Comments 39
Отличный пример из последней практики – борьба с атакой Wannacry. Критические обновления мы запустили в три клика. Изменили Golden Image, перезапустили систему и с этого момента пользователи были в безопасности. В общей сложности процесс обновления 14 тысяч рабочих станций занял один рабочий день, т.е. когда началось массовое распространение этого червя, он уже перестал быть опасен для пользовательского окружения. Так мы оптимизировали расходы на поддержку IT-инфраструктуры.
То есть, регулярные обновления вы тоже не устанавливали, а в один день при первых позывах атаки, накатили только критические заплатки?
Ещё не скромный вопрос, а какую версию Windows вы выбрали на вирт. машинах? Win 7? Или уже смогли адаптировать Win 10?
Самое интересное что ничего не мешает ставить обновления без vdi.
А с учётом того что коннект с vdi с тех де физических машин, плюсов становится ещё меньше (+3 клика к тому что и так нужно было делать)
А почему именно MCS? Ведь в таких масштабах при использовании PVS RAM cache потребуется меньше IOPS на СХД.
Хорошая статья, спасибо!
Вообще, на мой взгляд VDI это шаг назад
Тонкие клиенты давно стали толстыми. Посмотрите сколько памяти кушает ваш браузер. Тенденция такая, что в целях масштабирования сервиса логика приложений с сервера перемещается к клиенту. Использует его вычислительные ресурсы, прежде всего его оперативную память. С точки зрения затрат на запуск сервиса эта память не стоит ничего. Она уже есть на каждом рабочем месте пользователя
И тут бац… VDI на 2000 клиентов.
Все ресурсы, которые уже были у клиентов мы покупаем еще раз, но уже за другие деньги. Вендоры нам радостно впаривают дорогущее железо и софт с бесконечными лицензиями.
Хотя, конечно кое где VDI может быть полезен. Для задач обучения например, когда виртуальное окружение нужно быстро менять под каждое занятие. Или под совсем совсем удаленные офисы где нибудь в тундре где каналы связи просто золотые. Но между Воронежем и Москвой или Питером можно купить гигабитный канал по цене десятка лицензий на цитрикс в год
Ну и не могу не отметить вот эту на мой взгляд несуразность:
Другие варианты доступа существенно ограничивали бы производительность отдельных приложений (особенно самописных решений с частыми обращениями к серверу) при попытке работы через WAN-каналы с их лимитами по пропускной способности и большим временем отклика
Вы пишите приложение, которое не работает на медленных каналах и вместо того, чтобы переработать архитектуру вашего приложения вы перерабатываете всю ИТ инфраструктуру.
Ну и пассаж по программно-определяемые сети и VXLAN порадовал. Типа у нас их пока нет, но мы знаем что это такое и значит мы крутые.
Забавно, что Джет качество статьи вполне удовлетворяет и они отдельно промо-пост сделали со ссылкой на вашу статью :)
При этом я уверен, что у вас полно весьма продвинутых ИТ специалистов, но руководство всегда идет на поводу у вендоров и интеграторов какой бы треш они не предлагали.
Плюс, мне видится сложность с GPU во всей этой истории… — Чтобы делать что-то интересное с графикой в VDI нужно очень, очень стараться…
По переделке своих enterprise приложений — я думаю это очень, очень долго и очень, очень дорого. Дешевле сделать VDI. К тому же, VDI, на мой взгляд очень не плохо может помочь защититься от шифровальщиков, к примеру (если уже все остальные уровни защиты он прошёл).
«Другие варианты доступа существенно ограничивали бы производительность отдельных приложений (особенно самописных решений с частыми обращениями к серверу) при попытке работы через WAN-каналы с их лимитами по пропускной способности и большим временем отклика. VDI же обходится без обмена объемными данными, оставляет всю логику на сервере и передает на тонкий клиент лишь изображение с рабочего стола. Это позволяет равномерно распределить нагрузку на канал, избегая пиков при записи и чтении данных.»
»Доступ к VDI по медленным каналам приводил к ухудшению нормативов. Решение было очевидно – оперативное увеличение пропускной способности выделенного WAN-канала, после которого все вернулось в норму.»
«Ранее для организаций нормой считались 5 Мбит/с. Теперь же никого не удивишь скоростями в 100 Мбит/с и даже 1 Гб/с.»
Ну бред же — у вас есть кривые «самописные решения», вместо того, чтобы потратить деньги на разработку ПО, потратились на инфраструктуру под кривое ПО.
Сначала вы говорите, что VDI требуется меньше трафика, чем «самописным решениям», по факту оказывается — значительно больше.
А при большом времени отклика VDI проигрывает «самописным решениям» по уровню комфортности работы, да отклик «самописным решениям» от серверов будет минимальным, только для пользователя это уже не важно — ведь тормозит весь интерфейс.
«Дополнительный плюс VDI в том, что для глаз конечного пользователя это решение намного проще, нежели VPN или другие решения для доступа к консолидированным ресурсам.»
Вы хотите сказать, что VDI у вас работает не через VPN? Пользователь работает в программе, не важно как вы эту программу «доставили» ему на экран, запущена она локально или удалённо, о VPN пользователь вообще не должен знать — им занимается сетевое оборудование.
«VDI обеспечила гибкий доступ к собственным системам на площадках Банка Москвы. В предыдущей архитектуре IT-систем такой доступ был бы невозможен из-за межсетевых экранов, файерволов и отсутствия поддержки NAT у ряда legacy-приложений.»
Это вообще за гранью моего понимания. Ну VPN же, VPN решает эти проблемы, при чём тут VDI?
«Сеть Access-уровня реализована на базе Cisco Nexus 5672 10 Гбит.»
Вы уверены, что это access-уровень?
Вообще, помимо решения с VDI, другие конкурентные проекты были? [sarcasm]Или «без вариантов, только VDI, ведь это круто/модно/молодёжно»?[/sarcasm]
Например, на «Плане по перспективам развития IT-инфраструктуры банка в регионах» прямо напрашивается самое простое и не дорогое решение — просто перенести локальные сервера из регионов в ЦОД. Всё. Я понимаю, что картинка не отражает реальную инфраструктуру и перенос будет не таким уж и простым, но как подали материал — такие выводы и напрашиваются.
Ну ладно, выбрали вы VDI. Пусть даже выбор аппаратного и программного решения в ЦОД останется на вашей совести (это как религия). Но, тонкие клиенты… Вы выбрали Dell Wyse 5010 потому что у него образ всего 20МБ. Вы это серьёзно? Например, Intel NUC [BOXNUC6CAYH] плюс планка оперативной памяти, обошёлся бы на 15 тысяч рублей дешевле, при этом он даже производительнее. Даже диск не нужен — загрузка по PXE дала бы ещё больше преимуществ, чем образ в 20МБ. Например — обновление/настройка системы (образа) прямо на сервере в нерабочие часы. Из текста статьи я понял, что у вас 14 тысяч пользователей, по 15 тысяч рублей экономии на тонком клиенте для каждого из них дали бы 210 миллионов рублей экономии. Пусть 10 миллионов уйдёт на сервер под PXE (включая настройку), всё равно 200 миллионов останется. И это просто первая попавшаяся под руку платформа.
P.S.: от статьи ощущение, что её писал маркетолог, слабо понимающий в ИТ, просто бегло прочитавший проект и выхватив из него умных слов. Возможно, все решения принимались очень взвешено, все мои замечания появились только лишь из-за некорректной подачи материала, но… Но ВТБ, какого лешего? Может пусть на технический ресурс технические статьи пишут технари? Пусть это вам обойдётся дороже, но репутация ведь важнее.
В каждом филиале нужна была своя команда сопровождения со специалистами узкого профиля, а не просто эникейщиками.
После переноса в филиалах можно обойтись эникейщиками, но в ЦОД команда сопровождения увеличится — это тоже отображено в плане.
Я лишь поинтересовался — разве этого переноса не достаточно?
Вы уверены, что это access-уровень?
5672 выполняют скорее distribution уровень, в качестве access выступают выносные карты 2232
Что же касается VDI, то здорово, что кому-то такое удалось продать, но общее впечатление, что продали ради продажи (ну или купили ради покупки).
За фразу «Дополнительный плюс VDI в том, что для глаз конечного пользователя это решение намного проще, нежели VPN или другие решения для доступа к консолидированным ресурсам.» могу пожать руку, и представить бардак. Особенно на фоне уточнения, что канала раньше не хватало, и проблему решили (внимание!) увеличением канала.
Вы серьезно думаете, что ВПН нужно поднимать до каждого клиентского места? А если нет (VDI же летит по чему-то шифрованному, правильно?) то какая разница, по RDP, по NX, через VDI работает система? Только локальный комп можно и для чего-то еще использовать, даже когда связи нет, а VDI гарантирует, что, пока связи с ДЦ нет, и пока сервера не подняты,
Что сетки проапгрейдили — это здорово. Что от костыльного софта, о котором скромно написано про «отсутствия поддержки NAT у ряда legacy-приложений», не избавились — и это по-банковски, заткнули одну проблему решением для другой, так держать!
Вопрос один — если бы увеличили каналы, привели в порядок сеть, сервера, вообще от бардака бы избавились целенаправлено, то разве не было бы хорошо и без новомодного VDI?
P.S. Впрочем, есть и второй вопрос: почему клиенты банка должны были оплатить весь этот разгул затрат, когда и так работало?
пока сервера не подняты, лапу сосут руку изучают все, кто переведен на новую технологию.
Боюсь, что сейчас оно везде так. Что на локальном компьютере в это время (тем более в банке) делать? Заявление на отпуск писать или читать войну и мир? Всё остальное я думаю на сервере.
Что сетки проапгрейдили — это здорово. Что от костыльного софта, о котором скромно написано про «отсутствия поддержки NAT у ряда legacy-приложений», не избавились — и это по-банковски, заткнули одну проблему решением для другой, так держать!
Я боюсь так везде где организации объединяются, или существуют долго. Хуже, когда оба этих утверждения верны. Как раз наш случай.
Что же касается VDI, то здорово, что кому-то такое удалось продать, но общее впечатление, что продали ради продажи (ну или купили ради покупки).ИМХО, продали, ради того чтобы все данные сотрудников хранились централизованно, пусть и в виртуальных машинах, а не фиг знает где разбросанные по филиалам. А так же поможет от различных вирусных эпидемий.
Мне интересно, как подсистема печати была реализована в филиалах..? PIN печать?
ИМХО, продали, ради того чтобы все данные сотрудников хранились централизованно, пусть и в виртуальных машинах, а не фиг знает где разбросанные по филиалам. А так же поможет от различных вирусных эпидемий.
Так вместо одного
Вопрос про стоимость банкета более интересен: в масштабах банка цена вопроса немалая, и на выходе имеем клиентов, которые и платят за новый бардак вместо старого, и испытывают все переходные проблемы (это только копирайтеры пишут, что «без перерыва сервиса» — в ВБТ перерывы могут быть в начале вполне себе обычного дня на целый день во всех отделениях города!).
Серьезно, что мешало вместо сотен миллионов рублей потратить сотни тысяч на утолщение каналов, да на замену ЛВС на получше? Понятно, что есть мечта, что «уж в этот-то апгрейд мы все сделаем по уму», но VDI — это не «по уму», это для банка новая технология, выливающаяся в еще больший клубок сложностей. Причем по-старинке сделать можно было, и это обошлось бы меньшей кровью и деньгами.
До сих пор не пойму, при чем в статье «софт, который с NAT не дружит». Либо они про SIP (но его легко и в VPN засунуть), либо запилили велосипедокомбайн, который данные (в т.ч. клиентов) гоняет вне VPN, но при этом смотрит на сессии (не верю в такое).
В общем, статья тягостное впечатление произвела. Как и оформление: банк оплатил из PR0-бюджета красивое оформление поста, который банк же выставляется довольно в странном с технической стороны свете. В общем, вполне в духе ВТБ, как я его себе представляю (вместо чем сделать красиво внутри, и работать «для людей», сделали красивый фасад, а внутри был
Интересно, комменты кто-то из рук-ва банка вообще читает тут?
Интересно, комменты кто-то из рук-ва банка вообще читает тут?Тоже интересно. Так-как чуть подробнее кое что не плохо бы осветить.
Так вместо одного счастья недоумения получили другое: бекап внутри вирт. машин тоже нужен. Только вместо одной машины (локальной) нужно минимум две (одна локальная, другая виртуальная).
В офисе тонкие клиенты. Там нечего резервировать. BYOD или как там его, тоже особо нечего резервировать, так-как, насколько я понимаю, технически можно запретить вытаскивать данные с вирт. машины. А значит, мы делаем рез. копию только с одного источника, и как раз в виртуализации при должном подходе, это насколько я понимаю очень даже решаемый вопрос, и не нужно следить за каждой локальной помойкой.
Вопрос про стоимость банкета более интересен: в масштабах банка цена вопроса немалая, и на выходе имеем клиентов, которые и платят за новый бардак вместо старогоА это я думаю везде так. По депозиту, в общем случае выше ставки ЦБ не получить. А другие инвестиционные продукты, в общем то всегда риск. Комиссии ± у всех грабительские.
P.S. любой бизнес в первую очередь решает свои проблемы, а именно: минимизирует расходы, увеличивает прибыль. VDI — как мне видится, отличное решение. В филиалах разогнать ИТ штат, оставив эникея — идея довольно грамотная, ИМХО. Как бы это не было плохо с точки зрения админов, но, это на мой взгляд, реально удобно для банка такого масштаба. Проще в МСК платить двум годным спецам по 200к. Чем держать 20 специалистов в регионах.
Перенося на обсуждаемую тему: я бы был рад видеть в банке не такой красивый ремонт и не такой богатый оформлением блог на Хабре, но чтобы было поменьше откровенного маразма в действиях работников всех уровней, и менее грабительские комиссии.
Кстати, в крупной конторе держать умных людей в регионе не такая и идиотская логика: если спецы в скве сделают ноги, уйдя на 210к в контору за углом, у вас остаются хотя бы знакомые с темой человек-другой, которые с их текущих («региональных») 50-70к отлично рады будут в скву перебраться даже на 150к.
Был бы у MS вариант еще и начальство заменить на VDI!
Кстати, в крупной конторе держать умных людей в регионе не такая и идиотская логика: если спецы в скве сделают ноги, уйдя на 210к в контору за углом, у вас остаются хотя бы знакомые с темой человек-другой, которые с их текущих («региональных») 50-70к отлично рады будут в скву перебраться даже на 150к.
Предположу что, опыта у такой компании как VTB несколько больше, наверняка они взвешивали все за и против решения. Предположу, что после переезда на VDI, реально, все вздохнули свободно. С трудом представляю насколько было всё хреново, когда в удалённом филиале пропадает Интернет и документы где-нибудь посередине зависают. А сейчас, можно продолжать работу с того момента, где произошёл обрыв связи. VDI ведь.
Был бы у MS вариант еще и начальство заменить на VDI!Это уже не про технологии. Это флуд.
Перенося на обсуждаемую тему: я бы был рад видеть в банке не такой красивый ремонт и не такой богатый оформлением блог на Хабре, но чтобы было поменьше откровенного маразма в действиях работников всех уровней, и менее грабительские комиссии.Я думаю что VDI позволит сократить время обслуживания в физическом офисе, так-как удаленное обслуживание становится тупо проще.
Про взвешенные решения, опыт компании <> опыт работников, увы.
Изнутри всё не так красочно, особенно если у вас профиль работы хоть немного не один Эксель и АБС.
Многие решения принимались в очень сжатые сроки(компания большая, при объединениях все минусы выплывают от штатки до ухода команд целиком, вместе со знаниями)
Мне интересно, как подсистема печати была реализована в филиалах..? PIN печать?
В филиалах пришлось поставить кэширующие серверы печати.
По существу, мне очень жаль что это временное решение для объединения с БМ (доступ между сегментами через vdi) в части центрального офиса стало постоянным из-за того что не смогли(не очень хотели) нормально объединить сети, почти каждый день хоть раз да…
Мы используем Windows Remote Assistance. Выбор в пользу этого решения был сделан на основе того, что у нас все виртуальные машины на базе Windows и для стандартизации поддержки на физических и виртуальных десктопах. К тому же Citrix Desktop Shadowing использует этот функционал.
Благодарю за откровенность, весьма интересная статья, не смотря на всех «хейтеров», она даёт понять как делать нужно!
… другое интересно, многие пишут о «переезде в облака», и т.д. и т.п., но все скромно умалчивают стоимость переезда и ежемесячных расходов…
так сколько бабла требует такое решение? (извините, если невнимательно читал и вдруг не заметил цифр в рублях)
Как и зачем ВТБ перевел 14 000 рабочих мест на VDI