云桌面建議方案

XX單位虛擬桌面解決方案建議書目 錄1現(xiàn)狀與需求分析41.1現(xiàn)狀分析41.2用戶需求分析51.2.1任務(wù)型用戶51.2.2知識型用戶51.3交付方式選型61.3.1任務(wù)型用戶61.3.2知識型用戶61.4方案目標(biāo)與收益72虛擬桌面方案總體概述82.1虛擬桌面交付架構(gòu)總體介紹82.2虛擬桌面交付技術(shù)介紹102.2.1流桌面102.2.2獨占桌面102.3虛擬桌面交付產(chǎn)品介紹112.3.1桌面虛擬化112.3.2服務(wù)器虛擬化113詳細(xì)設(shè)計123.1邏輯架構(gòu)設(shè)計123.1.1數(shù)據(jù)中心邏輯架構(gòu)設(shè)計123.1.2用戶接入邏輯架構(gòu)設(shè)計133.2詳細(xì)架構(gòu)設(shè)計133.2.1數(shù)據(jù)中心詳細(xì)架構(gòu)設(shè)計133.2.2用戶接入詳細(xì)架構(gòu)設(shè)計163.3軟硬件規(guī)劃163.3.1硬件規(guī)劃163.3.2軟件規(guī)劃183.4網(wǎng)絡(luò)架構(gòu)設(shè)計193.5用戶訪問流程193.6其他考慮因素203.6.1系統(tǒng)病毒防控203.6.2用戶個性化203.6.3用戶桌面類型選擇203.6.4知識型桌面運維203.6.4.1運維工作層次劃分213.6.4.2桌面生命周期管理221 現(xiàn)狀與需求分析1.1 現(xiàn)狀分析根據(jù)前期與XX單位的溝通，我們了解到XX單位當(dāng)前正著手進(jìn)行虛擬桌面建設(shè)，希望通過現(xiàn)今主流的虛擬化技術(shù)實現(xiàn)員工的高效靈活辦公。對此，我們也對XX單位現(xiàn)在的信息化實際應(yīng)用現(xiàn)狀做了調(diào)查和分析，XX單位當(dāng)前桌面信息化主要存在如下幾個方面的問題： n 提供不同的人員使用，需要隨時更換系統(tǒng)及軟件不同專業(yè)人員需要的軟件并不相同，因此就要求維護人員在不同的環(huán)境中為用戶提供不同的系統(tǒng)或者軟件?，F(xiàn)有的情況下，只能將所有軟件安裝在一套操作系統(tǒng)，這就導(dǎo)致了用戶使用其他軟件，甚至軟件調(diào)用資源沖突等問題。n 實現(xiàn)桌面、數(shù)據(jù)的跟隨用戶移動性的增強要求用戶辦公所需的桌面和數(shù)據(jù)能隨用戶而動，用戶可以在公司的不同辦公區(qū)域、在家中訪問各自的桌面，并隨時隨地保持桌面以及數(shù)據(jù)的跟隨。這對當(dāng)前XX單位的信息化提出了新的挑戰(zhàn)，IT部門需要通過一種靈活、安全、高效的桌面交付架構(gòu)，使得用戶需要訪問的辦公數(shù)據(jù)在各種終端設(shè)備及網(wǎng)絡(luò)之上無縫切換，用戶工作場所的改變并不會影響工作任務(wù)的連續(xù)性，也不會因為終端設(shè)備的改變而導(dǎo)致部分辦公數(shù)據(jù)無法正常訪問。n 數(shù)據(jù)安全問題在傳統(tǒng)的PC桌面環(huán)境中，員工的終端設(shè)備與后臺業(yè)務(wù)系統(tǒng)之間的交互產(chǎn)生的真實業(yè)務(wù)數(shù)據(jù)會在網(wǎng)絡(luò)上傳輸，存在數(shù)據(jù)被截取并外泄的風(fēng)險；同時，業(yè)務(wù)數(shù)據(jù)和客戶信息容易駐留在用戶PC本地，PC自身的安全保護措施決定了企業(yè)敏感數(shù)據(jù)被破壞或竊取的概率。當(dāng)用戶從傳統(tǒng)PC桌面向虛擬桌面轉(zhuǎn)移時，這些風(fēng)險被進(jìn)一步放大。能否安全地隔離用戶終端設(shè)備和企業(yè)數(shù)據(jù)，成為了XX單位IT部門需要攻克的難點。n 維護工作繁，PC運維難以為繼XX單位現(xiàn)有約1000臺PC終端，終端性能參次不齊，設(shè)備維護管理復(fù)雜，IT運維人員每天需要面對數(shù)量眾多的零散服務(wù)請求（PC故障、系統(tǒng)恢復(fù)、軟件安裝、補丁更新等），由于人數(shù)有限，難以為繼，矛盾越發(fā)突出。IT中心會跟隨軟件廠商，每年都需要更新各類操作系統(tǒng)以及設(shè)計軟件，這就導(dǎo)致IT中心維護人員工作量巨大，而軟件升級經(jīng)常出現(xiàn)各種故障，造成終端設(shè)備不可用，影響學(xué)院正常工作。n PC終端每年批量淘汰，更新?lián)Q代代價越來越沉重每年都會批量淘汰一些老舊PC，每年更新的PC費用是一筆龐大的固定開支，更新?lián)Q代的包袱越來越沉重。如何更有效的延長老舊PC淘汰時間或者整合老舊PC，是目前客戶面臨的一個非常迫切的問題。1.2 用戶需求分析XX單位目前的內(nèi)網(wǎng)辦公用戶約為XXX人，根據(jù)用戶對于桌面資源的要求不同，我們劃分為任務(wù)型用戶及知識型用戶兩類：1.2.1 任務(wù)型用戶約有XXX名用戶的日常工作是普通的OA辦公，這些用戶每天只會訪問固定的少量辦公應(yīng)用，對計算資源的要求不高，只需訪問少量常用的外設(shè)，無太多的桌面定制化需求，我們將他們歸為任務(wù)型用戶。此類用戶的辦公有以下特點： 普遍使用OA、Microsoft Office等常見的辦公軟件。應(yīng)用相對簡單，對計算資源要求相對較低。 外設(shè)訪問：外設(shè)需求不多，只需支持常用的網(wǎng)絡(luò)打印機。 多媒體播放：高清視頻/Flash動畫播放需求不多，屬于偶發(fā)性訪問。 安全性：接觸大量敏感信息，對數(shù)據(jù)安全要求高。 網(wǎng)絡(luò)帶寬：應(yīng)用場景相對簡單，多媒體訪問不多，需結(jié)合具體應(yīng)用場景評估。1.2.2 知識型用戶約有XXX名用戶參與代碼開發(fā)與測試，這些用戶對計算資源的要求高，每位用戶需使用獨立的操作系統(tǒng)進(jìn)行開發(fā)與調(diào)試工作，會頻繁使用各種周邊外設(shè)，我們將他們歸為知識型用戶。此類用戶的辦公有以下特點： 有訪問多媒體的需求，業(yè)務(wù)應(yīng)用較復(fù)雜，對終端計算能力要求高。 外設(shè)訪問：外設(shè)需求較多，需要訪問跟業(yè)務(wù)相關(guān)的周邊外設(shè)進(jìn)行開發(fā)調(diào)試。 多媒體播放：有高清視頻/Flash動畫的播放需求，帶寬需求較高。 安全性：接觸大量敏感信息，對數(shù)據(jù)安全要求高。 網(wǎng)絡(luò)帶寬：應(yīng)用場景較為復(fù)雜，有高清視頻/Flash等多媒體訪問要求，帶寬需求較高，需結(jié)合具體應(yīng)用場景評估。1.3 交付方式選型根據(jù)前期調(diào)研的結(jié)果，XX單位的辦公用戶可分為以下兩類：功能需求任務(wù)型用戶知識型用戶用戶規(guī)模XXXXXX應(yīng)用復(fù)雜度常見的辦公應(yīng)用，種類單一開發(fā)/調(diào)試應(yīng)用，種類繁多資源配置計算資源要求低計算資源要求高獨立OS不需要需要外設(shè)訪問外設(shè)類型單一外設(shè)類型眾多，使用頻繁多媒體訪問不頻繁較頻繁網(wǎng)絡(luò)帶寬需求低高1.3.1 任務(wù)型用戶我們?yōu)槿蝿?wù)型用戶搭建虛擬桌面交付平臺，發(fā)布流桌面，實現(xiàn)任務(wù)型用戶桌面的標(biāo)準(zhǔn)化管理，限制用戶自行安裝軟件的權(quán)限；通過活動目錄的用戶配置文件漫游及文件重定向功能，實現(xiàn)用戶個人數(shù)據(jù)的安全存放及統(tǒng)一管理。此方案具備了硬件投入低、并發(fā)訪問性能良好、桌面標(biāo)準(zhǔn)化程度高等特點。1.3.2 知識型用戶我們?yōu)橹R型用戶搭建虛擬桌面交付平臺，發(fā)布獨占桌面，滿足知識型用戶的個性化需求。此方案同時具備了存儲利用率高、鏡像統(tǒng)一管理、桌面性能好、外設(shè)支持廣泛等特點。1.4 方案目標(biāo)與收益l 實現(xiàn)安全高效的辦公，提升用戶工作效率和便捷性通過建設(shè)，實現(xiàn)用戶在內(nèi)網(wǎng)中使用PC、筆記本、瘦終端都可以靈活進(jìn)行辦公。l 實現(xiàn)用戶訪問的數(shù)據(jù)安全保障通過建設(shè)，在滿足用戶訪問內(nèi)網(wǎng)資源的前提下，實現(xiàn)數(shù)據(jù)安全有效隔離。通過虛擬化技術(shù)，用戶看到的僅是虛擬桌面以及應(yīng)用程序執(zhí)行結(jié)果的畫面（圖片），而并非真實的數(shù)據(jù)，用戶不能夠?qū)?shù)據(jù)復(fù)制到本地（由策略控制，也可以開放該權(quán)限），但又能夠操作和使用數(shù)據(jù)，保證了企業(yè)數(shù)據(jù)安全的同時滿足用戶的使用需求。l 細(xì)粒度的安全接入管控交付平臺可根據(jù)用戶終端的位置（安全或非安全區(qū)域）、終端的合規(guī)情況、用戶的部門屬性等條件，靈活定義用戶終端訪問企業(yè)資源的權(quán)限，阻斷從非安全區(qū)域訪問的終端設(shè)備把各種安全威脅帶進(jìn)企業(yè)內(nèi)網(wǎng)的可能性。l 提升桌面運維效率項目建設(shè)后，所有桌面、數(shù)據(jù)均運行于數(shù)據(jù)中心，客戶端設(shè)備弱化為訪問終端，管理員僅需在數(shù)據(jù)中心內(nèi)即可實現(xiàn)對桌面以及桌面中的應(yīng)用進(jìn)行統(tǒng)一運維，這包括日常的故障排查、補丁更新、軟件安裝、系統(tǒng)升級等各項操作，簡化了客戶端的運維管理工作，實現(xiàn)集中化、高效、統(tǒng)一的桌面IT運維。l 降低企業(yè)信息化總體擁有成本通過建設(shè)，客戶端設(shè)備能夠得到最大化的投資保護，未來系統(tǒng)的升級、更新等操作能夠最大程度的減少終端設(shè)備的更新，保護既有桌面終端的投資！同時，對于新增或淘汰設(shè)備可以逐步更換為能耗更低、生命周期更長且軟硬件免維護的瘦客戶機，最大化度減少客戶端的維護管理工作，并有效節(jié)省運營成本。2 虛擬桌面方案總體概述2.1 虛擬桌面交付架構(gòu)總體介紹為了實現(xiàn)企業(yè)桌面、數(shù)據(jù)的統(tǒng)一的管理，虛擬化及交付基礎(chǔ)架構(gòu)提供了用戶到桌面的端到端解決方案，可將任何桌面、數(shù)據(jù)交付給任何用戶，并提供最佳的性能、最高的安全性、最低的成本及最強的靈活性。虛擬桌面解決方案，其組成架構(gòu)如下圖所示：關(guān)鍵組件解釋如下：l 虛擬桌面承載服務(wù)器（辦公）：知識型和任務(wù)型用戶使用的虛擬桌面，其中安裝了Windows操作系統(tǒng)、基礎(chǔ)應(yīng)用和虛擬桌面特有的控制調(diào)度Agent。l 虛擬桌面管理服務(wù)器：管理虛擬桌面的服務(wù)器，用于創(chuàng)建、維護虛擬桌面，保障用戶可以正常使用虛擬桌面。同時對虛擬桌面進(jìn)行權(quán)限控制，保障不同用戶之間的虛擬桌面隔離。l 存儲：用于存放用戶的個人數(shù)據(jù)。用戶個人數(shù)據(jù)之間隔離，互相之前無法訪問。保證了數(shù)據(jù)的私密性。存儲采用先進(jìn)的數(shù)據(jù)，保證在部分存儲損壞時，用戶的數(shù)據(jù)不丟失，保證了用戶數(shù)據(jù)的安全性。l 業(yè)務(wù)交換機：用戶訪問虛擬桌面的網(wǎng)關(guān)。業(yè)務(wù)交換機上可以配置各種策略，控制用戶的訪問權(quán)限，保證適當(dāng)?shù)娜丝梢栽L問適當(dāng)?shù)淖烂婧蛿?shù)據(jù)。l 管理交換機：管理服務(wù)器管理虛擬桌面時，流量都經(jīng)過管理交換機。l 存儲交換機：連接虛擬桌面和存儲的交換機，虛擬桌面通過該交換機讀取個人數(shù)據(jù)。l 終端：用戶前端使用的設(shè)備，終端可以是瘦客戶機、臺式機、筆記本等，其中都預(yù)裝了客戶端，用于連接虛擬桌面。虛擬桌面解決方案是以安全為出發(fā)點設(shè)計的，是提供安全接入的基礎(chǔ)，而非事后的彌補。桌面、數(shù)據(jù)都集中運行在數(shù)據(jù)中心的物理服務(wù)器和存儲上，數(shù)據(jù)不落地，員工可以使用原有的操作習(xí)慣和使用方式來使用這些應(yīng)用?；诓呗缘目刂谱孖T部門能輕松地限制什么人能接入哪些信息以及什么時候接入等細(xì)粒度的安全管控。所有的信息都是虛擬化的并且是以加密的方式進(jìn)行傳輸?shù)?，使用戶能安全利用非信任網(wǎng)絡(luò)。這種安全手段為那些希望擴展接入的機構(gòu)提供了恰當(dāng)?shù)谋Ｗo等級，而沒有泄密安全。采用虛擬桌面方案，管理員可以設(shè)置端到端的接入策略，指定每種特定接入情境下可接入哪些桌面。接入策略可以考慮用戶、群組、設(shè)備類型、網(wǎng)絡(luò)位置和端點安全性。通過創(chuàng)建接入策略，管理員能更輕松地控制對敏感數(shù)據(jù)的接入。這些策略還需考慮三種不同的接入因素：誰正在接入應(yīng)用；他們使用的是哪種類型的客戶端設(shè)備，如臺式機、筆記本電腦、瘦終端或自助查詢終端；以及他們所處的位置，比如在他們通常的工作地點，在其它辦公室，或在家中。這都意味著一種更復(fù)雜的接入控制判定，包括選擇性信任，要求有比簡單的Yes/No更多的控制內(nèi)容，因為這些因素控制著用戶如何接入桌面，而不僅僅是用戶是否接入桌面。用戶可能被授權(quán)接入不同的桌面。舉例來說，用戶在會議室接入的就是辦公桌面，而非研發(fā)桌面。2.2 虛擬桌面交付技術(shù)介紹不同崗位上的員工需要不同類型的桌面。有些員工要求簡潔實用和標(biāo)準(zhǔn)化的桌面（多為任務(wù)型員工），有的員工則看重卓越性能和個性化（多為知識型員工）。虛擬桌面方案可以通過同一套管理系統(tǒng)滿足上述各種要求。IT部門交付的各種虛擬桌面都是經(jīng)過定制，每一種虛擬桌面都能滿足至少一類員工的使用場景，同時也滿足每一個員工對虛擬桌面的性能和安全性要求。虛擬桌面的兩種主流交付技術(shù)：流桌面和獨占桌面。2.2.1 流桌面流桌面適用于辦公型工作人員?；诹骷夹g(shù)的無盤桌面利用富客戶端的本地計算能力，同時集中管理桌面的統(tǒng)一鏡像。這種方法很簡便而且成本低廉，能夠利用現(xiàn)有PC資源并最大限度降低數(shù)據(jù)中心開銷，幫助客戶實施桌面虛擬化。它還適用于使用無盤PC的政府部門和大學(xué)實驗室，確保最高的數(shù)據(jù)安全性。流桌面采用流技術(shù)通過網(wǎng)絡(luò)將單一標(biāo)準(zhǔn)桌面鏡像，包括操作系統(tǒng)和軟件按需交付給物理/虛擬桌面。一方面可以配合第二個場景實現(xiàn)VDI單一鏡像管理；另一方面適用于三維圖形要求更高的環(huán)境，除了硬盤之外，內(nèi)存、CPU、GPU都調(diào)用本地的計算資源，所以性能基本和傳統(tǒng)桌面沒有區(qū)別。國內(nèi)不少企業(yè)的設(shè)計部門都在使用。2.2.2 獨占桌面獨占桌面適用于知識型工作人員。提供個性化Windows桌面體驗，通常適用于辦公室工作人員 ，能夠通過任何網(wǎng)絡(luò)安全地交付給任何設(shè)備。這種方案結(jié)合了集中管理和全面用戶個性化定制的優(yōu)點，每臺服務(wù)器一般能支持60到70個桌面?；谔摂M機的集中管理桌面實質(zhì)是傳統(tǒng)意義上狹義的桌面虛擬化VDI，把Windows XP/Vista/7/8的桌面運行在后臺的服務(wù)器上，例如一臺物理服務(wù)器通過服務(wù)器虛擬化技術(shù)可以同時運行60個Windows XP，再通過ICA協(xié)議把XP的桌面遠(yuǎn)程傳輸?shù)?0個用戶的終端設(shè)備上，用戶在面前的設(shè)備上看到的其實是個虛擬的影子，真正的桌面運行在數(shù)據(jù)中心。適用于應(yīng)用相對復(fù)雜，用戶個性化要求高的場景。這種桌面虛擬化場景又可以細(xì)分為保存狀態(tài)和無狀態(tài)兩種。保存狀態(tài)是指用戶和后臺虛擬機一對一綁定，用戶對虛擬桌面的修改會保存在虛擬機中；無狀態(tài)是指從一個磁盤鏡像中啟動多個用戶的虛擬機，這些虛擬機保持只讀狀態(tài)，用戶對虛擬桌面的任何修改會在注銷后消失。前者用戶擁有更大的自主權(quán)限，但管理復(fù)雜、存儲資源占用很大；后者用戶不能對操作系統(tǒng)進(jìn)行修改，權(quán)限受控，但一對多的理念使管理簡單，同時不會占用大量的存儲資源。2.3 虛擬桌面交付產(chǎn)品介紹本方案由如下兩個產(chǎn)品組件組成，分別介紹如下：2.3.1 桌面虛擬化桌面虛擬化可提供一種端到端的桌面交付解決方案?？蓜討B(tài)按需產(chǎn)生虛擬桌面，用戶每次登錄時都能獲得一個干凈的、個性化的全新桌面從而確保性能不會下降。此外，采用的高速交付協(xié)議還可在任何網(wǎng)絡(luò)條件下提供無與倫比的桌面響應(yīng)速度。對于IT機構(gòu)而言，可通過分別交付桌面操作系統(tǒng)、應(yīng)用和用戶設(shè)置，大大簡化桌面生命周期管理并顯著降低擁有成本?？蔀槿我獾攸c的用戶按需交付桌面，同時顯著簡化生命周期管理。它可提供一種端到端的桌面交付解決方案，為最終用戶加速交付桌面，提供更強大的數(shù)據(jù)保護和監(jiān)控，并降低高達(dá)40%的擁有成本。采用桌面虛擬化技術(shù)可以在數(shù)據(jù)中心集中化管理桌面，還可輕松實現(xiàn)桌面安全防護，并有效減少桌面終端的運維管理工作。2.3.2 服務(wù)器虛擬化服務(wù)器虛擬化是基于開源系統(tǒng)管理程序創(chuàng)建的，作為一種企業(yè)級的產(chǎn)品，底層管理程序的高效性降低了總開銷，并使得其上運行的虛擬機接近于本地物理計算性能。充分利用Intel VT和AMD虛擬化（AMD-V）硬件輔助虛擬化技術(shù)，提供更快速、更高效的虛擬化計算能力。與其它基于封閉式專用系統(tǒng)構(gòu)建的虛擬化產(chǎn)品不同，的開放API讓客戶可以通過現(xiàn)有的服務(wù)器和存儲硬件來訪問和控制先進(jìn)的功能。為關(guān)鍵工作負(fù)載提供了所需的先進(jìn)功能，同時提供了大規(guī)模部署必需的簡易操作能力。利用獨特的應(yīng)用儲備技術(shù)，可通過虛擬或物理服務(wù)器快速交付工作負(fù)載，成為企業(yè)每臺服務(wù)器的理想虛擬化平臺。3 詳細(xì)設(shè)計3.1 邏輯架構(gòu)設(shè)計方案在邏輯上由兩部分組成： 數(shù)據(jù)中心 用戶接入3.1.1 數(shù)據(jù)中心邏輯架構(gòu)設(shè)計向用戶提供桌面、數(shù)據(jù)資源的交付，所有用戶桌面、數(shù)據(jù)都放置于數(shù)據(jù)中心中，用戶的執(zhí)行操作均在數(shù)據(jù)中心內(nèi)部完成，最終將用戶執(zhí)行的結(jié)果傳輸給用戶，此部分包括三個層次模塊： 核心應(yīng)用層此層為XX單位現(xiàn)有各項辦公、業(yè)務(wù)系統(tǒng)，如OA、郵件等，未來可將這些業(yè)務(wù)逐步遷移到服務(wù)器虛擬化平臺上運行，以提高服務(wù)器利用率，提升數(shù)據(jù)中心運營效率。 桌面交付層此層為用戶提供虛擬桌面服務(wù)，承載了用戶所需要的各項桌面、數(shù)據(jù)，通過此層，實現(xiàn)了用戶的桌面、數(shù)據(jù)的集中化管理和按需交付，用戶的各項操作均在此層完成，并將執(zhí)行的結(jié)果以屏幕變化量的方式傳輸給用戶，向用戶交付的并非真實數(shù)據(jù)，保證了數(shù)據(jù)始終不會離開數(shù)據(jù)中心，保障數(shù)據(jù)管控的安全性。 接入層此層主要完成將虛擬化層所提供的執(zhí)行結(jié)果向用戶交付的工作。用戶向數(shù)據(jù)中心請求的操作會通過接入層的負(fù)載均衡功能實現(xiàn)自動分配，而用戶在數(shù)據(jù)中心的執(zhí)行結(jié)果也會通過此層傳輸給用戶，因此，此層完成了用戶到數(shù)據(jù)中心的雙向交互，并具備有效的安全控制策略來保障合法用戶的身份登錄及后端系統(tǒng)的單點登錄功能。3.1.2 用戶接入邏輯架構(gòu)設(shè)計內(nèi)網(wǎng)辦公用戶：包括位于總部及分支機構(gòu)內(nèi)網(wǎng)的用戶，為這些用戶提供桌面服務(wù)，用戶可以在內(nèi)網(wǎng)任意終端設(shè)備（筆記本、臺式機、瘦客戶機）上通過自己的賬號訪問自己的辦公資源。3.2 詳細(xì)架構(gòu)設(shè)計整個系統(tǒng)平臺通過安全網(wǎng)關(guān)作為數(shù)據(jù)中心總?cè)肟?，接入層的對外防火墻上只需開放特定端口（TCP 443/8443）即可供用戶訪問，較少的端口提高了系統(tǒng)訪問的安全性。用戶只要在公司內(nèi)網(wǎng)都可以訪問虛擬桌面平臺。由于虛擬桌面的安全特點，數(shù)據(jù)始終不落地，有效保證用戶訪問的數(shù)據(jù)安全性。方案在邏輯上分為兩個部分： 數(shù)據(jù)中心 用戶接入3.2.1 數(shù)據(jù)中心詳細(xì)架構(gòu)設(shè)計按照邏輯拓?fù)鋱D建設(shè)三個邏輯功能層（接入層、應(yīng)用交付層、核心應(yīng)用層），現(xiàn)分別說明如下： 內(nèi)網(wǎng)訪問與安全保障為了滿足用戶對于內(nèi)網(wǎng)訪問的需求，同時又保證數(shù)據(jù)的安全性，我們在數(shù)據(jù)中心內(nèi)建設(shè)辦公網(wǎng)應(yīng)用交付平臺，內(nèi)網(wǎng)終端所在網(wǎng)絡(luò)與應(yīng)用交付平臺通過防火墻隔離，保證了網(wǎng)絡(luò)的安全和數(shù)據(jù)的隔離性。安全接入網(wǎng)關(guān)設(shè)備是接入層的核心組件，其作用主要有：n 負(fù)載均衡：為包括StoreFront門戶網(wǎng)站、桌面虛擬化控制器(DDC)的XML服務(wù)、PVS服務(wù)在內(nèi)的諸多組件提供負(fù)載均衡，實現(xiàn)高可用。n 網(wǎng)絡(luò)隔離：將多個網(wǎng)段相互隔離。辦公網(wǎng)的員工只能訪問辦公網(wǎng)的虛擬桌面，開發(fā)網(wǎng)的員工只能訪問開發(fā)網(wǎng)的虛擬桌面。 桌面匯聚與統(tǒng)一訪問應(yīng)用交付層最終通過安全接入網(wǎng)關(guān)設(shè)備統(tǒng)一交付桌面資源，用戶只需訪問統(tǒng)一的發(fā)布門戶，系統(tǒng)就會根據(jù)用戶身份來自動判別并分配桌面，對用戶的訪問權(quán)限實現(xiàn)了細(xì)粒度的控制，以確保有效的權(quán)限訪問合法授權(quán)的桌面資源。虛擬化技術(shù)在網(wǎng)絡(luò)上并不傳輸真實的業(yè)務(wù)數(shù)據(jù)，加上終端所在網(wǎng)段及應(yīng)用交付網(wǎng)段之間嚴(yán)格的用戶權(quán)限保障，因此，方案足以保證兩網(wǎng)隔離的安全性。以下是應(yīng)用交付層的各個功能模塊：基礎(chǔ)架構(gòu)服務(wù)器集群基礎(chǔ)架構(gòu)服務(wù)器運行各種管理角色的虛擬機，每個角色的作用如下：n 虛擬發(fā)布門戶服務(wù)器（StoreFront）：提供桌面云的發(fā)布門戶網(wǎng)站，用戶身份驗證后可在門戶網(wǎng)站中看到自己可用的虛擬桌面。n 許可證服務(wù)器（License）：負(fù)責(zé)桌面虛擬化的許可證管理和查詢。n 活動目錄（AD）：服務(wù)器提供標(biāo)準(zhǔn)的LDAP目錄服務(wù)，負(fù)責(zé)用戶的身份驗證和所有桌面虛擬化組件之間的信任互訪。n 數(shù)據(jù)庫服務(wù)器（DB）：負(fù)責(zé)存放桌面虛擬化的所有配置信息，同時也可以保存這些服務(wù)器的歷史性能數(shù)據(jù)。n 桌面虛擬化控制器(DDC)：是虛擬桌面基礎(chǔ)架構(gòu)的核心，提供如下服務(wù)：l XML服務(wù)：負(fù)責(zé)Web Interface組件與服務(wù)器群之間的通信。XML服務(wù)驗證用戶身份，提供可用的虛擬桌面列表，并生成相應(yīng)的信息讓終端能夠連接到虛擬桌面；l 控制器服務(wù)：負(fù)責(zé)虛擬桌面上虛擬桌面服務(wù)的通信。控制器服務(wù)進(jìn)行虛擬桌面注冊并保持虛擬桌面狀態(tài)；l 資源池服務(wù)：基于服務(wù)器群配置，資源池服務(wù)聯(lián)系虛擬化基礎(chǔ)架構(gòu)來啟動和關(guān)閉虛擬桌面；虛擬桌面承載服務(wù)器集群虛擬桌面承載服務(wù)器底層使用服務(wù)器虛擬化技術(shù)，每臺物理機上虛擬出一定數(shù)量的虛擬桌面，目前支持客戶端操作系統(tǒng)(Windows 7/8/8.1)和服務(wù)器操作系統(tǒng)(Windows 2008/2008 R2/2012/2012 R2)，桌面上除了承載標(biāo)準(zhǔn)的辦公應(yīng)用外，還運行著一個特殊服務(wù)：l 虛擬桌面代理服務(wù)：負(fù)責(zé)與Desktop Delivery Controller進(jìn)行注冊并保持與控制器的心跳檢測。如果心跳檢測失敗，虛擬桌面服務(wù)將重新與另一個可用的Desktop Delivery Controller進(jìn)行注冊。OS鏡像管理和交付模塊OS鏡像管理和交付模塊是由（置備服務(wù)器，簡稱PVS）組件來完成的。PVS在虛擬化基礎(chǔ)架構(gòu)上為所有的用戶提供了桌面操作系統(tǒng)鏡像。一個基本的操作系統(tǒng)鏡像被創(chuàng)建，包含了操作系統(tǒng)級的配置。每個桌面啟動時，操作系統(tǒng)會經(jīng)由網(wǎng)絡(luò)通過流技術(shù)交付給虛擬桌面。管理員只需要對基本鏡像進(jìn)行升級，所有虛擬桌面將會在下一次重啟時使用最新的鏡像。通過PVS服務(wù)器來集中管理和交付桌面鏡像，使OS的鏡像管理大大簡化，通過1個或數(shù)個鏡像的部署和升級，就能簡單實現(xiàn)成百上千的虛擬桌面的部署和升級維護，大大簡化了鏡像管理的流程和工作量，使桌面更加穩(wěn)定和安全。 資源交付類型的管理系統(tǒng)可以向用戶直接交付整個桌面，并為用戶統(tǒng)一分配存儲空間，應(yīng)用交付平臺可以細(xì)粒度地根據(jù)用戶應(yīng)用需求來決定發(fā)布的資源。當(dāng)任務(wù)型用戶訪問時，平臺可對其發(fā)布流桌面，為用戶提供桌面環(huán)境的同時降低后臺投資成本；當(dāng)知識型用戶訪問時，平臺可對其發(fā)布獨占桌面，為用戶提供個性化的桌面環(huán)境。 系統(tǒng)運維管理整套虛擬化系統(tǒng)均運行于服務(wù)器虛擬化平臺上，服務(wù)器虛擬化為所有虛擬化系統(tǒng)提供了標(biāo)準(zhǔn)、兼容、高可靠的執(zhí)行環(huán)境，同時，還提供了冗余性等安全保障，通過虛擬化平臺，實現(xiàn)了數(shù)據(jù)中心的自動化運維。對于用戶來說，所有的桌面均由統(tǒng)一的鏡像生成，后期的補丁更新、軟件安裝等操作只需要管理員更改母鏡像，即可對特定或所有用戶實現(xiàn)統(tǒng)一的更新，高效快捷。同時，對于用戶的日常運維來說，由于用戶的操作均在數(shù)據(jù)中心完成，管理員對于用戶日常遇到的各種問題（操作系統(tǒng)、配置等）均可在數(shù)據(jù)中心里進(jìn)行維護操作，提升了IT運維效率。3.2.2 用戶接入詳細(xì)架構(gòu)設(shè)計內(nèi)網(wǎng)辦公用戶XX單位通過運營商高質(zhì)量的專線網(wǎng)絡(luò)將總部數(shù)據(jù)中心與各分支機構(gòu)進(jìn)行互聯(lián)，基于虛擬化技術(shù)的移動工作空間能夠?qū)崿F(xiàn)如下功能：l 內(nèi)網(wǎng)高效靈活辦公虛擬化后，用戶的桌面、數(shù)據(jù)與終端設(shè)備之間的硬耦合關(guān)系被打破，用戶可以在內(nèi)網(wǎng)任意終端設(shè)備上通過自己的賬戶來訪問自己的資源，資源隨人走，所有用戶在內(nèi)網(wǎng)任意地點、任意終端設(shè)備均可開展辦公。如某用戶離開辦公室自己的工位到會議室參加會議，無需攜帶任何資料介質(zhì)，只需通過會議室的終端設(shè)備（PC或瘦客戶機）登錄移動工作空間即可訪問到與在工位上辦公時一致的辦公資源，在離開工位時正在進(jìn)行中的工作狀態(tài)(如編輯到一半的文檔)會無縫切換到會議室的終端設(shè)備上。同樣，該用戶到其他分支機構(gòu)辦公，也無需攜帶任何辦公終端設(shè)備和介質(zhì)，直接使用當(dāng)?shù)氐挠嬎銠C終端即可訪問自己原有的桌面，方便而高效。l 數(shù)據(jù)安全保障用戶內(nèi)網(wǎng)辦公無需攜帶介質(zhì)，終端設(shè)備也不會駐留任何業(yè)務(wù)數(shù)據(jù)，因此，方案在實現(xiàn)了用戶靈活辦公的同時保障了數(shù)據(jù)的安全性。3.3 軟硬件規(guī)劃3.3.1 硬件規(guī)劃硬件名稱用途服務(wù)器所有虛擬化組件運行的平臺存儲虛擬化組件的數(shù)據(jù)存儲平臺安全接入網(wǎng)關(guān)設(shè)備（可選）為用戶訪問提供統(tǒng)一訪問接口組成說明：l 服務(wù)器由多臺服務(wù)器使用服務(wù)器虛擬化軟件組成兩個虛擬化服務(wù)器集群。 服務(wù)器組成基礎(chǔ)架構(gòu)服務(wù)器虛擬桌面承載服務(wù)器 基礎(chǔ)架構(gòu)服務(wù)器其上運行了基礎(chǔ)架構(gòu)所需要的各項管理組件，包含如下：管理服務(wù)器角色操作系統(tǒng) / 軟件虛擬機配置數(shù)量許可證服務(wù)器License ServerWindows Server 2008 R2License Services1 vCPU/4G RAM/50G VHD2 (冷備)統(tǒng)一發(fā)布門戶StoreFrontWindows Server 2008 R2StoreFront 2.6IIS2 vCPU/8G RAM/50G VHD2數(shù)據(jù)庫SQL ServerWindows Server 2008 R2SQL Server 2012 標(biāo)準(zhǔn)版2 vCPU/8G RAM/300G VHD2 (引擎)數(shù)據(jù)庫SQL ServerWindows Server 2008 R2SQL Server 2012 Express2 vCPU/8G RAM/50G VHD1 (見證)鏡像管理與發(fā)布Provisioning ServicesWindows Server 2008 R2Provisioning Services 7.62 vCPU/16G RAM/500G VHD2交付控制器Delivery ControllerWindows Server 2008 R2Delivery Controller 7.62 vCPU/8G RAM/50G VHD2微軟活動目錄Active DirectoryWindows Server 2008 R2Microsoft Active Directory2 vCPU/4G RAM/50G VHD2文件服務(wù)器File ServerWindows Server 2008 R2Microsoft File Services2 vCPU/8G RAM/50G VHD2 (DFS-R)服務(wù)器配置：型號處理器內(nèi)存硬盤網(wǎng)卡HBA電源數(shù)量2路6核2.5GHz128GB2塊300GB 10K SCSI 6Gbps 2.5英寸硬盤 RAID14塊千兆或萬兆網(wǎng)卡 (網(wǎng)口)無22 虛擬桌面承載服務(wù)器服務(wù)器角色操作系統(tǒng) / 軟件虛擬機配置數(shù)量流桌面集群 Windows XP SP3 /7 SP1 /8 /8.1Virtual Desktop Agent2 vCPU/3G RAM/10G VHDXXX獨占桌面集群Windows XP SP3 /7 SP1 /8 /8.1Virtual Desktop Agent2 vCPU/4G RAM/50G VHDXXX服務(wù)器配置：型號處理器內(nèi)存硬盤網(wǎng)卡HBA電源數(shù)量2路10核2.5GHz192GB2塊900GB 10K SCSI 6Gbps 2.5英寸硬盤 RAID14塊千兆或萬兆網(wǎng)卡 (網(wǎng)口)無 2X存儲存儲主要考慮兩個指標(biāo)：容量和IOPS 容量需要考慮如下幾個方面的容量需求： 虛擬機對存儲容量的需求 用戶個人數(shù)據(jù)對存儲容量的需求 IOPS需要考慮如下幾個方面的IOPS需求： 虛擬機對存儲IOPS的需求 用戶個人數(shù)據(jù)對存儲IOPS的需求3.3.2 軟件規(guī)劃本方案涉及到的軟件如下表所示。軟件名稱軟件廠商軟件版本/授權(quán)方式數(shù)量LIS-CAP-DESKTOPA-10H3CVDI版 / 按用戶數(shù)授權(quán)XXXWindows 7 32bitMicrosoft專業(yè)版XXXWindows Server 2012 R2Microsoft標(biāo)準(zhǔn)版XXXSQL Server 2012Microsoft標(biāo)準(zhǔn)版XXXWindows VDAMicrosoftN/AXXX3.4 網(wǎng)絡(luò)架構(gòu)設(shè)計整個數(shù)據(jù)中心網(wǎng)絡(luò)的架構(gòu)分為三個部分:業(yè)務(wù)網(wǎng)、管理網(wǎng)和存儲網(wǎng) 生產(chǎn)網(wǎng)生產(chǎn)網(wǎng)與現(xiàn)有核心網(wǎng)絡(luò)架構(gòu)相連，主要用于整體架構(gòu)與外部網(wǎng)絡(luò)的通信，這包括同現(xiàn)有數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的通信、虛擬化管理架構(gòu)和虛擬桌面的通信、對外數(shù)據(jù)的傳輸通信，是本系統(tǒng)的核心網(wǎng)絡(luò)架構(gòu)。 管理網(wǎng)管理網(wǎng)為單獨的網(wǎng)絡(luò)鏈路，用于連接所有Server服務(wù)器虛擬化，實現(xiàn)所有物理服務(wù)器的管理、虛擬機在線遷移、HA功能保證等基礎(chǔ)架構(gòu)所需的管理功能。 存儲網(wǎng)存儲網(wǎng)主要用于與網(wǎng)絡(luò)類型的存儲連接，如IPSAN、NAS等類型的網(wǎng)絡(luò)存儲設(shè)備n 網(wǎng)絡(luò)帶寬需求設(shè)計網(wǎng)絡(luò)類型帶寬需求生產(chǎn)網(wǎng)最少1Gb，建議10Gb管理網(wǎng)最少1Gb，建議10Gb存儲網(wǎng)最少1Gb，建議10Gb3.5 用戶訪問流程桌面虛擬化解決方案將桌面的運行全部集中到數(shù)據(jù)中心，因此對客戶端要求大大降低，可以使用各種接入設(shè)備和系統(tǒng)訪問：