Импортозамещение на практике. Часть 2. Начало. Гипервизор

    В предыдущей статье были рассмотрены варианты, на что можно заменить существующие системы в рамках выполнения приказа об импортозамещении. Далее в статьях речь пойдет о выборе конкретных продуктов для замены развернутых в настоящее время. Начнем с точки отсчета — системы виртуализации.

    image

    1. Муки выбора


    Итак, из чего можно выбрать? В реестре Минкомсвязи выбор есть:

    • Система серверной виртуализации «Р-Виртуализация» (libvirt, KVM, QEMU)
    • Программный комплекс "Средства виртуализации «Брест»" (libvirt, KVM, QEMU)
    • Платформа управления и мониторинга среды виртуализации «Sharx Stream» (облачное решение, которое не подходит для госконтор в 95% случаев (секретность и т.д.)
    • Программный комплекс виртуализации серверов, рабочих столов и приложений «ХОСТ» (KVM x86)
    • Система безопасного управления средой виртуализации "Z|virt" (он же oVirt+KVM)
    • Система управления средой виртуализации «ROSA Virtualization» (он же oVirt+KVM)
    • Гипервизор QP VMM (слишком похож на Oracle Virtual Box, чтобы быть чем-то другим)

    Так же можно брать в расчет гипервизоры, входящие в состав поставки ОС, или находящиеся в их репозитории. Например, у той же Astra Linux есть поддержка KVM. И так как он входит в репозитории ОС, то его можно считать «легитимным» для установки и использования. О том, «что можно использовать в рамках импортозамещения, а что нет», было оговорено в предыдущей статье, так что не буду останавливаться на этом вопросе.

    На деле вот список средств виртуализации Astra Linux
    Ссылка

    • VirtualBox
    • Virt-manager (KVM) Орел current
    • libvirt over KVM

    У ROSA Linux такого списка нет, но в wiki можно найти следующие пакеты:
    Ссылка

    • ROSA Virtualization over oVirt over KVM
    • QEMU over KVM
    • oVirt 3.5 over KVM

    У Альт Линукс в репозитории нашлось:
    Ссылка

    • QEMU over KVM
    • libvirt over KVM
    • VirtualBox

    У Calculate нашлось следующее:
    Ссылка

    • QEMU over KVM
    • libvirt over KVM
    • VirtualBox

    У Ульяновск.BSD
    Ссылка

    • bhyve
    • VirtualBox

    1.2. Есть одно НО


    При ближайшем рассмотрении, делаем вывод, что иметь дело нам придется всего лишь с несколькими известными гипервизорами, а именно:

    1. KVM
    2. VirtualBox
    3. QEMU
    4. bhyve

    QEMU — свободная программа с открытым исходным кодом для эмуляции аппаратного обеспечения различных платформ, которая может работать и без использования KVM, но использование аппаратной виртуализации значительно ускоряет работу гостевых систем, поэтому использование KVM в QEMU (-enable-kvm) является предпочтительным вариантом. (с) То есть QEMU — гипервизор 2го типа, что неприемлемо в продуктовой среде. С KVM его можно использовать, но в этом случае QEMU будет использоваться в качестве средства управления KVM.

    bhyve — гипервизов второго типа. Отметается.

    Использование оригинального VirtualBox в коммерции является фактически нарушением лицензии: «Начиная с версии 4, выпущенной в декабре 2010 года, основная часть продукта распространяется бесплатно под лицензией GPL v2. Устанавливаемый поверх неё дополнительный пакет, обеспечивающий поддержку устройств USB 2.0 и 3.0, протокол удалённого рабочего стола (RDP), шифрование накопителя, загрузку с NVMe и по PXE, распространяется под особой лицензией PUEL («для личного использования и ознакомления»), по который система бесплатна для личного использования, в целях обучения или для оценки перед принятием решения о приобретении коммерческой версии.» (с) Плюс VirtualBox так же является гипервизором 2го типа, так что он так же отпадает.

    Итого: в чистом виде мы имеем только KVM.

    2. В остатке: KVM или KVM?


    image

    В случае, если вам все же необходимо перейти на «отечественный» гипервизор — выбор у вас, прямо скажем, невелик. Это будет KVM в той или иной обертке, с теми или иными доработками, но все равно это будет KVM. Хорошо это или плохо — вопрос другой, все равно альтернативы нет.

    В случае, если условия не столь строги, то, как говорилось в предыдущей статье: «Нам надо привести показатели к установленным пределам. На деле это значит, что мы должны заменить существующие ОС на продукты из реестра Минкомсвязи и довести количество замененных операционных систем до 80%.… Итак, мы спокойно можем оставить кластер на Hyper-V, раз уж он у нас есть и нам он нравится...» (с) Так что перед нами стоит выбор: Microsoft Hyper-v или KVM. KVM может быть с «прикрученными» к нему средствами управления, но он все равно останется все тем же KVM.

    Эти продукты сравнивались далеко не однократно, не двукратно, не трехкратно… Ну, вы поняли…

    Про развертывание и настройку KVM так же писалось не однократно, не двукратно, не трехкратно и не четырехкратно… Словом, выпонели.

    То же самое и про Microsoft Hyper-V..

    Не вижу смысла повторяться и описывать эти системы, сравнивать и т.д. Можно, конечно, повыдергивать из статей ключевые моменты, но это будет неуважение к авторам, я считаю. Кому предстоит выбирать — тот прочтет не только это, но и еще гору информации, чтобы определиться.

    Единственное отличие, на котором хочу заострить внимание — отказоустойчивая кластеризация. Если у Microsoft это встроено в ОС и функционал гипервизора, то в случае с KVM придется использовать стороннее ПО, которое должно входить в репозитории ОС. Та же связка Corosync+Pacemaker, например. (Эта связка есть почти у всех отечественных ОС… может, и у всех, но все 100% я проверять не стал.) Мануалы по настройке кластеризации так же имеются в избытке.

    3. Вывод


    Ну, как обычно, наши Кулибины не стали заморачиваться, взяли что было, прикрутили чуточку своего, и выдали «продукт», который по документам является отечественным, а на деле — OpenSource. Есть ли смысл тратить деньги из бюджета за «отдельные» системы виртуализации (читай не входящие в состав ОС)? Не думаю. Так как все равно вы получите тот же KVM, только за него еще нужно будет заплатить.

    Таким образом, выбор замены для гипервизора сводится к тому, какие серверные ОС вы собираетесь закупать для Предприятия и эксплуатировать. Или же, как в моем случае, останетесь на том, что у вас уже есть (Hyper-V\ESXi\вписать_нужное).
    Поддержать автора
    Поделиться публикацией

    Комментарии 41

      +3

      Все именно так.
      После ухода со сцены систем типа БЭСМ и иже весь "софт" стал "импортным", а точнее — основанным на иностранной кодовой базе.


      Я сильно сомневаюсь, что в текущих реалиях (рыночных/политических/ добавить нужное) возможно создать полностью "свой" стек нудных ПО.
      Это займет десятилетия и кроме отставания ни к чему не приведет.
      Я уже молчу про безопасность, так как в опенсорс худо-бедно, но выявляются и устраняются уязвимости, а как быть с продуктом, который закрыт, имеет малый "футпринт" и ограниченную по возможностям поддержку…
      Короче да, грусть.

        +3
        Выскажу, возможно, парадоксальную мысль — чем меньше импортозамещение, тем дальше мы от чебурнета.
          0
          да парадокс то в том, что при этом импортозамещении используют импортные разработки, но т.к. они с открытым исходным кодом, то некоторые выдают его за свои…
          +1
          Я дико извиняюсь, но в терминах нашей нормативки «отечественное ПО», это «ПО, ответственность за которое несет отечественное юридическое лицо». Под ответственностью понимается весь обьем требований гос-ва как к просто юрлицам, так и конкретно к производителям ПО, причем неважно — сертифицированное решение у вас по нормам (ФСТЭК, ФСБ, МО) или нет.

          Почему-то упорно забывают разницу между «отечественное ПО» и «отечественное ПО условно одобренное гос-вом». Второе это сертификация, попадание в реестр и т.п., что, да, без админ-рычагов и т.п. довольно трудно (хотя и такое бывает тоже). И если вы обязаны применять только такое, то ну вот такие требования, с этом придется жить.

          OSS который обслуживается на территории РФ некоторой компанией, с полной юридической ответственностью за него, вполне себе отечественное ПО, хоть код и написан по большей части (хотя тоже по разному бывает) не на территории РФ.

          Вопрос лицензий и степени ответственности оставляю за рамками, это все к юристам.

          Приходилось создавать решения на основе OSS, с «открытыми лицензиями». Вопрос у заказчиков был обычно «вы нормально готовить это умеете?», а не «а, у вас тоже bla и blu — так этож любой дурак использовать может». Нет, не любой может, как показала практика. И в закрытом софте такая же история — купить могут все, а вот применить нормально…
            +6
            Ага, щаз. На практике платишь дурные бабки за Сертифицированное ПО, получаешь древнее необновляемое дырявое говно. Зато увешанное сертификатами и лицензиями. А теперь, попробуй предъяви производителю за дыру. Тыкнут в морду сертификатом от ФСБ и утритесь.
            Всё импортозамещение — профанация, а все россказни про «ответственность» — ширма для насильственного впаривания говна нерыночными методами. Как и вообще вся система «сертификации» (без кавычек даже рука не поднимается написать) в РФ. Заноси бабло, получай бумажки.
              0
              Подайте в суд при взломе. В последнее время, к моему удивлению, суда стали работать довольно адекватно. Во всяком случае, в отношении коммерческих договоров…
                +1
                Чем закончились суды с роскомпозором и баном айпи по маске 0.0.0.0 всего и вся?
                Подайте в суд на предприятие которое принадлежит сыну прокурора и удивитесь как быстро найдут репост в поддержку свержения власти и буквами использовавшимися при написании майнкампфа.
                  0
                  А с чего это они стали вдруг работать адекватно? Расположение планет поменялось в солнечной системе? Так завтра всё опять изменится. Насколько я знаю, ЕСПЧ завален исками от россиян.
                  Про сертификаты тут выше сказали. Мне вот что непонятно-почему коммерсанты платят госструктурам за сертификацию ПО? Мне кажется что: 1) это должно делаться бесплатно, госструктуры и так получают зарплату из бюджета, это их работа; 2) госструктуры в свете законов об импортозамещении должны самостоятельно сертифицировать различное ПО и выкладывать на сайте список.
                  Закон об импортозамещении издали. Но выходит что если коммерсанты не начнут околачивать пороги госструктур и сертифицировать ПО закон так и останется на бумаге?
                  Что конкретно делает государство для импортозамещения кроме грозных окриков «тащить» и «не пущать»?
                  +1
                  Вы написали не совсем правду. Или у нас разный опыт, т.к. с ФСБ у меня меньше всего опыта. Но в том же ФСТЭК заставляют закрывать «дыры» и выпускать «заплатки». В Минобороны тоже есть такие требования.

                  Есть такой Банк данных угроз безопасности информации: bdu.fstec.ru/vul

                  Если Вам предлагают «древнее необновляемое дырявое г.но», то перейдите на продукт другого производителя, т.к. альтернативы обычно есть. Ну и надо понимать, что чем выше класс защиты, тем менее обновляемое и более г.но будете получать. Это не только в «поганой рашке», но и в «солнечном пиндостане» такая ситуация.
                  0
                  Критерии отечественности программного обеспечения
                  ФЗ определяет критерии, которым должно соответствовать ПО, чтобы попасть в реестр.

                  В их числе:

                  * исключительное право на ПО на территории всего мира и на весь срок действия исключительного права должно принадлежать: РФ, субъекту РФ или муниципальному образованию; российской НКО, высший орган управления которой формируется прямо или косвенно РФ, субъектами РФ, муниципальными образованиями или россиянами и которая не признается контролируемой иностранным лицом российской организацией; российской коммерческой организации с суммарной долей прямого или косвенного участия РФ, субъектов РФ, муниципальных образований, НКО и прямого или косвенного участия граждан РФ более 50%; гражданину РФ;
                  * ПО доступно в свободной продаже;
                  * общая сумма выплат по лицензионным и иным договорам, предусматривающим предоставление прав на результаты интеллектуальной деятельности и средства индивидуализации, выполнение работ, оказание услуг, использованных для разработки, адаптации и модификации ПО, в пользу иностранных лиц, контролируемых ими российских организаций, агентов, представителей иностранных лиц и контролируемых ими российских организаций составляет менее 30% от выручки правообладателя от реализации ПО за календарный год;
                  * сведения о правообладателе ПО внесены в реестр аккредитованных организаций, осуществляющих деятельность в области информационных технологий;
                  * сведения о ПО не составляют гостайну и сами программы или базы данных не содержат сведений, составляющих гостайну.
                  +1

                  Импортозамещение импортом, уже не удивляет:-)

                  0
                  Что-то для ALTLinux ссылка ведет на не совсем свежий продукт.
                  Есть новее: www.basealt.ru/products/alt-8-sp-sertifikat-fstehk-rossii/alt-8-sp-server
                    0
                    Есть ALT Linux, а есть Альт Линукс. Первый — OpenSource продукт, второй есть в реестре Минкомсвязи, был «доработан» СПТ. Путать их не стоит, так как это разные ОСи.
                    0
                    Ну, я то вроде ничего не путаю. Написание латиницей или кириллицей мало на что влияет.
                    СПТ это старая версия, сертифицированная ФСТЭК, в реестре под номером 9
                    Новая версия — 8 СП, под номером 4305
                    В реестре минкомсвязи есть позиции со следующими номерами, относящиеся к ALT:
                    9 — reestr.digital.gov.ru/reestr/61248
                    1541 — reestr.digital.gov.ru/reestr/87620
                    1292 — reestr.digital.gov.ru/reestr/87364
                    1912 — reestr.digital.gov.ru/reestr/89517
                    4305 — reestr.digital.gov.ru/reestr/125868

                      0
                      У них разные вендоры! Вот что я упустил.
                      Исправил.
                        0
                        Но всё равно какие-то неравноценные сведения в обзоре.
                        В ALT есть и QEMU, и libvirt, и VirtualBox.
                        Хотя в рамках этой статьи это мало что меняет, т.к. диагноз один, в реестре минкомсвязи есть только KVM для production-виртуализации.
                          0
                          мМм… Да, ничего не меняет, но можно ссылку на первоисточник? Мне в поиске не попалось. Конечный результат не изменится, но надо быть максимально объективным все же.
                      0
                      Основной источник это список пакетов в репозиториях ALT: packages.altlinux.org
                      Sisyphus — нестабильный репозиторий для разработки
                      p8 — текущий стабильный репо для выпуска дистрибутивов
                      c8 — текущий стабильный репо для дистрибутивов с сертификацией
                        0
                        Спасибо, полазаю и исправлюсь.
                        0

                        Очередная статья, не имеющая отношения к практическому импортозамещению. Автор наковырял полторы «российские» платформы виртуализации, повздыхал, что везде KVM… и всё! А где же практическое импортозамещение? Я пока увидел практическое нытьё, а вот импортозамещение — более чем теоретическое...

                          0

                          Не согласен.
                          Автор как раз показал что можно и нужно, если требуется " сертифицированное".

                            –1

                            Не согласен. Автор показал «что можно», если хочется пойти по пути автора — купить какие-то дистрибутивы и положить на полку. И не сертифицированные, а перечисленные в реестре Минкомсвязи (там не всё сертифицированное).
                            А вот «что нужно» автор не показал от слова совсем. Вот если бы было какое-то сравнение функционала, хотя бы из спецификаций взятого, тогда была бы хоть какая-то ценность. А так статья в духе «глядите-ка, в реестре и средства виртуализации есть».
                            Навскидку, даже не залезая в реестр, могу перечислить еще три платформы, которые в статье не упомянуты: РУСТЭК, Горизонт-ВС, Veil.
                            Где сравнение хоть чего-нибудь с чем-нибудь? Пока похоже на «не пробуйте эти кактусы, они подозрительно похожи на аризонские, сибирских в этом списке нет». Но когда кактусы подадут к столу, выяснится, что кушать их пока никто не умеет...

                              0
                              Какое сравнение функционала может быть в рамках одной и той же системы? Или вы предлагаете мне KVM с Hyper-V сравнивать? Так я привел статьи со сравнением. Везде в основе KVM, он везде одинаков и ничем не отличается, только обвязкой в виде системы управления. Какую ни выбери — функционал не изменится, потому что управлять скорость машиныот цвета краски не зависит.
                          +1
                          Не судите по обёртке, уважаемый. Гипервизор QP VMM написан полностью заново. Программа управления виртуальными машинами — это не гипервизор, а всего-навсего оболочка. Она может выглядеть как угодно.
                            –2
                            Это гипервизор 2го типа… Как бы он ни выглядел — он не годится ни для чего, кроме домашнего использования.
                              0
                              Ну начнем с того, что разделение гипервизоров на типы — штука условная. QP VMM встроен напрямую в ядро операционной системы, что позволяет управлять компьютером в полном объеме. Поэтому можно считать его гипервизором полуторного типа, если можно так выразиться.
                                0
                                Нельзя считать гипервизор 1.5м типом. Он либо отдает гостевой системе аппаратные ресурсы, либо эмулирует их. Ваш гипервизор их эмулирует. Не важно, куда он втроен и под или нед чем работает. Важно, как он отдает ресурсы гостевым ОС.
                                И если вы втираете мне такую чушь, то я никогда и ни при каких обстоятельствах не буду испоьлзовать софт, написанный вашей конторой.
                                  –4
                                  Ну, хорошо уже то, что вы согласились с тем фактом, что мы сами разрабатываем свой софт. А по поводу утверждения, что никогда не будете использовать наш софт, то хочется вспомнить классика — «никогда не говори никогда».
                                    –2
                                    В настоящий момент QP VMM поддерживает VT-d. Через некоторое время будет поддерживать другие виды SR-IOV. Так что мы не всё эмулируем.
                                  –3
                                  Кстати, ваша организация получала наш гипервизор на тестирование? Или же вы строите доказательную базу на основе снимков экрана с нашего сайта?
                                0
                                Как обстоят дела с аппаратной виртуализацией в CPU Эльбрус? На x86 сейчас де-факто есть в каждом десктопном проце, кроме днища процессоростроения.
                                  0
                                  Судя по их сайту, есть.
                                    0

                                    Оно там есть, но не очень ясно — зачем.
                                    Поясню: платформа Эльбруса создана не с целью заменить существующие сервера, а, скорее, дать аппаратную базу для решения прикладных, оптимизированных под конкретные аппаратные средства, задач.


                                    Таким образом, если мы говорим о работе приложений, то скорее нужна контейнеризация, чем виртуализация.


                                    Было много (даже тут) написано по поводу Эльбруса. Это не замена х86 в прямом смысле, по крайней мере на текущем этапе.

                                      0
                                      Ну как я понимаю целью всё-таки является конкуренция с x86.
                                        0
                                        Нет, такой цели ни кто при разработке платформы не ставил — ее создали в умах «диванные аналитики».
                                        Задача была крайне простой — дать аппаратную базу полностью разработанную в РФ для нужд РФ. В том смысле что разработчики, документация и потребители говорят на одном языке, физически доступны и платформа 100% сертифицируется под нужды заказчика.

                                        То, что Эльбрус сравнивают с х86, так это по тому, что больше сравнить не с чем. Так как сравнение «не с х86» для ширмасс не понятно, сложно и ведет к зеванию.

                                        А то, что Эльбрус может заменять х86 — так это его «побочное» свойство, позволяющее использовать единую аппаратную базу для поставки заказчику. И, кстати, будучи оптимизированным, код привычных серверных приложений — вполне себе работает. Но там никогда не предполагалось, в отличие от печально изместной Niagara by Sun Mic. широкое использование во благо неопределенного круга потребителей.

                                        ЗЫ. Это я все к чему — если случится чудо, и Эльбрус так и попалет в широкие массы, и туда подтянется достаточное сообщество разработчиков, то шанс на нормальные «виртуализации» и «вебы» там появится. Сей час же это экзотическая платформа, которых, к слову, полно у того же Intel, которую, почему-то, пытаются стравнивать с машинами широкого применения и удивляются, что «оно тупит». =)
                                          0
                                          На LJ читал месяца два назад про попытку разработчика, именно компании а не фрилансера-одиночки получить документацию от производителей Эльбруса. Сложилось впечатление что проще выпытать гостайну у прапорщика, который ее и не знал никогда.
                                  0
                                  После «импортозамещения» в электронике, меня уже трудно чем то удивить. Но Вам это удалось -)
                                    0
                                    Я старался)
                                    0
                                    Автору огромное спасибо за проделанную работу! Очень помогает при изучении вопроса!
                                      0
                                      Всегда пожалуйста!

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое