Средства виртуализации astra linux что это

Обновлено: 07.07.2024

Программный комплекс «Виртуализации и управления» (далее по тексту — ПК «ВИУ») предназначен для создания защищенной виртуальной среды, обеспечивающей функционирование виртуальных машин и управление ими в операционной системе специального назначения «Astra Linux Special Edition» версии 1.4 РУСБ.10015-07 (далее по тексту – ОС СН) в условиях дискреционного и мандатного разграничения доступа.

ОБРАЩАЕМ ВНИМАНИЕ:

ПК «ВИУ» заменён новым актуальным продуктом - программным комплексом «Средства виртуализации «Брест» (ПК «СВ «Брест» - ссылка на продуктовую страницу/раздел «Брест») с расширенным функционалом (№ 3742 в Едином реестре российских программ для ЭВМ и БД, имеются сертификаты регуляторов). Cравнение ПК «ВИУ» и «СВ «Брест» ниже.

Реализованные в ПК «ВИУ» новые версии средств виртуализации входят в состав операционной системы Astra Linux Special Edition версии 1.6 ссылка на продуктовую страницу/раздел Смоленск (№ 369 в Едином реестре российских программ для ЭВМ и БДе, имеются сертификаты регуляторов).

Поставка продукта возможна только после предварительного согласования.

Решаемые задачи

  • Обеспечение создания тонких (терминальных) клиентов с использованием технологии VDI (Virtual Desktop Infrastructure)
  • Использование аппаратных возможностей архитектуры x86-64 по виртуализации процессоров на основе модуля KVM (Kernel-based Virtual Machine) из состава ОС СН и средств эмуляции аппаратного обеспечения QEMU
  • Идентификация и аутентификация пользователя до предоставления доступа к функциям виртуализации и управления ПК «ВИУ», в том числе в режиме взаимодействия со средствами создания единого пространства пользователей (ALD) из состава ОС СН.
  • Создание виртуальных машин с помощью графической и консольных утилит
  • Запуск виртуальной машины в виде отдельного процесса ОС СН, который функционирует от имени учетной записи пользователя с его мандатными атрибутами безопасности
  • Предоставление пользователям удаленного доступа к виртуальным машинам в соответствии с дискреционными и мандатными правилами разграничения доступа
  • Управление конфигурацией виртуальных машин с помощью графической и консольных утилит
  • Взаимодействие между виртуальными машинами по протоколам стека IPv4 в условиях мандатного разграничения доступа
  • Взаимодействие между процессами пользователей и виртуальными машинами по протоколам стека IPv4 в условиях мандатного разграничения доступа
  • Маршрутизация сетевых пакетов виртуальных машин
  • Возможность защиты файлов-образов виртуальных машин от модификации в процессе функционирования виртуальных машин

Пожалуйста, обратите внимание:

Возможность поставки продукта необходимо предварительно согласовать.

Вместо ПК «ВИУ» мы разработали для вас новый программный комплекс — «Средства виртуализации «Брест» (ПК СВ «Брест» - ссылка на продуктовую страницу/раздел «Брест»), отвечающий актуальным потребностям пользователей благодаря расширенному функционалу (№ 3742 в Едином реестре российских программ для ЭВМ и БД, имеются сертификаты регуляторов).

Дисклеймер: данная статья не рассчитана на опытных линуксоидов, что уже собаку съели, куря мануалы OpenNebula, – для них большая часть текста покажется либо наивной, либо очевидной, либо наивно-очевидной. Мы хотим не рассказать о том, что же это за зверь такой, а скорее порекомендовать, на что обратить внимание, если вас поставили перед фактом, что надо переходить на российское ПО, и вам предстоит импортозаместить систему виртуализации. Ну, или пока запустить ее в тестовом режиме.


Не секрет, что сертифицированные операционные системы ООО «РусБИТех-Астра» названы в честь городов-героев, и самая известная из них — Astra Linux Special Edition "Смоленск" (ОС специального назначения). Про нее слышали все, кто так или иначе сталкивался с вопросом импортозамещения ПО. Есть еще специализированные релизы «Новороссийск», «Севастополь», «Керчь», «Мурманск» и «Ленинград». Они уже не так широко известны, так как предназначены для менее массовой архитектуры, чем x86-64. Но наш сегодняшний разговор пойдет не об операционной системе, а о продукте ООО «РусБИТех-Астра», который носит имя города Брест.

Что же это такое? Полное название продукта — программный комплекс средств виртуализации «Брест». По заявлению разработчика, это «современный инструментарий для управления виртуальными структурами любой сложности с применением средств защиты ОС Astra Linux Special Edition».

Собственно, базовый функционал виртуализации реализован в составе ОС с помощью KVM (модуль ядра Linux), QEMU (эмуляция аппаратного обеспечения), libvirt (демон и набор инструментов для управления виртуализацией) и virt-manager (приложение для управления виртуальными машинами).

Это классическая схема реализации виртуализации в Linux-системах, такая связка используется плюс-минус во всех отечественных дистрибутивах. Гораздо интереснее становится, если мы хотим выйти за рамки виртуализации для тестов на отдельно взятом сервере. Тут уже начинаются различия:

ROSA Linux предлагает использовать oVirt (логично, учитывая то, что базовый дистрибутив RHEL).

ALT Linux – PVE или OpenNebula.

Astra Linux – OpenNebula.

Программный комплекс "Брест" предлагает три варианта использования:

«Облако» ресурсов и виртуальных машин (ВМ).

Локальная и серверная виртуализация
Данные сценарии подразумевают создание и использование на локальном компьютере или сервере нескольких ВМ, управляемых с помощью virt-manager. Он позволяет подключать удаленные физические серверы по протоколам TCP (SASL+Kerberos), SSL/TLS и ssh для управления виртуализацией на нескольких серверах.

«Облако» ресурсов и виртуальных машин
Такой сценарий позволяет создавать и управлять большим количеством ВМ, при этом доступны все преимущества «облачного» решения: масштабируемость, высокая доступность и безопасность. ПК «Брест» позволяет через единый web-интерфейс управлять машинами, работающими в режиме дискретного и мандатного управления доступом, с учетом требований в части контроля целостности.

И вот о некоторых практических особенностях установки и настройки ПО в этом случае я и хотел бы сегодня рассказать.

Для локально-серверного сценария достаточно одного физического сервера. «Облако» ресурсов и виртуальных машин тоже можно установить и настроить на одном сервере, когда свободных серверов мало, а широкий спектр возможностей «облака» задействовать хочется, например, если нужен web-интерфейс управления и полноценное разграничение прав. Естественно, что, если сервер один, ни о какой высокой доступности речь не идет.

Компоненты для установки будут следующие:

ОС Astra Linux Special Edition «Смоленск».

Контроллер домена (Astra Linux Directory (ALD) или FreeIPA).

А если нужна высокая степень доступности?

Контроллер домена можно виртуализировать в качестве локальной виртуализации, а Frontend — установить параллельно с узлом виртуализации. Frontend-серверов неплохо бы сделать несколько. Их должно быть нечетное количество, так что необходимо минимум 3 сервера.

Данный сценарий можно реализовать с доменом как на базе ALD, так и FreeIPA. По множеству причин второй вариант мне нравится больше, и именно его я рекомендую использовать, чтобы как минимум избежать прописывания в /etc/hosts адресов всех Frontend-серверов и узлов виртуализации.

Нам понадобится общее хранилище данных, которое будет подключено к Frontend-серверу и узлам виртуализации. В качестве такового можно использовать распределенное хранилище CEPH, файловые системы NFS, CIFS, OCFS2 и CEPHFS-сервера или хранилища с доступом по протоколу iSCSI.

При планировании совместного хранилища важно помнить, что OpenNebula требует для работы минимум два подключенных LUN'а, о чем чуть более подробно расскажу ниже.

Но сначала надо понять философию OpenNebula: виртуальная машина (ВМ) – не отдельная единица, а лишь запускаемый экземпляр заранее созданного шаблона.
Процедура создания ВМ следующая:

Создаем образ диска.

Создаем шаблон ВМ, к которому подключаем образ диска.

Создаем экземпляр ВМ по шаблону.

Для хранения образов шаблонов нужен один LUN (тип хранилища — IMAGE), а для хранения данных запускаемых экземпляров – второй (тип хранилища — SYSTEM). Все изменения диска шаблона в процессе работы экземпляра находятся именно во втором хранилище. Ну, и чтобы не смешивать все в одну/две кучи, рекомендуется добавить отдельный LUN для ISO-образов (но тоже с типом хранилища IMAGE). Кстати, если загружать образы виртуальных жестких дисков, экспортированных из других систем виртуализации (да и в принципе, если загружать любые образы), необходимо обеспечить достаточно свободного места на Frontend-сервере, так как он сначала кэширует загружаемый файл в директорию /var/tmp.

Ну, и, конечно же, нашим будущим виртуальным машинам понадобится доступ к сети.

Сеть в сценарии с «облаком» ресурсов и виртуальных машин настраивается двумя способами в зависимости от того, должна ли она иметь доступ наружу или нет.

Если такой доступ есть, в качестве моста, предоставляющего ВМ доступ к сети, используются физические сетевые адаптеры узлов виртуализации. В этом нам поможет bridge-utils – и да, настраивать его базовую конфигурацию придется из консоли. Самое главное – запомнить имя, которое мы дали мосту, это имя должно быть одинаковым на всех узлах.

Для частной сети без выхода во внешнюю сеть используется программный коммутатор Open vSwitch. Он тоже настраивается из консоли (имена мостов также запоминаем и не путаем). И не забываем настроить линки Open vSwitch-коммутаторов между узлами, чтобы сеть была едина на всех узлах.

Как итог, могу сказать, что с данной системой виртуализации вполне можно иметь дело, особенно если все хорошо спланировать (вообще универсальный совет):

Сколько будет серверов и где расположить домен-контроллер.

Сколько будет Frontend-серверов и где они будут размещаться.

Какое хранилище будет использовано и как оно будет подключаться.

Заранее стоит продумать сетевые настройки и выделить пулы адресов как для инфраструктуры системы виртуализации, так и для ВМ (в том числе и для внутренней сети).

Не забыть про "плавающий" высокодоступный адрес RAFT и адреса для модулей удаленного администрирования IPMI (необходимы для обеспечения отказоустойчивости ВМ).

Зарезервировать адреса под расширение инфраструктуры.

Важно помнить, что придется менять набор тех привычек, с которым мы подходим к виртуализации. Как и со всеми продуктами на базе Linux, многое придется делать из консоли (подробности можно найти на ресурсе разработчика), но с этим пора смириться, если импортозамещение уже дышит вам в спину.

В российской операционной системе Astra Linux редакции Orel есть встроенное средство управления виртуализацией Virt-Manager. С его помощью можно организовать сервер виртуализации или просто создать виртуальную машину с необходимой ОС. Процесс создания виртуальной машины достаточно простой, наверно даже проще чем в VirtualBox или VMware. Для того чтобы вы в этом убедились сами давайте создадим виртуальную машину.

Лучшие статьи на тему настройки ОС Astra Linux, рекомендую прочитать.

Добавление виртуальной машины

Astra виртуальные машины

Как в Astra Linux создать виртуальную машину

Добавление виртуальной машины

Astra Linux создание виртуальной машины

Потом настраиваем память и процессор, указываем необходимое количестве.


Четвертый шаг отвечает за настройку носителя, указываем объем диска виртуальной машины.

Astra Linux как установить виртуальную машину

И в последнем шаге вводим имя виртуальной машины и указываем тип сетевого интерфейса, NAT, Сетевой мост и т.д.

Astra Linux добавление виртуальной машины

После чего начнется установка операционной системы на виртуальную машину. Описывать процесс установки Windows 7 думаю нет смысла.

Astra Linux установка виртуальной машины

По его окончанию у вас будет создана виртуальная машина в Astra Linux. Как сами видите все достаточно просто. Если вы раньше имели дело с виртуализацией то создать виртуальную машину Astra Linux сможете без проблем.

Отечественный программный комплекс управления защищенной средой виртуализации «Брест» прошел сертификацию по требованиям безопасности информации Министерства обороны России. Об этом CNews сообщил представитель разработчика комплекса – компании Astra Linux.

Наличие соответствующего сертификата, полученного ПК «Брест», позволяет использовать данное решение на предприятиях оборонно-промышленного комплекса и в других организациях МО, работающих с государственной тайной высочайшей степени секретности.

ПК «Брест», как отмечают в компании, не требует сертификации ФСТЭК, поскольку защита виртуализации реализована средствами сертифицированной ОС Astra Linux Special Edition, под управлением которой работает комплекс.

modrussia600.jpg

Российские военные допустили ПК «Брест» компании Astra Linux к гостайне

Напомним, что в соответствии с российским законом «О государственной тайне» установлено три степени секретности сведений, в порядке по мере увеличения: секретно, совершенно секретно и особой важности.

Что такое ПК «Брест»

ПК «Брест» предназначен для использования с российской операционной системой Astra Linux Special Edition (релиз «Смоленск 1.6»). Он обеспечивает функционирование виртуальных машин в условиях избирательного и мандатного управления доступом.

В круг задач, решаемых ПК «Брест», входят централизованное управление кластерами виртуализации, масштабирование и обеспечение их отказоустойчивости, создание защищенной среды виртуализации рабочих столов (VDI) и серверов архитектуры х86-64, виртуализация сетей, хранилищ, миграция работающих виртуальных машин между узлами кластера виртуализации, групповое создание виртуальных машин из шаблонов, построение защищенных облачных решений.

Искусственный интеллект в контакт-центрах может автоматизировать половину запросов


В состав средств управления средой виртуализации и мониторинга ПК «Брест» также включено ПО Opennebula и Virtmanager. Они решают задачу создания, установки, резервного копирования, настройки, запуска и миграции виртуальных машин между узлами кластера, включая создание конфигураций, необходимых для эффективного решения задачи управления доступом встроенными в операционную систему средствами защиты информации.

Российская ОС для гостайны

Astra Linux – UNIX-подобная операционная система, основанная на дистрибутиве Debian, разработку которой с 2008 г. ведет компания «Русбитех».

Сегодня Astra Linux существует в двух версиях – Common Edition и Special Edition. Common Edition предназначена для потребителей, а также для среднего и малого бизнеса, образовательных учреждений, она находится в свободном доступе и может быть скачана с официального сайта проекта. Special Edition разработана для государственных и военных предприятий и не распространяется в свободном доступе.

На момент публикации материала ОС Astra Linux Special Edition версии 1.6 имеет три сертификата: Минобороны, ФСБ и ФСТЭК. Последний она получила в мае 2019 г. Наличие этого сертификата позволяет использовать систему при работе с информацией и документами, представляющими государственную тайну высшей степени секретности.

Сборки Astra Linux Special Edition выпускается под архитектуры «Эльбрус» (релиз «Ленинград»), IBM System Z («Мурманск»), POWER («Керчь), MIPS («Севастополь»), ARM («Новороссийск») и x86-64 («Смоленск»). Каждый из релизов имеет различные сферы применения: к примеру, «Новороссийск» пригоден для мобильных устройств и встраиваемых компьютеров, а «Ленинград» – для вычислительных комплексов «Эльбрус».

Читайте также: