クライアントで増殖する仮想マシン、管理はどうする!?|仮想化|ブログ|Computerworld

新しいオペレーティング システム (OS) やアプリケーションのバージョンに対応できない、あるいは対応するにはコストがかかるレガシー アプリケーションの存在は、クライアントのアップグレード計画を阻む大きな壁でした。これが、デスクトップ向け仮想化テクノロジの登場と進化により、レガシー アプリケーションの実行環境として、仮想マシン環境を利用するという新しいソリューションを利用できるようになりました。

レガシー アプリケーションの互換性ソリューションとして仮想マシンを利用する方法は、手っ取り早くて、しかも確実な方法です。なにしろ、問題のレガシー アプリケーションが動いていたレガシーなプラットフォーム環境を、仮想マシンとして準備するだけでよいからです。

これまでは、ホスト OS とゲスト OS の 2 つのデスクトップをユーザーが切り替えて操作する必要があり、ユーザー ビリティは高いと言えませんでした。このブログでこれまで取り上げてきた Windows XP Mode (正確には Windows Virtual PC の仮想アプリケーション モード) は、ゲスト OS 上のアプリケーションの起動メニューとアプリケーション ウィンドウをホスト OS のデスクトップに統合することで、ユーザー ビリティの問題を解決します。しかし、本当に解決できるのでしょうか? 面倒な部分をユーザーに見えないようにしたとしても、いつまでも隠しきれるわけではありません。そのほかにも、クライアントに仮想環境を用意することで、管理上の課題が増えることになりそうです。

Windows XP Mode を全社展開＝管理すべきクライアント数が2倍

Windows XP Mode は、Windows 7 Professional 以上のエディションに無償提供される Windows XP Professional SP3 仮想マシン環境です。Windows XP Mode の機能に興味を持った IT 管理者は、せっかく無料なのだからと、Windows XP Mode を全社に展開しようと思うかもしれません。ちょっと待ってください。Windows 7 Enterprise (ボリューム ライセンス) なら、仮想環境上に最大 4 つの Windows (Windows 7 またはダウングレード OS) の仮想インスタンスを実行する権利がもれなく付いてきます。

Windows XP Mode は決して企業向きのものではありません。Windows XP Mode を全社の Windows 7 クライアントに展開するのは大変な作業になるでしょう。問題はそれだけではありません。Windows XP Mode をすべてのクライアントにセットアップした場合、物理コンピューターの数は変わりませんが、管理するべきクライアント OS の数は単純に 2 倍になります。Windows XP Mode のゲスト OS である Windows XP Professional SP3 についても、セキュリティを維持するためには定期的に Windows Update で更新しなければなりません。Windows XP Mode のゲスト OS についても、マルウェア対策ソフトの導入と、エンジンおよび定義ファイルの継続的な更新が必要です。

仮に、クライアントの OS の更新を、Windows 標準の自動更新 (Windows Update または Microsoft Update) に任せていたとしましょう。毎月の第二火曜日の翌朝、エンド ユーザーがコンピューターを起動し、Windows XP Mode のレガシー アプリケーションを実行すると、右のようなメッセージに混乱するかもしれません。ゲスト OS (Windows XP) の自動更新が ［今すぐ再起動］ を求めています。Windows XP Mode はエンド ユーザーに仮想マシンの存在を感じさせません。しかし、それがかえって複雑な状況を作り出してしまいます。エンドユーザーは、［今すぐ再起動］をクリックしても、コンピューター (ホスト OS ) が再起動しないことに悩むでしょう。ゲスト OS (Windows XP) とホスト OS ( Windows 7) の自動更新が、同時に再起動を求めてきたら、エンドユーザーはどちらのボタンを先にクリックすればよいのでしょうか?

Windows XP Mode の仮想マシンは、既定でアイドル時には休止状態になります。ユーザーが Windows XP Mode のレガシー アプリケーションを実行することがなければ、Windows XP Mode のゲスト OS とマルウェア対策ソフトウェアは、更新されないまま放置されることになります。次に起動したとき、ぜい弱性を抱えたまま、社内ネットワークに接続されることになりかねません。Windows XP Mode を全社展開することは可能ですが、展開が完了した時点から、IT 管理者のコントロールが利かなくなってしまうのです。

不正な仮想マシンの増殖

それでも、Windows XP Mode を全社展開したとしましょう。その場合、“（自称）コンピューターに詳しいユーザー”の行動にも目を光らせる必要が出てきます。仮想マシンの便利さを知ってしまった彼らが、勝手に仮想マシンを作成して、その中で得たいのしれないモノを動かしている様子を想像してみてください。寒気がしませんか?

たとえば、会社標準の仮想化テクノロジとして、Windows Virtual PC を採用することを決めたとして、それ以外の仮想化ソフトウェアの利用を禁止することは、グループポリシーなどを用いれば比較的簡単です。あとは、不正な VHD (ユーザーが勝手に作った仮想マシン) を検出する仕組みを用意する必要があるでしょう。これまでは、不正なアプリケーションの利用を監視、禁止すればよかったものが、これからは不正な仮想マシンについても考慮する必要がありそうです。

MED-V ならどうか?

マイクロソフトはレガシー アプリケーションの互換性ソリューションとして、企業向けに Microsoft Desktop Optimization Pack for Software Assuarance (MDOP) に含まれる Microsoft Enterprise Desktop Virtualization (MED-V) を提供しています。MED-V は仮想マシンのイメージを中央で管理し、クライアントに配信するテクノロジです。Windows XP Mode と同じように、仮想マシン内のアプリケーションのショートカットをホスト OS のスタート メニューに統合することができ、また、アプリケーション ウィンドウにシームレスに統合することができます。

Windows XP Mode と MED-V は、エンドユーザーのエクスペリエンスは同様ですが、テクノロジとしては全く異なるものです。Windows XP Mode は、RemoteApp テクノロジをベースとした Windows Virtual PC の機能で実現されています。MED-V は、 2008年にマイクロソフトが買収した Kidaro のテクノロジがベースになっており、Microsoft Virtual PC 2007 SP1 を前提としています。また、ゲスト OS のアプリケーションへのアクセスは MED-V Workspace というコンポーネントで実現されています。

MED-V において、仮想マシンは Workspace としてバックグラウンドで実行されます。そして、 Workspace の実行中は、Virtual PC 2007 SP1 の UI も、仮想マシンのコンソールもエンドユーザーから隠されます。Workspace 実行中は、Virtual PC 2007 SP1 の UI を制御することができないので、仮想環境を勝手に利用されることを防ぐことができるでしょう。また、MED-V を使用すると、仮想マシンのイメージを配布するユーザーや、仮想マシンのイメージの有効期限や削除を制御できるので、仮想マシンのライフサイクルを集中的に管理することができます。この機能は、OS やアプリケーションの移行期の一時的な利用を想定したものです。

既定では、MED-V の Workspace はコンピューター (ホスト OS ) 起動時に開始し、バックグラウンドで常時実行されます。そのため、ゲスト OS やマルウェア対策の更新が長期間行われないという状況は回避できます。しかしながら、Windows XP Mode と同様に、ゲスト OS の更新で再起動が必要になった場合は、エンド ユーザーを混乱させるでしょう。右のスクリーンショットを見てください。4 月の定例アップデートで、ホスト OS とゲスト OS で同時に再起動を求められる場面に出くわしました。

やっぱり VDI か?

私は、レガシー アプリケーションの互換性ソリューションとして、VDI (Virtual Desktop Infrastracture) に期待しています。VDI とは、サーバーやデータセンターでデスクトップ OS を動かす仮想マシンを集中的に実行し、エンド ユーザーにゲスト OS のデスクトップへのアクセスを提供するテクノロジです。仮想マシンは、サーバーやデータセンターに存在するので、IT 管理者がオン／オフを完全に制御できます。クライアント サイドの仮想マシンとは異なり、ゲスト OS のメンテナンスを計画的に、集中的に実行できます。

マイクロソフトは、Windows Server 2008 R2 のリモート デスクトップ サービスに、VDI の機能を組み込みました。VMware や Citrix も VDI 製品を市場に投入しており、VDI 市場がいま活気づいています。VDI だと、2 つのデスクトップを切り替える方法に後戻りじゃないかと思うかもしれません。VDI の仮想マシンのデスクトップではなく、アプリケーション ウィンドウを飛ばせばどうでしょうか。ユーザー エクスペリエンスは、Windows XP Mode や MED-V と変わりません。マイクロソフトの VDI でも、標準機能だけで実現できます。このブログの前回までに説明した RemoteApp がヒントです。