Многие из вас так или иначе уже сталкивались с популярным ныне словом «импортозамещение». И, по очевидным для многих причинам, единсвтенным источником ИТ-продуктов и решений в этой ситуации являются вендоры с «китайскими корнями».
Начав знакомство с департаментом Enterprise компании Huawei, я просто не мог пройти мимо их решений в сфере виртуализации. В предыдущей статье я уже упоминал об одном из них — Huawei FusionCompute.
Этим опытом я и хочу с вами поделиться.
Данное решение является средством виртуализации рабочих мест. По сути своей, основываясь на технологии виртуализации, оно позволяет создавать множество виртуальных машин с пользовательской ОС на базе виртуального кластера и дает удобные графические инструменты для их управления.
1. Возможность получить доступ к своему рабочему столу из любого места (при наличии устойчивого интернет соединения);
2. Сохранение всех пользовательских данных и настроек (включая персонификацию рабочего стола) при доступе с удаленных рабочих мест.
1. Быстрое развертывание виртуальных рабочих мест из шаблонов «в один клик»;
2. Возможность планировать и «шедулить» рутинные процессы;
3. Управление и мониторинг «из одного окна»;
4. Гибкая система пользовательских политик;
5. Прозрачные инструменты управления безопасностью;
6. Возможность интеграции с существующей инфраструктурой (в том числе AD).
Основываясь на гипервизоре FusionCompute, данное решение имеет модульную структуру, состоящую из различных компонентов (сервисов).
Все компоненты разделены на 3 уровня:
1. Контроль доступа
2. Управление виртуальными станциями
3. Учет и хранение логов
Каждый уровень состоит из нескольких виртуальных машин, на которых и крутятся эти сервисы. Для отказоустойчивости и доступности решения все сервисы рекомендуется дублировать по схеме Active\Passive (создавать 2* виртуальные машины).
* В случае большого объема (согласно best practice) Huawei рекомендует увеличивать количество ВМ с компонентами WI и vLB.
Первый уровень реализован с помощью сервисов vAG и vLB
vAG (virtual Access Gateway) — отвечает за контроль доступа снаружи
vLB (virtual Load Balancer) — отвечает за распределение нагрузки между WI-машинами.
Второй уровень, отвечающий за непосредственное управление системой виртуальных рабочих станций, представлен следующими сервисами: HDC, ITA, DB, WI и License
HDC — ядро решения VDI. Отвечает за соответствие создаваемых VM или их шаблонов заданным политикам, создание\модификацию Desktop Groups и многое другое.
ITA (IT Adapter) — сервис, отвечающий за предоставление пользователю виртуальных рабочих станций, а так же за связь между HDC и гипервизором FusionCompute (создание\удаление VM).
DB (GaussDataBase) — БД, в которой хранятся все данные о пользователях, шаблонах, ВМ, политиках и пр
License — сервис, отвечающий за лицензирование решения (активация, контроль срока действия и т.д.)
Последний уровень представлен сервисом Loggetter.
Loggetter — сохраняет на себя логи всех подключений и изменений настроек пользователей (и бэкапирует их)
Весь процесс разворачивания решения Huawei FusionAccess можно разделить на 4 этапа:
1. Подготовка инфраструктурных ВМ на базе Winows OS
2. Подготовка инфраструктурных ВМ на базе Linux OS
3. Инсталляция сервисов
4. Настройка сервисов
Как уже понятно, единого образа ВМ для разворачивания решения здесь нет. Вам необходимо будет скачать с сайта поддержки Huawei дистрибутив Windows Server 2008 R2, и дистрибутивы сервисных утилит FusionAccess_Installer_Linux/Windows_V***.iso
При этом дистрибутив утилит для Linux является и дистрибутивом самой ОС.
Согласно рекомендациям необходимо дублировать все разворачиваемые инфраструктурные ВМ, однако я в качестве эксперимента и из-за ограничений демо-стенда отказался от резервирования. Итого, минимальное количество виртуальных машин — 4:
• ITA
• Loggetter
• vAG + vLB
• HDC + WI + DB + License
При этом первые 2 работают под Windows Server 2008 R2, а вторые — Novell SUSE Linux Enterprise Server 11 SP1 64- bit.
Инсталляция Linux OS имеет стандартный визард:
Дистрибутивы сервисов имеют графические интерфейсы и достаточно понятную навигацию.
На Linux-овых машинах установка запускается консольным скриптом startTools:
ОС Windows может быть развернута как из вашего дистрибутива, так и из дистрибутива, скачанного с сайта поддержки Huawei.
При этом есть два сценария развертывания решения — с использованием службы DNS и без. Я в качестве эксперимента произвел инсталляцию с использованием имеющихся в нашей демо-лаборатирии AD/DNS/DHCP-служб.
В случае использования уже существующей AD рекомендуется создать отдельную User Group под VDI (включая служебных пользователей) и настроить права доступа на создаваемых машинах.
Чтобы сократить временные затраты на первом этапе, предлагается создать шаблон ВМ с инкапсулированной WinServ2008R2 (предварительно введенной в домен), который в дальнейшем деплоится необходимое количество раз (в моем случае — дважды).
После разворачивания необходимого количества виртуальных машин на них необходимо установить сервисы ITA и Loggetter. Это выполняется с помощью мастера установок, имеющего достаточно понятный интерфейс.
После установки всех необходимых компонентов необходимо произвести их настройку, указав заранее выделенные IP-адреса из спланированной подсети.
В целом web-интерфейс не вызывает нареканий.
Все выполнено в одном дизайне с решениями группы FusionSphere.
Первичная авторизация происходит по стандартным данным доступа из мануала, в дальнейшем требуется смена пароля. Так же по умолчанию включен повышенный уровень сложности при выборе пароля (необходимо использование спец-символом) и защита капчой в случае неправильного ввода. Все это в дальнейшем можно будет отключить\настроить в соответствующем разделе настроек.
Выбор языка стандартен для всех продуктов Huawei Enterprise — английский и китайский.
Сразу надо отметить, что FusionAccess имеет строгий лист совместимости с разными версиями браузеров. И в случае его несоблюдения крайне велика вероятность некорректной работы web-интерфейса. Так например последняя версия IE на текущий момент не поддерживается. Huawei активно работает над обновлением списка совместимости, однако вам надо быть внимательным к этому нюансу.
В общем и целом интерфейс FusionAccess достаточно стандартен и понятен, и ничем кардинально не отличается от других решений VDI
Весь web-интерфейс поделен на 7 разделов:
1. Home — стартовый dashboard с основными индикаторами нагрузки и уведомлениями:
2. Quick Provisioning — форма быстрого выделения виртуальных рабочих мест из уже имеющихся шаблонов. Основные сущности (VM Group, VM template, Site) должны быть созданы и настроены заранее.
3. Desktop — интерфейс для создания и настройки основных сущностей:
• VM Template
• VM Group
• Desktop Group
• VM Naming Rule
Это основной рабочий инструмент по настройке политик и виртуальных рабочих мест. Сделав все необходимые настройки, вы сможете создавать и выделять десятки и сотни виртуальных станций через раздел быстрого выделения за несколько нажатий мыши.
4. Alarm — раздел, подробно отображающий и позволяющий управлять всеми уведомлениями и сообщениями об ошибках.
Все уведомления интерактивны, и предоставляют вам справку в случае необходимости:
Здесь же можно провести тестирование всех компонентов:
5. Task — раздел по отслеживанию прогресса выполнения задач и их планированию:
6. Statistics — раздел, отображающий подробную статистику по вашей VDI-инфраструктуре и позволяющий выгружать ее в форматах *.xls или *.txt:
7. System — единый раздел для всевозможных настроек и конфигураций. Здесь происходит интеграция с гипервизором, активация лицензий, создание пользователей и их групп, их политик, выгрузка логов и тд и тп:
Если после работы с гипервизором Huawei FusionCompute у меня возникло ощущение некой «сыроватости» продукта из-за нареканий по поводу интерфейса и возникающих багов, то VDI-решение FusionAccess показалось мне вполне законченным и работоспособным.
Внедрение данного решения в нашу тестовую среду помимо интересного и полезного опыта дало нам ряд преимуществ в организации доступа наших партнеров к демо-оборудованию.
До этого для предоставления удаленного доступа наших партнеров к демо-оборудованию использовалась технология VPN-туннелей на базе прокола L2TP. Партнеры необходимо было скачать VPN-клиент Huawei и config-файл с прописанными индивидуально для них реквизитами доступа.
Такой подход имел ряд недостатков:
1. Нам приходилось генерировать конфигурационный файл вручную непосредственно для каждого партнера
2. Партнеру приходилось скачивать дистрибутив VPN-клиента и конфигурационный файл, самостоятельно все это устанавливать. Даже с наличием подробной инструкции у некоторых людей возникали сложности
3. Из-за особенностей корпоративных стандартов соединений и внутренних политик безопасности некоторые клиенты не могли пользоваться L2TP-соединениями
4. Для работы с различными решениями Huawei пользователям необходимо было устанавливать на свои системы различные утилиты и ПО (например JRE, различные браузеры опередленных версий и т.д.), которые в дальнейшем, после окончания тестов, зачастую были ими невостребованны.
5. Оставался ряд нареканий по предоставлению доступа партнеров к нашей тестовой среде на L3-уровне.
Внедрение VDI-решения в свою очередь позволило нам решить все эти проблемы. Со своей стороны мы открыли «наружу» web-интерфейс FusionAccess.
Это позволило партнерам получать доступ к тестовой среде через виртуальную рабочую станцию.
Партнер после согласования организационных вопросов получает от нас письмо с прямой ссылкой на web-интерфейс и авторизационные данные. Аккаунты для пользователей мы можем заводить как в базе FusionAccess, так и в нашем AD.
При этом для работы с демо-стендом достаточно только установить плагин для браузера, позволяющий работать с виртуальными столами.
Помимо удобства при подключении партнеров, это повышает гибкость в организации тестовых площадок. В зависимости от типа тестируемого оборудования, я заранее могу формировать шаблоны виртуальных станций.
Например, для тестирования СХД Huawei OceanStor ver 1 я предоставляю партнерам виртуальную станцию с предустановленными JRE ver 6.0, ISM (софт для управления СХД Huawei 1го поколения), «правильными» версиями браузеров, Iometer и т.д.
Это облегчает партнеру задачу по тестированию, избавляя его от ненужной рутины и негатива.
В итоге, как оператор тестовой среды, я имею удобный инструмент по управлению удаленным доступом, легкого отслеживания статистики подключения и сроков предоставления доступа.
Для прекращения доступа не нужно обращаться к коллегам, отвечающим за сетевую безопасность. Достаточно переместить пользователя из пользовательской группы FusionAccess, или «зашедулить» остановку\удаление его рабочей станции на нужную дату.
В конечном итоге выиграли все — и наши партнеры, и мы.
Я понимаю, что данная тема была раскрыта не полностью, и у вас остались вопросы по VDI-решению от компании Huawei. Вы можете задать их в комментариях.
Темы, вызвавшие самый горячий отклик среди читателей, я готов осветить в дополнительном обзоре.
Начав знакомство с департаментом Enterprise компании Huawei, я просто не мог пройти мимо их решений в сфере виртуализации. В предыдущей статье я уже упоминал об одном из них — Huawei FusionCompute.
Этим опытом я и хочу с вами поделиться.
Преимущества VDI
Данное решение является средством виртуализации рабочих мест. По сути своей, основываясь на технологии виртуализации, оно позволяет создавать множество виртуальных машин с пользовательской ОС на базе виртуального кластера и дает удобные графические инструменты для их управления.
Для Пользователя:
1. Возможность получить доступ к своему рабочему столу из любого места (при наличии устойчивого интернет соединения);
2. Сохранение всех пользовательских данных и настроек (включая персонификацию рабочего стола) при доступе с удаленных рабочих мест.
Для ИТ-отдела:
1. Быстрое развертывание виртуальных рабочих мест из шаблонов «в один клик»;
2. Возможность планировать и «шедулить» рутинные процессы;
3. Управление и мониторинг «из одного окна»;
4. Гибкая система пользовательских политик;
5. Прозрачные инструменты управления безопасностью;
6. Возможность интеграции с существующей инфраструктурой (в том числе AD).
Архитектура
Основываясь на гипервизоре FusionCompute, данное решение имеет модульную структуру, состоящую из различных компонентов (сервисов).
Все компоненты разделены на 3 уровня:
1. Контроль доступа
2. Управление виртуальными станциями
3. Учет и хранение логов
Каждый уровень состоит из нескольких виртуальных машин, на которых и крутятся эти сервисы. Для отказоустойчивости и доступности решения все сервисы рекомендуется дублировать по схеме Active\Passive (создавать 2* виртуальные машины).
* В случае большого объема (согласно best practice) Huawei рекомендует увеличивать количество ВМ с компонентами WI и vLB.
Первый уровень реализован с помощью сервисов vAG и vLB
vAG (virtual Access Gateway) — отвечает за контроль доступа снаружи
vLB (virtual Load Balancer) — отвечает за распределение нагрузки между WI-машинами.
Второй уровень, отвечающий за непосредственное управление системой виртуальных рабочих станций, представлен следующими сервисами: HDC, ITA, DB, WI и License
HDC — ядро решения VDI. Отвечает за соответствие создаваемых VM или их шаблонов заданным политикам, создание\модификацию Desktop Groups и многое другое.
ITA (IT Adapter) — сервис, отвечающий за предоставление пользователю виртуальных рабочих станций, а так же за связь между HDC и гипервизором FusionCompute (создание\удаление VM).
DB (GaussDataBase) — БД, в которой хранятся все данные о пользователях, шаблонах, ВМ, политиках и пр
License — сервис, отвечающий за лицензирование решения (активация, контроль срока действия и т.д.)
Последний уровень представлен сервисом Loggetter.
Loggetter — сохраняет на себя логи всех подключений и изменений настроек пользователей (и бэкапирует их)
Установка
Весь процесс разворачивания решения Huawei FusionAccess можно разделить на 4 этапа:
1. Подготовка инфраструктурных ВМ на базе Winows OS
2. Подготовка инфраструктурных ВМ на базе Linux OS
3. Инсталляция сервисов
4. Настройка сервисов
Как уже понятно, единого образа ВМ для разворачивания решения здесь нет. Вам необходимо будет скачать с сайта поддержки Huawei дистрибутив Windows Server 2008 R2, и дистрибутивы сервисных утилит FusionAccess_Installer_Linux/Windows_V***.iso
При этом дистрибутив утилит для Linux является и дистрибутивом самой ОС.
Согласно рекомендациям необходимо дублировать все разворачиваемые инфраструктурные ВМ, однако я в качестве эксперимента и из-за ограничений демо-стенда отказался от резервирования. Итого, минимальное количество виртуальных машин — 4:
• ITA
• Loggetter
• vAG + vLB
• HDC + WI + DB + License
При этом первые 2 работают под Windows Server 2008 R2, а вторые — Novell SUSE Linux Enterprise Server 11 SP1 64- bit.
Инсталляция Linux OS имеет стандартный визард:
Дистрибутивы сервисов имеют графические интерфейсы и достаточно понятную навигацию.
На Linux-овых машинах установка запускается консольным скриптом startTools:
ОС Windows может быть развернута как из вашего дистрибутива, так и из дистрибутива, скачанного с сайта поддержки Huawei.
При этом есть два сценария развертывания решения — с использованием службы DNS и без. Я в качестве эксперимента произвел инсталляцию с использованием имеющихся в нашей демо-лаборатирии AD/DNS/DHCP-служб.
В случае использования уже существующей AD рекомендуется создать отдельную User Group под VDI (включая служебных пользователей) и настроить права доступа на создаваемых машинах.
Чтобы сократить временные затраты на первом этапе, предлагается создать шаблон ВМ с инкапсулированной WinServ2008R2 (предварительно введенной в домен), который в дальнейшем деплоится необходимое количество раз (в моем случае — дважды).
После разворачивания необходимого количества виртуальных машин на них необходимо установить сервисы ITA и Loggetter. Это выполняется с помощью мастера установок, имеющего достаточно понятный интерфейс.
После установки всех необходимых компонентов необходимо произвести их настройку, указав заранее выделенные IP-адреса из спланированной подсети.
Интерфейс
В целом web-интерфейс не вызывает нареканий.
Все выполнено в одном дизайне с решениями группы FusionSphere.
Первичная авторизация происходит по стандартным данным доступа из мануала, в дальнейшем требуется смена пароля. Так же по умолчанию включен повышенный уровень сложности при выборе пароля (необходимо использование спец-символом) и защита капчой в случае неправильного ввода. Все это в дальнейшем можно будет отключить\настроить в соответствующем разделе настроек.
Выбор языка стандартен для всех продуктов Huawei Enterprise — английский и китайский.
Сразу надо отметить, что FusionAccess имеет строгий лист совместимости с разными версиями браузеров. И в случае его несоблюдения крайне велика вероятность некорректной работы web-интерфейса. Так например последняя версия IE на текущий момент не поддерживается. Huawei активно работает над обновлением списка совместимости, однако вам надо быть внимательным к этому нюансу.
В общем и целом интерфейс FusionAccess достаточно стандартен и понятен, и ничем кардинально не отличается от других решений VDI
Весь web-интерфейс поделен на 7 разделов:
1. Home — стартовый dashboard с основными индикаторами нагрузки и уведомлениями:
2. Quick Provisioning — форма быстрого выделения виртуальных рабочих мест из уже имеющихся шаблонов. Основные сущности (VM Group, VM template, Site) должны быть созданы и настроены заранее.
3. Desktop — интерфейс для создания и настройки основных сущностей:
• VM Template
• VM Group
• Desktop Group
• VM Naming Rule
Это основной рабочий инструмент по настройке политик и виртуальных рабочих мест. Сделав все необходимые настройки, вы сможете создавать и выделять десятки и сотни виртуальных станций через раздел быстрого выделения за несколько нажатий мыши.
4. Alarm — раздел, подробно отображающий и позволяющий управлять всеми уведомлениями и сообщениями об ошибках.
Все уведомления интерактивны, и предоставляют вам справку в случае необходимости:
Здесь же можно провести тестирование всех компонентов:
5. Task — раздел по отслеживанию прогресса выполнения задач и их планированию:
6. Statistics — раздел, отображающий подробную статистику по вашей VDI-инфраструктуре и позволяющий выгружать ее в форматах *.xls или *.txt:
7. System — единый раздел для всевозможных настроек и конфигураций. Здесь происходит интеграция с гипервизором, активация лицензий, создание пользователей и их групп, их политик, выгрузка логов и тд и тп:
Заключение
Если после работы с гипервизором Huawei FusionCompute у меня возникло ощущение некой «сыроватости» продукта из-за нареканий по поводу интерфейса и возникающих багов, то VDI-решение FusionAccess показалось мне вполне законченным и работоспособным.
Внедрение данного решения в нашу тестовую среду помимо интересного и полезного опыта дало нам ряд преимуществ в организации доступа наших партнеров к демо-оборудованию.
До этого для предоставления удаленного доступа наших партнеров к демо-оборудованию использовалась технология VPN-туннелей на базе прокола L2TP. Партнеры необходимо было скачать VPN-клиент Huawei и config-файл с прописанными индивидуально для них реквизитами доступа.
Такой подход имел ряд недостатков:
1. Нам приходилось генерировать конфигурационный файл вручную непосредственно для каждого партнера
2. Партнеру приходилось скачивать дистрибутив VPN-клиента и конфигурационный файл, самостоятельно все это устанавливать. Даже с наличием подробной инструкции у некоторых людей возникали сложности
3. Из-за особенностей корпоративных стандартов соединений и внутренних политик безопасности некоторые клиенты не могли пользоваться L2TP-соединениями
4. Для работы с различными решениями Huawei пользователям необходимо было устанавливать на свои системы различные утилиты и ПО (например JRE, различные браузеры опередленных версий и т.д.), которые в дальнейшем, после окончания тестов, зачастую были ими невостребованны.
5. Оставался ряд нареканий по предоставлению доступа партнеров к нашей тестовой среде на L3-уровне.
Внедрение VDI-решения в свою очередь позволило нам решить все эти проблемы. Со своей стороны мы открыли «наружу» web-интерфейс FusionAccess.
Это позволило партнерам получать доступ к тестовой среде через виртуальную рабочую станцию.
Партнер после согласования организационных вопросов получает от нас письмо с прямой ссылкой на web-интерфейс и авторизационные данные. Аккаунты для пользователей мы можем заводить как в базе FusionAccess, так и в нашем AD.
При этом для работы с демо-стендом достаточно только установить плагин для браузера, позволяющий работать с виртуальными столами.
Помимо удобства при подключении партнеров, это повышает гибкость в организации тестовых площадок. В зависимости от типа тестируемого оборудования, я заранее могу формировать шаблоны виртуальных станций.
Например, для тестирования СХД Huawei OceanStor ver 1 я предоставляю партнерам виртуальную станцию с предустановленными JRE ver 6.0, ISM (софт для управления СХД Huawei 1го поколения), «правильными» версиями браузеров, Iometer и т.д.
Это облегчает партнеру задачу по тестированию, избавляя его от ненужной рутины и негатива.
В итоге, как оператор тестовой среды, я имею удобный инструмент по управлению удаленным доступом, легкого отслеживания статистики подключения и сроков предоставления доступа.
Для прекращения доступа не нужно обращаться к коллегам, отвечающим за сетевую безопасность. Достаточно переместить пользователя из пользовательской группы FusionAccess, или «зашедулить» остановку\удаление его рабочей станции на нужную дату.
В конечном итоге выиграли все — и наши партнеры, и мы.
P.S.
Я понимаю, что данная тема была раскрыта не полностью, и у вас остались вопросы по VDI-решению от компании Huawei. Вы можете задать их в комментариях.
Темы, вызвавшие самый горячий отклик среди читателей, я готов осветить в дополнительном обзоре.
