VDI. Сценарии применения

26.11.2013 | Ганус Сергей
Want create site? Find Free WordPress Themes and plugins.

Думаю, что не буду далек от истины, когда скажу, что тема виртуализации занимает значительную часть в спектре технологий для построения ЦОД. Причем, изначально основной упор делался на виртуализацию вычислительных систем (попросту, виртуализация серверов). И многие администраторы до сих пор воспринимают ее как единственную “истинную” виртуализацию. Однако рынок как всегда не стоит на месте. Думаю, что попробовав все “плюшки”, получаемые от виртуализации серверов, потребители технологий пришли к выводу, что этот же принцип (отделение физической сущности от логической) можно перенести и на другие подсистемы ЦОД. К примеру, достаточно много позитивных результатов принесла технология виртуализации систем хранения данных (СХД).

Еще одним из направлений виртуализации на современном этапе выступает виртуализация рабочих мест пользователей. В литературе и тематических блогах ее сокращенно называют VDI — Virtual Desktop Infrastructure. В чем состоит идея этой технологии?

Как и все новое — идея родилась из хорошо забытого старого — технологий терминального доступа, но уже реализованных в условиях современных ЦОД. Если кто-то из вас по долгу службы сталкивался с организацией терминального сервера, то он должен достаточно хорошо представлять себе все плюсы и минусы такого решения.  Как правило, функция терминального доступа для серверов Windows работает “из коробки”, необходимо только озаботиться нужным количеством лицензий. Кроме этого, протокол RDP — достаточно нетребовательный к ресурсу пропускной способности канала (например, при несложной работе в офисных приложениях, вроде набора текста, может потребоваться до 20 кбит/c. на каждую сессию). Когда активных действий не происходит — и того меньше (рис. 1).

 Рис. 1. Полоса пропускания для терминальной сессии RDP

Из минусов такого решения стоит отметить тот факт, что все пользователи вынуждены работать под одной и той же операционной системой. Это не совсем хорошо с разных точек зрения. Во-первых, не все приложения могут поддерживать работу под управлением серверной ОС в терминальном режиме. Причем, речь даже не идет о каких-то специализированных приложениях. К примеру, очень много жалоб на работу классического Adobe Reader при запуске в терминальной сессии, даже на последнем Windows 2012 Server. Flash также не блещет в этой области. Кстати, именно использование Flash в терминальной сессии может приводить к повышенной утилизации CPU. В этом заключается вторая проблема — может случиться так, что пользователь, открывший в браузере сайт с рекламным баннером, “отъест” все ресурсы CPU, не оставив другим пользователям возможности работать.

Решить проблему честного разделения ресурсов, а также совместимости приложений и позволяет технология VDI. Общая ее идея заключается в следующем: каждому пользователю выделяется персональная виртуальная машина. Благодаря этому достигается и разделение пользователей (то, чем занимается терминальный сервер) и распределение вычислительных ресурсов между пользователями (каждой виртуальной машине можно выделить определенное количество памяти и процессорного времени). Вот как выглядит схема функциональная организации VDI:

Рис. 2. Схема функциональная организации решения VDI

На первом этапе (1) пользователь должен получить доступ к ресурсам сервера VDI — пройти этапы аутентификации и авторизации. Для аутентификации удобно использовать уже существующий сервер LDAP (2). В нем же могут быть определены права пользователя на доступ к тем или иным виртуальным рабочим столам. Если сервера LDAP нет — то можно использовать локальную аутентификацию. На следующем шаге пользователь получает доступ к управлению своей виртуальной машиной через один из вендорозависимых протоколов VDI (SPICE, RDP, PCoIP и т.п) (3). Отметим здесь, что взаимодействие происходит не напрямую, а через портал — т.е, через единую точку входа в инфраструктуру VDI. Фактически, нажимая кнопку мыши или клавишу на клавиатуре, пользователь работает с сервером VDI, а уже сервер, через внутренний протокол, передает нажатие виртуальному рабочему столу (4). Приложение виртуального рабочего стола, получив событие “клик мышью” обрабатывает его — и, к примеру, открывает соединение к внешнему ресурсу (5). Правила доступа к ресурсам сети определяются в единой точке контроля, для всей сети vdi -desktop . Этим самым мы указываем, каким машинам и куда можно обращаться. Причем, замечу, что на схеме изображена всего одна сеть виртуальных машин — исключительно из соображений простоты. В реальной жизни этих сетей может быть столько, сколько необходимо для решения различных типов задач. Разные машины могут подключаться к разным сетям. Таким образом, мы подходим к еще одной области применения технологий VDI, для погружения в которую рассмотрим следующий пример.

Думаю, найдется достаточно много предприятий, внутри которых обращаются документы с грифом “Для служебного пользования”.  Понятно, что необходимо предпринимать какие-то меры для того, чтобы эти документы не покидали периметра предприятия. И эти меры значительно усложняются, когда сотрудникам необходимо обеспечить еще и доступ в Интернет. Усложняются они тем, что злоумышленный пользователь может отправить документы по электронной почте или другому известному ему протоколу во внешний мир. Классический метод решения такого рода задач — контролировать всю информацию на границе сети и Интернет. Эта концепция имеет название DLP (Data Leak Prevention) и, безусловно, дает определенные результаты.

Можно предложить и другой вариант решения. Как вы, наверное, уже догадались, нам поможет VDI. В этом варианте пользователю предоставляется два виртуальных рабочих места. На одном он работает с документами, другое используется для выхода в Интернет. Результат — файл документа не находится на компьютере пользователя — он располагается на виртуальной машине. Его содержимое можно просмотреть на экране, но отправить по почте или выложить на файлообменный сервер уже не получится — все коммуникации офисной машины ограничены. Таким образом, решается задача предоставления доступа пользователей к документам ограниченного допуска, и вместе с тем — предоставление им возможности выхода в Интернет.

Рассмотрим еще один сценарий — на предприятии есть сотрудники, работающие с документами “ДСП” на портативных устройствах (ноутбук, планшет и т.п). Здесь есть как минимум две проблемы. Первая — вызвана увеличением роли мобильных устройств. Причем, на мой взгляд, это вопрос совершенно близкого будущего (а кое-где уже и настоящего).  Встанет вопрос — как обеспечить доступ к приложениям с любого портативного устройства (и решить проблему различных операционных систем — Android, iOS и т.п.). В случае использования VDI сотрудник всегда сможет получить доступ к своему виртуальному рабочему столу независимо от своего месторасположения и используемого физического устройства. Как правило, производители решений VDI уже предусмотрели наличие клиентского ПО под возможные портативные устройства.

Но есть и другая проблема. Нередки случаи утери или кражи такого рода устройств. Понятно, что вместе с устройством теряются (или попадают в руки злоумышленников) и документы, хранящиеся на внутренних накопителях. Если же процедуры работы с документами будут включать в себя только доступ через среду VDI, то файл никогда не покидает периметра предприятия, и, следовательно, нет риска его потери.

Кроме аспектов безопасности, у предприятий есть еще и ряд других забот. К примеру, всегда есть проблемы с эксплуатацией оборудования на рабочем месте сотрудников. Представьте себе свой компьютер, на нем все родное, иконки на рабочем столе разложены в нужном порядке — документы справа, игры слева, ярлычок на одноклассников — прямо по центру, панель быстрого запуска заполнена наиважнейшими приложениями. В случае, если компьютер выходит из строя — понятное дело, что служба технической поддержки рано или поздно починит/установит новое “железо”. Но, если речь идет о достаточно крупной организации, каждый такой инцидент влечет за собой написание целой стопки бумаг — отвлекается сам сотрудник, отвлекаются начальники разных уровней, которые должны согласовать замену и т.п. Вдобавок, после замены придется еще некоторое время “обустраивать гнездо” — снова раскладывать иконки в нужном порядке и настраивать программы под себя.

В случае виртуализации рабочего места — все эти прелести быта уходят на второй план. Очевидно, что выход из строя компьютера пользователя не влияет на состояние виртуальной машины. Достаточно подключиться к ней с другого рабочего места — и можно продолжать работу. Развивая эту мысль, физическое рабочее место можно организовать в минималистичном стиле — монитор и так называемый тонкий клиент — законченное аппаратное решение, функция которого — подключиться к инфраструктуре VDI  и отобразить на экране монитора содержимое экрана виртуального рабочего места. С точки зрения аппаратной части и настроек ПО — тонкие клиенты идентичны друг другу, поэтому даже в случае поломки упрощается ремонт и замена отказавшего оборудования.

Если же рассматривать еще один вариант поломки — выход из строя сервера, на котором работает виртуальная машина, то механизмы High Availability среды виртуализации позволят перезапустить ее на исправном оборудовании. И максимум через 5-10 минут пользователь снова получает доступ к своему самому рабочему столу.

Должен сказать, что в статье намеренно не поднималась тема экономики VDI. Дело в том, что оценить стоимость такого решения в общем случае достаточно сложно — т.к. в него могут входить не только лицензии на ПО VDI, но и затраты на серверы, СХД, на построение сетевой инфраструктуры и т.п. Однако одно важное замечание я бы все-таки хотел сделать. VDI не позволит в явном виде сэкономить на организации рабочих мест. Т.е., если сравнить в лоб цену персонального компьютера и цену тонкого клиента + стоимость одной лицензии VDI — то второе получится дороже. Поэтому нужно четко понимать, что решив построить у себя VDI — вы прежде всего получаете качественно новое решение, возможности которого больше по сравнению с традиционным рабочим местом. Следовательно, и цены у таких решений должны отличаться.

В завершении статьи подведем итоги. Еще раз перечислю задачи, которые можно решать средствами VDI:
·   задача защиты от утечки информации — разделение доступа пользователей к ресурсам предприятия
·   задача унификации — подключение мобильных сотрудников
·   задача безопасности — защита от потери/кражи информации
·   задача эксплуатации — “безболезненная” замена оборудования на рабочем месте

Если в процессе чтения у вас возникли дополнительные идеи или предложения по вопросам использования VDI — я с удовольствием прочитаю о них в комментариях к этой статье smile:)

Did you find apk for android? You can find new Free Android Games and apps.
Комментариев пока нет
Добавить комментарий