Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Здравствуйте, Хабровчане! В этой статье мы проведем обзор новой линейки программно-аппаратных комплексов АЭРОДИСК Machine-V с предустановленной российской системой виртуализации АИСТ или гиперконвергентой системой vAIR, системой резервного копирования RuBackup и сертифицированной ФСТЭК системы защиты информации Аккорд.
Идею создания готовых программно-аппаратных комплексов (ПАК-ов) с предустановленным гипервизором мы получили от наших заказчиков. Потребности, которые решает ПАК АЭРОДИСК Machine-V, можно в общем виде разделить на две категории. Первая – упрощение и в результате повышение качества технической поддержки (поддержка серверов и ПО виртуализации от одного производителя), второе – упрощение закупочных процедур. В этой статье мы разберем эти два аспекта, также углубимся в техническую реализацию, рассмотрим защищенное исполнение таких решений для ГИС, ИСПДн и КИИ, ну и, конечно, не обойдем вниманием российские процессоры Эльбрус и Байкал.
Кроме того, мы детально разберем все аспекты платформы АЭРОДИСК Machine-V на очередном вебинаре «ОколоИТ» 9 марта 2022 года.
Ссылка не регистрацию: https://events.webinar.ru/42526535/10570681
Обзор программно-аппаратного комплекса АЭРОДИСК MACHINE-V
О чем сегодня расскажем:
Состав ПАК АЭРОДИСК Machine-V
Система виртуализации АИСТ
Система резервного копирования RuBackup
Аппаратные платформы АЭРОДИСК Machine
Реестры Минпромторга и Минцифры
Критическая информационная инфраструктура
Миграция с другой системы виртуализации
Техническая поддержка
Что входит в MACHINE-V?
ПАК АЭРОДИСК Machine-V поставляется с установленным гипервизором АИСТ, который отвечает за выполнение виртуальных машин, распределенных виртуальных коммутаторов и при необходимости может быть дооснащен лицензией, трансформирующей его в гиперконвергентную систему vAIR с распределенным хранилищем на базе ARDFS (Aerodisk Distributed File System). Также в комплекс входит интегрированная с АИСТ/vAIR система резервного копирования RuBackup. Данное ПО в предустановленном варианте поставляется на серверном оборудовании АЭРОДИСК Machine, прошедшее в конце 2021 года экспертизу Торгово-промышленной палаты России и сейчас находящееся в реестре Минпромторга. Опционально к системе поставляются сертифицированные ФСТЭК России средства защиты информации Аккорд-МКТ и Аккорд-KVM, предназначенные для использования в значимых объектах критической информационной инфраструктуры (КИИ) 1 категории значимости, в государственных информационных системах (ГИС) 1 класса защищенности и в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 1 уровня защищенности персональных данных.
Таким образом на борту АЭРОДИСК Machine-V мы имеем:
Гипервизор АИСТ, с возможностью апгрейда до гиперконвергентной системы vAIR
Систему резервного копирования RuBackup
Серверы АЭРОДИСК Machine
Сертифицированные средства защиты информации Аккорд-МКТ и Аккорд-KVM
Техническая поддержка всего комплекса «под ключ» от компании АЭРОДИСК
Кратко разберем функционал АИСТ
Высокая доступность (HA) виртуальных машин (ВМ) позволяет автоматически перезапускать ВМ в случае выхода из строя оборудования, тем самым устраняя точку отказа в виде физического сервера. Для организации отказоустойчивости в кластере АИСТ не менее двух нод кластера должны быть подключены к общему хранилищу.
В качестве хранилища данных могут выступать любые СХД, поддерживающие протоколы Fibre Channel, iSCSI и NFS, либо отказоустойчивое хранилище можно организовать на тех же серверах, где работает гипервизор, обновив лицензию АИСТ-а до vAIR. За организацию отказоустойчивого блочного доступа (FC/iSCSI) со стороны АИСТ отвечает компонент ACFS (Aerodisk Clustered File System), обеспечивающий доступ к одному блочному устройству со стороны множества серверов.
Также в онлайн-режиме поддерживаются такие операции, как изменение количества ядер vCPU, добавление виртуальных дисков, консистентные по отношению к ОС снэпшоты и клоны. Ресайз дисков и оперативной памяти пока ещё требует перезагрузки виртуальной машины.
Для быстрого развертывания ВМ предусмотрен механизм создания шаблонов ВМ и последующего автоматического (в том числе и массового) развертывания.
Для доступа к интерфейсу ВМ поддерживаются такие протоколы как VNC и Spice.
Управление кластером в целом выполняется с любой ноды через веб-интерфейс или командную строку. Для синхронизации управляющих команд и конфигураций узлов кластеров используется встроенная распределенная база данных конфигураций. Распределенное управление и хранение конфигураций позволяет также выполнять обновление ПО кластера в онлайн-режиме. Для этой операции (а также для других внешних сервисных операций) предусмотрен дополнительный веб-интерфейс «Спутник», расположенный в отдельном контейнере и доступный по IP любой ноды по порту 8082.
Также для интеграции стороннего ПО предусмотрен Restful API, с помощью которого, кстати, реализована интеграция с системой резервного копирования, но о ней чуть позже.
Мониторинг, статистика и оповещения реализованы в двух видах. Базовый вариант доступен в веб-интерфейсе. Более расширенный функционал реализован с помощью популярного средства Grafana, который в преднастроенном и интегрированном (также REST-ом) варианте предоставляется в виде развернутой виртуальной машины в кластере АИСТ.
Резервное копирование
В комментариях к одной из прошлых статей нам задали вопрос о предусмотренных возможностях резервного копирования. На тот момент мы (за неимением качественных сторонних решений) разрабатывали свое встроенное средство (рабочее название «Якорь»), но с тех пор ситуация изменилась и на российском рынке появился российский разработчик СРК, который умеет качественно бэкапить виртуальные машины, основанные на KVM (а как раз KVM лежит в основе АИСТ-а). Таким разработчиком является компания RuBackup, которая некоторое время назад предоставила рынку свое одноимённое программное обеспечение.
Что значит качественно бэкапить ВМ? Это значит, во-первых, поддерживать безагентный бэкап виртуальных машин, а во-вторых, иметь мастхэвный энтерпрайзный функционал, такой как поточная дедупликация, отказоустойчивость, поддержка ленточных библиотек и так далее.
Всеми этими достоинствами RuBackup обладает, поэтому, как только мы познакомились с продуктом поближе – сразу же занялись его интеграцией в наш продукт.
Важным моментом является то, что техподдержку СРК в рамках ПАК АЭРОДИСК Machine-V оказывает также АЭРОДИСК, что сильно упрощает жизнь, не заставляя службу эксплуатации заказчика бегать по разным вендорам в поисках решения проблем. Более подробно об интеграции, функциональности и принципах лицензирования RuBackup-а применительно к АИСТ и vAIR мы расскажем в отдельной статье.
Железный вопрос
Переходим к обзору аппаратных платформ, которые поставляются в рамках ПАК-а Machine-V.
Предусмотрено две реализации серверной части ПАК-а: 1U и 2U.
Серверы выполнены в rack-исполнении и поддерживают одно- и двухпроцессорные конфигурации. В качестве процессоров доступными опциями являются всем известные процессоры Intel Scalable Gen2 (LGA3647). Российские процессоры Эльбрус и Байкал представлены в параллельной линейке продукции АЭРОДИСК Фотон.
Тут, видимо, возникнет вопрос, откуда на российских процессорах возьмется серверная виртуализация? Отвечаем, на Эльбрусе 8С/8СВ и Байкале-М, ниоткуда, т.к. её там нет, а на Эльбрус 16С и Байкал-S она прекрасно работает. Мы уже разработали версию аналогичных платформ на базе Эльбруса и Байкала (название линейки: АЭРОДИСК ФОТОН) и поэтому, как только начнется массовая поставка (вторая половина 2022 года) автоматически вопрос серверной виртуализации на российских процессорах будет решен.
Оба сервера поставляются с отказоустойчивыми блоками питания, универсальными отсеками для внешних накопителей с поддержкой горячей замены 2,5’’/3,5’', SSD/HDD, внутренним SATA M2 накопителями с поддержкой встроенного RAID.
Также конструкция обоих серверов позволяет выполнять безотверточную сборку / разборку устройств.
В серверах установлены идентичные материнские платы компании Рикор (КДБА 469 555.003), оба сервера поддерживают оперативную память объемом от 32 GB до 2048 GB (16 слотов с частотой до 2933 МГц) и адаптеры ввода-вывода Ethernet 1/10/25/40/100 Gbs, Infiniband 40/56/100 Gbs и Fibre Channel 8/16/32 Gbs. В базовой комплектации обоих серверов встроены два порта 1Gb Ethernet + порт управления. Модель 2U имеет два дополнительных порта 1G (то есть суммарно 4x1G IO+1 порт управления).
В зависимости от модели возможна установка разного количество дополнительных адаптеров. Сервер 1U физически может вместить один дополнительный адаптер, сервер 2U соответственно больше – до шести.
Модели Machine 1U и 2U также отличаются возможностями бэкплейнов.
Модель 1U поддерживает только пассивный 6G SATA-бэкплейн.
У модели 2U есть 3 опции:
пассивный 6G SATA-бэкплейн
активный 12G SAS-бэкплейн (до 12 портов)
гибридный SAS/NVMe-бэкплейн (8 SAS/4 NVMe)
Таким образом у платформы 2U есть возможность использовать не только SAS и SATA, но и высокоскоростные NVMe U2 накопители.
Мониторинг и удаленное управление сервером осуществляется через выделенный порт управления на базе контроллера ASPEED AST2500, поддерживаются:
функции KVM и Virtual Media
мониторинг основных температурных датчиков
автоматическое управление скоростью вращения вентиляторов
стандарты IPMI 2.0 и Redfish
Для управления парком серверов к каждому серверу поставляется бесплатная лицензия на управляющее ПО АЭРОДИСК ЦУП, которое позволяет обеспечить централизованное управление и мониторинг серверов и СХД АЭРОДИСК.
Более подробное техническое описание характеристик платформ можно узнать из технических спецификаций:
https://aerodisk.ru/wp-content/uploads/2022/02/Aerodisk-Machine-1U-AEMP-Rxx.pdf
https://aerodisk.ru/wp-content/uploads/2022/02/Aerodisk-Machine-2U-AEMx-Rxx.pdf
Включено в реестр МинВсего
Для государственных организаций очень актуален вопрос наличия оборудования в реестре радиоэлектронной продукции Минпромторга, а программного обеспечения – в реестре Минцифры. Тут все прозрачно, не будем растекаться мыслью по древу: поскольку и ПО, и железо производится в России, то с «реестровостью» проблем нет, в вышеуказанных реестрах все есть, пруфы ниже:
https://reestr.digital.gov.ru/reestr/310140/?sphrase_id=1021707
https://reestr.digital.gov.ru/reestr/308158/?sphrase_id=1021708
https://gisp.gov.ru/goods/#/product/2053509
https://gisp.gov.ru/goods/#/product/2017421
Очень критическая информационная инфраструктура
С 2018 года в России действует закон 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)», обязывающий организации обеспечить комплексную защиту значимых объектов КИИ. К данной категории относятся информационные системы и сети, нанесение ущерба которым может привести к возникновению угрозы для здоровья и жизни людей, негативному влиянию на экономическую, политическую, экологическую и социальную устойчивость региона и государства в целом.
Исходя из этого у предприятий России регулярно возникает задача по категорированию и аттестации ИТ-инфраструктуры для использования её в рамках КИИ.
Гиперконвергентная система АЭРОДИСК vAIR, а также гипервизор АИСТ в отдельности позволяют эту задачу решать, как на программном уровне, так и на аппаратном. Оба решения реализованы с применением продукции российской компании ОКБ САПР, которая имеет в своём портфеле сертифицированные ФСТЭК России средства защиты информации.
Для программного уровня используется сертифицированное ФСТЭК программное обеспечение Аккорд-KVM, которое обеспечивает контроль целостности виртуальных машин и всех её компонентов, в том числе файлов, содержащих параметры настройки виртуальных машин, а также системных и пользовательских файлов внутри ВМ.
Для аппаратного уровня АЭРОДИСК Machine-V, а также для систем хранения данных АЭРОДИСК Восток и Engine предусмотрены дополнительные опции для защищенного исполнения. В частности, речь идет об «Аккорд-МKT» — средстве доверенной загрузки уровня базовой системы ввода-вывода (БСВВ).
Доверенная загрузка — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации / аутентификации пользователя.
Таким образом, с помощью решений ОКБ САПР (в рамках решений АЭРОДИСК поставляются и поддерживаются самим Аэродиском по OEM-модели), задача защиты и аттестации ИТ-инфраструктуры системы виртуализации АИСТ или гиперконвергентных систем vAIR согласно требованиям ФСТЭК России возможна для:
ГИС 1 класса защищенности
ИСПДн 1 уровня защищенности
КИИ 1 категории значимости
https://www.okbsapr.ru/support/compatible/sovmestimost-s-spo-akkord-kvm/sovmestimost-spo-akkord-kvm-s-sistemoy-virtualizatsii-aerodisk-aist/
https://www.okbsapr.ru/support/compatible/sovmestimost-s-spo-akkord-kvm/sovmestimost-spo-akkord-kvm-s-giperkonvergentnoy-sistemoy-aerodisk-vair/
https://www.okbsapr.ru/support/compatible/sovmestimost-s-sdz-urovnya-bios-akkord-mkt/mkt-protestirovannye-svt/sovmestimost-sistemy-khraneniya-dannykh-aerodisk-engine-s-mdz-akkord-mkt/
Также добавим полезную опцию. Некоторое время назад компания АЭРОДИСК получила лицензии Минобороны, ФСБ и ФСТЭК России и теперь может выполнять проектирование, разработку и поставкусредств защиты информации, а также проведение аттестационных мероприятий для КИИ. В частности, речь идет о следующем комплексе мероприятий:
Аудит информационной безопасности
Оценка исходного уровня защищенности, проведение оценки соответствия
Защита и категорирование объектов КИИ
Проектирование подсистемы обеспечения информационной безопасности
Поставка средств защиты информации
Внедрение средств защиты информации
Разработка организационно-распорядительных документов в области информационной безопасности
Проведение аттестационных испытаний по требованиям безопасности информации
Защита коммерческой и служебной тайны организации
Оценка рисков информационной безопасности
Что это значит для конечного заказчика? Это значит, что у компании АЭРОДИСК возможно не только приобрести наши решения и обеспечить качественную техническую поддержку, но и комплексно решить вопросы информационной безопасности, которые с каждым днем становятся все актуальнее.
Вопрос миграции
Основной вопрос миграции - какие средства использовать? Глобально средства миграции виртуальных машин между разными гипервизорами делятся на две категории: стороннее ПО, то есть ПО, разработанное сторонней компанией, не относящейся к производителю системы виртуализации (например, opensource) или ПО, разработанное производителем. Разберем оба варианта.
Использование стороннего ПО возможно, но несет в себе один большой риск. Если что-то пойдет не так, производитель системы виртуализации (любой) не сможет гарантировать вам качественную поддержку, поскольку не принимал участия в разработке данного ПО. В таких условиях спланировать миграцию в те или иные сроки практически невозможно. Использовать стороннее ПО для миграции возможно только для некритичных задач, в которых долгие простои инфраструктуры и неопределённые сроки миграции допустимы.
Использование ПО, разработанного производителем для критичных инфраструктур, является единственным верным решением, которое снижает все возможные риски. При любой нештатной ситуации вы сможете обратиться в поддержку производителя, и в соответствии с выбранным тарифом поддержки, производитель, который непосредственно разрабатывал средство миграции, вам её окажет, тем самым максимально снизив риск простоев инфраструктуры и других нештатных ситуаций.
Гипервизор АИСТ поставляемый в рамках ПАК-а АЭРОДИСК Machine-V имеет встроенное в продукт средство миграции виртуальных машин VMware и Hyper-V. Оказание услуг поддержки при миграции с этих продуктов входит в любой пакет поддержки АЭРОДИСК. Дополнительной полезной возможностью (доступной в премиальной поддержке) является привлечение инженеров АЭРОДИСК к самой процедуре миграции, включая её планирование, что позволит исключить большинство рисков, связанных с миграцией.
На одном из прошлых вебинаров мы демонстрировали средство миграции в работе, видео с нашего канала доступно ниже:
Упрощение технической поддержки
Использование ПО АИСТ и vAIR на собственном оборудовании возможно и является довольно унифицированным способом, оно не ограничивает вас в выборе как самого серверного оборудования, так и его комплектации. При этом важно, чтобы оборудование было в списке совместимости системы виртуализации. Отсутствие в списке совместимости оборудования в случае компании АЭРОДИСК не является блокирующим ограничением, поскольку добавление новых устройств в список совместимости продуктов АЭРОДИСК АИСТ и vAIR происходит по запросу заказчиков в течение месяца после обращения. Единственным недостатком использования ПО виртуализации АИСТ и серверов от разных производителей является два окна технической поддержки. Это накладывает дополнительные риски увеличения сроков простоев ИТ-инфраструктуры, поскольку при сбоях вам придется общаться с двумя разными поддержками двух разных производителей, что влечёт за собой дополнительные трудозатраты и увеличивает сроки решения задач.
Использование готовых ПАК-ов Machine-V является наиболее надежным с точки зрения непрерывности ИТ-процессов сценарием развертывания. Техническая поддержка АЭРОДИСК покрывает все возможные нештатные ситуации вплоть до быстрой замены физических серверов и их компонентов на площадке заказчика (покрытие по всей России и СНГ).
Заключение
Появление российского, готового к вводу в эксплуатацию программно-аппаратного комплекса АЭРОДИСК Machine-V, который включает в себя систему виртуализации, распределенную СХД, систему резервного копирования, сертифицированные ФСТЭК России средства защиты и при этом полностью покрывается поддержкой одного производителя – ещё один пусть небольшой, но шаг к взрослению рынка российских ИТ-разработок.
Продажи ПАК АЭРОДИСК Machine-V стартуют с апреля 2022 года, но уже сейчас можно выполнить предварительный заказ (на складе все есть).
Мы будем рады любым пожеланиям, вопросам и предложениям, поэтому, как обычно, мы после статьи на Хабре анонсируем наш вебинар «Около-ИТ», который пройдет 9 марта 2022 года, где в прямом эфире мы поговорим о платформах Machine-V, а вы сможете задать любые интересующие вопросы.
Ссылка на регистрацию: https://events.webinar.ru/42526535/10570681
Ещё одна хорошая новость. Мы организовали свой телеграм канал: «Импортозамещение здорового человека» (не путать с нашим чатом тех. поддержки). Как понятно из названия, в этом канале мы будем писать не только про АЭРОДИСК, но и про импортозамещение в ИТ в целом, без оголтелой пропаганды и «всепропальщеских» настроений, а используя максимально трезвый взгляд на текущие возможности и тенденции.
Ссылка на канал: https://t.me/aerodisk_official
Всем спасибо, ждем вопросов и предложений.
