Робочі місця «в хмарі»: Odin VDI і IBS



IBS досить давно займається розробкою ІТ-рішень високої готовності для корпоративного сектора. В свій час нас зацікавила технологія контейнерної віртуалізації Parallels Containers for Windows (сьогодні підрозділ Parallels, яка її розробила, працює під брендом Odin). На її базі разом з командою Odin ми створили спільний продукт: Odin VDI – рішення для віртуалізації робочих місць користувачів. Хотілося б розповісти історію створення цього рішення, його функціональні можливості і переваги, в тому числі про сертифікацію Odin VDI у ФСТЭК.


Odin VDI: що це і для кого?
Напевно, присутнім не потрібно детально пояснювати, що таке технологія VDI. В ЦОД розгортаються робочі місця користувачів у вигляді віртуальних машин з користувацькими ОС (Windows 7/8), а користувачі отримують доступ до них через LAN/WAN з будь-якої точки світу і з будь-якого пристрою, будь то комп'ютер, тонкий клієнт або мобільний девайс. При цьому робочий процес користувача практично не змінюється – він працював зі своїм десктопом, так він з ним працює. При цьому все кардинально поліпшується з точки зору безпеки доступу до даних, доступності робочих місць, простоти і вартості обслуговування. Крім того, це найбільш економічний варіант розгортання нових точок присутності незалежно від географічного розташування працівників та вимог до функціоналу.



І все начебто добре, але тільки з VDI завжди була одна проблема – суттєва вартість серверної інфраструктури та ліцензій Microsoft, яка часто нівелювала всі вищевказані переваги.
Рішення – Parallels Containers for Windows (далі – PCW). PCW це технологія створення контейнерів з Windows ОС на базі Windows Server 2008/2012. PCW дозволяє домогтися більшої порівняно з традиційним VDI щільності розміщення користувачів на сервер (до 200-250 штук) і при цьому заощадити на ліцензіях Microsoft.

У Odin VDI були додані також наступні компоненти:
  • Odin Connection Broker – брокер сполук, який забезпечує управління інфраструктурою віртуальних робочих місць та підключення до неї користувачів.
  • Odin VDI Client – клієнт для пристроїв доступу на базі Linux і Windows, призначений для підключення до віртуальних робочих місць.
  • Odin Hardware Node Extention – агент, що дозволяє брокеру сполук управляти хостами віртуалізації.
Командою Odin, виходячи з вимог до продукту, була проведена серйозна робота над удосконаленням сервера управління віртуальною інфраструктурою Odin Virtual Automation.

Чому саме контейнерна віртуалізація на базі Parallels Containers?
На ринку існує безліч технологій консолідації та віддаленого доступу до робочих місць користувачів.

Класичний термінальний сервер на базі однієї ОС, до якого підключаються всі користувачі, не влаштував нас за функціональним критерієм: виникли труднощі з адаптацією до режиму терміналу поточних клієнтських додатків. У свою чергу, гипервизорная віртуалізація зажадала досить багато ресурсів, оскільки для кожної віртуальної машини необхідна емуляція обладнання. Це спричинило за собою додаткові витрати і зниження щільності десктопів. Безумовно, в тому, що на кожному робочому місці можна встановити власну ОС, є певні плюси, але вони не перекривають накладних витрат.

Перебравши варіанти, ми прийшли до єдино можливого – контейнерної віртуалізації, яка вигравала у гипервизорной в щільності розміщення користувачів і дозволила вирішити проблему роботи додатків в термінальному режимі. По суті, ми зупинилися на золотій середині між термінальним сервером і гипервизорной віртуалізацією. Дізнатися більше про цю технологію і контейнерах для Windows можна хабра-блозі компанії Parallels.

В основі платформи – базова серверна операційна система Windows Server 2008/2012, поверх якої встановлюється PCW і запускаються робочі середовища, так звані контейнери, ізольовані на рівні адресного простору оперативної пам'яті і private області на диску. Останні не потребують індивідуальної установки ОС і емуляції обладнання, оскільки у всіх запускається інстанси базової ОС.

У кожному контейнері запускаються індивідуальні процеси, є власний реєстр, мережеві адаптери і користувачі, виділений обсяг оперативної пам'яті, а також жорсткий диск Запущений контейнер, у якому робота не ведеться, споживає всього 200-300 МБ оперативної пам'яті. При цьому система працює повноцінно, а користувачі не помічають ніякої різниці в порівнянні з класичним варіантом. ІТ-фахівці, у свою чергу, зазначають відчутне зниження накладних витрат на організацію віртуальних середовищ. За середніми підрахунками, для забезпечення роботи однакової кількості віртуальних робочих місць при контейнерному віртуалізації потрібно у півтора рази менше обчислювальних ресурсів та СГД.

А що на практиці
Наведемо лише один розрахунок реалізації нашої платформи на прикладі великої компанії з видобувного сектора. Обчислення виконані в 2014 році з актуального на той момент курсом. Корпорація, про яку йде мова, має велику кількість дочірніх підприємств з відокремленим і географічно неоднорідною інфраструктурою. ІТ-адміністрування побудовано за класичною схемою. Операційні витрати на 400 користувачів (це лише мала частина від усієї кількості користувачів, яку ми використовували в якості референса) складають $61К в рік, а ще $144K йдуть на заміну персональних комп'ютерів. Перед нами стояло завдання знизити витрати на інфраструктуру робочих місць користувачів.



Ми запропонували перевести 400 користувачів на інфраструктуру VDI (перехід на апаратні тонкі клієнти буде відбуватися поетапно – по 20% у рік) і прорахували перспективи з точки зору економічної ефективності на найближчі 5 років. Розмір капітальних витрат на цей захід склав $380K. У свою чергу, застосування віртуальних десктопів дозволить економити щорічно по $130К на закупівлі ПК і їх обслуговуванні, тобто початкові вкладення повністю окупляться менше ніж за три роки.

Крім економії, впровадження VDI полегшує управління системою і підвищує ефективність адміністрування за рахунок централізації, стандартизації та уніфікації ресурсів. Це актуально для великих підприємств з сотнями і тисячами користувачів. В адмініструванні потребує тільки серверна складова.

В наявності зниження витрат на обслуговування робочих місць, підтримку і організацію мереж, а також придбання техніки: при наявності потужної серверної інфраструктури технологія дозволяє використовувати більш дешеві пристрої для локального розміщення.

Сукупна вартість володіння VDI в переважній більшості випадків нижче, ніж при стандартній архітектурі, а отже загальні витрати компанії на ІТ істотно мінімізовані. Хоча, звичайно, багато що залежить від конкретного ІТ-ландшафту та умов клієнта. Тобто ми припускаємо, що в деяких особливих випадках рішення може не принести відчутного економічного ефекту, але ми завжди можемо прорахувати TCO на попередньому етапі. В цілому, отримати уявлення про ціну рішення можна за допомогою калькулятора (в кінці лонгрида про продукт).

Крім того, Odin VDI підвищує рівень інформаційної безпеки в організації за рахунок вбудованих засобів ІБ. У числі останніх – розмежування доступу, реєстрація подій безпеки, забезпечення контролю цілісності, а також резервне копіювання. Рішення легко інтегрується з різними рівнями корпоративної інфраструктури ІБ – централізованими системами ідентифікації і управління доступом (IDM), системами моніторингу подій і розслідування інцидентів (SIEM), системами контролю захищеності і апаратними засобами аутентифікації.

Трохи про сумісність
Ми провели велику кількість випробувань тонких клієнтів і переконалися в тому, що наш VDI відмінно працює на широкому спектрі обладнання та підтримує найрізноманітніші ОС.

Нижче ми публікуємо список типів процесорів GPU і операційних систем, на яких були проведені успішні випробування VDI:
OC
  • Debian
  • Ubuntu
  • DEPO OS
  • Infotecs Linux Terminal
  • Windows Embedded Standard 7
Процесори
  • AMD G-T40N Dual Core
  • AMD G-T44R Dual Core
  • AMD G-T56E Dual Core
  • Hisilicon Hi3716C
  • Intel Atom D2550
  • Intel Celeron J1900
  • Marvell Arcada 310 ARMv7
  • Freescale ARM i.MX Cortex-A9
  • ARM Cortex-A9 Quad Core
GPU
  • SiS VOLARI Z11
  • AMD Radeon HD6250
  • AMD Radeon HD6290
  • Intel GMA3150
  • Intel GMA500
  • Mali400
Об'єм оперативної пам'яті в терміналах був від 512 МБ до 4 ГБ, флеш-пам'ять від 512 МБ до 16 GB. Розмір – від екзотичного, за звичайну візитну картку, до стандартного термінального. Все це лише підтверджує той факт, що VDI можна впевнено використовувати на звичайних ПК і комп'ютерах з десктопної ОС Windows і Linux. Однак очевидно, що останній варіант менш вигідний, ніж використання терміналів, і у нас є реальні підтвердження.

Навіщо ми сертифікували Odin VDI у ФСТЭК
Вже на початковому етапі спільної розробки IBS і Odin було вирішено, що рішення буде сертифіковано у ФСТЭК. Тобто ми не пішли по звичайному шляху, коли рішення не має достатніх механізмів ІБ і доповнюється сертифікованими засобами захисту вже на етапі впровадження. Механізми ІБ були закладені в рішення спочатку.

Команда IBS наполягла на відкриття вихідного коду регулятору, і в цьому одна з найважливіших особливостей нашого продукту. Odin VDI сертифікований у ФСТЭК за четвертим рівнем контролю відсутності недекларованих можливостей (НДВ) і може використовуватися в ГІС і ИСПДН самого високого рівня захищеності.

Сьогодні іншого VDI-рішення, сертифікованого з відкриттям вихідних кодів, на ринку немає. Ця процедура не тільки зробила наш продукт унікальним, але й дозволила нам мінімізувати кількість накладених засобів безпеки в рамках побудови захищеної інфраструктури. Закономірний підсумок – зниження вартості віртуальних робочих місць.

Крім того, рішення підтримує сторонні криптопровайдери, що відкриває додаткові можливості – ГОСТ-шифрування і авторизацію по ГОСТ-сертифікатами. Той факт, що платформа розроблена російськими компаніями, що особливо цінно для державних структур, перед якими стоять завдання з пошуку повністю вітчизняних рішень для ІТ та ІБ.



Крім того, ми спільно з Odin постійно працюємо над вдосконаленням рішення та його доопрацюванням під специфічні вимоги наших клієнтів.

Питання та коментарі вітаються :)

У підготовці поста активну участь брали експерти IBS: Антон Карасьов, Андрій Сунгуров і Сергій Рукавишников, а також наш колега з Odin – Володимир Порохів.

Команда розробників Odin VDI від IBS.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.