Die Technik hinter dem vDesk-Service

Ein Blick hinter die Kulissen des vDesk-Service

In diesem Artikel beschreiben wir Ihnen, den grundlegenden Überblick über unseren vDesk-Service.

Grundlegende Informationen dieses Artikels

Dieser Artikel wurde auf dem aktuellen Stand von März 2021 erstellt.

Weitere Informationen finden Sie im Hilfe-Bereich unter:
Virtuelle Desktop-Infrastruktur (VDI) ‒ Grundlegende Technik einfach erklärt
Zahlen, Daten, Fakten ‒ Alle unsere Standards
vDesk-Glossar ‒ Alle Fachbegriffe einfach erklärt

Dieser Artikel ist auch für neuere Versionen gültig, aber Abbildungen können in der neuen Version abweichen. Daher bitten wir bitten um Verständnis, wenn sich im laufe der Zeit vielleicht einzelne Bereiche geändert haben. Falls Sie uns darauf aufmerksam machen möchten, können Sie dies über unser Kontaktfomular.

Grundlagen der vDesk-Umgebung

Wir setzen mit unserer vDesk-Umgebung auf die Technik VDI und setzen im Bereich dieser Technik auf den Marktführer Citrix mit seiner VDI-Lösung Virtual Apps and Desktops.

Citrix Virtual Apps and Desktops

Wir versprechen uns damit ein hohes Maß an Standards und auch für spezielle Herausforderungen eine passende Lösung, da der Hersteller weltweit verbreitet ist und Kunden aus unterschiedlichsten Bereichen betreut. Aufgrund des breiten Einsatzes können Sicherheitslücken schneller erkannt und zeitnah geschlossen werden. Dies spiegelt sich in regelmäßigen Updates und Sicherheitspatches wider, die wir umgehend prüfen und einspielen.

Erfahren Sie mehr über Citrix über den Link-Sammler „Citrix Virtual Apps and Desktops“ oben rechts.

Rund ums Management von VDI

Neben der Grundfunktion von Citrix setzen wir auf weitere Produkte, um die vDesk-Umgebung weiterzuentwickeln, die wir Ihnen im Abschnitt „vDesk-Management“ beschreiben.

Support- und Wartungsverträge

Aktive Support- und Wartungsverträge für Hardware und Software sichern zudem bei Störungen eine schnelle Fehlerbehebung, falls das Problem einmal nicht im Hause gelöst werden kann, wie beispielsweise durch einen defekten Arbeitsspeicher.

Beteiligung in der VDI-Community

Das Team ist in den verschiedensten Communities vertreten, dadurch kann es einen Austausch mit anderen Administrator_innen pflegen, Erfahrungen austauschen oder spezielle Herausforderungen gemeinsam lösen. Zudem ist das Team über Updates, Änderungen oder mögliche Sicherheitslücken sofort informiert.

Darstellung der vDesk-Umgebung

Darstellung der vDesk-Umgebung mit Unterteilung in verschiedene Zonen

Aufgrund der Komplexität der vDesk-Umgebung werden wir die einzelnen Schritte anhand des Kundenzugriffs beschreiben ‒ die Schritte vom Endgerät des Kunden bis hin zum Zielgerät in der vDesk-Umgebung. Dabei erklären wir Ihnen die Funktionsweise der einzelnen Bereiche und Servergruppen. In den jeweiligen Abschnitten beschreiben wir die jeweiligen Teilbereiche des Bildes in kursiver Schrift, daher schauen Sie sich bitte dazu das folgende Übersichtsbild an.

Nutzung aus dem Internet (Blaue Zone)

Die vDesk-Umgebung ist grundsätzlich von überall aus erreichbar, jedoch gibt es mehrere Sicherheitsprüfungen und Einschränkungen, die den Zugriff stark regulieren.

Die vDesk-Umgebung ist aus dem Internet über das Border-Gateway der TU Darmstadt erreichbar. Dabei wird im ersten Schritt der Zugriff aus dem Internet in den Campus an diesem Gateway geprüft und die grundsätzliche Vermittlung validiert.

Dies betrifft Zugriffe von Ihrem mobilen Arbeitsplatz oder Ihrem privaten Endgerät. Jedoch sind nicht pauschal alle Zugriffe aus dem Internet gestattet, siehe Abschnitt NetScaler-Gateway.

Benutzung aus dem Campus der TU-Darmstadt (Grüne Zone)

Nach der Prüfung am Border-Gateway werden im nächsten Schritt der Zugriff aus dem Campus an einer zentralen Hardwarefirewall und der Verbindungsaufbau erstmals überprüft. Dies betrifft Zugriffe von Ihrem Arbeitsplatz innerhalb der TU Darmstadt.

Zentrale Hardwarefirewall (Rote Ziegelwand)

Wir setzen zwischen den unterschiedlichen Zonen auf mehrere Hardwarefirewalls, die die Zugriffe zwischen den Zonen prüfen und regulieren.

So schützen wir unsere Infrastruktur je nach Bereich und Funktion. Wir erreichen damit eine grundlegende hermetische Trennung zwischen dem Kundenbereich, wie den Webservern, und den schützenswerten Bereichen, wie dem Management und der Datenbank. So können wir einzelne Zugriffe je nach Funktion feingranular begrenzen.

NetScaler-Gateway (Gelbe Zone 1)

Der zentrale Einstiegspunkt ist das NetScaler-Gateway, das zugleich anhand der aufgerufenen Adresse, des verbundenen Endgeräts oder des Verbindungsstandards den Zugriff weiterleitet oder blockiert.

Die Sicherheitsstandards

sind am Gateway sehr hoch, da es sich um den ersten Anlaufpunkt für den Benutzer handelt. Die Website wird durch ein signiertes Zertifikat als vertrauenswürdige Verbindung geschützt. Darüber hinaus ist die gesamte Verbindung mittels HTTPS sowie durch modernste Verschlüsselungsalgorithmen verschlüsselt.
Weitere Informationen zu den Sicherheitsstandards

Die Verbindungsblockierung

erfolgt anhand verschiedener Kriterien, wie dem Patchstand des Endgeräts, oder anhand der zugreifenden IP-Adresse, damit keine unsichere Verbindung zustandekommt. Dies ist beispielsweise der Fall bei veralteten Browsern oder Betriebssystemen sowie bei allen Verbindungen außerhalb von Deutschland, da im Normalfall kein mobiles Arbeiten im Ausland stattfindet.

Die Benutzersteuerung

erfolgt am Gateway durch eine einheitliche Anmeldung mittels TU-ID. Dabei werden die Benutzer beispielsweise anhand der Adresse oder Gruppenmitgliedschaft an die jeweiligen vDesk-Portale der entsprechenden Clients verteilt.
Weitere Informationen zu den Zugangsmöglichkeiten der vDesk-Umgebung

Die Netzwerkverbindung

kann auf Basis des klassischen IPv4-Standards oder des moderneren IPv6-Standards erfolgen. Für den Benutzer erfolgt ab diesem Zeitpunkt aus Sicherheitsgründen die Verbindung nur noch indirekt und über den modernen IPv6-Standard.

NetScaler-LoadBalancer (Gelbe Zone 2)

Die Anwendungen und die Webseiten des vDesk-Portals werden durch einen LoadBalancer vor einem Ausfall oder Überlastung geschützt.

Dies kann durch einen Defekt oder durch einen Update-Prozess erfolgen. Dabei wird die vDesk-Umgebung nicht nur vor Ausfällen geschützt, sondern auch eine Lastverteilung der Webserver erzielt, um das System performant zu halten. Fällt beispielsweise einer dieser Server aus, so übernimmt der andere seine Funktion.

Citrix-Infrastruktur (Gelbe Zone 3.1)

Die Citrix-Infrastruktur der vDesk-Umgebung teilt sich in zwei Bereiche auf und stellt das vDesk-Portal sowie die Zugriffsverwaltung von Benutzern auf ihre verfügbaren Anwendungen bereit.

Citrix-Storefront

Die Storefront-Server stellen die Webseiten des vDesk-Portals bereit und dem Benutzer eine einheitliche Benutzeroberfläche zur Verfügung. Dabei werden Anwendungen nach verschiedenen Kategorien und Berechtigungen dargestellt.

Weitere Informationen zum vDesk-Portal

Citrix-Delivery-Controller

Die Delivery-Controller stellen die Verwaltung von Benutzern, Anwendungen und Workern zur Verfügung und ermöglichen einen benutzergesteuerten Zugriff auf die bereitgestellten Anwendungen.

vDesk-Management (Gelbe Zone 3.2)

Das vDesk-Management beheimatet unterschiedliche Funktionen, um standardisierte Anwendungen zu installieren, zu aktualisieren und bereitzustellen.

Dazu zählen auch Hilfesanwendungen im Bereich

  • der Anwendungsbereitstellung,
  • der Anwendungskonfiguration,
  • des Profilmanagements und
  • der Automatisierung.

Diese werden im Detail im Wissensbeitrag Die Entstehung einer virtuellen Anwendung beschrieben.

vDesk-Master (Gelbe Zone 4.1)

Damit virtuelle Anwendungen bereitgestellt werden können, werden die Anwendungen in virtuellen Maschinen installiert.

In diesen virtuellen Maschinen (VM) wird ein Betriebssystem sowie alle benötigten Anwendungen installiert. Im Grunde wie auf einem Bürorechner oder einem Laptop, nur auf einer virtuellen Maschine.

Sind alle Anwendungen und das Betriebssystem funktionsfähig, aktuell und geprüft, so könnten sich theoretisch die ersten Benutzer anmelden, aber dann würde es nur diese eine VM geben. Daher wird die VM, auch Master genannt, durch ein Abbild über eine sogenannte Provisionierung vervielfältigt. Durch die Provisionierung werden die Abbilder des Masters zudem leicht verändert, um Konflikte zwischen den Abbildern zu vermeiden.
Weitere Informationen zur Anwendungsbereitstellung

vDesk-Worker (Grüne Zone 4.2)

Die Worker sind also Abbilder des Masters und im Grunde eine virtuelle Maschine mit einem Betriebssystem, die die Anwendungen beherbergt.

Aus einem Master werden je nach Bedarf bei der Provisionierung entsprechende Worker erzeugt. Dies ermöglicht eine gute Skalierung und Redundanz der benötigten Anwendungen für die unterschiedlichsten Anwendungsfälle. Das hat jedoch zur Folge, dass dafür ein besonderes Cluster für die schnelle Bereitstellung der vielen virtuellen Maschinen der Worker benötigt wird. Das sogenannte Worker-Cluster hat neben einem klassichen Server-Cluster zusätzliche spezielle Anforderungen.
Weitere Informationen zum Worker-Cluster