Еще несколько лет назад виртуальные рабочие места были востребованы только на крупных предприятиях сегмента Enterprise с большим количеством отделений. Это, в первую очередь, было связано с тем, что разворачиваемая рабочая среда требовала дорогостоящего сложного ПО и квалифицированных сотрудников, чтобы правильно установить и настроить систему. Сегодня решения становятся все более экономичными, эргономичными и легкими, и успешно завоевывают рынок малого и среднего бизнеса. Об этом говорит и растущий спрос на технологии виртуализации рабочих мест, и множество альтернативных решений, предлагаемых на рынке. Под катом рассказ про решение Parallels RAS и его сравнение с альтернативными технологиями.
Популярность удаленному доступу к рабочим столам и приложениям приносят следующие возможности:
- Безопасность и надежная защита корпоративных данных. Это, пожалуй, один из ключевых факторов для территориально распределённых компаний с подразделениями без квалифицированного ИТ-персонала – не допустить утечки корпоративной информации. Все пользовательские данные надежно хранятся не на локальных компьютерах сотрудников, а в едином защищённом ЦОД, что позволяет избежать утечки данных. При работе на виртуальной машине все действия пользователя фиксируются. Администратор дает доступ только к разрешенным приложениям и может закрыть файловый обмен отдельным сотрудникам.
- Централизованное управление рабочими местами. Сотрудники вашего отдела техподдержки могут устанавливать приложения, настраивать политики, проводить резервное копирование и системные обновления ПО одновременно на сотнях и тысячах клиентских устройств – и все это через единую консоль управления. При этом развернуть еще одно виртуальное рабочее место займет всего лишь несколько минут.
- Снижение затрат на организацию физических рабочих мест и покупку дорогостоящего оборудования. Виртуализация может стать отличным решением для небольших компаний, стремящихся к расширению, и обеспечит своего рода виртуальную трансформацию и расширение организации без крупных финансовых вложений. Более того, виртуализация рабочих мест позволяет превратить старые ПК в тонкие клиенты с возможностью продолжения их использования ещё в течение нескольких лет.
- Возможность аварийного восстановления системы – еще один важный фактор. В случае каких-либо проблем с компьютером на стороне пользователя (аварии, поломки, кражи устройства) администратор сервера сможет быстро восстановить настройки пользователя и доступ к данным, а пользователь сможет продолжить работу с любого устройства.
- Автономность и мобильность специалистов компании – получить доступ к своему виртуальному рабочему месту ваш сотрудник может в любой точке мира и с любого устройства на базе Windows, Linux, iOS, Android, кому что больше нравится, без привязки к конкретной ОС.
- Виртуализация ресурсоемких приложений. Этот специфический пункт будет важен, в первую очередь, для специалистов, которые работают не с простым офисным ПО, а с программами, имеющими повышенные требования к графической системе (3D-приложения, CAD/CAM-системы, Photoshop, передача мультимедиа-контента и др). Пользуясь ресурсами виртуальной машины, сотрудники могут работать с тяжелыми приложениями даже в том случае, когда их локальным ПК не хватает мощности.
На сегодняшний день существуют две основные технологии виртуализации рабочих мест:
- Публикация сеансов, или приложений (session-based publishing). Это решение идеально подойдет для сегмента малого и среднего бизнеса, а также в тех случаях, когда удаленным специалистам требуется предоставить терминальный доступ только к одной или нескольким конкретным программам без полноценного доступа к системе.
- Как работает технология: виртуальные приложения запускаются в одной операционной системе на удаленном физическом сервере, а пользователи работают с ними по сети. Ресурсы сервера в этом случае распределяются на все приложения всех пользователей.
- Публикация рабочих столов (VDI deployment). Это решение приходит на помощь в тех случаях, когда удаленным сотрудникам нужен полноценный изолированный доступ к рабочему столу. В отличие от терминального доступа к приложению, пользователь получает отдельную виртуальную машину (ВМ) с собственной ОС и необходимыми программами. При этом, в зависимости от ситуации, могут публиковаться как клиентские ОС (Windows 7, 8, 10), так и серверные (Windows 2012, 2016). Получается готовое рабочее место, к которому можно подключиться с любых устройств, а также через любой интерфейс – веб-браузер, клиентское приложение, тонкий клиент. Что важно — если пользователю назначаются права локального администратора, то даже в этом случае он не может нанести никакого вреда виртуальному десктопу. А при возникновении каких-либо сбоев администратор всегда сможет произвести аварийное восстановление удаленно.
Как работает технология VDI: на одном физическом сервере работают несколько ВМ, которые изолируются друг от друга и управляются с помощью специального ПО — гипервизора. Если на одной виртуальной машине произойдет какой-то сбой, на все остальные ВМ на сервере это не распространится. Самыми известными гипервизорами на сегодняшний день являются VMware vSphere, Microsoft HyperV, KVM, Citrix XenServer.
Наибольшее распространение виртуализация рабочих мест получила в торговле, финансовых организациях, промышленности, медицинских учреждениях, то есть там, где требуется обеспечить бесперебойную работу удалённых сотрудников или малых региональных офисов. В телекоме набирает обороты технология Desktop-as-a-Service (DaaS). Прекрасным примером является образование или разработка, где необходимо иметь возможность оперативно развернуть рабочие столы самой разной конфигурации с чистого листа.
Муки выбора...
Когда дело доходит до выбора инфраструктуры для доставки приложений и виртуальных столов, перед компаниями встает нелегкая задача. Технологий много, а для окончательного выбора необходимо учесть множество факторов: сложность поставленных задач и используемых приложений, стоимость приобретения лицензий, легкость установки и настройки, возможности администрирования.
Решение Parallels Remote Application Server (или Parallels RAS), о котором сегодня пойдет речь, было представлено в 2015 году, однако за несколько лет уже успело завоевать прочную позицию на мировом рынке, поставив во главу угла простоту, бюджетность и доступность продукта.
В сегодняшней статье мы проведем небольшой анализ возможностей и преимуществ платформы Parallels RAS по сравнению с ведущими на сегодняшний день системами – MS RDS, Citrix XenApp&XenDesktop и VMware Horizon.
Архитектура Parallels RAS
Parallels RAS – это платформа по доставке виртуальных рабочих столов и приложений, которая обеспечивает доступ к рабочему месту с любого устройства. При разработке компания ориентировалась, в первую очередь, на создание Easy-to-Deploy, Easy-to-Maintain решения — простого, надежного и недорогого продукта для широкого круга потребителей. Но, несмотря на легкость и простоту использования, RAS — это серьезный продукт, по функционалу не уступающий конкурентам. Программа объединяет в себе возможности VDI и публикации приложений и ориентирована на сегмент малого и среднего бизнеса. По оценке портала G2Crowd — ведущей платформы выбора софта для бизнеса – приложение Parallels RAS вошло в список лидеров весны 2018 (Leader Spring 2018).
В отличие от конкурентных технологий, RAS не требует предварительного обучения и сертификации администраторов. Все действия по управлению серверами, приложениями и пользователями выполняются в несколько кликов любым сисадмином из штата вашей техподдержки. Разработка продукта осуществляется большей частью в Москве, здесь же находится и техподдержка.
Прежде чем перейти к сравнению систем, рассмотрим вкратце компоненты и процесс установки терминальной фермы с помощью Parallels RAS. Почему ферма? Потому что несколько серверов (виртуальных или физических) объединены в единую систему и работают параллельно, что обеспечивает распределение нагрузки между серверами и отказоустойчивость доставки ресурсов.
Система виртуализации рабочих столов и приложений Parallels RAS (или ферма PRAS) представляет собой структуру объектов, логически сгруппированных для удобного централизованного управления всей виртуальной инфраструктурой.
Каждая ферма (Farm) состоит из одного или нескольких сайтов (Site). На визуализации представлена ферма с одним сайтом, однако их может быть сколько угодно. С помощью сайтов ферма разделяется на зоны управления. Предположим, есть несколько удаленных друг от друга офисов, и у каждого офиса есть свой технический отдел. В этом случае для каждого офиса создается свой сайт и администратору даются права на управление только своим сайтом, а не всей фермой.
Каждый сайт полностью отделен от других и включает следующие основные компоненты:
- RAS SCG (Secure Client Gateway) – шлюз, который производит туннелирование необходимого трафика в один порт и обеспечивает безопасность соединений с помощью SSL-шифрования. Для поддержки большего количества пользователей можно использовать несколько шлюзов.
- RAS Master PA (Publishing Agent) – один из наиболее важных компонентов – брокер приложений, который обеспечивает доступ к приложениям и рабочим столам и производит балансировку нагрузки. Для гарантированной беспрерывной доставки приложений и защиты клиентов от помех и простоя во время подключения реализована возможность добавлять на сайт несколько активных агентов (multiple PA), которые будут равномерно распределять нагрузку.
- RAS RDSH Agent – агент, который позволяет Parallels RAS публиковать ресурсы на серверах Microsoft RDSH (Remote Desktop Session Host), где собственно и размещаются все программы и рабочие столы, к которым пользователи будут получать удаленный доступ.
- RAS VDI Agent – агент, который отвечает за подключение к ферме RAS сервера c гипервизором, управляющим запуском рабочих столов.
- RAS Guest Agent – служба, которая устанавливается на гостевую ОС виртуальной машины, используемую как шаблон VDI на гипервизоре, и позволяет публиковать ресурсы с десктопов VDI.
- RAS Remote PC Agent – служба, которая устанавливается на любой физический ПК с ОС Windows или на виртуальную машину с ОС Windows и позволяет публиковать приложения и десктопы с них. Даже если ПК с ресурсами будет выключен, служба сможет включить его удаленно через Wake-on-Lan
Установка и настройка системы происходит в 4 этапа:
1. Устанавливаем Parallels RAS на сервер с ОС Windows Server и подключаемся к системе, используя данные учетной записи Active Directory (AD). Приложение будет использовать порты 443 и 80, поэтому они должны быть свободны. Далее необходимо ввести логин/пароль для подключения к аккаунту RAS и активировать ключ. На этом установка системы завершена и можно переходить к настройке.
Настройка, как и все последующие действия, происходит в Parallels RAS Console (см. Рис.). Консоль подключается к главному Publishing agent или альтернативным агентам. Начиная с версии 16.0 появилась возможность выбирать PA.
2. Добавляем и настраиваем сервера RDSH и агенты Publishing agents. Обратите внимание: при добавлении серверов RAS автоматически настроит для них следующие опции:?- настроит правила Firewall для RDSH;?- установит роль сервера RDSH на тот сервер, который вы добавляете в ферму. То есть вам не придется вручную настраивать роли, как это происходит в MS RDS;?- при необходимости произведет перезагрузку выбранного сервера после установки;?- добавит сервер в группу серверов (вам просто надо будет поставить галочку напротив группы). То есть все важные настройки уже внесены в интерфейс, вам остается только проставить галочки.
3. Добавляем и публикуем приложения: здесь тоже все просто, ставим галочки напротив приложений, которые будем публиковать. После публикации для каждого приложения можно настроить свои правила: например, дать доступ к приложению только некоторым сотрудникам.
4. Приглашение пользователей. Создаем список пользователей, которым придет приглашение на email. В приглашении будет подробная инструкция для доступа к серверу и ссылки на скачивание приложений-клиентов для типов устройств, с которых они будут заходить.
Клиентское подключение осуществляется в два этапа:
1. Получение списка публикуемых ресурсов (документов, приложений, рабочих столов). Пользователь запускает приложение Parallels Client на своем устройстве. Клиентское приложение подключается к шлюзу SCG и между ними устанавливается защищенная SSL-сессия. Шлюз, в свою очередь, выстраивает туннель соединения с PA, чтобы запустить аутентификацию пользователя. В случае успешной аутентификации агент PA возвращает через SSL-туннель список приложений, который отображается в интерфейсе клиента.
2. Публикация приложения. Пользователь запускает приложение. Шлюз отправляет запрос всем активным агентам Publishing Agents на ферме. PA запускают проверку балансировки нагрузки, выбирают наименее загруженный сервер и через шлюз отправляют его IP-адрес на клиентское приложение. Далее клиент подключается к серверу RDSH напрямую либо через шлюз. Сервер подтверждает данные клиента и устанавливает RDP-сессию.
Возможности Parallels RAS для работы с Microsoft RDS
Сравним Parallels RAS с одной из самых распространенных технологий удаленного доступа к приложениям и рабочим столам – Remote Desktop Services (RDS) от Microsoft (ранее технология называлась Terminal Services). Несомненным преимуществом MS RDS является то, что для разворачивания фермы вам не потребуется приобретать дополнительное лицензируемое ПО – терминальные службы уже встроены в ОС Windows Server. Однако решение является не самым легким в плане настройки, и ниже мы расскажем вам о том, как Parallels RAS позволит вам во многом оптимизировать и упростить работу с сервером MS RDS:
• Создание и настройка терминальной фермы.
WS: в MS RDS процесс создания фермы достаточно длительный и потребует от администратора, кроме терпения, хороших навыков работы с Windows Server. Множество параметров придется настроить вручную: назначить роли каждому из серверов, добавить доверенные сертификаты, создать коллекцию приложений, пройти через несколько перезагрузок в процессе; установить необходимые компоненты – Connection Broker, Remote App для публикации приложений, кластер Microsoft NLB для масштабирования системы и балансировки нагрузки.
PRAS: используя RAS, вы сможете максимально просто и быстро создать ферму, не будучи при этом экспертом по виртуализации. Вам необходимо будет только запустить установочный файл msi, а дальше простой и понятный мастер установки проведет вас через все этапы настройки серверов и компонентов. Такие важнейшие функции как балансировка нагрузки и универсальная печать в RAS уже предустановлены.
• Публикация и доставка приложений.
WS: чтобы публиковать приложения в Windows Server, вам необходимо пройти через длительную процедуру установки компонента RemoteApp. Более того, в дальнейшем вы сможете публиковать приложения только с того сервера, на котором RemoteApp установлен. Для публикации приложений и десктопов MS RDS использует собственный протокол RDP. В последней версии протокола появилась надстройка RemoteFX, которое обеспечивает высокое качество передаваемой графики и быструю работу пользователя с динамично изменяющимся контентом.
Для публикации рабочих столов VDI Windows Server поддерживает только свой гипервизор Hyper-V.
PRAS тоже использует для публикации приложений протокол RDP, но предоставляет больше возможностей для публикации, благодаря брокеру подключений RAS PA. RAS позволяет централизованно, из единого местоположения, публиковать приложения с любого сервера в ферме. Вы сможете отслеживать, как приложения используются, ограничивать количество экземпляров или время доступа к приложениям. Вы также сможете фильтровать доступ к приложениям на основе различных критериев: например, по MAC- или IP-адресу. ?Для доставки VDI, сервер RAS не ограничивается гипервизором Hyper-V, поддерживая все популярные гипервизоры на рынке: VMware, Citrix, Nutanix, KVM.
• Возможности балансировки.
WS: на серверах RDS нет встроенного балансировщика нагрузки. За балансировку между серверами отвечает брокер подключений Connection Broker, который следит, чтобы пользователи получали доступ к своим сеансам, если соединение было прервано, и распределяет нагрузку между серверами на основании их мощности и загруженности. Однако брокер не регулирует балансировку шлюзов, и в случае сбоя какого-либо из шлюзов продолжит направлять на него запросы. Для более надежного распределения нагрузки вам придется установить компонент для кластеризации серверов Microsoft Network Load Balancing (NLB), что требует достаточно глубоких экспертных знаний.
PRAS: чтобы не допустить перегрузки в многошлюзовых средах и обеспечить быструю гарантированную доступность приложений, в RAS реализована опция балансировки шлюзов (HA-LB). Это безопасное виртуальное приложение для гипервизоров Hyper-V, VMware и Xen, которое не только будет проверять доступность серверов, но и интеллектуально распределит входящие подключения между исправными шлюзами. Несколько HA-LB могут быть запущены одновременно.
• Службы отчетов.
WS: в Windows Server нет службы составления отчетности.
PRAS: служба отчетов в Parallels RAS не просто есть, но умеет генерировать 14 типов отчетов: пользовательские, групповые, отчеты по работе устройств, серверов и приложений.
• Кроссплатформенность.
WS: Windows Server предоставляет приложение-клиент для Windows, iOS и Android. Для доступа с других платформ вам потребуется устанавливать сторонние приложения.
PRAS: предоставляет клиентские приложения практических для всех устройств: доступ возможен через Mac и Linux, через все типы мобильных устройств — Android, iOS, Raspberry, а также без установки клиента — через любой HTML5-браузер.
• Поддержка и администрирование.
WS: в Windows Server у администратора есть возможность теневого подключения (Remote Desktop Shadowing) к любой RDS-сессии пользователя. Остальные технические проблемы, не связанные с сессиями RDS, не могут быть решены.
PRAS: возможности администрирования RAS позволяют контролировать через консоль конфигурации не только сессии, но и всю рабочую станцию.
• Безопасность и авторизация.
В WS пользователи могут проходить авторизацию через Active Directory, через смарт-карты, интегрированные с AD, а также через протокол Kerberos. Остальные типы авторизации возможны только через шлюз подключений RD Gateway.
Пользователи PRAS также могут проходить авторизацию через AD и смарт-карты. Кроме того, в RAS возможна двухфакторная авторизация с помощью одноразовых паролей через сервисы RADIUS, DeepNet и SafeNet.
CITRIX и VMware
Лидеры рынка виртуализации, Citrix и VMware, известны, в первую очередь, своими сложными многокомпонентными и дорогими платформами. Они используют лучшие технологии для передачи 3D-графики, имеют наиболее продвинутые гипервизоры и множество других сервисов для построения виртуальной инфраструктуры.
Все несовершенства Citrix и VMware можно охарактеризовать двумя словами – сложность и дороговизна. Сложность начинается с выбора из множества версий лицензирования и продолжается в процессе установки, настройки и обновления продукта. В большинстве случаев проходить через все эти этапы нет смысла и экономически нецелесообразно, особенно если компания работает в SME-сегменте (small and medium-sized enterprises) и имеет небольшой штат удаленных сотрудников.
Перечислим некоторые из сложностей, с которыми придется столкнуться в процессе внедрения решений.
Затраты на обучение
Продукты Citrix и VMware могут внедрять только сертифицированные специалисты. К примеру, администратор Citrix должен пройти обучение, сдать экзамен в тестовом центре и получить сертификат CCA?V (Citrix Certified Administrator – Virtualization). Стоимость пятидневного курса на английском языке XenApp and XenDesktop 7.1x Administration для подготовки к сдаче экзамена CCA составит $3735 и выше. Сам экзамен проходит также на английском, в виде тестирования. После получения сертификат будет действителен в течение трех лет, а затем экзамен надо будет пересдавать для подтверждения квалификации. Как вариант, для установки системы можно обратиться к интеграторам, но в любом случае, без помощи опытных специалистов развернуть ферму не получится, и их услуги обойдутся достаточно дорого.
Стоимость и лицензирование
Обе компании предлагают большой выбор средств виртуализации. Как Citrix, так и VMware для публикации приложений и для доставки VDI выпускают отдельные продукты. То есть построены они на единой платформе и управляются из единой консоли, но отличаются агентами, которые ставятся на клиентскую и серверную ОС. В том случае, когда сотрудникам не требуется высокой производительности и персонализации для работы с приложениями, удобнее использовать утилиты для публикации на базе сессий (XenApp, Horizon Apps, см. таблицу). Если нужна работа с тяжелым софтом или графикой, а также персонализированный доступ к рабочему столу — необходимо приобрести VMware Horizon 7 или Citrix XenDesktop. Они также позволяют публиковать приложения, но дополнительно обеспечивают доставку VDI.
Кроме того, каждый продукт у Citrix и VMware имеет несколько видов лицензий (см. таблицу), отличающихся базовым или расширенным функционалом. При более подробном рассмотрении выясняется, что многие опции доступны только в наиболее дорогой редакции продукта. Так, например, у VMware быстрая публикация приложений с помощью технологии мгновенного клонирования есть только в редакции Horizon Apps Enterprise. У Citrix возможность поставить XenApp на Unix появляется также только в редакции Enterprise, а опция обработки 3D-контента по протоколу HDX 3D возможна только в редакции Citrix XenDesktop Platinum. Для балансировки нагрузки в решениях Citrix и VMware вам придется устанавливать дополнительные компоненты за отдельную стоимость.
Для лицензирования клиентских подключений все производители предлагают следующие варианты:
- User/device (по числу именованных пользователей/авторизованных устройств) – подойдет для компаний с небольшим количеством удаленных сотрудников, которым требуется доступ к виртуальной машине на протяжении всего дня.
- Concurrent user (по числу параллельных подключений) – хороший выбор для использования в компаниях с большим количеством пользователей, например, когда сотрудники работают посменно.
Parallels не стал мудрить с лицензиями и множеством отдельных продуктов и выпустил продукт All-in-One, объединяющий все компоненты и возможности в одном пакете. Модель лицензирования всего одна – по количеству одновременных подключений. Функционал RAS немного уступает конкурирующим технологиям, однако не будем забывать, что продукты Citrix и VMware ориентированы в основном на работу с крупными компаниями сегмента Enterprise. Возможности платформы RAS полностью покроют все потребности предприятий малого и среднего бизнеса.
Оплачивать услуги сертифицированного специалиста для установки и настройки технологии вам не потребуется: RAS легко сможет настроить любой администратор вашей техподдержки.
Обратите внимание: платформы RAS, Citrix и VMware – это только технологии для построения и управления фермой серверов. Для того, чтобы развернуть ферму, вам, помимо приобретения физического сервера, понадобится еще оплатить следующие лицензии:
- Лицензирование сервера Windows Server: минимум два процессора по восемь ядер (см. таблицу);
- Лицензирование VDI (подписка Microsoft VDA) – в том случае, если вы будете использовать VDI. Подписка приобретается на каждую ВМ на сервере и включает год доступа к виртуальным рабочим столам Windows. Стоимость — $100 за одну ВМ;
- Лицензирование RDS – за подключение каждого клиентского устройства к серверу MS RDS – Windows RDS CAL ($169 – за устройство, $199 – за пользователя).
Отдельно надо сказать про облачную среду, поскольку сейчас многие компании начинают активно пользоваться облаками. Использование облачной среды для виртуализации имеет множество преимуществ. Вы можете неограниченно масштабировать инфраструктуру, то есть постоянно увеличивать объем облачных ресурсов по мере необходимости. Поддерживается высокий уровень безопасности данных, что снижает риск их утечки. Данные не хранятся локально, а доступ клиенты получают через безопасное соединение и не к самим данным, а к развернутым образам. Parallels RAS можно развернуть в любом частном, гибридном или публичном облаке (например, Microsoft Azure или Amazon). При желании познакомиться с возможностями Parallels RAS, вы можете абсолютно бесплатно протестировать ферму в облаке MS Azure в течение 30 дней.
Для рынка SME платформа Parallels RAS заслуживает более чем пристального рассмотрения.
Технологии призваны облегчать, а не усложнять нашу жизнь, а продукты Citrix и VMware оказываются слишком сложным и финансово затратным решением для компаний с числом удаленных работников от 100 до 5000 человек. RAS существенно упрощает процесс разворачивания фермы, обеспечивает серьезную защиту безопасности данных, объединяет в одной консоли все, что нужно для всестороннего администрирования фермы, имеет встроенную балансировку нагрузки и поддерживает избыточную масштабируемость фермы. В плане предлагаемых возможностей Parallels RAS не сильно отстает от Citrix и VMware, занимая стабильно верхние позиции в рейтинге продуктов виртуализации, но при этом имеет низкую стоимость лицензирования и низкие требования к ресурсам сервера.