Здравствуйте, Хабровчане! В этой статье мы проведем обзор новой линейки программно-аппаратных комплексов АЭРОДИСК Machine-V с предустановленной российской системой виртуализации АИСТ или гиперконвергентой системой vAIR, системой резервного копирования RuBackup и сертифицированной ФСТЭК системы защиты информации Аккорд.
Идею создания готовых программно-аппаратных комплексов (ПАК-ов) с предустановленным гипервизором мы получили от наших заказчиков. Потребности, которые решает ПАК АЭРОДИСК Machine-V, можно в общем виде разделить на две категории. Первая – упрощение и в результате повышение качества технической поддержки (поддержка серверов и ПО виртуализации от одного производителя), второе – упрощение закупочных процедур. В этой статье мы разберем эти два аспекта, также углубимся в техническую реализацию, рассмотрим защищенное исполнение таких решений для ГИС, ИСПДн и КИИ, ну и, конечно, не обойдем вниманием российские процессоры Эльбрус и Байкал.
Кроме того, мы детально разберем все аспекты платформы АЭРОДИСК Machine-V на очередном вебинаре «ОколоИТ» 9 марта 2022 года.
Обзор программно-аппаратного комплекса АЭРОДИСК MACHINE-V
О чем сегодня расскажем:
Что входит в MACHINE-V?
ПАК АЭРОДИСК Machine-V поставляется с установленным гипервизором АИСТ, который отвечает за выполнение виртуальных машин, распределенных виртуальных коммутаторов и при необходимости может быть дооснащен лицензией, трансформирующей его в гиперконвергентную систему vAIR с распределенным хранилищем на базе ARDFS (Aerodisk Distributed File System). Также в комплекс входит интегрированная с АИСТ/vAIR система резервного копирования RuBackup. Данное ПО в предустановленном варианте поставляется на серверном оборудовании АЭРОДИСК Machine, прошедшее в конце 2021 года экспертизу Торгово-промышленной палаты России и сейчас находящееся в реестре Минпромторга. Опционально к системе поставляются сертифицированные ФСТЭК России средства защиты информации Аккорд-МКТ и Аккорд-KVM, предназначенные для использования в значимых объектах критической информационной инфраструктуры (КИИ) 1 категории значимости, в государственных информационных системах (ГИС) 1 класса защищенности и в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 1 уровня защищенности персональных данных.
Таким образом на борту АЭРОДИСК Machine-V мы имеем:
Гипервизор АИСТ, с возможностью апгрейда до гиперконвергентной системы vAIR.
Систему резервного копирования RuBackup.
Серверы АЭРОДИСК Machine.
Сертифицированные средства защиты информации Аккорд-МКТ и Аккорд-KVM.
Техническая поддержка всего комплекса «под ключ» от компании АЭРОДИСК.
Кратко разберем функционал АИСТ
Высокая доступность (HA) виртуальных машин (ВМ) позволяет автоматически перезапускать ВМ в случае выхода из строя оборудования, тем самым устраняя точку отказа в виде физического сервера. Для организации отказоустойчивости в кластере АИСТ не менее двух нод кластера должны быть подключены к общему хранилищу.
В качестве хранилища данных могут выступать любые СХД, поддерживающие протоколы Fibre Channel, iSCSI и NFS, либо отказоустойчивое хранилище можно организовать на тех же серверах, где работает гипервизор, обновив лицензию АИСТ-а до vAIR. За организацию отказоустойчивого блочного доступа (FC/iSCSI) со стороны АИСТ отвечает компонент ACFS (Aerodisk Clustered File System), обеспечивающий доступ к одному блочному устройству со стороны множества серверов.
Также в онлайн-режиме поддерживаются такие операции, как изменение количества ядер vCPU, добавление виртуальных дисков, консистентные по отношению к ОС снэпшоты и клоны. Ресайз дисков и оперативной памяти пока ещё требует перезагрузки виртуальной машины.
Для быстрого развертывания ВМ предусмотрен механизм создания шаблонов ВМ и последующего автоматического (в том числе и массового) развертывания.
Для доступа к интерфейсу ВМ поддерживаются такие протоколы как VNC и Spice.
Управление кластером в целом выполняется с любой ноды через веб-интерфейс или командную строку. Для синхронизации управляющих команд и конфигураций узлов кластеров используется встроенная распределенная база данных конфигураций. Распределенное управление и хранение конфигураций позволяет также выполнять обновление ПО кластера в онлайн-режиме. Для этой операции (а также для других внешних сервисных операций) предусмотрен дополнительный веб-интерфейс «Спутник», расположенный в отдельном контейнере и доступный по IP любой ноды по порту 8082.
Также для интеграции стороннего ПО предусмотрен Restful API, с помощью которого, кстати, реализована интеграция с системой резервного копирования, но о ней чуть позже.
Мониторинг, статистика и оповещения реализованы в двух видах. Базовый вариант доступен в веб-интерфейсе. Более расширенный функционал реализован с помощью популярного средства Grafana, который в преднастроенном и интегрированном (также REST-ом) варианте предоставляется в виде развернутой виртуальной машины в кластере АИСТ.
Резервное копирование
В комментариях к одной из прошлых статей нам задали вопрос о предусмотренных возможностях резервного копирования. На тот момент мы (за неимением качественных сторонних решений) разрабатывали свое встроенное средство (рабочее название «Якорь»), но с тех пор ситуация изменилась и на российском рынке появился российский разработчик СРК, который умеет качественно бэкапить виртуальные машины, основанные на KVM (а как раз KVM лежит в основе АИСТ-а). Таким разработчиком является компания RuBackup, которая некоторое время назад предоставила рынку свое одноимённое программное обеспечение.
Что значит качественно бэкапить ВМ? Это значит, во-первых, поддерживать безагентный бэкап виртуальных машин, а во-вторых, иметь мастхэвный энтерпрайзный функционал, такой как поточная дедупликация, отказоустойчивость, поддержка ленточных библиотек и так далее.
Всеми этими достоинствами RuBackup обладает, поэтому, как только мы познакомились с продуктом поближе – сразу же занялись его интеграцией в наш продукт.
Важным моментом является то, что техподдержку СРК в рамках ПАК АЭРОДИСК Machine-V оказывает также АЭРОДИСК, что сильно упрощает жизнь, не заставляя службу эксплуатации заказчика бегать по разным вендорам в поисках решения проблем. Более подробно об интеграции, функциональности и принципах лицензирования RuBackup-а применительно к АИСТ и vAIR мы расскажем в отдельной статье.
Железный вопрос
Переходим к обзору аппаратных платформ, которые поставляются в рамках ПАК-а Machine-V.
Предусмотрено две реализации серверной части ПАК-а: 1U и 2U.
Серверы выполнены в rack-исполнении и поддерживают одно- и двухпроцессорные конфигурации. В качестве процессоров доступными опциями являются всем известные процессоры Intel Scalable Gen2 (LGA3647). Российские процессоры Эльбрус и Байкал представлены в параллельной линейке продукции АЭРОДИСК Фотон.
Тут, видимо, возникнет вопрос, откуда на российских процессорах возьмется серверная виртуализация? Отвечаем, на Эльбрусе 8С/8СВ и Байкале-М, ниоткуда, т.к. её там нет, а на Эльбрус 16С и Байкал-S она прекрасно работает. Мы уже разработали версию аналогичных платформ на базе Эльбруса и Байкала (название линейки: АЭРОДИСК ФОТОН) и поэтому, как только начнется массовая поставка (вторая половина 2022 года) автоматически вопрос серверной виртуализации на российских процессорах будет решен.
Оба сервера поставляются с отказоустойчивыми блоками питания, универсальными отсеками для внешних накопителей с поддержкой горячей замены 2,5’’/3,5’', SSD/HDD, внутренним SATA M2 накопителями с поддержкой встроенного RAID.
Также конструкция обоих серверов позволяет выполнять безотверточную сборку / разборку устройств.
В серверах установлены идентичные материнские платы компании Рикор (КДБА 469 555.003), оба сервера поддерживают оперативную память объемом от 32 GB до 2048 GB (16 слотов с частотой до 2933 МГц) и адаптеры ввода-вывода Ethernet 1/10/25/40/100 Gbs, Infiniband 40/56/100 Gbs и Fibre Channel 8/16/32 Gbs. В базовой комплектации обоих серверов встроены два порта 1Gb Ethernet + порт управления. Модель 2U имеет два дополнительных порта 1G (то есть суммарно 4x1G IO+1 порт управления).
В зависимости от модели возможна установка разного количество дополнительных адаптеров. Сервер 1U физически может вместить один дополнительный адаптер, сервер 2U соответственно больше – до шести.
Модели Machine 1U и 2U также отличаются возможностями бэкплейнов.
Модель 1U поддерживает только пассивный 6G SATA-бэкплейн.
У модели 2U есть 3 опции:
пассивный 6G SATA-бэкплейн;
активный 12G SAS-бэкплейн (до 12 портов);
гибридный SAS/NVMe-бэкплейн (8 SAS/4 NVMe).
Таким образом у платформы 2U есть возможность использовать не только SAS и SATA, но и высокоскоростные NVMe U2 накопители.
Мониторинг и удаленное управление сервером осуществляется через выделенный порт управления на базе контроллера ASPEED AST2500, поддерживаются:
функции KVM и Virtual Media;
мониторинг основных температурных датчиков;
автоматическое управление скоростью вращения вентиляторов;
стандарты IPMI 2.0 и Redfish.
Для управления парком серверов к каждому серверу поставляется бесплатная лицензия на управляющее ПО АЭРОДИСК ЦУП, которое позволяет обеспечить централизованное управление и мониторинг серверов и СХД АЭРОДИСК.
Более подробное техническое описание характеристик платформ можно узнать из технических спецификаций:
Включено в реестр МинВсего
Для государственных организаций очень актуален вопрос наличия оборудования в реестре радиоэлектронной продукции Минпромторга, а программного обеспечения – в реестре Минцифры. Тут все прозрачно, не будем растекаться мыслью по древу: поскольку и ПО, и железо производится в России, то с «реестровостью» проблем нет, в вышеуказанных реестрах все есть, пруфы ниже:
РЕЕСТР ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Система резервного копирования RuBackup.
Государственная информационная система промышленности. Сервер общего назначения AERODISK Machine 1U.
Государственная информационная система промышленности. Сервер общего назначения AERODISK Machine 2U.
Очень критическая информационная инфраструктура
С 2018 года в России действует закон 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)», обязывающий организации обеспечить комплексную защиту значимых объектов КИИ. К данной категории относятся информационные системы и сети, нанесение ущерба которым может привести к возникновению угрозы для здоровья и жизни людей, негативному влиянию на экономическую, политическую, экологическую и социальную устойчивость региона и государства в целом.
Исходя из этого у предприятий России регулярно возникает задача по категорированию и аттестации ИТ-инфраструктуры для использования её в рамках КИИ.
Гиперконвергентная система АЭРОДИСК vAIR, а также гипервизор АИСТ в отдельности позволяют эту задачу решать, как на программном уровне, так и на аппаратном. Оба решения реализованы с применением продукции российской компании ОКБ САПР, которая имеет в своём портфеле сертифицированные ФСТЭК России средства защиты информации.
Для программного уровня используется сертифицированное ФСТЭК программное обеспечение Аккорд-KVM, которое обеспечивает контроль целостности виртуальных машин и всех её компонентов, в том числе файлов, содержащих параметры настройки виртуальных машин, а также системных и пользовательских файлов внутри ВМ.
Для аппаратного уровня АЭРОДИСК Machine-V, а также для систем хранения данных АЭРОДИСК Восток и Engine предусмотрены дополнительные опции для защищенного исполнения. В частности, речь идет об «Аккорд-МKT» — средстве доверенной загрузки уровня базовой системы ввода-вывода (БСВВ).
Доверенная загрузка — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации / аутентификации пользователя.
Таким образом, с помощью решений ОКБ САПР (в рамках решений АЭРОДИСК поставляются и поддерживаются самим Аэродиском по OEM-модели), задача защиты и аттестации ИТ-инфраструктуры системы виртуализации АИСТ или гиперконвергентных систем vAIR согласно требованиям ФСТЭК России возможна для:
ГИС 1 класса защищенности
ИСПДн 1 уровня защищенности
КИИ 1 категории значимости
Совместимость СПО «Аккорд-KVM» с системой виртуализации АЭРОДИСК АИСТ.
Совместимость СПО «Аккорд-KVM» с гиперконвергентной системой АЭРОДИСК vAIR.
Совместимость системы хранения данных АЭРОДИСК Engine с МДЗ «Аккорд-МКТ».
Также добавим полезную опцию. Некоторое время назад компания АЭРОДИСК получила лицензии Минобороны, ФСБ и ФСТЭК России и теперь может выполнять проектирование, разработку и поставкусредств защиты информации, а также проведение аттестационных мероприятий для КИИ. В частности, речь идет о следующем комплексе мероприятий:
Аудит информационной безопасности.
Оценка исходного уровня защищенности, проведение оценки соответствия.
Защита и категорирование объектов КИИ.
Проектирование подсистемы обеспечения информационной безопасности.
Поставка средств защиты информации.
Внедрение средств защиты информации.
Разработка организационно-распорядительных документов в области информационной безопасности.
Проведение аттестационных испытаний по требованиям безопасности информации.
Защита коммерческой и служебной тайны организации.
Оценка рисков информационной безопасности.
Что это значит для конечного заказчика? Это значит, что у компании АЭРОДИСК возможно не только приобрести наши решения и обеспечить качественную техническую поддержку, но и комплексно решить вопросы информационной безопасности, которые с каждым днем становятся все актуальнее.
Вопрос миграции
Основной вопрос миграции - какие средства использовать? Глобально средства миграции виртуальных машин между разными гипервизорами делятся на две категории: стороннее ПО, то есть ПО, разработанное сторонней компанией, не относящейся к производителю системы виртуализации (например, opensource) или ПО, разработанное производителем. Разберем оба варианта.
Использование стороннего ПО возможно, но несет в себе один большой риск. Если что-то пойдет не так, производитель системы виртуализации (любой) не сможет гарантировать вам качественную поддержку, поскольку не принимал участия в разработке данного ПО. В таких условиях спланировать миграцию в те или иные сроки практически невозможно. Использовать стороннее ПО для миграции возможно только для некритичных задач, в которых долгие простои инфраструктуры и неопределённые сроки миграции допустимы.
Использование ПО, разработанного производителем для критичных инфраструктур, является единственным верным решением, которое снижает все возможные риски. При любой нештатной ситуации вы сможете обратиться в поддержку производителя, и в соответствии с выбранным тарифом поддержки, производитель, который непосредственно разрабатывал средство миграции, вам её окажет, тем самым максимально снизив риск простоев инфраструктуры и других нештатных ситуаций.
Гипервизор АИСТ поставляемый в рамках ПАК-а АЭРОДИСК Machine-V имеет встроенное в продукт средство миграции виртуальных машин VMware и Hyper-V. Оказание услуг поддержки при миграции с этих продуктов входит в любой пакет поддержки АЭРОДИСК. Дополнительной полезной возможностью (доступной в премиальной поддержке) является привлечение инженеров АЭРОДИСК к самой процедуре миграции, включая её планирование, что позволит исключить большинство рисков, связанных с миграцией.
На одном из прошлых вебинаров мы демонстрировали средство миграции в работе, видео с нашего канала доступно ниже:
Упрощение технической поддержки
Использование ПО АИСТ и vAIR на собственном оборудовании возможно и является довольно унифицированным способом, оно не ограничивает вас в выборе как самого серверного оборудования, так и его комплектации. При этом важно, чтобы оборудование было в списке совместимости системы виртуализации. Отсутствие в списке совместимости оборудования в случае компании АЭРОДИСК не является блокирующим ограничением, поскольку добавление новых устройств в список совместимости продуктов АЭРОДИСК АИСТ и vAIR происходит по запросу заказчиков в течение месяца после обращения. Единственным недостатком использования ПО виртуализации АИСТ и серверов от разных производителей является два окна технической поддержки. Это накладывает дополнительные риски увеличения сроков простоев ИТ-инфраструктуры, поскольку при сбоях вам придется общаться с двумя разными поддержками двух разных производителей, что влечёт за собой дополнительные трудозатраты и увеличивает сроки решения задач.
Использование готовых ПАК-ов Machine-V является наиболее надежным с точки зрения непрерывности ИТ-процессов сценарием развертывания. Техническая поддержка АЭРОДИСК покрывает все возможные нештатные ситуации вплоть до быстрой замены физических серверов и их компонентов на площадке заказчика (покрытие по всей России и СНГ).
Заключение
Появление российского, готового к вводу в эксплуатацию программно-аппаратного комплекса АЭРОДИСК Machine-V, который включает в себя систему виртуализации, распределенную СХД, систему резервного копирования, сертифицированные ФСТЭК России средства защиты и при этом полностью покрывается поддержкой одного производителя – ещё один пусть небольшой, но шаг к взрослению рынка российских ИТ-разработок.
Продажи ПАК АЭРОДИСК Machine-V стартуют с апреля 2022 года, но уже сейчас можно выполнить предварительный заказ (на складе все есть).
Мы будем рады любым пожеланиям, вопросам и предложениям, поэтому, как обычно, мы после статьи на Хабре анонсируем наш вебинар «Около-ИТ», который пройдет 9 марта 2022 года, где в прямом эфире мы поговорим о платформах Machine-V, а вы сможете задать любые интересующие вопросы.
Ещё одна хорошая новость. Мы организовали свой телеграм канал: «Импортозамещение здорового человека» (не путать с нашим чатом тех. поддержки). Как понятно из названия, в этом канале мы будем писать не только про АЭРОДИСК, но и про импортозамещение в ИТ в целом, без оголтелой пропаганды и «всепропальщеских» настроений, а используя максимально трезвый взгляд на текущие возможности и тенденции.
Ссылка на канал: https://t.me/aerodisk_official
Всем спасибо, ждем вопросов и предложений.