Основные особенности:
- Объединяет в себе средства виртуализации, управления и защиты, а при использовании приложений из экосистемы совместимых продуктов — предоставляет возможность резервного копирования, а также организации виртуальных рабочих мест;
- Базовый компонент — новое очередное обновление 1.7 сертифицированной ОС специального назначения Astra Linux Special Edition, которая содержит все необходимые средства виртуализации: инструменты для создания, запуска и обслуживания виртуальной инфраструктуры, а также средства ее защиты, реализующие меры, установленные нормативными и методическими документами регуляторов;
- ПК СВ Брест использует все средства безопасности информации, входящие в состав серверной ОС Astra Linux Special Edition;
- Механизмы управления защищенной средой виртуализации поддерживают, в том числе, следующие возможности: Мандатное разграничение доступа к ВМ и системе управления (МРД); Функционирование в режиме замкнутой программной среды (ЗПС); Функционирование с учетом всех видов контроля целостности, включая мандатный контроль целостности (МКЦ); Обеспечение запрета модификации ВМ;
- Обновленная пакетная база и поддержка современного оборудования, ядра 5.15 ОС Astra Linux Special Edition;
- Возможность работы с разными типами хранилищ: конвергентное и гиперконвергентое (HCI), внешняя СХД;
- Соответствует требованиям к ПО регуляторов рынка: Входит в реестр отечественного ПО Минцифры России (№3742 от 23.07.17); Рекомендации по переходу на отечественное ПО (приказ Минцифры России №486);
- Обеспечивает реализацию требований отечественных ГОСТ: ГОСТ Р 56938-2016 (Защита информации. Защита информации при использовании технологий виртуализации Общие положения); ГОСТ Р 57580.1-2017 (Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер).
Аппаратные требования к узлам виртуализации:
- Процессорная архитектура х86-64 с аппаратной поддержкой виртуализации (Intel VT, AMD-V);
- Оперативная память от 8 Гб;
- Объем свободного дискового пространства не менее 30 Гб;
- Сетевая плата 100 Мбит/с и более.
Требования к количеству узлов виртуализации:
- Для минимальной установки и эксплуатации — 1 узел;
- Для кластера высокой доступности — 3 узла и более.
Функциональные возможности:
- Эмуляция аппаратного обеспечения на основе модуля KVM с использованием возможностей архитектуры х86-64 по виртуализации процессоров;
- Создание защищенной среды виртуализации серверов и рабочих мест (VDI — опционально) архитектуры х86-64;
- Централизованное управление: центром обработки данных (ЦОД); учётными записями пользователей и их группами, группами виртуальных машин (ВМ); кластерами, входящими в ЦОД; cерверами (узлами) в кластерах; хранилищами; виртуальными сетями;
- Виртуализация сетей, хранилищ и иных ресурсов;
- Обеспечение отказоустойчивости управления;
- Масштабирование кластеров виртуализации;
- Создание и эксплуатация до 10 000 ВМ в одном управляемом системой кластере;
- Возможность масштабирования виртуальной инфраструктуры и создания распределённых ЦОД с помощью механизма Федерации;
- Поддержка в одной ВМ до 240 виртуальных процессоров и до 4 Тб оперативной памяти;
- Подключение к ВМ устройств из состава аппаратных средств хоста (сервера), включая устройства USB 3.0;
- Поддержка 32 и 64-битных гостевых ВМ с ОС Linux и Microsoft Windows;
- Создание групп ВМ из шаблонов;
- Клонирование ВМ;
- Идентификация, аутентификация и авторизация пользователей для предоставления доступа к функциям виртуализации и управления;
- Мандатное и дискреционное управление доступом при межпроцессном и сетевом взаимодействии;
- Режим запуска ВМ только для чтения — без внесения изменений в образы их дисков;
- Управление параметрами ВМ во время их работы;
- Централизованный аудит и формирование отчетов;
- Мониторинг работоспособности и использования ресурсов виртуальной инфраструктуры, а также состояния входящих в ЦОД физических узлов;
- Поддержка работы с интерфейсом мониторинга и управления аппаратной платформой IPMI 2.0;
- Выполнение миграции работающих ВМ между узлами кластера виртуализации;
- Создание кластеров высокой доступности (High Availability - HA);
- Автоматическое резервирование виртуальной инфраструктуры;
- Автоматическое распределение нагрузки на физические узлы (DRS);
- Создание нескольких сетей и разделение служебного и пользовательского трафика на разные информационные потоки, поддержка VLAN;
- Создание и использование распределенного хранилища Ceph;
- Возможность создавать и использовать файловые системы NFS, CIFS и CephFS серверов или хранилищ с доступом по протоколу iSCSI и FC;
- Поддержка LVM томов;
- Работа на всех уровнях защищенности ОС: Усиленный и Максимальный — в дискреционном режиме, с наследованием пользователей из домена, развернутого на базе FreeIPA; Базовый — в сервисном режиме, без использования службы каталога, только с локальными пользователями;
- Поддержка DRBD версии 9;
- Поддержка службы каталога FreeIPA, а также Microsoft Active Directory (через механизм доверительных отношений);
- Поддержка работы контекстуализации, а также интерфейс для ввода ВМ в домен через механизм контекста;
- Статус подключения к консоли ВМ;
- Нативная поддержка БД PostgreSQL и ее автоматическая настройка;
- Автоматический перевод системы на 127 уровень целостности;
- Поддержка UEFI;
- Механизм наследования и сохранения всех опций ВМ;
- Механизм group-merging;
- Автостарт ВМ из-под сервисного пользователя;
- Режим обслуживания хоста;
- Механизм автомиграции ВМ;
- Управление пользователями и их группами из интерфейса;
- Сервис проброса USB клиентских компьютеров через VNC/Spice/RDP в ВМ;
- Маркетплейс для пользователей частного облака и системы виртуализации;
- Автоматизация базовой установки и настройки с помощью плейбуков;
- Оптимизированное перенаправление USB-устройств в гостевую ОС: видеокамер, принтеров, USB-токенов, а также общих папок;
- Оптимизированная JPEG-компрессия для SPICE протокола, снижающая нагрузку на канал передачи данных;
- Канал SPICE Display для передачи изображения и его кодирования с применением алгоритмов VP8/VP9/H264/H265;
- Динамический веб-интерфейс, адаптирующийся к ширине экрана монитора;
- Возможность переименования дисковых снапшотов;
- Поддержка псевдонимов для сетевых интерфейсов;
- Возможность автоматического выбора сетевого адаптера при разворачивании ВМ;
- Горячая миграция дисков ВМ между хранилищами;
- Поддержка мультимониторного режима при удаленном доступе к ВМ;
- Функция запрета удаления работающих ВМ.