Перейти к содержанию

Архитектура системы VDI

Инфраструктура Space VDI представляет собой многоуровневую систему, обеспечивающую работу виртуальных и физических рабочих столов.
При проектировании инфраструктуры Space VDI необходимо обеспечить сетевую доступность между всеми её компонентами.

Архитектурная схема системы

Ниже представлена архитектурная схема, отображающая взаимодействие всех компонентов системы с указанием шифрования трафика, типов портов и протоколов, доступность которых необходима для корректной работы Space VDI.

Архитектурная схема с указанием портов и типов протоколов

image

Условные обозначения:

  • DP – Data Plane: Полезные данные (пользовательский трафик).
  • CP – Control Plane: Служебный протокол.
  • Черный (CP) – Запросы к базам данных.
  • Красный (CP) – Служебный протокол шлюза внешних подключений.
  • Зеленый (CP) – Управляющие каналы для подключения VDI и передачи команд.
  • Желтый (CP) – Служебный протокол для управления VDI.

Примечания

На данной схеме представлена архитектура Space VDI с минимальным количеством компонентов для обеспечения отказоустойчивого функционирования.

Список портов и протоколов, используемых при инсталляции инфраструктуры Space VDI.


Компоненты системы

  1. SpaceVM — корпоративная облачная платформа, предназначенная для создания виртуальной инфраструктуры на базе универсальных серверных платформ.

    Архитектура отказоустойчивого кластера:

    • Двухконтурная система управления.

    • Два сервера с ролью контроллера SpaceVM и сервер виртуализации (возможность развертывания на выделенных серверах или совмещения с серверами виртуализации).

    Функциональные особенности:

    • Управление вирутальными машинами.

    • Балансировка нагрузки между серверами.

    • Мониторинг состояния инфрастуруктуры.

    • Масштабирование до 96 серверов виртуализации на один контроллер.

  2. Space Dispatcher (Space Disp) — диспетчер подключений виртуальных и удаленных физических рабочих столов, отвечающий за прием и подключение пользователей к назначенным пулам ВРС.

    Архитектура отказоустойчивого кластера:

    • Ролевая модель узлов управления:

      • 1 Leader — основной управляющий узел.
      • 2 Manager — управляющие узлы.
      • Для обеспечения отказоустойчивости должно быть нечетное количество узлов.
    • Интеграция с реплицированной базой данных:

      • Внутренняя база данных (входит в состав Space Disp).
      • Возможность использования внешней базы данных Postgres Pro (входит в состав Astra Linux SE).

    Функциональные особенности:

    • Обработка до 2000 конкурентных пользователей на один узел.

    • Масштабирование до 14000 конкурентных пользователей.

    • Управление сессиями пользователей.

    • Мониторинг состояния виртуальных и физических рабочих столов.

  3. Space Gateway (шлюз подключения пользователей) — технологический компонент, необходимый для функционирования экосистемы Space VDI. Обеспечивает централизованный доступ пользователей к ресурсам Space VDI, таким как ФМ, ВМ, и приложениям. Шлюз подключений обеспечивает балансировку нагрузки и предлагает варианты высокой доступности для обеспечения бесперебойного доступа.

    Архитектура отказоустойчивого кластера:

    • Минимальное отказоуйстойчивое количество узлов шлюза соответствует 3 (без учета узлов БД).

    • Для обеспечения отказоустойчивости количество узлов шлюза должно быть на 1 больше количества узлов, рассчитываемых по количеству пользователей (например для 5000 пользователей необходимо 6 узлов шлюза).

    Функциональные особенности:

    • Обеспечение удаленного доступа.

    • Обработка до 1000 конкурентных пользователей на один узел.

    • Маршрутизация и балансировка трафика.

    • Оптимизация пропускной способности.

  4. Space Agent VM, Space Agent VDI — наборы системных утилит для автоматизации технологических процессов и организации взаимодействия пользователя с виртуальными и физическими рабочими столами.

    Назначение:

    • Предоставление удаленного доступа.

    • Поддержка различных клиентских устройств.

    • Оптимизация передачи данных.

    • Интеграция с системами аутентификации.

  5. Space Client — клиентское программное обеспечение, предназначенное для удаленного подключения к ВМ с помощью графического интерфейса.

    Функциональные особенности:

    • Позволяет перенаправлять на ВМ различные типы устройств, подключенные к клиентской машине.

    • Space Client поддерживает постоянную связь со Space Disp.

    • Поддерживает ОС Linux, Windows и macOS.


Взаимодействие компонентов системы

  • Централизованное управление виртуальной инфраструктурой осуществляется платформой виртуализации SpaceVM, состоящей из серверов виртуализации (Node) с гипервизором и сервера управления (Controller).

  • Для предоставления доступа пользователей к ВМ/ФМ используется диспетчер подключений виртуальных и удаленных рабочих столов Space Disp, который взаимодействует с платформой SpaceVM. Space Disp также обеспечивает интеграцию с внутренней или внешней базой данных, автоматизирует развертывание и управление ВРС.

  • Базы данных используются для хранения конфигураций и сеансов пользователей, реплицируются между узлами Space Dispatcher DB1 и DB2.

  • Для улучшения взаимодействия пользователей с ВМ/ФМ предусмотрены наборы системных утилит Space Agent VM и Space Agent VDI.

  • Для обеспечения безопасности и корректности подключения клиентских машин к ВМ, а также для балансировки нагрузки, используется шлюз Space Gateway. Шлюз выступает посредником в передаче данных между Space Client и Space Disp, обеспечивая дополнительную функциональность и перенаправление портов.

  • Подключение пользователей с помощью графического интерфейса происходит через специальное клиентское ПО Space Client, которое устанавливается на тонкие клиенты, ПК или ноутбуки. Данные от клиентов поступают через интернет и направляются к Space Gateway.


Шифрование трафика между компонентами системы

Для защиты взаимодействия компонентов системы в Space VDI применяется протокол TLS (Transport Layer Security), обеспечивающий конфиденциальность и целостность данных. Зашифрованное соединение устанавливается при помощи обмена PSK-ключами или с использованием сертификата X.509 при взаимодействии со SpaceVM. На архитектурной схеме отображено какой трафик подлежит шифрованию.

Примечание

Для включения TLS/SSL при подключении кластера Space VDI к кластеру SpaceVM необходимо во вкладке Настройки - Общие включить использование SSL при подключении к SpaceVM.

Соединение между Space VDI и SpaceVM будет зашифровано, даже если для контроллера SpaceVM не выпускался собственный сертификат в структуре PKI, так как контроллер имеет самоподписанный сертификат.