О продукте ↵

Компоненты Space VDI

Платформа виртуализации рабочих столов Space VDI является программным продуктом из линейки экосистемы Space. Общая схема применения представлена на рисунке ниже.

В состав Space VDI входят следующие компоненты:

платформа виртуализации SpaceVM;
диспетчер подключений Space Disp;
2 операционные системы Astra Linux Smolensk.

Платформа виртуализации SpaceVM

Платформа виртуализации SpaceVM для централизованного управления виртуальной инфраструктурой и состоит из серверов виртуализации (Node) с гипервизором KVM и сервера управления (Controller).

На физические серверы устанавливается ПО SpaceVM в конфигурации Node для запуска виртуальных машин под управлением контроллера.

Контроллер может устанавливаться как на предварительно созданную на сервере виртуализации SpaceVM виртуальную машину, так и на физический сервер. При установке на физический сервер для максимального использования ресурсов можно использовать и как сервер виртуализации. Один контроллер может управлять до 96 серверами виртуализации.

SpaceVM выполняет функции предоставления вычислительных ресурсов и ресурсов хранения данных для виртуальных рабочих столов пользователей. Устанавливается на серверы с процессорной архитектурой x86-64, объединяет их в масштабируемый и отказоустойчивый кластер с возможностью удалённого централизованного управления.

Диспетчер подключений Space Disp

Устанавливается на виртуальную машину в среде SpaceVM с предустановленной операционной системой Astra Linux Smolensk.

Вторая виртуальная машина с предустановленной операционной системой Astra Linux Smolensk требуется для работы базы данных.

Space Disp взаимодействует с платформой виртуализации SpaceVM, не только для предоставления доступа к ВРС, но и для автоматизации развертывания и управления ВРС, в том числе заведение ВРС в домен организации. Один Space Disp поддерживает не более 14000 одновременных подключений к виртуальным рабочим столам.

Для масштабирования инфраструктуры или поддержки отказоустойчивости диспетчер подключений позволяет расширить кластер хостами, каждый хост поддерживает 2000 подключений, и требует предустановленной операционной системой Astra Linux Smolensk.

Поддерживается не более 7 дополнительных хостов в одном кластере, один из которых принимает роль Leader, остальные роль Manager.

Leader - узел управления кластером, с рабочей нагрузкой не более 2000 подключений.
Manager - узел рабочей нагрузки, на нем также запускается экземпляр Space Disp.

Кластер может состоять из более чем одного Manager, но общее число узлов хоста (за исключением БД) не должно быть четным.

Четное количество узлов не влияет на работоспособность, но последний узел не может быть обеспечен отказоустойчивостью.

При нарушении работоспособности Leader один из Manager становится Leader автоматически. Если Leader восстанавливается, то он возвращается в кластер в качестве Manager.

Управление инфраструктурой осуществляется через графический Web-интерфейс. Также Space Disp может предоставлять доступ к ВРС через Web-интерфейс пользователя.

Клиентское программное обеспечение Space Client

Устанавливается на тонкие клиенты, персональные компьютеры и ноутбуки под управлением операционных систем семейств Windows и Linux.

Space Client предназначен для удаленного подключения к ВРС посредствам графического интерфейса. Для подключения пользователю необходимо ввести учетные данные и выбрать ВРС для работы, после чего произойдет подключение. Space Client также позволяет перенаправлять в ВРС различные типы устройств, подключенные к тонкому клиенту, персональные компьютеры или ноутбуку, например, накопители, графические планшеты, наушники, видеокамеры и т.д.

Взаимодействие компонентов Space VDI

Подключение пользователя к ВРС

Пользователь при работе с тонким клиентом, персональным компьютером или ноутбуком запускает клиентское программное обеспечение Space Client. В окне программы пользователь вводит свои учетные данные и входит в программу. В этот момент Space Client обращается к Space Disp для подтверждения введенных данных пользователя, и, в случае успешного входа, Space Disp предоставляет список доступных пользователю пулов ВРС.

Далее пользователь в Space Client выбирает необходимый пул ВРС и, при необходимости протокол подключения из предоставленного списка. В этот момент Space Client отправляет запрос к Space Disp с требованием предоставить данные для подключения к выбранному ВРС.

При получении данного запроса Space Disp обращается к SpaceVM для получения данных для подключения к ВРС. В случае отсутствия свободных ВМ в выбранном автоматическом пуле и, если после создания клона ВМ не будет превышено общее количество ВМ в автоматическом пуле, Space Disp создает задачу в SpaceVM на создание клона ВМ и, при необходимости, задачу на ввод в домен нового клона. В данные для подключения, помимо служебной информации, входят:

Статус ВМ. Если ВМ выключена, то автоматически создается задача на запуск ВМ.
IP адрес ВМ для подключения по протоколу RDP с использованием QEMU-агент из пакета Utils.
IP адрес контроллера или сервера виртуализации и порт для подключения по протоколу SPICE.

После получения данных от SpaceVM, Space Disp дает ответ Space Client, в котором либо сообщает данные для подключения и происходит подключение, либо сообщает о невозможности подключения к ВРС, о чем Space Client информирует пользователя.

Администрирование Space VDI

При создании пула виртуальных машин в Web-интерфейсе Space Disp администратором, Space Disp запрашивает у SpaceVM доступные Пулы ресурсов. Далее администратор выбирает Пул ресурсов, на котором будет выполнено создание виртуальных машин. После чего Space Disp получает список ВМ или списки пулов данных и шаблонов ВМ, если создаваемый пул является автоматическим.

Следующим шагом администратор выбирает из списка ВМ или пул данных и шаблон ВМ, а также прочую информацию, если создаваемый пул является автоматическим и подтверждает создание пула. После этого, а также при расширении автоматического пула или добавления ВМ в пул, Space Disp создает запросы к SpaceVM на выполнение следующих задач:

Создание клонов ВМ, если пул является автоматическим.
Введение ВМ в домен, изменение hostname, если пула автоматический.
Включение удаленного доступа к ВМ.
Создание тегов и применение к ВМ в SpaceVM для удобства администрирования.

При удалении ВМ из пулов, а также при удалении пулов Space Disp при необходимости создает запросы к SpaceVM на выполнение следующих задач:

Удаление ВМ, в том числе клонов.
Удаление тегов.

Масштабирование инфраструктуры VDI

Основная схема построения инфраструктуры на базе программного обеспечения Space включает следующие компоненты:

Один контроллер SpaceVM на выделенном сервере или совмещенный с сервером для запуска виртуальных машин.
До 96 серверов для запуска виртуальных машин под управлением контроллера SpaceVM.
Один диспетчер подключений Space VDI в виртуальной машине SpaceVM.
Одна база данных диспетчера подключений Space VDI в виртуальной машине SpaceVM.
От одного до семи хостов диспетчера подключений Space VDI в виртуальной машине SpaceVM, при необходимости возможно масштабирование до 14000 подключений.
Настроенные клиентские устройства для доступа к виртуальным рабочим столам на базе Space Client.

Такая схема построения может удовлетворить требования большинства организаций, но она имеет следующие ограничения:

Под управлением одного контроллера SpaceVM может работать не более 96 серверов для запуска виртуальных машин.
Один хост Space VDI поддерживает не более 2000 одновременных подключений к виртуальным рабочим столам.
Требуется более 14000 подключений.

Сценарий использования №1

Основная схема построения инфраструктуры подходит для сценария, при котором на предприятии достаточно 2000 одновременных подключений сотрудников к виртуальным рабочим столам, а 96 серверов достаточно для 2000 работающих виртуальных рабочих столов необходимой конфигурации. То есть каждый сервер может выдерживать нагрузку до 20-21 работающих виртуальных машин (достаточно ресурсов как процессора и памяти, так и скорости ввода-вывода дисковой подсистемы).

Проектирование инфраструктуры VDI «с нуля» почти всегда предполагает данный сценарий, и соответственно позволяет использовать основную схему построения инфраструктуры.

В данном сценарии возможно масштабирование до 14000 подключений при добавлении дополнительных хостов.

Сценарий использования №2

Рассмотрим сценарий, при котором ресурсов на 96 серверах недостаточно для работы минимум 2000 виртуальных рабочих столов требуемой конфигурации (20-21 в среднем на каждом). Это может случиться как в случае необходимости использования ресурсоемких виртуальных рабочих столов, так и в случае, если имеющиеся в наличии серверы не являются высокопроизводительными. Данный сценарий применим и в случае недостаточной производительности серверов при добавлении хостов для масштабирования до 14000 подключений.

При таком сценарии рекомендуется использовать схему построения с двумя и более контроллерами подключений SpaceVM. Создаются два и более автономных кластера, к которым подключается один диспетчер Space VDI на 2000 подключений.

Сценарий использования №3

Также возможен обратный сценарий, когда на предприятии недостаточно 14000 одновременных подключений, но в наличии имеются высокопроизводительные серверы или виртуальные рабочие столы не требовательны к ресурсам (когда в среднем возможно запустить более 145-146 виртуальных машин на одном сервере). В таком случае возможно использование имеющихся серверов в одном кластере SpaceVM с подключением двух и более диспетчеров Space VDI.

Данный сценарий применим в случаях необходимости проектирования отдельных систем управления ВРС.

Сценарий использования №4

Рассмотрим еще один сценарий, возможный в случае крупных инсталляций, где требуется более 14000 одновременных подключений с виртуальными рабочими столами, предназначенными для ресурсоемких задач. При таком сценарии рекомендуется использовать схему с несколькими автономными кластерами VDI. Разворачиваются изолированные кластеры, в каждом из которых работает свой контроллер SpaceVM и диспетчер Space VDI.

Виртуальные рабочие столы в такой схеме доступны только при подключении к тому кластеру, на котором они созданы.

Space Dispatcher ↵

Структура программы

В программе реализован принцип модульного построения программного обеспечения, когда каждый отдельный модуль отвечает за решение узкоспециализированной задачи.

Взаимодействие между модулями организовано на базе прямой адресации объектов в пределах одной подсистемы или же с использованием буферизированных средств взаимодействия (файлы, сокеты и сигналы).

Структурная схема Space Disp.

Web-сервер – это программный модуль, принимающий HTTP-запросы, приходящие от администратора с Web-браузера и от пользователей клиентского ПО Space Client. Web-сервер перенаправляет HTTP-запросы на модуль обработки запросов и отдает статические скомпилированные файлы графического Web-интерфейса на АРМ администратора.

Модуль обработки запросов (супервизор) – основной логический компонент Space Disp, выполняющий следующие функции:

прием HTTP-запросов от Web-сервера;
выборка данных из СУБД;
формирование динамических данных и их передача на Web-браузер и на Space Client;
передача данных для запроса к SpaceVM по взаимодействию с вычислительными ресурсами через модуль взаимодействия с SpaceVM;
прием данных ответов через модуль взаимодействия с SpaceVM;
создание и уничтожение ВРС по наступлению различных событий;
сбор данных о доступных ресурсах на SpaceVM;
предоставление клиенту (ПО Space Client) данных для подключения к ВРС по протоколам SPICE и RDP.

СУБД – выполняет функции хранения служебных данных об инфраструктуре ВРС.

Модуль журналирования – выполняет функции хранения событий, а также их очистки, архивации и выгрузки.

Модуль аутентификации – выполняет функции аутентификации пользователей по локальным учетным данным пользователей или по данным, хранящимся на централизованной службе каталогов. Выполняет аутентификацию администраторов, пытающихся осуществить попытку входа на Web-интерфейс Space Disp или пользователей, пытающихся осуществить попытку входа с использованием клиентского ПО Space Client.

Операционная система на базе ядра Linux. В ее среде функционируют все модули Space Disp. ОС должна иметь возможность установки в качестве гостевой ОС на виртуальные машины SpaceVM. В операционной системе используется сетевая подсистема для обмена сетевым трафиком между изделиями Space Disp, Space Client, SpaceVM по IP-сети.

Общие сведения о программе

Space Disp предназначен для создания и администрирования инфраструктуры виртуальных рабочих столов (ВРС) на базе виртуальной инфраструктуры облачной платформы корпоративного уровня SpaceVM.
В Space Disp реализован графический Web-интерфейс управления.
Space Disp взаимодействует с виртуальной инфраструктурой SpaceVM через внешний API.
Space Disp имеет возможность установки на отдельный сервер или на виртуальную машину (ВМ).
Space Disp обеспечивает добавление (отключение) одного или нескольких контроллеров SpaceVM.
Space Disp обеспечивает отображение следующих ресурсов SpaceVM для создания ВРС:
- кластеры;
- пулы ресурсов;
- серверы;
- пулы данных;
- шаблоны (золотые образы);
- виртуальные машины.
Space Disp поддерживает пулы ВРС (группы ВРС, имеющие общие настройки и политики безопасности).
Space Disp обеспечивает следующие типы пулов ВРС:
- статический;
- автоматический;
- гостевой;
- RDS.
Примечания
1. В автоматическом пуле экземпляры ВРС создаются автоматически на основе подготовленного шаблона ВМ средствами SpaceVM.
2. В статическом пуле экземпляры ВРС являются заранее подготовленными ВМ в среде SpaceVM.
3. В гостевом пуле экземпляры ВРС создаются автоматически на основе подготовленного шаблона ВМ средствами SpaceVM. ВМ пересоздается по истечении заданного тайма-ута.
4. RDS-пул содержит одну или несколько общих для всех пользователей ВМ с ролью Remote Desktop Connection Broker (RDCB).
Space Disp обеспечивает следующие функции для работы с пулами ВРС:
- отображение списка пулов;
- создание пула ВРС;
- отображение информации о каждом пуле;
- отображение списка ВМ для каждого пула;
- отображение списка пользователей для каждого пула;
- добавление пользователя к пулу;
- исключение пользователя из пула;
- отображение групп пула;
- добавление группы к пулу;
- удаление группы из пула;
- удаление статического/RDS пула (не удаляет ВМ на SpaceVM);
- удаление гостевого пула по таймеру;
- удаление автоматического пула (удаляет ВМ на SpaceVM).
Space Disp обеспечивает при создании автоматического пула ВРС задание следующих параметров:
- имя пула;
- тип подключения;
- контроллер SpaceVM;
- пул ресурсов;
- кластер;
- сервер;
- шаблон ВМ (золотой образ);
- пул данных;
- шаблон имени ВМ;
- начальное количество ВМ;
- максимальное количество создаваемых ВМ;
- пороговое количество свободных ВМ;
- количество создаваемых ВМ;
- включение режима тонких клонов.
Space Disp обеспечивает создание новых экземпляров ВРС в автоматическом пуле при возникновении следующих событий:
- создание нового автоматического пула (количество создаваемых ВРС соответствует параметру Начальное количество ВМ);
- при подключении нового пользователя пула к свободному ВРС с использованием клиентского программного обеспечения (ПО) Space Client, если в этот момент количество свободных экземпляров ВРС стало меньше или равно параметру Пороговое количество свободных ВМ (количество создаваемых ВРС соответствует параметру Шаг расширения пула).

Примечания

В Space Disp в автоматическом пуле не может быть создано новых ВРС больше, чем указано в параметре Максимальное количество создаваемых ВМ.
При достижении Порогового количества свободных ВМ одновременно создается то количество новых ВМ, которое указано в настройках пула в параметре Шаг расширения пула, но не более значения, заданного в параметре Максимальное количество создаваемых ВМ.

Space Disp обеспечивает в автоматическом пуле ВРС создание имен ВМ в соответствии с заданным шаблоном имени (например, VDI-A-01, VDI-A-02).
Space Disp обеспечивает возможность автоматического создания ВРС в автоматическом пуле на базе подготовленного шаблона ВМ SpaceVM, в режиме тонких клонов (linked clones). В этом случае во время работы ВМ сохраняются только динамические данные запущенной ВМ, а при её выключении – все данные ВМ удаляются. Каждая новая запущенная ВМ является копией подготовленного шаблона с тем набором данных, который в нем хранится.
Space Disp обеспечивает при создании статического пула ВРС задание следующих параметров:
- имя пула;
- контроллер SpaceVM;
- кластер;
- сервер;
- пул данных.
Space Disp обеспечивает при создании статического пула выбор свободных ВМ на базе SpaceVM, которые будут использоваться в качестве ВРС.
Space Disp обеспечивает автоматическое назначение соответствия свободного экземпляра ВРС и нового пользователя автоматического пула к ВРС при подключении с использованием клиентского ПО Space Client.
Space Disp обеспечивает возможность назначения администратором соответствия свободного экземпляра ВРС и нового пользователя автоматического или статического пулов к ВРС через графический интерфейс.
Space Disp обеспечивает возможность снятия администратором соответствия пользователя автоматического или статического пулов и экземпляра ВРС через графический интерфейс.
Space Disp обеспечивает автоматическое подключение пользователя к назначенному экземпляру ВРС при повторных подключениях к автоматическому или статическому пулам с использованием клиентского ПО Space Client.
Space Disp обеспечивает интеграцию со службой каталогов для хранения учетных записей и данных пользователей LDAP (AD).
Space Disp обеспечивает разграничение доступа подключения к пулам ВРС для отдельных пользователей или для групп пользователей.
Space Disp обеспечивает возможность прохождения процедур авторизации и аутентификации с использованием локальных учетных данных пользователей.
Space Disp обеспечивает возможность прохождения процедуры авторизации и аутентификации с использованием учетных данных из внешней базы LDAP (AD).
Space Disp обеспечивает доступ к интерфейсу управления по протоколам HTTP и HTTPS.
Space Disp для организации ВРС поддерживает ВМ и их шаблоны с ОС следующих семейств:
- Windows 7;
- Windows 8.1;
- Windows 10;
- Windows Server 2008;
- Windows Server 2008 R2;
- Windows Server 2012;
- Windows Server 2012 R2;
- Windows Server 2016;
- Windows Server 2019;
- Astra Linux Common Edition «Орел» 1.6 и выше;
- Debian 9 и выше;
- Ubuntu 16.04 LTS и выше;
- Centos 7 и выше.
Space Disp обеспечивает журналирование событий.
Space Disp обеспечивает ограничение по количеству одновременных подключений к ВРС с использованием клиентского ПО Space Client в зависимости от информации, загруженной с файлом лицензии.
Space Disp обеспечивает ограничение по времени использования одновременных подключений к ВРС с использованием клиентского ПО Space Client в зависимости от информации, загруженной с файлом лицензии.
Space Disp обеспечивает загрузку и удаление файла лицензии через графический интерфейс.

Требования к техническим средствам

Space Disp функционирует на базе средств вычислительной техники с характеристиками:
- процессор – не менее двух ядер;
- оперативная память – не менее 4 Гбайт;
- постоянное запоминающее устройство – не менее 32 Гбайт;
- интерфейсы сетевые – не менее 1 Гбит Ethernet.
Space Disp предназначен для использования на серверных платформах с архитектурой x86–64.
Аппаратные требования к физическому серверу:
- процессор должен иметь не менее двух физических ядер и не менее четырех вычислительных потоков;
- объем установленной оперативной памяти должен быть не менее 4 Гбaйт;
- сервер должен иметь возможность установки не менее двух накопителей на жёстком магнитном диске (НЖМД) с интерфейсом SATA/SAS;
- объем установленного НЖМД должен быть не менее 32 Гбайт;
- при установке более одного НЖМД все установленные НЖМД должны быть однотипными;
- сервер должен иметь интерфейс управления IPMI;
- сервер должен иметь не менее двух сетевых портов на материнской (процессорной) плате;
- каждый имеющийся в системе сетевой интерфейс (кроме IPMI) должен поддерживать технологии 1Гбит Ethernet и Jumbo Frame;
- каждый сервер должен иметь не менее одного полноценного интерфейса PCIe для установки дополнительного адаптера.
Для установки Space Disp на сервер необходимо, чтобы данный сервер обладал портом или устройством в соответствии с выбранным методом установки:
- для установки с CD/DVD-диска должен быть внутренний или внешний CD/DVD-привод, а также возможность выбора в BIOS сервера загрузки с диска;
- для установки с USB-накопителя должен быть USB-порт, а также возможность выбора в BIOS сервера загрузки с USB;
- для установки по сети должен быть сетевой интерфейс; для установки через IPMI-интерфейс в IPMI-интерфейсе должна быть поддержка подключения ISO-образа для загрузки.
Программные (функциональные) требования к физическому серверу:
- для работы в штатном режиме используется кластер серверов, в составе SpaceVM, состоящий не менее чем из трех физических серверов для среды выполнения ВМ;
- допускается эксплуатация Space Disp в составе двух физических серверов (без) сети хранения данных с применением ограниченного функционала управления.
Примечание

Ограниченный функционал управления заключается в переводе в ручной режим управляющих механизмов миграции ВМ, отказоустойчивости и распределения ВМ по серверам.
Для корректной работы Space Disp необходимо:
- не менее одного интерфейса 1 Гбит Ethernet для взаимодействия с контроллером SpaceVM;
- не менее одного интерфейса 1 Гбит Ethernet для подключения пользователей.
Примечание

Допускается использование одного интерфейса 1 Гбит Ethernet, если это ограничение не запрещается архитектурой сети и политиками безопасности предприятия.
Для дисковых подсистем серверов общего назначения, применяемых для хранения данных ВМ, применяются те же требования, что и для сервисов, исполняемых внутри самих ВМ.
Для выбора процессоров и памяти, устанавливаемых в серверы кластера Space Disp, необходимо учитывать, что для одной ВМ может быть выделено:
- виртуальных процессоров не более, чем имеющихся в наличии вычислительных потоков;
- виртуальной памяти не более, чем установленной физической памяти.

Требования к программному обеспечению

Сервер Space Disp версии 5.х функционирует на базе ОС Astra Linux Special Edition 1.7 Смоленск.

Для корректной работы и получения обновлений Space Disp в ОС сервера должен быть указан только один источник обновлений – источник производителя.

Требования к квалификации специалистов

Специалист, производящий установку, должен обладать знаниями, соответствующими специализации Администратор Linux, Администратор сетей передачи данных в областях:

установка и настройка ОС Astra Linux;
настройка и эксплуатация систем на базе Linux KVM;
основы построения сетей передачи данных TCP/IP, VLAN, настройка поддержки Jumbo Frame, VLAN на коммутаторах.

Подготовка к работе

Перед началом работы пользователю необходимо у администратора системы виртуализации получить параметры авторизации (имя учетной записи и пароль), с которыми он в дальнейшем будет работать.

Примечание

По умолчанию двухфакторная аутентификация отключена для всех пользователей. Если для пользователя она была включена заранее (пользователь отсканировал QR-код с помощью любого стороннего приложения-аутентификатора, поддерживающего функцию генерации одноразовых паролей (OATH TOTP)), то при авторизации необходимо будет также помимо логина и пароля ввести 6-значный одноразовый пароль, который генерируется сторонним приложением-аутентификатором.

Если учетная запись не была создана, то необходимо воспользоваться параметрами учетной записи, установленной по умолчанию с именем пользователя: vdiadmin и паролем: Bazalt1! .

Если не производилась первоначальная настройка, то ее необходимо выполнить в следующем порядке:

установить Space Disp. Установка выполняется в соответствии с руководством системного программиста Установка программы;
добавить подключение к контроллеру SpaceVM;
создать и настроить пулы виртуальных машин.

Общие правила при работе с программой

Все действия выполняются одинарным нажатием левой клавиши графического манипулятора (далее по тексту — нажатием клавиши) на объект (его изображение или название), на который в данный момент указывает курсор. При этом открываются окна с информацией о состоянии (свойствах) любого объекта кластера, для которого такое окно предусмотрено. Если открытие окна не произошло, значит оно не предусмотрено для этого объекта.

Включение программы

Включение программы происходит с помощью запуска ВМ контроллера Space Disp. В процессе запуска Space Disp автоматически запускаются все службы и сервисы, необходимые для его работы, и становится доступным Web-интерфейс управления.

Для начала работы пользователю необходимо авторизоваться в Web-интерфейсе управления. Для этого необходимо выполнить следующие действия:

проверить следующие возможности браузера, установленного на автоматическое рабочее место, для нормального функционирования интерфейса управления:
- браузер поддерживает протокол HTTPS;
- браузер поддерживает исполнение HTML5 и JavaScript-кода;
- браузер позволяет интерфейсу управления открывать дополнительные окна (вкладки);
осуществить доступ к Web-интерфейсу управления Space Disp. Для этого пользователю необходимо ввести в строке адреса браузера адрес Space Disp, который был настроен при установке Space Disp.
Примечания
1. Если было использовано значение по умолчанию, то IP-адрес интерфейсу управления назначается автоматически.
2. После установки доступ к Web-интерфейсу автоматически перенаправляется на протокол HTTPS.
3. Первоначально для доступа по HTTPS используется самоподписанный сертификат, созданный автоматически в процессе установки ПО. Для корректной работы необходимо заменить HTTPS-сертификат на валидируемый локальным или глобальным центром сертификации.
в Web-интерфейсе управления Space Disp ввести имя учетной записи и пароль. Вход в систему возможен двумя способами:
- с использованием локальной учетной записи (переключатель LDAP выключен);
- с использованием внешней учетной записи (переключатель LDAP включен).
Более подробная информация приведена в руководстве системного программиста Первоначальная настройка;
после успешной авторизации пользователь переходит в основное окно интерфейса.

Одновременно у пользователя может быть только одна активная сессия. После прохождения процедуры аутентификации ранее выданные сессионные ключи блокируются (уникальность считается по пользователю, независимо от типа подключения).

Окно интерфейса

Основное меню

В левой части окна интерфейса находится основное меню, позволяющее создавать и администрировать инфраструктуру ВРС и содержащее разделы: Контроллеры, Виртуальные пулы, Физические пулы Тонкие клиенты, Ресурсы, Настройки, Журнал и Статистика.

При выборе раздела Контроллеры основного меню программы отображаются подключенные контроллеры SpaceVM.

При выборе раздела Виртуальные пулы основного меню программы отображаются имеющиеся в системе пулы виртуальных машин. При выборе раздела Физические пулы основного меню программы отображаются имеющиеся в системе пулы физических машин.

При выборе раздела Тонкие клиенты основного меню программы отображаются подразделы Подключения и Настройки.

При выборе раздела Ресурсы основного меню программы отображаются подразделы Кластеры, Пулы ресурсов, Серверы, Пулы данных, Шаблоны и Виртуальные машины, Физические машины.

При выборе раздела Настройки основного меню программы отображаются подразделы Лицензирование, Система, Кэширование и SMTP.

При выборе раздела Безопасность основного меню программы отображаются Пользователи, Службы каталогов, Сессии и Группы.

При выборе раздела Журнал основного меню программы отображаются подразделы События, События безопасности, События контроллеров, Задачи и Настройки.

При выборе раздела Статистика основного меню программы отображается подраздел Статистика подключений.

При переходе от одного раздела/подраздела к другому в основной рабочей области окна интерфейса изменяется список объектов, относящийся к данному разделу/подразделу. Список объектов представлен в виде таблицы. Строки таблицы, содержащие данные об объектах, при работе которых обнаруживаются ошибки, подсвечиваются красным цветом. Общую информацию о состоянии объекта можно получить, нажав на его название.

При отображении информации некоторые объекты или параметры помечаются кнопкой . Для них предусмотрена возможность редактирования. При нажатии на кнопку открывается окно редактирования соответствующего параметра или объекта, в котором существует возможность внесения изменений, после чего необходимо применить их, нажав на кнопку применения изменений.

В правой верхней части окна интерфейса отображается имя пользователя, авторизовавшегося в системе.

Рабочую область, содержащую информацию об объектах инфраструктуры ВРС, можно обновить. Обновление всей отображаемой информации осуществляется при нажатии на кнопку .

При работе с окнами существует возможность их закрытия при нажатии на кнопку .

При работе с интерфейсом существует возможность выбора режима день/ночь при нажатии на кнопку .

Документация

В левой верхней части окна интерфейса содержится раздел технической документации Space Disp. Нажав на кнопку открывается новое вкладка браузера, содержащая справочные и эксплуатационные документы для работы с данным ПО.

Ended: Space Dispatcher

Профили использования

Описание профилей использования

В таблице приведены основные профили использования виртуальных рабочих столов исходя их типовых рабочих нагрузок.

Профиль	Категория сотрудников	Выполняемые действия
Тип 1	Офисный сотрудник с низкой нагрузкой	- Работа с офисными приложениями (текстовые редакторы, таблицы, презентации). Использование Web-браузера без просмотра видео. - Работа с ERP-системами через "тонкие" клиенты.
Тип 2	Офисный сотрудник с низкой нагрузкой	- Работа с офисными приложениями (текстовые редакторы, таблицы, презентации). Использование ВКС не более 20% от времени работы. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Использование Web-браузера с просмотром видео в full-hd не более 20% от времени работы.
Тип 3	Офисный сотрудник со средней нагрузкой	- Работа с офисными приложениями (текстовые редакторы, таблицы, презентации). Использование ВКС не более 50% от времени работы. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Использование Web-браузера с просмотром видео в full-hd не более 50% от времени работы.
Тип 4	Офисный сотрудник со средней нагрузкой	- Работа с офисными приложениями (текстовые редакторы, таблицы, презентации). Использование ВКС не более 50% от времени работы. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Работа в САПР или графических редакторах в режиме 2D с проектами небольших размеров. - Использование Web-браузера с просмотром видео в full-hd не более 50% от времени работы.
Тип 5	Офисный сотрудник с высокой нагрузкой	- Работа с офисными приложениями с средним объемом данных. - Использование ВКС без ограничений. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Работа в САПР или графических редакторах в режиме 3D с проектами средних размеров. - Использование программ математического вычисления. - Использование Web-браузера с большим (более Х вкладок) с просмотром видео в full-hd без ограничений.
Тип 6	Офисный сотрудник с высокой нагрузкой	- Работа с офисными приложениями с большим объемом данных. - Использование ВКС без ограничений. - Работа с ERP-системами, как через "тонкие", так и через "толстые" клиенты. - Работа в САПР или графических редакторах в режиме 3D с большими проектами. - Использование программ математического вычисления. - Использование Web-браузера с большим (более Х вкладок) с просмотром видео в full-hd без ограничений.

Расчет CPU

Рекомендуемые количество vCPU и коэффициент переподписки vCPU:CPU для предлагаемых профилей использования содержатся в разделе Профили использования.

Количество vCPU на одну ВМ

Определение необходимого количества выделяемых одной ВМ vCPU должно производится исходя из системных требований предъявляемых к ОС и используемому программному обеспечению, и по результатам анализа рабочих нагрузок пользователей.

Анализ реального потребления вычислительных ресурсов рекомендуется проводить с использованием ПО мониторинга. Такой анализ может быть выполнен для каждой типовой группы сотрудников при выполнении ими типичных рабочих задач с использованием ОС и программного обеспечения, которое планируется использовать в инфраструктуре удаленных рабочих столов.

Коэффициент переподписки vCPU:CPU

Количество выделенных vCPU включенным ВМ может быть больше, чем имеющееся количество CPU (количество потоков) в кластере. Соотношение числа выделенных виртуальным машинам vCPU к общему количеству CPU называется коэффициент переподписки vCPU:CPU и считается по формуле vCPU/CPU.

Выбирать коэффициент переподписки при проектировании следует с осторожностью, отталкиваясь от специфики выполняемых задач. Предположим, что для группы пользователей ситуация, когда более 25% пользователей одновременно выполняют ресурсоемкие операции, требующие 100% вычислительной мощности ВМ, является нетипичной, и вероятность ее возникновения стремится к нулю. Тогда, при проектировании VDI допустимо использовать коэффициент переподписки vCPU:СPU равный 4. Это позволит увеличить максимально возможное количество пользователей или сократить физическое количество CPU в четыре раза, по сравнению с вариантом без переподписки. Однако, если для группы пользователей типична ситуация, когда большинство пользователей выполняет ресурсоемкие операции в течении всего рабочего дня, и все ВМ задействованы постоянно с загрузкой vCPU 50% и выше, то будет правильным уменьшить коэффициент переподписки vCPU:СPU до 2 или менее (если загрузка vCPU>50%), или вовсе принять равным 1.

Для определения подходящего коэффициента переподписки vCPU:CPU стоит провести анализ активности пользователей и среднего количества одновременного выполнения задач, связанных с высокими нагрузками на CPU.

vGPU

Для ВМ с vGPU следует использовать коэффициент переподписки vCPU:CPU не более 2. Подробная информация содержится в разделе Рекомендации к использованию vGPU.

Использование групп ВМ с разным коэффициентом переподписки vCPU:CPU

Для разделения групп пользователей с разными коэффициентами переподписки vCPU:CPU следует использовать отдельные пулы ресурсов в SpaceVM.

Расчет объема RAM

Рекомендуемый объем RAM для предлагаемых профилей использования содержится в разделе Профили использования.

Необходимый объем оперативной памяти для одной ВМ рассчитывается из системных требований к ОС и используемому программному обеспечению, а также по результатам анализа рабочих нагрузок пользователей.

Анализ реального потребления вычислительных ресурсов рекомендуется проводить с использованием ПО мониторинга. Такой анализ может быть выполнен для каждой типовой группы сотрудников при выполнении ими типичных рабочих задач с использованием ОС и программного обеспечения, которое планируется использовать в инфраструктуре удаленных рабочих столов.

Необходимый объем RAM для одной ВМ выбирается таким образом, чтобы в пиковых нагрузках при выполнении сотрудниками рабочих задач использовалось не более 90% от выделенного объема RAM. При использовании более 90% от выделенного ВМ объема RAM может происходить снижение производительности вплоть до сбоев работы некоторых программ.

Файл подкачки

Использование файлов подкачки (SWAP) в виртуальной среде приведёт к потере производительности, поэтому вместо создания файла подкачки большого объема рекомендуется ограничить SWAP в пределах 200-500 Мб и добавить необходимый объем оперативной памяти.

Расчет СХД

Основными критериями выбора систем хранения данных помимо отказоустойчивости и стоимости являются объем и производительность.

Рекомендуемые объем и производительность HDD для предлагаемых профилей использования содержатся в разделе Профили использования.

Объем

Объем СХД выбирается исходя из сценариев использования ВРС.

При использовании тонких клонов в автоматическом пуле ВМ хранится на СХД только виртуальные диски шаблона и дельты (отличия дисков тонкого клона от дисков шаблона), которая формируется из пользовательских файлов. Как правило, размер дельты находится в пределах 10-30 Гб.

Размер дельты

Если сценарии использования тонких клонов связанны с изменением большого числа файлов, например, обновление или переустановка ОС, размер дельты может достигать полного объема используемых виртуальных дисков.

В случаях, когда используются ВМ с виртуальными дисками с предварительно выделенным местом, объем, занимаемый такими жесткими дисками, равен полному объему виртуальных дисков.

При использовании ВМ с виртуальными дисками без предварительного выделения места объем, занимаемый такими дисками, равен объему информации, записанной на эти диски, и может составлять от 0% до 100% объема виртуального диска.

Также в SpaceVM предусмотрена возможность хранения образов дисков, резервных копий и произвольных файлов. Это стоит учитывать при проектировании инфраструктуры.

Производительность

Производительность систем хранения данных - это количество операций ввода/вывода, которые может обработать СХД за единицу времени. Несмотря на то, что обычно типовая ВМ при нормальной рабочей нагрузке ВМ требует производительности от СХД 10-50 IOps, при старте ВМ может создавать нагрузку до 600 IOps. Массовый старт ВМ, например, в начале рабочего дня, который сопровождается повышенным количеством обращений к системам хранения данных, называется Boot Storm.

Во время Boot Storm соотношение операций на чтение/запись обычно составляет около 80/20, при этом максимальное количество IOps, которое генерирует 1 виртуальная машина при старте может составлять до 600 IOps. При нормальной работе, т.е. после завершения Boot Storm, соотношение операций на чтение/запись обычно составляет около 20/80, однако и количество IOps генерируемых одной ВМ составляет 10-50 IOps. Следует учитывать количество и соотношение одновременно запускаемых и работающих ВМ при проектировании инфраструктуры, и выборе СХД.

Несмотря на то, что каждая ВМ при загрузке ОС может генерировать нагрузку с соотношением операций на чтение/запись 80/20 до 600 IOps, допускается эксплуатация СХД с производительностью от 150 IOps в расчете на одну ВМ осознанным снижением производительности ВМ во время BootStorm.

В некоторых случаях реальные показатели производительности могут отличаться от расчетных, например, в случае использования СХД с низкой производительностью и одновременном массовом обновлении ПО с перезагрузкой, время отклика дисковых подсистем BM может сильно возрасти.

Расчет сети

Проектирование сетевой инфраструктуры необходимо проводить по результатам анализа, утилизации каналов связи при работе пользователей.

Факторами, сильно влияющими на утилизацию каналов связи, являются:

Тип подключения.
Разрешение монитора.
Количество мониторов.
Сценарий использования.
Передача данных (проброс флеш-накопителей и т.д.).

Так как при подключении к удаленному рабочему столу происходит потоковая передача изображения на клиентское устройство, решающим фактором утилизации каналов передачи данных является изменение изображения на экране. Иными словами, чем более динамичное изображение на мониторе, тем больше данных передается и наоборот, статичное изображение генерирует меньшую нагрузку.

В таблицах ниже приведены средние и максимальные значения генерируемых нагрузок при использовании разных протоколов при разных сценариях работы пользователей. Все измерения проводились при передаче изображения с разрешением Full HD 1920×1080 точек. Стоит отметить, что данные значения являются усредненными, и в разные временные промежутки времени изображение может становиться более или менее динамичным, например, при выделении большого числа ячеек в редакторе таблиц, быстрой прокрутки Web-страниц или вращении 3D модели сложного элемента утилизация сети кратковременно увеличивается вследствие повышения динамики изображения.

Внимание!

Недостаток пропускной способности сети может вызвать появление артефактов изображения, ухудшение отзывчивости управления, снижение частоты кадров, а также замедление передачи данных между клиентом и ВМ.

Native RDP

Сценарий использования	Cреднее	Максимальное
Бездействие системы	50 кбит/с	70 кбит/с
Текстовый процессор	400 кбит/с	1.13 Мбит/с
Табличный процессор	357 кбит/с	1.59 Мбит/с
Web браузер	2.52 Мбит/с	15.2 Мбит/с
Просмотр видео (полный экран)	5.02 Мбит/с	15.3 Мбит/с
CAD	2.34 Мбит/с	30 Мбит/с

таблица 1

Внимание!

В зависимости от выполняемых действий и используемого ПО на ВРС средние и максимальные значения могут отличаться от приведенных в таблице 1.

RDP

При использовании RDP можно выбрать кодек сжатия изображения:

RemoteFX - кодек, который не требует аппаратного ускорения (использует CPU), при использовании которого могут наблюдаться некоторые потери в качестве изображения. Данный эффект наиболее заметен при 3D проектировании, просмотр детализированных изображений и т.д.
H.264/AVC444 - кодек, для которого требуется поддержка со стороны GPU, при использовании которого при достаточной пропускной способности сети не возникает заметной потери качества изображения.
H.264/AVC420 в отличие от H.264/AVC444 не требует аппаратного ускорения (использует CPU), при этом по сравнению с тем же H.264/AVC444 требует более высокую полосу пропускания при примерно равном качестве изображения.

гостевая ОС Windows 10

Сценарий использования	RemoteFX среднее	RemoteFX максимальное
Бездействие системы	30 кбит/с	50 кбит/с
Текстовый процессор	280 кбит/с	1.66 Мбит/с
Табличный процессор	280 кбит/с	1.29 Мбит/с
Web браузер	3.82 Мбит/с	27 Мбит/с
Просмотр видео (полный экран)	13 Мбит/с	26 Мбит/с
CAD	3.34 Мбит/с	35 Мбит/с

таблица 2

Внимание!

В зависимости от выполняемых действий и используемого ПО на ВРС средние и максимальные значения могут отличаться от приведенных в таблице 2.

гостевая ОС Linux

Сценарий использования	RemoteFX среднее	RemoteFX максимальное
Бездействие системы	30 кбит/с	50 кбит/с
Текстовый процессор	550 кбит/с	4.5 Мбит/с
Табличный процессор	1.17 Мбит/с	5.1 Мбит/с
Web браузер	1.48 Мбит/с	11.4 Мбит/с
Просмотр видео (полный экран)	13 Мбит/с	29 Мбит/с

таблица 3

Внимание!

В качестве ОС при тестировании использовался Ubuntu 20.04 с окружением рабочего стола Unity, в качестве текстового и табличного процессора использовался пакет LibreOffice. В качестве RDP сервера с передачей звука использовалась связка xfreerdp и pulseaudio. В зависимости от выполняемых действий и используемого ПО на ВРС средние и максимальные значения могут отличаться от приведенных в таблице 3.

Glint

Сценарий использования	Cреднее	Максимальное
Бездействие системы	0.3 Мбит/с	0.3 Мбит/с
Текстовый процессор	1 Мбит/с	4 Мбит/с
Табличный процессор	1.5 Мбит/с	5 Мбит/с
Web браузер	1.8 Мбит/с	8 Мбит/с
Просмотр видео (полный экран)	6 Мбит/с	20 Мбит/с
3D моделирование	13 Мбит/с	25 Мбит/с

таблица 4

Внимание!

В качестве ОС при тестировании использовался ОС Аstra Linux 1.7.4, в качестве текстового и табличного процессора использовался пакет LibreOffice. В зависимости от выполняемых действий и используемого ПО на ВРС средние и максимальные значения могут отличаться от приведенных в таблице 4.

Пример расчета количества ВМ на сервер

В таблице приведен пример расчета количества ВМ при коэффициенте переподписки CPU равном 4 с резервированием 15% ресурсов.

Сервер	2*Silver 4215R (8С 3.20GHz) 256 Gb	2*Gold 5115 (10C 2.40GHz) 256 Gb RAM	2*Gold 6226(12C 2.70GHz) 512Gb RAM	2*Gold 4214 (12C 2.20GHz) 512Gb RAM	2*Gold 6132(14C 2.6Ghz) 512Gb RAM	２*Gold 6242(16C 2.80GHz) 512Gb RAM	2*Gold 6230 (20C 2.10GHz) 512Gb RAM	2*Gold 5220R(24С 2.20GHz) 512Gb RAM
vCPU max	108	120	163	163	190	217	272	326
RAM max	217	217	435	435	435	435	435	435
Тип 1	37	42	59	59	70	81	102	124
Тип 1	37	42	59	59	70	81	102	108*
Тип 2	21	23	33	33	39	45	57	69
Тип 3	21	23	33	33	39	45	54*	54*
Тип 4	11	12	17	17	21	24	30	37
Тип 6	11	12	17	17	21	24	27*	27*

* - Ограничение в объеме RAM

Внимание

В приведенном в таблице примере расчета не учитывается избыточность, необходимая для функционирования механизма Высокой Доступности.

Ended: Рекомендации по подбору ресурсов Space Dispatcher

Перечень портов и протоколов, задействованных при обмене с SpaceVM

Порты для протоколов RDP, SPICE, VNC задействуется не постоянно и назначаются динамически (при обмене информацией с конкретной ВМ). Детальнее можно ознакомиться в описании Интервал портов.

Перечень портов на SpaceVM

Протокол	Порт/диапазон портов	Примечание
http	80	Веб-интерфейс
https	443	Веб-интерфейс
ws	80
wss	443
rdp	3389	в гостевой ОС
GLINT	3389	в гостевой ОС
Loudplay	8554	в гостевой ОС
spice	5900 - 32767	на узле/контроллере SpaceVM
vnc/rfb	5900 - 32767	на узле/контроллере SpaceVM

Ended: О продукте

Рук-во системного программиста ↵

Установка и базовая настройка ↵

Общие сведения

Для успешной установки программы на ВМ или физическую машину без использования IPMI к ней должны быть подключены следующие устройства:

технологический монитор;
клавиатура;
технологический дисковод DVD-ROM.

В случае невозможности подключить выше перечисленные устройства к серверу или при наличии доступа к серверу по протоколу IPMI или к Web-интерфейсу управления IPMI модуля, следует производить установку используя IPMI.

Необходимые диски

Необходимо обеспечить загрузку следующих DVD-дисков или их iso-образов, используя локальное хранилище в SpaceVM:

установочного диска c ОС Astra Linux Special Edition версии 1.7 релиз Смоленск для Space Disp (далее по тексту – установочного диска);
диска со средствами разработки для c ОС Astra Linux Special Edition версии 1.7 релиз Смоленск для Space Disp (далее по тексту – диска со средствами разработки);
установочного диска Space Disp;
диска с файлом ключа активации Space Disp.

Примечания

Загрузка iso-образов дисков выполняется в соответствии с руководством оператора SpaceVM.

Порядок установки и настройки

Установка и настройка программы осуществляется в следующей последовательности:

Создание ВМ в среде SpaceVM.
Установка и настройка ОС.
Установка Space Disp.
Запуск и первоначальная настройка программы.

Максимальное поддерживаемое количество подключений тонких клиентов на один хост: 2000.

Проверка версии сборки ПО

Для просмотра текущей версии сборки необходимо ввести команду: sudo cat /opt/vdi-build-info.txt

Проверка целостности программы

Непосредственно перед установкой должна быть проверена контрольная сумма установочного компакт-диска Space Disp. Проверка контрольной суммы осуществляется на ЭВМ с установленной ОС Astra Linux Special Edition версии 1.7.

Для проверки контрольной суммы установочного диска необходимо выполнить следующую последовательность действий:

войти в ОС под учетной записью суперпользователя (учетная запись root) и дождаться приглашения ввода консоли;
вставить компакт-диск с дистрибутивом Space Disp в дисковод DVD-ROM;
смонтировать компакт-диск с помощью команды mount /media/cdrom;
перейти в каталог точки монтирования компакт-диска (каталог с содержимым компакт-диска) с помощью команды cd /media/cdrom.

Примечание

Каталог точки монтирования компакт-диска зависит от настроек рабочего места и может отличаться.

в командной строке набрать команду для подсчета контрольной суммы

find . -type f -exec md5sum {} \; | sort -k2 | md5sum

Примечание

Будьте внимательны при наборе команды.

дождаться окончания выполнения введенной команды и получить на мониторе подсчитанную контрольную сумму;
размонтировать компакт-диск с помощью команды cd /; umount /media/cdrom;
извлечь компакт-диск из дисковода DVD-ROM.

Программа считается готовой к установке, если контрольная сумма, отображенная на мониторе ЭВМ для установочного компакт-диска, совпала с контрольной суммой этого диска, записанной в формуляре.

Предупреждение

При несовпадении контрольных сумм запрещается производить дальнейшие действия по установке программы.

Создание ВМ в SpaceVM

Для установки Space Disp на ВМ необходимо создать ВМ со следующими параметрами:

количество ядер CPU - не менее 2;
приоритет CPU – из раскрывающегося списка выбрать приоритет HIGH;
размер RAM – не менее 4096 Мбайт;
операционная система – из раскрывающегося списка выбрать ОС Linux;
версия операционной системы – из раскрывающегося списка выбрать версию ОС Astra Smolensk (64-bit).

Для создания новой ВМ необходимо выбрать раздел Виртуальные машины основного меню интерфейса управления SpaceVM и нажать кнопку Добавить ВМ, после чего откроется окно мастера создания ВМ, в котором с помощью кнопок навигации Дальше или ОК необходимо пройти все этапы создания ВМ, последовательно заполняя поля информацией. В процессе создания производится первоначальная настройка ВМ, необходимая для ее корректного запуска.

Можно создать ВМ на базе ранее созданного шаблона. Для этого в окне Создание виртуальной машины необходимо:

выбрать Перейти к созданию тонких клонов из шаблона;
в открывшемся окне указать название ВМ (необязательно);
выбрать шаблон ВМ из раскрывающегося списка ранее созданных ВМ (при необходимости отредактировать параметры);
выбрать количество создаваемых ВМ (максимально 100);
при необходимости активировать опцию включения после создания (произойдет после создания всех ВМ);
подтвердить операцию, нажав кнопку OK.

В процессе создания ВМ необходимо выполнить следующие шаги:

Первый шаг — настройка параметров ВМ

выбрать из раскрывающегося списка локацию и кластер;
выбрать из раскрывающегося списка сервер при ручном выборе или в автоматическом режиме будет предложен наименее загруженный сервер первоначального размещения;
указать название ВМ;
указать режим определения процессора (оптимальный процессор определяется по наименьшему совпадению функций (флагов) процессоров всех узлов кластера);
указать количество ядер CPU;
указать максимальное количество потоков CPU;
выбрать из раскрывающегося списка приоритет предоставления ресурсов CPU – «LOW», «MEDIUM» или «HIGH»;
указать количество выделяемой оперативной памяти;
выбрать из раскрывающегося списка тип операционной системы – «Windows», «Linux» или «Other»;
выбрать из раскрывающегося списка версию операционной системы;
выбрать чипсет;
выбрать видеокарту:
- тип эмулируемого видео адаптера из раскрывающегося списка - «vga», «cirrus», «gxl» или «virtio»;
- объем памяти из раскрывающегося списка – «16», «32», «64», «128», «256» или «512»;
- количество мониторов из раскрывающегося списка;
выбрать звуковую карту:
- тип эмулируемой аудио карты из раскрывающегося списка – «es1370», «sb16», «ac97», «ich6» или «usb»;
- кодек из раскрывающегося списка – «micro» или «duplex»;
выбрать тип загрузчика – «LegacyMBR» или «UEFI»;
заполнить описание (при необходимости).

ВМ для Space Disp

Для дальнейшей установки Space Disp необходимо выбрать следующие параметры: - количество ядер CPU - не менее 2; - приоритет CPU – из раскрывающегося списка выбрать приоритет HIGH; - размер RAM – не менее 4096 Мбайт; - операционная система – из раскрывающегося списка выбрать ОС Linux; - версия операционной системы – из раскрывающегося списка выбрать версию ОС Astra Smolensk (64-bit).

Внимание

Не рекомендуется превышать количество ресурсов физически присутствующих на узле (сервере), на котором создается ВМ. Необходимо учитывать, что при переносе (миграции) на целевом узле должно быть не меньше физических ресурсов, чем присвоено ВМ. В противном случае ВМ не будет запускаться до исправления ошибки. Если на целевом сервере будет недостаточно свободных ресурсов для запуска ВМ, то она также не запустится.

Для сохранения изменений необходимо нажать кнопку OK и виртуальная машина с заданными параметрами будет создана, но мастер создания ВМ не закроется.

Следующими шагами мастера по созданию ВМ будут:

создание нового или подключение ранее созданного виртуального диска ВМ;
монтирование в виртуальный CD-ROM образ CD/DVD-диска, загруженного в хранилище;
создание виртуального сетевого адаптера ВМ и подключение его к виртуальной сети, к ранее созданному распределенному коммутатору в созданную на нем группу интерфейсов.

Примечание

Каждый из этих шагов можно пропустить или закрыть мастер создания ВМ. В таком случае, все настройки ВМ, которые были пропущены, возможно произвести в окне управления ВМ.

При последовательной настройке ВМ с помощью мастера создания ВМ необходимо перейти к шагу 2.

Второй шаг — подключение дисков

Имеется две возможности:

создать новый виртуальный диск;
добавить существующий.

Для дальнейшей установки Space Disp необходимо нажать кнопку Создать новый и в открывшемся окне выбрать пул данных, на котором находится импортированные iso-образы дисков, задать название, описание и размер виртуального диска равный 40 Гбайт, выбрать тип шины - virtio, тип кеширования - none.

Для подтверждения изменений, нажать кнопку ОК. Название и параметры вновь созданного виртуального диска появятся в списке виртуальных дисков.

Нажать кнопку Дальше для перехода к шагу 3.

Третий шаг — подключение ISO

для установки ОС;
для запуска с live-CD.

Для дальнейшей установки Space Disp необходимо выполнить подключение ISO-образа:

в списке приводов нажать на название привода и в открывшемся диалоговом окне осуществить монтирование iso-образа установочного диска с ОС, нажав на кнопку Монтировать образ;
откроется окно Монтирование iso-образа, в котором необходимо выбрать тип хранилища, его наименование и iso-образ установочного диска;
для сохранения изменений нажать кнопку Монтировать.

Нажать кнопку Дальше для перехода к шагу 4.

Четвертый шаг — создание сетевых интерфейсов

Для создания сетевого интерфейса необходимо нажать кнопку Добавить и в открывшемся окне Добавить виртуальный интерфейс заполнить следующие поля:

виртуальная сеть (выбор из раскрывающегося списка). Необходимо выбрать виртуальную сеть, имеющую доступ к IP-адресу управления контроллером SpaceVM;
MAC-адрес. Поле МАС-адрес является необязательным для заполнения. Если не указывать MAC-адрес, то он будет сгенерирован автоматически;
сетевую карту (выбор из раскрывающегося списка). В качестве модели сетевой карты можно выбрать «virtio», «e1000», «rtl8139» или «vmxnet3», в зависимости от поддерживаемых вариантов в устанавливаемой ОС;
описание виртуального интерфейса (при необходимости).

Для сохранения изменений необходимо нажать кнопку Отправить. Для перехода к шагу 5 нажать кнопку Дальше.

Пятый шаг — Включение

Выбор опции запуска ВМ после создания (включить или не включить питание ВМ). Для подтверждения операции необходимо нажать кнопку Готово.

После этого происходит возврат в окно со списком ВМ.

При нажатии на уже существующую ВМ открывается окно, в котором содержится информация о ней.

После окончания создания ВМ, во избежание проблем с "мышкой", необходимо сменить графический адаптер на virtio, добавить новый USB2.0 контроллер ehci, а затем удалить базовый USB3.0 контроллер nec xhci.

Примечание

Для корректной работы "мышки" после установки ОС рекомендуется установить гостевого агента.

После окончания создания ВМ необходимо проверить порядок загрузки устройств. В разделе Виртуальные машины - <название ВМ> - Опции загрузки в окне управления загрузчиком используемое при загрузке устройство с образом установочного диска должно стоять первым.

Установка ОС ASTRA LINUX SPECIAL EDITION 1.7

Примечание

Подготовка к установке ОС представлена в приложении.

На экране монитора появится окно, содержащее логотип ОС и меню, в котором необходимо выбрать язык установки Русский и нажать клавишу Enter (рис. 1).

Рис. 1

На экране появится предложение о принятии лицензионного соглашения. Необходимо нажать кнопку Продолжить для дальнейшей инсталляции.
Интерфейс меню перейдет на русский язык, после чего необходимо выбрать Графическая установка и нажать клавишу Enter (рис. 2).

Рис. 2

На экране появится окно Настройка клавиатуры (рис. 3), где необходимо выбрать Alt+Shift или любую другую комбинацию переключения клавиатуры между раскладками и нажать кнопку Продолжить.

Рис. 3

На экране появится окно Настройка сети (рис. 4), где необходимо ввести имя компьютера. Можно оставить имя "по умолчанию" (или поменять, например, astra) и нажать кнопку Продолжить.

Рис. 4

После этого открывается окно Настройка учетных записей пользователей и паролей (рис. 5), в котором необходимо ввести полное имя нового пользователя, например, astravdi (нельзя создавать vdiadmin - это имя закреплено за vdi broker), и нажать кнопку Продолжить.

Рис. 5

Затем необходимо дважды ввести пароль, например Bazalt1! для созданного пользователя в поля Введите пароль для нового администратора и Введите пароль еще раз (рис. 6) после чего нажать кнопку Продолжить.

Рис. 6

Примечания

Пароль может включать в себя строчные буквы, цифры и знаки пунктуации.
Длина пароля должна быть не менее восьми символов.
Пароль на экране отображается большими черными точками.
В дальнейшем в процессе эксплуатации в целях безопасности рекомендуется сменить пароль.

В следующем окне Настройка времени (рис. 7) необходимо выбрать часовой пояс (например, Москва) и нажать кнопку Продолжить.

Рис. 7

Далее программа установки ОС начинает разметку дисков. Для этого в появившемся окне Разметка дисков (рис. 8) необходимо выбрать Авто – использовать весь диск и нажать кнопку Продолжить.

Рис.8

В следующем окне Разметка дисков (рис. 9) необходимо выбрать диск, на который будет установлена ОС, и нажать кнопку Продолжить.

Рис. 9

После этого в окне Разметка дисков необходимо указать схему разметки Все файлы в одном разделе (рекомендуется новичкам) (рис. 10) и нажать кнопку Продолжить.

Рис. 10

По окончании разметки необходимо выбрать строку Закончить разметку и записать изменения на диск (рис. 11) и нажать кнопку Продолжить.

Рис. 11

В следующем окне Разметка дисков необходимо выбрать Да (рис. 12), чтобы подтвердить необходимость записи изменений на диск, и нажать кнопку Продолжить.

Рис. 12

Следующим шагом в окне Выбор программного обеспечения необходимо выбрать следующее устанавливаемое программное обеспечение (рис. 13):
- Графический интерфейс Fly;
- Консольные утилиты;
- Средства фильтрации сетевых пакетов ufw;
- Средства удаленного подключения SSH.

И нажать кнопку Продолжить.

Рис. 13

Далее откроется окно Дополнительная настройка ОС необходимо выбрать уровень защищенности Максимальный уровень защищенности "Смоленск" (рис. 14).

Рис. 14

Далее в окне Дополнительная настройка ОС (рис. 15), нужно выбрать только следующие настройки:
- Мандатный контроль целостности;
- Мандатное управление доступом;
- Запрет трассировки ptrace;
- Запрос пароля для команды sudo.

И далее нажать кнопку Продолжить.

Рис. 15

После завершения установки программного обеспечения в открывшемся окне Установка системного загрузчика GRUB на жёсткий диск (рис. 16) необходимо выбрать Да и нажать кнопку Продолжить.

Рис. 16

В открывшемся окне (рис. 17) необходимо ввести пароль для загрузчика GRUB, например Bazalt1!, который надо повторить в следующем окне (рис. 18) и нажать кнопку Продолжить.

Рис. 17

Рис. 18

Затем необходимо дождаться появления окна Завершение установки, в котором будет написано, что установка завершена, и нажать кнопку Продолжить, после чего через некоторое время ВМ перезагрузится.

Space Dispatcher

Описание

Один сервер Space Disp поддерживает до 2000 одновременных подключений с возможностью масштабирования. В одном кластере может быть от одного до семи серверов.

Space Disp обеспечивает отказоустойчивость и балансировку нагрузки. Между серверами одного кластера выполняется периодическая репликация конфигурации. Таким образом, выход одного или нескольких серверов Space Disp не повлияет на доступность инфраструктуры.

Роли Space Disp

DB - база данных (БД), служащая для записи данных (контроллеры, пулы рабочих столов, пользователи и т.д.).

Для базы данных используется отдельный узел (без docker) с установленным PostgreSQL.

База данных не является отказоустойчивой. Пользователь самостоятельно обслуживает и настраивает отказоустойчивость.

Leader - узел управления кластером, на нем также запускается экземпляр Space Disp.
Manager - узел рабочей нагрузки, на нем также запускается экземпляр Space Disp.

Кластер может состоять из более чем одного Manager.

Общее число узлов (за исключением БД) должно быть нечетным для полноценной работоспособности.

При отказе Leader один из Manager становится Leader автоматически. Если Leader восстанавливается, то он возвращается в кластер в качестве Manager.

Установка

Выполнить установку Space Disp на ВМ или физическую машину можно как с физических носителей (DVD-диск или USB-накопитель), так и без использования физических носителей, загрузив iso-образ по протоколу IPMI.

IP-адрес!

Для корректной работы необходимо настроить статический IP-адрес.

Установка выполняется скриптом install.sh.

Для установки необходимы минимум два хоста с ОС Astra Linux SE 1.7.

В качестве хоста может быть использован физический сервер или виртуальная машина.

Наименование!

Для корректной работы необходимо задавать наименование физических серверов или виртуальных машин, отличные друг от друга.

Роль	Порядок установки	Команда
DB	1	sudo bash /media/cdrom/install.sh db
Leader	2	sudo bash /media/cdrom/install.sh multi leader {db_address}
Manager	3	sudo bash /media/cdrom/install.sh multi manager {leader_address}

Установка узла с ролью DB

Установить БД (PostgreSQL) на хост с ОС Astra Linux SE 1.7.
Примонтировать iso-образ установочного диска Space Disp, нажав кнопку Монтировать образ:
- откроется окно Монтирование iso-образа, в котором необходимо выбрать тип хранилища, его наименование и iso-образ установочного диска;
- для сохранения изменений нажать кнопку Монтировать.
Выполнить команду:
```
sudo bash /media/cdrom/install.sh db
```

Во время выполнения необходимо указать логин и пароль пользователя БД.

Установка узла с ролью Leader

Перед установкой при необходимости можно добавить SSL-сертификат.

Установить на второй хост с ОС Astra Linux SE 1.7.
Примонтировать iso-образ установочного диска Space Disp, нажав кнопку Монтировать образ:
- откроется окно Монтирование iso-образа, в котором необходимо выбрать тип хранилища, его наименование и iso-образ установочного диска;
- для сохранения изменений нажать кнопку Монтировать.
Выполнить команду:
```
sudo bash /media/cdrom/install.sh multi leader {db_address} {db_port}
# Пример:
sudo bash /media/cdrom/install.sh multi leader 192.168.5.86 5432
```
Порт 5432 является портом по умолчанию. 4. Указать адрес хоста БД, а также порт.
Ввести имя и пароль пользователя БД.

После успешной установки Leader на экран консоли будет выведен token для подключения новых Manager.

Установка узла с ролью Manager

Установить на третий хост с ОС Astra Linux SE 1.7.
Примонтировать iso-образ установочного диска Space Disp, нажав кнопку Монтировать образ:
- откроется окно Монтирование iso-образа, в котором необходимо выбрать тип хранилища, его наименование и iso-образ установочного диска;
- для сохранения изменений нажать кнопку Монтировать.

Выполнить команду:

sudo bash /media/cdrom/install.sh multi manager {leader_address} {join_token}
# Пример:
sudo bash /media/cdrom/install.sh multi manager 192.168.6.44 SWMTKN-1-3xhz573o9gfz7e78lhm5gyoelmf5jkotwf9d6mtt54tx79wii4-4o13crwblvwidg12nz8v8z5wf

Основные команды

Все команды выполняются на любом удобном узле кластера.

Для просмотра списка узлов в кластере необходимо выполнить команду:

sudo docker node ls
# Пример:
# astravdi@astra:~$ sudo docker node ls
# ID                            HOSTNAME   STATUS    AVAILABILITY   MANAGER STATUS   ENGINE VERSION
# bhsmn9ezcvkk0zx9ddi7ixxkx *   astra      Ready     Active         Leader           20.10.2+dfsg1
# kbag53ttw46jqurv4p3awhm9g     astra      Ready     Active         Reachable        20.10.2+dfsg1
# ktj7he3mjalu4drr4jhgxg4mw     astra      Ready     Active         Reachable        20.10.2+dfsg1

Leader (главный узел управления в кластере) отмечен символом *.

Для просмотра списка сервисов необходимо выполнить команду:
```
sudo docker stack services multivdi
```
Для просмотра token для подключения новых Manager необходимо выполнить команду:
```
sudo docker swarm join-token manager -q
```

Вход в Space Disp

Этап установки Space Disp считается завершенным.

Web-интерфейс доступен по адресу любого узла в кластере. Если один из узлов недоступен, необходимо перейти на другой доступный.

Для входа в Web-интерфейс Space Disp необходимо в строке браузера указать IP-адрес сервераhttps://server_ip_address и далее в окне авторизации использовать параметры по умолчанию: пользователь vdiadmin / пароль Bazalt1!.

Далее переходите к работе в соответствии с Руководством оператора Space Dispatcher.

Для перехода в Web-интерфейс управления Space Disp необходимо в окне браузера АРМ открыть https://server_ip_address, где указать IP-адрес сервера.

Войти в систему, используя параметры учетной записи, установленные "по умолчанию": имя vdiadmin и пароль Bazalt1!.

Авторизация пользователя в среде SpaceVM осуществляется посредством Ключа интеграции, который необходимо активировать в программе Space Disp, выполнив следующие действия:

в рабочей области окна интерфейса перейти в раздел Контроллеры и из списка подключенных контроллеров SpaceVM выбрать нужный контроллер;
перейти во вкладку Информация и в свойствах контроллера нажать на кнопку редактирования параметра Ключ интеграции;
в открывшемся окне в поле редактирования скопировать ключ интеграции;
подтвердить действия, нажав кнопку Изменить.

Примечание

Для получения Ключа интеграции необходимо обратиться к администратору SpaceVM. Нужно учесть, что выданный Ключ интеграции не должен быть привязан к IP-адресу.

Ended: Установка и базовая настройка

Обновление ↵

Обновление Space Disp с версии 5.2 на версию 5.3

Роли Space Disp

Начиная с версии 5.3 реализована установка Space Disp с ролями DB, Leader и Manager.

DB - база данных (БД), служащая для записи данных (контроллеры, пулы рабочих столов, пользователи и т.д.).

Для базы данных используется отдельный узел (без docker) с установленным PostgreSQL.

База данных не является отказоустойчивой. Пользователь самостоятельно обслуживает и настраивает отказоустойчивость.

Leader - узел управления кластером, на нем также запускается экземпляр Space Disp.
Manager - узел рабочей нагрузки, на нем также запускается экземпляр Space Disp.

Кластер может состоять из более чем одного Manager.

Общее число узлов (за исключением БД) должно быть нечетным для полноценной работоспособности.

При отказе Leader один из Manager становится Leader автоматически. Если Leader восстанавливается, то он возвращается в кластер в качестве Manager.

Web-интерфейс доступен по адресу любого узла в кластере. Если один из узлов недоступен, необходимо перейти на другой доступный.

Внимание

Для успешной установки обновления необходим дополнительный хост с установленной ОС Astra Linux SE 1.7. В качестве хоста может быть использован физический сервер или виртуальная машина.

Обновление текущей инсталляции Space Disp

На хосте с текущей инсталляцией Space Disp версии 5.2 необходимо примонтировать установочный iso-образ Space Disp и выполнить команду:
```
sudo bash /media/cdrom/uninstall.sh
```
Команда отвечает за удаление Space Disp с сохранением базы данных.
Следующим шагом необходимо выполнить команду для обновления базы данных:
```
sudo bash /media/cdrom/install.sh db
```
После ввода команды необходимо указать имя пользователя БД vdi и дважды ввести новый пароль пользователя.
```
Пример:

Insert database (postgresql) username:
vdi
Insert database (postgresql) password:
Repeat database (postgresql) password:
```
Примечание

Рекомендуется использовать надежный пароль.

В результате хост с Space Disp версии 5.2 обновится до версии 5.3 и станет узлом с ролью DB.

Добавление узла с ролью Leader

Обновление SSL-сертификата

Для добавления необходимо использовать ранее подготовленный хост с установленной ОС Astra Linux SE 1.7.
С хоста с ролью DB необходимо скопировать файл /root/local_settings.py в директорию /opt/multivdi/app/common.

Внимание

/opt/multivdi/app/common директорию необходимо предварительно создать.
С хоста с ролью DB необходимо скопировать файл /root/.prod_uuid (если он существует) в директорию /opt/multivdi.

# Пример (на машине db):
$ sudo scp /root/local_settings.py astravdi@192.168.128.185:
The authenticity of host '192.168.128.185 (192.168.128.185)' can't be established.
ECDSA key fingerprint is SHA256:0G7GgsK37+Sc9cctZU/tE2rKHAi8ZrLSd9Rtx4dbn7I.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.128.185' (ECDSA) to the list of known hosts.
astravdi@192.168.128.185's password:
local_settings.py                                                                                                                                 100%  759     2.2MB/s   00:00

$ sudo scp /root/.prod_uuid astravdi@192.168.128.185:
astravdi@192.168.128.185's password:
.prod_uuid                                                                                                                                        100%   37   114.6KB/s   00:00

# Пример (на машине leader)
$ sudo mkdir -p /opt/multivdi/app/common
$ sudo mv $HOME/local_settings.py /opt/multivdi/app/common/
$ sudo mv $HOME/.prod_uuid /opt/multivdi/

В результате на хосте с ролью Leader в директории /opt/multivdi/app/common должен находиться файл local_settings.py.

# Пример:
$ ls -la /opt/multivdi/app/common/
итого 12
drwxr-xr-x 2 root     root     4096 авг 30 10:53 .
drwxr-xr-x 5 root     root     4096 авг 30 10:49 ..
-rw------- 1 astravdi astravdi  759 авг 30 10:52 local_settings.py

А в директории /opt/multivdi должен находиться файл .prod_uuid.

# Пример
$ ls -la /opt/multivdi/
итого 16
drwxr-xr-x 3 root     root     4096 авг 30 12:44 .
drwxr-xr-x 5 root     root     4096 авг 30 12:44 ..
drwxr-xr-x 3 root     root     4096 авг 30 12:44 app
-rw------- 1 astravdi astravdi   37 авг 30 12:42 .prod_uuid

Далее необходимо на хост с ролью Leader примонтировать установочный iso-образ Space Disp и запустить команду для установки:

sudo bash /media/cdrom/install.sh multi leader {db_address} {db_port}

# Пример:
sudo bash /media/cdrom/install.sh multi leader 192.168.128.183 5432

В команде необходимо указать адрес хоста с ролью DB и порт для подключения (по умолчанию 5432).

Переход с совместимых платформ на Space Dispatcher

Перед переходом с совместимых платформ на Space Disp необходимо выполнить переход с совместимых платформ виртуализации на SpaceVM.

Внимание!

Список совместимых платформ: VeiL Broker. Переход на Space Disp доступен с версии 4.1.6. Актуально для совместимых платформ, установленных на виртуальные машины (ВМ) и аппаратные платформы (АП).

Запросить iso-образ Space Disp.
Сохранить iso-образ на ВМ или АП любым удобным способом
Монтировать iso-образ:

  sudo mount -o loop space-dispatcher*.iso /media/cdrom

Выполнить команду:

  sudo bash /media/cdrom/install.sh

Размонтировать iso-образ:

 sudo umount /media/cdrom

Внимание!

При переходе с совместимой платформы на Space Disp лицензия остается действительной.

Обновление Space Disp

Предупреждение

Для обновления всех узлов необходимо использовать установочный iso-образ Space Disp одной версии.

Обновление узла с ролью DB

На узел с ролью DB примонтировать установочный iso-образ Space Disp и выполнить команду:

sudo bash /media/cdrom/install.sh db

Во время выполнения обновления необходимо указать логин и пароль пользователя БД.

Обновление Leader

На узел с ролью Leader примонтировать установочный iso-образ Space Disp и выполнить команду:

sudo bash /media/cdrom/install.sh multi update-leader

Во время обновления Leader будет предложено изменить пароль пользователя БД.

Рекомендуется использовать надежные пароли.

Продолжительность обновления!

Обновление выполняется от 5 до 10 минут.

Для проверки необходимо ввести команду sudo docker ps. Если обновление выполнено успешно, то все контейнеры будут иметь статус healthy.

Пример:

$ sudo docker ps

CONTAINER ID   IMAGE                                 COMMAND                  CREATED              STATUS                        PORTS     NAMES
3bd6cbd952ca   space-dispatcher-backend:5.3.0.466    "sh -c 'python monit…"   About a minute ago   Up About a minute (healthy)             multivdi_vdi-monitor-worker.1.a9sko2qxqapsmfdfn90y3ylub
29fef085c3c7   space-dispatcher-frontend:5.3.0.466   "/docker-entrypoint.…"   2 minutes ago        Up 2 minutes                  80/tcp    multivdi_vdi-frontend.tav6icmrj1k6kzt4opig1d7s0.nl3kp5bbyvqcjdwrkgmn4025c
f36daa15fb9b   space-dispatcher-backend:5.3.0.466    "sh -c 'python vm_ma…"   3 minutes ago        Up 3 minutes (healthy)                  multivdi_vdi-vm-manager.1.kmvrwnhpgsfufttr321th35r4
8fcfc457b61a   space-dispatcher-backend:5.3.0.466    "sh -c 'python pool_…"   3 minutes ago        Up 3 minutes (healthy)                  multivdi_vdi-pool-worker.1.0br3txb5mu37wbta7h5ppyj2f
2d046a626048   space-dispatcher-backend:5.3.0.466    "sh -c 'python web_a…"   3 minutes ago        Up 3 minutes (healthy)                  multivdi_vdi-tornado.tav6icmrj1k6kzt4opig1d7s0.wch2eah23im7fzvb7wm8w6ua3

Обновление Manager

На узел с ролью Manager примонтировать установочный iso-образ Space Disp и выполнить команду:

sudo bash /media/cdrom/install.sh multi update-manager

Ended: Обновление

Пользовательские SSL-сертификаты

Сертификат должен называться ssl.crt, а ключ ssl.key.

Первичная установка Space Disp

Перед установкой Space Disp на хосте, подготовленном для роли Leader, необходимо создать каталог хранения SSL-сертификатов командой:
```
sudo mkdir -p /opt/multivdi/ssl
```
Скопировать в каталог /opt/multivdi/ssl сертификат и ключ SSL (закрытый и открытый).

Пример

$ ls -la /opt/multivdi/ssl/
итого 16
drwxr-xr-x 2 root root 4096 авг 18 10:25 .
drwxr-xr-x 3 root root 4096 авг 16 12:59 ..
-rw-r--r-- 1 root root 1449 авг 18 10:25 ssl.crt
-rw------- 1 root root 1705 авг 18 10:25 ssl.key

Обновление SSL-сертификатов

Для обновления SSL-сертификатов на существующей инфраструктуре необходимо скопировать (на все узлы) в каталог /opt/multivdi/ssl сертификат и ключ (открытый и закрытый).
Пример
```
$ ls -la /opt/multivdi/ssl/
итого 16
drwxr-xr-x 2 root root 4096 авг 18 10:25 .
drwxr-xr-x 3 root root 4096 авг 16 12:59 ..
-rw-r--r-- 1 root root 1449 авг 18 10:25 ssl.crt
-rw------- 1 root root 1705 авг 18 10:25 ssl.key
```
Примонтировать установочный iso-образ Space Disp (начиная с версии 5.3) и запустить выполнение ssl (на всех узлах) командой:

sudo bash /media/cdrom/install.sh multi ssl

Проверить, что сертификаты обновились. Для этого необходимо в окне браузера открыть https://server_ip_address.

Лицензирование

Внимание

Повторное использование уникальной лицензии является нарушением Лицензионного соглашения!

Информация о лицензии содержит:

Название.
Компания.
Электронная почта.
Количество доступных тонких клиентов.
Количество активных тонких клиентов.
Количество доступных клиентов Loudplay.
Количество активных клиентов Loudplay.
Физические пулы.
Дата окончания лицензии.
Дата окончания сервисной поддержки.

!!! note "Примечания" При загрузке нескольких лицензий суммируются данные по следующим полям - количество возможных одновременных сессий и сессии Loudplay (при наличии).

!!! note "Даты завершения" Итоговые даты завершения лицензии и даты завершения сервисной поддержки принимаются по наиболее поздней из всех лицензий.

Установка и регистрация ключа активации

Для установки лицензионного ключа активации для Space Disp с диска необходимо выполнить следующие действия:

установить компакт-диск с ключом в технологический или внешний дисковод DVD-ROM АРМ;
смонтировать диск с помощью команды

mount /media/cdrom
осуществить копирование файла с ключом активации в систему с помощью команды

cp -r /media/cdrom /opt/devel/
размонтировать диск с помощью команды

umount /media/cdrom

Для регистрации лицензионного ключа активации необходимо перейти в Web-интерфейс управления Space Disp и выполнить следующие действия:

перейти в раздел Настройки – Лицензирование;
нажать на кнопку Выбрать файл лицензии;
в стандартном окне загрузки файлов выбрать файл <название>_license.key (где <название> – название файла), находящийся в каталоге /opt/broker_key/, и нажать Открыть.

Немасштабируемая лицензия

Немасштабируемая лицензия разрешает использовать в полном объеме функциональные возможности Space Disp(Space VDI) без возможности расширения путем приобретения дополнительных лицензий.

Если есть масштабируемые (расширяемые) действующие лицензии, то они будут переведены в Неактивные лицензии до удаления немасштабируемой.
Если загружено несколько немасштабируемых лицензий, то будет активна только первая загруженная.
Немасштабируемая лицензия не суммируется с другими лицензиями.

Инструкция по получению Loudplay лицензии

Для получения лицензии Loudplay необходимо:

Установить дистрибутив Loudplay-server согласно инструкции производителя.
Запустить и перейти в лог-файл сервера logs/server_date.log, где необходимо найти строку:

«please, obtain a license for id: xxx-xxx-xxx (id виртуальной машины).
Сохранить ID виртуальной машины.
Прислать на почту info@loudplay.io с содержанием:

Тема: запрос на получении тестовой лицензии Loudplay для SPACE VM

ID VM: xx-xxx-xxx (полученный id на п.2. данной инструкции).

Название заказчика или проекта: _________
В ответном письме будет приложен файл lp.lic.
Полученный файл необходимо поместить в корневую папку сервера, где также находятся «bin», «config», «logs».

Если необходимо запустить несколько ВМ, то необходимо прислать ID для каждой ВМ.

Удаление Space Disp

Инструкция по удалению представлена для версии 5.2 и ниже.

Удаление с сохранением БД

На узле с установленным Space Disp необходимо примонтировать установочный iso-образ Space Disp и выполнить команду:

sudo bash /media/cdrom/uninstall.sh

В результате будет выполнено удаление Space Disp и его зависимостей с сохранением БД (postgresql).

Полное удаление

На узле с установленным Space Disp необходимо примонтировать установочный iso-образ Space Disp и выполнить команду:

sudo bash /media/cdrom/uninstall.sh full

В результате будет выполнено удаление Space Disp, его зависимостей и БД (postgresql).

Сообщения системному программисту

Действия системного программиста должны осуществляться в соответствии с подсказками, выдаваемыми в процессе инсталляции и настройки программы на экране монитора.

Ended: Рук-во системного программиста

Рук-во оператора ↵

Контроллеры

Контроллер – это узел управления средой SpaceVM. Space Disp взаимодействует с контроллером SpaceVM посредством API для выполнения следующих операций:

клонирование, запуск и остановка ВМ;
получение параметров ВМ для подключения клиентов к ВРС.

При выборе раздела Контроллеры в рабочей области окна интерфейса открывается вкладка Контроллеры, содержащая список подключенных контроллеров SpaceVM, включая их имена, IP-адреса, описание и статусы. В окне управления доступны следующие операции:

обновление информации;
добавление контроллера.

Для добавления связи с новым контроллером SpaceVM необходимо нажать кнопку Добавить контроллер и в открывшемся диалоговом окне заполнить:

IP-адрес;
название;
ключ интеграции;
описание.

После заполнения всех полей необходимо подтвердить операцию, нажав кнопку Добавить. Название и параметры вновь созданного контроллера появятся в списке имеющихся контроллеров.

Примечания

Пользователь, с которым Space Disp подключается к контроллеру SpaceVM, должен иметь роль Администратор и не должен использоваться для авторизации через Web-интерфейс в SpaceVM. Если данный пользователь не является локальным в SpaceVM необходимо отметить, что учетные данные пользователя проверяются по протоколу LDAP.
Авторизация пользователя в SpaceVM осуществляется посредством Ключа интеграции, который генерируется в свойствах пользователя в SpaceVM и вносится в поле Ключ интеграции. Создание ключа интеграции выполняется в соответствии с руководством оператора SpaceVM.

Для изменения или просмотра данных о контроллере необходимо выбрать имя контроллера, после чего в рабочей области отобразится имя выбранного контроллера и информация по нему, разграниченная по следующим вкладкам:

Информация – содержит сведения о контроллере:
- название (редактируемый параметр);
- описание (редактируемый параметр);
- IP-адрес (редактируемый параметр);
- ключ интеграции (редактируемый параметр);
- версия;
- статус.
Кластеры – содержит список всех кластеров на выбранном контроллере, включая их названия, количество серверов, сведения о CPU, сведения о RAM и статусы. Более подробное описание кластеров приведено в кластерах.
Пулы ресурсов – содержит список всех пулов ресурсов на выбранном контроллере, включая их названия, количество ВМ, ограничения по памяти и CPU. Более подробное описание пулов ресурсов приведено в пулах ресурсов.
Серверы – содержит список всех серверов на выбранном контроллере, включая их названия, IP-адреса, сведения о CPU, сведения о RAM и статусы. Более подробное описание серверов приведено в серверах.
Пулы данных – содержит список всех пулов данных на выбранном контроллере, включая их названия, типы, размер свободной и занятой памяти, статусы. Более подробное описание пулов данных приведено в пулах данных.
Шаблоны ВМ – содержит список шаблонов ВМ, размещенных на выбранном контроллере, включая их названия и статусы. Более подробное описание шаблонов ВМ приведено в шаблонах.
Виртуальные машины – содержит список всех ВМ, размещенных на выбранном контроллере, включая их названия, пулы и статусы. Более подробное описание ВМ приведено в виртуальных машинах.
События SpaceVM – содержит список всех событий на SpaceVM, связанных с ключом интеграции пользователя в SpaceVM, который использовался при создании контроллера.

В окне управления контроллером доступны следующие операции:

удаление контроллера. При нажатии на кнопку Удалить контроллер в открывшемся диалоговом окне необходимо подтвердить операцию, нажав кнопку Удалить;
проверка соединения. При нажатии на кнопку Проверка соединения осуществляется автоматическая проверка соединения с контроллером;
включение сервисного режима. Включенный сервисный режим деактивирует контроллер, все операции с контроллером становятся неактивными.

Виртуальные пулы ↵

Пулы

Пулы – логические группы, которые представляют собой организационные единицы (ОЕ), предназначенные для группирования ВРС и применения к ним групповых настроек и политик безопасности.

При выборе раздела Пулы основного меню программы в рабочей области окна интерфейса открывается вкладка Пулы рабочих столов, содержащая список имеющихся пулов ВРС, включая их названия, названия контроллеров, количество доступных ВМ, количество пользователей, имеющих доступ к данному пулу, типы и статусы пулов. В окне управления пулами становится доступна операция добавления нового пула.

Для добавления нового пула ВРС необходимо нажать кнопку Добавить пул, после чего откроется окно мастера создания пула ВМ, в котором с помощью кнопки навигации Далее и Назад необходимо пройти все этапы создания пула ВРС последовательно заполняя поля информацией.

На первом этапе необходимо выбрать тип пула (автоматический, гостевой, статистический или RDS).

На втором этапе для статистического пула необходимо задать:

имя пула (редактируемый параметр);
тип подключения (множественный выбор из раскрывающегося списка).
контроллер (выбор из раскрывающегося списка);
пул ресурсов (выбор из раскрывающегося списка);
фильтрация по серверу (выбор из раскрывающегося списка);
виртуальные машины (множественный выбор из раскрывающегося списка).

Для пула RDS необходимо задать:

имя пула (редактируемый параметр);
тип подключения (множественный выбор из раскрывающегося списка);
контроллер (выбор из раскрывающегося списка);
пул ресурсов (выбор из раскрывающегося списка);
виртуальная машина (выбор из раскрывающегося списка).

Для автоматического пула необходимо задать:

имя пула;
тип подключения (множественный выбор из раскрывающегося списка);
контроллер (выбор из раскрывающегося списка);
пул ресурсов (выбор из раскрывающегося списка);
пул данных (выбор из раскрывающегося списка);
шаблон имени ВМ. Имя шаблона не должно превышать 63 символа и может состоять из букв латинского алфавита, цифр и знаков;
начальное количество ВМ (количество ВМ, которые будут созданы вместе с пулом);
максимальное количество создаваемых ВМ (максимальное количество ВМ пула);
шаг расширения пула (количество ВМ, которые будут создаваться при расширении пула);
пороговое количество свободных ВМ (значение, при достижении которого будет запущено автоматическое расширение пула);
возможность создания тонких клонов (выставить отметку в чек-боксе). Атрибут, используемый при создании ВМ из шаблона;
возможность подготавливать ВМ (выставить отметки в чек-боксе). Атрибуты, указывающие на необходимость запуска процедур, связанных с подготовкой ВМ после их создания.

Для гостевого пула необходимо задать:

имя пула;
тип подключения (множественный выбор из раскрывающегося списка);
контроллер (выбор из раскрывающегося списка);
пул ресурсов (выбор из раскрывающегося списка);
пул данных (выбор из раскрывающегося списка);
шаблон имени ВМ. Имя шаблона не должно превышать 63 символа и может состоять из букв латинского алфавита, цифр и знаков;
начальное количество ВМ (количество ВМ, которые будут созданы вместе с пулом);
максимальное количество создаваемых ВМ (максимальная количество ВМ пула);
шаг расширения пула (количество ВМ, которые будут создаваться при расширении пула);
пороговое количество свободных ВМ (значение, при достижении которого будет запущено автоматическое расширение пула);
время жизни ВМ после потери связи в секундах (отметка времени, по истечению которой ВМ будет удалена).

На третьем этапе необходимо проверить заполненную ранее информацию и, если она достоверна, нажать на кнопку Создать. Название и параметры вновь созданного пула появятся в списке имеющихся пулов рабочих столов.

Для создания пула необходимо указать типы подключения к ВМ в пуле, которые будут доступны тонкому клиенту. Подробнее о типах подключения.

Примечание

Если в процессе создания пула подготовились не все ВМ или необходимо выполнить подготовку ВМ по изменившимся параметрам, то для продолжения процесса подготовки необходимо перейти в раздел виртуальной машины созданного пула (Пулы – Виртуальные машины – <название ВМ>) и нажать на кнопку Подготовить ВМ. Продолжится подготовка ВМ с последнего успешного действия.

Для изменения или просмотра уже существующего пула необходимо нажать на его название, после чего в рабочей области пулов рабочих столов отобразится название выбранного пула и информация по нему, разграниченная по следующим вкладкам:

информация о пуле;
виртуальные машины в пуле;
пользователи пула;
группы пула.

При переходе от одной вкладки к другой в области отображения информации изменяется список объектов, относящийся к данной вкладке.

Вкладка Информация

При выборе вкладки Информация в рабочей области отображается информация, вид которой зависит от выбранного типа пула.

Пользователю будет дана возможность просмотреть и изменить следующие параметры:

для статистического пула:
- название (редактируемый параметр);
- тип пула;
- тип подключения пула (редактируемый параметр);
- наименование контроллера;
- IP-адрес контроллера;
- наименование пула ресурсов;
- действия над ВМ после отключения пользователя (редактируемый параметр);
- количество ВМ;
- количество пользователей;
- создатель;
- дата и время создания/изменения;
- статус;
для автоматического пула:
- название (редактируемый параметр);
- тип пула;
- тип подключения пула (редактируемый параметр);
- наименование контроллера;
- IP-адрес контроллера;
- возможность создания тонких клонов (редактируемый параметр);
- возможность держать включенными ВМ с пользователями (редактируемый параметр);
- действие над ВМ после отключения пользователя (редактируемый параметр);
- наименование пула ресурсов;
- наименование пула данных;
- шаблон ВМ;
- начальное количество ВМ;
- шаг расширения пула (редактируемый параметр);
- максимальное количество создаваемых ВМ (редактируемый параметр);
- пороговое количество свободных ВМ (редактируемый параметр);
- количество доступных ВМ;
- шаблон для имени ВМ (редактируемый параметр);
- подготовка ВМ (редактируемый параметр), состоящая из возможности включать удаленный доступ на ВМ, включать ВМ, задавать hostname ВМ и вводить ВМ в домен (только для Windows);
- наименование организационной единицы для добавления ВМ в AD (редактируемый параметр);
- количество пользователей;
- создатель;
- дата и время создания/изменения;
- статус.
для гостевого пула:
- название (редактируемый параметр);
- тип пула;
- тип подключения пула (редактируемый параметр);
- наименование контроллера;
- IP-адрес контроллера;
- создание тонких клонов;
- возможность держать включенными ВМ с пользователями (редактируемый параметр);
- время жизни ВМ после потери связи в секундах (редактируемый параметр);
- наименование пула ресурсов;
- наименование пула данных;
- шаблон ВМ;
- начальное количество ВМ;
- шаг расширения пула (редактируемый параметр);
- максимальное количество создаваемых ВМ (редактируемый параметр);
- пороговое количество свободных ВМ (редактируемый параметр);
- количество доступных ВМ;
- шаблон для имени ВМ (редактируемый параметр);
- подготовка ВМ, состоящая из включения удаленного доступа на ВМ и включения ВМ;
- количество пользователей;
- создатель;
- дата и время создания/изменения
- статус.
для RDS пула:
- название (редактируемый параметр);
- тип пула;
- тип подключения пула (редактируемый параметр);
- наименование контроллера;
- IP-адрес контроллера;
- наименование пула ресурсов;
- всего ВМ;
- количество пользователей;
- создатель;
- дата и время создания/изменения;
- статус.

Существует возможность удаления выбранного пула с помощью кнопки Удалить пул.

Примечание

При удалении пула ВМ в среде SpaceVM удаляются только тонкие клоны, созданные в Space Disp. Удаления ВРС из MS AD не производится.

Действие над ВМ

Существует возможность выбрать действие над ВМ и его тайм-аут после завершения сеанса пользователя: - выключить ВМ; - выключить ВМ принудительно (форсированно); - приостановить ВМ.

Для автоматического и гостевого пулов существует также возможность копирования пула (настроек) с помощью кнопки Копировать пул.

Для автоматического пула доступно редактирование параметра Держать ВМ с пользователями включенными. Если опция включена, то машины будут оставаться включенными. Параметр позволяет при отключении машины по каким либо причинам включить ее автоматически диспетчером в течение 60 секунд.

Включенными остаются только ВМ пула, которые: * имеют хотя бы одного пользователя; * находятся в исправном состоянии.

При выборе вкладки Виртуальные машины в рабочей области отображается список имеющихся (созданных) в пуле ВМ, включая их названия, шаблон, имена пользователей, статусы и состояние гостевого агента. В окне доступны следующие операции:

обновление информации;
добавление ВМ. При нажатии на кнопку Добавить ВМ в открывшемся диалоговом окне необходимо из раскрывающегося списка выбрать свободную ВМ и подтвердить операцию, нажав кнопку Добавить;
удаление ВМ. При нажатии на кнопку Удалить ВМ в открывшемся диалоговом окне необходимо выбрать ВМ из раскрывающегося списка, подтвердить операцию, нажав кнопку Удалить;
резервное копирование. При нажатии на кнопку Резервное копирование в открывшемся диалоговом окне необходимо подтвердить создание резервных копий всех виртуальных машин, нажав на кнопку Выполнить.

Примечания

Добавление ВМ в автоматический и гостевой пулы происходит в соответствии с параметрами пула, такими как: Начальное количество ВМ, Шаг расширения пула, Максимальное количество создаваемых ВМ в пуле. Добавление ВМ происходит по достижению порогового количества свободных ВМ, в количестве равном шагу расширения пула, но не более максимального количества создаваемых ВМ.
Удаляемая из статистического пула ВМ при этом остается в SpaceVM без изменений.

Для просмотра параметров конкретной ВМ необходимо нажать на ее название, после чего откроется окно, в котором отобразится информация для этой ВМ. В окне становятся доступны следующие кнопки управления ВМ:

Назначить пользователя. При нажатии на кнопку в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователей, после чего подтвердить операцию, нажав кнопку Назначить;
освободить от пользователя. При нажатии на кнопку в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователей, после чего подтвердить операцию, кнопкой Освободить.
запустить ;
приостановить ;
выключение ;
перезагрузка ;
отключение питания ;
горячая перезагрузка ;
создание резервной копии ;
проверить нахождение в домене ;
монтировать образ Space utils ;
изменить шаблон ;
преобразовать в шаблон ;
зарезервировать ВМ ;

При выборе вкладки Пользователи в рабочей области отображается список пользователей, имеющих доступ к выбранному пулу ВРС. В окне управления пользователями доступны следующие операции:

обновление информации;
добавление пользователя. При нажатии на кнопку Добавить пользователя в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователя, после чего подтвердить операцию, нажав кнопку Добавить;
деактивация пользователя. При нажатии на кнопку Деактивация пользователя пользователь переходит в состояние не активен.
удаление пользователя. В подробной информации о пользователи, при нажатии на кнопку Удаление пользователя в открывшемся диалоговом после чего подтвердить операцию, нажав кнопку Удалить.

При выборе вкладки Группы в рабочей области отображается список групп пользователей, имеющих право пользования выбранным пулом ВРС. В окне управления группами доступны следующие операции:

обновление информации;
добавление группы. При нажатии на кнопку Добавить группу открывается форма создания группы. Для сохранения изменений необходимо нажать кнопку Добавить;
удаление группы. При нажатии на кнопку Удалить группу для подтверждения операции необходимо нажать кнопку Удалить.

Автоматический пул

Работа с автоматическими пулами ВРС, использующих в качестве шаблона настроенные образы MS Windows, позволяет автоматизировать процесс ввода ВМ в домен и доменные организационные единицы MS AD.

Процесс подготовки ВМ

Процесс подготовки ВМ включает в себя следующие шаги:

Проверка и включение настройки удаленного доступа на SpaceVM.
Включение ВМ.
Задание имени хоста (hostname) по имени ВМ.
Заведение ВМ в домен (исключительно для OS Windows) MS AD с использованием powershell из ВМ.
Заведение ВМ в организационную единицу (OU) MS AD с использованием LDAP напрямую на контроллере домена.

Создание автоматического пула с указанием необходимости подготовки ВМ

Подготовительные шаги

Подготовить базовый шаблон ВМ (Windows 10) guest-utils.
Настроить расширенную интеграцию с MS AD на диспетчере.

Создание автоматического пула

Создание автоматического пула производится с помощью кнопки Добавить пул в разделе Пулы панели администратора.

Ниже приведено описание полей при создании автоматического пула:

Имя пула Будет использовано как тег на SpaceVM для всех созданных ВМ.
Типы подключения Типы подключения к ВМ в пуле, которые будут доступны тонкому клиенту:
- RDP - rdp-подключение средствами ТК (подходит для рабочих мест на основе Linux);
- NATIVE_RDP - rdp-подключение средствами Windows rdp-клиента (подходит только для рабочих мест на основе Windows);
- SPICE - подключение будет проксироваться контроллером;
- SPICE_DIRECT - подключение напрямую в ВМ.
Контроллер Контроллер SpaceVM, ранее добавленный в систему, на котором будет происходить создание ВМ. Контроллер должен быть в активном статусе и отвечать на запросы диспетчера.
Пул ресурсов Предварительно созданный пул ресурсов на выбранном выше контроллере.

Пример формы создания пула ВМ

Параметры создания ВМ в пуле

Ниже приведено описание полей при создании ВМ в пуле:

Пул данных Предварительно созданный пул данных на выбранном выше контроллере.
Шаблон ВМ Предварительно созданный шаблон для создания ВМ в пуле.

Шаблон есть на SpaceVM, но не отображается на диспетчере

При создании автоматического пула диспетчер отображает только шаблоны с виртуальными дисками.

Шаблон ВМ

С шаблоном одновременно может происходить только одно действие. Если Вы планируете создавать сразу несколько пулов, то выполняйте создание последовательно. Оптимальным решением для использования одного шаблона несколькими диспетчерами/автоматическими пулами будет для каждого диспетчера/пула создать отдельный шаблон.
Шаблон имени ВМ Имя шаблона не должно превышать 63 символа и может состоять из букв латинского алфавита, цифр и "-". Ограничения вызваны тем, что имя ВМ будет назначено в качестве hostname при ее подготовки.
Наименование организационной единицы для добавления ВМ в AD Указание Организационная единица домена (OU) для MS AD, в которую необходимо включить созданные ВМ при подготовке.
Пример добавления ВМ в AD
1. Чтобы добавить ВМ в OU=VDI домена bazalt.local необходимо указать OU=VDI
2. Чтобы добавить ВМ в OU=VDI внутри ou=vdiou домена bazalt.local необходимо указать OU=VDI,ou=vdiou
Наименование организационной единицы для добавления ВМ в AD

Если необходимость включения ВМ в OU отсутствует, оставьте поле пустым, тогда этот шаг будет пропущен. ВМ присоединится к организационной единице «Компьютеры», которая используется по умолчанию.
Начальное количество ВМ Количество ВМ, которое будет создано вместе с пулом.
Максимальное количество создаваемых ВМ Максимальное количество ВМ для пула (используется при расширении пула).
Шаг расширения пула Количество ВМ, которое будет создаваться при расширении пула.
Пороговое количество свободных ВМ Значение, при достижении которого будет запущено автоматическое расширение (создание новых ВМ из шаблона с шагом выше) пула.
Создать тонкие клоны ВМ, созданные в пуле, будут являться тонкими клонами шаблона. Как результат создание будет происходить быстрее, однако ВМ имеют ограничения по используемым дата-пулам. Подробнее можно ознакомиться в разделе Типы пулов данных.
Подготавливать ВМ Необходимость запуска процедуры подготовки ВМ после их создания. Содержит 4 этапа:
- Проверка и включение настройки удаленного доступа на SpaceVM.
- Включение ВМ.
- Задание имени хоста (hostname) по имени ВМ.
- Заведение ВМ в домен (исключительно для OS Windows) MS AD. Если была указана организационная единица (OU) MS AD, то ВМ введутся непосредственно в нее. Включение в домен MS AD и организационную единицу (OU) для ВМ выполняется только, если ранее была добавлена служба каталогов. Служба каталогов на VDI может не совпадать со службой каталогов на SpaceVM.

Подготавливать ВМ

Если на пуле отсутствовал данный параметр в момент создания, то действовать он начнет только после его активации и для ВМ, созданных ПОСЛЕ.

Подготовка ВМ

Если в процессе создания пула подготовились не все ВМ или необходимо выполнить подготовку по изменившимся параметрам, то следует нажать кнопку Подготовить ВМ в разделе Информация. Данная кнопка продолжит подготовку ВМ с последнего успешного действия.

Удаление ВМ

При удалении пула имеется возможность выбора (опционально) удалять или не удалять записи в домене AD после удаления ВМ из пула или пула целиком.

Пример формы создания ВМ

Гостевой пул

Гостевые пулы предназначены для работы пользователя с "пустой" ВМ. "Пустая" ВМ — тонкий клон шаблона, который используется при создании пула. ВМ не сохраняет данные пользователя после окончания работы, так как при отключении пользователя удаляется полностью и создается вместо нее новая "пустая" ВМ (в журнале задач "Пересоздание ВМ").

Удаление ВМ

При создании пула указывается время в секундах, по истечению которого, в случае потери связи ВМ с диспетчером, ВМ удалится. По умолчанию - 60 секунд.

Создание гостевого пула

Подготовительные шаги

Подготовить базовый шаблон ВМ guest-utils.

Создание гостевого пула

Создание гостевого пула производится с помощью кнопки Добавить пул в разделе Пулы панели администратора.

Тонкие клоны

При создании гостевого пула все ВМ ВСЕГДА будут являться тонкими клонами шаблона. ВМ имеют ограничения по используемым дата-пулам. Подробнее можно ознакомиться в разделе Типы пулов данных.

Подготовка ВМ

Также при создании гостевого пула все ВМ ВСЕГДА будут подготавливаться после их создания.

Процесс подготовки ВМ

Процесс подготовки ВМ для гостевого пула включает в себя следующие шаги:

Проверка и включение настройки удаленного доступа на SpaceVM.
Включение ВМ.

Подготовка ВМ

Если в процессе создания пула подготовились не все ВМ или необходимо выполнить подготовку по изменившимся параметрам, то следует нажать кнопку Подготовить ВМ в разделе Информация. Данная кнопка продолжит подготовку ВМ с последнего успешного действия.

Ниже приведено описание полей при создании гостевого пула:

Имя пула Будет использовано как тег на SpaceVM для всех созданных ВМ
Типы подключения Типы подключения к ВМ в пуле, которые будут доступны тонкому клиенту:
- RDP - rdp-подключение средствами ТК (подходит для рабочих мест на основе Linux);
- NATIVE_RDP - rdp-подключение средствами Windows rdp-клиента (подходит только для рабочих мест на основе Windows);
- SPICE - подключение будет проксироваться контроллером;
- SPICE_DIRECT - подключение напрямую в ВМ.
Контроллер Контроллер SpaceVM, ранее добавленный в систему, на котором будет происходить создание ВМ. Контроллер должен быть в активном статусе и отвечать на запросы диспетчера.
Пул ресурсов Предварительно созданный пул ресурсов на выбранном выше контроллере.

Пример формы создания пула ВМ

Параметры создания ВМ в пуле

Ниже приведено описание полей при создании ВМ в пуле:

Пул данных Предварительно созданный пул данных на выбранном выше контроллере.
Шаблон ВМ Предварительно созданный шаблон для создания ВМ в пуле.

Шаблон ВМ

С шаблоном одновременно может происходить только одно действие, если Вы планируете создавать сразу несколько пулов, то выполняйте создание последовательно. Оптимальным решением для использования одного шаблона несколькими диспетчерами/гостевыми пулами будет для каждого диспетчера/пула создать отдельный шаблон.
Шаблон имени ВМ Имя шаблона не должно превышать 63 символа и может состоять из букв латинского алфавита, цифр и "-".
Начальное количество ВМ Количество ВМ, которое будет создано вместе с пулом.
Максимальное количество создаваемых ВМ Максимальное количество ВМ для пула (используется при расширении пула).
Шаг расширения пула Количество ВМ, которое будет создаваться при расширении пула.
Пороговое количество свободных ВМ Значение, при достижении которого будет запущено автоматическое расширение (создание новых ВМ из шаблона с шагом выше) пула.

Пример формы создания ВМ в пуле

RDS-пулы

Пул приложений - это интеграция RDS (Microsoft Remote Desktop Services) со Space Disp (Space VDI).

Пул содержит одну или несколько общих для всех пользователей ВМ, на которых установлена роль брокер подключений RDS (Remote Desktop Connection Broker).

При подключении к пулу пользователю будет показан список доступных приложений для запуска (инструкция по созданию коллекции приложений).

После выбора приложения оно будет доставлено пользователю.

Создание пула приложений

Разверните Microsoft Remote Desktop Services на виртуальных машинах SpaceVM.

На ВМ с ролью Remote Desktop Connection Broker выполните следующие действия:

Установите Qemu-ga (QEMU Guest Agent) в каталог C:\Program Files\Qemu-ga.
Загрузите скрипт и поместите файл vbs.vbs в каталог C:\Program Files\Qemu-ga\.
Для Windows Server 2008:
Обновите powershell до версии 5 и выше.
Загрузите скрипт и поместите файл get_published_apps.ps1 в каталог C:\Program Files\Qemu-ga\.
Для Windows Server 2012 и выше:
Загрузите скрипт и поместите файл get_published_apps.ps1 в каталог C:\Program Files\Qemu-ga\.
В Web-интерфейсе Space Disp перейдите на вкладку Пулы и нажмите кнопку Добавить пул. Выберите создание RDS-пула и нажмите Далее. Задайте параметры пула и выберите машину, на которой установлена роль Remote Desktop Connection Broker. Нажмите кнопку Создать.

Примечание

Для интеграции пользователей необходимо добавить в Space Disp службу каталогов, используемую в RDS. Добавление службы каталогов.

Примечание

QEMU Guest Agent на ВМ с ролью Remote Desktop Connection Broker должен запускаться с учетными данными администратора AD Настройка qemu-guest-agent.

Статический пул

Статический пул - это логическая группа ВРС, объединенных общими групповыми настройками и политиками безопасности.

В статический пул может быть включено не более 999 ВМ.

Функционал пула рассчитан на минимизацию автоматизированных действий по подготовке ВМ, расширению пула. ВМ, включаемые в пул, должны уже иметь все необходимые настройки для подключения.

Подходит для сценариев использования, когда от пула не требуется автоматическое расширение/уменьшение, объединения разнотипных (например, разных ОС) в одну группу, группировки преднастроенных ВМ.

Создание статического пула

Для создания статического пула необходимо перейти в раздел основного меню Виртуальные пулы, нажать Добавить пул и в открывшейся форме выбрать тип Статический.

Далее необходимо заполнить параметры:

Имя пула.
Выбрать тип подключения (раскрывающийся список).
Выбрать контроллер (раскрывающийся список).
Выбрать пул ресурсов (раскрывающийся список).
Фильтровать по серверу (раскрывающийся список).
Выбрать свободную ВМ (раскрывающийся список).

Действия над ВМ после отключения пользователя

Для автоматического и статического пула имеется возможность освобождать ВМ от пользователя. Для этого необходимо в выбранном пуле перейти во вкладку Информация, далее в поле Действия над ВМ после отключения пользователя нажать кнопку редактирования.

Если в открывшемся окне выбрать в чек-боксе Освобождать ВМ от пользователя, это дает возможность пользователю при последующем подключении к пулу подключиться к другой ВМ пула.

Также можно выбрать дальнейшее действие над ВМ после отключения пользователя: не делать ничего (Нет действия), выключить, выключить форсированно или временно остановить (Пауза). Это переведёт ВМ в выбранное состояние.

Изменение размера пула в реальном времени

Автоматический и гостевой пул

Для автоматического и гостевого пула имеется возможность расширить пул (увеличить количество ВМ). Для этого необходимо в выбранном пуле во вкладке Информация выполнить следующие действия:

Указать Максимальное количество создаваемых ВМ.
Указать Шаг расширения пула. Шаг увеличения должен быть не больше максимально создаваемых ВМ.
Нажать на кнопку Расширить пул и в открывшемся окне подтвердить действие, нажав Выполнить.

В результате будут созданы новые ВМ. Результат расширения пула будет виден во вкладке Виртуальные машины.

Для гостевого пула необходимо выполнить аналогичные действия, в результате чего будут добавлены новые ВМ.

Статический и RDS-пул

Для статического и RDS-пула имеется возможность увеличить или уменьшить количество ВМ в пуле.

Для добавления ВМ к пулу необходимо в выбранном пуле во вкладке Виртуальные машины нажать на кнопку Добавить ВМ. В открывшемся окне выбрать ВМ для добавления в пул, перейти в окно добавления и нажать Добавить.

Для удаления ВМ из пула необходимо в выбранном пуле во вкладке Виртуальные машины нажать на кнопку Удалить ВМ. В открывшемся окне выбрать ВМ для удаления из пула, перейти в окно удаления и нажать Удалить.

Алгоритм подбора ВМ пользователю

Сокращения

ВМ - виртуальная машина на SpaceVM. VDI - Space VDI / Space Disp. АКТИВНАЯ ВМ - ВМ, находящаяся в статусе ACTIVE/исправно. Статус обозначает, что на ВМ нет явных ошибок с точки зрения VDI. СВОБОДНАЯ ВМ - ВМ, не закрепленная за конкретным пользователем. ЗАРЕЗЕРВИРОВАННАЯ ВМ - ВМ, зарезервированная вручную администратором. ВКЛЮЧЕННАЯ ВМ - ВМ со значением атрибута СОСТОЯНИЕ ON. ГОСТЕВОЙ АГЕНТ - Описание.

Пользователь подключается к пулу в первый раз

Формируем список ВСЕХ АКТИВНЫХ и СВОБОДНЫХ ВМ пула выбранного пользователем.
Фильтруем список, оставив ВКЛЮЧЕННЫЕ ВМ.
Поиск ВМ среди ВКЛЮЧЕННЫХ ВМ, у которой доступен ГОСТЕВОЙ АГЕНТ.
Если гостевой агент нигде не отвечает, то берем первую включенную ВМ.
Если включенных ВМ нет, то возвращаем свободную ВМ.

Пользователь имеет ранее выданную ВМ

Пользователю будет выдана ВМ, привязанная к нему, независимо от статуса ВМ.

Статус "Зарезервировано"

Если в процессе работы администратор в ручном режиме зарезервирует ВМ, то этой ВМ присваивается статус зарезервировано. Отключив всех пользователей от ВМ, она не будет выдаваться ни одному пользователю при подключении, до тех пор, пока администратор в ручном режиме не переведет ее в активный режим.

Резервное копирование ВМ

Диспетчер позволяет выполнить резервное копирование всех ВМ, прикрепленных к пулу.

Создание резервной копии ВМ

Для создания резервной копии ВМ необходимо перейти в раздел основного меню Виртуальные пулы и выбрать из списка необходимый пул.

В подробной информации о пуле необходимо перейти в раздел Виртуальные машины и нажать кнопку Резервное копирование.

Примечание

Если используемые в пуле ВМ являются Тонким клоном, то при выполнении резервного копирования диспетчер проверит наличие резервной копии у родительской ВМ (при отсутствии родительской копии резервное копирование будет возможно).

Внимание!

Создание резервной копии для ВМ, использующих ZFS-хранилище, на данный момент невозможно и приведет к ошибке постановки задачи.

Восстановление резервной копии ВМ

Для восстановления из резервной копии ВМ необходимо перейти в раздел основного меню Виртуальные пулы и выбрать из списка пул, на котором расположена ВМ для восстановления.

В подробной информации о пуле необходимо перейти в раздел Виртуальные машины и выбрать необходимую ВМ.

В подробной информации о выбранной ВМ и перейти в раздел Резервные копии.

В окне выбрать необходимую копию и нажать на нее. В открывшемся окне нажать Восстановление ВМ и подтвердить выбор.

Ended: Виртуальные пулы

Физические пулы ↵

Физические пулы

Физический пул представляет собой набор физических машин с установленной ОС Astra Linux, к которым пользователи могут удаленно подключиться.

Список поддерживаемых протоколов подключения

RDP
RDP_NATIVE
GLINT

Создание физического пула

Физическая машина с установленной ОС Astra Linux должна быть доступна Space Disp по сетевой связности.

На физическую машину необходимо установить и запустить Агент физических машин.
В Web-интерфейсе Space Disp необходимо перейти в раздел Физические пулы основного меню и нажать Добавить пул.
Физическая машина (ФМ) должна удовлетворять требованиям:
- установлена ОС Astra Linux;
- установлен Агент физических машин;
- обеспечена сетевая связность с Space Disp.
В мастере добавления пула необходимо указать:
- Название пула.
- Тип подключения (выбор из раскрывающегося списка).
- Физические машины (выбор из раскрывающегося списка).
Подтвердить создание кнопкой Добавить.

Работа физического пула

Для изменения или просмотра уже существующего пула необходимо нажать на его название, после чего в рабочей области физических пулов отобразится название выбранного пула и информация, разграниченная по следующим вкладкам:

информация о пуле;
физические машины в пуле;
пользователи пула;
группы пула.

При переходе от одной вкладки к другой в области отображения информации изменяется список объектов, относящийся к данной вкладке.

Примечание

Если ФМ, добавленная в пул, будет выключена/недоступна - она исчезнет из списка активных ФМ в пуле и будет скрыта в интерфейсе до тех пор, пока не станет доступна.

Информация

При выборе вкладки Информация в рабочей области отображаются следующие параметры:

название (редактируемый параметр);
тип подключения пула (редактируемый параметр);
количество ФМ;
количество пользователей;
создатель;
дата и время создания/изменения;
статус.

Существует возможность удаления выбранного пула с помощью кнопки Удалить пул.

Физические машины

При выборе вкладки Физические машины в рабочей области отображается список подключенных физических машин, включая их названия, имена пользователей, адреса и статусы.

В окне доступны следующие операции:

обновление информации;
добавление ФМ. При нажатии на кнопку Добавить ФМ в открывшемся диалоговом окне необходимо из раскрывающегося списка выбрать свободную ФМ и подтвердить операцию, нажав кнопку Добавить;
удаление ФМ. При нажатии на кнопку Удалить ФМ в открывшемся диалоговом окне необходимо выбрать ФМ из раскрывающегося списка, подтвердить операцию, нажав кнопку Удалить.

Для просмотра параметров конкретной ФМ необходимо нажать на ее название, после чего откроется окно, в котором отобразится информация о выбранной ФМ.

В окне также доступна вкладка Пользователи, в которой расположены следующие кнопки управления:

назначить пользователя. При нажатии на кнопку в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователей, после чего подтвердить операцию, нажав кнопку Добавить;
отключить пользователя от ФМ. При нажатии на кнопку в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователей, после чего подтвердить операцию кнопкой Освободить.

Пользователи

При выборе вкладки Пользователи в рабочей области отображается список пользователей, имеющих доступ к выбранному пулу. В окне управления пользователями доступны следующие операции:

обновление информации;
добавление пользователя. При нажатии на кнопку Добавить пользователя в открывшемся диалоговом окне необходимо выбрать из раскрывающегося списка пользователя, после чего подтвердить операцию, нажав кнопку Добавить;
удаление пользователя. При нажатии на кнопку Удаление пользователя в открывшемся диалоговом окне подтвердить операцию, нажав кнопку Удалить.
Примечание
1. Если пользователю не была назначена ФМ, то при подключении пользователя к пулу через тонкий клиент пользователю автоматически будет назначена свободная ФМ.
2. Если свободных ФМ нет, то пользователю будет выведено сообщение вида: Нет свободных машин.

Группы

При выборе вкладки Группы в рабочей области отображается список групп пользователей, имеющих право пользования выбранным пулом. В окне управления группами доступны следующие операции:

обновление информации;
добавление группы. При нажатии на кнопку Добавить группу открывается форма создания группы. Для сохранения изменений необходимо нажать кнопку Добавить;
удаление группы. При нажатии на кнопку Удалить группу для подтверждения операции необходимо нажать кнопку Удалить.

Агент физических машин

Агент физических машин (Space Agent PC) поддерживается на физических машинах под управлением ОС Astra Linux. Предназначен для организации взаимодействия диспетчера и клиентского устройства.

Для работоспособности агента необходимо обеспечить связь со Space Disp через порт 443.

Установка агента физических машин

Скачать deb-пакет.

# Пример
wget https://update.spacevm.ru/space-agent-pc/dev/space-agent-pc_1.3.0-24_amd64.deb

2. Установить deb-пакеты.

# Пример
sudo apt-get update && sudo apt install ./space-agent-pc_1.3.0-24_amd64.deb

В процессе установки пакета необходимо указать адрес Space Disp в роли Leader и в роли Manager без пробелов.
```
# Пример
Enter Dispatcher address:
192.168.33.10 192.168.33.11 192.168.33.12
```
Примечание

Протокол будет добавлен клиентом автоматически. Вводится только адрес.

Если установка осуществляется в режиме защищенной программной среды, то необходимо перезагрузить машину.

Запуск агента физических машин

Агент (с версии 1.3) запускается автоматически после установки.

При необходимости проверить статус агента требуется выполнить команду sudo systemctl status space-agent-pc.

Изменение настроек агента

Открыть на редактирование файл настроек агента sudo vim /etc/systemd/system/space-agent-pc.service.
Внести изменения адреса у параметра disp-addr в строке ExecStart:
```
ExecStart=/opt/space-agent-pc/env/bin/python /opt/space-agent-pc/app/agent.py --id-file phys_machine_agent_id --disp-addr 192.168.44.45
```
3. Сохранить файл и применить настройки.
Перезапустить службу с выводом статуса sudo systemctl daemon-reload && sudo systemctl status space-agent-pc.service.

Ended: Физические пулы

Тонкие клиенты

Сессии

При выборе Сессии в рабочей области окна интерфейса открывается вкладка Сессии тонких клиентов.

Вкладка содержит информацию о текущих подключениях для всех тонких клиентов, включая для каждого IP-адрес клиента, операционную систему, версию клиента, имя пользователя, имя виртуальной машины и время подключения.

Ресурсы ↵

Ресурсы

В разделе Ресурсы основного меню содержится справочная информация по доступным ресурсам для размещения ВРС на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp.

Кластеры – логические группы, которые представляют собой организационные единицы (ОЕ), предназначенные для группировки серверов с целью их разделения по сетям (сетевым настройкам), исполняемым задачам и расположению в центре обработки данных. Список доступных кластеров, развернутых в среде SpaceVM, подгружается автоматически с контроллера.

Space Disp дает возможность просмотра информации о доступных кластерах. Изменение списка доступных кластеров и их параметров осуществляется в среде SpaceVM Кластеры.

При выборе подраздела Кластеры (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Кластеры, содержащая список всех кластеров, включая их названия, количество серверов, сведения о CPU и RAM, имена контроллеров и статусы.

Для просмотра сведений о конкретном кластере необходимо нажать на его название, после чего в рабочей области отобразится название выбранного кластера и информация по нему, разграниченная по следующим группам:

Информация – содержит сведения о кластере:
- название;
- описание;
- процессоры;
- оперативная память;
- количество серверов;
- статус.
Пулы ресурсов – содержит список пулов ресурсов в табличном виде, включая информацию о каждом из них:
- название;
- количество ВМ;
- ограничение памяти;
- ограничение CPU.
Более подробное описание пулов ресурсов приведено в пулах ресурсов.
Серверы – содержит список физических серверов на выбранном кластере в табличном виде, включая информацию о каждом из них:
- название;
- IP-адрес;
- сведения о CPU и RAM;
- статус.
Более подробное описание серверов приведено в серверах.
Пулы данных – содержит список пулов на выбранном кластере в табличном виде, включая информацию о каждом из них:
- название;
- тип;
- количество свободного и занятого места в памяти;
- статус.
Более подробное описание пулов данных приведено в пулах данных.
Шаблоны ВМ – содержит список шаблонов ВМ, размещенных на выбранном кластере. Список отображается в табличном виде и включает следующую информацию о каждом шаблоне:
- название;
- статус.
Более подробное описание шаблонов ВМ приведено в шаблонах.
Виртуальные машины – содержит список ВМ размещенных на выбранном кластере. Список отображается в табличном виде и включает следующую информацию о каждой ВМ:
- название;
- пул;
- статус.
Более подробное описание ВМ приведено в виртуальных машинах.

Пулы ресурсов

Пул ресурсов представляет собой инструмент управления ресурсами кластера, доступными для размещения ВМ в автоматических пулах ВМ Space Disp. Управление производится в среде SpaceVM и позволяет ограничить список доступных для размещения ВМ, серверов кластера и пулов данных, а также изменить приоритет выделения этим ВМ CPU и памяти серверов в кластере.

Space Disp дает возможность просмотра информации о пулах ресурсов. Отображаемые пулы ресурсов предоставляются в рамках доступных для размещения ВМ кластеров, на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp. Изменение списка доступных пулов ресурсов и их параметров осуществляется в среде SpaceVM Пулы ресурсов.

При выборе подраздела Пулы ресурсов (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Пулы ресурсов, содержащая список пулов, включая их названия, наименования контроллеров, количества ВМ и сведения об ограничениях CPU и RAM.

Для просмотра сведений о конкретном пуле ресурсов необходимо нажать на его название, после чего в рабочей области отобразится название выбранного пула и информация по нему, разграниченная по следующим группам:

Информация – содержит сведения о пуле:
- название;
- описание;
- ограничение памяти;
- ограничение CPU;
- количество vCPU серверов;
- количество vCPU ВМ;
- размер памяти серверов;
- размер памяти ВМ.
Серверы – содержит список серверов пула ресурсов в табличном виде, включая информацию о каждом из них:
- название;
- IP-адрес;
- сведения о CPU и RAM;
- статус.
Более подробное описание серверов приведено в серверах.
Пулы данных – содержит список пулов данных пула ресурсов в табличном виде, включая информацию о каждом из них:
- название;
- тип;
- количество свободного и занятого места в памяти;
- статус.
Более подробное описание пулов данных приведено в пулах данных.
Шаблоны ВМ – содержит список шаблонов ВМ, размещенных на данном пуле ресурсов. Список отображается в табличном виде и включает следующую информацию о каждом шаблоне:
- название;
- статус.
Более подробное описание шаблонов ВМ приведено в шаблонах.
Виртуальные машины – содержит список ВМ, размещенных на данном пуле ресурсов. Список отображается в табличном виде и включает следующую информацию о каждой ВМ:
- название;
- пул;
- статус.
Более подробное описание ВМ приведено в виртуальных машинах.

Серверы – это основная среда исполнения ВМ. На серверах могут размещаться файловые и блочные хранилища для дисков виртуальных машин, хранилища образов CD/DVD-дисков. Серверы также могут предоставлять ресурсы для распределенных хранилищ.

Space Disp дает возможность просмотра информации о доступных серверах. Список всех серверов, входящих в составы всех кластеров на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp подгружается автоматически. Изменение списка доступных серверов и их параметров осуществляется в среде SpaceVM.

При выборе подраздела Серверы (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Серверы, содержащая список серверов, включая их названия, локации, собственные IP-адреса, имена контроллеров, статусы и сведения о CPU и RAM.

Для просмотра сведений о конкретном сервере необходимо нажать на его название, после чего в рабочей области отобразится название выбранного сервера и информация по нему, разграниченная по следующим группам:

Информация – содержит сведения о сервере:
- название;
- описание;
- локация;
- имя кластера;
- IP-адрес управления сервером;
- оперативная память;
- количество (доступных) ЦП на сервере;
- тип установки сервера;
- статус.
Пулы данных – содержит список пулов данных, доступных на данном сервере. Список отображается в табличном виде и включает следующую информацию о каждом пуле:
- название;
- тип;
- количество свободного и занятого дискового пространства;
- статус.
Более подробное описание пулов данных приведено в пулах данных.
Виртуальные машины – содержит список размещенных на данном сервере ВМ. Список отображается в табличном виде и включает следующую информацию о каждой ВМ:
- название;
- имя пула;
- статус.
Более подробное описание ВМ приведено в виртуальных машинах.
Шаблоны ВМ – содержит список шаблонов ВМ, размещенных на данном сервере. Список отображается в табличном виде и включает следующую информацию о каждом шаблоне:
- название;
- статус.
Более подробное описание шаблонов ВМ приведено в шаблонах.

Пулы данных

Пулы данных - основная среда размещения виртуальных дисков ВМ и шаблонов ВМ. Список доступных пулов данных, развернутых в среде SpaceVM, подгружается автоматически с контроллера.

Space Disp дает возможность просмотра информации о доступных пулах данных. Список всех пулов данных кластеров на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp, подгружается автоматически.

Изменение списка доступных пулов данных и их параметров осуществляется в среде SpaceVM.

При выборе подраздела Пулы данных (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Пулы данных, содержащая список всех пулов данных, развернутых в среде SpaceVM, включая их названия, типы, размер свободного и занятого дискового пространства, наименования контроллеров, к которым они относятся, и статусы.

Для просмотра сведений о конкретном пуле данных необходимо нажать на его название, после чего в рабочей области отобразится название выбранного пула и информация по нему:

название;
описание;
тип;
размер свободной памяти;
размер занятой памяти;
количество серверов, на которых данный пул доступен;
статус.

Шаблоны

Шаблон – это ВМ, состояние которой защищено от внесения изменений. Они полезны, потому что выступают как защищенные версии модели ВМ, которая может быть использована при создании новой ВМ. Шаблон ВМ может использоваться для создания тонких клонов. Так как шаблон – это образ определенной ВМ, он не может быть запущен как самостоятельная ВМ.

Шаблоны могут существенно сократить время развертывания новых ВМ, потому что позволяют клонировать новые ВМ из шаблона без необходимости создания новой ВМ и установки ОС и программного обеспечения (ПО) на ВМ.

При развертывании сервиса Space Disp шаблон используется как эталонная ВМ. Использование эталонных ВМ позволяет сохранять исходный образ ВМ неизменным. При использовании в сервисе VDI полных клонов каждое новое рабочее место является полной копией шаблона (с собственным виртуальным диском) и изменения, вносимые в процессе работы пользователя, не влияют на эталонную ВМ.

В процессе работы пользователя могут вноситься изменения в ОС ВМ, которые будут храниться только для этой ВМ, не влияя на эталонный образ. Также при использовании эталонных ВМ работает технология тонких клонов, когда система сохраняет только изменения, являющиеся результатом работы пользователя. При использовании технологии тонких клонов диск эталонной ВМ не копируется, поэтому не происходит внесение изменений в комплект ПО, доступный пользователю. Результат работы каждого пользователя хранится в отдельном временном файле. При выключении тонкого клона ВМ временный файл уничтожается, и при следующем его запуске пользователь получает чистую копию эталонной ВМ. Для предотвращения потери данных пользователей рекомендуется настроить эталонный образ ВМ таким образом, чтобы при авторизации пользователя ему подключалось сетевое хранилище с его персональными данными. Данный механизм реализован автоматизированными средствами перемещаемых профилей в среде Windows Server и подключения сетевого NFS-хранилища в качестве home-директории в среде Linux.

При этом статические данные, необходимые для работы ОС ВМ, берутся из шаблона, а динамические данные, необходимые для работы ВМ, пишутся в отдельный файл.

Список доступных шаблонов, созданных в среде SpaceVM, подгружается автоматически с контроллера.

Space Disp дает возможность просмотра информации о доступных шаблонах. Изменение списка доступных шаблонов и их параметров осуществляется в среде SpaceVM.

При выборе подраздела Шаблоны (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Шаблоны ВМ, содержащая список имеющихся шаблонов ВМ, включая их названия, IP-адреса серверов, объем занимаемой оперативной памяти, IP-адреса контроллеров и статусы.

Для просмотра сведений о конкретном шаблоне ВМ необходимо нажать на его название, после чего в рабочей области отобразится название выбранного шаблона и информация по нему:

название;
описание;
количество процессоров;
оперативная память;
операционная система;
версия операционной системы;
пул ресурсов;
режим планшета (вкл/выкл);
SPICE-потоки (вкл/выкл);
высокая доступность (вкл/выкл);
катастрофоустойчивость (вкл/выкл);
удаленный доступ (вкл/выкл);
автоматический запуск ВМ (вкл/выкл);
тип загрузочного меню;
статус;
теги.

Виртуальные машины

ВМ – программная среда исполнения машинного кода, в которой эмулируется аппаратное обеспечение платформы х86. Абстракция и динамическое выделение вычислительных ресурсов для ВМ происходит за счет технологии HAL (hardware abstraction level), функционирующей на основе реализаций аппаратных возможностей AMD-v и intel VT-d. Для повышения производительности и интеграции протокола SPICE на ВМ необходимо установить гостевого агента Агент Space.

Список всех ВМ на всех серверах во все кластерах на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp подгружается автоматически. Изменение списка доступных виртуальных машин и их параметров осуществляется в среде SpaceVM.

При выборе подраздела Виртуальные машины (раздел Ресурсы основного меню программы) в рабочей области окна интерфейса открывается вкладка Виртуальные машины, содержащая список имеющихся ВМ, включая их названия, имена контроллеров, пулы и статусы.

Для просмотра сведений о конкретной ВМ необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной ВМ и информация по ней:

название;
описание;
состояние (ON/OFF);
IP-адрес;
имя хоста;
количество процессоров;
оперативная память;
операционная система;
версия операционной системы;
шаблон;
пул ресурсов;
режим планшета (вкл/выкл);
SPICE-потоки (вкл/выкл);
высокая доступность (вкл/выкл);
катастрофоустойчивость (вкл/выкл);
гостевой агент (вкл/выкл);
удаленный доступ (вкл/выкл);
автоматический запуск ВМ (вкл/выкл);
тип загрузочного меню;
статус;
теги.

Физические машины

В данном разделе представлена информация о доступных физических машинах, которые соответствуют требованиям:

Установлена ОС Astra Linux.
Установлен Агент физических машин.
Обеспечена сетевая связность с Space Disp.

Доступна следующая информации о ФМ:

Название.
Адрес.
Статус.

Ended: Ресурсы

Настройки ↵

Лицензирование

При выборе подраздела Лицензирование (раздел Настройки основного меню программы) в рабочей области окна интерфейса открывается вкладка Лицензирование, содержащая информацию по действующей лицензии.

Информация содержит следующие сведения о лицензии:

Название.
Компания.
Электронная почта.
Количество доступных тонких клиентов.
Количество активных тонких клиентов.
Количество доступных клиентов Loudplay.
Количество активных клиентов Loudplay.
Физические пулы.
Дата окончания лицензии.
Дата окончания сервисной поддержки.

В окне управления лицензированием доступна операция выбора файла лицензии. По кнопке Выбрать файл лицензии открывается стандартное диалоговое окно, в котором пользователь должен выбрать файл лицензии и нажать кнопку Открыть.

Примечание

Лицензионный ключ должен иметь расширение .key. Если ключ загружен успешно, значение параметра Доступно тонких клиентов будет больше 0.

Система ↵

Шлюз подключений внешних пользователей

Шлюз подключений внешних пользователей — это приложение, позволяющее подключаться к виртуальным рабочим столам по протоколам RDP, SPICE, GLINT и LOUDPLAY из внешней сети по отношению к внутренней сети инфраструктуры Space VDI.

Шлюз - это промежуточный узел, реализующий соединение между Space Client и Space Disp.

Восстановление работоспособности

При перезагрузке диспетчера работоспособность шлюза внешних подключений будет восстановлена в течении 2-х минут после запуска диспетчера.

Установка шлюза

На узел, куда предполагается установить шлюз, необходимо примонтировать установочный образ Space Disp и выполнить команду:

sudo bash /media/cdrom/gateway.sh

Во время установки будет предложено ввести следующие настройки:

Enter gateway-public-address — на этом шаге необходимо ввести "белый" IP-адрес, по которому будет доступен Gateway.
Enter Space Dispatcher addresses — на этом шаге необходимо ввести через пробел список адресов узлов ("Leader" и "Manager") Space Disp. К любому доступному из них осуществляется подключения со стороны Space Client.
Enter initial-worker-port — на этом шаге необходимо вести первый номер порта, на котором будет запускаться сервисный туннель для взаимодействия Space Client и Space Disp.

После установки в системе будет запущена служба vdi-gateway.service. Проверить её статус можно командой:

sudo systemctl status vdi-gateway.service

Перезапустить службу шлюза можно командой:

sudo systemctl restart vdi-gateway.service

Настройка шлюза

Описание настроек

gateway-address — адрес шлюза во внутренней сети. По умолчанию 0.0.0.0;

gateway-port — порт, на котором запущен шлюз. По умолчанию 8000;

gateway-public-address — "белый" IP-адрес, по которому будет доступен шлюз.

Этот адрес прописывается в настройках подключения Space Client;

disp-addresses — список адресов узлов ("Leader" и "Manager") Space Disp.

К любому доступному из них осуществляется подключения со стороны тонкого клиента;

disp-port — порт, на котором запущен Space Disp. По умолчанию 443;

initial-worker-port — это первый номер порта, на котором будет запускаться сервисный туннель для взаимодействия Space Client и Space Disp. Каждый процесс шлюза использует собственный номер порта, который определяется автоматически. Например, при 10 процессах и значении initial-worker-port = 4300 первый процесс будет использовать порт 4300, второй — 4301, а десятый — 4309. Этот порт должен быть вне диапазона портов, которые используются для туннелей в настройках Space Disp;

check-period — периодичность в секундах, с которой шлюз проверяет доступность адресов disp-addresses;

ssl — использовать ли протокол http для проверки доступности disp-addresses.

Принимает значение (y / n), по умолчанию y.

Изменение настроек

Чтобы изменить настройки установленного шлюза, необходимо перейти в директорию с установленным приложением:

sudo systemctl status vdi-gateway.service

Изменить настройки командой:

sudo ../env/bin/python app.py config \
--gateway-address 0.0.0.0 \
--gateway-port 8000 \
--gateway-public-address 94.156.174.19 \
--disp-addresses 192.168.43.10 192.168.43.11 \
--disp-port 443 \
--initial-worker-port 49200 \
--check-period 30 \
--ssl y

Выполнить перезапуск службы для применения настроек с помощью команды:

sudo systemctl restart vdi-gateway.service

Для автоматической работы шлюза необходима установленная и запущенная актуальная версия Space Disp.

Запуск шлюза

Установленный шлюз работает в качестве системной службы и запускается автоматически. Для запуска вручную необходимо выполнить:

sudo systemctl start vdi-gateway.service

Режим перемещаемых профилей

Общее описание

Режим перемещаемых профилей позволяет использовать домашние директории пользователей, расположенные на файловом ресурсе общего доступа, чтобы обеспечить получение домашней директории на разных виртуальных машинах.

Данный режим обеспечивает взаимодействие NFS-хранилищ и виртуальных машин. При подключении пользователя к виртуальной машине посредством Space Client происходит монтирование сетевых ресурсов в виртуальную машину.

Режим перемещаемых профилей предназначен для работы с ОС Linux.

Подготовка

Для работы режима перемещаемых профилей в локальной сети должен быть запущен сервер NFS. На виртуальные машины должны быть установлены QEMU GuestAgent и клиент NFS.

Настройка

Настройки режима перемещаемых профилей расположены в разделе Настройки → Система → Перемещаемые профили.

Описание настроек

IP-адрес — IP-адрес сервера NFS;

Полный путь — путь к сетевой директории, расположенной на сервере NFS;

Путь монтирования — точка монтирования в ОС виртуальной машины.

Добавление домашних директорий пользователей

В локальной сети необходимо запустить сервер NFS.

IP-адрес этого сервера указывается в параметре IP-адрес.

На сервере NFS необходимо создать директорию, в которой будут храниться профили пользователей. Полный путь этой директории указывается в параметре Полный путь.

В параметре Путь монтирования необходимо прописать /home/.

На NFS-сервере для каждого профиля пользователя необходимо добавить запись в файл настроек /etc/exports.

В интерфейсе диспетчера необходимо добавить IP-адрес NFS-сервера, Полный путь и Путь монтирования.

Примечание!

При подключении пользователя к ВМ через Space Client на ВМ будет смонтирована пользовательская директория с NFS-сервера.

Ended: Система

Кэширование

Во вкладке Кэширование представлена настройка срока хранения ресурсов данных в кэше (по умолчанию 10 минут).

Кэшируются данные, находящиеся в разделе Ресурсы основного меню, в котором содержится справочная информация по доступным ресурсам для размещения ВРС на всех контроллерах SpaceVM, подключенных к данному экземпляру Space Disp.

Очистить кэш (при необходимости) можно с помощью соответствующей кнопки на странице.

SMTP

Во вкладке SMTP перечислены настройки SMTP-сервера, необходимые для передачи почтовых сообщений администратору:

адрес сервера - IP или адрес SMTP-сервера;
порт - его порт;
имя пользователя - пользователь (e-mail), зарегистрированный на SMTP-сервере;
пароль пользователя (указывается при настройке SMTP-сервера на диспетчере);
E-mail отправителя - адрес, с которого будут отсылаться письма. Желательно, чтобы он совпадал с e-mail пользователя;
уровень информирования - тип событий, которые будут дублироваться по почте;
TLS;
SSL.

Возможные уровни информирования - на почту будут отправляться следующие типы событий из журнала диспетчера:

только ошибки;
ошибки и предупреждения;
все сообщения;
отключено.

Если SMTP-сервер настроен, то сообщения будут отправляться на электронные адреса, указанные у администраторов диспетчера.

Ended: Настройки

Безопасность ↵

Пользователи ↵

Пользователи

Вкладка Пользователи позволяет управлять локальными учетными записями пользователей в среде Space Disp.

При выборе подраздела Пользователи (раздел Настройки основного меню программы) в рабочей области окна интерфейса открывается вкладка Пользователи, содержащая список пользователей, зарегистрированных в среде Space Disp. В данном списке отображаются как созданные локально в среде Space Disp пользователи, так и пользователи MS AD, авторизуемые по протоколу LDAP. Для каждого пользователя отображаются: имя пользователя, имя, фамилия, почтовый адрес, наличие прав администратора, наличие двухфакторной аутентификации и состояние. Также доступны следующие операции:

обновление информации;
создание новых локальных пользователей;
выбор пользователя с применением фильтра.

Создание нового пользователя осуществляется с помощью нажатия кнопки Добавить пользователей. В открывшемся диалоговом окне необходимо заполнить следующие поля:

имя пользователя;
пароль для пользователя;
почтовый адрес;
имя пользователя;
фамилия пользователя;
выбрать группу (необязательно);
наличие прав локального администратора (выставить отметку в чек-боксе).

Описание настройки уровня сложности пароля приведено по ссылке.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Имя нового пользователя и его параметры появятся в списке имеющихся пользователей.

После создания для каждого пользователя можно включить двухфакторную аутентификацию по одноразовому паролю.

Примечание

По умолчанию двухфакторная аутентификация отключена для всех пользователей. Для ее включения необходимо в информации пользователя редактировать поле двухфакторной аутентификации: проставить галочку и сгенерировать код, после чего появятся QR код и секретный код (строка из 32 символов) в текстовом формате. Данный QR код необходимо отсканировать с помощью любого стороннего приложения — аутентификатора, поддерживающего функцию генерации одноразовых паролей (OATH TOTP), или ввести в подобном приложении секретный код (строку из 32 символов) вручную.

Внимание

После включения двухфакторной аутентификации вход в среду Space Disp будет по локальному паролю и 6-значному одноразовому паролю. Обязательно отсканируйте QR-код при его генерации, так как просмотр и копирование кода возможны только при его создании.

Для просмотра данных о пользователе необходимо выбрать имя пользователя в списке, после чего в рабочей области отобразится имя выбранного пользователя и информация по нему, разграниченная по следующим группам:

Информация – содержит сведения о пользователе:
- имя пользователя;
- почтовый адрес (редактируемый параметр);
- имя (редактируемый параметр);
- фамилия (редактируемый параметр);
- наличие прав администратора (редактируемый параметр);
- принадлежность к Службе каталогов;
- тип пароля (локальный или из Службы каталогов);
- наличие двухфакторной аутентификации (редактируемый параметр);
- дата и время создания;
- дата и время изменения;
- дата и время последней успешной авторизации в системе;
- статус активности.
Для пользователя имеются следующие возможности:
- обновление информации;
- включение/выключение двухфакторной аутентификации по одноразовому паролю;
- активация/деактивация. Изменение статуса активности пользователя с помощью кнопок Активация пользователя/Деактивация пользователя;
- создание нового пароля. При нажатии на кнопку Смена пароля открывается диалоговое окно создания нового пароля, в котором существует возможность ввести новый пароль (пароль вводится только один раз, без подтверждения). Для сохранения изменений необходимо нажать кнопку Изменить. Для пользователей, загруженных из AD, данная операция недоступна.
Роли – содержит сведения о персонально назначенных ролях для выбранного пользователя системы. Роли, назначенные на группу, в которую входит пользователь (наследуемые) - не отображаются.

При нажатии на кнопку Добавить роль открывается окно добавления новой роли пользователю, в котором с помощью раскрывающегося списка существует возможность выбирать одну или несколько ролей для пользователя и сохранить изменения с помощью кнопки Добавить.

При нажатии на кнопку Удалить роль открывается окно удаления ролей, назначенных пользователю, в котором с помощью раскрывающегося списка пользователь выбирает одну или несколько ролей, и подтверждает операцию нажатием кнопки Удалить.

Примечание

Для локальных пользователей, имеющих статус локального администратора, всегда доступны все роли.
Группы – содержит сведения о группе, в которую входит выбранный пользователь системы.
Разрешения – содержит сведения о персонально назначенных разрешениях на действия выбранного пользователя системы при работе с Space Client. Разрешения, назначенные на группу, в которую входит пользователь (наследуемые), не отображаются.

При нажатии на кнопку Добавить разрешение открывается окно добавления нового разрешения пользователю, в котором с помощью раскрывающегося списка существует возможность выбирать одно или несколько разрешений для пользователя и сохранить изменения с помощью кнопки Добавить.

При нажатии на кнопку Отключить разрешение открывается окно отключения разрешения, назначенных пользователю, в котором с помощью раскрывающегося списка пользователь выбирает одно или несколько разрешений, и подтверждает операцию нажатием кнопки Отключить.

Примечание

Для локальных пользователей, имеющих статус локального администратора, всегда доступны все разрешения.

Политика авторизации

Доступные настройки

Количество попыток авторизации - при превышении заданного лимита, возможность логина ограничивается на тайм-аут.

Первая блокировка входа (в минутах) - период в минутах, на который пользователю ограничивается возможность авторизации, после того, как превысил лимит попыток авторизации.

Вторая блокировка входа (в минутах) - период в минутах, на который пользователю ограничивается возможность авторизации, после того, как превысил лимит попыток авторизации повторно.

Блокировка учетной записи, когда лимит попыток превышен - если данная настройка включена, вход пользователя будет заблокирован. Если отключена, то будет повторяться Вторая блокировка входа

Управление блокировкой пользователя

Если учетная запись пользователя была заблокирована из-за превышения лимита попыток авторизации, то разблокировать его может пользователь с ролью Администратор безопасности через web-интерфейс.

Уровень стойкости пароля

Низкий уровень

Низкий - пароль с низкой степенью стойкости (допускается, когда для требований паролей стоит настройка, что ПО используется в тестовом режиме):

минимальная длина – 3 символа;
в пароле должны присутствовать символы как минимум одной из следующих категорий:
- прописные буквы английского алфавита от А до Z;
- строчные буквы английского алфавита от а до z;
- десятичные цифры от 0 до 9;
в пароле могут присутствовать символы !@#$%^&*\\-_=+.,\[].

Средний уровень

Средний - пароль со средней степенью стойкости (допускается, когда для требований паролей стоит настройка, что ПО используется в штатном режиме, но только для временных пользователей):

минимальная длина – 5 символов;
в пароле должны присутствовать символы как минимум двух из следующих категорий:
- прописные буквы английского алфавита от А до Z;
- строчные буквы английского алфавита от а до z;
- десятичные цифры от 0 до 9;
в пароле могут присутствовать символы !@#$%^&*\\-_=+.,\[].

Высокий уровень

Высокий - пароль с высокой степенью стойкости (обычный пароль для штатного режима эксплуатации на объекте):

минимальная длина – 8 символов;
пароль не может содержать имя учетной записи пользователя или какую-либо его часть;
в пароле должны присутствовать символы как минимум трех следующих категорий:
- прописные буквы английского алфавита от А до Z;
- строчные буквы английского алфавита от а до z;
- десятичные цифры от 0 до 9;
- символы, !@#$%^&*\\-_=+.,\[].
в пароле одновременно должны присутствовать символы двух разных регистров.

Усиленный уровень

Усиленный - отличительной особенностью данного уровня является разная длина пароля в зависимости от роли пользователя.

Если пользователю назначена только роль Пользователь, то минимальная длина - 12 символов.

Если пользователю назначены роли Администратор безопасности, Администратор, Аудитор, Аудитор безопасности, то минимальная длина - 16 символов.

Требования, не зависящие от роли:

в пароле должны присутствовать символы как минимум одной из следующих категорий:
- прописные буквы английского алфавита от А до Z;
- строчные буквы английского алфавита от а до z;
- десятичные цифры от 0 до 9;
- символы, !@#$%^&*\\-_=+.,\[].
пароль не может содержать имя учетной записи пользователя или какую-либо его часть.

Изменение пароля

Пароли имеют три уровня безопасности: низкий, средний и высокий.

Администратор безопасности имеет возможность изменения уровня безопасности пароля.

Для изменения данной настройки администратору безопасности необходимо ввести свой пароль, чтобы убедиться, соответствует ли он установленному требованию.

Если собственный пароль администратора безопасности не соответствует уровню безопасности, то необходимо изменить пароль на соответствующий требуемому уровню.

При повышении уровня безопасности пароля всем пользователям, кроме администратора безопасности, изменяющего настройку, устанавливается требование смены пароля.

В Web-интерфейсе это требование отображается в виде восклицательного знака перед именем пользователя.

Пример:

Примечание

Пользователю при понижении уровня безопасности требование на смену пароля не устанавливается. При этом, если ранее пользователю из-за повышения уровня безопасности уже было установлено требование на смену пароля, но оно не было выполнено, то при понижении уровня безопасности требование на смену пароля сохранится.

Пользователю, которому выставлено требование смены пароля, при авторизации в Space Disp будет предложено установить новый пароль, соответствующий текущему уровню безопасности.

В Web-интерфейсе администратора безопасности доступна кнопка Смена пароля, которая позволяет изменить пароль пользователю самостоятельно. Далее пользователю необходимо сменить пароль, назначенный администратором безопасности, т.к. требование на смену пароля сохраняется.

Пользователь устанавливает личный пароль СТРОГО самостоятельно.

Внимание

Повторное использование ранее установленного пароля ЗАПРЕЩЕНО.

Роли

Роли - это набор предустановленных сущностей, предназначенных для разграничения доступа к панели администратора.

Внимание

Пользователю с атрибутом Администратор не нужно обладать конкретной ролью, чтобы иметь доступ к ее объектам.

Основные роли

Пользователь.
Администратор.
Администратор безопасности.
Аудитор.
Аудитор безопасности.

Разграничение доступа ролей

X - не имеет доступа.

R - только чтение, без изменения настроек или действий выгрузки, редактирования.

RW - полный доступ.

Вкладка	Раздел	Подраздел	Пользователь	Администратор	Администратор безопасности	Аудитор	Аудитор безопасности
Главная			R	R	R	R	R
Контроллеры			X	RW	R	X	X
	Информация		X	RW	R	X	X
	Кластеры		X	RW	R	X	X
	Пулы ресурсов		X	RW	R	X	X
	Серверы		X	RW	R	X	X
	Пулы данных		X	RW	R	X	X
	Виртуальные машины		X	RW	R	X	X
	Шаблоны виртуальных машин		X	RW	R	X	X
	События контроллеров		X	RW	R	X	X
Пулы			X	RW	R	X	X
	Информация		X	RW	R	X	X
	Виртуальные машины		X	RW	R	X	X
	Пользователи		X	RW	R	X	X
	Группы		X	RW	R	X	X
Тонкие клиенты			X	RW	R	X	X
	Подключения		X	RW	R	X	X
	Настройки		X	RW	R	X	X
Ресурсы			X	RW	R	X	X
	Кластеры		X	RW	R	X	X
	Пулы ресурсов		X	RW	R	X	X
	Серверы		X	RW	R	X	X
	Пулы данных		X	RW	R	X	X
	Шаблоны		X	RW	R	X	X
	Виртуальные машины		X	RW	R	X	X
Настройки			X	RW	R	X	X
	Лицензирование		X	RW	R	X	X
	Система		X	RW	R	X	X
	Сервисы		X	RW	R	X	X
	Кэширование		X	RW	R	X	X
	SMTP		X	RW	R	X	X
Журнал			R	R	R	R	R
	События		R	R	R	X	X
	События контроллеров		X	RW	R	X	X
	Задачи		X	RW	R	X	X
	События безопасности		X	X	X	RW	R
	Настройки		X	X	X	RW	R
Статистика			X	RW	R	X	X
	Статистика подключений		X	RW	R	X	X
Безопасность			R	R	R	RW	R
	Пользователи	Информация	X	X	X	RW	R
	Пользователи	Роли	X	X	X	RW	R
	Пользователи	Группы	X	X	X	RW	R
	Пользователи	Разрешения	X	X	X	RW	R
	Службы каталогов		X	X	X	RW	R
	Группы		X	X	X	RW	R
	Сессии		R	R	R	RW	R

Разрешенные варианты комбинирования ролей:

Администратор безопасности + Аудитор.
Администратор + Аудитор безопасности.
Администратор безопасности + Администратор.
Аудитор безопасности + Аудитор.

Ended: Пользователи

Службы каталогов ↵

Службы каталогов

В данном разделе производится настройка интеграции с MS AD сервером по Lightweight Directory Access Protocol (LDAP). Данная интеграция необходима для возможности использования авторизации пользователей из AD без создания пользователя в системе управления.

При выборе подраздела Службы каталогов (раздел Настройки основного меню программы) в рабочей области окна интерфейса открывается вкладка Службы каталогов, содержащая список названий служб. Также доступны следующие операции:

обновление информации;
добавление службы каталогов.

Для добавления новой службы каталогов необходимо нажать кнопку Добавить службу каталогов и в открывшемся диалоговом окне заполнить:

название службы каталогов;
NetBIOS имя домена (записывается в формате domain);
полное имя домена (записывается в формате domain.local);
URL (записывается в формате ldap://IP или ldap://URL);
тип службы (выбор из раскрывающегося списка);
имя пользователя (учетная запись в MS AD, с использованием которой будет выполняться синхронизация);
пароль пользователя;
описание.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Название вновь созданной службы появится в списке всех служб каталогов.

Примечание

Пользователь Windows AD должен иметь права (в AD) для проверки авторизации других пользователей. Такие права имеют администраторы домена AD и администраторы более высокого уровня. При применении на предприятии политик безопасности, не допускающие использование удаленной авторизации пользователей с высоким уровнем доступа, необходимо обратиться к документации по управлению Windows AD для разрешения пользователю сетевой проверки авторизации.

Для изменения или просмотра сведений о конкретной службе каталогов необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной службы и информация по ней, разграниченная по следующим вкладкам:

информация;
соответствия;
группы.

При выборе вкладки Информация в рабочей области отображаются следующие сведения о службе каталогов:

название (редактируемый параметр);
NetBIOS имя домена (редактируемый параметр);
полное имя домена (редактируемый параметр);
адрес службы каталогов (URL) (редактируемый параметр);
тип службы;
описание (редактируемый параметр);
имя пользователя (редактируемый параметр);
пароль (редактируемый параметр).

В окне управления службой каталогов доступны следующие операции:

обновление информации;
удаление службы каталогов. При нажатии на кнопку Удалить в открывшемся диалоговом окне необходимо подтвердить операцию, нажав кнопку Удалить;
проверка соединения. При нажатии на кнопку Проверка соединения осуществляется проверка соединения со службой каталогов. При успешном соединении в области отображения кнопки появляется "галочка" и надпись Успешно, выделенная зеленым цветом. При отсутствии соединения в области отображения кнопки появляется "крестик" и надпись Нет соединения, выделенная красным цветом.
для типа OpenLDAP синхронизация пользователей. При нажатии на кнопку Синхронизировать пользователей осуществляется проверка соединения со службой каталогов и синхронизация всех доступных пользователей. При успешной синхронизации в области отображения кнопки появляется "галочка" и надпись Синхронизировано, выделенная зеленым цветом. В противном случае в области отображения кнопки появляется "крестик" и надпись Не синхронизировано, выделенная красным цветом.

Примечание

Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на вашем сервере имеет имя people.

Примечание

При синхронизации пользователей из AD переносятся атрибуты: имя, фамилия, почта. Если пользователь был ранее синхронизирован в диспетчере и после этого его атрибуты обновились на стороне AD, то при последующей синхронизации, атрибуты обновятся.

При выборе вкладки Соответствия в рабочей области отображается список созданных соответствий и их статусы.

Раздел Cоответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. Каждому пользователю, который будет успешно авторизоваться, автоматически будут назначены роли (или группы), указанные в настройках соответствия.

Каждое соответствие сопоставляет локальную группу пользователей с группой из MS AD. При этом изменение состава группы в MS AD оперативно отражается в интерфейсе программы.

В окне управления соответствиями доступны следующие операции:

Существует возможность добавить новое соответствие, а также более подробного просмотреть или изменить данные уже существующего соответствия.

Добавление нового соответствия производится с помощью кнопки Добавить соответствия. В открывшемся диалоговом окне необходимо заполнить следующие поля:
- название соответствий (редактируемый параметр);
- тип атрибута (объекта) службы каталогов (множественный выбор из раскрывающегося списка). Может принимать значения: USER, OU, GROUP;
- имя локальной группы (множественный выбор из раскрывающегося списка);
- приоритет (редактируемый параметр);
- значение атрибутов (имя объекта AD) службы каталогов (раскрывающийся список, предлагающий добавить свой атрибут или выбрать режим отсутствия атрибутов);
- описание (редактируемый параметр).
После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Название вновь созданного соответствия и его статус появится в списке имеющихся соответствий.
Примечания
1. В качестве значения атрибута службы каталогов необходимо указать доменное имя пользователя, группы или OU, в зависимости от выбранного атрибута (типа объекта).
2. Приоритет соответствия влияет на порядок проверки соответствий, если OU-пользователь или группа попадает под несколько правил.
Для изменения или просмотра уже существующего соответствия необходимо нажать на его название, после чего открывается окно редактирования, в котором существует возможность внести изменения и применить их, нажав кнопку Редактировать. Удаление соответствия осуществляется при нажатии на кнопку Удалить.
При выборе вкладки Группы в рабочей области отобразится список загруженных из AD групп пользователей. Существует возможность загрузить из AD группу пользователей. Добавление группы производится с помощью кнопки Добавить группу.

После добавления во вкладке Группы появится группа, загруженная из AD, в составе которой все пользователи этой группы в AD. Синхронизация новых пользователей в составе группы происходит в ручном режиме в свойствах группы. Управление ролями такой группы производится, как и локальными группами, в подразделе Группы раздела Настройки основного меню программы.

Примечание

Вкладка Группы недоступна для типа OpenLDAP.
Причины невыполнения синхронизации пользователей из групп AD
1. Имя пользователя начинается не с латинской буквы.
2. В имени пользователя присутствуют русские буквы или символы, кроме цифр и .-_+.
3. Пароль пользователя имеет длину менее 8 символов.

Хранение паролей доступа к внешней системе

Для хранения чувствительных данных сервисных учетных записей (Active Directory, SpaceVM, AD FS) диспетчер использует симметричное шифрование по методу Ферне (алгоритм AES) с использованием дополнительного 32-байтного уникального (для каждой установки, но переносимого при обновлении) ключа. Сам ключ шифрования находится в перечне защищенных настроек также зашифрованных уникальным ключем-идентификатором установки.

AD FS

Описание

Active Directory Federation System (AD FS) может быть использована как внешняя служба авторизации пользователей на основе данных Active Directory (используя механизмы OAUTH).

После выполнения настройки между Space Disp и AD FS устанавливается связь, в результате которой Space Disp предоставляет пользователям сессии вход в систему с учетом всех существующих настроек системы.

Настройка AD FS

Для возможности Space Disp обращаться к адресу (доменному имени AD FS) необходимо выполнить настройку на сервере AD.

Добавление группы приложений на стороне AD FS (на примере Windows Server 2019)

Установить службу AD FS.
Найти в списке доступных программ Управление AD FS.
В открывшемся окне перейти в раздел Группы приложений и в действиях выбрать Добавить группу приложений.
В мастере добавления групп задать имя и описание, а в шаблонах выбрать Серверное приложение, подключающееся к веб-API.
Нажать Далее и на этапе Приложение сервера скопировать Идентификатор клиента.
Заполнить поле Перенаправить URI.

Значение поля Перенаправить URI - это адрес, по которому служба AD FS обратится в случае успешного входа пользователя.

{протокол}://{доменное_имя}/api/auth/adfs

Пример: https://disp53.spacevm.test/api/auth/adfs
На этапе Настроить учетные данные приложения необходимо выбрать Создать общий секрет и скопировать полученное значение.
На этапе Настройка веб-интерфейса API необходимо продублировать доменное имя Space Disp как значение Идентификатор.
На этапе Применение политики доступа допускается оставить разрешения стандартными.
На этапе Настроить разрешения для приложений необходимо убедиться, что пункт openid активен.

Значение будет использовано Space Disp для выдачи сессии со стороны диспетчера.
На этапе Сводка требуется проверить сохраненные данные и убедиться в их корректности.

Примечания

По итогам настройки службы должны быть сохранены, как минимум, два обязательных параметра - CLIENT_ID и SHARED_SECRET.

Параметры URL

Если в настройках AD FS изменены параметры URL подключения oauth_authorize_url, то необходимо сохранить изменения для настройки интеграции.

Если доменные имена были не настроены, то необходимо перейти в службу DNS и прописать соответствие IP-адреса диспетчера указанному доменному имени.

Чтобы убедиться, что базовая настройка AD FS выполнена успешно, необходимо выполнить команду, разрешающую просмотр InitiatedSignonPage:

Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

После ввода команды перейти по ссылке https://fs.spacevm.test/adfs/ls/idpinitiatedsignon. В результате должна открыться страница входа.

Настройка Space Disp

Для настройки интеграции с AD FS необходимо авторизоваться в Space Disp с учетными данными пользователя с ролью Администратор безопасности.

Перейти в раздел основного меню Безопасность - Служба каталогов - Настройки AD FS.
В открывшейся форме указать данные для подключения к AD FS и нажать Сохранить.

В поле REDIRECT_URL необходимо указать значение, которое было использовано при настройке подключения на стороне AD FS.

Внимание

Если параметр Требовать MFA включен, но на стороне AD FS MFA не настроен, то вход будет недоступен.

Примечания

Значение SHARED_SECRET необходимо указать при каждом сохранении/изменении настроек.

Если при нажатии Сохранить появляется ошибка вида Невозможно подключиться к службе AD FS., необходимо убедиться в доступности доменного имени со стороны диспетчера или контейнеров.

Если настроить корректную работу DNS не удается, то имеется возможность прописать соответствие имени и IP-адреса, выполнив команду:

sudo docker service update multivdi_vdi-tornado --host-add "fs.spacevm.test:10.2.159.245"

Авторизация в Space Disp

Необходимо нажать кнопку Вход AD FS.

Кнопка отображается только при включенной службе AD FS в настройках Space Disp.

Службы каталогов

Добавление службы каталогов позволяет выполнить интеграцию с:

MS Windows Active Directory (далее MS AD);
Free IPA
OpenLDAP по Lightweight Directory Access Protocol (LDAP). Данная интеграция необходима для возможности использования авторизации пользователей из AD.

Логически интеграцию со службами каталогов можно разделить на 2 вида:

Базовая интеграция:
- Авторизация
- Соответствия
Расширенная интеграция:
- Авторизация
- Соответствия
- Ручная синхронизация пользователей
- Подготовка виртуальных машин в автоматическом пуле

Базовая интеграция

Базовая интеграция позволяет использовать службу каталогов как внешнюю службу авторизации.

Примечание

Пользователю, созданному в процессе интеграции, запрещен вход в OS Astra Linux.

Добавление службы каталогов

Добавление службы каталогов производится с помощью кнопки Добавить службу каталогов в разделе Настройки -> Службы каталогов.

В открывшемся окне необходимо заполнить следующие поля:

Название.
NetBIOS имя домена (записывается в формате domain).
Полное имя домена (записывается в формате domain.local).
Тип службы (Active Directory, Free IPA или OpenLDAP).
URL (записывается в формате ldap://xxx.xxx.xxx.xxx).

В результате будет запись в статусе Исправно, если статус другой, то необходимо обратиться к разделу Журнал -> События, где будет указана информация о проблеме.

Добавление соответствия

Раздел Соответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. При успешной авторизации пользователю автоматически будут назначены Роли/Группы, которые указаны в настройках соответствия.

Примечание

Чтобы пользователь получил возможность входа в панель администратора, группа, в которую он будет включен, должна иметь одну или несколько системных ролей, либо пользователь должен иметь атрибут Администратор.

Добавление соответствия производится с помощью кнопки Добавить соответствия в разделе Соответствия созданной ранее службы каталогов. В открывшемся окне необходимо заполнить следующие поля:

Выберите группу (локальная группа на диспетчере, в которую будет включен внешний пользователь).
Приоритет (вес соответствия при коллизиях соответствий).
Тип атрибута службы каталогов (тип атрибута объекта MS Active Directory / Free IPA).
Значение атрибута службы каталогов (значение атрибута объекта MS Active Directory / Free IPA).

Расширенная интеграция

Расширенная интеграция позволяет использовать службу каталогов как внешнюю службу авторизации, выполнять предварительную синхронизацию пользователей, заводить ВРС на Windows в домен.

Примечание

Пользователю, созданному в процессе интеграции, запрещен вход в OS Astra Linux.

Внимание

Функция ввода ВМ в домен Free IPA и синхронизация пользователей для OpenLDAP носят экспериментальный характер.

Добавление службы каталогов

Добавление службы каталогов производится с помощью кнопки Добавить службу каталогов в разделе Настройки -> Службы каталогов.

В открывшемся окне необходимо заполнить следующие поля:

Название.
NetBIOS имя домена (записывается в формате domain).
Полное имя домена (записывается в формате domain.local).
URL (записывается в формате ldap://xxx.xxx.xxx.xxx).
Тип службы (Active Directory, Free IPA или OpenLDAP).
Пользователь (учетная запись в AD, с использованием которой будет выполняться синхронизация, пользователь должен иметь права на чтение атрибутов пользователей и списка групп).
Пароль.

В результате будет запись в статусе Исправно, если статус другой, то необходимо обратиться к разделу Журнал -> События, где будет указана информация о проблеме.

Внимание

Обратите внимание на поле Пользователь. Для авторизации на AD будет использована учетная запись по паттерну Домен\Пользователь. Если Пароль или Пользователь не указан, попытка подключения будет проигнорирована. Проверить корректность введенных данных можно кнопкой Проверка соединения.

Добавление соответствия

Раздел Соответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. При авторизации каждому пользователю автоматически будут назначены Роли/Группы, которые указаны в настройках соответствия.

Примечание

Чтобы пользователь получил возможность входа в панель администратора, группа, в которую он будет включен, должна иметь одну или несколько системных ролей, либо пользователь должен иметь атрибут Администратор.

Добавление соответствия производится с помощью кнопки Добавить соответствия в разделе Соответствия созданной ранее службы каталогов. В открывшемся окне необходимо заполнить следующие поля:

Выберите группу (локальная группа на диспетчере, в которую будет включен внешний пользователь).
Приоритет (вес соответствия при коллизиях соответствий).
Тип атрибута службы каталогов (тип атрибута объекта MS Active Directory).
Значение атрибута службы каталогов (значение атрибута объекта MS Active Directory).

Синхронизация пользователей группы AD

Синхронизация группы позволит одномоментно перенести всех пользователей-членов группы AD в локальную систему.

Примечание

Повторная синхронизация ранее синхронизированной группы исключит из группы отключенных пользователей и добавит новых.

Добавление группы пользователей производится с помощью кнопки Добавить группу в разделе Группы созданной ранее службы каталогов. В появившемся окне необходимо выбрать требуемую группу, в дальнейшем из неё будут синхронизированы все пользователи.

Шаги синхронизации группы MS AD

Процесс синхронизации делится на 2 шага:

Получение групп доступных для синхронизации.

Группы доступные для синхронизации формируются из списка всех объектов с категорией ГРУППА, не являющиеся критичными системными объектами, за исключением групп ранее синхронизированных на VDI.

Примечание

Если список групп пустой, проверьте параметры учетной записи, указанной для службы каталогов.
Выбор конкретной группы и получение ее членов.

Одномоментно можно синхронизировать только одну группу. Это сделано в целях снижения нагрузки на MS AD. Пользователи, доступные для синхронизации, формируются из списка объектов с категорией ПОЛЬЗОВАТЕЛЬ или ПЕРСОНА, классом ПОЛЬЗОВАТЕЛЬ, не имеющие статус ЗАБЛОКИРОВАН и состоящие в выбранной группе.

Фильтры, используемые при построении списка групп MS AD

(&(objectCategory=GROUP)(!(isCriticalSystemObject=TRUE))

Фильтры, используемые при построении списка групп Free IPA

(&(objectclass=posixAccount)(objectclass=person)(!(nsaccountlock=TRUE))

Фильтры, используемые при построении списка пользователей MS AD

base_filter = '(&(sAMAccountName=*)'

locked_account_filter = '(!(userAccountControl:1.2.840.113556.1.4.803:=2))'

persons_filter = '(|(objectCategory=USER)(objectCategory=PERSON))(objectClass=USER)'

member_of_filter = '(memberOf={})'.format(groups_cn)

final_filter = ''.join([base_filter, locked_account_filter, persons_filter, member_of_filter, ')'])

Фильтры, используемые при построении списка пользователей Free IPA

"(&(objectclass=posixAccount)(objectclass=person)(!(nsaccountlock=TRUE))"

Синхронизация пользователей OpenLDAP

Синхронизация позволит одномоментно перенести всех пользователей AD в локальную систему.

Примечание

Повторная синхронизация исключит отключенных пользователей и добавит новых.

Примечание

Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на вашем сервере имеет имя people.

Внимание

Синхронизация пользователей для OpenLDAP носит экспериментальный характер.

Подготовка ВМ

Если в системе существует активная служба каталогов с расширенной интеграцией, а также образ ВМ основан на ОС Windows, существует возможность автоматизации процесса ввода ВМ в домен и включение заведенных компьютеров в группы MS AD.

Примечание

Автоматическая подготовка ВМ требует как настройки диспетчера, так и подготовки эталонного образа, из которого будут создаваться новые ВМ. Более детально процесс рассмотрен в профильном разделе.

Внимание

Функция ввода ВМ в домен Free IPA носит экспериментальный характер.

Подготовка ВМ

Работа с автоматическими пулами ВРС, использующих в качестве шаблона настроенные образы MS Windows, позволяет автоматизировать процесс ввода ВМ в домен и доменные группы MS AD.

Процесс подготовки ВМ

Процесс подготовки ВМ включает в себя следующие шаги:

Проверка и включение настройки удаленного доступа на SpaceVM.
Задание имени хоста (hostname) по имени ВМ.
Заведение ВМ в домен (исключительно для OS Windows) MS AD с использованием powershell из ВМ.
Заведение ВМ в группу (контейнер) MS AD с использованием LDAP напрямую на контроллере домена.

Создание автоматического пула

Создание автоматического пула..

Ended: Службы каталогов

Сессии

Пользователь имеет несколько активных сессий. Лимит сессий как для пользователя, так и общих, может изменять только пользователь с ролью Администратор Безопасности.

Доступные настройки

Внимание

Настройка применяется к новым полученным JWT-токенам.

Ограничения времени действия JWT-токена. Значение по умолчанию - 86400 секунд.
Ограничение количества одновременных сессии для одного пользователя. Значение по умолчанию - 2.
Ограничение количества всех одновременных сессии. Значение по умолчанию - 10.
Ограничение времени бездействия пользователя. Значение по умолчанию - 600 секунд.

По истечению времени удаляется активная сессия и для продолжения работы пользователю необходимо авторизоваться повторно.

Пользователю с ролью Администратор Безопасности доступен список всех активных сессий в системе с возможностью удаления любой из них.

Пользователю доступен список всех своих сессий в системе с возможностью удаления любой из них.

Доступ к сессии только с данного IP-адреса

Для настройки доступа к сессии со своим текущим IP-адресом необходимо установить флаг при авторизации.

Особенности политики

Пользователь с ролью Пользователь:

Не может иметь сессий больше, чем в значении Количество одновременных сессий.
Если достигнут лимит Общее количество сессий, значение Количество одновременных сессий не учитывается.
Сессия завершается автоматически при достижении лимита жизни JWT-токена при новой попытке входа в систему.

Доверенные сети и сессионные лимиты

При авторизации Администратор безопасности из доверенной сети (по умолчанию 127.0.0.1) блокировка по количеству сессий игнорируется.

Группы

Вкладка Группы позволяет организовать пользователей ВРС в группы с возможностью назначения каждой группе пользователей определенных ролей и разрешений.

При выборе подраздела Группы (раздел Настройки основного меню программы) в рабочей области окна интерфейса открывается вкладка Группы, содержащая список имеющихся групп, включая их названия, описания и количество пользователей в группе. Также доступны следующие операции:

обновление информации;
создание новой группы;
выбор группы с применением фильтра.

Создание новой группы осуществляется с помощью нажатия кнопки Добавить группу. В открывшемся диалоговом окне необходимо заполнить следующие поля:

название;
описание.

После заполнения всех полей необходимо подтвердить операцию, нажав кнопку Добавить. Название и описание вновь созданной группы появятся в списке имеющихся групп.

Для изменения или просмотра сведений о конкретной группе необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной группы и информация по ней, разграниченная по типам параметров:

Информация – содержит сведения о группе:
- название (редактируемый параметр);
- описание (редактируемый параметр);
- количество пользователей в группе;
- дата и время создания;
- дата и время последнего редактирования.
С помощью кнопки Удалить группу существует возможность удаления текущей группы.
Роли – содержит перечень доступных ролей для выбранной группы пользователей. В окне доступны следующие операции:
- обновление информации;
- добавления новой роли. При нажатии на кнопку Добавить роль открывается окно назначения новой роли для выбранной группы пользователей, в котором с помощью раскрывающегося списка пользователь выбирает одну или несколько ролей для группы и сохраняет изменения с помощью кнопки Добавить;
- удаление роли. При нажатии на кнопку Удалить роль открывается окно удаления роли для группы, в котором с помощью раскрывающегося списка пользователь выбирает роль, и подтверждает операцию нажатием кнопки Удалить.
Группе пользователей доступны следующие роли:
- Администратор.
- Администратор безопасности.
- Пользователь.
- Аудитор.
- Аудитор безопасности.
Назначаемые роли ограничивают привилегии, предоставляемые пользователю в группе.
Пользователи – содержит список пользователей, включенных в выбранную группу. В окне доступны следующие операции:
- добавление пользователя. При нажатии на кнопку Добавить пользователя открывается диалоговое окно добавления пользователей к группе, в котором с помощью раскрывающегося списка существует возможность выбрать одного или несколько пользователей, ранее зарегистрированных в среде Space Disp. Для сохранения изменений необходимо нажать кнопку Добавить;
- удаление пользователя. При нажатии на кнопку Удалить пользователя открывается диалоговое окно удаления пользователей из группы, в котором с помощью раскрывающегося списка существует возможность выбрать одного или несколько пользователей. Для подтверждения операции необходимо нажать кнопку Удалить.
Для групп, загружаемых из AD, редактирование списка пользователей недоступно.
Разрешения – содержит перечень доступных разрешений на действия при работе с клиентским ПО Space Client для выбранной группы пользователей.

В окне доступны следующие операции:
- обновление информации;
- добавление разрешения. При нажатии на кнопку Добавить разрешение открывается окно добавления нового разрешения для выбранной группы пользователей, в котором с помощью раскрывающегося списка пользователь выбирает одно или несколько разрешений для группы и сохраняет изменения с помощью кнопки Добавить;
- отключение разрешения. При нажатии на кнопку Отключить разрешение открывается окно отключения разрешения для группы, в котором с помощью раскрывающегося списка пользователь выбирает разрешение, и подтверждает операцию нажатием кнопки Отключить.
Группе пользователей доступны следующие разрешения:
- USB_REDIR (разрешение на перенаправление USB-устройств);
- FOLDERS_REDIR (разрешение на перенаправление папок);
- SHARED_CLIPBOARD (разрешение на использование общего буфера обмена).

Ended: Безопасность

Журнал ↵

События

В данном разделе можно просмотреть все операции и предупреждения, регистрируемые системой управления Space Disp. Системные события делятся на следующие категории:

информационные;
предупреждения;
ошибки;
отладка.

События категории Информационные (info) – это успешно выполненные операции.

События категории Предупреждения (warning) – это зарегистрированные системой изменения, которые могут негативно повлиять на работу системы.

События категории Ошибки (error) – это операции и события, выполнение которых невозможно или они критично влияют на работу системы управления кластером.

События категории Отладка (debug) - отладочная информация об операциях и событиях системы, которая может быть использована для поиска ошибок вендорами.

Внимание

По умолчанию режим "Отладка" - выключен. Для включения необходимо обратиться к вендору.

При выборе подраздела События (раздел Журнал основного меню программы) в рабочей области окна интерфейса открывается вкладка События, содержащая список событий, регистрируемых в системе, включая их сообщения, создателя и дату создания.

При просмотре журнала событий предусмотрен вывод как всех событий, так и с применением фильтра по дате их возникновения, определенному типу события, пользователю, типу сущности. Также существует возможность просмотра событий, прочитанных пользователем. Информацию о событиях можно обновить вручную.

Для просмотра информации о событии необходимо нажать на сообщение, связанное с этим событием, после чего в рабочей области отобразится следующая информация:

событие;
описание;
инициатор;
дата создания.

В нижней панели Web-интерфейса диспетчера отображен счетчик событий за последнюю неделю. В всплывающем окне Все события выводятся события за последнюю неделю.

Задачи

В данном разделе можно просмотреть задачи, регистрируемые системой управления Space Disp на основании действий пользователя (оператора). Каждая задача формирует одно или несколько событий. Для задач предусмотрено несколько состояний: создание, в процессе, ошибка, отменено, завершено.

При выборе подраздела Задачи (раздел Журнал основного меню программы) в рабочей области окна интерфейса открывается вкладка Задачи, содержащая список задач, регистрируемых в системе, включая их сообщения, тип, статус, дату и время создания и завершения.

При просмотре задач предусмотрен вывод как всех задач, так и с применением фильтра по состоянию и по определенному действию. Информацию о задачах можно обновить вручную.

Для просмотра информации о задачах необходимо нажать на задачу, после чего в рабочей области отобразится окно, содержащее следующую информацию:

задача;
тип;
статус;
время и дата создания;
время и дата завершения
продолжительность.

Фоновые задачи Space Disp

Описание

Под задачей понимается набор групповых действий, выполняемых отдельным процессом диспетчера vdi-pool_worker. В логику задач вынесены операции, которые могут занимать длительное время.

Полный перечень служб отображен в разделе Службы системы.

Типы задач

В зависимости от выбранной локализации наименование задачи может отличаться.

Тип	Описание
POOL_CREATE	Создание пула
POOL_EXPAND	Расширение пула
POOL_DELETE	Удаление пула
POOL_DECREASE	Уменьшение пула
VM_PREPARE	Подготовка ВМ
VMS_BACKUP	Создание резервной копии ВМ
VMS_REMOVE	Удаление ВМ
VM_GUEST_RECREATION	Пересоздание ВМ
POOL_TEMPLATE_CHANGE	Изменение шаблона
POOL_PREPARE	Подготовка ВМ в пуле
AD_SYNCHRONIZE_GROUP	Синхронизация группы AD
CONTROLLER_REMOVE	Удаление контроллера
AD_SYNCHRONIZE_ALL_EXISTING_GROUPS	Синхронизация всех групп AD
EVENTS_VACUUM	Очистка журнала событий
EVENTS_FILES_REMOVER	Удаление выгрузок журнала событий
EVENTS_SEND	Отправка событий во внешнюю систему журналирования
EVENTS_ARCHIVE	Архивация журнала событий

Создание пула

Под созданием пула подразумевается клонирование необходимого количества ВМ (указывается при создании) из золотого образа, закрепление этих ВМ за пулом и назначение им тега, соответствующего наименованию пула. Создание каждой ВМ состоит из нескольких задач на SpaceVM, успешное выполнение задачи создание пула означает успешное выполнение всех подзадач на SpaceVM. Ознакомиться с задачами SpaceVM можно в руководстве оператора SpaceVM.

Расширение пула

Расширение пула - это увеличение количество созданных ВМ при достижении порога свободных ВМ. При данном типе задачи происходят действия аналогичные Созданию пула с той разницей, что пул уже должен быть создан.

Удаление пула

Удаление пула выполняет удаление созданных ВМ и закрепленных за ними тегов.

Внимание

Обратите внимание, что на данный момент вывод ВМ из AD не происходит. Данные действия необходимо выполнить самостоятельно.

Уменьшение пула

Задача вызывается в случае уменьшения максимального размера пула в панели администратора. Максимальный размер невозможно уменьшить ниже текущего количества машин в пуле, так как это потребовало бы удаления существующих машин.

Внимание

При попытке уменьшить максимальное количество ВМ ниже количества созданных ВМ будет ошибка валидации.

Подготовка ВМ

Автоматизация шаблонных действий по подготовке новых виртуальных машин пула после создания их из шаблона. Для любого типа ВМ включает разрешение удаленного доступа и включение ВМ. Дальнейшие действия связаны с поддержкой типа ОС SpaceVM. Более подробные примеры и описание смотрите в разделе Заведение ВРС в Active Directory.

Создание резервной копии ВМ

Создание резервной копии ВМ вызывает аналогичное действие на SpaceVM. Подробное описание смотрите в документации SpaceVM.

Удаление ВМ

Задача является комплексной и запускает групповое удаление ВМ на SpaceVM.

Пересоздание ВМ

Под пересозданием понимается удаление и создание новой ВМ из золотого образа. Основное назначение — предоставление уникальной ВМ пользователю.

Изменение шаблона

Задача переносит настройки текущей выбранной ВМ, для которой она запущена, в шаблон, из которого эта ВМ была создана.

Внесенные в шаблон настройки применятся ко всем клонам.

Подготовка ВМ в пуле

Задача подготавливает ВМ. Для статических пулов подготовка состоит из включения ВМ и включения удаленного доступа по протоколу SPICE. Для автоматических пулов подготовка состоит из следующих шагов:

Включить удаленный доступ на ВМ.
Включить ВМ.
Задать hostname ВМ.
Ввести ВМ в домен.

Синхронизация группы AD

Задача синхронизирует пользователей из AD. Пользователи группы AD, которых нет в Space Disp, будут созданы. Также для существующих пользователей синхронизируются имя, фамилия, почта, если они изменились на стороне AD.

Удаление контроллера

Задача удаляет контроллер и его пулы.

Синхронизация всех групп AD

Задача соответствует Синхронизации группы AD, но для всех существующих добавленных групп AD.

Очистка журнала событий

Задача очищает журнал событий по количеству записей диспетчера и выгружает их в файл с учетом настроек системы.

Удаление выгрузок журнала событий

Если в настройках системы указано минимально свободное место, при котором необходимо удалять выгрузки журнала событий, задача выполнит удаление записей.

Отправка событий во внешнюю систему журналирования

Периодичная задача отправки событий во внешнюю систему журналирования.

Архивация журнала событий

Задача архивирует журнал событий по временному диапазону и выгружает их в файл с учетом настроек системы.

Статус выполнения задачи

В зависимости от выбранной локализации наименование статуса может отличаться.

Статус	Наименование	Описание
INITIAL	Запускаются	Задача создана, но еще не запущена
IN_PROGRESS	Выполняются	Задача выполняется в текущий момент
FAILED	Ошибка	Задача завершилась с ошибкой
CANCELLED	Отменено	Выполнение задачи было отменено
FINISHED	Завершено	Задача завершилась успешно

История выполнения задач

В разделе Журнал -> Задачи представлены задачи, которые выполняются сейчас или были выполнены ранее.

Просмотр информации о задаче

Для просмотра расширенной информации о задаче необходимо нажать левой кнопкой "мыши" на интересующую задачу в списке и ознакомиться с ее описанием.

Отмена выполнения задачи

Для отмены задачи необходимо нажать левой кнопкой "мыши" на интересующую задачу в списке и в появившемся окне нажать кнопку Отменить выполнение.

Информация об ошибке задачи

Если задача выполнена с ошибкой, то для выяснения деталей можно ознакомиться с Подробностями задачи

и Подробностями события в журнале задач системы.

Настройки

При выборе подраздела Настройки (раздел Журнал основного меню программы) в рабочей области окна интерфейса открывается вкладка Настройки журнала, содержащая информацию о периоде архивации и директории архивации. Все настройки журнала архивации являются редактируемыми.

В разделе Журнал - Настройки основного меню производится:

очистка логов;
архивация событий;
настройка экспорта.

Очистка логов

Стандартные параметры Количество записей == 0 и Лимит свободного места == 0 означают, что очистка выключена.

Удаление

При определении свободного места необходимо учитывать каталог, указанный для экспорта.

Получить список файлов events_*.zip или events_*.csv.
Отсортировать полученные файлы в алфавитном порядке.
Если лимит свободного места превышен, то необходимо удалять файлы по одному.

Архивация событий

Архивация событий доступна за: день, неделю, месяц, год.

Архивация за неделю означает, что будут выбраны события за прошлую неделю.

Архивация за месяц означает, что будут выбраны события за месяц с 1 числа по последнее число месяца.

Архивация за год означает, что будут выбраны события за год.

Доступен флаг Удалять события после выгрузки. Если он включен, то события, экспортированные по периоду архивации или по кнопке Создать выгрузку, будут удалены.

По умолчанию экспортированные события расположены в контейнерах multivdi_vdi-tornado и multivdi_vdi-pool-worker.

Копирование экспортированных событий в локальную файловую систему

Для копирования экспортированных событий в локальную файловую систему необходимо выполнить:

Командой docker ps узнать идентификатор контейнера.
Командой docker cp da587a6207b5:/tmp . скопировать файлы. Результатом выполнения команды будет появившийся каталог tmp в папке, где выполнена команда.

Настройки экспорта

Для настройки выгрузки во внешнюю систему логирования необходимо перейти в раздел Журнал - Настройки основного меню и нажать Настройки экспорта.

Необходимо указать:

Название.
IP-адрес.
Порт.
Уровень.
Формат.
Интервал синхронизации.

Уровень

Предусмотрены уровни:

DEBUG - включает события с уровнями DEBUG, ERROR, WARNING, INFO.

INFO - включает события с уровнями INFO, ERROR, WARNING.

WARNING - включает события с уровнями WARNING, ERROR.

ERROR - включает только события с уровнем ERROR.

Формат

Предусматривается два формата выгрузки: CEF и SYSLOG.

Пример формата CEF

Пример формата SYSLOG

Aug 21 11:33:59 2023 08 21 08:33:53 6731440e9d85[172.18.0.4] vdi_api[e29e5e31-8028-4ca6-8ff9-70f9a92f2094]: Контроллер test добавлен.

Структура формата CEF и SYSLOG зависит от типа событий. В Space Disp формат выгрузки доступен для следующих событий:

Вход пользователя.
Ошибка входа пользователя.
Выход пользователя.
Создание пользователя.
Удаление пользователя.
Изменение пароля пользователя.
Назначение привязки пользователя к роли.
Очищен журнал событий.
Виртуальная машина запущена.
Виртуальная машина остановлена.
Виртуальная машина остановлена принудительно.
Виртуальная машина перезапущена.
Виртуальная машина перезапущена принудительно.
Виртуальная машина создана.
Виртуальная машина (или шаблон) удалена.
Создан бекап виртуальной машины.
Виртуальная машина переведена в режим шаблона.

В зависимости от типа события CEF формат включает некоторые из следующих атрибутов:

cef_version: по умолчанию CEF:0.
device_vendor: LLC «DACOM M.
device_product: Space VDI.
device_version: текущая версия Space VDI.
suser: username отправителя запроса.
duser: username добавляемого субъекта (при создании пользователя, добавления пользователю роли).
cs1: ID сессии.
dproc: UserAgent отправителя запроса.
outcome: результат/статус (Success или Failure).
end: дата события в формате Unix.
src: IP-адрес источника запроса.
shost: имя хоста источника.
spriv: роль пользователя-инициатора запроса (Администратор/Администратор безопасности).
customString6: тип роли присвоенной (удаляемой) пользователю.
filePath: полный путь, указываемый при выгрузке журнала.
cs4: имя ВМ.
cs5: имя хоста ВМ.
act: наименование процесса ("create vm", "delete vm").
dhost: имя хоста.
dst: адрес диспетчера.
stream: поток, в котором произошло событие (vdi_api, poll_worker, monitor_worker, vm_manager).
id: ID события.
message: сообщение события.

В зависимости от типа события SYSLOG формат включает некоторые из следующих атрибутов:

event_type: уровень события (INFO, ERROR, WARNING, DEBUG).
created: время события (в формате 2023/01/22 12:25:31).
dhost: имя хоста.
dst: адрес диспетчера.
stream: поток, в котором произошло событие (vdi_api, poll_worker, monitor_worker, vm_manager).
message: сообщение события.

Интервал синхронизации

Временной интервал (задается в секундах) - в рамках которого все зафиксированные события с выбранным уровнем будут выгружены во внешнюю систему журналирования.

Ended: Журнал

Статистика ↵

Статистика подключений

В данном разделе представлена статистика подключений пользователя(тонкого клиента) к пулам виртуальных машин Space Disp.

Статистика формируется пользователем вручную, путем фильтрации:

Пулы;
Период (за 24 часа, за неделю, за месяц);
Диапазон.

В статистике представлено:

Число успешных подключений;
Число отключений;
Число неудачных подключений;
Средняя продолжительность подключений.

В данных о подключении представлены:

Топ пулов по количеству подключений;
Топ используемых ОС тонкими клиентами;
Топ используемых версий ПО тонких клиентов;
Топ пользователей с наибольшим числом подключений;
Топ ошибок при подключении.

Ended: Статистика

Гостевой агент

Загрузка образа

Образ содержит пакеты для ОС Linux и Windows. Включает в себя space_guest_agent, virtio драйвера и утилиты для SPICE.

Образ с драйверами находится здесь.

Состав образа

Spice guest tools - этот установщик содержит некоторые дополнительные драйверы и службы, которые можно установить в гостевой системе Windows для повышения производительности и интеграции SPICE. Он включает видеодрайвер qxl и гостевой агент SPICE (для копирования и вставки, автоматического переключения разрешения и т.д.). Все драйверы, которые будут доступны при установке, указаны ниже в Virtio guest tools.
Spice vdagent - необязательный компонент, улучшающий интеграцию окна гостевой системы с графическим интерфейсом удалённого пользователя. SPICE-протокол поддерживает канал связи между клиентом и агентом на стороне сервера. Агент работает внутри гостевой системы. Для связи с агентом в гостевой системе также используется специальное устройство, так называемый VDI-порт.
Spice webdavd - служба, которая использует протокол WebDAV для предоставления общего доступа к файлам ВМ.
Virtio guest tools - этот установщик содержит некоторые дополнительные драйверы и службы, которые можно установить в гостевой системе:
- NetKVM — Virtio сетевой драйвер;
- viostor — Virtio блочный драйвер;
- vioscsi — Virtio драйвер интерфейса SCSI;
- viorng — Virtio RNG (генератор случайных чисел) драйвер;
- vioser — Virtio serial driver (он предоставляет несколько портов гостю в виде простых символьных устройств для простого ввода-вывода между гостевым и хостовым пользовательскими пространствами. Это также позволяет открывать несколько таких устройств, снимая ограничения на одно устройство);
- Balloon — Virtio memory balloon driver («Баллонное устройство» virtio позволяет гостям KVM уменьшить объем своей памяти (тем самым освободив память для хоста) и увеличить ее обратно (тем самым забрав память у хоста));
- qxl — QXL графический драйвер для Windows 7 и ниже;
- qxldod — QXL графический драйвер для Windows 8 и выше;
- pvpanic — драйвер устройства QEMU pvpanic (устройство pvpanic - это смоделированное устройство ISA);
- guest-agent — Qemu Guest Agent 32bit and 64 bit MSI installers;
- qemupciserial — драйвер QEMU PCI.

Другие варианты скачивания VirtIO Drivers

Обычно драйверы довольно стабильны, поэтому сначала следует попробовать самый последний выпуск.

Последние драйверы virtio.

Стабильные драйверы virtio.

Монтирование образа

После загрузки образа в SpaceVM примонтируйте образ к ВМ и через стандартный установщик поставьте необходимое ПО в ВМ.

Настройка qemu-guest-agent

После установки qemu-агента создайте административную учетную запись (УЗ), откройте службы Windows и настройте запуск службы qemu-агент от ранее созданной УЗ (либо используйте существующую административную УЗ). Перезапустите службу.

Примечание

Необходимо для автоматического ввода ВМ в AD.

Примечание

Если ВМ выполняет роль Remote desktop connection broker (RDS пул), то запуск qemu-агента должен быть настроен от административной доменной учетной записи в Active Directory. Перед этим добавьте ВМ в домен вручную.

Проверка связи SpaceVM c гостевым агентом

Удостоверьтесь, что связь с qemu_guest_agent есть во вкладке Информация ВМ.

Установка hostname

Во вкладке ВМ/Шаблон ВМ при активном гостевом агенте можно установить hostname ВМ.

Примечание

Для разных ОС установка hostname происходит по-разному. Для Windows через powershell командой Rename-Computer с последующей перезагрузкой для принятия изменений. Для Linux командой /usr/bin/hostnamectl при включенной ВМ. Для Linux утилитой virtsysprep с сервера при выключенной ВМ.

Windows Sysprep

Для подготовки шаблона с ОС Windows можно использовать утилиту Sysprep.

Во вкладке ВМ/Шаблон ВМ при включенной ВМ и активном гостевом агенте нажмите кнопку Sysprep.

Можно выбрать стандартные опции утилиты Sysprep.

Linux virt-sysprep

Для подготовки шаблона с ОС Linux можно использовать утилиту virt-sysprep.

Во вкладке ВМ/Шаблон ВМ при выключенной ВМ нажмите кнопку VirtSysprep и выберите загрузочный диск.

Можно выбрать стандартные опции утилиты virt-sysprep.

Добавление в AD

Во вкладке ВМ/Шаблон ВМ при активном гостевом агенте можно добавить ВМ в AD, указав:

hostname (необязательный параметр);
имя домена;
логин;
пароль;
опция рестарта после применения параметров (по умолчанию включено).

Примечание

Не забудьте прописать DNS домена или настройте DHCP.

Удаление из AD

Во вкладке ВМ/Шаблон ВМ при активном гостевом агенте можно убрать ВМ из AD, указав логин и пароль.

Изменить шаблон

Способ изменить шаблон без ручного пересоздания всех клонов - это воспользоваться операцией вливания снимка тонкого клона в шаблон.

Для этого требуется подготовить тонкие клоны с панели SpaceVM:

На всех тонких клонах не должно быть сохраненных состояний, требуется при необходимости зайти в Снимки и Удалить все состояния.
Внести нужные изменение в имеющийся тонкий клон или создать новый тонкий клон и произвести там изменения.
Выключить все включенные тонкие клоны от родительского шаблона.
Для ОС Windows рекомендуется перед вливанием подготовить тонкий клон через Sysprep, если вы использовали эту утилиту для шаблона.
Произвести операцию в тонком клоне, который мы подготовили для вливания в шаблон, нажав во вкладке ВМ/Шаблон кнопку Изменить шаблон и подтвердив свои намерения в открывшемся окне.

Эти действия внесут изменения из подготовленного тонкого клона в диски шаблона и от них пересоздадутся диски во всех остальных тонких клонах.

Внимание

Изменение шаблона напрямую при наличии тонких клонов запрещено, так как это приведет в нерабочее состояние все тонкие клоны.

Перечень принятых сокращений

Сокращение	Описание
ВМ	виртуальная машина
ВРС	виртуальный рабочий стол
ОЕ	организованная единица
ОС	операционная система
AD	Active Directory (активный каталог)
API	Application Programming Interface (программный интерфейс приложения)
CPU	Central Processing Unit (центральное процeссорное устрoйство)
ECP	Enterprise Cloud Platform (облачная платформа корпоративного уровня)
IPMI	Intelligent Platform Management Interface (независимый от ОС интерфейс управления сервером)
LDAP	Lightweight Directory Access Protocol (облегчённый протокол доступа к каталогам)
RAM	Random Access Memory (оперативная память)
RDP	Remote Desktop Protocol (протокол удалённого рабочего стола)
Spice	Simple Protocol for Independent Computing Environments (простой протокол для независимой вычислительной среды)
USB	Universal Serial Bus (универсальная последовательная шина)

Ended: Рук-во оператора

Релизы ↵

Общие сведения

Релизный цикл

ООО «ДАКОМ М» является правообладателем и разработчиком линейки изделий Space.

В целях усовершенствования функциональных возможностей, повышения качества и возможностей безопасности Space жизненным циклом предусмотрены работы по ее непрерывному развитию, предполагающие постоянный анализ актуальных требований Заказчиков и исправление дефектов, которые можно занести или ознакомиться с уже известными в Space Bugzilla.

В рамках жизненного цикла осуществляется выпуск мажорных, минорных и патч обновлений.

Плановый график выпуска минорных обновлений представлен в маршрутной карте на официальном сайте.

Контроль и учет версий

Управление версиями обновления ПО Space – это процесс присвоения уникального номера в рамках выпуска мажорного, минорного или патч обновления.

Обновления имеют семантическую систему нумерацию, в которой каждый номер версии состоит из трех чисел, разделенных точками, например, 5.1.1.

При каждом обновлении номер версии ПО увеличивается по следующим правилам:

Первое число (х, мажорный релиз) - при значительных изменениях архитектуры ПО, например, обновление пакетной базы, переход на новое ядро и т.п., может повлечь за собой необходимость переустановки системы.
Второе число (y, минорный релиз) - при добавлении новых функциональных возможностей ПО.
Третье число (z, патч релиз) - при обнаружении в системе существенных недостатков, влияющих на эксплуатацию, производится выпуск исправлений к существующему релизу до выхода следующей минорной версии проекта.

В патч релиз входят исправления недостатков и повышение качества безопасности.

Обновление

При получении изделий в рамках поставки продукции обязательно требуется произвести обновление до актуальной версии, обновление будет доступно в случае действительного сертификата сервисной поддержки.

О выходе обновлений можно узнать в официальной документации или от аккредитивных сервисных центров и партнеров. Патч обновления отображаются в веб-интерфейсе ПО.

Процедура установки обновлений представлена в Руководстве системного программиста.

Основные изменения Space Disp 5.3.x

Совместим с:

- SpaceVM 6.2 и выше.
- Space Client 2.3 и выше.
- Шлюз подключений внешних пользователей 1.3.
- Space Agent PC 1.3.

Подтверждена совместимость:

Delta Tioga Pass
РЕД ОС 7.3

C подробной информацией можно ознакомиться на официальном сайте.

Space Disp 5.3.0

Минорный релиз

Реализована новая функциональность, требуется обновить Space Disp с версии 5.2.х согласно инструкции.

Возможность выгрузки событий во внешние системы логирования в формате CEF. Интеграция с ArcSight.
Реализовано управление пулом физических машин.
Разработан Space Agent PC 1.3 для установки на физический ПК.
Оптимизирована подсистема регистрации.
Оптимизирована подсистема безопасности.
Добавлен новый вид лицензии.
Доработано управление парольными политиками, реализован режим стойкости паролей Усиленный.
Оптимизирован графический Web-интерфейс. Улучшена читаемость, разборчивость и адаптивность.

Экспериментальный функционал

Шлюз подключений внешних пользователей 1.3.

Архитектура решений представляет собой один компонент, обеспечивающий диспетчер подключений и управление.
Реализована интеграция с AD FS.

Исправлены ошибки:

Исправлена ошибка пагинации ВМ и шаблонов в пулах и ресурсах контроллера.

Исправлен вывод ошибки при добавлении групп к AD.

Исправлено отображение количества пользователей пула на главной странице Web-интерфейса диспетчера.

Исправлена ошибка отключения шлюза подключений внешних пользователей со стороны диспетчера.

Исправлена ошибка проверки корректности URL службы каталогов со стороны Space Disp.

Исправлен механизм синхронизации групп AD.

Исправлена ошибка возможности деактивировать собственного пользователя.

Исправлена ошибка доступности разделов для роли "Оператор".

Space Disp 5.3.1

Исправлен лимит добавления ВМ в статический пул.

Основные изменения Space Disp 5.2.x

Совместим с:

- SpaceVM 6.2
- Space Client 2.0 и выше

Space Disp 5.2.0

Минорный релиз

Реализована новая функциональность, требуется обновить пакетную базу AstraLinux до 1.7.4 согласно документации производителя.

Реализовано управление парольными политиками, режимы стойкости паролей LOW, MIDDLE, HIGH.
Реализована блокировка пользователя при превышении лимита неуспешных аутентификаций.
Реализовано прерывание сессии при бездействии пользователя в установленном интервале.
Реализован функционал ротации журналов.
Реализована возможность создания нескольких типов учетных записей с различным уровнем привилегий.
Реализована возможность загрузки нескольких лицензионных ключей с суммированием подключений.
Реализовано отображение активных Loudplay - подключений в информации о лицензиях.
Повышена безопасность хранения паролей в конфигурационных файлах.
Добавлена поддержка перемещаемых профилей для Alt Linux.
Системная сущность SECURITY объединена с сущностью SYSTEM.

Экспериментальный функционал

Шлюз подключений внешних пользователей.

Архитектура решений представляет собой один компонент, обеспечивающий диспетчер подключений и управление.

Исправлены ошибки:

#568 Ошибка входа в web-интерфейс для роли администратора.

Исправлена блокирующая отправка сообщений при некорректных настройках SMTP-сервера.

Добавлена возможность использовать правила наименования шаблонов ВМ, по аналогии SpaceVM.

Скорректированы формулировки валидации пользовательского ввода.

Основные изменения Space Disp 5.1.х

Совместим с:

- SpaceVM 6.0 и выше
- Space Client 2.0 и выше

Space Disp 5.1.0

Минорный релиз

Реализована новая функциональность, без нарушения обратной совместимости.

Реализована возможность управления автоматическим подключением периферийных устройств к ВМ во время активного сеанса работы ВМ.
Реализована возможность печати с локальных принтеров, подключенных к устройству клиента.
Реализована возможность передачи меди-файлов между ВМ и ОС устройства клиента с использованием буфера обмена.
Обеспечена балансировка подключений между экземплярами кластера мультидиспетчера.
Обеспечено уменьшение размера автоматического пула виртуальных рабочих столов с автоматическим удалением ВМ в режиме перемещаемых профилей.
Обеспечено динамическое подключение домашнего каталога пользователя по протоколу NFS в режиме перемещаемых профилей.

Space Disp 5.1.1

Исправлена ошибка прекращения действия существующих лицензионных ключей после обновления до версии 5.1.0.

Основные изменения Space Disp 5.0.х

Совместим с:

- SpaceVM 6.0 и выше
- Space Client 2.0 и выше

Space Disp 5.0.0

Мажорный релиз

Крупный релиз без обратной совместимости.

Поддержка мультидиспетчера.
Повышение стабильности и безопасности работы.
Устранение выявленных замечаний по управлению контроллером.

Space Disp 5.0.1

Устранение выявленных замечаний синхронизации групп.

Ended: Релизы

Приложения ↵

ОС Astra Linux Special Edition 1.7 релиз Смоленск

Установка ОС

Запустить ВМ, если она не запущена, далее перейти во вкладку Информация и открыть окно ВМ.

Настройка ОС

После завершения программы установки ОС необходимо войти в систему под именем и паролем, который был указан при создании учетной записи, указав значение Integrity level равным 63 или уровень целостности равным Высокий (для графического режима).

Копирование установочных дисков ОС

Открыть приложение для ввода командной строки Терминал и выполнить следующие действия:
- получить привилегии root с помощью команды
  
  sudo su
- подключить iso-образ установочного диска ОС, выполнив последовательно команды:
  
  mount /media/cdrom
  
  mkdir /opt/main
- осуществить копирование deb-пакетов в систему с помощью команды
  
  cp -r /media/cdrom/pool /media/cdrom/dists /opt/main/
- размонтировать диск с помощью команды
  
  umount /media/cdrom
Вернуться в окно управления SpaceVM, перейти во вкладку Виртуальная машина - <имя ВМ> - CD-ROM. В списке приводов нажать на название привода и в открывшемся окне отключить iso-образ установочного диска ОС, нажав кнопку Извлечь.
Во вкладке Виртуальная машина - <имя ВМ> - CD-ROM примонтировать iso-образ диска со средствами разработки ОС (devel), нажав кнопку Монтировать образ. В открывшемся окне необходимо выбрать хранилище, где находится iso-образ, и название iso-образа диска со средствами разработки ОС. Далее нажать кнопку Монтировать.
Перейти во вкладку Информация и открыть окно ВМ. Авторизоваться, если необходимо. Перейти в окно приложения для ввода командной строки Терминал Fly и выполнить следующие действия:
- если необходимо, получить привилегии root с помощью команды
  
  sudo su
- подключить iso-образ диска со средствами разработки ОС, выполнив последовательно команды:
  
  mount /media/cdrom
  
  mkdir /opt/devel
- осуществить копирование deb-пакетов в систему с помощью команды
  
  cp -r /media/cdrom/pool /media/cdrom/dists /opt/devel/
- размонтировать диск с помощью команды
  
  umount /media/cdrom
Вернуться в окно управления SpaceVM, перейти во вкладку Виртуальная машина - <имя ВМ> - CD-ROM. В списке приводов нажать на название привода и в открывшемся диалоговом окне отключить iso-образ диска со средствами разработки ОС, нажав кнопку Извлечь.

Установка гостевого агента

Для корректной работы ВМ на SpaceVM необходимо скачать и выполнить установку последней версии гостевого агента.
Вернуться в окно управления SpaceVM, перейти во вкладку Виртуальная машина - <имя ВМ> - CD-ROM. В списке приводов нажать на название привода и в открывшемся окне нажать кнопку Монтировать образ. Далее выбрать хранилище, где находится iso-образ, и название iso-образа space guest utils. Далее нажать кнопку Монтировать.
Перейти во вкладку Информация и открыть окно ВМ. Авторизоваться, если необходимо. Открыть приложение для ввода командной строки Терминал Fly и подключить iso-образ space guest utils командой

mount /media/cdrom
Выполнить установку гостевого агента командой sudo dpkg -i /media/cdrom/linux/qemu-guest-agent/qemu-guest-agent_2.8+dfsg-6+deb9u13_amd64.deb

Пример
Перезагрузить ВМ. Если установка прошла успешно, то в разделе Информация ВМ появится значение IP-адреса ВМ.

Пример
Вернуться в окно управления SpaceVM, перейти во вкладку Виртуальная машина - <имя ВМ> - CD-ROM. В списке приводов нажать на название привода и в открывшемся диалоговом окне отключить iso-образ space guest utils, нажав кнопку Извлечь.

Далее перейти к настройке репозитория.

Соединение по SSH

Если на вашем АРМе установлена ОС "Linux", то существует возможность подключиться по протоколу SSH. Для этого необходимо войти в окно для ввода командной строки Терминал Fly и выполнить команду ssh <имя пользователя>@<IP-адрес машины, на которой идет настройка ОС>, далее настроить репозиторий через терминал на вашем АРМе.

Настройка репозитория

Настроить локальный apt-репозиторий для установки необходимых пакетов, выполнив следующие действия:
- открыть для редактирования файл sources.list с помощью команды
  
  sudo nano /etc/apt/sources.list
- привести файл sources.list к виду (добавить путь к папке с обновлениями безопасности):
  
  # deb cdrom:[OS Astra Linux 1.7.0 1.7_x86-64 DVD ]/ 1.7_x86-64 contrib main non-free
  
  # deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository/ 1.7_x86-64 main contrib non-free
  
  deb file:///opt/main 1.7_x86-64 contrib main non-free
  
  deb file:///opt/devel 1.7_x86-64 contrib main non-free
- после редактирования файла нажать Ctrl+Х и согласиться с сохранением файла.
Обновить списки пакетов с помощью команды apt-get update

Этап установки и настройки ОС Astra Linux можно считать завершенным. Далее переходите к следующему шагу - Установка Space Dispatcher.

Резервное копирование базы данных

Назначение

Задача резервного копирования базы данных Space Disp — это обеспечить сохранность всех данных и настроек. Наличие резервных копий базы данных дает возможность хранить данные и настройки защищенными от изменений и повреждений. В случае сбоя, резервные копии позволяют восстановить работоспособность Space Disp или перенести его на новую виртуальную машину.

Создание резервной копии базы данных

Для создания резервной копии БД необходимо на узле с ролью db запустить скрипт /opt/db_backup.sh и указать в качестве параметра директорию, в которую будет сохранен файл резервной копии:

sudo /opt/db_backup.sh /opt

Данная команда создаст файл резервной копии БД с именем вида ДД-ММ-ГГГГ_чч-мм-сс_vdi_backup.sql.gz в директории /opt.

Восстановление базы данных из резервной копии

Предупреждение

При переносе Space Disp на новую ВМ версия Space Disp на новой ВМ должна быть той же, с которого сделана резервная копия.

Примечание

Проверить текущую версию Space Disp и его компонентов можно командой dpkg -l | grep space-.

Для восстановления БД из резервной копии необходимо на узле БД запустить скрипт /opt/db_restore.sh и указать в качестве параметра путь к файлу резервной копии:

sudo /opt/db_restore.sh /opt/01-04-2023_15-05-35_vdi_backup.sql.gz

Данная команда запустит восстановление БД из файла /opt/01-04-2023_15-05-35_vdi_backup.sql.gz.

Ended: Приложения

FAQ ↵

Поиск и пути устранения ошибок

Сбор

# Сбор имеющихся логов для передачи разработчикам

sudo bash /opt/vdi/other/log_collector.sh
в меню выбора указать Full. В результате работы будет выведено сообщение с путём выгрузки логов, аналогично VDI logs saved in /tmp/vdi_server_logs_20230616172354.tar.gz

Просмотр

# Просмотр ТЕКУЩИХ логов веб-службы диспетчера

sudo journalctl -u vdi-web.service

# Просмотр ТЕКУЩИХ логов службы-монитора (фоновые задачи) диспетчера

sudo journalctl -u vdi-monitor_worker.service

# Просмотр ТЕКУЩИХ логов службы-монитора пулов диспетчера

sudo journalctl -u vdi-pool_worker.service

# Просмотр ТЕКУЩИХ логов службы-монитора ВМ диспетчера

sudo journalctl -u vdi-vm_manager.service

Настройка вывода информации

# отредактировать настройки веб-службы диспетчера

sudo vim /etc/systemd/system/vdi-web.service
# в аргументе logging установить нужный уровень логгирования

ExecStart=/opt/vdi/env/bin/python /opt/vdi/app/web_app/app.py --workers=1 --logging=DEBUG --ssl --address=127.0.0.1 --log_file_prefix=/var/log/vdi/vdi_tornado.log
# применить настройки и перезапустить веб-службу

sudo systemctl daemon-reload && sudo systemctl restart vdi-web

Настройка подключения к SpaceVM

# Использовать SSL (443 порт)
VEIL_SSL_ON = False

# Время ожидания операций на SpaceVM (сек)
VEIL_OPERATION_WAITING = 10
VEIL_WS_MAX_TIME_TO_WAIT = int(os.getenv("VEIL_WS_MAX_TIME_TO_WAIT", 60))
VEIL_VM_PREPARE_TIMEOUT = 1200.0
VEIL_VM_REMOVE_TIMEOUT = 1200.0
VEIL_REQUEST_TIMEOUT = 15
VEIL_CONNECTION_TIMEOUT = 15
VEIL_GUEST_AGENT_EXTRA_WAITING = 3

# Ограничение размера запроса
VEIL_MAX_BODY_SIZE = 1000 * 1024 ^ 3
VEIL_MAX_URL_LEN = 6000  # суммарный размер запроса
VEIL_MAX_IDS_LEN = 3780  # если возникает проблема при работе с пулами больше определенного количества ВМ, уменьшать параметр по принципу 36 * КОЛ-ВО ВМ
# попытки создать ВМ (для исключения кратковременных блокировок на стороне SpaceVM)
VEIL_MAX_VM_CREATE_ATTEMPTS = 5

Службы системы

Ниже представлен перечень основных сервисов, необходимых для корректной работы диспетчера, и базовые команды для проверки/запуска/остановки. Все команды выполняются либо через sudo, либо от привилегированного пользователя.

Apache2

Внимание

В ситуации, когда не открывается Web-интерфейс панели администратора, данная служба является первой, с которой следует начать проверку ее активности.

Тип	Команда
статус	systemctl status apache2
остановка	systemctl stop apache2
запуск	systemctl start apache2

Службы диспетчера

Web-приложение

Веб приложение обрабатывает запросы по протоколу http и соединения по протоколу websockets. Его клиентами являются Space Client и веб интерфейс администратора VDI. Возможен запуск нескольких экземпляров для увеличения числа обрабатываемых запросов.

Тип	Команда
статус	systemctl status vdi-web
остановка	systemctl stop vdi-web
запуск	systemctl start vdi-web

Служба пулов

Процесс, выполняющий задачи, полученные от web-приложение. Задачи поступают из очереди задачи и выполняются параллельно. Описание задач, выполняемых службой, можно посмотреть здесь.

Тип	Команда
статус	systemctl status vdi-pool_worker
остановка	systemctl stop vdi-pool_worker
запуск	systemctl start vdi-pool_worker

Монитор состояния компонентов

Процесс мониторит состояние добавленных в Space Disp контроллеров. Осуществляет прием информационных сообщений от контроллеров об изменении статусов и параметров виртуальных машин. Деактивирует записи о завершенных соединениях между диспетчером и тонкими клиентами, если они по какой-либо причине не были деактивированы штатно (например, при аварийном завершении тонкого клиента).

Тип	Команда
статус	systemctl status vdi-monitor_worker
остановка	systemctl stop vdi-monitor_worker
запуск	systemctl start vdi-monitor_worker

Менеджер виртуальных машин

Процесс выполняет действия над ВМ, заданные настройками диспетчера (удержание ВМ включенными, выключение ВМ при закрытии соединения пользователем и т. п.).

Тип	Команда
статус	systemctl status vdi-vm_manager
остановка	systemctl stop vdi-vm_manager
запуск	systemctl start vdi-vm_manager

Postgresql

База данных, содержащая записи о текущих пользователях, пулах, виртуальных машинах и т.д.

Тип	Команда
статус	systemctl status postgresql
остановка	systemctl stop postgresql
запуск	systemctl start postgresql

Redis

Резидентная база данных, используемая, главным образом, в качестве диспетчера сообщений. Обеспечивает взаимодействие между службами системы через следующие структуры данных:

Очередь задач. Задачи добавляются в очередь со стороны web-приложение и забираются на исполнение службой пулов.
Очередь команд службе пулов от web-приложение (например, команда на отмену задачи).
Канал для передачи текстовых сообщений между администраторами и тонкими клиентами.
Канал для команд тонким клиентам от администратора.
Канал для внутренних сообщений Space Disp.

Тип	Команда
статус	systemctl status redis-server
остановка	systemctl stop redis-server
запуск	systemctl start redis-server

Блок-схема

блок-схема

Возможные ошибки

Установка ролей диспетчера

Проверка установки роли DB.

1.1. Необходимо проверить, не создались ли лишние БД, командой sudo -u postgres psql. Результат должен соответствовать:

1.2 Проверить ожидаемые настройки подключения pg_hba.conf командой sudo cat /etc/postgresql/11/main/pg_hba.conf. Пример:

Проверка установки роли Leader / Manager.

Проверить, что в директории /opt/multivdi нет лишних файлов и папок.

Проверить, что в файле /opt/multivdi/.env нет секретов.

Секреты, генерируемые при установке в явном виде, недоступны. Пути их размещения ВНУТРИ контейнеров можно посмотреть командой sudo docker secret ls.

Т.к. секреты используются для всех нод, то для проверки достаточно подключиться к любому контейнеру и посмотреть содержимое внутри него.

Найти в списке контейнер с image space-dispatcher-backend.

Проверить, что INS_KEY уникальный командой sudo docker exec -it 9d9cb94335d3 cat /run/secrets/INS_KEY.

Проверить содержимое LOC_SET командой sudo docker exec -it 9d9cb94335d3 cat /run/secrets/LOC_SET.

Ошибка подключения по VNC

Если при попытке подключиться к ВМ по VNC возникает ошибка вида Ошибка подключения к серверу необходимо:

Убедиться в корректности SSL-сертификатов, используемых SpaceVM.
Если SSL-сертификаты являются "самоподписанными" или признаны браузером как "недоверенные", то необходимо добавить их в "доверенные" на конкретном клиентском устройстве.
Настройка "самоподписанных" сертификатов, которые не признаны браузером как "доверенные", должна выполняться администратором, и администратор должен учитывать возможные риски безопасности.

Web-интерфейс не работает или невозможно подключиться

Проверьте в терминале ВМ, включен ли сервис apache2

sudo systemctl status apache2

Если он не включен, то включить и выполнить:

sudo systemctl start apache2
sudo chown www-data:adm /var/log/apache2 -R

Пользователь не создается

При получении сообщения, что пользователь не может быть создан, потому что уже существует, следует:

Снять "галочку" Активные пользователи в разделе Настройки -> Пользователи.
Если такого пользователя нет в списке, то необходимо подключиться к серверу, на котором размещен Space Disp, и удалить пользователя в ОС Astra Linux.

Причина

Такое возможно в случае, если пароль пользователя недостаточно сложен (опция в соответствии с политикой безопасности Astra Linux). После удаления пользователя из ОС повторите попытку его создания на Space Disp, придерживаясь рекомендаций Astra Linux: "Пароль рекомендуется создавать способом, максимально затрудняющем его подбор. Наиболее безопасный пароль состоит из случайной (псевдослучайной) последовательности букв, специальных символов и цифр".

Примечание

Если ssh-подключение заблокировано, используйте SPICE/VNC управление с контроллера SpaceVM.

Двухфакторная аутентификация по одноразовому паролю

Двухфакторная аутентификация — это метод идентификации пользователя при помощи запроса аутентификационных данных двух разных типов: первый этап — это логин и пароль, второй — 6-значный одноразовый код.

Одноразовый код можно генерировать с помощью приложения — аутентификатора (2FA-приложения).

Работа приложения-аутентификатора

Последовательность действий:

Необходимо установить на смартфон приложение (или воспользоваться Web-версией) для двухфакторной аутентификации (система тестировалась с приложениями: Яндекс.Ключ, Google Authenticator, Authy, Microsoft Authenticator, 1password).
В настройках пользователя Space Disp необходимо включить двухфакторную аутентификацию и сгенерировать QR-код.
После сканирования QR-кода или ввода секретного ключа вручную в 2FA-приложение оно начинает создавать каждые 30 секунд новый 6-значный одноразовый код.
6-значный одноразовый код необходимо ввести в соответствующее поле при входе в Space Disp.

Примечание

Одноразовые коды создаются на основе секретного ключа, а также текущего времени, округленного до 30 секунд (алгоритм OATH TOTP — Time-based One-time Password)).

Профиль	vCPU	RAM (Mb)	HDD (Гб)	HDD delta (Гб)	IOps average	IOps Boot	Переподписка vCPU:CPU
Тип 1	2	2048	50	10	20	max 600 min 150	8
Тип 2	2	4096	50	10	20	max 600 min 150	6
Тип 3	4	4096	60	20	40	max 600 min 150	4
Тип 4	4	8192	60	20	40	max 600 min 150	2
Тип 5	8	8192	100	30	50	max 600 min 150	2
Тип 6	8	16384	100	30	50	max 600 min 150	1

О продукте ↵

Компоненты Space VDI

Платформа виртуализации SpaceVM

Диспетчер подключений Space Disp

Клиентское программное обеспечение Space Client

Взаимодействие компонентов Space VDI

Подключение пользователя к ВРС

Администрирование Space VDI

Масштабирование инфраструктуры VDI

Space Dispatcher ↵

Структура программы

Общие сведения о программе

Требования к техническим средствам

Требования к программному обеспечению

Требования к квалификации специалистов

Подготовка к работе

Общие правила при работе с программой

Включение программы

Окно интерфейса

Основное меню

Документация

Ended: Space Dispatcher

Рекомендации по подбору ресурсов Space Dispatcher ↵

Рекомендации по подбору ресурсов

Профили использования

Описание профилей использования

Рекомендуемое количество выделяемых ресурсов

Расчет CPU

Количество vCPU на одну ВМ

Коэффициент переподписки vCPU:CPU

Использование групп ВМ с разным коэффициентом переподписки vCPU:CPU

Расчет объема RAM

Расчет СХД

Объем

Производительность

Расчет сети

Native RDP

RDP

гостевая ОС Windows 10

гостевая ОС Linux

Glint

Рекомендации к использованию vGPU

Потребление ресурсов ВМ

vGPU

Объем памяти vGPU

CPU

Примеры расчетов

Пример расчета количества ВМ на сервер

Ended: Рекомендации по подбору ресурсов Space Dispatcher

Рекомендуемые настройки для эксплуатации

Перечень портов и протоколов, задействованных при обмене с SpaceVM

Перечень портов на SpaceVM

Ended: О продукте

Рук-во системного программиста ↵

Установка и базовая настройка ↵

Общие сведения

Необходимые диски

Порядок установки и настройки

Проверка версии сборки ПО

Проверка целостности программы

Создание ВМ в SpaceVM

Первый шаг — настройка параметров ВМ

Второй шаг — подключение дисков

Третий шаг — подключение ISO

Четвертый шаг — создание сетевых интерфейсов

Пятый шаг — Включение

Установка ОС ASTRA LINUX SPECIAL EDITION 1.7

Space Dispatcher

Описание

Роли Space Disp

Установка

Установка узла с ролью DB

Установка узла с ролью Leader

Установка узла с ролью Manager

Основные команды

Вход в Space Disp

Ended: Установка и базовая настройка

Обновление ↵

Обновление Space Disp с версии 5.2 на версию 5.3

Роли Space Disp