテム
例
オペレーティング システム
64 ビット Windows Server 2008 R2
RAM
4GB
仮想 CPU
2
システム ディスク容量
20GB
仮想 SCSI アダプタのタイプ
LSI Logic Parallel（デフォルトではありません。デフォルトは SAS）
仮想ネットワーク アダプタ
E1000（デフォルト）
1 つの NIC
1 ギガビット
View Transfer Server のストレージと帯域幅の要件
一部の操作では、View Transfer Server を使用して、vCenter Server の View デスクトップとクライアント システム上
の対応するローカル デスクトップとの間でデータを送信します。ユーザーがデスクトップにチェックインまたはデスク
トップからチェックアウトすると、View Transfer Server はデータセンターとローカル デスクトップとの間でファイル
を転送します。また、View Transfer Server は、ユーザーが行った変更をデータセンターに複製することで、ローカル
デスクトップをデータセンター内の対応するデスクトップと同期します。
ローカル デスクトップに View Composer リンク クローンを使用する場合、Transfer Server のリポジトリを構成する
ディスク ドライブには、静的なイメージ ファイルを保存できるだけの領域が存在している必要があります。イメージ ファ
イルは、View Composer の基本イメージです。ネットワーク ストレージ ディスクの速度が速いほど、パフォーマンス
は良くなります。基本イメージ ファイルのサイズの特定については、『VMware View の管理』ドキュメントを参照して
ください。
1 つの Transfer Server インスタンスで、理論上は 60 の同時ディスク操作に対応できます。ただし、それ以下の数の操
作数でネットワーク帯域幅が飽和状態になる可能性があります。当社では、20 の同時ディスク操作での検証を行いました
（1Gbps 以上のネットワーク接続で、20 個のクライアントから 1 つのローカル デスクトップを同時にダウンロード）。
vSphere クラスタ
VMware View の展開では、VMware HA クラスタを使用して物理サーバの障害に備えることができます。View Composer
に制限事項があるため、クラスタに含めるサーバ（ノード）が 8 台を超えないようにする必要があります。
VMware vSphere および vCenter は、View デスクトップをホストするサーバのクラスタを管理するための豊富な機能
セットを備えています。View デスクトップ プールはそれぞれ vCenter リソース プールに関連付ける必要があるため、
クラスタの構成も重要です。したがって、プールあたりのデスクトップの最大数は、実行を予定するサーバおよび仮想マ
シンのクラスタあたりの数に関連します。
非常に大規模な VMware View の展開では、クラスタ オブジェクトを 1 つのデータセンター オブジェクトにつき 1 つだ
けにすると、vCenter のパフォーマンスと応答性を向上させることができます。これはデフォルトの動作ではありませ
ん。デフォルトでは、VMware vCenter によって、同じデータセンター オブジェクト内に新規クラスタが作成されます。
高可用性の要件の特定
VMware vSphere ではその効率性およびリソース管理により、サーバあたりの仮想マシン数を、業界をリードするレベ
ルまで高めることができます。しかし、サーバあたりの仮想マシンの密度を高くするということは、サーバに障害が発生
した場合に影響を受けるユーザーが多くなるということです。
高可用性の要件は、デスクトップ プールの目的に応じて大きく異なる場合があります。たとえば、ステートレス デスク
トップ イメージ（フローティング割り当て）プールの目標復旧ポイント（RPO）の要件は、ステートフル デスクトップ
イメージ（専用割り当て）プールとは異なる場合があります。流動割り当てプールの場合受容可能な解決策として、ユー
ザーが使用しているデスクトップが使用できなくなったとき、それらのユーザーを別のデスクトップにログインさせると
いう方法が考えられます。
42
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
可用性の必要性が高い場合は、VMware HA の適切な構成が不可欠です。VMware HA を使用していて、サーバあたりの
デスクトップ数を固定する予定の場合は、各サーバを低減容量で稼働させます。サーバに障害が発生した場合、デスクトッ
プが別のホスト上で再起動しても、サーバあたりのデスクトップ数の容量を超えません。
たとえば、各ホストが 128 のデスクトップを実行でき、1 台のサーバの障害に耐えることを目標とする 8 ホストのクラス
タでは、そのクラスタ上で実行されるデスクトップの数を必ず 128 × (8 - 1) = 896 以内にします。VMware DRS
（Distributed Resource Scheduler）を使用して、8 台のホストすべてにデスクトップを均等に分散させることもできま
す。どのホット スペア リソースもアイドルにしておくことなく、余ったサーバ容量を最大限に利用できます。また、DRS
は障害の発生したサーバがサービスに復帰した後のクラスタの再分散にも役立ちます。
サーバの障害に応答して多数の仮想マシンが一斉に再起動するために発生する I/O 負荷をサポートするため、ストレージ
が適切に構成されていることも確認する必要があります。ストレージの IOPS は、デスクトップがサーバの障害から復旧
する速さに最も大きく影響します。
例: クラスタ構成の例
表 4-9 に示した設定は、VMware View に固有のものです。 vSphere での HA クラスタの制限事項については、『VMware
vSphere 構成の上限』ドキュメントを参照してください。
表 4-9. HA クラスタの例
アイテム
例
ノード（ESX サーバ）
8 (1 台のホット スペアを含む）
クラスタ タイプ
DRS（Distributed Resource Scheduler）/HA
ネットワーク コンポーネント
標準の ESX 4.1 クラスタ ネットワーク
スイッチ ポート
80
ネットワークの要件は、サーバのタイプ、ネットワーク アダプタの数、および vMotion の構成方法に依存します。
VMware View ビルディング ブロック
2,000 ユーザーのビルディング ブロックは、物理サーバ、VMware vSphere インフラストラクチャ、VMware View サー
バ、共有ストレージ、および 2,000 台の仮想マシン デスクトップで構成されます。View ポッドには最大 5 つのビルディ
ング ブロックを含めることができます。
表 4-10. LAN ベースの View ビルディング ブロックの例
アイテム
例
vSphere クラスタ
2 以上（各クラスタ内に最大 8 台の ESX ホスト）
80 ポートのネットワーク スイッチ
1
共有ストレージ システム
1
View Composer を備えた vCenter Server
1（ブロック自体で実行可能）
データベース
MS SQL Server または Oracle データベース サーバ（ブロック自
体で実行可能）
VLAN
3 (それぞれに 1 ギガビット イーサネット：管理ネットワーク、ス
トレージ ネットワーク、および VMotion ネットワーク）
vCenter あたり 10,000 台の仮想マシンの制限がある vCenter 4.1 では、複数のビルディング ブロックで仮想デスクトッ
プを管理する vCenter Server を使用できる可能性もあります。このドキュメントが記述された時点では、VMware では
まだ、このようなアプローチを VMware View と組み合わせて検証していませんでした。VMware View 4.5 および 4.6
と組み合わせた vCenter Server 4.1 のテストは、1 台の vCenter Server での 2,000 の仮想デスクトップのテストに制
限されていました。
ポッドにビルディング ブロックが 1 つしかない場合は、冗長性を確保するために 2 つの View Connection Server イン
スタンスを使用します。
VMware, Inc.
43
VMware View アーキテクチャの計画
図 4-1 は、View ビルディング ブロックのコンポーネントを示しています。
図 4-1. VMware View ビルディング ブロック
2000 ユーザー
共有ストレージ
8 台のホスト
8 台のホスト
2 つの VMware
ESX クラスタ
VMware
vCenter Server
View ビルディング ブロックの共有ストレージ
ストレージ設計に関する考慮事項は、View アーキテクチャを成功させるための最も重要な要素の 1 つです。アーキテク
チャに最大の影響を及ぼす決定は、リンク クローン テクノロジを使用する View Composer デスクトップを採用するか
どうかです。
VMware vSphere が使用する外部ストレージ システムは、ファイバ チャネルまたは iSCSI の SAN（ストレージ エリア
ネットワーク）、あるいは NFS（ネットワーク ファイル システム）の NAS（ネットワーク接続ストレージ）です。ESX
バイナリ、仮想マシンのスワップ ファイル、および親仮想マシンの View Composer レプリカはこのシステムに格納さ
れます。
アーキテクチャの観点から見ると、View Composer では、基本イメージを共有するデスクトップ イメージが作成される
ため、ストレージの必要量を 50% 以上削減できます。デスクトップを定期的に元の状態に戻し、最終更新操作以降の変
更の追跡に使用される領域を回収する更新ポリシーを設定すると、さらにストレージの必要量を削減できます。
また、View Composer の通常ディスクまたは共有ファイル サーバをユーザー プロファイルおよびユーザー ドキュメン
トのプライマリ リポジトリとして使用すると、オペレーティング システムのディスク領域も削減できます。View Composer
ではユーザー データをオペレーティング システムから分離できるため、通常ディスクのみをバックアップまたは複製す
るだけでよい場合があり、そのためにストレージの必要量がさらに削減されます。詳細については、「PCoIP Secure
Gateway を使用するクライアント接続 (P. 50)」を参照してください。
注意 各ビルディング ブロックに個別の専用ストレージ コンポーネントを使用するかどうかは、パイロット段階で判断す
ることができます。主な考慮事項は、1 秒あたりの I/O 数（IOPS）です。パフォーマンスおよびコスト削減を最大化する
ために、複数のビルディング ブロックにわたる階層型ストレージ戦略を試してみることもできます。
詳細については、ベスト プラクティス ガイドである『Storage Considerations for VMware View』を参照してください。
ストレージ帯域幅に関する考慮事項
VMware View 環境をサポートするストレージ システムの設計には重要な要素が多数ありますが、サーバ構成の観点から
見た場合、適切なストレージ帯域幅の計画が不可欠です。また、ポート統合ハードウェアの影響も考慮する必要があります。
VMware View 環境では、すべての仮想マシンが同時にアクティビティを実行しているときに、I/O ストームの負荷が発
生することがあります。I/O ストームは、ウィルス対策ソフトウェアやソフトウェア更新エージェントなどのゲスト ベー
スのエージェントによってトリガされることがあります。また、従業員全員が朝のほぼ同じ時刻にログインした場合のよ
うに、人間の動作によって I/O ストームがトリガされることもあります。
44
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
仮想マシンごとに更新の時刻をずらすなどの運用上のベスト プラクティスによって、このストーム ワークロードを最小
限に抑えることができます。また、パイロット段階でさまざまなログオフ ポリシーをテストして、ユーザーがログオフし
た場合のサスペンドまたは電源オフによって I/O ストームが発生するかどうかを判別することもできます。View Composer
レプリカを個別の高性能データストアに格納することにより、集約型の同時読み取り操作を高速化して I/O ストームの負
荷に対処することができます。
ベスト プラクティスの特定に加え、帯域幅の平均使用量が 1Gbps の 10 分の 1 未満であっても、仮想マシン 100 台あた
り 1Gbps の帯域幅を提供することをお勧めします。このように余裕をもって計画すると、ピーク時の負荷にも十分なス
トレージの接続性を確保できます。
ネットワーク帯域幅に関する考慮事項
ディスプレイ トラフィックについては、使用されるプロトコル、モニタの解像度と構成、ワークロードに含まれるマルチ
メディア コンテンツの量など、多くの要素がネットワーク帯域幅に影響を及ぼします。ストリーミングされた複数のアプ
リケーションを同時に起動した場合も、使用量が急増することがあります。
これらの問題による影響は大きく変動する場合があるため、多くの企業ではパイロット プロジェクトの一環として帯域幅
の使用量を監視しています。パイロットの出発点として、一般的なナレッジ ワーカー用に 150 ～ 200Kbps の容量を計
画してください。
PCoIP 表示プロトコルでは、100Mb または 1Gb のスイッチド ネットワークを備えた企業 LAN がある場合、エンド ユー
ザーは次の条件の下で優れたパフォーマンスを期待できます。
n
2 台のモニタ（1920x1080）
n
Microsoft Office アプリケーションの大量の使用
n
フラッシュが埋め込まれた Web ブラウズの大量の使用
n
フル スクリーン モードの使用が制限されたマルチメディアの頻繁な使用
n
USB ベースの周辺機器の頻繁な使用
n
ネットワーク ベースの印刷
これらの情報は、『PCoIP Display Protocol:Information and Scenario-Based Network Sizing Guide』と呼ばれる情
報ガイドから引用しました。
WAN のサポートと PCoIP
WAN（ワイド エリア ネットワーク）については、帯域幅の制約とレイテンシーの問題を考慮する必要があります。
VMware が提供する PCoIP 表示プロトコルは、さまざまなレイテンシーと帯域幅の条件に対応しています。
RDP 表示プロトコルを使用する場合は、支社または小規模オフィスのユーザー向けにアプリケーションを高速化する WAN
最適化製品が必要です。PCoIP では、多くの WAN 最適化技術がベース プロトコルに組み込まれています。
n
WAN の最適化が有効になるのは、RDP など TCP ベースのプロトコルです。その理由は、これらのプロトコルでは
クライアントとサーバの間で多くのハンドシェイクが行われるためです。こうしたハンドシェイクでは、レイテン
シーが非常に大きくなることがあります。WAN アクセラレータのスプーフィングはハンドシェイクに応答するた
め、ネットワークのレイテンシーはプロトコルから隠れるようになります。PCoIP は UDP ベースであるため、この
ような形での WAN 高速化は不要です。
n
WAN アクセラレータではクライアントとサーバ間のトラフィックの圧縮も行われますが、この圧縮は通常、2：1
の圧縮率に限定されます。PCoIP では、イメージとオーディオを最大 100：1 の圧縮率で圧縮できます。
次の例は、PCoIP がさまざまな WAN 条件で実行できる動作の予想を示しています。
自宅での仕事
VMware, Inc.
ダウンロード速度が 4 ～ 8MB、レイテンシーが 300 ミリ秒未満の専用ケーブルまた
は DSL 接続を使用するユーザーは、次の条件で、非常に高いパフォーマンスが予想さ
れます。
n
2 台のモニタ（1920x1080）
n
Microsoft Office アプリケーション
45
VMware View アーキテクチャの計画
モバイル ユーザー
n
Flash が組み込まれた Web ページを時折参照
n
マルチメディアを定期的に利用
n
ローカル接続された USB プリンタで時折印刷
ダウンロード速度が 5 ～ 500Kb、レイテンシーが 300 ミリ秒未満の専用 3G 接続を使
用するユーザーは、次の条件で、帯域幅を適切に保ち、レイテンシーを許容範囲に抑え
ることができると予想されます。
n
1 台のモニタ
n
Microsoft Office アプリケーション
n
Flash が組み込まれた Web ページを時折参照
n
ローカル接続された USB プリンタで時折印刷
モバイル ユーザーがマルチメディア コンテンツを利用する場合は、ローカル アプリ
ケーションの使用を推奨します。
支社またはリモート オフィス
1Mb の帯域幅につき、同時アクティブ ユーザー数を 3 名として計画します。速度が
20Mb、レイテンシーが 200 ミリ秒未満で、UDP ベースの専用のサイト間 VPN が設
置されたオフィスのユーザーは、次の条件で、許容可能なパフォーマンスになることが
予想されます。
n
2 台のモニタ（1920x1080）
n
Microsoft Office アプリケーション
n
Flash が組み込まれた Web ページを時折参照
n
ローカル接続された USB プリンタで時折印刷
これらの情報は、『PCoIP Display Protocol:Information and Scenario-Based Network Sizing Guide』と呼ばれる情
報ガイドから引用しました。
PCoIP を使用するための VPN の設定の詳細については、弊社 Web サイトの次のページを参照してください。
n
『VMware View and Juniper Networks SA Servers SSL VPN Solution』
n
『VMware View and F5 BIG-IP SSL VPN Solution』
n
『VMware View and Cisco Adaptive Security Appliances (ASA) SSL VPN Solution』
VMware View ポッド
VMware View ポッドは、2,000 ユーザーのビルディング ブロック 5 つを統合して、1 つのエンティティとして管理でき
る View Manager インストールにします。
ポッドとは、VMware View のスケーラビリティの制限によって決定される編成の単位です。 表 4-11 に、View ポッド
のコンポーネントを示します。
表 4-11. VMware View ポッドの例
46
アイテム
数
View ビルディング ブロック
5
View Connection Server
7（各ビルディング ブロックに 1 台および 2 台のスペア）
10Gb イーサネット モジュール
1
モジュラ型ネットワーク スイッチ
1
VMware, Inc.
第 4 章 アーキテクチャ設計の要素と計画のガイドライン
表 4-11. VMware View ポッドの例 (続き)
アイテム
数
ロード バランシング モジュール
1
WAN 用 VPN
1（オプション）
ネットワーク コアによって、受信したリクエストの View Connection Server インスタンス間でのロード バランシング
が実行されます。通常はネットワーク レベルで冗長性およびフェイルオーバーがサポートされるため、ロード バランサ
が単一点障害になることが防止されます。たとえば、Virtual Router Redundancy Protocol（VRRP）はロード バラン
サと通信して、冗長性およびフェイルオーバーの機能を追加します。
View Connection Server インスタンスに障害が発生するか、アクティブなセッション中に応答がなくなった場合でも、
ユーザーのデータは失われません。デスクトップの状態は仮想マシン デスクトップに保存されているため、ユーザーは別
の View Connection Server インスタンスに接続でき、障害が発生した時点の状態からデスクトップ セッションが再開
されます。
図 4-2 は、すべてのコンポーネントを管理の容易な 1 つのエンティティにどのように統合できるかを示しています。
図 4-2. 10,000 の View デスクトップのポッド図
VMware View
ビルディング
ブロック
スイッチド
ネットワーク
各スイッチド ネットワークが各 View Connection Server に接続
VMware View
Connection Server
ロード バランシング
ネットワーク コア
VMware, Inc.
47
VMware View アーキテクチャの計画
48
VMware, Inc.
セキュリティ機能の計画
5
VMware View は、企業の機密データを保護するための強力なネットワーク セキュリティ機能を備えています。セキュリ
ティを強化するため、VMware View を他社製のユーザー認証ソリューションと統合したり、セキュリティ サーバを使用
したり、制限付き資格の機能を実装したりできます。
この章では次のトピックについて説明します。
n
クライアント接続について (P. 49)
n
ユーザー認証方法の選択 (P. 52)
n
View デスクトップ アクセスの制限 (P. 54)
n
グループ ポリシー設定を使用した View デスクトップのセキュリティ保護 (P. 56)
n
クライアント システムのセキュリティを保護するためのベスト プラクティスの実装 (P. 56)
n
管理者ロールの割り当て (P. 56)
n
セキュリティ サーバを使用するための準備 (P. 57)
n
VMware View 通信プロトコルについて (P. 62)
クライアント接続について
View Client および View Administrator は、安全な HTTPS 接続を介して View Connection Server ホストと通信しま
す。
ユーザー認証と View デスクトップの選択に使用される最初の View Client 接続は、ユーザーが View Client を開き、
View Connection Server ホストまたはセキュリティ サーバ ホストの IP アドレスまたはドメイン名を入力したときに作
成されます。View Administrator 接続は、管理者が Web ブラウザに View Administrator の URL を入力したときに作
成されます。
View Connection Server のインストール時に、デフォルトのサーバ SSL 証明書が生成されます。デフォルトでは、クラ
イアントが View Administrator などの安全なページにアクセスすると、この証明書が提示されます。
デフォルトの証明書はテストに使用できますが、できるだけ早く独自の証明書に交換する必要があります。デフォルトの
証明書は、商用の証明機関（CA）によって署名されていません。承認されていない証明書を使用すると、信頼されていな
いパーティーにサーバを装ってトラフィックを傍受される可能性があります。
n
PCoIP Secure Gateway を使用するクライアント接続 (P. 50)
VMware の PCoIP 表示プロトコルを使用する View デスクトップにクライアントが接続された場合、View Client
は View Connection Server インスタンスまたはセキュリティ サーバの PCoIP Secure Gateway コンポーネント
への第 2 の接続を確立できます。この接続によって、インターネットから View デスクトップにアクセスする場合
に必要なレベルのセキュリティと接続性が提供されます。
VMware, Inc.
49
VMware View アーキテクチャの計画
n
Microsoft RDP を使用するトンネル クライアント接続 (P. 51)
Microsoft RDP 表示プロトコルを使用する View デスクトップにユーザーが接続すると、View Client は View
Connection Server ホストへの第 2 の HTTPS 接続を確立できます。この接続は、RDP データを送信するための
トンネルになるため、トンネル接続と呼ばれます。
n
直接クライアント接続 (P. 51)
管理者は、View デスクトップ セッションが View Connection Server ホストをバイパスしてクライアント シス
テムと View デスクトップ仮想マシンとの間で直接確立されるように View Connection Server の設定を構成でき
ます。このタイプの接続を直接クライアント接続といいます。
n
View Client with Local Mode のクライアント接続 (P. 52)
View Client with Local Mode は、モバイル ユーザーが View デスクトップをローカル コンピュータ上にチェッ
クアウトできるようにする機能です。
PCoIP Secure Gateway を使用するクライアント接続
VMware の PCoIP 表示プロトコルを使用する View デスクトップにクライアントが接続された場合、View Client は View
Connection Server インスタンスまたはセキュリティ サーバの PCoIP Secure Gateway コンポーネントへの第 2 の接
続を確立できます。この接続によって、インターネットから View デスクトップにアクセスする場合に必要なレベルのセ
キュリティと接続性が提供されます。
View 4.6 からは、セキュリティ サーバに PCoIP Secure Gateway コンポーネントが含まれます。PCoIP Secure Gateway
接続には次の利点があります。
n
企業のデータ センターに入ることができるリモート デスクトップ トラフィックが、強力な認証を経たユーザーのト
ラフィックのみになります。
n
ユーザーはアクセスが許可されているデスクトップ リソースにのみアクセスできます。
n
この接続では PCoIP がサポートされます。PCoIP は、ビデオ表示パケットを TCP ではなく UDP でカプセル化する
ことで、ネットワークをより効率的に使用できる高度なリモート デスクトップ プロトコルです。
n
PCoIP は AES-128 暗号によって保護されます。
n
PCoIP がいずれかのネットワーク コンポーネントによってブロックされない限り、VPN は必要ありません。たとえ
ば、誰かがホテルの客室内から自分の View デスクトップにアクセスしようとしていて、そのホテルで使用されてい
るプロキシが TCP ポート 4172 での受信トラフィックと UDP ポート 4172 での受信トラフィックおよび送信トラ
フィックを許可するように構成されていないことが判明する場合があります。
詳細については、「DMZ ベースのセキュリティ サーバのファイアウォール ルール (P. 60)」を参照してください。
PCoIP をサポートするセキュリティ サーバは Windows Server 2008 R2 上で実行され、64 ビット アーキテクチャを最
大限に活用します。このセキュリティ サーバは、AES New Instructions (AESNI) をサポートし、高度に最適化された
PCoIP 暗号化および暗号化解除のパフォーマンスを実現する Intel プロセッサの利点も活かします。
50
VMware, Inc.
第 5 章 セキュリティ機能の計画
Microsoft RDP を使用するトンネル クライアント接続
Microsoft RDP 表示プロトコルを使用する View デスクトップにユーザーが接続すると、View Client は View Connection
Server ホストへの第 2 の HTTPS 接続を確立できます。この接続は、RDP データを送信するためのトンネルになるため、
トンネル接続と呼ばれます。
トンネル接続には次の利点があります。
n
RDP データが HTTPS によってトンネリングされ、SSL を使用して暗号化されます。この強力なセキュリティ プロ
トコルは、オンライン バンキングやクレジット カードの支払いに使用されるような他の安全な Web サイトで提供
されているセキュリティに一致しています。
n
クライアントは単一の HTTPS 接続を介して複数のデスクトップにアクセスできるため、プロトコル全体のオーバー
ヘッドが削減されます。
n
それらの HTTPS 接続は VMware View によって管理されるため、基盤となるプロトコルの信頼性が大幅に向上しま
す。ユーザーが一時的にネットワーク接続を失った場合に、ネットワーク接続が復元された後、ユーザーが再接続し
て再度ログインしなくても HTTP 接続が再確立され、RDP 接続が自動的に再開されます。
View Connection Server インスタンスの標準展開では、HTTPS の安全な接続の終点は View Connection Server にな
ります。DMZ 展開では、HTTPS の安全な接続の終点はセキュリティ サーバになります。DMZ 展開およびセキュリ
ティ サーバの詳細については、「セキュリティ サーバを使用するための準備 (P. 57)」を参照してください。
PCoIP 表示プロトコルを使用するクライアントは USB リダイレクトおよびマルチメディア リダイレクト（MMR）のア
クセラレーションのためにトンネル接続を使用できますが、他のすべてのデータについては、PCoIP ではセキュリティ
サーバ上の PCoIP Secure Gateway が使用されます。詳細については、「PCoIP Secure Gateway を使用するクライア
ント接続 (P. 50)」を参照してください。
PCoIP または HP RGS 表示プロトコルを使用するクライアントでは、トンネル接続は使用されません。
直接クライアント接続
管理者は、View デスクトップ セッションが View Connection Server ホストをバイパスしてクライアント システムと
View デスクトップ仮想マシンとの間で直接確立されるように View Connection Server の設定を構成できます。このタ
イプの接続を直接クライアント接続といいます。
直接クライアント接続でも、ユーザーが認証して View デスクトップを選択するための HTTPS 接続をクライアントと
View Connection Server ホストとの間に確立できますが、その第 2 の HTTPS 接続（トンネル接続）は使用されません。
HP RGS 表示プロトコルを使用するクライアントでは、常に直接クライアント接続が使用されます。HP RGS クライアン
トはトンネル接続または PCoIP Secure Gateway 接続を使用できません。
直接 PCoIP 接続では、次の組み込みのセキュリティ機能が使用されます。
n
PCoIP は Advanced Encryption Standard（AES）暗号化をサポートします。これはデフォルトで有効になってい
ます。
n
PCoIP のハードウェア実装では、AES および IP Security（IPsec）が使用されます。
n
PCoIP は他社製の VPN クライアントとも連動します。
Microsoft RDP 表示プロトコルを使用するクライアントでは、展開が企業ネットワーク内に限定される場合にのみ直接ク
ライアント接続が適切です。直接クライアント接続を使用すると、RDP トラフィックがその接続を介してクライアント
と View デスクトップ仮想マシンの間で暗号化されないまま送信されます。
VMware, Inc.
51
VMware View アーキテクチャの計画
View Client with Local Mode のクライアント接続
View Client with Local Mode は、モバイル ユーザーが View デスクトップをローカル コンピュータ上にチェックアウ
トできるようにする機能です。
View Client with Local Mode では、LAN ベースのデータ転送用に、トンネリングされた通信とトンネリングされてい
ない通信の両方がサポートされています。トンネリングされた通信では、すべてのトラフィックが View Connection
Server ホストを介してルーティングされ、通信およびデータ転送を暗号化するかどうかの指定が可能です。トンネリング
されていない通信では、暗号化されていないデータがクライアント システムのローカル デスクトップと vCenter Server
の View デスクトップ仮想マシンとの間で直接転送されます。
ローカル データは、トンネリングされた通信またはトンネリングされていない通信のどちらを構成したかに関係なく、
ユーザーのコンピュータ上で常に暗号化されます。
クライアント システムにローカルに格納されるデータ ディスクは、AES-128 というデフォルトの暗号強度で暗号化され
ます。暗号化キーは、ユーザーの認証情報（ユーザー名とパスワードまたはスマート カードと PIN）のハッシュから導出
されたキーによって暗号化され、クライアント システムに格納されます。サーバ側では、キーは View LDAP に格納され
ます。サーバ上で View LDAP を保護するために使用されるセキュリティ方式が、LDAP に格納されるローカル モードの
暗号化キーの保護にも使用されます。
注意 暗号化キー暗号を AES-128 から AES-192 または AES-256 に変更できます。
デスクトップには、ポリシーによって制御された有効期限があります。クライアントが View Connection Server への接
続を失うと、サーバとの接続がない最大時間が、ユーザーがデスクトップを使用し続けることのできる期間となり、その
期間を超えるとユーザーはアクセスを拒否されます。クライアント側では、この有効期限ポリシーは、アプリケーション
組み込みのキーによって暗号化されたファイルに格納されます。この組み込みキーにより、パスワードにアクセスできる
ユーザーでも有効期限ポリシーを回避できなくなります。
ユーザー認証方法の選択
VMware View は、ユーザーを認証および管理するために既存の Active Directory インフラストラクチャを利用します。
セキュリティを強化するため、VMware View を RSA SecurID およびスマート カード認証ソリューションと統合するこ
とができます。
n
Active Directory 認証 (P. 53)
各 View Connection Server インスタンスは Active Directory ドメインに参加しており、ユーザーは参加してい
るドメインを利用するために Active Directory に対して認証されます。信頼契約の存在する追加ユーザー ドメイ
ンがある場合、ユーザーはそのドメインに対しても認証されます。
n
RSA SecurID 認証 (P. 53)
RSA SecurID は、2 要素認証によってセキュリティの向上をもたらします。これには、ユーザーの PIN およびトー
クン コードに関する知識が必要です。トークン コードは、物理 SecurID トークンでのみ入手できます。
n
スマート カード認証 (P. 53)
スマート カードは、コンピュータ チップが埋め込まれた小さなプラスチック カードです。多くの官公庁や大企業
が、そのコンピュータ ネットワークにアクセスするユーザーの認証にスマート カードを使用しています。スマー
ト カードは Common Access Card（CAC）とも呼ばれます。
n
「現在のユーザーとしてログイン」機能 (P. 54)
View Client ユーザーが [現在のユーザーとしてログイン] チェック ボックスを選択すると、ユーザーがクライア
ント システムへのログイン時に入力した認証情報が、View Connection Server インスタンスおよび View デスク
トップへの認証に使用されます。それ以上のユーザー認証は必要ありません。
52
VMware, Inc.
第 5 章 セキュリティ機能の計画
Active Directory 認証
各 View Connection Server インスタンスは Active Directory ドメインに参加しており、ユーザーは参加しているドメ
インを利用するために Active Directory に対して認証されます。信頼契約の存在する追加ユーザー ドメインがある場合、
ユーザーはそのドメインに対しても認証されます。
たとえば、View Connection Server インスタンスがドメイン A のメンバーであり、ドメイン A とドメイン B の間に信
頼契約が存在する場合、ドメイン A とドメイン B の両方のユーザーが View Client を使用して View Connection Server
インスタンスに接続できます。
同様に、ドメイン混在環境でドメイン A と MIT Kerberos 領域の間に信頼契約が存在する場合、Kerberos 領域のユー
ザーは View Client で View Connection Server に接続するときに Kerberos 領域名を選択できます。
View Connection Server は、ホストが存在するドメインから始めて、信頼関係をたどって、アクセスできるドメインを
決定します。小さく、十分に接続されているドメインのセットであれば、View Connection Server は短時間でドメイン
の完全なリストを決定できますが、ドメインの数が増えたり、ドメイン間の接続が不十分であったりすると、要する時間
は長くなります。リストには、デスクトップにログインしたユーザーに提供しない方がよいドメインも含まれる場合があ
ります。
管理者は、vdmadmin コマンドライン インターフェイス使用して、ドメインのフィルタ処理を構成できます。フィルタ
を使用すると、View Connection Server インスタンスが検索してユーザーに表示するドメインを制限できます。詳細に
ついては、『VMware View の管理』ドキュメントを参照してください。
ログインを許可する時間を制限したり、パスワードの失効日を設定するなどのポリシーも、Active Directory の既存の運
用手順に従って処理されます。
RSA SecurID 認証
RSA SecurID は、2 要素認証によってセキュリティの向上をもたらします。これには、ユーザーの PIN およびトークン
コードに関する知識が必要です。トークン コードは、物理 SecurID トークンでのみ入手できます。
管理者は、View Connection Server ホストに RSA SecurID ソフトウェアをインストールし、View Connection Server
の設定を変更することで、個別の View Connection Server インスタンスで RSA SecurID 認証を有効にできます。
ユーザーは、RSA SecurID 認証が有効になっている View Connection Server インスタンスを介してログインすると、
最初に RSA ユーザー名とパスコードを入力して認証するように求められます。ユーザーがこのレベルで認証されないと、
アクセスが拒否されます。ユーザーが RSA SecurID によって正しく認証された場合は、通常どおり続行することになり、
次に Active Directory の認証情報の入力を求められます。
View Connection Server インスタンスが複数ある場合は、一部のインスタンスで RSA SecurID 認証を構成し、他のイ
ンスタンスでは別のユーザー認証方法を構成することができます。たとえば、インターネットを介してリモートで View
デスクトップにアクセスするユーザーのみに RSA SecurID 認証を構成できます。
VMware View は RSA SecurID Ready プログラムによって認定されており、新規 PIN モード、次のトークン コード モー
ド、RSA Authentication Manager、ロード バランシングなど、SecurID のあらゆる機能をサポートしています。
スマート カード認証
スマート カードは、コンピュータ チップが埋め込まれた小さなプラスチック カードです。多くの官公庁や大企業が、そ
のコンピュータ ネットワークにアクセスするユーザーの認証にスマート カードを使用しています。スマート カードは
Common Access Card（CAC）とも呼ばれます。
スマート カード認証は Windows ベースの View Client と View Client with Local Mode でのみサポートされます。
View Administrator ではサポートされません。
管理者は、個別の View Connection Server インスタンスでスマート カード認証を有効にできます。View Connection
Server インスタンスでのスマート カードの使用を有効にすると、通常は信用ストアにルート証明書が追加された後、View
Connection Server の設定が変更されるという処理が伴います。
VMware, Inc.
53
VMware View アーキテクチャの計画
スマート カード認証を使用するクライアント接続は、SSL に対応している必要があります。管理者は、View Administrator
でグローバル パラメータを設定して、クライアント接続の SSL を有効にできます。
スマート カードを使用するには、クライアント マシンにスマート カード ミドルウェアおよびスマート カード リーダが
必要です。スマート カードに証明書をインストールするには、コンピュータを登録ステーションとして動作するように設
定する必要があります。
ローカル デスクトップでスマート カードを使用するには、スマートカードの登録時に 1024 ビットまたは 2048 ビット
のキー サイズを選択する必要があります。ローカル デスクトップでは、512 ビット キーの証明書はサポートされていま
せん。デフォルトでは、ユーザーのローカル デスクトップのチェックインおよびチェックアウト時に、View Connection
Server は AES-128 を使用して、仮想ディスク ファイルを暗号化します。暗号化キー暗号を AES-192 または AES-256
に変更できます。
「現在のユーザーとしてログイン」機能
View Client ユーザーが [現在のユーザーとしてログイン] チェック ボックスを選択すると、ユーザーがクライアント シ
ステムへのログイン時に入力した認証情報が、View Connection Server インスタンスおよび View デスクトップへの認
証に使用されます。それ以上のユーザー認証は必要ありません。
この機能をサポートするため、ユーザー認証情報は View Connection Server インスタンスとクライアント システムの
両方に格納されます。
n
View Connection Server インスタンスでは、ユーザー認証情報は暗号化され、ユーザー名、ドメイン、およびオプ
ションの UPN とともにユーザー セッションに格納されます。この認証情報は、認証が行われると追加され、セッ
ション オブジェクトが破壊されるとパージされます。セッション オブジェクトは、ユーザーがログアウトしたとき、
セッションがタイムアウトになったとき、または認証が失敗したときに破壊されます。セッション オブジェクトは
揮発性メモリ内に存在し、View LDAP やディスク ファイルには格納されません。
n
クライアント システムでは、ユーザー認証情報は暗号化され、View Client のコンポーネントである認証パッケージ
のテーブルに追加されます。認証情報は、ユーザーがログインしたときにテーブルに追加され、ログアウトしたとき
にテーブルから削除されます。このテーブルは揮発性メモリ内に存在します。
管理者は、View Client のグループ ポリシー設定を使用して、 [現在のユーザーとしてログイン] チェック ボックスを使
用可能にするかどうかを制御し、そのデフォルト値を設定することができます。さらに、管理者はグループ ポリシーを使
用して、ユーザーが View Client の [現在のユーザーとしてログイン] チェック ボックスを選択した場合に渡されるユー
ザー ID と認証情報を受け入れる View Connection Server インスタンスを指定することもできます。
「現在のユーザーとしてログイン」機能には次の制限と要件があります。
n
View Connection Server インスタンスで、スマート カード認証が必須に設定されている場合、 [現在のユーザーと
してログイン] チェック ボックスを選択したスマート カード ユーザーは、View デスクトップへのログイン時に、
スマート カードと PIN で再認証する必要があります。
n
ユーザーはログイン時に [現在のユーザーとしてログイン] チェック ボックスを選択した場合、ローカル モードで
使用するためにデスクトップをチェックアウトできません。
n
クライアントがログインするシステムの時間と、View Connection Server ホストの時間は同期している必要があり
ます。
n
クライアント システムでデフォルトの [ネットワーク経由でコンピュータへアクセス] ユーザー権限割り当てを変更
する場合、VMware ナレッジベース（KB）の記事 1025691 の説明に従って変更する必要があります。
View デスクトップ アクセスの制限
制限付き資格の機能を使用し、ユーザーが接続する View Connection Server インスタンスに基づいて View デスクトッ
プ アクセスを制限できます。
制限付き資格では、1 つ以上のタグを View Connection Server インスタンスに割り当てます。その後、デスクトップ
プールを構成するときに、デスクトップ プールにアクセスできるようにする View Connection Server インスタンスの
タグを選択します。ユーザーがタグ付きの View Connection Server インスタンスを通してログインするとき、ユーザー
は少なくとも 1 つのタグが一致するか、タグがないデスクトップ プールにのみアクセスできます。
54
VMware, Inc.
第 5 章 セキュリティ機能の計画
たとえば、VMware View の展開に 2 つの View Connection Server インスタンスが含まれるものとします。第 1 のイ
ンスタンスは内部ユーザーをサポートします。第 2 のインスタンスはセキュリティ サーバと対になって、外部ユーザーを
サポートします。外部ユーザーが特定のデスクトップにアクセスできないようにするには、次のように制限付き資格を設
定します。
n
タグ「Internal」を、内部ユーザーをサポートする View Connection Server インスタンスに割り当てます。
n
タグ「External」を、セキュリティ サーバと対になって外部ユーザーをサポートする View Connection Server イ
ンスタンスに割り当てます。
n
内部ユーザーのみがアクセスできるようにするデスクトップ プールに、「Internal」タグを割り当てます。
n
外部ユーザーのみがアクセスできるようにするデスクトップ プールに、「External」タグを割り当てます。
外部ユーザーは「External」というタグの付いた View Connection Server を使用してログインするので、「Internal」
というタグの付いたデスクトップ プールにはアクセスできません。同様に、内部ユーザーは「Internal」というタグの付
いた View Connection Server を使用してログインするので、「External」というタグの付いたデスクトップ プールには
アクセスできません。 図 5-1 にこの構成を示します。
図 5-1. 制限付き資格の例
リモート
View Client
外部ネットワーク
DMZ
View
Security
Server
ローカル
View Client
View
Connection
Server
タグ："External"
View
Connection
Server
タグ："Internal"
VM
VM
VM
VM
VM
VM
VM
VM
デスクトップ プール A
タグ："External"
デスクトップ プール B
タグ："Internal"
制限付き資格を使用して、特定の View Connection Server インスタンスに対して構成されているユーザー認証方法に基
づいて、デスクトップ アクセスを制御することもできます。たとえば、スマート カードで認証されているユーザーのみ
が特定のデスクトップ プールを使用できるようにすることができます。
制限付き資格の機能は、タグの一致を適用するだけです。特定のクライアントが特定の View Connection Server インス
タンスを通して接続するように、ネットワーク トポロジを設計する必要があります。
VMware, Inc.
55
VMware View アーキテクチャの計画
グループ ポリシー設定を使用した View デスクトップのセキュリティ保護
VMware View には、View デスクトップのセキュリティ保護に使用できるセキュリティ関連グループ ポリシー設定を備
えたグループ ポリシー管理（ADM）テンプレートが含まれています。
たとえば、グループ ポリシー設定を使用して、次のタスクを実行できます。
n
ユーザーが View Client の [現在のユーザーとしてログイン] チェック ボックスを選択した場合に渡されるユー
ザー ID と認証情報を受け入れる View Connection Server インスタンスを指定する。
n
View Client でシングル サインオン スマート カード認証を有効にする。
n
View Client でサーバ SSL 証明書チェックを構成する。
n
ユーザーが View Client コマンド ライン オプションによって認証情報を指定できないようにする。
n
View 以外のクライアント システムが RDP を使用して View デスクトップに接続できないようにする。このポリシー
は、接続が View によって管理される必要がある、つまりユーザーが View デスクトップに接続するために View
Client を使用する必要があることを意味します。
View Client グループ ポリシー設定の使用については、『VMware View の管理』ドキュメントを参照してください。
クライアント システムのセキュリティを保護するためのベスト プラクティスの
実装
クライアント システムのセキュリティを保護するためのベスト プラクティスを実装する必要があります。
n
クライアント システムが、一定期間動作していない場合にスリープ状態になり、コンピュータをアクティブにする
前にユーザーがパスワードを入力する必要があるように構成されていることを確認してください。
n
クライアント システムの起動時に、ユーザーはユーザー名とパスワードを入力する必要があります。クライアント
システムで自動ログインを許可するように構成しないでください。
n
Mac クライアント システムの場合、キーチェーンとユーザー アカウントに異なるパスワードを設定することを考慮
してください。パスワードが異なる場合、システムが自動的にパスワードを入力する前に、ユーザーに入力が要求さ
れます。さらに、FileVault 保護を有効にすることも考慮してください。
n
ローカル モード クライアント システムは、リモートでイントラネットに接続されている場合よりも、ローカル モー
ドで実行している場合の方が多くネットワーク アクセスする可能性があります。ローカル モード クライアント シス
テムにイントラネット ネットワーク セキュリティ ポリシーを適用するか、ローカル モード クライアント システム
がローカル モードで実行している場合に、ネットワーク アクセスを無効にすることを考慮してください。
管理者ロールの割り当て
VMware View 環境の重要な管理タスクは、View Administrator を使用できるユーザーとそれらのユーザーに実行を許
可するタスクを決定することです。
View Administrator でタスクを実行する許可は、管理者ロールと権限から構成されるアクセス制御システムによって管
理します。ロールは権限のコレクションです。権限は、ユーザーへのデスクトップ プールに対する資格の付与や構成設定
の変更などの特定のアクションを実行する機能を与えます。さらに、権限は、管理者が View Administrator で表示でき
るものも制御します。
管理者は View Administrator でフォルダを作成してデスクトップ プールを再分割し、特定のデスクトップ プールの管
理を別の管理者に委任できます。管理者がフォルダ内のリソースへの管理者アクセスを構成するには、そのフォルダに対
するロールをユーザーに割り当てます。管理者は、ロールを割り当てたフォルダに存在するリソースにのみアクセスでき
ます。管理者がフォルダに対して持つロールによって、管理者がそのフォルダ内のリソースに対して持つアクセスのレベ
ルが決定します。
View Administrator には一連の定義済みのロールが備えられています。管理者は、選択した権限を組み合わせてカスタ
ム ロールを作成することもできます。
56
VMware, Inc.
第 5 章 セキュリティ機能の計画
セキュリティ サーバを使用するための準備
セキュリティ サーバは、View Connection Server 機能のサブセットを実行する、View Connection Server の特殊な
インスタンスです。セキュリティ サーバを使用すると、インターネットと内部ネットワークとの間にセキュリティのレイ
ヤを追加できます。
セキュリティ サーバは DMZ 内に存在し、信頼されるネットワーク内の接続に対してプロキシ ホストの役割を果たしま
す。各セキュリティ サーバは View Connection Server のインスタンスと対になっていて、すべてのトラフィックをそ
のインスタンスに転送します。この設計では、公衆網に接するインターネットから View Connection Server インスタン
スを遮断し、保護されていないすべてのセッション要求が強制的にセキュリティ サーバを通過するようにして、セキュリ
ティのレイヤを追加します。
DMZ ベースのセキュリティ サーバの展開では、クライアントが DMZ 内のセキュリティ サーバに接続できるようにファ
イアウォール上で数個のポートを開く必要があります。また、セキュリティ サーバと内部ネットワーク内の View
Connection Server インスタンスが通信できるように、ポートを構成する必要があります。個別のポートの詳細につい
ては、「DMZ ベースのセキュリティ サーバのファイアウォール ルール (P. 60)」を参照してください。
内部ネットワーク内からはユーザーが任意の View Connection Server インスタンスに直接接続できるため、LAN ベー
スの展開にはセキュリティ サーバを実装する必要はありません。
注意 View 4.6 からは、セキュリティ サーバに PCoIP Secure Gateway コンポーネントが含まれるため、PCoIP 表示プ
ロトコルを使用するクライアントは VPN ではなくセキュリティ サーバを使用できます。
PCoIP を使用するための VPN の設定の詳細については、弊社 Web サイトの次のページを参照してください。
n
『VMware View and Juniper Networks SA Servers SSL VPN Solution』
n
『VMware View and F5 BIG-IP SSL VPN Solution』
n
『VMware View and Cisco Adaptive Security Appliances (ASA) SSL VPN Solution』
セキュリティ サーバ展開のベスト プラクティス
DMZ でセキュリティ サーバを運用する場合、ベスト プラクティスのセキュリティ ポリシーおよび手順に従う必要があ
ります。
DMZ Virtualization with VMware Infrastructure』ホワイト ペーパーに、仮想 DMZ のベスト プラクティスの例を紹
介しています。このホワイト ペーパーの推奨事項の多くは、物理 DMZ にも適用されます。
フレーム ブロードキャストの範囲を制限するには、セキュリティ サーバと組み合わせた View Connection Server イン
スタンスを、分離されたネットワークに展開する必要があります。このトポロジによって、内部ネットワーク上の悪意あ
るユーザーによるセキュリティ サーバと View Connection Server インスタンス間の通信の監視を防止することができ
ます。
または、ネットワーク スイッチの高度なセキュリティ機能を使用して、セキュリティ サーバと View Connection Server
の通信の悪意ある監視を防止し、ARP キャッシュ ポイズニングなどの監視攻撃に対して保護することもできます。詳細
については、お使いのネットワーク機器の管理マニュアルを参照してください。
セキュリティ サーバのトポロジ
複数の異なるセキュリティ サーバ トポロジを実装できます。
図 5-2 のトポロジは、ロード バランスされた 2 台のセキュリティ サーバを DMZ に配置した高可用性環境を示していま
す。 これらのセキュリティ サーバは、内部ネットワーク内の 2 つの View Connection Server インスタンスと通信しま
す。
VMware, Inc.
57
VMware View アーキテクチャの計画
図 5-2. DMZ 内のロード バランスされたセキュリティ サーバ
リモート
View Client
外部ネットワーク
DMZ
ロード バランシング
View
Security
Server
View
Connection
Server
Microsoft
Active Directory
vCenter
管理サーバ
仮想デスクトップ仮想マシンを
実行する ESX ホスト
リモート ユーザーがセキュリティ サーバに接続する場合、View デスクトップにアクセスするには、認証に成功する必要
があります。DMZ の両側に適切なファイアウォール ルールが適用されるため、このトポロジは、インターネット上のク
ライアント デバイスから View デスクトップにアクセスする場合に適しています。
View Connection Server の各インスタンスに複数のセキュリティ サーバを接続できます。DMZ 展開を標準展開と組み
合わせて、内部ユーザーと外部ユーザーにアクセスを提供できます。
図 5-3 のトポロジは、View Connection Server の 4 つのインスタンスが 1 つのグループとして機能する環境を示して
います。 内部ネットワーク内のインスタンスは内部ネットワークのユーザー専用であり、外部ネットワーク内のインスタ
ンスは外部ネットワークのユーザー専用です。セキュリティ サーバと対になっている View Connection Server インス
タンスで RSA SecurID 認証を有効にすると、すべての外部ネットワーク ユーザーに RSA SecurID トークンを使用した
認証が義務付けられます。
58
VMware, Inc.
第 5 章 セキュリティ機能の計画
図 5-3. 複数のセキュリティ サーバ
リモート
View Client
View Client
外部ネットワーク
DMZ
内部ネットワーク
ロード バランシング
View
Security
Server
ロード バランシング
View
Connection
Server
Microsoft
Active Directory
vCenter
管理サーバ
仮想デスクトップ仮想マシンを
実行する ESX ホスト
セキュリティ サーバを複数インストールする場合は、ハードウェアまたはソフトウェアのいずれかのロード バランシン
グ ソリューションを実装する必要があります。View Connection Server 自体はロード バランシング機能を提供しませ
ん。View Connection Server は他社製の標準的なロード バランシング ソリューションと連動します。
DMZ ベースのセキュリティ サーバのファイアウォール
DMZ ベースのセキュリティ サーバの展開には、2 つのファイアウォールを含める必要があります。
n
DMZ と内部ネットワークの両方を保護するために、外部ネットワークに接しているフロント エンド ファイアウォー
ルが必要です。外部からのネットワーク トラフィックが DMZ に到達できるように、このファイアウォールを構成
します。
n
2 つ目のセキュリティの層を提供するために、DMZ と 内部ネットワークの間のバック エンド ファイアウォールが
必要です。DMZ 内のサービスから送信されたトラフィックだけを受け入れるように、このファイアウォールを構成
します。
ファイアウォール ポリシーによって DMZ サービスからの受信通信が厳格に制御されるため、内部ネットワークが侵害さ
れるリスクが大幅に軽減されます。
図 5-4 は、フロント エンド ファイアウォールとバック エンド ファイアウォールを含む構成の例を示しています。
VMware, Inc.
59
VMware View アーキテクチャの計画
図 5-4. デュアル ファイアウォール トポロジ
View Client
View Client
HTTPS
トラフィック
フロントエンド
ファイアウォール
HTTPS
トラフィック
DMZ
フォールト トレラント
ロード バランシング
メカニズム
View
Security
Server
View
Security
Server
バック エンド
ファイアウォール
View
Connection
Server
View
Connection
Server
内部
ネットワーク
VMware
vCenter
Active
Directory
VMware
ESX サーバ
DMZ ベースのセキュリティ サーバのファイアウォール ルール
DMZ ベースのセキュリティ サーバには、フロント エンド ファイアウォールとバック エンド ファイアウォールに関する
特定のファイアウォール ルールが必要です。
フロント エンド ファイアウォールのルール
外部のクライアント デバイスが DMZ 内のセキュリティ サーバに接続できるようにするには、フロント エンド ファイア
ウォールで、トラフィックを特定の TCP ポートおよび UDP ポートで許可する必要があります。 表 5-1 にフロント エン
ド ファイアウォールのルールの概要を示します。
表 5-1. フロント エンド ファイアウォールのルール
送信元
プロトコル
ポート
送信先
備考
任意
HTTP
80
セキュリティ サーバ
SSL が無効になっている場合、外部クライアント デバイ
スは DMZ 内のセキュリティ サーバへの接続にポート 80
を使用します。
任意
HTTPS
443
セキュリティ サーバ
SSL が有効になっている場合（デフォルト）、外部クライ
アント デバイスは DMZ 内のセキュリティ サーバへの接
続にポート 443 を使用します。
任意
PCoIP
TCP 443
UDP 443
セキュリティ サーバ
SSL が有効になっている場合、外部クライアント デバイ
スは DMZ 内のセキュリティ サーバへの接続に TCP ポー
ト 4172 を使用し、UDP ポート 4172 も両方向で使用し
ます。
60
VMware, Inc.
第 5 章 セキュリティ機能の計画
バック エンド ファイアウォールのルール
セキュリティ サーバが、内部ネットワーク内に存在する各 View Connection Server インスタンスと通信できるように
するには、バック エンド ファイアウォールで、受信トラフィックを特定の TCP ポートで許可する必要があります。View
デスクトップと View Connection Server インスタンスが互いに通信できるようにするために、バック エンド ファイア
ウォールの背後で、内部のファイアウォールが同様に構成されている必要があります。 表 5-2 にバック エンド ファイア
ウォールのルールの概要を示します。
表 5-2. バック エンド ファイアウォールのルール
送信元
プロトコル
ポート
送信先
備考
セキュリティ サーバ
HTTP
80
Transfer Server
セキュリティ サーバは、Transfer Server か
らローカル モードのデスクトップに View デ
スクトップのデータをダウンロードするた
め、および Transfer Server にデータを複製
するために、ポート 80 を使用できます。
セキュリティ サーバ
HTTPS
443
Transfer Server
ローカル モードでの動作およびデスクトップ
のプロビジョニングに SSL を使用するよう
に View Connection Server を構成すると、
セキュリティ サーバはローカル モードのデ
スクトップと Transfer Server の間のダウン
ロードおよび複製にポート 443 を使用します。
セキュリティ サーバ
AJP13
8009
View Connection Server
セキュリティ サーバは、AJP13 によって転
送された Web トラフィックを View
Connection Server インスタンスに送信す
るために、ポート 8009 を使用します。
セキュリティ サーバ
JMS
4001
View Connection Server
セキュリティ サーバは、Java Message
Service（JMS）トラフィックを View
Connection Server インスタンスに送信す
るために、ポート 4001 を使用します。
セキュリティ サーバ
RDP
3389
View デスクトップ
セキュリティ サーバは、RDP トラフィック
を View デスクトップに送信するために、
ポート 3389 を使用します。
注意 USB リダイレクトには、RDP ととも
に TCP ポート 32111 が使用されます。MMR
には、RDP とともに TCP ポート 9427 が使
用されます。
セキュリティ サーバ
PCoIP
TCP 4172
UDP
4172
View デスクトップ
セキュリティ サーバは、PCoIP トラフィッ
クを View デスクトップに送信するために
TCP ポート 4172 を使用し、PCoIP トラ
フィックを両方向に送信するために UDP ポー
ト 4172 を使用します。
USB リダイレクトには、クライアントから
View デスクトップへ PCoIP とともに TCP
ポート 32111 が使用されます。
View Connection Server 間通信に使用される TCP ポート
View Connection Server インスタンスのグループは、互いに通信するために追加の TCP ポートを使用します。たとえ
ば View Connection Server インスタンスは、JMS のルータ間（JMSIR）トラフィックを互いに送信するために、ポー
ト 4100 を使用します。通常、ファイアウォールはグループ内の View Connection Server インスタンス間では使用され
ません。
VMware, Inc.
61
VMware View アーキテクチャの計画
VMware View 通信プロトコルについて
VMware View のコンポーネントは、複数の異なるプロトコルを使用してメッセージをやりとりします。
図 5-5 は、セキュリティ サーバが構成されていない場合に各コンポーネントが通信に使用するプロトコルを示していま
す。この場合、RDP および PCoIP Secure Gateway 用の安全なトンネルは確立されていません。この構成は一般的な
LAN の展開で使用される可能性があります。
図 5-5. セキュリティ サーバが構成されていない VMware View のコンポーネントとプロトコル
Mac、Windows、および Linux クライアント
シン クライアント
RDP
クライアント
シン クライアント
オペレーティング
システム
View
Client
PCoIP
RDP
PCoIP
HTTP(S)
HTTP(S)
View
Administrator
View Secure
GW Server と PCoIP
Secure GW
View
Connection
Server
View
Messaging
RDP
HTTP(S)
View Broker と
Admin Server
SOAP
vCenter
Server
View Manager
LDAP
JMS
RDP
PCoIP
RDP
View Agent
PCoIP
View デスクトップ
仮想マシン
注意 この図は、PCoIP または RDP を使用するクライアントへの直接接続を示しています。ただし、デフォルト設定で
は、PCoIP には直接接続、RDP にはトンネル接続が使用されます。
各プロトコルで使用されるデフォルト ポートについては、表 5-3 を参照してください。
図 5-6 は、セキュリティ サーバが構成されている場合に各コンポーネントが通信に使用するプロトコルを示しています。
この構成は一般的な WAN の展開で使用される可能性があります。
62
VMware, Inc.
第 5 章 セキュリティ機能の計画
図 5-6. セキュリティ サーバが構成されている VMware View のコンポーネントとプロトコル
Mac、Windows、および Linux クライアント
シン クライアント
RDP
クライアント
シン クライアント
オペレーティング
システム
View
Client
HTTP(S)
HTTP(S)
HTTP(S)
HTTP(S)
HTTP(S)
View
Security
Server
RDP
View Secure
GW Server と PCoIP
Secure GW
PCoIP
PCoIP
RDP
JMS
AJP13
View
Administrator
View Secure
GW Server と PCoIP
Secure GW
View
Connection
Server
View
Messaging
HTTP(S)
View Broker と
Admin Server
SOAP
vCenter
Server
View Manager
LDAP
JMS
RDP
PCoIP
RDP
PCoIP
View Agent
View デスクトップ
仮想マシン
表 5-3 に、各プロトコルで使用されるデフォルト ポートを示します。
表 5-3. デフォルト ポート
プロトコル
ポート
JMS
TCP ポート 4001
AJP13
TCP ポート 8009
注意 AJP13 はセキュリティ サーバの構成のみで使用されます。
HTTP
TCP ポート 80
HTTPS
TCP ポート 443
RDP
TCP ポート 3389
USB リダイレクトには、RDP とともに TCP ポート 32111 が使用
されます。MMR には、RDP とともに TCP ポート 9427 が使用さ
れます。
注意 View Connection Server インスタンスが直接クライアント
接続用に構成されている場合、それらのプロトコルはクライアント
から View デスクトップに直接接続され、View Secure Gateway
Server コンポーネントを介してトンネリングされません。
VMware, Inc.
63
VMware View アーキテクチャの計画
表 5-3. デフォルト ポート (続き)
プロトコル
ポート
SOAP
TCP ポート 80 または 443
PCoIP
View Client から View デスクトップへの TCP ポート 4172。
PCoIP では双方向で UDP ポート 4172 も使用されます。
USB リダイレクトには、クライアントから View デスクトップへ
PCoIP とともに TCP ポート 32111 が使用されます。
View ブローカーと管理サーバ
View Connection Server のコアである View Broker コンポーネントは、VMware View クライアントと View
Connection Server 間のすべてのユーザー操作を管理します。View Broker には、View Administrator Web クライア
ントに使用される Administration Server も含まれます。
View Broker は vCenter Server と緊密に連動して、仮想マシン作成や電源操作を含む View デスクトップの高度な管理
を実現します。
View Secure Gateway Server
View Secure Gateway Server は、VMware View クライアントとセキュリティ サーバまたは View Connection Server
インスタンスとの安全な HTTPS 接続を実現するサーバ側コンポーネントです。
View Connection Server のトンネル接続を構成すると、RDP、USB、およびマルチメディア リダイレクト（MMR）ト
ラフィックが View Secure Gateway コンポーネントを介してトンネリングされます。直接クライアント接続を構成する
と、それらのプロトコルはクライアントから View デスクトップに直接接続され、View Secure Gateway Server コン
ポーネントを介してトンネリングされません。
注意 PCoIP 表示プロトコルを使用するクライアントは USB リダイレクトおよびマルチメディア リダイレクト（MMR）
のアクセラレーションのためにトンネル接続を使用できますが、他のすべてのデータについては、PCoIP ではセキュリ
ティ サーバ上の PCoIP Secure Gateway が使用されます。
HP RGS ではトンネル接続がまったく使用されません。
View Secure Gateway Server は、VMware View クライアントから View Broker コンポーネントへの、ユーザー認証
やデスクトップ選択トラフィックを含むその他の Web トラフィックの転送も管理します。また、View Secure Gateway
Server は View Administrator クライアントの Web トラフィックを Administration Server コンポーネントに渡します。
PCoIP Secure Gateway
View 4.6 からは、セキュリティ サーバに PCoIP Secure Gateway コンポーネントが含まれます。PCoIP Secure Gateway
を有効にすると、認証が行われた後、PCoIP を使用する View クライアントがセキュリティ サーバへの第 2 の安全な接
続を確立できます。この接続により、リモート クライアントがインターネットから View デスクトップにアクセスできる
ようになります。
PCoIP Secure Gateway コンポーネントを有効にすると、PCoIP トラフィックがセキュリティ サーバによって View デ
スクトップに転送されます。PCoIP を使用するクライアントで USB リダイレクト機能またはマルチメディア リダイレク
ト（MMR）のアクセラレーションも使用する場合は、そのデータを転送するために View Secure Gateway コンポーネ
ントを有効にできます。
直接クライアント接続を構成した場合は、PCoIP トラフィックとその他のトラフィックが View クライアントから View
デスクトップに直接送信されます。
自宅やモバイルの就業者などのエンド ユーザーがインターネットからデスクトップにアクセスする場合、必要なレベルの
セキュリティおよび接続性がセキュリティ サーバによって提供されるため、VPN 接続は必要ありません。PCoIP Secure
Gateway コンポーネントによって、企業のデータ センターに入ることができるリモート デスクトップ トラフィックが、
強力な認証を経たユーザーのトラフィックに確実に限定されます。エンド ユーザーはアクセスが許可されているデスク
トップ リソースにのみアクセスできます。
64
VMware, Inc.
第 5 章 セキュリティ機能の計画
View LDAP
View LDAP は View Connection Server の組み込み LDAP ディレクトリであり、すべての VMware View 構成データ
の構成リポジトリです。
View LDAP には、各 View デスクトップ、アクセス可能な各 View デスクトップ、まとめて管理される複数の View デ
スクトップ、および View コンポーネントの構成設定を表すエントリが含まれています。
View LDAP には、他の View コンポーネントに自動化および通知サービスを提供する、一連の View プラグイン DLL も
含まれています。
View Messaging
View Messaging コンポーネントは、View Connection Server コンポーネント間、および View Agent と View
Connection Server との間のメッセージング ルータとして機能します。
このコンポーネントは、VMware View でのメッセージングに使用される Java Message Service（JMS）API をサポー
トしています。
デフォルトで、コンポーネント間メッセージ検証に使用される RSA キーは 512 ビットです。暗号化を強化する場合は、
RSA キー サイズを 1024 ビットに増やすことができます。
すべてのキーを 1024 ビットにする場合は、最初の View Connection Server インスタンスをインストールした直後に、
追加のサーバやデスクトップを作成する前に、RSA キー サイズを変更する必要があります。詳細については、VMware
ナレッジ ベース（KB）の記事 1024431 を参照してください。
View Connection Server のファイアウォール ルール
View Connection Server インスタンスおよびセキュリティ サーバ用にファイアウォールの特定のポートを開く必要があ
ります。
View Connection Server を Windows Server 2008 にインストールするときは、必要な Windows ファイアウォール
ルールをインストール プログラムのオプションで自動的に構成できます。View Connection Server を Windows Server
2003 にインストールするときは、必要な Windows ファイアウォール ルールを手動で構成する必要があります。
表 5-4. View Connection Server のインストール中に開くポート
プロトコル
ポート
View Connection Server インスタンスの種類
JMS
TCP 4001 受信
標準およびレプリカ
JMSIR
TCP 4100 受信
標準およびレプリカ
AJP13
TCP 8009 受信
標準およびレプリカ
HTTP
TCP 80 受信
標準、レプリカ、およびセキュリティ サーバ
HTTPS
TCP 443 受信
標準、レプリカ、およびセキュリティ サーバ
PCoIP
TCP 4172 受信、
UDP 4172 双方向
標準、レプリカ、およびセキュリティ サーバ
View Agent のファイアウォール ルール
View Agent インストール プログラムはファイアウォールの特定の TCP ポートを開きます。これらのポートは、特に記
述のない限り受信ポートです。
表 5-5. View Agent のインストール時に開かれる TCP ポート
プロトコル
ポート
RDP
3389
USB リダイレクト
32111
VMware, Inc.
65
VMware View アーキテクチャの計画
表 5-5. View Agent のインストール時に開かれる TCP ポート (続き)
プロトコル
ポート
MMR
9427
PCoIP
4172（TCP および UDP）
HP RGS
42966
View Agent インストール プログラムによって、ホスト OS の現在の RDP ポート（通常は 3389）に合わせて受信 RDP
接続のローカル ファイアウォール ルールが構成されます。この RDP ポート番号を変更する場合は、関連するファイア
ウォール ルールも変更する必要があります。
View Agent インストール プログラムに、リモート デスクトップのサポートを有効にしないように指示した場合、ポー
ト 3389 および 32111 が開かれないため、それらのポートを手動で開く必要があります。
HP RGS Sender アプリケーションは、HP RGS リモート表示プロトコルのサーバ側コンポーネントです。HP RGS Sender
はデフォルトでポート 42966 を使用します。
仮想マシン テンプレートをデスクトップ ソースとして使用する場合は、そのテンプレートがデスクトップ ドメインのメ
ンバーである場合にのみ、展開されたデスクトップにファイアウォールの例外が継承されます。Microsoft のグループ ポ
リシー設定を使用して、ローカルでのファイアウォールの例外を管理できます。詳細については、Microsoft のサポート
技術情報（KB）の記事 875357 を参照してください。
Active Directory のファイアウォール ルール
VMware View 環境と Active Directory サーバの間にファイアウォールがある場合は、必要なポートがすべて開いてい
ることを確認する必要があります。
たとえば View Connection Server は、Active Directory グローバル カタログおよび Lightweight Directory Access
Protocol（LDAP）サーバにアクセスできる必要があります。使用しているファイアウォール ソフトウェアによってグ
ローバル カタログと LDAP のポートがブロックされると、管理者がユーザーの資格を構成する際に問題が発生します。
ファイアウォールを介して Active Directory を正常に機能させるために開く必要があるポートの詳細については、使用
する Active Directory サーバのバージョンに関する Microsoft のマニュアルを参照してください。
View Client with Local Mode のファイアウォール ルール
View Client with Local Mode のデータはポート 902 を介してダウンロードおよびアップロードされます。View Client
with Local Mode を使用する予定の場合は、ESX ホストがポート 902 にアクセスできるようにする必要があります。
66
VMware, Inc.
VMware View 環境のセットアップ手順の
概要
6
次の高水準のタスクを完了して、VMware View のインストールと初期展開の構成を行います。
表 6-1. View のインストールおよびセットアップのチェックリスト
ステップ
タスク
1
必要な管理者ユーザーおよびグループを Active Directory で設定します。
手順：『VMware View のインストール』および vSphere のマニュアル
2
まだ行っていない場合は、VMware ESX/ESXi ホストおよび vCenter Server をインストールして設定します。
手順：vSphere のマニュアル
3
リンク クローン デスクトップを展開する場合は、View Composer を vCenter Server システムにインストールします。
手順：『VMware View のインストール』ドキュメント
4
View Connection Server をインストールして設定します。
手順：『VMware View のインストール』ドキュメント
5
デスクトップをローカル モードで使用する場合は、Transfer Server をインストールします。
手順：『VMware View のインストール』ドキュメント
6
完全クローン デスクトップ プールのテンプレートとして、またはリンク クローン デスクトップ プールの親として使用で
きる仮想マシンを 1 台以上作成します。
手順：『VMware View の管理』ドキュメント
7
デスクトップ プールを作成します。
手順：『VMware View の管理』ドキュメント
8
デスクトップへのユーザー アクセスを制御します。
手順：『VMware View の管理』ドキュメント
9
エンド ユーザーのマシンに View Client をインストールして、エンド ユーザーが View デスクトップにアクセスできる
ようにします。
手順：VMware View のインストール
10
（オプション）追加の管理者を作成して構成し、特定のインベントリ オブジェクトと設定に対して異なるレベルのアクセ
ス権を許可します。
手順：『VMware View の管理』ドキュメント
11
（オプション）ポリシーを構成して、View コンポーネント、デスクトップ プール、およびデスクトップ ユーザーの動作
を制御します。
手順：『VMware View の管理』ドキュメント
12
（オプション）セキュリティを強化するために、スマート カード認証と RSA SecurID ソリューションを統合します。
手順：『VMware View の管理』ドキュメント
VMware, Inc.
67
VMware View アーキテクチャの計画
68
VMware, Inc.
インデックス
.vmdk フアイル 33
Microsoft Remote Desktop Connection Client for
Mac 12
A
N
記号
Active Directory 9, 27, 53
Administration Server 64
ADM テンプレート ファイル 56
Adobe Flash 23
AJP13 プロトコル 60, 62
C
CPU の見積もり 33, 38
D
Distributed Resource Scheduler（DRS） 42
DMZ 11, 57, 59, 64
E
ESX ホスト 34
G
GPO、View デスクトップのセキュリティ設定 56
H
HA クラスタ 40, 42
HP RGS 15, 18, 51
I
I/O ストーム 44
iSCSI SAN アレイ 24
J
Java Message Service 65
Java Message Service プロトコル 60
JMS プロトコル 60, 62
L
LDAP 構成データ 13
LDAP ディレクトリ 11, 65
Linux クライアント 12
LUN 25
M
Mac クライアント 10, 12
Microsoft RDP 15, 18, 21, 51
VMware, Inc.
NAS アレイ 24
P
PCoIP 7, 9, 15, 17, 51, 57, 64
PCoIP Secure Gateway 接続 50, 57, 64
R
RSA SecurID 認証 53
RSA キー サイズ、変更 65
S
SCOM 13
SCSI アダプタのタイプ 38
T
TCP ポート
Active Directory 66
View Agent 65
View Client with Local Mode 66
View Connection Server 65
ThinApp 26
U
UDP ポート 60
Unified Access 40
USB デバイス、View デスクトップでの使用 9, 15,
20
USB リダイレクト 20
V
vCenter、構成 40
vCenter Server 12, 23
vdmadmin コマンド 13
View Administrator 12, 27
View Agent 12, 27
View Broker 64
View Client 11, 27
View Client for Linux 11
View Client with Local Mode、接続 52
View Composer、操作 40, 44
View Connection Server
RSA SecurID 認証 53
69
VMware View アーキテクチャの計画
概要 11
グループ化 57
構成 12, 27, 40
スマート カード認証 53
ロード バランシング 57
View Messaging 65
View Open Client 11
View PowerCLI 13
View Secure Gateway Server 64
View Transfer Server
構成 41
ローカル デスクトップの同期化 13
View Portal 10, 12
View デスクトップの構成 29
View ノードの構成 34
View の展開図 9
View の展開の図 9
View ビルディング ブロック 43, 44
View ポッド 46
VMotion 42
VMware View with Local Mode、「ローカル デスク
トップ」を参照
VMware View セットアップのチェックリスト 67
vSphere 7, 9, 24
vSphere クラスタ 42, 43
W
か
仮想印刷機能 9, 15, 20
仮想デスクトップの基本イメージ 24, 25
仮想デスクトップへのディスク容量の割り当て 33, 38
仮想プライベート ネットワーク 17, 57
仮想マシン構成
vCenter 用 40
View Composer 用 40
View Connection Server 用 40
View Transfer Server 用 41
View デスクトップ用 29
仮想マシンへの RAM の割り当て 31, 38
仮想マシンへのメモリの割り当て 31, 38
管理者ロール 56
管理対象サービスとしてのデスクトップ (DaaS) 7
き
キオスク モード 38
機能サポート マトリックス 15
共有ストレージ 24, 44
く
クライアント システム、セキュリティ保護のベスト プ
ラクティス 56
クライアント接続
WAN の構成 43
WAN のサポート 45
Windows のページ ファイル 33
Wyse MMR 15, 21
PCoIP Secure Gateway 50, 57, 64
直接 51
トンネル 51
クラスタ、vSphere 42
クローン、リンク 12, 26
あ
け
アーキテクチャ設計の要素 29
ゲートウェイ サーバ 64
アプリケーションの仮想化およびプロビジョニン
グ 25–27
「現在のユーザーとしてログイン」機能 21, 54
アプリケーションのストリーミング 26
こ
暗号化
コア、仮想マシンの密度 33
Microsoft RDP でのサポート 18
PCoIP でのサポート 17
ユーザー認証情報 54
い
委任された管理 56
印刷、仮想 20
え
エージェント、View 12
お
オフライン デスクトップ（ローカル モード）、「ローカ
ル デスクトップ」を参照
70
親仮想マシン 25, 26
更新機能 26, 33
さ
再構成機能 26
再分散機能 25
サスペンド ファイル 31, 33
サポートされるメディア ファイル形式 21
し
資格、制限付き 54
就業者のタイプ 29–31, 33, 35
処理要件 33
シン クライアント サポート 10, 15
シングル サインオン（SSO） 12, 21, 54
VMware, Inc.
インデックス
す
スケーラビリティ、計画 29
ストレージ、低減、View Composer による 24, 25
ストレージ構成 44
ストレージ帯域幅 44
スナップショット 26
スマート カード認証 53
スマート カード リーダ 20, 53
スワップ ファイル 31
せ
制限付き資格 54
セキュリティ機能、計画 49
セキュリティ サーバ
PCoIP Secure Gateway 64
概要 11
実装 57
展開のベスト プラクティス 57
ファイアウォール ルール 60
ロード バランシング 57
接続のタイプ
PCoIP Secure Gateway 50, 57, 64
外部クライアント 57
クライアント 49
直接 51
トンネル 51
セットアップ、VMware View 67
専用割り当てデスクトップ プール 23, 25
そ
ソフトウェア プロビジョニング 26, 27
た
ターミナル サーバ 40
帯域幅 44, 45
タスク ワーカー 30, 31, 36
ち
デスクトップ プール 12, 23, 25, 35
デュアル ファイアウォール トポロジ 59
テンプレエト、GPO 27
と
トンネリングされた通信 52, 64
トンネル接続 40, 51
な
ナレッジ ワーカー 30, 31, 36
に
認証情報、ユーザー 54
ね
ネットワーク帯域幅 44, 45
は
バック エンド ファイアウォール
構成 59
ルール 60
パワー ユーザー 30
ひ
ビジネス インテリジェンス ソフトウェア 13
非武装地帯 57, 59, 64
表示プロトコル
HP RGS 15, 18, 51
Microsoft RDP 15, 18, 51
PCoIP 51, 57
View PCoIP 9, 15, 17
定義 17
ふ
ファイアウォール
バック エンド 59
フロントエンド 59
ルール 60
ファイアウォール ルール
通信プロトコル、理解 62
Active Directory 66
View Agent 65
View Client with Local Mode 66
View Connection Server 65
ファイバ チャネル SAN アレイ 24
て
プール
キオスク ユーザー 38
直接クライアント接続 40, 51
つ
通常のディスク 25
データストア 25
タスク ワーカー 36
データベースのサイズ設定 40
デスクトップ 25, 35
データベースのタイプ 43
ナレッジ ワーカー 36
テクニカル サポート 5
ローカル モードのユーザー 37
デスクトップ 12
プール、デスクトップ 12, 23
デスクトップ ソース 23
複数モニタ 9, 17, 18, 21
デスクトップのプロビジョニング 7
物理 PC 40
VMware, Inc.
71
VMware View アーキテクチャの計画
ブラウザ、サポートされる 12
プリンタ 15
フローティング割り当てデスクトップ プール 23
プロフェッショナル サービス 5
フロント エンド ファイアウォール
構成 59
ルール 60
ほ
ポリシイ、デスクトツプ 27
ま
マルチメディア ストリーミング 21
マルチメディアのストリーミング 21
マルチメディア リダイレクト（MMR） 21
め
メッセージング ルータ 65
ゆ
ユーザー認証
Active Directory 53
RSA SecurID 53
スマート カード 53
方法 52
ユーザーのタイプ 30
り
リモート デスクトップ、ローカル デスクトップとの比
較 18
リンク クローン 12, 25, 26, 40, 44
れ
レイテンシー 45
レガシー PC 10
レプリカ 25
ろ
ローカル デスクトップ、View Transfer Server 13
ローカル デスクトップの使用、メリット 18
ローカル モード、「ローカル デスクトップ」を参照
ローカル モードのユーザー 37
ロード バランシング、View Connection Server 46,
57
72
VMware, Inc.