Nutanix Frame, часть 2

В первой части нашего обзора мы рассмотрели ключевые тенденции на рынке VDI и наглядные примеры использования Desktop as a Service.

Сегодня мы продолжим рассматривать решение Xi Frame с архитектурной точки зрения. Какую платформу для размещения виртуальных рабочих столов выбрать? Как организовать сетевую связанность для доступа к корпоративным приложениям? Где хранить данные пользователей?

Выбор платформы для виртуальных рабочих столов
Задаваясь вопросом выбора VDI платформы в целом и платформы DaaS в частности ИТ подразделениям необходимо дать ответы на три простых вопроса:

  • Где будут размещаться отдельные компоненты инфраструктуры?
  • Где будет располагаться брокер подключений?
  • Где будут размещаться пользовательские данные?

Виртуальные машины рабочих столов пользователей могут размещаться как на площадке заказчика, так и в публичном облаке, либо возможно совместное использование этих двух сценариев.

Брокер подключения может также располагаться на площадке заказчика, и тогда мы говорим о традиционном VDI, когда заказчик сам, силами своих специалистов управляет всей инфраструктурой. Мы же сделаем акцент на облачном размещении брокера, т.к. именно этот вариант используют почти все DaaS платформы, в том числе и Xi Frame, о котором мы сегодня продолжим говорить.

Пользовательские данные, аналогично компонентам инфраструктуры и брокерам подключения могут располагаться как локально, так и удаленно, не важно — будет это просто файловое хранилище, размещенное у IaaS провайдера или готовый SaaS сервис.

Список можно расширять и дополнительными вопросами, но в общем случае мы получаем наглядную диаграмму с возможными вариантами ответов.

Как видно на диаграмме, брокер подключений Xi Frame всегда расположен в публичном облаке и управляется силами Nutanix, а заказчику предоставляет возможность выбора: размещать рабочие столы и/или пользовательские профили у себя или в публичном облаке.

Рассмотрим по отдельности варианты размещения как столов, так и пользовательских данных.

Варианты размещения виртуальных рабочих столов
BYO Infrastructure
Следуя концепции BYO Infrastructure, заказчикам в первую очередь предлагается использовать услуги своих текущих IaaS поставщиков, которые могут успешно работать с Frame. Xi Frame поддерживает работу со всеми основными глобальными поставщиками облачных сервисов:

  • Amazon Web Services (AWS)
  • Microsoft Azure
  • Google Cloud Platform (GCP)

При этом поддерживаются различные сценарии с повышенными требованиями по информационной безопасности, например AWS GovCloud и Azure Government, хотя все это, конечно, имеет слабое отношение к России и СНГ. Тем не менее, есть различные международные компании, работающие на территории РФ и СНГ, которым в рамках глобальных ИТ инициатив это может быть интересным.

Многие организации уже активно пользуются инфраструктурой и сервисами в публичных облаках. Использование существующей инфраструктуры позволяет заказчику извлечь выгоду (как по затратам, так и по удобству) из единого billing arrangement с текущим IaaS поставщиком. Клиент сам управляет выставлением счетов за инфраструктуру с помощью собственной консоли управления IaaS провайдера, а счета за подписку Xi Frame доступны через портал Nutanix.

Infrastructure Managed by Xi Frame
Если заказчик на текущий момент не потребляет облачных сервисов, либо они выходят за рамки описанных глобальных провайдеров (например, используются только локальные поставщики), Frame предлагает вариант создать учетные записи у глобальных IaaS провайдера за заказчика. В этой модели Frame отслеживает своими средствами использование инфраструктуры и ежемесячно выставляет счета как за инфраструктуру, так и за стоимость подписки Frame.

Локальное размещение компонентов
Для варианта локального размещения рабочих столов поддерживается вариант запуска машин на локальном кластере AHV.

Этот сценарий мы подробно в следующей части: как с нуля подготовить необходимую инфраструктуру и начать успешно ее использовать.

Варианты сетевой связанности
Без дополнительных сетевых компонентов
С помощью Xi Frame пользователи могут получать доступ к приложениям, которым требуется Интернет для доступа к данным, файлам и службам хранения, без необходимости развёртывания дополнительных сетевых служб. Каждая учетная запись Xi Frame поставляется с виртуальной машиной Sandbox, которая позволяет администраторам учетных записей подготовить свой золотой образ и одну или несколько виртуальных машин для пользователей. Все эти виртуальные машины существуют в виртуальном частном облаке (AWS) или виртуальной сети (Azure).

По умолчанию все виртуальные машины (и приложения на этих виртуальных машинах) в VPC или VNet могут подключаться к ресурсам, доступным через Интернет без дополнительных сетевых служб.

Этот вариант лучше всего подходит для клиентов, которые могут получить доступ к своим данным и файлам через Интернет, включая доступ к услугам поставщиков облачных хранилищ, таких как Box, Dropbox, Google Drive и Microsoft OneDrive.

Software VPN Client
В сценариях, когда приложения должны получать доступ к данным, файлам и службам хранения в локальной или частной сети, можно рассмотреть возможность использования программного VPN-клиента, который работает в виртуальном рабочем столе, поскольку клиент устанавливает туннель IPSec между виртуальной машиной, размещённой в облаке, и локальной или частной сетью..

Использование программного VPN-клиента выгодно по следующим причинам:

  • Клиент может использовать программное обеспечение VPN клиента, которое у него уже есть;
  • После аутентификации VPN-клиента в брандмауэре on-prem или в облачной частной сети пользователь может получить доступ к любым данным, файлам и службам хранения в пределах защищенной сети;
  • Организация может использовать существующие VPN серверы и брандмауэры;
  • При использовании программного VPN-клиента дополнительные затраты на Xi Frame отсутствуют.

Frame рекомендует это решение, если пользователям требуется доступ к сети, файлам, принтерам или службам баз данных, а также доступ к другим облачным VPC или VNet.

Повышенные требования пользовательских приложений к задержкам сети могут повлиять на производительность в случае использования программного клиента VPN.

AWS Virtual Private Cloud (VPC) Peer
Если сетевые службы, службы данных, файлов и приложений уже настроены в виртуальном частном облаке AWS, можно связать учетную запись Frame VPC с существующим VPC. Соединение с помощью интерфейса AWS VPC обеспечивает частную маршрутизацию трафика между вашей учетной записью Xi Frame VPC и вашим ранее существующим VPC, как если бы они находились в одной частной сети, независимо от региона AWS, где находится любой из VPC. Это подключение к частной сети позволяет приложениям, работающим на виртуальных машинах с рабочей нагрузкой в вашей учетной записи Xi Frame VPC, получать доступ к существующим службам, управляемым заказчиком, без необходимости установки отдельных VPN клиентов.

AWS VPC peering полезен по нескольким причинам:

  • Пользователям не требуется устанавливать VPN-соединение в пределах виртуальной машины;
  • Весь трафик маршрутизируется в частном порядке между двумя VPC AWS;
  • Два VPC могут принадлежать разным подразделениям и управляться независимо друг от друга;
  • При использовании AWS VPC peering дополнительные затраты на Xi Frame отсутствуют.

Чтобы установить AWS VPC peer, клиент должен иметь доступ к следующей информации:

  • Учетные записи и идентификаторы имеющегося VPC (Account, VPC ID);
  • Регион AWS (AWS Region);
  • Сетевой блок VPC (VPC network block).

Azure Virtual Network (VNet) Peer
Если сетевые службы, службы данных, файлов и приложений уже настроены в виртуальной сети Azure (VNet), можно связать учетную запись Frame с существующей VNet. Это подключение к частной сети позволяет приложениям, работающим на виртуальных машинах Frame, получать доступ к существующим управляемым пользователем службам без необходимости установки VPN-туннеля.

Чтобы создать учетную запись Frame с привязкой к ресурсам Azure необходимо иметь доступ к:

  • Идентификатору подписки (Subscription ID);
  • Идентификатору приложения (Application ID);
  • Идентификатор каталога (Directory ID);
  • Секретный ключ/пароль.

Virtual Private Network (VPN) Gateway
Возможно развернуть шлюз AWS или Azure VPN Gateway в учетной записи Xi Frame. Шлюз VPN устанавливает туннель IPSec между VPC AWS или Azure VNet и локальной или частной сетью. Выделенное аппаратное обеспечение шифрует весь трафик между двумя сетями.

Использование выделенного шлюза VPN обеспечивает следующие преимущества:

  • Пользователям не требуется запускать программный VPN-клиент и проверять подлинность VPN-шлюза или брандмауэра компании при каждом подключении к сеансу. Виртуальная среда «песочницы» получит доступ к необходимым данным, файлам и службам хранения во внутренней или частной сети через шлюз VPN;
  • Устраняется потребность в вычислительных ресурсах программных VPN-клиентов, поэтому все ресурсы ЦП и памяти виртуальной машины полностью доступны для приложений пользователей и потоковой передачи сеансов в их браузеры;
  • Позволяет избежать необходимости поддержки и обслуживания программных VPN-клиентов, установленных в изолированной программной среде и виртуальных машинах;
  • Позволяет использовать существующие в компании VPN сервера и брандмауэры.

Варианты доступа к данным пользователей
Локальные устройства
Загрузка и выгрузка файлов с локальной машины при работе с Frame является самым простым вариантом для доступа к файлам. Пользователи могут перетаскивать файлы из локального проводника в сеанс Frame — файл автоматически отправляется в выделенную папку Uploads и сохраняется до завершения сеанса. Это решение позволяет пользователям загружать файлы из сеанса Frame на локальный компьютер, сохраняя или перетаскивая их в папку Download Now.

Frame рекомендует это решение, если у пользователей нет учетной записи облачного хранилища и требуется доступ к некоторым локальным файлам. Если пользователям необходим повторный доступ к большим файлам или многим файлам, то, скорее всего, лучше подойдет другое решение. Встроенные опции загрузки и загрузки лучше всего подходят для краткосрочного использования, если вы не используете их в сочетании с постоянными настольными компьютерами.

Использование локальных устройств в качестве решения для хранения данных обеспечивает следующие преимущества:

  • Не требуется дополнительная настройка;
  • Удобство и простота в использовании;
  • Отсутствие дополнительных затрат на хранение.

Администратор системы может при необходимости управлять этими параметрами, разрешая или запрещая ту или иную операцию.

Если для учетной записи пользователя включена эта функция, пользователь может увидеть значок загрузки в клиенте Frame, как показано на следующем рисунке.

Пользователи просто открывают локальный проводник и переходят к файлу, который они хотят передать. Когда сеанс Frame открыт, пользователь перетаскивает свой локальный файл в окно Frame. После завершения загрузки файл становится доступным в папке Uploads на время сеанса. Чтобы загрузить файлы из сеанса Frame на локальный компьютер, пользователи могут просто переместить нужные файлы в папку Download Now своего Проводника.

Архитектурно работа выглядит, как показано ниже.

Облачные хранилища
Платформа Xi Frame интегрируется с четырьмя ведущими поставщиками облачных хранилищ: Microsoft OneDrive, Dropbox, Google Drive и Box. Среда Frame может использовать облачное хранилище в качестве диска, совместно используемого участниками группы Frame, или участники группы могут получить доступ к своим собственным учетным записям облачного хранилища несколькими щелчками мыши. Наша интеграция не синхронизирует весь диск облачного хранилища, а использует драйвер, чтобы перехватить взаимодействие с поставщиком облачных хранилищ и сделать ваши файлы доступными по требованию. Как только пользователь взаимодействует с файлом, Frame немедленно начинает передачу этого файла во временную папку на локальном диске виртуальной машины для использования. После сохранения файла Frame передает его обратно в облачное хранилище.

Это решение применимо ко многим сценариям использования для организаций, которым уже используют облачное хранилище. Облачное хранилище может быть хорошим вариантом, если у вас еще не создано решение для хранения данных и имеется небольшой или умеренный объем данных для доступа.

Использование облачных хранилищ в качестве решения для хранения данных предоставляет следующие преимущества:

  • Легко подключать/отключать облачные хранилища;
  • Простое и привычное управление для конечных пользователей;
  • Передача файлов выполняется быстро и просто, поскольку сеанс Frame просто подключается к другой облачной службе;
  • Файлы синхронизируются с сеансом Frame только по мере доступа пользователя к ним, что минимизирует потребление ресурсов;
  • Вы можете управлять емкостью облачного хранилища через поставщика облачных хранилищ.

Администратор системы по аналогии с возможностями по управлению работы с локальными устройствами может управлять облачными хранилищами.

Если для учетной записи пользователя включена возможность использовать облачные хранилища, пользователь может сам настроить необходимые для работы сервисы.

Архитектурно работа выглядит, как показано ниже.

Xi Frame Personal Drive
Xi Frame предоставляет каждому из своих пользователей сетевое хранилище с индивидуальным размещением, называемое персональным диском. Персональный диск монтируется, как подключаемый сетевой диск (P: для буквы диска). Администраторы настраивают начальный размер персональных дисков пользователей, и могут настраивать параметры autogrow.

Использование персонального диска Frame в качестве решения для хранения данных предоставляет следующие преимущества:

  • Пользователи могут самостоятельно управлять резервным копированием личных дисков;
  • Администраторы могут планировать автоматическое резервное копирование на персональные диски и устанавливать параметры хранения непосредственно из интерфейса панели управления;
  • Данные шифруются и хранятся в виртуальном частном облаке (VPC) AWS или на управляемых дисках Microsoft Azure (в обоих случаях используется стандартное шифрование). Клиенты Xi Frame, использующие AHV, получают преимущества от программного шифрования данных на уровне кластера.

Архитектурно работа выглядит следующим образом.

Xi Frame Utility Server
Администраторы могут создать и настроить служебный сервер Xi Frame Utility Server из панели мониторинга учетных записей в качестве выделенного сервера хранения с общими файловыми ресурсами, доступными пользователям в качестве подключаемого сетевого диска. Кроме того, это означает, что данные сохраняются на виртуальной машине так же, как и на локальном файловом сервере. Как правило, служебный сервер постоянно включен для обеспечения доступности данных пользователям в любое время.

Использование служебного сервера в качестве решения для хранения данных предоставляет следующие преимущества:

  • После настройки сервера пользователи имеют круглосуточный доступ к общему файловому ресурсу, что выгодно в случаях, требующих интенсивной совместной работы;
  • В любое время можно изменить параметры служебного сервера в соответствии с требованиями рабочего процесса. Администраторы выбирают образ, тип и размер виртуальной машины и размер хранилища при создании, как в конфигурации Sandbox;
  • Администраторы могут увеличить емкость хранилища в любое время с панели управления;
  • Администраторы могут планировать резервное копирование служебных серверов для обеспечения избыточности данных.

Архитектурно работа выглядит, как показано ниже.

On-Premises File Server
Frame также поддерживает организации, предпочитающие размещать свои хранилища в существующих локальных сетях. Клиент управляет собственным файловым сервером on-prem, доступ к которому осуществляется через VPN-туннель, если файловый сервер находится за брандмауэром.

Использование файлового сервера on-prem обеспечивает следующие преимущества:

  • Позволяет организациям использовать уже имеющиеся системы хранения;
  • Устраняет необходимость репликации файлового хранилища в облако;
  • К учетной записи Frame можно подключить несколько серверов on-prem из нескольких локаций.

Для этого решения требуется наличие программного или аппаратного VPN. В средах, подключенных к домену, виртуальные машины автоматически присоединяются к домену Active Directory. Подключаемые сетевые диски пользователей присоединяются к их виртуальным машинам после проверки подлинности на контроллере домена.

Архитектурно работа выглядит, как показано ниже.

Nutanix Files on AHV
Nutanix Files позволяет заказчикам совместно использовать файлы на рабочих станциях или виртуальных машинах пользователей в централизованном и защищенном месте, что устраняет требования к наличию сторонних решений третьих компаний для организации файловых сервисов. Под управлением Nutanix AOS Nutanix Files использует масштабируемую архитектуру, которая предоставляет файловые службы клиентам по протоколу SMB или NFS. Files поддерживают протоколы SMB 2.0, SMB 2.1 и SMB 3.0. Files состоят из трех или более виртуальных машин (FSVM), объединенных в единый логический кластер. Files поддерживают возможность развертывания нескольких независимых инсталляций файлового сервера в одном кластере Nutanix.

Использование Nutanix Files в качестве решения для хранения данных предоставляет следующие преимущества:

  • Файловая система хранения данных для отделов и ROBO, домашних каталогов и облачных сред обеспечивает простоту, гибкость и масштабируемость;
  • Развертывание одним щелчком занимает несколько минут и легко масштабируется. Не требуются специализированные выделенные NAS хранилища;
  • Конечные пользователи могут быстро работать со своими файлами из-за низкой задержки между виртуальными машинами и файловыми сервисами;
  • Интегрированная аналитика с полезными советами;
  • Files обеспечивают доступность данных во время обновления программного обеспечения, обновления оборудования и непредвиденных сбоев без узких мест или единых точек отказа.

Frame рекомендует Nutanix Files для организаций, использующих AHV и локальный кластер в качестве инфраструктуры размещения частного облака.

Архитектурно работа выглядит, как показано ниже.

Cloud-Backed File Services
Клиентам, имеющим пользователей в нескольких или разрозненных удаленных офисах, или использующим мобильные устройства, часто приходится совместно работать с общими документами. Эти пользователи должны иметь возможность быстро читать и писать из любого места в любое время. Они зависят от возможности редактирования файлов без записи других пользователей в те же файлы (и возможного повреждения). Кроме того, распределенные пользователи должны иметь возможность постоянного доступа к своим данным независимо от того, где они находятся или к какому файловому серверу они обращаются в данный момент.

Если у вас есть какие-либо из этих требований, рассмотрите решение для хранения данных, поддерживающее многосайтовый и облачный доступ с возможностью глобальной синхронизации и блокировки файлов в режиме реального времени. Решение по хранению данных должно поддерживать пользователей без снижения производительности по мере увеличения числа файлов и/или пользователей.

Использование глобальной файловой системы с облачной поддержкой с синхронизацией и блокировкой файлов предоставляет следующие преимущества:

  • Согласованное представление всех файлов в глобальной файловой системе независимо от того, где находится пользователь;
  • Использование дедупликации, кэширования и сжатия для оптимизации при работе с файлами;
  • Синхронизация изменений файлов в режиме реального времени в глобальной файловой системе;
  • Блокировка файлов обеспечивает совместную работу и согласованность данных;
  • Безопасность резервного копирования и архивирования для всех файлов.

Архитектурно работа выглядит, как показано ниже.

Заключение
Как видим, вариантов размещения как сами рабочих столов пользователей, так и данных пользователей большое множество и все они поддерживаются Xi Frame. Заказчик в общем случае не привязан к какому-то отдельному решению и в рамках своих задач может использовать гибридные схемы.

Хорошим примером быстрого старта или хотя бы оценки, а в дальнейшем возможно оптимизации, в связи с текущими событиями во всем мире является следующий вариант:

  • Запросить Express Test Drive для тестирования ( https://fra.me/test-drive ). Дается 2 часа и виртуальная машина в публичном облаке. Этого в целом достаточно для первоначального знакомства;
  • Запросить Trial на 30 дней. Возможна организация работы на 5-10 пользователей с размещением виртуальной машины как в публичном облаке для новых клиентов Nutanix, так и на площадке заказчика, если уже имеется Nutanix AHV;
  • Если по результатам тестирования решения все устраивает, то можно первое время оперативно начать пользоваться публичными сервисами, а по приезду решения Nutanix на территорию заказчику произвести перенастройку на использование только локальных ресурсов.

Мы видим сейчас резко возросший спрос на DaaS в связи с переводом большого числа сотрудников на удаленную работу.  Если не получается оперативно получить доступ к триалу или тест драйву, не стесняйтесь писать на se-russia@nutanix.com.

Описание как оперативно развернуть Xi Frame с применением локальных ресурсов на базе Nutanix AHV и Nutanix Files постараемся выложить уже на следующей неделе.

Берегите себя коллеги, не болейте!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *