Пролистав кучу блогов, статей, специализированных сайтов мне так и не удалось найти обзор всех доступных в РФ "импортозамещенных" систем виртуализации. Поскольку у нас каждый разработчик, как художник опирается на постулат – «Я художник-я так вижу», то даже в реестре Минцифры и реестре ФСТЭК – нет однозначного признака отличия в названии, что это система «виртуализации». Я решил восполнить данный пробел- поделившись информацией, собранной в ходе поисков.
Если перефразировать гробовщика из «Человека с бульвара Капуцинов»:
А почему бы нам не организовать в нашем городе печатное издание?
Оно могло бы называться, ну, скажем "Рик_и_МортиVirt".
И занималось бы исключительно вопросами Российской виртуализации!
Что в ней хорошо, ну, и главное - что в ней плохо!
Я просмотрел почти все «системы».
Ну, и у меня в голове родились кое-какие мыслишки.
Я думаю, они могут оказаться небезынтересными для всего народа.
Сразу оговорюсь, я не гробовщик и много в наших решениях достойно уважения. Но для понятия того что есть на рынке, мне пришлось разобрать всё по частям. В этом помогли познания в уже устоявшихся импортных «фаворитных» системах виртуализации и системах их окружающих.
В ходе отбора решений системы виртуализации для ГИС, согласно приказа 17 ФСТЭК была найдена следующая информация.
Для тех, кто не в теме, нужно на Российское железо, установить защищенное решение на базе Российской системы виртуализации и (или) Российских же средств защиты. На первый взгляд простая задача, бери из реестра и "вуаля" – вся готово.Дьявол кроется в деталях, но давайте по порядку.
Разберемся изначально что мы ищем и что есть в отечественном сегменте, а чего там вообще нет. Беря пример со старших братьев по виртуализации типа VmWare (именно с ней любят сравнивать наши творцы свои произведения), разложим по полочкам из чего состоит данная агломерация.
Таблица 1. Компоненты
Компонент | Решение импортное | Наличие "отечественного" класса |
Гипервизор | VmWare ESXi, Hyper-V | |
Управление виртуализацией | VMware VSphere, SCVMM | есть- (будут разобраны далее) |
Виртуальное хранилище | есть- на базе OpenSource решений или самостоятельные разработки типа АЭРОДИСК vAIR и подобных (отдельная статья) | |
Виртуализация рабочих мест | есть - в основном как дополнительная опция к существующей лицензии | |
Виртуализации и обеспечения безопасности сети | нет такого класса (или пока не нашел) | |
Резервное копирование виртуальных машин | есть -зачастую встроенные упрощенные | |
Защита систем виртуализации | есть несколько решений: | |
Доверенная загрузка хоста | ПАК Соболь | |
Наложенные средства защиты виртуальной машины | Аккорд, Dallas Lock, SercretNet | |
Антивирусная защита | Kaspersky Security для виртуальных сред | |
Если для варианта второй колонки всё раньше было ясно и понятно. Там были HCL по совместимому железу, перекрёстные таблицы совместимых программных средств ( с точностью до версии). Для отечественных продуктов (пусть меня простят разработчики- не их вина) - не то что указанных выше данных на сайте нет.
У большинства производителей , в виду отсутствия технических писателей,линий техподдержки, тестировщиков в нужном количестве, на их одно страничных сайтах кроме рекламных буклетов и одного адреса электронной почты на все случаи жизни - ничего нет.
Вроде бы не надо изобретать велосипед типа: HCL, FAQ, knowbase, порталов service request, wiki, документации- то почему в большей части это недоступно обычному пользователю, который еще ничего не купил (этим в основном страдают новые игроки). И как в таких условиях сделать выбор, чтоб выбранная система из указанных выше компонентов "взлетела", да еще и на отечественном железе.
Может как то в этом поможет найденная мной информация (не ручаюсь за её полную достоверность и достаточность- это всего лишь путь, что и где искать). Буду признателен если список дополнят.
Таблица 2. Системы виртуализации
№ п.п. | Системы виртуализации | Сертификат ФСТЭК | Основа | Приме-чание |
1 | №3723 до 21.03.2025 | OpenNebula | полный, дорогой комплект | |
2 | Нет | KVM/QEMU | из коробки готовое решение | |
3 | Нет, но сертифицировано TIONIX Virtual Security | OpenStack | ||
4 | планируется в 23 году | KVM/QEMU??? | ||
5 | Нет??? , но сертифицирована ОС на которую встает Гипервизор | OpenNebula | хорошая документация, правда частично закрытая | |
6 | Закончилась | KVM/QEMU??? | ||
7 | №4246 до 23.04.2025 | KVM/QEMU??? | ||
8 | планируется в 23 году | Proxmox | нет совместимых наложенных СЗИ | |
9 | №4102 до 19.03.2024 | KVM/QEMU??? | ||
10 | нет | Ovirt | ||
11 | закончилась, планируется в 23 году | Ovirt | ||
12 | нет | KVM/QEMU??? | ||
13 | №4580 до 23.09.2027 | XEN | ||
14 | № 3866 до 10.08.2023 | KVM/QEMU??? | ||
15 | нет | Proxmox | 4 варианта в одном дистрибутиве | |
16 | нет | bhyve |
На этом список систем виртуализации не ограничивается, практически на каждую Linux систему может быть установлен гипервизор KVM/QEMU (т.е.libvirt/virsh) и сверху установлены системы защиты виртуализации из возможных:
Список совместимых этими средствами ОС и систем виртуализации постоянно меняется (смотрите на сайтах и запрашивайте информацию).
Я специально не делил на обычную виртуализацию и облачные решения ( тут очень тонкая грань - особенно в наших реализациях, где облачным менеджером иногда подменяют web систему управления). Но при выборе обратите внимание - не всегда нужно облако.
Цены не указаны, так как это Россия и у нас цены всегда "по запросу", просто одно замечание цены в списке отличаются от минимальной до максимальной (с учетом наложенных СЗИ) в 69,1 раз. (часть цен доступны на softline, то же что присылали по запросу я не могу разглашать)
Всё указанное выше было чисто теоретические исследования (по документации и запросам)
Я не высказываю свое мнение по конкретным продуктам, чтобы не обидеть разработчиков.
Есть список информации (сайтов по продуктам), некоторые производители дают возможность получения триала, т.е. можете заранее сами проверить всё на практике до покупки. Про практику чуть далее.
Замечания на основе тестирования систем.
Некоторые замечания, которые позволят сократить ваш путь в данном направлении!
Не все варианты (из 16) имеют собственные системы управления виртуализацией (стоит только базовый комплект)- гипервизор KVM/QEMU (т.е.libvirt/virsh) и поэтому нужен еще инструмент для управления типа virt-manager или по подписке VMmanager (еще раз обращаю внимание лицензия не постоянная)
Наложенные системы защиты виртуализации на KVM - накладываются на базовую виртуализацию KVM/QEMU (т.е.libvirt/virsh).
На системы типа Ovirt [Таблица 2: 10,11]- Dallas Lock ВИ - только в новой еще не сертифицированной версии.
На системы типа Proxmox [Таблица 2 :8,15] - защиты нет в принципе, там (libvirt/qm).
На управление типа OpenNebulа - пока нет.
Российские ( и не только) сервера не все одинаково совместимы, в немного "древних" нет UEFI. UEFI нужна для некоторых систем виртуализации и некоторых модулей доверенной загрузки.
Перед установкой обязательно тщательно прочитать инструкцию (зачастую там много действий на этапе Preinstall).
Основное! НЕТОРОПИТЬСЯ:
-Начальная загрузка по virtual disk может быть очень долго (дистрибутивы бывают огромные)- экран может быть просто черным;
-Шкала не отображает фактического прогресса установки (может кончится шкала на 100% , а процесс всё еще идет);
-Скрипты российских доработок на bash и питоне не скоростные (лучше подождать полчасика после полной установки до перезагрузки);
-Не везде есть защита от дурака (по "дефолту" разбивать диск НЕ РЕКОМЕНДОВАНО- локальные блочные устройства очистит, а это не всегда диск в сервере - может и FC и ISCSI - подключенные адаптерами);
- Иногда требуется несколько перегрузок после установки, чтобы все скрипты отработали и система встала.Наличие в реестре Минцифры и реестре ФСТЭК- не гарантия что это не самая первая версия .
На данном этапе или всё есть из компонентов от одного производителя- но очень дорого или чуть дешевле - но не оттестированное на совместимость решение разных брендов.
Приготовьтесь месяцами доводить до ума (запланируйте время)- чтобы заработало в штатном режиме.Или как в бородатом анекдоте:
"Украли американцы у русских чертежи истребителя. Собрали — паровоз. Разобрали, собрали — паровоз! Что делать, выкрали русского специалиста. Спец берёт чертёж, смотрит, смотрит и говорит: «Там же внизу маленьким шрифтом: после сборки обработать напильником»."- читайте мелкий шрифт и не стесняйтесь при покупке брать внедрение, а не только лицензию и суппорт.
Это пока первая часть из наработанного материала (есть еще немного дегтя в бочку с медом по отечественным серверам и СХД).
Буду признателен, если в комментариях укажите решения которые я упустил, я пока нашел 16 вариантов виртуализации и три ПО ее зашиты. Но я не "Знайка" и не могу знать всего созданного .... в солнечном городе.
Хотелось бы чтобы компании наших разработчиков , выжили, повзрослели и предоставляли полный перечень услуг заказчикам (переняли опыт у брендов). Чтобы не приходилось гадать взлетит- не взлетит.
