Структура гипервизора "Горизонт-ВС”
Изделие предназначено для использования в клиент-серверных системах.
Гипервизор “Горизонт-ВС” является гипервизором, устанавливаемым непосредственно на аппаратное обеспечение в качестве системного программного обеспечения, и предназначен для организации исполнения виртуальных машин (ВМ), а также подключения терминалов к ВМ, исполняемым на сервере виртуализации.
Гипервизор “Горизонт-ВС” состоит из трех основных компонентов:
- компонент «Тонкий клиент» (далее по тексту – КТ), который устанавливается на персональные электронные вычислительные машины (ПЭВМ), выполняющие функции терминала;
- компонент «Сервер виртуальных машин» (далее по тексту – КС), который устанавливается на ПЭВМ, выполняющие функции сервера виртуализации;
- компонент «Администратор безопасности» (далее по тексту – АБИ), который устанавливается на ПЭВМ, выполняющие функции автоматизированного рабочего места (АРМ) администратора .
КТ имеет два варианта исполнения:
- исполнение 1 – системный тонкий клиент, поставляемый на USB-накопителе и предназначенный для запуска в качестве общесистемного ПО на терминалах, в том числе и бездисковых рабочих станциях;
- исполнение 2 – программный тонкий клиент, предназначенный для запуска в среде ОС семейства Linux.
В изделии реализована возможность как локальной работы (на сервере виртуализации), так и на группе серверных платформ (кластере). Управление группой серверов виртуализации осуществляется при помощи системы группового управления (СГУ). Узлы под управлением СГУ разделяются на:
- серверы виртуализации, на которых выполняются ВМ;
- автоматизированные рабочие места (АРМ) управления виртуализацией (АРМ УВ), на которых выполняется СГУ.
Пример схемы стенда с установленными модулями ПАК «Горизонт-ВС» показан на рисунке ниже (Рисунок 1).
Для доступа к СГУ на стенде должно быть подключено АРМ Управления, представляющее собой ПЭВМ с установленной ОС , в среде которой функционирует браузер.
Структурная схема решения
Горизонт-ВС имеет модульную архитектуру, приведенную ниже на рисунке 1.
Рисунок 1 - Общая структурная схема решения
Общая концепция построения доверенной защищенной среды виртуализации аппаратных ресурсов
Гипервизор
Гипервизор 1 типа Установка непосредственно на аппаратное обеспечение без использования хостовой операционной системы
| Технология оптимизации работы Поддержка технологии оптимизации работы с памятью, такие как Memory Deduplication (KSM), Host Swap, Memory Ballooning, Hugepages
| Кластер высокой доступности Поддержка возможность автоматического восстановления работы виртуальной среды без человеческого вмешательства
|
Стандарт VirtIO Поддержка стандарта VirtIO виртуализации дисковых и сетевых устройств
| Оптимизация работы с памятью Поддержка технологии оптимизации работы с памятью, такие как Memory Deduplication (KSM), Host Swap, Memory Ballooning, Hugepages.
| Multipathing Обеспечивает поддержку функции Multipathing
|
Управление
Управление виртуальными средами
Управление виртуальными средами посредством графического интерфейса: шаблоны виртуальных машин / образы виртуальных машин / ресурсы виртуальных машин
Формирование виртуальной аппаратной конфигурации
Создание и редактирование виртуального окружения виртуальных машин: количество процессоров / объём оперативной памяти / количество и объём дисков / количества и параметров сетевых интерфейсов
Доступ к локальным консолям
Обеспечение доступа к локальным консолям виртуальных машин через веб-интерфейс управления средствами протоколов VNC или SPICE
Графический веб-интерфейс
Вывод в интерфейс управления информации о виртуальных машинах, пулах ресурсов, узлах
Кластер высокой доступности
Обеспечение высокой доступности для объединения избыточных ВМ в группы или кластеры
Отказоустойчивость системы управления
Для настройки High Available платформы используется распределенный консенсусный протокол для обеспечения отказоустойчивости и согласованности состояния Raft
Коммутаторы
Распределенная база конфигураций
Все создаваемые виртуальные коммутаторы становятся распределенными
Поддержка до 4096 коммутаторов
Каждый распределенный виртуальный коммутатор позволяет работать с любым количеством VLAN (4096+ штук)
Изоляция и/или объединение в виртуальные сети
Использование сетевого трафика виртуальных машин протокола VLAN для изоляции и/или объединения в виртуальные сети
Поддержка режимов
Сетевая подсистема поддерживает работу в режимах: Open vSwitch(+Ip route) / Bridged / Bridged & Security Groups / Bridged with ebtables VLAN / 802.1QVLAN (стандартный VLAN)
Взаимосвязь между виртуальными машинами
Поддержка взаимосвязи между виртуальными машинами на одном и том же хосте в пределах виртуальной сети
Cлужебный трафик
iSCSI, NFS
Передача служебного трафика iSCSI, NFS для управление хостом
Хранилище
Блочное хранилище данных
Предоставления доступа к хранилищу данных через FC/iSCSI/FCoE
Файловое хранилище данных
Предоставления доступа к хранилищу данных через NFS, CIFS, GFS2, FS
Общая файловая система
Распределенное хранилище
Создание программно-определяемой распределённой СХД на базе ПО из состава гипервизора
Кластерное хранилища (2 хоста)
Создание реплицируемого блочного устройства DRBD
Кластерное хранилище (2+ хоста)
Создание реплицируемого блочного устройства либо распределенной файловой системы средствами сети хранения Ceph
Резервирование
Резервное копирование виртуальных сред
Резервное копирование в запущенном и остановленном состоянии (полное и инкрементальное) по заданному расписанию с возможностью последующего управления резервными копиями
Восстановление резервных копий
Возможность восстановления резервных копий средствами подсистемы виртуализации на любом из серверов
Удаление инкрементальных копий
Удаление инкрементальных резервных копий из цепочки без потери разрыва цепочки резервных копий
Брокер VDI
Возможность подключения к виртуальным рабочим станциям (проброс) произвольных USB-устройств
включая Flash-накопители, мобильные диски, сканеры, принтеры, видеокамеры и другие периферийные устройства, ключи электронной подписи, смарт-карты и крипто-токены
Функционирование ПО на произвольных аппаратных платформах терминалов тонкого клиента
в том числе отечественного производства без вспомогательной операционной системы
Возможность функционирования в качестве прикладного ПО
в действующих операционных системах Windows, Linux, MacOS, отечественных Astra Linux, BaseAlt, Rosa, MCBC всех версий
Единый доступ
Доступ к виртуальным рабочим местам и корпоративным ресурсам с любых устройств. Служба единого входа (single sign-on) и поддержка кросс-доменной авторизации
Виртуализация Windows и Linux приложений
с возможностью доставки окон приложений в любые ОC
Защищенное подключение к виртуальным машинам
Доступ к виртуальным рабочим местам и корпоративным ресурсам с любых устройств
Мониторинг
Функции мониторинга
Отслеживание и контроль как общего состояния платформы виртуализации так и в разрезе каждой подсистемы
Функции визуализации
Визуализация как качественных показателей состояний, так и количественных состояний производительности платформы. Несколько уровней абстракции и разрезов по отслеживаемым подсистемам
Функции уведомления
Интеграция с почтовыми серверами и смс-шлюзами для отправки уведомлений о зафиксированных проблемах
Функции отчетности
Формирование различных типов отчетов на основе шаблонов для наиболее распространённых типов отчетов
Экран
Межсетевой экран
Одновременная работа в режиме фильтрации сетевого трафика на уровне L2 в режиме коммутатора и на уровне L3 в режиме маршрутизатора
Отказоустойчивый кластер
Рарезервирование сетевого устройства и поддерка режима работы Active-Backup
Функции коммутатора
Поддержка режима работы на уровне L2 стандартной сетевой модели
Система обнаружения и предотвращения вторжений
Сетевые пакеты подвергаются глубокому анализу с целью выявить различного рода аномалии в сетевом трафике
Управление трафиком
...