Архитектура системы VDI
Инфраструктура Space VDI представляет собой многоуровневую систему, обеспечивающую работу виртуальных и физических рабочих столов.
При проектировании инфраструктуры Space VDI необходимо обеспечить сетевую доступность между всеми её компонентами.
Архитектурная схема системы
Ниже представлена архитектурная схема, отображающая взаимодействие всех компонентов системы с указанием шифрования трафика, типов портов и протоколов, доступность которых необходима для корректной работы Space VDI.
Архитектурная схема с указанием портов и типов протоколов
Условные обозначения:
- DP – Data Plane: Полезные данные (пользовательский трафик).
- CP – Control Plane: Служебный протокол.
- Черный (CP) – Запросы к базам данных.
- Красный (CP) – Служебный протокол шлюза внешних подключений.
- Зеленый (CP) – Управляющие каналы для подключения VDI и передачи команд.
- Желтый (CP) – Служебный протокол для управления VDI.
Примечания
На данной схеме представлена архитектура Space VDI с минимальным количеством компонентов для обеспечения отказоустойчивого функционирования.
Список портов и протоколов, используемых при инсталляции инфраструктуры Space VDI.
Компоненты системы
-
SpaceVM — корпоративная облачная платформа, предназначенная для создания виртуальной инфраструктуры на базе универсальных серверных платформ.
Архитектура отказоустойчивого кластера:
-
Двухконтурная система управления.
-
Два сервера с ролью контроллера SpaceVM и сервер виртуализации (возможность развертывания на выделенных серверах или совмещения с серверами виртуализации).
Функциональные особенности:
-
Управление вирутальными машинами.
-
Балансировка нагрузки между серверами.
-
Мониторинг состояния инфрастуруктуры.
-
Масштабирование до 96 серверов виртуализации на один контроллер.
-
-
Space Dispatcher (Space Disp) — диспетчер подключений виртуальных и удаленных физических рабочих столов, отвечающий за прием и подключение пользователей к назначенным пулам ВРС.
Архитектура отказоустойчивого кластера:
-
Ролевая модель узлов управления:
- 1 Leader — основной управляющий узел.
- 2 Manager — управляющие узлы.
- Для обеспечения отказоустойчивости должно быть нечетное количество узлов.
-
Интеграция с реплицированной базой данных:
- Внутренняя база данных (входит в состав Space Disp).
- Возможность использования внешней базы данных Postgres Pro (входит в состав Astra Linux SE).
Функциональные особенности:
-
Обработка до 2000 конкурентных пользователей на один узел.
-
Масштабирование до 14000 конкурентных пользователей.
-
Управление сессиями пользователей.
-
Мониторинг состояния виртуальных и физических рабочих столов.
-
-
Space Gateway (шлюз подключения пользователей) — технологический компонент, необходимый для функционирования экосистемы Space VDI. Обеспечивает централизованный доступ пользователей к ресурсам Space VDI, таким как ФМ, ВМ, и приложениям. Шлюз подключений обеспечивает балансировку нагрузки и предлагает варианты высокой доступности для обеспечения бесперебойного доступа.
Архитектура отказоустойчивого кластера:
-
Минимальное отказоуйстойчивое количество узлов шлюза соответствует 3 (без учета узлов БД).
-
Для обеспечения отказоустойчивости количество узлов шлюза должно быть на 1 больше количества узлов, рассчитываемых по количеству пользователей (например для 5000 пользователей необходимо 6 узлов шлюза).
Функциональные особенности:
-
Обеспечение удаленного доступа.
-
Обработка до 1000 конкурентных пользователей на один узел.
-
Маршрутизация и балансировка трафика.
-
Оптимизация пропускной способности.
-
-
Space Agent VM, Space Agent VDI — наборы системных утилит для автоматизации технологических процессов и организации взаимодействия пользователя с виртуальными и физическими рабочими столами.
Назначение:
-
Предоставление удаленного доступа.
-
Поддержка различных клиентских устройств.
-
Оптимизация передачи данных.
-
Интеграция с системами аутентификации.
-
-
Space Client — клиентское программное обеспечение, предназначенное для удаленного подключения к ВМ с помощью графического интерфейса.
Функциональные особенности:
-
Позволяет перенаправлять на ВМ различные типы устройств, подключенные к клиентской машине.
-
Space Client поддерживает постоянную связь со Space Disp.
-
Поддерживает ОС Linux, Windows и macOS.
-
Взаимодействие компонентов системы
-
Централизованное управление виртуальной инфраструктурой осуществляется платформой виртуализации SpaceVM, состоящей из серверов виртуализации (Node) с гипервизором и сервера управления (Controller).
-
Для предоставления доступа пользователей к ВМ/ФМ используется диспетчер подключений виртуальных и удаленных рабочих столов Space Disp, который взаимодействует с платформой SpaceVM. Space Disp также обеспечивает интеграцию с внутренней или внешней базой данных, автоматизирует развертывание и управление ВРС.
-
Базы данных используются для хранения конфигураций и сеансов пользователей, реплицируются между узлами Space Dispatcher DB1 и DB2.
-
Для улучшения взаимодействия пользователей с ВМ/ФМ предусмотрены наборы системных утилит Space Agent VM и Space Agent VDI.
-
Для обеспечения безопасности и корректности подключения клиентских машин к ВМ, а также для балансировки нагрузки, используется шлюз Space Gateway. Шлюз выступает посредником в передаче данных между Space Client и Space Disp, обеспечивая дополнительную функциональность и перенаправление портов.
-
Подключение пользователей с помощью графического интерфейса происходит через специальное клиентское ПО Space Client, которое устанавливается на тонкие клиенты, ПК или ноутбуки. Данные от клиентов поступают через интернет и направляются к Space Gateway.
Шифрование трафика между компонентами системы
Для защиты взаимодействия компонентов системы в Space VDI применяется протокол TLS (Transport Layer Security), обеспечивающий конфиденциальность и целостность данных. Зашифрованное соединение устанавливается при помощи обмена PSK-ключами или с использованием сертификата X.509 при взаимодействии со SpaceVM. На архитектурной схеме отображено какой трафик подлежит шифрованию.
Примечание
Для включения TLS/SSL при подключении кластера Space VDI к кластеру SpaceVM необходимо во вкладке Настройки - Общие включить использование SSL при подключении к SpaceVM.
Соединение между Space VDI и SpaceVM будет зашифровано, даже если для контроллера SpaceVM не выпускался собственный сертификат в структуре PKI, так как контроллер имеет самоподписанный сертификат.