В 2023 году выбрать систему виртуализации одновременно и сложнее, и легче, чем раньше. С одной стороны, российский рынок покинули популярные зарубежные производители, у которых одно название их продуктов раньше служило синонимом слова «гипервизор». С другой стороны, российские производители постарались создать достойную альтернативу ушедшим решениям: не просто заменить отдельный гипервизор, а спроектировать полноценную виртуальную инфраструктуру.
Сегодня мы рассматриваем один из таких продуктов – Numa vServer от компании Нума Технологии (НумаТех).
Назначение
Numa vServer – это серверная система виртуализации от российской компании НумаТех, нацеленная на корпоративный сегмент. Numa vServer поддерживает не только базовые механизмы гипервизора (создание и запуск виртуальных машин), но также и дополнительные функции, входящие в состав профессиональных платформ виртуализации: over-Provisioning ресурсов, миграция виртуальных машин с других платформ, использование сетевых хранилищ. Функции Numa vServer позволяют создать в том числе и частную или публичную облачную инфраструктуру.
Numa vServer осуществляет распределение нагрузки между серверами виртуализации, обеспечивает отказоустойчивость, а также предоставляет большой набор инструментов централизованного управления, мониторинга и отчетности, благодаря, специально разработанному веб-интерфейсу Numa Collider.
Компания НумаТех уделила большое внимание безопасности: в привилегированном режиме процессора запускаются только самые нужные сервисы, значительно доработан контроль доступа к объектам виртуализации, проводится детальный аудит исходного кода для минимизации возможных уязвимостей.
Функциональные возможности
- Гипервизор 1 типа на основе Xen, обеспечивающий полный цикл работы с виртуальными машинами (создание, запуск, удаление, масштабирование). Numa vServer позволяет получить производительность кластера виртуализации, приближенную к реальным физическим ресурсам серверов этого кластера. Будучи гипервизором 1 типа, он не нуждается в сторонней операционной системе – это упрощает развёртывание и усложняет потенциальное проникновение злоумышленников.
- Создание и поддержка сетевых хранилищ (SAN, NAS).
- Миграция виртуальных машин между серверами и кластерами без перерыва работы виртуальных машин (ВМ). Это, во-первых, улучшает удобство использования, а во-вторых, обеспечивает высокую доступность ресурсов – если на сервере, входящем в пул виртуализации, в момент отказа обрабатывались виртуальные машины, они бесшовно будут перенесены на другой сервер из этого вычислительного пула.
- Импорт/экспорт образов виртуальных машин, в том числе созданных в других средах виртуализации (VMware, Citrix, VirtualBox).
- Поддержка пространств – пулов вычислительных ресурсов, которые распределяются пользователем самостоятельно между его виртуальными машинами.
- Встроенные средства резервного копирования и восстановления.
- Использование Microsoft Active Directory / LDAP / FreeIPA для аутентификации пользователей.
- Расширенный функционал выполнения задач по расписанию – можно задать расписание не только для создания резервных копий, но и для многих других команд (остановка виртуальной машины, добавление адреса в блокировку, перезагрузка сервера виртуализации).
- Интеграция с OpenStack и CloudStack. Система совместима со сторонними приложениями, созданными другими разработчиками, и поддерживает инструменты IaC (Packer, Terraform).
Безопасность Numa vServer
Для надежной защиты виртуальной инфраструктуры и информации, обрабатываемой в среде виртуализации, компания НумаТех предусмотрела следующий функционал:
- Изолированная среда исполнения управляющей ВМ (Domain 0);
- Контроль исполнения процессов;
- Контроль целостности:
- конфигурация и сервера, и ВМ;
- журналы;
- образы ВМ и шаблонов ВМ;
- исполняемые файлы и библиотеки;
- архивные копии (backup) ВМ;
- Возможность восстановления из резервной копии при нарушении целостности (возможна автоматизация процесса) с сохранением сбойных данных;
- Управление пользователями:
- Локальные учётные записи;
- Доменные учётные записей и группы;
- Настраиваемые ролевые модели разных уровней доступа;
- Возможность привязывать пользователей к пространствам (spaces) (при использовании NumaCollider);
- Многофакторная аутентификация (при использовании Numa Collider);
- Журналирование действий пользователей;
- Фильтрация потоков данных;
- Зонирование и мандатный контроль доступа:
- Неизменяемые политики создаются и встраиваются непосредственно в гипервизор;
- Политики применяются ко всем объектам управления: CPU/vCPU, I/O, RAM, IO ports; данные, помеченные разными метками, не пересекаются даже на уровне регистров CPU и страниц памяти;
- Миграция ВМ между хостами или кластерами осуществляется с учётом политик;
- Зонирование в кластере или ЦОДе обеспечивает изоляцию атакующих, без возможности выхода за пределы контролируемых зон;
- Одновременное исполнение доверенных и не доверенных ВМ;
- Двойная очистка памяти.
Сценарии использования
Исходя из функциональных возможностей Numa vServer, можно выделить следующие сценарии использования этого продукта:
- Система виртуализации для собственных нужд компании
Гибкость архитектуры решения (о которой подробнее будет сказано ниже) позволяет применить его в качестве платформы виртуализации как для малого и среднего бизнеса, так и для крупных компаний. Будут доступны все привычные функции управления жизненным циклом виртуальных машин.
- Предоставление виртуализации как услуги
На основе Numa vServer можно, используя функционал пространств, создать сервис предоставления услуг виртуализации для внешних клиентов компании. Для разных организаций можно будет создавать пулы ресурсов, а администраторы этих организаций уже сами будут разворачивать на них виртуальные машины. При этом хорошим преимуществом будет и многофакторная аутентификация – клиенты будут в большей безопасности.
- Выполнение требований регуляторов
Для определённых информационных систем (например, в которых обрабатываются персональные данные, подробнее ниже) необходимо выполнять установленные российскими регуляторами требования, в частности, предъявляемые к системам виртуализации и защите виртуальных сред. Numa vServer, обладая сертификатом ФСТЭК России на соответствие техническим условиям (ТУ) и уровням доверия (УД4), будет подходящим техническим средством в таких случаях.
- Импортозамещение
Отдельно стоит отметить, что Numa vServer не просто серверная виртуализация, нацеленная на корпоративный сегмент, а платформа, которая разрабатывалась с прицелом на замену VMware vSphere. Таким образом Numa vServer позволяет импортозаместить зарубежные продукты по виртуализации, ушедшие с российского рынка, в том числе для выполнения требований российского законодательства.
Архитектура решения
Numa vServer разработан для максимальной масштабируемости среды виртуализации. Его архитектура строится на основе пула виртуализации – одного или нескольких серверов, аппаратные ресурсы которых объединены для предоставления виртуальным машинам. Максимальное количество серверов в одном пуле может быть до 64 серверов, подключенных пулов к системе управления до 255. Для их объединения в серверах должна быть одинаковая версия ПО vServer. При необходимости, добавляя новые серверы, можно увеличить объём доступных ресурсов пула виртуализации. Таким образом, архитектуру Numa vServer можно назвать одноуровневой с горизонтальным масштабированием. Вертикальное масштабирование тоже можно проводить, для этого предусмотрен режим обслуживания сервера. При его включении ВМ мигрируют на другие серверы, потом сервер можно выключить и нарастить его вычислительные возможности (CPU, RAM).
Для удобного управления через веб-интерфейс создан отдельный продукт Numa Collider. Он представляет собой виртуальную машину, разворачиваемую в Numa vServer. Поэтому не требуется выделения дополнительных аппаратных ресурсов для системы управления, как в некоторых аналогичных продуктах.
Системные требования
Для работы Numa vServer не требует излишних ресурсов – минимальные и рекомендуемые характеристики довольно скромные. Разумеется, как и для любого гипервизора, тут работает правило «чем мощнее сервер, тем больше ресурсов можно выделить на виртуальные машины».
| Минимальные требования | Рекомендуемые характеристики | |
| Процессор | 2 ядра, 1.5 ГГц | 4-8 ядер, 2.5 ГГц, поддержка Intel-VT или AMD-V |
| Оперативная память | 4 ГБ | 16 ГБ, память с коррекциейошибок (ECC) |
| Диски | 128 ГБ | 750 ГБ |
| Сетевой адаптер | 1 порт, 100 Мбит/с | 2 порта, 1 Гбит/с |
Для виртуальной машины Numa Collider потребуется выделить следующие ресурсы:
- Виртуальные процессоры – 2 ядра;
- Оперативная память – 2 ГБ;
- Диски – 20 ГБ.
Она может быть развёрнута в том же пуле виртуализации Numa vServer, которым она управляет.
Установка и внедрение
Numa vServer устанавливается на серверы из готового образа, предоставляемого производителем. После установки и активации лицензии потребуется настроить хранилище ISO-образов.
Установив и настроив vServer на другой машине, можно объединить эти машины в пул виртуализации.
Для создания кластера высокой доступности потребуется не менее трёх серверов и сетевое хранилище, работающее по протоколам NFS или iSCSI.
После установки Numa vServer и настройки Numa Collider через веб-интерфейс можно развернуть необходимое количество ВМ из готовых шаблонов, либо создать свой шаблон ВМ.
При необходимости созданную ВМ можно перенести на другой пул виртуализации или отдельный сервер гипервизора.
Для распределения ресурсов между разными пользователями или подразделениями создаются пространства. В них выбираются, во-первых, аппаратные и вычислительные ресурсы, во-вторых, логические элементы гипервизора – количество возможных виртуальных процессоров, оперативной памяти в пространстве, и пользователи, которым будет разрешено использование этого пространства.
В настройках резервного копирования для ВМ задаются режим копирования, целевые хранилища (места хранения резервных копий), бэкапируемые ВМ, расписание. Есть возможность при каждом создании бэкапа также формировать отчёт.
В некоторых случаях потребуется создать специфические задачи, чтобы они выполнялись по условию или по расписанию для определённых ВМ.
Лицензирование
Для использования Numa vServer потребуется лицензия на каждый физический процессор, работающий в гипервизоре. В эту лицензию также входит лицензия на редакцию «Начальная» консоли управления Numa Collider. Такая лицензия будет бессрочной, потребуется лишь обновление технической поддержки. В добавление к этому можно приобрести лицензию на другие редакции Numa Collider с расширенным функционалом, срок её действия 1 год.
Различие между редакциями отображено в таблице ниже.
| Функциональная особенность | Начальная | Стандартная | Профессиональная | Максимальная |
| Управление ВМ: | + | + | + | + |
| Запуск / выключение / пауза / приостановка | + | + | + | + |
| Моментальные снимки | + | + | + | + |
| “Живая” миграция | + | + | + | + |
| Экспорт | – | + | + | + |
| Копирование / клонирование | – | + | + | + |
| Управление пулами: | + | + | + | + |
| Создание / уничтожение | – | + | + | + |
| Подключение / отключение серверов | – | + | + | + |
| Управление хранилищами: | + | + | + | + |
| Подключение / отключение | + | + | + | + |
| Уничтожение | + | + | + | + |
| Другие функциональные возможности: | – | + | + | + |
| Перемещение накопителя ВМ | – | + | + | + |
| Импорт / экспорт накопителя ВМ | – | + | + | + |
| Импорт XVA / OVA | – | + | + | + |
| Полная резервная копия | – | + | + | + |
| Дельта-резервное копирование | – | – | + | + |
| Аварийное восстановление (DR) | – | – | + | + |
| Непрерывная репликация | – | – | – | + |
| “Скользящий” моментальный снимок | – | + | + | + |
| Резервное копирование метаданных | – | – | + | + |
| Аутентификация LDAP | – | – | + | + |
| Пространства (пользовательские) | – | – | – | + |
| Балансировка нагрузки | – | – | – | + |
| Программно-определяемые сети | – | – | – | + |
| Списки доступа (ACL) | – | – | + | + |
| Статистика | – | – | + | + |
| Аутентификация с одноразовым паролем (OTP) | – | – | + | + |
| Отчеты | – | + | + | + |
Соответствие требованиям регуляторов
Сертификат ФСТЭК России № 4580 от 23 сентября 2022 года удостоверят, что Numa vServer является средством виртуализации и соответствует требованиям по безопасности информации, установленных в:
- Документе «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по 4 уровню доверия;
- Технических условиях 643.АМБН.00021-01 90 01 (краткая выписка).
Numa vServer может использоваться как средство защиты среды виртуализации:
- В государственных информационных системах до 1 класса защищенности (приказ ФСТЭК России № 17 от 11 февраля 2013 г.);
- В информационных системах для обеспечения до 1 уровня защищенности персональных данных (приказ ФСТЭК России № 21 от 18 февраля 2013 г);
- В системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, до 1 класса защищенности включительно (Приказ ФСТЭК России № 31 от 14 марта 2014 г.);
- При защите значимых объектов критической информационной инфраструктуры до 1 категории включительно (Приказ ФСТЭК России № 239 от 25 декабря 2017 г).
Numa vServer также находится в реестре российского ПО.
Преимущества
Что же отличает Numa vServer от конкурентов? Выделим, на наш взгляд, ключевые особенности:
- Быстрое развёртывание и инсталляция;
- Поддержка пулов вычислительных ресурсов, распределяемых пользователями;
- Поддержка миграции виртуальных машин из других видов гипервизоров;
- Улучшенная безопасность ПО гипервизора: изоляция ВМ друг от друга на различных уровнях, контроль и очистка используемой памяти;
- Контроль потоков данных между виртуальными машинами;
- При разработке Numa vServer учтены требования ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения». Код программного обеспечения Numa vServer полностью проверяется разными видами анализа (динамический, статический, фаззинг), чтобы свести к минимуму вероятность возникновения уязвимостей;
- Механизм для обсечения надежной защиты данных: контроль целостности, контроль исполнения процессов, мандатный контроль доступа, журналирование, резервное копирование и восстановление.
Благодаря этому vServer становится не просто гипервизором, а системой виртуализации с улучшенной защитой и самой платформы, и работающих на ней виртуальных машин. При этом vServer может быть развёрнут быстро и нетребователен к ресурсам – а это большое преимущество для малых и средних организаций, которым нужна виртуализация.
Roadmap
Компания НумаТех в ближайший год планирует реализовать следующий функционал:
- Live patching/updates;
- Storage I/O;
- Поддержка архитектуры ARM64;
- Виртуальный межсетевой экран;
- Контроль состояния ВМ (с помощью программного модуля доверенной загрузки Numa vArce);
- Гиперконвергентность.
Заключение
При создании Numa vServer разработчики действительно постарались учесть все функции и нюансы, необходимые для корпоративной виртуальной инфраструктуры. Приятно видеть, что при этом Numa vServer прост в установке и не требователен к ресурсам. Ещё одним положительным моментом стали продвинутые функции безопасности.
