Імпортозаміщення Частина 1. Або як я вивчав Huawei FusionCloud Desktop

Багато хто з вас так чи інакше вже стикалися з популярним нині словом «імпортозаміщення». І, по очевидним для багатьох причин, єдиним джерелом ІТ-продуктів і рішень в цій ситуації є вендори з «китайськими корінням».

Почавши знайомство з департаментом Enterprise компанії Huawei, я просто не міг пройти повз їх рішень у сфері віртуалізації. попередній статті я вже згадував про один з них — Huawei FusionCompute.

Цим досвідом я і хочу з вами поділитися.



Переваги VDI

Дане рішення є засобом віртуалізації робочих місць. По суті своїй, базуючись на технології віртуалізації, воно дозволяє створювати безліч віртуальних машин з користувацької ОС на базі віртуального кластера і дає зручні графічні інструменти для їх управління.

Для Користувача:
1. Можливість отримати доступ до свого робочого столу з будь-якого місця (при наявності стійкого інтернет з'єднання);
2. Збереження всіх користувальницьких даних і параметрів (включаючи персоніфікацію робочого столу) при доступі з віддалених робочих місць.

Для ІТ-відділу:
1. Швидке розгортання віртуальних робочих місць з шаблонів «в один клік»;
2. Можливість планувати і «шедулить» рутинні процеси;
3. Управління та моніторинг «з одного вікна»;
4. Гнучка система користувальницьких політик;
5. Прозорі інструменти управління безпекою;
6. Можливість інтеграції з існуючою інфраструктурою (у тому числі AD).

Архітектура

Грунтуючись на гипервизоре FusionCompute, дане рішення має модульну структуру, що складається з різних компонентів (сервісів).

Всі компоненти розділені на 3 рівня:
1. Контроль доступу
2. Управління віртуальними станціями
3. Облік і зберігання логів

Кожен рівень складається з декількох віртуальних машин, на яких і крутяться ці сервіси. Для відмовостійкості та доступності рішення всі сервіси рекомендується дублювати за схемою Active\Passive (створювати 2* віртуальні машини).

* У разі великого обсягу (відповідно best practice) Huawei рекомендує збільшувати кількість ВМ з компонентами WI та vLB.

Перший рівень реалізований за допомогою сервісів vAG і vLB
vAG (virtual Access Gateway) — відповідає за контроль доступу зовні
vLB (virtual Load Balancer) — відповідає за розподіл навантаження між WI-машинами.

Другий рівень, що відповідає за безпосереднє управління системою віртуальних робочих станцій, представлений такими сервісами: HDC, ITA, DB, WI і License
HDC — ядро рішення VDI. Відповідає за відповідність створюваних VM або шаблонів заданим політикам, створення\модифікацію Desktop Groups і багато іншого
ITA (IT Adapter) — сервіс, що відповідає за надання користувачеві віртуальних робочих станцій, а так само за зв'язок між HDC і гіпервізором FusionCompute (створення\видалення VM)
DB (GaussDataBase) — БД, в якій зберігаються всі дані про користувачів, шаблонах, ВМ, політиків та ін
License — сервіс, що відповідає за ліцензування рішення (активація, контроль терміну дії і т. д.)

Останній рівень представлений сервісом Loggetter.
Loggetter — зберігає на себе логи всіх підключень і змін налаштувань користувачів (і бэкапирует їх)

Установка

Весь процес розгортання рішення Huawei FusionAccess можна розділити на 4 етапи:
1. Підготовка інфраструктурних ВМ на базі Winows OS
2. Підготовка інфраструктурних ВМ на базі Linux OS
3. Інсталяція сервісів
4. Налаштування сервісів

Як вже зрозуміло, єдиного способу ВМ для розгортання рішення тут немає. Вам необхідно буде завантажити з сайту підтримки Huawei дистрибутив Windows Server 2008 R2, і дистрибутиви сервісних утиліт FusionAccess_Installer_Linux/Windows_V***.iso
При цьому дистрибутив утиліт для Linux є і дистрибутивом самої ОС.

Згідно рекомендаціям необхідно дублювати всі дії, що розвертаються інфраструктурні ВМ, проте я в якості експерименту і з-за обмежень демо-стенду відмовився від резервування. Отже, мінімальна кількість віртуальних машин — 4:
• ITA
• Loggetter
• vAG + vLB
• HDC + WI + DB + License
При цьому перші 2 працюють під Windows Server 2008 R2, а другі — Novell SUSE Linux Enterprise Server 11 SP1 64 — bit.

Інсталяція Linux OS має стандартний візард



Дистрибутиви сервісів мають графічні інтерфейси і досить зрозумілу навігацію.
На Linux-ових машинах установка запускається консольним скриптом startTools:



ОС Windows може бути розгорнута як з вашого дистрибутива, так і з дистрибутива, завантаженого з сайту підтримки Huawei.

При цьому є два сценарії розгортання рішення — з використанням DNS і без. Я в якості експерименту справив інсталяцію з використанням наявних у нашій демо-лаборатирии AD/DNS/DHCP-служб.
У разі використання вже існуючої AD рекомендується створити окрему User Group під VDI (включаючи службових користувачів) і налаштувати права доступу на створюваних машинах.

Щоб скоротити часові витрати на першому етапі, пропонується створити шаблон ВМ з инкапсулированной WinServ2008R2 (попередньо введеної в домен), який в подальшому деплоится необхідну кількість разів (в моєму випадку — двічі).

Після розгортання необхідної кількості віртуальних машин на них необхідно встановити сервіси ITA і Loggetter. Це виконується за допомогою майстра установок, що має досить зрозумілий інтерфейс.

Після встановлення всіх необхідних компонентів необхідно провести їх налаштування, вказавши заздалегідь виділені IP-адреси з спланованою підмережі.

Інтерфейс

В цілому web-інтерфейс не викликає нарікань.
Все виконано в одному дизайні з рішеннями групи FusionSphere.
Первинна авторизація відбувається за стандартними даними доступу з мануала, надалі потрібно зміна пароля. Так само за замовчуванням включений підвищений рівень складності при виборі пароля (необхідне використання спец-символом) і захист капчой у разі неправильного вводу. Все це в подальшому можна буде відключити\налаштувати у відповідному розділі налаштувань.
Вибір мови стандартний для всіх продуктів Huawei Enterprise — англійська і китайська.



Одразу треба зазначити, що FusionAccess має строгий лист сумісності з різними версіями браузерів. І в разі його недотримання вкрай велика ймовірність некоректної роботи web-інтерфейсу. Так, наприклад, остання версія IE на поточний момент не підтримується. Huawei активно працює над оновленням списку сумісності, однак вам треба бути уважним до цього нюансу.



У загальному і цілому інтерфейс FusionAccess досить стандартний і зрозумілий, і нічим кардинально не відрізняється від інших рішень VDI
Весь web-інтерфейс поділений на 7 розділів:

1. Home — стартовий dashboard з основними індикаторами навантаження і повідомленнями


2. Quick Provisioning — форма швидкого виділення віртуальних робочих місць з вже наявних шаблонів. Основні сутності (VM Group, VM template, Site) повинні бути створені і налаштовані заздалегідь.


3. Desktop — інтерфейс для створення і налаштування основних сутностей:
• VM Template
• VM Group
• Desktop Group
• VM Naming Rule


Це основний робочий інструмент налаштування політик і віртуальних робочих місць. Зробивши всі необхідні налаштування, ви зможете створювати і виділяти десятки і сотні віртуальних станцій через розділ швидкого виділення за кілька натискань миші.

4. Alarm — розділ, детально відображає і дозволяє управляти всіма повідомленнями і повідомленнями про помилки.
Всі повідомлення інтерактивні, і надають вам довідку у разі необхідності


Тут можна провести тестування всіх компонентів.


5. Task — розділ щодо відстеження прогресу виконання завдань і їх планування.


6. Statistics — розділ, що відображає детальну статистику по вашій VDI-інфраструктурі і дозволяє вивантажувати її у форматах *.xls або *.txt


7. System — єдиний розділ для всіляких налаштувань та конфігурації. Тут відбувається інтеграція з гіпервізором, активація ліцензій, створення користувачів та їх груп, їх політик, вивантаження логів і тд і тп


Висновок

Якщо після роботи з гіпервізором Huawei FusionCompute у мене виникло відчуття якоїсь «сируватого» продукту з-за нарікань з приводу інтерфейсу і виникають багів, то VDI-рішення FusionAccess здалося мені цілком закінченим і працездатним.

Впровадження даного рішення в нашу тестову середу крім цікавого і корисного досвіду дало нам ряд переваг в організації доступу наших партнерів до демо-обладнання.

До цього для надання віддаленого доступу наших партнерів до демо-обладнання використовувалася технологія VPN-тунелів на базі проколу L2TP. Партнери необхідно було скачати VPN-клієнт Huawei і config-файл з прописаними індивідуально для них реквізитами доступу.
Такий підхід мав ряд недоліків:
1. Нам доводилося генерувати конфігураційний файл вручну безпосередньо для кожного партнера
2. Партнеру доводилося завантажувати дистрибутив VPN-клієнта і конфігураційний файл, самостійно все це встановлювати. Навіть з наявністю докладної інструкції у деяких людей виникали складнощі
3. Із-за особливостей корпоративних стандартів з'єднань і внутрішніх політик безпеки деякі клієнти не могли користуватися L2TP-сполуками
4. Для роботи з різними рішеннями Huawei користувачам необхідно було встановлювати на свої системи різні утиліти (наприклад JRE, різні браузери опередленных версій тощо), які в подальшому, після закінчення тестів, часто були ними непотрібні.
5. Залишався ряд нарікань з надання доступу партнерів до нашої тестової середовищі на L3-рівні.

Впровадження VDI-рішення в свою чергу дозволило нам вирішити всі ці проблеми. Зі свого боку ми відкрили «назовні» web-інтерфейс FusionAccess.
Це дозволило партнерам отримувати доступ до тестовій середовищі через віртуальну робочу станцію.
Партнер після узгодження організаційних питань отримує лист з прямим посиланням на web-інтерфейс і авторизаційні дані. Акаунти користувачів ми можемо заводити в базі FusionAccess, так і в нашому AD.
При цьому для роботи з демо-стендом достатньо лише встановити плагін для браузера, що дозволяє працювати з віртуальними столами.



Крім зручності при підключенні партнерів, це підвищує гнучкість в організації тестових майданчиків. В залежності від типу досліджуваного обладнання, я заздалегідь можу формувати шаблони віртуальних станцій.
Наприклад, для тестування СГД Huawei OceanStor ver 1 я надаю партнерам віртуальну станцію з попередньо встановленими JRE ver 6.0, ISM (софт для управління СГД Huawei 1го покоління), «правильними» версіями браузерів, Iometer і т. д.
Це полегшує партнеру завдання з тестування, позбавляючи його від непотрібної рутини і негативу.

У підсумку, як оператор тестового середовища, я маю зручний інструмент управління віддаленим доступом, легкого відстеження статистики підключення та строків надання доступу.
Для припинення доступу не потрібно звертатися до колег, що відповідає за мережеву безпеку. Достатньо перемістити користувача з настроюваної групи FusionAccess, або «зашедулить» зупинку\видалення його робочої станції на потрібну дату.

В кінцевому підсумку виграли всі — і наші партнери, і ми.

p.s.

Я розумію, що ця тема була розкрита не повністю, і у вас залишилися питання з VDI-рішення від компанії Huawei. Ви можете задати їх в коментарях.
Теми, що викликали самий гарячий відгук серед читачів, я готовий висвітлити у додатковому огляді.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.