Это мэтч: как мы подружили российские инфраструктурные решения на демо-стенде

Сегодня многим из нас приходится работать с новыми продуктами. Этого никто не просил, просто старые перестали быть доступны. И, как показала практика, однозначных аналогов, увы, не существует. Чтобы создать альтернативу используемым ранее экосистемам, нужно собрать пазл из нескольких продуктов российских разработчиков. Но их действительно много. Как же выбрать подходящие? Мы решили, что проще установить наиболее интересные на один стенд, провести интеграции и пусть каждый сам смотрит. Как мы это делали, и что там теперь «крутится», читайте под катом.

8458aa8d9a09dc813424b10cedb09fc8.png

Началось

В нашей лаборатории постоянно тестируется большое число решений. Какие-то из них пилились под конкретный проект, какие-то — в рамках изучения нового продукта. Типичная история стала резко меняться весной, когда мы столкнулись с экспоненциальным ростом количества запросов. Все большему числу заказчиков требовалась миграция на локальную ИТ-инфраструктуру, состоящую из незнакомых решений. Да, это все равно рано или поздно произошло бы, потому что согласно Указу Президента РФ к 2025 году очень многим придется перейти на исключительно российские программные решения для своих критических информационных инфраструктур (КИИ). Но ситуация сложилась так, что менять ПО приходится раньше, и теперь нужно сделать срочный выбор, куда же переходить.

Если раньше ИТ-инфраструктура многих компаний представляла собой собранный и помещенный в рамочку на стене пазл из практически идеально подобранных элементов, то сегодня мы имеем дело с новым набором пазлов, многие кусочки которого пока не подходят друг к другу. А еще часто функции дублируются. При этом картинку нужно собрать ту же самую.

Часто отдельные элементы не способны полностью заменить текущие решения, ведь некоторых функций в продуктах нет в принципе. Часть сервисов вообще изначально создавались под конкретных заказчиков с их задачами. Такие нельзя предлагать всем клиентам. При этом, каким образом одни элементы стыкуются с другими и стыкуются ли вообще — совершенно непонятно. 

Для нас это тоже нестандартная ситуация. Новые продукты во многих сферах появляются как грибы после дождя (и с такой же скоростью обрастают функциями). На все запросы по тотальному сравнению решений в рамках бесплатных пресейлов отвечать сравнительными таблицами мы не готовы. Во-первых, их такое количество, что это физически очень сложно; во-вторых, наши ответы устареют уже через месяц, ситуация меняется молниеносно.

Проанализировав текущее положение дел, мы приняли несколько последовательных решений:

  • Нам нужен демо-стенд, на котором на постоянной основе будут крутиться наиболее перспективные, на наш экспертный взгляд, решения по разным классам инфраструктурного ПО.

  • Решений по большинству классов будет несколько.

  • Между решениями необходима максимальная интеграция.

  • На стенде должны быть размещены продукты, еще не вышедшие на рынок, если мы верим и готовы инвестировать.

  • Необходима постоянная коммуникация с разработчиками продуктов. Качество и скорость их реакции на нашу обратную связь — это один из критериев того, останется ли решение на стенде. 

Сначала мы не собирались выдавать доступ к стенду потенциальным клиентам. Планировалось демонстрировать продукты и связки между ними в рамках видеоконференций. Но скоро стало понятно, что нужно пилить механизм отчуждения (копирования в отдельную зону) части стенда для доступа извне. Необходимость возникла из-за того, что от коллег пошли обращения на организацию демо-зоны с доступом заказчика на стенд для самостоятельного изучения. 

Кстати, пишите в комментариях: Хотели бы вы протестировать уже интегрированные связки? В каком формате именно вам было бы полезно иметь доступ к админской консоли? Нужен ли доступ к интерфейсу пользователя (и на какое время) или достаточно демонстрации экспертом КРОК?

Небольшой, но очень полезный стенд

Работа стартовала с выделения ресурсов. Для начала под стенд удалось выделить СХД и 3 сервера. Использовали вполне производительные системы на 48 процессоров базе Intel® Xeon® CPU E5–2650 v4 @ 2.20GHz и укомплектованные 256 Гб RAM. Дисковая подсистема каждого представлена двумя жесткими дисками на 600Gb (не в RAID) + 200Gb LUN. Все это позволяет протестировать работу нужных систем и даже проверить их производительность.

В качестве системы виртуализации была выбрана проверенная на большом числе проектов zVirt. Далее определили перечень наиболее актуальных классов решений для первой итерации стенда. Ими стали:

  • Клиентские ОС с установленными клиентами других систем.

  • Офисные пакеты, включая серверную часть.

  • Службы каталога.

  • Решения по управлению конфигурацией.

  • Файловый сервер и сервер печати из состава ОС.

  • Почтовые системы.

  • Мессенджеры.

  • Веб-редакторы.

  • Системы резервного копирования. 

  • VDI/терминальный доступ.

  • Удаленный доступ к рабочему месту.

ac6d3044d088c8599a33b2823f5b935c.png

Главная цель стенда

Сама идея создания демо-стенда заключается не в том, чтобы выкатить на него отдельные несвязанные продукты, а в том, чтобы смоделировать между ними интеграции. Чтобы эти локальные, в большинстве своем, новые и неизведанные продукты, работали консистентно и давали возможность получить понимание об ограничениях и особенностях. При этом условия должны быть максимально близкие к реальной инфраструктуре.

На самом стенде мы предлагаем посмотреть не на продукты в вакууме, а на то, как они могут работать совместно. Будем честны, некоторые интеграции все еще работают сложно, со скрипом. Но именно эти нюансы и хочет узнать реальный потенциальный пользователь.

Интеграция 1.  Виртуализация+VDI+служба каталога+СРК

Для того, чтобы пользователи могли заходить и настраивать zVirt по своим дефолтным рабочим паролям, нужно сопряжение платформы виртуализации со службой каталогов. Например, для этого можно использовать ALD Pro. После этого сопряжения можно оперировать пользователями и группами так, чтобы на платформе виртуализации можно было создавать роли и привязывать их к упомянутым выше единицам.

Стоит отметить, что у ALD Pro есть два OpenSource конкурента. Это Samba DC и FreeIPA. Но у обоих из них есть серьезные недостатки, решенные в ALD Pro. Например Samba DC не работает с почтовым сервером Exchange и у продукта нет реализации групповых политик. FreeIPA же работает только с линукс-системами и не дружит с Windows, а связь с AD получается только односторонняя. Таким образом, ALD Pro представляется наиболее полным потенциальным аналогом Microsoft AD в Linux-среде.

Затем наступает очередь интеграции платформы виртуализации с сервисом резервного копирования. На нашем стенде используется продукт под названием Кибер Бэкап. Это очень интересное решение, потому что позволяет использовать как агентный, так и безагентный метод резервного копирования. То есть пользователь может либо разместить агента на каждой нужной ВМ, либо подключить Кибер Бэкап на уровне гипервизора и выбирать ВМ для защиты данных централизованно. Кстати, подобные схемы работают в Кибер Бэкап на различных системах виртуализации.

Использование безагентного бэкапа позволяет значительно упростить администрирование, а также ускорить весь процесс восстановления. При сопряжении системы резервного копирования и платформы виртуализации СРК может контролировать все виртуальные машины и в любой момент передать команду сервису виртуализации заморозить ВМ и выполнить ее резервное копирование. Благодаря этому мы можем бэкапить и восстанавливать виртуалки целиком — это быстро, просто и надежно. Но также рекомендуем дополнительно бэкапить агентами сервисы внутри: например, Communigate, чтобы восстанавливать отдельные почтовые ящики, или MS SQL, чтобы иметь возможность восстанавливать отдельные БД или усекать транзакционные логи после бэкапа.

Еще один важный элемент инфраструктуры — это VDI (Virtual Desktop Environment).
Чтобы пользователи получали доступ к своим рабочим местам и всем хватало ресурсов VDI должен быть совместим с платформой виртуализации. В нашем случае в качестве VDI используется решение под названием Termidesk. Оно уже «дружит» с zVirt и, в частности, может посылать команды zVirt на создание новых виртуальных машин по шаблонам при подключении новых пользователей.

06523e628b6bf8ece7ebc073e24f2649.png

Интеграция 2. Почта+офис+UC+каталог

В качестве основного почтового сервера мы используем Communigate Pro. Один из его плюсов (а их немало) в том, что мы уже интегрировали сервер с офисным пакетом «Р7-офис» и настроили их совместную работу с сервисом корпоративных коммуникаций Samoware, который входит в экосистему Communigate. 

В первую очередь нужно подружить Communigate и «Р7 Сервер документов». Повторюсь, они в одной экосистеме, поэтому делается это очень просто: в админке Communigate во вкладке интерфейсы создается именованный интерфейс с названием Samoware. 

6e3f6694638cd465a59655be1004692e.png

Далее нужно перейти в этот интерфейс и загрузить туда файл с настройками Р7-офис. В целом, настройка выполняется элементарно, но если нужно, на сайте разработчика есть небольшая (соответствующая количеству нужных действий) инструкция по установке и настройке и интеграции Communigate и Р7-офис.

Но это еще не все. Далее следует загрузить скрипт (который можно найти в инструкции) в уже неименованный интерфейс. Занимает этот шаг ровно столько же времени, сколько и предыдущий — 2 минуты.

После этого настройка интеграции со стороны Communigate завершена и нужно перейти в Р7-офис и его админку. Там надо будет поправить пару файлов. Эти шаги также описаны в инструкции, но на нашем демо-стенде мы уже полностью решили эту задачу. Можете зайти и посмотреть — пакеты действительно работают совместно. 

Как вы можете видеть, Communigate уже «понимает», что где-то на той стороне есть Р7-офис и в нем можно создать документ.

8a541249116ce7c48a9e08f6d6ec3270.png

Интеграция Communigate Pro со службой каталогов ALD PRO также требует некоторых действий. Реализовать ее можно несколькими способами, например, с помощью скрипта. Для настройки его нужно скачать на официальном сайте Communigate, где выложены готовые образцы. 

После настройки и прописывания всех требуемых данных нужно сохранить скрипт, открыть Communigate, перейти во вкладку «Общее → Помощники» и дойти до блока «Внешняя аутентификация». В ней нужно установить флажок и прописать путь к ранее прописанному файлу.

323b4395797ab2ef46b757bbffe324d5.png

Дальнейшая логика работы простая: если после ввода логина-пароля в базе Communigate не обнаруживает учетную запись, он подключается к каталогу, забирает оттуда ряд атрибутов и создает пользователя. Опять же, вы можете посмотреть, как эта связка работает на нашем демо-стенде. В общем-то для этого он и создавался. 

Единственный момент, нужно признать, что интерфейс «Самовара» хотя и очень похож, но по пользовательскому опыту решение все-таки отличается от привычного MS Outlook. Так что первое время вполне можно использовать оба клиента, подключая их к одному и тому же серверу электронной почты. 

Будущее стенда

Такой у нас получился стенд версии 1.0. На нем также есть и альтернативные решения для работы с почтой для ведения внутренних коммуникаций и так далее.  К тому же мы уже определили, что войдет в стенд в рамках версии 1.1, который появится совсем скоро. В планах добавить на него средства мониторинга, провести интеграции с системами видеоконференцсвязи (другой стенд с ВКС-решениями уже поднят параллельно) и расширить варианты доступных решений ИБ. Вообще на стенде, о котором я сегодня рассказываю, развернуто уже несколько десятков решений, и между большинством из них простроены или простраиваются интеграции. Рассмотренные выше кейсы — это просто примеры наиболее востребованных связок, а об остальных мы поговорим отдельно, если с вашей стороны будет интерес.

А вот что касается доступа к стенду — тут есть вопрос. Вот вам, например, в каком формате было бы удобно ознакомиться с возможностями такого демо-стенда? Какие еще решения, вы считаете, там должны быть и почему? Пишите в комментариях!

© Habrahabr.ru