رایانش ابری یک فناوری در حال ظهور و رشد است که امروزه بسیارمورد توجه قرار گرفته است. این فناوری اغلب توسط شرکت های بزرگ و همچنین استارتاپ ها مورد استفاده قرار می گیرد زیرا برای هر دو مناسب بوده و انعطاف پذیر است. هر شرکتی نیاز به ذخیره داده های خود دارد، بنابراین برای ذخیره اطلاعات به ابر احتیاج پیدا خواهد کرد. باتوجه به اینکه این روزها بیش از هر چیزی در رویکرد سازمان های کوچک و بزرگ دیده می شود، هیجان نیل به رایانش ابری است که در برخی موارد سازمانهای مذکور این توانایی را در خود می بینند که بتوانند نه تنها مصرف کننده این سرویس ها بلکه حتی به عنوان ارایه دهنده آنها نیز باشند. معماری Workspace ONE UEM نیز در فضای ابری شناخته شده است که در این مقاله به بررسی آن میپردازیم.
VMware Workspace ONE UEM که از AirWatch قدرت می گیرد مسئول ثبت دستگاه، کاتالوگ برنامه کاربردی موبایل، اعمال پالیسی در مورد تطبیق پذیری دستگاه و یکپارچه سازی با سرویس های سازمانی کلیدی مثل ایمیل، محتوا و رسانه های اجتماعی است. Workspace ONE UEM را می توان با استفاده از یک مدل On-Premises یا مبتنی بر Cloud یا SaaS پیاده سازی نمود. هر دو مدل عملکرد یکسانی را ارائه میدهند. برای اجتناب از تکرار، شرح کلی محصول، معماری و اجزای متداول آن در بخش معماری مبتنی بر Cloud توضیح داده شده است.
بخش معماری On-Premises نیز اطلاعاتی را برای کسانی که مدل On-Premises را ترجیح میدهند، اضافه میکند. استراتژی استفاده از این مدل پیاده سازی را میتوان به موارد زیر نام گذاری نمود:
1. Workspace ONE UEM هم به صورت On-Premises و هم مبتنی بر Cloud به طور جداگانه پیاده سازی میشود.
2. پیاده سازی ها برای پنجاه هزار دستگاه اندازه گیری شده بود که امکان رشد بیشتر را در طول زمان، بدون طراحی مجدد فراهم میکند. این استراتژی اجازه میدهد که هر دو معماری به طور جداگانه تائید و ثبت شوند.
با پیاده سازی مبتنی بر Cloud، معمولاً نرم افزار Workspace ONE UEM به عنوان یک سرویس یا به عبارت دیگر، به صورت SaaS ارائه میگردد. برای همسانی Cloud جداگانه استفاده میشود که با استفاده از AirWatch Cloud Connector پیاده سازی میگردد. متصل کننده ی جداگانه میتواند در یک حالت اتصال خروجی، درون شبکه ی داخلی اجرا شود، یعنی متصل کننده هیچ اتصال ورودی را از DMZ دریافت نمی کند.
اجزای اصلی Workspace ONE UEM به شرح زیر میباشد:
1. کنسول مدیریت برای پیکربندی پالیسی ها در چارچوب Workspace ONE UEM ، جهت مانیتور کردن و مدیریت دستگاه ها و محیط میباشد. هاست شدن سرویس در Cloud انجام میشود و به عنوان بخشی از ارائه ی SaaS مدیریت می گردد.
2. خدماتی که با دستگاه های مدیریت شده ارتباط برقرار می کنند. Workspace ONE UEM برای موارد زیر، روی این جزء حساب میکند: ثبت دستگاه، آماده سازی برنامه کاربردی، ارائه ی دستورات دستگاه و دریافت داده های دستگاه، Host کردن کاتالوگ Workspace ONE UEM به صورت Self-Service، هاست شدن سرویس در Cloud انجام میشود و به عنوان بخشی از ارائه ی SaaS مدیریت میگردد.
3. مجموعه ی RESTful API های فراهم شده توسط Workspace ONE UEM که به برنامه های خارجی امکان استفاده از عملکرد اساسی محصول را از طریق یکپارچه سازی APIها با زیرساخت IT موجود و برنامه های کاربردی Third-Party می دهد. APIهای Workspace ONE همچنین توسط خدمات مختلفی از Workspace ONE UEM مورد استفاده قرار می گیرند مثلاً Secure Email Gateway برای تراکنش ها و جمع آوری داده، هاست شدن سرویس در Cloud انجام می شود و به عنوان بخشی از ارائه ی SaaS مدیریت میگردد.
4. جزئی که همسان سازی دایرکتوری و احراز هویت را با استفاده از یک منبع On-Premises مثل Active Directory یا یک Certificate Authority مورد اعتماد انجام میدهد. این سرویس در شبکه ی داخلی، در حالت محدود به خروجی Host میشود و می توان آن را برای به روزرسانی های خودکار پیکربندی کرد.
5. سرویسی که در کنار AirWatch Cloud Connector مورد استفاده قرار میگیرد تا ارتباطات ایمنی را به سیستم های Backend فراهم کند. AirWatch Cloud Connector همچنین از AWCM استفاده میکند تا با کنسول Workspace ONE UEM ارتباط برقرار کند. AWCM همچنین با حذف کردن نیازِ دسترسی کاربران نهایی به اینترنت عمومی یا استفاده از حساب های کاربری مصرف کنندگان مثل Google ID ها، ارائه ی پیام ها و دستورات را از کنسول Workspace ONE UEM تسهیل می نماید.
6. VMware Tunnel یک روش ایمن و کارآمد را برای برنامه های کاربردی مجزا فراهم میکند تا به منابع سازمانی که در شبکه ی داخلی Host میشوند، دسترسی پیدا کنند. VMware Tunnel از یک X.509 Certificate منحصربه فرد استفاده میکند که توسط Workspace ONE به دستگاه های ثبت شده تحویل داده میشود تا ترافیک را از برنامه های کاربردی به Tunnel احراز هویت و رمزگذاری کند.
در ادامه موارد بالا میبایست خاطر نشان شد که راهکار AirWatch Cloud به عنوان جایگزینی برای Google Cloud Messaging یا GCM برای دستگاه های اندروید عمل میکند و تنها گزینه برای فراهم کردن قابلیت های مدیریت دستگاه های موبایل یا MDM برای دستگاه های ستبر ویندوز است. همچنین دستگاه های دسکتاپ ویندوز که از VMware Workspace ONE Intelligent Hub استفاده میکنند، AWCM را برای Notificationهای Real-Time مورد استفاده قرار میدهند. هاست شدن سرویس در Cloud انجام میشود و به عنوان بخشی از ارائه ی SaaS مدیریت میگردد. همچنین VMware Tunnel دارای دو جزء بوده، پراکسی و Per-App VPN جزء پراکسی مسئول ایمن سازی ترافیک از دستگاه های Endpoint به منابع داخلی از طریق برنامه ی کاربردی VMware Workspace ONE Web و برنامه های کاربردی سازمانی می باشد که از Workspace ONE SDK بهره میبرند. جزء Per-App Tunnel برای برنامه های کاربردی مدیریت شده روی دستگاه های iOS، macOS، اندروید و ویندوز امکان Tunneling را در سطح برنامه ی کاربردی فراهم میکند.
یکپارچه سازی با راهکارهای Cloud مثل Workspace ONE مزایای زیادی را ارائه میدهند. AirWatch Cloud Connector امکان یکپارچه سازی بدون دردسر منابع On-Premises را با پیاده سازی Workspace ONE UEM فراهم میکند، فارغ از اینکه این منابع مبتنی بر Cloud یا On-Premises باشند. این امر به سازمانها این توانایی را میدهد که از مزایای Workspace ONE UEM که در هر پیکربندی اجرا میشود، همراه با مزایای موجود LDAP، Certificate Authority، Email Relay، یکپارچه سازی PowerShell با Exchange و سیستم های داخلی دیگر بهره ببرند. ACC در شبکه ی داخلی اجرا شده و به عنوان یک پروکسی عمل میکند که به طور ایمنی درخواست ها را از Workspace ONE UEM به اجزای زیرساختی شرکتی متعلق به سازمان منتقل می نماید. حال میتوان گفت ACC همیشه فقط در حالت خروجی کار میکند که باعث حفاظت در مقابل حملات ورودی شده و امکان کار کردن با قواعد و پیکربندی های موجود فایروال را فراهم میکند. Workspace ONE UEM و ACC از طریق AirWatch Cloud Messaging یا همان AWCM ارتباط برقرار میکنند. این ارتباط از طریق احراز هویت مبتنی بر Certificate ایمن سازی میشود و Certificate ها از یک Workspace ONE UEM Certificate Authority مورد اعتماد ایجاد میگردند.
اجزای داخلی که در ACC برای یکپارچگی استفاده میشوند را میتوان به موارد زیر تقسیم نمود:
• Email Relay یا SMTP
• خدمات دایرکتوری یا LDAP/AD
• Exchange 2010 یا PowerShell
• Syslog یا داده های Log رخداد
• Microsoft Certificate Services یا PKI
• Simple Certificate Enrollment Protocol یا SCEP PKI
• OpenTrust CMS Mobile
• Entrust PKI
• Symantec MPKI
با استفاده از یک نصب کننده ی واحد، می توان چندین Instance از ACC را با نصب آنها روی سرورهای اختصاصی پیکربندی کرد. ترافیک به طور خودکار توسط جزء AWCM تعدیل بار میشود و نیازمند یک تعدیل کننده ی بار مجزا نیست. چندین Instance از ACC میتوانند ترافیک را دریافت کنند، یعنی از پیکربندی Live-Live استفاده نمایند، به شرط اینکه Instance ها در گروه سازمان دهی یکسانی باشند و به سرور AWCM یکسانی برای دسترس پذیری بالا متصل شوند. ترافیک با استفاده از یک الگوریتم LRU یا همان Least Recently Used مسیریابی میشود که تمام اتصالات قابل دسترسی را بررسی میکند تا تصمیم بگیرد که باید برای مسیریابی درخواست بعدی از کدام ACC Node استفاده کند.
معماری On-Premises از سرویس های جداگانه ای تشکیل شده است که میتوانند روی یک معماری با یک یا چند سرور نصب شوند و به الزامات امنیتی و Load پاسخ دهند . Endpoint های سرویس را میتوان روی حوزه های امنیتی مختلفی پخش کرد، آن هایی که نیازمند دسترسی خارجی و ورودی هستند در یک DMZ قرار داشته و کنسول مدیریتی در یک شبکه ی داخلی حفاظت شده قرار دارد. همسان سازی با منابع داخلی مثل Active Directory یا یک Certificate Authority را می توان مستقیماً از اجزای اصلی، یعنی Device Services و Admin Console یا با استفاده از یک AirWatch Cloud Connector انجام داد. متصل کننده ی جداگانه میتواند در حالت اتصال خروجی، درون LAN اجرا شود، یعنی متصل کننده هیچ اتصال ورودی را از DMZ دریافت نمی کند.
اجزای اضافی On-Premises Workspace ONE UEM به دو قسم زیر میباشد:
1. دیتابیس: دیتابیس Microsoft SQL Server که داده های دستگاه و محیط Workspace ONE UEM را ذخیره میکند. تمام داده های پیکربندی برنامه کاربردی مرتبط، مثل پروفایل ها و پالیسی های تطبیق پذیری در این دیتابیس باقی می مانند. در نتیجه، اکثر بار کاری Backend برنامه کاربردی همینجا پردازش میشود.
تمام داده ها و پیکربندی های حیاتی برای Workspace ONE UEM در دیتابیس ذخیره میشوند. این بخش مربوط به داده از راهکار است. دیتابیس های Workspace ONE UEM برمبنای پلتفرم Microsoft SQL Server هستند. سرورهای برنامه کاربردی درخواست هایی را از کاربران کنسول و دستگاه دریافت می کنند و سپس داده ها و نتایج را پردازش می نمایند. هیچ داده ی مداومی روی سرورهای برنامه کاربردی (سرویس های دستگاه و کنسول) نگهداری نمی شود، اما Session های کاربر و دستگاه برای مدت کوتاهی باقی می مانند. در این معماری مرجع، Microsoft SQL Server 2016 و کلاستر آن مورد استفاده قرار گرفت که گروه های دسترس پذیری Always On را ارائه میدهد که با معماری Workspace ONE UEM تحت پشتیبانی است. این امر امکان پیاده سازی چندین Instance از هر جزء Workspace ONE UEM را فراهم می کند که به یک دیتابیس یکسان اشاره دارند و توسط یک گروه دسترس پذیری حفاظت میگردند. یک Listener گروه دسترس پذیری، هدف اتصال برای تمام Instance ها است.
2. سرور Memcached: این سرور یک برنامه کاربردی Data-Caching توزیعی است که برای استفاده در محیط های Workspace ONE UEM قابل دسترس میباشد. این برنامه ی کاربردی بار کاری روی دیتابیس را کاهش میدهد. Memcached جایگزین راهکار Caching قبلی، یعنی AW Cache میشود و برای پیاده سازی های بیشتر از 5000 دستگاه پیشنهاد می گردد.
وقتی که Memcached در کنسول Workspace ONE UEM فعال سازی شود، شروع می کند به ذخیره ی تنظیمات سیستم و اطلاعات درخت گروه سازمان که در دسترس اجزای Workspace ONE UEM قرار دارند. وقتی که درخواستی برای داده ارسال شود،Workspace ONE UEM به طور خودکار نتایج ذخیره شده در حافظه توسط Memcached را چک می کند و سپس به سراغ چک کردن دیتابیس میرود؛ همین امر باعث کاهش بار کاری میگردد. اگر این فرایند دچار خرابی شود، داده های نتایج از دیتابیس بازیابی میگردند و برای Queryهای آینده در Memcached ذخیره میشوند. با اضافه شدن مقادیر جدید و تغییر مقادیر موجود، این مقادیر هم به Memcached و هم دیتابیس نوشته میشوند.
Workspace ONE UEM را میتوان به صورت افقی توسعه داد تا فارغ از تعداد دستگاه ها، پاسخگوی تقاضاها باشد. به دلیل میزان داده هایی که درون و خارج از دیتابیس Workspace ONE UEM جریان دارد، اندازه گیری درست سرور دیتابیس برای یک پیاده سازی موفق حیاتی است. این معماری مرجع طوری طراحی شده است که حداکثر با پنجاه هزار دستگاه تطبیق داشته باشد و امکان رشد در طول زمان را بدون نیاز به طراحی مجدد فراهم کند. چندین Node از هر جزء خدمات دستگاه، Admin Consoles، سرورهای API، سرورهای AWCM، AirWatch Cloud Connector ها برای پاسخ به تقاضاها پیشنهاد میشوند. برای تضمین قابلیت خودترمیمی هر سرویس در یک سایت واحد، سرورهای برنامه کاربردی بیشتری اضافه میشوند. مثلاً Node های خدمات دستگاه به جای سه Node یک Node مورد استفاده قرار میگیرند که برای پاسخ به تقاضای بار مورد نیاز هستند.
برای حذف یک نقطه ی خرابی واحد، می توان بیش از یک Instance از اجزای Workspace ONE UEM EM را پشت یک تعدیل کننده ی بار خارجی پیاده سازی کرد. این استراتژی نه تنها افزونگی را فراهم میکند، بلکه این امکان را فراهم مینماید که بار و پردازش روی چندین Instance از جزء مربوطه پخش شوند. برای اطمینان حاصل کردن از اینکه خود تعدیل کننده ی بار تبدیل به یک نقطه ی خرابی واحد نشود، اکثر تعدیل کنندگان بار امکان تنظیم چندین Node را در یک پیکربندی با دسترس پذیری بالا یا HA یا به صورت Active/Passive فراهم میکنند.
اجزای اصلی Workspace ONE UEM را میتوان در یک طراحی واحد و اشتراکی پیاده سازی کرد، اما این پیاده سازی فقط برای موارد Proof-of-Concept پیشنهاد میشود. برای استفاده ی تولیدی، جهت پاسخ به نیازهای بار و اکثر طراحی های معماری شبکه، اجزای اصلی برنامه کاربردی معمولاً روی دو سرور جداگانه و اختصاصی Admin Console و Device Services نصب می شوند. برای یک محیط با دسترس پذیری بالا و جهت پاسخ به تقاضاهای بارِ پیاده سازی های بزرگ، چندین جزء از هر کدام از این اجزا را میتوان روی سرورهای اختصاصی پشت یک تعدیل کننده ی بار پیاده سازی کرد.
سرورهای Workspace ONE UEM درواقع Endpoint اصلی برای مدیریت و آماده سازی دستگاه های کاربر نهایی هستند. این سرورها باید طوری پیاده سازی شوند که در یک سایت دارای دسترس پذیری بالا باشند و در یک دیتاسنتر ثانویه نیز برای Failover و افزونگی پیاده سازی گردند. یک پالیسی پشتیبان گیری قدرتمند برای سرورهای برنامه کاربردی و سرورهای دیتابیس میتوانند قدم های مورد نیاز برای بازیابی یک محیط Workspace ONE UEM به مکانی دیگر را به حداقل برسانند. میتوان با استفاده از فرایندها و روش هایی که پاسخگوی پالیسی های Disaster Recovery یا DR هستند،DR را برای راهکار Workspace ONE UEM پیکربندی نمود. در نهایت WOU هیچ وابستگی به پیکربندی DR ندارد، اما شدیداً پیشنهاد میشود که نوعی فرایند Failover برای سناریوهای DR توسعه داده شود.