В этой статье мы хотим посмотреть на несколько российских решений с точки зрения их функциональных особенностей. По всем этим решениям мы прошли обучение у вендоров, протестировали их в нашей лаборатории и провели пилотные внедрения у заказчиков. У нас накопился опыт по отечественным продуктам, которым хотим поделиться.
Для начала отметим, что VDI по своей сути — это система автоматизации двух ключевых процессов:
Управление жизненным циклом виртуальных рабочих мест (ВРМ) (развертывание из шаблона с регистрацией в службе каталога, пауза, перезапуск, удаление, переразвертывание после внесения изменений в шаблоны и т. п.).
Управление пользовательскими сессиями: авторизация пользователей, организация сессий, проброс пользовательских устройств на виртуальные АРМ.
Весь остальной функционал, по сути, вспомогательный, хотя и не менее важный на практике: кластеризация компонентов управления VDI, балансировка и туннелирование трафика, управление пользовательскими профилями, доставка отдельных приложений, терминальные сессии, удаленный помощник.
Представим VDI в виде основных блоков:
Пользователи могут подключаться к своим виртуальным АРМ двумя способами — изнутри корпоративной сети и извне, через интернет. В первом случае подключение происходит непосредственно к брокеру, а точнее, к кластеру из нескольких брокеров через балансировщики сетевой нагрузки. Во втором случае есть два варианта: либо классический VPN и далее прямое подключение к брокерам, либо через специализированный шлюз, располагаемый в DMZ с организацией SSL VPN «прозрачно» для пользователя.
В случае успешной авторизации пользователю становится доступен ряд ресурсов — это, как правило, целевой пул виртуальных рабочих столов, возможно, терминальная ферма, физический ПК сотрудника, отдельные приложения. После того как пользователь выбирает целевой ресурс, брокер открывает сессию и опционально производит ряд дополнительных действий: доставка пользовательского профиля, доставка отдельных приложений на виртуальный рабочий стол.
Вся эта автоматизация и стабильность работы отлажена до очень высокого уровня в импортных продуктах, наиболее известные из которых — Citrix Virtual Apps and Desktops и VMware Horizon. Российские решения развиваются не так давно и пока по своей зрелости отстают от зарубежных.
Всего российских решений VDI можно назвать, наверное, с десяток или даже немного больше. Мы же рассмотрим наиболее известные решения. Для начала разделим российские продукты на две категории: на базе ПО с открытым исходным кодом и полностью собственная разработка.
Наиболее яркий представитель на базе ПО с открытым исходным кодом OpenUDS — HOSTVM VDI от компании HOSTVM. Решение очень похоже на исходный Open Source вариант и обновляется в соответствии с выходом новых релизов OpenUDS.
Второй вариант — Termidesk от компании «Увеон» (входит в группу компаний «Астра»). Termidesk — продукт, который на самом старте своего развития использовал кодовую базу Open Source варианта (даже интерфейс был сразу переработан), но в дальнейшем идущий по своему пути развития.
Еще два представителя VDI — продукты полностью собственной разработки: Space VDI от компании «Даком М» и Базис.WorkPlace от компании «Базис» — продолжение разработки Скала-Р ВРМ, некоторое время назад вошедшей в группу компаний «Базис».
Termidesk
Достаточно функциональное, а может, и самое функциональное решение VDI на данный момент.
Преимущества:
Поддержка большого количества гипервизоров: ПК СВ Брест, VMmanager, zVirt/oVirt, VMware vSphere (6.х-7.0) Aerodisk vAir, OpenStack (некоторые релизы, через отдельный плагин интеграции). Уточним, что компоненты управления VDI всех рассматриваемых нами решений можно запустить на практически любом гипервизоре, поддержка того или иного гипервизора относится в первую очередь к платформе, на которой разворачиваются виртуальные рабочие столы, т. е. к платформе, с которой умеет работать автоматизация рассматриваемого нами решения VDI.
В качестве ОС для компонентов Termidesk поддерживается только Astra Linux.
Поддержка большого количества служб каталогов: MS Active Directory (LDAP-коннектор), FreeIPA, ALD Pro (на момент написания статьи — частичная поддержка через коннектор для FreeIPA). Также поддерживается интеграция по протоколу SAML с системами идентификации.
Наличие шлюза в виде отдельного компонента, который размещается в DMZ и проксирует трафик от пользователей, подключающихся извне корпоративной сети. Данный компонент пока базируется на решении от OpenUDS, но уже в экспериментальном режиме доступен шлюз полностью своей разработки.
Развитие протокола SPICE. Например, при соблюдении определенных условий SPICE неплохо оптимизирует медиатрафик, что позволяет организовывать голосовые и видеоконференции внутри VDI-сессий. Функционал доступен, только если ВРМ работает под управлением Astra Linux.
SSO RDP и для SPICE (ПК СВ Брест) экспериментально для Astra Linux.
Наличие REST API (не весь функционал доступен).
Поддержка работы с внешним Syslog-сервером и мониторингом Zabbix из коробки.
Самая широкая инсталляционная база и узнаваемость на российском рынке — достаточно большое количество ИТ-специалистов уже умеют администрировать Termidesk.
Самая большая экосистема решений от ГК «Астра», что позволяет получать поддержку из «единого окна».
Поддержка работы в экспериментальном режиме с терминальными серверами Microsoft (ферма RDS) и Linux (Astra Linux STAL) — доставка полноценных терминальных сессий, доставки приложений Microsoft (RDS) и Linux.
Возможность публикации доступа к физическим АРМ.
Недостатки:
В качестве балансировщиков предлагается использовать сторонние решения, например, nginx, HAProxy — продукт с открытым исходным кодом.
Ограниченная поддержка 2FA-аутентификации (нет поддержки протокола RADIUS, ограниченная поддержка TOTP).
Несмотря на то, что «Увеон» считают своим основным протоколом SPICE, он всё еще далек по функциональным возможностям от RDP / FreeRDP / xRDP. Это справедливо относится и ко всем остальным решениям VDI.
Работа с пользовательскими профилями на данный момент: для Windows — только на базе Microsoft Windows Roaming Profiles, для Astra Linux есть подключаемый пользовательский диск в экспериментальном режиме и работает только с ПК СВ Брест. «Увеон» в дорожной карте имеет расширение данного функционала, ждем новых релизов.
HOSTVM VDI
Функционально очень близкое решение к OpenUDS. Хоть и с минимальными доработками исходного продукта, но свои преимущества имеет:
В реестре российского ПО, как и все рассматриваемые нами в рамках данной статьи решения.
Наиболее бюджетный вариант перевода пользователей на работу с виртуальными АРМ.
Для виртуальных АРМ официально поддерживается несколько различных гипервизоров. Поддерживаются OpenStack-based, OpenNebula-based и oVirt-based платформы виртуализации. В частности, протестированы сборки с платформами виртуализации отечественных производителей: РЕД Виртуализация, КиберИнфраструктура, РосПлатформа.
Наличие собственного гипервизора HOSTVM — преимущество в том, что он также является практически «ванильным» oVirt, а это одна из наиболее распространенных разработок для серверной виртуализации.
Поддержка работы с терминальными серверами Microsoft и Linux и доставки приложений Microsoft (RDS) и Linux.
В состав решения HOSTVM VDI входит шлюз для удаленного туннелирования трафика с поддержкой HTML5.
Доработанные механизмы аутентификации: Active Directory, RADIUS, SAML.
Наличие REST API.
Есть возможность использования SSO для RDP- и RemoteApp-подключений.
Поставка инфраструктурных компонентов (балансировщики, брокеры, шлюзы) в виде преднастроенных виртуальных апплаенсов.
Возможность публикации доступа к физическим АРМ.
Недостатки:
Развитие продукта — практически полностью на основе выхода новых релизов OpenUDS, своя команда разработчиков небольшая.
Встроенный балансировщик имеет ограниченный функционал. Для более высоких требований к балансировщику нужно использовать дополнительные решения. Собственные протоколы для подключения к ВРМ не разрабатываются, наиболее оптимальный вариант — использование RDP.
Space VDI
Полностью собственная разработка специалистов компании «Даком М». Несмотря на достаточно неплохую и функциональную платформу виртуализации SpaceVM, которая является также полностью собственной разработкой, функционал VDI на данный момент — наиболее скромный из всех рассматриваемых в статье решений.
Преимущества:
Полностью собственная разработка — специалисты максимально глубоко знают свой продукт.
Очень хороший подход к документированию. Всё описано очень подробно, постоянно актуализируется.
Появился функционал мультидиспетчера (отказоустойчивая установка брокеров).
Поддержка SSO для Windows и Astra Linux при использовании протокола RDP.
Появился функционал шлюза (beta) для подключения из внешних сетей, но пока без возможности кластеризации. 1 шлюз = 1 установка Space VDI (неважно, распределенная или нет).
Разработка кластеризации брокеров (мультиброкер) завершена и вышла в прод.
В разработке — функционал отделяемых профилей для Astra Linux. Есть клиент для RedOS, Debian, Ubuntu, CentOS, AlterOS.
Возможность публикации доступа к физическим АРМ (пока только для ОС Astra Linux).
Недостатки:
Отсутствие варианта лицензирования по пользователям, только конкурентные подключения.
Поддерживается только собственная платформа виртуализации — SpaceVM.
На момент написания статьи функционал шлюза подключений официально не поддерживается, присутствует в тестовых сборках и активно дорабатывается.
Функционала балансировщика нет, только сторонние решения.
Не поддерживается работа с терминальными серверами Linux и, соответственно, доставка отдельных Linux-приложений.
Собственные протоколы для подключения к ВРМ не разрабатываются, наиболее оптимальный вариант — использование RDP.
В настоящий момент разрабатывается функционал отделяемых профилей для Astra Linux.
Для диспетчеров и шлюза требуется покупка лицензий Astra Linux SE 1.7.
Базис.WorkPlace
Неплохой функционал. Команда разработчиков большая, потенциал очень хороший.
Преимущества:
Полностью собственная разработка от «Скала Софтвер» (не путать со Скалой^р — эта компания выпускает ПАКи на собственных серверах). Специалисты максимально глубоко знают свой продукт.
Официальная поддержка нескольких платформ виртуализации: Р-виртуализация, VMware vSphere, OpenStack. В процессе интеграции со своей новой платформой виртуализации Базис.vCore.
Благодаря использованию для Linux-сессий протокола RX от независимой компании Etersoft — наиболее высокая степень интеграции с терминальными серверами Linux и хорошие возможности доставки Linux-приложений. Протокол RX целенаправленно разрабатывался под эти задачи.
Есть свой продукт для создания флэшек Live USB для организации подключения из безопасной среды к виртуальным рабочим столам, причем с сервером удаленного управления для корректировки настроек и доставки обновлений.
Агент, устанавливаемый на виртуальные рабочие столы, блокирует прямые подключения к виртуальным рабочим столам. Подключение возможно только через брокер.
Имеется встроенный функционал контроля целостности всех компонентов, работающий в режиме реального времени.
Управление платформой Р-виртуализация и Базис.WorkPlace производится из единой консоли. Можно управлять как серверной виртуальной инфраструктурой, так и VDI, не переключаясь между разными консолями, что очень удобно.
Сама по себе консоль управления — образец юзабилити. Очень приятная и удобная во всех отношениях.
Недостатки:
Нет отдельного компонента шлюза для размещения в DMZ. Есть только вариант настроить брокеры логически как внешний или внутренний для ограничения доступности пулов. Сами подключения всё равно происходят напрямую.
Работа с терминальными серверами и приложениями Linux доступна только по протоколу RX — это коммерческий протокол от независимой компании с закрытым исходным кодом, требующий дополнительной закупки. Протокол VNC не в счет: его лучшее применение — подключение сотрудников техподдержки непосредственно в пользовательские сессии для помощи сотрудникам.
Собственные протоколы для подключения к ВРМ не разрабатываются.
Функционал отделяемых профилей для Linux отсутствует.
Собственная платформа виртуализации Р-виртуализация — гиперконвергентная. Внешние СХД поддерживаются, но с очень большими функциональными ограничениями, в продуктивной среде не рекомендуем. А гиперконвергенция у Скалы хоть и неплохая, но подойдет не всем. Ждем интеграции с vCore.
Как видно из обзора, да и по нашему собственному опыту, в определенных сценариях российские решения VDI вполне можно использовать уже сейчас. Функционал скромнее, но в базовых сценариях это вполне работоспособные решения. Самый большой недостаток всех российских продуктов — отсутствие подходящего протокола подключения к виртуальным рабочим столам, аналога HDXот Citrix или Blast Extreme от VMware. RDP существенно уступает специализированным протоколам как по функционалу (управление политиками), так и по оптимизации работы на узких, некачественных каналах. На широких каналах RDP очень «прожорливый» — 20–30 Мбит/с на сессию при динамичном обновлении картинки. Разработки в этом направлении ведутся, но об этом в другой статье.
Андрей Шарашкин
Руководитель отдела серверных решений и виртуализации "Инфосистемы Джет"
Илья Марченко
Инженер-проектировщик "Инфосистемы Джет"
Валерий Новиков
Ведущий инженер-проектировщик "Инфосистемы Джет"