Общая концепция построения доверенной защищенной среды виртуализации аппаратных ресурсов
Гипервизор
Гипервизор 1 типа Установка непосредственно на аппаратное обеспечение без использования хостовой операционной системы
| Технология оптимизации работы Поддержка технологии оптимизации работы с памятью, такие как Memory Deduplication (KSM), Host Swap, Memory Ballooning, Hugepages
| Кластер высокой доступности Поддержка возможность автоматического восстановления работы виртуальной среды без человеческого вмешательства
|
Стандарт VirtIO Поддержка стандарта VirtIO виртуализации дисковых и сетевых устройств
| Оптимизация работы с памятью Поддержка технологии оптимизации работы с памятью, такие как Memory Deduplication (KSM), Host Swap, Memory Ballooning, Hugepages.
| Multipathing Обеспечивает поддержку функции Multipathing
|
Управление
Управление виртуальными средами Управление виртуальными средами посредством графического интерфейса: шаблоны виртуальных машин / образы виртуальных машин / ресурсы виртуальных машин | Формирование виртуальной аппаратной конфигурации Создание и редактирование виртуального окружения виртуальных машин: количество процессоров / объём оперативной памяти / количество и объём дисков / количества и параметров сетевых интерфейсов | Доступ к локальным консолям Обеспечение доступа к локальным консолям виртуальных машин через веб-интерфейс управления средствами протоколов VNC или SPICE |
Графический веб-интерфейс Вывод в интерфейс управления информации о виртуальных машинах, пулах ресурсов, узлах | Кластер высокой доступности Обеспечение высокой доступности для объединения избыточных ВМ в группы или кластеры | Отказоустойчивость системы управления Для настройки High Available платформы используется распределенный консенсусный протокол для обеспечения отказоустойчивости и согласованности состояния Raft |
Коммутаторы
Распределенная база конфигураций Все создаваемые виртуальные коммутаторы становятся распределенными | Поддержка до 4096 коммутаторов Каждый распределенный виртуальный коммутатор позволяет работать с любым количеством VLAN (4096+ штук) | Изоляция и/или объединение в виртуальные сети Использование сетевого трафика виртуальных машин протокола VLAN для изоляции и/или объединения в виртуальные сети |
Поддержка режимов Сетевая подсистема поддерживает работу в режимах: Open vSwitch(+Ip route) / Bridged / Bridged & Security Groups / Bridged with ebtables VLAN / 802.1QVLAN (стандартный VLAN) | Взаимосвязь между виртуальными машинами Поддержка взаимосвязи между виртуальными машинами на одном и том же хосте в пределах виртуальной сети | Cлужебный трафик Передача служебного трафика iSCSI, NFS для управление хостом |
Хранилище
Блочное хранилище данных Предоставления доступа к хранилищу данных через FC/iSCSI/FCoE | Файловое хранилище данных Предоставления доступа к хранилищу данных через NFS, CIFS, GFS2, FS | Общая файловая система |
Распределенное хранилище Создание программно-определяемой распределённой СХД на базе ПО из состава гипервизора | Кластерное хранилища (2 хоста) Создание реплицируемого блочного устройства DRBD | Кластерное хранилище (2+ хоста) Создание реплицируемого блочного устройства либо распределенной файловой системы средствами сети хранения Ceph |
Резервирование
Резервное копирование виртуальных сред Резервное копирование в запущенном и остановленном состоянии (полное и инкрементальное) по заданному расписанию с возможностью последующего управления резервными копиями | Восстановление резервных копий Возможность восстановления резервных копий средствами подсистемы виртуализации на любом из серверов | Удаление инкрементальных копий Удаление инкрементальных резервных копий из цепочки без потери разрыва цепочки резервных копий |
Брокер VDI
Возможность подключения к виртуальным рабочим станциям (проброс) произвольных USB-устройств включая Flash-накопители, мобильные диски, сканеры, принтеры, видеокамеры и другие периферийные устройства, ключи электронной подписи, смарт-карты и крипто-токены | Функционирование ПО на произвольных аппаратных платформах терминалов тонкого клиента в том числе отечественного производства без вспомогательной операционной системы | Возможность функционирования в качестве прикладного ПО в действующих операционных системах Windows, Linux, MacOS, отечественных Astra Linux, BaseAlt, Rosa, MCBC всех версий |
Единый доступ Доступ к виртуальным рабочим местам и корпоративным ресурсам с любых устройств. Служба единого входа (single sign-on) и поддержка кросс-доменной авторизации | Виртуализация Windows и Linux приложений с возможностью доставки окон приложений в любые ОC | Защищенное подключение к виртуальным машинам Доступ к виртуальным рабочим местам и корпоративным ресурсам с любых устройств |
Мониторинг
Функции мониторинга Отслеживание и контроль как общего состояния платформы виртуализации так и в разрезе каждой подсистемы | Функции визуализации Визуализация как качественных показателей состояний, так и количественных состояний производительности платформы. Несколько уровней абстракции и разрезов по отслеживаемым подсистемам | Функции уведомления Интеграция с почтовыми серверами и смс-шлюзами для отправки уведомлений о зафиксированных проблемах | Функции отчетности Формирование различных типов отчетов на основе шаблонов для наиболее распространённых типов отчетов |
Экран
Межсетевой экран Одновременная работа в режиме фильтрации сетевого трафика на уровне L2 в режиме коммутатора и на уровне L3 в режиме маршрутизатора | Отказоустойчивый кластер Рарезервирование сетевого устройства и поддерка режима работы Active-Backup | Функции коммутатора Поддержка режима работы на уровне L2 стандартной сетевой модели |
Система обнаружения и предотвращения вторжений Сетевые пакеты подвергаются глубокому анализу с целью выявить различного рода аномалии в сетевом трафике | Управление трафиком Маркировка, приоритезацию и шейпинг сетевого трафика по различным критериям.Механизм маркировки при обработке сетевых пакетов добавляет специальную метку DSCP |