13.03.2019

VMware Workspace ONE архитектура

VMware Workspace ONE — это корпоративная платформа для доставки приложений и сервисов сотрудникам, под девизом «any app on any device». Как и многие другие продукты VMware, существует возможность инсталляции непосредственно у себя в ЦОД, либо в облаке VMware или партнера. VMware Workspace ONE включает в себя следующие продукты VMware:

  • VMware AirWatch
  • VMware Identity Manager
  • VMware Horiozon 7
  • мобильные приложения, разработанные (купленные) VMware

Workspace ONE функционал

Компания VMware хороша, среди прочего, тем, что предоставляет доступ к документам, описывающим эталонную архитектуру своих решений уровня Enterprise. Это значит, что в документе, описывающем референсную архитектуру будет подробно описан дизайн решения от высокого уровня к низкому, будет показано, как в общих чертах работает отказоустойчивость уровня HA или active-active для внедряемых продуктов. Кончено, это не готовый документ для внедрения, но основные моменты системный архитектор, занимающийся разработкой дизайна и технического решения может почерпнуть в документах по архитектуре и других открытых ресурсах VMware.

Рис. 1 Логическая архитектура Workspace ONE

Взглянем на Рис. 1 и подробно рассмотрим, какие функциональные возможности предоставляет Workspace ONE.

  • Доступ SSO к корпоративным приложениям SaaS, мобильным приложениям, Windows приложениям и рабочим столам VDI. Доступ предоставляется через портал с элементами самообслуживания.
  • Доставка приложений на любые устройства iOS, Android или Windows. Реализация концепции BYOD (bring your own device), когда сотрудник для доступа к корпоративным приложениям использует свое личное устройство, но остается в рамках корпоративных политики, а его доступ надежно защищен и находится под контролем администраторов. Процесс привязки устройства к корпоративной сети очень прост, после привязки на устройстве автоматически применяются политики доступа, безопасности. После этого информацию на устройстве можно разделить на личную и корпоративную. Личной информацией и приложениями управляет сам пользователь, а на использование корпоративной информацией влияет администратор системы.
  • Использование мобильных приложений из состава Workspace ONE для работы с корпоративной почтой, календарем, документами, корпоративным порталом. На эти приложения администратор может накладывать дополнительные ограничения, направленные на обеспечение корпоративных политик безопасности. Работа политик может зависеть не только от прав пользователя (простой случай), но и от уровня аутентификации (один фактор, два фактора), сети доступа, географического местоположения устройства и соответствия устройства корпоративной политике (например, проверка на root)
  • Доставка приложений в реальном времени возможна не только через портал приложений, но и непосредственно на рабочие станции Windows через AppVolumes. Управление жизненным циклом приложений на рабочих ПК подразумевает доставку приложения, своевременные обновления, последующее удаление.

Workspace ONE интеграция с продуктами VMware

Workspace ONE объединяет в себе несколько продуктов VMware, которые, в свою очередь, тоже являются наборами программных продуктов. Разберем, какие продукты за какой функционал отвечают.

Рис 2. Логическая архитектура Horizon 7

VMware Identity Manager является частью решения Workspace ONE и отвечает за SSO аутентификацию пользователя в различных сервисах и корпоративных приложениях. Поддерживаются следующие способы аутентификации: логин — пароль, двухфакторная, через сертификат, Kerberos, мобильный SSO и сторонняя SAML. Также поддерживается добавление на портал приложений Citrix XenApp, XenSesktop и сквозная аутентификация в них.

VMware Airwatch реализует в Workspace ONE управление корпоративной мобильностью. Регистрация мобильных устройств в системе AirWatch, применение на них корпоративных настроек, политик безопасности, управление устройством. Также пользователь устройства получает доступ к порталу приложений, среди которых есть мобильные и SaaS, вот за их работу отвечает AirWatch. Интеграция с Active Directory позволяет предоставлять доступ к приложениям и настраивать политики по ролевому сценарию. Также AirWatch интегрируется с корпоративной почтой, через нее пользователь получает на своем мобильном устройстве почту, календарь, контакты, общие документы.
В VMware Workspace ONE через функционал AirWatch реализуется доступ к нативным приложениям iOS, Android и Windows 10, которые собираются на портале Workspace ONE в единый каталог. Далее из каталога эти приложения могут быть скачены на устройство самим пользователем и использованы для работы, если ранее администратор не отметил их на сервере администрирования, как обязательные. Если же устройство, с которого пользователь осуществил вход на портал Workspace ONE ранее не было присоединено к AirWatch, а значит на нем не действуют политики безопасности компании, то прежде чем получить приложение устройство будет предложено привязать к сети AirWatch, через установку агента AirWatch.

VMware Horizon 7 в редакции Enterprise реализует в Workspace ONE доступ к опубликованным приложениям Windows (технология RDSH), доступ к виртуальным рабочим столам Windows, Linux, рабочим столам с поддержкой профессиональной 3D графики Nvidia GRID (технология VDI). Платформа Horizon 7 поддерживает разные виды размещения: непосредственно в ЦОДе(ах) заказчика, облачное размещение в датацентрах провайдеров или гибридный вариант.

Дизайн эталонной архитектуры

Чтобы добиться успеха в проекте по Workspace ONE важно следовать по пути «правильной» методологии по версии VMware. Для начала нужно разобраться в реальных потребностях бизнеса и определить реальные причины проекта. В процессе, можно будет зафиксировать потребности пользователей и сформировать сценарии использования будущей информационной системы. На этом этапе важно трезво оценить, сможет ли продукт Workspace ONE обеспечить выполнение всех сценариев использования.

Рис. 3 Методология разработки дизайна архитектуры Horizon 7

Модульный подход должен быть использован при проектировании информационной системы Workspace ONE. Сама система состоит из компонентов, про которые разговор был ранее, так еще и сами компоненты состоят из компонентов. Есть и положительные моменты, системы Enterprise уровня изначально создаются модульными и масштабируемыми, поэтому зная о возможностях системы и требования к ней, можно принимать решения, какие компоненты и модули необходимо включить в архитектуру.
VMware предлагает цикличную методику разработки на Рис.3, рассмотрим все этапы по порядку.