Файл: Облачные сервисы (Понятие облачных технологий ).pdf

Применение RemoteApp актуально в случаях, когда:

• необходимо ограничить доступ к конкретным приложениям;
• совмещена работа пользователя на локальной машине с использованием какого-то приложения, вынесенного в «облако»;
• приложение должно быть доступно в специфических условиях и при низкой скорости Интернета.

Со стороны сервис-провайдера выдвигается требование наличия сконфигурированного RD Session Host Server с размещенным на нем списком соответствующих программ (Remote App Programslist). Именно из этого списка выполняется подключение конечного пользователя запуском сконфигурированного rdp-файла для инициирования подключения к приложению по RDP. Как вариант возможен запуск ярлыка приложения с рабочего стола или меню Пуск для инициирования подключения к приложению по RDP (из списка Remote App Programslist).

Со стороны пользователя запускаемые удаленные приложения служб терминалов выглядят так, как если бы они исполнялись непосредственно в системе пользователя. При этом приложения интегрируются в рабочий стол системы пользователя с масштабированием окна и собственным значком приложения в панели задач.

• • . Веб-доступ к службам терминалов позволяет организовать доступ к определенным приложениям и рабочим столам в «облаке» (как в ранее рассмотренных вариантах) с помощью браузера, который установлен на подавляющем большинстве вычислительных устройств. Для пользователя такой вариант выглядит следующим образом: он запускает браузер, вводит необходимый адрес, проходит проверку подлинности, а далее работает с «опубликованным» приложением (приложениями) или удаленным рабочим столом (столами), получая доступ к приложениям или удаленному рабочему столу средствами web. При этом ярлыки приложений размещаются на предварительно настроенной веб-странице.

Со стороны сервис-провайдера выдвигается требование наличия выделенного сервера терминалов (Terminal Server). Как пример, операционная система Windows Server 2008/2012 + служба TS WebAccess. Подключение конечного пользователя осуществляется по URL для доступа к ресурсу посредством веб-браузера.

Еще одним из возможных вариантов подключения к «облачным» сервисам является Virtual Private Network (VPN) - виртуальная частная сеть, позволяющая обеспечить одно или несколько надежных сетевых соединений поверх сети Интернет, используя при этом различные средства криптографии.

Существует два типа VPN-туннелей: Remote Access VPN и Site-to-site VPN, на которых основаны следующие два решения.

• • . Remote Access VPN - удобный, безопасный и достаточно часто используемый инструмент подключения к ресурсам «облака», создающий надежный и защищенный туннель между приложением на компьютере клиента и каким-либо устройством (например, VPN-концентратором, маршрутизатором, Cisco ASA и т.п.), расположенном в облаке хостинг-провайдера.

Со стороны сервис-провайдера выдвигается требование наличия сконфигурированного VPN-устройства (сервера). Со стороны клиента для подключения требуется:

• наличие интернет-подключения;
• запуск ярлыка для подключения к VPN-серверу, после установки которого реализуется доступ к ресурсам компании.

Со стороны пользователя работа решения выглядит следующим образом: на стороне клиента устанавливается исходящее VPN-подключение, которое пользователь использует по необходимости. Для реализации доступа к удаленному ресурсу пользователь запускает ярлык VPN, вводит свою идентификационную информацию и при успешной проверке подлинности получает доступ к необходимым ресурсам. Иными словами, компьютер пользователя за счет выданных при VPN-подключении параметров IP- конфигурации попадает в сеть виртуального удаленного офиса в «облаке» и может использовать ресурсы так, как если бы он находился непосредственно в офисе компании.

• . Site-to-site VPN - решение, устанавливающее туннель между двумя устройства (например, VPN Server 1 и VPN Server 2, изображенными на рисунке 1). В этом случае пользователи находятся за устройствами, в локальных сетях, и на их компьютерах не требуется установка какого-либо специального программного обеспечения.

Офис компании

Рис. 1. Пример реализации Site-to-Site VPN-соединения

Подключение Site-to-Site VPN на уровне VPN-сервера в «облаке» и VPN-сервера в офисе компании рекомендуется использовать в компании, имеющей значительное число сотрудников, которым необходим доступ к ресурсам файлового сервера. Для этого в офисе компании необходимо дополнительно развернуть VPN-сервер, а выглядеть процесс доступа к ресурсам файлового сервера будет так, как показано на рисунке 1.

В таком сценарии пользователь обращается к ресурсу в «облаке» напрямую. В нашем примере к ресурсу \\ File_server1 в подсети «облака» при таком обращении VPN Server 1 устанавливает VPN-соединение с сервером VPN Server 2 в «облаке», после чего пользователь видит содержимое запрашиваемого ресурса. На стороне клиента при этом отпадает необходимость создания исходящего VPN-подключения. Такая конфигурация носит название Site-to-Site VPN.

Со стороны сервис-провайдера выдвигается требование наличия двух сконфигурированных VPN-серверов (например, VPN-сервер в компании и VPN-сервер в «облаке»). При подключении конечного пользователя нет необходимости создавать и запускать ярлык VPN-подключения - обращение к ресурсам филиала, головного офиса, «облака» осуществляется напрямую. При обращении к ресурсам VPN-подключение организуется автоматически на уровне серверов и является прозрачным для конечного пользователя.

6). DirectAccess - новая технология, позволяющая реализовать возможность удаленного доступа к ресурсам и корпоративной сети и к ресурсам Интернета сразу же после подключения компьютера пользователя к сети Интернет. То есть пользовательский компьютер, сконфигурированный в качестве клиента DirectAccess, автоматически устанавливает туннель до сервера DirectAccess и через него получает доступ ко всей корпоративной сети. При этом от пользователя не требуется никаких дополнительных действий.

Технология DirectAccess устанавливает туннель между клиентом и сервером автоматически и прозрачно для пользователя. Не требует запуска каких-либо VPN- соединений, ввода учетных данных. Если связь с Интернетом на какое-то время теряется (туннель в это время разрывается), а затем восстанавливается, то опять же автоматически, без участия пользователя восстанавливается и туннель в корпоративную сеть.

Со стороны сервис-провайдера выдвигаются следующие требования:

• наличие одного или более серверов DirectAccess в составе домена;
• наличие центра сертификации (PKI);
• Windows-инфраструктура.

Для подключения конечного пользователя, кроме отсутствия необходимости в создании и запуске ярлыка подключения, также выдвигается ряд требований:

• список клиентских операционных систем, к которым возможно подключение, к сожалению, ограничен;
• компьютер клиента должен входить в состав домена;
• физическое местоположение клиента не имеет значения.

7). VDI (Virtual Desktop Infrastructure, виртуализация рабочих столов) - виртуальная инфраструктура рабочих столов, позволяющая централизовать рабочие станции пользователей на серверах виртуализации, создав при этом единую точку управления, развертывания и обслуживания. Данная технология реализована на многих «облачных» площадках корпоративных IaaS-провайдеров, что обусловлено требованием высокой мобильности бизнеса, а значит постоянной доступности приложений для сотрудников.

Со стороны клиента для обеспечения доступа к своему виртуальному рабочему месту необходимо только наличие интернет-соединения и настольного ПК (как вариант - ноутбука, мобильного телефона или планшета).

На практике виртуализация рабочих столов сводится к выделению сервера в «облаке» IaaS-провайдера, на который устанавливается гипервизор. На нем, в свою очередь, разворачиваются отдельные виртуальные машины с установленными на них клиентскими операционными системами. На конечном устройстве пользователя запускается программа-клиент и происходит подключение к инфраструктуре.

Такая схема подключения очень похожа на RDP-подключение. Однако RDP- подключение к терминальному серверу является отдельной сессией на общем сервере Windows. VDI представляет собой отдельный изолированный контейнер с клиентской ОС. Таким образом, можно выделить два ключевых отличия: серверная ОС против клиентской и отдельная сессия, разделяющая ресурсы одной ОС, против изолированной виртуальной машины.

При работе в терминальном режиме изоляция происходит на уровне сессии, и если приложение вызывает сбой на уровне самой ОС, то вместе с пользователем, запустившим такое приложение, перезагрузятся и остальные пользователи, работающие на этом же сервере. А при использовании виртуализации рабочих столов перезагружена будет только одна виртуальная машина.

Со стороны сервис-провайдера выдвигается требование наличия развернутой инфраструктуры виртуальных рабочих столов VDI. Как пример, это решения от VMware, Citrix, Microsoft. Пользователь получает свой собственный виртуальный ПК, к которому можно подключаться с помощью тонкого клиента, настольного ПК, ноутбука, планшета или смартфона.

Предложенные варианты подключения к «облачному» сервису отдельных пользователей позволят обеспечить эффективное использование хранимой в «облаке» информации с обеспечением высокого уровня безопасности.

2.3 Подключение локальной инфраструктуры компании к IaaS-инфраструктуре в «облаке»

Кроме рассмотренных выше вариантов подключения конечных пользователей к «облачным» сервисам, возникают и задачи подключения уже существующей локальной инфраструктуры компании к IaaS-инфраструктуре «облака». В этом случае также существует выбор из нескольких технологий.

Предположим, существует некая компания, располагающая набором собственных серверов, которых недостаточно для запуска нового проекта, требующего достаточно больших вычислительных мощностей и ресурсов. Для покупки нового оборудования компании недостает финансовых средств, и тогда выходом из сложившейся ситуации можно считать подключение локальной инфраструктуры компании к «облачной» инфраструктуре. Затратив незначительное количество финансовых ресурсов, компания получает единое сетевое пространство, удовлетворяющее требованиям реализуемого проекта.

Эффективными решениями для данного примера представляются следующие варианты:

• аренда выделенного канала и подключение к ЦОД для доступа к «облаку»;
• проброс своего кабеля до ЦОД;
• использование точек обмена трафиком.

Рассмотрим каждый из вариантов более подробно.

1). Аренда выделенного канала и подключение к ЦОД для доступа к «облаку»2 подразумевает прямое соединение внутренней сети заказчика с сетью в «облаке» IaaS- провайдера (см. рис. 2). Ввиду совместного использования собственных устройств компании и IaaS-провайдера часто его называют гибридным «облаком».

Офис заказчика IaaS провайдер

Рис. 2. Пример сценария с выделенным ISP-каналом для доступа к ЦОД в «облаке»

Для реализации такого решения обычно используются каналы связи «точка - точка», физически реализующиеся в виде нескольких выделенных каналов провайдера (а лучше нескольких независимых провайдеров), работающих в режиме автоматического переключения в случае падения одного из них.

Как правило, канал связи предоставляется на основе собственной оптоволоконной сети провайдера с возможностью подписания соглашения об уровне обслуживания, регламентирующего гарантии соблюдения технических характеристик канала. Достоинство такого метода: относительная дешевизна по сравнению с использованием заказчиком собственного кабеля. При этом провайдер, как правило, дает гарантию высокой плотности покрытия, а также безопасности и надежности арендуемых каналов, включая возможность резерва емкости при росте канала.

1. . Прокладка своего кабеля до ЦОД подразумевает соединение внутренней сети заказчика и ЦОД назначения собственным кабелем. Такой вариант обычно выбирают компании, которые предъявляют повышенные требования к безопасности и эксплуатационным показателям канала связи.
2. . Использование точек обмена трафиком - это способ подключения, при котором кабель прокладывается не до ЦОД «облачного» провайдера напрямую, а до коммутационного оборудования, размещенного IaaS-провайдером на площадках, где располагаются точки обмена трафиком.

Точка обмена трафиком - это место прямого обмена трафиком между интернет- операторами без использования сети сторонних провайдеров. Все ее участники имеют возможность построить соединения друг с другом, задействовав при этом лишь один порт. Благодаря прямым пирингам через точку обмена можно в разы уменьшить загрузку внешних каналов и сократить время передачи данных между участниками.