院内(オンプレミス環境)でもインターネットを見たい!仮想ブラウザとは?
以前のRedmine導入の記事でも書きましたが、私の職場ではインターネットに接続されているPCと、インターネットからは隔離されていて病院内のみのネットワーク(オンプレミス)に接続されているPCがあります。システム課が用意しているPCはほとんどオンプレミス環境で使用するPCですが、外部とやり取りすることもあるのでインターネットに接続するPCも準備することがあります。そうすると、両方の環境に合わせたPCを用意する手間やそれぞれのネット環境を整備する必要が出てきます。
その問題を軽減できるのが仮想ブラウザです。これを使うと院内ネットワークに接続されているPCからでもインターネットで検索やメールを見ることが出来ます。私の職場でも導入されているのですが、初めてこのシステムを使った見て感銘を受けたので、そのシステムの概要を調査してみました。
仮想ブラウザとは
院内PCからインターネットに接続する際には、仮想ブラウザサーバのブラウザを通してアクセスする仕組みです。
稚拙な図ですが、院内ネットワーク[オンプレミス]にあるPCはファイヤーウォールで外部ネットワーク[インターネット]からは遮断されており、仮想ブラウザサーバにのみ接続することが出来ます。仮想ブラウザサーバではユーザごとに仮想ブラウザを作成し、そのブラウザを利用してユーザーはインターネットを閲覧することが出来ます。
これにより、ウィルスや悪意のあるウェブサイトにアクセスしてしまっても、ユーザーのクライアントPCに悪影響を及ぼさないような仕組みになっています。
基礎技術
仮想ブラウザを構成する大きな技術としてVDIとコンテナ技術とがあります。それぞれの技術が合わさってセキュリティを高めてると感じました。
VDI
VDI(Virtual Desktop Infrastructure)とは日本語にすると仮想デスクトップ基盤と訳せますが、言葉だけでは少しわかりにくいです。一言で説明するならばデスクトップの画面をクライアントPCに転送する仕組みです。 通常利用者の端末で操作している処理をサーバで行い、ユーザーにはその画面だけを転送している状態です。似たようなサービスとしてリモートデスクトップやGoogle Chromeのリモートデスクトップがあります。ただVDIは仮想デスクトップなので実際には1台のサーバで複数台のデスクトップを実行することが出来ます。
コンテナ技術
コンテナ技術はRedmine導入の記事でも少し触れましたが、OS上(主にLinux)に互いに分離された領域を作るといったような技術です。一つのマシンでいくつもの環境の違うシステムを作成することが出来、さらにコンテナごとにコピーや削除が素早く、容易に出来ます。
コンテナ技術はRedmineの導入でも使っており、様々な可能性がある技術だと使っていて感じました。
組み合わせると・・・
VDIとコンテナ技術を組み合わせることにより、ユーザから仮想ブラウザを使いたいとリクエストがあった際に素早くコンテナを生成し、その中で仮想ブラウザを立ち上げ、ブラウザの内容をVDIでユーザに画面転送することを実現できています。 また、もし悪意のあるサイトにアクセスしてしまいウィルスなどの危険に晒された場合でも、ユーザーには画面転送しているだけなのでクライアントPCには影響がなく、またコンテナ技術によってほかのユーザの仮想ブラウザや、サーバー本体にも影響を与えません。もしコンテナ技術を採用していなければ、ウィルスがサーバー本体に感染し、他のユーザが仮想ブラウザを使えなくなってしまうかもしれません。
前の職場でも開発現場では、インターネットに繋がるPCは開発用マシンとは分けられていることがあったので、技術情報を調べたい場合にはPCを変えたり自分のスマホで調べたりしていました。VDIの仕組みやコンテナ技術は以前から知っていたのですが、組み合わせることによってこんなにも便利になることに驚きました。
仮想ブラウザまとめ
仮想ブラウザを導入することによって、業務でインターネットに使用したいという職員に対して仮想ブラウザの利用を促しているので、インターネット用PCを準備するという作業が大幅に減りました。インターネットPCを出すと、院内とは別にプリンタなども設置する必要があったので、現在では院内ネットワーク[オンプレミス]で完結する機会が多くなっています。
VDIとコンテナ技術を組み合わせることによってこんなにも便利で楽になることに初めて気づきました。意外と知っている技術でも組み合わせ次第によっては化けるものなのかもしれませんね。