О продукте ↵

Компоненты Space VDI

Платформа виртуализации рабочих столов Space VDI является программным продуктом из линейки экосистемы Space. Общая схема применения представлена на рисунке ниже.

В состав Space VDI входят следующие компоненты:

платформа виртуализации SpaceVM;
диспетчер подключений Space Disp;
операционная система Astra Linux Smolensk.

Платформа виртуализации SpaceVM

Платформа виртуализации SpaceVM для централизованного управления виртуальной инфраструктурой и состоит из серверов виртуализации (Node) с гипервизором KVM и сервера управления (Controller).

На физические серверы устанавливается ПО SpaceVM в конфигурации Node для запуска виртуальных машин под управлением контроллера.

Контроллер может устанавливаться как на предварительно созданную на сервере виртуализации SpaceVM виртуальную машину, так и на физический сервер. При установке на физический сервер для максимального использования ресурсов можно использовать и как сервер виртуализации. Один контроллер может управлять до 96 серверами виртуализации.

SpaceVM выполняет функции предоставления вычислительных ресурсов и ресурсов хранения данных для виртуальных рабочих столов пользователей. Устанавливается на серверы с процессорной архитектурой x86-64, объединяет их в масштабируемый и отказоустойчивый кластер с возможностью удалённого централизованного управления.

Диспетчер подключений Space Disp

Устанавливается на виртуальную машину в среде SpaceVM с предустановленной операционной системой Astra Linux Smolensk.

Space Disp взаимодействует с платформой виртуализации SpaceVM, не только для предоставления доступа к ВРС, но и для автоматизации развертывания и управления ВРС, в том числе заведение ВРС в домен организации. Один Space Disp поддерживает не более 2000 одновременных подключений к виртуальным рабочим столам.

Управление инфраструктурой осуществляется через графический Web-интерфейс. Также Space Disp может предоставлять доступ к ВРС через Web-интерфейс пользователя.

Клиентское программное обеспечение Space Client

Устанавливается на тонкие клиенты, персональные компьютеры и ноутбуки под управлением операционных систем семейств Windows и Linux.

Space Client предназначен для удаленного подключения к ВРС посредствам графического интерфейса. Для подключения пользователю необходимо ввести учетные данные и выбрать ВРС для работы, после чего произойдет подключение. Space Client также позволяет перенаправлять в ВРС различные типы устройств, подключенные к тонкому клиенту, персональные компьютеры или ноутбуку, например, накопители, графические планшеты, наушники, видеокамеры и т.д.

Взаимодействие компонентов Space VDI

Подключение пользователя к ВРС

Пользователь при работе с тонким клиентом, персональным компьютером или ноутбуком запускает клиентское программное обеспечение Space Client. В окне программы пользователь вводит свои учетные данные и входит в программу. В этот момент Space Client обращается к Space Disp для подтверждения введенных данных пользователя, и, в случае успешного входа, Space Disp предоставляет список доступных пользователю пулов ВРС.

Далее пользователь в Space Client выбирает необходимый пул ВРС и, при необходимости протокол подключения из предоставленного списка. В этот момент Space Client отправляет запрос к Space Disp с требованием предоставить данные для подключения к выбранному ВРС.

При получении данного запроса Space Disp обращается к SpaceVM для получения данных для подключения к ВРС. В случае отсутствия свободных ВМ в выбранном автоматическом пуле и, если после создания клона ВМ не будет превышено общее количество ВМ в автоматическом пуле, Space Disp создает задачу в SpaceVM на создание клона ВМ и, при необходимости, задачу на ввод в домен нового клона. В данные для подключения, помимо служебной информации, входят:

Статус ВМ. Если ВМ выключена, то автоматически создается задача на запуск ВМ.
IP адрес ВМ для подключения по протоколу RDP с использованием QEMU-агент из пакета Utils.
IP адрес контроллера или сервера виртуализации и порт для подключения по протоколу SPICE.

После получения данных от SpaceVM, Space Disp дает ответ Space Client, в котором либо сообщает данные для подключения и происходит подключение, либо сообщает о невозможности подключения к ВРС, о чем Space Client информирует пользователя.

Администрирование Space VDI

При создании пула виртуальных машин в Web-интерфейсе Space Disp администратором, Space Disp запрашивает у SpaceVM доступные Пулы ресурсов. Далее администратор выбирает Пул ресурсов, на котором будет выполнено создание виртуальных машин. После чего Space Disp получает список ВМ или списки пулов данных и шаблонов ВМ, если создаваемый пул является автоматическим.

Следующим шагом администратор выбирает из списка ВМ или пул данных и шаблон ВМ, а также прочую информацию, если создаваемый пул является автоматическим и подтверждает создание пула. После этого, а также при расширении автоматического пула или добавления ВМ в пул, Space Disp создает запросы к SpaceVM на выполнение следующих задач:

Создание клонов ВМ, если пул является автоматическим.
Введение ВМ в домен, изменение hostname, если пула автоматический.
Включение удаленного доступа к ВМ.
Создание тегов и применение к ВМ в SpaceVM для удобства администрирования.

При удалении ВМ из пулов, а также при удалении пулов Space Disp при необходимости создает запросы к SpaceVM на выполнение следующих задач:

Удаление ВМ, в том числе клонов.
Удаление тегов.

Масштабирование инфраструктуры VDI

Основная схема построения инфраструктуры на базе программного обеспечения Space включает следующие компоненты:

Один контроллер SpaceVM на выделенном сервере или совмещенный с сервером для запуска виртуальных машин.
До 96 серверов для запуска виртуальных машин под управлением контроллера SpaceVM.
Один брокер подключений Space VDI в виртуальной машине SpaceVM.
Настроенные клиентские устройства для доступа к виртуальным рабочим столам на базе Space Client.

Такая схема построения может удовлетворить требования большинства организаций, но она имеет следующие ограничения:

Под управлением одного контроллера SpaceVM может работать не более 96 серверов для запуска виртуальных машин.
Один Space VDI поддерживает не более 2000 одновременных подключений к виртуальным рабочим столам.

Сценарий использования №1

Основная схема построения инфраструктуры подходит для сценария, при котором на предприятии достаточно 2000 одновременных подключений сотрудников к виртуальным рабочим столам, а 96 серверов достаточно для 2000 работающих виртуальных рабочих столов необходимой конфигурации. То есть каждый сервер может выдерживать нагрузку до 20-21 работающих виртуальных машин (достаточно ресурсов как процессора и памяти, так и скорости ввода-вывода дисковой подсистемы).

Проектирование инфраструктуры VDI «с нуля» почти всегда предполагает данный сценарий, и соответственно позволяет использовать основную схему построения инфраструктуры.

Сценарий использования №2

Рассмотрим сценарий, при котором ресурсов на 96 серверах недостаточно для работы минимум 2000 виртуальных рабочих столов требуемой конфигурации (20-21 в среднем на каждом). Это может случиться как в случае необходимости использования ресурсоемких виртуальных рабочих столов, так и в случае, если имеющиеся в наличии серверы не являются высокопроизводительными.

При таком сценарии рекомендуется использовать схему построения с двумя и более контроллерами подключений SpaceVM. Создаются два и более автономных кластера, к которым подключается один брокер Space VDI на 2000 подключений.

Сценарий использования №3

Также возможен обратный сценарий, когда на предприятии недостаточно 2000 одновременных подключений, но в наличии имеются высокопроизводительные серверы или виртуальные рабочие столы не требовательны к ресурсам (когда в среднем возможно запустить более 20-21 виртуальных машин на одном сервере). В таком случае возможно использование имеющихся серверов в одном кластере SpaceVM с подключением двух и более брокеров Space VDI.

Сценарий использования №4

Рассмотрим еще один сценарий, возможный в случае крупных инсталляций, где требуется более 2000 одновременных подключений с виртуальными рабочими столами, предназначенными для ресурсоемких задач. При таком сценарии рекомендуется использовать схему с несколькими автономными кластерами VDI. Здесь разворачиваются изолированные кластеры, в каждом из которых работает свой контроллер SpaceVM и брокер Space VDI.

Виртуальные рабочие столы в такой схеме доступны только при подключении к тому кластеру, на котором они созданы.

Space Dispatcher ↵

Структура программы

В программе реализован принцип модульного построения программного обеспечения, когда каждый отдельный модуль отвечает за решение узкоспециализированной задачи.

Взаимодействие между модулями организовано на базе прямой адресации объектов в пределах одной подсистемы или же с использованием буферизированных средств взаимодействия (файлы, сокеты и сигналы).

Структурная схема Space Disp.

Web-сервер – это программный модуль, принимающий HTTP-запросы, приходящие от администратора с Web-браузера и от пользователей клиентского ПО Space Client. Web-сервер перенаправляет HTTP-запросы на модуль обработки запросов и отдает статические скомпилированные файлы графического Web-интерфейса на АРМ администратора.

Модуль обработки запросов (супервизор) – основной логический компонент Space Disp, выполняющий следующие функции:

прием HTTP-запросов от Web-сервера;
выборка данных из СУБД;
формирование динамических данных и их передача на Web-браузер и на Space Client;
передача данных для запроса к SpaceVM по взаимодействию с вычислительными ресурсами через модуль взаимодействия с SpaceVM;
прием данных ответов через модуль взаимодействия с SpaceVM;
создание и уничтожение ВРС по наступлению различных событий;
сбор данных о доступных ресурсах на SpaceVM;
предоставление клиенту (ПО Space Client) данных для подключения к ВРС по протоколам SPICE и RDP.

СУБД – выполняет функции хранения служебных данных об инфраструктуре ВРС.

Модуль журналирования – выполняет функции хранения событий, а также их очистки, архивации и выгрузки.

Модуль аутентификации – выполняет функции аутентификации пользователей по локальным учетным данным пользователей или по данным, хранящимся на централизованной службе каталогов. Выполняет аутентификацию администраторов, пытающихся осуществить попытку входа на Web-интерфейс Space Disp или пользователей, пытающихся осуществить попытку входа с использованием клиентского ПО Space Client.

Операционная система на базе ядра Linux. В ее среде функционируют все модули Space Disp. ОС должна иметь возможность установки в качестве гостевой ОС на виртуальные машины SpaceVM. В операционной системе используется сетевая подсистема для обмена сетевым трафиком между изделиями Space Disp, Space Client, SpaceVM по IP-сети.

Общие сведения о программе

Space Disp предназначен для создания и администрирования инфраструктуры виртуальных рабочих столов (ВРС) на базе виртуальной инфраструктуры облачной платформы корпоративного уровня SpaceVM.
В Space Disp реализован графический Web-интерфейс управления.
Space Disp взаимодействует с виртуальной инфраструктурой SpaceVM через внешний API.
Space Disp имеет возможность установки на отдельный сервер или на виртуальную машину (ВМ).
Space Disp обеспечивает добавление (отключение) одного или нескольких контроллеров SpaceVM.
Space Disp обеспечивает отображение следующих ресурсов SpaceVM для создания ВРС:
- кластеры;
- пулы ресурсов;
- серверы;
- пулы данных;
- шаблоны (золотые образы);
- виртуальные машины.
Space Disp поддерживает пулы ВРС (группы ВРС, имеющие общие настройки и политики безопасности).
Space Disp обеспечивает следующие типы пулов ВРС:
- статический;
- автоматический;
- гостевой;
- RDS.
Примечания
1. В автоматическом пуле экземпляры ВРС создаются автоматически на основе подготовленного шаблона ВМ средствами SpaceVM.
2. В статическом пуле экземпляры ВРС являются заранее подготовленными ВМ в среде SpaceVM.
3. В гостевом пуле экземпляры ВРС создаются автоматически на основе подготовленного шаблона ВМ средствами SpaceVM. ВМ пересоздается по истечении заданного тайма-ута.
4. RDS-пул содержит одну или несколько общих для всех пользователей ВМ с ролью Remote Desktop Connection Broker (RDCB).
Space Disp обеспечивает следующие функции для работы с пулами ВРС:
- отображение списка пулов;
- создание пула ВРС;
- отображение информации о каждом пуле;
- отображение списка ВМ для каждого пула;
- отображение списка пользователей для каждого пула;
- добавление пользователя к пулу;
- исключение пользователя из пула;
- отображение групп пула;
- добавление группы к пулу;
- удаление группы из пула;
- удаление статического/RDS пула (не удаляет ВМ на SpaceVM);
- удаление гостевого пула по таймеру;
- удаление автоматического пула (удаляет ВМ на SpaceVM).
Space Disp обеспечивает при создании автоматического пула ВРС задание следующих параметров:
- имя пула;
- тип подключения;
- контроллер SpaceVM;
- пул ресурсов;
- кластер;
- сервер;
- шаблон ВМ (золотой образ);
- пул данных;
- шаблон имени ВМ;
- начальное количество ВМ;
- максимальное количество создаваемых ВМ;
- пороговое количество свободных ВМ;
- количество создаваемых ВМ;
- включение режима тонких клонов.
Space Disp обеспечивает создание новых экземпляров ВРС в автоматическом пуле при возникновении следующих событий:
- создание нового автоматического пула (количество создаваемых ВРС соответствует параметру Начальное количество ВМ);
- при подключении нового пользователя пула к свободному ВРС с использованием клиентского программного обеспечения (ПО) Space Client, если в этот момент количество свободных экземпляров ВРС стало меньше или равно параметру Пороговое количество свободных ВМ (количество создаваемых ВРС соответствует параметру Шаг расширения пула).

Примечания

В Space Disp в автоматическом пуле не может быть создано новых ВРС больше, чем указано в параметре Максимальное количество создаваемых ВМ.
При достижении Порогового количества свободных ВМ одновременно создается то количество новых ВМ, которое указано в настройках пула в параметре Шаг расширения пула, но не более значения, заданного в параметре Максимальное количество создаваемых ВМ.

Space Disp обеспечивает в автоматическом пуле ВРС создание имен ВМ в соответствии с заданным шаблоном имени (например, VDI-A-01, VDI-A-02).
Space Disp обеспечивает возможность автоматического создания ВРС в автоматическом пуле на базе подготовленного шаблона ВМ SpaceVM, в режиме тонких клонов (linked clones). В этом случае во время работы ВМ сохраняются только динамические данные запущенной ВМ, а при её выключении – все данные ВМ удаляются. Каждая новая запущенная ВМ является копией подготовленного шаблона с тем набором данных, который в нем хранится.
Space Disp обеспечивает при создании статического пула ВРС задание следующих параметров:
- имя пула;
- контроллер SpaceVM;
- кластер;
- сервер;
- пул данных.
Space Disp обеспечивает при создании статического пула выбор свободных ВМ на базе SpaceVM, которые будут использоваться в качестве ВРС.
Space Disp обеспечивает автоматическое назначение соответствия свободного экземпляра ВРС и нового пользователя автоматического пула к ВРС при подключении с использованием клиентского ПО Space Client.
Space Disp обеспечивает возможность назначения администратором соответствия свободного экземпляра ВРС и нового пользователя автоматического или статического пулов к ВРС через графический интерфейс.
Space Disp обеспечивает возможность снятия администратором соответствия пользователя автоматического или статического пулов и экземпляра ВРС через графический интерфейс.
Space Disp обеспечивает автоматическое подключение пользователя к назначенному экземпляру ВРС при повторных подключениях к автоматическому или статическому пулам с использованием клиентского ПО Space Client.
Space Disp обеспечивает интеграцию со службой каталогов для хранения учетных записей и данных пользователей LDAP (AD).
Space Disp обеспечивает разграничение доступа подключения к пулам ВРС для отдельных пользователей или для групп пользователей.
Space Disp обеспечивает возможность прохождения процедур авторизации и аутентификации с использованием локальных учетных данных пользователей.
Space Disp обеспечивает возможность прохождения процедуры авторизации и аутентификации с использованием учетных данных из внешней базы LDAP (AD).
Space Disp обеспечивает доступ к интерфейсу управления по протоколам HTTP и HTTPS.
Space Disp для организации ВРС поддерживает ВМ и их шаблоны с ОС следующих семейств:
- Windows 7;
- Windows 8.1;
- Windows 10;
- Windows Server 2008;
- Windows Server 2008 R2;
- Windows Server 2012;
- Windows Server 2012 R2;
- Windows Server 2016;
- Windows Server 2019;
- Astra Linux Common Edition «Орел» 1.6 и выше;
- Debian 9 и выше;
- Ubuntu 16.04 LTS и выше;
- Centos 7 и выше.
Space Disp обеспечивает журналирование событий.
Space Disp обеспечивает ограничение по количеству одновременных подключений к ВРС с использованием клиентского ПО Space Client в зависимости от информации, загруженной с файлом лицензии.
Space Disp обеспечивает ограничение по времени использования одновременных подключений к ВРС с использованием клиентского ПО Space Client в зависимости от информации, загруженной с файлом лицензии.
Space Disp обеспечивает загрузку и удаление файла лицензии через графический интерфейс.

Требования к техническим средствам

Space Disp функционирует на базе средств вычислительной техники с характеристиками:
- процессор – не менее двух ядер;
- оперативная память – не менее 4 Гбайт;
- постоянное запоминающее устройство – не менее 32 Гбайт;
- интерфейсы сетевые – не менее 1 Гбит Ethernet.
Space Disp предназначен для использования на серверных платформах с архитектурой x86–64.
Аппаратные требования к физическому серверу:
- процессор должен иметь не менее двух физических ядер и не менее четырех вычислительных потоков;
- объем установленной оперативной памяти должен быть не менее 4 Гбaйт;
- сервер должен иметь возможность установки не менее двух накопителей на жёстком магнитном диске (НЖМД) с интерфейсом SATA/SAS;
- объем установленного НЖМД должен быть не менее 32 Гбайт;
- при установке более одного НЖМД все установленные НЖМД должны быть однотипными;
- сервер должен иметь интерфейс управления IPMI;
- сервер должен иметь не менее двух сетевых портов на материнской (процессорной) плате;
- каждый имеющийся в системе сетевой интерфейс (кроме IPMI) должен поддерживать технологии 1Гбит Ethernet и Jumbo Frame;
- каждый сервер должен иметь не менее одного полноценного интерфейса PCIe для установки дополнительного адаптера.
Для установки Space Disp на сервер необходимо, чтобы данный сервер обладал портом или устройством в соответствии с выбранным методом установки:
- для установки с CD/DVD-диска должен быть внутренний или внешний CD/DVD-привод, а также возможность выбора в BIOS сервера загрузки с диска;
- для установки с USB-накопителя должен быть USB-порт, а также возможность выбора в BIOS сервера загрузки с USB;
- для установки по сети должен быть сетевой интерфейс; для установки через IPMI-интерфейс в IPMI-интерфейсе должна быть поддержка подключения ISO-образа для загрузки.
Программные (функциональные) требования к физическому серверу:
- для работы в штатном режиме используется кластер серверов, в составе SpaceVM, состоящий не менее чем из трех физических серверов для среды выполнения ВМ;
- допускается эксплуатация Space Disp в составе двух физических серверов (без) сети хранения данных с применением ограниченного функционала управления.
Примечание

Ограниченный функционал управления заключается в переводе в ручной режим управляющих механизмов миграции ВМ, отказоустойчивости и распределения ВМ по серверам.
Для корректной работы Space Disp необходимо:
- не менее одного интерфейса 1 Гбит Ethernet для взаимодействия с контроллером SpaceVM;
- не менее одного интерфейса 1 Гбит Ethernet для подключения пользователей.
Примечание

Допускается использование одного интерфейса 1 Гбит Ethernet, если это ограничение не запрещается архитектурой сети и политиками безопасности предприятия.
Для дисковых подсистем серверов общего назначения, применяемых для хранения данных ВМ, применяются те же требования, что и для сервисов, исполняемых внутри самих ВМ.
Для выбора процессоров и памяти, устанавливаемых в серверы кластера Space Disp, необходимо учитывать, что для одной ВМ может быть выделено:
- виртуальных процессоров не более, чем имеющихся в наличии вычислительных потоков;
- виртуальной памяти не более, чем установленной физической памяти.

Требования к программному обеспечению

Сервер Space Disp версии 5.х функционирует на базе ОС Astra Linux Special Edition 1.7 Смоленск.

Для корректной работы и получения обновлений Space Disp в ОС сервера должен быть указан только один источник обновлений – источник производителя.

Требования к квалификации специалистов

Специалист, производящий установку SpaceVM, должен обладать знаниями, соответствующими специализации Администратор Linux, Администратор сетей передачи данных в областях:

установка и настройка ОС Astra Linux;
настройка и эксплуатация систем на базе Linux KVM;
основы построения сетей передачи данных TCP/IP, VLAN, настройка поддержки Jumbo Frame, VLAN на коммутаторах.

Подготовка к работе

Перед началом работы пользователю необходимо у администратора системы виртуализации получить параметры авторизации (имя учетной записи и пароль), с которыми он в дальнейшем будет работать.

Примечание

По умолчанию двухфакторная аутентификация отключена для всех пользователей. Если для пользователя она была включена заранее (пользователь отсканировал QR-код с помощью любого стороннего приложения-аутентификатора, поддерживающего функцию генерации одноразовых паролей (OATH TOTP)), то при авторизации необходимо будет также помимо логина и пароля ввести 6-значный одноразовый пароль, который генерируется сторонним приложением-аутентификатором.

Если учетная запись не была создана, то необходимо воспользоваться параметрами учетной записи, установленной по умолчанию с именем пользователя: vdiadmin и паролем: Bazalt1! .

Если не производилась первоначальная настройка, то ее необходимо выполнить в следующем порядке:

установить Space Disp. Установка выполняется в соответствии с руководством системного программиста Установка программы;
добавить подключение к контроллеру SpaceVM;
создать и настроить пулы виртуальных машин.

Общие правила при работе с программой

Все действия выполняются одинарным нажатием левой клавиши графического манипулятора (далее по тексту — нажатием клавиши) на объект (его изображение или название), на который в данный момент указывает курсор. При этом открываются окна с информацией о состоянии (свойствах) любого объекта кластера, для которого такое окно предусмотрено. Если открытие окна не произошло, значит оно не предусмотрено для этого объекта.

Включение программы

Включение программы происходит с помощью запуска ВМ контроллера Space Disp. В процессе запуска Space Disp автоматически запускаются все службы и сервисы, необходимые для его работы, и становится доступным Web-интерфейс управления.

Для начала работы пользователю необходимо авторизоваться в Web-интерфейсе управления. Для этого необходимо выполнить следующие действия:

проверить следующие возможности браузера, установленного на автоматическое рабочее место, для нормального функционирования интерфейса управления:
- браузер поддерживает протоколы HTTP/HTTPS;
- браузер поддерживает исполнение HTML5 и JavaScript-кода;
- браузер позволяет интерфейсу управления открывать дополнительные окна (вкладки);
осуществить доступ к Web-интерфейсу управления Space Disp. Для этого пользователю необходимо ввести в строке адреса браузера адрес Space Disp, который был настроен при установке Space Disp.
Примечания
1. Если было использовано значение по умолчанию, то IP-адрес интерфейсу управления назначается автоматически.
2. После установки доступ к Web-интерфейсу автоматически перенаправляется на протокол HTTPS.
3. Первоначально для доступа по HTTPS используется самоподписанный сертификат, созданный автоматически в процессе установки ПО. Для корректной работы необходимо заменить HTTPS-сертификат на валидируемый локальным или глобальным центром сертификации.
в Web-интерфейсе управления Space Disp ввести имя учетной записи и пароль. Вход в систему возможен двумя способами:
- с использованием локальной учетной записи (переключатель LDAP выключен);
- с использованием внешней учетной записи (переключатель LDAP включен).
Более подробная информация приведена в руководстве системного программиста Первоначальная настройка;
после успешной авторизации пользователь переходит в основное окно интерфейса.

Одновременно у пользователя может быть только одна активная сессия. После прохождения процедуры аутентификации ранее выданные сессионные ключи блокируются (уникальность считается по пользователю, независимо от типа подключения).

Окно интерфейса

Основное меню

В левой части окна интерфейса находится основное меню, позволяющее создавать и администрировать инфраструктуру ВРС и содержащее разделы: Контроллеры, Пулы, Тонкие клиенты, Ресурсы, Настройки, Журнал и Статистика.

При выборе раздела Контроллеры основного меню программы отображаются подключенные контроллеры SpaceVM.

При выборе раздела Пулы основного меню программы отображаются имеющиеся в системе пулы виртуальных машин.

При выборе раздела Тонкие клиенты основного меню программы отображается подраздел Сессии.

При выборе раздела Ресурсы основного меню программы отображаются подразделы Кластеры, Пулы ресурсов, Серверы, Пулы данных, Шаблоны и Виртуальные машины.

При выборе раздела Настройки основного меню программы отображаются подразделы Лицензирование, Группы, Пользователи, Службы каталогов, Система, Сервисы, Кэширование, Сессии и SMTP.

При выборе раздела Журнал основного меню программы отображаются подразделы События, События контроллера, Задачи и Настройки.

При выборе раздела Статистика основного меню программы отображаются подразделы Веб-статистика и Статистика подключений.

При переходе от одного раздела/подраздела к другому в основной рабочей области окна интерфейса изменяется список объектов, относящийся к данному разделу/подразделу. Список объектов представлен в виде таблицы. Строки таблицы, содержащие данные об объектах, при работе которых обнаруживаются ошибки, подсвечиваются красным цветом. Общую информацию о состоянии объекта можно получить, нажав на его название.

При отображении информации некоторые объекты или параметры помечаются кнопкой для них предусмотрена возможность редактирования. При нажатии на кнопку открывается окно редактирования соответствующего параметра или объекта, в котором существует возможность внесения изменений, после чего необходимо применить их, нажав на кнопку применения изменений.

В правой верхней части окна интерфейса отображается имя пользователя, авторизовавшегося в системе.

Рабочая область, содержащая информацию об объектах инфраструктуры ВРС, имеет возможность обновления. Обновление всей отображаемой информации осуществляется при нажатии на кнопку

При работе с окнами существует возможность их закрытия при нажатии на кнопку

При работе с интерфейсом существует возможность выбора режима день/ночь при нажатии на кнопку

Документация

В левой верхней части окна интерфейса содержится раздел технической документации Space Disp. Нажав на кнопку открывается новое вкладка браузера, содержащее справочные и эксплуатационные документы для работы с данным ПО.

Ended: Space Dispatcher

Профили использования

Описание профилей использования

В таблице приведены основные профили использования виртуальных рабочих столов исходя их типовых рабочих нагрузок.

Профиль	Категория сотрудников	Выполняемые действия
Тип 1	Офисный сотрудник с низкой нагрузкой	- Работа с офисными приложениями (текстовые редакторы, таблицы, презентации). Использование Web-браузера без просмотра видео. - Работа с ERP-системами через "тонкие" клиенты.
Тип 2	Офисный сотрудник с низкой нагрузкой	- Работа с офисными приложениями (текстовые редакторы, таблицы, презентации). Использование ВКС не более 20% от времени работы. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Использование Web-браузера с просмотром видео в full-hd не более 20% от времени работы.
Тип 3	Офисный сотрудник со средней нагрузкой	- Работа с офисными приложениями (текстовые редакторы, таблицы, презентации). Использование ВКС не более 50% от времени работы. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Использование Web-браузера с просмотром видео в full-hd не более 50% от времени работы.
Тип 4	Офисный сотрудник со средней нагрузкой	- Работа с офисными приложениями (текстовые редакторы, таблицы, презентации). Использование ВКС не более 50% от времени работы. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Работа в САПР или графических редакторах в режиме 2D с проектами небольших размеров. - Использование Web-браузера с просмотром видео в full-hd не более 50% от времени работы.
Тип 5	Офисный сотрудник с высокой нагрузкой	- Работа с офисными приложениями с средним объемом данных. - Использование ВКС без ограничений. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Работа в САПР или графических редакторах в режиме 3D с проектами средних размеров. - Использование программ математического вычисления. - Использование Web-браузера с большим (более Х вкладок) с просмотром видео в full-hd без ограничений.
Тип 6	Офисный сотрудник с высокой нагрузкой	- Работа с офисными приложениями с большим объемом данных. - Использование ВКС без ограничений. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Работа в САПР или графических редакторах в режиме 3D с большими проектами. - Использование программ математического вычисления. - Использование Web-браузера с большим (более Х вкладок) с просмотром видео в full-hd без ограничений.

Расчет CPU

Рекомендуемые количество vCPU и коэффициент переподписки vCPU:CPU для предлагаемых профилей использования содержатся в разделе Профили использования.

Количество vCPU на одну ВМ

Определение необходимого количества выделяемых одной ВМ vCPU должно производится исходя из системных требований предъявляемых к ОС и используемому программному обеспечению, и по результатам анализа рабочих нагрузок пользователей.

Анализ реального потребления вычислительных ресурсов рекомендуется проводить с использованием ПО мониторинга. Такой анализ может быть выполнен для каждой типовой группы сотрудников при выполнении ими типичных рабочих задач с использованием ОС и программного обеспечения, которое планируется использовать в инфраструктуре удаленных рабочих столов.

Коэффициент переподписки vCPU:CPU

Количество выделенных vCPU включенным ВМ может быть больше, чем имеющееся количество CPU (количество потоков) в кластере. Соотношение числа выделенных виртуальным машинам vCPU к общему количеству CPU называется коэффициент переподписки vCPU:CPU и считается по формуле vCPU/CPU.

Выбирать коэффициент переподписки при проектировании следует с осторожностью, отталкиваясь от специфики выполняемых задач. Предположим, что для группы пользователей ситуация, когда более 25% пользователей одновременно выполняют ресурсоемкие операции, требующие 100% вычислительной мощности ВМ, является нетипичной, и вероятность ее возникновения стремится к нулю. Тогда, при проектировании VDI допустимо использовать коэффициент переподписки vCPU:СPU равный 4. Это позволит увеличить максимально возможное количество пользователей или сократить физическое количество CPU в четыре раза, по сравнению с вариантом без переподписки. Однако, если для группы пользователей типична ситуация, когда большинство пользователей выполняет ресурсоемкие операции в течении всего рабочего дня, и все ВМ задействованы постоянно с загрузкой vCPU 50% и выше, то будет правильным уменьшить коэффициент переподписки vCPU:СPU до 2 или менее (если загрузка vCPU>50%), или вовсе принять равным 1.

Для определения подходящего коэффициента переподписки vCPU:CPU стоит провести анализ активности пользователей и среднего количества одновременного выполнения задач, связанных с высокими нагрузками на CPU.

vGPU

Для ВМ с vGPU следует использовать коэффициент переподписки vCPU:CPU не более 2. Подробная информация содержится в разделе Рекомендации к использованию vGPU.

Использование групп ВМ с разным коэффициентом переподписки vCPU:CPU

Для разделения групп пользователей с разными коэффициентами переподписки vCPU:CPU следует использовать отдельные пулы ресурсов в SpaceVM.

Расчет объема RAM

Рекомендуемый объем RAM для предлагаемых профилей использования содержится в разделе Профили использования.

Необходимый объем оперативной памяти для одной ВМ рассчитывается из системных требований к ОС и используемому программному обеспечению, а также по результатам анализа рабочих нагрузок пользователей.

Анализ реального потребления вычислительных ресурсов рекомендуется проводить с использованием ПО мониторинга. Такой анализ может быть выполнен для каждой типовой группы сотрудников при выполнении ими типичных рабочих задач с использованием ОС и программного обеспечения, которое планируется использовать в инфраструктуре удаленных рабочих столов.

Необходимый объем RAM для одной ВМ выбирается таким образом, чтобы в пиковых нагрузках при выполнении сотрудниками рабочих задач использовалось не более 90% от выделенного объема RAM. При использовании более 90% от выделенного ВМ объема RAM может происходить снижение производительности вплоть до сбоев работы некоторых программ.

Файл подкачки

Использование файлов подкачки (SWAP) в виртуальной среде приведёт к потере производительности, поэтому вместо создания файла подкачки большого объема рекомендуется ограничить SWAP в пределах 200-500 Мб и добавить необходимый объем оперативной памяти.

Расчет СХД

Основными критериями выбора систем хранения данных помимо отказоустойчивости и стоимости являются объем и производительность.

Рекомендуемые объем и производительность HDD для предлагаемых профилей использования содержатся в разделе Профили использования.

Объем

Объем СХД выбирается исходя из сценариев использования ВРС.

При использовании тонких клонов в автоматическом пуле ВМ хранится на СХД только виртуальные диски шаблона и дельты (отличия дисков тонкого клона от дисков шаблона), которая формируется из пользовательских файлов. Как правило, размер дельты находится в пределах 10-30 Гб.

Размер дельты

Если сценарии использования тонких клонов связанны с изменением большого числа файлов, например, обновление или переустановка ОС, размер дельты может достигать полного объема используемых виртуальных дисков.

В случаях, когда используются ВМ с виртуальными дисками с предварительно выделенным местом, объем, занимаемый такими жесткими дисками, равен полному объему виртуальных дисков.

При использовании ВМ с виртуальными дисками без предварительного выделения места объем, занимаемый такими дисками, равен объему информации, записанной на эти диски, и может составлять от 0% до 100% объема виртуального диска.

Также в SpaceVM предусмотрена возможность хранения образов дисков, резервных копий и произвольных файлов. Это стоит учитывать при проектировании инфраструктуры.

Производительность

Производительность систем хранения данных - это количество операций ввода/вывода, которые может обработать СХД за единицу времени. Несмотря на то, что обычно типовая ВМ при нормальной рабочей нагрузке ВМ требует производительности от СХД 10-50 IOps, при старте ВМ может создавать нагрузку до 600 IOps. Массовый старт ВМ, например, в начале рабочего дня, который сопровождается повышенным количеством обращений к системам хранения данных, называется Boot Storm.

Во время Boot Storm соотношение операций на чтение/запись обычно составляет около 80/20, при этом максимальное количество IOps, которое генерирует 1 виртуальная машина при старте может составлять до 600 IOps. При нормальной работе, т.е. после завершения Boot Storm, соотношение операций на чтение/запись обычно составляет около 20/80, однако и количество IOps генерируемых одной ВМ составляет 10-50 IOps. Следует учитывать количество и соотношение одновременно запускаемых и работающих ВМ при проектировании инфраструктуры, и выборе СХД.

Несмотря на то, что каждая ВМ при загрузке ОС может генерировать нагрузку с соотношением операций на чтение/запись 80/20 до 600 IOps, допускается эксплуатация СХД с производительностью от 150 IOps в расчете на одну ВМ осознанным снижением производительности ВМ во время BootStorm.

В некоторых случаях реальные показатели производительности могут отличаться от расчетных, например, в случае использования СХД с низкой производительностью и одновременном массовом обновлении ПО с перезагрузкой, время отклика дисковых подсистем BM может сильно возрасти.

Расчет сети

Проектирование сетевой инфраструктуры необходимо проводить по результатам анализа, утилизации каналов связи при работе пользователей.

Факторами, сильно влияющими на утилизацию каналов связи, являются:

Тип подключения.
Разрешение монитора.
Количество мониторов.
Сценарий использования.
Передача данных (проброс флеш-накопителей и т.д.).

Так как при подключении к удаленному рабочему столу происходит потоковая передача изображения на клиентское устройство, решающим фактором утилизации каналов передачи данных является изменение изображения на экране. Иными словами, чем более динамичное изображение на мониторе, тем больше данных передается и наоборот, статичное изображение генерирует меньшую нагрузку.

В таблицах ниже приведены средние и максимальные значения генерируемых нагрузок при использовании разных протоколов при разных сценариях работы пользователей. Все измерения проводились при передаче изображения с разрешением Full HD 1920×1080 точек. Стоит отметить, что данные значения являются усредненными, и в разные временные промежутки времени изображение может становиться более или менее динамичным, например, при выделении большого числа ячеек в редакторе таблиц, быстрой прокрутки Web-страниц или вращении 3D модели сложного элемента утилизация сети кратковременно увеличивается вследствие повышения динамики изображения.

Внимание!

Недостаток пропускной способности сети может вызвать появление артефактов изображения, ухудшение отзывчивости управления, снижение частоты кадров, а также замедление передачи данных между клиентом и ВМ.

Native RDP

Сценарий использования	Cреднее	Максимальное
Бездействие системы	50 кбит/с	70 кбит/с
Текстовый процессор	400 кбит/с	1.13 Мбит/с
Табличный процессор	357 кбит/с	1.59 Мбит/с
Web браузер	2.52 Мбит/с	15.2 Мбит/с
Просмотр видео (полный экран)	5.02 Мбит/с	15.3 Мбит/с
CAD	2.34 Мбит/с	30 Мбит/с

таблица 1

Внимание!

В зависимости от выполняемых действий и используемого ПО на ВРС средние и максимальные значения могут отличаться от приведенных в таблице 1.

RDP

При использовании RDP можно выбрать кодек сжатия изображения:

RemoteFX - кодек, который не требует аппаратного ускорения (использует CPU), при использовании которого могут наблюдаться некоторые потери в качестве изображения. Данный эффект наиболее заметен при 3D проектировании, просмотр детализированных изображений и т.д.
H.264/AVC444 - кодек, для которого требуется поддержка со стороны GPU, при использовании которого при достаточной пропускной способности сети не возникает заметной потери качества изображения.
H.264/AVC420 в отличие от H.264/AVC444 не требует аппаратного ускорения (использует CPU), при этом по сравнению с тем же H.264/AVC444 требует более высокую полосу пропускания при примерно равном качестве изображения.

гостевая ОС Windows 10

Сценарий использования	RemoteFX среднее	RemoteFX максимальное
Бездействие системы	30 кбит/с	50 кбит/с
Текстовый процессор	280 кбит/с	1.66 Мбит/с
Табличный процессор	280 кбит/с	1.29 Мбит/с
Web браузер	3.82 Мбит/с	27 Мбит/с
Просмотр видео (полный экран)	13 Мбит/с	26 Мбит/с
CAD	3.34 Мбит/с	35 Мбит/с

таблица 2

Внимание!

В зависимости от выполняемых действий и используемого ПО на ВРС средние и максимальные значения могут отличаться от приведенных в таблице 2.

гостевая ОС Linux

Сценарий использования	RemoteFX среднее	RemoteFX максимальное
Бездействие системы	30 кбит/с	50 кбит/с
Текстовый процессор	550 кбит/с	4.5 Мбит/с
Табличный процессор	1.17 Мбит/с	5.1 Мбит/с
Web браузер	1.48 Mbit/s	11.4 Мбит/с
Просмотр видео (полный экран)	13 Мбит/с	29 Мбит/с

таблица 3

Внимание!

В качестве ОС при тестировании использовался Ubuntu 20.04 с окружением рабочего стола Unity, в качестве текстового и табличного процессора использовался пакет LibreOffice. В качестве RDP сервера с передачей звука использовалась связка xfreerdp и pulseaudio. В зависимости от выполняемых действий и используемого ПО на ВРС средние и максимальные значения могут отличаться от приведенных в таблице 3.

Пример расчета количества ВМ на сервер

В таблице приведен пример расчета количества ВМ при коэффициенте переподписки CPU равном 4 с резервированием 15% ресурсов.

Сервер	2*Silver 4215R (8С 3.20GHz) 256 Gb	2*Gold 5115 (10C 2.40GHz) 256 Gb RAM	2*Gold 6226(12C 2.70GHz) 512Gb RAM	2*Gold 4214 (12C 2.20GHz) 512Gb RAM	2*Gold 6132(14C 2.6Ghz) 512Gb RAM	２*Gold 6242(16C 2.80GHz) 512Gb RAM	2*Gold 6230 (20C 2.10GHz) 512Gb RAM	2*Gold 5220R(24С 2.20GHz) 512Gb RAM
vCPU max	108	120	163	163	190	217	272	326
RAM max	217	217	435	435	435	435	435	435
Тип 1	37	42	59	59	70	81	102	124
Тип 1	37	42	59	59	70	81	102	108*
Тип 2	21	23	33	33	39	45	57	69
Тип 3	21	23	33	33	39	45	54*	54*
Тип 4	11	12	17	17	21	24	30	37
Тип 6	11	12	17	17	21	24	27*	27*

* - Ограничение в объеме RAM

Внимание

В приведенном в таблице примере расчета не учитывается избыточность, необходимая для функционирования механизма Высокой Доступности.

Ended: Рекомендации по подбору ресурсов Space Dispatcher

Ended: О продукте

Руководство системного программиста ↵

Установка и базовая настройка ↵

Общие сведения

Для успешной установки программы на ВМ или физическую машину без использования IPMI к ней должны быть подключены следующие устройства:

технологический монитор;
клавиатура;
технологический дисковод DVD-ROM.

В случае невозможности подключить выше перечисленные устройства к серверу или при наличии доступа к серверу по протоколу IPMI или к Web-интерфейсу управления IPMI модуля, следует производить установку используя IPMI.

Необходимые диски

Необходимо обеспечить загрузку следующих DVD-дисков или их iso-образов, используя локальное хранилище в SpaceVM:

установочного диска c ОС Astra Linux Special Edition версии 1.7 релиз Смоленск для Space Disp (далее по тексту – установочного диска);
диска со средствами разработки для c ОС Astra Linux Special Edition версии 1.7 релиз Смоленск для Space Disp (далее по тексту – диска со средствами разработки);
установочного диска Space Disp;
диска с файлом ключа активации Space Disp.

Примечания

Загрузка iso-образов дисков выполняется в соответствии с руководством оператора SpaceVM.

Порядок установки и настройки

Установка и настройка программы осуществляется в следующей последовательности:

Создание ВМ в среде SpaceVM.
Установка и настройка ОС.
Установка Space Disp.
Запуск и первоначальная настройка программы.

Максимальное поддерживаемое количество подключений тонких клиентов: 2000.

Подготовка к установке ↵

Подготовка

Перед началом работы необходимо выполнить следующие действия:

на АРМ с OC Linux создать iso-образы дисков, перечисленных в общих сведениях, выполнив последовательно команды:
- вставить компакт-диск в технологический или внешний дисковод DVD-ROM АРМ;
- перейти в окно приложения для ввода командной строки Терминал Fly;
- создать iso-образ диска с помощью команд:
  
  mkdir /home/username/iso.d dd if=/dev/cdrom of=/home/username/<название диска>.iso
Примечание

Если на компьютере есть несколько оптических приводов, они будут помечены цифрами, например, первый привод будет называться cd0, второй – cd1 и так далее.
убедиться, что АРМ готов к работе и у него есть доступ к интерфейсу управления SpaceVM;
авторизоваться в интерфейсе управления SpaceVM с учетной записью пользователя, роль которого не ниже, чем Администратор ВМ;
убедиться в наличии виртуальной сети, имеющей доступ к IP-адресу управления контроллера SpaceVM. Если неизвестно, какая виртуальная сеть предоставляет такой доступ, то ее необходимо создать в соответствии с руководством оператора SpaceVM;
убедиться, что сервер, на котором разворачивается Space Dispatcher, имеет следующие минимальные технические характеристики:
- количество ядер CPU – не менее 2;
- размер RAM – не менее 4 Гбайт;
- размер свободного дискового пространства – не менее 40 Гбайт.

Проверка целостности программы

Непосредственно перед установкой должна быть проверена контрольная сумма установочного компакт-диска Space Disp. Проверка контрольной суммы осуществляется на ЭВМ с установленной ОС Astra Linux Special Edition версии 1.7.

Для проверки контрольной суммы установочного диска необходимо выполнить следующую последовательность действий:

войти в ОС под учетной записью суперпользователя (учетная запись root) и дождаться приглашения ввода консоли;
вставить компакт-диск с дистрибутивом Space Disp в дисковод DVD-ROM;
смонтировать компакт-диск с помощью команды mount /media/cdrom;
перейти в каталог точки монтирования компакт-диска (каталог с содержимым компакт-диска) с помощью команды cd /media/cdrom.

Примечание

Каталог точки монтирования компакт-диска зависит от настроек рабочего места и может отличаться.

в командной строке набрать команду для подсчета контрольной суммы

find . -type f -exec md5sum {} \; | sort -k2 | md5sum

Примечание

Будьте внимательны при наборе команды.

дождаться окончания выполнения введенной команды и получить на мониторе подсчитанную контрольную сумму;
размонтировать компакт-диск с помощью команды cd /; umount /media/cdrom;
извлечь компакт-диск из дисковода DVD-ROM.

Программа считается готовой к установке, если контрольная сумма, отображенная на мониторе ЭВМ для установочного компакт-диска, совпала с контрольной суммой этого диска, записанной в формуляре.

Предупреждение

При несовпадении контрольных сумм запрещается производить дальнейшие действия по установке программы.

Создание ВМ в SpaceVM

Для установки Space Disp на ВМ необходимо создать ВМ со следующими параметрами:

количество ядер CPU - не менее 2;
приоритет CPU – из раскрывающегося списка выбрать приоритет HIGH;
размер RAM – не менее 4096 Мбайт;
операционная система – из раскрывающегося списка выбрать ОС Linux;
версия операционной системы – из раскрывающегося списка выбрать версию ОС Astra Smolensk (64-bit).

Этапы создания ВМ в SpaceVM смотрите в разделе Создание ВМ в SpaceVM.

Ended: Подготовка к установке

Установка Space Dispatcher

Варианты установки

Выполнить установку Space Dispatcher на ВМ или физическую машину можно как с физических носителей (DVD-диск или USB-накопитель), так и без использования физических носителей, загрузив ISO-образ по протоколу IPMI.

Также можно восстановить ВМ с Space Dispatcher из резервной копии.

Приоритетной считается установка на ВМ.

Установка выполняется в автоматическом режиме.

Порядок установки

Вставить установочный диск Space Dispatcher в DVD-ROM физической машины или примонтировать ISO-образ Space Dispatcher в ВМ.
Авторизоваться в ВМ.
Перейти в окно приложения для ввода командной строки Терминал Fly.
Выполнить следующие действия:

sudo mount /media/cdrom && cd ~

sudo bash /media/cdrom/install.sh

sudo umount /media/cdrom

Примечание

Монтирование диска через GUI Astra Linux может привести к ошибке. Настоятельно рекомендуется монтировать диски через Терминал Fly.
Установка выполняется около 5 мин.

Пример окончания установки

После установки Web-интерфейс Space Dispatcher будет доступен по https://server_ip_address, где необходимо указать IP-адрес сервера. Список назначенных IP-адресов можно посмотреть в окне приложения Терминал Fly с помощью команды ip a.

Пример выполнения команды ip a

Настройка учетной записи на ВМ

На ВМ, на которой выполнялась установка Space Dispatcher, в среде SpaceVM необходимо выполнить следующие действия:

перейти во вкладку Информация и открыть окно ВМ;
авторизоваться, если необходимо;
открыть меню Пуск и выбрать Панель управления → Безопасность → Политика безопасности
далее ввести пароль Bazalt1! для использования прав root и нажать Да;
выбрать Политики учетной записи → Политика создания пользователей
в поле Оболочка указать /sbin/nologin, в поле Первичная группа указать vdi-web. Снять переключатели в Создавать новую пользовательскую группу и Добавлять пользователя в дополнительные группы. Нажать Применить настройки или Ctrl+S.
выбрать Политики учетной записи → Политика паролей. Активировать переключатель Применять для пользователя root и нажать Применить настройки или Ctrl+S.

Вход в Space Dispatcher

Этап установки Space Dispatcher считается завершенным. Для входа в Web-интерфейс Space Dispatcher необходимо в строке браузера указать IP-адрес сервераhttps://server_ip_address и далее в окне авторизации использовать параметры по умолчанию: пользователь vdiadmin / пароль Bazalt1!.

Далее переходите к работе в соответствии с Руководством оператора Space Dispatcher.

Базовая настройка ↵

Настройка фаервола

Для настройки фаервола необходимо выполнить следующее:

создать файл конфигурации фаервола c помощью команды

vim etc/ufw/aplications.d/space-dispatcher

ввести следующую конфигурацию

[space-dispatcher]

title=Space-dispatcher

description=Ports for Space-Dispatcher

ports=443,80/tcp

перезапустить фаервол c помощью команды

ufw reload

обновить конфигурацию и открыть порты, выполнив последовательно команды:

ufw reload

ufw allow space-dispatcher.

Для перехода Web-интерфейс управления Space Disp необходимо в окне браузера АРМ открыть https://server_ip_address, где необходимо указать IP-адрес сервера.

Войти в систему, используя параметры учетной записи установленные "по умолчанию": имя vdiadmin и пароль Bazalt1!.

Авторизация пользователя в среде SpaceVM осуществляется посредством Ключа интеграции, который необходимо активировать в программе Space Disp, выполнив следующие действия:

в рабочей области окна интерфейса перейти в раздел Контроллеры и из списка подключенных контроллеров SpaceVM выбрать нужный контроллер;
перейти на вкладку Информация и в области свойств контроллера нажать на кнопку редактирования параметра Токен;
в открывшемся окне изменения токена интеграции контроллера в поле редактирования скопировать ключ интеграции;
подтвердить действия, нажав кнопку Изменить.

Примечание

Для получения Ключ интеграции = Токен необходимо обратиться к администратору SpaceVM.

Далее необходимо подключить SSL-сертификаты, выполнив следующую последовательность действий:

обратиться к системному администратору, отвечающему за центр сертификации, для получения SSL-сертификата и ключа сертификации в составе следующих файлов:
- <имя_сертификата>.crt
- <имя_сертификата>.key
скопировать файлы <имя_сертификата>.crt, <имя_сертификата>.key в домашний каталог пользователя АРМ;
в основном меню интерфейса управления SpaceVM перейти в раздел Виртуальные машины и выбрать из списка созданную ВМ;
в открывшемся окне управления ВМ во вкладке Информация наблюдать IP-адрес ВМ;
в ранее открытой консоли ВМ в Web-браузере копировать в ВМ файлы с SSL-сертификатом и ключом сертификации, набрав в командной строке следующие команды:

scp <имя_пользователя_АРМ>@<IP-адрес_АРМ>:<домашний_каталог_пользователя_АРМ>/<имя_сертификата>.crt</opt/vdi/other/vdi_ssl/>

scp <имя_пользователя_АРМ>@<IP-адрес_АРМ>:<домашний_каталог_пользователя_АРМ>/<имя_сертификата>.key </opt/vdi/other/vdi_ssl/>
Примечания
1. Перед выполнением данной команды необходимо создать каталог vdi_ssl.
2. Команды, начинающиеся на scp…, вводятся одной строкой без переноса.
3. После ввода каждой команды необходимо ввести пароль пользователя АРМ.
изменить права на чтение SSL-сертификата и ключа сертификации командами

chmod 444 /opt/vdi/other/vdi_ssl/<имя_сертификата>.crt

chmod 444 /opt/vdi/other/vdi_ssl/<имя_сертификата>.key
открыть конфигурационный файл Web-сервера apache2 командой
```
sudo nano /etc/apache2/sites-avaliable/vdi-ssl.conf
```
в строке, начинающейся с SSLCertificateFile /opt/vdi/other/vdi_ssl/<имя_файла>.crt, в конце заменить <имя_файла>.crt на <имя_сертификата>.crt;
в строке, начинающейся с SSLCertificateKeyFile /opt/vdi/other/vdi_ssl/<имя_файла>.key, в конце заменить <имя_файла>.key на <имя_сертификата>.key;
при наличии одного доменного имени удалить комментарий в строке ServerName (убрать символ "#" в начале строки) и отредактировать доменное имя, например, изменить его на ServerName vdi@space.com;

Примечание

При наличии нескольких доменных имен удалить комментарий в строке ServerName (убрать символ "#" в начале строки) и дописать доменное имя например ServerName www.vdi@space.com.
перезапустить процесс Web-сервера Apache2 командой:
```
apachectl -k restart
```

Последовательность настройки программы и описание команд, используемых в процессе настройки и выполнения программы, приведены в руководстве оператора Space Disp.

Ended: Базовая настройка

Ended: Установка и базовая настройка

Лицензионный ключ

Для установки лицензионного ключа активации для Space Disp необходимо выполнить следующие действия:

установить компакт-диск в технологический или внешний дисковод DVD-ROM АРМ;
смонтировать диск с помощью команды

mount /media/cdrom
осуществить копирование файла с ключом активации в систему с помощью команды

cp -r /media/cdrom /opt/devel/
размонтировать диск с помощью команды

umount /media/cdrom

Для регистрации лицензионного ключа активации необходимо перейти в Web-интерфейс управления Space Disp и выполнить следующие действия:

перейти в раздел Настройки – Лицензирование;
нажать на кнопку Выбрать файл лицензии;
в стандартном окне загрузки файлов выбрать файл <название>_license.key (где <название> – название файла), находящийся в каталоге /opt/broker_key/, и нажать Открыть;
далее обновить информацию по кнопке .

Обновление Space Disp с iso-образа

Примечание

Проверить текущую версию Space Disp и его компонентов можно командой dpkg -l | grep space.

Предупреждение

Во время обновления сервис будет недоступен. Следует выбрать допустимое время и выполнить резервное копирование ВМ.

Обновление с помощью установочного iso-образа является рекомендуемым способом. Для обновления Space Disp, используя iso-образ, необходимо выполнить следующие действия:

Зайти на портал ООО "ДАКОМ М" и сделать запрос на установочный iso-образ для нужной версии Space Disp.
Сохранить iso-образ на свой компьютер.
Загрузить iso-образ в Web-интерфейсе SpaceVM на доступный пул данных и примонтировать его к ВМ, на которой установлен Space Disp.

Стандартные репозитории пакетов

Если при установке были пропущены шаги по копированию стандартных дистрибутивов Astra Linux, следует ознакомиться с шагами по копированию основного и devel дисков в разделе Установка и настройка ОС.
Подключиться к ВМ, на которую установлен Space Disp, по протоколу SSH или по протоколу SPICE/VNC через Web-интерфейс SpaceVM и выполнить вход от имени учетной записи администратора (по умолчанию astravdi:Bazalt1!), указав значение Integrity level равное 63 или Уровень целостности - Высокий (для графического режима).
Перейти в окно приложения Терминал Fly и выполнить команды для обновления Space Disp:

sudo mount /media/cdrom cd sudo bash /media/cdrom/install.sh sudo umount /media/cdrom
Вернуться в окно управления SpaceVM и перейти во вкладку Виртуальная машина - <имя ВМ> - CD-ROM. В списке приводов нажать на название привода и в открывшемся диалоговом окне размонтировать iso-образ, нажав кнопку Извлечь.
Возможная ошибка

Если при обновлении произошла ошибка: - необходимо перейти в терминал ВМ, на которую установлен Space Disp и ввести команду:
```
rm -rf /etc/apt/sources.list.d/*
```
- выполнить команды для обновления Space Disp:
```
 sudo bash /media/cdrom/install.sh
```

Сообщения системному программисту

Действия системного программиста должны осуществляться в соответствии с подсказками, выдаваемыми в процессе инсталляции и настройки программы на экране монитора.

Ended: Руководство системного программиста

Руководство оператора ↵

Контроллеры

Контроллер – это узел управления средой SpaceVM. Space Disp взаимодействует с контроллером SpaceVM посредством API для выполнения следующих операций:

клонирование, запуск и остановка ВМ;
получение параметров ВМ для подключения клиентов к ВРС.

При выборе раздела Контроллеры в рабочей области окна интерфейса открывается вкладка Контроллеры, содержащая список подключенных контроллеров SpaceVM, включая их имена, IP-адреса, описание и статусы. В окне управления доступны следующие операции:

обновление информации;
добавление контроллера.

Для добавления связи с новым контроллером SpaceVM необходимо нажать кнопку Добавить контроллер и в открывшемся диалоговом окне заполнить:

IP-адрес;
название;
токен;
описание.

После заполнения всех полей необходимо подтвердить операцию, нажав кнопку Добавить. Название и параметры вновь созданного контроллера появятся в списке имеющихся контроллеров.

Примечания

Пользователь, с которым Space Disp подключается к контроллеру SpaceVM, должен иметь роль ADMINISTRATOR и не должен использоваться для авторизации через Web-интерфейс в SpaceVM. Если данный пользователь не является локальным в SpaceVM необходимо отметить, что учетные данные пользователя проверяются по протоколу LDAP.
Авторизация пользователя в SpaceVM осуществляется посредством Ключа интеграции, который генерируется в свойствах пользователя в SpaceVM и вносится в поле Токен. Создание ключа интеграции выполняется в соответствии с руководством оператора SpaceVM.

Для изменения или просмотра данных о контроллере необходимо выбрать имя контроллера, после чего в рабочей области отобразится имя выбранного контроллера и информация по нему, разграниченная по следующим вкладкам:

Информация – содержит сведения о контроллере:
- название (редактируемый параметр);
- описание (редактируемый параметр);
- IP-адрес (редактируемый параметр);
- токен (редактируемый параметр);
- версия;
- статус.
Кластеры – содержит список всех кластеров на выбранном контроллере, включая их названия, количество серверов, сведения о CPU, сведения о RAM и статусы. Более подробное описание кластеров приведено в кластерах.
Пулы ресурсов – содержит список всех пулов ресурсов на выбранном контроллере, включая их названия, количество ВМ, ограничения по памяти и CPU. Более подробное описание пулов ресурсов приведено в пулах ресурсов.
Серверы – содержит список всех серверов на выбранном контроллере, включая их названия, IP-адреса, сведения о CPU, сведения о RAM и статусы. Более подробное описание серверов приведено в серверах.
Пулы данных – содержит список всех пулов данных на выбранном контроллере, включая их названия, типы, размер свободной и занятой памяти, статусы. Более подробное описание пулов данных приведено в пулах данных.
Шаблоны ВМ – содержит список шаблонов ВМ, размещенных на выбранном контроллере, включая их названия и статусы. Более подробное описание шаблонов ВМ приведено в шаблонах.
Виртуальные машины – содержит список всех ВМ, размещенных на выбранном контроллере, включая их названия, пулы и статусы. Более подробное описание ВМ приведено в виртуальных машинах.
События SpaceVM – содержит список всех событий на SpaceVM, связанных с токеном пользователя в SpaceVM, который использовался при создании контроллера.

В окне управления контроллером доступны следующие операции:

удаление контроллера. При нажатии на кнопку Удалить контроллер в открывшемся диалоговом окне необходимо подтвердить операцию, нажав кнопку Удалить;
проверка соединения. При нажатии на кнопку Проверка соединения осуществляется автоматическая проверка соединения с контроллером;
включение сервисного режима. Включенный сервисный режим деактивирует контроллер, все операции с контроллером становятся неактивными.

Пулы

Пулы – логические группы, которые представляют собой организационные единицы (ОЕ), предназначенные для группирования ВРС и применения к ним групповых настроек и политик безопасности.

При выборе раздела Пулы основного меню программы в рабочей области окна интерфейса открывается вкладка Пулы рабочих столов, содержащая список имеющихся пулов ВРС, включая их названия, названия контроллеров, количество доступных ВМ, количество пользователей, имеющих доступ к данному пулу, типы и статусы пулов. В окне управления пулами становится доступна операция добавления нового пула.

Для добавления нового пула ВРС необходимо нажать кнопку Добавить пул, после чего откроется окно мастера создания пула ВМ, в котором с помощью кнопки навигации Далее и Назад необходимо пройти все этапы создания пула ВРС последовательно заполняя поля информацией.

На первом этапе необходимо выбрать тип пула (автоматический, гостевой, статистический или RDS).

На втором этапе для статистического пула необходимо задать:

имя пула (редактируемый параметр);
тип подключения (множественный выбор из раскрывающегося списка).
контроллер (выбор из раскрывающегося списка);
пул ресурсов (выбор из раскрывающегося списка);
фильтрация по серверу (выбор из раскрывающегося списка);
виртуальные машины (множественный выбор из раскрывающегося списка).

Для пула RDS необходимо задать:

имя пула (редактируемый параметр);
тип подключения (множественный выбор из раскрывающегося списка);
контроллер (выбор из раскрывающегося списка);
пул ресурсов (выбор из раскрывающегося списка);
виртуальная машина (выбор из раскрывающегося списка).

Для автоматического пула необходимо задать:

имя пула;
тип подключения (множественный выбор из раскрывающегося списка);
контроллер (выбор из раскрывающегося списка);
пул ресурсов (выбор из раскрывающегося списка);
пул данных (выбор из раскрывающегося списка);
шаблон имени ВМ. Имя шаблона не должно превышать 63 символа и может состоять из букв латинского алфавита, цифр и знаков;
начальное количество ВМ (количество ВМ, которые будут созданы вместе с пулом);
максимальное количество создаваемых ВМ (максимальное количество ВМ пула);
шаг расширения пула (количество ВМ, которые будут создаваться при расширении пула);
пороговое количество свободных ВМ (значение, при достижении которого будет запущено автоматическое расширение пула);
возможность создания тонких клонов (выставить отметку в чек-боксе). Атрибут, используемый при создании ВМ из шаблона;
возможность подготавливать ВМ (выставить отметки в чек-боксе). Атрибуты, указывающие на необходимость запуска процедур, связанных с подготовкой ВМ после их создания.

Для гостевого пула необходимо задать:

имя пула;
тип подключения (множественный выбор из раскрывающегося списка);
контроллер (выбор из раскрывающегося списка);
пул ресурсов (выбор из раскрывающегося списка);
пул данных (выбор из раскрывающегося списка);
шаблон имени ВМ. Имя шаблона не должно превышать 63 символа и может состоять из букв латинского алфавита, цифр и знаков;
начальное количество ВМ (количество ВМ, которые будут созданы вместе с пулом);
максимальное количество создаваемых ВМ (максимальная количество ВМ пула);
шаг расширения пула (количество ВМ, которые будут создаваться при расширении пула);
пороговое количество свободных ВМ (значение, при достижении которого будет запущено автоматическое расширение пула);
время жизни ВМ после потери связи в секундах (отметка времени, по истечению которой ВМ будет удалена).

На третьем этапе необходимо проверить заполненную ранее информацию и, если она достоверна, нажать на кнопку Создать. Название и параметры вновь созданного пула появятся в списке имеющихся пулов рабочих столов.

Для создания пула необходимо указать типы подключения к ВМ в пуле, которые будут доступны тонкому клиенту. Подробнее о типах подключения.

Примечание

Если в процессе создания пула подготовились не все ВМ или необходимо выполнить подготовку ВМ по изменившимся параметрам, то для продолжения процесса подготовки необходимо перейти в раздел виртуальной машины созданного пула (Пулы – Виртуальные машины – <название ВМ>) и нажать на кнопку Подготовить ВМ. Продолжится подготовка ВМ с последнего успешного действия.

Для изменения или просмотра уже существующего пула необходимо нажать на его название, после чего в рабочей области пулов рабочих столов отобразится название выбранного пула и информация по нему, разграниченная по следующим вкладкам:

информация о пуле;
виртуальные машины в пуле;
пользователи пула;
группы пула.

При переходе от одной вкладки к другой в области отображения информации изменяется список объектов, относящийся к данной вкладке.

При выборе вкладки Информация в рабочей области отображается информация, вид которой зависит от выбранного типа пула. Пользователю будет дана возможность просмотреть и изменить следующие параметры:

для статистического пула:
- название (редактируемый параметр);
- тип пула;
- тип подключения пула (редактируемый параметр);
- наименование контроллера;
- IP-адрес контроллера;
- наименование пула ресурсов;
- действия над ВМ после отключения пользователя (редактируемый параметр);
- количество ВМ;
- количество пользователей;
- создатель;
- дата и время создания/изменения;
- статус;
для автоматического пула:
- название (редактируемый параметр);
- тип пула;
- тип подключения пула (редактируемый параметр);
- наименование контроллера;
- IP-адрес контроллера;
- возможность создания тонких клонов (редактируемый параметр);
- возможность держать включенными ВМ с пользователями (редактируемый параметр);
- действие над ВМ после отключения пользователя (редактируемый параметр);
- наименование пула ресурсов;
- наименование пула данных;
- шаблон ВМ;
- начальное количество ВМ;
- шаг расширения пула (редактируемый параметр);
- максимальное количество создаваемых ВМ (редактируемый параметр);
- пороговое количество свободных ВМ (редактируемый параметр);
- количество доступных ВМ;
- шаблон для имени ВМ (редактируемый параметр);
- подготовка ВМ (редактируемый параметр), состоящая из возможности включать удаленный доступ на ВМ, включать ВМ, задавать hostname ВМ и вводить ВМ в домен (только для Windows);
- наименование организационной единицы для добавления ВМ в AD (редактируемый параметр);
- количество пользователей;
- создатель;
- дата и время создания/изменения;
- статус.
для гостевого пула:
- название (редактируемый параметр);
- тип пула;
- тип подключения пула (редактируемый параметр);
- наименование контроллера;
- IP-адрес контроллера;
- создание тонких клонов;
- возможность держать включенными ВМ с пользователями (редактируемый параметр);
- время жизни ВМ после потери связи в секундах (редактируемый параметр);
- наименование пула ресурсов;
- наименование пула данных;
- шаблон ВМ;
- начальное количество ВМ;
- шаг расширения пула (редактируемый параметр);
- максимальное количество создаваемых ВМ (редактируемый параметр);
- пороговое количество свободных ВМ (редактируемый параметр);
- количество доступных ВМ;
- шаблон для имени ВМ (редактируемый параметр);
- подготовка ВМ, состоящая из включения удаленного доступа на ВМ и включения ВМ;
- количество пользователей;
- создатель;
- дата и время создания/изменения
- статус.
для RDS пула:
- название (редактируемый параметр);
- тип пула;
- тип подключения пула (редактируемый параметр);
- наименование контроллера;
- IP-адрес контроллера;
- наименование пула ресурсов;
- всего ВМ;
- количество пользователей;
- создатель;
- дата и время создания/изменения;
- статус.

Существует возможность удаления выбранного пула с помощью кнопки Удалить пул.

Примечание

При удалении пула ВМ в среде SpaceVM удаляются только тонкие клоны, созданные в Space Disp. Удаления ВРС из MS AD не производится.

Действие над ВМ

Существует возможность выбрать действие над ВМ и его тайм-аут после завершения сеанса пользователя: - выключить ВМ; - выключить ВМ принудительно (форсированно); - приостановить ВМ.

Для автоматического и гостевого пулов существует также возможность копирования пула (настроек) с помощью кнопки Копировать пул.

При выборе вкладки Виртуальные машины в рабочей области отображается список имеющихся (созданных) в пуле ВМ, включая их названия, шаблон, имена пользователей, статусы и состояние гостевого агента. В окне доступны следующие операции:

обновление информации;
добавление ВМ. При нажатии на кнопку Добавить ВМ в открывшемся диалоговом окне необходимо из раскрывающегося списка выбрать свободную ВМ и подтвердить операцию, нажав кнопку Добавить;
удаление ВМ. При нажатии на кнопку Удалить ВМ в открывшемся диалоговом окне необходимо выбрать ВМ из раскрывающегося списка, подтвердить операцию, нажав кнопку Удалить;
резервное копирование. При нажатии на кнопку Резервное копирование в открывшемся диалоговом окне необходимо подтвердить создание резервных копий всех виртуальных машин, нажав на кнопку Выполнить.

Примечания

Добавление ВМ в автоматический и гостевой пулы происходит в соответствии с параметрами пула, такими как: Начальное количество ВМ, Шаг расширения пула, Максимальное количество создаваемых ВМ в пуле. Добавление ВМ происходит по достижению порогового количества свободных ВМ, в количестве равном шагу расширения пула, но не более максимального количества создаваемых ВМ.
Удаляемая из статистического пула ВМ при этом остается в SpaceVM без изменений.

Для просмотра параметров конкретной ВМ необходимо нажать на ее название, после чего откроется окно, в котором отобразится информация для этой ВМ. В окне становятся доступны следующие кнопки управления ВМ:

Назначить пользователя. При нажатии на кнопку в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователей, после чего подтвердить операцию, нажав кнопку Назначить;
освободить от пользователя. При нажатии на кнопку в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователей, после чего подтвердить операцию, кнопкой Освободить.
запустить ;
приостановить ;
выключение ;
перезагрузка ;
отключение питания ;
горячая перезагрузка ;
создание резервной копии ;
проверить нахождение в домене ;
монтировать образ Space utils ;
изменить шаблон ;
преобразовать в шаблон ;
зарезервировать ВМ ;

При выборе вкладки Пользователи в рабочей области отображается список пользователей, имеющих доступ к выбранному пулу ВРС. В окне управления пользователями доступны следующие операции:

обновление информации;
добавление пользователя. При нажатии на кнопку Добавить пользователя в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователя, после чего подтвердить операцию, нажав кнопку Добавить;
деактивация пользователя. При нажатии на кнопку Деактивация пользователя пользователь переходит в состояние не активен.
удаление пользователя. В подробной информации о пользователи, при нажатии на кнопку Удаление пользователя в открывшемся диалоговом после чего подтвердить операцию, нажав кнопку Удалить.

При выборе вкладки Группы в рабочей области отображается список групп пользователей, имеющих право пользования выбранным пулом ВРС. В окне управления группами доступны следующие операции:

обновление информации;
добавление группы. При нажатии на кнопку Добавить группу открывается форма создания группы. Для сохранения изменений необходимо нажать кнопку Добавить;
удаление группы. При нажатии на кнопку Удалить группу для подтверждения операции необходимо нажать кнопку Удалить.

Тонкие клиенты

Сессии

При выборе Сессии в рабочей области окна интерфейса открывается вкладка Сессии тонких клиентов.

Вкладка содержит информацию о текущих подключениях для всех тонких клиентов, включая для каждого IP-адрес клиента, операционную систему, версию клиента, имя пользователя, имя виртуальной машины и время подключения.

Ресурсы ↵

Ресурсы

В разделе Ресурсы основного меню содержится справочная информация по доступным ресурсам для размещения ВРС на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp.

Кластеры – логические группы, которые представляют собой организационные единицы (ОЕ), предназначенные для группировки серверов с целью их разделения по сетям (сетевым настройкам), исполняемым задачам и расположению в центре обработки данных. Список доступных кластеров, развернутых в среде SpaceVM, подгружается автоматически с контроллера.

Space Disp дает возможность просмотра информации о доступных кластерах. Изменение списка доступных кластеров и их параметров осуществляется в среде SpaceVM Кластеры.

При выборе подраздела Кластеры (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Кластеры, содержащая список всех кластеров, включая их названия, количество серверов, сведения о CPU и RAM, имена контроллеров и статусы.

Для просмотра сведений о конкретном кластере необходимо нажать на его название, после чего в рабочей области отобразится название выбранного кластера и информация по нему, разграниченная по следующим группам:

Информация – содержит сведения о кластере:
- название;
- описание;
- процессоры;
- оперативная память;
- количество серверов;
- статус.
Пулы ресурсов – содержит список пулов ресурсов в табличном виде, включая информацию о каждом из них:
- название;
- количество ВМ;
- ограничение памяти;
- ограничение CPU.
Более подробное описание пулов ресурсов приведено в пулах ресурсов.
Серверы – содержит список физических серверов на выбранном кластере в табличном виде, включая информацию о каждом из них:
- название;
- IP-адрес;
- сведения о CPU и RAM;
- статус.
Более подробное описание серверов приведено в серверах.
Пулы данных – содержит список пулов на выбранном кластере в табличном виде, включая информацию о каждом из них:
- название;
- тип;
- количество свободного и занятого места в памяти;
- статус.
Более подробное описание пулов данных приведено в пулах данных.
Шаблоны ВМ – содержит список шаблонов ВМ, размещенных на выбранном кластере. Список отображается в табличном виде и включает следующую информацию о каждом шаблоне:
- название;
- статус.
Более подробное описание шаблонов ВМ приведено в шаблонах.
Виртуальные машины – содержит список ВМ размещенных на выбранном кластере. Список отображается в табличном виде и включает следующую информацию о каждой ВМ:
- название;
- пул;
- статус.
Более подробное описание ВМ приведено в виртуальных машинах.

Пулы ресурсов

Пул ресурсов представляет собой инструмент управления ресурсами кластера, доступными для размещения ВМ в автоматических пулах ВМ Space Disp. Управление производится в среде SpaceVM и позволяет ограничить список доступных для размещения ВМ, серверов кластера и пулов данных, а также изменить приоритет выделения этим ВМ CPU и памяти серверов в кластере.

Space Disp дает возможность просмотра информации о пулах ресурсов. Отображаемые пулы ресурсов предоставляются в рамках доступных для размещения ВМ кластеров, на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp. Изменение списка доступных пулов ресурсов и их параметров осуществляется в среде SpaceVM Пулы ресурсов.

При выборе подраздела Пулы ресурсов (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Пулы ресурсов, содержащая список пулов, включая их названия, наименования контроллеров, количества ВМ и сведения об ограничениях CPU и RAM.

Для просмотра сведений о конкретном пуле ресурсов необходимо нажать на его название, после чего в рабочей области отобразится название выбранного пула и информация по нему, разграниченная по следующим группам:

Информация – содержит сведения о пуле:
- название;
- описание;
- ограничение памяти;
- ограничение CPU;
- количество vCPU серверов;
- количество vCPU ВМ;
- размер памяти серверов;
- размер памяти ВМ.
Серверы – содержит список серверов пула ресурсов в табличном виде, включая информацию о каждом из них:
- название;
- IP-адрес;
- сведения о CPU и RAM;
- статус.
Более подробное описание серверов приведено в серверах.
Пулы данных – содержит список пулов данных пула ресурсов в табличном виде, включая информацию о каждом из них:
- название;
- тип;
- количество свободного и занятого места в памяти;
- статус.
Более подробное описание пулов данных приведено в пулах данных.
Шаблоны ВМ – содержит список шаблонов ВМ, размещенных на данном пуле ресурсов. Список отображается в табличном виде и включает следующую информацию о каждом шаблоне:
- название;
- статус.
Более подробное описание шаблонов ВМ приведено в шаблонах.
Виртуальные машины – содержит список ВМ, размещенных на данном пуле ресурсов. Список отображается в табличном виде и включает следующую информацию о каждой ВМ:
- название;
- пул;
- статус.
Более подробное описание ВМ приведено в виртуальных машинах.

Серверы – это основная среда исполнения ВМ. На серверах могут размещаться файловые и блочные хранилища для дисков виртуальных машин, хранилища образов CD/DVD-дисков. Серверы также могут предоставлять ресурсы для распределенных хранилищ.

Space Disp дает возможность просмотра информации о доступных серверах. Список всех серверов, входящих в составы всех кластеров на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp подгружается автоматически. Изменение списка доступных серверов и их параметров осуществляется в среде SpaceVM.

При выборе подраздела Серверы (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Серверы, содержащая список серверов, включая их названия, локации, собственные IP-адреса, имена контроллеров, статусы и сведения о CPU и RAM.

Для просмотра сведений о конкретном сервере необходимо нажать на его название, после чего в рабочей области отобразится название выбранного сервера и информация по нему, разграниченная по следующим группам:

Информация – содержит сведения о сервере:
- название;
- описание;
- локация;
- имя кластера;
- IP-адрес управления сервером;
- оперативная память;
- количество (доступных) ЦП на сервере;
- тип установки сервера;
- статус.
Пулы данных – содержит список пулов данных, доступных на данном сервере. Список отображается в табличном виде и включает следующую информацию о каждом пуле:
- название;
- тип;
- количество свободного и занятого дискового пространства;
- статус.
Более подробное описание пулов данных приведено в пулах данных.
Виртуальные машины – содержит список размещенных на данном сервере ВМ. Список отображается в табличном виде и включает следующую информацию о каждой ВМ:
- название;
- имя пула;
- статус.
Более подробное описание ВМ приведено в виртуальных машинах.
Шаблоны ВМ – содержит список шаблонов ВМ, размещенных на данном сервере. Список отображается в табличном виде и включает следующую информацию о каждом шаблоне:
- название;
- статус.
Более подробное описание шаблонов ВМ приведено в шаблонах.

Пулы данных

Пулы данных - основная среда размещения виртуальных дисков ВМ и шаблонов ВМ. Список доступных пулов данных, развернутых в среде SpaceVM, подгружается автоматически с контроллера.

Space Disp дает возможность просмотра информации о доступных пулах данных. Список всех пулов данных кластеров на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp, подгружается автоматически.

Изменение списка доступных пулов данных и их параметров осуществляется в среде SpaceVM.

При выборе подраздела Пулы данных (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Пулы данных, содержащая список всех пулов данных, развернутых в среде SpaceVM, включая их названия, типы, размер свободного и занятого дискового пространства, наименования контроллеров, к которым они относятся, и статусы.

Для просмотра сведений о конкретном пуле данных необходимо нажать на его название, после чего в рабочей области отобразится название выбранного пула и информация по нему:

название;
описание;
тип;
размер свободной памяти;
размер занятой памяти;
количество серверов, на которых данный пул доступен;
статус.

Шаблоны

Шаблон – это ВМ, состояние которой защищено от внесения изменений. Они полезны, потому что выступают как защищенные версии модели ВМ, которая может быть использована при создании новой ВМ. Шаблон ВМ может использоваться для создания тонких клонов. Так как шаблон – это образ определенной ВМ, он не может быть запущен как самостоятельная ВМ.

Шаблоны могут существенно сократить время развертывания новых ВМ, потому что позволяют клонировать новые ВМ из шаблона без необходимости создания новой ВМ и установки ОС и программного обеспечения (ПО) на ВМ.

При развертывании сервиса Space Disp шаблон используется как эталонная ВМ. Использование эталонных ВМ позволяет сохранять исходный образ ВМ неизменным. При использовании в сервисе VDI полных клонов каждое новое рабочее место является полной копией шаблона (с собственным виртуальным диском) и изменения, вносимые в процессе работы пользователя, не влияют на эталонную ВМ.

В процессе работы пользователя могут вноситься изменения в ОС ВМ, которые будут храниться только для этой ВМ, не влияя на эталонный образ. Также при использовании эталонных ВМ работает технология тонких клонов, когда система сохраняет только изменения, являющиеся результатом работы пользователя. При использовании технологии тонких клонов диск эталонной ВМ не копируется, поэтому не происходит внесение изменений в комплект ПО, доступный пользователю. Результат работы каждого пользователя хранится в отдельном временном файле. При выключении тонкого клона ВМ временный файл уничтожается, и при следующем его запуске пользователь получает чистую копию эталонной ВМ. Для предотвращения потери данных пользователей рекомендуется настроить эталонный образ ВМ таким образом, чтобы при авторизации пользователя ему подключалось сетевое хранилище с его персональными данными. Данный механизм реализован автоматизированными средствами перемещаемых профилей в среде Windows Server и подключения сетевого NFS-хранилища в качестве home-директории в среде Linux.

При этом статические данные, необходимые для работы ОС ВМ, берутся из шаблона, а динамические данные, необходимые для работы ВМ, пишутся в отдельный файл.

Список доступных шаблонов, созданных в среде SpaceVM, подгружается автоматически с контроллера.

Space Disp дает возможность просмотра информации о доступных шаблонах. Изменение списка доступных шаблонов и их параметров осуществляется в среде SpaceVM.

При выборе подраздела Шаблоны (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Шаблоны ВМ, содержащая список имеющихся шаблонов ВМ, включая их названия, IP-адреса серверов, объем занимаемой оперативной памяти, IP-адреса контроллеров и статусы.

Для просмотра сведений о конкретном шаблоне ВМ необходимо нажать на его название, после чего в рабочей области отобразится название выбранного шаблона и информация по нему:

название;
описание;
количество процессоров;
оперативная память;
операционная система;
версия операционной системы;
пул ресурсов;
режим планшета (вкл/выкл);
SPICE-потоки (вкл/выкл);
высокая доступность (вкл/выкл);
катастрофоустойчивость (вкл/выкл);
удаленный доступ (вкл/выкл);
автоматический запуск ВМ (вкл/выкл);
тип загрузочного меню;
статус;
теги.

Виртуальные машины

ВМ – программная среда исполнения машинного кода, в которой эмулируется аппаратное обеспечение платформы х86. Абстракция и динамическое выделение вычислительных ресурсов для ВМ происходит за счет технологии HAL (hardware abstraction level), функционирующей на основе реализаций аппаратных возможностей AMD-v и intel VT-d. Для повышения производительности и интеграции протокола SPICE на ВМ необходимо установить гостевого агента Агент Space.

Список всех ВМ на всех серверах во все кластерах на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp подгружается автоматически. Изменение списка доступных виртуальных машин и их параметров осуществляется в среде SpaceVM.

При выборе подраздела Виртуальные машины (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Виртуальные машины, содержащая список имеющихся ВМ, включая их названия, имена контроллеров, пулы и статусы.

Для просмотра сведений о конкретной ВМ необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной ВМ и информация по ней:

название;
описание;
состояние (ON/OFF);
IP-адрес;
имя хоста;
количество процессоров;
оперативная память;
операционная система;
версия операционной системы;
шаблон;
пул ресурсов;
режим планшета (вкл/выкл);
SPICE-потоки (вкл/выкл);
высокая доступность (вкл/выкл);
катастрофоустойчивость (вкл/выкл);
гостевой агент (вкл/выкл);
удаленный доступ (вкл/выкл);
автоматический запуск ВМ (вкл/выкл);
тип загрузочного меню;
статус;
теги.

Ended: Ресурсы

Настройки ↵

Лицензирование

При выборе подраздела Лицензирование (раздел Настройки основного меню программы) в рабочей области окна интерфейса открывается вкладка Лицензирование, содержащая информацию по действующей лицензии.

Информация содержит следующие сведения о лицензии:

название лицензии;
наименование компании;
электронный адрес;
количество доступных тонких клиентов;
количество активных тонких клиентов;
дата окончания лицензии;
дата окончания сервисной поддержки.

В окне управления лицензированием доступна операция выбора файла лицензии. Выбор файла лицензии производится нажатием кнопки Выбрать файл лицензии, после чего открывается стандартное диалоговое окно открытия файла, в котором пользователь должен выбрать файл лицензии и нажать кнопку Открыть.

Примечание

Лицензионный ключ должен иметь расширение .key. Если ключ загружен успешно, значение параметра Доступно тонких клиентов будет больше 0.

Single Sign-On ↵

Single Sign-On

Single Sign-On (SSO) — технология единого входа, при использовании которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, несвязанную с первой системой, без повторной аутентификации.

При наличии службы каталогов в сети, в которой работает Space VDI, можно настроить SSO, позволяющая пользователям, авторизованным на своем рабочем месте в службе каталогов, без прохождения повторной авторизации получить доступ к Web-интерфейсу Space Disp.

В Space Disp SSO реализована на основе протокола аутентификации Kerberos.

Требования для настройки

К экземпляру Space Disp должна быть добавлена одна из приведенных ниже служб каталогов:

MS AD
Free IPA

Подробная информация о добавлении службы каталогов представлена в разделе Службы каталогов.

Настройка службы каталогов

MS AD

Добавить пользователя с правами администратора. Для функционирования SSO необходимо в службе каталогов создать пользователя с правами администратора и неограниченным временем действия пароля, например vdi-sso, от имени которого будет происходить проверка пользователя при получении доступа к Web-интерфейсу диспетчера.
В DNS-зону, добавляем A-запись диспетчера, например имя: astravdi и FQDN имя astravdi.space.team.
Добавить службу на сервере MS AD, выполнив следующую команду:

setspn.exe -A HTTP/astravdi.space.team@SPACE.TEAM vdi-sso

где HTTP/astravdi.space.team@SPACE.TEAM - имя службы,

vdi-sso - пользователь, от имени которого будет происходить проверка.
Сгенерировать в MS AD keytab-файл, выполнив в CMD сервера AD команду:

ktpass.exe /princ HTTP/astravdi.space.team@SPACE.TEAM /mapuser vdi-sso@SPACE.TEAM /crypto ALL /ptype KRB5_NT_PRINCIPAL /mapop set /pass Bazalt1! /out c:\krb5.keytab

где HTTP/astravdi.space.team@SPACE.TEAM - название службы авторизации,

vdi-sso@SPACE.TEAM и Bazalt1! - имя и пароль пользователя MS AD, от имени которой будет происходить проверка пользователей,

c:\krb5.keytab - путь, по которому создастся файл.

Free IPA

В консоли сервера Free IPA от имени пользователя с правами администратора службы каталогов создать службу авторизации, выполнив следующие команды:

kinit admin

ipa service-add HTTP/astravdi.space.team

где admin - имя пользователя с правами администратора.
В консоли сервера Free IPA создать keytab-файл от имени пользователя с правами администратора, выполнив следующие команды:

kinit admin

ipa-getkeytab -p HTTP/astravdi.bazalt.auth -k /tmp/krb5.keytab

где admin - имя пользователя с правами администратора.
В DNS-зону, добавляем A-запись диспетчера, например, имя: astravdi.

Включение и отключение SSO

Включение SSO

Для активации SSO необходимо выполнить следующие действия:

Поместить keytab-файл в каталог /etc/krb5.keytab. Информация о том, как создать keytab-файл, содержится в разделе Настройка службы каталогов.
Задать соответствующие права доступа файлу /etc/krb5.keytab, выполнив следующие команды:

chown root:www-data /etc/krb5.keytab chmod 640 /etc/krb5.keytab
В файл /etc/hosts добавить запись:
```
192.168.6.64 astravdi.space.team
```
где 192.168.6.64 - IP-адрес диспетчера,

astravdi.space.team - доменное имя диспетчера.
Произвести настройку системы, выполнив следующую команду:
```
sudo vdi_sso_settings -s HTTP/astravdi.space.team@SPACE.TEAM -r SPACE.TEAM -i 10.0.0.1 -d space.team -k /etc/krb5.keytab
```
где HTTP/astravdi.space.team@SPACE.TEAM - имя сервиса,

SPACE.TEAM - имя области, которую покрывает Kerberos авторизация,

10.0.0.1 - ip-адрес сервера службы каталогов, на котором развернута служба,

space.team - доменная зона,

/etc/krb5.keytab - путь к keytab-файлу.

Внимание!

Имя сервиса должно включать имя области Kerberos и иметь вид: HTTP/astravdi.space.team@SPACE.TEAM !
В Web-интерфейсе диспетчера в разделе Настройки - Службы каталогов, - выбрать подключенную службу каталогов, нажать кнопку Конфигурация SSO, поставить галочку и нажать Изменить.

Выключение SSO

Для выключения SSO достаточно в Web-интерфейсе диспетчера в разделе Настройки - Службы каталогов, - выбрать подключенную службу каталогов, нажать кнопку Конфигурация SSO, снять галочку и нажать Изменить.

Для удаления настроек SSO необходимо выполнить команду

vdi_sso_settings --disable

Настройка браузера для работы с SSO

Для того чтобы сквозная авторизация SSO работала, необходимо настроить браузер для передачи данных учетной записи при подключении к Web-интерфейсу диспетчера.

Internet Explorer и EDGE

Откройте Свойства браузера -> Безопасность -> Местная интрасеть (Local intranet), нажмите на кнопку Сайты -> Дополнительно. Добавьте в зону следующую запись: https://*space.team.

Групповые политики MS AD

Добавить сайты в эту зону можно с помощью групповой политики: Computer Configuration ->Administrative Templates ->Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page -> Site to Zone Assignment. Для каждого веб-сайта нужно добавить запись со значением 1.

Далее перейдите на вкладку Дополнительно (Advanced) и в разделе Безопасность (Security) убедитесь, что включена опция Разрешить встроенную проверку подлинности Windows (Enable Integrated Windows Authentication).

Внимание

Убедитесь, что диспетчер присутствует только в зоне Местная интрасеть. Для сайтов, включенных в зону Надежные сайты (Trusted sites), токен Kerberos не отправляется на соответствующий веб-сервер.

Mozilla Firefox

По умолчанию поддержка Kerberos в Firefox отключена. Чтобы включить ее, откройте окно конфигурации браузера (в адресной строке перейдите на адрес about:config). Затем в следующих параметрах укажите адрес диспетчера.

network.negotiate-auth.trusted-uris
network.automatic-ntlm-auth.trusted-uris

Ended: Single Sign-On

Кэширование

Во вкладке Кэширование представлена настройка срока хранения ресурсов данных в кэше (по умолчанию 10 минут).

Кэшируются данные, находящиеся в разделе Ресурсы основного меню, в котором содержится справочная информация по доступным ресурсам для размещения ВРС на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp.

Очистить кэш (при необходимости) можно с помощью соответствующей кнопки на странице.

SMTP

Во вкладке SMTP перечислены настройки SMTP-сервера, необходимые для передачи почтовых сообщений администратору:

адрес сервера - IP или адрес SMTP-сервера;
порт - его порт;
имя пользователя - пользователь (e-mail), зарегистрированный на SMTP-сервере;
пароль пользователя (указывается при настройке SMTP-сервера на диспетчере);
E-mail отправителя - адрес, с которого будут отсылаться письма. Желательно, чтобы он совпадал с e-mail пользователя;
уровень информирования - тип событий, которые будут дублироваться по почте;
TLS;
SSL.

Возможные уровни информирования - на почту будут отправляться следующие типы событий из журнала диспетчера:

только ошибки;
ошибки и предупреждения;
все сообщения;
отключено.

Если SMTP-сервер настроен, то сообщения будут отправляться на электронные адреса, указанные у администраторов диспетчера.

Режим перемещаемых профилей

Общее описание

Режим перемещаемых профилей позволяет использовать домашние директории пользователей, расположенные на файловом ресурсе общего доступа, чтобы обеспечить получение домашней директории на разных виртуальных машинах.

Данный режим обеспечивает взаимодействие NFS-хранилищ и виртуальных машин. При подключении пользователя к виртуальной машине посредством Space Client, происходит монтирование сетевых ресурсов в виртуальную машину.

Режим перемещаемых профилей предназначен для работы с ОС Linux.

Подготовка

Для работы режима перемещаемых профилей, в локальной сети должен быть запущен сервер NFS. На виртуальные машины должны быть установлены QEMU GuestAgent и клиент NFS.

Настройка

Настройки режима перемещаемых профилей расположены в разделе Настройки → Система → Перемещаемые профили.

Описание настроек

IP-адрес — IP-адрес сервера NFS; Полный путь — путь к сетевой директории, расположенной на сервере NFS; Путь монтирования — точка монтирования в ОС виртуальной машины.

Добавление домашних директорий пользователей

В локальной сети необходимо запустить сервер NFS.

IP-адрес этого сервера указывается в параметре IP-адрес.

На сервере NFS необходимо создать директорию в которой будут храниться профили пользователей. Полный путь этой директории указывается в параметре Полный путь.

В параметре Путь монтирования необходимо прописать /home/.

На NFS сервере для каждого профиля пользователя необходимо добавить запись в файл настроек /etc/exports.

Ended: Настройки

Безопасность ↵

Пользователи ↵

Пользователи

Вкладка Пользователи позволяет управлять локальными учетными записями пользователей в среде Space Disp.

При выборе подраздела Пользователи (раздел Настройки основного меню программы) в рабочей области окна интерфейса открывается вкладка Пользователи, содержащая список пользователей, зарегистрированных в среде Space Disp. В данном списке отображаются как созданные локально в среде Space Disp пользователи, так и пользователи MS AD, авторизуемые по протоколу LDAP. Для каждого пользователя отображаются: имя пользователя, имя, фамилия, почтовый адрес, наличие прав администратора, наличие двухфакторной аутентификации и состояние. Также доступны следующие операции:

обновление информации;
создание новых локальных пользователей;
выбор пользователя с применением фильтра.

Создание нового пользователя осуществляется с помощью нажатия кнопки Добавить пользователей. В открывшемся диалоговом окне необходимо заполнить следующие поля:

имя пользователя;
пароль для пользователя;
почтовый адрес;
имя пользователя;
фамилия пользователя;
выбрать группу (необязательно);
наличие прав локального администратора (выставить отметку в чек-боксе).

Описание настройки уровня сложности пароля приведено по ссылке.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Имя нового пользователя и его параметры появятся в списке имеющихся пользователей.

После создания для каждого пользователя можно включить двухфакторную аутентификацию по одноразовому паролю.

Примечание

По умолчанию двухфакторная аутентификация отключена для всех пользователей. Для ее включения необходимо в информации пользователя редактировать поле двухфакторной аутентификации: проставить галочку и сгенерировать код, после чего появятся QR код и секретный код (строка из 32 символов) в текстовом формате. Данный QR код необходимо отсканировать с помощью любого стороннего приложения — аутентификатора, поддерживающего функцию генерации одноразовых паролей (OATH TOTP), или ввести в подобном приложении секретный код (строку из 32 символов) вручную.

Внимание

После включения двухфакторной аутентификации вход в среду Space Disp будет по локальному паролю и 6-значному одноразовому паролю. Обязательно отсканируйте QR-код при его генерации, так как просмотр и копирование кода возможны только при его создании.

Для просмотра данных о пользователе необходимо выбрать имя пользователя в списке, после чего в рабочей области отобразится имя выбранного пользователя и информация по нему, разграниченная по следующим группам:

Информация – содержит сведения о пользователе:
- имя пользователя;
- почтовый адрес (редактируемый параметр);
- имя (редактируемый параметр);
- фамилия (редактируемый параметр);
- наличие прав администратора (редактируемый параметр);
- принадлежность к Службе каталогов;
- тип пароля (локальный или из Службы каталогов);
- наличие двухфакторной аутентификации (редактируемый параметр);
- дата и время создания;
- дата и время изменения;
- дата и время последней успешной авторизации в системе;
- статус активности.
Для пользователя имеются следующие возможности:
- обновление информации;
- включение/выключение двухфакторной аутентификации по одноразовому паролю;
- активация/деактивация. Изменение статуса активности пользователя с помощью кнопок Активация пользователя/Деактивация пользователя;
- создание нового пароля. При нажатии на кнопку Смена пароля открывается диалоговое окно создания нового пароля, в котором существует возможность ввести новый пароль (пароль вводится только один раз, без подтверждения). Для сохранения изменений необходимо нажать кнопку Изменить. Для пользователей, загруженных из AD, данная операция недоступна.
Роли – содержит сведения о персонально назначенных ролях для выбранного пользователя системы. Роли, назначенные на группу, в которую входит пользователь (наследуемые) - не отображаются.

При нажатии на кнопку Добавить роль открывается окно добавления новой роли пользователю, в котором с помощью раскрывающегося списка существует возможность выбирать одну или несколько ролей для пользователя и сохранить изменения с помощью кнопки Добавить.

При нажатии на кнопку Удалить роль открывается окно удаления ролей, назначенных пользователю, в котором с помощью раскрывающегося списка пользователь выбирает одну или несколько ролей, и подтверждает операцию нажатием кнопки Удалить.

Примечание

Для локальных пользователей, имеющих статус локального администратора, всегда доступны все роли.
Группы – содержит сведения о группе, в которую входит выбранный пользователь системы.
Разрешения – содержит сведения о персонально назначенных разрешениях на действия выбранного пользователя системы при работе с Space Client. Разрешения, назначенные на группу, в которую входит пользователь (наследуемые), не отображаются.

При нажатии на кнопку Добавить разрешение открывается окно добавления нового разрешения пользователю, в котором с помощью раскрывающегося списка существует возможность выбирать одно или несколько разрешений для пользователя и сохранить изменения с помощью кнопки Добавить.

При нажатии на кнопку Отключить разрешение открывается окно отключения разрешения, назначенных пользователю, в котором с помощью раскрывающегося списка пользователь выбирает одно или несколько разрешений, и подтверждает операцию нажатием кнопки Отключить.

Примечание

Для локальных пользователей, имеющих статус локального администратора, всегда доступны все разрешения.

Политика авторизации

Доступные настройки

Количество попыток авторизации - при превышении заданного лимита, возможность логина ограничивается на тайм-аут.

Первая блокировка входа (в минутах) - период в минутах, на который пользователю ограничивается возможность авторизации, после того, как превысил лимит попыток авторизации.

Вторая блокировка входа (в минутах) - период в минутах, на который пользователю ограничивается возможность авторизации, после того, как превысил лимит попыток авторизации повторно.

Блокировка учетной записи, когда лимит попыток превышен - если данная настройка включена, вход пользователя будет заблокирован. Если отключена, то будет повторяться Вторая блокировка входа

Управление блокировкой пользователя

Если учетная запись пользователя была заблокирована из-за превышения лимита попыток авторизации, то разблокировать его может пользователь с ролью Администратор безопасности через web-интерфейс.

Уровень безопасности пароля

Низкий уровень

low - пароль с низкой степенью стойкости (допускаются, когда для требований паролей стоит настройка, что ПО используется в тестовом режиме):

минимальная длина – 3 символа;
в пароле должны присутствовать символы как минимум одной категорий из числа следующих:
прописные буквы английского алфавита от А до Z;
строчные буквы английского алфавита от а до z;
десятичные цифры от 0 до 9;
в пароле могут присутствовать символы !@#$%^&*\-_=+.,[].

Средний уровень

middle - пароль со средней степенью стойкости (допускается, когда для требований паролей стоит настройка, что ПО используется в штатном режиме, но только для временных пользователей):

минимальная длина – 5 символов;
в пароле должны присутствовать символы как минимум двух категорий из числа следующих:
прописные буквы английского алфавита от А до Z;
строчные буквы английского алфавита от а до z;
десятичные цифры от 0 до 9;
в пароле могут присутствовать символы !@#$%^&*\-_=+.,[].

Высокий уровень

high - пароль с высокой степенью стойкости (обычный пароль для штатного режима эксплуатации на объекте):

минимальная длина – 8 символов;
пароль не может содержать имя учетной записи пользователя или какую либо его часть;
в пароле должны присутствовать символы как минимум трех категорий из числа следующих:
прописные буквы английского алфавита от А до Z;
строчные буквы английского алфавита от а до z;
десятичные цифры от 0 до 9;
символы, !@#$%^&*\-_=+.,[].
в пароле одновременно должны присутствовать символы двух разных регистров.

Ended: Пользователи

Службы каталогов

В данном разделе производится настройка интеграции с MS AD сервером по Lightweight Directory Access Protocol (LDAP). Данная интеграция необходима для возможности использования авторизации пользователей из AD без создания пользователя в системе управления.

При выборе подраздела Службы каталогов (раздел Настройки основного меню программы) в рабочей области окна интерфейса открывается вкладка Службы каталогов, содержащая список названий служб. Также доступны следующие операции:

обновление информации;
добавление службы каталогов.

Для добавления новой службы каталогов необходимо нажать кнопку Добавить службу каталогов и в открывшемся диалоговом окне заполнить:

название службы каталогов;
NetBIOS имя домена (записывается в формате domain);
полное имя домена (записывается в формате domain.local);
URL (записывается в формате ldap://IP или ldap://URL);
тип службы (выбор из раскрывающегося списка);
имя пользователя (учетная запись в MS AD, с использованием которой будет выполняться синхронизация);
пароль пользователя;
описание.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Название вновь созданной службы появится в списке всех служб каталогов.

Примечание

Пользователь Windows AD должен иметь права (в AD) для проверки авторизации других пользователей. Такие права имеют администраторы домена AD и администраторы более высокого уровня. При применении на предприятии политик безопасности, не допускающие использование для удаленной авторизации пользователей с высоким уровнем доступа необходимо обратиться к документации по управлению Windows AD для разрешения пользователю сетевой проверки авторизации.

Для изменения или просмотра сведений о конкретной службе каталогов необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной службы и информация по ней, разграниченная по следующим вкладкам:

информация;
соответствия;
группы.

При выборе вкладки Информация в рабочей области отображается следующая информация о службе каталогов:

название (редактируемый параметр);
NetBIOS имя домена (редактируемый параметр);
полное имя домена (редактируемый параметр);
адрес службы каталогов (URL) (редактируемый параметр);
тип службы;
описание (редактируемый параметр);
имя пользователя (редактируемый параметр);
пароль (редактируемый параметр).

В окне управления службой каталогов доступны следующие операции:

обновление информации;
удаление службы каталогов. При нажатии на кнопку Удалить в открывшемся диалоговом окне необходимо подтвердить операцию, нажав кнопку Удалить;
проверка соединения. При нажатии на кнопку Проверка соединения осуществляется проверка соединения со службой каталогов. При успешном соединении в области отображения кнопки появляется галочка и надпись Успешно, выделенная зеленым цветом. При отсутствии соединения в области отображения кнопки появляется крестик и надпись Нет соединения, выделенная красным цветом.
для типа OpenLDAP синхронизация пользователей. При нажатии на кнопку Синхронизировать пользователей осуществляется проверка соединения со службой каталогов и синхронизация всех доступных пользователей. При успешной синхронизации в области отображения кнопки появляется галочка и надпись Синхронизировано, выделенная зеленым цветом. В противном случае в области отображения кнопки появляется крестик и надпись Не синхронизировано, выделенная красным цветом.

Примечание

Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на вашем сервере имеет имя people.

При выборе вкладки Соответствия в рабочей области отображается список созданных соответствий и их статусы.

Раздел Cоответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. Каждому пользователю, который будет успешно авторизоваться, автоматически будут назначены роли (или группы), которые указаны в настройках соответствия.

Каждое соответствие сопоставляет локальную группу пользователей с группой из MS AD. При этом изменение состава группы в MS AD оперативно отражается в интерфейсе программы.

В окне управления соответствиями доступны следующие операции:

Существует возможность добавить новое соответствие, а также более подробного просмотреть или изменить данные уже существующего соответствия.

Добавление нового соответствия производится с помощью кнопки Добавить соответствия. В открывшемся диалоговом окне необходимо заполнить следующие поля:
- название соответствий (редактируемый параметр);
- тип атрибута (объекта) службы каталогов (множественный выбор из раскрывающегося списка). Может принимать значения: USER, OU, GROUP;
- имя локальной группы (множественный выбор из раскрывающегося списка);
- приоритет (редактируемый параметр);
- значение атрибутов (имя объекта AD) службы каталогов (раскрывающийся список, предлагающий добавить свой атрибут или выбрать режим отсутствия атрибутов);
- описание (редактируемый параметр).
После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Название вновь созданного соответствия и его статус появится в списке имеющихся соответствий.
Примечания
1. В качестве значения атрибута службы каталогов необходимо указать доменное имя пользователя, группы или OU, в зависимости от выбранного атрибута (типа объекта).
2. Приоритет соответствия влияет на порядок проверки соответствий, если OU-пользователь или группа попадает под несколько правил.
Для изменения или просмотра уже существующего соответствия необходимо нажать на его название, после чего открывается окно редактирования, в котором существует возможность внести изменения и применить их, нажав кнопку Редактировать. Удаление соответствия осуществляется при нажатии на кнопку Удалить.
При выборе вкладки Группы в рабочей области отобразится список загруженных из AD групп пользователей. Существует возможность загрузить из AD группу пользователей. Добавление группы производится с помощью кнопки Добавить группу.

После добавления во вкладке Группы появится группа, загруженная из AD, в составе которой все пользователи этой группы в AD. Синхронизация новых пользователей в составе группы происходит в ручном режиме в свойствах группы. Управление ролями такой группы производится, как и локальными группами, в подразделе Группы раздела Настройки основного меню программы.

Примечание

Вкладка Группы недоступна для типа OpenLDAP.
Причины невыполнения синхронизации пользователей из групп AD
1. имя пользователя начинается не с латинской буквы
2. в имени пользователя присутствуют русские буквы или символы, кроме цифр и .-_+
3. пароль пользователя имеет длину менее 8 символов

Сессии

Пользователь имеет несколько активных сессий. Лимит сессий как для пользователя, так и общих, может изменять только пользователь с ролью Администратор Безопасности.

Доступные настройки

Ограничения времени действия JWT-токена. Значение по умолчанию - 86400 секунд.
Ограничение количества одновременных сессии для одного пользователя. Значение по умолчанию - 2.
Ограничение количества всех одновременных сессии. Значение по умолчанию - 10.
Ограничение времени бездействия пользователя. Значение по умолчанию - 600 секунд.

По истечению времени пользователю шлется logout, тем самым удаляется активная сессия и для продолжения работы пользователю необходимо авторизоваться повторно.

Пользователю с ролью Администратор Безопасности доступен список всех активных сессий в системе с возможностью удаления любой из них.

Пользователю доступен список всех своих сессий в системе с возможностью удаления любой из них.

Доступ к сессии только с данного IP-адреса

Для настройки доступа к сессии со своим текущим IP-адресом необходимо установить флаг при авторизации.

Особенности политики

Пользователя с ролью Оператор и Только чтение:

Пользователь не может иметь сессий больше, чем в значении Количество одновременных сессий.
Если достигнут лимит Общее количество сессий, значение Количество одновременных сессий не учитывается.
Сессия завершается автоматически при достижении лимита жизни JWT-токена при новой попытке входа в систему.

Доверенные сети и сессионные лимиты

При авторизации Администратор безопасности из доверенной сети (по умолчанию 127.0.0.1) блокировка по количеству сессий игнорируется.

Группы

Вкладка Группы позволяет организовать пользователей ВРС в группы с возможностью назначения каждой группе пользователей определенных ролей и разрешений.

При выборе подраздела Группы (раздел Настройки основного меню программы) в рабочей области окна интерфейса открывается вкладка Группы, содержащая список имеющихся групп, включая их названия, описания и количество пользователей в группе. Также доступны следующие операции:

обновление информации;
создание новой группы;
выбор группы с применением фильтра.

Создание новой группы осуществляется с помощью нажатия кнопки Добавить группу. В открывшемся диалоговом окне необходимо заполнить следующие поля:

название;
описание.

После заполнения всех полей необходимо подтвердить операцию, нажав кнопку Добавить. Название и описание вновь созданной группы появятся в списке имеющихся групп.

Для изменения или просмотра сведений о конкретной группе необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной группы и информация по ней, разграниченная по типам параметров:

Информация – содержит сведения о группе:
- название (редактируемый параметр);
- описание (редактируемый параметр);
- количество пользователей в группе;
- дата и время создания;
- дата и время последнего редактирования.
С помощью кнопки Удалить группу существует возможность удаления текущей группы.
Роли – содержит перечень доступных ролей для выбранной группы пользователей. В окне доступны следующие операции:
- обновление информации;
- добавления новой роли. При нажатии на кнопку Добавить роль открывается окно назначения новой роли для выбранной группы пользователей, в котором с помощью раскрывающегося списка пользователь выбирает одну или несколько ролей для группы и сохраняет изменения с помощью кнопки Добавить;
- удаление роли. При нажатии на кнопку Удалить роль открывается окно удаления роли для группы, в котором с помощью раскрывающегося списка пользователь выбирает роль, и подтверждает операцию нажатием кнопки Удалить.
Группе пользователей доступны следующие роли:
- ADMINISTRATOR (роль администратора);
- SECURITY_ADMINISTRATOR (роль администратора безопасности);
- OPERATOR (роль пользователя ВМ).
Назначаемые роли ограничивают привилегии, предоставляемые пользователю в группе:
- ADMINISTRATOR имеет полные права на управление ресурсами Space Disp;
- SECURITY_ADMINISTRATOR имеет право на управление пользователями и ролями;
- OPERATOR – это роль, предоставляемая пользователю по умолчанию. Данная роль ограничивает пользователя только возможностью подключения к ВРС.
Пользователи – содержит список пользователей, включенных в выбранную группу. В окне доступны следующие операции:
- добавление пользователя. При нажатии на кнопку Добавить пользователя открывается диалоговое окно добавления пользователей к группе, в котором с помощью раскрывающегося списка существует возможность выбрать одного или несколько пользователей, ранее зарегистрированных в среде Space Disp. Для сохранения изменений необходимо нажать кнопку Добавить;
- удаление пользователя. При нажатии на кнопку Удалить пользователя открывается диалоговое окно удаления пользователей из группы, в котором с помощью раскрывающегося списка существует возможность выбрать одного или несколько пользователей. Для подтверждения операции необходимо нажать кнопку Удалить.
Для групп, загружаемых из AD, редактирование списка пользователей недоступно.
Разрешения – содержит перечень доступных разрешений на действия при работе с клиентским ПО Space Client для выбранной группы пользователей.

В окне доступны следующие операции:
- обновление информации;
- добавление разрешения. При нажатии на кнопку Добавить разрешение открывается окно добавления нового разрешения для выбранной группы пользователей, в котором с помощью раскрывающегося списка пользователь выбирает одно или несколько разрешений для группы и сохраняет изменения с помощью кнопки Добавить;
- отключение разрешения. При нажатии на кнопку Отключить разрешение открывается окно отключения разрешения для группы, в котором с помощью раскрывающегося списка пользователь выбирает разрешение, и подтверждает операцию нажатием кнопки Отключить.
Группе пользователей доступны следующие разрешения:
- USB_REDIR (разрешение на перенаправление USB-устройств);
- FOLDERS_REDIR (разрешение на перенаправление папок);
- SHARED_CLIPBOARD (разрешение на использование общего буфера обмена).

Ended: Безопасность

Журнал ↵

События

В данном разделе можно просмотреть все операции и предупреждения, регистрируемые системой управления Space Disp. Системные события делятся на следующие категории:

информационные;
предупреждения;
ошибки.

События категории Информационные (info) – это успешно выполненные операции.

События категории Предупреждения (warning) – это зарегистрированные системой изменения, которые могут негативно повлиять на работу системы.

События категории Ошибки (error) – это операции и события, выполнение которых невозможно или они критично влияют на работу системы управления кластером.

При выборе подраздела События (раздел Журнал основного меню программы) в рабочей области окна интерфейса открывается вкладка События, содержащая список событий, регистрируемых в системе, включая их сообщения, создателя и дату создания.

При просмотре журнала событий предусмотрен вывод как всех событий, так и с применением фильтра по дате их возникновения, по определенному типу события, по пользователю, по типу сущности. Также существует возможность просмотра событий, прочитанных пользователем. Информацию о событиях можно обновить вручную.

Для просмотра информации о событии необходимо нажать на сообщение, связанное с этим событием, после чего в рабочей области отобразится окно содержащее следующую информацию:

событие;
описание;
имя пользователя
дата создания.

Задачи

В данном разделе можно просмотреть задачи, регистрируемые системой управления Space Disp на основании действий пользователя (оператора). Каждая задача формирует одно или несколько событий. Для задач предусмотрено несколько состояний: создание, в процессе, ошибка, отменено, завершено.

При выборе подраздела Задачи (раздел Журнал основного меню программы) в рабочей области окна интерфейса открывается вкладка Задачи, содержащая список задач, регистрируемых в системе, включая их сообщения, тип, статус, дату и время создания и завершения.

При просмотре задач предусмотрен вывод как всех задач, так и с применением фильтра по состоянию и по определенному действию. Информацию о задачах можно обновить вручную.

Для просмотра информации о задачах необходимо нажать на задачу, после чего в рабочей области отобразится окно, содержащее следующую информацию:

задача;
тип;
статус;
время и дата создания;
время и дата завершения
продолжительность.

Настройки

При выборе подраздела Настройки (раздел Журнал основного меню программы) в рабочей области окна интерфейса открывается вкладка Настройки журнала, содержащая информацию о периоде архивации и директории архивации. Все настройки журнала архивации являются редактируемыми.

Очистка логов

Очистка логов производится через Журнал-Настройки.

Стандартные параметры Количество записей == 0 и Лимит свободного места == 0, означает, что очистка выключена.

Удаление

При определении свободного места необходимо учитывать каталог, указанный для экспорта.

Получить список файлов events_.zip или events_.csv.
Привести их к стандартной алфавитной сортировке.
Если лимит свободного места превышен, то необходимо удалять файлы по 1.

Ended: Журнал

Статистика ↵

Веб-статистика

На данной странице представлена информация об активности пользователей диспетчера, формируемая посредством анализа логов веб-сервера Apache. По умолчанию отображаются статистические данные, накопленные за все время работы сервиса. Также присутствует возможность создать отчет для конкретного месяца. Для этого необходимо выбрать год и месяц в раскрывающихся списках и нажать Создать отчет.

Основная представленная информация:

число уникальных посетителей;
количество визитов;
история визитов за месяц, день, часы;
история визитов за месяц, день, часы;
топ 10 посетителей по домену/стране;
топ 10 IP-адресов посетителей;
продолжительность визитов;
топ 10 операционных систем посетителей;
топ 10 браузеров посетителей.

Статистика подключений

В данном разделе представлена статистика подключений пользователя(тонкого клиента) к пулам виртуальных машин Space Disp.

Статистика формируется пользователем вручную, путем фильтрации:

Пулы;
Период (за 24 часа, за неделю, за месяц);
Диапазон.

В статистике представлено:

Число успешных подключений;
Число отключений;
Число неудачных подключений;
Средняя продолжительность подключений.

В данных о подключении представлены:

Топ пулов по количеству подключений;
Топ используемых ОС тонкими клиентами;
Топ используемых версий ПО тонких клиентов;
Топ пользователей с наибольшим числом подключений;
Топ ошибок при подключении.

Ended: Статистика

Перечень принятых сокращений

Сокращение	Описание
ВМ	виртуальная машина
ВРС	виртуальный рабочий стол
ОЕ	организованная единица
ОС	операционная система
AD	Active Directory (активный каталог)
API	Application Programming Interface (программный интерфейс приложения)
CPU	Central Processing Unit (центральное процeссорное устрoйство)
ECP	Enterprise Cloud Platform (облачная платформа корпоративного уровня)
IPMI	Intelligent Platform Management Interface (независимый от ОС интерфейс управления сервером)
LDAP	Lightweight Directory Access Protocol (облегчённый протокол доступа к каталогам)
RAM	Random Access Memory (оперативная память)
RDP	Remote Desktop Protocol (протокол удалённого рабочего стола)
Spice	Simple Protocol for Independent Computing Environments (простой протокол для независимой вычислительной среды)
USB	Universal Serial Bus (универсальная последовательная шина)

Спецификация ↵

Подготовка к установке Space Disp

Характеристики сервера/ВМ

CPU / CPU PRIORITY - 4 / HIGH

RAM / VDISK - 4 / 40 GB

Проблемы с мышкой с подключением по SPICE

Если после установки в ВМ возникают проблемы с "мышкой": 1. Воспользуйтесь вкладкой noVNC. 2. Обновите spice-vdagent до более актуальной версии (spice-vdagent_0.18.0-1_amd64). 3. Если не помог пункт 2: выключите ВМ, смените графический адаптер на qxl, добавьте новый USB2.0 контроллер ehci, удалите базовый USB3.0 контроллер nec xhci и включите ВМ.

Установка системы

Процесс установки ОС Astra Linux Special Edition версии 1.7 релиз Смоленск приведен в приложении.
Выбирая имя учётной записи администратора нужно иметь в виду, что имя vdiadmin будет в дальнейшем использовано диспетчером, поэтому необходимо выбрать другое имя, например, astravdi.
Выбирая компоненты системы обязательно должны быть выбраны Базовые средства и Средства удаленного доступа SSH, желательно выбрать Рабочий стол Fly.

Предупреждение

Обратите внимание, что некорректный выбор Дополнительных настроек ОС может привести к блокировке установки диспетчера, либо к затруднениям в его работе.
После завершения установки выполните настройку ОС в соответствии с руководством системного программиста.

Перечень портов и протоколов, задействованных при обмене с SpaceVM

Порты для протоколов RDP, SPICE, VNC задействуется не постоянно и назначаются динамически (при обмене информацией с конкретной ВМ). Детальнее можно ознакомиться в описании Интервал портов.

Перечень портов на SpaceVM

Протокол	Порт/диапазон портов	Примечание
http	80	Веб-интерфейс
https	443	Веб-интерфейс
ws	80
wss	443
rdp	3389	в гостевой ОС
GLINT	3389	в гостевой ОС
Loudplay	8554	в гостевой ОС
spice	5900 - 32767	на узле/контроллере SpaceVM
vnc/rfb	5900 - 32767	на узле/контроллере SpaceVM

Ended: Спецификация

Гостевой агент

Загрузка образа

Образ содержит пакеты для ОС Linux и Windows. Включает в себя space_guest_agent, virtio драйвера и утилиты для SPICE.

Образ с драйверами находится здесь.

Состав образа

Spice guest tools - этот установщик содержит некоторые дополнительные драйверы и службы, которые можно установить в гостевой системе Windows для повышения производительности и интеграции SPICE. Он включает видеодрайвер qxl и гостевой агент SPICE (для копирования и вставки, автоматического переключения разрешения и т.д.). Все драйверы, которые будут доступны при установке, указаны ниже в Virtio guest tools.
Spice vdagent - необязательный компонент, улучшающий интеграцию окна гостевой системы с графическим интерфейсом удалённого пользователя. SPICE-протокол поддерживает канал связи между клиентом и агентом на стороне сервера. Агент работает внутри гостевой системы. Для связи с агентом в гостевой системе также используется специальное устройство, так называемый VDI-порт.
Spice webdavd - служба, которая использует протокол WebDAV для предоставления общего доступа к файлам ВМ.
Virtio guest tools - этот установщик содержит некоторые дополнительные драйверы и службы, которые можно установить в гостевой системе:
- NetKVM — Virtio сетевой драйвер;
- viostor — Virtio блочный драйвер;
- vioscsi — Virtio драйвер интерфейса SCSI;
- viorng — Virtio RNG (генератор случайных чисел) драйвер;
- vioser — Virtio serial driver (он предоставляет несколько портов гостю в виде простых символьных устройств для простого ввода-вывода между гостевым и хостовым пользовательскими пространствами. Это также позволяет открывать несколько таких устройств, снимая ограничения на одно устройство);
- Balloon — Virtio memory balloon driver («Баллонное устройство» virtio позволяет гостям KVM уменьшить объем своей памяти (тем самым освободив память для хоста) и увеличить ее обратно (тем самым забрав память у хоста));
- qxl — QXL графический драйвер для Windows 7 и ниже;
- qxldod — QXL графический драйвер для Windows 8 и выше;
- pvpanic — драйвер устройства QEMU pvpanic (устройство pvpanic - это смоделированное устройство ISA);
- guest-agent — Qemu Guest Agent 32bit and 64 bit MSI installers;
- qemupciserial — драйвер QEMU PCI.

Другие варианты скачивания VirtIO Drivers

Обычно драйверы довольно стабильны, поэтому сначала следует попробовать самый последний выпуск.

Последние драйверы virtio.

Стабильные драйверы virtio.

Монтирование образа

После загрузки образа в SpaceVM примонтируйте образ к ВМ и через стандартный установщик поставьте необходимое ПО в ВМ.

Настройка qemu-guest-agent

После установки qemu-агента создайте административную учетную запись (УЗ), откройте службы Windows и настройте запуск службы qemu-агент от ранее созданной УЗ (либо используйте существующую административную УЗ). Перезапустите службу.

Примечание

Необходимо для автоматического ввода ВМ в AD.

Примечание

Если ВМ выполняет роль Remote desktop connection broker (RDS пул), то запуск qemu-агента должен быть настроен от административной доменной учетной записи в Active Directory. Перед этим добавьте ВМ в домен вручную.

Проверка связи SpaceVM c гостевым агентом

Удостоверьтесь, что связь с qemu_guest_agent есть во вкладке Информация ВМ.

Установка hostname

Во вкладке ВМ/Шаблон ВМ при активном гостевом агенте можно установить hostname ВМ.

Примечание

Для разных ОС установка hostname происходит по-разному. Для Windows через powershell командой Rename-Computer с последующей перезагрузкой для принятия изменений. Для Linux командой /usr/bin/hostnamectl при включенной ВМ. Для Linux утилитой virtsysprep с сервера при выключенной ВМ.

Windows Sysprep

Для подготовки шаблона с ОС Windows можно использовать утилиту Sysprep.

Во вкладке ВМ/Шаблон ВМ при включенной ВМ и активном гостевом агенте нажмите кнопку Sysprep.

Можно выбрать стандартные опции утилиты Sysprep.

Linux virt-sysprep

Для подготовки шаблона с ОС Linux можно использовать утилиту virt-sysprep.

Во вкладке ВМ/Шаблон ВМ при выключенной ВМ нажмите кнопку VirtSysprep и выберите загрузочный диск.

Можно выбрать стандартные опции утилиты virt-sysprep.

Добавление в AD

Во вкладке ВМ/Шаблон ВМ при активном гостевом агенте можно добавить ВМ в AD, указав:

hostname (необязательный параметр);
имя домена;
логин;
пароль;
опция рестарта после применения параметров (по умолчанию включено).

Примечание

Не забудьте прописать DNS домена или настройте DHCP.

Удаление из AD

Во вкладке ВМ/Шаблон ВМ при активном гостевом агенте можно убрать ВМ из AD, указав логин и пароль.

Изменить шаблон

Способ изменить шаблон без ручного пересоздания всех клонов - это воспользоваться операцией вливания снимка тонкого клона в шаблон.

Для этого требуется подготовить тонкие клоны с панели SpaceVM:

На всех тонких клонах не должно быть сохраненных состояний, требуется при необходимости зайти в Снимки и Удалить все состояния.
Внести нужные изменение в имеющийся тонкий клон или создать новый тонкий клон и произвести там изменения.
Выключить все включенные тонкие клоны от родительского шаблона.
Для ОС Windows рекомендуется перед вливанием подготовить тонкий клон через Sysprep, если вы использовали эту утилиту для шаблона.
Произвести операцию в тонком клоне, который мы подготовили для вливания в шаблон, нажав во вкладке ВМ/Шаблон кнопку Изменить шаблон и подтвердив свои намерения в открывшемся окне.

Эти действия внесут изменения из подготовленного тонкого клона в диски шаблона и от них пересоздадутся диски во всех остальных тонких клонах.

Внимание

Изменение шаблона напрямую при наличии тонких клонов запрещено, так как это приведет в нерабочее состояние все тонкие клоны.

Службы каталогов ↵

Службы каталогов

Добавление службы каталогов позволяет выполнить интеграцию с:

MS Windows Active Directory (далее MS AD);
Free IPA
OpenLDAP по Lightweight Directory Access Protocol (LDAP). Данная интеграция необходима для возможности использования авторизации пользователей из AD.

Логически интеграцию со службами каталогов можно разделить на 2 вида:

Базовая интеграция:
- Авторизация
- Соответствия
Расширенная интеграция:
- Авторизация
- Соответствия
- Ручная синхронизация пользователей
- Подготовка виртуальных машин в автоматическом пуле

Базовая интеграция

Базовая интеграция позволяет использовать службу каталогов как внешнюю службу авторизации.

Примечание

Пользователю, созданному в процессе интеграции, запрещен вход в OS Astra Linux.

Добавление службы каталогов

Добавление службы каталогов производится с помощью кнопки Добавить службу каталогов в разделе Настройки -> Службы каталогов.

В открывшемся окне необходимо заполнить следующие поля:

Название.
NetBIOS имя домена (записывается в формате domain).
Полное имя домена (записывается в формате domain.local).
Тип службы (Active Directory, Free IPA или OpenLDAP).
URL (записывается в формате ldap://xxx.xxx.xxx.xxx).

В результате будет запись в статусе Исправно, если статус другой, то необходимо обратиться к разделу Журнал -> События, где будет указана информация о проблеме.

Добавление соответствия

Раздел Соответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. При успешной авторизации пользователю автоматически будут назначены Роли/Группы, которые указаны в настройках соответствия.

Примечание

Чтобы пользователь получил возможность входа в панель администратора, группа, в которую он будет включен, должна иметь одну или несколько системных ролей (SECURITY_OPERATOR, ADMINISTRATOR, OPERATOR), либо пользователь должен иметь атрибут Администратор.

Добавление соответствия производится с помощью кнопки Добавить соответствия в разделе Соответствия созданной ранее службы каталогов. В открывшемся окне необходимо заполнить следующие поля:

Выберите группу (локальная группа на диспетчере, в которую будет включен внешний пользователь).
Приоритет (вес соответствия при коллизиях соответствий).
Тип атрибута службы каталогов (тип атрибута объекта MS Active Directory / Free IPA).
Значение атрибута службы каталогов (значение атрибута объекта MS Active Directory / Free IPA).

Расширенная интеграция

Расширенная интеграция позволяет использовать службу каталогов как внешнюю службу авторизации, выполнять предварительную синхронизацию пользователей, заводить ВРС на Windows в домен.

Примечание

Пользователю, созданному в процессе интеграции, запрещен вход в OS Astra Linux.

Внимание

Функция ввода ВМ в домен Free IPA и синхронизация пользователей для OpenLDAP носят экспериментальный характер.

Добавление службы каталогов

Добавление службы каталогов производится с помощью кнопки Добавить службу каталогов в разделе Настройки -> Службы каталогов.

В открывшемся окне необходимо заполнить следующие поля:

Название.
NetBIOS имя домена (записывается в формате domain).
Полное имя домена (записывается в формате domain.local).
URL (записывается в формате ldap://xxx.xxx.xxx.xxx).
Тип службы (Active Directory, Free IPA или OpenLDAP).
Пользователь (учетная запись в AD, с использованием которой будет выполняться синхронизация, пользователь должен иметь права на чтение атрибутов пользователей и списка групп).
Пароль.

В результате будет запись в статусе Исправно, если статус другой, то необходимо обратиться к разделу Журнал -> События, где будет указана информация о проблеме.

Внимание

Обратите внимание на поле Пользователь. Для авторизации на AD будет использована учетная запись по паттерну Домен\Пользователь. Если Пароль или Пользователь не указан, попытка подключения будет проигнорирована. Проверить корректность введенных данных можно кнопкой Проверка соединения.

Добавление соответствия

Раздел Соответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. При авторизации каждому пользователю автоматически будут назначены Роли/Группы, которые указаны в настройках соответствия.

Примечание

Чтобы пользователь получил возможность входа в панель администратора, группа, в которую он будет включен, должна иметь одну или несколько системных ролей (SECURITY_OPERATOR, ADMINISTRATOR, OPERATOR), либо пользователь должен иметь атрибут Администратор.

Добавление соответствия производится с помощью кнопки Добавить соответствия в разделе Соответствия созданной ранее службы каталогов. В открывшемся окне необходимо заполнить следующие поля:

Выберите группу (локальная группа на диспетчере, в которую будет включен внешний пользователь).
Приоритет (вес соответствия при коллизиях соответствий).
Тип атрибута службы каталогов (тип атрибута объекта MS Active Directory).
Значение атрибута службы каталогов (значение атрибута объекта MS Active Directory).

Синхронизация пользователей группы AD

Синхронизация группы позволит одномоментно перенести всех пользователей-членов группы AD в локальную систему.

Примечание

Повторная синхронизация ранее синхронизированной группы исключит из группы отключенных пользователей и добавит новых.

Добавление группы пользователей производится с помощью кнопки Добавить группу в разделе Группы созданной ранее службы каталогов. В появившемся окне необходимо выбрать требуемую группу, в дальнейшем из неё будут синхронизированы все пользователи.

Шаги синхронизации группы MS AD

Процесс синхронизации делится на 2 шага:

Получение групп доступных для синхронизации.

Группы доступные для синхронизации формируются из списка всех объектов с категорией ГРУППА, не являющиеся критичными системными объектами, за исключением групп ранее синхронизированных на VDI.

Примечание

Если список групп пустой, проверьте параметры учетной записи, указанной для службы каталогов.
Выбор конкретной группы и получение ее членов.

Одномоментно можно синхронизировать только одну группу. Это сделано в целях снижения нагрузки на MS AD. Пользователи, доступные для синхронизации, формируются из списка объектов с категорией ПОЛЬЗОВАТЕЛЬ или ПЕРСОНА, классом ПОЛЬЗОВАТЕЛЬ, не имеющие статус ЗАБЛОКИРОВАН и состоящие в выбранной группе.

Фильтры, используемые при построении списка групп MS AD

(&(objectCategory=GROUP)(!(isCriticalSystemObject=TRUE))

Фильтры, используемые при построении списка групп Free IPA

(&(objectclass=posixAccount)(objectclass=person)(!(nsaccountlock=TRUE))

Фильтры, используемые при построении списка пользователей MS AD

base_filter = '(&(sAMAccountName=*)'

locked_account_filter = '(!(userAccountControl:1.2.840.113556.1.4.803:=2))'

persons_filter = '(|(objectCategory=USER)(objectCategory=PERSON))(objectClass=USER)'

member_of_filter = '(memberOf={})'.format(groups_cn)

final_filter = ''.join([base_filter, locked_account_filter, persons_filter, member_of_filter, ')'])

Фильтры, используемые при построении списка пользователей Free IPA

"(&(objectclass=posixAccount)(objectclass=person)(!(nsaccountlock=TRUE))"

Синхронизация пользователей OpenLDAP

Синхронизация позволит одномоментно перенести всех пользователей AD в локальную систему.

Примечание

Повторная синхронизация исключит отключенных пользователей и добавит новых.

Примечание

Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на вашем сервере имеет имя people.

Внимание

Синхронизация пользователей для OpenLDAP носит экспериментальный характер.

Подготовка ВМ

Если в системе существует активная служба каталогов с расширенной интеграцией, а также образ ВМ основан на ОС Windows, существует возможность автоматизации процесса ввода ВМ в домен и включение заведенных компьютеров в группы MS AD.

Примечание

Автоматическая подготовка ВМ требует как настройки диспетчера, так и подготовки эталонного образа, из которого будут создаваться новые ВМ. Более детально процесс рассмотрен в профильном разделе.

Внимание

Функция ввода ВМ в домен Free IPA носит экспериментальный характер.

Подготовка ВМ

Работа с автоматическими пулами ВРС, использующих в качестве шаблона настроенные образы MS Windows, позволяет автоматизировать процесс ввода ВМ в домен и доменные группы MS AD.

Процесс подготовки ВМ

Процесс подготовки ВМ включает в себя следующие шаги:

Проверка и включение настройки удаленного доступа на SpaceVM.
Задание имени хоста (hostname) по имени ВМ.
Заведение ВМ в домен (исключительно для OS Windows) MS AD с использованием powershell из ВМ.
Заведение ВМ в группу (контейнер) MS AD с использованием LDAP напрямую на контроллере домена.

Создание автоматического пула

Создание автоматического пула..

Ended: Службы каталогов

Пулы ↵

Автоматический пул

Работа с автоматическими пулами ВРС, использующих в качестве шаблона настроенные образы MS Windows, позволяет автоматизировать процесс ввода ВМ в домен и доменные организационные единицы MS AD.

Процесс подготовки ВМ

Процесс подготовки ВМ включает в себя следующие шаги:

Проверка и включение настройки удаленного доступа на SpaceVM.
Включение ВМ.
Задание имени хоста (hostname) по имени ВМ.
Заведение ВМ в домен (исключительно для OS Windows) MS AD с использованием powershell из ВМ.
Заведение ВМ в организационную единицу (OU) MS AD с использованием LDAP напрямую на контроллере домена.

Создание автоматического пула с указанием необходимости подготовки ВМ

Подготовительные шаги

Подготовить базовый шаблон ВМ (Windows 10) guest-utils.
Настроить расширенную интеграцию с MS AD на диспетчере.

Создание автоматического пула

Создание автоматического пула производится с помощью кнопки Добавить пул в разделе Пулы панели администратора.

Ниже приведено описание полей при создании автоматического пула:

Имя пула Будет использовано как тег на SpaceVM для всех созданных ВМ.
Типы подключения Типы подключения к ВМ в пуле, которые будут доступны тонкому клиенту:
- RDP - rdp-подключение средствами ТК (подходит для рабочих мест на основе Linux);
- NATIVE_RDP - rdp-подключение средствами Windows rdp-клиента (подходит только для рабочих мест на основе Windows);
- SPICE - подключение будет проксироваться контроллером;
- SPICE_DIRECT - подключение напрямую в ВМ.
Контроллер Контроллер SpaceVM, ранее добавленный в систему, на котором будет происходить создание ВМ. Контроллер должен быть в активном статусе и отвечать на запросы диспетчера.
Пул ресурсов Предварительно созданный пул ресурсов на выбранном выше контроллере.

Пример формы создания пула ВМ

Параметры создания ВМ в пуле

Ниже приведено описание полей при создании ВМ в пуле:

Пул данных Предварительно созданный пул данных на выбранном выше контроллере.
Шаблон ВМ Предварительно созданный шаблон для создания ВМ в пуле.

Шаблон есть на SpaceVM, но не отображается на диспетчере

При создании автоматического пула диспетчер отображает только шаблоны с виртуальными дисками.

Шаблон ВМ

С шаблоном одновременно может происходить только одно действие. Если Вы планируете создавать сразу несколько пулов, то выполняйте создание последовательно. Оптимальным решением для использования одного шаблона несколькими диспетчерами/автоматическими пулами будет для каждого диспетчера/пула создать отдельный шаблон.
Шаблон имени ВМ Имя шаблона не должно превышать 63 символа и может состоять из букв латинского алфавита, цифр и "-". Ограничения вызваны тем, что имя ВМ будет назначено в качестве hostname при ее подготовки.
Наименование организационной единицы для добавления ВМ в AD Указание Организационная единица домена (OU) для MS AD, в которую необходимо включить созданные ВМ при подготовке.
Пример добавления ВМ в AD
1. Чтобы добавить ВМ в OU=VDI домена bazalt.local необходимо указать OU=VDI
2. Чтобы добавить ВМ в OU=VDI внутри ou=vdiou домена bazalt.local необходимо указать OU=VDI,ou=vdiou
Наименование организационной единицы для добавления ВМ в AD

Если необходимость включения ВМ в OU отсутствует, оставьте поле пустым, тогда этот шаг будет пропущен. ВМ присоединится к организационной единице «Компьютеры», которая используется по умолчанию.
Начальное количество ВМ Количество ВМ, которое будет создано вместе с пулом.
Максимальное количество создаваемых ВМ Максимальное количество ВМ для пула (используется при расширении пула).
Шаг расширения пула Количество ВМ, которое будет создаваться при расширении пула.
Пороговое количество свободных ВМ Значение, при достижении которого будет запущено автоматическое расширение (создание новых ВМ из шаблона с шагом выше) пула.
Создать тонкие клоны ВМ, созданные в пуле, будут являться тонкими клонами шаблона. Как результат создание будет происходить быстрее, однако ВМ имеют ограничения по используемым дата-пулам. Подробнее можно ознакомиться в разделе Типы пулов данных.
Подготавливать ВМ Необходимость запуска процедуры подготовки ВМ после их создания. Содержит 4 этапа:
- Проверка и включение настройки удаленного доступа на SpaceVM.
- Включение ВМ.
- Задание имени хоста (hostname) по имени ВМ.
- Заведение ВМ в домен (исключительно для OS Windows) MS AD. Если была указана организационная единица (OU) MS AD, то ВМ введутся непосредственно в нее. Включение в домен MS AD и организационную единицу (OU) для ВМ выполняется только, если ранее была добавлена служба каталогов. Служба каталогов на VDI может не совпадать со службой каталогов на SpaceVM.

Подготавливать ВМ

Если на пуле отсутствовал данный параметр в момент создания, то действовать он начнет только после его активации и для ВМ, созданных ПОСЛЕ.

Подготовка ВМ

Если в процессе создания пула подготовились не все ВМ или необходимо выполнить подготовку по изменившимся параметрам, то следует нажать кнопку Подготовить ВМ в разделе Информация. Данная кнопка продолжит подготовку ВМ с последнего успешного действия.

Удаление ВМ

При удалении пула имеется возможность выбора (опционально) удалять или не удалять записи в домене AD после удаления ВМ из пула или пула целиком.

Пример формы создания ВМ

Гостевой пул

Гостевые пулы предназначены для работы пользователя с "пустой" ВМ. "Пустая" ВМ — тонкий клон шаблона, который используется при создании пула. ВМ не сохраняет данные пользователя после окончания работы, так как при отключении пользователя удаляется полностью и создается вместо нее новая "пустая" ВМ (в журнале задач "Пересоздание ВМ").

Удаление ВМ

При создании пула указывается время в секундах, по истечению которого, в случае потери связи ВМ с диспетчером, ВМ удалится. По умолчанию - 60 секунд.

Создание гостевого пула

Подготовительные шаги

Подготовить базовый шаблон ВМ guest-utils.

Создание гостевого пула

Создание гостевого пула производится с помощью кнопки Добавить пул в разделе Пулы панели администратора.

Тонкие клоны

При создании гостевого пула все ВМ ВСЕГДА будут являться тонкими клонами шаблона. ВМ имеют ограничения по используемым дата-пулам. Подробнее можно ознакомиться в разделе Типы пулов данных.

Подготовка ВМ

Также при создании гостевого пула все ВМ ВСЕГДА будут подготавливаться после их создания.

Процесс подготовки ВМ

Процесс подготовки ВМ для гостевого пула включает в себя следующие шаги:

Проверка и включение настройки удаленного доступа на SpaceVM.
Включение ВМ.

Подготовка ВМ

Если в процессе создания пула подготовились не все ВМ или необходимо выполнить подготовку по изменившимся параметрам, то следует нажать кнопку Подготовить ВМ в разделе Информация. Данная кнопка продолжит подготовку ВМ с последнего успешного действия.

Ниже приведено описание полей при создании гостевого пула:

Имя пула Будет использовано как тег на SpaceVM для всех созданных ВМ
Типы подключения Типы подключения к ВМ в пуле, которые будут доступны тонкому клиенту:
- RDP - rdp-подключение средствами ТК (подходит для рабочих мест на основе Linux);
- NATIVE_RDP - rdp-подключение средствами Windows rdp-клиента (подходит только для рабочих мест на основе Windows);
- SPICE - подключение будет проксироваться контроллером;
- SPICE_DIRECT - подключение напрямую в ВМ.
Контроллер Контроллер SpaceVM, ранее добавленный в систему, на котором будет происходить создание ВМ. Контроллер должен быть в активном статусе и отвечать на запросы диспетчера.
Пул ресурсов Предварительно созданный пул ресурсов на выбранном выше контроллере.

Пример формы создания пула ВМ

Параметры создания ВМ в пуле

Ниже приведено описание полей при создании ВМ в пуле:

Пул данных Предварительно созданный пул данных на выбранном выше контроллере.
Шаблон ВМ Предварительно созданный шаблон для создания ВМ в пуле.

Шаблон ВМ

С шаблоном одновременно может происходить только одно действие, если Вы планируете создавать сразу несколько пулов, то выполняйте создание последовательно. Оптимальным решением для использования одного шаблона несколькими диспетчерами/гостевыми пулами будет для каждого диспетчера/пула создать отдельный шаблон.
Шаблон имени ВМ Имя шаблона не должно превышать 63 символа и может состоять из букв латинского алфавита, цифр и "-".
Начальное количество ВМ Количество ВМ, которое будет создано вместе с пулом.
Максимальное количество создаваемых ВМ Максимальное количество ВМ для пула (используется при расширении пула).
Шаг расширения пула Количество ВМ, которое будет создаваться при расширении пула.
Пороговое количество свободных ВМ Значение, при достижении которого будет запущено автоматическое расширение (создание новых ВМ из шаблона с шагом выше) пула.

Пример формы создания ВМ в пуле

Пулы приложений

Пул приложений - это интеграция RDS (Microsoft Remote Desktop Services) с Space Disp (Space VDI).

Пул содержит одну или несколько общих для всех пользователей машин, на которых установлена роль брокер подключений RDS (Remote Desktop Connection Broker).

При подключении к пулу пользователю будет показан список доступных приложений для запуска (инструкция по созданию коллекции приложений).

После выбора приложения оно будет доставлено пользователю.

Создание пула приложений

Разверните Microsoft Remote Desktop Services на виртуальных машинах SpaceVM.

На машине с ролью Remote Desktop Connection Broker выполните следующие действия.

Поставьте Qemu-ga по пути C:\Program Files\Qemu-ga.

Загрузите скрипт и поместите по пути C:\Program Files\Qemu-ga\vbs.vbs

Для Windows Server 2008: Обновите powershell до версии 5 и выше; Загрузите скрипт и поместите по пути C:\Program Files\Qemu-ga\get_published_apps.ps1

Для Windows Server 2012 и выше: Загрузите скрипт и поместите по пути C:\Program Files\Qemu-ga\get_published_apps.ps1

В Web-интерфейсе Space Disp перейдите на вкладку Пулы и нажмите кнопку Добавить пул. Выберите создание RDS-пула и нажмите Далее. Задайте параметры пула и выберите машину, на которой установлена роль Remote Desktop Connection Broker. Нажмите кнопку Создать.

Примечание

Для интеграции пользователей необходимо добавить в Space Disp службу каталогов, используемую в RDS. Добавление службы каталогов.

Примечание

QEMU Guest Agent на машине с ролью Remote Desktop Connection Broker должен запускаться с учетными данными администратора AD Настройка qemu-guest-agent.

Действия над ВМ после отключения пользователя

Для автоматического и статического пула имеется возможность освобождать ВМ от пользователя. Для этого необходимо в выбранном пуле перейти во вкладку Информация, далее в поле Действия над ВМ после отключения пользователя нажать кнопку редактирования.

Если в открывшемся окне выбрать в чек-боксе Освобождать ВМ от пользователя, это дает возможность пользователю при последующем подключении к пулу подключиться к другой ВМ пула.

Также можно выбрать дальнейшее действие над ВМ после отключения пользователя: не делать ничего (Нет действия), выключить, выключить форсированно или временно остановить (Пауза). Это переведёт ВМ в выбранное состояние.

Изменение размера пула в реальном времени

Автоматический и гостевой пул

Для автоматического и гостевого пула имеется возможность расширить пул (увеличить количество ВМ). Для этого необходимо в выбранном пуле во вкладке Информация выполнить следующие действия:

Указать Максимальное количество создаваемых ВМ.
Указать Шаг расширения пула. Шаг увеличения должен быть не больше максимально создаваемых ВМ.
Нажать на кнопку Расширить пул и в открывшемся окне подтвердить действие, нажав Выполнить.

В результате будут созданы новые ВМ. Результат расширения пула будет виден во вкладке Виртуальные машины.

Для гостевого пула необходимо выполнить аналогичные действия, в результате чего будут добавлены новые ВМ.

Статический и RDS-пул

Для статического и RDS-пула имеется возможность увеличить или уменьшить количество ВМ в пуле.

Для добавления ВМ к пулу необходимо в выбранном пуле во вкладке Виртуальные машины нажать на кнопку Добавить ВМ. В открывшемся окне выбрать ВМ для добавления в пул, перейти в окно добавления и нажать Добавить.

Для удаления ВМ из пула необходимо в выбранном пуле во вкладке Виртуальные машины нажать на кнопку Удалить ВМ. В открывшемся окне выбрать ВМ для удаления из пула, перейти в окно удаления и нажать Удалить.

Алгоритм подбора ВМ пользователю

Сокращения

ВМ - виртуальная машина на SpaceVM. VDI - Space VDI / Space Disp. АКТИВНАЯ ВМ - ВМ, находящаяся в статусе ACTIVE/исправно. Статус обозначает, что на ВМ нет явных ошибок с точки зрения VDI. СВОБОДНАЯ ВМ - ВМ, не закрепленная за конкретным пользователем. ЗАРЕЗЕРВИРОВАННАЯ ВМ - ВМ, зарезервированная вручную администратором. ВКЛЮЧЕННАЯ ВМ - ВМ со значением атрибута СОСТОЯНИЕ ON. ГОСТЕВОЙ АГЕНТ - Описание.

Пользователь подключается к пулу в первый раз

Формируем список ВСЕХ АКТИВНЫХ и СВОБОДНЫХ ВМ пула выбранного пользователем.
Фильтруем список, оставив ВКЛЮЧЕННЫЕ ВМ.
Поиск ВМ среди ВКЛЮЧЕННЫХ ВМ, у которой доступен ГОСТЕВОЙ АГЕНТ.
Если гостевой агент нигде не отвечает, то берем первую включенную ВМ.
Если включенных ВМ нет, то возвращаем свободную ВМ.

Пользователь имеет ранее выданную ВМ

Пользователю будет выдана ВМ, привязанная к нему, независимо от статуса ВМ.

Статус "Зарезервировано"

Если в процессе работы администратор в ручном режиме зарезервирует ВМ, то этой ВМ присваивается статус зарезервировано. Отключив всех пользователей от ВМ, она не будет выдаваться ни одному пользователю при подключении, до тех пор, пока администратор в ручном режиме не переведет ее в активный режим.

Ended: Пулы

Фоновые задачи Space Disp

Описание

Под задачей понимается набор групповых действий, выполняемых отдельным процессом диспетчера vdi-pool_worker. В логику задач вынесены операции, которые могут занимать длительное время.

Полный перечень служб отображен в разделе Службы системы.

Типы задач

В зависимости от выбранной локализации наименование задачи может отличаться.

Тип	Описание
POOL_CREATE	Создание пула
POOL_EXPAND	Расширение пула
POOL_DELETE	Удаление пула
POOL_DECREASE	Уменьшение пула
VM_PREPARE	Подготовка ВМ
VMS_BACKUP	Создание резервной копии ВМ
VMS_REMOVE	Удаление ВМ
VM_GUEST_RECREATION	Пересоздание ВМ

Создание пула

Под созданием пула подразумевается клонирование необходимого количества ВМ (указывается при создании) из золотого образа, закрепление этих ВМ за пулом и назначение им тега, соответствующего наименованию пула. Создание каждой ВМ состоит из нескольких задач на SpaceVM, успешное выполнение задачи создание пула означает успешное выполнение всех подзадач на SpaceVM. Ознакомиться с задачами SpaceVM можно в руководстве оператора SpaceVM.

Расширение пула

Расширение пула - это увеличение количество созданных ВМ при достижении порога свободных ВМ. При данном типе задачи происходят действия аналогичные Созданию пула с той разницей, что пул уже должен быть создан.

Удаление пула

Удаление пула выполняет удаление созданных ВМ и закрепленных за ними тегов.

Внимание

Обратите внимание, что на данный момент вывод ВМ из AD не происходит. Данные действия необходимо выполнить самостоятельно.

Уменьшение пула

Задача вызывается в случае уменьшения максимального размера пула в панели администратора. Максимальный размер невозможно уменьшить ниже текущего количества машин в пуле, так как это потребовало бы удаления существующих машин.

Внимание

При попытке уменьшить максимальное количество ВМ ниже количества созданных ВМ будет ошибка валидации.

Подготовка ВМ

Автоматизация шаблонных действий по подготовке новых виртуальных машин пула после создания их из шаблона. Для любого типа ВМ включает разрешение удаленного доступа и включение ВМ. Дальнейшие действия связаны с поддержкой типа ОС SpaceVM. Более подробные примеры и описание смотрите в разделе Заведение ВРС в Active Directory.

Создание резервной копии ВМ

Создание резервной копии ВМ вызывает аналогичное действие на SpaceVM. Подробное описание смотрите в документации SpaceVM.

Удаление ВМ

Задача является комплексной и запускает групповое удаление ВМ на SpaceVM.

Пересоздание ВМ

Под пересозданием понимается удаление и создание новой ВМ из золотого образа. Основное назначение — предоставление уникальной ВМ пользователю.

Статус выполнения задачи

В зависимости от выбранной локализации наименование статуса может отличаться.

Статус	Наименование	Описание
INITIAL	Запускаются	Задача создана, но еще не запущена
IN_PROGRESS	Выполняются	Задача выполняется в текущий момент
FAILED	Ошибка	Задача завершилась с ошибкой
CANCELLED	Отменено	Выполнение задачи было отменено
FINISHED	Завершено	Задача завершилась успешно

История выполнения задач

В разделе Журнал -> Задачи представлен перечень задач, которые выполняются сейчас или были выполнены ранее.

Просмотр информации о задаче

Для просмотра расширенной информации о задаче необходимо нажать левой кнопкой мыши на интересующую задачу в списке и ознакомиться с описанием.

Отмена выполнения задачи

Для отмены задачи необходимо нажать левой кнопкой мыши на интересующую задачу в списке и в появившемся окне нажать кнопку Отменить выполнение.

Информация об ошибке задачи

Если задача выполнена с ошибкой, то для выяснения деталей можно ознакомиться с Подробностями задачи

и Подробностями события в журнале задач системы.

Ended: Руководство оператора

Cписок изменений ↵

Общие сведения

Релизный цикл

ООО «ДАКОМ М» является правообладателем и разработчиком линейки изделий Space.

В целях усовершенствования функциональных возможностей, повышения качества и возможностей безопасности Space жизненным циклом предусмотрены работы по ее непрерывному развитию, предполагающие постоянный анализ актуальных требований Заказчиков и исправление дефектов, которые можно занести или ознакомиться с уже известными в Space Bugzilla.

В рамках жизненного цикла осуществляется выпуск мажорных, минорных и патч обновлений.

Плановый график выпуска минорных обновлений представлен в маршрутной карте на официальном сайте.

Контроль и учет версий

Управление версиями обновления ПО Space – это процесс присвоения уникального номера в рамках выпуска мажорного, минорного или патч обновления.

Обновления имеют семантическую систему нумерацию, в которой каждый номер версии состоит из трех чисел, разделенных точками, например, 5.1.1.

При каждом обновлении номер версии ПО увеличивается по следующим правилам:

Первое число (х, мажорный релиз) - при значительных изменениях архитектуры ПО, например, обновление пакетной базы, переход на новое ядро и т.п., может повлечь за собой необходимость переустановки системы.
Второе число (y, минорный релиз) - при добавлении новых функциональных возможностей ПО.
Третье число (z, патч релиз) - при обнаружении в системе существенных недостатков, влияющих на эксплуатацию, производится выпуск исправлений к существующему релизу до выхода следующей минорной версии проекта.

В патч релиз входят исправления недостатков и повышение качества безопасности.

Обновление

При получении изделий в рамках поставки продукции обязательно требуется произвести обновление до актуальной версии, обновление будет доступно в случае действительного сертификата сервисной поддержки.

О выходе обновлений можно узнать в официальной документации или от аккредитивных сервисных центров и партнеров. Патч обновления отображаются в веб-интерфейсе ПО.

Процедура установки обновлений представлена в Руководстве системного программиста.

Прекращение поддержки

После выпуска минорного обновления прекращается выпуск обновлений для предыдущего релиза.

Например, после выпуска минорного релиза 5.2.0, прекращается поддержка релиза 5.1.0. Все существенные недостатки производятся в релизе 5.2.1 или по решению производителя в последующем минорном обновлении 5.3.0.

Основные изменения Space Disp 5.2.x

Совместим с:

- SpaceVM 6.2
- Space Client 2.0 и выше

Space Disp 5.2.0

Минорный релиз

Реализована новая функциональность, требуется обновить пакетную базу AstraLinux до 1.7.4 согласно документации производителя.

Реализовано управление парольными политиками, режимы стойкости паролей LOW, MIDDLE, HIGH.
Реализована блокировка пользователя при превышении лимита неуспешных аутентификаций.
Реализовано прерывание сессии при бездействии пользователя в установленном интервале.
Реализован функционал ротации журналов.
Реализована возможность создания нескольких типов учетных записей с различным уровнем привилегий.
Реализована возможность загрузки нескольких лицензионных ключей с суммированием подключений.
Реализовано отображение активных Loudplay - подключений в информации о лицензиях.
Повышена безопасность хранения паролей в конфигурационных файлах.
Добавлена поддержка перемещаемых профилей для Alt Linux.
Системная сущность SECURITY объединена с сущностью SYSTEM.

Экспериментальный функционал

Шлюз подключений внешних пользователей.

Архитектура решений представляет собой один компонент, обеспечивающий диспетчер подключений и управление.

Исправлены ошибки:

#568 Ошибка входа в web-интерфейс для роли администратора.

Исправлена блокирующая отправка сообщений при некорректных настройках SMTP-сервера.

Добавлена возможность использовать правила наименования шаблонов ВМ, по аналогии SpaceVM.

Скорректированы формулировки валидации пользовательского ввода.

Основные изменения Space Disp 5.1.х

Совместим с:

- SpaceVM 6.0 и выше
- Space Client 2.0 и выше

Space Disp 5.1.0

Минорный релиз

Реализована новая функциональность, без нарушения обратной совместимости.

Реализована возможность управления автоматическим подключением периферийных устройств к ВМ во время активного сеанса работы ВМ.
Реализована возможность печати с локальных принтеров, подключенных к устройству клиента.
Реализована возможность передачи меди-файлов между ВМ и ОС устройства клиента с использованием буфера обмена.
Обеспечена балансировка подключений между экземплярами кластера мультидиспетчера.
Обеспечено уменьшение размера автоматического пула виртуальных рабочих столов с автоматическим удалением ВМ в режиме перемещаемых профилей.
Обеспечено динамическое подключение домашнего каталога пользователя по протоколу NFS в режиме перемещаемых профилей.

Space Disp 5.1.1

Исправлена ошибка прекращения действия существующих лицензионных ключей после обновления до версии 5.1.0.

Основные изменения Space Disp 5.0.х

Совместим с:

- SpaceVM 6.0 и выше
- Space Client 2.0 и выше

Space Disp 5.0.0

Мажорный релиз

Крупный релиз без обратной совместимости.

Поддержка мультидиспетчера.
Повышение стабильности и безопасности работы.
Устранение выявленных замечаний по управлению контроллером.

Space Disp 5.0.1

Устранение выявленных замечаний синхронизации групп.

Ended: Cписок изменений

Приложение ↵

Установка ОС ASTRA LINUX SPECIAL EDITION 1.7

На экране монитора появится окно, содержащее логотип ОС и меню, в котором необходимо выбрать язык установки Русский и нажать клавишу Enter (рис. 1).

Рис. 1

На экране появится предложение о принятии лицензионного соглашения. Необходимо нажать кнопку Продолжить для дальнейшей инсталляции.
Интерфейс меню перейдет на русский язык, после чего необходимо выбрать Графическая установка и нажать клавишу Enter (рис. 2).

Рис. 2

На экране появится окно Настройка клавиатуры (рис. 3), где необходимо выбрать Alt+Shift или любую другую комбинацию переключения клавиатуры между раскладками и нажать кнопку Продолжить.

Рис. 3

На экране появится окно Настройка сети (рис. 4), где необходимо ввести имя компьютера. Можно оставить имя "по умолчанию" (или поменять, например, astra) и нажать кнопку Продолжить.

Рис. 4

После этого открывается окно Настройка учетных записей пользователей и паролей (рис. 5), в котором необходимо ввести полное имя нового пользователя, например, astravdi (нельзя создавать vdiadmin - это имя закреплено за vdi broker), и нажать кнопку Продолжить.

Рис. 5

Затем необходимо дважды ввести пароль, например Bazalt1! для созданного пользователя в поля Введите пароль для нового администратора и Введите пароль еще раз (рис. 6) после чего нажать кнопку Продолжить.

Рис. 6

Примечания

Пароль может включать в себя строчные буквы, цифры и знаки пунктуации.
Длина пароля должна быть не менее восьми символов.
Пароль на экране отображается большими черными точками.
В дальнейшем в процессе эксплуатации в целях безопасности рекомендуется сменить пароль.

В следующем окне Настройка времени (рис. 7) необходимо выбрать часовой пояс (например, Москва) и нажать кнопку Продолжить.

Рис. 7

Далее программа установки ОС начинает разметку дисков. Для этого в появившемся окне Разметка дисков (рис. 8) необходимо выбрать Авто – использовать весь диск и нажать кнопку Продолжить.

Рис.8

В следующем окне Разметка дисков (рис. 9) необходимо выбрать диск, на который будет установлена ОС, и нажать кнопку Продолжить.

Рис. 9

После этого в окне Разметка дисков необходимо указать схему разметки Все файлы в одном разделе (рекомендуется новичкам) (рис. 10) и нажать кнопку Продолжить.

Рис. 10

По окончании разметки необходимо выбрать строку Закончить разметку и записать изменения на диск (рис. 11) и нажать кнопку Продолжить.

Рис. 11

В следующем окне Разметка дисков необходимо выбрать Да (рис. 12), чтобы подтвердить необходимость записи изменений на диск, и нажать кнопку Продолжить.

Рис. 12

Следующим шагом в окне Выбор программного обеспечения необходимо выбрать следующее устанавливаемое программное обеспечение (рис. 13):
- Графический интерфейс Fly;
- Консольные утилиты;
- Средства фильтрации сетевых пакетов ufw;
- Средства удаленного подключения SSH.

И нажать кнопку Продолжить.

Рис. 13

Далее откроется окно Дополнительная настройка ОС необходимо выбрать уровень защищенности Максимальный уровень защищенности "Смоленск" (рис. 14).

Рис. 14

Далее в окне Дополнительная настройка ОС (рис. 15), нужно выбрать только следующие настройки:
- Мандатный контроль целостности;
- Мандатное управление доступом;
- Запрет трассировки ptrace;
- Запрос пароля для команды sudo.

И далее нажать кнопку Продолжить.

Рис. 15

После завершения установки программного обеспечения в открывшемся окне Установка системного загрузчика GRUB на жёсткий диск (рис. 16) необходимо выбрать Да и нажать кнопку Продолжить.

Рис. 16

В открывшемся окне (рис. 17) необходимо ввести пароль для загрузчика GRUB, например Bazalt1!, который надо повторить в следующем окне (рис. 18) и нажать кнопку Продолжить.

Рис. 17

Рис. 18

Затем необходимо дождаться появления окна Завершение установки, в котором будет написано, что установка завершена, и нажать кнопку Продолжить, после чего через некоторое время ВМ перезагрузится.

Система управления Astra Linux ↵

Система управления доступом

Конфигурируемые опции

Опции, уникальные для каждой установки, находятся в файле /opt/space-vdi/app/common/local_settings.py

Основные параметры системы управления доступом

AUTH_ENABLED = True # При False отключает проверку токенов, открывает для входа стандартный интерфейс GraphQL. Исключительно для отладки.

LOCAL_AUTH = True # Локальная система управления доступом без учета системной (PAM)

PAM_AUTH = not LOCAL_AUTH # Использование системы управления доступом Linux. Взаимоисключающий с LOCAL_AUTH параметр.

EXTERNAL_AUTH = True # Использование внешней службы авторизации (LDAP).

Примечание

В настоящий момент интеграция с ОС выполняется за счет пакета space-aio-au, который позволяет задействовать встроенные механизмы ОС. Если одномоментная нагрузка на службу авторизации ожидается высокой, рекомендуется воспользоваться внешней службой авторизации, например, Расширенная интеграция Active Directory.

Дополнительные параметры системы управления доступом

Дополнительные настройки PAM

Ниже перечислены используемые команды для интеграции с ОС. При необходимости переопределить поведение достаточно заменить пути до исполняемых команд.

PAM_TASK_TIMEOUT = 5 # Время ожидания ответа от вызываемых в системе команд

PAM_USER_ADD_CMD = "/usr/sbin/vdi_adduser_bi.sh" # Команда создания пользователя

PAM_GROUP_ADD_CMD = "/usr/sbin/vdi_addgroup_bi.sh" # Команда добавления группы

PAM_USER_EDIT_CMD = "/usr/sbin/vdi_edituser_bi.sh" # Команда редактирования пользователя

PAM_USER_SET_PASS_CMD = "/usr/sbin/vdi_set_pass_bi.sh" # Команда задания пароля пользователю

PAM_CHECK_IN_GROUP_CMD = "/usr/sbin/vdi_check_in_group_bi.sh" # Команда проверки нахождения пользователя в группе

PAM_USER_REMOVE_CMD = "/usr/sbin/vdi_remove_user_group_bi.sh" # Команда удаления пользователя из группы

PAM_SUDO_CMD = "/usr/bin/sudo" # Команда запуска sudo

PAM_KILL_PROC_CMD = "/usr/sbin/vdi_kill_proc_bi.sh" # Команда завершения процесса (при превышении времени ожидания)

PAM_USER_GROUP = "vdi-web" # Группа, в которой находятся обычные пользователи

PAM_SUPERUSER_GROUP = "vdi-web-admin" # Группа, членство в которой делает администратором

Примечание

Следует учитывать, что команды должны иметь атрибут +x и быть прописаны в sudoers.

Настройки JWT

В большинстве случаев настройки являются оптимальными, однако, при необходимости, можно изменить стандартное поведение, переопределив в local_settings.py параметры описанные ниже:

JWT_EXPIRATION_DELTA = 86400 JWT_OPTIONS = { "verify_signature": True, "verify_exp": True, "verify_nbf": False, "verify_iat": True, "verify_aud": False, } JWT_AUTH_HEADER_PREFIX = "JWT" JWT_ALGORITHM = "HS256"

Вход в систему

Вход в систему возможен двумя способами:

с использованием локальной учетной записи (переключатель LDAP выключен);

PAM

По умолчанию после установки Space Dispatcher параметр PAM_AUTH активирован, поэтому под локальным пользователем имеется в виду пользователь состоящий в группах vdi-web ОС, созданный в ОС и БД диспетчера.

с использованием внешней учетной записи (переключатель LDAP включен).

Вход в систему с использованием локальной учетной записи

Примечание

По умолчанию двухфакторная аутентификация отключена для всех пользователей. Если для пользователя она была включена заранее (пользователь отсканировал QR код с помощью любого стороннего приложения-аутентификатора, поддерживающего функцию генерации одноразовых паролей (OATH TOTP)), то при авторизации необходимо будет также помимо логина и пароля ввести 6-значный одноразовый пароль, который генерируется сторонним приложением-аутентификатором.

Внешние учетные записи

Для использования внешних учетных записей необходимо настроить интеграцию с Службой каталогов. При успешном входе с использованием внешней учетной записи будет создан локальный профиль. После процедуры сброса пароля его можно будет использовать как локальную учетную запись.

Активные сессии

Одновременно у пользователя может быть только одна активная сессия. После прохождения процедуры аутентификации ранее выданные сессионные ключи блокируются (уникальность считается по пользователю, независимо от типа подключения).

Модель разрешений

Модель разрешений состоит из 3 ключевых моментов:

Роли.
Группы.
Пользователи.

Ключевые моменты

Взаимоисключающие разрешения исключены.
Роль пользователя всегда имеет преимущество над ролью группы.
Итоговые роли пользователя формируются из пересечения пользовательских и всех групповых ролей пользователя.
Переключатель Администратор дает пользователю обладание всеми возможными ролями в системе, независимо от фактически назначенных ролей на него или его группы. Используйте такие типы пользователя с осторожностью, их поведение аналогично root.

Роли

Роли - это набор предустановленных сущностей, предназначенных для разграничения доступа к панели администратора.

Внимание

Пользователю с атрибутом Администратор не нужно обладать конкретной ролью, чтобы иметь доступ к ее объектам.

Основные роли

SECURITY_ADMINISTRATOR
OPERATOR
ADMINISTRATOR

SECURITY_ADMINISTRATOR

Наличие роли является обязательной для доступа к разделам панели администратора:

Службы каталогов
Группы
Пользователи

OPERATOR

Наличие роли является обязательной для доступа к разделу Журнал.

ADMINISTRATOR

Самая большая роль, нужна для доступа ко всем остальным разделам панели администратора.

Пользователи

Пользователи - это наименьшая сущность владения объектами. Обычно, закрепление объекта за конкретным пользователем означает персональную его принадлежность, например, ВМ.

Администратор

Пользователи с атрибутом Администратор имеют доступ ко всем объектам системы, но, если ВМ была выдана конкретному пользователю, доступ к ней можно получить только переназначением ее на Администратора.

Добавление пользователя

Примечание

Пользователь может быть создан с помощью синхронизации. Описание находится в разделе синхронизация пользователей.

PAM

При активированной опции PAM_AUTH на ОС Astra Linux пользователи будут также создаваться в системе в соответствии со сценарием, описанным в /usr/sbin/vdi_adduser_bi.sh. Стандартный сценарий добавляет пользователя в группу vdi-web (PAM_USER_GROUP) и задает ему атрибуты --disabled-login, --no-create-home, --shell /sbin/nologin.

Для упрощения синхронизации LDAP команда vdi_adduser_bi.sh содержит флаг --force-badname. Если синхронизация не планируется или система содержит требуемые настройки, то команду следует оптимизировать под нужды пользователя.

Добавление пользователя производится с помощью кнопки Добавить пользователя в разделе Настройки -> Пользователи. В открывшемся окне необходимо заполнить следующие поля:

Имя пользователя (обязательное поле, при PAM должно быть уникальным и для локальной ОС).
Пароль (обязательное поле, при PAM должно соответствовать правилам пароля в локальной ОС).
Почтовый адрес (необязательное поле).
Имя (необязательное поле).
Фамилия (необязательное поле).
Группа (необязательное поле).
Администратор.

атрибут Администратор

При включенном PAM_AUTH пользователь будет также включен в группу vdi-web-admin (PAM_SUPERUSER_GROUP). Используйте переключатель с осторожностью. Лучшим выбором будет создать Группу с определенным набором Ролей, чем давать доступ ко всем объектам системы.

Пример формы создания

Информация о пользователе

В информации пользователя доступна следующая информация:

Дата создания пользователя.
Дата изменения атрибутов пользователя.
Дата последней успешной авторизации пользователя.
Наличие двухфакторной аутентификации.
Статус пользователя.

Двухфакторная аутентификация

По умолчанию двухфакторная аутентификация отключена для всех пользователей. Для ее включения необходимо редактировать поле двухфакторной аутентификации: проставить галочку и сгенерировать код, после чего появятся QR код и секретный код (строка из 32 символов) в текстовом формате. Данный QR код необходимо отсканировать с помощью любого стороннего приложения — аутентификатора, поддерживающего функцию генерации одноразовых паролей (OATH TOTP), или ввести в подобном приложении секретный код (строку из 32 символов) вручную.

Внимание

После включения двухфакторной аутентификации вход в среду Space Dispatcher будет по локальному паролю и 6-значному одноразовому паролю — обязательно отсканируйте QR код при его генерации, так как просмотр и копирование кода возможны только при его создании.

Статус пользователя

Пользователи в статусе отличном от Активный не имеют возможности входа в систему.

Чтобы закрепить Роль за пользователем, необходимо нажать кнопку Добавить роль в разделе Роли ранее созданного пользователя.

Пример закрепления роли за пользователем

Примечание

Пользователь может быть включен в группу в результате синхронизации со службой каталогов. Подробности описаны в в разделе синхронизация пользователей.

Закрепление Роли за Группой производится аналогично в разделе Роли.

Владение объектами

Чтобы закрепить конкретный объект в системе за пользователем, необходимо перейти в информацию об объекте и в разделе Пользователи нажать кнопку Добавить пользователя.

Пример закрепления пула за пользователем

Владение ВМ

Т.к. при выдаче свободной ВМ из пула она закрепляется за конкретным пользователем, то ВМ может содержать персональную информацию пользователя. Для предотвращения случайной выдачи единственным способом переназначения ВМ другому пользователю будет назначение через интерфейс администратора ВМ.

PAM

При включении опции PAM_AUTH процесс создания пользователя частично перекладывается на встроенные механизмы ОС. Базовые опции для Astra Linux описаны в разделе Настройка PAM инструкции по установке. Детальное описание необходимо изучить в инструкции к используемому дистрибутиву.

Группы

Группы - это ключевая группирующая сущность в системе и предназначена для обобщения владения объектами. Описанные ниже группы - это только группы самого диспетчера, не имеющие отношения к ОС (PAM).

Внимание

Пользователю с атрибутом Администратор не нужно находиться в группе, чтобы иметь доступ к ее объектам.

Добавление группы

Примечание

Группа может быть создана с помощью синхронизации. Описание находится в разделе синхронизация пользователей.

Добавление группы производится с помощью кнопки Добавить группу в разделе Настройки -> Группы. В открывшемся окне необходимо заполнить следующие поля:

Название (обязательное поле).
Описание (необязательное поле).

Пример формы создания

Информация о группе

В информации группы доступно число пользователей, состоящих в группе. Нахождение в группе дает пользователю доступ к ее объектам и ролям. Чтобы включить пользователя в группу, необходимо нажать кнопку Добавить пользователя в разделе Пользователи ранее созданной группы.

Пример включения пользователя в группу

Примечание

Пользователь может быть включен в группу в результате синхронизации со службой каталогов. Подробности описаны в разделе синхронизация пользователей.

Закрепление Роли за Группой производится аналогично в разделе Роли.

Владение объектами

Чтобы закрепить конкретный объект в системе за группой, необходимо перейти в информацию об объекте и в разделе Группы нажать кнопку Добавить роль.

Пример закрепления пула за группой

Разрешения

Разрешения на действия пользователей при работе с Space Client.
Разрешениями могут обладать пользователи и группы.
При создании нового пользователя он по умолчанию обладает всеми разрешениями.
Разрешение, выданное группе, распространяется на всех ее пользователей.
При попытке произвести действие, на которое отсутствует разрешение, пользователю будет сообщено о запрете.

Примечание

Возможные разрешения

USB_REDIR

Разрешение на перенаправление USB-устройств.

FOLDERS_REDIR

Разрешение на перенаправление папок.

SHARED_CLIPBOARD

Разрешение на использование общего буфера обмена.

Добавление разрешений

Перейдите на вкладку Настройки -> Пользователи (Группы) и выберите пользователя (группу).
Перейдите на вкладку Разрешения и нажмите кнопку Добавить разрешение.
В открывшемся окне выберите необходимы разрешения и нажмите кнопку Добавить.

Примечание

Удаление разрешений

Перейдите на вкладку Настройки -> Пользователи (Группы) и выберите пользователя (группу).
Перейдите на вкладку Разрешения и нажмите кнопку Отключить разрешение.
В открывшемся окне выберите необходимы разрешения и нажмите кнопку Отключить.

Примечание

Ended: Система управления Astra Linux

Шлюз подключений внешних пользователей

Шлюз подключений внешних пользователей - приложение, позволяющее подключаться к виртуальным рабочим столам по протоколам RDP и SPICE из внешней сети по отношению к внутренней сети инфраструктуры Space VDI.

Шлюз представляет промежуточный узел, пробрасывающий соединение между Space Client и SpaceVDI.

VDI-GATEWAY

Установка

На узел, где предполагается установка Gateway, примонтировать установочный образ Space Disp и выполнить команду:

sudo bash /media/cdrom/gateway.sh

После завершения установки ввести параметры, например:

Enter gateway-address:
0.0.0.0  - именно так
Enter gateway-public-address:
127.0.0.1
Enter broker-address:
127.0.0.1
Enter client-port:
4210
INFO:     2023-07-06 10:34:55,106 - Database does not exist
INFO:     2023-07-06 10:34:55,111 - Table 'settings' created.
INFO:     2023-07-06 10:34:55,111 - No saved settings in database.
INFO:     2023-07-06 10:34:55,111 - No saved settings in database.
INFO:     2023-07-06 10:34:55,113 - Settings saved to database: {'gateway_address': '127.0.0.1', 'gateway_port': 8000, 'gateway_public_address': '127.0.0.1', 'broker_address': '127.0.0.1', 'broker_port': 443, 'client_port': 4210}.

Проверить статус служб выполнив команду sudo systemctl status vdi-gateway и выполнить перезапуск sudo systemctl restart vdi-gateway.

Настройка

Перейти в shell из под root и выполнить настройку:

cd /opt/vdi-gateway/app/
/opt/vdi-gateway/env/bin/python3 app.py config
--gateway-address 0.0.0.0
--gateway-public-address 127.0.0.1
--broker-address 127.0.0.1
--broker-port 4200
--client-port 4210

gateway-address — всегда 0.0.0.0

gateway-public-address — белый IP на котором будет доступен vdi-gateway. Этот адрес прописывается в настройках подключения Space Client;

broker-address - адрес и порт Space Dispatcher. К нему пробрасываются подключения от тонкого клиента;

client-port — это порт, который прописывается в настройках Space Client. На этом порту будет запускаться сервисный туннель для взаимодействия Space Client и Space Dispatcher.

client-port должен быть вне диапазона портов, которые используются для туннелей в настройках диспетчера.

Swagger UI

После запуска приложения будет доступен интерфейс API по адресу http://gateway-address:gateway-port/docs/.

Для автоматической работы vdi-gateway необходима установленная и запущенная актуальная версия Space Disp.

Запуск vdi-gateway

Для запуска, в директории приложения выполнить:

sudo systemctl start vdi-gateway

Ended: Приложение

FAQ ↵

Переход с совместимых платформ на Space Dispatcher

Перед переходом с совместимых платформ на Space Disp необходимо выполнить переход с совместимых платформ виртуализации на SpaceVM.

Внимание!

Список совместимых платформ: VeiL Broker. Переход на Space Dispatcher доступен с версии 4.1.6. Актуально для совместимых платформ, установленных на виртуальные машины (ВМ) и аппаратные платформы (АП).

Запросить iso-образ Space Dispatcher.
Сохранить iso-образ на ВМ или АП любым удобным способом
Монтировать iso-образ:

  sudo mount -o loop space-dispatcher*.iso /media/cdrom

Выполнить команду:

  sudo bash /media/cdrom/install.sh

Размонтировать iso-образ:

 sudo umount /media/cdrom

Внимание!

При переходе с совместимой платформы на Space Disp лицензия остается действительной.

Мультидиспетчер

Описание

Мультидиспетчер - кластер серверов Space Disp, обеспечивающий работоспособность, несмотря на сбои в одном из узлов кластера. Минимальный состав кластера: один узел с ролью db, один узел с ролью leader и два узла с ролью manager.

Один сервер Space Disp поддерживает до 2000 одновременных подключений, с возможностью масштабирования благодаря мультидиспетчеру. В одном кластере может быть от одного до семи серверов.

Мультидиспетчер обеспечивает отказоустойчивость и балансировку нагрузки. Между серверами одного кластера выполняется периодическая репликация конфигурации, таким образом, выход одного или нескольких серверов Space Disp не повлияет на доступность инфраструктуры.

Роли мультидиспетчера

DB - база данных (БД), служащая для записи данных (контроллеры, пулы рабочих столов, пользователи и т.д.).

Для базы данных используется отдельный узел, без docker, с установленным PostgreSQL.

База данных не является отказоустойчивой. Пользователь самостоятельно обслуживает и настраивает отказоустойчивость.

Leader - узел управления кластером, на нем также запускается экземпляр Space Disp.
Manager - узел рабочей нагрузки, на нем также запускается экземпляр Space Disp.

Кластер может состоять из более чем одного Manager.

Общее число узлов (за исключением БД) должно быть нечетным, для полноценной работоспособности.

При "отказе" Leader - один из Manager'ов становится Leader'ом автоматически. Если Leader восстанавливается - то он возвращается в кластер в качестве Manager'a.

Web-интерфейс доступен на адресе любого узла в кластере, если один из узлов недоступен, необходимо перейти на другой доступный.

Установка Мультидиспетчера

IP-адрес!

Для корректной работы необходимо настроить статический IP-адрес.

Установка выполняется скриптом install.sh. Для установки необходимы три хоста с ОС Astra Linux SE 1.7. В качестве хоста может быть использован физический сервер или виртуальная машина.

Наименование!

Для корректной работы необходимо задавать наименование физических серверов или виртуальных машин, отличное друг от друга.

Устанавливаем роль DB

Установить БД (PostgreSQL) на хост с ОС Astra Linux SE 1.7.
Примонтировать iso-образ установочного диска, нажав кнопку Монтировать образ
- откроется окно Монтирование iso-образа, в котором необходимо выбрать тип хранилища, его наименование и iso-образ установочного диска;
- для сохранения изменений нажать кнопку Монтировать.
Выполнить команду:
```
sudo bash /media/cdrom/install.sh db
```

По умолчанию на БД установлены логин и пароль - vdi - vdi.

Устанавливаем роль Leader

Установить на второй хост с ОС Astra Linux SE 1.7.
Примонтировать iso-образ установочного диска, нажав кнопку Монтировать образ
- откроется окно Монтирование iso-образа, в котором необходимо выбрать тип хранилища, его наименование и iso-образ установочного диска;
- для сохранения изменений нажать кнопку Монтировать.
Выполнить команду:

sudo bash /media/cdrom/install.sh multi leader {db_address} {db_port}
# Пример:
sudo bash /media/cdrom/install.sh multi leader 192.168.5.86 5432

Указать адрес хоста БД, а так же порт.
Ввести имя и пароль пользователя БД.

После успешной установки Leader на экран консоли будет выведен token для подключения новых Manager.

Устанавливаем роль Manager

Установить на третий хост с ОС Astra Linux SE 1.7.
Примонтировать iso-образ установочного диска, нажав кнопку Монтировать образ
- откроется окно Монтирование iso-образа, в котором необходимо выбрать тип хранилища, его наименование и iso-образ установочного диска;
- для сохранения изменений нажать кнопку Монтировать.

Выполнить команду:

sudo bash /media/cdrom/install.sh multi manager {leader_address} {join_token}
# Пример:
sudo bash /media/cdrom/install.sh multi manager 192.168.6.44 SWMTKN-1-3xhz573o9gfz7e78lhm5gyoelmf5jkotwf9d6mtt54tx79wii4-4o13crwblvwidg12nz8v8z5wf

Основные команды

Все команды выполняются на любом удобном узле кластера.

Для просмотра списка узлов в кластере необходимо выполнить команду:

sudo docker node ls
# Пример:
# astravdi@astra:~$ sudo docker node ls
# ID                            HOSTNAME   STATUS    AVAILABILITY   MANAGER STATUS   ENGINE VERSION
# bhsmn9ezcvkk0zx9ddi7ixxkx *   astra      Ready     Active         Leader           20.10.2+dfsg1
# kbag53ttw46jqurv4p3awhm9g     astra      Ready     Active         Reachable        20.10.2+dfsg1
# ktj7he3mjalu4drr4jhgxg4mw     astra      Ready     Active         Reachable        20.10.2+dfsg1

Leader (главный узел управления в кластере) отмечен символом *.

Для просмотра списка сервисов мультидиспетчера выполняем команду:
```
sudo docker stack services multivdi
```
Для просмотра token для подключения новых Manager выполняем команду:
```
sudo docker swarm join-token manager -q
```

Поиск и пути устранения ошибок

Сбор

# Сбор имеющихся логов для передачи разработчикам

sudo bash /opt/vdi/other/log_collector.sh
в меню выбора указать Full. В результате работы будет выведено сообщение с путём выгрузки логов, аналогично VDI logs saved in /tmp/vdi_server_logs_20230616172354.tar.gz

Просмотр

# Просмотр ТЕКУЩИХ логов веб-службы диспетчера

sudo journalctl -u vdi-web.service

# Просмотр ТЕКУЩИХ логов службы-монитора (фоновые задачи) диспетчера

sudo journalctl -u vdi-monitor_worker.service

# Просмотр ТЕКУЩИХ логов службы-монитора пулов диспетчера

sudo journalctl -u vdi-pool_worker.service

# Просмотр ТЕКУЩИХ логов службы-монитора ВМ диспетчера

sudo journalctl -u vdi-vm_manager.service

Настройка вывода информации

# отредактировать настройки веб-службы диспетчера

sudo vim /etc/systemd/system/vdi-web.service
# в аргументе logging установить нужный уровень логгирования

ExecStart=/opt/vdi/env/bin/python /opt/vdi/app/web_app/app.py --workers=1 --logging=DEBUG --ssl --address=127.0.0.1 --log_file_prefix=/var/log/vdi/vdi_tornado.log
# применить настройки и перезапустить веб-службу

sudo systemctl daemon-reload && sudo systemctl restart vdi-web

Настройка подключения к SpaceVM

# Использовать SSL (443 порт)
VEIL_SSL_ON = False

# Время ожидания операций на SpaceVM (сек)
VEIL_OPERATION_WAITING = 10
VEIL_WS_MAX_TIME_TO_WAIT = int(os.getenv("VEIL_WS_MAX_TIME_TO_WAIT", 60))
VEIL_VM_PREPARE_TIMEOUT = 1200.0
VEIL_VM_REMOVE_TIMEOUT = 1200.0
VEIL_REQUEST_TIMEOUT = 15
VEIL_CONNECTION_TIMEOUT = 15
VEIL_GUEST_AGENT_EXTRA_WAITING = 3

# Ограничение размера запроса
VEIL_MAX_BODY_SIZE = 1000 * 1024 ^ 3
VEIL_MAX_URL_LEN = 6000  # суммарный размер запроса
VEIL_MAX_IDS_LEN = 3780  # если возникает проблема при работе с пулами больше определенного количества ВМ, уменьшать параметр по принципу 36 * КОЛ-ВО ВМ
# попытки создать ВМ (для исключения кратковременных блокировок на стороне SpaceVM)
VEIL_MAX_VM_CREATE_ATTEMPTS = 5

Возможные ошибки

Веб-интерфейс не работает или невозможно залогиниться

Проверьте в терминале ВМ, включен ли сервис apache2

sudo systemctl status apache2

Если он не включен, то включить и выполнить:

sudo systemctl start apache2
sudo chown www-data:adm /var/log/apache2 -R

Пользователь не создается

При получении сообщения, что пользователь не может быть создан, потому что уже существует, вам следует:

Снять "галочку" Активные пользователи в разделе Настройки -> Пользователи.
Если такого пользователя нет в списке, то необходимо подключиться к серверу, на котором размещен Space Disp, и удалить пользователя из системы Astra Linux.

Причина

Такое возможно в случае, если пароль пользователя недостаточно сложен (опция в соответствии с политикой безопасности Astra Linux). После удаления пользователя из ОС повторите попытку его создания на Space Disp, придерживаясь рекомендаций Astra Linux: "Пароль рекомендуется создавать способом, максимально затрудняющем его подбор. Наиболее безопасный пароль состоит из случайной (псевдослучайной) последовательности букв, специальных символов и цифр".

Примечание

Если ssh-подключение заблокировано, используйте SPICE/VNC управление с контроллера SpaceVM.

Профиль	vCPU	RAM (Mb)	HDD (Гб)	HDD delta (Гб)	IOps average	IOps Boot	Переподписка vCPU:CPU
Тип 1	2	2048	50	10	20	max 600 min 150	8
Тип 2	2	4096	50	10	20	max 600 min 150	6
Тип 3	4	4096	60	20	40	max 600 min 150	4
Тип 4	4	8192	60	20	40	max 600 min 150	2
Тип 5	8	8192	100	30	50	max 600 min 150	2
Тип 6	8	16384	100	30	50	max 600 min 150	1

О продукте ↵

Компоненты Space VDI

Платформа виртуализации SpaceVM

Диспетчер подключений Space Disp

Клиентское программное обеспечение Space Client

Взаимодействие компонентов Space VDI

Подключение пользователя к ВРС

Администрирование Space VDI

Масштабирование инфраструктуры VDI

Space Dispatcher ↵

Структура программы

Общие сведения о программе

Требования к техническим средствам

Требования к программному обеспечению

Требования к квалификации специалистов

Подготовка к работе

Общие правила при работе с программой

Включение программы

Окно интерфейса

Основное меню

Документация

Ended: Space Dispatcher

Рекомендации по подбору ресурсов Space Dispatcher ↵

Рекомендации по подбору ресурсов

Профили использования

Описание профилей использования

Рекомендуемое количество выделяемых ресурсов

Расчет CPU

Количество vCPU на одну ВМ

Коэффициент переподписки vCPU:CPU

Использование групп ВМ с разным коэффициентом переподписки vCPU:CPU

Расчет объема RAM

Расчет СХД

Объем

Производительность

Расчет сети

Native RDP

RDP

гостевая ОС Windows 10

гостевая ОС Linux

Рекомендации к использованию vGPU

Потребление ресурсов ВМ

vGPU

Объем памяти vGPU

CPU

Примеры расчетов

Пример расчета количества ВМ на сервер

Ended: Рекомендации по подбору ресурсов Space Dispatcher

Рекомендуемые настройки для эксплуатации

Ended: О продукте

Руководство системного программиста ↵

Установка и базовая настройка ↵

Общие сведения

Необходимые диски

Порядок установки и настройки

Подготовка к установке ↵

Подготовка

Проверка целостности программы

Создание ВМ в SpaceVM

Ended: Подготовка к установке

Установка Space Dispatcher

Варианты установки

Порядок установки

Настройка учетной записи на ВМ

Вход в Space Dispatcher

Базовая настройка ↵

Настройка фаервола

Ended: Базовая настройка

Ended: Установка и базовая настройка

Лицензионный ключ

Обновление Space Disp с iso-образа

Сообщения системному программисту

Ended: Руководство системного программиста

Руководство оператора ↵

Контроллеры

Пулы

Тонкие клиенты

Сессии

Ресурсы ↵

Ресурсы