ROSA Virtualization

ROSA Virtualization – система управления виртуализацией, полнофункциональная платформа, позволяющая развернуть корпоративный виртуализованный центр обработки данных «из коробки» за пару часов. Русскоязычный понятный интерфейс даёт возможность из единого центра управлять гипервизорами, виртуальными машинами, хранилищами, кластерами и другими объектами среды виртуализации.

Система поддерживает до тысячи ВМ и может использоваться не только в «частных» ЦОД, но и в ЦОД государственных органов или предприятий. Наличие развитых дискреционной и ролевой моделей доступа выгодно отличает ROSA Virtualization от аналогичных решений. В 2018 г. ROSA Virtualization получила сертификат ФСТЭК России, подтверждающий возможность её использования в государственных информационных системах, в том числе работающих с персональными данными.

Особенности:

• простота установки

• русскоязычный интерфейс

• сертификат, подтверждающий соответствие требованиям 17-го приказа ФСТЭК России

• централизованный механизм управления виртуальными машинами, шаблонами, пулами ВМ, рабочими столами, гипервизорами, хранилищами, кластерами и центрами обработки данных

• поддержка контроля целостности виртуальных машин

• минимальные требования к рабочему месту оператора — браузер и небольшой плагин к нему

• поддержка современных версий Linux и Windows в качестве гостевых операционных систем

• поддержка сервера каталогов FreeIPA (входит в комплект поставки) и Microsoft Active Directory для идентификации, аутентификации и авторизации пользователей и администраторов через домен безопасности

• поддержка дискреционной и ролевой моделей разграничения доступа субъектов (пользователей) к объектам (виртуальные машины, хосты, кластеры, ЦОДы и др.)

• удобное управление правами: наследуемые, многоуровневые роли безопасности администрирования для всех действий и объектов на платформе

• централизованный аудит с функцией формирования отчетов

• высокая масштабируемость хоста: поддерживается до 160 логических процессоров и до 2 ТБ ОЗУ на хост

• высокая масштабируемость гостевых ВМ: поддерживается до 64 виртуальных процессоров и до 1,8 ТБ виртуального ОЗУ для каждой ВМ

• компактный гипервизор (хост), занимающий менее 300 МБ оперативной памяти

• поддержка RESTful API на базе Python

• динамическое выделение больших страниц памяти (2 МБ против 4 КБ) для ВМ, что улучшает производительность за счёт сокращения количества обращений к памяти и повышает производительность для большинства рабочих нагрузок

• использование общих страниц памяти, позволяющее администраторам выделять виртуальным машинам больше ОЗУ, чем присутствует на физическом хосте

• паравиртуализованный контроллер прерываний в виртуальной машине, который уменьшает накладные расходы ВМ и может повысить производительность гостевой системы при чрезмерных нагрузках

• асинхронный режим операций ввода/вывода, во многих случаях позволяющий заметно улучшить производительность

• сетевой стек, находящийся в ядре гипервизора, что значительно повышает производительность и снижает время отклика

• поддержка агрегации (логического объединения портов) сетевых соединений при построении высокопроизводительной отказоустойчивой сетевой инфраструктуры

• возможность создания нескольких сетей и разделения служебного и пользовательского трафика на разные информационные потоки; поддержка VLAN

• поддержка инфраструктур совместного хранения данных iSCSI, Gluster и NFS

• возможность использования локальных физических дисков, локально подключённых SAN и других хранилищ, поддерживаемых стандартными драйверами Linux

• поддержка распределённой файловой системы GlusterFS в качестве подключаемого хранилища

• возможность создания пулов для развёртывания нескольких виртуальных машин из шаблонов по запросу

• функция «живой» миграции ВМ, позволяющая легко перемещать виртуальные машины с одного хоста на другой в кластере и дата-центре

• высокая доступность (High Availability) виртуальной инфраструктуры за счёт перезапуска критически важных ВМ на другом хосте в случае сбоя оборудования с тремя уровнями приоритета и с учётом политики отказоустойчивости

• режим обслуживания хоста, позволяющий автоматически переносить запущенные виртуальные машины на другой хост и проводить обновление гипервизора или оборудования

• возможность создания политик для автоматической балансировки нагрузки между хостами кластера

• функция мониторинга аппаратного состояния серверов, входящих в ЦОД. Поддерживается работа с низкоуровневыми интерфейсами управления аппаратной платформой (ILO, IPMI и т. п.)

• возможность установки драйверов паравиртуализации в гостевые операционные системы

• возможность получения сеанса работы с ВМ по протоколу VNC или SPICE. В случае использования протокола SPICE обеспечивается работа со звуком и USB-устройствами

• поддержка «проброса» USB-устройств в обе стороны (к клиенту и от него) и разграничения доступа к этим устройствам

• наличие инструментов для переноса ВМ из других систем виртуализации, в том числе VMware vSphere

Комплекс включает в себя несколько программных средств:

Подсистема централизованного управления

• диспетчер управления гипервизорами, осуществляющий опрос агентов, которые входят в состав дата-центра и работают на физических серверах

• диспетчер аппаратного мониторинга, следящий за аппаратной частью серверов с целью контроля их работоспособности

• диспетчер управления виртуальными машинами, запускающий, останавливающий, создающий и удаляющий ВМ

• диспетчер сети, управляющий сетевыми подключениями внутри дата-центра

• диспетчер аудита, отслеживающий текущие события, в том числе события безопасности

• диспетчер хранилищ, управляющий текущими хранилищами дата-центра и следящий за ними

• диспетчер разграничения доступа

• диспетчер пользовательских подключений

Гипервизоры

• гипервизор, выполняющий виртуальные машины или управляющий ими по команде от подсистемы управления

• агент подсистемы управления, служащий для связи с управляющей подсистемой и передающий управляющие воздействия. Кроме того, агент передает служебную информацию различного характера о своем состоянии и состоянии аппаратного сервера, на котором он запущен

• агент доступа к хранилищу (может либо содержать собственное локальное хранилище, либо являться общей «точкой входа» к хранилищу для соседей, либо быть пользователем общего хранилища), а также некоторые другие служебные компоненты

Сервер домена

Может быть использован домен AD, FreeIPA, RHDS либо другой домен Kerberos-LDAP, имеющий стандартную схему LDAP по RFC. Сервер домена необходим для работы с дискреционной и ролевой моделями разграничения прав доступа. Это позволяет разделять функции управления на администрирование ресурсов и администрирование пользователей

Хранилище

общее для всех или локальное для каждого сервера дисковое пространство, логически представленное в виде сетевой, распределенной или локальной файловой системы. Предусматривается подключение дисков и томов iSCSI, SCSI FC, NFS, GlusterFS, а также собственных хранилищ серверов

Требования к программному и аппаратному обеспечению:

• аппаратный сервер для размещения подсистемы управления¹

• серверы для виртуализации, на которых будут размещены гипервизоры²

• сервер домена безопасности³

• система хранения данных

• высокопроизводительная сетевая инфраструктура

_{1 - Возможно развернуть внутри ВМ.}

_{2 - Процессор должен поддерживать технологии виртуализации.}

_{3 - Возможно использовать имеющийся (для AD, FreeIPA, RHDS) либо развернуть внутри ВМ.}

 Сертификация ФСТЭК России

• сертификат на соответствие требованиям 17-го приказа ФСТЭК России

• СЗИ закрывают 7 требований из 9 (кроме межсетевого экранирования и антивирусной защиты)

• первая в России СУСВ с интегрированными (не наложенными) СЗИ

• дата выпуска сертификата — 4 мая 2018 г.