Pull to refresh
2501.72
RUVDS.com
VDS/VPS-хостинг. Скидка 15% по коду HABR15

Защищенное рабочее место на базе VDI Huawei FusionCloud Desktop Solution 6.1

Reading time 11 min
Views 6.7K
Мы продолжаем публиковать материалы с форума «Совместная безопасность облачных решений для бизнеса», который мы провели совместно с «Лабораторией Касперского» и HUAWEI 31 мая в Москве. Представляем доклад Ивана Юдичева из компании Huawei, «Защищенное рабочее место на базе VDI Huawei FusionCloud Desktop Solution 6.1».


Меня зовут Иван Юдичев, я занимаюсь в компании Huawei облачными проектами и поддержкой госсектора. Облачными проектами я занимаюсь уже довольно долго, начинал еще когда работал в заказчике, где-то 2010 году. Потом был Microsoft, потом была VMware, вот, наконец, Huawei, где мы продолжаем развивать добрые традиции виртуализации серверов и VDI. Но сегодня я буду больше рассказывать про VDI.



На протяжении нескольких лет Huawei интенсивно развивал портфолио своих облачных продуктов и эти усилия не прошли даром. На сегодняшний IDC, которых трудно уличить в каких-то неадекватных оценках, поместили нас в Major Players. Еще три года назад об этом никто не мог и подумать, но сегодня наше решение по многим параметрам на уровне, а то и лучше известных на рынке производителей. Давайте остановимся более детально на ключевых функциях.


Архитектура решения. Сам по себе VDI развертывается в какую-то облачную среду, теоретически он может работать, предоставляя удаленный доступ с помощью традиционных компьютеров, но когда мы говорим про виртуализацию рабочего окружения, обычно речь идет про облако. И если мы говорим в данном разрезе про VDI, то архитектура решения следующая. На нижнем уровне есть оборудование — серверы, системы хранения, сеть, которые затем абстрагируются с помощью облачной среды. Дальше в на этой облачной платформе мы разворачиваем соответственно весь набор ПО, который позволяет, во-первых, развернуть виртуальные машины для пользователей, и, во-вторых, служить брокером соединений для пользователей, чтобы эти машины раздавать и автоматизировать процесс. Основы VDI, думаю, вам знакомы. Таким образом полное решение Huawei выглядит как платформа FusionSphere и Huawei FusionAccess как ПО, которое позволяет создавать виртуальные рабочие столы.

Мы интенсивно работаем с партнерами, например, с RUVDS, и поэтому можем создавать какие-то, скажем так, не коробочные решения, а именно решения, направленные на облачных провайдеров. То есть партнерский личный кабинет, при этом мы предоставляем инфраструктуру и обеспечиваем работу десктопа, то предлагаем наш эффективный протокол доступа к рабочему столу (HDP), при этом получая все преимущества пользования локальным отечественным облаком.

По поводу архитектуры. В принципе многие из этих компонентов заменяемы, например, оборудование может быть от другого вендора. Гипервизор, теоретически, может быть тоже другой, но мы все-таки рекомендуем использовать наш, потому что мы проводим полный цикл тестирования и гарантируем качество итогового решения. Хотя в принципе, могут быть варианты.

По тонким клиентам. Мы как поставщик единого решения естественно поставляем также и тонкие клиенты, но если у вас уже имеются какие-то рабочие станции, которые вы не хотите списывать, можно совершенно спокойно использовать их. У нас есть программный клиент, который работает под Linux, под Windows, под Mac, можно таким образом сэкономить и задействовать имеющееся оборудование.

По гостевым операционным системам, какие мы поддерживаем. Естественно Windows 7, 8, 10, то есть полная поддержка их на сегодняшний день существует. Также для того чтобы избежать оплаты лицензии Microsoft VDA, и свести затраты на десктоп в CapEx, можно разворачивать виртуальные рабочие столы на базе Windows Server. Это одна из возможностей, которые мы предоставляем. Здесь есть обязательно этап сертификации, тестирования приложений, будут они работать под Windows Server или нет, потому что могут быть нюансы. Но 90 процентов случаев — это все отлично работает, что в клиентской операционной системе, что в серверной. И многие заказчики пользуются таким способом, разворачивают серверные операционные системы, как клиентские. Чаще всего вопросы возникают с какими-то самописными приложениями, например на Java, или разработанными своими силами плагинами. То есть какие-то стандартные вещи, как MS Office, почти стопроцентно заработают в серверной среде. На моей практике не возникало каких-то ситуаций, чтобы широко известный софт не работал в Windows Server. Проблемы возникали с каким-то сильно кастомизированным софтом, но такие вещи бывают и при миграции с XP на 7, с 7 на 8, то есть это стандартная история.


Возвращаясь к методам предоставления, мы сегодня все-таки говорим о том, что у нас облако, то есть достаточно взять поставить тонкий клиент, подключиться в удаленную среду, и у нас все будет работать. Да, такой вариант возможен, естественно. Это десктоп как сервис, daas в данном случае. Есть также варианты строить инфраструктуру у себя самостоятельно, обслуживать ее самостоятельно, это более высокая степень контроля, но, в то же время, более высокие затраты. Есть вариант строить решения гибридные, как у меня вот изображено на картинке. То есть что-то может быть развернуто в публичном облаке, что-то может быть развернуто локально. Здесь нужно подобрать оптимальное для себя решение. По опыту лучших собаководов, публичные десктопы они годятся практически для всего, за редкими-редкими исключениями, если у вас очень какие-то специфичные данные, которые должны быть только в России, можно использовать ЦОД «Rucloud» в Королеве. Но здесь я должен отметить, что наш софт позволяет разные варианты.


Далее, ПО, которое предоставляет сервис VDI, называется у нас FusionAccess. На сегодняшний день актуальной версией является версия 6.1, но даже еще в версии 6.0 появилось очень много интересных возможностей, которые я сейчас кратко пробегу. Я выделил несколько наиболее, на мой взгляд, важных вещей.


Что мы поддерживаем начиная с версии 6.0? Мы поддерживаем Linux, как гостевую операционную систему. Это такой достаточно частый вопрос был, когда вы начнете поддерживать Linux, вот с начала этого года мы поддерживаем. Поддерживаются дистрибутивы Ubuntu и RedHat. Таким образом теперь нет никакой необходимости использовать только Windows, платить деньги за лицензию, можно использовать бесплатный Linux, и получать еще более выгодный VDI за счет этого. То есть функционально, практически тоже самое. Естественно максимальный набор функций вы получите в Windows, но такие базовые вещи, как работа с флешками, работа с принтерами, с аудио доступны, в том числе и в Linux. Процентов 80 случаев — использование стандартных функций, так что можно выбирать и то, и другое (Windows или Linux) и при этом не чувствовать себя каким-то образом обделенным.


Далее, появилась полная поддержка работы с разрешением 4K. Это может быть в принципе и мультимониторной конфигурацией, либо это один монитор с разрешением Ultra HD. Чаще всего используется в графическом дизайне, либо в разработке для CAD-приложений. Забегая немножко вперед скажу, что в версии 6.1 мы также добавили поддержку графических видео редакторов, которые работают в режиме 4K. Там были немного специфичные требования, потребовалось полгода для того, чтобы полностью оттестировать решение. Вот на сегодняшний день это тоже работает.


Есть функция водяных знаков на рабочем столе. Скажем так, для того, чтобы прочитать что-то супер секретное и унести с собой в голове, это естественно не спасет, но данная функция несколько усложняет жизнь тем, кто фотографирует конфиденциальную информацию на смартфон для того, чтобы потом где-то ее выложить в публичном пространстве и ссылаться на нее. То есть теперь можно ставить водяные знаки с датой и именем пользователя, они могут быть не только статичными, но и динамическими. Следы таких знаков обычно остаются на фотографии, убрать их очень трудно. Таким образом, жизнь такого рода персонажей несколько усложнится.


Мы сильно упростили в версии 6 развертывание ядра системы, вряд ли вы, наверное, знакомы с FusionAccess версии 5, но по своему опыту помню, что для запуска решения требовалось разворачивать какое-то гигантское количество виртуальных машин, часть из них на Linux, часть на Windows. Вот, с версии 6.0 мы драматически упростили этот процесс, есть один инсталляционный пакет, одна версия Linux, все виртуальные машины ставятся именно с этого диска, и процесс развертывания сократился где-то раз в пять по времени.


Далее, после того, как софт поставлен, нет нужды бегать по различным пунктам меню. Запускается автоматический мастер, который позволяет с подсказками настроить ПО так, как оно будет отвечать вашим требованиям.


Появилась функция LazyDesk. То есть, как это выглядит. Есть тонкий клиент, к нему по его ID однозначно привязывается конкретная виртуальная машина. Дальше при вводе учетных данных в тонкий клиент автоматически происходит подключение к виртуальной машине, и для пользователя нет визуальной разницы, заходит он на локальный ПК или работает с VDI. Это может быть очень удобно для каких-то публичных терминалов, складов, медучреждений, либо для каких-то удаленных точек, где бывает очень много проблем с пользователями, им бывает трудно понять, что нужно один раз залогиниться, потом еще раз залогиниться. Для того, чтобы этого избежать, можно применить функцию LazyDesk, жестко связать клиента с виртуальной машиной, один раз вбили учетные данные, один раз зашли, и всё – полное ощущение, что работаете за локальным компьютером.


Далее, с точки зрения администратора системы. Это больше, наверное, упрощение для наших партнеров, но тем не менее. Процесс подготовки шаблона для виртуальной машины сократился по времени раза в три — в четыре. Раньше был огромный гайд на 30 пунктов, который нужно было аккуратно пройти, убедиться, что операционная система настроена корректно, теперь всего этого нет. У нас есть мастер с тремя большими кнопками, сделать мне такой десктоп, такой и такой, смотря какая задача у вас стоит. То есть нажимаете один раз кнопочку, проходит заскриптованный процесс – всё, виртуалка готова, можно заворачивать в шаблон.


Далее, очень широкий ряд совместимой периферии. На самом деле у нас есть большой список конкретных протестированных продуктов, можно к нам обратиться, мы его вышлем, покажем. Там есть множество вещей, там и веб-камеры, и принтеры, все основные клиентские устройства, которые можно включить в тонкий клиент, они, скорее всего, уже нами протестированы. Здесь имеется в виду, на работу с софтом и на работу с нашими тонкими клиентами.

И возвращаясь к вопросу сторонних тонких клиентов и рабочих станций, можно пройти специализированный процесс, процесс сертификации, и по его завершении, если все пункты пройдены, можно получить лейбл HuaweiReady. Это значит, что данный тонкий клиент полностью совместим, его можно использовать для работы с VDI.


И теперь несколько слов про то, что появилось буквально недавно, меньше месяца назад, когда вышла версия 6.1. Если раньше десктопы на серверных операционных системах были на 8 и на 12 версиях, то теперь, можно использовать Windows Server 2016. Шестнадцатая версия – это полностью 64-битная операционная система, там вырезан блок, отвечающий за эмуляцию 32-битного окружения, поэтому тут могут быть вопросы с совместимостью, как уже отметили раньше. То есть нужно тестировать. Именно поэтому ставим плашку, что эта функция в режими limited commercial use, то есть ограничено для использования, не для широкого применения, а только после предварительных тестов. Технически никаких проблем нет, выглядит также как Windows 10. Преимущества для VDI, как у любой серверной операционной системы, в лицензировании.


Далее, с версией 6.1 появился универсальный драйвер веб-камеры. Раньше единственным способом взаимодействия с веб-камерой было использование фильтров Windows DirectShow. Теперь появилась опция обращаться напрямую к камере, и эта вещь очень востребована при работе корпоративных VoIP приложений, Cisco Jabber, например, или Skype, то есть теперь можно работать с камерой напрямую и использовать ее возможности, не говоря уже о том, что это несколько снижает потерю производительности.


Появилась возможность объединять графические карточки в пулы, то есть сама поддержка графики работала еще и раньше, но приходилось каждый раз вручную назначать графический адаптер на виртуальную машину. Теперь в этом нет необходимости, все графические карты находятся в пуле и автоматически подхватываются из него при необходимости, если стоит задача запустить такую виртуальную машину (графическую). По окончании работы с ней, соответственно, графический адаптер возвращается в пул. Такое решение очень удобно, когда есть, например, с десяток инженеров, которые работают в CAD-системах, но при этом порядка может быть пяти или еще меньше карточек nVidia M60. То есть это позволяет несколько сэкономить на затратах на графику, повысить контроль и облегчить управление.

Разрешение 4K при редактировании видео, как я уже говорил, теперь полностью сертифицировано, проверено, работает.


Появилась функция перенаправления звука и видео при работе с тонкими клиентами. Раньше в виртуальную машину, виртуальный десктоп ставился клиент VoIP-приложения, там обрабатывался звук и видео. Звук отправляется в ЦОД, там обрабатывается, возвращается назад. Этот процесс перегружает каналы. Для того, чтобы этого избежать, есть функция перенаправления звука и видео, при этом на тонкий клиент ставится приложение либо плагин, и в дальнейшем звук и видео уходят напрямую из тонкого клиента, минуя вот эту петлю в ЦОД и обратно, то есть не обращаться в ЦОД каждый раз, когда нужно кому-то позвонить, и в конечном итоге такая возможность позволяет на один и тот же канал сесть большему количеству пользователей. Сейчас у нас были проведены тесты с Cisco Jabber, но теоретически может работать любой софт, надо просто протестировать, проверить.
 

Есть отдельно плагин для Skype for Business. В тонкий клиент, в случае Skype, ставится плагин. В случае Cisco Jabber, как говорил ранее, ставится целиком приложение прямо в тонкий клиент.


Далее, еще интересная функция, которая у нас появилась — это функция отката к первоначальной версии десктопа. Традиционно работа выглядит следующим образом: пользователь работает в своем рабочем окружении, изменяет системные файлы, вносит записи в реестр, потом, предположим, он перестал работать с этим десктопом, отключился от него, разлогинился. Раньше эту виртуальную машину приходилось уничтожать, разворачивать новую, теперь появилась возможность все изменения, которые пользователь вносит, писать в отдельный файл. После того как пользователю виртуальная машина больше не нужна, он соответственно отключается, файл удаляется, и машина снова готова к работе. То есть это несколько сокращает время по введению новых машин в работу и сокращает в принципе паразитные затраты на развертывание, переразвертывание типовых виртуальных машин.


Появилась функция WAN Optimization. Суть ее в том, что когда канал не очень хороший, нестабильный, слабый, его, возможно, хватает на офисную работу, но в том случае если запустить видео в окошке, канал после этого может просто лечь. И, к сожалению, даже видео выключить нельзя, потому что интерфейс просто потерял отзывчивость. Так вот для того, чтобы этого не происходило, есть функция WAN Optimization, она автоматически определяет, что видео в виртуальной машине съело весь канал, интерфейс потерял отзывчивость и в результате просто это окошко, оно перестает отрисовываться, интерфейс оживает и можно соответственно продолжать работать.


Появилась функция управления профилями пользователей. В принципе управлять профилями можно было раньше с использованием Windows Roaming Profile, но у такого решения есть определенные недостатки, потому что сам Windows Roaming Profile настроить надо. Он иногда не очень стабильно отрабатывает, когда теряется связь, а с центральным сервером, где хранятся профили, то есть там может быть кратковременное отключение, после того, как сервер возвращается в рабочий режим, бывает, что десктоп не отрисовывается, приходится перелогиниваться, что не есть удобно. Вот для того чтобы этого избежать, либо если не хочется или нельзя настраивать Roaming Profile в Active Directory, либо если вы просто не хотите использовать Active Directory, например для тестовых пользователей, где достаточно локальных машин, можно использовать встроенный Profile Management. Он интегрирован как с Active Directory, если она есть, так и с нашей локальной LiteAD и позволяет управлять профилями средствами FusionAccess, а не какой-то внешней системы.


Упомянул LiteAD, она может служить для каких-то применений, где полноценная Active Directory явно излишняя, может быть, это какое-то закрытое тестовое окружение, либо компания в десять человек, зачем ей AD. Можно воспользоваться встроенными функциями FusionAccess, то есть встроенным системным каталогом с управлением пользователями через интерфейс FusionAccess. Это позволяет очень быстро, эффективно развернуть рабочее окружение для не очень большого количества пользователей.


Что касается лицензирования. Если продукт этот приобретать в собственный ЦОД, то он лицензируется двумя типами. Есть лицензия именованная, есть лицензия по подключениям. Соответственно, и три вида лицензий. Standard — это обычный десктоп, то есть просто виртуальная машина, в которой пользователь работает. SBC, Server-based Computing, по сути, это терминалы. То есть SBC – это лицензия на использование терминального режима работы VDI. Аdvanced, соответственно, позволяет использовать как стандартный режим, так и терминальный, самая полная редакция. При этом важно отметить, что при использовании облачной платформы FusionSphere только для развертывания VDI платформа предоставляется бесплатно.
Tags:
Hubs:
+14
Comments 2
Comments Comments 2

Articles

Information

Website
ruvds.com
Registered
Founded
Employees
11–30 employees
Location
Россия
Representative
ruvds