Главная Virtualization, Windows, Без рубрики, Новое Виртуализация сервера приложений 1С с аппаратным ключом
  • Виртуализация сервера приложений 1С с аппаратным ключом

    13f561e539d0

    Продукты компании 1С прочно вошли в жизнь большинства современных российских компаний, и используются практически во всех областях коммерческой деятельности. Многие компании используют типовые продукты компании 1С, для автоматизации бухгалтерского учета, кадрового учета, товарного учета и других областей.

    Многие знают, что для работы сервера приложений 1С необходим аппаратный HASP-ключ, выпускаемый в формате LPT-переходника или USB-донгла. В отношении виртуализации у компании 1С мнение весьма специфичное – раньше представители компании заявляли о невозможности работы сервера в виртуальной среде, а теперь предлагают приобрести программный ключ защиты вместе с новым комплектом ПО за 40000р.

    Данный подход не кажется сильно лояльным, однако при более детальном рассмотрении проблемы, удалось найти более экономичное и удобное решение.

    В рамках статьи, в качестве платформы виртуализации, мы будем рассматривать гипервизор Microsoft Hyper-V Server 2008 R2. Выбор, в основном, обусловлен функциональными возможностями, которые представляет гипервизор в своем «бесплатном» исполнении. В частности – поддержка кластеризации с «живой миграцией» виртуальных машин между узлами.

    К сожалению, в Hyper-V не реализовано полноценного механизма подключения USB-устройств к виртуальным машинам. Это создает некоторый дискомфорт, в случае необходимости подключения к виртуальному серверу дополнительных внешних устройств, в том числе аппаратных ключей. В процессе виртуализации(P2V) физического сервера, вообще отрезаются все упоминания о шине USB и устройствах, подключенных к ней.

    У основных конкурентов – VMWare и Citrix, существуют рабочие механизмы для перенаправления устройств на шине PCI с bare-metal гипервизоров на виртуальные машины. С помощью этого же механизма, можно перенаправлять на виртуальную машину и USB-устройства.

    Сам факт проброса USB-устройств непосредственно из гипервизора сводит к нолю преимущества, получаемые от использования кластера Hyper-V с его функционалом «живой миграции». При перемещении виртуальной машины с одного гипервизора на другой, необходимо будет каждый раз перетыкать ключ и заново настраивать переадресацию. Становится понятно, что нам необходимо более гибкое решение.

    В данном случае, нам на помощь придет отличная программа USB-Redirector, осуществляющая проброс любого USB-устройства по локальной сети с одного сервера на другой. Стоимость самой скромной Windows-редакции данной утилиты – 65 евро, а для осуществления задуманного больше и не надо. Существует большое количество, как аппаратных, так и программных реализаций данной технологии от самых разнообразных разработчиков. Однако в рамках статьи мы рассмотрим именно программу от Incentives Pro, как наиболее экономичное решение рассматриваемой задачи.

    Программа работает как клиент-серверное решение, где сервер предоставляет доступ к одному или нескольким USB-девайсам, а клиент подключает их как собственные локальные устройства. В качестве клиентского приложения можно использовать бесплатный USB Redirector Lite или полнофункциональный USB Redirector. В качестве USB-сервера можно использовать любой компьютер, под управлением ОС Windows или Linux. Стоит отметить, что версии для Linux полностью бесплатны и обеспечивают полную кроссплатформенную совместимость с платными Windows-решениями.

    После установки серверной части, мы должны выбрать в консоли программы те устройства, к которым необходимо предоставить доступ по сети. Для проброса устройства по сети, серверу USB Redirector не требуется даже драйвера для устройства, он понадобится только на сервере 1С с клиентским приложением.

    usb-server_PNG

    При использовании технологии Live Migration в кластере Hyper-V, виртуальная машина перемещается между узлами кластера, не прерывая сетевых соединений. Так как промежуток времени, когда виртуальная машина не доступна по сети, пренебрежимо мал, пользователи не испытывают дискомфорта в работе с сервером приложений 1С.

    usb-client_PNG

    devman-usb_PNG

    Для корректной работы вышеописанной схемы, необходимо разрешить на обоих серверах доступ по порту 32032 для USB Redirector Service. Сама программа не создает правила для встроенного брандмауэра, так что их придется настраивать вручную.

    На видео представлена процедура настройки клиентского и серверного приложений.

    После удачного дистанционного подключения нашего HASP-ключа, в диспетчере устройств появятся виртуальные USB-девайсы, драйвера на которые уже должны стоять на сервере. В случае использования LPT-ключа, можно воспользоваться переходником LPT-to-USB, китайские реализации которого можно с легкостью найти в розницу.

    Андрей Ивашенцев

Комментарии

  1. Хорошая статья, спасибо! Как раз искал подобное решение и не знал на чем остановить свой выбор.

  2. Кстати, Андрей новый автор. С почином!

  3. Благодарю за лестные отзывы… скоро буду читать небольшой доклад на эту тему на открытом семинаре сисадминов, в следующую субботу. Там заодно можно будет мне вживую и вопросы задать.

  4. Ну так оставил бы контакты на семинар.

  5. Оставляю контакты на семинар – http://w2a.ru/blog/education/921.html

  6. Немного баян. О пробросе USB через сеть для Hyper-V Бешков и Шаповал говорят постоянно.

  7. А про Hyper-V здесь какая часть? Описанное решение одинаково хорошо работает на любой платформе виртуализации.

  8. Далее. У VMware проброс USB реализован в VMware Workstation / Server, которые не конкурируютс Hyper-V, и каких-либо нюансов в настройке проброса я там не заметил.

    В ESX же проброса USB нет, хотя по слухам он должен появиться буквально через пару месяцев, с выходм vSphere 4.1. Не знаю как у Citrix, но на сегодняшний момент (точнее с момента выхода vSphere 4.0 в мае 2009) в VMware ESX(i) реализован проброс PCI устройств по технологии VMDirectPath I/O. В том числе можно отдавать по этой технологии и USB порты.

    Как это выглядит: http://vadmin.ru/img/Passthrough.png

  9. 2mikas: Андрей Бешков пропиарил мою первую краткую статью про проброс USB по сети, опубликованную на корпоративном сайте Поликом Про, и он же сагитировал меня на развитие темы в данную статью и доклад на Techdays.

    2Anton Zhbankov: Механизм отлично работает на любой платформе. Однако наиболее дешевая реализация Live Migration доступна именно на Hyper-V.

  10. 2Anton Zhbankov: “В ESX же проброса USB нет” и “VMware ESX (i) реализован проброс PCI устройств по технологии VMDirectPath I/O. В том числе можно отдавать по этой технологии и USB порты”.
    Значит все-таки есть?

    Я рассматривал исключительно bare-metal гипервизоры, в софтварных реализациях функционал проброса устройств также есть у Citrix. Увы, не имел достаточного опыта работы с vSphere дабы досконально изучить функционал, нахватался по верхам. =)

  11. >Однако наиболее дешевая реализация Live Migration доступна именно на Hyper-V.

    Holy war!!! 🙂

    Это вопрос к чему был – в названии есть Hyper-V, а в содержании его нет.

    >Значит все-таки есть?

    Все-таки нет. Потому что нет непосредственного проброса порта USB, как в случае с COM/LPT, а VMDirectPath I/O работает не всем железе, прямо скажем.

    >Увы, не имел достаточного опыта работы с vSphere дабы досконально изучить функционал

    Андрей, но ведь только что Вы сказали, что у Hyper-V самая дешевая реализация Live Migration. Вы это точно так же “по верхам” решили?

  12. 2Anton Zhbankov: у Hyper-V нет непосредственного проброса USB-устройств, поэтому для него данная задача наиболее актуальна. Хотя технология также актуальна для других платформ виртуализации(и упоминаю об этом в статье), функциональность была проверена мной только на Hyper-V.

    По поводу Live Migration. В последнем сравнительном коммерческом предложении, лицензии на VMWare для поддержки живой миграции виртуальных машин, на 4 сервера стоили около $25000. У Microsoft – бесплатно. XEN тоже умеет мигрировать виртуальные машины бесплатно, однако об этом я умолчал. 😉

    Не холивара ради, а для упрощения для. Ну люблю я Hyper-V…

  13. >на 4 сервера стоили около $25000. У Microsoft — бесплатно

    А давайте добавим туда стоимость брэндового железа, свитчей и стораджа. А так же экономический эффект Transparent Page Sharing – http://itband.ru/2009/12/hyper-v-vsphere/

    Результирующие суммы будут такими же впечатляющими?

  14. Антон, не надоело каждый раз VMWare продвигать?

  15. 2Anton Zhbankov: Все зависит от потребностей заказчика в железе. В рамках вашей статьи разница не заметна, однако на практике для небольших компаний(те, для кого блейд – в принципе дорого) – ситуация немного другая.

    Например связка по железу из 4x IBM x3550 2xQuad 16Gb + IBM Storage DS3300 с винтами – обойдется около $30000. Относительно этой суммы, те самые $25000 окажутся существенным аргументом не в пользу VMWare.

  16. Андрей, ну давайте посмотрим по объемам. У Вас цифра в 4 хоста взялась откуда? И почему такие слабенькие хосты с 8 ядрами и всего по 16 ГБ памяти?

    Давайте добьем памятью до более реальных цифр скажем в 64ГБ (сколько там за хост получится?) и посмотрим при этом на vSphere Advanced Acceleration Kit на 3 хоста за 12 700$. И при этом минус стоимость одного хоста. Согласно реальных цифр на 64ГБ хостах вполне реально получить экономию памяти как раз на хост – http://blog.vadmin.ru/2010/02/transparent-page-sharing.html

    Ну и помимо прочего, у нас еще уходит еще одна лицензия Windows Datacenter с этого “лишнего” хоста. Что составляет примерно 7000$. И что в итоге? В итоге полная неразбериха – кто кого дешевле-то?

    Да, если у нас 2 железки наколенной сборки и 3-5 ВМ, то Hyper-V бесспорно выигрывает и по степени совместимости с железом “от дядюшки Ляо”, и по цене Live Migration. Как только заходит речь о проекте крупнее, то все надо считать, и никаких там “Live Migration дешевле на 25000$, потому что вообще бесплатно” не получится.

    Денис, мне надоело продвижение Hyper-V вот в таком голословном стиле, идущее от Microsoft и подхваченное массами.

  17. >Антон, не надоело каждый раз VMWare продвигать?

    Типа “переходи на сторону Зла, у нас есть печеньки”??

  18. 2Anton Zhbankov: Средняя инфраструктура большинства российских компаний ограничена 20 средненагруженными серверами под различные нужды. Именно для таких компаний и целесообразнее использовать Hyper-V. То, что таких компаний большинство, вы надеюсь спорить не будете?

    Я не отрицаю, что существует объективный порог, после которого разумнее использовать блейды и VMWare. Однако и вы и я используем разные входные параметры для подсчета эффективности. Можно, конечно, считать любые вендорные сервера стандартной архитектуры “железками наколенной сборки”, однако компаний которым нужны именно такие “железки” существенно больше, чем компаний, нуждающихся в блейдах. По крайней мере, по моему скромному опыту.

  19. Без всякого подтекста хочу пожелать автору внимательности (я не знаю, что такое LTP).

    С подтекстом – о чем статья-то? О USB-редиректорах? Тогда непонятно, для чего абзац о конкурентах, чей “проброс устройств” ставит крест на живой миграции. С USB-редиректором можно хоть в Virtual PC 2004 года устройства “пробрасывать”, или даже аппаратному серверу в другой город 🙂

    И да, справедливо замечено, что назвать статью следовало по-другому. Например, “Как я виртуализировал сервер приложений 1С”.

  20. 2Николай: Благодарю за критику… Исправил название, во избежание холиваров. Также исправил опечатку.

    Что да “проброса устройств” – имеется в виду, что аппаратный проброс устройств из гипервизора на гостевую систему жестко привязывает оную систему к хосту. Статья выросла из доклада на Techdays, так что оттуда и склонность к Hyper-V. В следующий раз буду гибче. =)

  21. >>>назвать статью следовало по-другому.Например, «Как я виртуализировал сервер приложений 1С».

    А “Виртуализация сервера приложений 1С с аппаратным ключом” чем то отличается?

  22. Андрей, я работаю не в интеграторе, а в конечном пользователе, поэтому о средней температуре по больнице предоставлю право говорить Вам, конечно.

    Но как бы то ни было, еще год назад Microsoft усиленно доказывала, что Live Migration нужна единицам процентов. Т.е. необходимость Live Migration для маленьких компаний вообще иллюзорна. Вернемся к порогам и целесообразности. Вы это декларируете, но я цифр не вижу. Пока цифр не вижу – не верю.

    Теперь о блейдах – приведите, пожалуйста, расчет, показывающий экономическое преимущество стандартных стоечных серверов перед, скажем, HP Blade c3000.

  23. Илья, буквально десять минут назад статья называлась “Виртуализация сервера приложений 1С с аппаратным ключом *на Hyper-V*” 🙂

  24. > А «Виртуализация сервера приложений 1С с аппаратным ключом» чем то отличается?

    Теперь нет 🙂

  25. Да, я чет не обратил внимание))))

    З.Ы Все теперь придется деньги Майкрософту возвращать (((((

  26. Антон, возможно пока Microsoft не реализовала свою бесплатную Live Migration, она доказывала всем ее ненужность. Теперь, после реализации – она совершенно бесплатна, и является нормальным конкурентным преимуществом.

    >Теперь о блейдах — приведите, пожалуйста, расчет, показывающий экономическое преимущество стандартных стоечных серверов перед, скажем, HP Blade c3000.

    Остальные вводные пожалуйста. Бюджет на виртуализацию, количество виртуализируемых серверов, их аппаратная конфигурация и средняя ежедневная загрузка?

    Экономическое преимущество нужно считать тогда, когда есть деньги которые нужно освоить. В случае, когда существует прикладная задача – нужно считать экономическую целесообразность. Для компаний с 10-15 виртуальными машинами, нет смысла брать блейд на 1-2 лезвия, если компания не планирует экспоненциального роста.

    До кучи – в SP1 для Hyper-V 2008 R2 будет динамическое распределение памяти, и тоже бесплатное. В общем я почитал комментарии к Вашему методу подсчета стоимости виртуальных инфраструктур Microsoft и VMWare(той, где Вы утверждаете что для небольших инфраструктур VMWare необоснованно дорог), и среди них есть весьма адекватные мысли насчет применимости данной методики только для сильно абстрактного проекта.

  27. >Остальные вводные пожалуйста. Бюджет на виртуализацию, количество виртуализируемых серверов, их аппаратная конфигурация и средняя ежедневная загрузка?

    При чем тут виртуализация? Вы же про блейды говорите, а не про гипервизоры. Есть корзина HP BladeSystem c3000, которую HP предлагает как раз как решение all-in-one для SMB. Вы заявляете, что блейды нужны только большим компаниям с экспоненциальным ростом. Кто-то из вас неправ, вот хотелось бы услышать Ваши аргументы с цифрами опять же. Для простоты возьмем те же самые стоечные серверы 1U/2U от HP.
    У Вас же есть опыт как инженера интегратора, есть цифры и готовые решения.

  28. 2Anton Zhbankov: Т.е. вы поняли мои слова как “стоечные сервера круче блейдов”? Я совершенно не это имел в виду. К сожалению, через меня не проходили системы на базе HP BladeSystem c3000, и готовых цен на руках у меня нет. Однако посмотрим, что можно сделать.

  29. Добиться от закупщиков актуальных цен я пока не смог, так что пока без конкретных цифр. Цены на лицензии VMWare “не кусаются” в случае, если стоимость железа существенно больше стоимости лицензий. Соответственно, чем больше проект, тем дешевле относительно общей суммы будет vSphere.

    В случае использования HP BladeSystem c3000 – она действительно будет дешевле типовых стоечных серверов типа DL360 G6, но при покупке более чем 4 серверов аналогичной конфигурации. В случае, если нужно 2-3 сервера, стоечные получаются все-таки дешевле. По крайней мере, на основе тех конфигураций, что мне удалось найти.

  30. 🙂 комменты ф топку, лучше дайте пруфлинк на “В отношении виртуализации у компании 1С мнение весьма специфичное – раньше представители компании заявляли о невозможности работы сервера в виртуальной среде, а теперь предлагают приобрести программный ключ защиты вместе с новым комплектом ПО за 40000р.”

    Это не ради флейма, а в качестве полезной инфы. Не хочу связыватся в third party software, который может в любой момент перестать работать и оголить тылы 🙂

  31. 2DenisO: К сожалению, линка предоставить не могу. Эта информация получена при общении с франшизовыми представителями 1С клиента, чей сервер я виртуализовал. При необходимости, могу уточнить название компании у клиента.

  32. Почитал, почитал…
    Но в таких программах как USB Redirector, нет защиты от дурака…
    А именно, давайте представим, есть сервер с ключами, он расшаривает эти ключи, есть клиент, их примапливающий к себе, всё красиво, всё хорошо. Но есть одно но!, если будет второй клиент, который тоже будет тянуть на себя одеяло, а именно тоже будет мапить себе этот ключ. Да, это надо предусмотреть, при больших сетях и большом парке серверов, и продвинутых юзверей – это обыденность.
    Отвлёкся, так что же будет, он будет ловить этот ключ, пока тот не освободится, а точнее ВМ стала перетикать, будь то LiveMigration, будь то да что угодно. Ключ освобождается на секунду другую, а вот другой клиент его то и заберёт.
    пробовали эту ситуацию? Нам посчастливилось увидеть такое, и долго потом искали, кто такой умный, что перехватил ключик. Конечно же дали по голове за такое, но в бизнесе такие моменты чреваты потерями в килобаксах.
    В конечном же итоге, мне не попадались программы, в которых такую ситуацию можно было исключить, а именно по паролю закрыть доступ к этому редиректу, или же на сервере обозначить только тем маком или ещё как, доступ определённым серверам…
    Как же быть? Где такое найти?

  33. 2Андрей Ивашенцев: и на том спасибо, будем трясти 1С и их представителей.

  34. 2RuStn:Ситуация любопытная. Расскажите пожалуйста подробнее, вы использовали Quick или Live Migration? На какой системе, сколько переносилась машина?

    По-хорошему, проблема решается банальной настройкой фаервола, с ограничением доступа к порту 32032 с определенного IP-адреса. Но это только в первом приближении. Также, можно рассмотреть возможность использования IPSec.

  35. [b]Андрей Ивашенцев[/b]
    В Hyper-V перенос осуществляли Quick и Live, программа была USB-to-Ethernet, клиент дёргал ключ чуть ли не по несколько раз в секунду. В этот момент он (ключ) перехватывался. Решения по поводу фаервола не смотрели, в связи с тем, что у нас его не пользуем, конечно стоит это момент рассмотреть подробнее.

  36. 2RuStn: Ну не использовать фаервол – весьма опрометчивое решение, тем более у вас в компании такие кадры работают. Достаточно будет правильно настроить стандартный фаервол в Windows Server 2008, и никто не сможет подключиться по нужному порту, кроме серверов с установленными USB-клиентами.

  37. Как вариант, в такой ситцации использовать VLANы.

  38. Как вариант для подключения USB-устройств можно использовать решения USB overIP от Digi. Вот такое (http://www.digi.com/products/model.jsp?lid=EN&pgid=49&pfid=27&mtid=441&amtid=441&pm=Y) внедрили сами и проблем нет. Плохо только, что расшаривать его между серверами уже не выйдет. Все попытки это сделать различным ПО не давали результата или вообще сваливали тестовый виртуальный сервер в BSOD.

  39. Приходилось озадачиваться проблемой переброса COM порта в виртуальную среду (Hyper-V) для работы модема с одним из банков. В результате приобрели софтинку
    http://www.network-serial-port.com/.
    Там же есть софт и для проброса USB
    http://www.fabulatech.com/usb-over-network.html. Ну и всякое прочее (http://www.fabulatech.com).
    Так же в споре о блейдах и не блейдах для SMB хочу вспомнить про модульные сервера INTEL (которые используются для сборки, например, российскими вендорами), цена которых, мне кажется ниже HP.

  40. Собственно, вышеупомянутая платформа должна не плохо подходить под виртуализацию в SMB. Сейчас обдумываю приобретение подобной системы для компании в которой я работаю.

  41. > сервера INTEL (которые используются для сборки, например, российскими вендорами

    Извините, слишком дофига рисков придется закладывать (имею печальный опыт). Дешевле сразу HP покупать.

  42. 2KONOV, 2Николай: Я в своей практике больше работал с железом от IBM, и о нем у меня самые приятные впечатления. А COM-порт, также как и LPT, можно пробрасывать через переходник Serial2USB, китайских реализаций которых – масса.

    Если планируется виртуализировать инфраструктуру, на правах рекламы могу предложить посильную помощь компании, в которой работаю. У нас есть вполне неплохие типовые предложения по виртуализации на Hyper-V за разумные деньги. 😉

  43. Сервер для этой цели использовать неправильно, проверенно на собственном опыте. Есть куча специализированных железяк, USB-Ethernet стоят от $50.

  44. В случае Hyper-V понятно есть 1 железный контроллер домена и можно расшаривать с него, но это единая точка отказа. В случае того-же VMware очень часто в ИТ инфраструктуре все сервера являются виртуальными хостами и ключ расшаривать просто неоткуда. Бывает еще есть терминальная ферма, но терминальный сервер сегодня в строю, а завтра выключили.
    К тому же железки специализированные понадежней сервера будут, ибо ломаться там в общем нечему.

  45. 2Sergey: Почему вы считаете что аппаратный USB-2-Ethernet не является точкой отказа? Это такая же связка железки и спец. ПО, которая также может подвиснуть в самый неудобный момент.

    У нас всегда остаются физические сервера в инфраструктуре, помимо первичного контроллера домена еще должен быть сервер управления кластером и сервер резервного копирования. Время перенастройки решения USB Redirector с нуля(в случае отказа), в Win-версии – от 3 до 5 минут. Linux-версию пока не пробовал.

  46. > В случае Hyper-V понятно есть 1 железный контроллер домена
    Почему вы так считаете – разве это обязательно?

    2 Андрей Ивашенцев: полностью поддерживаю! Железка поломалась – запасной нет. А ПО можно установить на любой другой компьютер и настроить за несколько минут.

  47. Спасибо, очень интересно.
    Я дам ссылку на вашу статью на своем блоге.

  48. Андрей Колесов, благодарю. =)

  49. >> Стоит отметить, что версии для Linux полностью бесплатны

    Хм. На сайте написано для линукс версии.

    Trial version limitations: 15-days trial, only one USB device can be connected by client.

    http://www.fabulatech.com/usb-over-network-download.html

  50. MaZaY, в статье описывается утилита от компании Incentives Pro.
    Компания Fabulatech тут совсем не при чем. Не нужно вводить людей в заблуждение.

  51. А я людей в заблуждение и не ввожу. В статье не указа ссылка на ПО. Прошелся поисковиком по “USB Redirector”, собственно и вышел Fabulatech. Собственно спасибо за статью и за правильное название вендора 🙂

  52. Проброс USB-ключей работает в ESXi 4.1. Настроил и проверил лично.

  53. 2KONOV : Мне кажется, вместо софтины для проброса COM лучше взять аппаратное решение, например от Moxa. А то и риск слишком велик – лишний комп, да и деньги за софт просят сопоставимые с аппаратным решением.