В данной статье я попытаюсь сравнить две абсолютно разные по своему предназначению технологии VDI с VPN. Я не сомневаюсь в том, что в связи с пандемией, неожиданно свалившийся на всех нас марте этого года, а именно вынужденной работой из дома, вы и ваша компания давно сделали свой выбор, каким образом оптимально обеспечить комфортные условия для работы ваших сотрудников.
На написание данной статьи меня вдохновило прочтение сравнительного «анализа» двух технологий на блоге компании Parallels „VPN vs VDI – What Should You Choose?", а именно его невероятная однобокость, без какой-либо даже минимальной претензии на беспристрастность. Первый же абзац текста называется «Почему решение VPN устаревает / Why a VPN solution is becoming outdated», далее по тексту «преимущества VDI / VDI advantages» и «ограничения VPN / VPN limitations».
Моя работа непосредственно связана с VDI-решениями, в первую очередь с продуктами компании Citrix. Так что направление статьи должно было бы мне понравиться. Однако подобная предвзятость вызывает у меня лишь неприязнь. Уважаемые коллеги, разве возможно, при сравнении двух технологий видеть в одной из них исключительно недостатки, а в другой только преимущества? Как можно после подобных умозаключений серьёзно относиться ко всему, что говорит и делает подобная компания? Неужели авторы подобных «аналитических» статей не сталкивались с популярными в мире IT словосочетаниями, такими как „use case“ или „it depends“?
Подчёркиванием выделены указанные в статье преимущества VDI (в моем переводе)
VDI обеспечивает централизованное управление данными.
VDI предоставляет беспрепятственный доступ к рабочим файлам и приложениям с помощью новейших протоколов шифрования.
У VDI отсутствует необходимость в оптимизированной полосы пропускания.
Так как VDI находится в ЦОДе, то для конечного пользователя не требуется «powerful end-user hardware»
VDI предоставляет возможность подключения с различных устройств, таких как например планшеты и смартфоны.
VDI обеспечивает доступ к приложениям Windows с других операционных систем, таких как Mac и Linux.
Стоимость развёртывания
Комплексность решения
VDI vs. HSD
Нет гранулярного контроля для мониторинга и ограничения доступа пользователей
Корпоративные данные не централизованы и сложны в управлении
Требуется большая пропускная способность соединения
Конечному пользователю необходимо хорошее аппаратное обеспечение
Невозможно получить доступ к приложениям Windows на других операционных системах.
Инфраструктура для VDI
Похоже, что апологеты VDI забывают, что для VDI требуется значительная инфраструктура, прежде всего сервера и СХД. Подобная инфраструктура не бесплатна. Её развёртывание подразумевает тщательный подбор необходимых компонентов, в соответствии с именно вашим сценарием.
Рабочее место пользователя
Необходимые для работы приложения
Интернет и прочие ресурсы компании
Как вы можете заметить, из всего вышесказанного, правильный выбор технологий, — это процесс, основанный на взвешенной оценке многих факторов. Любой IT-специалист, априори утверждающий о безоговорочных преимуществах той или иной технологии, лишь показывает свою профнепригодность. Я бы не стал тратить своё время на беседу с ним…
Дорогой читатель, желаю вам встреч только с компетентными IT-специалистами. С теми, кто относится к клиенту как к партнёру для долгосрочного и обоюдовыгодного сотрудничества.
Всегда рад конструктивным комментариям, и описанию Вашего опыта работы с продуктом.
На написание данной статьи меня вдохновило прочтение сравнительного «анализа» двух технологий на блоге компании Parallels „VPN vs VDI – What Should You Choose?", а именно его невероятная однобокость, без какой-либо даже минимальной претензии на беспристрастность. Первый же абзац текста называется «Почему решение VPN устаревает / Why a VPN solution is becoming outdated», далее по тексту «преимущества VDI / VDI advantages» и «ограничения VPN / VPN limitations».
Моя работа непосредственно связана с VDI-решениями, в первую очередь с продуктами компании Citrix. Так что направление статьи должно было бы мне понравиться. Однако подобная предвзятость вызывает у меня лишь неприязнь. Уважаемые коллеги, разве возможно, при сравнении двух технологий видеть в одной из них исключительно недостатки, а в другой только преимущества? Как можно после подобных умозаключений серьёзно относиться ко всему, что говорит и делает подобная компания? Неужели авторы подобных «аналитических» статей не сталкивались с популярными в мире IT словосочетаниями, такими как „use case“ или „it depends“?
Преимущества VDI по версии Parallels:
Подчёркиванием выделены указанные в статье преимущества VDI (в моем переводе)
VDI обеспечивает централизованное управление данными.
- Какими именно данными? Задача VDI – это предоставление удалённого доступа к виртуальному десктопу. При использовании VPN для доступа в корпоративную сеть, например на корпоративный SharePoint, данные также будут управляться централизованно.
- Возможно, если под централизованным управлением данными подразумеваются пользовательские профили, то данное утверждение корректно.
VDI предоставляет беспрепятственный доступ к рабочим файлам и приложениям с помощью новейших протоколов шифрования.
- Вы о чем, господа? Какие это у Parallels новейшие протоколы шифрования? TLS 1.3? А VPN это тогда что?
У VDI отсутствует необходимость в оптимизированной полосы пропускания.
- Серьёзно? Если я правильно понимаю, то для Parallels RAS не имеет значение, имеет ли пользователь два 4K 32“ монитора или один 15“ лэптоп? Именно для оптимизации полосы пропускания и были созданы такие протоколы, как ICA/HDX (Citrix), Blast (VMware).
Так как VDI находится в ЦОДе, то для конечного пользователя не требуется «powerful end-user hardware»
- Данное утверждение может и соответствует истине, например при использовании ThinClients, но оно абсолютно абстрактно и не учитывает различные сценарии.
- А что в 2020 году называется powerful end-user hardware?
VDI предоставляет возможность подключения с различных устройств, таких как например планшеты и смартфоны.
- Безусловно корректное утверждение. Но давайте не будем кривить душой, если с планшета хоть как-то и можно работать, то со смартфона…. Разве что с некоторых смартфонов с внешним монитором
- Работа пользователя должна быть комфортна, и не портить его зрение. Я, например, использую 28“ монитор, но планирую переход на на большую диагональ.
- Ноутбук — это самый популярный ныне компьютер для корпоративного использования.
- Напомню, что VPN-клиенты можно скачать и для планшета, и для смартфона.
VDI обеспечивает доступ к приложениям Windows с других операционных систем, таких как Mac и Linux.
- Полагаю, что тут коллеги просто ошиблись, и речь идёт вовсе не о VDI, а о Hosted Application.
- Ну а что касается VPN, то ведущие производители, например Cisco или CheckPoint конечно же предлагают VPN-клиенты и для Mac, и для Linux. Citrix также предлагает VPN, в том числе и для своих решений VDI
Недостатки VDI
Стоимость развёртывания
- потребуется дополнительное железо, много железа.
- необходима покупка дополнительных лицензий, и на базовую инфраструктуру (Windows Server), и для самих VDI (Windows 10 + Citrix CVAD, VMware Horizon или Parallels RAS).
Комплексность решения
- нельзя просто взять и проинсталлировать Windows 10, обозвать его «золотым имиджем», а затем просто размножить на X-копий.
- при проектировании, необходимо учитывать множество нюансов, начиная от географического расположения, заканчивая оценкой реальной потребности пользователей (CPU, RAM, GPU, Disk, LAN, Software)
VDI vs. HSD
- почему темой обсуждения является только VDI, а не Hosted Shared Desktop или Hosted Shared Application. Данная технология требует значительно меньше ресурсов и подходит в 80% случаев
Недостатки VPN
Нет гранулярного контроля для мониторинга и ограничения доступа пользователей
- VPN Client может обладать достаточно сложным и гранулярным механизмом контроля доступа, как например нечто подобное „System Compliance Scanning, Policy Compliance Enforcement, End Point Analysis”
- Так как в статье речь идёт о VDI, то здесь тоже не существует особо гранулярного контроля, все очень просто, или доступ есть, или его нет.
- Появились уже системы аналитики, которые на основе данных о VPN и прочих подключениях централизованно мониторят ситуацию и предупреждают о нестандартном поведении пользователя. Например – нестандартное или неурочное увеличение полосы пропускания.
Корпоративные данные не централизованы и сложны в управлении
- Ни VDI, ни VPN не созданы для централизованного управления корпоративной информацией.
- Я не могу себе представить, что в серьёзной компании критическая информация находится на локальном компьютере пользователя.
Требуется большая пропускная способность соединения
- Согласен с данным утверждением лишь частично. Все зависит от специфики работы пользователя. Если он смотрит 4K видео через корпоративную сеть, то несомненно.
- Реальная проблема в том, что у удалённых пользователей весь интернет-трафик маршрутизируется через корпоративную сеть. Наверное, стоит попытаться настроить раздельный трафик.
Конечному пользователю необходимо хорошее аппаратное обеспечение
- Данное утверждение не совсем соответствует истине, так как реальное потребление ресурсов зависит от конфигурации, но и оно минимально.
- VDI-клиент также потребляет ресурсы, и вообще все зависит от интенсивности работы пользователя.
- В общем случае корпоративному пользователю обеспечивается качественное оборудование, исходя из разумного срока использования и окупаемости. При проектировании стоимость такого оборудования должна быть меньше стоимости простоя конечного пользователя. Никто не закладывает в проект заведомо плохое оборудование
Невозможно получить доступ к приложениям Windows на других операционных системах.
- Причина такого утверждения видимо в том, что коллеги не в курсе что VPN может быть практически для любой современной платформы – Windows, Linux, MacOS, IOS, Android и т.д.
Критерии, влияющие на использование одного или другого решения
Инфраструктура для VDI
Похоже, что апологеты VDI забывают, что для VDI требуется значительная инфраструктура, прежде всего сервера и СХД. Подобная инфраструктура не бесплатна. Её развёртывание подразумевает тщательный подбор необходимых компонентов, в соответствии с именно вашим сценарием.
Рабочее место пользователя
- На чем должен работать пользователь? На своём личном ноутбуке или на корпоративном, который он сможет забрать домой? А может ему вполне подойдёт планшет или тонкий клиент?
- Может ли пользователь подключить домашний компьютер к корпоративной сети?
- Как гарантировать безопасность домашнего компьютера и выполнение требований безопасности компании?
- А как обстоят дела у пользователя со скоростью доступа в интернет (возможно ему придётся делить его с остальными членами семьи)?
- Не забудьте о том, что в вашей компании существуют различные группы пользователей, такие, как например, привыкший к работе из дома отдел продаж, или сидящий в колл-центре отдел техподдержки.
Необходимые для работы приложения
- Какие требования к основным рабочим приложениям пользователя?
- Веб-приложения, приложения, установленные локально или у вас уже используются VDI, SHD, SHA?
Интернет и прочие ресурсы компании
- Достаточно ли у вашей компании пропускного трафика, чтобы обслужить всех удалённых пользователей?
- Если у вас уже используется VPN, справиться ли ваше оборудование с дополнительной нагрузкой?
- Если у вас уже используется VDI, SHD, SHA, достаточно ли ресурсов?
- Как быстро вы сможете нарастить необходимые ресурсы?
- Как быть с выполнением требований безопасности? Работающие из дома не смогут выполнить все требования безопасности.
- Как быть с технической поддержкой, особенно если вы решитесь на быстрое внедрение новой для пользователей технологии?
- Возможно, вы используете гибридные облачные решения и сможете перераспределить часть ресурсов?
Заключение
Как вы можете заметить, из всего вышесказанного, правильный выбор технологий, — это процесс, основанный на взвешенной оценке многих факторов. Любой IT-специалист, априори утверждающий о безоговорочных преимуществах той или иной технологии, лишь показывает свою профнепригодность. Я бы не стал тратить своё время на беседу с ним…
Дорогой читатель, желаю вам встреч только с компетентными IT-специалистами. С теми, кто относится к клиенту как к партнёру для долгосрочного и обоюдовыгодного сотрудничества.
Всегда рад конструктивным комментариям, и описанию Вашего опыта работы с продуктом.
DenisWireless
Непосредственно в нашей компании принято решение использовать и vpn( тем кто является счастливым владельцем корпоративного ноута) и терминальных серверов. Какой смысл зацикливаться на одной технологии?
anatoli_cologne Автор
В нашей тоже, сначала захожу через VPN, а затем запускаю сессию Сitrix
Al_Tar
Если VPN неГОСТ, а обычный TLS, то объясните, плиз, смысл такого наслоения.
anatoli_cologne Автор
Я не из России, не ГОСТ. Это просто требования работодателя к безопасности, как и шифрование диска и вход в систему только при наличии smart card.