桌面虛擬化系統(tǒng)解決方案

1、桌面虛擬化系統(tǒng)解訣方案第1章概述41.1工程背景和目的4第2章工程需求52.1 功能需求52.1.1 集中治理52.1.2 應(yīng)用虛擬化52.1.3 桌52.1.4 存儲隔離52.1.5 數(shù)據(jù)保護(hù)52.1.6 遠(yuǎn)程接入訪問限制52.1.7 訪問日志52.2 技術(shù)需求62.2.1 水平擴展62.2.2 負(fù)載均衡62.3 效勞器平安防護(hù)6第3章解決方案及對應(yīng)工程需求的實現(xiàn)73.1 總體方案構(gòu)架73.2 應(yīng)用場景描述73.2.1 內(nèi)部辦公人員：73.2.2 內(nèi)部研發(fā)人員：73.3 對應(yīng)功能需求的實現(xiàn)83.3.1 集中治理83.3.2 應(yīng)用虛擬化93.3.3 桌面虛擬化103.3.4 存儲隔離103.3

2、.5 數(shù)據(jù)保護(hù)113.3.6 遠(yuǎn)程接入訪問限制123.3.7 訪問日志133.4 技術(shù)需求的實現(xiàn)143.4.1 水平擴展143.4.2 負(fù)載均衡143.4.3 效勞器平安防護(hù)14第4章系統(tǒng)預(yù)算18第1章概述1.1 工程背景和目的隨著公司內(nèi)部辦公項規(guī)模擴大,辦公環(huán)境的治理更加復(fù)雜,平安治理的要求也日益提升.利用現(xiàn)有硬件資源,建立一個簡單、易用、平安的統(tǒng)一接入平臺,以有效進(jìn)行辦公環(huán)境的標(biāo)準(zhǔn)治理,支持可控的遠(yuǎn)程訪問模式,同時對于研發(fā)環(huán)境如何保護(hù)重要數(shù)據(jù)與代碼的平安提出了挑戰(zhàn).(1)每臺使用C/S系統(tǒng)的設(shè)備都需要安裝各個模塊的客戶端,部署和維護(hù)客戶端需要花費大量的時間和人力(2)如何進(jìn)行遠(yuǎn)程的維護(hù)、技

3、術(shù)支持以及靈活的擴展與搬遷,這是IT人員希望亟待解決的問題；(3)由于大量的數(shù)據(jù)在廣域網(wǎng)上傳輸,因此遠(yuǎn)程的訪問速度和網(wǎng)絡(luò)性能經(jīng)常得不到保證,數(shù)據(jù)平安面臨挑戰(zhàn)；(4)隨著軟硬件的頻繁升級與更新,客戶端設(shè)備不可防止地要被淘汰,應(yīng)該如何限制系統(tǒng)追加投資？(5)不同的B/S應(yīng)用系統(tǒng)需要在用戶的瀏覽器中安裝或升級不同的插件,修改相關(guān)平安設(shè)置,這就產(chǎn)生了插件版本治理問題、插件維護(hù)問題等.(6)遠(yuǎn)程低帶寬時訪問效率不理想.第2章工程需求2.1 功能需求2.1.1 集中治理將辦公環(huán)境中的應(yīng)用軟件進(jìn)行集中治理,可以根據(jù)需要隨時調(diào)整辦公環(huán)境的應(yīng)用部署,簡化辦公人員客戶端的辦公環(huán)境配置及部署要求.2.1.2 應(yīng)用虛

4、擬化具有包括各類辦公工具在內(nèi)的應(yīng)用軟件發(fā)布功能和Web網(wǎng)頁發(fā)布功能.2.1.3 桌面虛擬化特定企業(yè)用戶可使用集中部署的虛擬桌面進(jìn)行日常辦公和設(shè)計工作,工作數(shù)據(jù)均保存在后臺效勞器.2.1.4 存儲隔離每個用戶能建立各自的文件系統(tǒng)或存儲空間,相互之間不能訪問.但授權(quán)用戶可以訪問特定用戶組的存儲空間,可以通過FTP或者其它方式獲取用戶存儲空間的數(shù)據(jù).2.1.5 數(shù)據(jù)保護(hù)研發(fā)人員所有的代碼及辦公數(shù)據(jù)只在效勞器端傳遞,提升系統(tǒng)數(shù)據(jù)訪問的平安性.2.1.6 遠(yuǎn)程接入訪問限制支持分公司遠(yuǎn)程接入的辦公模式,能有效限制用戶的剪貼板、本地硬盤、打印機、端口等操作,做到分公司人員未經(jīng)授權(quán)無法從任何渠道獲取代碼、文檔

5、和辦公數(shù)據(jù).對于合作公司的遠(yuǎn)程訪問要求能有效限制,包括登錄時間段、登錄用戶的監(jiān)控.2.1.7 訪問日志用戶登錄及對辦公工具和應(yīng)用軟件的訪問,應(yīng)該有日志記錄.2.2 技術(shù)需求2.2.1 水平擴展效勞器端支持水平擴展,能通過水平增加效勞器來適應(yīng)辦公需求的擴大2.2.2 負(fù)載均衡可根據(jù)用戶訪問量和資源使用情況,動態(tài)分配到到負(fù)載量最低的效勞器上.可支持手動負(fù)載均衡操作.2.3 效勞器平安防護(hù)保證效勞器對外效勞時,系統(tǒng)平安性,保證數(shù)據(jù)平安.第3章解決方案及對應(yīng)工程需求的實現(xiàn)3.1 總體方案構(gòu)架通過CitrixXenApp集中部署和發(fā)布應(yīng)用客戶端軟件,整個的后臺應(yīng)用服務(wù)器架構(gòu)沒有變化,客戶端可以通過Xen

6、App來訪問集中發(fā)布的各種企業(yè)應(yīng)用和辦公工具.其整體構(gòu)架如下列圖所示：防火墻防火墻研發(fā)人員件文置配序程用應(yīng)統(tǒng)系作操3.2 應(yīng)用場景描述3.2.1 內(nèi)部辦公人員：內(nèi)部辦公人員直接訪問Citrix統(tǒng)一身份驗證平臺,獲取授權(quán)的虛擬桌面和虛擬應(yīng)用程序,開展日常辦公工作,用戶數(shù)據(jù)集中保存在文件效勞器.3.2.2 內(nèi)部研發(fā)人員：研發(fā)人員使用沒有硬盤的PC機,通過CitrixProvisioningServer網(wǎng)絡(luò)引導(dǎo),創(chuàng)立無盤工作站環(huán)境,操作系統(tǒng)鏡像保存在CitrixProvisioningServer上,軟件更新及系統(tǒng)補丁只需在效勞器上進(jìn)行一次更新即可完成.研發(fā)數(shù)據(jù)均保存在數(shù)據(jù)中央效勞器上,未經(jīng)允許研發(fā)

7、人員無法通過任何途徑獲得相關(guān)數(shù)據(jù)文件.常用辦公軟件OA,ERP,CRM等集中安裝在CitrixXenApp上,而所有訪問用戶使用終端設(shè)備只需通過IE就可以運行授權(quán)的虛擬桌面和應(yīng)用程序第一次訪問時會自動提示下載安裝一個幾兆大小的CitrixICA插件,多用戶同時訪問時,由XenApp治理和運行應(yīng)用客戶端軟件的多進(jìn)程訪問,并限制向不同用戶發(fā)布的權(quán)限.Citrix可整合企業(yè)現(xiàn)有的活動目錄中的用戶賬戶來進(jìn)行用戶身份認(rèn)證.圖中的文件效勞器,提供了用戶的個人數(shù)據(jù)存儲功能.通過使用Windows的目錄權(quán)限限制,及文件夾重定向功能,可以做到用戶數(shù)據(jù)的平安保存及漫游訪問.對于未來非辦公網(wǎng)段的應(yīng)用的部署,可以通過

8、在相應(yīng)的網(wǎng)段部署XenApp效勞器來實現(xiàn).備注：在本建議書中,由于工程初步階段的應(yīng)用都集中在辦公網(wǎng)段,所以在軟件及硬件配置清單中,只考慮了在辦公網(wǎng)段部署XenApp和Xendesktop效勞器.假設(shè)在其他網(wǎng)段部署額外的XenApp和XenDestktop效勞器,由于Citrix的軟件許可是基于并發(fā)用戶數(shù),只要并發(fā)用戶數(shù)不變,可以共用已有的CitrixXenApp和XenDesktop軟件許可,無需另外采購.只需要增加相應(yīng)的效勞器硬件及Windows授權(quán)即可.在后端的效勞器資源方面,可以采用效勞器虛擬化整合之后剩余的效勞器.3.3 對應(yīng)功能需求的實現(xiàn)3.3.1 集中治理Citrix的集中部署模式

9、只將企業(yè)應(yīng)用部署在數(shù)據(jù)中央,由于客戶端和效勞器位于同一局域網(wǎng)內(nèi),因而應(yīng)用性能和平安性得到提升,用戶可以通過任意終端和任意網(wǎng)絡(luò)進(jìn)行訪問數(shù)據(jù)中央,非常方便；而企業(yè)只需對局域網(wǎng)內(nèi)的數(shù)據(jù)中央進(jìn)行治理,實現(xiàn)了治理維護(hù)的簡化.應(yīng)用軟件的安裝及配置變化,均可以在服務(wù)器端集中進(jìn)行,大大簡化了辦公環(huán)境的配置和部署.3.3.2 應(yīng)用虛擬化XenApp為用戶提供了基于效勞器的計算模式(Server-basedComputing),實現(xiàn)了虛擬化應(yīng)用發(fā)布.具技術(shù)核心是ICA協(xié)議,ICA協(xié)議連接了運行在XENAPP效勞器上的應(yīng)用進(jìn)程和遠(yuǎn)端客戶端設(shè)備,通過ICA的32個虛擬通道(包括鼠標(biāo)、鍵盤、圖像、聲音、端口、打印等等)

10、,運行在中心效勞器上的應(yīng)用進(jìn)程的輸入輸出數(shù)據(jù)重新定向到遠(yuǎn)端客戶端機器的輸入輸出設(shè)備上,因此雖然應(yīng)用客戶端軟件并沒有運行在客戶端設(shè)備上,但是用戶使用起來和在客戶端安裝運行客戶端軟件相比,沒有感覺任何操作上的改變.XenApp虛擬化應(yīng)用發(fā)布原理如下列圖所示:由于ICA協(xié)議是一種高效率的數(shù)據(jù)交換協(xié)議,同時在中央效勞器和遠(yuǎn)端終端設(shè)備之間傳遞的是經(jīng)過壓縮和加密的屏幕刷新和鼠標(biāo)鍵盤信息,因此每一個連接只占用十幾K的網(wǎng)絡(luò)帶寬.這種模式使得企業(yè)應(yīng)用部署架構(gòu)上發(fā)生變化,從一種分布式部署變成了大集中的應(yīng)用部署,因而帶來了應(yīng)用訪問、性能及平安等各個方面的提升.3.3,3桌面虛擬化任何設(shè)得標(biāo)雅化pc虛授交村協(xié)議效勞器

11、端虛擬化桌實時配給新,L圈中的桌面軟件流卓面授作系境CitrixXenDesktop可提供一種端到端的桌面交付解決方案.可動態(tài)按需產(chǎn)生虛擬桌面,用戶每次登錄時都能獲得一個干凈的、個性化的全新桌面一一從而保證性能不會下降.止匕外,XenDesktop采用的高速交付協(xié)議還可在任何網(wǎng)絡(luò)條件下提供無與倫比的響應(yīng)速度.對于IT機構(gòu)而言,XenDesktop可通過分別交付桌面操作系統(tǒng)、應(yīng)用和用戶設(shè)置,大大簡化桌面生命周期治理并顯著降低擁有本錢.CitrixXenDesktop可為任意地點的用戶按需交付桌面,同時顯著簡化生命周期治理.它可提供一種端到端的桌面交付解決方案,為最終用戶加速交付桌面,提供更強大的

12、數(shù)據(jù)保護(hù)和監(jiān)控,并降低高達(dá)40%的擁有本錢.采用桌面虛擬化技術(shù)可以在數(shù)據(jù)中央集中化治理桌面,還可輕松實現(xiàn)平安防護(hù)及備份.然而,經(jīng)常出現(xiàn)的同一生命周期治理問題依然存在一一IT部門仍需對每個虛擬桌面鏡像及其所安裝的應(yīng)用程序和用戶設(shè)置進(jìn)行治理、維護(hù)和更新.另外,桌面虛擬化還會帶來新的挑戰(zhàn)一一尤其是會使用戶的網(wǎng)絡(luò)性能大大降低,使每位用戶的桌面鏡像網(wǎng)絡(luò)存儲本錢大大增加.3.3.4 存儲隔離通過選擇NTFS文件系統(tǒng)和WindowsServer的用戶Profile機制,每個用戶可以有自己的存儲空間.利用NTFS的文件權(quán)限的治理機制,用戶在效勞器端的私有存儲空間,工作目錄,臨時文件可以被平安的治理和限制.可限

13、制用戶的對其他用戶數(shù)據(jù)的交叉訪問.也可給予特定治理員訪問、獲取用戶數(shù)據(jù)的權(quán)限.同時可以通過配置WindowsServer2003的文件夾重定向,將MyDocuments等目錄集中重定向到集中的文件效勞器,從而保證用戶不管登錄到哪臺效勞器,都能一致地訪問其用戶數(shù)據(jù).3.3.5 數(shù)據(jù)保護(hù)傳統(tǒng)模式應(yīng)用分布在企業(yè)的所有客戶端上,其平安要考慮各個環(huán)節(jié)：效勞器、客戶機和端到端的網(wǎng)絡(luò)；具維護(hù)和平安治理范圍需要涵蓋企業(yè)的每一臺終端設(shè)備和跨廣域網(wǎng)段.由于客戶端直接訪問后臺時,之間傳輸?shù)臄?shù)據(jù)是真實的企業(yè)應(yīng)用數(shù)據(jù),該數(shù)據(jù)會被緩存在用戶本地或在傳輸中被截獲,這些都是不平安因素；而用戶訪問XenApp或XenDeskt

14、op效勞器時,之間傳輸?shù)氖瞧聊辉隽孔兓畔⒑褪髽?biāo)鍵盤變化信息,用戶端無任何應(yīng)用數(shù)據(jù)緩存在本地,同時中途截獲這些信息然后反推出用戶真正的辦公操作和數(shù)據(jù)比直接截獲辦公數(shù)據(jù)困難上千倍.因而可以說數(shù)據(jù)總是存放在最平安的地方.XenApp和XenDesktop帶來的最大益處是采用應(yīng)用虛擬化方式阻止數(shù)據(jù)任何時候離開數(shù)據(jù)中央.對于遠(yuǎn)程用戶從公網(wǎng)訪問內(nèi)網(wǎng),XenApp和XenDesktop通過嚴(yán)格的用戶認(rèn)證進(jìn)行平安權(quán)限限制.由于網(wǎng)絡(luò)上傳輸?shù)闹皇强蛻舳说逆I盤、鼠標(biāo)動作以及顯示界面的刷新部分,辦公數(shù)據(jù)和代碼的并不下載到客戶端本地；數(shù)據(jù)、緩存、Cookie等等全部在中央受限的環(huán)境中限制；另外ICA協(xié)議還含有多種加密

15、技術(shù),保證顯示界面和用戶操作數(shù)據(jù)的平安傳輸；客戶端的操作感覺雖然就像在本機操作一樣,但未經(jīng)權(quán)限許可,不得擅自修改、備份、拷盤、打印等.通過應(yīng)用發(fā)布的方式,內(nèi)部員工和外部合作公司的員工只能使用本崗位的應(yīng)用程序,而不能翻開其他的應(yīng)用軟件或數(shù)據(jù)信息.對于研發(fā)人員可采用無盤工作站的工作原理,客戶端均為無硬盤的PC機通過CitrixProvisioningServer的無盤啟動為開發(fā)人員提供研發(fā)環(huán)境,所有研發(fā)數(shù)據(jù)均保存在文件效勞器,通過設(shè)置禁用本地所有端口例如：USB端口,打印端口等保證企業(yè)核心數(shù)據(jù)不被泄露.3.3.6 遠(yuǎn)程接入訪問限制Citrix為用戶提供了統(tǒng)一的平安接入手段,一個典型的接入過程如下列

16、圖所首先用戶需要進(jìn)行身份認(rèn)證,XenApp集成了各種身份認(rèn)證手段,包括雙因素認(rèn)證等,訪問用戶提供用戶名、口令和passcode:當(dāng)用戶通過認(rèn)證后,會通過加密鏈路進(jìn)入其個人訪問門戶,看到其所能訪問的各個應(yīng)用軟件：CitrixMg悔FrameMe電'S山伯hhAaIFAuC-fuRKPHMiitmAnJp|tf<i4£1*Hr*BFa-tt03JHnnwI.HriuieE3出EimAcki)gIiMwarrHf/towiTbATW4爭zmzerM&gfqElMHm莽色即-Lrtiiwx*向'*1SyiisBiFAarh£專?¥加麗U網(wǎng)i*

17、Ripa-Bine-AwpartsPfoMlRtBwiceP*(bPre#Lilliwwwpartnersle.cfimQSDI.*飄,聲-芻aid,Pi-scunci：5CmprtllwiMartialAtHMhC45CSlU±E5'CLftttPnHftJdIptformihonOtherRfrttUnbfrSMtrknR*i4un>»4*二一二LCompinyfl!&iourc«E®R.向叩id,L*ni*,中*修lr*HiGovrhomv良jM1mh日回W»lcc»m*toyourAccm*Cahtert

18、NOWtOUMliCCtfttG«*n"制題CkLwnlralIh祚初dIho與ipmi!W*idWEiMFirS3kri：filiiivounBEWtnTMirjDb0"liltleRsld*儀力日KTQBTi,T(MwUliMtiNNofmrrKUKtftnilspartofAccessCe-nalii-aHflAl第g國好35Minfngl1"ill*dmf0口In4口iwiicbAJWaflwlv«Y4UWilIIIRIMmrwhniorkHKOiMlLfl叫.WQUPidurfl-HfirlWkdnh'band0310-4sl

19、fl-ue+ycmG-mgtl«EceM帕西fhtrd學(xué)式ra-puts.and網(wǎng)rIIMwDftraningYidMgx.*tItiviDpHZKl«R|h.r»willMtntLmmIimThufnijiphff.期RIM湖氐而nqti#tou=狗10*9gr|0B,Mwn必dk>郵aiepk咄Hfw«iritumhwmdwIywwdKCHittovwfmvt-Mezfl1151sd麗也：-.ck-ipmci3mE當(dāng)用戶使用某一軟件,或訪問某一系統(tǒng),通過Citrix的虛擬化效勞器和口令治理,在幾秒內(nèi)自動完成應(yīng)用調(diào)用和登陸,然后用戶就可以如在本地

20、一樣使用所需軟件和應(yīng)用.而治理員不僅可以方便地設(shè)置每個應(yīng)用允許哪些用戶的訪問,并且可以詳細(xì)地記錄用戶對各應(yīng)用的使用情況.通過Citrix應(yīng)用交付平臺可以嚴(yán)格限制用戶對應(yīng)用的訪問,根據(jù)不同用戶接入時的不同場景,將有相應(yīng)的接入策略與之對應(yīng),并限制用戶使用企業(yè)資源的過程和操作.可限制的操作和資源訪問包括Copy/Paste、打印、保存到本地,端口的訪問等.3.3.7 訪問日志治理員不僅可以方便地設(shè)置每個應(yīng)用允許哪些用戶的訪問,并且可以使用SQL數(shù)據(jù)庫的方式,詳細(xì)地記錄用戶對各應(yīng)用的使用情況,可以生成各種報表,如用戶登錄時間,運行的應(yīng)用等.3.4 技術(shù)需求的實現(xiàn)3.4.1 水平擴展Citrix內(nèi)置實現(xiàn)了群集功能,在Citrix效勞器配置中集群稱之為一個Farm,當(dāng)用辦公系統(tǒng)規(guī)模擴大時,可以方便地通過在ServerFarm中添加服務(wù)器來進(jìn)行水平擴展.3.4.2 負(fù)載均衡O者率應(yīng)用CitrixDataStoieCitrixXenApp集鴕在Citrix的ServerFarm中,“DataCollector負(fù)載均衡調(diào)度效勞器負(fù)責(zé)收集每一臺效勞器里面的一些動態(tài)信息,如CPU,內(nèi)存等使用情況,并與之進(jìn)行交流；當(dāng)有應(yīng)用請求時,自動將請求轉(zhuǎn)到