Одной из горячих тем конференции InfraNext 2018, где были показаны различные инфраструктурные решения компании «Инфосистемы Джет», стала инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI). Как заявил Дмитрий Подмоков, руководитель направления виртуализации, в последнее время число подобных проектов заметно возросло: в частности, «Инфосистемы Джет» реализовали уже более 20 проектов по внедрению VDI в различных отраслях.
VDI часто продвигается как экономичная замена традиционных настольных систем. Реальная экономическая выгода зависит от многих условий (например, от масштаба реализации), поэтому зачастую стимулом к внедрению VDI становятся другие ее преимущества — в частности, повышение уровня информационной безопасности. При использовании виртуальных рабочих мест данные остаются на сервере (на клиент передается только изображение экрана), что препятствует их краже и утечке. Кроме того, на сервере их проще защитить от вирусов и действий злоумышленников.
VDI С ПОДДЕРЖКОЙ 3D-ГРАФИКИ
Благодаря появлению таких технологий, как NVIDIA Grid, в виртуальные рабочие места могут быть трансформированы и графические рабочие станции. Такой проект «Инфосистемы Джет» реализовали для одного из конструкторских бюро (и это не единственный подобный опыт на российском рынке).
Идея избавиться от рабочих станций и сконцентрировать вычислительные ресурсы в серверной возникла еще десять лет назад. Однако на тот момент ее практическое воплощение было невозможно из-за технических ограничений. Аппаратная поддержка графики в виртуальных средах тогда отсутствовала, поэтому каждому конструктору пришлось бы выделять отдельный сервер. Кроме того, поскольку протоколы доступа были недостаточны оптимизированы, для «тяжелых» графических приложений требовались каналы с малой задержкой и большой пропускной способностью.
Спустя десять лет обновление парка рабочих мест дало повод вернуться к этой идее, причем решающим доводом стали поддержка мобильных рабочих мест и обеспечение безопасности хранящихся на них данных. Конструкторам заказчика приходится ездить в командировки по всей стране. Вариант с высокопроизводительными мобильными рабочими станциями был отвергнут, поскольку профессиональные ноутбуки весят 4 кг и больше — брать их с собой неудобно, да и стоят они недешево. К тому же открытым оставался вопрос обеспечения безопасности данных на случай поломки, кражи или утери.
В качестве решения специалисты компании «Инфосистемы Джет» предложили систему 3D VDI с использованием виртуальных графических процессоров на базе технологии NVIDIA Grid для визуализации графики. Это позволило обеспечить поддержку мобильных рабочих мест и решить проблему ИБ: на клиент передаются не данные, а только изображение экрана. Стационарные рабочие места тоже постепенно будут заменены на тонкие клиенты.
Необходимым условием для любого внедрения VDI является сохранение прежнего уровня производительности (или, в худшем случае, незначительное ее снижение). Однако удалось не только избежать потерь, но и добиться улучшения показателей. Ранее в начале каждого рабочего дня конструкторам приходилось около 40 мин ждать загрузки сборки модели, теперь эта процедура занимает 10 мин. Эта стало возможным благодаря тому, что инфраструктура VDI и высокопроизводительные кластеры, на которых сборки хранятся и обрабатываются, находятся в одном и том же центре обработки данных. Пропускная способность каналов между виртуальными машинами с рабочим местом VDI и кластером возросла многократно: с прежних 100 Мбит/с — 1 Гбит/с до 20 Гбит/с для каждого сервера.
Еще одним любопытным моментом является реализация программно-определяемого хранилища. К использованию SDS для поддержки бизнес-критичных задач многие до сих пор относятся с настороженностью, а на момент старта проекта подобные внедрения еще только начинались. Все серверы, на которых была развернута VDI, объединили в кластер высокой доступности VMware и создали на его основе программно-определяемое хранилище в vSAN.
Специалисты компании «Инфосистемы Джет» протестировали программное хранилище на демостенде. Его использование позволило решить проблему задержек при начальной загрузке (boot-шторм). В случае программных хранилищ данная проблема, поясняет Дмитрий Подмоков, решается на уровне архитектуры благодаря объединению нескольких серверов. VMware vSAN входит в состав Horizon, поэтому дополнительных лицензий приобретать не пришлось — достаточно было добавить диски в серверы.
На VDI переведены и офисные пользователи. Кластер, на котором развернуты виртуальные рабочие места, состоит из восьми серверов. Два из них имеют по две видеокарты и служат для поддержки рабочих мест конструкторов, остальные предназначены для офисных пользователей. Обслуживанием всей системы занимаются два человека.
VDI НА 14 000 РАБОЧИХ МЕСТ
В 2015 году в банке «ВТБ» было принято решение о консолидации ИТ-инфраструктуры. В числе прочих задач предстояло обеспечить функционирование рабочих мест после централизации локальных инфраструктурных систем. В то время в банке работало 7 тыс. человек, а когда спустя полгода в его состав вошел «Банк Москвы», численность персонала удвоилась. Выбор в пользу VDI позволил в том числе ускорить и упростить процедуру слияния.
На момент принятия решения о централизации ИТ-оборудование, установленное в региональных офисах, по большей части уже устарело, и требовалось заменить колоссальное количество устройств. После проведения финансового анализа стало ясно, что централизация инфраструктуры в двух катастрофоустойчивых центрах обработки данных в Москве и перевод сотрудников на виртуальные рабочие места намного выгоднее, чем полномасштабное обновление компьютерного парка. Как показало дальнейшее развитие событий, решение оказалось верным: проект окупился в первый же год.
Офисы банка находятся по всей стра не — от Калининграда до Сахалина, так что обеспечение требуемой производительности стало непростой технической задачей. По итогам пилотного проекта было выбрано решение Citrix, поскольку, заметил Дмитрий Подмоков, используемые им протоколы оказались «лучше оптимизированы под реалии ВТБ». Тем не менее для обеспечения нормальной работы сотрудников потребовались и дальнейшая настройка протокола, и обновление каналов связи.
Круговая задержка пакета, например между Москвой и Челябинском, составляет порядка 120 мс — это почти незаметно для пользователей. Офисы на Сахалине подключались по спутниковой связи, а задержка достигала 400 мс, но даже в этих условиях можно было работать c виртуальным десктопом (теперь до Сахалина проложено оптическое волокно). Впрочем, как указывает Дмитрий Подмоков, для нормальной работы VDI важна не столько задержка, сколько стабильность параметров канала. К примеру, при использовании каналов одного из операторов пользователи жаловались на зависание сеансов, при этом после переключения на резервный канал все работало нормально.
Безусловно, сам протокол тоже пришлось оптимизировать — в частности, настроить политики отображения, чтобы и качество изображения было приемлемым для работы, и нагрузка на канал минимальной. Так, частота кадров, которые отображаются на экране, была сокращена до 15. На работу с простыми офисными программами это никак не повлияло, а вот требования к каналу удалось сократить в два раза. В результате для работы с обычными офисными приложениями, например Excel, теперь достаточно пропускной способности 250 Кбит/с на одного пользователя.
Адаптация потребовалась не только для протоколов, но и для некоторых приложений. Так, во время запуска Office 2010 отображается экранная заставка (splashscreen), при появлении которой утилизация возрастала до 3 Мбит/с, поэтому подобные графические эффекты пришлось отключить. Схожая проблема возникла с ридером PDF от ABBEY: при пролистывании страниц он перерисовывал не только черные пиксели, но и белые, что неоправданно увеличивало нагрузку на канал. Для решения этой проблемы пришлось привлекать разработчика.
Инфраструктура VDI разделена между двумя центрами обработки данных, всего для поддержки 14 тыс. виртуальных рабочих столов задействуется более полутора сотен серверов Huawei RH1288 V3 и четыре системы хранения Hitachi VSP G600 среднего класса. Вычислительные мощности разбиты на модули, каждый из которых состоит из двух кластеров по 12 серверов и рассчитан на поддержку 2000 пользователей. Один модуль реализован в виде территориально распределенного кластера и обеспечивает поддержку пользователей даже при полном выходе из строя одного из ЦОД (время переключения — 15 мин).
Внедрение VDI позволило упростить обслуживание конечных систем. Так, обновление 14 тыс. рабочих мест занимает всего два вечера (это делается в нерабочее время, чтобы не прерывать рабочий процесс), а основная часть этого времени уходит на предварительное тестирование.
ПРОСТО VDI
Как отмечалось, главная выгода от внедрения VDI не обязательно финансовая. Так, Объединенной двигателестроительной корпорации требовалось обеспечить быстрое развертывание новых рабочих мест. Попутно внедрение VDI позволило упростить их аттестацию на соответствие правилам работы с конфиденциальной информацией — это оказалось менее трудозатратно и заметно дешевле, чем аттестация отдельных компьютеров.
Если два рассмотренных выше проекта базируются на решениях VMware и Citrix, многолетних безусловных лидеров этого сегмента, то для данного проекта было выбрано решение китайской компании Huawei. Как отмечает Сергей Билевский, руководитель департамента информационных технологий ОДК, оно реализует весь необходимый функционал за меньшие деньги. К тому же его использование позволяет снизить санкционные риски.
В качестве одного из возможных вариантов рассматривались системы на базе Open Source, но, по словам Сергея Билевского, «выбрать их не рискнули, поскольку требования к отказоустойчивости бизнеса высокие, а серьезного опыта внедрения таких решений нет». Проектов VDI на базе оборудования Huawei на российском рынке тоже пока немного — даже не вся документация переведена на английский, не говоря о русском, но специалисты ОДК уже имели опыт сотрудничества с вендором и были уверены в том, что вся необходимая поддержка им будет оказана: в частности, проблемы с пробросом USB-устройств при удаленном доступе были разрешены оперативно.
Проект обошелся не дешевле, чем развертывание обычных рабочих мест. Однако если раньше на подготовку рабочего места уходило несколько часов, причем зачастую ИТ-специалисты занимались этим в неурочное время, то теперь достаточно 10–15 мин.
Для реализации одного рабочего места хватило скромных ресурсов: 2 vCPU, 4 Гбайт оперативной памяти и 60 Гбайт на диске (с учетом ОС и приложений). На первом этапе проекта все виртуальные машины сохранялись в виде полной копии. На следующем были реализованы связанные клоны (linked clone), что позволило закупить меньший объем дискового пространства, чем при первом внедрении.
В настоящее время на VDI переведено 150 пользователей, в дальнейшем количество виртуальных рабочих столов планируется удвоить.
ТРИ ПЛЮСА, ОДИН МИНУС
Несмотря на разный масштаб и разные задачи, у этих трех проектов есть ряд общих черт, хотя и не все из них можно назвать позитивными. Во-первых, поводом к реализации проекта VDI стала потребность обновления устаревших рабочих мест. Во-вторых, внедрение VDI позволило упростить обслуживание конечных рабочих мест, ускорить их развертывание и оптимизировать штат ИТ-персонала. В-третьих, для всех заказчиков немаловажным доводом в пользу VDI оказалось повышение уровня защиты данных. Однако ни один из проектов не обошелся без технических проблем, что, впрочем, свидетельствует не столько о неготовности решения VDI к практическому использованию, сколько о недостаточной приспособленности — по-прежнему — существующей инфраструктуры и приложений к иным вычислительным моделям.