AMDのGPUもサポートした「XenClient 2」、その進化のポイントと方向性をシトリックスに聞く
米国で5月に開催されたCitrixのカンファレンス「Synergy 2011」で、クライアントハイパーバイザー「XenClient 2」が発表された。
2010年に発表された前バージョン「XenClient 1」は、PC向けのType1型(ベアメタル型)のハイパーバイザーとして大きく注目されていたが、動作する機種が限定されていたことなどから、普及しているとは言い難かった。しかしXenClient 2では、対応機種が増えることで、クライアントPCの利用シーンを、大きく変える可能性を持っている。
現在はテクニカルプレビュー版(ベータ版)が公開されており、2011年下半期の正式リリースが予定されている段階だが、注目の高いこの製品について、Citrix XenClient担当プリンシパル プロダクトマネージャーのマヌ-・ショーハーン氏に話を伺った。
■vPro必須が外れたXenClient 2
――Synergy2011で発表されたXenClient 2の機能に関して、説明していただけますか?
 |
| Citrix XenClient担当プリンシパル プロダクトマネージャーのマヌ-・ショーハーン氏 |
ショーハーン氏:XenClient 2は、XenClient 1で必要だったIntelの(ビジネス向けPCプラットフォームである)vPro必須の制限を取り外しました。これにより、動作するPCが大幅に広がったと思います。
XenClient 2が必要とする機能は、IntelのCPU仮想化のVT-xです。I/O仮想化のVT-dに関しては、3DグラフィックをPCで利用する場合に必要になります。AMD(のCPUを含めた)プラットフォームに関しては、現在はサポートしていません。将来的にサポートしたいとは考えていますが、まずはIntelプラットフォームからになります。
XenClient 2がXenClient 1から進化した最大の特徴は、Intelの内蔵グラフィックチップ(HD3000)だけでなく、AMDの外付けグラフィックチップ(HD6470M、FirePro M3900/M5850)を合わせてサポートしたことです。これにより、クライアントの仮想化においても、3Dグラフィックや3Dゲームなどを動作させることが可能になっています。ただし、この機能を利用する場合は、VT-dが必須になります。
もし、2Dグラフィックだけでいいなら、Intelの内蔵グラフィックを登載したPCでも動作します。この場合は、VT-dは必要なくなります(VT-xのみでOK)。古いノートPCなど、数多くのPCでXenClient 2が動作することになるでしょう。
NVIDIAの外付けグラフィックのサポートに関しては、今回は見送りましたが、XenClient 3でサポートする予定にしています。また、AMD CPUのサポートも将来的に行っていきたいと考えています。
 |  |
| XenClient 2では、vProの制限が外れ、AMDの外付けGPUをサポートした | Intelの内蔵グラフィック以外に、AMDの外付けGPUをサポート。VT-d機能を使って、3Dグラフィックスも仮想マシン上で表示可能 |
――vProでは、Intel製の有線/無線LANチップに限定されているため、問題はそれほど起こりませんでしたが、vProという制限が外れると、さまざまなチップベンダーのLANチップをサポートする必要がありますね。
ショーハーン氏:そうですね。多くのLANチップをサポートするために、ドライバなどをLANチップベンダーと協力して開発しています。実際、ハードウェア互換リストを見ていただければ、Broadcomの無線チップもサポートしています。
XenClient 2が動作する予定のPCとしても、Dell、HP、Lenovo以外に、富士通、パナソニックといった日本国内のPCベンダーも入っています
ただ、すべてのチップのドライバが用意されているかといえば、まだまだ十分ではないです。このあたりは、Preview版を経て、ドライバを充実させていきたいと考えています。
 |
| Citrixのハードウェア互換リスト。ここに、XenClient 2が動作するPCのリストが掲載されている |
――XenClientは、XenDesktopの一部としてリリースされていますが、クライアントで動作する仮想イメージの管理はどうなっていますか?
 |
| XenClientは、XenDesktopの機能の一部として提供されている。基本機能については無償で利用可能。管理機能(Synchronizer)を使用する場合には、XenDesktopのライセンスが必要だが、検証用として10デバイスまでは無償利用できる |
ショーハーン氏:XenClient 2では、管理ツールである「Synchronizer」の機能アップを図っています。これにより、1台のサーバーで5000台のPCが管理できるようになりました。
XenClient 2では、クライアント側にインストールする「Receiver」の機能を大幅に変更することで、OSやアプリケーションのバックアップをバックグラウンドで自動的に行うことができます。さらに、差分をチェックしてバックアップするため、バックアップにかかる時間が大幅に短縮できます(バックアップにかかるCPU負荷が減る)。
また、Active Directoryと連携可能になっているため、仮想化されたクライアントだとしても、企業のネットワーク上のポリシーに従った管理が可能になります。
XenClient 2の世代では、XenDesktop上に構築したVDI環境の仮想イメージをXenClient 2に転送して動かしたり、逆にXenClient 2で動作しているイメージをXenDesktopのVDI環境で動かしたりすることはできません。
仮想イメージをクライアント側、サーバー側に自由に移動して、1つの仮想イメージをさまざまな環境で使用するには、将来バージョンを待っていただく必要があります。われわれとしては、単一の仮想イメージを、さまざまな環境(サーバー、クライアント)などで利用できるようにしていきたいと考えています。
また、今回、USBメモリやCD/DVDに入っている仮想イメージをブートする機能も付け加えています。
細かいところでは、XenClient 1では、Windows 7用のオーディオドライバを別にダウンロードする必要がありました。しかし、XenClient 2ではSynchronizerにオーディオドライバが入っているため、Windows 7をインストールすれば、仮想環境でもすぐにオーディオが利用できるようになっています。
 |  |  |
| Synchronizerの機能が向上し、仮想マシンのバックアップも高速化された | XenClient 2では、8GB以上のメモリ空間をサポート。Windows 7 SP1、Ubuntuも新しくサポートされた(Ubuntuは実験的に) | XenClient 2の管理画面。ここでは、Windows 7とUbuntuがインストールされている。選択した仮想マシンが大きなアイコンで表示される |
■XenClientのセキュリティは?
――Synergy 2011では、「XenClient XT」という製品もアナウンスされましたが、これはどういった製品ですか?
ショーハーン氏:XenClient XTは、高いセキュリティ性が必要な政府機関(例えば、FBIやCIA、国防総省など)に向けたクライアントハイパーバイザーです。XenClient XTは、XenClient 1がベースになっていまして、vProが必須になっています。TPMやTXTといった機能を使って、ハイパーバイザーのセキュリティ性を高めていますし、各仮想マシンが完全に分離されていて、相互に関係したりしないように造られています。
利用シーンとしては、政府機関などで、内部のネットワーク上にあるデータにアクセスして作業する仮想マシン、電子メールなどを利用する仮想マシン、インターネットアクセスできる仮想マシンなどを切り分けることで、内部の機密情報などが、簡単に流出しないようにできています。
もちろん、仮想イメージは暗号化されているため、ユーザーがコピーしても、ほかの環境では利用できません。第2世代のCore iプロセッサは、AES-NIの暗号/復号化処理を専門に行う命令が用意されているため、ディスクをAESなどで暗号化しても、CPUのハードウェア処理で、負荷がほとんどかかりません。
XenClient XTは、米国政府向けのシステムと考えています。ただ、日本国内でもリクエストがあれば、提供していきたいと考えています。
 |  |
| XenClient XTは、高いセキュリティ性が必要な政府機関に向けたクライアントハイパーバイザー | XenClient XTは、ネットワークの分離、ハードウェアでの暗号化支援機能などがサポートされている |
 |  |
| XenClient XTには、仮想マシンごとにネットワークが分離されている。このため、それぞれの仮想マシンが1つのネットワークに接続することはない | Westmere世代以降のCore iシリーズでサポートされたAES-NI機能を使って、ディスクの暗号/復号化を高速に行う |
――XenClient XTが持つようなセキュリティ機能は、一般企業でも必要とされると思うのですが?
ショーハーン氏:確かにそうです。ただ、XenClient 2でもディスクの暗号化機能はあります。管理面などを考えると十分なものとはいえませんので、将来のバージョンでは、XenClient XTが持つ高いセキュリティ性と、XenDesktopとの連携を進め、高い管理性を融合させていきたいと思っています
もし、XenClientがインストールされたノートPCが盗まれた場合は、盗まれたPCからデータが盗まれないように、ノートPCを起動したときに必ずサーバーにアクセスするように設定できます。これにより、PCが使えないようにできます。
スタンドアロン(インターネットアクセスなし環境)で利用していた場合でも、決められた日数が過ぎると、必ずサーバーにアクセスして認証を受けるように設定できます。これにより、長期間盗まれたPCが利用されるということは防げますね。
将来的には、サーバー上の管理ソフトで、盗まれたノートPCに対して動作停止信号(キルコマンド)を出せば、すぐにノートPCの動作が停止するようにしたいと考えています。このような機能が実現できれば、ノートPCが盗まれたとしても、犯人がノートPCからデータを引き出す前に阻止することができますから。
さらに、新しいノートPCを用意しても、一から環境を整えるのではなく、XenDesktopにバックアップした仮想イメージをダウンロードするだけで、元の環境を再現できるようにしたいですね。これなら、PCをなくして、新しいPCを用意した場合でも、今までのデータやアプリケーションなどを再現することができるため、仕事に支障が起こることも少なくなるでしょう。
XenClient 2のSynchronizerは、さまざまな部分で機能強化されています。以前のXenClient 1では、ハイパーバイザーのアップデートは、ローカルで行う必要がありました。しかし、XenClient 2では、インターネットを経由してアップデートすることできます。XenClient 3へのアップデートは、インターネットで簡単に更新することができるでしょう。
■Windows 8時代になってもXenClientは一歩先を行く
――Microsoftでは、Windows 8でクライアントハイパーバイザーを搭載するといううわさもあります。ほんとにWindows 8でクライアントハイパーバイザーがサポートされるとCitrixのビジネスは無くなるのではないでしょうか?
ショーハーン氏:うわさ話に対しては、コメントすることは難しいですね。ただ、一般的な話として、クライアントハイパーバイザーは非常に難しいです。ハイパーバイザーというテクノロジーが難しいのではなく、サーバーから比べると膨大な数のデバイスをサポートしていかなければならない点も、その一因です。
また、クライアントPCでは3Dグラフィックを高いパフォーマンスでサポートしていく必要があります。ビジネス用途ではない、3Dゲームなども十分なパフォーマンスで動作しなければ、ユーザーは満足しません。
こういった機能を最初のバージョンから実現できるとは思えません。われわれも、XenClient 1をリリースして、相当苦労しています。XenClient 2でやっと、企業の方々に使っていただけるレベルになったと思っています。こういった経験からも、クライアントハイパーバイザーは大変です。
なお、われわれとしては、Microsoftとライバル関係にあるわけではありません。Microsoftとは、さまざま部分で、非常に関係の深いパートナーとして協業しています。もし、Windows 8でクライアントハイパーバイザーがサポートされたとしても、このような関係は継続していくと思っています。
■付録:XenClient 2の画面
 |  |
| 仮想マシンのプロファイル。CPU数、メモリ、HDD容量などの設定が簡単にわかる | 管理画面に表示するアイコンも選択できる。これなら、どのOSか種類が一目でわかる |
 |  |
| Windows 7にXenClient 2のClient Toolをインストール中 | Ubuntuもホットキーで簡単に切り替えて使える |
 |  |
| XenDesktop上のSynchronizerの画面。ここで、XenClientの仮想マシンの管理を行う | 仮想マシンのCPU数、メモリ、HDD容量などの設定も確認できる |
 |  |
| ユーザーが使用している仮想マシンの種類を確認できる | XenClientユーザーのログもきちんと記録される |