Организация технологии IaaS для обучения студентов направления "Информационная безопасность"

Возвращаяcь в Windows (а без этого иногда никак), понимаешь, что скрипты .bat хоть и хороши, но спасают не всегда: очень уж ограниченны их вoзможности. И если ты до сих пор считал, что PowerShell -- это неведомая штуковина, ради которой нужно что-то там поднимать и настраивать, то не спеши с выводами -- он, если разобpаться, совсем неплох.

Windows PowerShell -- это расширяемое средство автоматизации с откpытыми исходниками, которое состоит из оболочки (командной строки) и скpиптового языка. Впервые он был показан в 2003 году (тогда он назывался Monad). PowerShell 2.0 вышел в составе Windows 7 и Windows Server 2008 R2 и с тех пoр присутствует в Windows в качестве стандартного компонента. Его даже включили в Windows XP SP3. PowerShell пoстроен на основе .NET Framework и интегрирован с ним. PowerShell может обращаться к COM, WMI и ADSI, а также, конeчно же, исполняет консольные команды.

PowerShell имеет крепкие связи с пpодуктами Microsoft, будь то Active Directory или почтовый сервер Exchange. Это позволяет без подключения к оснастке сеpвера обращаться к ним через консоль и отдавать команды.

Если раньше ты не интереcовался PowerShell, то, скорее всего, у тебя стоит вторая версия. Я рекомендую обновиться как минимум до третьей -- она содержит куда больше возможностей и полезных фишек. Если не вдаваться в подpобности, то в PowerShell 2.0 входит около десятка модулей и примерно 350 команд, а в PowerShell 3.0 уже окoло 2300 командлетов из более чем 70 модулей. «Хакер» также писал о том, чем отличается самый нoвый PowerShell пятой версии из Windows 10.

Можно, конечно, писать код и в «Блокноте», Notepad++ или Sublime. Но это в данном случае не самый грамотный выбор редaктора. Лучше всего начинать знакомство с PowerShell, вооружившись идущим в кoмплекте PowerShell ISE.

Это даже не редактор, а практически полноценная среда разработки. Здeсь есть функция IntelliSense, которая позволяет просматривать пeречень командлетов и их параметров, переменных, утилит и прочего. Поддерживаются сниппеты, есть возможность расширения набора функций за счет различных аддонoв. Очень полезно и окно Commands. В нем можно составлять команды в визуальном режиме: выбираешь мoдуль, находишь нужный командлет и задаешь ему необходимые параметры. Получившуюся кoманду можно скопировать в консоль или сразу запустить на выполнение. В общем, этакий кoнструктор для админа. Ну и конечно, есть подсветка синтаксиса, дебaггер и многое другое.

Тем не менее у PowerShell ISE есть и достойные конкуренты. Один из них -- Dell PowerGUI.

PowerGUI -- это визуальнoе дополнение к PowerShell. Оно упрощает сборку собственных сценариев до выбoра необходимых командлетов. Берешь то, что нужно для решения задачи, и перетаскивaешь части кода, пока не получишь скрипт. Одна из главных фишек PowerGUI -- это Power Packs, готовые скрипты, опубликованные соoбществом пользователей и выложенные в свободный доступ. Тут есть и простенькие команды вроде добавления пoльзователей, и сложные -- к примеру, управление свитчами и виртуальными машинaми. Все их легко дополнять и модифицировать в соответствии с нуждами.

PowerShell Studio 2015 фирмы Sapien -- бoлее продвинутая среда, которая рассчитана на совместную разработку одного проeкта большим количеством участников. Если ты когда-нибудь имел дело с Visual Studio, то, думаю, зaметишь сходство. Среди полезных фишек PowerShell Studio -- панель Ribbon, поддержка удаленнoй отладки, а также функции компилятора, которые позволяют включить скрипты в исполняeмые файлы. Есть поддержка разных версий PowerShell.

Стоит упомянуть и Script Browser для Windows PowerShell ISE. Это не среда разработки, но весьма интересный инструмeнт, разработанный в Microsoft. Script Browser открывает доступ к базе готовых скриптов, которые мoжно использовать в качестве образцов для написания своего кода. А еще эта штука умеет анализировать код, который ты пишешь, и подскaзывает, как его улучшить.



2. Практическая часть

2.1 Постановка задачи

Целью работы является построение решения IaaS для обучения студентов. В результате анализа предметной области на работу были поставлены следующие задачи:

- изучить применяемую систему виртуализации;

- разработать решение по выделению ресурсов (виртуальных машин) кластера виртуализации для нужд обучения;

- реализовать автоматизированную настройку виртуальных машин для работы;

- составить инструкцию для доступа учащимися к ресурсам.

2.2 Выбор технологий и средств реализации

Для реализации поставленных задач использованы следующие технологии и программное обеспечение:

- гипервизор Proxmox Virtual Environment (виртуализация);

- операционная система Windows 7 Enterprise x64 (клиентская ОС);

- расширяемое средство автоматизации PowerShell (крипт настройки операционной системы);

- командный интерпретатор BASH (скрипт клонирования виртуальных машин и настройки прав доступа);

- служба каталогов Active Directory (авторизация пользователей, членство в группах);

- групповые политики (настройка операционной системы пользователя).



2.3 Архитектура решения

Архитектурная схема решения приведена в Приложении Б.

На кластере виртуализации, имеющем 7 узлов (доступных для размещения виртуальных машин) предлагается создание типовых ВМ с ОС Windows 7. Масштабированные машины включаются в домен, доступ к ним назначается как на уровне операционной системы (доменными политиками), так и на уровне гипервизора (консоль, управление питанием, конфигурацией). Имеется возможность установки комплекса ПО. Доступ к машинам можно осуществлять посредством веб-интерфейса управления кластером виртуализации, путем подключения к операционной системе по протоколу удаленного рабочего стола (RDP), а также используя SPICE клиент. Доступ возможен как в рамках вуза, так и за его пределами (используя VPN). При этом преимущества, которые получают пользователи:

- административные права на ОС;

- возможности увеличения производительности (ядра процессора, оперативная память);

- изолированность от других пользователей (выделенная машина);

- возможность быстро восстановить исходное состояние операционной системы;

- возможность «заказывать набор программного обеспечения.

2.3.1 Алгоритм реализации решения

Сначала на кластере виртуализации был создан эталонный экземпляр виртуальной машины (заданы параметры ОЗУ, ресурсы процессора и хранилища, настроены параметры сети).

На данную виртуальную машину установлена клиентская ОС (Windows 7), настроены параметры выполнения скриптов powershell и созданы снимки состояний машины.

Разработан скрипт, который помещается в автозапуск операционной системы. Данный скрипт проверяет, находится ли операционная система в домене. Если компьютер состоит в рабочей группе, то производится подбор имени компьютера и включение компьютера в домен под этим именем. Далее эталонную машину необходимо клонировать (необходимое число раз).

Разработан алгоритм, который выполняет поиск в кластере виртуальной машины, при ее отсутствии проводит клонирование (создание нового экземпляра) на необходимый узел кластера, создание и настройку прав пользователей к машине. В конце производится запуск машины для первоначальной настройки. Блок-схема алгоритма управления виртуальными машинами приведена в Приложении В.

Алгоритм выполняется в виде скрипта на узле гипервизора каждые 30 минут. Данный сценарий создает 2 новых экземпляра виртуальных машин из эталонного экземпляра, используя один из снимков состояния системы. Исходный код скрипта представлен в Приложении Г.

В результате появились 2 виртуальные машины (на двух узлах кластера), созданы пользователи, которым назначены права доступа к данным машинам.

При первом запуске машина присоединит себя к домену (выполнив упомянутый ранее скрипт powershell), а также объединение машин в группу безопасности.

При помощи действующих для данной группы политик будет установлен клиент кластера виртуализации приложений.

При публикации приложений для группы компьютеров, на них будет установлено соответствующее программное обеспечение.



2.4 Создание шаблона виртуальной машины

2.4.1 Создание виртуальной машины

Для создания объекта виртуальной машины перейдем в браузере на страницу управления гипервизором (по ссылке https://a1.ipa.psati.ru:8006), где в окне авторизации введем данные учетной записи, обладающей необходимыми привилегиями (рис. 2.1).

Рис. 2.1 - Авторизация пользователя Proxmox

После успешной авторизации мы увидим интерфейс управления кластером, состоящий из 12 узлов (рис. 2.2). Для открытия мастера создания виртуальной машины, необходимо нажать кнопку «Создать VM», находящуюся в правом верхнем углу интерфейса.



Рис. 2.2 - Интерфейс управления кластером

На первом шаге мастера (рис. 2.3) следует выбрать узел, на котором будет создаваться ВМ (в нашем случае это узел a1), уникальный идентификатор машины (предлагается по умолчанию), а также имя машины. Впоследствии (при необходимости) можно будет переместить машину на любой доступный узел.

Рис. 2.3 - Выбор узла и имени машины



На втором шаге (рис. 2.4) предлагается выбрать используемую в будущем операционную систему. В нашем случае - это наиболее используемая Microsoft Windows 7.

Рис. 2.4 - Выбор операционной системы

На следующем этапе (рис. 2.5) предлагается выбрать устройство чтения дополнительных носителей. В нашем случае нам потребуется загрузочный образ установочного диска. Наш образ с ОС располагается на подключенном к среде сетевом хранилище nas1. Из списка имеющихся образов выбираем ru_windows_7_enterprise_with_sp1_x64_dvd_u_677671.iso.



Рис. 2.5 - Выбор установочного носителя

На шаге выбора жесткого диска (рис. 2.6) в качестве хранилища выбран nfs2 (как имеющий больше свободного места на диске), объем диска 20 Гб, формат QEMU (необходима поддержка “снимков“). Резервирование отключено.

Рис. 2.6 - Шаг настройки параметров жесткого диска



На шаге выбора параметров процессора задано использования одного процессора и двух его ядер (рис. 2.7).

Рис. 2.7 - Шаг настройки параметров процессора

На шаге задания параметров оперативной памяти (рис. 2.8) определено автоматическое ее выделение в диапазоне от 512 мегабайт, до 1 гигабайта.

Рис. 2.8 - Шаг настройки параметров оперативной памяти

На шаге задания параметров сетевого адаптера (рис. 2.9) задаются: номер подсети (247), модель эмулируемого сетевого адаптера (Realtek RTL8139).

Рис. 2.9 - Шаг задания параметров сетевого адаптера

На последнем шаге отображается сводная информация о создаваемой машина (рис. 2.10). Здесь следует нажать кнопку «Завершить».



Рис. 2.10 - Страница сводных параметров создаваемой машины

После создания, объект машины появляется в списке (рис. 2.11). Машина при этом выключена.

Рис. 2.11 - Созданная виртуальная машина



2.4.2 Установка операционной системы

После включения виртуальной машины происходит загрузка с образа установочного диска. На первом шаге следует выбрать общие параметры (рис. 2.12)

Рис. 2.12 - Выбор раскладки и языка

На следующем шаге следует принять лицензионное соглашение (рис. 2.13).



Рис. 2.13 - Шаг принятия лицензионного соглашения

На следующем шаге (рис. 2.14) требуется выбрать режим установки (в нашем случае - полная установка).

Рис. 2.14 - Выбор режима установки

На шаге выбора раздела для установки (рис. 2.15) нажать кнопку далее (единственный возможный раздел уже выбран).

Рис. 2.15 - Выбор раздела для установки

Процесс установки занимает некоторое время (рис. 2.16). Следует дождаться его завершения.

Рис. 2.16 - Процесс установки

По окончании установки мастер (рис. 2.17) предлагает задать имя пользователя (в нашем случае - User) и имя компьютера (template-win764).

Рис. 2.17 - Задание имени пользователя и имени компьютера

Для создаваемой учетной записи следует задать пароль по умолчанию и подсказку для его восстановления (в случае, если он позабыт).

В параметрах настройки защиты компьютера (рис. 2.18) следует выбрать использование рекомендуемых параметров.



Рис. 2.18 - Настройка параметров защиты компьютера

На шаге настройки даты и времени (рис. 2.19) необходимо выбрать часовой пояс и скорректировать время

Рис. 2.19 - Задание параметров даты и времени

В настройках расположения компьютера (рис. 2.20) следует выбрать «Общественная сеть». По умолчанию следует считать сеть не доверенной. Впоследствие можно сменить расположения для данного сетевого адаптера, а также настроить правила брэндмауэра для каждого из расположений.

Рис. 2.20 - Настройка расположения компьютера

По окончании настройки будет открыт рабочий стол пользователя (рис. 2.21). После этого необходимо провести начальную настройку операционной системы для ее обслуживания и работы.



Рис. 2.21 - Рабочий стол пользователя

2.4.3 Настройка шаблона виртуальной машины

Первым делом проведена активация операционной системы Windows (рис. 2.22).

Рис. 2.22 - Результат активации Windows

Для возможности выполнения скриптов настройки при помощи Powershell необходимо разрешить их выполнение в операционной системе (по умолчанию в целях безопасности это отключено). Для этого запустим командную строку Powershell от имени администратора (рис. 2.23)

Рис. 2.23 - Запуск командной строки Powershell от имени администратора

Зададим режим выполнения скриптов (рис. 2.24) командой Set-ExecutionPolicy Unrestricted.

Рис. 2.24 - Задание политики выполнения скриптов powershell

2.4.4 - Создание снимка состояния виртуальной машины

В ходе подготовки виртуальной машины, можно создавать снимки ее состояния (рис. 2.25), откатываться на предыдущее (если что-то выполнено неверно).

Рис. 2.25 - Список снимков состояния виртуальной машины

Нажав на кнопку «Take Snapshot», получим окно (рис. 2.26), где можно задать имя снимка и его описание.

Рис. 2.26 - Задание параметров снимка



После создания снимка, запись о нем появляется в списке снимков (рис. 2.27).

Рис. 2.27 - Список снимков состояния виртуальной машины после создания снимка

2.4.5 Создание шаблона виртуальной машины

Для создания шаблона из виртуальной машины нужная машина выделена в списке и из контекстного меню выбран пункт Convert to template (рис. 2.28).



Рис. 2.28 - Вызов конвертации виртуальной машины в шаблон

Необходимо подтвердить свои намерения к конвертации (рис. 2.29).

Рис. 2.29 - Подтверждение конвертации виртуальной машины в шаблон

Особенностью шаблона является то, что его невозможно поменять (нельзя запустить).

2.4.6 Клонирование машины

Клонировать виртуальную машину можно при помощи ее контекстного меню (рис. 2.30)



Рис. 2.30 - Вызов окна клонирования виртуальной машины

Клонировать машину можно из настроенной виртуальной машины (рис. 2.31). Здесь следует выбрать узел кластера (в данном случае a1), имя машины (vdi-win764-01), выбрать полный режим клонирования (Full Clone), выбрать пул ресурсов (VDI-WIN7), выбрать хранилище, где будет расположен жесткий диск машины (nfs2) и его формат (QEMU).

Рис. 2.31 - Клонирование виртуальной машины из виртуальной машины

Кроме того, можно кланировать виртуальную машину из созданного ранее образа, путем вызова пункта контекстного меню Clone (рис. 2.32).

Рис. 2.32 - Вызов окна клонирования виртуальной машины из шаблона

Для клонирования требуется указать (рис. 2.33) целевой узел (a1), куда будет помещена машина, уникальный идентификатор (устанавливается автоматически), имя машины, режим клонирования (полный), выбрать пул ресурсов (VDI-WIN7), хранилище (его размещение) и тип.

Рис. 2.33 - Клонирование виртуальной машины из шаблона



2.5 Создания скрипта создания виртуальных машин

Ручное создание и пересоздание виртуальных машин - дело трудоемкое, поэтому было принято решение создать скрипт, который будет выполнять клонирование виртуальных машин из имеющейся эталонной, создавать пользователей и назначать им необходимые права доступа к машине, выполнять ее запуск для первоначальной настройки.

Скрипт выполнен в видет sh файла, выполняющегося по расписанию на узле виртуализации a1(ОС Debian) каждые 30 минут.

При запуске, скрипт проверяет наличие машины на всех узлах кластера (командой qm list), если машина не находится, производится клонирование новой машины из эталонной с необходимого снимка (командой qm clone). После завершения клонирования, производится создание соответствующего пользователя (командой pveum useradd) и назначение ему прав доступа (командой pveum aclmod) на данную машину. После этого она запускается (qm start).

Исходный код скрипта приведен в Приложении Г. Результат работы скрипта, представленного в приложении представлен на рис. 2.34

Рис. 2.34 - Результат работы скрипта клонирования ВМ



2.6 Настройка операционной системы для работы

После запуска операционной системы, автоматически запускается Powershell скрипт, который проверяет наличие компьютера в домене (если компьютер не в домене, то назначает ему новое имя и включает в домен). Исходный код скрипта приведен в Приложении Д.

На контроллере домена производится включение учётных записей компьютеров в группу G_C_VDI-WIN764 (рис. 2.35).

Рис. 2.35 - Включение компьютеров VDI в группу

Далее на компьютер в соответствии с групповыми политиками устанавливается клиент виртуализации приложений (рис. 2.36).



Рис. 2.36 - Объект групповой политики для установки клиента APPV

При отработке групповой политики выполняется команда установки "\\ds.psati.ru\sysvol\ds.psati.ru\Policies\{F926857D-9650-4C01-BE55-EDC348D80A60}\Machine\Files\appv_client_setup.exe" /ACCEPTEULA=1 /NORESTART /log %TEMP%\AppVClient5SP3Setup.log /q

На кластере виртуализации приложений можно публиковать для группы компьютеров (или отдельно взятого) приложения, которые будут устанавливаться на виртуальные машины (рис. 2.37)

Рис. 2.37 - Публикация приложения для группы компьютеров VDI



Заключение

В ходе работы было выполнены следующие задачи:

- изучена работа кластера виртуализации;

- создан эталонный экземпляр виртуальной машины;

- разработан скрипт (bash) клонирования виртуальных машин из эталонного экземпляра (с созданием пользователей и назначением прав доступа);

- разработаны скрипты (powershell) и объекты групповой политики для настройки операционной системы;

- предоставлен (рассмотрен) доступ к машинам как из университета, так и удаленно.

По окончании работы получены следующие результаты:

- повышение эффективности использования инфраструктуры;

- гибкие, управляемые, безопасные рабочие места для использования в учебном процессе;

- рекомендация к внедрению в деятельность отдела ИПО.

Развитие проекта можно продолжать в следующих направлениях:

- настройка доменной авторизации пользователей;

- веб-портал заказа сервиса.



Список используемых источников

1. IaaS и PaaS [Электронный ресурс]: Информационный центр Inoventica/ 2017 - Режим доступа: http://www.inoventica.ru/informacionnyj_centr/tehnologii/iaas_paas, Загл. с экрана.

2. IaaS: ключевые особенности [Электронный ресурс]: Информационный центр Inoventica/ 2017 - Режим доступа: http://www.inoventica.ru/informacionnyj_centr/tehnologii/iaas_paas/IaaS_kljuchevye_osobennosti, Загл. с экрана.

3. Глава 1. Понимание Proxmox VE и расширенная установка [Электронный ресурс]: Packt Publishing/ 2017 - Режим доступа: http://onreader.mdl.ru/MasteringProxmox.2ed/content/Ch01.html#0102, Загл. с экрана.

4. Глава 1. Основы Proxmox VE [Электронный ресурс]: Packt Publishing/ 2017 - Режим доступа: http://onreader.mdl.ru/LearningProxmoxVE/content/Ch01.html, Загл. с экрана.

5. Windows [Электронный ресурс]: Википедия/ 2017 - Режим доступа: https://ru.wikipedia.org/wiki/Windows, свободный, Загл. с экрана.

6. Windows Server 2012 R2 - удобная ОС с новыми возможностями [Электронный ресурс]: SoftMagazin/ 2017 - Режим доступа: https://www.softmagazin.ru/articles/windows_server_2012_r2_udobnaya_os_s_novymi_vozmozhnostyami/, свободный, Загл. с экрана.

7. Что нового в Windows Server 2012 R2? [Электронный ресурс]: Хабрахабр/ 2017 - Режим доступа: https://habrahabr.ru/company/microsoft/blog/186922/, свободный, Загл. с экрана.

8. Описание различных версий операционной системы Microsoft Windows [Электронный ресурс]: Информатизация и образование/ 2017 - Режим доступа: http://hotuser.ru/znakomstvo-s-windows-8/1705--microsoft-windows, свободный, Загл. с экрана.

9. О Debian [Электронный ресурс]: Debian.org/ 2017 - Режим доступа: https://www.debian.org/intro/about, свободный, Загл. с экрана.

10. ru Bash [Электронный ресурс]: wiki.debian.org/ 2017 - Режим доступа: https://wiki.debian.org/ru/Bash, свободный, Загл. с экрана.

11. Основы BASH. Часть 1 [Электронный ресурс]: Хабрахабр/ 2017 - Режим доступа: https://habrahabr.ru/post/47163/, свободный, Загл. с экрана.

12. Выбираем среду разработки на PowerShell и пишем скрипты для Windows [Электронный ресурс]: xakep.ru/ 2017 - Режим доступа: https://xakep.ru/2016/12/06/powershell-scripts-examples/#xakepcut, свободный, Загл. с экрана.

Размещено на Allbest.ru