Континент со светящимися точками ночных городов в один миг погружается во мрак — так выглядит энергетический коллапс во всех блокбастерах. Приблизительно также можно представить сбой системы доставки приложений в крупной компании: щелк! — и перед тысячами пользователей «мертвый» экран. В ИТ-инфраструктурах виртуальных рабочих мест крупных заказчиков способ доставки приложения пользователю играет большую роль. От него зависит время простоя, скорость работы и, наконец, стоимость содержания рабочих мест. Сегодня мы хотим рассказать о самом масштабном (по данным Citrix) внедрении решения Citrix App Layering, которое мы недавно завершили в банке Топ-10.
Для крупного банка с большим числом филиалов, доставшихся в итоге поглощения, проблема централизованного управления ИТ-сервисами стояла очень остро. Действовавшая система доставки приложений выполняла эту задачу не всегда корректно. Нередко ее сбой останавливал работу десятков тысяч пользователей по всей стране. Из работы, как при выключении рубильника, выпадали все: от сотрудников фронт-линии и call-центра до головного офиса и внешних разработчиков.
Тема внедрения новых систем для организации виртуальных рабочих мест, которые бы работали лучше, чем терминальный доступ, прорабатывалась банком давно. Но, чтобы перейти на наиболее технологичные решения, были нужны две вещи: экспертиза в работе с новинками и миграция уже используемых приложений на новую платформу.
Карточный домик из 200 сервисов и его обновление
Итак, банк серьезно вырос за счет слияний и поглощений, что добавило сложностей в работу с приложениями. На момент старта нашего проекта у заказчика работало 6 ферм Citrix разных версий, а также еще одна инсталляция VMware. При этом использовались устаревшие версии Citrix, уже давно не поддерживаемые вендором.
Чтобы создать виртуальные рабочие места пользователям, ИТ-отдел банка использовал исторически сложившийся монолитный образ, состоящий из более чем 200 приложений в одной операционной системе. Весь этот набор ПО был тесно связан с системным софтом, компонентами и драйверами. Дополнительные изменения в этом образе без предварительного тестирования почти гарантировали поломку одного или нескольких внутренних программных компонентов внутри образа. Поэтому развертывание новых версий ПО, а значит, и образов для виртуальных рабочих мест замедлялось, пользователи с большой задержкой получали новые сервисы, а для ИТ-службы заказчика это создавало дополнительные сложности в работе.
Пять специалистов банка непрестанно трудились над эверестом задач, связанных с поддержкой ИТ-инфраструктуры, и контролировали работу систем доставки приложений. На поиск причин сбоев уходило до двух часов, на протяжении которых бизнес-пользователям приходилось пить чай и обсуждать погоду. Наконец, дальнейшее масштабирование инфраструктуры в таком виде было просто невозможно, так как привело бы к еще большим периодам простоя.
Приложения в отдельных слоях
Достойной альтернативой имеющемуся в банке монолитному образу была система разделения приложений по слоям. Этот способ доставки приложений напоминает работу контейнеров. Каждый сервис предоставляется в своем слое, а слои можно при необходимости совмещать и доставлять на рабочий стол пользователя в зависимости от назначенных ему прав.
Когда каждое приложение работает в отдельном слое (App Layer), нужный сервис подключается в момент старта виртуального рабочего стола. На диске виртуальной машины такие приложения выглядят как отдельные сущности файловой системы, легко подключаются и отключаются и существуют независимо друг от друга (если иное не требуется). Это дает возможность обновлять и поддерживать каждый сервис в отдельности. Разные пользователи и группы получают свои наборы приложений или даже разные их версии. А администратор через единую консоль видит всю картину — где и какие слои использованы. Через консоль можно менять настройки, а также модифицировать виртуальное рабочее место сотрудника практически без остановки его работы. Частным случаем слоя приложения являются так называемые эластичные слои (Elastic Layer): это те же самые слои приложений (App Layer), но с возможностью их подключения в момент Logon пользователя в виртуальное рабочее место. Плюс этого подхода в том, что с его помощью можно создать довольно «тонкий» основной образ виртуального рабочего места и при необходимости подключать к нему остальные приложения в виде эластичных слоев.
ИТ-служба банка хорошо знакома с решениями Citrix, и они были совместимы с существующей ИТ-инфраструктурой. Поэтому выбор был сделан в пользу системы доставки приложений Citrix App Layering (CAL).
Правила «слоистости»
После анализа ситуации и выбора технологий наша команда стартовала пилотный проект. В первую волну внедрения за 1,5 месяца мы развернули систему доставки приложений и перенесли на новую платформу около 100 наиболее часто используемых приложений, для которых вопросы конфигурации решались проще.
Но дьявол кроется в деталях. При миграции в отдельные слои многие приложения мигрировали без проблем, но иногда возникали ситуации, когда одному из приложений требовалось другое приложение. Учитывая такие взаимосвязи, мы выстраивали запуск отдельных слоев при назначении их на определенные группы пользователей в очередь. В основном задача миграции приложения таким путем решалась. Но, когда интеграция у нескольких приложений была еще больше (например, Oracle Client, ПО криптографии/ЕЦП плюс некоторые самописные модули прикладного ПО), мы их располагали в одном слое. Подготовленные подобным образом слои доставлялись на виртуальные рабочие места пользователей.
Для большинства сотрудников сохранять данные после сессии не нужно. Пользователь работает с нужными приложениями в слоях CAL, а в конце рабочего дня виртуальное рабочее место удаляется. Но топ-менеджерам, руководителям подразделений, разработчикам и прочим группам нужно сохранять рабочие данные. Поэтому дополнительным элементом платформы банка стали пользовательские слои (User Layers), которые кастомизируют рабочие места.
Теоретически для этого можно пойти стандартным путем: подключить сетевой диск, монтировать устройство и сохранять файлы только там. Но с подключением User Layer все намного удобнее: элементы кастомизации рабочего места (его внешний вид, персональные настройки ПО, в том числе доставляемого в виде App/Elastic Layer, возможность установки персонального ПО, хранение файлов в папках пользователя) хранятся и управляются централизованно.
От внедрения до результата
Внедрение в целом заняло меньше года. Мы разворачивали систему в стандартном виде и последовательно переносили отдельные приложения монолитного образа на новую схему работы. Некоторые из приложений нужно было загружать раньше других, другие — группировать в одном слое, для третьих порядок был не так важен. Для ряда приложений при переезде с устаревших версий Citrix перенастраивались параметры или делалась небольшая доработка. И, чтобы проверить, как работает каждый сервис после переноса на платформу Citrix App Layering, мы готовили рабочие места и размещали приложения в слоях. После этого тестировали в несколько этапов:
Запуск ПО: открываются ли приложения? корректно ли они выполняют свои функции?
Оценка фокус-группой работоспособности необходимых функций в реальных условиях.
Обратная связь от широкой группы пользователей о работе приложения.
Так, слой за слоем, мы выстроили работающую систему доставки приложений. Результаты перехода на Citrix App Layering оказались впечатляющими.
Ранее в банке рутинным администрированием фермы виртуальных рабочих мест занималось пять человек, а сейчас — один специалист.
Число терминальных серверов тоже уменьшилось, а значит, снижены затраты на обслуживание и содержание оборудования. У заказчика получилось обновить отдельные компоненты ИТ-инфраструктуры и число инцидентов сократилось: если до начала проекта за год было отработано более 10 крупных сбоев, то после внедрения — всего один за полгода. При этом время локализации проблемы сжалось с 2 часов до 15 минут.
Выбор в пользу Citrix App Layering оправдал себя и с точки зрения дальнейшего развития инфраструктуры. Появились возможности миграции между платформами виртуализации, поэтому банк смог перенести систему виртуализации рабочих мест на новую гиперконвергентную платформу. Повторюсь, это было бы невозможно в случае выбора закрытой платформы с Vendor Lock-In.
Инфраструктура с уже переведенными по разным слоям приложениями распределена по двум ЦОД. Это, во-первых, обеспечивает катастрофоустойчивость ИТ-инфраструктуры, а во-вторых, гарантирует бесперебойную работу всех 20+ тысяч пользователей, если в одном из ЦОД происходят работы или обновления.
Еще один важный факт — у системы виртуализации рабочих мест банка появилась возможность масштабирования. Теперь нужный сервис конкретному работнику или группе пользователей можно добавить одним кликом мышки.
И вишенка на торте: мы постарались передать экспертизу по переводу приложений в отдельные слои ИТ-службе заказчика, так что сегодня коллеги сами прекрасно справляются с организацией доставки приложений.
Автор: Иван Краснов, инженер-проектировщик вычислительных комплексов «Инфосистемы Джет»