Astra Linux: средства виртуализации «Брест»
Недавно рассказывали об исследовании CORTEL, которое посвятили анализу и сравнительным испытаниям российских платформ виртуализации.
В следующей серии материалов раскроем детальные характеристики отечественных систем виртуализации:
- Система виртуализации Astra Linux. Программный комплекс «Средства виртуализации «Брест» (версия 3.1).
- zVirt (Инфоленд) (версия 3.0).
- Альт сервер виртуализации на базе OpenNebula (версия 10).
- Альт сервер виртуализации на базе Proxmox (версия 10).
- ECP Space (версия 5.1.1).
- Ред виртуализация (версия 7.3).
Начнём с системы виртуализации Astra Linux, программного комплекса – Средства виртуализации «Брест» (версия 3.1).
Решение основано на свободно распространяемом ПО: гипервизор KVM, система управления виртуализацией «OpenNebula». Брест поддерживает и Windows и Linux гостевые ОС. В целях безопасности все пользователи должны принадлежать развернутому в системе домену FreeIPA. Существуют совместимые решения VDI. В процессе тестирования выявлены следующие функциональные и эксплуатационные свойства:
Решение Astra Linux включено в единый реестр российских программ для электронных вычислительных машин и баз данных
Операционная система «Astra Linux» имеет сертификат ФСТЭК №2557 до 27.01.2026, 1/2 уровень доверия, тип «А», 1/2 класс защиты.
Техподдержка в двух вариантах: “Стандартный” – 9/5 и “Привилегированный” – 24/7.
Поддержка высокой доступности (отказоустойчивости)
Пример шаблона для создания виртуальных машин с включенной функцией высокой доступности:
Поддержка высокой доступности среды управления построена на базе протокола RAFT. Ниже привели вывод команды, где кластер управления состоит из трех хостов, где лидером, принимающим функции хоста управления, является host3.
Живая миграция ВМ между хостами виртуализации и хранилищами
Пример диалога живой миграции:
Масштабирование системы виртуализации
Диалог добавления нового узла виртуализации:
Поддерживаются блочные и файловые СХД: устройства FC, ISCSI с возможностью реализации на них хранилища LVM и кластерной файловой системы OCFS2. Поддерживается CEPH. Не поддерживается NFS. В предыдущей версии (Брест 2.9) были проблемы с кластерными файловыми системами. Техподдержка сообщила, что в версии 3.1 проблема устранена.
В каталоги системы смонтировано два устройства OCFS2: /dev/sdc и /dev/sdd. Вывод команды onedatestore показывает, что на базе этих каталогов в ПК СВ Брест создано два хранилища с id 100 и 101. Из команды onevm list видно, что запущена виртуальная машина, диски которой лежат в данных хранилищах.
Поддержка балансировки нагрузки на хосты виртуализации
Балансировка возможна только по нагрузке процессора. Скриншот настройки автоматической миграции виртуальных машин кластера при превышении среднего значения загрузки ЦПУ хоста:
Резервное копирование
Имеется встроенная система резервного копирования, где файлы конфигураций и дисков виртуальных машин помещаются в архив tar.gz и копируются на специальное хранилище файлов. Имеется поддержка внешней системы резервного копирования — RuBackup:
Есть централизованное управление виртуальной сетью
Есть поддержка шаблонов ВМ
Есть возможность изменения ресурсов ВМ
Hot add vCPU и vRAM возможно, но не более чем в шаблоне, из которого развернута ВМ.
Система мониторинга
При помощи Zabbix. На официальном сайте описан порядок действий по установке zabbix агента на фронтальную машину и шаблона OpenNebula в систему мониторинга.
Ролевая модель доступа с возможностью гибкой настройки
Настройка ACL и квот группам пользователей на CPU, RAM, Disk, количество ВМ.
Есть поддержка VDI
Через систему виртуализации рабочих столов «Термидеск», но на момент тестирования были проблемы с последними версиями продуктов:
Импорт виртуальных машин из VMware
В инструкции подробно описан процесс переноса виртуальной машины из vSphere в OpenNebula путем конвертации диска vmdk в формат qcow утилитой qemu-img.
“На момент тестирования были определенные технические ограничения – они не умели работать с СХД и делать снапшоты. На сегодняшний день эти проблемы решены.
Также, в связи с тем, что система сертифицирована ФСТЭК, она имеет достаточно жесткие ограничения, связанные с требованиями к средствами защиты информации. Например, все пользователи системы должны принадлежать развернутому в системе домену FreeIPA. Доступ ко всем компонентам возможен только с учётными записями этого домена, необходимо выделять отдельную точку, с которой будет идти доступ, что приносит определённые неудобства.С другой стороны, ограничения обеспечивают требования безопасности. Мы продолжаем работу с системой виртуализации Astra Linux. И, если нет необходимости соответствовать требованиям – можно порекомендовать другую систему, проще. Если есть необходимость в защищённости по требованиям ФСТЭК – мы рекомендуем её.
Несомненный плюс — операционная система, на которой “живёт” виртуализация – сертифицирована ФСТЭК. Это – гипервизор второго типа, когда мы “ставим” виртуализацию на ОС общего назначения. Отсюда – минусы всех гипервизоров второго типа по сравнению с гипервизорами первого типа. Например, увеличение накладных расходов.
На рынке виртуализации РФ существует ещё одно решение, сертифицированное по таким же строгим правилам – Горизонт-ВС. Ключевое отличие – они сертифицированы как система виртуализации, а не как один из компонентов ОС. Сейчас мы тестируем данную систему”
– Роман Горнев, руководитель отдела управления инфраструктурой Cortel.
В следующем материале разберём виртуализацию zVirt (Инфоленд) (версия 3.0).
Надеемся, материал был полезен.
Для того, чтобы ознакомиться с полной версией результатов исследования отечественных систем виртуализации – напишите нам сюда.
ПК СВ «Брест»
Российская платформа со встроенными средствами защиты информации ОС Astra Linux Special Edition для создания и управления облачными виртуальными ИТ-инфраструктурами любой сложности. Позволяет развернуть частное или публичное облако, в том числе распределенное, и гибко управлять виртуальной инфраструктурой и ее компонентами, учетными записями пользователей и виртуальными машинами: создавать их из шаблонов, клонировать, удалять и т.д.
Программный комплекс предоставляет современный набор инструментов со своим собственным графическим интерфейсом для управления объектами виртуальной инфраструктуры любого масштаба и сложности:
- виртуальными машинами и виртуальными рабочими местами (VDI);
- физическими хостами, кластерами и ЦОДами (центрами обработки данных);
- сетями, хранилищами и т.д.
Созданные виртуальные машины могут работать как на Linux, так и на Windows.
ПК СВ «Брест» —это полностью российский программный продукт, который внесен в «Единый реестр российских программ для ЭВМ и баз данных» Минцифры под номером 3742.
Преимущества
Позволяет создать кластеры из нескольких серверов с гиперконвергентными, конвергентными или внешними аппаратными хранилищами.
Обеспечивает гибкость ИТ-инфраструктуры за счет ее масштабирования. Балансирует нагрузку между кластерами, оптимизирует использование серверных ресурсов.
Защита среды виртуализации осуществляется с применением комплекса встроенных средств защиты информации сертифицированной ОС Astra Linux Special Edition
Программный комплекс средств виртуализации «Брест»
Система виртуализации Astra Linux — комплексное программное решение для создания, использования и администрирования защищенных виртуальных инфраструктур. Позволяет управлять виртуальными машинами и кластерами, а также создавать распределенные системы и хранилища данных.
Решение подходит для ИС, обрабатывающих любую конфиденциальную информацию, в т.ч. государственную тайну с грифом «особой важности »
Обязательные компоненты системы, необходимые для ее функционирования и управления — это программный комплекс средств виртуализации «Брест» (ПК СВ «Брест») и защищенная ОС Astra Linux Special Edition релиз «Смоленск», которая устанавливается вместе с ПК СВ «Брест»
Также можно приобрести дополнительный компонент — расширение «Брест.VDI», которое позволяет создавать и использовать защищенные инфраструктуры виртуальных рабочих мест: изменять, хранить и администрировать, в том числе предоставлять к ним удаленный доступ.
Защиту IT-системы обеспечивают применяемые средства защиты информации, встроенные в ОС Astra Linux Special Edition релиз «Смоленск», сертифицированной ФСБ, ФСТЭК и Минобороны России.
«Мы видим высокий интерес наших заказчиков к использованию отечественных продуктов виртуализации, поэтому ее активно развиваем и совершенствуем решение. Теперь наши клиенты, кто работает с информацией ограниченного доступа, включая гостайну, получили современное ПО для управления виртуализацией, и их возможности в части совершенствования IT-систем серьезно расширились»
директор по продукту ГК Astra Linux, Юрий Осипов
Возможности ПК СВ
- централизованное управление пользователями, группами, хранилищами, серверами, виртуальными сетями, кластерами;
- создание до 10 000 виртуальных машин;
- подключение USB-устройств к виртуальным машинам;
- разграничение прав доступа к виртуальным машинам;
- централизованная аналитика и отчетность;
- автоматическое перераспределение нагрузки.
Преимущества
- объединяет в себе средства защиты, виртуализации, управления и возможность организации виртуальных рабочих мест;
- обеспечивает мандатный контроль целостности, мандатное и дискреционное управление доступом;
- реализованы централизованная идентификация, аутентификация и авторизация пользователей с помощью службы каталога FreeIPA;
- позволяет создавать отказоустойчивые кластеры высокой доступности и их масштабировать;
- имеет механизмы авто- и ручной миграции работающих ВМ между узлами кластера;
- есть возможность создавать распределенные хранилища CEPH.