社内の VDI 環境にCitrix Cloud on Azure を導入しました

1. はじめに

みなさん、はじめまして。クラウドプラットフォーム担当の渡辺です。

昨今、会社以外でテレワークを行う方も増えたのではないでしょうか。
弊社では、昨年末、Citrix Cloud on Microsoft Azure (以下 Citrix on Azure ) を採用し、クラウド VDI を整備しました。本ブログ記事では、この自社導入事例をご紹介します。

「Microsoft Azure の導入・構築・運用」に関する資料請求・お問い合わせはこちら

2. 旧オンプレミス VDI 環境の課題

弊社では 2012年度より、オンプレミス環境に VDI を構築し、社内のユーザーに提供していました。
しかし稼働 7年目の 2019年度になると、次のような課題を抱えていました。

加えて、働き方改革でテレワークの需要が高まったことから、どこでもセキュアに仕事ができ、柔軟な運用を実現する次世代の VDI の導入が必要になりました。

3. Citrix on Azure での新 VDI 環境の導入

まず、構成のイメージですが、新旧の環境を比較すると以下のようになります。

新しい VDI 環境を Citrix on Azure で構築することで、旧 VDI 環境の以下の課題を解決できました。

1. ハードウェアの老朽化
   → Azure でハードウェアの保守を心配することなく VDI のリソースを利用できる。
   Azure はリソースの利用料に応じた支払いの従量課金となるためユーザーが利用していない時間帯等の余計なコストを削減。


2. Windows 7 サポート終了
   → Azure でサポートする Windows 10 に乗り換え。


3. 社給 PC の持ち帰り負担
   → Citrix の画面転送技術により、社外でもセキュアに VDI を利用、
   Azure AD の多要素認証 (以下、MFA) を採用し、社給 PC 以外からもセキュアな VDI 接続を実現し、社給 PC の持ち帰りや移動時の盗難・紛失・故障から解放。


4. パフォーマンス不足、ユーザーの増加への対応
   → Azure のスケールメリットを活かし、仮想マシンの台数やスペックを柔軟に調整することが可能に。


5. 運用の効率化
   → Citrix が提供する管理サーバーを利用することで、VDI 環境の管理を最小化。
   Azure にリソースを配置することで、ファシリティ管理 (物理データセンター内のラック、サーバーハードウェア、ネットワーク機器、回線の管理や保守など) からの解放。

4. Citrix on Azure の構成 TIPS

弊社では VDI を導入するにあたり、以下のような設計をしました。
(ここで紹介する内容は、必須の構成ではありません。)

1. ログイン認証について
   VDI への接続には、社内用と社外用で 2つの経路を用意しました。
   社内から接続する際は、オンプレミス AD で認証します。
   社外から接続する際は、Azure AD + MFA で認証し、本人確認します。VPN や デバイス証明書は利用しません。








2. ソフトウェアの更新と Windows Update
   動作確認後のセキュリティソフトや Windows Update の更新を配布するため、Azure に SCCM のセカンダリサーバーを構築しました。
   アップデートの管理や、アップデートによる帯域圧迫の軽減をしています。


3. Autoscale
   負荷やスケジュールに応じて、仮想マシンの電源をオンオフさせることが出来ます。
   弊社では VDI を 2種類に大別して、Autoscale を設定しています。
   
   VDI-OA ：社内システムを利用する VDI 。
   → 常に、ユーザーがログインしていない待機仮想マシンを 3 台起動して、ユーザーが使う時に仮想マシンの起動する待ち時間を無くします。それ以外の仮想マシンはシャットダウンさせます。
   （待機台数はユーザーの利用状況と許容できる仮想マシン稼働料金から算出。）
   
   VDI-TEC ：検証や顧客環境への接続に利用する VDI 。
   → ユーザーが使うときに接続要求に応じて起動します。接続までに時間が掛かるものの、利用していない仮想マシンが起動しないため、コストを抑えることが出来ます。

「Microsoft Azure の導入・構築・運用」に関する資料請求・お問い合わせはこちら

5. 新環境の導入による効果

今回、Citrix on Azure を導入したことによる効果をまとめてみます。

• ワークスタイルの変革
  場所、時間、デバイスにとらわれず、VDI を利用して働くことができるようになりました。
• ビジネス変化への柔軟な追従
  ハードウェアを保持せず、設定変更が容易なため、要件の変化に柔軟に対応できるようになりました。
• 柔軟な PC 環境の提供
  必要な時に必要なスペックのマシンを用意できるようになりました。
  利用した時間だけコストが発生するため、コストの削減ができるようになりました。
  PC の故障による業務中断も最小限に抑えられるようになりました。
• セキュリティ対策
  VDI の利用に Azure AD の MFA を設定し、不正なユーザーのアクセスを防ぐことができるようになりました。
  接続元の端末にデータを保持しないため、情報漏洩のリスクが減らせるようになりました。
  仮想マシンの実行環境が Azure となるため、世界最高レベルのクラウドセキュリティを利用できるようになりました。
  Citrix の ICA プロトコルを使った画面転送技術により、通信帯域を抑えつつ安全に VDI を利用できるようになりました。

6. 新環境の導入時に悩んだこと

ここまで、Citrix on Azure を導入したことのメリットを書いてきましたが、導入の際に困ったことや運用で許容した要件についても記載します。

1. 費用と利便性のトレードオフ
   Azure で 24時間 365日の間仮想マシンを動かすと、オンプレミスで VDI を用意するよりもランニング費用が掛かってしまいます。
   弊社ではユーザー数の多い一部のプールで、ユーザーが利用する時だけ VDI を起動し、2時間利用していない場合は強制シャットダウンを行うことで、可能な限り Azure のランニング費用を抑えるように設計しました。
   ここでユーザーが VDI にログインしようとするとき、Azure VM の起動 → Citrix エージェントが Citrix Cloud と通信 → VDI にログイン といった手順を踏むことになり、長くて 5分近く待たされてしまいます。
   オンプレミスの時は常に VDI に接続できたので、移行後のギャップとして、ユーザーが感じる利便性は下がります。
   
   

   

   
   一方、保守対応用の VDI など重要度の高いプールでは予め仮想マシンを起動し素早く接続できる設定としており、用途に応じて費用と利便性のバランスを考慮しました。


2. VDI に接続する際のタイムアウト時間設定箇所が多い
   １でユーザー VDI にログインするまで、長くて 5分近く待つことがあると記載しました。
   Citrix Cloud では、以下の既定の接続タイムアウト時間が 3分なので、変更する必要がありました。
   
   ・Workspace (Citrix Cloud の接続用アプリ )
   社内外問わず、アプリを利用して VDI に接続する際のタイムアウト値 (Windows)
   →レジストリのタイムアウト値を変更する設定を接続元の社給 PC に配布
   
   ・Delivery Controller
   社外から VDI に接続する際の仲介サーバーのタイムアウト値
   →PowerShell で Citrix Cloud のタイムアウト値を変更
   
   ・Store Front
   社内から VDI に接続する際の認証サーバーのタイムアウト値
   →IIS の web.config に記載されたタイムアウト値を変更
   
   以上を全て設定変更すると、社内外から VDI に接続する際に、タイムアウトしにくくなりました。


3. 仮想マシン の SID が重複してしまう
   Citrix Cloud on Azure では仮想マシンのクローニングを MCS ( Machine Creation Services ) という方式で展開します。
   マスターイメージの Sysprep を行わず、スナップショットをコピーして仮想マシンを展開していきますが、展開後の全ての仮想マシンはマシンの SID が同じになってしまいます。弊社では一部のシステムで、予め登録した SID からの接続のみを許可していました。
   Sysprep を行わないためマスターイメージの更新は簡単ですが、もし SID でマシンを管理している場合は、考慮しなければいけません。
   
   

   



4. 多様な要件への対応
   案件ごとの要件に対応は出来ましたが、結果として VDI のマスターイメージが 6個、VDI のプールが 40個近くまで増えてしまいました。
   VDI の台数やプールを増やすことは簡単ですが、多くなるほど管理の煩雑さが増すので、少ない要件にまとめることが出来るとより管理しやすくなります。


5. 思ったより VDI の性能が良くない
   VDI の仮想マシンのスペックは Azure VM の D2v3 (2vCPU 8GB ) で構築し、
   Office アプリケーションやセキュリティソフトなど、一般的に仕事を行う上で必要となるソフトウェアを多くインストールしました。また、Citrix Optimizer という最適化ツールで少しカスタマイズしました。
   いざ VDI を使ってみると、接続後しばらくの間は動作が重く、時間経過で改善するのを待ったり、Microsoft Teams のビデオ会議をすると CPU 使用率が100% に張り付いてしまい、ビデオ会議は使い物にならなかったりしました。
   いまになってみるとユーザビリティを加味して、マスターイメージを念入りに、VDI で必要 / 不要なサービスの精査やアニメーションやグラフィックなどの検証をして作成する必要があったと思っており、今後の改善点となっております。

7. Windows Virtual Desktop について

2019年の 9月末に Microsoft から Windows Virtual Desktop (以下 WVD ) という Azure のデスクトップ/アプリケーション仮想化サービスが提供開始されました。

このサービスではマルチセッションでスケーラビリティを備えた Windows 10 が提供されています。
プール型で構成すると、VDI で低負荷な作業をする用途にとっては、1人に1台の Windows 10 仮想マシン を割り当てるよりも、費用を抑えることが出来ます。

また、Office 365 サービスへの接続は、Azure のバックボーンを経由して通信するので、低レイテンシで従来の VDI より快適に Office 365 サービスを利用できます。

ライセンスは以下のどれか 1つを持っていれば利用できます。

• Microsoft 365 E3 / E5 / A3 / A5 / Business / F1
• Windows E3 / E5 / A3 / A5

ただし、現時点で管理機能は充実しておらず、WVD 単体で運用するには、PowerShell を駆使する必要があるので、運用の難度は高いと思います。

Citrix Cloud と組み合わせた Citrix Cloud with WVD では、WVD 単体ではできなかった GUI での管理機能や電源管理が充実しており、より快適な VDI の利用、運用ができます。

今回の Citrix on Azure 導入では構築時期が合わず、WVD は要件に入っていませんでしたが、追加で2020年 1月末に 1つのプールを WVD に置き換えて、運用を開始しました。
いままでの Azure Windows 10 とは違って、WVD 用に用意された Windows 10 multi-session は快適に動作しているようで、VDI の性能問題も解決しそうです。
今後、使い勝手を確認しながら、置き換えられるものを WVD にしていく予定です。

8. さいごに

今回は、Citrix on Azure の自社導入についてご紹介いたしました。
オンプレミスからクラウドへの移行においては、良い面と妥協しないといけない面がありました。
今回クラウドベースの VDI を実際に構築・運用を始めてみて、その柔軟性の高さを実感しました。この特性は、急成長する会社やスモールスタートで VDI を利用し柔軟に拡張したい会社などは特に、この Citrix Cloud での VDI ソリューションはマッチしていると思います。

弊社では、Citrix on Azure の構築、運用も行っています。
既存環境の老朽化対応やテレワークへの対応など、お客様の様々なご要件にあわせて、実績を踏まえた費用感を含めご提案をさせていただきますので、少しでも興味をお持ちであれば、ご導入をご検討ください。

関連リンク Microsoft Azure 導入・運用支援サービス 「Microsoft Azure の導入・構築・運用」に関する資料請求・お問い合わせはこちら クラウド VDI ソリューション - Windows Virtual Desktop 導入支援 「クラウドVDIソリューション-WindowsVirtualDesktop導入支援」に関する資料請求・お問い合わせはこちら