13.03.2019

VMware Workspace ONE архитектура

VMware Workspace ONE — это корпоративная платформа для доставки приложений и сервисов сотрудникам, по принципу «any app on any device». Как и многие другие продукты VMware, существует возможность инсталляции непосредственно у себя в ЦОД, либо в облаке VMware или партнера. VMware Workspace ONE представляет собой многокомпонентый программный продукт, который помимо установки собственных сервисов, требует интеграции с существующей инфраструктурой компании. Для начала рассмотрим простую локальную архитектуру Workspace ONE (без Horizon) для установки в собственном ЦОД (Рис. 1)

Рис.1 Простая локальная архитектура VMware WorkspaceONE (без Horizon)

Компания VMware провела работу по тесной интеграции продуктов Identity Manager и AirWatch, идентификацией и управлением мобильными устройствами соответственно. Сервисы этих программных продуктов можно использовать, как комплексно, так по отдельности для решения локальных задач. Например, для создания VPN туннеля для доступа к внутренним корпоративным порталам и прочим ресурсам.

На Рис. 1 показана простая архитектура VMware WorkspaceONE. Ниже будут перечислены компоненты, их назначение и функциональные возможности.

  • VMware AirWatch — платформа управления мобильными устройствами (MDM), управления мобильным контентом (MCM), управление мобильными приложениями (MAM). Локальная инсталляция AirWatch не требует больших ресурсов и может быть развернута на одном сервере.
  • VMware Identity Manager — используется для идентификации в различных приложениях Workspace ONE. Синхронизируется с Active Directory и использует эти данные для сквозного SSO входа. Также Identity Manager позволяет использовать дополнительные проверочные параметры при аутентификации. Это может быть сеть доступа, платформа доступа, клиент доступа.
  • VMware Unified Access Gateway — продукт поставляется в виде виртуального апплайнса. Используется для организации безопасного доступа из интернета к внутренним ресурсам компании. Например, для подключения к виртуальным рабочим станциям VMware Horizon.
  • VMware Enterprise Systems Connector — программный продукт совмещает в себе два продукта: AirWatch Cloud Connector и Identity Manager Connector. Устанавливается из одного Windows пакета. Необходим для связи различных корпоративных инфраструктурных систем, расположенных в разных защищенных зонах сети. Например, AirWatch для работы MDM части требуется подключение к LDAP, центру сертификации, серверу электронной почты и т.д.
  • VMware Cloud Connector (ACC) component — сервис который запускается во внутренней сети. Является прокси сервером для передачи запросов от VMware AirWatch к критически важным инфраструктурным компонентам.
  • VMware Identity Manager Connector component — выполняет синхронизацию между Active Directory и службами Identity Manager.
  • Email integration — VMware AirWatch поддерживает интеграцию с такими почтовыми системами как Microsoft Exchange, GroupWise, IBM Notes, Google Apps for Work. Есть три варианта интеграции: через AirWatch Email Secure Gateway, PowerShell или G Sute Integration. Для Email Secure Gateway необходима установка сервера в ЦОД. PowerShell позволяет интегрироваться с MS Exchange 2010+ и MS Office 365. Поддержка Google включена в AirWatch и не требует дополнительных установок и специфических настроек.
  • Content Integration — для создания новых файловых хранилищ и интеграции с существующими используется VMware AirWatch Mobile Content Manager, а для работы с документами и другими файлами на мобильных устройствах должен быть установлен AirWatch Content Locker.
  • Workspace ONE native mobile apps — мобильные приложения, разработанные (купленные) VMware существуют для трех операционных систем iOS, Android, Windows 10. Все приложения доставляются пользователям через единый портал корпоративных приложений Workspace ONE. Если у сотрудника несколько устройств на разных ОС, он может, используя свои логин — пароль, легко устанавливать их и использовать.

Workspace ONE функционал

Компания VMware хороша, среди прочего, тем, что предоставляет доступ к документам, описывающим эталонную архитектуру своих решений уровня Enterprise. Это значит, что в документе, описывающем референсную архитектуру будет подробно описан дизайн решения от высокого уровня к низкому, будет показано, как в общих чертах работает отказоустойчивость уровня HA или active-active для внедряемых продуктов. Конечно, это не готовый документ для внедрения, но основные моменты системный архитектор, занимающийся разработкой дизайна и технического решения может почерпнуть в документах по архитектуре и других открытых ресурсах VMware.

Рис. 2 Логическая архитектура Workspace ONE

Взглянем на Рис. 2 и подробно рассмотрим, какие функциональные возможности предоставляет Workspace ONE.

  • Mobile SSO — поддержка сквозной аутентификации (SSO) в приложениях при доступе доступ к корпоративным приложениям SaaS, мобильным приложениям, Windows приложениям и рабочим столам VDI. Доступ предоставляется через портал с элементами самообслуживания.
  • Secure Browsing — в составе AirWatch есть собственный мобильный браузер, которым может управляться администратором удаленно. Он обеспечивает высокий уровень защиты при доступе к корпоративным порталам и интернет ресурсам.
  • Data Lose Prevention (DLP) — принудительный контроль во время работы с корпоративными документами. Файлы будут открываться только в утвержденных приложениях без возможности их несанкционированного распространения.
  • Доставка приложений на любые устройства iOS, Android или Windows. Реализация концепции BYOD (bring your own device), когда сотрудник для доступа к корпоративным приложениям использует свое личное устройство, но остается в рамках корпоративных политики, а его доступ надежно защищен и находится под контролем администраторов.
  • Device Enrollment — процесс привязки устройства к корпоративной сети очень прост, после привязки на устройстве автоматически применяются политики доступа, безопасности. После этого информацию на устройстве можно разделить на личную и корпоративную. Личной информацией и приложениями управляет сам пользователь, а на использование корпоративной информацией влияет администратор системы.
  • Conditional accsess — использование мобильных приложений из состава Workspace ONE для работы с корпоративной почтой, календарем, документами, корпоративным порталом. На эти приложения администратор может накладывать дополнительные ограничения, направленные на обеспечение корпоративных политик безопасности. Работа политик может зависеть не только от прав пользователя (простой случай), но и от уровня аутентификации (один фактор, два фактора), сети доступа, географического местоположения устройства и соответствия устройства корпоративной политике (например, проверка на root)
  • Доставка приложений в реальном времени возможна не только через портал приложений, но и непосредственно на рабочие станции Windows через AppVolumes. Управление жизненным циклом приложений на рабочих ПК подразумевает доставку приложения, своевременные обновления, последующее удаление.

Workspace ONE интеграция с продуктами VMware

Workspace ONE объединяет в себе несколько продуктов VMware, которые, в свою очередь, тоже являются наборами программных продуктов. Разберем, какие продукты за какой функционал отвечают.

Рис 3. Логическая архитектура Horizon 7

VMware Identity Manager является частью решения Workspace ONE и отвечает за SSO аутентификацию пользователя в различных сервисах и корпоративных приложениях. Поддерживаются следующие способы аутентификации: логин — пароль, двухфакторная, через сертификат, Kerberos, мобильный SSO и сторонняя SAML. Также поддерживается добавление на портал приложений Citrix XenApp, XenSesktop и сквозная аутентификация в них.

VMware Airwatch реализует в Workspace ONE управление корпоративной мобильностью. Регистрация мобильных устройств в системе AirWatch, применение на них корпоративных настроек, политик безопасности, управление устройством. Также пользователь устройства получает доступ к порталу приложений, среди которых есть мобильные и SaaS, вот за их работу отвечает AirWatch. Интеграция с Active Directory позволяет предоставлять доступ к приложениям и настраивать политики по ролевому сценарию. Также AirWatch интегрируется с корпоративной почтой, через нее пользователь получает на своем мобильном устройстве почту, календарь, контакты, общие документы.
В VMware Workspace ONE через функционал AirWatch реализуется доступ к нативным приложениям iOS, Android и Windows 10, которые собираются на портале Workspace ONE в единый каталог. Далее из каталога эти приложения могут быть скачены на устройство самим пользователем и использованы для работы, если ранее администратор не отметил их на сервере администрирования, как обязательные. Если же устройство, с которого пользователь осуществил вход на портал Workspace ONE ранее не было присоединено к AirWatch, а значит на нем не действуют политики безопасности компании, то прежде чем получить приложение устройство будет предложено привязать к сети AirWatch, через установку агента AirWatch.

VMware Horizon 7 в редакции Enterprise реализует в Workspace ONE доступ к опубликованным приложениям Windows (технология RDSH), доступ к виртуальным рабочим столам Windows, Linux, рабочим столам с поддержкой профессиональной 3D графики Nvidia GRID (технология VDI). Платформа Horizon 7 поддерживает разные виды размещения: непосредственно в ЦОДе(ах) заказчика, облачное размещение в датацентрах провайдеров или гибридный вариант.

Дизайн эталонной архитектуры

Чтобы добиться успеха в проекте по Workspace ONE важно следовать по пути «правильной» методологии по версии VMware. Для начала нужно разобраться в реальных потребностях бизнеса и определить реальные причины проекта. В процессе, можно будет зафиксировать потребности пользователей и сформировать сценарии использования будущей информационной системы. На этом этапе важно трезво оценить, сможет ли продукт Workspace ONE обеспечить выполнение всех сценариев использования.

Рис. 4 Методология разработки дизайна архитектуры Horizon 7

Модульный подход должен быть использован при проектировании информационной системы Workspace ONE. Сама система состоит из компонентов, про которые разговор был ранее, так еще и сами компоненты состоят из компонентов. Есть и положительные моменты, системы Enterprise уровня изначально создаются модульными и масштабируемыми, поэтому зная о возможностях системы и требования к ней, можно принимать решения, какие компоненты и модули необходимо включить в архитектуру.
VMware предлагает цикличную методику разработки на Рис.4, рассмотрим все этапы по порядку.

  • Бизнес драйверы и примеры использования. Подробнее.
  • Сервисы и компоненты.

Распределенная архитектура

Можно выделить два типа распределенной архитектуры, active/active и active/passive.
Актив/актив подразумевает полное дублирование компонентов системы в независимом ЦОД, распределение нагрузки между ЦОД во время повседневной работы. Если выходит из строя элемент системы или ЦОД целиком, то нагрузка автоматически переключается на работающий ЦОД.
Актив/пассив — это режим работы, когда активным является один из ЦОД, а во второй ЦОД синхронизируется с первым, чтобы во время аварии принять нагрузку на себя, но уже в ручном режиме, под контролем администратора.

Существует много причин, почему стоит использовать распределенную на несколько ЦОД архитектуру решения VMware Workspace ONE. Основная цель — это возможность обеспечения аварийного восстановления с наименьшим RTO (recovery time objective) и ближайшей RPO (recovery point objective). Значения этих двух параметров, обычно, определяет бизнес, а ИТ служба должна их соблюсти в случае аварийной ситуации. Актив/актив архитектура даже в случае выхода их строя одного из ЦОД сможет выполнить минимальные RTO и RPO, но требует дублирования компонентов. Актив/пассив архитектура более рискованная по многим параметрам, на RTO и RPO влияет еще и человеческий фактор. Но такой дизайн помогает экономить бюджет проекта, точные цифры можно рассчитать в ТЭО. Выбор всегда остается за заказчиком.

Аварийная ситуация в случае с Workspace ONE может предусматривать как выход из строя любого из компонентов системы в одном из ЦОД, так и полную недоступность этого ЦОД. Распределенная архитектура должна отвечать следующим требованиям:

  • Выполнять заданный уровень RPO и RTO в случае выхода из строя компонентов системы.
  • Должно быть разработано руководство для администратора по восстановлению системы.
  • Предоставление основных услуг во время плановых работ.
  • Соблюдение политик безопасности во время внештатных и штатных ситуаций.
Рис. 5 Отказоустойчивая архитектура VMware Workspace ONE

На Рис. 5 можно увидеть пример отказоустойчивой логической архитектуры, включающей в себя все основные компоненты VMware Workspace ONE. Используется глобальная балансировка подключений пользователей (GSLB), поэтому не нужно менять адрес подключения при недоступности одного из сайтов. Для внутренних ресурсов также используется балансировка (NLB).

При использовании архитектуры Active/Active некоторые компоненты Workspace ONE могут работать только на одном из сайтов в один момент времени. Другими словами, есть компоненты, которые не работают в режиме Active/Active:

  • VMware Identity Manager
  • Данные пользователей из User Enviroment Manager и профили пользователей
  • Active Directory FSMO roles
  • MS SQL Server Always On availability groups

Необходимо обеспечить отказоустойчивость тех ресурсов, которые по своей природе не являются multi-master (умеющие работать в режиме Active/Active). В рабочей документации по проекту должны быть описаны шаги, необходимые для восстановления полнофункциональной работоспособности этих компонентов на «резервном» сайте.

Компоненты для репликации

Рекомендуется выполнить ряд шагов для создания эффективной стратегии репликации. Это необходимо для аварийных ситуаций, когда пользователям Site1 придется подключаться к Site 2(или наоборот) Также речь идет о пользователях, которые могут перемещаться между сайтами по рабочей необходимости.

  • Необходимо на этапе внедрения проекта создать план аварийного восстановления, в котором определить какие данные нужно реплицировать 1:1 для функционирования организации.
  • Для репликации между сайтами шаблонов мастер образов можно использовать функционал vSphere content library.
  • При использовании в Horizon 7 Cloud Pod Architecture рекомендуется избегать создания metro кластеров vSAN для виртуальных машин VDI.
  • Рекомендуется разделять важные для бизнеса отделы между сайтами. Например, отдел продаж, половина отдела будет функционировать без прерывания сервиса даже в случае выхода из строя любого сайта Workspace.
  • В случае использования перемещаемого профиля под управлением User Environment Management, VMware рекомендует сочетание технологий FlexEngine и перенаправление папок. Это позволит сохранить минимальный размер профиля пользователя и ускорит вход в систему, если он будет производиться не в основном для пользователя ЦОД.
  • Рекомендуется использование MS SQL failover cluster и Always ON группы доступности для VMware Identity Manager. Для vCenter server, Connection server, vCenter server Update Manager использование Always ON для обеспечения отказоустойчивости не требуется.