Для улучшения работы сайта мы используем файлы cookies. Оставаясь на сайте, вы соглашаетесь с политикой обработки персональных данных.

Архитектура

Типы развертывания
  • «Standalone» — тип развертывания, который не требует высокой доступности и отказоустойчивости системы. Такой режим подходит для тестовой инсталляции. Требуется установить один брокер.

  • «High Availability» — тип развертывания, который требует высокую доступность брокеров для обеспечения непрерывной работы системы. Если один из брокеров выйдет из строя, другие смогут взять на себя его функции и обеспечить бесперебойное обслуживание запросов пользователей. Такой режим подходит для продуктивной инсталляции. Требуется установить несколько брокеров.

Типы пользователей
  • Внутренние пользователи — пользователи, которые подключаются к Termit из внутренней (корпоративной) сети или через корпоративное VPN-решение.

  • Внешние пользователи — пользователи, которые подключаются к Termit из внешней (вне корпоративного сегмента) сети и не используют корпоративное VPN-решение.

В этом разделе представлены:

Архитектура «Standalone» развёртывания с внутренними пользователями

Ниже представлена схема архитектуры «Standalone» развёртывания с внутренними пользователями.

schm  1 2.5

Описание работы Termit

* В качестве источника виртуализации, который используется для создания и управления виртуальными рабочими местами (ВРМ) и терминальными серверами (ТС), поддерживается только платформа для управления средством виртуализации zVirt. ВРМ и ТС также могут работать без управления средством виртуализации.

Аутентификация
  1. Пользователь запускает десктоп-клиент и вводит адрес брокера.

  2. Пользователь вводит учетные данные.

  3. Брокер проверяет введенные учетные данные на сервере LDAP.

  4. Брокер возвращает десктоп-клиенту токен для аутентификации.

Получение списка приложений
  1. Десктоп-клиент запрашивает у брокера список приложений, доступных пользователю. Брокер проверяет права пользователя (сравнивая его группы с теми, которые назначены на приложения) и отдает список доступных приложений.

Старт сессии
  1. Пользователь запускает нужное приложение или рабочий стол. Десктоп-клиент отправляет брокеру запрос на старт новой сессии на терминальном сервере (ТС)/виртуальном рабочем месте (ВРМ)/автоматизированном рабочем месте (АРМ).

  2. Брокер выбирает ТС/ВРМ/АРМ, которые могут обслужить запрос, и создает сессию в базе данных (БД).

  3. Брокер возвращает десктоп-клиенту файл с данными для подключения, включающий в себя адрес ТС/ВРМ/АРМ, порт подключения, команду для запуска и другие параметры.

  4. Десктоп-клиент инициализирует подключение к ТС/ВРМ/АРМ, используя данные, полученные от брокера. В процессе инициализации десктоп-клиент запрашивает у пользователя имя учетной записи и пароль и отправляет их ТС/ВРМ/АРМ. ТС/ВРМ/АРМ проводят аутентификацию пользователя.

  5. Десктоп-клиент настраивает перенаправление звука, файловой системы, печати и запускает приложение/рабочий стол в сессии.

  6. На стороне ТС/ВРМ/АРМ агент уведомляет брокер о том, что создана сессия X2Go/RDP/Loudplay.

  7. Сессия готова к работе.

Архитектура «Standalone» развёртывания с внешними пользователями

Ниже представлена схема архитектуры «Standalone» развёртывания с внешними пользователями.

schm  2 2.5

Описание работы Termit

* В качестве источника виртуализации, который используется для создания и управления виртуальными рабочими местами (ВРМ) и терминальными серверами (ТС), поддерживается только платформа для управления средством виртуализации zVirt. ВРМ и ТС также могут работать без управления средством виртуализации.

Аутентификация
  1. Пользователь запускает десктоп-клиент и вводит адрес внешнего балансировщика нагрузки. Внешний балансировщик нагрузки перенаправляет все запросы на брокер.

  2. Пользователь вводит учетные данные.

  3. Брокер проверяет введенные учетные данные на сервере LDAP.

  4. Брокер возвращает десктоп-клиенту токен для аутентификации.

Получение списка приложений
  1. Десктоп-клиент запрашивает у брокера список приложений, доступных пользователю. Брокер проверяет права пользователя (сравнивая его группы с теми, которые назначены на приложения) и отдает список доступных приложений.

Старт сессии
  1. Пользователь запускает нужное приложение или рабочий стол. Десктоп-клиент отправляет брокеру запрос на старт новой сессии на терминальном серевере (ТС)/виртуальном рабочем месте (ВРМ)/автоматизированном рабочем месте (АРМ).

  2. Брокер выбирает ТС/ВРМ/АРМ, которые могут обслужить запрос. Брокер сохраняет данные о клиенте и ТС/ВРМ/АРМ (маршрут подключения) в базу данных (БД), а также создаёт сессию в БД. Затем брокер выбирает шлюз, который может обслужить запрос.

  3. Брокер возвращает десктоп-клиенту внешний адрес шлюза для подлючения и файл с данными для подключения.

  4. Десктоп-клиент отправляет на внешний адрес шлюза запрос на подключение.

  5. Шлюз отправляет на брокер запрос маршрута подключения.

  6. Брокер запрашивает данные о маршруте подключения из БД, и затем передаёт их шлюзу.

  7. Шлюз устанавливает TLS-подключение к выбранному ТС/ВРМ/АРМ и проксирует трафик между десктоп-клиентом и ТС/ВРМ/АРМ.

  8. Десктоп-клиент настраивает перенаправление звука, файловой системы, печати и запускает приложение/рабочий стол в сессии.

  9. На стороне ТС/ВРМ/АРМ агент уведомляет брокер о том, что создана сессия X2Go/RDP/Loudplay.

  10. Сессия готова к работе.

Архитектура «High Availability» развёртывания с внутренними пользователями

Ниже представлена схема архитектуры в режиме «High Availability» развертывания с внутренними пользователями.

schm  3 2.5

Описание работы Termit

* В качестве источника виртуализации, который используется для создания и управления виртуальными рабочими местами (ВРМ) и терминальными серверами (ТС), поддерживается только платформа для управления средством виртуализации zVirt. ВРМ и ТС также могут работать без управления средством виртуализации.

Аутентификация
  1. Пользователь запускает десктоп-клиент и вводит адрес внутреннего балансировщика нагрузки. Внутренний балансировщик нагрузки перенаправляет все запросы на один из доступных брокеров.

    О работе внешнего пользователя можно прочесть в разделе.

  2. Пользователь вводит учётные данные.

  3. Брокер проверяет введенные учетные данные на сервере LDAP.

  4. Брокер возвращает десктоп-клиенту токен для аутентификации.

Получение списка приложений
  1. Десктоп-клиент запрашивает у брокера список приложений, доступных пользователю. Брокер проверяет права пользователя (сравнивая его группы с теми, которые назначены на приложения) и отдает список доступных приложений.

Старт сессии
  1. Пользователь запускает нужное приложение или рабочий стол. Десктоп-клиент отправляет брокеру запрос на старт новой сессии на терминальном серевере (ТС)/виртуальном рабочем месте (ВРМ)/автоматизированном рабочем месте (АРМ).

  2. Брокер выбирает ТС/ВРМ/АРМ, которые могут обслужить запрос, и создает сессию в базе данных (БД).

  3. Брокер возвращает десктоп-клиенту файл с данными для подключения, включающий в себя адрес ТС/ВРМ/АРМ, порт подключения, команду для запуска и другие параметры.

  4. Десктоп-клиент инициализирует подключение к ТС/ВРМ/АРМ, используя данные, полученные от брокера. В процессе инициализации десктоп-клиент запрашивает у пользователя имя учетной записи и пароль и отправляет их ТС/ВРМ/АРМ. ТС/ВРМ/АРМ проводят аутентификацию пользователя.

  5. Десктоп-клиент настраивает перенаправление звука, файловой системы, печати и запускает приложение/рабочий стол в сессии.

  6. На стороне ТС/ВРМ/АРМ агент уведомляет брокер о том, что создана сессия X2Go/RDP/Loudplay.

  7. Сессия готова к работе.

Архитектура «High Availability» развёртывания с внешними пользователями

Ниже представлена схема архитектуры «High Availability» развёртывания с внешними пользователями.

schm  4 2.5

Описание работы Termit

* В качестве источника виртуализации, который используется для создания и управления виртуальными рабочими местами (ВРМ) и терминальными серверами (ТС), поддерживается только платформа для управления средством виртуализации zVirt. ВРМ и ТС также могут работать без управления средством виртуализации.

Аутентификация
  1. Пользователь запускает десктоп-клиент и вводит адрес внешнего балансировщика нагрузки. Внешний балансировщик нагрузки перенаправляет все запросы на брокер.

    О работе внутреннего пользователя можно прочесть в разделе.

  2. Пользователь вводит учетные данные.

  3. Брокер проверяет введенные учетные данные на сервере LDAP.

  4. Брокер возвращает десктоп-клиенту токен для аутентификации.

Получение списка приложений
  1. Десктоп-клиент запрашивает у брокера список приложений, доступных пользователю. Брокер проверяет права пользователя (сравнивая его группы с теми, которые назначены на приложения) и отдает список доступных приложений.

Старт сессии
  1. Пользователь запускает нужное приложение или рабочий стол. Десктоп-клиент отправляет брокеру запрос на старт новой сессии на терминальном серевере (ТС)/виртуальном рабочем месте (ВРМ)/автоматизированном рабочем месте (АРМ).

  2. Брокер выбирает ТС/ВРМ/АРМ, которые могут обслужить запрос. Брокер сохраняет данные о клиенте и ТС/ВРМ/АРМ (маршрут подключения) в базу данных (БД), а также создаёт сессию в БД. Затем брокер выбирает шлюз, который может обслужить запрос.

  3. Брокер возвращает десктоп-клиенту внешний адрес шлюза для подлючения и файл с данными для подключения.

  4. Десктоп-клиент отправляет на внешний адрес шлюза запрос на подключение.

  5. Шлюз отправляет на брокер запрос маршрута подключения.

  6. Брокер запрашивает данные о маршруте подключения из БД, и затем передаёт их шлюзу.

  7. Шлюз устанавливает TLS-подключение к выбранному ТС/ВРМ/АРМ и проксирует трафик между десктоп-клиентом и ТС/ВРМ/АРМ.

  8. Десктоп-клиент настраивает перенаправление звука, файловой системы, печати и запускает приложение/рабочий стол в сессии.

  9. На стороне ТС/ВРМ/АРМ агент уведомляет брокер о том, что создана сессия X2Go/RDP/Loudplay.

  10. Сессия готова к работе.

Геораспределенная установка

Геораспределенная установка — процесс развёртывания сервиса или приложения на серверах в разных регионах. Реализация геораспределённой установки осуществляется с помощью технологии Global Server Load Balancing (GSLB), которая обеспечивает распределение пользовательского трафика между серверами на основе различных критериев: близости к пользователю, загрузки серверов и доступности.

Таблица 1. Задействованные компоненты
Компонент Описание

Балансировщик нагрузки

Балансировщик, поддерживающий глобальную балансировку посредством технологии GSLB или её аналога. Управляет распределением трафика между площадками дата-центра (далее- ЦОД) или инсталляциями Termit

Брокер

Компонент Termit, отвечающий за внутреннюю логику, аутентификацию и назначение ресурсов пользователю

Терминальный сервер

Компонент Termit, выступающий в качестве конечной точки подключения пользователя

Описание взаимодействия компонентов Termit в рамках геораспределённой установки

Ниже представлено описание взаимодействия компонентов Termit в рамках геораспределенной установки:

  • При попытке аутентификации пользователя или запроса ресурсов запрашивается URL-адрес балансировщика нагрузки, например gslb.termit.com.

  • Балансировщик нагрузки получает DNS-запрос и обрабатывает его в соответствии с настроенными GSLB-правилами (политиками), который могут учитывать:

    • метод балансировки;

    • геолокацию пользователя (конкретная локация или ближайшая к пользователю);

    • текущую загрузку серверов;

    • доступность сервисов.

  • В результате обработки правил (политик) пользователю возвращается IP-адрес сервера для подключения и последующей аутентификации.

  • Запрос (трафик) перенаправляется на выбранный узел.

Возможные конфигурации

Текущая реализация Termit позволяет реализовать следующие сценарии инсталляции и балансировки посредством GSLB:

  • Инсталляция в рамках одной установки Termit с двумя ЦОД в режиме Active/Passive:

    • Пользователю доступны все ресурсы и опубликованные приложения в двух экземплярах (без агрегации ресурсов), выбор конечной точки подключения (ТС/ВРМ/АРМ) осуществляется пользователем путем запуска ресурсов.

  • Инсталляция в рамках одной установки Termit с двумя ЦОД в режиме Active/Active:

    • Пользователю доступны все ресурсы и опубликованные приложения в единственном экземпляре, выбор конечной точки подключения (ТС/ВРМ/АРМ) осуществляется брокером Termit.

  • Установка в рамках двух установок Termit с двумя ЦОД в режиме Active/Passive:

    • Пользователю доступны ресурсы и опубликованные приложения в одном из активных на данный момент ЦОД. При запросе аутентификации система балансировки GSLB выбирает одну из площадок ЦОД и направляет в нее запрос пользователя. Выбор конечной точки подключения (ТС/ВРМ/АРМ) осуществляется брокером Termit.

Требования к развертыванию

  • Сетевая связанность между узлами брокера Termit. Подробнее в разделе.

  • К узлам Termit должны быть подключены одинаковые LDAP-каталоги одного типа с одинаковой схемой и настройкой. Подробнее в разделе.

Каждый из используемых балансировщиков нагрузки требует предварительной конфигурации в виде:

  • IP-адресов для коммуникации между узлами балансировщика;

  • IP-адресов для коммуникации с DNS-серверами;

  • настроенной службы «DNS Listener» или «ADNS сервис».

Ограничения и особенности

  • FQDN-адрес точки входа пользователей должен совпадать с FQDN-адресом балансировщика, указанным при установке Termit.

  • Работа балансировщика для подключения клиентов (пользователей) возможна как в режиме SSL Passthrough, так и в режиме SSL Bridging. Подробнее о настройке.

  • Работа балансировщика для подключения агентов Termit (по порту 8443) возможна только в режиме SSL Passthrough.

Общая схема работы Termit с геораспределенным балансировщиком

Ниже представлена схема работы Termit с геораспределенным балансировщиком.

schm  gslb 2.4
  1. Пользователь запускает десктоп-клиент и выполняет подключение.

  2. Десктоп-клиент запрашивает DNS-адрес брокера Termit для аутентификации. В качестве входной точки используется GSLB-адрес, например gslb.termit.com.

  3. GSLB-сервис на основе заданных правил (политик) выбирает оптимальный ЦОД для обработки запроса пользователя. Пользователю возвращается соответствующий IP-адрес площадки ЦОД.

  4. После успешной аутентификации на выбранной площадке пользователь получает список доступных ресурсов.

  5. При запуске приложения/рабочего стола подключение будет выполнено к выбранной конечной точке (ТС/ВРМ/АРМ) соответствующей площадки ЦОД.

Описанная конфигурация идентична для внутренних и внешних подключений, за исключением используемого TCP-порта.

В случае настройки внешних подключений необходимо использовать TCP-порт 10443 вместо TCP-порта 443.