Последнее обновление: 23 июня 2025 г.
Вступление в силу: 3 июля 2025 г.
1. Общая информация и описание Услуги
1.1. Услуга предоставляется на базе платформы виртуализации рабочих мест, состоящей из совокупности базовых информационно-технологических ресурсов и функционирующей под управлением Исполнителя серверного и сетевого оборудования, систем хранения данных и специализированного программного обеспечения.
1.2. В рамках Услуги Исполнитель предоставляет Заказчику виртуальные рабочие места с определенными характеристиками процессора (vCPU), виртуальной памяти (vRAM), дискового пространства (vSSD) и виртуального графического процессора (vGPU), а также средства управления виртуальными рабочими местами, достаточные для создания и управления конфигурациями.
1.3. Управление виртуальными рабочими местами осуществляется Заказчиком при помощи консоли управления виртуальными рабочими местами и Консоли Управления Облаком VMware (далее - КУ VMware).
1.4. Состав и основные компоненты Услуги:
Ресурсы | |
Наименование группы | Содержание |
Виртуальные рабочие места |
|
Сетевые сервисы |
|
Платформа виртуализации рабочих мест |
|
1.4.1. Описание платформы виртуализации (на базе услуги Виртуальный ЦОД) содержится в п. 1.4.1. Приложения № 1.VMW.1.1. к Договору.
1.4.2. Платформа виртуализации рабочих мест представляет собой выделенный набор компонентов управления инфраструктурой виртуальных рабочих мест:
-
Консоль управления виртуальными рабочими местами и брокер подключений позволяет автоматизировать развёртывание и управление изолированными пулами виртуальных рабочих мест.
-
Пограничный шлюз доступа (Unified Access Gateway) позволяет обеспечить безопасный доступ к рабочим местам в Облаке Cloud.ru.
1.4.3. КУ VMware предоставляет конечным пользователям возможность безопасно работать с изолированными пулами ресурсов для управления образами виртуальных машин и виртуальными маршрутизаторами.
1.4.4. Описание платформы виртуализации сети (SDN) содержится в п. 1.4.3. Приложения № 1.VMW.1.1. к Договору.
1.5 Описание мер и механизмов защиты Инфраструктуры платформы Облако VMware (далее-Инфраструктура VMW) описано в п. 1.5. Приложения № 1. VMW.1.1. к Договору.
Дополнительно к указанному в п. 1.5 Приложения № 1.VMW.1.1. к Договору, в отношении группы «Платформа виртуализации рабочих мест» используются следующие уровни защиты:
Уровни защиты | Мероприятия |
Изоляция «Организаций» Заказчика | |
Платформа виртуализации рабочих мест | Осуществляется с помощью изоляции предоставленного набора компонентов каждого Заказчика |
1.6. Распределение ролей, обязанностей и ответственности в области ИБ в отношении Услуги описано в Таблице № 3.
Наименование технологического (архитектурного) уровня | Применимые к уровню процессы/ услуги/сервисы ИБ | Описание процесса/сервиса/услуги | Ответственность за предоставление/ администрирование услуги/ сервиса/ процессов | Кому предоставлен доступ к средствам предоставления услуги/сервиса/ процесса |
---|---|---|---|---|
Прикладной уровень и уровень операционных систем, установленных в ВМ Заказчика | Журналирование событий | Журналирование событий в прикладном программном обеспечении и операционных системах, установленных в виртуальных машинах (ВМ) Заказчика | Заказчик | Заказчик |
Управление доступом | Управление доступом к прикладному программному обеспечению и операционным системам, установленным в ВМ Заказчика | Заказчик | Заказчик | |
Управление аутентификационной информацией | Управление аутентификационной информацией, используемой при доступе к прикладному программному обеспечению (ППО) и операционным системам (ОС), установленным в ВМ Заказчика | Заказчик | Заказчик | |
Управление уязвимостями | Контроль и анализ защищенности ОС и ППО, функционирующего в ВМ Заказчика, в том числе установка критических обновлений безопасности, правка конфигураций ППО, а также изменение легко-подбираемых паролей и паролей доступа по умолчанию к сервисам и компонентам ОС и ППО, обнаруженных в ходе контроля и анализа защищенности | Заказчик | Заказчик | |
Управление инцидентами ИБ | Сбор (в том числе с использованием средств SIEM) и анализ событий безопасности со всего ППО, ОС и средств защиты информации (СрЗИ) на ВМ Заказчика, а также мониторинг и реагирование на инциденты безопасности | Заказчик | Заказчик | |
Установка и администрирование средств защиты | Установка, настройка и администрирование в ВМ Заказчика СрЗИ от несанкционированного доступа (НСД), антивирусных средств и прочих средств защиты информации, устанавливаемых в ВМ Заказчика | Заказчик | Заказчик | |
Управление резервированием информации | Установка и настройка в ВМ Заказчика средств резервного копирования
(СРК) баз данных и прочей информации Заказчика, хранимой внутри ВМ его
ВЦОД, а также администрирование указанных средств. | Заказчик | Заказчик | |
Обеспечение защиты персональных данных клиентов | Защита согласно 152-ФЗ персональных данных (ПДн) клиентов, обрабатываемых в ВМ Заказчика, в том числе, но не ограничиваясь защитой ПДн, обрабатываемых средствами установленных в ВМ Заказчика | Заказчик | Заказчик | |
Уровень «Организации» и ВЦОД Заказчика | Журналирование событий | Журналирование событий, связанных с функционированием объектов Заказчика (например, его виртуальное рабочее место и действиями пользователей на КУ VMware и платформе виртуализации рабочих мест таких как:
| Исполнитель | Заказчик |
Администрирование «Организацией» и управление доступом к ней | Администрирование «Организацией» Заказчика с использованием КУ
VMware и консоли управления виртуальными рабочими местами. | Исполнитель
(ответственность за предоставление сервиса vCD консоли управления
виртуальными рабочими местами) | Заказчик | |
Работа с ПО AppVolume | Пакетирование приложений в наборы, которые можно подключить к своим ВРМ | Исполнитель
(ответственность за предоставление компонента) | Заказчик | |
Управление аутентификационной информацией | Создание/удаление новых учётных записей в «Организации» и присвоение им привилегий доступа к «Организации» Заказчика | Исполнитель
(ответственность за предоставление сервиса) | Заказчик | |
Управление безопасностью и прочими настройками для виртуальных сетей | Создание, удаление и администрирование с использованием КУ
VMware, необходимых VxLAN в процессе администрирования Заказчика. | Исполнитель
(ответственность за предоставление сервиса) | Заказчик | |
Управление пулами виртуальных рабочих мест | Создание, удаление Золотого образа с использованием КУ
VMware. | Заказчик | Заказчик | |
Установка и использование СЗИ | Установка, администрирование, своевременное обновление и
безотлагательная установка критических обновлений безопасности на
используемых в ВЦОД Заказчика виртуальных средствах защиты информации в
исполнениях Virtual appliance (межсетевые экраны, системы обнаружений
и/или предотвращений компьютерных атак и прочее) | Заказчик | Заказчик | |
Обеспечение защиты персональных данных клиентов | Обеспечение соответствия ВЦОД в составе информационных систем персональных данных (ИСПДн) Заказчика требованиям 152-ФЗ | Заказчик | Заказчик | |
Инфраструктурный уровень | Мониторинг и поддержка | Мониторинг Инфраструктуры VMW, обеспечение её доступности, производительности, наличия необходимого количества оборудования, обеспечение необходимой для её работы пропускной способности сети, вычислительных мощностей и емкости систем хранения данных (СХД) инфраструктуры | Исполнитель | Исполнитель |
Журналирование событий | Журналирование событий в компонентах и средствах защиты информации Инфраструктуры VMW | Исполнитель | Исполнитель | |
Управление доступом | Управление доступом к сегменту управления Инфраструктурой VMW, её VLAN-ам и компонентам | Исполнитель | Исполнитель | |
Управление аутентификационной информацией | Управление учётными записями AD привилегированных пользователей, имеющих доступ к сегменту управления Инфраструктурой Cloud.ru, и их вторым фактором аутентификации (аутентификаторами). | Исполнитель | Исполнитель | |
Управление уязвимостями | Контроль и анализ защищенности служебных ВМ MGMT-сегмента и серверов с гипервизорами для Инфраструктуры VMW | Исполнитель | Исполнитель | |
Управление инцидентами ИБ | Сбор с использованием средств SIEM с компонентов и средств защиты
информации инфраструктуры VMW событий безопасности. | Исполнитель | Исполнитель | |
Управление конфигурацией | Контроль и управление процессами изменения конфигурации Инфраструктуры VMW | Исполнитель | Исполнитель | |
Управление безопасностью для виртуальных и физических сетей | Защита периметров ЦОД Инфраструктуры VMW с использованием
кластеров высокопроизводительных межсетевых экранов нового поколения
(NGFW), обеспечивающих межсетевое экранирование и защиту от компьютерных
атак Инфраструктуры. | Исполнитель | Исполнитель | |
Установка и администрирование средств защиты | Установка, настройка и администрирование средств защиты информации в составе Инфраструктуры VMW, в том числе:
| Исполнитель | Исполнитель | |
Обеспечение защиты персональных данных клиентов | Защита ПДн сотрудников Заказчика, имеющих доступ к КУ VMware, обрабатываемых в Инфраструктуре VMW | Исполнитель | Исполнитель | |
Физический уровень | Контроль доступа | Контроль доступа в ЦОД и помещения Инфраструктуры VMW (охраняемая территория ЦОД, пропускной режим, системы контроля и управления доступом, запирание стоек) | Исполнитель | Исполнитель |
Видеонаблюдение | Наличие внешней (по периметру ЦОД) и внутренней (в машинных залах ЦОД) систем видеонаблюдения | Исполнитель | Исполнитель | |
Размещение оборудования | Предоставление электропитания, доступа к сети Интернет и
свободного места в стойках ЦОД. | Исполнитель | Исполнитель |
1.7. Для подключения к Услуге Заказчик может выбрать один или несколько типов подключения:
Тип подключения | Описание |
Подключение через сеть Интернет | Для качественного изображения и скорости загрузки данных полоса пропускания в расчете на одно виртуальное рабочее место Заказчика должна составлять не менее 2 Мбит/с. Полоса пропускания рассчитывается Заказчиком самостоятельно исходя из количества вирутальных рабочих мест |
Подключение через выделенный канал связи | Способ подключения, позволяющий гарантировать параметры канала связи. Выделенный канал связи состоит из двух частей:
|
Подробная информация по доступным подключениям приведена в Приложении № 1.VMW.6. к Договору.
1.7.1. Для обмена данными между виртуальными рабочими местами используется внутреннее сетевое взаимодействие, реализованное на базе сетевого оборудования Исполнителя и средствами гипервизора.
1.8. Описание сетевых сервисов SDN содержится в п. 1.9. Приложения № 1.VMW.1.1. к Договору.
1.9. Шаблоны виртуальных рабочих мест и образы ОС.
В рамках Услуги Заказчик может самостоятельно выполнить импорт/экспорт собственного образа виртуального рабочего места. Возможный вариант работы с образами виртуального рабочего места: Заказчик самостоятельно осуществляет импорт/экспорт образов виртуальных рабочих мест, используя КУ VMware. За дополнительную плату Заказчику предоставляется доступ к каталогу с шаблонами виртуального рабочего места с предустановленными операционными системами. При импорте и использовании Заказчиком собственных образов виртуальных машин, которые не имеют официальной совместимости и отличаются согласованных конфигураций, Исполнитель не гарантирует работоспособность данных виртуальных рабочих мест, и решение возможных проблем не регулируется действующим Соглашением об уровне предоставлении Услуги.
1.10. Аутентификация и политики доступа.
Оказание Услуги возможно только при предоставлении Заказчиком доступа к каталогу Active Directory и серверам DNS. Active Directory используется для управления Заказчиком доступом пользователей к развёрнутым виртуальным рабочим местам, политиками (Group Policy) и регистрации виртуальных рабочих мест. При отсутствии у Заказчика Active Directory или невозможности организации канала связи, инфраструктура Active Directory может быть размещена на ресурсах услуги «Виртуальный ЦОД», предоставленных Заказчику. Заказчик в каталоге Active Directory создаёт техническую учётную запись с минимальным набором привилегий, необходимым для предоставления услуги. Указанные привилегии можно назначать на специально созданный Organization Unit и не распространять на весь каталог. В Organization Unit автоматически будут создаваться объекты типа «Компьютер» для регистрации созданных виртуальных рабочих мест. Минимально необходимый набор указан в Таблице 5. На сервере DNS Заказчик выполняет настройку «Условная пересылка DNS» (Conditional Forwarder) для перенаправления DNS запросов к домену Исполнителя на определённые DNS серверы.
Привилегии технической учётной записи в Active Directory запись | ||
Название | Ответственность за предоставление | Кому предоставлен доступ |
List Content | Заказчик | Исполнитель |
Read All Properties | Заказчик | Исполнитель |
Write All Properties | Заказчик | Исполнитель |
Read Permissions | Заказчик | Исполнитель |
Reset Password | Заказчик | Исполнитель |
Create Computer Objects | Заказчик | Исполнитель |
Delete Computer Objects | Заказчик | Исполнитель |
1.11. Сетевая связанность.
Сетевой доступ к каталогу Active Directory и DNS обеспечивается Заказчиком и может быть организован с помощью L2VPN/L3VPN или выделенного канала связи.
1.12. Программная платформа.
Услуга реализована на базе платформы виртуализации. В качестве инструмента реализации облачной инфраструктуры и формирования Золотых образов используется КУ VMware. Для создания и управления виртуальными рабочими столами используется консоль управления виртуальными рабочими местами. Отказоустойчивость вычислительных узлов реализована средствами платформы виртуализации на базе технологии High Availability (HA).
1.13 Аппаратная платформа:
Компоненты | Характеристики |
Серверная платформа | В качестве вычислительной платформы используются серверные решения корпоративного уровня, базирующиеся на процессорах архитектуры x86/64. |
СХД | Для организации сервиса предоставления виртуальных дисков применяются системы хранения данных уровня middle-range с резервированием основных компонент, таких как блоки питания, контроллерные модули. |
Сеть | Базируется на оборудовании ведущих производителей, которое обеспечивает:
|
1.14. Предоставление доступа к программному обеспечению осуществляется в соответствии с условиями и порядком, предусмотренными в пункте 1.13. Приложения № 1.VMW.1.1. к Договору.
2. Базовая функциональность и метрики Услуги
2.1. Услуга Виртуальное рабочее место описана в Таблице 7:
Сервис | Тарифицируемые единицы | Характеристики и метрики | Допустимые значения |
---|---|---|---|
Вычисления | Виртуальный процессор (шт.) | Базовая частота процессора vCPU | Не менее 2, 6 ГГц |
Host CPU Ready time | Менее 5% | ||
Рекомендуемое кол-во vCPU на ВРМ (шт.) | 1 - 16 шт. | ||
Виртуальный память (Гб.) | RAM Swapped | 0% | |
Допустимый объем vRAM на ВРМ (Гб.) | 1 - 64 Гб | ||
Видеопамять (Гб.) | Тип видеокарты | T4, A40, V100 | |
Хранилище данных | Виртуальный жесткий диск SSD (Гб) | SSD IOPS. Эталонные значения | 5000 IOPS/1 ТБ |
Среднее время доступа к SSD Storage на виртуальной машине | 0 мс - 5 мс | ||
Допустимый объем одного виртуального жесткого диска SSD на ВРМ | 1 – 4096 ГБ | ||
Шаг увеличения размера виртуального диска в допустимом диапазоне | 1 ГБ | ||
Сетевые сервисы | Через сеть Интернет | Полоса пропускания | 10-1000 Мбит/с |
Выделенный канал связи | Описание подключения см. в п.1.3.2. Приложения № 1. VMW.6. к Договору. | См. п. 1.3.2. Приложения № 1. VMW.6. к Договору. | |
Пропускная способность на виртуальный сервер | Средняя сетевая задержка в пределах сети передачи данных Cloud.ru | 0 мс - 5 мс | |
Процент потерянных пакетов в пределах сети передачи данных Cloud.ru | 0% - 0,2% | ||
Виртуальный шлюз (шт.) | Средняя сетевая задержка в пределах сети передачи данных Cloud.ru | 0 мс - 5 мс | |
Пропускная способность | Не более 5 Гб/c | ||
Гостевая ОС | Доступ к шаблону Серверная операционная система:
| Шаблоны Серверной операционной системы | Серверная операционная система 2019 |
Примечания
[1] : Минимальный период тарификации — календарный месяц. Начало использования, начиная с первой минуты, или продолжение использования Услуги в отчетном периоде предполагает списание стоимости за полный календарный месяц. Неполный календарный месяц использования Услуги, начиная с первой минуты, округляется до полного календарного месяца пользования Услугой.
3. Тарификация Услуги
3.1. Тарификация Услуги статическая (Allocation).
3.2. Величина ежемесячного платежа за пользование Услугой определяется в соответствии с заказанным объёмом перечисленных ниже ресурсов и опций. Доступные ресурсы и опции перечислены в Таблице 8.
Компоненты | Тарифный план | ||
---|---|---|---|
Linux | Стандарт | Продвинутый | |
Параллельный пользователь (CCU) | Да | Да | Да |
Именованный пользователь | Нет | Нет | Да |
Рабочий стол и приложения | |||
Виртуальные рабочие столы с Операционной системой | Нет | Да | Да |
Виртуальные | Да | Нет | Да |
Приложения, размещенные на Linux | Нет | Нет | Да |
Удалённый физический | Нет | Да | Да |
Приложения, размещенные на виртуальных машинах с Операционной системой | Нет | Нет | Да |
Управление | |||
Rest API | Нет | Нет | Да |
Мгновенные клоны для | Да | Да | Да |
Полные клоны для | Да | Да | Да |
Профиль пользователя и персонализация | Да | Да | Нет |
Стандарт, | Нет | Нет | Да |
Глобальный | Да | Да | Да |
Инструмент справочной службы | Нет | Нет | Да |
Доступ пользователей и протоколы | |||
Протоколы Blast Extreme, PCoIP, RDP | Да | Да | Да |
Инструменты для совместной работы | |||
Организация совместных сессий в рамках одного виртуального рабочего места | Нет | Нет | Да |
Оптимизированное видео | Нет | Нет | Да |
3.3. Работы по настройке и администрированию Услуги не входят в тарифный план и оплачиваются отдельно в составе услуги Managed Services 2.
3.4. Для каждой конфигурации виртуального рабочего места доступны четыре варианта тарифного плана: Linux, Стандарт, Расширенный, Продвинутый. Описание тарифных планов представлено в Таблице 9.
Компоненты | Тарифный план | ||
---|---|---|---|
Linux | Стандарт | Продвинутый | |
Параллельный пользователь (CCU) | Да | Да | Да |
Именованный пользователь | Нет | Нет | Да |
Рабочий стол и приложения | |||
Виртуальные рабочие столы с Операционной системой | Нет | Да | Да |
Виртуальные | Да | Нет | Да |
Приложения, размещенные на Linux | Нет | Нет | Да |
Удалённый физический | Нет | Да | Да |
Приложения, размещенные на виртуальных машинах с Операционной системой | Нет | Нет | Да |
Управление | |||
Rest API | Нет | Нет | Да |
Мгновенные клоны для | Да | Да | Да |
Полные клоны для | Да | Да | Да |
Профиль пользователя и персонализация | Да | Да | Нет |
Стандарт, | Нет | Нет | Да |
Глобальный | Да | Да | Да |
Инструмент справочной службы | Нет | Нет | Да |
Доступ пользователей и протоколы | |||
Протоколы Blast Extreme, PCoIP, RDP | Да | Да | Да |
Инструменты для совместной работы | |||
Организация совместных сессий в рамках одного виртуального рабочего места | Нет | Нет | Да |
Оптимизированное видео | Нет | Нет | Да |
3.5. Методика расчётов потребляемых ресурсов предполагает тарификацию суммы значений предоставленных виртуальных рабочих мест за Отчетный период в соответствии с Тарифом. Счет выставляется на основе суммы значений.
Примечания
- [2]
См. подробнее Приложение № 11 к Договору.
4. Иные условия, применимые к Услуге
4.1. Возможные виды подключения / изменения / отключения Услуг:
4.1.1. Посредством подписания Заказа (с учётом п. 4.6. настоящего Приложения).
4.1.2. Посредством совершения действий в Личном Кабинете.
4.2. Возможный порядок расчётов по Услуге:
4.2.1. Постоплата.
4.3. Возможные способы оплаты / порядок пополнения Баланса:
4.3.1. Оплата в безналичном порядке на основании выставленного Исполнителем счёта.
4.4. Заказчик обязуется соблюдать согласованное с Исполнителем количество виртуальных рабочих мест и их конфигурацию указанное в Бланке заказа. В случае, если Заказчик изменил ранее согласованное количество рабочих мест или конфигурацию, Исполнитель не несет ответственности за их работоспособность и вправе отключить виртуальные рабочие места, предоставленные Заказчику.
4.5. Заказчик самостоятельно несет ответственность за работоспособность программного обеспечения, устанавливаемого на виртуальные рабочие места.
4.6.1. Заказ на подключение Услуги должен быть направлен Исполнителю не позднее, чем за 3 (три) рабочих дней до даты начала оказания Услуги;
4.6.2. В течение 1 (одного) рабочего дня Исполнитель или его уполномоченный представитель обязуется рассмотреть Заказ на Услугу и направить лицу, направившему Заказ, ответ (подписанный со своей стороны Заказ или отказ в предоставлении Услуги с обоснованием причины);
4.6.3. В случае согласования Сторонами Заказа Услуга по такому Заказу предоставляется в дату начала оказания Услуги, зафиксированную в Заказе, с 10:00 по московскому времени.
4.7. Заказчик несет ответственность за сохранность данных и принимает самостоятельно меры по их сохранению при отказе от Услуги. При отказе от Услуги Исполнитель вправе удалить данные Заказчика по истечении 5 (пяти) рабочих дней после отказа от Услуги.
- 1. Общая информация и описание Услуги
- 2. Базовая функциональность и метрики Услуги
- 3. Тарификация Услуги
- 4. Иные условия, применимые к Услуге