CITRIX厂家模板XX虚拟桌面方案Word格式.docx
《CITRIX厂家模板XX虚拟桌面方案Word格式.docx》由会员分享,可在线阅读,更多相关《CITRIX厂家模板XX虚拟桌面方案Word格式.docx(14页珍藏版)》请在冰豆网上搜索。
∙软件和硬件的投入成本:
信息化建设的发展,经常要面对软件和硬件的不断更新,软件硬件的更新需要大量的IT技术人员进行测试、部署、推广,这也是IT日常支出的一项庞大费用。
∙人员成本:
针对分散的终端PC机,IT人员需要经常进行操作系统、应用系统、硬件等维护工作;
IT人员日复一日陷入低效率的重复手动劳动中,无形中增加了IT管理的人力成本。
∙系统可靠性:
终端操作人员拥有终端过高的权限,可能导致系统可靠性下降,无形中增加了管理成本和人力成本。
∙数据可控性:
终端操作人员可使用终端全部功能,可能导致企业机密数据外泄。
2.解决方案
比起将操作系统和应用部署到所有终端物理工作站的老式做法,新做法——Citrix虚拟桌面与虚拟应用解决方案能够为用户提供安全的桌面设计环境与应用操作环境,而无需花费与大规模发布桌面并保证数据安全相关的时间和费用。
虚拟桌面是一个企业级的,通过一定手段实现的可远程访问、调度和管理的桌面的操作系统,可以是运行在服务器上的虚拟操作系统,也可以是直接安装、运行在数据中心内的物理PC(工作站,刀片PC)上的操作系统。
在虚拟桌面模式下,每个人独享自己的远程操作系统。
将桌面操作系统虚拟化带来很多好处,包括:
∙信息保存在远程的桌面操作系统(目前支持的主要是windows系统)中,即数据中心内,保证了数据的安全性;
∙桌面的性能能够得到提升,因为它和应用后端的服务器都运行在数据中心;
∙桌面可以分享最新最强大的服务器硬件,配置资源可以按照用户需求动态调整;
∙可以从任何地点,任何设备远程访问桌面;
∙在数据中心对所有的桌面进行统一的高效维护,无需特定的补丁与应用的分发软件,统一进行安装和升级,维护桌面的费用大大降低。
应用虚拟化则是将应用统一部署在服务器上,而用户终端不需要安装每一种应用的客户端软件,只需要在服务器端统一安装、维护一套应用(在物理资源充足的情况下),即可以通过使用远程访问协议,直接使用这些应用,从而将用户使用与管理员管理分开,带来更大的收益:
∙用户可以随时随地,通过网络,使用任何设备访问到需要使用的应用
∙终端设备支持更广泛,可以通过PC,瘦客户端、甚至是手机来访问传统PC上才能使用到的各种windows应用
∙应用管理更简单,管理员在服务器进行统一一次管理,就可以将最新更新交付给所有用户
∙数据更安全,通过策略配置,用户无法将机密数据保存在本地设备上,只能在数据中心进行存储,备份,保证数据的安全性和可用性。
提高网络安全,由于只使用需要开放1-2个端口,所以可以实现网络的逻辑隔离和严格控制,在不影响应用的前提下,全面提升网络安全性。
2.1.总体方案
思杰建议采用CitrixXenDesktop™虚拟桌面及XenApp™虚拟应用结合的解决方案来应对以上的挑战。
CitrixXenDesktop桌面虚拟化方案提供一种端到端的桌面交付解决方案。
可动态按需产生虚拟桌面,该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。
用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。
此外,XenDesktop采用的高速交付协议还可在任何网络条件下提供无与伦比的响应速度。
对于IT机构而言,XenDesktop可通过分别交付桌面操作系统、应用和用户设置,大大简化桌面生命周期管理并显著降低拥有成本。
XenDesktop解决方案包含很多组件,从而能够为每个企业的独特需求提供最佳的解决方案。
桌面虚拟化完整的解决方案整体架构如图所示。
这种基于服务器运行模式的应用交付架构已经在全球被大量的电信、金融、政府和企业客户所采用,可以在管理维护、投资成本、应用性能、安全和业务连续性各个方面对现有系统进行提升:
∙首先从管理维护的角度,这种集中管理的优势显而易见:
以前的软件部署和管理,工程师们需要对每一台电脑进行安装和维护工作,低级的重复劳动消耗了大量的人力物力,无法满足企业的业务响应要求。
而现在PC机上不再安装客户端软件,成为标准终端设备,如果一台坏了,换一台备用标准设备就可以继续工作,对业务没有影响。
设备基本维护由厂商提供,企业的IT管理人员只管理和维护中心服务器,通过应用策略去设定每个用户或用户组的行为,管理人员足不出数据中心,通过服务器上各种数据、策略和信息管理着整个企业用户对应用的使用,达到事半功倍的效果。
∙其次性能同样得到提升,集中发布降低了应用对网络和终端硬件的依赖,使其不再成为性能瓶颈,同时Citrix可以集中对应用进行优化,使得用户访问效率大大提高;
∙从安全性来看,所有的企业应用数据和监控逻辑全部保留在数据中心内,防止了敏感信息的泄漏,可以精确地控制对各应用程序的安全访问;
同时中心管理人员可以通过审计录像对敏感操作进行记录,以备审计追踪等。
∙从企业的总体成本衡量,传统模式需要不断地对PC机和带宽进行无底洞式地投入,同时企业存在大量的资源闲置浪费、重复建设和不合理的被迫升级等;
在集中式架构下,企业的应用不再依赖于PC机和客户端网络带宽,只要为每个业务人员配备一台终端和十几K的带宽就可以正常工作;
每次系统和软件升级只需对少量服务器升级即可,节省了大量成本。
Citrix集中接入层还提供了各种安全和管理功能,可以实现全面的用户接入的安全控制和管理,包括用户行为控制、远程监控、远程培训、行为审计、对各个应用的口令管理,以及整体系统的性能监控管理等等。
本方案将采用该架构中的六大核心组件:
1.VirtualizationInfrastructure(虚拟化基础架构):
虚拟化基础架构允许单个物理服务器分成多个共享资源的虚拟服务器。
Citrix的XenDesktop方案可以兼容目前市场上的最主要的3中服务器虚拟化产品:
XenServer,VmWareESX,微软Hyper-v,实现了广泛的兼容性;
而本方案的虚拟化基础架构是基于VmWareESX构建的。
通过在XenDesktop构建虚拟的桌面操作系统,用户可以通过价格更为便宜,更新周期更长的终端设备(瘦客户端,手机)远程的使用这些操作系统开展日常的业务工作,而管理工作都在后台对这些虚拟操作系统进行管理,从而降低整个桌面的采购成本与管理成本。
2.图形工作站:
如果使用了一些基于windows的3D应用,可能要求使用硬件的GPU资源,所以基于虚拟机的方式不能支持;
而XenDesktop可以将传统放在前端得图形工作站收到后台数据中心,进行统一管理,用户可以通过传统PC访问后台的图形工作站,进行使用,从而提高数据安全性与管理效率。
3.VirtualDesktopDeliveryController(虚拟桌面交付控制器):
虚拟桌面交付控制器负责新虚拟桌面的注册以及将虚拟桌面的请求指向可用的系统。
用户通过整合的WebInterface组件间接与控制器进行交互。
通过Web网站,或者通过本地安装的接收器,将虚拟桌面交付给用户。
4.VirtualDesktopProvisioning(虚拟桌面置备):
XenDesktop解决方案的置备服务器在虚拟化基础架构上为虚拟桌面实例提供了操作系统镜像。
一个基本的操作系统镜像被创建,其包括了企业策略规定的所有操作系统级的配置。
当每个虚拟桌面启动时,操作系统会经由网络通过流技术交付给虚拟桌面。
由于只要求对基本镜像进行升级,并且所有虚拟桌面将会在下一次重启时使用最新的镜像。
5.ApplicationDeliveryController(应用交付控制器):
应用交付控制器负责识别分配给用户的应用,并将其交付给虚拟桌面。
应用交付是基于用户需求实现用户桌面个性化的第一部分。
通过将应用与基本桌面镜像分离,所需的桌面镜像数量大大减少,这就简化了维护过程。
6.个性化:
解决方案的个性化允许用户按照需求自定义他们的工作环境。
利用用户个性化,用户设置会被保存起来,并且无论用户接入哪个桌面都可使用保存的个性化设置。
用户个性化不单纯是漫游特性,因为CitrixUserProfileManager删除了所有不必要的设置而只保留了对用户有价值的设置。
而且,个性化设置的交付也进行了优化,因此用户无需长时间等待虚拟桌面的装载。
以上只是高度概括了整个架构,以下部分将会更加详细地介绍,系统如何共同协作来交付虚拟化桌面以满足预定的工作环境。
2.2.技术原理
Citrix的虚拟应用技术能够从更本上解决终端上的信息安全问题,是由于Citrix产品使用的技术原理造成的。
Citrix使用自有的ICA协议处理本地操作与远程桌面和应用的交互。
终端机可以在第一次访问Citrix服务器时下载并安装CitrixICA插件,ICA插件和虚拟应用服务器的平台及虚拟桌面操作系统之间通过ICA协议建立连接通道,使得PC机用户可以正常使用服务器上或者桌面操作系统上运行的各种业务软件。
ICA协议连接了运行在前端服务器上的应用进程和业务PC机的输入输出设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在前端服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此业务用户使用前端服务器上的柜台应用时感觉就像在使用本地模式一样。
ICA协议如下图所示:
虚拟化的应用实现了操作系统与应用软件运行在服务器或后台工作站上,但是操作(输入输出)在客户端机器上,所有的输入如鼠标键盘的操作被ICA协议同步到服务器上执行,所有的输出如屏幕的刷新也被ICA协议同步到客户端。
虚拟化应用操作模式如下图所示:
ICA协议是一种高效率的数据交换协议,采用了数据压缩、加密和连接优化技术,每一个用户的连接只占用10K-20K的网络带宽,而实际运行的客户端软件位于后台的局域网内,因此终端用户相当于用拨号线的链路就可以享受到局域网内的运行速度。
如系统客户端和服务器之间有大量的数据交互,使用Citrix集中模式可以有效地降低数据传输,大大提高整体性能。
同时ICA协议可以分别针对单独的虚拟通道进行控制,这样为用户的访问和使用带来了细粒度的控制。
比如如果控制用户不许通过打印机把信息打印出来,只需中断ICA连接中的打印机通道即可。
安全性方面,客户端直接访问后台时,之间传输的数据是真实的应用数据,该数据会被缓存在用户本地或在传输中被截获,这些都是不安全因素;
而用户访问虚拟桌面时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地,同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。
因而可以说数据总是存放在最安全的地方。
虚拟桌面带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。
对于远程用户从公网访问内网,虚拟桌面通过严格的用户认证进行安全权限控制。
对于企业越来越严格的审计要求,应用XenDesktop虚拟化发布桌面可以提供复杂的内控和审计功能。
对于受控用户或敏感操作,可以提供用户操作应用软件的记录监控,管理人员不仅可以实时在线地监控用户的屏幕操作,还可以用类似录像的方式记录下来,以备审计或回朔检查。
2.3.功能介绍
本方案中将使用下列组件共同协作将动态的虚拟桌面环境交付给用户。
终端
∙DesktopReceiver(桌面接收器):
安装在终端上的思杰客户端,使终端可以采用CitrixICA协议建立与虚拟桌面的连接。
DesktopDeliveryController(XenDesktop服务器)
∙WebInterface:
负责显示基于Web的界面,让用户看到自己的可用虚拟桌面。
∙XML服务:
负责WebInterface组件与XenDesktop服务器群之间的通信。
XML服务验证用户身份,提供可用的虚拟桌面列表,并生成相应的信息让终端能够连接到虚拟桌面。
∙控制器服务:
负责虚拟桌面上虚拟桌面服务的通信。
控制器服务进行虚拟桌面注册并保持虚拟桌面状态。
∙资源池服务:
基于XenDesktop服务器群配置,资源池服务联系虚拟化基础架构来启动和关闭虚拟桌面。
∙IMA服务:
IMA服务负责DesktopDeliveryController(桌面交付控制器)之间所有跨服务器的通信。
这包括流向和来自数据采集器的流量。
VirtualDesktop(虚拟桌面)
∙虚拟桌面服务:
负责与DesktopDeliveryController进行注册并保持与控制器的心跳检测。
如果心跳检测失败,虚拟桌面服务将重新与另一个可用的DesktopDeliveryController进行注册。
对于物理workstation,桌面服务还会提供另外一个组件,将GPU运行结果交付给前端。
∙ApplicationReceiver(应用接收器):
具有正确的凭据之后,ApplicationReceiver联系ApplicationDeliveryController以获得可用的应用程序列表。
ApplicationReceiver还负责向ApplicationDeliveryController发送应用程序启动的请求。
ApplicationDeliveryController(XenApp服务器)
在验证用户身份后,向ApplicationReceiver提供一套可用的应用程序。
负责ApplicationDeliveryController(应用交付控制器)的WebInterface组件与XenDesktop服务器群之间的通信。
XML服务验证用户身份,提供可用的应用程序列表,并生成相应的信息让虚拟桌面能够连接到应用程序(托管或通过流技术交付)。
IMA服务负责ApplicationDeliveryController之间所有跨服务器的通信。
ProvisioningServers(置备服务器)
∙TFTP:
当新的虚拟桌面启动,TFTP会联系DHCP以找到启动文件的IP地址和位置。
通过TFTP服务可以从ProvisioningServer(置备服务器)获取启动文件。
∙流服务:
在虚拟桌面接收到带有指令的启动文件之后,它会联系置备服务器并提供其MAC地址。
ProvisioningServer基于MAC地址识别正确的虚拟磁盘,并使用流服务将部分虚拟磁盘按需发送给虚拟桌面。
显示协议
∙CitrixXenDesktop使用的ICA协议,ICA协议能够适用于TCP/IP、IPX/SPX和NetBEUI等多种协议。
其中,IPX/SPX协议被国内的很多用户所采用,广泛应用于Novell网络。
ICA可以应用于多种网络连接方式,如LAN、WAN、RASdial-up、Directserialconnection(async.)、Directdial-up和Browseavailableservers等。
ICA具备以下特征:
o色彩:
ICA协议支持真彩(24位色)。
o支持本地打印和本地客户打印假脱机。
o分辨率:
ICA协议支持无限大(64000X64000)。
o驱动映射:
ICA协议可以将本地资源和服务器资源无缝地集成在一起,给用户的操作带来极大的方便。
oSpeedScreen:
该项专利技术大大减少了网络传输数据量,一般情况下,平均每个用户的正常工作仅占用10Kbps。
解决了通过广域网系统发布应用程序普遍存在的延时问题。
o多媒体支持:
ICA协议能够支持音频、视频和多媒体带宽控制。
Citrix集中应用发布平台的核心产品是CitrixXenApp,提供了全面的性能优化、安全访问、集中管理和审计等功能,下面就XenApp主要功能进行描述。
集中的应用部属和发布
各种企业应用的客户端只在数据中心的Citrix服务器部署,用户端仅提供连接方式即可,不需要为每个应用安装客户端软件。
系统管理员可单点控制整个系统的进程、资源、状态等,并且通过有效的控制工具部署和督促各个环节的正常工作。
在服务器上升对企业应用客户端进行升级和安装修补程序,便即刻发送给企业所有用户。
用户的身份认证使用和AD集成的方式,并可以使用AD的组来对应用进行用户的授权访问。
用户只能看到和使用经授权使用的企业应用。
图像加速
XenApp不仅降低了在客户端数据传输量,还提供了多种窄带网上的图像加速功能,如:
∙图形加速:
针对如JPG等图片的传递,XenApp提供了进一步的图形压缩,如采用大比例的JPG压缩算法等降低实际的图形传递数据量
∙FLASH加速:
针对浏览器中的FLASH插件进行加速,可以提高大多数WEB应用的现实效率
∙移动图像加速:
针对用户对图像进行平移或转动的操作,在窄带网络上会消耗大量的带宽,XenApp提供了降低图形分辨率的方式,当图像移动时降低分辨率以减少传输,当图像停止下来后,再还原分辨率
∙延时加速:
XenApp的会话连接会针对无线网络进行优化,当窄带网络有很大延时时,会提供本地回显和鼠标响应等优化手段。
打印管理
支持各种打印方式,包括客户端连接的打印机,服务器端打印机和网络打印机。
同时打印管理支持:
∙在Citrix服务器之间复制打印机驱动程序,指定所用打印机驱动程序,限制打印数据流占用带宽。
简化在整个服务器群内管理和复制打印驱动程序的任务。
确保打印任务不会阻塞网络。
∙Citrix通用打印机驱动程序:
将对不同打印机的驱动要求统一为一种通用的打印机驱动程序,降低了对打印机驱动程序管理,同时减少了多个桌面打印机条件下的打印时间。
负载均衡
XenApp内置了负载均衡功能,用户无需额外购买任何组件。
XenApp的集群名称叫做Farm,在一个Farm之内负责计算负载量和分配连接的XenApp服务器的角色叫做DataCollector,所有XenApp服务器的负载状况会存入数据库并实时变化,DataCollector会查询Farm内所有XenApp服务器的负载情况,决定将下一个连接交给Farm内哪一台最空闲的XenApp服务器。
如果一台DataCollector失效,会有备份的XenApp接替。
XenApp提供给用户多种负载均衡算法,其指标包括:
CPU利用率、内存使用率、磁盘交换等十多项指标,用户还可以针对不同应用类型自行定义负载指标的组合。
单点登录(需要XenApp铂金版)
当用户通过了身份认证后,XenApp可以自动管理后台应用的帐号和口令,CitrixPasswordManager(简称CPM),可以实现多系统登陆口令的自动管理,对应用系统无任何改动,是领先的企业单点登录解决方案。
CPM从根本上改变了传统的多口令管理方式。
使用它,用户可直接登录OA系统或业务系统,且口令得到了更高的安全保障。
以前,用户需记住10个,甚至20个口令,而且还必须弄清楚哪个应用配的是哪个口令,现在通过CPM的部署使用户只需一次身份验证,其余的工作将由CPM完成。
它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化终端用户工作,例如口令变更,可以按照系统要求的口令策略自动生成口令。
智能审计(需要XenApp铂金版)
通过Citrix应用发布平台,任何用户使用应用的过程中可以被全程监控:
用户的操作行为及显示器上的内容变化可以通过ICA协议存放到磁盘上,然后在需要的时候像看电影一样回放。
由于ICA协议高效率地节省网络带宽,因此通过ICA记录下来的用户操作录像非常节省空间,经过测试,一个员工一整天的操作全部通过ICA记录下来,生成的文件大小不会超过20M。
同时为有效利用资源和保护隐私,Citrix解决方案也允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。
智能访问(需要XenApp铂金版)
XenApp提供了全面的安全访问控制,所有访问XenApp服务器的用户,都会经过AAC高级访问控制,进行严格的权限控制。
XenApp的智能访问控制能够根据不同用户接入时的不同场景,将有相应的接入策略与之对应,并控制用户使用企业资源的过程和操作。
例如当用户从企业内部网络来访问企业门户中的各种资源时,XenApp监测到该用户访问从信任网络发起(内部网络)后,该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大;
当用户作为企业移动用户来访问企业门户中的各种资源时,该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的;
毕竟,该用户是从外网接入,我们需要对其进行策略控制。
当用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及进行的对资源的操作权限我们是必须要对其进行严格控制的,此时,该用户会发现很多资源只能浏览而没有更多的控制能力。
性能监控(需要XenApp铂金版)
XenApp性能监控工具可以方便地监控XenApp服务器、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及License管理等等。
通过性能监控工具,管理人员不仅可以追踪用户对应用软件的使用情况,提前预知系统的性能问题,并且保存数据,以供分析和产生报表。
2.4.安全性
集中化的部署和管理带来的问题是风险是否也集中了。
这个问题Citrix也有相应的考虑。
安全主要有两类,一类是数据的保密,另一类是指的高可用性。
对数据的保密Citrix的集中应用部署能力,数据仅在数据中心网路传递,客户端仅接收到加密处理后的交互界面,不会像有些传统应用或B/S应用在客户端硬盘上残留任何数据片断(例如:
历史信息、Cache、Cookie等),用户界面与业务数据分离在不同的网络;
若由Internet访问,Citrix提供了AccessGateway(VPN硬件),访问由AccessGateway做中转,用户不能直接访问到Citrix服务器,以及其他应用、数据服务器,同时提供SSL加密传输。
对于高可用性Citrix提供了负载平衡技术,使多个服务器形成集群,动态路由登录的用户至“最休闲”的服务器,使得不同服务器的负载状况大致相同、访问性能达到最佳;
即使其中的某台服务器出现问题,也可自动由其他服务器承担,不会影响用户的正常工作。
事实上,用户只需进行操作、而不必关心究竟是哪一台服务器在哪里或是怎样为自己提供服务的。
2.5.用户体验描述
锦州石化Citrix虚拟桌面解决方案实现方式如下:
1.员工通过分布在车间的终端,以Web或客户端方式登录CitrixDDC服务器,节约当前用户计算机的投资。
未来可以通过采购瘦客户端,代替当前的PC,降低终端设备的采购和维护成本。
2.CitrixDDC服务器提交认证请求到后台域控制器。
3.认证
升级会员 