仮想化でASOBO

医療機関でプログラマー、SEを20年以上やっている上級医療情報技師(Senior Healthcare Information Technologist)・診療情報管理士です。
仮想化歴は14年以上になります。(VMware vExpert)
実際に使ってみての感想やトラブル時に役に立ったTipsなどの紹介。運用目線で記事を書いていきます。(VMware Horizon View,VDI,HCI,NSX,ThinApp,インスタントクローン,vSphere,Carbon Black)
少しでも参考になることがあれば幸いです。
たまに趣味の記事'(釣り、ミニ四駆、ゲーム配信、DIY)などを公開しています(笑)
※本blogの内容は個人的な見解や検証結果ですので、あくまでも自己責任において参考にしてください。

2024年11月18日月曜日

Horizon8 フルクローンでの仮想デスクトップ展開

皆様、コートが必要になってきましたね。

フルクローンとは、ゴールドイメージとして用意した仮想ディスクの全体を複製して仮想デスクトップを展開する方式です。

当院では医事のレセプトコンピュータおよび電子カルテにデュアル画面でフルクローン方式を採用し、仮想デスクトップにユーザーを「専用割り当て」することで、個人の物理PCにOSとアプリケーションをインストールして使用していた状況に近い、ユーザーの自由度が高いデスクトップ環境を用意し、今のところノントラブルで医事課からも高い評価を得ています。

インスタントクローンと比べて消費ディスク容量の面では若干のデメリットがあり、仮想デスクトップ1台あたりのディスク容量はゴールドイメージの完全な複製となるため、ストレージにはゴールドイメージと同容量が必要で、クローン処理も時間がかかります。また、ゲストOSのアップデート作業を仮想デスクトップごとに行う必要があり、インスタントクローン方式と比較すると管理性が低くなってしまいます。

フルクローンのデスクトップは、ゴールドイメージから完全な複製が作成されるため、そのままではWindowsセキュリティID（SID）が重複してしまいます。vSphereの機能である「カスタマイズ仕様」でこの問題は回避することができ、Windows Sysprepにより新規SIDを設定できます。また仮想マシンの展開時にActive Directoryドメインへの参加も行われます。

注意事項として、AD参加時のOUが、既定のComputersになってしまうので、ユーザーアカウントをベースにしてにグループポリシーを当てる場合は、手動で移動が必須になることをお忘れなく。

今年もの当院で導入して使い混んでいる仮想化関連ネタを中心にアップしていきますのでよろしくお願いいたします。

2024年11月4日月曜日

仮想サーバーでvCPUの制限があるときの注意事項

私もふとしたことでことで先日知ったのですが、当院のサーバーでSQL Server Express Edition を利用してデータベースを管理しております。SQL Server Express Edition では使用できるCPUのリソースに制限があり、複数ソケットで構成されていても1ソケット分しか使用されないといった制限がある。と言う衝撃的な事実を知りました。

つまり、このサーバーにはvCPUを4つ設定していましたが、DBへのアクセスに関してはフルでスペックを発揮できていなかったわけです。
・・・そういうの、後出しではなくちゃんと仕様書に書いてよ( ﾉД`)ｼｸｼｸ…

要するに１ソケットにすべてのコアがまとまるように構成しなさいよってことです。

今回のSQL Server Express EditionでのvCPUの組み方でダメな例。この状態では1ソケットに対して1つのコアしか割り当たっておらず、本来の性能で動作しない状態です。

そして、修正後はこの状態。ソケットに対して4つのコアが割り当てられた状態であり、正常な状態です。ってかこうしないとダメらしいです。

確認方法は、”ファイル名を指定して実行”より「msinfo32」を実行し、「システム情報」画面を開きます。

左ツリーより「システムの要約」が選択された状態で、画面右側「プロセッサ」の項目を確認します。

ちなみに正常な状態をvSphereのコンソールで確認すると以下のように表示されているはずです。

ソケット1に対してコアが4つ割り当てられています。
使うアプリケーションやDBによって、vCPUなどの構成も最適化が必要なんだなぁ…と改めて感じました。

今回も最後までお付き合いいただきありがとうございました。
次回の仮想化でASOBOもよろしくお願いいたします。

2024年10月16日水曜日

omnissa TECH INSIDERのofficial swagが届いたので開封してみた。

皆さん、朝晩は冷え込んでまいりましたね。
風邪などひかれぬように。。。

さて、前身はvExpert EUCでしたが、2024年からはEUC Expertとして選出され、ここまで活動してましたが、先般、omnissa TECH INSIDERとして新たに発足しました。
一応、koppunは初代TECH INSIDERに加えてもらったわけです。ありがとうございます。

日本では、Japan EUC Nexusという団体でJapan VMUGと連携して活動しています。

omnissa TECH INSIDERのofficial swagの開封動画をアップしたのでもしよろしかったらご覧ください。

2024年10月7日月曜日

事務系の仮想化基盤はVMware NSX+Trend Micro Deep Securityでマイクロセグメンテーション

外部から攻撃があったとしても、被害を最小限に防ぐ、自動隔離などを実行する場合、VMware NSX+Trend Micro Deep Securityでマイクロセグメンテーションを実現することが近道となる。

NSX と、エージェントレス型のセキュリティを提供する Deep Security が連携すると、ウイルスに感染した仮想マシンを自動的に隔離セグメントに移動させ、同じネットワーク内の他の仮想マシンへの感染拡大を防ぐことが可能となり、システム管理者としてはありがたい機能です。

また、Deep Security によってウイルス検索を実行し、駆除後、仮想マシンを手動、もしくは自動で「通常セグメント」に戻すことも可能であり、ウイルスのラテたるムーブメントを防ぐ働きもあります。

当院でのイメージとしてはこんな感じです。

突然ですが、パソコンがウイルスに感染しました！と連絡があったらどうしますか？

・LANケーブルを外す

・何をして感染したか確認する

・ウイルスソフトで駆除できるか？できないか？

・余計なファイルが作られてないか

・レジストリが書き換えられたり、要らないソフトウェアがスタートアップに入っていたり

・トロイの木馬なのか、マルウェアなのかetc

いずれにせよ、皆さん、一通り対応は出来ると思いますが結構時間かかりますよね。

正直な言うと、そんなところで時間取られたくない。というのが本音ではないでしょうか。実際問題、完全に駆除できているかわからない部分もあります。

その点、仮想マシンではどうでしょう？？

では、当院のVDI上の仮想マシン1台がウイルスに感染したときのシステム的な流れを紹介します。

①まず緑のチェックの入ったマシンがウイルス感染したとします。

②そうすると、自動で他の仮想マシンと通信しないように隔離されます。

ここまでは、自動作業でできます。

③そして、ウイルス駆除を行います。

っていうのでも良いのですが、、、

では、別バージョンのもっと手っ取り早い方法をご紹介します

①まず緑のチェックの入ったマシンがウイルス感染したとします。

②すかさず、ウイルス感染したマシンを削除します。

③そして、新規仮想マシンの再構築

14秒後にはもうまっさらな仮想マシンが出来上がっています。

こっちの方が断然楽ですよね？？というか、駆除できたか出来てないか心配の必要もないので絶対楽です。この部分は、セキュリティ上優れた機能だと私は思っています。

いかがだったでしょうか？

VDIならではの手軽な対処法だと思います。

もし、VDI環境の導入をご検討の方は、この辺のメリットもぜひ考慮に入れてみてください。

2024年9月23日月曜日

とっても便利なロケーションベースの印刷(Horizon8編)

ロケーションベースの印刷機能は、物理的に近いクライアントシステムにあるプリンタをリモートデスクトップにマッピングします。要は、シンクライアント端末の設置場所にあるプリンタ以外表示しないとか、他のプリンタも表示させるけどデフォルトプリンタはこれにするとかを、グループポリシーで一括管理できます。

ロケーションベースの印刷により、たとえば、病院スタッフが次々と部屋を移動している場合、そのスタッフがドキュメントを印刷する度に、印刷ジョブはそのスタッフが現在いる部屋に最も近いプリンタに送信されます。

ロケーションベースの印刷を使用するには、Horizon Agent に VMware Integrated Printing 設定オプションをインストールし、リモートデスクトップに正しいプリンタドライバをインストールして、各ロケーションベースのプリンタに変換ルールを定義する必要があります。

勝手にHorizon Viewが接続端末の位置を把握してプリンタをマッピングするわけではなく、情シスがこの部屋の端末はこのプリンタをデフォルトで、予備的に他のフロアのプリンタもマッピングさせようとか…色々考えないといけないわけです(;^_^A

AIで自動判定してくれないかなぁ(笑)

【参考】ロケーションベースの印刷の設定

https://docs.vmware.com/jp/VMware-Horizon/2111/horizon-remote-desktop-features/GUID-A5982475-A4B3-47A1-8E54-D7EED280022F.html

以前のHorizon View7までは「AutoConnect Map ADDitional Printers for VMware View」というなかなか長い名前でしたが、Horizon　View8から使うロケーションベースプリントの設定の画面は「LBP Setting UI」とシンプルな名前になっています。

使い方は、ほぼ一緒といっても過言ではないので割愛させていただきます。
ロケーションベースプリントは8年前から愛用している、とても便利な機能です。

VDI導入の際は、使える部分には使ってみてはいかがでしょうか。