VDI-решение СКАЛА-Р Виртуальное Рабочее Место (ВРМ): обзор программного комплекса
23.10.2020
В статье, которую для TAdviser подготовил эксперт продуктовой линейки СКАЛА-Р Виктор Татарой, рассказывается о растущей популярности VDI-решений в России, особенностях внедрения, возможностях текущей версии продукта СКАЛА-Р ВРМ 1.80.

Безопасность и централизация управления

Еще несколько лет назад считалось, что построение инфраструктуры VDI-решения — слишком сложный и затратный процесс, доступный и экономически обоснованный лишь для крупных корпораций. Однако, мир не стоит на месте: технологии стремительно развиваются, твердотельные накопители дешевеют, поэтому VDI-решения получают все большую популярность и признание на рынке. В том числе и на российском.

Пандемия COVID-19 дополнительно подхлестнула спрос на решения для виртуализации рабочих мест, ведь компаниям пришлось экстренно переводить на «удаленку» до 90% штата. Заказчики стали активнее интересоваться технологиями организации удаленной работы, которые бы обеспечили безопасность и сохранность корпоративных данных, комфортную работу и эффективное взаимодействие распределенных команд. Несмотря на достаточно высокую стоимость VDI-решений, объем их внедрений во всем мире заметно возрос. И это не случайно, ведь главное преимущество ВРМ — безопасность. Второй не менее значимый плюс: централизованное обслуживание тысячи рабочих станций может осуществлять всего один системный администратор.

Среди основных лидеров сегмента VDI на Западе можно выделить CitrixVMwareMicrosoft. Что же касается нашей страны, то уже сегодня на рынке есть продукты российской разработки, которые включены в реестр отечественного ПО. Одним из таких решений является СКАЛА-Р ВРМ.

VDI-решение СКАЛА-Р Виртуальное Рабочее Место (ВРМ) — это программный комплекс для виртуализации рабочих мест пользователей, который снижает стоимость их обслуживания за счет централизации управления, помогает повысить уровень информационной безопасности, сокращает время подготовки новых рабочих мест, обеспечивает плавный переход на использование отечественных ОС в рамках программы по импортозамещению. Решение позволяет организовать виртуальные рабочие места, функционирующие на серверных мощностях в контролируемом периметре центра обработки данных. Подключаться к ним можно с защищенного устройства доступа на отечественной ОС.

Целевые потребители СКАЛА-Р ВРМ — средние и крупные промышленные предприятия, государственные и коммерческие организации, госкорпорации, региональные и федеральные ведомства и органы власти. Релизы СКАЛА-Р ВРМ выходят каждые три месяца.

СКАЛА-Р ВРМ — промышленное решение, работоспособность которого подтверждена нагрузочными тестами. Возможности программного комплекса позволяют успешно поддерживать работоспособность при одновременном подключении 350 000 пользователей. Реальный опыт промышленного применения СКАЛА-Р ВРМ показал, что при аварии на линии и одновременном обрыве 16 000 соединений, переподключить всех пользователей к функционалу виртуальных рабочих мест, используя другой канал, можно всего за 2,5 минуты.

Архитектура решения

Рассмотрим основные компоненты СКАЛА-Р ВРМ и их функции подробнее. Стоит отдельно отметить, что для всех компонентов VDI-решения характерна общая функция — контроль целостности. Проверка производится во время запуска компонента, а затем — с определенной периодичностью. Время проверки можно настраивать самостоятельно. Если целостность нарушена, компонент прекратит работу.

Архитектура VDI-решения
Рис. 1. Архитектура VDI-решения СКАЛА-Р ВРМ

На текущий момент СКАЛА-Р ВРМ состоит из следующих компонентов.

Клиент ВРМ — клиентское ПО, которое устанавливается на устройство доступа пользователя. Представляет собой графический интерфейс взаимодействия конечного пользователя с инфраструктурой VDI.

На сегодняшний день СКАЛА-Р ВРМ поддерживает следующие операционные системы и устройства:

Виртуальный рабочий стол:

Windows: 7 SP1, 8.1, 10, Server 2012R2, Server 2016Server 2019

LinuxАльт Линукс 7.0.5 СПТ, Альт 8, Альт 8 СП, Альт 9, Astra Linux CEAstra Linux SE, в разработке поддержка РЕД ОС

Терминальный сервер:

Windows: Server 2012R2, Server 2016, Server 2019

Linux: Альт Линукс 7.0.5 СПТ, Альт 8, Альт 8 СП, Astra Linux CE, Astra Linux SE, в разработке поддержка РЕД ОС

Устройства доступа:

Тонкие Клиенты с централизованным управлением

Список поддерживаемых ОС и устройств регулярно пополняется в зависимости от потребностей партнеров и заказчиков. Что касается каталогов пользователей, то сегодня поддерживается интеграция с Active Directory, OpenLDAP, Samba DC, и, начиная с релиза 1.80, — FreeIPA.

В текущей версии решение СКАЛА-Р ВРМ поддерживает все распространенные в России смарт-картыРутокенESMARTJaCarta, eToken.

Протокол доставки виртуального рабочего стола — исполнительный механизм, доставляющий изображение на устройство доступа, а команды пользователя — в виртуальный рабочий стол в ЦОДе. Протокол доставки виртуального рабочего стола настраивается при помощи Агента ВРМ.

Диспетчер подключений — компонент, терминирующий на себе подключения пользователей. Это прокси, который передает управляющий трафик брокер-менеджерам, а трафик протокола доставки рабочего стола в виртуальный рабочий стол. Размещать его стоит в ДМЗ как пограничный компонент. На Диспетчерах подключений настраивается политика аутентификации.

Брокер-менеджер — компонент, который взаимодействует со всеми остальными компонентами СКАЛА-Р ВРМ и управляет ими.

Агент ВРМ — ключевой компонент по управлению и подготовке виртуального рабочего стола. Устанавливается на этапе подготовки шаблона, после чего может обновляться из веб-панели администратора. Именно этот компонент критически необходим для автоматизации подготовки рабочего стола. Без него обеспечить адекватное управление: ввод в домен, настройку firewall, настройку разрешений на проброс устройств и т.д. — попросту невозможно. Реализация Агента ВРМ позволяет считать СКАЛА-Р ВРМ промышленным VDI-решением.

СКАЛА-Р Управление — система управления платформой виртуализации.

Агент СКАЛА-Р Управление — компонент на хосте виртуализации, который транслирует команды СКАЛА-Р Управление гипервизору и собирает данные с хоста.

Узнать о каждом компоненте подробнее можно из статьи.

Говоря о функциональной насыщенности решения, стоит отметить, что продукт активно развивается с 2016 года. На момент начала разработки СКАЛА-Р ВРМ у команды продукта уже был опыт создания подобных решений совместно с компанией Parallels. Это позволило лучше понять MVP VDI-решения для пользователей и определить, какие функции и возможности востребованы у корпоративных и государственных заказчиков в первую очередь.

Поэтому разработка подчинена следующему принципу: на начальном этапе запускается минимальный функционал, который будет приносить пользу конечным пользователям. На следующих стадиях он постепенно развивается «вширь»: в продукт добавляются функции с учетом обратной связи от заказчика. Изначально акцент делали на публикации виртуальных рабочих столов, то есть полноценных виртуальных машин, и автоматизации их жизненного цикла. Затем был реализован большой пласт функциональности, относящейся к информационной безопасности: парольные политики, авторизация устройств доступа, возможность авторизации пользователя по сертификату и многое другое.

Безопасность VDI-решения СКАЛА-Р ВРМ

Важным преимуществом виртуализации рабочих мест является безопасность, что особенно актуально для регионально распределенных команд, а также для компаний, сотрудники которых работают удаленно.

Как известно, в любом проверенном западном решении есть Шлюз рабочего стола. Суть этого компонента заключается в том, что он служит так называемым «защитным барьером» между пользователем и инфраструктурой виртуальных рабочих мест (VDI). Пользователь подключается именно к этому пограничному компоненту. Далее Шлюз рабочего стола перенаправляет все запросы пользователя либо к брокеру, либо непосредственно в виртуальный рабочий стол.

В продукте СКАЛА-Р ВРМ реализован такой компонент. Он называется «Диспетчер подключений». В первую очередь он решает задачу ограничения прямого доступа пользователя к управляющим компонентам VDI-решения и к виртуальным рабочим столам. Это значительно повышает безопасность решения: пользователь никогда не подключится напрямую в рабочий стол — процесс контролируется компонентами VDI-решения.

Диспетчер подключений

Рис. 2. Диспетчер подключений

Кроме этого, внутри виртуального рабочего стола реализован ряд функций для предотвращения несанкционированного доступа. Перед подключением каждого пользователя Агент виртуального рабочего стола настраивает firewall, открывая определенные порты для получения соединения с конкретным диспетчером подключения. Также он добавляет сотрудников в группы пользователей, которым доступно удаленное подключение. Если пользователь попробует подключиться напрямую, то не сможет сделать этого.

Кроме того, Агент внутри виртуального рабочего стола реализует функцию выполнения задач администратора. Таких как: принудительное отключение пользователя; отправка уведомлений на рабочий стол; подключение администратора в сессию пользователя для оказания технической поддержки.

Наличие такого агента позволяет утверждать, что VDI-решение СКАЛА-Р является безопасным не только номинально, но и по факту.

Авторизация по сертификатам — еще один плюс к информационной безопасности VDI-решения СКАЛА-Р ВРМ. Процесс авторизации происходит следующим образом: пользователь запускает VDI-клиент, вставляет смарт-карту, вводит PIN-код, выбирает сертификат, при помощи которого он будет авторизовываться.

Также в СКАЛА-Р ВРМ реализована защита от подбора пароля при помощи блокировки как на уровне логина, так и на уровне устройства пользователя. После неуспешных попыток авторизации с использованием одного имени пользователя, учетная запись блокируется. При попытках перебора имен учетной записи и паролей, в конечном итоге блокируется устройство доступа, с которого осуществляются попытки авторизации.

Реализация терминального доступа

После летнего релиза 2020 года СКАЛА-Р ВРМ не привязана к «родной» платформе виртуализации СКАЛА-Р и поддерживает самые распространенные — VMware и OpenStack. В текущей версии появился режим работы с терминальными серверами Windows и Linux, который позволяет совместить два различных сценария доставки рабочего стола: VDI и терминальный сервер.

Поддержка_VMware.jpg
Рис. 3. Поддержка VMware и OpenStack

Это значительно расширяет функциональность VDI-решения СКАЛА-Р ВРМ и позволяет администраторам создавать шаблоны, организовывать массовое развертывание пулов терминальных серверов, задавать распределение пользователей по терминальным серверам в пуле, управлять сессиями пользователей и т.д. Создавать пулы терминальных серверов можно как на платформе виртуализации СКАЛА-Р, так и на платформах VMware vSphere и OpenStack.

Подходы_к_виртуализации_рабочих_мест.jpg
Рис. 4. Подходы к виртуализации рабочих мест

Поддержка терминальных серверов дает дополнительный подход к организации рабочих мест по отношению к уже имеющейся функциональности пулов рабочих столов в СКАЛА-Р ВРМ. Администратор может использовать преимущества терминальных серверов, когда требуется организовать работу небольшого количества типовых пользователей или большого количества пользователей с ограниченным набором приложений, а также минимизировать расходы на оборудование и инфраструктуру, обеспечив более плотное размещение пользователей на доступных ресурсах. С точки зрения пользователя нет различия, подключился ли он к терминальному доступу или к виртуальной машине, ведь в каждом из вариантов он получает полноценный рабочий стол.

Доступны также и инструменты автоматизации, которые создают эти терминальные серверы из шаблона. Распределение пользователей по терминальным серверам происходит автоматически. Автоматизированы отдельные рутинные операции. Публикуются полноценные терминальные сессии.

Если сравнивать терминальный сервер с виртуальным рабочим столом, то здесь для нескольких пользователей устанавливается одна операционная система. Это значит, что на одно и то же количество сотрудников организации объем потребляемой дисковой емкости окажется меньше, а мощности будут расходоваться рационально.

При этом у терминальных серверов есть и свои особенности. При данном способе подключения нельзя регулировать потребление ресурсов: одному пользователю может достаться больший объем оперативной памяти, чем другому. Поэтому терминальные сервера подходят не для всех типов задач.

В ближайших планах команды СКАЛА-Р — реализовать доставку приложений в рабочий стол. Это позволит пользователям одновременно работать с ПО разных версий, несовместимых между собой, или с приложениями из разных контуров безопасности, не тратя время на переключение между полноценными рабочими столами.

Удобный и понятный интерфейс СКАЛА-Р ВРМ

В СКАЛА-Р ВРМ реализовано множество функций, призванных упростить жизнь администраторам системы. Так, например, в текущей версии есть функция отправки диагностики рабочего стола с VDI-клиента. При помощи интерфейса VDI-клиента пользователь может отправить диагностические данные администратору, если не может подключиться к рабочему столу или наблюдает какие-либо сбои в процессах. В свою очередь, администратор VDI-системы может извлечь эти данные, изучить логи и получить всю необходимую информацию для устранения сбоев в работе.

Отдельного внимания заслуживает интерфейс VDI-решения. Он понятен и удобен в использовании, а рутинные действия администраторов автоматизированы по максимуму. Действия из графической консоли можно производить сразу для группы виртуальных машин.

Интерфейс.jpg

Рис. 5. В контекстном меню можно объединять виртуальные среды для запуска какого-либо действия

Также в интерфейсе СКАЛА-Р ВРМ предусмотрены удобные инструменты фильтрации и поиска объектов.

Интерфейс_1.jpg

Рис. 6. Группировка характеристик элементов виртуальных машин для быстрого поиска

Подробнее о том, как эволюционировал интерфейс VDI-решения, можно прочитать тут.


Заключение

Внедрение СКАЛА-Р ВРМ в инфраструктуру предприятия помогает повысить уровень информационной безопасности и снизить стоимость обслуживания рабочих мест сотрудников за счет централизации управления, сократить время подготовки новых рабочих мест, обеспечить плавный переход на использование отечественных ОС в рамках программы по импортозамещению.

Работоспособность СКАЛА-Р ВРМ подтверждена нагрузочными тестами. Возможности программного комплекса позволяют успешно поддерживать работоспособность при одновременном подключении 350 000 пользователей.

СКАЛА-Р ВРМ — полностью российская разработка, при этом компоненты решения не уступают по качеству мировым производителям. Продукт соответствует ключевым требованиям безопасности и в настоящее время проходит сертификацию во ФСТЭК.

Возможности решения позволяют организовать множество различных сценариев консолидации рабочих мест, комбинируя публикацию рабочих столов и терминальных серверов. СКАЛА-Р Виртуальное Рабочее Место поддерживает управление рабочими столами на следующих платформах виртуализации: гиперконвергентной инфраструктуре СКАЛА-Р; инфраструктуре VMware начиная с версии 6.7; инфраструктуре Openstack Train. Возможности решения по управлению рабочими столами, сессиями пользователей и другими аспектами VDI-инфраструктуры одинаковы на всех платформах виртуализации. Это позволяет заказчику при необходимости организовать плавный переход на российские платформы и отечественные операционные системы в рамках импортозамещения.

Благодаря поддержке платформ виртуализации VMware и OpenStack, решение СКАЛА-Р ВРМ может быть внедрено в существующую инфраструктуру без необходимости поставки дополнительного оборудования. Поддержка нескольких платформ виртуализации позволяет заказчику сделать осознанный выбор при масштабировании инфраструктуры VDI.


Оригинал статьи представлен на tadviser.ru