14.11.2023 08:43
JetHabr 0 2400 Источник

В этой статье мы хотим посмотреть на несколько российских решений с точки зрения их функциональных особенностей. По всем этим решениям мы прошли обучение у вендоров, протестировали их в нашей лаборатории и провели пилотные внедрения у заказчиков. У нас накопился опыт по отечественным продуктам, которым хотим поделиться.

Для начала отметим, что VDI по своей сути — это система автоматизации двух ключевых процессов:

  • Управление жизненным циклом виртуальных рабочих мест (ВРМ) (развертывание из шаблона с регистрацией в службе каталога, пауза, перезапуск, удаление, переразвертывание после внесения изменений в шаблоны и т. п.).

  • Управление пользовательскими сессиями: авторизация пользователей, организация сессий, проброс пользовательских устройств на виртуальные АРМ.

Весь остальной функционал, по сути, вспомогательный, хотя и не менее важный на практике: кластеризация компонентов управления VDI, балансировка и туннелирование трафика, управление пользовательскими профилями, доставка отдельных приложений, терминальные сессии, удаленный помощник.

Представим VDI в виде основных блоков:

Пользователи могут подключаться к своим виртуальным АРМ двумя способами — изнутри корпоративной сети и извне, через интернет. В первом случае подключение происходит непосредственно к брокеру, а точнее, к кластеру из нескольких брокеров через балансировщики сетевой нагрузки. Во втором случае есть два варианта: либо классический VPN и далее прямое подключение к брокерам, либо через специализированный шлюз, располагаемый в DMZ с организацией SSL VPN «прозрачно» для пользователя.

В случае успешной авторизации пользователю становится доступен ряд ресурсов — это, как правило, целевой пул виртуальных рабочих столов, возможно, терминальная ферма, физический ПК сотрудника, отдельные приложения. После того как пользователь выбирает целевой ресурс, брокер открывает сессию и опционально производит ряд дополнительных действий: доставка пользовательского профиля, доставка отдельных приложений на виртуальный рабочий стол.

Вся эта автоматизация и стабильность работы отлажена до очень высокого уровня в импортных продуктах, наиболее известные из которых — Citrix Virtual Apps and Desktops и VMware Horizon. Российские решения развиваются не так давно и пока по своей зрелости отстают от зарубежных.

Всего российских решений VDI можно назвать, наверное, с десяток или даже немного больше. Мы же рассмотрим наиболее известные решения. Для начала разделим российские продукты на две категории: на базе ПО с открытым исходным кодом и полностью собственная разработка.

Наиболее яркий представитель на базе ПО с открытым исходным кодом OpenUDS — HOSTVM VDI от компании HOSTVM. Решение очень похоже на исходный Open Source вариант и обновляется в соответствии с выходом новых релизов OpenUDS.  

Второй вариант — Termidesk от компании «Увеон» (входит в группу компаний «Астра»). Termidesk — продукт, который на самом старте своего развития использовал кодовую базу Open Source варианта (даже интерфейс был сразу переработан), но в дальнейшем идущий по своему пути развития.

Еще два представителя VDI — продукты полностью собственной разработки: Space VDI от компании «Даком М» и Базис.WorkPlace от компании «Базис» — продолжение разработки Скала-Р ВРМ, некоторое время назад вошедшей в группу компаний «Базис».

Termidesk

Достаточно функциональное, а может, и самое функциональное решение VDI на данный момент.

Преимущества:

  • Поддержка большого количества гипервизоров: ПК СВ Брест, VMmanager, zVirt/oVirt, VMware vSphere (6.х-7.0) Aerodisk vAir, OpenStack (некоторые релизы, через отдельный плагин интеграции). Уточним, что компоненты управления VDI всех рассматриваемых нами решений можно запустить на практически любом гипервизоре, поддержка того или иного гипервизора относится в первую очередь к платформе, на которой разворачиваются виртуальные рабочие столы, т. е. к платформе, с которой умеет работать автоматизация рассматриваемого нами решения VDI.

  • В качестве ОС для компонентов Termidesk поддерживается только Astra Linux.

  • Поддержка большого количества служб каталогов: MS Active Directory (LDAP-коннектор), FreeIPA, ALD Pro (на момент написания статьи — частичная поддержка через коннектор для FreeIPA). Также поддерживается интеграция по протоколу SAML с системами идентификации.

  • Наличие шлюза в виде отдельного компонента, который размещается в DMZ и проксирует трафик от пользователей, подключающихся извне корпоративной сети. Данный компонент пока базируется на решении от OpenUDS, но уже в экспериментальном режиме доступен шлюз полностью своей разработки.

  • Развитие протокола SPICE. Например, при соблюдении определенных условий SPICE неплохо оптимизирует медиатрафик, что позволяет организовывать голосовые и видеоконференции внутри VDI-сессий. Функционал доступен, только если ВРМ работает под управлением Astra Linux.

  • SSO RDP и для SPICE (ПК СВ Брест) экспериментально для Astra Linux.

  • Наличие REST API (не весь функционал доступен).

  • Поддержка работы с внешним Syslog-сервером и мониторингом Zabbix из коробки.

  • Самая широкая инсталляционная база и узнаваемость на российском рынке — достаточно большое количество ИТ-специалистов уже умеют администрировать Termidesk.

  • Самая большая экосистема решений от ГК «Астра», что позволяет получать поддержку из «единого окна».

  • Поддержка работы в экспериментальном режиме с терминальными серверами Microsoft (ферма RDS) и Linux (Astra Linux STAL) — доставка полноценных терминальных сессий, доставки приложений Microsoft (RDS) и Linux.

  • Возможность публикации доступа к физическим АРМ.

Недостатки:

  • В качестве балансировщиков предлагается использовать сторонние решения, например, nginx, HAProxy — продукт с открытым исходным кодом.

  • Ограниченная поддержка 2FA-аутентификации (нет поддержки протокола RADIUS, ограниченная поддержка TOTP).

  • Несмотря на то, что «Увеон» считают своим основным протоколом SPICE, он всё еще далек по функциональным возможностям от RDP / FreeRDP / xRDP. Это справедливо относится и ко всем остальным решениям VDI.

  • Работа с пользовательскими профилями на данный момент: для Windows — только на базе Microsoft Windows Roaming Profiles, для Astra Linux есть подключаемый пользовательский диск в экспериментальном режиме и работает только с ПК СВ Брест. «Увеон» в дорожной карте имеет расширение данного функционала, ждем новых релизов.

HOSTVM VDI

Функционально очень близкое решение к OpenUDS. Хоть и с минимальными доработками исходного продукта, но свои преимущества имеет:

  • В реестре российского ПО, как и все рассматриваемые нами в рамках данной статьи решения.

  • Наиболее бюджетный вариант перевода пользователей на работу с виртуальными АРМ.

  • Для виртуальных АРМ официально поддерживается несколько различных гипервизоров. Поддерживаются OpenStack-based, OpenNebula-based и oVirt-based платформы виртуализации. В частности, протестированы сборки с платформами виртуализации отечественных производителей: РЕД Виртуализация, КиберИнфраструктура, РосПлатформа.

  • Наличие собственного гипервизора HOSTVM — преимущество в том, что он также является практически «ванильным» oVirt, а это одна из наиболее распространенных разработок для серверной виртуализации.

  • Поддержка работы с терминальными серверами Microsoft и Linux и доставки приложений Microsoft (RDS) и Linux.

  • В состав решения HOSTVM VDI входит шлюз для удаленного туннелирования трафика с поддержкой HTML5.

  • Доработанные механизмы аутентификации: Active Directory, RADIUS, SAML.

  • Наличие REST API.

  • Есть возможность использования SSO для RDP- и RemoteApp-подключений.

  • Поставка инфраструктурных компонентов (балансировщики, брокеры, шлюзы) в виде преднастроенных виртуальных апплаенсов.

  • Возможность публикации доступа к физическим АРМ.

Недостатки:

  • Развитие продукта — практически полностью на основе выхода новых релизов OpenUDS, своя команда разработчиков небольшая.

  • Встроенный балансировщик имеет ограниченный функционал. Для более высоких требований к балансировщику нужно использовать дополнительные решения. Собственные протоколы для подключения к ВРМ не разрабатываются, наиболее оптимальный вариант — использование RDP.

Space VDI

Полностью собственная разработка специалистов компании «Даком М». Несмотря на достаточно неплохую и функциональную платформу виртуализации SpaceVM, которая является также полностью собственной разработкой, функционал VDI на данный момент — наиболее скромный из всех рассматриваемых в статье решений.

Преимущества:

  • Полностью собственная разработка — специалисты максимально глубоко знают свой продукт.

  • Очень хороший подход к документированию. Всё описано очень подробно, постоянно актуализируется.

  • Появился функционал мультидиспетчера (отказоустойчивая установка брокеров).

  • Поддержка SSO для Windows и Astra Linux при использовании протокола RDP.

  • Появился функционал шлюза (beta) для подключения из внешних сетей, но пока без возможности кластеризации. 1 шлюз = 1 установка Space VDI (неважно, распределенная или нет).

  • Разработка кластеризации брокеров (мультиброкер) завершена и вышла в прод.

  • В разработке — функционал отделяемых профилей для Astra Linux. Есть клиент для RedOS, Debian, Ubuntu, CentOS, AlterOS.

  • Возможность публикации доступа к физическим АРМ (пока только для ОС Astra Linux).

Недостатки:

  • Отсутствие варианта лицензирования по пользователям, только конкурентные подключения.

  • Поддерживается только собственная платформа виртуализации — SpaceVM.

  • На момент написания статьи функционал шлюза подключений официально не поддерживается, присутствует в тестовых сборках и активно дорабатывается.

  • Функционала балансировщика нет, только сторонние решения.

  • Не поддерживается работа с терминальными серверами Linux и, соответственно, доставка отдельных Linux-приложений.

  • Собственные протоколы для подключения к ВРМ не разрабатываются, наиболее оптимальный вариант — использование RDP.

  • В настоящий момент разрабатывается функционал отделяемых профилей для Astra Linux.

  • Для диспетчеров и шлюза требуется покупка лицензий Astra Linux SE 1.7.

Базис.WorkPlace

Неплохой функционал. Команда разработчиков большая, потенциал очень хороший.

Преимущества:

  • Полностью собственная разработка от «Скала Софтвер» (не путать со Скалой^р — эта компания выпускает ПАКи на собственных серверах). Специалисты максимально глубоко знают свой продукт.

  • Официальная поддержка нескольких платформ виртуализации: Р-виртуализация, VMware vSphere, OpenStack. В процессе интеграции со своей новой платформой виртуализации Базис.vCore.

  • Благодаря использованию для Linux-сессий протокола RX от независимой компании Etersoft — наиболее высокая степень интеграции с терминальными серверами Linux и хорошие возможности доставки Linux-приложений. Протокол RX целенаправленно разрабатывался под эти задачи.

  • Есть свой продукт для создания флэшек Live USB для организации подключения из безопасной среды к виртуальным рабочим столам, причем с сервером удаленного управления для корректировки настроек и доставки обновлений.

  • Агент, устанавливаемый на виртуальные рабочие столы, блокирует прямые подключения к виртуальным рабочим столам. Подключение возможно только через брокер.

  • Имеется встроенный функционал контроля целостности всех компонентов, работающий в режиме реального времени.

  • Управление платформой Р-виртуализация и Базис.WorkPlace производится из единой консоли. Можно управлять как серверной виртуальной инфраструктурой, так и VDI, не переключаясь между разными консолями, что очень удобно.

  • Сама по себе консоль управления — образец юзабилити. Очень приятная и удобная во всех отношениях.

Недостатки:

  • Нет отдельного компонента шлюза для размещения в DMZ. Есть только вариант настроить брокеры логически как внешний или внутренний для ограничения доступности пулов. Сами подключения всё равно происходят напрямую.

  • Работа с терминальными серверами и приложениями Linux доступна только по протоколу RX — это коммерческий протокол от независимой компании с закрытым исходным кодом, требующий дополнительной закупки. Протокол VNC не в счет: его лучшее применение — подключение сотрудников техподдержки непосредственно в пользовательские сессии для помощи сотрудникам.

  • Собственные протоколы для подключения к ВРМ не разрабатываются.

  • Функционал отделяемых профилей для Linux отсутствует.

  • Собственная платформа виртуализации Р-виртуализация — гиперконвергентная. Внешние СХД поддерживаются, но с очень большими функциональными ограничениями, в продуктивной среде не рекомендуем. А гиперконвергенция у Скалы хоть и неплохая, но подойдет не всем. Ждем интеграции с vCore.

Как видно из обзора, да и по нашему собственному опыту, в определенных сценариях российские решения VDI вполне можно использовать уже сейчас. Функционал скромнее, но в базовых сценариях это вполне работоспособные решения. Самый большой недостаток всех российских продуктов — отсутствие подходящего протокола подключения к виртуальным рабочим столам, аналога HDXот Citrix или Blast Extreme от VMware. RDP существенно уступает специализированным протоколам как по функционалу (управление политиками), так и по оптимизации работы на узких, некачественных каналах. На широких каналах RDP очень «прожорливый» — 20–30 Мбит/с на сессию при динамичном обновлении картинки. Разработки в этом направлении ведутся, но об этом в другой статье.

 

Андрей Шарашкин

Руководитель отдела серверных решений и виртуализации "Инфосистемы Джет"

Илья Марченко

Инженер-проектировщик "Инфосистемы Джет"

Валерий Новиков

Ведущий инженер-проектировщик "Инфосистемы Джет"

Комментарии (0)