Überblick: Virtuelle Desktops aus der Cloud mit AWS WorkSpaces

    Amazon WorkSpacesAmazon WorkSpaces stellt Unternehmen eine Cloud-basierte virtuelle Desktop-Umgebung zur Verfügung. Im Unterschied zu lokal betriebenen VDI müssen sich die Kunden dabei nicht um das Bereitstellen und Verwalten einer komplexen Umgebung kümmern. WorkSpaces ist nach SOC1/2/3, ISO 9001 und USO 27001 zertifiziert.

    Virtual Desktop Computing ist prinzipiell eine gute Sache, wenn jemand für die Infrastruktur sorgt. Diese umfasst

    • die gesamte Logistik und Beschaffung, wie etwa das Bestellen von Laptops und anderen Endgeräten
    • Storage und Networking, wobei man auch das Boot-Storm-Management bei Arbeitsbeginn in den Griff bekommen muss
    • Monitoring: Wer nutzt wann welche Applikationen
    • Lizenzierung von Desktop-Apps
    • Global Scaling: Wie bindet man bei Bedarf ein Projekt-Team aus Singapur an? Das ist nicht nur Server-seitig zu betrachten, sondern auch im Hinblick auf die Netzwerk­umgebung für die  des Projektteams.

    Anbindung von WorkSpaces an lokales AD

    An diesem Punkt kommt Amazon WorkSpaces ins Spiel. Der verwaltete Dienst arbeitet genau wie EC2 sehr gut mit existierender Infrastruktur zusammen. Firmen können etwa ihr eigenes Active Directory in der AWS-Cloud betreiben oder WorkSpaces-User gegen ein On-Premise-Active-Directory authen­tifizieren lassen und dieses via VPN und AD-Connector anbinden. Auf Wunsch lässt es sich mit Multifaktor-Authentifizierung (MFA) koppeln.

    Aufbau des VDI-Dienstes Amazon WorkSpaces

    Auch SCCM würde die virtuellen Desktops problemlos sehen, da WorkSpaces im AD ganze normale Computer-Objekte darstellen. Nicht zu unterschätzen ist aber auch der Aspekt Daten­sicherheit, da sämtliche Daten in der Cloud verbleiben und die Unternehmens­struktur nicht verlassen. Außen­dienstler laufen also nicht mit kritischen Unternehmensdaten auf ihren Notebooks herum.

    Anwendungen für virtuelle Desktops aus der Cloud

    Die möglichen Einsatzbereiche von AWS WorkSpaces sind damit sehr vielfältig wie folgende Abbildung zeigt.

    Mögliche Einsatzgebiete von AWS Workspaces laut AWS

    Unternehmen können etwa einem Projekt-Team mit WorkSpaces für einen begrenzten Zeitraum Zugriff auf Ressourcen wie Projekt-Folder geben. Auch "Trainings and labs" ist ein klassisches Anwendungs­beispiel für Cloud-Desktops, speziell mit AWS.

    Angenommen ein Kunde führt ein neues SAP-System ein und braucht auf die Schnelle eine Trainings­umgebung für 100 Mitarbeiter, jedoch mit Zugriff auf bestehende interne Ressourcen und auf das interne Netzwerk. Ein idealer Anwendungsfall für WorkSpaces.

    Anwendungs-Management

    Amazon WorkSpaces enthält eine Reihe von Standard-Anwendungen, für die keine zusätzlichen Kosten anfallen. Gegen eine Monatsgebühr von 15 USD kann man auf Wunsch auch das Plus-Anwendungspaket hinzufügen, das unter anderem Microsoft Office Professional und Trend Micro Worry-Free Business Security mitbringt. Beim Plus-Paket können Nutzer zwischen Microsoft Office Professional 2013 und 2016 wählen.

    Ergänzend kann die Bereitstellung und Verwaltung von Anwendungen mit Amazon WorkSpaces Application Manager (WAM) erfolgen. Auch WAM beinhaltet ein kostenloses und ein kosten­pflichtiges Kontingent. Das Tool offeriert virtualisierte Anwendungen - AWS setzt hier auf Container-Technik -, die monatlich erworben und in WorkSpaces bereitgestellt werden können.

    Software-Verteilung über WAM

    WAM ist also eine Lösung zur Applikations­verteilung einschließlich der dafür benötigten Virtualisierungs­infrastruktur. Admins können so Programme bestimmten Benutzer­gruppen zuweisen und diese können sich gezielt in einem dafür konzipierten Marketplace bedienen.

    Software in die virtuellen Desktops verteilen mit WorkSpaces Application Manager.

    Der Nutzer muss dann nur in seinem Katalog nachschauen, ob die gewünschte App für Ihn freigegeben ist bzw. ob noch genügend Lizenzen vorhanden sind und kann dann für die Dauer der Sitzung auf die gewünschte App zugreifen.

    WAM kostet zusätzlich 5,00 USD pro Monat. Statt also sämtliche benötigte Applikationen in ein Golden Image zu verpacken, können Unternehmen das komplette Applikations­verteilung und Verwaltung auch an WAM auslagen. Die User erhalten auf Basis des Selfservice-Portals zudem eine höhere Usability. Details liefert die WAM-Kostenübersicht

    Golden Image

    Darüber hinaus oder anstelle von WAM können Anwender jederzeit ein benutzer­definiertes Image aus ihrem jeweiligen WorkSpaces-Paket erstellen, das dann eine individuelle Zusammen­stellung installierter Software enthält.

    Sofern es die Lizenz­vereinbarung des Kunden mit Microsoft erlaubt, kann er vorhandene Desktop-Abbilder von Windows 7 und Windows 10 (Enterprise oder Professional) für WorkSpaces verwenden. Auch hier gilt wie on Premises: Nutzer dürfen bei Einhaltung der Microsoft-Lizenzierungs­bedingungen ihre WorkSpaces nur auf Hardware ausführen, die ihnen in der AWS Cloud fest zugeordnet ist (Dedicated Hosts).

    Amazon WorkDocs

    Amazon WorkSpaces-Nutzer erhalten Zugang zu Amazon WorkDocs mit 50 GB kostenlosem Speicher. Auch dieses Feature kann zu einem Rabattpreis auf 1 TB Speicher pro WorkSpaces-Benutzer aufgerüstet werden.

    Amazon WorkDocs ist ein sicherer, vollständig verwalteter Datei-Collaboration und Management-Service mit einem erweiterbaren SDK, in dem Anwender alle Daten speichern. Sie können Dateien freigeben und über jedes beliebige Gerät auf ihre WorkDocs-Dateien zugreifen.

    Der Dienst verschlüsselt übertragene und gespeicherte Daten und bietet eine leistungsfähige Steuerung und Integration in Active Directory. Weitere Informationen und Preise zu Amazon WorkDocs finden sich auf der Produktseite.

    Client-Software herunterladen, mit Desktop verbinden

    Amazon WorkSpaces-Pakete bündeln Hardware und Software mit der sicheren Authentifizierung. Bei der Bereitstellung eines gewählten Paketes erhalten Benutzer eine E-Mail mit Anweisungen zum Herunterladen des benötigten WorkSpaces-Clients und zum Verbinden mit dem entsprechenden Amazon WorkSpace.

    Der Zugriff erfolgt dann von einem beliebigen Desktop-PC mit Windows, Linux oder Mac OS, Chromebook oder per iPad, Fire-/Android-Tablet. Relativ neu ist der Support für Zero-Clients. Das sind quasi intelligente Bild­schirme, die man ans lokale Netzwerk anschließt und die sich per Firmware automatisch mit dem Server verbinden, sodass auf Client-Seite keine Verwaltung mehr notwendig ist.

    Auch das Drucken ist inzwischen problemlos möglich und seit einiger Zeit gibt es auch Skype-Support, so dass der Nutzer am Chromebook oder Zero-Client auch Mikrophone für die Spracheingabe verwenden kann.

    Die Anwendungen und Daten der Benutzer sind speicher- und abrufbar. Anwender können zudem einfach zwischen ihren Geräten wechseln, ohne ihre Arbeit zu verlieren.

    WorkSpaces-Pakete

    Bei den Paketen stehen Value-, Standard-, Performance-, Power- und Graphics mit unterschiedlichen CPUs, GPUs, Arbeitsspeicher- und Storage-Ressourcen (SSD-Volumes) zur Wahl. Die Speicherzuweisungen für Root- und Benutzer-Volumes lassen sich jederzeit erhöhen.

    Auch der Wechsel von Hardware zwischen Value, Standard, Performance und Power ist bei Bedarf möglich. Folgende Tabelle von AWS zeigt die verfügbaren Pakete:

    Verfügbare Pakete für Amazon WorkSpaces

    Value bietet zum Beispiel für den Einstieg eine vCPU, 2GB RAM. Alle Pakete beinhalten wie oben erwähnt ein vorinstalliertes, rudimentäres Tools-Paket. Wer Amazon WorkSpaces mit zusätzlich vorinstallierter Software, bestehend aus Microsoft Office, Trend Micro Worry-Free Business Security Services und weiteren Dienst­programmen wünscht, kann Value Plus-, Standard Plus-, Performance Plus-, Power Plus- oder Graphics Plus wählen.

    Preise für AWS WorkSpaces

    Bei der Preisgestaltung können sich Nutzer von Amazon WorkSpaces zwischen stündlicher und monatlicher Abrechnung entscheiden. Bei der monatlichen Abrechnung zahlt der Kunde einen Festbetrag für die unbegrenzte Nutzung im Verlauf dieses Monats. Diese Option eignet sich für Firmen, die Amazon WorkSpaces permanent als primären Desktop verwenden.

    Bei der stündlichen Abrechnung zahlt man dagegen nur einen kleinen monatlichen Festbetrag, um die Kosten für Infrastruktur und Speicher abzudecken. Zusätzlich fällt eine Stundengebühr für jede Stunde an, in der WorkSpaces im Monat verwendet wird. Die stündliche Abrechnung eignet sich, wenn der Kunde seine WorkSpaces nicht den ganzen Arbeitstag oder nur wenige Tage im Monat verwendet.

    Diese Option ist somit ideal für Teilzeitbeschäftigte, Jobsharing, mobile Mitarbeiter,  kurzfristige Projekte oder für Schulung und Ausbildung. Bei der zweiten Option kann man seine WorkSpaces jederzeit herunter­fahren, wodurch die stündliche Nutzungsgebühr entfällt. Man zahlt dann neben der Monatsgebühr nur noch die Kosten für persistenten Speicher.

    Bring your own License

    Die BYOL-Option für WorkSpaces ist in allen AWS-Regionen verfügbar, in denen WorkSpaces verfügbar ist. Um diese Option nutzen zu können, muss  das Unternehmen die von Microsoft festgelegten Lizenzanforderungen (Software Assurance für Volumenlizenzierung) erfüllen.

    Dazu gehört, dass man seine Windows 7- oder Windows 10-Desktops auf Hardware ausführt, die ihnen in der Cloud auch physisch zugeordnet ist. Konkret können AWS-Kunden ihre bestehenden Windows-Lizenzen AWS in Kombination mit Amazon EC2 Dedicated HostsAmazon EC2 Dedicate bei BYOL Instances oder in EC2-Instanzen mit Standard-Mandantenfähigkeit, die Microsoft License Mobility through Software Assurance nutzen, verwenden. Dabei müssen Nutzer sich allerdings verpflichten, jeden Monat mindestens 200 WorkSpaces in einer bestimmten AWS-Region auszuführen.

    Für den Start mit Windows BYOL für WorkSpaces muss man sich für die Aktivierung von BYOL explizit mit AWS in Verbindung setzen. Mehr zum Thema Windows-Produkte auf AWS und zum Lizenz-Thematik findet man unter Microsoft-Workloads im AWS Portal, in der dortigen Lizenz-Sektion und in den FAQs zu Microsoft Software.

    Der Prozess zur Übertragung  von Lizenzen vollzieht sich in drei Schritten. Kunden müssen wie beschrieben zuerst ihr AWS-Konto für BYOL aktivieren. Danach importiert man vorhandenen Windows 7- oder Windows 10-Images mithilfe der VM-Import-API. Anschließend nutzt man in der Admin-Konsole für WorkSpaces die Aktion BYOL-Image erstellen auf der Seite Images, um ein benutzer­definiertes WorkSpaces-Image zu erstellen.

    Fazit

    Amazon WorkSpaces bietet auf Basis einer nutzungs­abhängigen Gebühr einen vollständigen Cloud-basierten virtuellen Desktop-Service mit Daten­verarbeitung, persistentem Solid-State-Speicher (SSD) und integrierten Anwendungen.

    Unternehmen profitieren von dem einfachen Verfahren zur Bereitstellung von Desktops zu Kosten, die laut AWS fünfzig Prozent unter denen für eine VDI-Lösung vor Ort liegen.

    Evolution und Features

    AWS WorkSpace ist kein neuer Dienst. Überhaupt hat der Support für Windows unter AWS Tradition, das gilt auch für EC2 oder verwaltete Dienste wie der AWS Directory Service.

    Seit dem Launch von AWS WorkSpaces im Mai 2014 sind allerdings sukzessive neue Funktionen dazu gekommen. Allgemein fasst die Features-Seite die wichtigsten Merkmale von Amazon WorkSpaces zusammen. Hier eine chronologische Auflistung:

    • August 2014: Support für Multi-Faktor-Authentication.
    • Oktober 2014: Unterstützung  für Teradici PCoIP Zero-Clients
    • April 2015: Eröffnung AWS Marketplace für Desktop Apps zusammen mit WorkSpaces Application Manager (WAM). Zeitgleiche Freigabe eines öffentlichen APIs für die programmatische Verwaltung und Steuerung von WorkSpaces.
    • Juli 2015: Support für CloudWatch-Alarme.
    • Oktober 2015: Optionale Verschlüsselung für Storage Volumes.
    • Januar 2016: Audio-Unterstützung erlaubt Verwendung von Headset und High-DPI-Screens.
    • November 2016:  GPU-Support
    • Januar 2017: Neu erstellte Amazon WorkSpaces verwenden ohne Extra-Kosten SSD-Storage-Devices für Root- und User-Volumes
    • Juni 2017: Einführung der Geräte­authentifizierung. Admins können jetzt digitale Zertifikate verwenden, um dem Client-Zugriff über Apple OSX und Microsoft Windows auf Basis von Richtlinien zu erlauben oder zu blockieren. Zugriffsrichtlinien werden für jedes WorkSpaces-Verzeichnis einzeln festgelegt. Um die Funktion nutzen zu können, müssen Zertifikate mit SCCM oder mit Hilfe eines Tools zur Verwaltung mobiler Geräte (MDM) auf die Clients-Geräte verteilt werden.
    • Juni 2018: Einführung eines neuen WorkSpaces-Power-Bundle mit vier vCPUs, 16 GB RAM und 275 GB Speicher (175 GB auf dem Systemvolume und weiteren 100 GB auf dem Benutzervolume).
    • September 2018: Veröffentlichung eines Self-Service-Portals mit dessen Hilfe Unternehmen Ihren Mitarbeitern ermöglichen, eigene WorkSpaces mit einem integrierten Genehmigungs-Workflow bereitzustellen, bei dem keine IT-Intervention erforderlich ist.
    • November 2018: Unternehmen können vorhandene Windows 7- und Windows 10-Desktops auf Amazon WorkSpaces übertragen und durch die BYOL-Automatisierung (BYOL) Lizenzkosten sparen, da AWS bei BYOL pro WorkSpace und Monat einen Rabatt von 4 USD gewährt.

    Keine Kommentare