IBS достаточно давно занимается разработкой ИТ-решений высокой готовности для корпоративного сектора. В свое время нас заинтересовала технология контейнерной виртуализации Parallels Containers for Windows (сегодня подразделение Parallels, которое её разработало, работает под брендом Odin). На её базе вместе с командой Odin мы создали совместный продукт: Odin VDI – решение для виртуализации рабочих мест пользователей. В этом посте мы расскажем историю создания этого решения, опишем его функциональные возможности и преимущества, а также отдельно остановимся на сертификации Odin VDI во ФСТЭК.

Odin VDI: что это и для кого?

Наверное, присутствующим не нужно подробно объяснять, что такое технология VDI. В ЦОД разворачиваются рабочие места пользователей в виде виртуальных машин с пользовательскими ОС (Windows 7/8), а пользователи получают к ним доступ через LAN/WAN из любой точки мира и с любого устройства будь то компьютер, тонкий клиент или мобильный девайс. При этом рабочий процесс пользователя практически не меняется – как он работал со своим десктопом, так он с ним и работает. При этом все кардинально улучшается с точки зрения безопасности доступа к данным, доступности рабочих мест, простоты и стоимости обслуживания. Кроме того, это наиболее экономичный вариант разворачивания новых точек присутствия вне зависимости от географического расположения сотрудников и требований к функционалу.



И все вроде бы хорошо, но только с VDI всегда была одна проблема – существенная стоимость серверной инфраструктуры и лицензий Microsoft, которая часто нивелировала все вышеуказанные преимущества.
Решение – Parallels Containers for Windows (далее – PCW). PCW это технология создания контейнеров с Windows ОС на базе Windows Server 2008/2012. PCW позволяет добиться большей по сравнению с традиционным VDI плотности размещения пользователей на сервер (до 200-250 штук) и при этом сэкономить на лицензиях Microsoft.

В Odin VDI были добавлены также следующие компоненты:

• Odin Connection Broker – брокер соединений, который обеспечивает управление инфраструктурой виртуальных рабочих мест и подключение к ней пользователей.
• Odin VDI Client – клиент для устройств доступа на базе Linux и Windows, предназначенный для подключения к виртуальным рабочим местам.
• Odin Hardware Node Extention – агент, позволяющий брокеру соединений управлять хостами виртуализации.

Командой Odin, исходя из требований к продукту, была проведена серьезная работа над усовершенствованием сервера управления виртуальной инфраструктурой Odin Virtual Automation.

Почему именно контейнерная виртуализация на базе Parallels Containers?

На рынке существует множество технологий консолидации и удаленного доступа к рабочим местам пользователей.

Классический терминальный сервер на базе одной ОС, к которой подключаются все пользователи, не устроил нас по функциональному критерию: возникли сложности с адаптацией к режиму терминала текущих клиентских приложений. В свою очередь, гипервизорная виртуализация потребовала достаточно много ресурсов, поскольку для каждой виртуальной машины необходима эмуляция оборудования. Это повлекло за собой дополнительные расходы и снижение плотности десктопов. Безусловно, в том, что на каждом рабочем месте можно установить собственную ОС, есть определенные плюсы, но они не перекрывают накладных расходов.

Перебрав варианты, мы пришли к единственно возможному – контейнерной виртуализации, которая выигрывала у гипервизорной в плотности размещения пользователей и позволила решить проблему работы приложений в терминальном режиме. По сути, мы остановились на золотой середине между терминальным сервером и гипервизорной виртуализацией. Узнать больше об этой технологии и контейнерах для Windows можно в хабра-блоге компании Parallels.

В основе платформы – базовая серверная операционная система Windows Server 2008/2012, поверх которой устанавливается PCW и запускаются рабочие среды, так называемые контейнеры, изолированные на уровне адресного пространства оперативной памяти и private области на диске. Последние не нуждаются в индивидуальной установке ОС и эмуляции оборудования, поскольку во всех запускается инстанс базовой ОС.

В каждом контейнере запускаются индивидуальные процессы, есть собственный реестр, сетевые адаптеры и пользователи, выделенный объем оперативной памяти, а также жесткий диск Запущенный контейнер, в котором работа не ведется, потребляет всего 200-300 МБ оперативной памяти. При этом система работает полноценно, а пользователи не замечают никакой разницы по сравнению с классическим вариантом. ИТ-специалисты, в свою очередь, отмечают ощутимое снижение накладных расходов на организацию виртуальных сред. По средним подсчетам, для обеспечения работы одинакового количества виртуальных рабочих мест при контейнерной виртуализации требуется в полтора раза меньше вычислительных ресурсов и ресурсов СХД.

А что на практике

Приведем лишь один расчет реализации нашей платформы на примере крупной компании из добывающего сектора. Вычисления выполнены в 2014 году по актуальному на тот момент курсу. Корпорация, о которой идет речь, имеет большое количество дочерних предприятий с обособленной и географически неоднородной инфраструктурой. ИТ-администрирование построено по классической схеме. Операционные расходы на 400 пользователей (это лишь малая часть от всего количества пользователей, которую мы использовали в качестве референса) составляют $61К в год, а еще $144K уходят на замену персональных компьютеров. Перед нами стояла задача снизить затраты на инфраструктуру рабочих мест пользователей.



Мы предложили перевести 400 пользователей на инфраструктуру VDI (переход на аппаратные тонкие клиенты будет происходить поэтапно – по 20% в год) и просчитали перспективы с точки зрения экономической эффективности на ближайшие 5 лет. Размер капитальных затрат на это мероприятие составил $380K. В свою очередь, применение виртуальных десктопов позволит экономить ежегодно по $130К на закупках ПК и их обслуживании, то есть первоначальные вложения полностью окупятся менее, чем за три года.

Помимо экономии, внедрение VDI облегчает управление системой и повышает эффективность администрирования за счет централизации, стандартизации и унификации ресурсов. Это актуально для крупных компаний с сотнями и тысячами пользователей. В администрировании нуждается только серверная составляющая.

Налицо снижение затрат на обслуживание рабочих мест, поддержку и организацию сетей, а также приобретение техники: при наличии мощной серверной инфраструктуры технология позволяет использовать более дешевые устройства для локального размещения.

Совокупная стоимость владения VDI в подавляющем большинстве случаев ниже, чем при стандартной архитектуре, а значит общие затраты компании на ИТ будут существенно минимизированы. Хотя, конечно, многое зависит от конкретного ИТ-ландшафта и условий клиента. То есть мы допускаем, что в некоторых особых случаях решение может не принести ощутимого экономического эффекта, но мы всегда можем просчитать TCO на предварительном этапе. В целом, получить представление о цене решения можно с помощью калькулятора (в конце лонгрида о продукте).

Кроме того, Odin VDI повышает уровень информационной безопасности в организации за счет встроенных средств ИБ. В числе последних – разграничение доступа, регистрация событий безопасности, обеспечение контроля целостности, а также резервное копирование. Решение легко интегрируется с различными уровнями корпоративной инфраструктуры ИБ – централизованными системами идентификации и управления доступом (IDM), системами мониторинга событий и расследования инцидентов (SIEM), системами контроля защищенности и аппаратными средствами аутентификации.

Немного о совместимости

Мы провели большое количество испытаний тонких клиентов и убедились в том, что наш VDI отлично работает на широком спектре оборудования и поддерживает самые разнообразные ОС.

Ниже мы публикуем список типов процессоров, GPU и операционных систем, на которых были проведены успешные испытания VDI:
OC

• Debian
• Ubuntu
• DEPO OS
• Infotecs Terminal Linux
• Windows Embedded Standard 7

Процессоры

• AMD G-T40N Dual Core
• AMD G-T44R Dual Core
• AMD G-T56E Dual Core
• Hisilicon Hi3716C
• Intel Atom D2550
• Intel Celeron J1900
• Marvell Armada 310 ARMv7
• ARM Freescale i.MX Cortex-A9
• ARM Cortex-A9 Quad Core

GPU

• SiS VOLARI Z11
• AMD Radeon HD6250
• AMD Radeon HD6290
• Intel GMA3150
• Intel GMA500
• Mali400

Объем оперативной памяти в терминалах был от 512 MB до 4 GB, флеш-памяти – от 512 MB до 16 GB. Размер – от экзотического, с обычную визитную карточку, до стандартного терминального. Все это лишь подтверждает тот факт, что VDI можно уверенно использовать на обычных ПК и компьютерах с десктопной ОС Windows и Linux. Однако очевидно, что последний вариант менее выгоден, чем использование терминалов, и у нас есть реальные тому подтверждения.

Зачем мы сертифицировали Odin VDI во ФСТЭК

Уже на начальном этапе совместной разработки IBS и Odin было решено, что решение будет сертифицировано во ФСТЭК. То есть мы не пошли по обычному пути, когда решение не имеет достаточных механизмов ИБ и дополняется сертифицированными средствами защиты уже на этапе внедрения. Механизмы ИБ были заложены в решение изначально.

Команда IBS настояла на открытии исходного кода регулятору, и в этом одна из важнейших особенностей нашего продукта. Odin VDI сертифицирован во ФСТЭК по четвертому уровню контроля отсутствия недекларированных возможностей (НДВ) и может использоваться в ГИС и ИСПДН самого высокого уровня защищенности.

Сегодня другого VDI-решения, сертифицированного с открытием исходных кодов, на рынке нет. Эта процедура не только сделала наш продукт уникальным, но и позволила нам минимизировать количество наложенных средств безопасности в рамках построения защищенной инфраструктуры. Закономерный итог – снижение стоимости виртуальных рабочих мест.

Кроме того, решение поддерживает сторонние криптопровайдеры, что открывает дополнительные возможности – ГОСТ-шифрование и авторизацию по ГОСТ-сертификатам. Тот факт, что платформа разработана российскими компаниями, особенно ценно для государственных структур, перед которыми стоят задачи по поиску полностью отечественных решений для ИТ и ИБ.



Кроме того, мы совместно с Odin постоянно работаем над совершенствованием решения и его доработкой под специфические требования наших клиентов.

Вопросы и комментарии приветствуются :)

В подготовке поста активное участие принимали эксперты IBS: Антон Карасев, Андрей Сунгуров и Сергей Рукавишников, а также наш коллега из Odin – Владимир Порохов.

Команда разработчиков Odin VDI от IBS.