Мы продолжаем публиковать материалы с форума «Совместная безопасность облачных решений для бизнеса», который мы провели совместно с «Лабораторией Касперского» и HUAWEI 31 мая в Москве. Представляем доклад Ивана Юдичева из компании Huawei, «Защищенное рабочее место на базе VDI Huawei FusionCloud Desktop Solution 6.1».
Меня зовут Иван Юдичев, я занимаюсь в компании Huawei облачными проектами и поддержкой госсектора. Облачными проектами я занимаюсь уже давно. Я начал этим заниматься еще когда работал в «Заказчике», где-то 2010 году. Тогда еще была Vmware ESX 2.5, потом был Microsoft, потом была Vmware, вот, наконец, Huawei, где мы продолжаем развивать добрые традиции виртуализации серверов и VDI. Но сегодня я буду больше рассказывать про VDI.
Я не мог пройти мимо этого слайда, его обязательно нужно было показать, как мы растем, на 50 процентов каждый год. Для того чтобы вселить в вас уверенность, что несмотря на то что может быть три года назад про Huawei слышали не очень много хорошего, мы интенсивно развиваемся, вкладываем деньги в rnd, и наши продукты становятся с каждым разом все лучше и лучше. Я проверял это на своем личном опыте, и готов это сказать про нашу облачную платформу, про VDI.
На сегодняшний день даже IDC, которых трудно уличить в каких-то неадекватных оценках, они поместили нас, как можете увидеть, в major players. Это нам стоило действительно больших усилий, и еще три года назад об этом никто не мог и подумать. На сегодняшний день мы уже по многим независимым тестам, конкретно по VDI, по производительности близки к Цитриксу. Функционально, конечно, мы по уму не так развиты за счет меньшего возраста софта, но все основные функции, мы уже реализовали. Я сейчас на них более детально остановлюсь.
Архитектура решения. Сам по себе VDI развертывается в какую-то облачную среду, теоретически он может работать, предоставляя удаленный доступ с помощью традиционных компьютеров, но когда мы говорим про виртуализацию рабочего окружения, обычно речь идет про облако. И если мы говорим в данном разрезе про VDI, то решение, архитектура решения следующее. Внизу у нас есть оборудование — железо, серверы системы хранения, sdn, то есть облако. Дальше в облачную платформу мы разворачиваем соответственно весь набор софта, который позволяет разворачивать: первое — виртуальные машины для пользователей, и второе — служить брокером для того, чтобы эти машины раздавать, автоматизировать процесс. Основы VDI, я думаю, вам знакомы. И полный комплекс решения от Huawei он выглядит как платформа FusionCompute, Fusion сфера от Huawei и FusionAccess как софт, который позволяет создавать виртуальные рабочие столы.
Мы интенсивно работаем с партнерами, например, с RUVDS, и поэтому можем создавать какие-то, скажем так, не коробочные решения, а именно решения, направленные на облачных провайдеров. То есть партнерский личный кабинет, при этом мы предоставляем инфраструктуру, протокол и обеспечиваем работу десктопа, то предлагаем наш эффективный протокол, при этом удобство пользования локальным отечественным облаком.
По поводу архитектуры. В принципе многие из этих компонентов они могут быть заменяемы, то есть оборудование может быть любого вендора, поскольку мы поддерживаем мультивендорные решения. Гипервизор, теоретически, может быть тоже другой, но мы все-таки рекомендуем использовать наш, потому что мы проводим полный цикл тестирования и гарантируем качество итогового решения. Хотя в принципе, могут быть варианты.
Тонкие клиенты. Мы как поставщик единого решения естественно поставляем также и тонкие клиенты, но если у вас уже имеются какие-то рабочие станции, которые вы не хотите списывать, можно использовать их совершенно спокойно. У нас есть софтверный клиент, который работает под linux, под windows, можно таким образом сэкономить и задействовать имеющееся оборудование.
Гостевые операционные системы, какие мы поддерживаем внутри. Естественно windows 7, 8, 10, то есть полная поддержка на сегодняшний день существует. Также для того чтобы избежать оплаты лицензии microsoft и vda, и свести затраты на десктоп в капекс, можно разворачивать виртуальные рабочие столы на базе windows server. Это одна из возможностей, которые мы предоставляем. Здесь есть обязательно этап сертификации, тестирования приложений, будут они работать под windows server или нет, потому что могут быть нюансы. Но 90 процентов случаев — это все отлично работает, что в клиентской операционной системе, что в серверной. И многие заказчики пользуются таким способом, разворачивают серверные операционные системы, как клиентские.
Обычно это что-то самописное, то есть что-то на базе java, может быть, какое-то приложение, там плагин для, может быть, 1С. То есть какие-то такие стандартные вещи, типа офиса, они всегда работают в серверной среде. На моей практике не возникало каких-то ситуаций, чтобы широко известный софт он не работал в windows server. Проблемы возникали с каким-то кастомизированным софтом, у гос. заказчиков, у них что-то там устаревшее унаследованное было, оно вываливалось в ошибку. Но такие вещи они бывают при миграции с xp на 7, с 7 на 8, то есть это стандартная история.
Возвращаясь к методам предоставления, мы сегодня все-таки говорим о том, что у нас облако, то есть достаточно взять поставить тонкий клиент, подключиться в удаленную среду, и у нас все будет работать. Да, такой вариант возможен, естественно. Это десктоп как сервис, daas в данном случае. Есть также варианты строить инфраструктуру у себя самостоятельно, обслуживать ее самостоятельно, это более высокая степень контроля, но, в то же время, более высокие затраты. Есть вариант строить решения гибридные, как у меня вот изображено на картинке. То есть что-то может быть развернуто в публичном облаке, что-то может быть развернуто локально. Здесь нужно подобрать оптимальное для себя решение. По опыту лучших собаководов, публичные десктопы они годятся практически для всего, за редкими-редкими исключениями, если у вас очень какие-то специфичные данные, которые должны быть только в России, можно использовать ЦОД «Rucloud» в Королеве. Но здесь я должен отметить, что наш софт позволяет разные варианты.
Далее, ПО, которое предоставляет VDI для клиентов, называется у нас FusionAccess. На сегодняшний день актуальной версией является версия 6.1, но еще в версии 6.0 возникло, появилось очень много интересных возможностей, которые я сейчас кратко пробегу. Я сознательно исключаю какие-то такие базовые вещи, типа поддержки windows 10, потому что очевидно, что она поддерживается полностью. И я выделил несколько наиболее, на мой взгляд, важных вещей.
То есть что мы поддерживаем с версией 6.0? Мы поддерживаем linux, как гостевую операционную систему. Это очень такой достаточно частый вопрос был, когда вы начнете это поддерживать, вот с начала этого года мы поддерживаем. Ubuntu и red hat, как гостевые операционные системы. То есть теперь нет никакой необходимости использовать только windows, тратить, платить деньги за лицензию, можно использовать бесплатный linux, и разворачивать VDI, и получать еще больше выгоды за счет этого. То есть функционально, практически тоже самое. Ну, естественно максимальный набор функций вы получите в windows, но такие базовые вещи, как работа с флешками, работа с принтерами, с аудио, все основные виды десктопов, они доступны, в том числе и в linux. Опять же, 80 процентов случаев — можно выбирать и то, и другое, и при этом не чувствовать себя, каким-то образом, обделенным.
Далее, появилась полная поддержка работы с разрешением 4K. Это может быть в принципе и несколько мониторной конфигурацией, либо это один монитор с разрешением ultra hd. Чаще всего используется в графическом дизайне, либо в разработке для cad-приложений. Забегая немножко вперед скажу, что в версии 6.1 мы также добавили поддержку графических видео редакторов, которые работают в режиме 4K. Там были немного специфичные требования, потребовалось полгода для того, чтобы полностью оттестировать решение. Вот на сегодняшний день это тоже работает.
Есть функция водяных знаков на рабочем столе. Скажем так, для того, чтобы прочитать что-то супер секретное и унести с собой в голове, это естественно не спасет, но это помогает, но несколько усложняет жизнь тем, кто фотографирует конфиденциальную информацию на экраны смартфонов для того, чтобы потом где-то ее выложить в публичном пространстве и ссылаться на нее. То есть теперь можно ставить водяные знаки, они могут быть не только статичными, но и динамическими. Таким образом, жизнь такого рода персонажей она несколько усложнится.
Мы сильно упростили в версии 6 развертывание ядра системы, вряд ли вы, наверное, знакомы с FusionAccess версии 5, вот, но по своему опыту помню, что для этого требовалось заворачивать какое-то гигантское количество виртуальных машин, часть из них разворачивалось на linux, часть – в windows. Вот, с версии 6.0 мы драматически упростили этот процесс, есть один инсталляционный пакет, одна версия linux, и все виртуальные машины запускаются именно с этого диска, и процесс развертывания сократился где-то раз в пять по времени.
Далее, после того, как софт поставлен, нет нужды бегать по различным менюшкам. У нас запускается автоматический wizard, который позволяет с подсказками настроить ПО так, как оно будет отвечать вашим требованиям. То есть там есть подсказки и опять же это сильно упрощает процесс.
Появилась функция lazy desk. То есть, как это выглядит. Есть тонкий клиент, к нему по его id однозначно привязывается конкретная виртуальная машина. Дальше при вводе учетных данных в тонкий клиент автоматически происходит подключение к виртуальной машине, и для пользователя нет такой разницы, заходит он на локальный pc или работает с VDI. Это может быть очень удобно для каких-то публичных терминалов, склады, медицина, либо какие-то удаленные точки, где бывает очень много проблем с пользователями, им трудно понять, что нужно один раз залогиниться, потом еще раз залогиниться. Для того, чтобы этого избежать, можно применить функцию lazy desk, жестко привязать клиента с виртуальной машиной, и в дальнейшем это сильно упростит работу пользователя. Один раз вбили, один раз зашли, все, полное ощущение, что работаете за локальным компьютером.
Далее, с точки зрения администратора системы. Это больше, наверное, упрощение для наших партнеров, но тем не менее. Процесс подготовки шаблона для виртуальной машины сократился по времени раза в три — в четыре. Раньше был огромный гайд на 30 пунктов, который нужно было руками проверить, убедиться, что операционная система настроена корректно, теперь всего этого нет. У нас есть wizard с тремя большими кнопками, сделать мне такой десктоп, такой и такой, в зависимости от того, какая задача у вас стоит. То есть нажимаете один раз кнопочку, происходит заскриптованный процесс, все, виртуалка готова, можно заворачивать.
Далее, очень широкий ряд совместимой периферии. На самом деле у нас есть большой список конкретных протестированных каких-то продуктов, именно то есть с точки зрения периферии, можно к нам обратиться, мы его рассылаем, показываем. Но там есть огромное количество вещей, там и веб-камеры, и принтеры, все основные клиентские устройства, которые можно включить в тонкий клиент, они, скорее всего, уже нами протестированы. Здесь имеется в виду, на работу с софтом и на работу с нашими тонкими клиентами.
И возвращаясь к вопросу сторонних тонких клиентов и рабочих станций, можно пройти специализированный процесс, называется процесс сертификации и по прошествии, если все пункты пройдены, можно получить лейбл Huawei ready. Это значит, что данный тонкий клиент полностью совместим, его можно использовать. Среди совместимых тонких клиентов есть наши отечественные локальные производители, которые имеют еще и сертификаты ФСТЭК, и ряд сторонних решений, то есть вы не завязаны только на наши тонкие клиенты, у вас есть выбор.
И теперь несколько слов про то, что появилось буквально недавно, меньше месяца назад вышла 6.1. Если раньше десктопы на серверных операционных системах были на 8 и на 12 версиях, то теперь, можно использовать windows server 2016. Шестнадцатая версия – это полностью 64-битная операционная система, там вырезан блок, отвечающий за эмуляцию 32-битного окружения, поэтому здесь могут быть вопросы с совместимостью, как уже отметили. То есть нужно тестировать. Именно поэтому везде ставим плашку, что это limited commercial use, то есть это ограничено для использования, не для широкого использования, а только после предварительных тестов, но технически никаких проблем нет, выглядит также как windows 10. Преимущества, как у любой операционной системы, в лицензировании.
Далее, с версией 6.1 появился универсальный драйвер веб-камеры. С его выходом теперь не только, ну раньше единственный способ взаимодействия с веб-камерой был это использование фильтров windows directshow. Теперь появилась опция обращаться напрямую к камере, и эта вещь очень востребована при работе каких-то корпоративных voice over ip приложений, cisco jabber, например, или skype, то есть теперь можно работать с камерой напрямую и использовать ее возможности, не говоря уже о том, что это несколько снижает потерю производительности.
Появилась возможность объединять графические карточки в пулы, то есть сама поддержка графики работала еще и раньше, но приходилось каждый раз вручную назначать графический адаптер на виртуальную машину. Теперь в этом нет необходимости, все графические карты находятся в пуле и автоматически подхватываются из него при необходимости, если стоит задача запустить такую виртуальную машину. По окончании работы с ней, соответственно, графический адаптер возвращается в пул. Такое решение очень удобно, когда есть где-то с десяток инженеров, которые работают в cad-системах, но при этом порядка может быть пяти или еще меньше карточек nvidia m60. То есть это позволяет сэкономить на затратах на графику.
Обработка видео. Разрешение 4K, как я уже говорил, теперь полностью сертифицировано, проверено, работает.
Появилась функция перенаправления звука и видео при работе с тонкими клиентами. Раньше как было, в виртуальную машину, виртуальный десктоп ставился клиент voice over ip приложение, там обрабатывается звук и видео. Как правило, звук отправляется в ЦОД, там обрабатывается, возвращается назад. Это все перегружает каналы. Для того, чтобы этого избежать, есть функция перенаправления звука и видео, на тонкий клиент ставится приложение либо плагин, и в дальнейшем звук и видео уходят напрямую из тонкого клиента, минуя вот эту вот петлю в ЦОД и обратно. За счет этого можно спокойно работать с какими-то локальными провайдерами, то есть не обращаться в ЦОД каждый раз, когда нужно кому-то позвонить и вот в конечном итоге позволяет на один и тот же канал сесть большему количеству пользователей. Сейчас у нас были проведены тесты с cisco jabber, теоретически может работать любой софт, надо просто протестировать, проверить.
Есть отдельно плагин для skype for business. В тонкий клиент, в случае skype, ставится плагин. В случае cisco jabber, ставится целиком софт прямо в тонкий клиент.
Далее, еще интересная функция, которая появилась у нас относительно недавно — это функция отката к первоначальной версии десктопа. То есть традиционно работа выглядит следующим образом, пользователь работает в своем рабочем окружении, изменяет системные файлы, вносит записи в реестр, потом, предположим, он перестал работать с этим десктопом, и он отключился от него, разлогинился. Раньше эту виртуальную машину приходилось уничтожать, разворачивать новую, теперь появилась возможность все изменения, которые пользователь вносит, писать в отдельный файл. После того как пользователю виртуальная машина больше не нужна, он соответственно отключается, файл удаляется, и машина снова готова к работе. То есть это несколько сокращает время по введению новых машин в работу и сокращает в принципе вот эти вот паразитные затраты на развертывание, переразвертывание и так далее.
Появилась функция one optimization. Суть ее в том, что когда канал не очень хороший, нестабильный, слабый, его, возможно, хватает на офисную работу, но в том случае если запустить видео в окошке, канал после этого может просто лечь. И, к сожалению, даже видео выключить нельзя, потому что интерфейс просто потерял отзывчивость. Так вот для того, чтобы этого не происходило, есть функция one optimization, она автоматически определяет, что видео в виртуальной машине съело весь трафик, весь канал, интерфейс потерял отзывчивость и в результате просто это окошко, оно перестает отрисовываться, то есть видео перестает поступать, интерфейс оживает и можно соответственно продолжать работать. Теперь не произойдет такой ситуации, что вы просто потеряли доступ, то есть пока видео не открутится, не вернется ничего.
Появилась функция управления профилями пользователей. В принципе управлять профилями можно было раньше с использованием windows roaming profile, но у такого решения есть определенные недостатки, потому что сам win roaming profile настроить надо. Он иногда не очень стабильно отрабатывает, когда теряется связь, а с центральным сервером, где хранятся профили, то есть там может быть кратковременное отключение, после того, как сервер возвращается в рабочий режим, бывает, что профиль он не отрисовывается, приходится разлогиниваться и обратно, то есть неудобно. Вот для того чтобы этого избежать, либо в том случае если не хочется настраивать roaming profiles в windows active directory, либо если вы просто не хотите использовать windows directory, а для тестовых пользователей, просто было достаточно каких-то локальных машин, вот можно использовать встроенный persona management. Он интегрирован как с active directory, если она есть, так и с нашей локальной Micro AD и позволяет управлять профилями, то есть средствами FusionAccess, а не какой-то внешней системы.
Вот, раз упомянул LiteAD, то соответственно для каких-то применений, где active directory полноценная явно излишняя, может быть, это какое-то закрытое тестовое окружение, либо компания десять человек, зачем ей AD. Можно воспользоваться встроенными функциями FusionAccess, то есть встроенный системный каталог, будет полностью управление пользователями с интерфейса FusionAccess. Это позволяет очень быстро, эффективно развернуть рабочее окружение для не очень большого количества пользователей.
Лицензирование. Если продукт этот приобретать в собственный ЦОД, то он лицензируется двумя типами. Есть лицензия именованная, есть лицензия по подключениям. Соответственно, и три вида лицензий. Standart — это обычный десктоп, то есть просто виртуальная машина, в которой пользователь работает. SBC, server based computing у нас называется, по сути, это терминалы. То есть SBC Standart – это лицензия на использование терминального режима работы VDI. Аdvanced соответственно позволяет использовать как стандартный режим, так и терминальный. Лицензии именованные несколько дешевле, чем лицензии на конкурентное подключение. Цены RPL, то есть russian price list, в реальности они могут отличаться в ту или иную сторону, лучше всего спрашивать у партнера или у аккаунт-менеджера, с которым вы привыкли работать.
Автор: ru_vds
