Блог компании ВТБ

Как и зачем ВТБ перевел 14 000 рабочих мест на VDI

Традиционно внедрение VDI как способа доступа к консолидированным ресурсам связано со значительными финансовыми затратами на старте. Но наш кейс отлично демонстрирует причины, по которым VDI набирает популярность. С учетом накопленного опыта, для нас это было единственное оптимальное решение, позволяющее перейти к управляемой стандартизованной инфраструктуре, которая позволяет снизить затраты на ее модернизацию в будущем.

Предпосылки
За почти 25 лет инфраструктура банка ВТБ превратилась в сложноуправляемое сочетание разрозненных систем. Исторически IT-системы филиалов развивались самостоятельно: в каждом был организован собственный ЦОД, развернуты серверные решения (Exchange и другие) со своими лицензиями, политиками и стандартами безопасности. Понятно, что управлять столь разрозненной экосистемой непросто. В каждом филиале нужна была своя команда сопровождения со специалистами узкого профиля, а не просто эникейщиками.
Уже некоторое время заметен общемировой тренд на консолидацию и оптимизацию ресурсов. Это позволяет упростить процессы, что ведет к снижению сложности инфраструктуры, повышению отказоустойчивости и контролируемости в контексте безопасности, в том числе и с точки зрения утечки личных данных при постоянной смене линейного персонала. Этот тренд заметен и в крупных банках, поэтому неудивительно, что аналогичные цели ставило перед собой IT-подразделение ВТБ.
Но, как это обычно бывает, сложность обслуживания текущей системы – не единственный фактор, который пришлось учитывать, планируя развитие. Для нас очень важным было усиление мер безопасности (и значительных расходов, которых оно требовало), а также обновление технологически и морально устаревшего парка ПК на рабочих местах пользователей.
Оптимальным для нас оказался перевод пользователей на VDI. Фактически это был единственный подход, который позволил бы нам быстро и надежно обеспечить доступ к консолидированной инфраструктуре для филиалов, распределенных по всей стране. Другие варианты доступа существенно ограничивали бы производительность отдельных приложений (особенно самописных решений с частыми обращениями к серверу) при попытке работы через WAN-каналы с их лимитами по пропускной способности и большим временем отклика. VDI же обходится без обмена объемными данными, оставляет всю логику на сервере и передает на тонкий клиент лишь изображение с рабочего стола. Это позволяет равномерно распределить нагрузку на канал, избегая пиков при записи и чтении данных. Дополнительный плюс VDI в том, что для глаз конечного пользователя это решение намного проще, нежели VPN или другие решения для доступа к консолидированным ресурсам.
План по перспективам развития IT-инфраструктуры банка в регионах
Поэтому, несмотря на значительные затраты на само внедрение, мы решились на этот проект. В итоге он принес нам упрощение инфраструктуры и процессов управления ее компонентами, оптимизацию ресурсов и сокращение издержек в ходе обслуживания. Мы получили современную и легко масштабируемую инфраструктуру. В конечном счете это позволит нам улучшить сервис для клиентов. Но обо всем по порядку.
О деталях реализации
Проект начался в 2015 году, когда происходило объединение с Банком Москвы. Изначально мы не планировали вести оба проекта параллельно, однако в итоге перевод пользователей на VDI помог ускорить сложный процесс интеграции двух IT-инфраструктур «с историей».
Реализацией проекта занимались специалисты компании «Инфосистемы Джет».
Пилот
До начала проекта федеральных масштабов в одном из регионов – в Воронеже – был развернут пилотный проект на 300 рабочих мест. Несмотря на то, что «Пилот» имел архитектуру, немного отличную от целевой, он давал вводную информацию об утилизации каналов и других особенностях VDI применительно к нашему банку и полностью подтвердил жизнеспособность идеи в масштабах всей инфраструктуры. И мы приступили к реализации.
Архитектура решения
После анализа потребностей банка коллеги из «Инфосистем Джет» разработали «блочную» архитектуру решения.
Блок (или POD) обслуживает 2000 пользователей – сотрудников банка. Технически это два кластера, каждый из которых состоит из 12 серверов. Реализовано семь однотипных блоков – для 14000 пользователей. При этом шесть из них равномерно распределены по двум площадкам. Последний, седьмой блок, построен как Metro-storage cluster (территориально-распределенная инсталляция), при котором половина ресурсов находится на одной площадке, а половина – на другой. Таким образом блок способен перенести как локальные единичные отказы компонентов на одной из площадок, так и выход из строя площадки целиком.
Все служебные виртуальные машины (СУБД, брокеры подключения, серверы антивирусной защиты и т.д.) размещаются в отдельном управляющем блоке, который также развернут в виде территориально-распределенной инсталляции.
Инструменты защиты стоят на отдельной виртуальной машине на каждом сервере, то есть перехват угроз организован еще на уровне виртуальных машин.
Железо
Аппаратная часть решения – серверное оборудование Huawei, которое при сходных показателях надежности и удобства администрирования оказалось дешевле серверов других зарубежных производителей.
Выбор остановили на типовой конфигурации сервера Huawei RH1288 V3.
Помимо Huawei, мы использовали четыре массива Hitachi VSP G600 (с All-Flash накопителями формата FMD для хранения виртуальных машин и SAS жесткими дисками для хранения пользовательской информации) с синхронной двусторонней репликацией данных на основе технологии Hitachi GAD.
Сетевая инфраструктура
Сеть Access-уровня реализована на базе Cisco Nexus 5672 10 Гбит.
При слиянии IT-инфраструктур двух банков (ВТБ и Банка Москвы) пришлось решать один принципиальный вопрос – частично пересекающееся адресные пространства. Именно он не позволял быстро объединить сетевые сегменты.
Кроме того, архитектура сети банка включает большое число L2-коммутаторов, на которых организовано множество сетевых сегментов, разделяемых при помощи VLAN. Добавление большого количества новых сетевых устройств – физических серверов и виртуальных машин – привело к переполнению таблиц MAC-адресов на коммутаторах. Для решения проблемы потребовалось оперативно обновлять сетевые коммутаторы.
Одним из вариантов радикального решения этой проблемы является развертывание программно-конфигурируемых сетей, позволяющих уйти от классических механизмов сегментации сети средствами VLAN в пользу overlay-сетей на базе VXLAN. Это помогает уменьшить наполняемость таблиц MAC-адресов на коммутаторах. И мы планируем учитывать это в дальнейших планах развития сети.
При конфигурировании сети пришлось столкнуться и с необъяснимыми на первый взгляд сложностями. Например, ровно в 15 часов по местному времени в Хабаровском регионе на 15 минут зависали рабочие столы. В поисках ошибки была перерыта вся инфраструктура, в которой не нашли ничего подозрительного. В итоге оказалось, что в 3 часа дня одно из устройств банковского филиала, телефонная станция, начинала рассылать широковещательные запросы по всей сети. Бродкаст-шторм подвешивал всю сеть внутри филиала.
В целом проект реорганизации IT-инфраструктуры пришелся на переходный период эволюции внешних каналов связи в банке. Ранее для организаций нормой считались 5 Мбит/с. Теперь же никого не удивишь скоростями в 100 Мбит/с и даже 1 Гб/с.
Однако у нас оставалась доля старых каналов, под которые пришлось оптимизировать передачу больших объемов данных. И это понятно – телекоммуникации довольно часто не успевают за развитием проектов.
Виртуальная инфраструктура
Виртуальная инфраструктура была построена на базе VMware vSphere. На момент начала проекта платформа vSphere также была развернута и активно использовалась в банке ВТБ для обеспечения работы сервисов с Intel x86 архитектурой. VMware vSphere была выбрана благодаря сочетанию надежности, производительности, масштабируемости, прозрачной интеграции с инфраструктурными системами банка, а также наличию большого числа успешных внедрений VDI-инфраструктур в России и за рубежом. Для снижения затрат на лицензирование использовалась редакция vSphere Desktop (по функциональным возможностям является аналогом vSphere Enterprise Plus), предназначенная специально для развертывания в VDI-средах.
Структурная схема VDI-инфраструктуры
Для управления, обслуживания и организации подключения к виртуальным десктопам в VDI-инфраструктуре развернуты следующие компоненты Citrix XenDesktop:
  • четыре брокера Citrix Desktop Delivery Controller;
  • четыре портала Citriх StoreFront;
  • четыре устройства Citrix NetScaler SDX 11515, на которых созданы виртуальные контексты ADC для публикации, организации удаленных подключений и балансирования сервисов.
Поскольку виртуальная инфраструктура фактически была равномерно распределена между двумя площадками, то для организации единой точки подключения пользователей на устройствах Citrix NetScaler был настроен режим глобальной балансировки (Global Server Load Balancing). Использование режима Access Gateway на NetScaler позволило реализовать безопасное удаленное подключение пользователей Банка Москвы к инфраструктуре ВТБ.
Одной из важных задач при проектировании VDI была проработка решения по централизованному развертыванию, доставке и обновлению прикладного ПО на виртуальных рабочих станциях. Подобная система существовала в банке и до VDI, но необходимо было обеспечить ее работу в новой среде.
В итоге в качестве средства централизованного развертывания нами используется Citrix Machine Creation Services, являющийся одним из компонентов брокера Citrix XenDesktop. MCS обеспечивает централизованное развертывание виртуальных рабочих станций из единого образа с предустановленной ОС и базовым набором приложений. При этом при использовании MCS можно не копировать ВМ целиком, а создавать дельта-копии, что позволяет существенно снизить требования к дисковой подсистеме.
В силу лицензионных и технических причин в эталонный образ можно было установить далеко не все ПО. Логично возник вопрос: какими средствами устанавливать ПО после развертывания ВМ? Помимо стандартных средств – через групповые политики или вручную администратором – использовались и специализированные инструменты – собственное программное решение банка, позволяющее выполнять установку и обновление различных приложений на рабочих местах пользователей. Для сохранения изменений, сделанных в виртуальной рабочей станции, использовались так называемые персональные диски (Personal vDisk) – специальная технология, доступная в Citrix XenDesktop.
Были протестированы и альтернативные способы доставки и сохранения изменений, включая инструменты виртуализации приложений (вроде VMware ThinApp и Microsoft App-V), однако в ходе тестирования мы обнаружили, что они поддерживают «упаковку» далеко не всех приложений, в особенности, если используются COM+ и DCOM компоненты. Поэтому Citrix MCS в связке с Personal vDisk стал типовым решением для создания виртуальных рабочих станций.
Тонкие клиенты
Из тонких клиентов мы выбрали Dell Wyse 5010. Именно на выбор модели тонкого клиента было затрачено, пожалуй, больше всего времени. Требовалось протестировать их производительность, проверить работу с десятками различных периферийных устройств: принтерами, сканерами, USB-накопителями, электронными ключами и считывателями смарт-карт, оценить удобство централизованной настройки и управления.
Помимо совместимости с перечисленными устройствами, у ТК Dell Wyse 5010 было еще одно немаловажное преимущество: компактный размер образа – всего 20 МБ (в отличие от многогигабайтных образов для ОС Windows Embedded), что позволило оперативно устанавливать новые версии ОС на клиентские устройства.
На рабочих местах 14 тысяч пользователей установлен Citrix XenDesktop в редакции Enterprise. Выбор именно решения от Citrix обосновывался следующими соображениями. Во-первых, в банке ВТБ давно и успешно эксплуатировались службы терминального доступа именно этого производителя, пользователи привыкли к работе с программным клиентом Citrix Receiver, и им не пришлось долго адаптироваться к виртуальным рабочим станциям. Во-вторых, с экономической точки зрения конвертация лицензий Citrix XenApp в лицензии XenDesktop позволила сократить одну из основных статей расходов на VDI.
В качестве средства антивирусной защиты был выбран Kaspersky Endpoint Security, который уже эксплуатировался банком ВТБ для защиты рабочих мест. В проекте было решено использовать версию, оптимизированную для защиты VDI-инфраструктур – Kaspersky Security для виртуальных сред с легким агентом.
Надо отметить, что VDI подразумевает множество нюансов даже в работе с базовыми образами. Например, ряд пользователей, активно работающих с Excel, выражали недовольство по поводу скорости обработки больших электронных таблиц. В нашем случае на каждое рабочее место было выделено по два виртуальных ядра, В качестве одного из вариантов решения проблемы предлагалось увеличить количество выделенных ядер до шести. Однако все обошлось меньшими жертвами. Оказалось, что Excel и Word поддерживают аппаратное ускорение графики на GPU, и оно включено по умолчанию. Так как в VDI использовались виртуальные графические адаптеры, для эмуляции аппаратного ускорения использовались ресурсы ЦПУ, и его загрузка получалась запредельной. Достаточно было отключить аппаратное ускорение графики в настройках Excel, и загрузка виртуальных рабочих станций вернулась в норму.
Еще один пример, также связанный с офисным пакетом, – оптимизация прикладного ПО. Приложения встроенного Office 2010 открывали огромную по размерам приветственную заставку, что увеличивало утилизацию канала до 3 Мбит/с на пользователя. Всего одна картинка убивала всю скорость! Отключив заставку, ситуацию исправили.
Пока остаются вопросы к периферии на пользовательских станциях. Она не всегда работает корректно в рамках идеологии VDI. Самая проблемная задача – сканирование с высоким разрешением. С точки зрения передачи данных в канал этот процесс оптимизируется слабо. Особенно на первых порах модернизации, когда приходилось иметь дело со скоростями доступа порядка 5 Мбит/с, небольшая задержка на сканировании «ломала» KPI сотрудникам, ответственным, к примеру, за кредиты. Каждый сотрудник выполняет нормативы по скорости услуг. Один менеджер может оформлять кредит 30 минут, другой 45: обрабатывать заявку, работать с документами, выносить вердикт о кредитовании. У банка на этот счет предусмотрены свои нормативы, и за скорость работы сотрудники должны отчитываться руководству. Доступ к VDI по медленным каналам приводил к ухудшению нормативов.
Решение было очевидно – оперативное увеличение пропускной способности выделенного WAN-канала, после которого все вернулось в норму.
Результаты внедрения
В рамках проекта к концу 2017 года была создана, настроена и передана в работу инфраструктура виртуальных рабочих станций, которая позволила начать консолидацию IT-инфраструктуры ВТБ. В частности, в большинстве крупных региональных филиалов (которые могут покрывать несколько региональных отделений) уже выведены из эксплуатации локальные почтовые серверы на базе Microsoft Exchange, а это высвобожденные аппаратные ресурсы, лицензии и нагрузка на системных администраторов. Таким образом, VDI обеспечила оптимизацию ресурсов, сотрудников и TCO (total cost ownership – стоимости владения) для наших задач с учетом важных для нас отказоустойчивости и безопасности.
VDI обеспечила гибкий доступ к собственным системам на площадках Банка Москвы. В предыдущей архитектуре IT-систем такой доступ был бы невозможен из-за межсетевых экранов, файерволов и отсутствия поддержки NAT у ряда legacy-приложений. По сути это отличный инструмент для сравнительно быстрого «поглощения» инфраструктуры другого банка.
За счет централизации повысилась надежность хранения данных банка, в том числе личных данных пользователей. Упростилось резервное копирование. Теперь нет фрагментированности, при которой часть данных хранится на сервере в удаленном офисе. Раньше ошибка локального персонала в таком филиале могла привести к потере данных. Теперь же все контролируется из головного офиса. Корректно настроено резервирование, данные доступны с любых рабочих мест.
Консолидация сама по себе повысила безопасность систем. Плюс в будущем она позволит с меньшими затратами усиливать безопасность инфраструктуры.
Была унифицирована конечная среда у пользователей – это упрощает обучение линейного персонала при приеме на работу. На всех 14 тысячах рабочих мест были применены одни и те же политики безопасности, которые можно корректировать из центра. Теперь нет зависимости от расстояний, географического расположения или разницы во времени между филиалами. Все работают в единой унифицированной системе, по единым IT-стандартам с единой конфигурацией. Любые изменения, исправление ошибок или обновление программного обеспечения происходят одинаково быстро и в Москве, и на Камчатке.
Упростилось обслуживание рабочих мест и ускорилось обновление. Снизилась доля «ручного труда», когда к рабочему месту надо подойти лично и провести какие-то манипуляции. Срочные патчи безопасности от, например, Microsoft накатываются в Golden Image и расходятся по всем рабочим столам за считанные минуты.
Отличный пример из последней практики – борьба с атакой Wannacry. Критические обновления мы запустили в три клика. Изменили Golden Image, перезапустили систему и с этого момента пользователи были в безопасности. В общей сложности процесс обновления 14 тысяч рабочих станций занял один рабочий день, т.е. когда началось массовое распространение этого червя, он уже перестал быть опасен для пользовательского окружения. Так мы оптимизировали расходы на поддержку IT-инфраструктуры.
Благодаря преобразованиям в инфраструктуре, был создан легитимный удаленный доступ. Теперь управление процессами возможно с любого рабочего места внутри IT-инфраструктуры банка и даже извне, используя сертификат-карточку (с учетом требований службы безопасности в ВТБ, VDI предоставила фактически единственный законный способ организовать удаленный доступ).
Конечно, мы столкнулись с определенным сопротивлением пользователей. Многие не хотели переходить на новые технологии, оставаясь на старых и привычных. Происходила непростая адаптация сотрудников. Кому-то было интересно, кому-то – нет. Разработанную памятку читали не все, поэтому на первых порах повысилось количество обращений в техподдержку. Однако в конечном итоге люди научились работать по-новому.
Перспективы – интеграция ВТБ24
Проект перехода на VDI был реализован очень вовремя. Он уже помог с интеграцией IT-инфраструктуры Банка Москвы, теперь он поможет в ходе объединения с ВТБ24.
В процессе интеграции бизнес-процессов ВТБ и ВТБ24 появилась необходимость использования приложений ВТБ сотрудниками ВТБ24. В данном случае VDI стала quick win'ом в вопросах доступа к внутренним приложениям и системам банка. В течение недели для восьми тысяч новых пользователей предоставили VDI. Приложения оперативно раздаются не только через ВРМ, но и через ресурсный лес и решение Citrix.
Пока в ВТБ24 все еще работает отдельная инсталляция, и в ближайшее время ее необходимо будет привести «к общему знаменателю» без остановки клиентского сервиса.
Комментарии 41
  • +1
    Если с серверами вопросов более менее нет, то вот за счет чего именно и с каким счетом VDI выиграл у VPN как-то неочень понятно. На железе вроде бы толком не сэкономить, чем VDI безопаснее VPN тоже не понятно, грабли с софтом у каждого варианта свои. А у Вас таблички не осталось с деталями как считали?
    • 0
      Вы путаете разные вещи. VPN = удалённый доступ. Тут эффект от консолидации.
      Насчёт безопасности. VPN – это безопасный транспорт, а не виртуальное рабочее место.
    • +1
      Отличный пример из последней практики – борьба с атакой Wannacry. Критические обновления мы запустили в три клика. Изменили Golden Image, перезапустили систему и с этого момента пользователи были в безопасности. В общей сложности процесс обновления 14 тысяч рабочих станций занял один рабочий день, т.е. когда началось массовое распространение этого червя, он уже перестал быть опасен для пользовательского окружения. Так мы оптимизировали расходы на поддержку IT-инфраструктуры.


      То есть, регулярные обновления вы тоже не устанавливали, а в один день при первых позывах атаки, накатили только критические заплатки?

      Ещё не скромный вопрос, а какую версию Windows вы выбрали на вирт. машинах? Win 7? Или уже смогли адаптировать Win 10?
      • 0
        Обновления Golden Image установкой последних апдейтов и патчей делаем регулярно по расписанию. Пример с Wannacry как из один кейсов при использовании VDI.
        • 0
          Благодарю за ответ! Реально интересно посмотреть как это устроено у взрослых. Вопрос про версию Win, всё ещё интересен, если это не есть секрет. И так же, интересно про печать + VDI. Как реализована? PIN печать? Документ на принтер в локальную точку печати летит по Интернету? Сбоев нету?

          Спасибо.
        • 0

          Самое интересное что ничего не мешает ставить обновления без vdi.
          А с учётом того что коннект с vdi с тех де физических машин, плюсов становится ещё меньше (+3 клика к тому что и так нужно было делать)

        • 0
          «При этом при использовании MCS можно не копировать ВМ целиком, а создавать дельта-копии, что позволяет существенно снизить требования к дисковой подсистеме.»

          А почему именно MCS? Ведь в таких масштабах при использовании PVS RAM cache потребуется меньше IOPS на СХД.
          • 0
            MCS гораздо проще в реализации и сопровождении, PVS к тому же дает дополнительную нагрузку на сеть. RAM cache отличная технология и ее поддержка уже реализована в MCS.
          • 0

            Хорошая статья, спасибо!

            • +1
              Казалось бы, прогрессивные технологии должны способствовать экономии. Но нет. Банки играются с технологиями, под новым соусом возвращают забытые мейнфреймы, отчитываются о виртуальной оптимизации, а стоимость «ведения» расчетного счёта клиента без единой проводки по нему, меж тем, приближается к 3 тысячам рублей в месяц.
              • 0
                На самом деле статья отличная! Позволяет понять и вникнуть в мейнстрим. Пусть это и не самый-самый мейн стрим, зато показали как и чего! На самом деле, здорово!
                • +3
                  Забавная статья. Видно, что идут действительно масштабные проекты по консолидации ИТ инфраструктуры, строительству ЦОДов, модернизации сетей и серверов, объединению с банком Москвы. И на фоне этих мощных процессов ваше VDI решение это такое параллельное действие, которое, впрочем, стоит совершенно дурных денег. Но при этом решает какие то надуманные проблемы и привносит столько же если не больше новых.

                  Вообще, на мой взгляд VDI это шаг назад
                  Тонкие клиенты давно стали толстыми. Посмотрите сколько памяти кушает ваш браузер. Тенденция такая, что в целях масштабирования сервиса логика приложений с сервера перемещается к клиенту. Использует его вычислительные ресурсы, прежде всего его оперативную память. С точки зрения затрат на запуск сервиса эта память не стоит ничего. Она уже есть на каждом рабочем месте пользователя
                  И тут бац… VDI на 2000 клиентов.
                  Все ресурсы, которые уже были у клиентов мы покупаем еще раз, но уже за другие деньги. Вендоры нам радостно впаривают дорогущее железо и софт с бесконечными лицензиями.

                  Хотя, конечно кое где VDI может быть полезен. Для задач обучения например, когда виртуальное окружение нужно быстро менять под каждое занятие. Или под совсем совсем удаленные офисы где нибудь в тундре где каналы связи просто золотые. Но между Воронежем и Москвой или Питером можно купить гигабитный канал по цене десятка лицензий на цитрикс в год

                  Ну и не могу не отметить вот эту на мой взгляд несуразность:
                  Другие варианты доступа существенно ограничивали бы производительность отдельных приложений (особенно самописных решений с частыми обращениями к серверу) при попытке работы через WAN-каналы с их лимитами по пропускной способности и большим временем отклика

                  Вы пишите приложение, которое не работает на медленных каналах и вместо того, чтобы переработать архитектуру вашего приложения вы перерабатываете всю ИТ инфраструктуру.
                  Ну и пассаж по программно-определяемые сети и VXLAN порадовал. Типа у нас их пока нет, но мы знаем что это такое и значит мы крутые.
                  Забавно, что Джет качество статьи вполне удовлетворяет и они отдельно промо-пост сделали со ссылкой на вашу статью :)

                  При этом я уверен, что у вас полно весьма продвинутых ИТ специалистов, но руководство всегда идет на поводу у вендоров и интеграторов какой бы треш они не предлагали.

                  • 0
                    На счет оперативной памяти… Я не знаток VMware, но в Linux есть технология соединения одинаковых страниц памяти в одну, и предоставлением ссылки всем приложениям. — Называется KSM — kernel samepage merged, кажется. Я думаю что в VMware, точно есть что-то подобное. — Так что мне кажется, VDI тут как раз в плюс! А вот что касаемо CPU + VDI, как по мне, тут вопрос весьма сложнее. — Довольно часто, какая-нибудь вкладка в браузере кушает по 10-20% CPU, сейчас веду речь о браузере Firefox 48-52. Не знаю как другие браузеры, но тут такое точно есть. Если представить себе что из 14000 сотрудников, будет пользоваться браузерами хотябы пару тысяч и у 800 чел. будут такие вкладки… — Сколько же нужно CPU мощности..? Может конечно это только проблемы Firefox, но я сомневаюсь.

                    Плюс, мне видится сложность с GPU во всей этой истории… — Чтобы делать что-то интересное с графикой в VDI нужно очень, очень стараться…

                    По переделке своих enterprise приложений — я думаю это очень, очень долго и очень, очень дорого. Дешевле сделать VDI. К тому же, VDI, на мой взгляд очень не плохо может помочь защититься от шифровальщиков, к примеру (если уже все остальные уровни защиты он прошёл).
                  • 0
                    Так вот что это за «суперинтересные» проекты из Джета. Понимаю сопротивление и боль ваших работников с VDI. Проблемы «шумных соседей», увеличение задержек в виртуализированном ПО. Уверен, что в аду есть отдельное место для тех, кто делает обязательные обучающие курсы для сотрудников с анимацией!
                    • +1
                      Интересно, а если введут санкции и например заблокируют покупку дорогущих хитачи дисков? Виноватый сядет? Или как всегда «ни разу такого не было и тут опять.».
                      • 0

                        Думаю тут запас есть а вот что делать с микрософтом ;)

                      • +3
                        «Другие варианты доступа существенно ограничивали бы производительность отдельных приложений (особенно самописных решений с частыми обращениями к серверу) при попытке работы через WAN-каналы с их лимитами по пропускной способности и большим временем отклика. VDI же обходится без обмена объемными данными, оставляет всю логику на сервере и передает на тонкий клиент лишь изображение с рабочего стола. Это позволяет равномерно распределить нагрузку на канал, избегая пиков при записи и чтении данных.»

                        »Доступ к VDI по медленным каналам приводил к ухудшению нормативов. Решение было очевидно – оперативное увеличение пропускной способности выделенного WAN-канала, после которого все вернулось в норму.»

                        «Ранее для организаций нормой считались 5 Мбит/с. Теперь же никого не удивишь скоростями в 100 Мбит/с и даже 1 Гб/с.»

                        Ну бред же — у вас есть кривые «самописные решения», вместо того, чтобы потратить деньги на разработку ПО, потратились на инфраструктуру под кривое ПО.
                        Сначала вы говорите, что VDI требуется меньше трафика, чем «самописным решениям», по факту оказывается — значительно больше.
                        А при большом времени отклика VDI проигрывает «самописным решениям» по уровню комфортности работы, да отклик «самописным решениям» от серверов будет минимальным, только для пользователя это уже не важно — ведь тормозит весь интерфейс.
                        «Дополнительный плюс VDI в том, что для глаз конечного пользователя это решение намного проще, нежели VPN или другие решения для доступа к консолидированным ресурсам.»

                        Вы хотите сказать, что VDI у вас работает не через VPN? Пользователь работает в программе, не важно как вы эту программу «доставили» ему на экран, запущена она локально или удалённо, о VPN пользователь вообще не должен знать — им занимается сетевое оборудование.
                        «VDI обеспечила гибкий доступ к собственным системам на площадках Банка Москвы. В предыдущей архитектуре IT-систем такой доступ был бы невозможен из-за межсетевых экранов, файерволов и отсутствия поддержки NAT у ряда legacy-приложений.»

                        Это вообще за гранью моего понимания. Ну VPN же, VPN решает эти проблемы, при чём тут VDI?
                        «Сеть Access-уровня реализована на базе Cisco Nexus 5672 10 Гбит.»

                        Вы уверены, что это access-уровень?

                        Вообще, помимо решения с VDI, другие конкурентные проекты были? [sarcasm]Или «без вариантов, только VDI, ведь это круто/модно/молодёжно»?[/sarcasm]

                        Например, на «Плане по перспективам развития IT-инфраструктуры банка в регионах» прямо напрашивается самое простое и не дорогое решение — просто перенести локальные сервера из регионов в ЦОД. Всё. Я понимаю, что картинка не отражает реальную инфраструктуру и перенос будет не таким уж и простым, но как подали материал — такие выводы и напрашиваются.

                        Ну ладно, выбрали вы VDI. Пусть даже выбор аппаратного и программного решения в ЦОД останется на вашей совести (это как религия). Но, тонкие клиенты… Вы выбрали Dell Wyse 5010 потому что у него образ всего 20МБ. Вы это серьёзно? Например, Intel NUC [BOXNUC6CAYH] плюс планка оперативной памяти, обошёлся бы на 15 тысяч рублей дешевле, при этом он даже производительнее. Даже диск не нужен — загрузка по PXE дала бы ещё больше преимуществ, чем образ в 20МБ. Например — обновление/настройка системы (образа) прямо на сервере в нерабочие часы. Из текста статьи я понял, что у вас 14 тысяч пользователей, по 15 тысяч рублей экономии на тонком клиенте для каждого из них дали бы 210 миллионов рублей экономии. Пусть 10 миллионов уйдёт на сервер под PXE (включая настройку), всё равно 200 миллионов останется. И это просто первая попавшаяся под руку платформа.

                        P.S.: от статьи ощущение, что её писал маркетолог, слабо понимающий в ИТ, просто бегло прочитавший проект и выхватив из него умных слов. Возможно, все решения принимались очень взвешено, все мои замечания появились только лишь из-за некорректной подачи материала, но… Но ВТБ, какого лешего? Может пусть на технический ресурс технические статьи пишут технари? Пусть это вам обойдётся дороже, но репутация ведь важнее.
                        • 0
                          Что Вы будете делать с серверами из регионов в ЦОДе? Если пользователей в 1 филиале ну штук 300?
                          • 0
                            Не я придумал переносить сервера, посмотрите на план: в базовом сценарии есть локальные серверы в регионах, в целевом сценарии их уже нет, но в ЦОД добавились виртуальные серверы из регионов. Сделано это, потому что в базовом сценарии:
                            В каждом филиале нужна была своя команда сопровождения со специалистами узкого профиля, а не просто эникейщиками.

                            После переноса в филиалах можно обойтись эникейщиками, но в ЦОД команда сопровождения увеличится — это тоже отображено в плане.
                            Я лишь поинтересовался — разве этого переноса не достаточно?
                            • 0
                              Когда в ЦОД уже находится не одна тысяча серверов, при переносе туда еще несколько десятков серверов дополнительные ресурсы если и потребуются, то совсем немного.
                          • 0
                            Вы уверены, что это access-уровень?

                            5672 выполняют скорее distribution уровень, в качестве access выступают выносные карты 2232
                          • +1
                            Приятно читать, что внутри банка движуха не останавливается. Неприятно сознавать, что объединение банков клиентам создает только лишний гемор — т.е. то, чего от банка не ожидаешь.
                            Что же касается VDI, то здорово, что кому-то такое удалось продать, но общее впечатление, что продали ради продажи (ну или купили ради покупки).

                            За фразу «Дополнительный плюс VDI в том, что для глаз конечного пользователя это решение намного проще, нежели VPN или другие решения для доступа к консолидированным ресурсам.» могу пожать руку, и представить бардак. Особенно на фоне уточнения, что канала раньше не хватало, и проблему решили (внимание!) увеличением канала.

                            Вы серьезно думаете, что ВПН нужно поднимать до каждого клиентского места? А если нет (VDI же летит по чему-то шифрованному, правильно?) то какая разница, по RDP, по NX, через VDI работает система? Только локальный комп можно и для чего-то еще использовать, даже когда связи нет, а VDI гарантирует, что, пока связи с ДЦ нет, и пока сервера не подняты, лапу сосут руку изучают все, кто переведен на новую технологию.

                            Что сетки проапгрейдили — это здорово. Что от костыльного софта, о котором скромно написано про «отсутствия поддержки NAT у ряда legacy-приложений», не избавились — и это по-банковски, заткнули одну проблему решением для другой, так держать!

                            Вопрос один — если бы увеличили каналы, привели в порядок сеть, сервера, вообще от бардака бы избавились целенаправлено, то разве не было бы хорошо и без новомодного VDI?

                            P.S. Впрочем, есть и второй вопрос: почему клиенты банка должны были оплатить весь этот разгул затрат, когда и так работало?
                            • 0
                              пока сервера не подняты, лапу сосут руку изучают все, кто переведен на новую технологию.


                              Боюсь, что сейчас оно везде так. Что на локальном компьютере в это время (тем более в банке) делать? Заявление на отпуск писать или читать войну и мир? Всё остальное я думаю на сервере.

                              Что сетки проапгрейдили — это здорово. Что от костыльного софта, о котором скромно написано про «отсутствия поддержки NAT у ряда legacy-приложений», не избавились — и это по-банковски, заткнули одну проблему решением для другой, так держать!


                              Я боюсь так везде где организации объединяются, или существуют долго. Хуже, когда оба этих утверждения верны. Как раз наш случай.

                              Что же касается VDI, то здорово, что кому-то такое удалось продать, но общее впечатление, что продали ради продажи (ну или купили ради покупки).
                              ИМХО, продали, ради того чтобы все данные сотрудников хранились централизованно, пусть и в виртуальных машинах, а не фиг знает где разбросанные по филиалам. А так же поможет от различных вирусных эпидемий.

                              Мне интересно, как подсистема печати была реализована в филиалах..? PIN печать?
                              • 0
                                ИМХО, продали, ради того чтобы все данные сотрудников хранились централизованно, пусть и в виртуальных машинах, а не фиг знает где разбросанные по филиалам. А так же поможет от различных вирусных эпидемий.

                                Так вместо одного счастья недоумения получили другое: бекап внутри вирт. машин тоже нужен. Только вместо одной машины (локальной) нужно минимум две (одна локальная, другая виртуальная).

                                Вопрос про стоимость банкета более интересен: в масштабах банка цена вопроса немалая, и на выходе имеем клиентов, которые и платят за новый бардак вместо старого, и испытывают все переходные проблемы (это только копирайтеры пишут, что «без перерыва сервиса» — в ВБТ перерывы могут быть в начале вполне себе обычного дня на целый день во всех отделениях города!).

                                Серьезно, что мешало вместо сотен миллионов рублей потратить сотни тысяч на утолщение каналов, да на замену ЛВС на получше? Понятно, что есть мечта, что «уж в этот-то апгрейд мы все сделаем по уму», но VDI — это не «по уму», это для банка новая технология, выливающаяся в еще больший клубок сложностей. Причем по-старинке сделать можно было, и это обошлось бы меньшей кровью и деньгами.

                                До сих пор не пойму, при чем в статье «софт, который с NAT не дружит». Либо они про SIP (но его легко и в VPN засунуть), либо запилили велосипедокомбайн, который данные (в т.ч. клиентов) гоняет вне VPN, но при этом смотрит на сессии (не верю в такое).

                                В общем, статья тягостное впечатление произвела. Как и оформление: банк оплатил из PR0-бюджета красивое оформление поста, который банк же выставляется довольно в странном с технической стороны свете. В общем, вполне в духе ВТБ, как я его себе представляю (вместо чем сделать красиво внутри, и работать «для людей», сделали красивый фасад, а внутри был бардак сложный клубок из недостроенных технологий).

                                Интересно, комменты кто-то из рук-ва банка вообще читает тут?
                                • 0
                                  Интересно, комменты кто-то из рук-ва банка вообще читает тут?
                                  Тоже интересно. Так-как чуть подробнее кое что не плохо бы осветить.

                                  Так вместо одного счастья недоумения получили другое: бекап внутри вирт. машин тоже нужен. Только вместо одной машины (локальной) нужно минимум две (одна локальная, другая виртуальная).

                                  В офисе тонкие клиенты. Там нечего резервировать. BYOD или как там его, тоже особо нечего резервировать, так-как, насколько я понимаю, технически можно запретить вытаскивать данные с вирт. машины. А значит, мы делаем рез. копию только с одного источника, и как раз в виртуализации при должном подходе, это насколько я понимаю очень даже решаемый вопрос, и не нужно следить за каждой локальной помойкой.

                                  Вопрос про стоимость банкета более интересен: в масштабах банка цена вопроса немалая, и на выходе имеем клиентов, которые и платят за новый бардак вместо старого
                                  А это я думаю везде так. По депозиту, в общем случае выше ставки ЦБ не получить. А другие инвестиционные продукты, в общем то всегда риск. Комиссии ± у всех грабительские.

                                  P.S. любой бизнес в первую очередь решает свои проблемы, а именно: минимизирует расходы, увеличивает прибыль. VDI — как мне видится, отличное решение. В филиалах разогнать ИТ штат, оставив эникея — идея довольно грамотная, ИМХО. Как бы это не было плохо с точки зрения админов, но, это на мой взгляд, реально удобно для банка такого масштаба. Проще в МСК платить двум годным спецам по 200к. Чем держать 20 специалистов в регионах.
                                  • 0
                                    Напомнило рассказ про одного американского спеца по инвестициям (брокера? не скажу точнее), который обещал клиентам невысокий, но стабильный рост сбережений — и выполнял обещанное, т.к. вкладывался очень консервативно, а на себя не тратил лишние деньги, кроме оговоренной з/п. И клиенты его были рады, т.к. понимали, что сами они получат синицу в руках, а не журавля в небе, но зато получат почти гарантированно, а он сам не жирует от их недополученных прибылей.

                                    Перенося на обсуждаемую тему: я бы был рад видеть в банке не такой красивый ремонт и не такой богатый оформлением блог на Хабре, но чтобы было поменьше откровенного маразма в действиях работников всех уровней, и менее грабительские комиссии.

                                    Кстати, в крупной конторе держать умных людей в регионе не такая и идиотская логика: если спецы в скве сделают ноги, уйдя на 210к в контору за углом, у вас остаются хотя бы знакомые с темой человек-другой, которые с их текущих («региональных») 50-70к отлично рады будут в скву перебраться даже на 150к.

                                    Был бы у MS вариант еще и начальство заменить на VDI!
                                    • –1
                                      Кстати, в крупной конторе держать умных людей в регионе не такая и идиотская логика: если спецы в скве сделают ноги, уйдя на 210к в контору за углом, у вас остаются хотя бы знакомые с темой человек-другой, которые с их текущих («региональных») 50-70к отлично рады будут в скву перебраться даже на 150к.

                                      Предположу что, опыта у такой компании как VTB несколько больше, наверняка они взвешивали все за и против решения. Предположу, что после переезда на VDI, реально, все вздохнули свободно. С трудом представляю насколько было всё хреново, когда в удалённом филиале пропадает Интернет и документы где-нибудь посередине зависают. А сейчас, можно продолжать работу с того момента, где произошёл обрыв связи. VDI ведь.

                                      Был бы у MS вариант еще и начальство заменить на VDI!
                                      Это уже не про технологии. Это флуд.

                                      Перенося на обсуждаемую тему: я бы был рад видеть в банке не такой красивый ремонт и не такой богатый оформлением блог на Хабре, но чтобы было поменьше откровенного маразма в действиях работников всех уровней, и менее грабительские комиссии.
                                      Я думаю что VDI позволит сократить время обслуживания в физическом офисе, так-как удаленное обслуживание становится тупо проще.
                                      • 0

                                        Про взвешенные решения, опыт компании <> опыт работников, увы.
                                        Изнутри всё не так красочно, особенно если у вас профиль работы хоть немного не один Эксель и АБС.
                                        Многие решения принимались в очень сжатые сроки(компания большая, при объединениях все минусы выплывают от штатки до ухода команд целиком, вместе со знаниями)

                                        • 0
                                          Да, понимаю. И унификация в виде VDI, мне кажется, это реально бонус, даже если VTB поглотят, они просто отдадут свой VDI и скажут: колотитесь тут как душе угодно.
                                        • 0
                                          Насчет взвешенных решений — просто посмотрите на график их акций с момента народного IPO ВТБ.
                                  • 0
                                    Мне интересно, как подсистема печати была реализована в филиалах..? PIN печать?

                                    В филиалах пришлось поставить кэширующие серверы печати.
                                • 0
                                  Отформатируйте нормально, на телефоне( chrome) статья выглядит скажем мягко говоря «плохо читаемо» и создаётся ощущение что даже не смотрели (copy paste с портала?).

                                  По существу, мне очень жаль что это временное решение для объединения с БМ (доступ между сегментами через vdi) в части центрального офиса стало постоянным из-за того что не смогли(не очень хотели) нормально объединить сети, почти каждый день хоть раз да…
                                  • 0
                                    Подскажите, пожалуйста, как устроена подсистема удаленной помощи сотрудникам в среде VDI? Какие продукты применяются и т.д.
                                    • 0

                                      Мы используем Windows Remote Assistance. Выбор в пользу этого решения был сделан на основе того, что у нас все виртуальные машины на базе Windows и для стандартизации поддержки на физических и виртуальных десктопах. К тому же Citrix Desktop Shadowing использует этот функционал.

                                      • 0
                                        Благодарю! Подскажите пож-та, как у вас в плане BYOD при такой концепции? К примеру, к Вам устраивается на работу в далекий филиал человек со своим ноутбуком и просит доступ к рабочему месту VDI. — Кто берет на себя обслуживание данной единицы техники? Как работает процесс установки и настойки ПО (VPN+клиент для доступа к VDI)? Автоматически, или в регионе эникей это делает? Ведь сотрудник на своём устойстве может и ОС переустановить когда посчитает нужным и вирусов нахватать… В общем, интересен сей момент.

                                        Благодарю за откровенность, весьма интересная статья, не смотря на всех «хейтеров», она даёт понять как делать нужно!
                                    • 0
                                      Интересно, а какая задержка в филиале с самым большим пингом? На сколько мс отстает экран, скажем, в Южно-Сахалинском отделении ВТБ?
                                      • 0
                                        ВТБ отвечает только на те вопросы, на которые хочет?
                                        • 0
                                          выбранное решения может быть следствием скрытых целей, но это все не важно…

                                          … другое интересно, многие пишут о «переезде в облака», и т.д. и т.п., но все скромно умалчивают стоимость переезда и ежемесячных расходов…

                                          так сколько бабла требует такое решение? (извините, если невнимательно читал и вдруг не заметил цифр в рублях)
                                          • 0
                                            А этого никто не напишет. Стоимость такого решения складывается, из подписки на MS VDI, MS Software Assurance, стоимости железа, стоимости VMWare — в общем, тут очень, очень много компонентов. Я думаю что такая структура как VTB, имеет свои прайс на все эти штуки. Но в целом, выгода VDI проявляется от 250 рабочих мест (по слухам, но я сомневаюсь...).

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.