Client-seitige Virtualisierung gibt es schon länger, das erste Produkt von VMware im Jahr 1999 war eine derartige Lösung. Produkte wie "VMware Workstation", "Microsoft Virtual PC" oder Suns "Virtual Box" werden als Hypervisor Typ 2 bezeichnet und setzen ein vollständiges Betriebssystem als Unterbau voraus, auf dem sie laufen können. Deshalb stellen sie relativ hohe Anforderungen an die Hardware, erfordern das Management von Host- und Gastsystemen und sind bei Angriffen auf das Hostbetriebssystem verwundbar. Allerdings wird ihre Implementierung dadurch erleichtert, dass ein virtueller PC über die Treiber des Hostsystems die physikalische Hardware mitnutzen kann.
Die von VMware und Citrix vor einiger Zeit angekündigten Hypervisor vom Typ 1 benötigen dagegen kein darunter liegendes Betriebssystem, sondern setzen direkt auf die PC-Hardware auf. Das Gesamtsystem wird dadurch schlanker und weniger angreifbar, dafür stellt ein solches Vorhaben hohe Anforderungen an die Entwickler.
Gekapselter Firmen-Desktop
Wenn die leichtgewichtige und einfach wartbare Softwareschicht zur Standardausstattung von Firmen-PCs wird, eröffnet sie für den Client eine Reihe neuer Nutzungsszenarien. Dazu zählt vor allem, dass sie den Unternehmens-Desktop vor privaten und inoffiziell installierten Programmen der Mitarbeiter freihalten kann.
Bis dato bannt die IT unerwünschte Anwendungen zumeist mit rigorosen Regelungen und restriktiver Systemkonfiguration. Sie zieht sich damit oft den Unmut der User zu und muss sich den Vorwurf gefallen lassen, damit deren Produktivität zu beschränken. Im Zuge der Konvergenz von Consumer- und Unternehmens-IT wollen viele Benutzer vor allem ihre privat verwendeten Kommunikations- und Collaborations-Tools auch in der Arbeit einsetzen, beispielsweise um sich mit Kunden oder externen Mitarbeiten Kontakt auszutauschen.
Benutzerfreiheiten ohne Nebenwirkungen
Der parallele Betrieb von privatem und Firmen-Desktop auf einem PC verspricht einen Ausweg, weil die offizielle Arbeitsumgebung abgekapselt in einer virtuellen Maschine läuft und dort nicht durch private Anwendungen aus dem persönlichen Desktop beeinträchtigt wird. Letzterer wird typischerweise nicht von der IT-Abteilung betreut, dafür hat der Anwender dort weitgehende Gestaltungsfreiheiten. In der Regel darf die persönliche Windows-Installation nur sehr beschränkt auf das Netzwerk zugreifen. In letzter Konsequenz muss das Unternehmen seinen Mitarbeitern keinen PC mehr zur Verfügung stellen, sondern kann ihnen etwa einen jährlichen Betrag auszahlen, für den sie ein Gerät nach eigenem Wunsch erwerben können ("Employee Owned PC").
Nebeneinander betriebene Desktops müssen das Benutzererlebnis keineswegs dadurch einschränken, indem sie als separate Oberflächen im Vollbildmodus dargestellt werden. Vielmehr sieht der im Rahmen des Projekts "Independence" von Citrix entwickelte Hypervisor vor, dass sich ein System in ein Fenster des anderen einblenden lässt. VMware gab in dieser Hinsicht noch keine Details bekannt, aber nachdem es diese Technik bereits bei den Typ-2-Hypervisorn einsetzt, wird sie vermutlich auch bei der Bare-Metal-Version verfügbar sein.
VMware nutzt Linux-Treiber
Auch wenn Citrix und VMware ähnliche Anwendungsmöglichkeiten in Aussicht stellen, so gehen sie technisch verschiedene Wege. Auf der VMworld erläuterte Jocelyn Goldfein, VMware Global Manager für das Desktop-Business, im Gespräch mit der Computerwoche, dass es Ziel der "Client Virtualization Platform" (CVP) sei, die PC-Hardware vollständig zu abstrahieren. Gegenüber den Gastsystemen emuliert diese Softwareschicht einheitliche PC-Komponenten, unabhängig davon, welche Bauteile tatsächlich im PC installiert sind.
Dieser Ansatz hat den Vorteil, dass im Rahmen von virtuellen Desktop-Lösungen dasselbe Image in allen virtuellen Maschinen lauffähig ist, wenn es überall die gleiche virtuelle Hardware vorfindet. Andererseits muss eine solche Softwareschicht unterhalb des Betriebssystems alle Gerätetreiber selbst mitbringen. VMware verfolgt diesen Ansatz mit ESX bereits erfolgreich auf dem Server, allerdings ist dort die Komponentenvielfalt deutlich geringer als am Client. Außerdem sind die Hardwarehersteller beim Server bereit, Treiber für das führende Virtualisierungssystem zu entwickeln und von VMware zertifizieren zu lassen.
Auf dem PC hingegen muss das Unternehmen diese Aufgabe selbst übernehmen. Anstatt Treiber für tausende Komponenten zu entwickeln, greift es auf den Linux-Bestand zurück. Technisch betrachtet portiert VMware sein "Workstation"-Produkt, das ein Host-Betriebssystem erfordert, auf einen selbst entwickelten schlanken Systemkern, der das Treibermodell von Linux unterstützt. In der Praxis muss sich erweisen, ob die Auswahl an Open-Source-Treibern für den Unternehmensdesktop ausreicht. Außerdem muss es den Ingenieuren gelingen, das Grafiksystem so zu emulieren, dass etwa anspruchsvolle Anwendungen wie Bildbearbeitungen, Konstruktionssoftware oder hoch auflösende Videos ohne Einschränkungen ablaufen.
Citrix baut auf Windows
Der auf Xen beruhende Client-Hypervisor von Citrix benötigt zwar wie die Server-Variante eine Verwaltungspartition ("Domain 0"), die ein abgespecktes Linux enthält. Allerdings laufen im Gegensatz zum Server nur sehr wenige Ein- und Ausgabeoperationen von virtuellen Maschinen durch dieses Service-Betriebssystem. Citrix möchte stattdessen dem primären Desktop den direkten Durchgriff auf das Grafiksystem, den Netzwerkadapter und anderer Bausteine erlauben. Das Gastbetriebssystem hat es daher nicht mit einer vorgegaukelten einheitlichen Hardware zu tun, sondern wird in einer PC-spezifischen Konfiguration installiert.
Als besonderen Vorteil dieses Vorgehens nannte Citrix-CTO Simon Crosby im Gespräch mit der Computerwoche, dass er die Kompatibilität mit allen gängigen PC-Komponenten gewährleiste. Da der Hypervisor keine eigenen Gerätetreiber enthalte, steuere Windows wie bei einer konventionellen Installation selbst die Hardware mit seinen eigenen Treibern.
Allerdings beeinflusst diese Entscheidung die Rolle des Clients in virtuellen Desktop-Umgebungen. Das Herunterladen eines Systemabbildes vom Server auf den Client ist in einer solchen Konstellation nicht vorgesehen, weil sie zumeist an der heterogenen Hardware scheitern würde. Vielmehr handelt es sich beim lokalen Windows um eine feste Installation, die benutzerspezifische Daten und Einstellungen regelmäßig mit dem Backend abgleicht.
Hypervisor schließt Lücke bei virtuellen Desktops
VMware hatte anfangs Szenarien skizziert, bei denen ein Anwender seinen auf dem Server ausgeführten Desktop auschecken und auf den lokalen Rechner herunterladen könnte. Jocelyn Goldfein zufolge ist ein solcher Transfer nur mehr bei der ersten lokalen Verwendung der virtuellen Maschine vorgesehen. In der Folge würden bloß noch die Änderungen mit dem Server abgeglichen. Dabei komme eine Funktion zum Einsatz, die schon länger zum Clonen virtueller Maschinen ("Linkes Clones") und für das Image-Management in "View 3" eingesetzt wird.
Damit kommt dem lokal in einer VM ausgeführten Unternehmensdesktop eine größere Bedeutung zu als ursprünglich in verschiedenen Nutzungsmodellen vorsehen. Denn eine regelmäßige Migration zwischen Server und Client hätte primär dazu gedient, den virtuellen Desktop mit Offline-Fähigkeiten auszustatten. In einer solchen Konstellation würde der Mitarbeiter im LAN mit der Server-gestützten Variante arbeiten und den Desktop nur dann auf die lokale Maschine übertragen, wenn ihn auf dem Notebook unterwegs weiterverwenden möchte.
Die permanent in einer lokalen VM ablaufende Arbeitsumgebung löst nicht nur das Offline-Problem, sondern kann auch anspruchsvollen Benutzergruppen ein ausreichend leistungsfähiges System zur Verfügung stellen. Denn trotz aller Investitionen in die Entwicklung von Remote-Display-Protokollen ist es den VDI-Anbietern bisher nicht gelungen, die auf dem Server erzeugte Bildschirmausgabe von grafikintensiven Anwendungen in befriedigender Weise auf dem entfernten Client darzustellen.
Lokale VM für Power-User
Stephen Herrod, CTO von VMware, unterschied auf der VMworld zwischen drei Nutzungsszenarien, die in VDI-Umgebungen auf verschiedene Weise unterstützt werden sollen. Anwender, die über eine WAN-Verbindung auf den zentralen Desktop zugreifen, können mit brauchbarer Qualität bei Office-Anwendungen, der Darstellung von Web-Seiten oder einfachen Flash-Applikationen rechnen. Im LAN verspricht Der Hersteller einen PC-ähnlichen Benutzerkomfort.
Die eindrucksvolle Demonstration während der Keynote von Herrod nutzte das PC-over-IP-Protokoll von Teradici auf Basis eines eigenen Beschleunigerchips. Die in Kooperation mit VMware geplante reine Softwareimplementierung, die Unternehmen in der Regel nutzen werden, dürfte weniger leistungsfähig sein. Allerdings lässt VMware View aufgrund seiner Plugin-Architektur auch die Nutzung alternativer Protokolle zu. Nach Aussage von Jocelyn Goldfein bietet Suns "Appliance Link Protocol" (ALP) derzeit die besten Ergebnisse. Wer die volle Kapazität eines Desktop-Rechners benötigt, soll VMware zufolge die CVP einsetzen.
Für alle drei Konstellationen stellt der Anbieter ein einheitliches Client-Management in Aussicht. Dies bezieht sich nicht nur auf die Image-Verwaltung, so dass Anwender mit einem einheitlichen Systemabbild ihrer VM in allen genannten Szenarien arbeiten können. Es sieht auch die Möglichkeit vor, Policies übergreifend zu definieren und zu notfalls zu erzwingen, etwa durch die Deaktivierung einer VM bei Virenbefall.
Das Konzept des zentralen Managements möchte VMware nach dem Zukauf des französischen Unternehmens Trango auch auf Mobilgeräte ausdehnen. Der Hypervisor lässt sich dort ebenfalls durch zentrale Vorgaben steuern. Wie sein Pendant auf dem Desktop hat auch er die Aufgabe, verschiedene Systeme parallel auszuführen, so dass sich auch auf dem Smartphone das Konzept von nebeneinander existierender privater und Firmenumgebung umsetzen lässt. Damit würde eine jeweils eigene Hardware für beide Zwecke überflüssig. Auf der VMworld demonstrierte VMware die Koexistenz von Windows Mobile und Googles Android auf einem Nokia N800.