Die Technik hinter dem Service
Ein Blick hinter die Kulissen des Service Virtueller Desktop (vDesk).
In diesem Artikel beschreiben wir Ihnen den grundlegenden Überblick über unseren Service Virtueller Desktop (vDesk).
Grundlegende Informationen dieses Artikels
Dieser Artikel wurde auf dem aktuellen Stand von März 2021 erstellt.
Weitere Informationen finden Sie im Hilfe-Bereich unter:
‒ Grundlegende Technik einfach erklärt Virtuelle Desktop-Infrastruktur (VDI)
‒ Alle unsere Standards Zahlen, Daten, Fakten
‒ Alle Fachbegriffe einfach erklärt vDesk-Glossar
Dieser Artikel ist auch für neuere Versionen gültig, aber Abbildungen können in der neuen Version abweichen. Daher bitten wir bitten um Verständnis, wenn sich im laufe der Zeit vielleicht einzelne Bereiche geändert haben. Falls Sie uns darauf aufmerksam machen möchten, können Sie dies über unser . Kontaktfomular
Grundlagen der vDesk-Umgebung
Wir setzen mit unserer vDesk-Umgebung auf die Technik VDI und setzen im Bereich dieser Technik auf den Marktführer Citrix mit seiner VDI-Lösung Virtual Apps and Desktops.
Citrix Virtual Apps and Desktops
Wir versprechen uns damit ein hohes Maß an Standards und auch für spezielle Herausforderungen eine passende Lösung, da der Hersteller weltweit verbreitet ist und Kunden aus unterschiedlichsten Bereichen betreut. Aufgrund des breiten Einsatzes können Sicherheitslücken schneller erkannt und zeitnah geschlossen werden. Dies spiegelt sich in regelmäßigen Updates und Sicherheitspatches wider, die wir umgehend prüfen und einspielen.
Erfahren Sie mehr über Citrix über den Link-Sammler „Citrix Virtual Apps and Desktops“ oben rechts.
Rund ums Management von VDI
Neben der Grundfunktion von Citrix setzen wir auf weitere Produkte, um die vDesk-Umgebung weiterzuentwickeln, die wir Ihnen im Abschnitt „vDesk-Management“ beschreiben.
Support- und Wartungsverträge
Aktive Support- und Wartungsverträge für Hardware und Software sichern zudem bei Störungen eine schnelle Fehlerbehebung, falls das Problem einmal nicht im Hause gelöst werden kann, wie beispielsweise durch einen defekten Arbeitsspeicher.
Beteiligung in der VDI-Community
Das Team ist in den verschiedensten Communities vertreten, dadurch kann es einen Austausch mit anderen Administrator_innen pflegen, Erfahrungen austauschen oder spezielle Herausforderungen gemeinsam lösen. Zudem ist das Team über Updates, Änderungen oder mögliche Sicherheitslücken sofort informiert.
Darstellung der vDesk-Umgebung
Aufgrund der Komplexität der vDesk-Umgebung werden wir die einzelnen Schritte anhand des Kundenzugriffs beschreiben ‒ die Schritte vom Endgerät des Kunden bis hin zum Zielgerät in der vDesk-Umgebung. Dabei erklären wir Ihnen die Funktionsweise der einzelnen Bereiche und Servergruppen. In den jeweiligen Abschnitten beschreiben wir die jeweiligen Teilbereiche des Bildes in kursiver Schrift, daher schauen Sie sich bitte dazu das folgende Übersichtsbild an.
Nutzung aus dem Internet (Blaue Zone)
Die vDesk-Umgebung ist grundsätzlich von überall aus erreichbar, jedoch gibt es mehrere Sicherheitsprüfungen und Einschränkungen, die den Zugriff stark regulieren.
Die vDesk-Umgebung ist aus dem Internet über das Border-Gateway der TU Darmstadt erreichbar. Dabei wird im ersten Schritt der Zugriff aus dem Internet in den Campus an diesem Gateway geprüft und die grundsätzliche Vermittlung validiert.
Dies betrifft Zugriffe von Ihrem mobilen Arbeitsplatz oder Ihrem privaten Endgerät. Jedoch sind nicht pauschal alle Zugriffe aus dem Internet gestattet, siehe Abschnitt NetScaler-Gateway.
Benutzung aus dem Campus der TU-Darmstadt (Grüne Zone)
Nach der Prüfung am Border-Gateway werden im nächsten Schritt der Zugriff aus dem Campus an einer zentralen Hardwarefirewall und der Verbindungsaufbau erstmals überprüft. Dies betrifft Zugriffe von Ihrem Arbeitsplatz innerhalb der TU Darmstadt.
Zentrale Hardwarefirewall (Rote Ziegelwand)
Wir setzen zwischen den unterschiedlichen Zonen auf mehrere Hardwarefirewalls, die die Zugriffe zwischen den Zonen prüfen und regulieren.
So schützen wir unsere Infrastruktur je nach Bereich und Funktion. Wir erreichen damit eine grundlegende hermetische Trennung zwischen dem Kundenbereich, wie den Webservern, und den schützenswerten Bereichen, wie dem Management und der Datenbank. So können wir einzelne Zugriffe je nach Funktion feingranular begrenzen.
NetScaler-Gateway (Gelbe Zone 1)
Der zentrale Einstiegspunkt ist das NetScaler-Gateway, das zugleich anhand der aufgerufenen Adresse, des verbundenen Endgeräts oder des Verbindungsstandards den Zugriff weiterleitet oder blockiert.
Die Sicherheitsstandards
sind am Gateway sehr hoch, da es sich um den ersten Anlaufpunkt für den Benutzer handelt. Die Website wird durch ein signiertes Zertifikat als vertrauenswürdige Verbindung geschützt. Darüber hinaus ist die gesamte Verbindung mittels HTTPS sowie durch modernste Verschlüsselungsalgorithmen verschlüsselt.
Weitere Informationen zu den Sicherheitsstandards
Die Verbindungsblockierung
erfolgt anhand verschiedener Kriterien, wie dem Patchstand des Endgeräts, oder anhand der zugreifenden IP-Adresse, damit keine unsichere Verbindung zustandekommt. Dies ist beispielsweise der Fall bei veralteten Browsern oder Betriebssystemen sowie bei allen Verbindungen außerhalb von Deutschland, da im Normalfall kein mobiles Arbeiten im Ausland stattfindet.
Die Benutzersteuerung
erfolgt am Gateway durch eine einheitliche Anmeldung mittels TU-ID. Dabei werden die Benutzer beispielsweise anhand der Adresse oder Gruppenmitgliedschaft an die jeweiligen vDesk-Portale der entsprechenden Clients verteilt.
Weitere Informationen zu den Zugangsmöglichkeiten der vDesk-Umgebung
Die Netzwerkverbindung
kann auf Basis des klassischen IPv4-Standards oder des moderneren IPv6-Standards erfolgen. Für den Benutzer erfolgt ab diesem Zeitpunkt aus Sicherheitsgründen die Verbindung nur noch indirekt und über den modernen IPv6-Standard.
NetScaler-LoadBalancer (Gelbe Zone 2)
Die Anwendungen und die Webseiten des vDesk-Portals werden durch einen LoadBalancer vor einem Ausfall oder Überlastung geschützt.
Dies kann durch einen Defekt oder durch einen Update-Prozess erfolgen. Dabei wird die vDesk-Umgebung nicht nur vor Ausfällen geschützt, sondern auch eine Lastverteilung der Webserver erzielt, um das System performant zu halten. Fällt beispielsweise einer dieser Server aus, so übernimmt der andere seine Funktion.
Citrix-Infrastruktur (Gelbe Zone 3.1)
Die Citrix-Infrastruktur der vDesk-Umgebung teilt sich in zwei Bereiche auf und stellt das vDesk-Portal sowie die Zugriffsverwaltung von Benutzern auf ihre verfügbaren Anwendungen bereit.
Citrix-Storefront
Die Storefront-Server stellen die Webseiten des vDesk-Portals bereit und dem Benutzer eine einheitliche Benutzeroberfläche zur Verfügung. Dabei werden Anwendungen nach verschiedenen Kategorien und Berechtigungen dargestellt.
Weitere Informationen zum vDesk-Portal
Citrix-Delivery-Controller
Die Delivery-Controller stellen die Verwaltung von Benutzern, Anwendungen und Workern zur Verfügung und ermöglichen einen benutzergesteuerten Zugriff auf die bereitgestellten Anwendungen.
vDesk-Management (Gelbe Zone 3.2)
Das vDesk-Management beheimatet unterschiedliche Funktionen, um standardisierte Anwendungen zu installieren, zu aktualisieren und bereitzustellen.
Dazu zählen auch Hilfesanwendungen im Bereich
- der Anwendungsbereitstellung,
- der Anwendungskonfiguration,
- des Profilmanagements und
- der Automatisierung.
Diese werden im Detail im Wissensbeitrag beschrieben. Die Entstehung einer virtuellen Anwendung
vDesk-Master (Gelbe Zone 4.1)
Damit virtuelle Anwendungen bereitgestellt werden können, werden die Anwendungen in virtuellen Maschinen installiert.
In diesen virtuellen Maschinen (VM) wird ein Betriebssystem sowie alle benötigten Anwendungen installiert. Im Grunde wie auf einem Bürorechner oder einem Laptop, nur auf einer virtuellen Maschine.
Sind alle Anwendungen und das Betriebssystem funktionsfähig, aktuell und geprüft, so könnten sich theoretisch die ersten Benutzer anmelden, aber dann würde es nur diese eine VM geben. Daher wird die VM, auch Master genannt, durch ein Abbild über eine sogenannte Provisionierung vervielfältigt. Durch die Provisionierung werden die Abbilder des Masters zudem leicht verändert, um Konflikte zwischen den Abbildern zu vermeiden.
Weitere Informationen zur Anwendungsbereitstellung
vDesk-Worker (Grüne Zone 4.2)
Die Worker sind also Abbilder des Masters und im Grunde eine virtuelle Maschine mit einem Betriebssystem, die die Anwendungen beherbergt.
Aus einem Master werden je nach Bedarf bei der Provisionierung entsprechende Worker erzeugt. Dies ermöglicht eine gute Skalierung und Redundanz der benötigten Anwendungen für die unterschiedlichsten Anwendungsfälle. Das hat jedoch zur Folge, dass dafür ein besonderes Cluster für die schnelle Bereitstellung der vielen virtuellen Maschinen der Worker benötigt wird. Das sogenannte Worker-Cluster hat neben einem klassichen Server-Cluster zusätzliche spezielle Anforderungen.
Weitere Informationen zum Worker-Cluster
