В Inscale мы хотим от чистого сердца помочь вузам: дать студентам бесплатно пользоваться нашей платформой виртуализации — и получить от них живую обратную связь, которая помогает делать продукт лучше. С этим и пришли в один из ведущих телеком-вузов страны — СПбГУТ им. проф. М. А. Бонч-Бруевича. В следующем году мы планируем прочитать студентам открытую лекцию о том, как устроена российская платформа виртуализации на ядре KVM, — а пока вместе с кафедрой готовим этот курс. Первая рабочая встреча с преподавателями, которые сами ведут лабораторные работы, быстро превратилась в живой диалог: они задавали предметные вопросы — а мы честно отвечали, в том числе там, где какие-то возможности ещё в разработке.
Со стороны вуза в разговоре участвовали заведующий кафедрой защищённых систем связи Андрей Владимирович Красов (к.т.н., доцент, Заслуженный работник высшей школы РФ), профессор кафедры сетей связи и передачи данных Александр Юрьевич Иванов (д.т.н., профессор) и доцент Игорь Евгеньевич Кабаев (к.пед.н.). На фото — Андрей Владимирович Красов.
Этот материал — расшифровка той встречи в формате «вопрос преподавателя — ответ инженера Inscale». А заодно — наше предложение вузам, о котором мы рассказали в финале.
Что мы готовы дать вузам и студентам
Начнём с главного, ради чего и затевалась встреча. Изучать виртуализацию по слайдам — почти бесполезно: её нужно трогать руками, ломать и чинить. Поэтому Inscale готова бесплатно дать учебным заведениям всё необходимое для практики:
- наше ПО для студентов — дистрибутив платформы, который можно развернуть на учебном стенде и работать в нём как полноценный администратор: с доступом к гипервизору, кластеру и системе управления;
- часть вычислительных мощностей — чтобы кафедре не приходилось искать под лабораторию целый серверный парк, мы готовы помочь ресурсами, в том числе облачными, на которых студенты смогут тестировать и работать;
- документацию и учебные материалы — не только техническую, но и обзорную, по которой мы обучаем собственных сотрудников, плюс архитектурные и сетевые схемы продукта.
Для нас это не про деньги. Мы просто хотим помочь вузам бесплатно пользоваться нашим продуктом — а взамен получить честную обратную связь от тех, кто будет работать с ним каждый день. Студенты замечают то, что не видно изнутри компании, и именно это помогает нам улучшать платформу.
«А что у вас используется как основной гипервизор?»
Это был один из первых вопросов преподавателей — и правильный, потому что с него начинается доверие к платформе. Ответ простой: в основе лежит KVM/QEMU — то самое ядро виртуализации, которое мировое сообщество полирует десятилетиями.
«Это патченный QEMU, то есть KVM, в котором мы оторвали все модули, кроме основного ядра. Переписать само ядро, мы посчитали, стоит порядка полутора миллиардов», — пояснил представитель Inscale. Ядро оставили и дополнительно пропатчили под широкий парк железа, а всё, что выше — слой управления — переписали с нуля проприетарно, чтобы полностью владеть кодовой базой. Подробнее эту логику «одно ядро — разный Control Plane» мы разбирали в статье про ограничения бесплатного Proxmox в enterprise.
«Насколько оно всё прожорливое?»
У вуза вопрос ресурсов — ключевой: больших вычислительных мощностей под лабораторию обычно нет. Преподаватели прямо спросили про минимальные требования и «прожорливость» платформы.
«Мы, наверное, самая непрожорливая виртуализация из всех, что представлены на отечественном пространстве», — ответили в Inscale. В номинале центральный сервер управления потребляет порядка полутора vCPU и около 2 ГБ памяти — и то с запасом, потому что как enterprise-решение он рассчитан держать кластеры на 30+ узлов. Для учебного стенда мы предложили дать community-версию, в которой ресурсы управляющей машины можно сознательно урезать — чтобы стенд помещался даже на скромном железе кафедры.
«А отказоустойчивость есть для обычных ВМ, не только для управления?»
Преподаватели хотели показать студентам аналоги High Availability — и уточнили, распространяется ли отказоустойчивость на пользовательские виртуальные машины, а не только на сам центр управления.
За живучесть отвечает отдельная служба — High Availability Cluster Controller, которую мы в шутку назвали «серым кардиналом»: «это сервис, который живёт на уровне гипервизора… в случае аварии, пока недоступен основной орган управления, он берёт на себя запуск виртуалок, их работу и подключение к ним, чтобы система продолжала функционировать». Он срабатывает даже при сценарии Split-Brain, когда хосты теряют связь друг с другом, но подключены к общей хранилке. А восстановление самого слоя управления держится на архитектуре Event Storing — это позволяет узлам синхронизироваться и пересобирать кворум автоматически, без ручной сборки развалившихся баз.
«А аналог vMotion — живая миграция ВМ — есть?»
Один из преподавателей честно сказал, что «критически конспектирует» именно эту часть. И здесь мы ответили так же честно, без маркетингового глянца.
Механизм живой миграции в платформе есть, но «на текущий момент она отключена, потому что мы сейчас осуществляем поддержку vGPU. У Nvidia есть большие проблемы с тем, как они работают с миграцией в рамках vGPU, поэтому мы временно её отключили». Это нормальная инженерная история: мы предпочли не отдавать функцию, которая на части конфигураций ведёт себя нестабильно, и вернуть её после стабилизации работы с vGPU. Студентам полезно видеть и такие компромиссы — это и есть реальная разработка.
«Я не слышал, чтобы cgroups внедряли в виртуализацию»
Когда речь зашла о тонком управлении ресурсами, один из преподавателей заинтересовался настолько, что попросил рассказать об этом студентам отдельно — потому что приём редкий.
Помимо стандартной переподписки (overcommit) CPU и памяти, в Inscale делают управление ресурсами на уровне cgroups: «фичу, которая на уровне cgroups виртуальных машин обеспечивает управление вплоть до выделения не только потоков, но и того, сколько гигагерц, условно, в рамках одного потока можно выделять». Это позволяет ограничивать ресурсные пулы плотнее, чем умеет классическая переподписка — и это как раз тот «интересный приём, которого нет у других», о котором просили рассказать преподаватели.
«У нас 7 групп, в каждой по 10 подов, в каждом по 3 ВМ — это автоматизируемо?»
Очень практичный вопрос ведущего лабораторных работ: вручную разворачивать сотни студенческих виртуалок — «прямо большая беда». Нужна массовая автоматическая раскатка стендов из шаблонов, как PowerCLI в знакомой вузу среде.
Здесь мы предложили дать в руки студентам и преподавателям шаблоны и снапшоты: развернуть учебные поды из заготовок и быстро откатывать их в исходное состояние. «Мне очень хочется отдать в руки ваших студентов решения и посмотреть, как они умудрятся сломать так, что снапшот не откатится», — пошутил наш инженер. Именно для учебной среды важно, чтобы стенд можно было ломать без последствий — и за секунды возвращать в рабочее состояние.
«Какие сертификаты и соответствие регуляторам вы можете показать?»
Преподаватели отдельно спросили про безопасность и документы — чтобы показывать студентам, какие требования регуляторов закрывает решение.
Безопасность в платформе заложена в архитектуру. Управляющий Gateway работает как межсетевой экран нового поколения и завязан на дерево ролей и привилегий: «даже если мы каким-то образом получим доступ к API напрямую и попытаемся сделать запрос, система просто не ответит — для этого пользователя на уровне портов закрыт сетевой доступ». Это закрывает классическую проблему некоторых зарубежных систем, где роль «только управление электропитанием ВМ» можно раскрутить до самоназначения супер-админа.
По документам: Inscale в реестре отечественного ПО Минцифры и проходит аккредитацию во ФСТЭК — сертифицированную версию рассчитываем дать к концу года. Отдельной большой темой преподаватели назвали соответствие требованиям приказа ФСТЭК № 117 к платформе виртуализации — ей мы готовы посвятить отдельную лекцию.
«А учебные материалы у вас есть — не утонуть бы в технической документации?»
Преподаватели попросили не голую техдокументацию, в которой «закопаешься надолго», а что-то обзорное — и возможность пощупать продукт. Скажем честно: подробная документация у нас ещё в процессе написания. Поэтому пока лучший способ познакомиться с платформой — не читать, а попробовать её в онлайн-тесте: запросить демо-доступ и поработать в живом интерфейсе.
Лучший учебник для нашей платформы — она сама: «наилучшей документацией будет дать вам демо-доступ в наш демо-кластер, потому что мы очень интерфейсно-ориентированы — это виртуализация для зумеров в этом плане». Верхнеуровневая логика и пояснения встроены прямо в продукт, рядом с действиями, поэтому многое понятно уже из онлайн-теста. Обзорные материалы, по которым мы обучаем собственных сотрудников, и архитектурные схемы готовы передать дополнительно, а саму документацию будем дополнять по мере готовности. А разницу настроек — например, как протокол VDI экономит трафик — на демо-стенде видно почти вживую: в одном нашем кейсе в Норильске мы ужали канал на сотрудника до 50 кбит/с там, где раньше 15 человек делили всего 1 Мбит.
Итог: бесплатно помогаем вузам — и учимся у студентов
Мы пришли в Бонч-Бруевича не «продавать», а от чистого сердца помочь: дать вузу и студентам бесплатно пользоваться нашей платформой и попробовать себя в роли администратора, которому можно «заглянуть в любую щёлочку». А взамен получить главное для нас — честную обратную связь от тех, кто будет ломать систему пытливее любого тестировщика. Именно она помогает делать продукт лучше.
Если вы из вуза или колледжа и хотите дать студентам практику на российской платформе виртуализации — напишите нам: подберём формат стенда, выделим ресурсы и поможем с учебными материалами. А разобраться, из чего вообще состоит зрелая платформа, поможет наш разбор российской системы виртуализации.
Участники беседы
Над этим материалом работали и в нём участвовали:
