Архитектура
- Типы развертывания
-
-
«Standalone» — тип развертывания, который не требует высокой доступности и отказоустойчивости системы. Такой режим подходит для тестовой инсталляции. Требуется установить один брокер.
-
«High Availability» — тип развертывания, который требует высокую доступность брокеров для обеспечения непрерывной работы системы. Если один из брокеров выйдет из строя, другие смогут взять на себя его функции и обеспечить бесперебойное обслуживание запросов пользователей. Такой режим подходит для продуктивной инсталляции. Требуется установить несколько брокеров.
-
- Типы пользователей
-
-
Внутренние пользователи — пользователи, которые подключаются к Termit из внутренней (корпоративной) сети или через корпоративное VPN-решение.
-
Внешние пользователи — пользователи, которые подключаются к Termit из внешней (вне корпоративного сегмента) сети и не используют корпоративное VPN-решение.
-
В этом разделе представлены:
Архитектура «Standalone» развёртывания с внутренними пользователями
Описание работы Termit
* В качестве источника виртуализации, который используется для создания и управления виртуальными рабочими местами (ВРМ) и терминальными серверами (ТС), поддерживается только платформа для управления средством виртуализации zVirt. ВРМ и ТС также могут работать без управления средством виртуализации.
- Аутентификация
-
-
Пользователь запускает десктоп-клиент и вводит адрес брокера.
-
Пользователь вводит учетные данные.
-
Брокер проверяет введенные учетные данные на сервере LDAP.
-
Брокер возвращает десктоп-клиенту токен для аутентификации.
-
- Получение списка приложений
-
-
Десктоп-клиент запрашивает у брокера список приложений, доступных пользователю. Брокер проверяет права пользователя (сравнивая его группы с теми, которые назначены на приложения) и отдает список доступных приложений.
-
- Старт сессии
-
-
Пользователь запускает нужное приложение или рабочий стол. Десктоп-клиент отправляет брокеру запрос на старт новой сессии на терминальном сервере (ТС)/виртуальном рабочем месте (ВРМ)/автоматизированном рабочем месте (АРМ).
-
Брокер выбирает ТС/ВРМ/АРМ, которые могут обслужить запрос, и создает сессию в базе данных (БД).
-
Брокер возвращает десктоп-клиенту файл с данными для подключения, включающий в себя адрес ТС/ВРМ/АРМ, порт подключения, команду для запуска и другие параметры.
-
Десктоп-клиент инициализирует подключение к ТС/ВРМ/АРМ, используя данные, полученные от брокера. В процессе инициализации десктоп-клиент запрашивает у пользователя имя учетной записи и пароль и отправляет их ТС/ВРМ/АРМ. ТС/ВРМ/АРМ проводят аутентификацию пользователя.
-
Десктоп-клиент настраивает перенаправление звука, файловой системы, печати и запускает приложение/рабочий стол в сессии.
-
На стороне ТС/ВРМ/АРМ агент уведомляет брокер о том, что создана сессия X2Go/RDP/Loudplay.
-
Сессия готова к работе.
-
Архитектура «Standalone» развёртывания с внешними пользователями
Ниже представлена схема архитектуры «Standalone» развёртывания с внешними пользователями.
Описание работы Termit
* В качестве источника виртуализации, который используется для создания и управления виртуальными рабочими местами (ВРМ) и терминальными серверами (ТС), поддерживается только платформа для управления средством виртуализации zVirt. ВРМ и ТС также могут работать без управления средством виртуализации.
- Аутентификация
-
-
Пользователь запускает десктоп-клиент и вводит адрес внешнего балансировщика нагрузки. Внешний балансировщик нагрузки перенаправляет все запросы на брокер.
-
Пользователь вводит учетные данные.
-
Брокер проверяет введенные учетные данные на сервере LDAP.
-
Брокер возвращает десктоп-клиенту токен для аутентификации.
-
- Получение списка приложений
-
-
Десктоп-клиент запрашивает у брокера список приложений, доступных пользователю. Брокер проверяет права пользователя (сравнивая его группы с теми, которые назначены на приложения) и отдает список доступных приложений.
-
- Старт сессии
-
-
Пользователь запускает нужное приложение или рабочий стол. Десктоп-клиент отправляет брокеру запрос на старт новой сессии на терминальном серевере (ТС)/виртуальном рабочем месте (ВРМ)/автоматизированном рабочем месте (АРМ).
-
Брокер выбирает ТС/ВРМ/АРМ, которые могут обслужить запрос. Брокер сохраняет данные о клиенте и ТС/ВРМ/АРМ (маршрут подключения) в базу данных (БД), а также создаёт сессию в БД. Затем брокер выбирает шлюз, который может обслужить запрос.
-
Брокер возвращает десктоп-клиенту внешний адрес шлюза для подлючения и файл с данными для подключения.
-
Десктоп-клиент отправляет на внешний адрес шлюза запрос на подключение.
-
Шлюз отправляет на брокер запрос маршрута подключения.
-
Брокер запрашивает данные о маршруте подключения из БД, и затем передаёт их шлюзу.
-
Шлюз устанавливает TLS-подключение к выбранному ТС/ВРМ/АРМ и проксирует трафик между десктоп-клиентом и ТС/ВРМ/АРМ.
-
Десктоп-клиент настраивает перенаправление звука, файловой системы, печати и запускает приложение/рабочий стол в сессии.
-
На стороне ТС/ВРМ/АРМ агент уведомляет брокер о том, что создана сессия X2Go/RDP/Loudplay.
-
Сессия готова к работе.
-
Архитектура «High Availability» развёртывания с внутренними пользователями
Ниже представлена схема архитектуры в режиме «High Availability» развертывания с внутренними пользователями.
Описание работы Termit
* В качестве источника виртуализации, который используется для создания и управления виртуальными рабочими местами (ВРМ) и терминальными серверами (ТС), поддерживается только платформа для управления средством виртуализации zVirt. ВРМ и ТС также могут работать без управления средством виртуализации.
- Аутентификация
-
-
Пользователь запускает десктоп-клиент и вводит адрес внутреннего балансировщика нагрузки. Внутренний балансировщик нагрузки перенаправляет все запросы на один из доступных брокеров.
О работе внешнего пользователя можно прочесть в разделе.
-
Пользователь вводит учётные данные.
-
Брокер проверяет введенные учетные данные на сервере LDAP.
-
Брокер возвращает десктоп-клиенту токен для аутентификации.
-
- Получение списка приложений
-
-
Десктоп-клиент запрашивает у брокера список приложений, доступных пользователю. Брокер проверяет права пользователя (сравнивая его группы с теми, которые назначены на приложения) и отдает список доступных приложений.
-
- Старт сессии
-
-
Пользователь запускает нужное приложение или рабочий стол. Десктоп-клиент отправляет брокеру запрос на старт новой сессии на терминальном серевере (ТС)/виртуальном рабочем месте (ВРМ)/автоматизированном рабочем месте (АРМ).
-
Брокер выбирает ТС/ВРМ/АРМ, которые могут обслужить запрос, и создает сессию в базе данных (БД).
-
Брокер возвращает десктоп-клиенту файл с данными для подключения, включающий в себя адрес ТС/ВРМ/АРМ, порт подключения, команду для запуска и другие параметры.
-
Десктоп-клиент инициализирует подключение к ТС/ВРМ/АРМ, используя данные, полученные от брокера. В процессе инициализации десктоп-клиент запрашивает у пользователя имя учетной записи и пароль и отправляет их ТС/ВРМ/АРМ. ТС/ВРМ/АРМ проводят аутентификацию пользователя.
-
Десктоп-клиент настраивает перенаправление звука, файловой системы, печати и запускает приложение/рабочий стол в сессии.
-
На стороне ТС/ВРМ/АРМ агент уведомляет брокер о том, что создана сессия X2Go/RDP/Loudplay.
-
Сессия готова к работе.
-
Архитектура «High Availability» развёртывания с внешними пользователями
Ниже представлена схема архитектуры «High Availability» развёртывания с внешними пользователями.
Описание работы Termit
* В качестве источника виртуализации, который используется для создания и управления виртуальными рабочими местами (ВРМ) и терминальными серверами (ТС), поддерживается только платформа для управления средством виртуализации zVirt. ВРМ и ТС также могут работать без управления средством виртуализации.
- Аутентификация
-
-
Пользователь запускает десктоп-клиент и вводит адрес внешнего балансировщика нагрузки. Внешний балансировщик нагрузки перенаправляет все запросы на брокер.
О работе внутреннего пользователя можно прочесть в разделе.
-
Пользователь вводит учетные данные.
-
Брокер проверяет введенные учетные данные на сервере LDAP.
-
Брокер возвращает десктоп-клиенту токен для аутентификации.
-
- Получение списка приложений
-
-
Десктоп-клиент запрашивает у брокера список приложений, доступных пользователю. Брокер проверяет права пользователя (сравнивая его группы с теми, которые назначены на приложения) и отдает список доступных приложений.
-
- Старт сессии
-
-
Пользователь запускает нужное приложение или рабочий стол. Десктоп-клиент отправляет брокеру запрос на старт новой сессии на терминальном серевере (ТС)/виртуальном рабочем месте (ВРМ)/автоматизированном рабочем месте (АРМ).
-
Брокер выбирает ТС/ВРМ/АРМ, которые могут обслужить запрос. Брокер сохраняет данные о клиенте и ТС/ВРМ/АРМ (маршрут подключения) в базу данных (БД), а также создаёт сессию в БД. Затем брокер выбирает шлюз, который может обслужить запрос.
-
Брокер возвращает десктоп-клиенту внешний адрес шлюза для подлючения и файл с данными для подключения.
-
Десктоп-клиент отправляет на внешний адрес шлюза запрос на подключение.
-
Шлюз отправляет на брокер запрос маршрута подключения.
-
Брокер запрашивает данные о маршруте подключения из БД, и затем передаёт их шлюзу.
-
Шлюз устанавливает TLS-подключение к выбранному ТС/ВРМ/АРМ и проксирует трафик между десктоп-клиентом и ТС/ВРМ/АРМ.
-
Десктоп-клиент настраивает перенаправление звука, файловой системы, печати и запускает приложение/рабочий стол в сессии.
-
На стороне ТС/ВРМ/АРМ агент уведомляет брокер о том, что создана сессия X2Go/RDP/Loudplay.
-
Сессия готова к работе.
-
Геораспределенная установка
Геораспределенная установка — процесс развёртывания сервиса или приложения на серверах в разных регионах. Реализация геораспределённой установки осуществляется с помощью технологии Global Server Load Balancing (GSLB), которая обеспечивает распределение пользовательского трафика между серверами на основе различных критериев: близости к пользователю, загрузки серверов и доступности.
| Компонент | Описание |
|---|---|
Балансировщик нагрузки |
Балансировщик, поддерживающий глобальную балансировку посредством технологии GSLB или её аналога. Управляет распределением трафика между площадками дата-центра (далее- ЦОД) или инсталляциями Termit |
Брокер |
Компонент Termit, отвечающий за внутреннюю логику, аутентификацию и назначение ресурсов пользователю |
Терминальный сервер |
Компонент Termit, выступающий в качестве конечной точки подключения пользователя |
Описание взаимодействия компонентов Termit в рамках геораспределённой установки
Ниже представлено описание взаимодействия компонентов Termit в рамках геораспределенной установки:
-
При попытке аутентификации пользователя или запроса ресурсов запрашивается URL-адрес балансировщика нагрузки, например gslb.termit.com.
-
Балансировщик нагрузки получает DNS-запрос и обрабатывает его в соответствии с настроенными GSLB-правилами (политиками), который могут учитывать:
-
метод балансировки;
-
геолокацию пользователя (конкретная локация или ближайшая к пользователю);
-
текущую загрузку серверов;
-
доступность сервисов.
-
-
В результате обработки правил (политик) пользователю возвращается IP-адрес сервера для подключения и последующей аутентификации.
-
Запрос (трафик) перенаправляется на выбранный узел.
Возможные конфигурации
Текущая реализация Termit позволяет реализовать следующие сценарии инсталляции и балансировки посредством GSLB:
-
Инсталляция в рамках одной установки Termit с двумя ЦОД в режиме Active/Passive:
-
Пользователю доступны все ресурсы и опубликованные приложения в двух экземплярах (без агрегации ресурсов), выбор конечной точки подключения (ТС/ВРМ/АРМ) осуществляется пользователем путем запуска ресурсов.
-
-
Инсталляция в рамках одной установки Termit с двумя ЦОД в режиме Active/Active:
-
Пользователю доступны все ресурсы и опубликованные приложения в единственном экземпляре, выбор конечной точки подключения (ТС/ВРМ/АРМ) осуществляется брокером Termit.
-
-
Установка в рамках двух установок Termit с двумя ЦОД в режиме Active/Passive:
-
Пользователю доступны ресурсы и опубликованные приложения в одном из активных на данный момент ЦОД. При запросе аутентификации система балансировки GSLB выбирает одну из площадок ЦОД и направляет в нее запрос пользователя. Выбор конечной точки подключения (ТС/ВРМ/АРМ) осуществляется брокером Termit.
-
Требования к развертыванию
Каждый из используемых балансировщиков нагрузки требует предварительной конфигурации в виде:
-
IP-адресов для коммуникации между узлами балансировщика;
-
IP-адресов для коммуникации с DNS-серверами;
-
настроенной службы «DNS Listener» или «ADNS сервис».
Ограничения и особенности
-
FQDN-адрес точки входа пользователей должен совпадать с FQDN-адресом балансировщика, указанным при установке Termit.
-
Работа балансировщика для подключения клиентов (пользователей) возможна как в режиме SSL Passthrough, так и в режиме SSL Bridging. Подробнее о настройке.
-
Работа балансировщика для подключения агентов Termit (по порту 8443) возможна только в режиме SSL Passthrough.
Общая схема работы Termit с геораспределенным балансировщиком
Ниже представлена схема работы Termit с геораспределенным балансировщиком.
-
Пользователь запускает десктоп-клиент и выполняет подключение.
-
Десктоп-клиент запрашивает DNS-адрес брокера Termit для аутентификации. В качестве входной точки используется GSLB-адрес, например gslb.termit.com.
-
GSLB-сервис на основе заданных правил (политик) выбирает оптимальный ЦОД для обработки запроса пользователя. Пользователю возвращается соответствующий IP-адрес площадки ЦОД.
-
После успешной аутентификации на выбранной площадке пользователь получает список доступных ресурсов.
-
При запуске приложения/рабочего стола подключение будет выполнено к выбранной конечной точке (ТС/ВРМ/АРМ) соответствующей площадки ЦОД.
|
Описанная конфигурация идентична для внутренних и внешних подключений, за исключением используемого TCP-порта. В случае настройки внешних подключений необходимо использовать TCP-порт 10443 вместо TCP-порта 443. |