С приходом эры виртуальных машин значительно упростилась доставка приложений, и теперь все чаще разработчиками предлагаются сконфигурированные шаблоны виртуальных машин (Virtual Appliances), которые можно использовать не только для тестирования, но и в рабочей среде. Ассортимент предварительно настроенных VA достаточно широк и покрывает все потребности ИТ: от брандмауэров и систем защиты до приложений и серверов различного назначения. Давай разберем, чем можно заменить традиционные решения.

 

Opsview Core

Без постоянного мониторинга систем и сервисов будет очень сложно предупредить проблемы и быстро среагировать во внештатной ситуации. Собранная информация позволяет своевременно увидеть узкие места. Одна из популярных опенсорсных систем мониторинга — Nagios, возможности которого позволяют использовать его и в крупных сетях. Но в базовой поставке он обычно неинтересен, поэтому администраторы его часто обвешивают плагинами, а для доступа к собранной информации используют веб-интерфейс. В итоге собрать систему новичку становится не по силам. Но это легко решаемо.

Opsview построен на базе Nagios и представляет собой уже готовую к работе систему мониторинга с простым, информативным, логично организованным веб-интерфейсом. Полностью совместим с Nagios и поддерживает все его функции. Реализована поддержка SNMPv3 с MRTG, быстрый импорт ресурсов, мониторинг систем виртуализации (VMware, KVM, Xen, Hyper-V и Amazon EC2) и многое другое. Шаблоны хостов (Host Templates) позволяют определить список проверок (Service Checks) для определенного типа узлов. Интерфейс показывает статус хостов, сервисов и сети, выводит события, реализованы предупреждения, которые могут отсылаться на email, RSS или мобильное устройство. Все это позволяет иметь полную картину происходящего в сети, доступность приложений и производительность. В поставку входят два модуля: MRTG (вывод графиков) и Nagvis (показывает карту сети). Расширить функционал можно при помощи модулей и плагинов из Nagios Exchange. Документация позволяет написать плагин с нужными функциями самостоятельно.

Документация проекта на английском и вполне способна ответить на любые возникшие вопросы. Opsview предлагается в нескольких версиях. Вариант Core бесплатен, хотя и несколько ограничен в функционале, но его вполне достаточно для большинства ситуаций.

Для быстрого развертывания реализован OVF-образ для VMware, который можно скачать после регистрации. В требованиях указано: 3,5 Гб RAM и HDD 80 Гб. После запуска VM будет выведен адрес для входа (логин admin, пароль initial).

Альтернативой Opsview можно считать Cacti, реализованный на JumpBox. Сам Cacti использует для сбора данных SNMP, строя весьма наглядные графики, для установки требует LAMP-сервер и нескольких, в общем-то, незамысловатых операций. Тестовый период на JumpBox составляет 15 дней, стоимость 60 или 150 долларов в месяц, в зависимости от выбранной лицензии.

StoneGate SSL VPN

Сегодня все больше сотрудников работают за пределами корпоративной сети, требуя оперативного и безопасного доступа к данным, обычно это решается при помощи VPN. Хотя здесь не все так просто. Следует учитывать ряд факторов: необходимость установки агента на клиентский ПК, возможность блокировки нестандартных портов провайдером, работа из-за NAT и так далее. Именно поэтому набирают силу решения, базирующиеся на SSL и использующие для подключения стандартный порт (обычно HTTPS/443). Все настройки производятся на серверной стороне, пользователю не требуется устанавливать и настраивать клиентское ПО, он просто подключается и работает, не вникая в технологии и проблемы.

Одно из популярных решений — StoneGate SSL VPN, который, являясь единой точкой доступа ко всем приложениям, выступает в роли своеобразного прокси между клиентом и сервисом и обеспечивает аутентификацию, контроль состояния устройства и шифрование. Для работы используется веб-браузер (с поддержкой Java или ActiveX), после проверки учетных данных загружается агент, который обеспечивает туннелирование, и выдается список доступных приложений. Пользователю остается только подключиться, выбрав значок. Установки и политики настраиваются и применяются автоматически на шлюзе. Поддерживается несколько методов аутентификации, расширенная политика паролей, контроль доступа (IP, устройство, группа, время, политики безопасности). Возможно принудительное удаление данных с локальной системы по окончанию сессии. Для реализации OTP используется SMS-сообщение или специальный клиент StoneGate SSL VPN MobileID Client, доступный для всех популярных платформ. Все настройки производятся при помощи веб-браузера (Web Console) или Stonesoft Management Center, используемого для централизованного управления несколькими устройствами.

StoneGate SSL VPN реализован в том числе и в виде OVF x64 образа, который можно запустить в любой современной виртуальной машине (продукт имеет статус VMware Ready). После запуска виртуальной машины потребуется указать сетевые настройки для интерфейса конфигурирования, имя узла, установить пароль root и веб-администратора (admin, по умолчанию Pass1234) и активировать SSH. Остальное можно задать уже в веб-консоли на 10000-м порту (например, https://192.168.1.100:10000/). Настроек немного, они разбиты на группы, назначение которых понятно и без перевода. Последовательность действий хорошо расписана в руководстве администратора, не требуется правка конфигурационных файлов, просто внимательно заполняем предложенные поля.

Виртуальный модуль Kerio Control

Интернет-шлюз — один из ключевых компонентов сетевой инфраструктуры любой организации и должен не только обеспечивать пользователей стабильным доступом в интернет, но и защищать от большинства (в идеале всех) возможных угроз. Администратору нужно иметь возможность гибко настраивать права доступа, ограничивать трафик по определенным критериям (IP, протокол, URL, время, роль пользователя) и получать подробную статистику. И такое решение должно быть простым и понятным в настройках и вполне может работать в виртуальной машине.

Всем сисадминам хорошо известен Kerio Winroute Firewall, который с недавних пор поставляется под другим именем Kerio Control и вполне подходит под нашу задачу. Кроме традиционных для такого вида продуктов возможностей, мы получаем еще и брандмауэр уровня приложений с возможностью мониторинга и протоколирования всей деятельности пользователей в интернете. Предусмотрена возможность блокировки нежелательных ресурсов несколькими способами, блокировка P2P-сетей и нежелательных приложений, проверка файлов при помощи антивируса Sophos, гибкое управление политиками доступа и многое другое. Реализованы и вспомогательные функции, такие как управление полосой пропускания, QoS, балансировка нагрузки, ограничение длительности сессии, VPN-подключения с IPsec и Kerio (собственный клиент), VLAN и SNMP, NAT и сервер DHCP, прокси-сервер, мониторинг и создание отчетов о деятельности пользователя.

При этом Kerio Control остается очень простым в администрировании. Большинство установок производятся при помощи мастеров или готовых форм, которые требуется лишь заполнить. Для управления настройками используется браузер (в том числе и с iOS 5+ и Android 4).

Релизы версии 8 выпускаются исключительно в виде Appliance: для установки на «голом железе» Software Appliance и Virtual Appliance. Последний содержит в своем составе оптимизированную ОС Linux и специально настроен для быстрого развертывания в виртуальных средах VMware ESXi/Player/Workstation/Fusion и Hyper-V (Win2k8R2–2012R2). Их можно свободно загрузить с сайта компании и использовать для тестирования в течение 30 дней.

Для работы VA требуется CPU 2+ ГГц, RAM 1,5 Гб и HDD 8 Гб. Чтобы сконфигурировать VA, каких-либо знаний Linux не требуется. После запуска активируется простой мастер, в котором необходимо выбрать язык, принять условия лицензии и настроить сетевые интерфейсы. После входа в интерфейс администрирования стартует мастер активизации, а затем «помощник конфигурирования», помогающий настроить базовую защиту. В результате практически после запуска получаем готовое к работе решение. Все, кто ранее сталкивался с продуктами Kerio, вряд ли найдут что-то новое. Все на своих местах, а документации и инструкций в интернете полно.

Альтернативой Kerio Control можно назвать дистрибутив pfSense, распространяемый по условиям BSD-лицензии и обеспечивающий маршрутизацию, защиту трафика и различные сетевые сервисы.

OpenMediaVault

Без сетевого хранилища данных сегодня трудно представить любой, даже небольшой офис. Существует множество решений с разными возможностями, реализацией и лицензией. Особой популярностью в небольших и средних сетях пользуются NAS’ы, созданные на основе свободных ОС, имеющие все необходимое и готовые к работе. Удобно, что некоторые проекты, кроме ISO-образа, предлагают и VA, хотя выбор невелик.

OpenMediaVault является реализацией идей FreeNAS на пакетной базе Debian (сам FreeNAS построен на FreeBSD) и ориентирован на упрощенную установку дополнений и обновлений, работу на большем количестве оборудования и поддержке встраиваемых устройств.

Доступ к данным обеспечивается через SMB/CIFS, FTP/FTPS, TFTP, NFSv3/v4, SSH и RSYNC, поддерживается программный RAID. Это только базовые возможности. В плагинах находим поддержку LVM, iSCSI Target, LDAP, клиент BitTorrent, сервер DAAP, работу с UPS и антивирус для проверки файлов. Возможна организация совместного доступа к ресурсам, разделение привилегий на основе групп, настройка квот, мониторинг SNMP и S.M.A.R.T. В общем, все, что необходимо для организации NAS’а, в OpenMediaVault есть. Плагины ставятся при помощи штатного пакетного менеджера, но все особенности работы с ним скрыты, администратор просто выбирает нужный в веб-интерфейсе, то есть знать, как работает Linux, не нужно. Сам веб-интерфейс локализован, внешне он очень похож на FreeNAS, но более понятный в использовании, разобраться в особенностях не составит труда.

Для быстрого развертывания доступны образы для VMware и VirtualBox, содержащие в том числе и некоторые модули третьих сторон. При выборе образа нужно быть внимательным, так как предлагается три варианта: OMVbase (один диск с данными), OMVbasIT (четыре диска) и OMVbasITR5 (четыре диска, сконфигурированных с RAID 5, LVM, ext4 и CIFS). Системные требования: RAM 1+ Гб, HDD 2+ Гб. Пароли по умолчанию: root/root, для веб-интерфейса — admin/openmediavault.

Альтернативой можно считать дистрибутив OpenFiler, разработчики которого предлагают образ для VMware. Функционально он ничем не уступает OpenMediaVault, разве что в виде VA доступен только релиз 2.3 от 2009 года.

Свободная ERP Openbravo

Сегодня бизнес сильно зависит от ИТ, востребовано все, что есть, — начиная от средств обмена сообщениями и файлами, базами данных и различными бухгалтерскими приложениями. В итоге сотрудникам приходится использовать большое количество программ, обычно никак между собой не связанных. Это усложняет администрирование, требует дополнительных расходов на лицензии и переобучение пользователей, возникает проблема синхронизации данных между приложениями, риск ошибок и потери информации. В результате появляется дополнительное ПО, выступающее в роли прокладки, которое также приходится настраивать и осваивать. Поэтому все более интересными становятся продукты, в которых интегрированы все необходимые функции для автоматизации бизнес-процессов и управленческих функций. Они получили название ERP (Enterprise Resource Planning, планирование ресурсов предприятия). По сути, ERP-системы представляют собой единое хранилище данных, в котором содержится вся информация. Но выбрать подходящую очень тяжело, так как у каждой реализации ERP своя логика, они редко поставляются в коробке, требуют долгой настройки и подгонки.

Openbravo (openbravo.com, sf.net/projects/openbravo) основан на очень удачной ERP Compiere, давшей жизнь сразу нескольким ответвлениям с разной реализацией и логикой. Распространяется по лицензии Openbravo Public License (производная от Mozilla Public License). И на сегодня это универсальное приложение, охватывающее практически весь спектр потребностей любой организации — продажи и CRM, управление продуктами, клиентами, проектами и обслуживанием, финансовый и бухгалтерский учет, закупки, склад, производство. Имеет развитую систему отчетов. Модульная архитектура позволяет собрать систему под свои нужды. Базовый набор дополняется почти 300 расширениями, из которых большая часть распространяется с открытым исходным кодом (centralrepository.openbravo.com). Openbravo интегрируется с рядом других решений — SugarCRM, PProcessMaker BPM, Liferay Portal, Magento и популярными сервисами — Google Docs, Twitter, Facebook и другими.

Поставляется в виде установочных пакетов, ISO-образов и VA для VMware и Amazon EC2 (доступны более ранние релизы в сборках для VirtualBox, Citrix XenServer, QEMU/Parallels). Это позволяет буквально за 15 минут развернуть нужный функционал, хотя, конечно, в последующем все-таки придется донастроить систему под свои условия. В процессе загрузки никаких настроек не предусмотрено. Получаем IP и для входа используем логин/пароль — Openbravo/openbravo. Дальнейшие настройки расписаны в документации.

Заключение

Продукты виртуализации, которые не зависят от аппаратного обеспечения, представляют идеальную основу для распространения ПО. Постоянно растущее количество виртуальных устройств свидетельствует о том, что пользователи хорошо принимают такую форму распределения систем и приложений — как для тестирования, так и для внедрения.