14.04.2019 08:22
Snow_Bars 35 14400 Источник
В предыдущей статье были рассмотрены варианты, на что можно заменить существующие системы в рамках выполнения приказа об импортозамещении. Далее в статьях речь пойдет о выборе конкретных продуктов для замены развернутых в настоящее время. Начнем с точки отсчета — системы виртуализации.

image

1. Муки выбора


Итак, из чего можно выбрать? В реестре Минкомсвязи выбор есть:

  • Система серверной виртуализации «Р-Виртуализация» (libvirt, KVM, QEMU)
  • Программный комплекс "Средства виртуализации «Брест»" (libvirt, KVM, QEMU)
  • Платформа управления и мониторинга среды виртуализации «Sharx Stream» (облачное решение, которое не подходит для госконтор в 95% случаев (секретность и т.д.)
  • Программный комплекс виртуализации серверов, рабочих столов и приложений «ХОСТ» (KVM x86)
  • Система безопасного управления средой виртуализации "Z|virt" (он же oVirt+KVM)
  • Система управления средой виртуализации «ROSA Virtualization» (он же oVirt+KVM)
  • Гипервизор QP VMM (слишком похож на Oracle Virtual Box, чтобы быть чем-то другим)

Так же можно брать в расчет гипервизоры, входящие в состав поставки ОС, или находящиеся в их репозитории. Например, у той же Astra Linux есть поддержка KVM. И так как он входит в репозитории ОС, то его можно считать «легитимным» для установки и использования. О том, «что можно использовать в рамках импортозамещения, а что нет», было оговорено в предыдущей статье, так что не буду останавливаться на этом вопросе.

На деле вот список средств виртуализации Astra Linux
Ссылка

  • VirtualBox
  • Virt-manager (KVM) Орел current
  • libvirt over KVM

У ROSA Linux такого списка нет, но в wiki можно найти следующие пакеты:
Ссылка

  • ROSA Virtualization over oVirt over KVM
  • QEMU over KVM
  • oVirt 3.5 over KVM

У Альт Линукс в репозитории нашлось:
Ссылка

  • QEMU over KVM
  • libvirt over KVM
  • VirtualBox

У Calculate нашлось следующее:
Ссылка

  • QEMU over KVM
  • libvirt over KVM
  • VirtualBox

1.2. Есть одно НО


При ближайшем рассмотрении, делаем вывод, что иметь дело нам придется всего лишь с несколькими известными гипервизорами, а именно:

  1. KVM
  2. VirtualBox
  3. QEMU

QEMU — свободная программа с открытым исходным кодом для эмуляции аппаратного обеспечения различных платформ, которая может работать и без использования KVM, но использование аппаратной виртуализации значительно ускоряет работу гостевых систем, поэтому использование KVM в QEMU (-enable-kvm) является предпочтительным вариантом. (с) То есть QEMU — гипервизор 2го типа, что неприемлемо в продуктовой среде. С KVM его можно использовать, но в этом случае QEMU будет использоваться в качестве средства управления KVM.

Использование оригинального VirtualBox в коммерции является фактически нарушением лицензии: «Начиная с версии 4, выпущенной в декабре 2010 года, основная часть продукта распространяется бесплатно под лицензией GPL v2. Устанавливаемый поверх неё дополнительный пакет, обеспечивающий поддержку устройств USB 2.0 и 3.0, протокол удалённого рабочего стола (RDP), шифрование накопителя, загрузку с NVMe и по PXE, распространяется под особой лицензией PUEL («для личного использования и ознакомления»), по который система бесплатна для личного использования, в целях обучения или для оценки перед принятием решения о приобретении коммерческой версии.» (с) Плюс VirtualBox так же является гипервизором 2го типа, так что он так же отпадает.

Итого: в чистом виде мы имеем только KVM.

2. В остатке: KVM или KVM?


image

В случае, если вам все же необходимо перейти на «отечественный» гипервизор — выбор у вас, прямо скажем, невелик. Это будет KVM в той или иной обертке, с теми или иными доработками, но все равно это будет KVM. Хорошо это или плохо — вопрос другой, все равно альтернативы нет.

В случае, если условия не столь строги, то, как говорилось в предыдущей статье: «Нам надо привести показатели к установленным пределам. На деле это значит, что мы должны заменить существующие ОС на продукты из реестра Минкомсвязи и довести количество замененных операционных систем до 80%.… Итак, мы спокойно можем оставить кластер на Hyper-V, раз уж он у нас есть и нам он нравится...» (с) Так что перед нами стоит выбор: Microsoft Hyper-v или KVM. KVM может быть с «прикрученными» к нему средствами управления, но он все равно останется все тем же KVM.

Эти продукты сравнивались далеко не однократно, не двукратно, не трехкратно… Ну, вы поняли…

Про развертывание и настройку KVM так же писалось не однократно, не двукратно, не трехкратно и не четырехкратно… Словом, выпонели.

То же самое и про Microsoft Hyper-V..

Не вижу смысла повторяться и описывать эти системы, сравнивать и т.д. Можно, конечно, повыдергивать из статей ключевые моменты, но это будет неуважение к авторам, я считаю. Кому предстоит выбирать — тот прочтет не только это, но и еще гору информации, чтобы определиться.

Единственное отличие, на котором хочу заострить внимание — отказоустойчивая кластеризация. Если у Microsoft это встроено в ОС и функционал гипервизора, то в случае с KVM придется использовать стороннее ПО, которое должно входить в репозитории ОС. Та же связка Corosync+Pacemaker, например. (Эта связка есть почти у всех отечественных ОС… может, и у всех, но все 100% я проверять не стал.) Мануалы по настройке кластеризации так же имеются в избытке.

3. Вывод


Ну, как обычно, наши Кулибины не стали заморачиваться, взяли что было, прикрутили чуточку своего, и выдали «продукт», который по документам является отечественным, а на деле — OpenSource. Есть ли смысл тратить деньги из бюджета за «отдельные» системы виртуализации (читай не входящие в состав ОС)? Не думаю. Так как все равно вы получите тот же KVM, только за него еще нужно будет заплатить.

Таким образом, выбор замены для гипервизора сводится к тому, какие серверные ОС вы собираетесь закупать для Предприятия и эксплуатировать. Или же, как в моем случае, останетесь на том, что у вас уже есть (Hyper-V\ESXi\вписать_нужное).

Комментарии (35)


  1. HellKaim
    14.04.2019 12:12
    #20025670
    +1

    Все именно так.
    После ухода со сцены систем типа БЭСМ и иже весь "софт" стал "импортным", а точнее — основанным на иностранной кодовой базе.


    Я сильно сомневаюсь, что в текущих реалиях (рыночных/политических/ добавить нужное) возможно создать полностью "свой" стек нудных ПО.
    Это займет десятилетия и кроме отставания ни к чему не приведет.
    Я уже молчу про безопасность, так как в опенсорс худо-бедно, но выявляются и устраняются уязвимости, а как быть с продуктом, который закрыт, имеет малый "футпринт" и ограниченную по возможностям поддержку…
    Короче да, грусть.


  1. andy_p
    14.04.2019 13:14
    #20025830
    +2

    Выскажу, возможно, парадоксальную мысль — чем меньше импортозамещение, тем дальше мы от чебурнета.


    1. Chugumoto
      15.04.2019 12:52
      #20028748

      да парадокс то в том, что при этом импортозамещении используют импортные разработки, но т.к. они с открытым исходным кодом, то некоторые выдают его за свои…


  1. CyboMan
    14.04.2019 13:21
    #20025844

    Я дико извиняюсь, но в терминах нашей нормативки «отечественное ПО», это «ПО, ответственность за которое несет отечественное юридическое лицо». Под ответственностью понимается весь обьем требований гос-ва как к просто юрлицам, так и конкретно к производителям ПО, причем неважно — сертифицированное решение у вас по нормам (ФСТЭК, ФСБ, МО) или нет.

    Почему-то упорно забывают разницу между «отечественное ПО» и «отечественное ПО условно одобренное гос-вом». Второе это сертификация, попадание в реестр и т.п., что, да, без админ-рычагов и т.п. довольно трудно (хотя и такое бывает тоже). И если вы обязаны применять только такое, то ну вот такие требования, с этом придется жить.

    OSS который обслуживается на территории РФ некоторой компанией, с полной юридической ответственностью за него, вполне себе отечественное ПО, хоть код и написан по большей части (хотя тоже по разному бывает) не на территории РФ.

    Вопрос лицензий и степени ответственности оставляю за рамками, это все к юристам.

    Приходилось создавать решения на основе OSS, с «открытыми лицензиями». Вопрос у заказчиков был обычно «вы нормально готовить это умеете?», а не «а, у вас тоже bla и blu — так этож любой дурак использовать может». Нет, не любой может, как показала практика. И в закрытом софте такая же история — купить могут все, а вот применить нормально…


    1. Sap_ru
      14.04.2019 15:25
      #20026122

      Ага, щаз. На практике платишь дурные бабки за Сертифицированное ПО, получаешь древнее необновляемое дырявое говно. Зато увешанное сертификатами и лицензиями. А теперь, попробуй предъяви производителю за дыру. Тыкнут в морду сертификатом от ФСБ и утритесь.
      Всё импортозамещение — профанация, а все россказни про «ответственность» — ширма для насильственного впаривания говна нерыночными методами. Как и вообще вся система «сертификации» (без кавычек даже рука не поднимается написать) в РФ. Заноси бабло, получай бумажки.


      1. nikweter
        14.04.2019 17:40
        #20026418

        Подайте в суд при взломе. В последнее время, к моему удивлению, суда стали работать довольно адекватно. Во всяком случае, в отношении коммерческих договоров…


        1. cahbe
          15.04.2019 08:21
          #20027724

          Чем закончились суды с роскомпозором и баном айпи по маске 0.0.0.0 всего и вся?
          Подайте в суд на предприятие которое принадлежит сыну прокурора и удивитесь как быстро найдут репост в поддержку свержения власти и буквами использовавшимися при написании майнкампфа.


        1. Artemis86
          15.04.2019 08:44
          #20027770

          А с чего это они стали вдруг работать адекватно? Расположение планет поменялось в солнечной системе? Так завтра всё опять изменится. Насколько я знаю, ЕСПЧ завален исками от россиян.
          Про сертификаты тут выше сказали. Мне вот что непонятно-почему коммерсанты платят госструктурам за сертификацию ПО? Мне кажется что: 1) это должно делаться бесплатно, госструктуры и так получают зарплату из бюджета, это их работа; 2) госструктуры в свете законов об импортозамещении должны самостоятельно сертифицировать различное ПО и выкладывать на сайте список.
          Закон об импортозамещении издали. Но выходит что если коммерсанты не начнут околачивать пороги госструктур и сертифицировать ПО закон так и останется на бумаге?
          Что конкретно делает государство для импортозамещения кроме грозных окриков «тащить» и «не пущать»?


      1. ob1
        15.04.2019 11:45
        #20028386

        Вы написали не совсем правду. Или у нас разный опыт, т.к. с ФСБ у меня меньше всего опыта. Но в том же ФСТЭК заставляют закрывать «дыры» и выпускать «заплатки». В Минобороны тоже есть такие требования.

        Есть такой Банк данных угроз безопасности информации: bdu.fstec.ru/vul

        Если Вам предлагают «древнее необновляемое дырявое г.но», то перейдите на продукт другого производителя, т.к. альтернативы обычно есть. Ну и надо понимать, что чем выше класс защиты, тем менее обновляемое и более г.но будете получать. Это не только в «поганой рашке», но и в «солнечном пиндостане» такая ситуация.


  1. saag
    14.04.2019 13:33
    #20025876

    Импортозамещение импортом, уже не удивляет:-)


  1. zidex
    14.04.2019 15:39
    #20026156

    Что-то для ALTLinux ссылка ведет на не совсем свежий продукт.
    Есть новее: www.basealt.ru/products/alt-8-sp-sertifikat-fstehk-rossii/alt-8-sp-server


    1. Snow_Bars Автор
      14.04.2019 15:41
      #20026160

      Есть ALT Linux, а есть Альт Линукс. Первый — OpenSource продукт, второй есть в реестре Минкомсвязи, был «доработан» СПТ. Путать их не стоит, так как это разные ОСи.


  1. zidex
    14.04.2019 15:55
    #20026192

    Ну, я то вроде ничего не путаю. Написание латиницей или кириллицей мало на что влияет.
    СПТ это старая версия, сертифицированная ФСТЭК, в реестре под номером 9
    Новая версия — 8 СП, под номером 4305
    В реестре минкомсвязи есть позиции со следующими номерами, относящиеся к ALT:
    9 — reestr.digital.gov.ru/reestr/61248
    1541 — reestr.digital.gov.ru/reestr/87620
    1292 — reestr.digital.gov.ru/reestr/87364
    1912 — reestr.digital.gov.ru/reestr/89517
    4305 — reestr.digital.gov.ru/reestr/125868


    1. Snow_Bars Автор
      14.04.2019 16:06
      #20026228

      У них разные вендоры! Вот что я упустил.
      Исправил.


      1. zidex
        14.04.2019 17:33
        #20026408

        Но всё равно какие-то неравноценные сведения в обзоре.
        В ALT есть и QEMU, и libvirt, и VirtualBox.
        Хотя в рамках этой статьи это мало что меняет, т.к. диагноз один, в реестре минкомсвязи есть только KVM для production-виртуализации.


        1. Snow_Bars Автор
          14.04.2019 17:43
          #20026426

          мМм… Да, ничего не меняет, но можно ссылку на первоисточник? Мне в поиске не попалось. Конечный результат не изменится, но надо быть максимально объективным все же.


  1. zidex
    14.04.2019 17:48
    #20026438

    Основной источник это список пакетов в репозиториях ALT: packages.altlinux.org
    Sisyphus — нестабильный репозиторий для разработки
    p8 — текущий стабильный репо для выпуска дистрибутивов
    c8 — текущий стабильный репо для дистрибутивов с сертификацией


    1. Snow_Bars Автор
      14.04.2019 17:51
      #20026456

      Спасибо, полазаю и исправлюсь.


  1. vehicross
    15.04.2019 06:56
    #20027628

    Очередная статья, не имеющая отношения к практическому импортозамещению. Автор наковырял полторы «российские» платформы виртуализации, повздыхал, что везде KVM… и всё! А где же практическое импортозамещение? Я пока увидел практическое нытьё, а вот импортозамещение — более чем теоретическое...


    1. HellKaim
      15.04.2019 11:10
      #20028214

      Не согласен.
      Автор как раз показал что можно и нужно, если требуется " сертифицированное".


      1. vehicross
        15.04.2019 11:57
        #20028460

        Не согласен. Автор показал «что можно», если хочется пойти по пути автора — купить какие-то дистрибутивы и положить на полку. И не сертифицированные, а перечисленные в реестре Минкомсвязи (там не всё сертифицированное).
        А вот «что нужно» автор не показал от слова совсем. Вот если бы было какое-то сравнение функционала, хотя бы из спецификаций взятого, тогда была бы хоть какая-то ценность. А так статья в духе «глядите-ка, в реестре и средства виртуализации есть».
        Навскидку, даже не залезая в реестр, могу перечислить еще три платформы, которые в статье не упомянуты: РУСТЭК, Горизонт-ВС, Veil.
        Где сравнение хоть чего-нибудь с чем-нибудь? Пока похоже на «не пробуйте эти кактусы, они подозрительно похожи на аризонские, сибирских в этом списке нет». Но когда кактусы подадут к столу, выяснится, что кушать их пока никто не умеет...


        1. Snow_Bars Автор
          15.04.2019 17:38
          #20030036

          Какое сравнение функционала может быть в рамках одной и той же системы? Или вы предлагаете мне KVM с Hyper-V сравнивать? Так я привел статьи со сравнением. Везде в основе KVM, он везде одинаков и ничем не отличается, только обвязкой в виде системы управления. Какую ни выбери — функционал не изменится, потому что управлять скорость машиныот цвета краски не зависит.


  1. Cryptosoft
    15.04.2019 07:00
    #20027634
    -1

    Не судите по обёртке, уважаемый. Гипервизор QP VMM написан полностью заново. Программа управления виртуальными машинами — это не гипервизор, а всего-навсего оболочка. Она может выглядеть как угодно.


    1. Snow_Bars Автор
      15.04.2019 07:01
      #20027636

      Это гипервизор 2го типа… Как бы он ни выглядел — он не годится ни для чего, кроме домашнего использования.


      1. Cryptosoft
        15.04.2019 07:08
        #20027642

        Ну начнем с того, что разделение гипервизоров на типы — штука условная. QP VMM встроен напрямую в ядро операционной системы, что позволяет управлять компьютером в полном объеме. Поэтому можно считать его гипервизором полуторного типа, если можно так выразиться.


        1. Snow_Bars Автор
          15.04.2019 16:14
          #20029678

          Нельзя считать гипервизор 1.5м типом. Он либо отдает гостевой системе аппаратные ресурсы, либо эмулирует их. Ваш гипервизор их эмулирует. Не важно, куда он втроен и под или нед чем работает. Важно, как он отдает ресурсы гостевым ОС.
          И если вы втираете мне такую чушь, то я никогда и ни при каких обстоятельствах не буду испоьлзовать софт, написанный вашей конторой.


          1. Cryptosoft
            15.04.2019 16:50
            #20029824
            -1

            Ну, хорошо уже то, что вы согласились с тем фактом, что мы сами разрабатываем свой софт. А по поводу утверждения, что никогда не будете использовать наш софт, то хочется вспомнить классика — «никогда не говори никогда».


          1. Cryptosoft
            15.04.2019 19:59
            #20030480

            В настоящий момент QP VMM поддерживает VT-d. Через некоторое время будет поддерживать другие виды SR-IOV. Так что мы не всё эмулируем.


      1. Cryptosoft
        15.04.2019 07:38
        #20027668
        +1

        Кстати, ваша организация получала наш гипервизор на тестирование? Или же вы строите доказательную базу на основе снимков экрана с нашего сайта?


  1. Alex023
    15.04.2019 08:32
    #20027746

    Как обстоят дела с аппаратной виртуализацией в CPU Эльбрус? На x86 сейчас де-факто есть в каждом десктопном проце, кроме днища процессоростроения.


    1. computerix
      15.04.2019 10:39
      #20028122

      Судя по их сайту, есть.


      1. HellKaim
        15.04.2019 11:15
        #20028242

        Оно там есть, но не очень ясно — зачем.
        Поясню: платформа Эльбруса создана не с целью заменить существующие сервера, а, скорее, дать аппаратную базу для решения прикладных, оптимизированных под конкретные аппаратные средства, задач.


        Таким образом, если мы говорим о работе приложений, то скорее нужна контейнеризация, чем виртуализация.


        Было много (даже тут) написано по поводу Эльбруса. Это не замена х86 в прямом смысле, по крайней мере на текущем этапе.


        1. computerix
          15.04.2019 12:01
          #20028474

          Ну как я понимаю целью всё-таки является конкуренция с x86.


          1. HellKaim
            15.04.2019 12:09
            #20028506

            Нет, такой цели ни кто при разработке платформы не ставил — ее создали в умах «диванные аналитики».
            Задача была крайне простой — дать аппаратную базу полностью разработанную в РФ для нужд РФ. В том смысле что разработчики, документация и потребители говорят на одном языке, физически доступны и платформа 100% сертифицируется под нужды заказчика.

            То, что Эльбрус сравнивают с х86, так это по тому, что больше сравнить не с чем. Так как сравнение «не с х86» для ширмасс не понятно, сложно и ведет к зеванию.

            А то, что Эльбрус может заменять х86 — так это его «побочное» свойство, позволяющее использовать единую аппаратную базу для поставки заказчику. И, кстати, будучи оптимизированным, код привычных серверных приложений — вполне себе работает. Но там никогда не предполагалось, в отличие от печально изместной Niagara by Sun Mic. широкое использование во благо неопределенного круга потребителей.

            ЗЫ. Это я все к чему — если случится чудо, и Эльбрус так и попалет в широкие массы, и туда подтянется достаточное сообщество разработчиков, то шанс на нормальные «виртуализации» и «вебы» там появится. Сей час же это экзотическая платформа, которых, к слову, полно у того же Intel, которую, почему-то, пытаются стравнивать с машинами широкого применения и удивляются, что «оно тупит». =)


  1. swshoo
    17.04.2019 13:22
    #20037832

    После «импортозамещения» в электронике, меня уже трудно чем то удивить. Но Вам это удалось -)