DaaS
Roles o componentes de Ulteo
Víctor Cuchillac (papá)Contenido
• Detalle del escenario final.
• Consideraciones para el escenario descrito.
• Breve descripción de Ulteo OVD
• Descripción de los roles de ulteo
• Enlaces recomendados
Detalle de escenario final con los servicios
* Estaciones con color azul son opcionales y tienen puntos extras.
- Equipos color verde ampliarían las funciones de la red y están considerados para efectos de diseño
SM – Ulteo Ubuntu Server AS, FS – Ulteo Ubuntu Server TS, AS – Ulteo Win 2008 SR1
Portal Web – Ulteo Ubuntu Server
Correo, VoIP (SIP, IAX), IM Elastix – Centos SAN
openfiler NAS – ownCloud Win 2008 R2
SW – LAN
WAN
Router interno
Servidor Web / GW - Ulteo
DNS público
*Clientes
Ligeros *ClientesDiskless
*Clientes Móviles
Router externo Cluster
HA
Descripción de los equipos virtuales
para el escenario final
Equipo virtual Almacenamiento SAN Almacenamiento NAS en nube privada Comunicaciones unificadas en la nube privada Infraestructura de escritorios en nube privada Sistema operativo rPath Windows 2008 R1 Centos 5.9 Ubuntu server
10.04 Appliance Openfiler 2.99 ownCloud 7.3/8.X Elastix 2.5 Ulteo 4.X
Servicios principales activos iSCSI: OpeniSCSI RAID: RAID 1+0 Boundig: 1 act-pas Web: IIS 7.X Webdav: owncloud AS: ulteo TS: Terminal Server
VoIP: SIP, IAX Correo: IMAP, SMTP IM: XMPP
SM: ulteo Web Portal: ulteo AS: Ofimática, etc. FS: CIFS, OpenAFS RAM mínima para
equipos virtuales 768 – 1024 1024 – 1536 768 – 1024 1024 – 1536
En el siguiente cuadro se ilustran los equipos virtuales que se deberán instalar en el hipervisor ESX 5.X o en su defecto como máquinas virtuales en aplicaciones de virtualización de escritorio (Workstation, Player, VirtualBox, Fussion, etc.)
Esquema sugerido para laboratorio
Algunas consideraciones para este
escenario
• El equipo de almacenamiento de la SAN no debería ser un servidor de rack, ni mucho menos un servicio virtualizado; debe ser una solución de HW robusta y con HA, como los provistos por: EMC2, Broadberry, HP, DELL, entre otros.
• Debe existir una red de alta velocidad y Ancho de banda para la SAN con SW administrables.
• Nunca debe compartirse el tráfico de la SAN y LAN. Si la inversión no permite la tener dos redes, entonces considere VLAN
Algunas consideraciones para este
escenario
• Es recomendable que los equipos de la SAN y LAN estén duplicados (lo mismo para la WAN)
• Para la LAN se debe implementar QoS de forma que haya prioridad en el tráfico.
• En la SAN deben estar los datos de ownCloud, BD de Elastix, y los directorios “home” de los usuarios de Ulteo
Algunas consideraciones para este
escenario
• Para la HA en el almacenamiento de los usuarios de ownCloud se manejarán dos servidores virtuales manejados por ESX 5.X en modo activo-pasivo. Hay que tomar en cuenta que si cae un equipo las sesiones hechas por los clientes Web se reiniciarán.
• Una variante para la HA en el caso de las comunicaciones unificadas es el uso de un clúster tipo Heartbeat (“activo-activo”) configurado entre dos servidores virtuales en el SO (Linux – Centos)
Algunas consideraciones para este
escenario
• Para la HA en el caso de los escritorios y aplicaciones virtualizadas se puede hacer una combinación de las estrategias comentadas anteriormente.
• Obviamente el servidor o servidores que ejecuten los hipervisores ESX 5.X deberán utilizar una estrategia de bounding en sus tarjetas de red de forma que se obtenga el AB requerido y la HA.
Algunas consideraciones para este
escenario
• Para tener acceso a los servicios de la nube privada, se deberá colocar un servidor Web en la DMZ, además del GW de Ulteo (opción de pago), de forma que los usuarios puedan acceder a todos los servicios del escenario por el uso de Web.
• Obviamente si se desea, pueden configurarse las reglas de firewall para permitir a clientes nativos tanto de escritorio como móviles acceder a los servicios (BitKinex, Outlook, spark, zoiper, cliente de ulteo)
Algunas consideraciones para este
escenario
• Para tener acceso a los servicios de la nube privada, se deberá colocar un servidor Web en la DMZ, además del GW de Ulteo (opción de pago), de forma que los usuarios puedan acceder a todos los servicios del escenario por el uso de Web.
• Obviamente si se desea, pueden configurarse las reglas de firewall para permitir a clientes nativos tanto de escritorio como móviles acceder a los servicios (BitKinex, Outlook, spark, zoiper, cliente de ulteo)
Algunas consideraciones para este
escenario
• Para proveer Single sign-on (SSO) a los usuarios en todos los servicios la primera opción debe ser OpenLDAP, ya que todos los servicios y equipos pueden comunicarse con dicho servicio. En el caso que se desee utilizar AD tenga presente que Elastix (asterisk) no tiene conexión a AD, por lo que deberá crear un servidor OpenLDAP y vincular el OpenLDAP al AD como un miembro del dominio del AD, openfire si tiene conexión a AD
Algunas consideraciones para este
escenario
• En el caso de Ulteo si los usuarios provienen del AD, la
función escritorio de Linux (xfce4 por ejemplo) no se correrá, por lo que se utilizará el escritorio de Windows lo cual generará que las aplicaciones Linux no las pueda compartir, a menos que instale y configure las aplicaciones Linux (no todas) con cywin en el servidor MS-TS.
• De forma análoga podría instalar WINE (crossover,
playonlinux, etc.) y ejecutar las aplicaciones Windows (no todas) en el servidor AS de Linux, considere las licencias de las aplicaciones Windows si hace esto.
• Por último considere utilizar Zentyal para proveer un
servicio de directorio (AD) si no desea utilizar MS por efectos de liceciamiento.
Breve descripción de Ulteo
• Ulteo Open Virtual Desktop (OVD) es una tecnología que permite la entrega de:
–Escritorios remotos (de Windows y Linux)
–Aplicaciones de escritorio (de Windows y Linux)
–Aplicaciones tipo SaaS
• A diferentes plataformas ya sea utilizando un cliente nativo que se instala en los terminales de los usuarios o de forma web utilizando ya sea java o HTML5. Los clientes están disponibles para:
–Windows, Linux, Mac OS X, Android e IOS
Breve descripción de Ulteo
• Ulteo es una tecnología basada en software libre, la cual posee dos versiones: La edición desarrollada por la comunidad y la versión Premium. Siendo la diferencia que la versión de Premium ofrece:
– Ejecutar aplicaciones que están remotamente instaladas en terceros servidores (en otros servidores AS).
– Crear accesos directos en los escritorios de los usuarios para las aplicaciones remotas.
– Las aplicaciones remotas aparece como si estuvieran instaladas en los equipos terminales (Windows y Linux)
– Soporte para crear VPN y enlaces seguros con SSL
– Soporte para smartcards (PC/SC)
• Fuera de esto todas las demás funciones están disponibles y muy convenientes para empresas tipo PIME
Breve descripción de Ulteo
• Ulteo al ser software libre reduce el costo de licenciamiento.
• Permite integrar aplicaciones que estén instaladas en Windows y Linux.
• Por medio de clientes web con soporte para HTML 5 o java se pueden ejecutar los escritorios y aplicaciones.
• Existe soporte para multimedia, impresores de los equipos terminales.
Breve descripción de Ulteo
• Ulteo posee cinco roles siendo el último de pago.
–SM: Session Manager (Administrador de sesiones)
–AS: Application Server (Servidor de aplicaciones)
–WP: Web Portal (Portal Web)
–Web Applications (Aplicaciones Web)
–FS: File Server (Servidor de archivos)
–Gateway (Servidor tipo pasarela)
• Obviamente para un mejor rendimiento de los servidores es muy conveniente instalar los FS, AS en varios equipos según sea la demanda de recursos.
1. SM – Session Manager
• El componente o rol Session Manager se encarga del
panel de administración que se utiliza para configurar el software de Ulteo, es un rol obligatorio y solo se instala en Linux.
• Archivos de configuración:
/etc/ulteo/sessionmanager
• Archivos para la interfaz web para el gestor de
sesiones, la interfaz de administración, así como los componentes del cliente Web utiliza para la gestión de la autenticación y sesión.
/usr/share/ulteo/sessionmanager
• Ruta del archivo de registros
/var/log/ulteo/sessionmanager
1. SM – Session Manager
Los servicios que se requieren en TCP son:
• Apache2 - puertos 80 y 443
• MySQL - puerto 3306 (recomendable que sólo sea accedido en localhost)
• LMSocialServer - puerto TCP 1111 (Este puerto se usa para las actualizaciones de estado de servidor de aplicaciones y se puede limitar a través de filtros de puerto local a los servidores de aplicaciones “AS” solamente)
2. FS – File Server
• Este perfil es obligatorio y solo se puede instalar en Linux.
• Permite almacenar y acceder a los perfiles y los archivos de los usuarios de forma centralizada.
• Los servicios que requiere son:
–Servidor CIFS Samba puertos 137, 138, 139, 445
3. AS – Application Server
• El servidor de aplicaciones se instala en un servidor Linux o Windows y se utiliza para proporcionar la interfaz del sistema de archivos y el mapeo de recursos locales para el usuario autenticado remoto.
• Las aplicaciones que estén instaladas en el servidor Linux o Windows podrán ser ejecutadas en los escritorios virtuales.
• Las aplicaciones se instalan en el servidor tal como se instalan normalmente, setup.exe, setup.msi, apt-get, yum, etc.
3. AS – Application Server
Cuando un sistema Linux tiene los roles AS y FS (File server) y los servicios en TCP son los siguientes:
• Apache2 - El servidor web apache usando el puerto TCP 1113*
• Python - Un socket de cliente pitón personalizado está abierto en el puerto TCP 1112*
• NetBIOS - El servicio NetBIOS inicializado desde el servicio Samba utilizando el puerto TCP 139 **
• Xrdp - El servicio Xrdp escucha en TCP 3350***
* Este puerto sólo necesita ser accesible desde y hacia el gestor de sesiones
** Este puerto es necesario para el servicio de archivos para los usuarios remotos autenticados.
*** Esto sólo está obligado a la interfaz loopback o la dirección de localhost y no necesita ser de acceso público para los usuarios remotos autenticados
3. AS – Application Server
Continuación…• Xvnc - El servicio Xvnc escuchando en el puerto TCP 5910** (versiones antiguas)
• RDP - El RDP “Remote Desktop Protocol” está enlazado al puerto TCP 3389 (versiones antiguas) **
• Samba - El servicio SMB está enlazado al puerto TCP 445 ****
• Cups - El servicio cupsd escuchando en el puerto TCP 631 ***
** Este puerto es necesario para el servicio de archivos para los usuarios remotos autenticados
*** Esto sólo está obligado a la interfaz loopback o la dirección de localhost y no necesita ser de acceso público para los usuarios remotos autenticados
**** Este puerto sólo debe ser accesible desde los servidores de aplicaciones configuradas
3. AS – Application Server
• Archivos de configuración: /etc/ulteo/ovd/ • Archivo de registro /var/log/ulteo/ovd/slaveserver.log • Archivos de referencia /usr/share/ulteo/ovd/slaveserver/3. AS – Application Server
Cuando el rol está en un Servidor Windows se requiere MS-TS y los servicios en TCP son los siguientes:
• epmap: el puerto TCP 135*
• microsoft-ds - puerto TCP 445*
• Python - puerto TCP 1112 *
• RDP - puerto TCP 3389
* Sólo debe tiene que ser accesible desde los servidores AS
** Tiene que ser accesible desde cualquier usuario autenticado
3. AS – Application Server
Cuando el rol está en un Servidor Windows los servicios en UDP son los siguientes:
• microsoft-ds - UDP 445 *
• isakmp - UDP 500 *
• ipsec-MSFT - UDP 4500 *
• netbios-ns - UDP 137 *
• netbios-dgm - UDP 138 *
* Sólo debe tiene que ser accesible desde los servidores AS
4. Portal Web
El componente o rol que permite a los navegadores Web poder acceder a las aplicaciones y escritorios.
Este componente se basa en los applets de Java, y desde la versión 4 se pueden utilizar navegadores con soporte HTML5
• ipsec-MSFT - UDP 4500 *
• netbios-ns - UDP 137 *
• netbios-dgm - UDP 138 *
Si no se piensa utilizar clientes Web no es necesario instalar el componente
* Sólo debe tiene que ser accesible desde los servidores AS
4. Portal Web
• Los archivos de configuración del cliente web se encuentran en el directorio:
/etc/ulteo/webclient
• La aplicación WebClient incluyendo los applets de Java, ajaxplorer etc se puede encontrar en este lugar.
5. Gateway
• Es un rol opcional, el único de pago y sólo se puede instalar en servidores Linux
• La función de este rol o componente es crear la infraestructura de red segura que permita a clientes fuera de la empresa acceder a las aplicaciones. Es decir permite crear una VPN para que los clientes remotos puedan ingresar de forma segura.
• Provee opciones de seguridad con SSL y doble factor.
• Permite la integración con SharePoint y Al-Fresco
• Permite el soporte para smartcards.
6. Aplicaciones Web
• Más que un rol es una función que permite Ulteo, en la cual se puede crear un enlace hacia una aplicación Web por medio de la parametrización del acceso y credenciales.
• Permite utilizar Single Sign On, si se utiliza las mismas credenciales del ulteo y la aplicación Web (por ejemplo owncloud o elastix).
Enlaces recomendados para lectura
1. VMware's Product Licensing Models Explained
– http://www.youtube.com/watch?v=GfwOotExsfc 2. PC vs VDI
– http://www.youtube.com/watch?v=NalrYSOdk5s 3. Introduction to Desktop Virtualization
– http://www.youtube.com/watch?v=gP9S-PaXZtM&index=3&list=RDNalrYSOdk5s
– http://www.youtube.com/watch?v=gP9S-PaXZtM&index=3&list=RDNalrYSOdk5s 4. What is Virtual Desktop Infrastructure (VDI)? ok
– http://www.youtube.com/watch?v=2XK1ZseX2Co&index=2&list=RDNa lrYSOdk5s
– http://www.youtube.com/watch?v=2XK1ZseX2Co 5. What is Virtual Desktop Infrastructure (VDI)
– http://www.youtube.com/watch?v=z9QCMjwBh18
Enlaces recomendados para lectura
6. The Difference Between VDI and Terminal Server
–http://www.youtube.com/watch?v=fQDAMCzkhHc
7. Virtual Desktop Infrastructure Overview
–http://www.youtube.com/watch?v=EAGJb5BlVaU
8. Integration of Ulteo OVD applications (LibreOffice) inside the owncloud web application
–http://www.youtube.com/watch?v=AnfyQNmugW4
9. WebDAV in LibreOffice
–http://www.youtube.com/watch?v=r4n8dVURPjM
10.Use LibreOffice with your ownCloud server
Enlaces
• http://www.josepros.com/2008/04/licencias-de-terminal-server-por.html
