Пролистав кучу блогов, статей, специализированных сайтов мне так и не удалось найти обзор всех доступных в РФ "импортозамещенных" систем виртуализации. Поскольку у нас каждый разработчик, как художник опирается на постулат – «Я художник-я так вижу», то даже в реестре Минцифры и реестре ФСТЭК – нет однозначного признака отличия в названии, что это система «виртуализации». Я решил восполнить данный пробел- поделившись информацией, собранной в ходе поисков.
Если перефразировать гробовщика из «Человека с бульвара Капуцинов»:
А почему бы нам не организовать в нашем городе печатное издание?
Оно могло бы называться, ну, скажем "Рик_и_МортиVirt".
И занималось бы исключительно вопросами Российской виртуализации!
Что в ней хорошо, ну, и главное - что в ней плохо!
Я просмотрел почти все «системы».
Ну, и у меня в голове родились кое-какие мыслишки.
Я думаю, они могут оказаться небезынтересными для всего народа.
Сразу оговорюсь, я не гробовщик и много в наших решениях достойно уважения. Но для понятия того что есть на рынке, мне пришлось разобрать всё по частям. В этом помогли познания в уже устоявшихся импортных «фаворитных» системах виртуализации и системах их окружающих.
В ходе отбора решений системы виртуализации для ГИС, согласно приказа 17 ФСТЭК была найдена следующая информация.
Для тех, кто не в теме, нужно на Российское железо, установить защищенное решение на базе Российской системы виртуализации и (или) Российских же средств защиты. На первый взгляд простая задача, бери из реестра и "вуаля" – вся готово.Дьявол кроется в деталях, но давайте по порядку.
Разберемся изначально что мы ищем и что есть в отечественном сегменте, а чего там вообще нет. Беря пример со старших братьев по виртуализации типа VmWare (именно с ней любят сравнивать наши творцы свои произведения), разложим по полочкам из чего состоит данная агломерация.
Таблица 1. Компоненты
Компонент |
Решение импортное |
Наличие "отечественного" класса |
Гипервизор |
VmWare ESXi, Hyper-V |
|
Управление виртуализацией |
VMware VSphere, SCVMM |
есть- (будут разобраны далее) |
Виртуальное хранилище |
есть- на базе OpenSource решений или самостоятельные разработки типа АЭРОДИСК vAIR и подобных (отдельная статья) |
|
Виртуализация рабочих мест |
есть - в основном как дополнительная опция к существующей лицензии |
|
Виртуализации и обеспечения безопасности сети |
нет такого класса (или пока не нашел) |
|
Резервное копирование виртуальных машин |
есть -зачастую встроенные упрощенные |
|
Защита систем виртуализации |
есть несколько решений: |
|
Доверенная загрузка хоста |
ПАК Соболь |
|
Наложенные средства защиты виртуальной машины |
Аккорд, Dallas Lock, SercretNet |
|
Антивирусная защита |
Kaspersky Security для виртуальных сред |
|
Если для варианта второй колонки всё раньше было ясно и понятно. Там были HCL по совместимому железу, перекрёстные таблицы совместимых программных средств ( с точностью до версии). Для отечественных продуктов (пусть меня простят разработчики- не их вина) - не то что указанных выше данных на сайте нет.
У большинства производителей , в виду отсутствия технических писателей,линий техподдержки, тестировщиков в нужном количестве, на их одно страничных сайтах кроме рекламных буклетов и одного адреса электронной почты на все случаи жизни - ничего нет.
Вроде бы не надо изобретать велосипед типа: HCL, FAQ, knowbase, порталов service request, wiki, документации- то почему в большей части это недоступно обычному пользователю, который еще ничего не купил (этим в основном страдают новые игроки). И как в таких условиях сделать выбор, чтоб выбранная система из указанных выше компонентов "взлетела", да еще и на отечественном железе.
Может как то в этом поможет найденная мной информация (не ручаюсь за её полную достоверность и достаточность- это всего лишь путь, что и где искать). Буду признателен если список дополнят.
Таблица 2. Системы виртуализации
№ п.п. |
Системы виртуализации |
Сертификат ФСТЭК |
Основа |
Приме-чание |
1 |
№3723 до 21.03.2025 |
OpenNebula |
полный, дорогой комплект |
|
2 |
Нет |
KVM/QEMU |
из коробки готовое решение |
|
3 |
Нет, но сертифицировано TIONIX Virtual Security |
OpenStack |
||
4 |
планируется в 23 году |
KVM/QEMU??? |
||
5 |
Нет??? , но сертифицирована ОС на которую встает Гипервизор |
OpenNebula |
хорошая документация, правда частично закрытая |
|
6 |
Закончилась |
KVM/QEMU??? |
||
7 |
№4246 до 23.04.2025 |
KVM/QEMU??? |
||
8 |
планируется в 23 году |
Proxmox |
нет совместимых наложенных СЗИ |
|
9 |
№4102 до 19.03.2024 |
KVM/QEMU??? |
||
10 |
нет |
Ovirt |
||
11 |
закончилась, планируется в 23 году |
Ovirt |
||
12 |
нет |
KVM/QEMU??? |
||
13 |
№4580 до 23.09.2027 |
XEN |
||
14 |
№ 3866 до 10.08.2023 |
KVM/QEMU??? |
||
15 |
нет |
Proxmox |
4 варианта в одном дистрибутиве |
|
16 |
нет |
bhyve |
На этом список систем виртуализации не ограничивается, практически на каждую Linux систему может быть установлен гипервизор KVM/QEMU (т.е.libvirt/virsh) и сверху установлены системы защиты виртуализации из возможных:
Список совместимых этими средствами ОС и систем виртуализации постоянно меняется (смотрите на сайтах и запрашивайте информацию).
Я специально не делил на обычную виртуализацию и облачные решения ( тут очень тонкая грань - особенно в наших реализациях, где облачным менеджером иногда подменяют web систему управления). Но при выборе обратите внимание - не всегда нужно облако.
Цены не указаны, так как это Россия и у нас цены всегда "по запросу", просто одно замечание цены в списке отличаются от минимальной до максимальной (с учетом наложенных СЗИ) в 69,1 раз. (часть цен доступны на softline, то же что присылали по запросу я не могу разглашать)
Всё указанное выше было чисто теоретические исследования (по документации и запросам)
Я не высказываю свое мнение по конкретным продуктам, чтобы не обидеть разработчиков.
Есть список информации (сайтов по продуктам), некоторые производители дают возможность получения триала, т.е. можете заранее сами проверить всё на практике до покупки. Про практику чуть далее.
Замечания на основе тестирования систем.
Некоторые замечания, которые позволят сократить ваш путь в данном направлении!
Не все варианты (из 16) имеют собственные системы управления виртуализацией (стоит только базовый комплект)- гипервизор KVM/QEMU (т.е.libvirt/virsh) и поэтому нужен еще инструмент для управления типа virt-manager или по подписке VMmanager (еще раз обращаю внимание лицензия не постоянная)
-
Наложенные системы защиты виртуализации на KVM - накладываются на базовую виртуализацию KVM/QEMU (т.е.libvirt/virsh).
На системы типа Ovirt [Таблица 2: 10,11]- Dallas Lock ВИ - только в новой еще не сертифицированной версии.
На системы типа Proxmox [Таблица 2 :8,15] - защиты нет в принципе, там (libvirt/qm).
На управление типа OpenNebulа - пока нет.
Российские ( и не только) сервера не все одинаково совместимы, в немного "древних" нет UEFI. UEFI нужна для некоторых систем виртуализации и некоторых модулей доверенной загрузки.
Перед установкой обязательно тщательно прочитать инструкцию (зачастую там много действий на этапе Preinstall).
Основное! НЕТОРОПИТЬСЯ:
-Начальная загрузка по virtual disk может быть очень долго (дистрибутивы бывают огромные)- экран может быть просто черным;
-Шкала не отображает фактического прогресса установки (может кончится шкала на 100% , а процесс всё еще идет);
-Скрипты российских доработок на bash и питоне не скоростные (лучше подождать полчасика после полной установки до перезагрузки);
-Не везде есть защита от дурака (по "дефолту" разбивать диск НЕ РЕКОМЕНДОВАНО- локальные блочные устройства очистит, а это не всегда диск в сервере - может и FC и ISCSI - подключенные адаптерами);
- Иногда требуется несколько перегрузок после установки, чтобы все скрипты отработали и система встала.Наличие в реестре Минцифры и реестре ФСТЭК- не гарантия что это не самая первая версия .
На данном этапе или всё есть из компонентов от одного производителя- но очень дорого или чуть дешевле - но не оттестированное на совместимость решение разных брендов.
-
Приготовьтесь месяцами доводить до ума (запланируйте время)- чтобы заработало в штатном режиме.Или как в бородатом анекдоте:
"Украли американцы у русских чертежи истребителя. Собрали — паровоз. Разобрали, собрали — паровоз! Что делать, выкрали русского специалиста. Спец берёт чертёж, смотрит, смотрит и говорит: «Там же внизу маленьким шрифтом: после сборки обработать напильником»."- читайте мелкий шрифт и не стесняйтесь при покупке брать внедрение, а не только лицензию и суппорт.
Это пока первая часть из наработанного материала (есть еще немного дегтя в бочку с медом по отечественным серверам и СХД).
Буду признателен, если в комментариях укажите решения которые я упустил, я пока нашел 16 вариантов виртуализации и три ПО ее зашиты. Но я не "Знайка" и не могу знать всего созданного .... в солнечном городе.
Хотелось бы чтобы компании наших разработчиков , выжили, повзрослели и предоставляли полный перечень услуг заказчикам (переняли опыт у брендов). Чтобы не приходилось гадать взлетит- не взлетит.
Комментарии (10)
Wigleg
13.12.2022 17:09+1Из всех вышеперечисленных продуктов, мною лично были протестированы: Роса Виртуализация, Ред Виртуализация, Альт Виртуализация.
Думаю, нет смысла говорить, что пользуя Ovirt и тестируя Росу - Вы заметите только разницу в логотипе.
Но в целом, из всех продуктов, что тестировали в нашем отделе - нам приглянулась именно Альт Виртуализация. Мы все сошлись на том, что интерфейс у неё "из коробки" хоть и, скажем прямо, легаси формата, но он именно этим приятен (как-то так исторически сложилось, что нам нравится когда всего и много и везде одновременно), есть вики и комьюнити, плюс опция платной поддержки (если она нужна). Самый же жирный, прямо таки, огромный нюанс продуктов от Альт - это их цена для коммерческого пользования. Ну очень уж дорого они хотят за продукт - ЕМНИП, то это около сотни тысяч вечно деревянных (Хотя это не так много, по сравнению с тремя сотнями за Астру Брест).
Сам же комплекс Брест вылетел с треском из списка еще до этапа установки, так как не может быть установлен "из коробки", а обязан ставиться поверх обычного дистрибутива, да еще и с целом горой танцев с бубном (пруфпик титульника инструкции на 90(!) листов, в аннотации которой, буквально: "В первой части руководства описан порядок развертывания и первичной настройки ПК СВ.").
Smilshu Автор
13.12.2022 17:18Пока сразу стартанул гловирт и альт, 10 Аля проксмос. Через 10 минут уже можно виртуалки делать. Но к ним как раз нет средств защиты,.
Остальные варианты или клоны овирта или облако с разворачиванием из образов. И как следствие, с танцами для предварительных задач ( хранилки, сети, образы, магазины,) до создания ВМ.
Из общего ряда выбивается Numavserver, он xen. Только релиз 1.0.0 , интерфейс управления сыроват. Может вырастет что путное.
Российские ХостВМ и zvirt, (клоны овирта) через удалённую установку, жутко медленно и как близнецы визуально. Пришлось кучу раз переставлять, пост инсталляция длительная, в первые разы торопился с ребутом. Но полчаса на установку это слишком.
В общем с грустью вспоминаю esxi, c установкой за пару минут.
vadimr
13.12.2022 18:03Гипервизор, на котором работает Брест, является частью Astra Linux, а не самого Бреста.
Но дьявол, как верно подметил автор, кроется в деталях, поэтому надо начинать с того, что именно подразумевается в конкретном случае под “защищённым решением” и для решения какой задачи оно нужно, защищённое. Результаты могут сильно удивить.
Smilshu Автор
13.12.2022 18:12Да уж с Брестом , никто не может сказать, как сертифицировать его ( нужны наложенные СЗИ или нет). По документам по ЗСВ1-10 вся защита в хостовой астре, про Брест тишина( в открытых источниках)- и такое предчувствие что защищена от сертифицирована только базовая виртуализация kvm по ТУ, а опеннебула из Бреста не сертифицирована. Защищать по ТУ в Орле или Смоленске это точно обработать напильником.
vadimr
13.12.2022 18:30Если вы хотите сертифицировать по классу защищённости свою информационную систему, построенную с использованием средств виртуализации, то методики проведения проверок, необходимых для такой сертификации, насколько мне известно, не существует. Сертифицировано только само системное программное обеспечение.
AstraLinux_Group
15.12.2022 19:14Добрый день! Вся информация относительно того, что именно сертифицировано по ФСТЭК, изложена в формуляре на наш продукт. Если в двух словах, то сертифицирована непосредственно вирутализация в Astra Linux, сертификация Бреста во ФСТЭК при этом не требуется, так как все необходимое уже сертифицировано в составе Astra Linux.
Smilshu Автор
15.12.2022 20:23Я читал документацию астры, чем закрывается ЗСВ , в астре Линукс SE. В документации в пунктах по ссылке в таблице с ЗСВ, про сам Орёл или Смоленск, там написано про виртуализацию базовую ( гипервизор) , про саму систему управления и кластер под Брест документация в закрытом доступе.
Про нее ничего не могу сказать.
Из других источников известно что это opennebula переделанная как баррикада и горизонт-вс. И те кто создают сзи пока как то не готовы ответить как её защищать и сертифицировано ли это решение.
Наложенных сзи под облако opennebula пока нет, tvs под опенстек, Dallas под libvirt/virsh и в новой версии под Ovirt и его клоны, аккорд - кvm только под libvirt/virsh.
Пока смотрю в сторону орёл+ Даллас Лок Ви+ чем то делать кластер и управлялку.
Как говорил в статье, отсутствие документации , болезнь наших систем. В астре много ее но как раз по Бресту нет.
Smilshu Автор
13.12.2022 18:42ПО должно выполнять требования приказа 17 для своего класса, сама виртуализация сертифицирована по каким то пунктам или с помощью наложенных средств защиты. Всё требования ЗСВ, ни одно из списка виртуализации само не может, требуются допы.
Основной вопрос в совместимости, и как обычно с сертифицированными СЗИ совместимы антикварные редакции , которые уже и не продают
m_e_r_c
Любые российские продукты сейчас не будут отличаться особенной надежностью. Но не смотря на это, например, Sharx и zVirt вполне себе подходят для промышленных инсталляций, опыт с ними есть. Да, пока придется компенсировать меньшую надежность бОльшим количеством эксплуатациооного персонала, но это не проблема, это только расходы.
Smilshu Автор
Я протестил половину из списка, некоторые вообще взлетели с 5-6 раза, некоторые с глюками и не до конца развернулись.
Если система продакшен, то она должна работать как часы, в начале было написно "вариант для ГИС" - у них SLA должен быть 99,...
Для тестовых задач они все пойдут, но я даже Варю ставил в рабочие системы только после U1 и при наличии подписки на суппорт.
В российских даже версии , с выделением стабильных бильдов отсутствует как таковая.
Нет EOL и графиков суппортов по версиям, с указанием сроков окончания обычной и расширенной поддержки. В общем колхоз с поддержкой - даже при хороших задатках софта(который именно писали).
Про перебивку шильдиков- я умолчу, чтоб не забанили.