Что представляет собой виртуализация рабочего места? Какие сложности таятся в данной технологии?
В Интернете на сегодняшний день представлено просто огромное количество статей, которые восхваляют современные технологии виртуализации рабочего места. Так, у разработчиков подготовлен целый ряд решений, а интеграторы (фирмы ит аутсорсинга) в абсолютно любую инфраструктуру готовы внедрить VDI. Но хотелось бы отметить, что на основании результатов исследований, проведенных по данным за 2012 год, в России ничтожно мал процент виртуализированных рабочих мест. Не спешат российские бизнесмены воспользоваться преимуществами, представленными данной технологией и виртуализировать свои сервера.
Сейчас мы попробуем определить, действительно ли так необходимы виртуальные рабочие места, а также выделим проблемы, с которыми, возможно, придется столкнуться на практике в процессе виртуализации серверов и обслуживании серверов. Но для начала разберемся, что же на самом деле представляет собой технология VDI.
Рабочее место «в облаке»
Так, сама по себе VDI — это инфраструктура так называемых виртуальных рабочих станций (виртуальных машин). Суть данной технологии заключается в полном замещении физических ЭВМ массивом виртуальных компьютеров (установкой виртуальных машин), которые развернуты в ЦОД. При необходимости доступ к ним может быть осуществлен с любого клиентского устройства, подходящего для подобных целей. В качестве рабочей консоли при этом вполне может использоваться, как тонкий клиент или самый обычный компьютер, так и компьютер мобильный, который дает возможность доступа к виртуальной РС не только непосредственно в офисе, но и абсолютно из любой точки мира, где есть возможность выйти в сеть Интернет.
Уточним, что любой персональный компьютер — это цельная и неделимая система, состоящая из таких компонентов, как пользовательские приложения, данные, а также операционная система и аппаратные средства. Для осуществления квалифицированной поддержки всех этих систем в офисе требуется целый штат квалифицированных специалистов с достаточно высокой оплатой труда. Причем, речь идет именно о грамотных работниках, а не об аникейщиках. Ведь далеко не всегда решение проблемы заключается в банальном извлечении листа бумаги, застрявшего в принтере либо замене вышедшей из строя мышки.
Все бизнес — приложения современного образца, в том числе и те, которые используют интерфейс, требуют обязательного наличия целого ряда специальных приложений, а также определенных настроек на клиентском компьютере. В качестве удачного примера такой системы вполне можно привести всем известную СХД DocsVision.
Разумеется, поддержка любых клиентских рабочих мест (настройка Windows) требует материальных затрат от руководства компании. А как быть, если пользователи осуществляют свою рабочую деятельность удаленно? В подобной ситуации значительно усложняется процесс настройки ПО, ведь все работы необходимо выполнить пользователю самостоятельно (удаленное администрирование может быть не применимо). Но как показывает практика, далеко не все владеют такими навыками. А говорить о решении более глобальных проблем, возникающих при удаленной работе, и вовсе бессмысленно. Также телефонные и Интернет — консультации очень редко помогают справиться с возникшими сложностями. Виртуализация серверов поможет упростить задачу.
Применение VDI дает уникальную возможность действительно существенно сократить материальные затраты на сопровождение и обслуживание клиентских рабочих мест. Экономия достигается благодаря тому, что в администрировании нуждается только лишь серверная часть. И достаточно просто написать несложную пошаговую инструкцию по подключению для удаленных пользователей, которая будет состоять буквально из четырех пунктов. И вся необходимая поддержка при этом автоматически будет сведена к осуществлению контроля за правильностью действий, выполняемых на основании инструкции.
Здесь смотрим, а там считаем
Хотелось бы отметить еще одно немаловажное преимущество VDI. Оно заключается в том, что абсолютно все вычисления производятся непосредственно на стороне сервера. Именно эти операции и носят название «облачные вычисления». Так как вычисления осуществляются в самом «облаке», которое находится в ЦОД, само по себе пользовательское устройство (в любом варианте исполнения), по сути, является просто терминалом, отображающим картинку виртуальной машины. Абсолютно никакие данные организации не обрабатываются и не хранятся на клиентском устройстве. Естественно, при подобном распределении нагрузки используемое совсем не обязательно использовать сверхмощное клиентское устройство. Вполне достаточно, чтобы его технические показатели позволяли устанавливать сетевое соединение, а также отображать некий удаленный рабочий стол. А есть определенный ряд аппаратных реализаций, которые подразумевают полное отсутствие системного блока у пользователя. В этом случае абсолютно все необходимое для работы оборудование размещено прямо в мониторе. В качестве ОС прошивают специальный Linux (или настраиваю Windows). Именно с его помощью и будет осуществляться в последующем подключение к соответствующему виртуальному рабочему месту. Также сэкономить неплохие деньги на ИТ — инфраструктуре дает возможность использование тонких клиентов.
За основу берется образ
На протяжении уже достаточно большого количества лет используется специальная технология, позволяющая клонировать образы операционных систем. Так, администраторам необходимо просто подготовить некую эталонную операционную систему и установить на нее весь пакет приложений, необходимых для полноценной работы пользователей. После этого образ готовой системы отправляется на все имеющиеся пользовательские компьютеры.
Хотя, стоит также отметить, что если пользователь наделен достаточными полномочиями, он вполне может самостоятельно производить установку программного обеспечения. И далеко не всегда возможно ограничить в правах юзера. К примеру, если сотрудник работает на ноутбуке и зачастую ему приходится ездить в командировки, естественно, для корректировки настроек сети ему должны быть доступны возможности локального администратора. Конечно, вполне можно воспользоваться и каким-то сторонним программным обеспечением, которое позволяет без административных прав с сетевыми настройками. Однако и оно требует определенной поддержки и материальных затрат.
Как итог, по истечении некоторого промежутка времени машина пользователя захламляется всевозможными приложениями и играми. И бывает так, что все эти программы мешают друг другу полноценно функционировать. А это неизбежно влечет за собой возникновение проблем в работе бизнес — приложений.
Но и с этой проблемой можно распрощаться, если использовать систему VDI, виртуализацию серверов. Ведь пользователю не предоставляются права на самостоятельную установку ПО, а сами администраторы управляют централизованно образами всех без исключения виртуальных компьютеров. и производят установку сервера.
Все будет централизовано
Всегда одной из основных «головных болей» системного администратора было резервное копирование данных, находящихся на рабочих станциях (и особенно на удаленных). То же самое можно сказать и о безопасности информации, хранящейся на компьютере. В случае хищения ноутбука данные могут попасть в свободный доступ к злоумышленникам. А ведь далеко не все пользователи на практике применяют шифрование.
Однако, применяя VDI, после того, как будет произведена виртуализация серверов, эти проблемы становятся не актуальными. Дело в том, что все обрабатываемые данные находятся на стороне виртуального сервера. Из этого следует, что и резервное копирование, и разграничение доступа производятся именно в «облаке». И у пользователя нет необходимости заботиться о безопасности, так как даже хищение клиентского устройства не повлечет за собой потерю данных.
Иные преимущества VDI
Заканчивая разговор о преимуществах данной технологии, нельзя не вспомнить о наличии функции шифрования каналов связи непосредственно между виртуальной средой и пользователями.
Да, каждый разработчик VDI обязательно предлагает для сетевого взаимодействия собственный протокол. Но все они для защиты информации традиционно используют именно SSL. И если связь с виртуальным сервером в процессе удаленной работы (к примеру, с вордовским документом) вдруг пропадает, пользователь не потеряет введенные данные, потому что сам файл открыт непосредственно на сервере. Как правило, все системы разграничения доступа к VDL поддерживают так называемую двухфакторную аутентификацию. Она является одним из обязательных требований при подключении к каким-либо виртуальным столам из-за границ периметра всей корпоративной сети.
Даже с учетом того, что установленная виртуальная машина физически располагается в ЦОД, клиент VDI дает возможность напрямую виртуальной машине взаимодействовать с любым периферийным устройством, а также со съемными носителями информации при подключении их к клиентскому устройству. Правда, не всегда эту функцию можно считать такой уж полезной. Но все рассмотри по порядку.
Описание VDI, которое мы приводили выше, наверняка создает впечатление, что эта новейшая технология и установка сервера подобного типа просто необходима всем, так как позволяет минимизировать затраты на ИТ-инфраструктуру. Но действительно ли все это так? И с какими же сложностями можно столкнуться в процессе работы с VDI и виртуализации серверов?
Основные игроки современного рынка VDI
Сразу отметим, что тема статьи с каким-то конкретным разработчиком рабочих столов виртуального типа не связана. И мы не станем сейчас делать сравнение VDI. Однако нельзя и не сказать о самых основных игроках данного рынка. Прежде всего, конечно же, вспоминается VMware с известным всем продуктом VMware View. В стороне не остались и такие крупнейшие разработчики, как Microsoft и Citrix. Их работы также занимают уверенную позицию на мировом рынке виртуализации серверов и рабочих мест.
Сложности VDI: каналы связи и не только
Когда заходит разговор о виртуальных рабочих местах (особенно это касается пользователей, работающих удаленно), самый первый вопрос, который подлежит рассмотрению – это реальная пропускная способность всех каналов связи между ЦОД, в которых непосредственно и находится само облако VDI и обслуживаемые сервера и имеющимися клиентскими рабочими местами.
Проблема цифровой связи практически во всех регионах России, на самом деле, сегодня стоит достаточно остро. Поэтому применение даже 256-цветных виртуальных рабочих столов просто никак не представляется возможным. Из этого следует, что организациям с инфраструктурой, распределенной географически, еще до того, как будет произведена установка серверов в филиалах, необходимо в обязательном порядке предварительно замерить фактическую нагрузку на сеть, которую создает пользовательский сеанс. После этого предстоит проанализировать на предмет текущей загрузки свои каналы. Проще говоря, выяснить, насколько сеть используется без применения VDI. Ведь на практике вполне может получиться так, что канал в 1 Мегабит в секунду уже загружен на все 90%. Поэтому по факту пользователь имеет в секунду не больше 128 Килобит.
Специалисты категорически не рекомендуют руководствоваться требованиями к каналам, которые прописываются разработчиками VDI в рекламе. Ведь действительную нагрузку на какой-то конкретный канал можно определить исключительно опытным путем. И не всегда есть возможность даже за любые деньги повысить пропускную способность каналов. Еще на стадии планирования перехода на так называемую виртуальную инфраструктуру непосредственно перед тем, как будет произведена установка виртуальной машины и настойка сервера.
Помимо всего прочего, серьезной проблемой можно смело назвать обеспечение отказоустойчивости. Виртуальные рабочие места при отсутствии связи становятся недоступными. По этой причине следует обязательно обеспечить хотя бы два канала связи, один из которых будет играть роль основного, а второй станет резервным. Разумеется, с целью обеспечения отказоустойчивости они должны быть подключены не к какому-то одному, а к разным магистральным провайдерам.
Еще одной проблемой системы Virtual Desktop Infrastructure, которую нельзя списывать со счетов, является безопасность. Эти проблемы можно отнести, как к техническим, так и к юридическим.
Без персональных данных никуда
Пожалуй, для начала остановимся на сложностях юридического характера. В облаке VDI, помимо всех остальных данных, обрабатываются данные персональные, нуждающиеся в серьезной защите. Вся эта информация расположена, естественно, на серверной стороне VDI. И по логике вещей сразу хочется сказать, что защищать необходимо только лишь само облако. Однако именно здесь и начинаются вопросы.
На самом деле, для полного соответствия основным требованиям регуляторов среди прочих составляется документ под названием «Модель угроз». В нем оговариваются действия и ущерб, который может быть нанесен персональным данным. Среди всего прочего, в нем будет указано, принимают ли участие в обработке и хранении информации клиентские устройства. Что касается хранения, то здесь сразу становится понятно, что не принимают участия. Вот только не все так очевидно с обработкой. В данной модели необходимо обязательно указать, что само по себе клиентское устройство не обрабатывает персональную информацию. Ведь если этого не сделать, в процессе проверки регуляторами вполне могут возникнуть сложности, связанные с защитой клиентских устройств, которые обрабатывают персональные данные. А между тем, современные сертифицированные решения пока не позволяют защитить планшет. Поэтому данный риск нужно также учесть при внедрении VDI.
Выход за пределы периметра
При удаленной работе пользователей выгоднее всего использовать инфраструктуру виртуальных рабочих мест. Основные преимущества данного метода мы уже рассмотрели. Теперь остановимся на недостатках.
Серьезное внимание на стороне облака должно уделяться безопасности и настройке сервера. Необходимыми средствами защиты при этом должны стать специальные сканеры уязвимости, средства для предотвращения внешних вторжений, межсетевые экраны, антивирусы и так далее.
Естественно, программное обеспечение присутствует и на стороне клиента. Если речь идет о бездисковой станции, то это будет несколько сокращенный дистрибутив Linux. Когда работа осуществляется на планшете или персональном компьютере, используется полноценная операционная система. Как правило, удаленные пользователи используют для подключения именно ПК или планшет. Не сложно понять, что заразить ноутбук, который работает на основе установленной Windows, или планшет, работающий на iOs и Android, вирусом достаточно просто.
При заражении неким вредоносным кодом есть шанс перехвата. Причем, «перехвачены» могут быть также и учетные данные, которые применяются при подключении к VDI.
Помимо всего прочего операционные системы, а также приложения в себе содержат некоторые уязвимости, которые смогут использовать злоумышленники с целью получения свободного доступа к устройству, а далее и к самому удаленному рабочему столу. Достаточно неплохим решением при борьбе с угрозами подобного характера, может стать применение одноразовых паролей. И даже если злоумышленники перехватят учетные данные, все равно не удастся использовать их для установки соединения с VDI и виртуализированными серверами.
Еще к средствам защиты следует отнести запрет на передачу информации в облако с клиентского устройства. В процессе отправки на сервер файлов существует некоторая вероятность проникновения внутрь вредоносного кода. Однако его не пропустит установленный в облаке антивирус. А если требуется работа с файлами, необходимо выделить специальную карантинную зону, когда будут заканчиваться и проверяться на вирусы файлы.
Но все равно самым идеальным вариантом станет закрытие любых возможностей обмена информацией между клиентским устройством и виртуальной машиной. Только в этом единственном случае вся конфиденциальная информация будет реально максимально защищена, так как она не будет покидать периметр дата-центра, виртуализации серверов.
Не проникнут посторонние
С целью обеспечения защиты от подключения какой-либо зараженной машины облачной среды VDI, вполне можно прибегнуть к такой превентивной мере, как предоставление возможности подключения к облаку исключительно тех машин, на которых имеются все необходимые серьезные средства защиты. Это своевременное обновление операционной среды, межсетевой экран, а также антивирус, оснащенный актуальными базами и так далее. К слову, некоторые современные решения уже дают возможность полностью отказаться от использования специального клиентского ПО. При подключении пользователю необходимо будет просто разрешить выполнение Java-апплета. При этом система будет автоматически проверена на соответствие всем необходимым требованиям. И если вдруг система обнаружит некоторые несоответствия, пользователь в тот же момент получит развернутые рекомендации по устранению недостатков.
Еще среди вариантов защиты рабочего места выделяют определенные технологии, которые дают возможность осуществить с переносимого хранилища безопасную загрузку. К примеру, с флэш-карты. В качестве примера подобного решения можно привести Check Point Arba. Вообще, это, по сути, просто флэшка, с которой, при необходимости, можно произвести загрузку защищенной ОС. Данная система, находясь в памяти, совершенно никак не взаимодействует с винчестером персонального компьютера. И в памяти машины совершенно ничего не останется после первой же перезагрузки. Следовательно, значительно понижается и вероятность возможного заражения.
Все необходимо держать при себе
Наши компании в силу определенных особенностей ведения отечественного бизнеса привыкли абсолютно никому не доверять свои персональные данные. Особенно, если речь идет о внутренней бухгалтерской отчетности. По мнению ведущих специалистов, именно эта причина является одной из основных, замедляющих процесс развития рынка облачных технологий и ит аутсорсинга.
Надо сказать, что какой бы мощнейший развернутый функционал не предлагал клиенту владелец облака, а также какие бы он не предпринимал серьезнейшие меры безопасности, подавляющее большинство руководителей малых, а также средних компаний хранят все свои данные непосредственно на установленных серверах, расположенных исключительно на территории их организации, а не использовать ит аусорсинг. И это даже с учетом того, что облако бы позволило сэкономить достаточно большие деньги. Предположительной причиной данных мер является полное либо частичное отсутствие доверия у руководителей бизнеса к соответствующим ит аутсорсинговым компаниям, предлагающим услуги VDI. Да, компании страхуются от риска утерять свои конфиденциальные данные или попросту быть скомпрометированными.
Кому будет полезен VDI
Хотелось бы озвучить некоторые размышления на тему того, какой VDI и виртуализация серверов подойдет для какой компании.
Так, не слишком большим компаниям, где количество рабочих мест не превышает пятьдесят, на сегодняшний день, скорее всего, не поможет много сэкономить установка виртуальной машины, таким кампаниям лучше воспользоваться ит аутсорсингом.
Применение на практике облачной среды не даст возможность отказаться полностью от услуг системного администратора. Даже если он имеет не самую высокую квалификацию. Необходимо учитывать, что все равно в компании еще останутся рабочие места, которым будет требоваться периодическое администрирование, ну все можно передать на удаленное администрирование. И в то же время максимальный объем данных, которые хранятся в облаке, не так велик, чтобы можно было полностью компенсировать отказ от физических серверов в офисе. Также мы уже останавливались и на возможном возникновении сложностей с безопасностью.
Если говорить о компаниях, число сотрудников в которых составляет от пятидесяти до тысячи человек, в них вполне может применяться облачная инфраструктура с целью виртуализации серверов и рабочих мест. А если количество пользователей превышает сотню, есть смысл попробовать дополнительно сэкономить и на самих рабочих местах, предусмотрительно заменив их менее мощными персональными компьютерами или вообще специальными бездисковыми станциями — тонкими клиентами.
А когда штат компании состоит более чем из нескольких тысяч пользователей, несомненно, самое время подумать о привлечении к работе облачной инфраструктуры и установке виртуальной машины. Подобный шаг однозначно даст возможность сэкономить значительную сумму на оборудовании, а также на персонале, который занимается поддержкой ит инфраструктуры, привлечь ит аутсорсинг.
По результатам всех выше приведенных данных можно смело заявлять, что будущее ИТ именно за современными средствами виртуализации серверов и пользовательских рабочих мест. А развитие системы VDI даст возможность вообще отказаться от использования в работе пользователей мощных персональных компьютеров и значительно сократить штат сотрудников, осуществляющих техническую поддержку, прейдя на удаленное администрирование или ит аутсорсинг. Помимо всего прочего, развитие VDI в последующем позволит создать самые оптимальные условия для работающих удаленно пользователей.
Похожие статьи:
- Сервис виртуализации Hyper-V и особенности работы с виртуальными машинами Linux
- Особенности синхронизации OneDrive в Ubuntu
- Не удалось зарегистрировать сервер лицензирования удаленных рабочих столов в доменных службах Active Directory в качестве точки подключения службы
- Основные заблуждения клиентов