VDI как искусство
Наш путь к инфраструктуре виртуальных рабочих столов от эксперимента и до продукта творческой деятельности инженеров. Мы подошли к проекту с энтузиазмом, благодаря чему получили удовольствие от процесса внедрения и эстетическое наслаждение результатом. Хотите «дорожную карту»? Добро пожаловать под кат.
Выражаясь научным языком, основа жизни — Аристотель назвал бы её энергией жизни — это всего лишь стремление к самовыражению, а Искусство постоянно преподносит новые формы для его достижения.
Оскар Уайльд
У слова «Искусство» исторически есть несколько значений, которые как нельзя лучше описывают наш опыт знакомства и внедрения технологии VDI: к удовольствию клиентов и на благо собственного бизнеса. Первое значение восходит к латинскому «experimentum» — опыт, проба. Все начинается именно с эксперимента. Наш VDI-поход не стал исключением.
Второе значение более прикладное: пытка (от старославянского «искоусъ»). И это, конечно, относится к этапу внедрения. Но главное — под искусством понимают форму художественной деятельности. И это ёмко описывает этап создания и выведения продукта на рынок. Итак, наш путь к VDI: от эксперимента, через страдания — до продукта творческой деятельности инженеров.
В нашем случае переход на облачную инфраструктуру был обусловлен рядом объективных факторов. И сам процесс был пошаговым, от простого к сложному, что позволило осуществить его безболезненно и получить необходимый опыт, который лег в основу этой статьи. А начали мы с расчёта необходимости самого VDI.
VDI: быть или не быть?
VDI активно внедряют компании, где речь идет о «фермах» на тысячи рабочих мест. Это связано с высокой ценой внедрения и продолжительным сроком окупаемости (стоимость аренды одной виртуальной станции от 25 долларов долларов в месяц за базовый пакет). Главным образом, решение о внедрении принимается в ситуации, когда управлять инфраструктурой пользовательских рабочих станций становится сложнее, чем внедрить и администрировать VDI решение. На первый план выходят вопросы безопасности.
Когда в компания работают сотни (а тем более тысячи человек) — контролировать их становится очень сложно. Тем более, если люди рассредоточены как у нас (административный и технический офисы в Москве, две партнерские площадки в Чехии, десятки второстепенных удаленных рабочих мест от тайги до британских морей, где разрешено пользоваться собственным оборудованием. Количество потенциальных угроз возрастает многократно. И это стало для нас решающим фактором: при численности менее двух тысяч человек именно географическая распределенность и требования службы безопасности послужили мощным стимулом к экспериментам c VDI.
Дополнительно мы принимали во внимание следующие преимущества VDI:
- повышение управляемости инфраструктурой (централизованный апгрейд софта без учета специфики различных рабочих станций). При резком росте компании может быть проблематично настроить все рабочие станции в соответствии с требованиями ИБ. Такие ситуации возникают при слиянии/поглощении компаний, при временном найме большого количества удаленных сотрудников и/или волонтеров (на различные массовые мероприятия), при наличии у компании труднодоступных объектов (геологи, нефтяники и т.п.) или просто широкой сети малокомплектных региональных представительств.
- возможность настройки единых политик — запрета внешних накопителей, отключение скриншотов и несанкционированного копирование. Техподдержка работает с биллингом, хелпдеском и офисными пакетами, поэтому нам необходимо защитить их, ограничив доступ только из офисных локаций.
После внимательного анализа наших задач и возможных рисков мы решили перевести всех сотрудников на работу с VDI, доступ осуществляется через корпоративные тонкие клиенты.
Несмотря на то, что VDI как раз позволяет безопасно использовать личное оборудование (практика BYO — «bring your own»), мы не стали экономить, перестраховались и разрешили только корпоративные устройства.
Наша компания постоянно расширяется (за это время мы увеличили присутствие наших сотрудников у партнеров в Чехии, открыли новый представительский офис в Москве, в котором расположился только что созданный отдел продаж, финансовые службы), так что эта схема позволила масштабироваться быстро и экономно. Тонкий клиент дешевле в обслуживании чем ПК или ноутбук. А хранение данных на корпоративных серверах, обеспечивает не только сохранность данных, но и лучшую защиту рабочей инфраструктуры, так как она надежнее изолирована.
Тонкие клиенты нам закупил наш европейский партнер по 150 евро за штуку. Потом на общем сборе (конференция «Облака без границ») мы раздали их сотрудникам. И понеслось….
Семь раз отмерь и… еще раз отмерь
В подобных проектах процесс внедрения занимает сравнительно немного времени. Самым рискованным и трудозатратным оказывается этап анализа задачи и планирования решения. Он может занимать от месяца до года. В среднем российская практика показывает, что проект полностью реализуется за три-шесть месяцев: собираются данные, внедряется прототип и стартует продуктив. Европейцы же только на аналитику отводят 6–9 месяцев, логично предполагая, что природа не ошибается и выносить полноценную идею быстрее не получится.
А вот внедрить качественно описанный проект вполне можно за месяц. Но перед этим нужно ответить на множество вопросов:
- Какие приложения используются?
- Какие необходимы роли доступа?
- Сколько оперативной памяти выделять пользователям?
- Сколько дискового пространства?
- Какая скорость нужна?
- Какую ОС или ОСы — в процентном соотношении — используют ваши пользователи? Почему это процентное соотношение именно такое?
Почему, например, 15 процентов сидят на Windows 7, а остальные — на Windows 10? Нужно понять, что мешает всем перейти на десятку: может есть приложение, которое не адаптировано под эту версию ОС?
Мы подошли к проекту творчески, благодаря чему получили удовольствие от процесса внедрения и эстетическое наслаждение результатом. В нашем случае PoC создавался в порядке «эксперимента на предмет рационализаторского предложения».
При ограниченном бюджете и выделенную на внедрение неделю, мы уложились в четыре дня: сервер Популярный EU в стандартной конфигурации (139 евро в месяц), лицензии на Windows Server DC Edition (от 130 до 150 евро в месяц), RDP-лицензия (порядка 6 евро в месяц на пользователя), сами тонкие клиенты (150 евро за штуку). Итого цена рабочего места составляет порядка 160 евро на человека. Плюс офисный пакет и антивирус.
Совершенству нет предела
Эксперимент себя оправдал, никто и ничего не пострадало. Но при дальнейшем анализе мы решили, что нам требуется более надежное, безопасное и масштабируемое решение, поэтому перевели целую локацию (100 рабочих станций, SIP-телефонию) на VDI, используя VMware.
Основные преимущества данного решения:
- Horizon 7 Access Point обеспечивает безопасный внешний доступ без VPN;
- Единый портал для всех приложений на VMware Identity Manager и, совместно с True SSO, платформа для входа во все приложения;
- Оперативность и легкость развертывания большого числа персональных компьютеров с помощью Instant Clone technology;
- Простой механизм предоставления доступа пользователей к рабочим столам с помощью User Environment Manager;
- Высокий уровень безопасности за счёт того, что данные не покидают ЦОД;
- Лёгкость управления и развертывания приложений с помощью App Volumes (развернутое один раз приложение становится доступно для любых пользователей);
- Удобный и функциональный инструмент для мониторинга — VMware vRealize Operations Manager;
Итак, после PoC «на коленке» мы реализовали полноценную систему с использованием одного из лучших готовых решений на рынке. Тогда никто не предполагал, что наше творчество вырастет в полноценный коммерческий проект без использования продуктов WMware.
Черные лебеди
VDI обычно предполагает серверную виртуализацию, доступ к офисной оргтехнике, управление мобильными устройствами, поэтому сегодня специалисты предпочитают использовать более емкий термин EUC (end-user computing), которым описывают всё от виртуальных рабочих станций, протоколов управления принтерами и до менеджмента корпоративных мобильников и планшетов.
Большая часть проблем связана с недостаточным анализом потребностей пользователей. Мы внедряли VDI постепенно, от небольших контрольных групп пользователей до целых локаций, поэтому основные проблемы выясняли на ранних стадиях. Основные вопросы, которые возникали:
- Не печатает локальный принтер;
- Не пробрасывается веб-камера;
- Не подключается конечный клиент к виртуальной рабочей станции.
Проблемы носили локальный характер и решались вручную с последующей трансляцией на другие машины. В целом функционал и возможности WMware оставили хорошее впечатление. Но мы решили не останавливаться и следовать заветам классика:
Всё, всё, что гибелью грозит,
Для сердца смертного таит
Неизъяснимы наслажденья —
Бессмертья, может быть, залог,
И счастлив тот, кто средь волненья
Их обретать и ведать мог.
Per aspera ad… aspera
После того, как на VDI была переведены все имеющиеся сотрудники, мы проанализировали перспективы роста и пришли к неутешительному выводу, что готовые решения для нас — слишком дорогое удовольствие. Одна рабочая станция выходила примерно в 350$, включая стоимость поддержки на год (стоимость тонкого клиента, лицензий VMware vSphere 6 Standard, аренда сервера, лицензии на ПО). Следующим этапом было решено снизить расходы за счет перехода на OpenSourse.
Из-за общего недоверия крупных игроков к облачным хранилищам, в России доминируют on-premises решения.
On-premises — это предложения от Citrix или от VMware, квестовые решения (HP), Dell EMC, 2X, и стандартный терминальный сервер Windows. Последний сценарий — если нужно сэкономить и если есть соответствующие специалисты в команде.
Выбор между Citrix и VMware — вопрос религиозный. У VMware есть возможность быстро деплоить приложения, а если скорость развертывания приложений не критична, но нужна большая ферма, то предпочтительнее Citrix. В скорости деплоя виртуальных рабочих станций между этими двумя монстрами паритет.
Цены на готовые решения подойдут только крупным игрокам рынка или госструктурам. Если речь идет про небольшую коммерческую фирму, ей лучше купить облачные виртуалки и арендовать рабочие станции до тех пор, пока четко не определяется вектор развития бизнеса и не придет понимание того, что можно (целесообразно) разворачивать гибридное решение: ядро на своем железе, а расширение — за счет ресурсов облака. Преимущества такого решения:
- Масштабируемость при всплесках «кадровой активности»;
- Гибко решаются вопросы безопасности: от https и до двухфакторной авторизации;
- Возможность развернуть любое приложение SaaS с помощью контейнеров.
Гибридное решение можно реализовать на VMware, в отличие от Citrix, которые развиваются в сторону безопасности и управления мобильными устройствами. Есть решение от Amazon, но используют они тот же протокол, что и VMware.
Многие протоколы с трудом выполняют неочевидные задачи (использование веб-камер, микрофонов и других устройств). Надежными зарекомендовали себя HDx от Citrix и PCoIP от партнеров VMware компании Terra Dici.
В свою очередь к Open Source решениям сложилось нездоровое отношение, основанное на слухах и предвзятом мнении о подобных проектах. За последние несколько лет крупные компании, такие как Intel, IBM вкладывали в них миллионы долларов. Open Source решения успешно внедряют многие известные бренды: Volkswagen, Walmart, AT&T, PayPal, Bloomberg и значимые объекты уровня CERN. В результате, за последние несколько лет в Open Source произошёл качественный скачок в плане безопасности, функциональности и стабильности.
Миграция
Большое количество различных протоколов: Spice, VNC, RDP — создают поле для технического творчества, которое привлекает нас обилием вариантов, возможностей… Ну и дополнительно мы собрали сильную команду OpenStack-разработчиков, которые знают и любят свое дело. Это важно тем, что данное решение требует серьезной компетенции внутри компании, а выделять под обслуживание и поддержание VDI отдельных сотрудников — нерационально.
По функциональности OpenStack на одном уровне с on-premises решениям.
Модулей много, работы руками — еще больше, но это далеко «не ужас-ужас-ужас!», как может показаться.
Чтобы уйти от привязки к VMware, мы выбрали Leostream в качестве connection broker, заключили с ними партнерское соглашение, а с помощью платформы Hystax Acura переведем VMware-инфраструктуру на OpenStack, завершив тем самым эксперимент по внедрению VDI в компании. Эта технология миграции, которую мы упомянули в предыдущем абзаце, стала предметом обсуждения в глобальном сообществе OpenStack. Ее описание было представлено российским ИТ-специалистам на недавно прошедшем форуме Мир ЦОД, а в ноябре мы с партнерами покажем ее в Сиднее (Австралия). Когда переезд будет успешно завершен, мы получим систему по приемлемой цене. А полученный опыт и имеющиеся наработки мы оформили как коммерческий продукт, чей процесс создания мы и представили вашему вниманию.
Материал подготовлен при участии Романа Вербицкого, Хамзета Шогенова и Всеволода Вайнера.