Главная » Linux

Кластер серверов astra linux

Содержание
  1. Импортозамещение на практике. Часть 2. Начало. Гипервизор
  2. 1. Муки выбора
  3. 1.2. Есть одно НО
  4. 2. В остатке: KVM или KVM?
  5. 3. Вывод
  6. Кластер высокой готовности
  7. Версии
  8. Возможности
  9. Управление ресурсами
  10. Виртуализация
  11. Отказоустойчивое хранилище данных
  12. Операционные системы Astra Linux

Импортозамещение на практике. Часть 2. Начало. Гипервизор

В предыдущей статье были рассмотрены варианты, на что можно заменить существующие системы в рамках выполнения приказа об импортозамещении. Далее в статьях речь пойдет о выборе конкретных продуктов для замены развернутых в настоящее время. Начнем с точки отсчета — системы виртуализации.

1. Муки выбора

  • Система серверной виртуализации «Р-Виртуализация» (libvirt, KVM, QEMU)
  • Программный комплекс «Средства виртуализации «Брест»» (libvirt, KVM, QEMU)
  • Платформа управления и мониторинга среды виртуализации «Sharx Stream» (облачное решение, которое не подходит для госконтор в 95% случаев (секретность и т.д.)
  • Программный комплекс виртуализации серверов, рабочих столов и приложений «ХОСТ» (KVM x86)
  • Система безопасного управления средой виртуализации «Z|virt» (он же oVirt+KVM)
  • Система управления средой виртуализации «ROSA Virtualization» (он же oVirt+KVM)
  • Гипервизор QP VMM (слишком похож на Oracle Virtual Box, чтобы быть чем-то другим)

Так же можно брать в расчет гипервизоры, входящие в состав поставки ОС, или находящиеся в их репозитории. Например, у той же Astra Linux есть поддержка KVM. И так как он входит в репозитории ОС, то его можно считать «легитимным» для установки и использования. О том, «что можно использовать в рамках импортозамещения, а что нет», было оговорено в предыдущей статье, так что не буду останавливаться на этом вопросе.

  • VirtualBox
  • Virt-manager (KVM) Орел current
  • libvirt over KVM
  • ROSA Virtualization over oVirt over KVM
  • QEMU over KVM
  • oVirt 3.5 over KVM

1.2. Есть одно НО

При ближайшем рассмотрении, делаем вывод, что иметь дело нам придется всего лишь с несколькими известными гипервизорами, а именно:

  1. KVM
  2. VirtualBox
  3. QEMU
  4. bhyve

QEMU — свободная программа с открытым исходным кодом для эмуляции аппаратного обеспечения различных платформ, которая может работать и без использования KVM, но использование аппаратной виртуализации значительно ускоряет работу гостевых систем, поэтому использование KVM в QEMU (-enable-kvm) является предпочтительным вариантом. (с) То есть QEMU — гипервизор 2го типа, что неприемлемо в продуктовой среде. С KVM его можно использовать, но в этом случае QEMU будет использоваться в качестве средства управления KVM.

bhyve — гипервизов второго типа. Отметается.

Использование оригинального VirtualBox в коммерции является фактически нарушением лицензии: «Начиная с версии 4, выпущенной в декабре 2010 года, основная часть продукта распространяется бесплатно под лицензией GPL v2. Устанавливаемый поверх неё дополнительный пакет, обеспечивающий поддержку устройств USB 2.0 и 3.0, протокол удалённого рабочего стола (RDP), шифрование накопителя, загрузку с NVMe и по PXE, распространяется под особой лицензией PUEL («для личного использования и ознакомления»), по который система бесплатна для личного использования, в целях обучения или для оценки перед принятием решения о приобретении коммерческой версии.» (с) Плюс VirtualBox так же является гипервизором 2го типа, так что он так же отпадает.

Итого: в чистом виде мы имеем только KVM.

2. В остатке: KVM или KVM?

В случае, если вам все же необходимо перейти на «отечественный» гипервизор — выбор у вас, прямо скажем, невелик. Это будет KVM в той или иной обертке, с теми или иными доработками, но все равно это будет KVM. Хорошо это или плохо — вопрос другой, все равно альтернативы нет.

Читайте также:  Астра линукс драйвер видеокарты

В случае, если условия не столь строги, то, как говорилось в предыдущей статье: «Нам надо привести показатели к установленным пределам. На деле это значит, что мы должны заменить существующие ОС на продукты из реестра Минкомсвязи и довести количество замененных операционных систем до 80%.… Итак, мы спокойно можем оставить кластер на Hyper-V, раз уж он у нас есть и нам он нравится. » (с) Так что перед нами стоит выбор: Microsoft Hyper-V или KVM. KVM может быть с «прикрученными» к нему средствами управления, но он все равно останется все тем же KVM.

Эти продукты сравнивались далеко не однократно, не двукратно, не трехкратно… Ну, вы поняли…

Про развертывание и настройку KVM так же писалось не однократно, не двукратно, не трехкратно и не четырехкратно… Словом, выпонели.

Не вижу смысла повторяться и описывать эти системы, сравнивать и т.д. Можно, конечно, повыдергивать из статей ключевые моменты, но это будет неуважение к авторам, я считаю. Кому предстоит выбирать — тот прочтет не только это, но и еще гору информации, чтобы определиться.

Единственное отличие, на котором хочу заострить внимание — отказоустойчивая кластеризация. Если у Microsoft это встроено в ОС и функционал гипервизора, то в случае с KVM придется использовать стороннее ПО, которое должно входить в репозитории ОС. Та же связка Corosync+Pacemaker, например. (Эта связка есть почти у всех отечественных ОС… может, и у всех, но все 100% я проверять не стал.) Мануалы по настройке кластеризации так же имеются в избытке.

3. Вывод

Ну, как обычно, наши Кулибины не стали заморачиваться, взяли что было, прикрутили чуточку своего, и выдали «продукт», который по документам является отечественным, а на деле — OpenSource. Есть ли смысл тратить деньги из бюджета за «отдельные» системы виртуализации (читай не входящие в состав ОС)? Не думаю. Так как все равно вы получите тот же KVM, только за него еще нужно будет заплатить.

Таким образом, выбор замены для гипервизора сводится к тому, какие серверные ОС вы собираетесь закупать для Предприятия и эксплуатировать. Или же, как в моем случае, останетесь на том, что у вас уже есть (Hyper-V\ESXi\вписать_нужное).

Так же по теме можете почитать:

Предыдущая статья про планирование импортозамещения.

И далее по теме:

Статья про «отечественные» операционные системы.

Источник

Кластер высокой готовности

Кластер высокой готовности предназначен для обеспечения непрерывной доступности прикладных приложений и сервисов. При отказе любого сервиса или узла целиком кластер высокой готовности автоматически перезапустит сервис на работающем узле с минимальным прерыванием для клиентов кластера.

Надежность. Кластер высокой готовности гарантирует целостность данных при переносе пользовательских сервисов с одного узла кластера на другой. В случае необходимости, для предотвращения порчи данных, отказавшие узлы будут автоматически отключены от кластера.

Читайте также:  Редактор графики для linux

Отказоустойчивость. Архитектура программного комплекса и его компоненты выбраны исходя из задачи максимальной доступности сервисов, управляемых кластером. Нет единой точки отказа, всё дублируется. Система управления настроена на создание конфигурации с наилучшей жизнеспособностью в случае программно-аппаратных отказов.

Простота. Система управления учитывает многие нюансы, критически важные при отказах, при этом оставляя пользователю простой и понятный интерфейс.

Версии

  • Панель управления
  • REST API
  • Виртуализация
  • Кластерное хранилище
  • Все функции открытой версии
  • Управление несколькими кластерами
  • Аутентификация PAM/домен
  • Функции VDI
  • Мандатная защита (SE)

Коммерческая версия может быть использована для построения защищённых отказоустойчивых программно-аппаратных комплексов, соответствующих требованиям ФСТЭК для автоматизированных систем, обрабатывающих конфиденциальную информацию и данные до уровня «совершенно секретно». Кластер совместно с сертифицированной операционной системой образует комплекс, удовлетворяющий следующим требованиям ФСТЭК и Минобороны России:

  1. контроль отсутствия НДВ до уровня 2;
  2. класс защищённости от НСД к информации до 1Б.

Возможности

Управление ресурсами

КВГ базируется на наиболее распространенном кластерном инструментарии Pacemaker. Система управления умеет балансировать ресурсы между серверами, предоставляет функции контроля узлов и интегрированных подсистем.

Возможности системы управления:

  • Работа с общим хранилищем данных и без него.
  • Управление кластером из веб-панели или командной строки.
  • Поддержка практически любых типов приложений и сервисов.
  • Широкой диапазон схем конфигурации избыточности ресурсов.
  • Фенсинг (процесс защиты разделяемых ресурсов).
  • Поддержка кворума (решающего большинства).
  • Задание различных вариантов зависимостей между ресурсами.

Виртуализация

КВГ позволяет управлять виртуальными машинами на базе гипервизора KVM. Коммерческая версия для Astra Linux Special Edition содержит компоненты, поддерживающие мандатную защиту данных.

Для виртуальных машины доступны следующие важные возможности:

  • «горячая» миграции — перенос с одного узла кластера на другой без останова гостевой операционной системы;
  • создание мгновенных снимков состояния;
  • проброс устройств USB (накопители, смарт-карты ) в гостевую ОС;
  • работа со специальными томами iSCSI, LVM.

Защищённая виртуализация позволяет запускать широкую номенклатуру гостевых операционных систем:

  • Linux (Альт, Astra Linux, Red Hat, семейство МСВС);
  • Windows XP — Windows 10 (32/64);
  • Windows Server 2003/2008/2012 (32/64);
  • QNX 6, КПДА.

Для большинства гостевых операционных систем доступны драйверы паравиртуальных устройств ввода-вывода, повышающие производительность. При использовании SPICE доступны специальные графические драйверы QXL, предоставляющие расширенные графические возможности.

Отказоустойчивое хранилище данных

Хранилище данных на базе GlusterFS позволяет создавать надежные хранилища данных в различной конфигурации надежность/производительность. Версия, поставляемая в КВГ, не является пересборкой общедоступных вариантов, а дорабатывается специалистами «Лаборатории 50» для наилучшей надежности хранения данных. В коммерческой версии для Astra Linux Special Edition есть поддержка мандатной защиты данных.

Эластичность. Тома хранения не привязаны к аппаратным средствам и управляются независимо. Размеры могут изменяться путем добавления или удаления систем из пула хранения. Даже при изменении объемов данные остаются доступными для клиентов.

Петабайтная масштабируемость. Хранилище на базе GlusterFS позволяет начинать с небольших объемов и расти по мере необходимости вплоть до петабайтных значений.

Надежность и высокая доступность. Автоматическая репликация и отсутствие централизованного сервера метаданных обеспечивают отказоустойчивость и высокий уровень защиты данных. Кластерная файловая система предоставляет различные схемы конфигурации избыточности (RAID 0, 1, 6, 10 и др.) для получения необходимого баланса надежности и производительности.

Простота и совместимость. Кластерная файловая система обеспечивает встроенную совместимость с файловой системой POSIX, включая ACL и поддержку мандатной защиты Astra Linux Special Edition и Альт Линукс СП, а также поддерживает общие протоколы, включая CIFS, NFS и OpenStack® Swift. Ваше существующее программное обеспечение не потребует модификации при использовании кластерной файловой системы.

Читайте также:  Mac os l2tp без ipsec

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

  • реализации и совершенствования функциональных возможностей;
  • поддержки современного оборудования;
  • обеспечения соответствия актуальным требованиям безопасности информации;
  • повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

  1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
  2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
  3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Оцените статью
© 2024 Советы по настройке компьютера