Сертификат AM Test Lab
Номер сертификата: 412
Дата выдачи: 27.03.2023
Срок действия: 27.03.2028
- Введение
- Функциональные возможности Numa vServer
- Архитектура Numa vServer
- Системные требования Numa vServer
- 4.1. Numa vServer
- 4.2. Numa Collider
- Принципы лицензирования Numa vServer
- Управление Numa vServer
- 6.1. Веб-интерфейс Numa Collider
- 6.1.1. Инфраструктура
- 6.1.2. Панель приборов
- 6.1.3. Пространства
- 6.1.4. Задачи
- 6.1.5. Диспетчер задач
- 6.1.6. Резервное копирование
- 6.1.7. Настройки
- 6.1.8. Импорт
- 6.1.9. Мастер настроек
- 6.1.10. Профиль пользователя
- 6.1. Веб-интерфейс Numa Collider
- Сценарии использования Numa vServer
- Выводы
Введение
Современные ИТ-инфраструктуры стремительно развиваются и всё чаще базируются на технологиях виртуализации. Виртуализация повышает доступность ресурсов, обеспечивает отказоустойчивость, масштабирование бизнеса, экономит время.
В контексте серверных мощностей виртуализация основана на абстрагировании (с помощью гипервизора) аппаратного обеспечения физической машины от всего ПО, которое на этой машине может работать. Ресурсы каждой физической машины аккумулируются в общий логический пул. Из серверного пула администратор формирует полностью изолированные друг от друга виртуальные машины в необходимой конфигурации.
Серверная виртуализация помогает решить ряд важных задач:
- оптимизирует потребление вычислительных ресурсов и ресурсов хранения данных;
- контролирует рост количества оборудования;
- снижает издержки на эксплуатацию;
- обеспечивает рост производительности прикладного ПО;
- упрощает миграцию данных;
- обеспечивает бесперебойный доступ и сокращение простоя оборудования;
- организовывает удобную работу с виртуальной средой;
- обеспечивает надлежащий контроль доступа к управлению ресурсами.
Технологии серверной виртуализации позволяют снизить расходы на обслуживание «железа», минимизировать простой в случае серьёзной аварии, распределить нагрузку, автоматизировать бизнес-процессы и в целом организовать эффективное управление ИТ-инфраструктурой компании.
Особое внимание вендоры уделяют безопасности платформ серверной виртуализации на всём протяжении бизнес-цепочки (разработка, поставка, развёртывание, эксплуатация и техническая поддержка). В условиях санкционного давления и ускоренного импортозамещения выбор средств защиты ограничивается предложениями от отечественных игроков рынка, одним из которых является компания «Нума Технологии», предлагающая доверенную систему серверной виртуализации Numa vServer.
Команда «Нума Технологий» имеет более 15 лет опыта разработки продуктов для информационной безопасности по нескольким направлениям: защищённая виртуализация (Numa vServer), защита конечных точек (Numa BIOS, Numa Arce, Numa uGate) и защита сетей (Numa Edge). Продукты состоят в реестре российского ПО и сертифицированы ФСТЭК, ФСБ, Минобороны России.
Numa vServer является полностью программным продуктом, который спроектирован с учётом широкого набора требований по безопасности и реализовывает защищённую доверенную виртуальную среду функционирования программных средств, не требующую дополнительных механизмов и накладных средств защиты информации.
Рассмотрим функциональные возможности Numa vServer 1.0.
Функциональные возможности Numa vServer
Вендор провёл более 300 доработок гипервизора и значительно усилил безопасность. Управление гипервизором реализовано посредством привилегированной виртуальной машины (ВМ), разработанной в компании на базе ОС Linux. Также благодаря особенности архитектуры гипервизора первого типа обеспечивается «бесшовная» загрузка платформы vServer, что снижает риски внедрения вредоносных программ в систему.
В разработке vServer вендор сделал ставку на Xen и отмечает важные преимущества в сравнении с KVM-решениями. Выбор гипервизора Xen обусловлен тем, что он изначально разрабатывался под корпоративные задачи с акцентом на надёжности, скорости развёртывания и бесперебойной работе.
Xen эффективнее взаимодействует с памятью и более производителен при высокой плотности размещения виртуальных машин, характерной для крупных компаний. Более подробно рассмотрим Xen в разделе «Архитектура».
Особенности продукта
Улучшенный гипервизор первого типа. Одним из главных преимуществ гипервизора первого типа в системе виртуализации является то, что он работает непосредственно на физическом уровне оборудования и управляет доступом гостевых операционных систем к аппаратным ресурсам. Это обеспечивает более высокую степень изоляции между гостевыми ОС по сравнению с гипервизором второго типа, который работает поверх операционной системы хоста.
Гипервизор первого типа обычно имеет более низкий уровень абстракции, поскольку он работает непосредственно с аппаратными ресурсами, что позволяет ему получить более прямой и быстрый доступ к ним. Это приводит к более высокой производительности гостевых операционных систем и меньшему количеству накладных расходов на взаимодействие с гипервизором.
Кроме того, гипервизор первого типа может быть более безопасным, поскольку он находится на уровне оборудования и имеет более прямой и непосредственный контроль над доступом гостевых операционных систем к аппаратным ресурсам. Это делает его более устойчивым к атакам на уровне операционной системы, таким как руткит-атаки или вирусы, которые могут обходить защиту на уровне операционной системы.
Также гипервизор первого типа может быть более гибким, так как он способен работать с различными типами аппаратных платформ и легче настраивается и управляется с точки зрения конфигурации и мониторинга.
В целом, использование гипервизора первого типа может обеспечить более высокую производительность, безопасность и гибкость в системе виртуализации. Однако выбор гипервизора зависит от конкретных требований и условий и может потребовать более тщательного анализа и сравнения с другими типами гипервизоров.
Миграция из других систем виртуализации. Реализована поддержка импорта из VMware, Microsoft Hyper-V, Citrix Hypervisor, VirtualBox и др.
Полноценный аналог VMware. Согласно последним исследованиям разработчиков NumaTech, Numa vServer реализовывает до 90 % возможностей VMware и может считаться его полноценным функциональным аналогом.
Управление системами хранения данных. vServer позволяет эффективно управлять хранилищем данных, которое используется виртуализированными машинами, и сокращает затраты на хранение информации.
В Numa vServer реализована «живая» миграция локального хранилища данных и вычислительных мощностей ВМ между серверами, внутри пула или облака. Поддерживается подключение к системам хранения данных по протоколам блочного доступа (Local LVM, RAW, iSCSI, Fibre Channel) и файлового доступа (EXT, NFS v3/v4, CIFS/SMB).
В итоге, например, можно легко изменять местоположение данных виртуальной машины, не нарушая её работы, выполнять быстрое копирование и репликацию данных, масштабировать систему хранения при необходимости.
Встроенные средства защиты от катастроф. Обеспечивают надёжную защиту данных и приложений в случае возникновения непредвиденных ситуаций, таких как сбои оборудования, вирусные атаки, ошибки оператора и т. д.
Одним из преимуществ таких средств является возможность сохранять состояния виртуальных машин в режиме реального времени, что позволяет быстро восстанавливать работу системы в случае сбоя или других непредвиденных ситуаций. Встроенные средства защиты также обеспечивают гибкое управление ИТ-ресурсами и изоляцию всех данных и приложений, запущенных на виртуальных машинах, что даёт возможность предотвратить утечку конфиденциальной информации.
Мониторинг и статистика. Регистрируется множество параметров состояния виртуальной инфраструктуры, выполняется работа с оповещениями. Доступна выгрузка данных статистики во внешние средства мониторинга по протоколу Syslog.
Открытый API и возможность интеграции. Реализована интеграция с CloudStack и OpenStack. Обеспечена совместимость со сторонними приложениями других разработчиков, поддержка IaC (Packer, Terraform).
Встроенные средства кластеризации и резервного копирования. Они позволяют создавать полную копию виртуальных машин, а также выполнять репликацию, создание снимков (snapshot) и дельта-копий, которые включают в себя метаданные пула и конфигурации веб-интерфейса. Это даёт возможность быстро восстанавливать системы после сбоев и сокращает время простоя.
В целом, использование встроенных средств кластеризации и резервного копирования в системе виртуализации Numa vServer обеспечивает повышенную надёжность и отказоустойчивость, что особенно важно для критически важных и географически распределённых систем.
Динамическая миграция ВМ. Позволяет перемещать работающие ВМ между физическими серверами без прерывания работы приложений и потери данных.
Одним из основных преимуществ динамической миграции ВМ является увеличение доступности и отказоустойчивости приложений и служб. Если какой-либо физический сервер выходит из строя или требуется произвести техническое обслуживание, работающие на этом сервере ВМ могут быть автоматически перемещены на другой доступный сервер без прерывания работы. Это сокращает время простоя и увеличивает доступность приложений.
Другим преимуществом динамической миграции ВМ является более эффективное использование ресурсов серверов. Если на одном сервере нагрузка снижается, ВМ могут быть перемещены на другой сервер, где есть больше свободных ресурсов. Таким образом, мощности серверов могут быть более эффективно распределены и использованы.
Наконец, динамическая миграция ВМ позволяет легче масштабировать систему. Если нагрузка на систему увеличивается, можно добавить новые серверы и переместить ВМ с наибольшей нагрузкой на эти серверы. Таким образом, система может быть масштабирована горизонтально без прерывания работы приложений и без необходимости перезапуска ВМ.
Numa vServer поддерживает «живую» миграцию ВМ внутри пула / облака / кластера, а также между отдельными серверами, не имеющими общего хранилища.
Детализированный перечень функциональных возможностей представлен в подробной документации.
Дополнительные характеристики
Отметим некоторые особенности vServer, полезные в контексте импортозамещения, затрат на серверное оборудование, администрирования и т. д.
Доверенная отечественная экосистема ИБ. Возможность создания (поставки) программно-аппаратных комплексов виртуализации на базе российского серверного оборудования, производимого технологическими партнёрами вендора.
Низкие системные требования. Numa vServer предъявляет низкие требования к «железу» и работает на серверах, возраст которых составляет 10 лет и более.
Удобное администрирование с Numa Collider. Позволяет при помощи веб-интерфейса выполнять операции по управлению широким набором инструментов и сервисов Numa vServer.
Быстрое развёртывание по принципу «из коробки». Все необходимые инструменты и сервисы, обеспечивающие работу и масштабирование виртуальной инфраструктуры, доступны сразу после установки Numa vServer (размер инсталлятора — 600 МБ).
Конкурентная ценовая политика. Вендор предлагает гибкую модель лицензирования ПО, которая подойдёт для различных этапов жизненного цикла виртуальной инфраструктуры.
Корпоративный сегмент
vServer оптимизирован для работы с кластеризацией и миграцией, содержит все необходимые средства для исполнения в корпоративной среде. Решениям на базе KVM, например, для развёртывания кластера необходимы дополнительные модули (oVirt, OpenNebula, OpenStack, Virtuozzo, вендорские плагины и т. д.).
Возможности Numa vServer позволяют создавать защищённые частные, публичные и гибридные облачные инфраструктуры и обеспечивать бесшовное масштабирование вычислительных ресурсов и системы хранения, высокую отказоустойчивость, резервирование, зонирование пула / кластера / облака, миграцию из других платформ виртуализации.
В корпоративной среде продукт обеспечивает:
- Мандатный контроль и управление доступом к аппаратному обеспечению (процессор, память, порты ввода-вывода, периферийные устройства) со стороны ВМ, изолированное разделение виртуального пространства на различные категории (алгоритмы шифрования ВМ применяются в каждой из зон).
- Неизменяемые политики (встраиваются непосредственно в гипервизор).
- Применение политик ко всем объектам управления (аппаратное обеспечение, ВМ, процессы).
- Миграцию ВМ между хостами или кластерами с учётом политик.
- Зонирование в кластере или ЦОДе (изоляция атакующих без возможности выхода за пределы контролируемых зон).
- Одновременное исполнение доверенных и недоверенных ВМ.
- Возможность создания изолированных друг от друга виртуальных сред для запуска и исполнения ВМ, в том числе на физическом (аппаратном) уровне, включая гарантированную изоляцию страниц памяти.
- Возможность управления периферийными устройствами, напрямую не отданными в использование ВМ.
- Возможность поэтапного запуска ВМ, в том числе пилотного запуска сервисных ВМ, предназначенных для обеспечения служебных сервисов и функций безопасности виртуальных сред и объектов в их составе.
Рисунок 1. Пример изолированных виртуальных сред в Numa vServer
Сертификаты Numa vServer
Numa vServer имеет сертификат ФСТЭК России № 4580 от 23.09.2022 (4-й уровень доверия и ТУ). Подробнее о сертификации vServer можно узнать на сайте вендора и в документации к продукту.
Numa vServer может применяться как средство защиты информации в том числе:
- в информационных системах общего пользования 2-го класса (приказ ФСТЭК России № 489 от 31 августа 2010 г.);
- в государственных информационных системах до 1-го класса защищённости (приказ ФСТЭК России № 17 от 11 февраля 2013 г.);
- в информационных системах персональных данных до 1-го уровня защищённости (приказ ФСТЭК России № 21 от 18 февраля 2013 г.);
- в системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, до 1-го класса защищённости включительно (приказ ФСТЭК России № 31 от 14 марта 2014 г.);
- при защите значимых объектов критической информационной инфраструктуры до 1-й категории включительно (приказ ФСТЭК России № 239 от 25 декабря 2017 г.).
«Нума Технологии» успешно развивает проекты безопасных комплексов виртуализации совместно с рядом технологических партнёров. Применяя сертифицированные ФСТЭК России продукты, такие как Numa BIOS, Numa Arce, Numa vServer и Numa Collider, на базе российского серверного оборудования, можно реализовать полностью отечественное доверенное решение.
Архитектура Numa vServer
Гипервизор первого типа на базе Xen
Xen — это популярная платформа виртуализации с открытым исходным кодом, которая позволяет создавать несколько виртуальных машин на одном физическом сервере и управлять ими. Она обеспечивает функциональную и безопасную среду для запуска нескольких операционных систем и приложений на одном сервере.
Созданная компьютерной лабораторией Кембриджского университета в 2003 году, Xen в настоящее время поддерживается Linux Foundation и используется для создания виртуальных машин в различных средах, включая корпоративные центры обработки данных, облачные серверы и встроенные системы.
Xen имеет ряд преимуществ перед KVM: лучшая масштабируемость, более быстрое выполнение гостевых операционных систем, упрощение управления и настройки, а также более высокий уровень безопасности.
Таблица 1. Поддержка гостевых ОС в Numa vServer
Операционная система | Версия |
Windows Server | 2003 / 2008 / 2012 / 2016 / 2019 |
Windows | XP / Vista / 7 / 8 / 10 |
Linux | На основе RHEL 5 / 6 / 7 / 8 / 9, SLES, Debian 5 / 6 / 7 / 8 / 9 / 10 / 11, Ubuntu и др. |
Специализированные ОС | МСВС, Astra Linux SE 1.2 / 1.3 / 1.4 / 1.5 / 1.6 / 1.7, Rosa Linux и др. |
xBSD | FreeBSD / OpenBSD / NetBSD |
По сравнению с KVM Xen имеет менее массивную кодовую базу, что удобно для экстренной доработки платформы в случае обнаружения критических уязвимостей. Это позволяет вендору оперативно реагировать на изменения ландшафта угроз. Кроме того, Xen более прост в настройке и управлении, чем KVM, что оптимизирует развёртывание и обслуживание виртуальных машин.
Ещё одно преимущество Xen состоит в том, что этот гипервизор имеет достаточную функциональность для организации запуска ВМ и их изоляции без операционной системы (bare metal), при этом он компактен и запускается в наиболее привилегированном режиме работы процессора (а всё остальное, включая dom0, — уже в менее привилегированных режимах). Эта модель существенно уменьшает площадь атаки на гипервизор и снижает возможность выхода за пределы песочницы ВМ (в отличие от гипервизоров 2-го типа, к которым относится KVM).
Установочный образ vServer поставляется по регламенту вендора в IMG- или ISO-файле, также обеспечивается возможность поставки комплекта из таблицы 2 на материальных носителях.
Таблица 2. Комплект поставки Numa vServer в электронном виде
Наименование | Примечание |
Установочный образ 643.АМБН.00021-01 | В электронном виде Идентификатор СЗИ: РОСС RU.0001.хххх.хххххх |
Документация в составе:
| В электронном виде |
Копия сертификата соответствия требованиям по безопасности информации (свидетельство № РОСС RU.0001.01БИ00) | В электронном виде |
Помимо интерфейса командной строки вендор разработал графическую веб-оболочку Numa Collider для комфортного управления платформой и мониторинга. В веб-интерфейсе Numa Collider реализован контроль 90 % возможностей vServer.
Collider организовывает взаимодействие с vServer более эффективно и позволяет:
- управлять (создание / настройка / удаление) хранилищами данных, серверами, пулами, виртуальными машинами, развёрнутыми в инфраструктуре;
- импортировать и экспортировать ВМ;
- создавать резервные копии ВМ (полные копии, снимки состояний, дельта-копии, копии для аварийного восстановления) и метаданных (как пула, так и конфигураций Numa Collider), восстанавливать данные из них;
- создавать расписания для автоматического выполнения операций;
- отслеживать состояние инфраструктуры (сведения об утилизации ресурсов, сигналы тревоги, незавершённые задачи, наиболее загруженные хранилища и количество активных ВМ).
Система управления Numa Collider представляет собой виртуальную машину, которая разворачивается на сервере, где установлен vServer.
Системные требования Numa vServer
Numa vServer
Обозначим минимальные и рекомендуемые системные требования к аппаратному обеспечению платформы.
Таблица 3. Технические требования сервера для Numa vServer
Состав | Минимальные технические характеристики | Рекомендуемые технические характеристики | Примечание |
Процессор | 1 шт., 2 ядра, частота не менее 1,5 ГГц, архитектура Intel x86-64 или AMD64 | 1–2 шт., 4–8 ядер (или более), частота не менее 2,5 ГГц, архитектура Intel x86-64 или AMD64, расширения виртуализации Intel-VT или AMD-V | Для обеспечения прямого доступа гостевых виртуальных машин к устройствам на шине PCI чипсет материнской платы и процессор должны поддерживать технологии аппаратной виртуализации ввода-вывода Intel VT-d или AMD-V |
Оперативная память | Объём не менее 4 ГБ | Память с коррекцией ошибок (ECC) объёмом не менее 16 ГБ | |
Накопитель | Жёсткий диск или твердотельный накопитель объёмом не менее 128 ГБ. Интерфейсы подключения SATA, SAS и др. | Жёсткие диски или твердотельные накопители объёмом не менее 250 ГБ для системы и 500 ГБ для хранения данных гостевых виртуальных машин. Интерфейсы подключения SATA, SAS и др. | При объединении серверных узлов в пул для хранения данных гостевых виртуальных машин рекомендуется использовать внешние системы хранения с блочным или файловым доступом |
Сетевые интерфейсы | 1 Ethernet-адаптер, 1 порт 100 Мбит/с | 1–2 Ethernet-aдаптера, 2 порта 1 Гбит/с или 10 Гбит/с | Для передачи данных гостевых виртуальных машин и данных управления серверным узлом не рекомендуется использовать один и тот же сетевой порт |
Конечный объём ОЗУ и количество ядер зависят от типа операционных систем, исполняемых в гостевых виртуальных машинах, а также профилей нагрузок. Например: Microsoft Windows 2016 — 2 ядра, 2 ГБ; Linux Ubuntu 16.10 — 1 ядро, 1 ГБ.
Таблица 4. Технические требования к системе хранения данных для Numa vServer
Состав | Минимальные технические характеристики | Рекомендуемые технические характеристики |
Поддерживаемые протоколы | NAS: NFS | NAS: NFS, SMB |
Сетевые интерфейсы | 1 Ethernet-адаптер, 1 порт 1 Гбит/с | 1–2 Ethernet-адаптера, 2 порта 1 Гбит/с или 10 Гбит/с Доступ к FC-фабрике |
Накопитель | 4 жёстких диска, объединённые в RAID10, общий «сырой» объём не менее 500 ГБ | Дисковые массивы с различными типами избыточности, использующие в своём составе твердотельные накопители и / или жёсткие диски, объём не менее 1 ТБ |
Минимальные требования для создания пула высокой доступности: три сервера, отвечающих рекомендуемым характеристикам (для создания общего ресурсного пула рекомендуется использовать компоненты одного поколения или семейства), а также одно общее хранилище с доступом по протоколу iSCSI.
Numa Collider
Для развёртывания Numa Collider на Numa vServer должны быть доступны следующие ресурсы: виртуальные процессоры (vCPU) — 2 шт.; оперативная память (RAM) — 2 ГБ; свободный объём диска — 20 ГБ.
Установка Numa vServer пошагово описана в руководстве пользователя, происходит в полуавтоматическом режиме и не требует высокой квалификации специалиста, достаточно усилий системного администратора с опытом администрирования ИТ-систем.
Принципы лицензирования Numa vServer
Рисунок 2. Общие принципы лицензирования Numa vServer и Numa Collider
Продукт лицензируется по числу физических процессоров. С каждой лицензией на Numa vServer предоставляется право использования Numa Collider в редакции «Начальная» (обеспечение автоматизации и минимального набора базовых операций по управлению компонентами Numa vServer).
Информацию по стоимости лицензии и вариантам лицензирования рекомендуется получить у вендора, финальная стоимость будет формироваться исходя из конкретной ИТ-архитектуры и в зависимости от целей, которые преследует компания.
Рассмотрим работу с Numa vServer: исследуем общие возможности и далее реализуем практический кейс.
Управление Numa vServer
Управление Numa vServer осуществляется посредством интерфейса командной строки или с помощью специально разработанной графической оболочки Numa Collider.
Рисунок 3. Команды управления ВМ в Numa vServer
Веб-интерфейс Numa Collider
Выше мы отметили, что вендор разработал графическую веб-оболочку Numa Collider для комфортного управления vServer и мониторинга.
Collider организовывает взаимодействие пользователя с сущностями vServer в более интуитивно понятном виде и позволяет решать задачи без использования командной строки. Без vServer работа графической оболочки невозможна.
Рассмотрим возможности Numa vServer через интерфейс управления Numa Collider.
Инфраструктура
Рисунок 4. Раздел «Инфраструктура — Виртуальные машины»
В подразделе «Виртуальные машины» находятся все созданные в системе ВМ. Здесь также реализована удобная быстрая фильтрация: по состоянию виртуальной машины, по наличию резервной копии, по пулам, по серверам, по меткам (каждой ВМ можно назначить тег).
Гибкая сортировка отображаемых данных охватывает имя, процессор, использование накопителя, ОЗУ, состояние питания, снимок состояния, контейнер, время запуска.
Рассмотрим работу с виртуальной машиной на примере экземпляра «Linux Rocky 8».
Рисунок 5. Консоль виртуальной машины
При работе с ВМ реализована удобная навигация посредством вкладок. Первая вкладка содержит окно интерфейса командной строки для взаимодействия с ОС виртуальной машины через консоль.
Можно быстро подключить накопитель данных, настроить SSH-доступ или RDP. Также вендор позаботился об изменении размера окна консоли посредством ползунка.
Вкладка «Общее» содержит информацию о конфигурации ВМ: количество процессоров, оперативная память, сетевой интерфейс. На этой вкладке можно присвоить ВМ тег.
Рисунок 6. Вкладка «Статистика» для виртуальной машины
На вкладке «Статистика» — визуальная информация для оценки нагрузки на выбранную ВМ: использование ЦП, ОЗУ, производительность сети и накопителя. Можно использовать данные глубиной до 1 года.
Рисунок 7. Вкладка «Сеть» для виртуальной машины
Сетевые параметры виртуальной машины находятся на вкладке «Сеть». Администратор может задать MAC-адрес, подключать и отключать сетевые интерфейсы без остановки ВМ, задавать IP-адреса и правила.
Здесь же быстро создаётся и подключается к ВМ новый сетевой интерфейс. Поддерживается до семи интерфейсов для Linux-платформ.
Рисунок 8. Накопители виртуальной машины
На вкладке «Накопители» настраивается работа ВМ с дисками. Можно отредактировать настройки диска, создать новый или подключить внешний накопитель.
Для Linux-систем vServer поддерживает максимум 255 накопителей объёмом до 2 ТБ. Здесь же реализовано подключение DVD и образов ISO.
Снапшот виртуальной машины (диска и ОЗУ) можно сделать на вкладке «Снимки состояний». Вкладка «Резервные копии» отображает созданные ранее бэкапы ВМ.
На вкладке «Журналы» в табличном виде представлен отчёт по связанным с ВМ событиям: запуск, копирование, остановка, перезагрузка, ошибки.
Рисунок 9. Расширенные настройки виртуальной машины
В расширенных настройках ВМ акцентирован блок кнопок: приостановить работу ВМ, поставить на паузу, принудительно перезагрузить или выключить.
Конфигурацию настроек ВМ можно преобразовать в шаблон для дальнейшего ускорения развёртывания типовых ВМ.
Здесь же можно активировать опции гипервизора: тонкие настройки процессора, приоритета, автоматизации, дополнительной защиты от удаления или выключения, максимальное и минимальное количество оперативной памяти, проброс ресурсов GPU, настройка списка доступа ACL.
Все вкладки содержат сквозную панель опций быстрого доступа справа вверху. Панель состоит из кнопок «остановка», «перезагрузка», «миграция», «снапшот», «экспорт» (в формат XVA или OVA), «копирование».
Взаимодействие с серверами в Numa vServer организовано по такому же принципу, как и с виртуальными машинами.
Рисунок 10. Вкладка «Общее» для сервера
После выбора сервера из списка мы попадаем на первую вкладку «Общее», где в интерактивном режиме представлены данные о конфигурации сервера (физические процессоры, оперативная память, сеть, накопители) и визуализировано использование ОЗУ.
Вкладка «Статистика» отображает графические данные о нагрузке на сервер (по каждому процессору, средняя нагрузка, ОЗУ, производительность сети).
Вкладка «Консоль» — работа с сервером через командную строку (CLI).
Вкладка «Сеть» организовывает работу с физическими сетевыми интерфейсами с возможностью быстрого создания VLAN.
Рисунок 11. Вкладка «Хранилище» для сервера
Подключённые к серверу накопители расположены на вкладке «Хранилище». Отображаются имя, тип, размер, используемый объём, протокол подключения.
Вкладка «Обновления» отображает доступные для сервера патчи и свежие релизы.
На вкладке «Журналы» представлена информация по событиям работы сервера (запуск, остановка, ошибки).
Рисунок 12. Расширенные настройки сервера
Расширенные настройки сервера несколько отличаются от настроек ВМ. Кнопка «Ввести в режим обслуживания» позволяет деликатно освободить ресурсы сервера для технических работ, переместив запущенные там ВМ на свободные ресурсы в пуле. После активации режима обслуживания можно, например, обновить vServer.
Кнопка «Отсоединить» отключает сервер от общего пула ресурсов.
Ниже отображаются полные данные о гипервизоре сервера и дополнительные настройки. Экспорт событий сервера по протоколу Syslog во внешние системы активируется здесь же.
В подразделе «Инфраструктура — Пулы» по аналогичному принципу организована работа с пулами общих ресурсов. Пул может состоять из одного сервера, как в нашем демопримере.
Рисунок 13. Создание агрегированной сети пула
Создадим агрегированную сеть для выбранного пула в качестве примера: в мастере настроек задаём интерфейсы, имя, MTU, протокол агрегации.
Контингент пула может брать в работу созданную сеть без промедления.
Рисунок 14. Расширенные настройки пула
Применительно к пулу расширенные настройки включают в себя такие опции, как Multipathing, высокая доступность, сервер Syslog. Поддерживается возможность создания настраиваемых полей.
При наличии нескольких сетевых интерфейсов в пуле рекомендуется выделить отдельную сеть, которая будет использоваться только для нужд миграции данных в системе. За это отвечает опция «Сеть миграции по умолчанию».
Рисунок 15. Раздел «Инфраструктура — Шаблоны»
vServer содержит перечень готовых типовых шаблонов, которые гарантированно будут работать с минимальными характеристиками ВМ. Сюда же сохраняются и пользовательские конфигурации ВМ для последующего применения.
Взаимодействие с хранилищами данных организовано по такому же принципу, как работа с ВМ, серверами и пулами. Рассмотрим вкладку «Накопители».
Рисунок 16. Вкладка «Накопители» для хранилища данных
Все накопители, которые формируют абстракцию выбранного хранилища, собраны на вкладке «Накопители».
Можно быстро создать новый накопитель и добавить его в хранилище, отредактировать параметры любого из накопителей, подключить или отключить диск, сделать копию или скачать в файл выбранный накопитель.
Работа с резервными копиями данных вынесена в отдельный раздел.
Панель приборов
Рисунок 17. Раздел «Панель приборов»
Отображаются все данные для быстрой оценки состояния системы: активные пулы, серверы, количество ВМ, распределение оперативной памяти, нагрузка на процессор, накопители данных и наиболее используемые хранилища.
Вверху можно фильтровать отображение информации: по пулам и по серверам.
В блоке «Тревога» отображается наличие ошибок и уведомлений системы, требующих внимания администратора.
Панель реализована в интерактивном формате: по щелчку мышью можно переместиться в соответствующий раздел управления ресурсами.
Рисунок 18. Раздел «Панель приборов — Статистика»
На соседней вкладке «Статистика» можно создать визуальную тепловую карту почасовой нагрузки на сервер или ВМ за неделю. В нашем случае отображается тепловая карта сервера для процессора «CPU 0».
Рисунок 19. Раздел «Панель приборов — Состояние»
Отображаются данные по состоянию хранилищ: наиболее заполненные накопители, потерянные снапшоты, подключённые виртуальные диски (VDI), ВМ с одинаковыми MAC-адресами.
Каждое поле имеет опции быстрого поиска и установки количества отображаемых объектов в табличном виде (по умолчанию — 10 строк).
Пространства
Рисунок 20. Пример создания пространства
В разделе «Пространства» Numa vServer можно создавать частные облака для работы с выделенной виртуальной средой.
В качестве примера создано пространство «Test» для пользователя «User» и назначены следующие лимиты: 2 ЦП, 10 ГБ ОЗУ и 100 ГБ на диске.
Рисунок 21. Работа пользователя в одном из пространств
После авторизации в «Test» пользователю «User» будут доступны для работы выделенные ресурсы и некоторые возможности, по умолчанию — работа с ВМ.
Каждому пользователю можно настроить доступ к остальным разделам платформы персонально посредством ACL.
Задачи
Рисунок 22. Раздел «Задачи — Планировщик»
В этом разделе можно добавить и запланировать задачи, которые посредством API будут отправлены на vServer.
Диспетчер задач
Рисунок 23. Раздел «Диспетчер задач»
В «Диспетчере задач» отображаются все происходящие в данный момент времени операции на серверах. Для примера мы выключили виртуальную машину — этот процесс отобразился в диспетчере и сопровождался дополнительными данными.
Здесь же можно вывести перечень предыдущих операций на платформе.
Резервное копирование
Рисунок 24. Раздел «Резервное копирование — Добавить»
В разделе «Резервное копирование» администратору доступны расширенные функции безопасной работы с данными виртуальной инфраструктуры:
- Полная резервная копия: снапшот преобразовывается в виртуальную машину и отправляется в удалённое хранилище по протоколу NFS, SMB и S3 (бета-тест).
- Дельта: полная резервная копия, которая дополняется изменениями.
- Аварийное восстановление: только копирование или перемещение бэкапов (с поддержкой глубины дельта-копий) из одной локации в другую, можно настроить расписание.
- Непрерывная репликация: полная копия дополняется дельта-копиями, а финальная сборка бэкапа происходит на конечном сервере.
Можно настроить параллельную репликацию данных в несколько хранилищ (в нашем примере выбрано три), рекомендуется минимальная дельта в 10 минут.
Здесь же задаются расписание и количество копий, активируется опция отчётности о процессе резервного копирования.
Рисунок 25. Раздел «Резервное копирование — Общее»
В случае статуса «сбой» при создании бэкапа можно провести анализ, получив развёрнутую информацию по репликации в обзорной панели раздела «Резервное копирование».
В нашем примере успешно прошла репликация в два хранилища, проблема возникла с третьим.
В этом же разделе администратору доступно резервное копирование конфигурации Numa Collider, которая хранится в отдельном файле. Также возможно реплицировать метаданные пула для быстрого восстановления конфигурации vServer на момент отказа.
Настройки
Рисунок 26. Раздел «Настройки — Серверы»
В разделе «Настройки» открываются расширенные опции безопасности и контроля доступа.
На первой вкладке отображаются серверы, которые подключены к Numa Collider, добавление серверов происходит здесь же.
Вкладка «Пользователи» позволяет добавлять локальные учётные записи (администратора или пользователя) вручную или по протоколу LDAP. В соседней вкладке «Группы» также поддерживается синхронизация групп посредством LDAP.
Рисунок 27. Раздел «Настройки — Контроль доступа»
На вкладке «Контроль доступа» пользователям Numa Collider можно назначить следующие роли: «Admin», «Operator» или «Viewer».
Роль «Viewer» обеспечивает доступ к пулу в режиме «только просмотр», полезна для демонстрации работы и проведения аудита. «Operator» может работать только с виртуальными машинами, «Admin» имеет полноценный доступ.
Вкладка «Внешние хранилища» позволяет быстро подключить хранилища для резервного копирования.
Вкладка «Дополнения» — это набор плагинов для активации дополнительных опций при приобретении расширенной редакции платформы.
Вкладка «Журналы» отображает события Numa Collider и некоторые события vServer. Доступен детальный отчёт по каждому событию, поддерживается экспорт в формате JSON.
Вкладка «IP-адресы» позволяет ограничить пользователя vServer заданным пулом IP-адресов.
Рисунок 28. Раздел «Настройки — Конфигурация»
Вкладка «Конфигурация» позволяет быстро экспортировать или импортировать настройки центра управления Numa Collider.
Импорт
Рисунок 29. Раздел «Импорт»
Этот раздел отвечает за импорт виртуальных машин на платформу в формате OVA или XVA.
Здесь же на вкладке «Накопители» возможен импорт накопителей в файле: VMDK, VHD, образ ISO.
Мастер настроек
Рисунок 30. Раздел «Добавить»
В разделе «Добавить» реализован мастер настроек для оперативного добавления в инфраструктуру виртуальной машины, хранилища или сетевого интерфейса.
Профиль пользователя
Рисунок 31. Раздел «Профиль пользователя» в Numa Collider
Раздел «Профиль пользователя» помогает настроить безопасное подключение к Numa Collider текущему авторизованному пользователю.
Можно удалить все токены для подключения, поменять пароли доступа, сгенерировать новый ключ SSH. Аутентификация OTP позволяет активировать второй фактор дополнительной защиты от несанкционированного доступа к Numa Collider.
Переключение языка платформы происходит в этом же разделе.
Сценарии использования Numa vServer
Рассмотрим практический кейс: выполним «живую» миграцию виртуальной машины между хостами. Будем управлять vServer с помощью интерфейса командной строки и то же самое сделаем из графической оболочки Numa Collider.
«Живая» миграция ВМ между серверами
Сначала настроим инфраструктуру: объединим два сервера в пул вычислительных ресурсов. Далее подключим общее внешнее NFS-хранилище и переместим туда VDI-файл виртуальной машины, включим ВМ и выполним миграцию с одного сервера на другой.
Если использовать CLI для запуска миграции, то в управляющей команде будут указываться те же параметры, что и при настройке через графическую оболочку.
Рисунок 32. Процесс «живой» миграции с помощью командной строки в Numa vServer
Для запуска аналогичного процесса из интерфейса Collider необходимо совершить несколько простых действий.
Создадим пул из двух серверов.
Рисунок 33. Добавление сервера в Numa Collider
Для объединения серверов указываем пул из инфраструктуры, нажимаем кнопку «Добавить сервер» и выбираем все серверы, которые требуется объединить в общий пул.
Убедимся, что все добавленные серверы находятся в пуле.
Рисунок 34. Проверка принадлежности серверов к одному пулу в Numa Collider
Оба сервера успешно объединились в пул. Выбираем запущенную ВМ и нажимаем кнопку «Миграция ВМ».
Рисунок 35. Интерфейс параметров миграции ВМ в Numa Collider
Задаём параметры для миграции и запускаем процесс.
Проверим в «Диспетчере задач», что задача выполняется.
Рисунок 36. Статус выполнения задачи ВМ в Numa Collider
Здесь же можно отслеживать прогнозируемое время завершения задачи.
Наша ВМ находится в состоянии миграции, но с ВМ можно работать — проверим это.
Рисунок 37. Проверка активности ВМ в процессе «живого» импорта в Numa Collider
ВМ полностью доступна, бесшовная динамическая миграция в Numa vServer работает, задача успешно выполнена как через графический интерфейс, так и посредством командной строки.
Прочие сценарии
Помимо «живой» миграции отметим другие классические повседневные рабочие задачи, которые помогает решать Numa vServer:
- создание ВМ с опциями и по шаблонам;
- подключение систем хранения данных;
- масштабирование виртуальной машины;
- импорт и экспорт ВМ;
- «горячее» подключение накопителей к ВМ;
- резервное копирование;
- обеспечение высокой доступности (High Availability, HA).
Механизм HA эффективен при физических разрывах передачи данных по сети или неполадках аппаратного обеспечения хоста. В первую очередь механизм НА позволяет запущенным виртуальным машинам при нестабильной работе хоста или его недоступности остановить работу и возобновить её в другом месте.
Если происходит запуск ВМ на новом сервере, пока предыдущий сервер восстанавливает работу, то HA исключает риски запуска одной и той же ВМ на разных серверах, способные привести к сетевым конфликтам или к потере важных данных.
Выводы
Numa vServer 1.0 — первый продукт на рынке РФ на базе гипервизора Xen, предназначенный для создания защищённой виртуальной инфраструктуры и оптимизированный под задачи крупного бизнеса.
vServer можно быстро развернуть как на отдельном физическом сервере, так и на группе серверов, объединённых в кластер, включая территориально-распределённые конфигурации серверов на 64-разрядных аппаратных платформах Intel или AMD с поддержкой технологии аппаратной виртуализации.
Система имеет сертификат ФСТЭК России и может применяться как СЗИ в ГИС, ИСПДн, АСУ ТП, а также на объектах КИИ. Поддерживает необходимые возможности кластеризации и резервного копирования для безопасной работы с большими объёмами данных.
Вендор активно работает с несколькими технологическими партнёрами по развитию комплексов виртуализации на базе российского серверного оборудования, что укрепляет перспективы дальнейшего развития и роста Numa vServer на рынке ИБ-продуктов России в контексте последовательного обретения страной технологического суверенитета.
Достоинства:
- Первая российская система на базе Xen.
- Встроенные возможности кластеризации и резервного копирования.
- Низкие системные требования, подходящие для серверов старше 10 лет.
- Сертифицирован ФСТЭК России (ТД-4 и ТУ).
- Гибкие опции лицензирования.
- Сервисный портал, качественная документация и оперативная поддержка.
- Быстрое развёртывание по принципу «из коробки».
- Графическая оболочка Numa Collider.
Недостатки:
- Нет комплексной интеграции с системами мониторинга (Grafana, Zabbix и т. д.).
- Нет автоматизации процесса доставки обновлений (ожидается в ближайшем релизе).
- Отсутствие приоритизации (ввод-вывод для ВМ и обмен данными хостов с хранилищами).
- Отсутствует поддержка гиперконвергентности.