none
Snapshots zentral lagern und laden...mit Hyper-V möglich? RRS feed

  • Frage

  • Hallo zusammen, 

    ich habe ein Problem und muss diesbezüglich etwas ausholen: 

    Wir sind ein kleines Software-Unternehmen und administrieren viele unserer Kunden aus der Ferne. Der Kunde stellt diesbezüglich einen "Weg" in sein Netzwerk bereit. Zu 90% über eine kundespezifische VPN-Lösung a'la Cisco etc. 
    Dieser VPN-Tunnel wird von mir eingerichtet und bleibt dann auch auf unbestimmte Zeit bestehen (für spätere Wartungsarbeiten, Software-Updates etc.). 

    Mein Problem: 

    Die Artenvielfalt der einzelnen VPN -Lösungen der Kunden sind extrem - jeder nutzt eine andere Lösung. Diese VPN-Clients "vertragen" sich auch untereinander nicht, und müssen gesondert installiert werden. 
    Jeder Client bringt diverse Treiber und Schnittstellen mit. Ausserdem gibt es bis dato 5 Mitarbeiter die sich um die Remote-Kunden kümmern - somit müssen die Zugänge zentral und für jeden zur Verfügung stehen. 

    Bisherige Lösung: 

    Jeder Kunde bekommt eine eigene virtuelle Maschine (Windows XP) in unserer DMZ. In dieser VM wird der jeweilige VPN-Client eingerichtet, über welchen dann letztendlich der Tunnel zum Kunden XYZ geschlagen wird. 
    Die einzelnen Mitarbeiter arbeiten über die Konsole der VM, stellen die VPN-Verbindung her und graben sich dann via RDP oder VNC bis zu unserem Leitsystem durch. 

    Problem: 

    Utopie…jede VM kostet Speicherplatz und Performance…möchte mit Updates versorgt werden etc. Demnächst läuft Windows XP aus, wenn ich dann die VM's auf Windows 7 umstelle wird der Aufwand noch heftiger und undurchsichtiger (mal abgesehen vom Aufwand einer Migration). 

    Als Virtualisierer haben wir bisher VMware im Einsatz. Allerdings bekomme ich die oben beschriebene Problematik nicht via VMware gelöst bzw. habe ich meines Erachtens alles ausgiebig getestet.

    Folgende Wunsch-Lösungen würden mir vorschweben

    [b]A:[/b] die jeweilige VPN-Konfiguration liegt in Form eines exportierten Snapshots an einer zentralen Stelle (z.Bsp. auf einem zentralen Datenspeicher). Jeder Mitarbeiter hat seine eigene VM, mit welcher er letzten Endes die Remote-Verbindung herstellt. [u]Jeder Mitarbeiter kann den jeweiligen Snapshots dynamisch in seine VM laden. [/u]
    Beispiel: Ich möchte eine Remote-Session mit dem Kunden "Müller". Dementsprechend lade ich "in" meine VM (Grundzustand) eben den Snapshot "VPN-Mueller". Nach getaner Arbeit löse ich den Snapshot wieder von der VM.

    [b]B:[/b] Eine Lösung die mir nicht so gefällt, aber zumindest ist das Datenvolumen der VM's nicht so extrem groß.
    Eine Basis-VM aus welcher gebootet wird, und viele "Linked Clones" welche eben die Konfiguration bzw. die VPN-Client Installation beinhalten. Habe ich 50 Remote Kunden, habe ich eben 50 verlinkte Klone, welche auf das "Mutterschiff" verweisen.

    Nachteil: Die Basis-VM kann nicht verändert werden, ansonsten sind alle verlinkten Klone ungültig (und ich kann auswandern). Somit hätte jeder verlinkte Klon ein Eigenleben, saugt sich jeweils Windows-Updates etc.

    Mit VMware View lässt sich die Basis-VM verändern und wieder an die Linked Clones binden ("Neuzusammenstellung"). Allerdings ist danach meine Installation im Klon verschwunden - diese wird nicht übernommen. Deshalb gibt es ja die Anwendungsvirtualisierung via ThinApp - allerdings geht das nicht wenn Treiber im Spiel sind (wie bei den VPN Clients)

    usw..

    Ich spreche immer aus der Sicht von VMware, da ich bezüglich Hyper-V relativ wenig Plan habe. Ich hätte aber auch kein Problem meinen Weg zukünftig mit Hyper-V zu gehen - sollte damit eine Lösung möglich sein. 

    Lösung A wäre klar mein Favorit - deswegen meine Frage an die Hyper-Experten:

    Wie würdet Ihr mittels Hyper-V die Anforderung realisieren?

    Jeder Tipp etc. ist gerne willkommen...

    - angelehnt an diesen Thread:
    [url]http://vmware-forum.de/viewtopic.php?p=141510#141510[/url]

    thx...Grüße!
    Montag, 20. August 2012 09:38

Alle Antworten

  • Hallo,

    wenn du immer alle VMs im Hyper-V-Manager haben willst, kannst du das sogar direkt mit Hyper-V lösen. Wenn du die nicht benötigen VMs auslagern möchtest, wirst du um VMM (Virtual Machine Manager) nicht drum rum kommen.

    Den Usern würde ich das ganze per Self-Service-Portal zur Verfügung stellen, dann kann jeder User die VM starten, die er benötigt. Dies setzt aber auch den VMM voraus.

    Alternativ könntest du in Richtung VDI mit App-V oder Med-V gehen. Du müsstest unter App-V einzelne, von einander unabhängige Pakete erstellen können (früher war das Softgrid), die sich eigentlich nicht stören sollten.


    Guido Over MCITP Server Administrator 2008 & MCSA Windows 2008

    Montag, 20. August 2012 09:57
  • Hallo,

    wenn du immer alle VMs im Hyper-V-Manager haben willst, kannst du das sogar direkt mit Hyper-V lösen. Wenn du die nicht benötigen VMs auslagern möchtest, wirst du um VMM (Virtual Machine Manager) nicht drum rum kommen.

    Den Usern würde ich das ganze per Self-Service-Portal zur Verfügung stellen, dann kann jeder User die VM starten, die er benötigt. Dies setzt aber auch den VMM voraus.

    Alternativ könntest du in Richtung VDI mit App-V oder Med-V gehen. Du müsstest unter App-V einzelne, von einander unabhängige Pakete erstellen können (früher war das Softgrid), die sich eigentlich nicht stören sollten.


    Guido Over MCITP Server Administrator 2008 & MCSA Windows 2008

    Hallo,

    um meiner Wunsch-Lösung nahe zu kommen, müsste ich App-V einsetzen bzw. habe ich mich gerade etwas eingelesen. Aber auch wie ThinApp in der VMware-Welt hat App-V als Anwendungsvirtualisierung ein Problem: Es können keine Treiber virtualisiert werden. Und genau das ist mein Problem - jeder der kundenspezifischen VPN-Clients bringt eben eigene Treiber mit.

    Oder liege ich falsch?

    thx!

    Montag, 20. August 2012 10:36
  • Hallo,

    ich habe mir zu Testzwecken eine Windows-8-VM unter VMWare-Workstation installiert und habe da die VPN-Clients für Sonicwall und Watchguard installiert. Mit beiden konnte ich in der VM eine Verbindung zu Remotenetzen aufbauen. Die Installation fügt ja Netzwerkkartentreiber hinzu, das geht in einer VM. Probleme bekommst du beispielsweise, wenn man einen Softwareschutzstecker virtuell nutzen will.


    Guido Over MCITP Server Administrator 2008 & MCSA Windows 2008

    Montag, 20. August 2012 10:46
  • Hallo,

    installierte VPN-Clients innerhalb von virtuellen Maschinen nutzen wir so seit Jahren. Das ist nicht das Problem bzw. wie ich es oben bereits beschrieben habe:

    Mehrere VPN Clients auf einem System sind heikel, da sich diese oft gegenseitig stören. Deswegen haben wir bisher pro Remote-Kunde eben eine virtuelle Maschine mit der jeweils installierten VPN-Lösung.

    Bisher sind es 50 Kunden - also 50 virtuelle Maschinen. Dieses Konzept möchte ich "enstorgen". Mal angenommen über die Anwendungsvirtualisierung a'la App-V könnte man den Sonicwall Client inkl. Konfiguration und eventuell Zertifikat für Kunde "Müller" virtualisieren. Dann liegt eben zentral im Netzwerk diese Anwendung samt Konfiguration "gepackt" zur Verfügung (eigentlich müsste man an dieser Stelle von einem Snapshot sprechen). Jeder unserer Support Mitarbeiter hat seine eigene virtuelle Maschine in unserer DMZ. Soll jetzt der Kunde Müller vom Support-Mann betreut werden, kann sich dieser die virtualisierte Sonicwall Anwendung in seine VM "laden", um dann eben die Verbindung herstellen zu können (vom Sonicwall VPN Client in der Support VM zum Kunden). 


    Montag, 20. August 2012 11:58
  • Hi,

    Kannst du nicht den Weg anders herum gehen und für jeden Mitarbeiter nur
    eine VM bereitstellen und auf die Gegenseite etwas stellen, was dir
    über einen einheitlichen Weg eine Verbindung ermöglicht? Ein
    Mini-Barebone, der über Teamviewer/Citrix/LogMeIn/usw... eine Verbindung
    erlaubt? Ein leicht aufgebohrter ThinClient? Ein Mini-Linux-System als
    VPN-Gegenstelle?

    Gruß      

    Siehe auch hier (meine erste Antwort):

    http://forum.hyper-v-server.de/index.php?page=Thread&postID=298#post298


    MCITP Windows Server 2008 R2 Virtualization Administrator, MCITP Server & Enterprise Administrator, MCITP Exchange 2010, Blogger @ technikblog.rachfahl.de ,Blogger @ www.hyper-v-server.de & DJ

    Dienstag, 21. August 2012 07:33
    Moderator
  • Hallo,

    Wenn die Kunden-EDV dieses akzeptieren würde...hätte ich tausend Ideen. Die Kunden haben eine Remote-Lösung im Einsatz, mit welcher sich Fremdfirmen ins heilige Netz verbinden dürfen (oftmals mit zuvor ausgefülltem Antrag, Bedarfserklärung etc.) - und danach haben wir uns zu richten. Was ich auch verstehe...mal angenommen in unser Netz müsste ein VPN-Zugang gelegt werden, damit sich Firma XY auf eines unserer Systeme einklinken kann, um Support zu leisten oder eben den Wartungsvertrag zu erfüllen. Dann möchte ich bestimmen über welchen Weg, ich möchte die Kontrolle haben - über die [b]eine [/b]Lösung welche ich vorgebe und im Griff habe. Und dann möchte ich auch keine "Blackbox" im Netz stehen haben. Wir reden hier von Kunden wie "Krankenhäuser" etc. - alles oft heikel. 

    Einige Kunden supporten wir mit Netviewer - das macht die Sache natürlich einfacher (leider nur Ausnahmen)


    Dienstag, 21. August 2012 09:34