Поиск по публикациям и новостям

Сегодня у нас мероприятие серии «ПРОдемо: Лаборатория программных решений» — специального проекта команды OCS Soft. Встреча посвящена обзору и демонстрации решения Termit 2.3 — системы терминального доступа от OrionSoft.

В программе: • Обзор изменений в новой версии: улучшения в части обеспечения безопасности, улучшения UI. • Демонстрация сценария применения решения в случае необходимости построения катастрофоустойчивых решений (резервацией ЦОД). • Демонстрация интеграции со сторонними системами балансировки сетевого трафика. Интеграция с продуктами компании xPointNetwork.

Спикеры: Александр Калинин и Павел Маметьев, технические эксперты OCS.

 

Сегодняшняя тема связана с недавно вышедшим продуктом — Termit версии 2.3.  Александр Калинин стал рассказывать о нововведениях и улучшениях, которые появились в этой версии, о ближайших планах вендора по развитию данного направления.

Улучшения и нововведения в версии 2.3 мы были разделены на несколько категорий, но самая широкая категория - в части безопасности. Это многофакторная аутентификация.

 

 

Терминальный доступ для внешних пользователей для повышения безопасности требовал многофакторной аутентификации. Появилась возможность интеграции настройки Termit для использования стороннего сервера, на котором можно реализовать второй фактор или даже несколько факторов. Появилась возможность подключения в рамках одной инсталляции нескольких LDAP-каталогов. В нашем сценарии это очень важно, потому что мы рассматриваем варианты комплексных проектов, в которых происходит плавный переход с одной системы каталога LDAP на другой. Т.е. в этом случае можно разделить процесс, и в какой-то момент находиться в промежуточном состоянии, используя как один каталог, так и другой. Очень важное нововведение - это поддержка Kerberos для клиентов. То есть на текущий момент в версии 2.3 уже можно использовать этот метод аутентификации. Это очень удобно для пользователей. Им не требуется вводить дополнительно учетные данные при запуске клиента Termit.

 

 

Есть возможность аутентификации доступного клиента по сертификату. Появилась возможность перенаправлять смарт-карты в терминальную сессию, что также повышает область применения данного решения.

Изменения в части управления.

 

 

Расширяется ролевая модель, появилась новая роль. Называется она аудитор информационной безопасности. У пользователей, для которых назначается эта роль, есть возможность получить информацию об инфраструктуре, доступ к журналам, но без возможности внесения изменений. Улучшения появились в категории приложений и рабочих столов, то есть группировка. Тут вендор начал двигаться в направлении, аналогичном направлению движения ушедших зарубежных лидеров. Там тоже было выделение приложений и категорий. Теперь можно назначать приложение по категориям сразу группе пользователей.  Появилось разделение списка приложений и рабочих столов. И небольшая, но визуально очень важная функция, вы теперь можете подгружать иконки для публикуемых приложений и рабочих столов. Интерфейс становится более приятным, дружественным для пользователей.

Изменения, которые коснулись клиентского приложения. Разработан собственный клиент X2Go для macOS. В нём присутствует необходимый функционал части аутентификации, связанный с изменениями безопасности, поддерживается SSO.

 

 

Аутентификация по протоколу Kerberos. Также вендор двигается в сторону разработки всего стека элементов, в частности, написан свой клиент RDP для Windows.  Важный момент, добавили поддержку на стороне клиентов в настройке DPI. Единственное, на текущий момент, это все настраивается на клиентах и в рамках политик - это пока не реализовано. Доработан буфер обмена, он двусторонний и позволяет обмениваться данными через буфер как с клиентов Windows, Linux, macOS, терминальный сервер Linux и обратно.

В части поддержки операционных систем, на которых разворачиваются компоненты Termit.

 

 

Вендор продолжает следовать за своими партнерами и лидерами отечественного рынка. По этой причине появилась возможность разворачивать компоненты на новых версиях операционной системы Astra 1.8 и РЕД OC 8.0. И также сохраняется возможность разворачивать как на OpenSST, на операционных системах мировых и отечественных также Alt Linux поддерживается. В частности, наша демолаборатория развернута как раз таки на Alt Linux. Поддержка этих ОС добавлена практически во все модули системы, брокеры, балансировщики, терминальные серверы, шлюзы и десктопные операционные системы.

Теперь перейдем к ближайшим планам вендора.

 

 

В этом году вендор запланировал два релиза: релиз 2.4, который выйдет в августе этого года и релиз 2.5, выход которого планируется в конце текущего года либо в начале следующего. Все зависит от того, насколько быстро будет реализован заявленный функционал.

Вендор Orion soft начинает двигаться в сторону реализации в своем продукте VDI. Что из этого следует? Появится поддержка новых протоколов, в частности, довольно-таки распространенного протокола Loudplay для слабых каналов, для каналов, требующих оптимизации. Так как VDI — это процесс автоматического развертывания виртуальных персональных машин, то появится естественная интеграция с платформой виртуализации для автоматизации этого процесса. В качестве платформы виртуализации для Termit будет использоваться zVirt. Т.е. сторонние платформы виртуализации не получится использовать в качестве платформы для Termit. Будет возможность создавать терминальные серверы-шаблоны, виртуальные машины, группы виртуальных машин. Будет вариант как полные клоны, так и связанные клоны, линкен-клоны. Все виртуальные машины будут реализованы как со статическим подключением к сессии, так и с динамическим. Реализованы перемещаемые профили для того, чтобы не привязываться к конкретным виртуальным машинам и возможность их обновления. И будет реализован жизненный цикл виртуальных машин, который позволит без переустановки систем производить обновление пулов виртуальных машин.

Что касается версии 2.5. В этой версии заявлена реализация автоматического развертывания инфраструктуры термитного zVirt, интеграция с SDN от zVirt, что позволит также оптимизировать процесс динамического разворачивания пулов виртуальных машин. Появятся политики для проброса устройств. В этой части уже будут реализованы политики, с помощью которых можно будет управлять параметрами пользовательской сессии со стороны сервера. И заявлена реализация веб-клиента. Также вместе с этим релизом появятся новые редакции продукта Termit VDI и zVirt VDI. То есть вы сможете приобрести тот же самый zVirt по определенной цене, под определенную задачу. Таким образом у вас появится шанс оптимизировать расходы.

Теперь поговорим о сценарии, который мы реализовали на нашем стенде. Сценарий следующий. Предполагается, что есть две площадки, они между собой не связаны. Элементы каждого сайта располагались на одной из площадок. Пользователи могли подключаться как к одной площадке, так и к другой.

 

 

В данном случае мы реализовали такую схему: есть две инсталляции сайт 0 и сайт 1. На каждой площадке присутствует отказоустойчивый кластер балансировщика. Балансировщик называется xPoint UppScaler. Это продукт компании xPointNetwork, это китайский вендор, который достаточно давно присутствует на рынке, с 2018 года. Он готовит решения по балансировке корпоративного класса, позволяющие реализовать отказоустойчивость всей системы. Есть возможность организации балансировки всех ваших сервисов в рамках одной системы. Вам не нужно будет под каждую систему вводить несколько балансировщиков. Есть возможность сложной настройки состояния балансируемых сервисов. И один из самых главных моментов, в частности этой задачи, это поддержка глобальной балансировки, которая позволит объединять геораспределенные сервисы. В данном случае есть кластер балансировки, отказоустойчивой пары на одной площадке на сайте 0 и вторая пара балансировщиков на другой площадке сайта 1.

 

 

Эти балансировщики объединены в единую GSLB-конфигурацию. То есть они участвуют в процессе разрешения имени. При запросе ресурса, в частности, здесь Termit, vlab, OCS.ru, клиент будет разрешать имя, и ему будет возвращаться тот или иной адрес, расположенный или на одной площадке, или на другой площадке. В случае, когда все системы работают штатно, будет происходить балансировка между разными площадками, при этом клиент будет авторизовываться либо на одной, либо на другой площадке, менее загруженной в данный момент. В случае выхода из строя одного из брокеров Termit, допустим, на площадке на сайте 0, клиенту с именем Termit, vlab, OCS.ru также будет разрешаться два виртуальных IP-адреса. Клиентский трафик уже будет перераспределяться иначе. Один из брокеров будет исключен из балансировки.

И третий вариант показывает вариант катастрофы, когда одна из площадок целиком выходит из строя. В этом случае все узлы с одной площадки будут недоступны и имя Termit, vlab, OCS.ru будет разрешаться только в один IP адрес, зафиксированный за работающей площадкой. И, даже если в этом случае у вас один из брокеров также будет недоступен, сервисы будут в нерабочем состоянии, то все равно клиент получит ответ, он сможет авторизоваться, терминальные серверы смогут зарегистрироваться на брокере и клиент сможет получить доступ к своей сессии.

Теперь я продемонстрирую, как это настраивается на стороне балансировки.

 

 

У нас есть два кластера. Первый кластер расположен на основной площадке, сайте 0. Он состоит из двух узлов, двух балансировщиков. Также имеется второй кластер. Там также отказоустойчивая пара.

 

   

 

На каждом из кластеров настроены виртуальные серверы. Здесь мы выполнили настройку в соответствии с рекомендациями вендора. В принципе, этой инструкции достаточно для того, чтобы выполнить настройку и на данном балансировщике. Есть виртуальный сервер балансировки для клиентских подключений, есть виртуальный сервер для подключения терминальных серверов, для регистрации на брокерах и, допустим, переключение redirect с незащищенного порта с 80 на 443. Он также реализован на стороне балансировщика. Он позволяет этот трафик не транслировать на брокеры, а redirect происходит на этапе подключения к балансировщику.  Также здесь видно, что можно определять состояние балансируемых сервисов. В частности, на текущий момент настроена проверка тестового порта, который используется для определения состояния работоспособности брокера. Также в процессе эксплуатации, в случае выполнения каких-то необходимых манипуляций с брокерами, можно отсюда их выключать. Допустим, перевести в обслуживание один из брокеров. После выполнения этой процедуры, все клиентские подключения будут перенаправляться на один из брокеров. Также обе эти площадки объединены в единую GSLB-конфигурацию. То есть это уже часть, относящаяся к глобальной балансировке, к процессу разрешения имен. Есть общее имя. Здесь реализовано, каким образом мы создали отдельную зону, относящуюся к GSLB, и имя, которое будет использовать клиент для подключения. Для этой зоны балансировщики выступают в роли авторитативного DNS-сервера. Процесс разрешения будет возвращаться либо один IP-адрес, либо другой. Состояние этого адреса будет определяться тестом, который настроен. Здесь, допустим, просто этот IP-адрес будет пинговаться. Можно настраивать более сложные проверки: открытый порт, либо определенный запрос.

Как это будет выглядеть со стороны клиента? При подключении, если мы обратимся на общий адрес Termit, vlab, OCS.ru, то в конечном итоге мы попадаем на виртуальный IP-адрес, который относится к площадке 1. Если мы эту площадку исключим из глобальной балансировки, либо она выходит из строя, мы это можем имитировать отключением подключенного сервиса GSLB в виртуальном сервере. После перехода по той же самой ссылке, мы уже попадаем на другую площадку. То есть не будет происходить отказ сервиса. Клиент будет подключаться на доступную в данный момент площадку.

В принципе, в этом, наверное, и заключается описание реализованного сценария. Есть две несвязанные площадки по графическому интерфейсу. Появились категории приложений, то есть можно создавать разные категории, допустим, интернет, офисные приложения. Для приложений появилась возможность указывать пиктограммы, которые будут отображаться на стороне в более понятном виде для пользователей. Что касается глобальных настроек и OLDUB-каталогов, то есть на текущий момент у нас здесь подключен один OLDUB-каталог, но есть возможность добавить еще один OLDUB-каталог, и в рамках существующего подключенного здесь можно настроить Kerberos-аутентификацию. В этом случае, если она будет настроена, вы сможете авторизоваться, аутентифицироваться в клиенте, используя билет, полученный ранее при аутентификации в операционной системе.

Иллюстрации предоставлены пресс-службой компаний Orion Soft и OCS

Сейчас на главной

13 мая 2025 г., 19:50:59
«Сбер» запустил первый в России ИИ-сервис создания 3D-моделей

«Сбер» открыл доступ к ИИ-сервису Kandinsky 3D, которы позволяет с помощью генеративной нейросети создавать трёхмерные модели по текстовому промпту или по фотографии реального объекта.