読者です 読者をやめる 読者になる 読者になる

EUC めも(仮)

日々の仕事のメモ

Horizon View 7.0.2 の新機能 ④クリップボードリダイレクションの機能拡張

View 7.0.2 では、従来からあるクリップボードリダイレクションの機能が拡張され、リダイレクト可能なデータフォーマットを制限できるようになっています。リリースノートに記述が見当たらなかったので、マニュアルのリンクを張っておきます。

 

Restricting Clipboard Formats for Copy and Paste Operations

 

従来のバージョンでは、リダイレクトの方向のみが制御可能でした。View 7.0.2 では下記のグループポリシーが追加され、リダイレクトを禁止するデータフォーマットを指定できるようになっています。例えば、「テキストデータのリダイレクトは許可するが、画像データのリダイレクトは許可しない」といった制御が可能です。なお、これらのポリシーは、PCoIP と Blast でそれぞれ個別に設定ができるようになっています。

 

  • Filter text out of the outgoing clipboard data
  • Filter text out of the incoming clipboard data
  • Filter Rich Text Format data out of the outgoing clipboard data
  • Filter Rich Text Format data out of the incoming clipboard data
  • Filter Microsoft Text Effects data out of the outgoing clipboard data
  • Filter Microsoft Text Effects data out of the incoming clipboard data
  • Filter Microsoft Office text data out of the outgoing clipboard data
  • Filter Microsoft Office text data out of the incoming clipboard data
  • Filter Microsoft Chart and Smart Art data out of the outgoing clipboard data
  • Filter Microsoft Chart and Smart Art data out of the incoming clipboard data
  • Filter images out of the outgoing clipboard data
  • Filter images out of the incoming clipboard data

 

上記を見る限り、制御可能なデータフォーマットは以下の種類になります。

 

簡単な例として、以下のような制御を考えてみます。

 

  1. クライアント(ユーザ端末)からエージェント(VDI)へのリダイレクトを許可
  2. エージェント(VDI)からクライアント(ユーザ端末)へのリダイレクトを禁止
  3. 画像データのリダイレクトを禁止

 

1.と2. についてはデフォルトでそのような挙動になるので、特に設定は不要です。ポリシーで明示的に指定したいという場合は、「Configure clipboard redirection」ポリシーを有効化し、リダイレクトの方向を指定します。

 

f:id:ymita1022:20160926131916p:plain

 

続いて、3.のポリシー設定です。画像データのリダイレクトを禁止したいので、「Filter images out of the incoming clipboard data」ポリシーを有効化します。

 

f:id:ymita1022:20160926132024p:plain

 

これで想定通りに動作するはずですが、実はリダイレクト元のアプリケーションに注意が必要です。例えば、クライアント側の Paint でコピーした画像データは、エージェント側の Wordpad にペーストはできません。これは想定通りの動作です。ところが、クライアント側の Wordpad でコピーした画像データは、エージェント側の Wordpad にペーストできてしまいます。

かなりはまってしまいましたが、Wordpad 上の画像データのリダイレクトを禁止したい場合は、「Filter Rich Text Format data out of the incoming clipboard data」の有効化が必要でした。データフォーマットだけでなく、アプリケーションにも注意が必要ですね。特に Microsoft アプリケーションについては、事前に動作を確認した方が良さそうです。

最後に、上記の例で設定したポリシー群は以下の画像の場所にあります。

 

f:id:ymita1022:20160926132642p:plain

 

 

 

 

Horizon View 7.0.2 の新機能 ③外部ネットワークからのアクセスの制限

View 7.0.2 では、Access Point や Security Server を経由して VDI にアクセスするユーザを制限することができるようになっています。View 7.0.2 のリリースノートでは、以下のように記載されています。

 

  • Restrict remote desktop access outside the network
    View administrators can allow access to specific entitled users and groups from an external network while restricting access to other entitled users and groups.

 

「View でのデスクトッププールとアプリケーションプールの設定」ガイドに設定方法が書かれています。Horizon Administrator の管理画面で、リモートアクセスを許可するユーザ/グループを定義します。早速、設定を試してみました。

試しに「demo1」というユーザを追加してみました。

 

f:id:ymita1022:20160923160356p:plain

 

「demo1」ユーザが Access Point 経由で VDI にアクセスしようとすると、何の問題もなくアクセスが可能です。ところが、ここに定義されていないユーザが Access Point 経由でアクセスしようとすると、Horizon Client の認証で以下のような画面が表示されました。確かに、設定通りに機能しているようです。

 

f:id:ymita1022:20160923160337p:plain

 

ちなみにデフォルトでは Horizon Administrator の「リモートアクセス」の箇所にユーザ/グループが定義されていませんが、この状態ではすべてのユーザが外部ネットワークからのアクセスが可能です。どうやら一人でもユーザを追加すると、そのユーザ以外はリモートアクセスが禁止されるような仕様のようです。

これまでは外部ユーザと内部ユーザ用にそれぞれ View の基盤や VDI プールを分離するケースがありましたが、この機能を使えば View ポッドやプールはできるだけ集約した形で、さらにユーザ属性によって柔軟なアクセス制御が実現できそうです。

 

 

 

Horizon View 7.0.2 の新機能 ②クライアントドライブリダイレクションの通信ポート

View 7.0.2 のリリースノートに以下のように記載されているとおり、View 7.0.2 ではクライアントドライブリダイレクション(以下、CDR) の通信経路に変更があります。

"For Horizon Client 4.2 or Horizon 7 version 7.0.2 or later, if VMware Blast Extreme is enabled, files and folders are transferred across a virtual channel with encryption."

 

従来のバージョンでは、CDR を使うためには9427番のポートを開放する必要があり、ファイルやフォルダの読み取り/書き込みで発生するトラフィックは専用のチャネルを通っていました。これに対して View 7.0.2 では、Blast Extreme を使用する場合に限り、専用チャネルではなく画面転送に使われる VMware Virtual Channel (VVC) を使うようになります。つまり、CDR のためにわざわざ 9427番のポートを開放する必要がなくなります。「View でのデスクトッププールとアプリケーションプールの設定ガイド」においても、以下のように明記されています。

 

"For Horizon Client 4.2 or Horizon 7 version 7.0.2 or later, port 9427 is not required to be open if VMware Blast Extreme is enabled because client drive redirection transfers data through the virtual channel."

  

デフォルトでは VVC を経由するように仕様変更されたことになりますが、この挙動は Horizon Agent 側のレジストリ値を変更することで変えることができます。変更するレジストリは、HKLM¥Software¥VMware, Inc.¥VMware TSDR¥sideChannelType です。下の画像のように、デフォルトでは「vvc」という値がセットされています。

 

f:id:ymita1022:20160923123722p:plain

 

このレジストリはそれぞれ以下のような値をとることができます。

  • "vvc" (デフォルト) : Blast の場合は VVC、PCoIP の場合は 9427 番の専用チャネル
  • "tcp" : Blast/PCoIP ともに 9427 番の専用チャネル 

 

PCoIP の場合は引き続きポート 9427 番の専用チャネルを使いますが、Blast の場合はレジストリの設定によって CDR が使う経路を変更することができるということになります。

 

 

Horizon View 7.0.2 の新機能 ①VMware Blast Policy その2

Horizon View 7.0.2 では、Blast Extreme をチューニングするためのグループポリシーとして、新たに「H.264 Quality」というポリシーが追加されています。ポリシーの中身を見てみると、以下の2つのパラメータを設定することがわかります。

 

 

f:id:ymita1022:20160920094339p:plain

 

QPというのは Quantization Parameter の略で、H.264 特有の概念です。ポリシーが未構成の場合、つまりデフォルトでは以下の値が設定されています。

 

 

このパラメータによって、Blast Extreme で転送される画面の品質が決まります。仮想デスクトップから転送される、1 フレームの画面における画質の上限値と下限値を設定するようなイメージです。デフォルト値から変更する場合は、ポリシーを「有効」に設定したうえで、値をデフォルトから±5の範囲内で変更することが推奨されています。

一般的に H.264 の世界では、ビットレートと QP には以下のような関係があるようです。以下の情報を参考にしました。

Comprehensive solutions and products for video compressionists - PixelTools

 

 

したがって、画質に対する要件に応じて、以下のように変更することが基本的な方針となりそうです。

 

  • 画質を高くしたい → H.264 Maximum QP と H.264 Minimum QP を小さくする
  • 画質を低くしたい → H.264 Maximum QP と H.264 Minimum QP を大きくする

 

画質を高くすると、消費するネットワーク帯域は増えるので、画質だけでなくネットワーク帯域も考慮する必要があります。

基本的なガイドラインとしては、User Environment Manager (UEM) 9.1 で新たに追加された Blast Extreme 関連のスマートポリシー機能の設定値が参考になります。まだマニュアルの以下のページが更新されていないようですが、実機で確認した限りでは、以下のようにプロファイルが定義されていました。

Bandwidth Profile Reference

 

  • Extremely low-speed connection : H.264 Maximum QP = 42
  • 他のプロファイル : H.264 Maximum QP = 36 (デフォルト値)

 

H.264 Minimum QP は、いずれのプロファイルにおいてもデフォルト値の 10 が設定されているようです。したがって、本番環境のネットワーク帯域が小さく、画質に対してある程度の妥協ができるという場合は、H.264 Maximum QP の値をデフォルト値から増やしてみるというチューニング方針になりそうです。

 

Horizon View 7.0.2 の新機能 ①VMware Blast Policy その1

Horizon View 7.0.2 がリリースされました。

Release Notes for VMware Horizon 7 version 7.0

新機能がいくつか記載されていますが、気になるものをピックアップして見ていきます。最初は、以下の VMware Blast Policy です。

 

  • VMware Blast policy
    View administrators can configure the H.264 Quality Blast policy settings to specify the image quality for the remote display configured to use H.264 encoding.

 

グループポリシーで設定できる Blast Extreme 関連のパラメータが増えたということですね。Blast 関連のパラメータは、グループポリシーの「コンピュータの構成¥ポリシー¥管理用テンプレート¥従来の管理用テンプレート¥VMware Blast」で設定が可能です。具体的には、以下の設定パラメータが増えていました。下図をご参照ください。

f:id:ymita1022:20160916202422p:plain

 

クリップボードリダイレクション関連のポリシーはまた別で深掘りしていきたいところなので、他の 3 つのポリシーについて見ていきます。各ポリシーの詳細については、以下のマニュアルに記載があります。

VMware Blast Policy Settings

 

  1. PNG
    このポリシーはどうやら画面転送時のエンコード方式を変えるために使用するもののようです。Blast はH.264エンコードが可能ですが、環境によっては H.264によるエンコードができず、その場合はJPEG/PNG形式のエンコードになります。その際、このポリシーが「未構成」もしくは「無効」の場合はJPEGによるエンコードとなり、「有効」に設定するとPNGによるエンコードになるようです。H.264によるエンコードが可能な場合は、このポリシーの設定は無視されます。
    ちょっと使いどころがよくわからないポリシーですね。。。

  2. H.264 Quality
    H.264 によるエンコードを行っている場合の画質を制御できるポリシーのようです。QP の上限値と下限値を設定できるということですが、ここは初見では理解しきれませんでした。。。次エントリーでもう少し踏み込みたいと思います。

  3. Cookie Cleanup Interval
    非アクティブなセッションに関連付けられているクッキーを削除する頻度をミリ秒単位で指定できるようです。これはちょっと使いどころがよくわからないので、もう少し調査してみます。。

Horizon View のサイジングツール

こちらで公開されていました。使用するには、MyVMware のアカウントか Partner Central のアカウントが必要です。

Horizon Sizing Estimator

 

かなりの数の入力パラメータがあり、使いこなすのは一見すると大変そうです。入力パラメータとサイジング結果を見比べることで、背後にあるサイジングのロジックが紐解けそうですが。。。

入力したパラメータセットはプロファイルという単位で管理され、保存したりエクスポートしたりすることが可能です。ただし、エスクポート形式は JSON のため、エクスポートしたあとに編集するのは大変かもしれません。もちろん、JSON ファイルをインポートすることも可能です。

また、サイジング結果については PowerPoint ファイルとして出力できるようになっています。テンプレートにはめただけではありますが、これが意外にしっかりとしていました。

 

Horizon FLEX 情報ソースいろいろ

自分用のメモ。