IBS достаточно давно занимается разработкой ИТ-решений высокой готовности для корпоративного сектора. В свое время нас заинтересовала технология контейнерной виртуализации Parallels Containers for Windows (сегодня подразделение Parallels, которое её разработало, работает под брендом Odin). На её базе вместе с командой Odin мы создали совместный продукт: Odin VDI – решение для виртуализации рабочих мест пользователей. В этом посте мы расскажем историю создания этого решения, опишем его функциональные возможности и преимущества, а также отдельно остановимся на сертификации Odin VDI во ФСТЭК.
Odin VDI: что это и для кого?
Наверное, присутствующим не нужно подробно объяснять, что такое технология VDI. В ЦОД разворачиваются рабочие места пользователей в виде виртуальных машин с пользовательскими ОС (Windows 7/8), а пользователи получают к ним доступ через LAN/WAN из любой точки мира и с любого устройства будь то компьютер, тонкий клиент или мобильный девайс. При этом рабочий процесс пользователя практически не меняется – как он работал со своим десктопом, так он с ним и работает. При этом все кардинально улучшается с точки зрения безопасности доступа к данным, доступности рабочих мест, простоты и стоимости обслуживания. Кроме того, это наиболее экономичный вариант разворачивания новых точек присутствия вне зависимости от географического расположения сотрудников и требований к функционалу.
И все вроде бы хорошо, но только с VDI всегда была одна проблема – существенная стоимость серверной инфраструктуры и лицензий Microsoft, которая часто нивелировала все вышеуказанные преимущества.
Решение – Parallels Containers for Windows (далее – PCW). PCW это технология создания контейнеров с Windows ОС на базе Windows Server 2008/2012. PCW позволяет добиться большей по сравнению с традиционным VDI плотности размещения пользователей на сервер (до 200-250 штук) и при этом сэкономить на лицензиях Microsoft.
В Odin VDI были добавлены также следующие компоненты:
- Odin Connection Broker – брокер соединений, который обеспечивает управление инфраструктурой виртуальных рабочих мест и подключение к ней пользователей.
- Odin VDI Client – клиент для устройств доступа на базе Linux и Windows, предназначенный для подключения к виртуальным рабочим местам.
- Odin Hardware Node Extention – агент, позволяющий брокеру соединений управлять хостами виртуализации.
Командой Odin, исходя из требований к продукту, была проведена серьезная работа над усовершенствованием сервера управления виртуальной инфраструктурой Odin Virtual Automation.
Почему именно контейнерная виртуализация на базе Parallels Containers?
На рынке существует множество технологий консолидации и удаленного доступа к рабочим местам пользователей.
Классический терминальный сервер на базе одной ОС, к которой подключаются все пользователи, не устроил нас по функциональному критерию: возникли сложности с адаптацией к режиму терминала текущих клиентских приложений. В свою очередь, гипервизорная виртуализация потребовала достаточно много ресурсов, поскольку для каждой виртуальной машины необходима эмуляция оборудования. Это повлекло за собой дополнительные расходы и снижение плотности десктопов. Безусловно, в том, что на каждом рабочем месте можно установить собственную ОС, есть определенные плюсы, но они не перекрывают накладных расходов.
Перебрав варианты, мы пришли к единственно возможному – контейнерной виртуализации, которая выигрывала у гипервизорной в плотности размещения пользователей и позволила решить проблему работы приложений в терминальном режиме. По сути, мы остановились на золотой середине между терминальным сервером и гипервизорной виртуализацией. Узнать больше об этой технологии и контейнерах для Windows можно в хабра-блоге компании Parallels.
В основе платформы – базовая серверная операционная система Windows Server 2008/2012, поверх которой устанавливается PCW и запускаются рабочие среды, так называемые контейнеры, изолированные на уровне адресного пространства оперативной памяти и private области на диске. Последние не нуждаются в индивидуальной установке ОС и эмуляции оборудования, поскольку во всех запускается инстанс базовой ОС.
В каждом контейнере запускаются индивидуальные процессы, есть собственный реестр, сетевые адаптеры и пользователи, выделенный объем оперативной памяти, а также жесткий диск Запущенный контейнер, в котором работа не ведется, потребляет всего 200-300 МБ оперативной памяти. При этом система работает полноценно, а пользователи не замечают никакой разницы по сравнению с классическим вариантом. ИТ-специалисты, в свою очередь, отмечают ощутимое снижение накладных расходов на организацию виртуальных сред. По средним подсчетам, для обеспечения работы одинакового количества виртуальных рабочих мест при контейнерной виртуализации требуется в полтора раза меньше вычислительных ресурсов и ресурсов СХД.
А что на практике
Приведем лишь один расчет реализации нашей платформы на примере крупной компании из добывающего сектора. Вычисления выполнены в 2014 году по актуальному на тот момент курсу. Корпорация, о которой идет речь, имеет большое количество дочерних предприятий с обособленной и географически неоднородной инфраструктурой. ИТ-администрирование построено по классической схеме. Операционные расходы на 400 пользователей (это лишь малая часть от всего количества пользователей, которую мы использовали в качестве референса) составляют $61К в год, а еще $144K уходят на замену персональных компьютеров. Перед нами стояла задача снизить затраты на инфраструктуру рабочих мест пользователей.
Мы предложили перевести 400 пользователей на инфраструктуру VDI (переход на аппаратные тонкие клиенты будет происходить поэтапно – по 20% в год) и просчитали перспективы с точки зрения экономической эффективности на ближайшие 5 лет. Размер капитальных затрат на это мероприятие составил $380K. В свою очередь, применение виртуальных десктопов позволит экономить ежегодно по $130К на закупках ПК и их обслуживании, то есть первоначальные вложения полностью окупятся менее, чем за три года.
Помимо экономии, внедрение VDI облегчает управление системой и повышает эффективность администрирования за счет централизации, стандартизации и унификации ресурсов. Это актуально для крупных компаний с сотнями и тысячами пользователей. В администрировании нуждается только серверная составляющая.
Налицо снижение затрат на обслуживание рабочих мест, поддержку и организацию сетей, а также приобретение техники: при наличии мощной серверной инфраструктуры технология позволяет использовать более дешевые устройства для локального размещения.
Совокупная стоимость владения VDI в подавляющем большинстве случаев ниже, чем при стандартной архитектуре, а значит общие затраты компании на ИТ будут существенно минимизированы. Хотя, конечно, многое зависит от конкретного ИТ-ландшафта и условий клиента. То есть мы допускаем, что в некоторых особых случаях решение может не принести ощутимого экономического эффекта, но мы всегда можем просчитать TCO на предварительном этапе. В целом, получить представление о цене решения можно с помощью калькулятора (в конце лонгрида о продукте).
Кроме того, Odin VDI повышает уровень информационной безопасности в организации за счет встроенных средств ИБ. В числе последних – разграничение доступа, регистрация событий безопасности, обеспечение контроля целостности, а также резервное копирование. Решение легко интегрируется с различными уровнями корпоративной инфраструктуры ИБ – централизованными системами идентификации и управления доступом (IDM), системами мониторинга событий и расследования инцидентов (SIEM), системами контроля защищенности и аппаратными средствами аутентификации.
Немного о совместимости
Мы провели большое количество испытаний тонких клиентов и убедились в том, что наш VDI отлично работает на широком спектре оборудования и поддерживает самые разнообразные ОС.
Ниже мы публикуем список типов процессоров, GPU и операционных систем, на которых были проведены успешные испытания VDI:
OC
- Debian
- Ubuntu
- DEPO OS
- Infotecs Terminal Linux
- Windows Embedded Standard 7
Процессоры
- AMD G-T40N Dual Core
- AMD G-T44R Dual Core
- AMD G-T56E Dual Core
- Hisilicon Hi3716C
- Intel Atom D2550
- Intel Celeron J1900
- Marvell Armada 310 ARMv7
- ARM Freescale i.MX Cortex-A9
- ARM Cortex-A9 Quad Core
GPU
- SiS VOLARI Z11
- AMD Radeon HD6250
- AMD Radeon HD6290
- Intel GMA3150
- Intel GMA500
- Mali400
Объем оперативной памяти в терминалах был от 512 MB до 4 GB, флеш-памяти – от 512 MB до 16 GB. Размер – от экзотического, с обычную визитную карточку, до стандартного терминального. Все это лишь подтверждает тот факт, что VDI можно уверенно использовать на обычных ПК и компьютерах с десктопной ОС Windows и Linux. Однако очевидно, что последний вариант менее выгоден, чем использование терминалов, и у нас есть реальные тому подтверждения.
Зачем мы сертифицировали Odin VDI во ФСТЭК
Уже на начальном этапе совместной разработки IBS и Odin было решено, что решение будет сертифицировано во ФСТЭК. То есть мы не пошли по обычному пути, когда решение не имеет достаточных механизмов ИБ и дополняется сертифицированными средствами защиты уже на этапе внедрения. Механизмы ИБ были заложены в решение изначально.
Команда IBS настояла на открытии исходного кода регулятору, и в этом одна из важнейших особенностей нашего продукта. Odin VDI сертифицирован во ФСТЭК по четвертому уровню контроля отсутствия недекларированных возможностей (НДВ) и может использоваться в ГИС и ИСПДН самого высокого уровня защищенности.
Сегодня другого VDI-решения, сертифицированного с открытием исходных кодов, на рынке нет. Эта процедура не только сделала наш продукт уникальным, но и позволила нам минимизировать количество наложенных средств безопасности в рамках построения защищенной инфраструктуры. Закономерный итог – снижение стоимости виртуальных рабочих мест.
Кроме того, решение поддерживает сторонние криптопровайдеры, что открывает дополнительные возможности – ГОСТ-шифрование и авторизацию по ГОСТ-сертификатам. Тот факт, что платформа разработана российскими компаниями, особенно ценно для государственных структур, перед которыми стоят задачи по поиску полностью отечественных решений для ИТ и ИБ.
Кроме того, мы совместно с Odin постоянно работаем над совершенствованием решения и его доработкой под специфические требования наших клиентов.
Вопросы и комментарии приветствуются :)
В подготовке поста активное участие принимали эксперты IBS: Антон Карасев, Андрей Сунгуров и Сергей Рукавишников, а также наш коллега из Odin – Владимир Порохов.
Команда разработчиков Odin VDI от IBS.
Комментарии (11)
Sergey-S-Kovalev
31.10.2015 08:57| Вычисления выполнены в 2014 году по актуальному на тот момент курсу.
61К$ в начале года и в конце это ощутимо две разных суммы в рублях.
Аналитика экономии затрат полна воды. Скажем, стоимость обслуживания 400 пользователей может разительно отличаться в зависимости от их местоположения (одно здание или раскиданы по области), подходу к администрированию (наличие автоматизации, мониторинга), подходу к обслуживанию печатающего оборудования (каждому по принтеру, этажные мультисистемы, аутсорс заправки и обслуживания) и куче других менее явных параметров.a_karasjov
02.11.2015 10:30Sergey-S-Kovalev, безусловно экономика в каждой конкретной компании будет разительно отличаться. Здесь невозможно дать универсального рецепта и ответа. Например, встречались компании, которые могли оценить минуту простоя сотрудника — конечного пользователя, в то время как другие не готовы были говорить о затратах на ИТ-персонал, обслуживающий рабочие места пользователей, так как они все равно уже есть, получают зарплату и никуда не денутся.
Sergey-S-Kovalev
02.11.2015 18:12Я говорю о том, что статья очередной набор воды, в которой нам пытаются рассказать об экономии на основе сферического в вакууме примера, скрытого под соусом NDA по клиенту. Почти каждая первая статья по тонким клиентам говорит о выгодах, но не приводит ни одного реального примера счастья полноценно.
Я уже слишком старый, что бы верить, что внедрение тонких клиентов это серебряная пуля от всех проблем.a_karasjov
03.11.2015 01:00Sergey-S-Kovalev, мы перед собой ставили цель рассказать о нашем совместном с Odin решении. Что касается части про экономику, то она, как вы верно заметили, под соусом из NDA становится похожа на сферического коня. И, конечно, речь не идет о серебряной пуле. Если бы VDI и тонкие клиенты ею были, то они был бы уже у всех.
Кто-то сравнивает внедрение VDI в лоб со стоимостью замены ПК, кому-то больше интересен VDI как один из компонентов информационной безопасности, например, для организации доступа к какому-то защищенному сегменту, кто-то рассматривает VDI как средство упрощения обслуживания географически распределенных пользователей. Сценариев много и в каждом конкретном случае экономика будет своя (а где-то она и не сойдется) и ее нужно считать.
DonAlPAtino
02.11.2015 14:22«PCW позволяет добиться большей по сравнению с традиционным VDI плотности размещения пользователей на сервер (до 200-250 штук) и при этом сэкономить на лицензиях Microsoft.» Вот про почти самое интересное подробно ничего и не рассказали. Можно увидеть эту самую экономию с расчетом 200 пользователей на сервер?
a_karasjov
03.11.2015 00:47DonAlPAtino, при классическом подходе с VDI на гипервизоре, фактически, необходимо приобрести:
- Подписку на запуск десктопной Windows в виртуальной машине (Virtual Desktop Access). Что выливается в ~4600? на устройство доступа в год. На 200 пользователей набежит ~920K ? в год.
- К этому стоит прибавить Microsoft VDI Suite, который дает право на Hyper-V, System Center VMM и прочие необходимые вещи. VDI Suite — это тоже подписка на устройство в год, стоимостью порядка 600?. В пересчете на 200 пользователей получается ~120K ? в год
Суммарно подписка на ПО Microsoft обойдется ~1040К ? в год.
В случае с Odin VDI и контейнерной виртуализацией, которая работает поверх Windows Server, схема лицензирования будет очень похожа на таковую для терминального сервера:
- Microsoft Windows Server Datacenter — стоимостью порядка 271 600? на двухсокетный сервер. Эта лицензия дает нам право на запуск неограниченного количества виртулаьных десктопов
- Microsoft Remote Desktop Services CAL — стоиомстью порядка 5 800? на пользователя. На 200 пользователей это выливается в 1 160?
Суммарно лицензии Microsoft в этом случае обойдутся в 1 431,6К ?. Первоначальные вложения выше чем в случае с гипервизорным подходом. Но за 3 года на подписку Microsoft придется потратить сумму превышающую стоимость perpetual лицензий больше чем в 2 раза. К тому же не каждая компания может себе позволить подписку из-за особенностей бюджетирования и т.п.DonAlPAtino
03.11.2015 12:51А стоимость PCW? И к слову к фразам «Microsoft Windows Server Datacenter — Эта лицензия дает нам право на запуск неограниченного количества виртуальных десктопов» я отношусь с большим подозрениям. Либо это уже не так, либо станет не так со следующим лицензионным соглашениям. Фразу в ЛС «запрещается использовать сторонние средства для мультиплексирования лицензий» никто не отменял.
a_karasjov
03.11.2015 16:56DonAlPAtino, у Microsoft есть документ о нюансах лицензирования ряда их серверных продуктов в виртуальных средах — ссылка.
Во-первых, в описании к документу, и в нем самом, упоминается виртуализация Parallels наравне с Hyper-V и VMware vSphere. То есть контейнерная виртуализация признается Microsoft.
Во-вторых, ниже цитата из этого документа, касающаяся лицензии Datacenter:
If you want to have a highly virtualized environment you can choose to run Windows Server 2012 R2 Datacenter
edition, which enables you to run any number of instances of the software on a server, as described below. You need to license all the physical processors on the server (Virtual processors do not need to be licensed for Windows Server
2012 R2). Each license of Windows Server 2012 R2 Datacenter covers up to two physical processors on a single server.
Если на двухсокетном сервере запускается больше 7 виртулаьных машин с Windows Server, то редакция Dataceter оправдывают свою стоимость.
Мы, безусловно, пока ничего не можем сказать, о политике лицензирования Windows Server 2016, но такая модельпе пережила уже как минимум три поколения ОС: 2008 R2, 2012 и 2012R2.
Что касается стоимости Odin VDI, то моежете воспользоваться предварительным калькулятором на нашем сайте — ссылка.DonAlPAtino
05.11.2015 13:45475 тыс на 150 человек на год + лицензии. Я как-то навскидку не нашел точных цен на MS VDI Suite, но вроде $12 в год. Если неправда — прошу прощения. Но при таком раскладе об выгодности можно только в очень отдаленной перспективе говорить.
belonesox
Есть опечатки в первой таблице, и вероятно «
Marvell Arcada 310 ARMv7> Marvell Armada 310 ARMv7».Наверно, надо раскрыть утверждение «Классический терминальный сервер на базе одной ОС, к которой подключаются все пользователи, не устроил нас по функциональному критерию: возникли сложности с адаптацией к режиму терминала текущих клиентских приложений» — какие-такие приложения отказались нормально работать?
a_karasjov
belonesox, спасибо!
Опечатки в таблице исправим, и насчет названия процессора вы абсолютно правы — это Armada 310.
Что касается приложений, то есть у заказчиков встречаются самописные клиентские приложения, которые были разработаны без учета возможности запуска их в терминальной среде.