Рабочий стол в облаке
В каком случае необходимо отдать предпочтение тому или иному решению для организации «виртуальных рабочих столов» и как найти условия оптимальные для их работы?
Разработчики средств виртуализации уже не один год продвигают различные решения для рабочих станций, однако, в отличие от виртуализации серверов, широкого распространения в массовом сегменте они не получили.
Удешевление и расширение каналов доступа в интернет, распространение мобильного интернета, прогресс в процессорных и графических технологиях и развитие средств виртуализации — все это заставляет по-новому взглянуть на VDI. В ряде случаев данная давно известная модель организации вычислений может оказаться весьма выгодной и удобной. И не исключено, что технология «виртуальных рабочих столов» Virtual Desktop Infrastructure (VDI) будет распространяться именно в массовом сегменте.
Не случайно клиентские вычисления становятся одним из основных приоритетов в разработках поставщиков софта и «железа». Поставщики клиентских систем предлагают все новые аппаратные решения — «тонкие» и «нулевые» клиенты, «облачные дисплеи» и прочие новшества. Но для начала определимся с терминологией.
Виртуализация «рабочего стола» и VDI — в чем разница?
VDI — это инфраструктура виртуальных рабочих столов, что по сути означает замену распределенных ПК централизованными ресурсами в ЦОД, к которым конечные пользователи обращаются с различных устройств — тонких клиентов, ноутбуков, настольных ПК или даже с планшетов и смартфонов. В числе преимуществ виртуальной рабочей станции — безопасность и удобство доступа пользователя к своей рабочей среде.
Не следует путать Desktop Virtualization (DV) и VDI, хотя эти названия очень похожи. DV предполагает локальную виртуализацию на настольном ПК. VDI же — это технология дата-центров, предполагающая доставку образов «рабочих столов» удаленным пользователям.
DV считается простейшей формой виртуализации в том смысле, что на компьютере работает одна виртуальная машина с операционной системой Linux, серверной или десктопной версией Windows, FreeBSD, DOS, Mac OS X или какой-то другой. При таком типе виртуализации запустить на компьютере другую операционную систему оказывается проще, чем организовывать «двойную загрузку» с выбором нескольких альтернативных ОС.
В обоих случаях разработчики ПО получают возможность тестирования нового программного обеспечения на виртуальных машинах вместо использования для этой цели отдельных компьютеров. Если же что-то пойдет не так, нетрудно будет за считанные минуты внести изменения в конфигурацию виртуальный машины, не теряя время на восстановление физического ПК.
А если что-то случится с рабочим местом сотрудника к примеру, он прольет кофе на клавиатуру ноутбука? В случае VDI это не проблема — можно быстро восстановить его рабочее место, ведь все данные, приложения и настройки хранятся на сервере. А в случае DV виртуальная машина выйдет из строя вместе с ПК, на котором была развернута.
А если что-то случится с рабочим местом сотрудника к примеру, он прольет кофе на клавиатуру ноутбука? В случае VDI это не проблема — можно быстро восстановить его рабочее место, ведь все данные, приложения и настройки хранятся на сервере. А в случае DV виртуальная машина выйдет из строя вместе с ПК, на котором была развернута.
Между тем, вокруг VDI сложилось немало мифов и опасений, в основном связанных с потерей контроля над локальной ОС и с безопасностью облаков.
На аппаратном уровне VDI использует серверы, предоставляющие свои вычислительные мощности виртуализированным десктопным системам. Например, это могут быть серверы с VMware vSphere, на которых работают десктопные ОС Windows 10, Windows 8, Windows XP или Linux. Получать доступ к этим ОС можно удаленно — с различных устройств через корпоративную сеть или по интернету.
При использовании интернета для безопасности такой доступ обычно осуществляется через VPN (Virtual Private Network), то есть с шифрованием канала. Вопреки распространенному мнению, в плане программного обеспечения системы VDI не уступают по защищенности настольным системам. Они также используют антивирусы, межсетевые экраны, защиту от DDoS-атак и другие средства информационной безопасности. Кроме того, исключена возможность кражи или утери данных вместе с устройством.
Как это нередко бывает, облачные провайдеры сами «обкатывают» предоставляемые клиентам сервисы. Например, большинство сотрудников компании «Inoventica» уже пользуется VDI.
Нередко VDI развертывают в организациях с высокими требованиями к безопасности. Основой защищенного решения для обработки конфиденциальной информации и персональных данных различного уровня может стать тонкий или нулевой клиент. Сегодня в России выпускается немало таких решений, в том числе сертифицированных по требованиям безопасности информации ФСТЭК России. Поставляют их и многие зарубежные вендоры.
Сертифицированный тонкий клиент не имеет доступа к внешним устройствам хранения информации, за исключением электронных ключей-токенов, в памяти которых могут храниться параметры конфигурации и данные для двухфакторной аутентификации. Все основные приложения запускаются и выполняются на сервере, а пользовательский терминал служит только для ввода-вывода информации.
Отсутствие, разграничения доступа к данным и к программам, поддержка шифрования сетевого трафика в соответствии с ГОСТ 28147–89 позволяет достичь максимального уровня защиты. При этом требования к аппаратной части минимальны — дистрибутив тонкого клиента на базе ядра Linux занимает совсем немного места и не требователен к процессору.
Что же выбрать?
Простая рекомендация — руководствоваться здравым смыслом и исходить из решаемых задач. Не лишним будет разделить пользователей по их потребностям в ресурсах, проанализировать используемые приложения и возможности их применения в новой инфраструктуре, оценить, какие лицензии понадобятся для построения полнофункционального решения.
Чтобы построить оптимальную среду VDI, потребуются решения с технологиями кэширования на стороне сервера, программная оптимизация хранения ВМ и оптимизация ОС.
Кстати, почему вместо VDI просто не запустить на сервере требуемое количество виртуальных машин для удаленной работы с ними? Вполне достойный вариант, особенно при небольшом количестве пользователей (несколько десятков), когда развертывать VDI просто невыгодно (об экономике — ниже). Нужно считать стоимость лицензирования ПО, стоимость оборудования (клиенты, серверы, СХД и пр.), принять во внимание требования ИБ, удобство администрирования (и наличие сисадмина у провайдера).
Есть разные варианты VDI. Например, иногда требуется, чтобы пользователи, включив «тонкий клиент», видели на своем рабочем месте все сделанные ранее изменения. В других случаях работа начинается каждый раз «с чистого листа» — виртуальная машина заново запускается из сконфигурированного образа.
В Microsoft, например, выделяют два сценария подключения:
И перечисляют их особенности:
В каких случаях выгодно использовать VDI? Идеальный сценарий для развертывания такой инфраструктуры — большое число пользователей с одинаковыми клиентскими системами, которые по завершении работы должны «сбрасываться» в исходное состояние. Это могут быть офисы со стандартными рабочими местами (Call-центры, склады, торговля), организация работы разъездных сотрудников (консультантов, аудиторов, менеджеров продаж), удаленный доступ (работа из дома) или среды с высокими требованиями к безопасности.
Другие примеры — НИИ, библиотеки, студенческие аудитории и медучреждения. В этом случае ПК вполне можно заменить на «тонкие» и даже «нулевые», а для хостинга использовать частное или публичное облако, получив легко администрируемую среду. Другой пример — тестирование и разработка. В среде VDI очень удобно тестировать новые приложения и программные платформы, не выделяя отдельные аппаратные ресурсы, что дорого и неэффективно.
Иногда на базе VDI удобно организовать работу с подрядчиками, предоставив им права доступа через Active Directory. В результате подрядчики, консультанты и аудиторы смогут работать прямо со своего ноутбука. А по завершении работы можно удалить соответствующую ВМ. Такая же схема поможет в развертывании контролируемой среды BYOD.
Внедрение VDI
Развертывание инфраструктуры VDI обычно включает следующие шаги: определение потребностей бизнеса, оценка стоимости, обследование и оценка, выбор гипервизора и программного обеспечения VDI (VMware, Microsoft, Citrix и др.), выбор схемы разделения ОС и данных (то есть типа VDI), оптимизация гостевой ОС и ядра VDI, пилотный проект и нагрузочное тестирование. Не стоит упускать из виду и смежные системы резервного копирования, мониторинга и безопасности.
Какие здесь могут быть «подводные камни»? Конечно, проблемы с ПО — его несовместимость со средой VDI, неподдерживаемые ОС.
Этим дело не ограничивается. Критичный элемент инфраструктуры VDI — система хранения данных. Она должна выдерживать так называемый шторм, когда в начале рабочего дня сотрудники включают свои клиентские системы, что приводит к запуску сразу десятков или сотен ВМ.
Нужно учитывать и риски — критичность простоя VDI для бизнеса. Если откажет один ПК в офисе, обычно это не проблема. А вот отказ сервера или СХД в инфраструктуре VDI может остановить работу организации. Поэтому не стоит экономить на резервировании. Еще одна проблема — недостаточная пропускная способность каналов связи. Кроме того, внедрение VDI — это изменение подхода к администрированию и обучению специалистов.
Преимущества VDI — автоматизация процессов, быстрое создание рабочего места и доставка приложений, централизованное администрирование и поддержка рабочих станций, защищенный доступ к рабочему месту с любого устройства и хранение данных в защищенном ЦОДе, быстрое восстановление рабочей станции, простая миграция на новые версии ОС, масштабируемость. Плюс экономия средств на оборудовании, лицензиях ПО, электроэнергии, обслуживании и поддержке.
Немного про экономику
Каковы же основные статьи расходов на VDI? ПО (ОС, офисный пакет) — терминальные лицензии, оборудование в ЦОДе (серверы и СХД), тонкие клиенты, администрирование и поддержка VDI и аппаратного обеспечения. Ниже показано примерное сравнение стоимости рабочего места при использовании ПК и VDI, но цифры эти достаточно условные. Стоит лишь отметить, что за последние годы стоимость на VDI инфраструктуру снизилась, а цены на компьютеры и комплектующие выросли почти в 2 раза. Если раньше ее было целесообразно развертывать лишь в крупных организациях — от 200 рабочих мест, то теперь этот порог опустился до 50.
Очень важную роль в проектах VDI играет система хранения данных. Проблемой инсталляций 10-летней давности была низкая производительность: с увеличением числа пользователей время отклика заметно увеличивалось и становилось неприемлемым. СХД на десктопных дисках просто не справлялись с нагрузкой.
В современных системах VDI обычно используются RAID-массивы с производительностью в десятки и сотни тысяч IOPS (количество операций ввода-вывода в секунду). Так, по данным IDC, 90% инталляций VDI в мире и 67% сред VSI (Virtual Server Infrastructure) развертываются сегодня с использованием SAS и SSD накопителей. Это решает проблему производительности, но стоит денег. Например, VDI на 1000 десктопов должен обслуживать RAID-массив с производительностью порядка 200 000 IOPS, а на 10 000 десктопов — 2 млн. IOPS.
Тем не менее, по оценкам VMware, инфраструктура VDI на базе Horizon 6 Enterprise с App Volumes обойдется в среднем в 36$ в месяц (в инсталляции на 2 500 рабочих мест, где образ виртуальной машины занимает 30 Гбайт, а пользовательские данные — 5 Гбайт). Физический десктоп при этом будет стоить в 64$ в месяц.
Характерно, что общая стоимость VDI (инфраструктура, ПО, операционные расходы) постепенно снабжается, и VMware намерена продолжить эту тенденцию.
А вот примерное распределение затрат в проекте VDI на 500 рабочих мест. При этом в первом случае стоимость рабочего места составила 686$ в год, во втором — 941$.
Важный момент — лицензирование клиентской ОС в среде VDI. Например, для тонких клиентов и устройств без подписки Windows Software Assurance нужна лицензия на право использования Windows 8/10 в среде VDI — Virtual Desktop Access (VDA). Для ПО под Windows с действующей подпиской Windows Software Assurance она не требуется. Стоимость VDA — 100$ на устройство в год.
Примеры VDI
В заключение рассмотрим несколько кейсов — публично анонсированных в 2014–2015 годах проектов VDI и посмотрим, что это дало российским заказчикам из разных отраслей.
Один из крупных банков перевел на VDI более двухсот офисов. В двух дата-центрах в Москве (основном и резервном) развернуты хранилища данных. Результатом стало повышение надежности и снижение издержек. Проще стало обеспечивать доступность банковских сервисов и данных. Ускорилось развертывание новых отделений, снизились затраты на их эксплуатацию.
По подсчетам банка, затраты на оборудование для конечных пользователей на пятилетний период сократились на 15%, время отклика приложений улучшилось на 40%, стоимость поддержки уменьшилась на 56%, количество заявок на поддержку — на 18%.
Крупная сеть розничной торговли перевела на VDI 350 специалистов центрального офиса. В ее ЦОДе построена виртуальная отказоустойчивая IT-инфраструктура, а на местах сотрудников установлены нулевые клиенты. За счет консолидации пользовательских и серверных вычислительных ресурсов в среднем в пять раз снизилось энергопотребление, сократились затраты на администрирование и модернизацию рабочих мест. Установка ПО, обновление приложений и прочие изменения производятся централизованно. Повышен уровень защиты персональных данных от несанкционированного доступа.
Компания, владеющая несколькими аэропортами на юге России, развернула VDI (нулевые клиенты) для сотрудников двух аэропортов — по 150 рабочих мест в каждом. По ее оценкам, затраты на VDI окупаются примерно за 22 месяца. Причем инвестиции в ПО и оборудование в данном проекте были примерно одинаковыми. Для коммуникаций используется резервируемый канал 2 Мбит/с. Клиентов обслуживают три сисадмина.
VDI помогла компании решить проблемы обновления ПО на каждом ПК, постоянного сервисного обслуживания для продления жизненного цикла стандартной архитектуры. Теперь же оборудование и данные сосредоточены в защищенном ЦОДе, можно гибко масштабировать число рабочих мест, виртуальное пространство пользователей доступно из любой точки, сократились расходы на обслуживание и поддержку, однако выросли затраты на инфраструктуру ЦОДа и требования к каналам связи.
И еще немного интересных цифр по данному проекту: трудозатраты на подготовку рабочего места уменьшились в пять раз, время администрирования рабочего места сократилось втрое. На этом компания экономит от 2 млн рублей в год. Потребляет каждое рабочее место на 500 кВт в год меньше. За счет увеличения жизненного цикла рабочего места достигается экономия от 1 млн рублей в год. Столько же — на ремонте и обслуживании рабочих мест.
Как видно, данная технология уже доказала свои преимущества примерами успешного развертывания. Однако очень многое зависит от решаемых задач и экономической оправданности применения конкретных систем. Успешным проект VDI будет в том случае, если развертывается в подходящей среде.
inoventica-services.ru