Citrixbosssolutionv1.docx
《Citrixbosssolutionv1.docx》由会员分享,可在线阅读,更多相关《Citrixbosssolutionv1.docx(31页珍藏版)》请在冰豆网上搜索。
Citrixbosssolutionv1
BOSS客户端大集中
Citrix解决方案
思杰系统亚太有限公司
目录
一前言3
二总体方案4
1.需求分析4
2.总体架构6
3.应用场景8
1)BOSS营业厅改造8
2)BOSS远程访问与合作营业厅扩展10
3)BOSS与OA互访及客服前移12
4.投资回报分析13
三技术方案14
1.技术原理14
2.功能介绍16
1)负载均衡16
2)图像加速17
3)单点登录17
4)智能审计17
5)智能访问18
6)性能监控18
3系统配置19
1)客户端配置19
2)服务器配置20
3)软硬件配置列表22
四附录24
附录一:
Citrix公司简介24
附录二:
Citrix在电信行业的应用25
Vodafone(沃达丰)26
TelusMobility27
中国某移动业务运营商28
一前言
当今企业发展趋势,业务随需而动。
这是全球经济环境处于飞速发展和变化中的必然结果,电信行业也正在向合作联盟、业务外包以及全球化方向发展,人员工作环境更加具有移动性,组织体系处于不断的重组和收购之中,同时随着业务的要求,电信企业的应用不断地变化和更新,其分支机构和合作伙伴不断扩张,所有这一切都对电信企业的IT基础架构提出了挑战。
以BOSS系统为例,基于传统IT基础架构的BOSS系统是静态体系的产物,每一次升级或者新的应用或用户的部署都会对现有体系产生冲击,管理人员需要消耗大量的时间和精力对软硬件进行维护,开发人员需要针对各种应用场景开发应用版本,同时随着用户数量和身份的增多,架构体系不灵活的矛盾凸现,企业为了应对不断下降的应用性能,只能不断地购买和升级服务器和PC机,以及为日益拥堵的数据传输购买和增加带宽。
同时业务和工作人员逐渐被各种应用终端硬件所局限住,安全漏洞难以管理。
大集中架构从体系上改变了这一切。
越来越多的BOSS部署采用了BOSS客户端大集中的概念,即在不用重新开发和改动BOSS系统软件的前提下,所有的BOSS客户端集中在中心服务器上部署,而不用在客户端机器上安装,通过中心服务器强大的并行计算能力将多用户计算结果控制投放到各个客户端设备,从而不仅实现了用户将BOSS系统从C/S转B/S的目标,而且达到了更高层次的基于服务器计算模式的虚拟化应用,实现了用户对应用的逻辑访问,而与其物理位置和物理设备无关,因此大集中式BOSS系统是一种动态结构,能够更加灵活地适应电信企业的业务扩张。
Citrix是大集中架构的倡导者,是应用发布和虚拟计算的领导者,为用户提供动态灵活的集中IT架构,关注用户访问应用的体验。
Citrix的理念是,任何用户都可以在任意时间、任意地点、通过任意设备和网络简单、快捷、安全和策略的访问应用。
二总体方案
1.需求分析
电信企业目前的BOSS系统仍然大量采用C/S系统,属于传统的分布式架构,这种结构当用户规模扩大到一定程度,企业会逐渐面临如下问题:
∙管理维护困难,由于BOSS客户端是用户访问BOSS系统的入口,企业必须对其进行管理和维护,但是当BOSS客户端分散部署在大量的客户端PC机上时,维护和管理成为一项庞大而繁琐的工作
∙系统升级困难,按照传统模式进行BOSS系统的部署升级和改造,覆盖面包括整个最终用户的客户端PC机,因此会带来整个企业范围的系统变动,加大了项目周期和难度。
∙网络问题,传统模式对网络的要求过高,只有在局域网里才能初步保证BOSS系统性能,因此按照传统模式将BOSS系统延伸到分支机构或合作伙伴,需要铺设和购买大量的网络带宽,而且随着BOSS系统功能越来越多,数据量越来越大,带宽总是处于短缺状态,需要的额外投资越来越多。
∙安全性问题,传统模式的安全漏洞很多,比如BOSS客户端的扩散会带来业务逻辑的泄漏及业务敏感信息的泄漏,而最终用户的PC机的混乱环境不仅会使得BOSS客户端工作异常,而且其对BOSS服务器的直接访问会给后台服务器带来危害。
∙性能和效率问题,BOSS系统对于电信企业属于关键业务系统,必须保证业务响应的要求,但是实际使用中往往由于网络问题、硬件问题或者业务高峰等造成使用性能不稳定,完成一笔计费业务需要时间不等,直接导致服务质量下降,无法进行业务质量控制。
∙扩展性问题,由于以上各个方面的限制,使得BOSS系统无法按照业务的要求进行扩展,比如合作营业厅需要使用BOSS系统的部分功能,但是传统模式对于安全问题无法解决,或者网络问题导致性能成为障碍等等,使得BOSS系统安照传统模式难于扩展。
∙投资回报,传统模式需要不断地在网络和硬件上投资,不停地更新换代,同时需要维持庞大的技术支持维护队伍对整个系统进行维护,对企业来讲是一项低回报的投资。
传统的BOSS系统面临着如此之多的问题,已经不单单的是硬件、网络或者软件等某一方面问题,而是传统架构带来的问题,传统的BOSS系统架构是从C/S系统的部署模式简单地扩展而来的,只有在局域网里才能高效运转,但是企业的BOSS业务覆盖早已经远远超出了局域网,而如果直接将在BOSS系统部署在广域网上,就不可避免地出现上述问题。
传统BOSS部署架构如下图所示:
传统BOSS系统架构带来问题的根源在于其BOSS客户端大量地分散在企业各个物理位置,而这些BOSS客户端对硬件和网络均有很高的要求,为了让这些客户端正常运行,企业的维护和管理范围无限扩大,不仅投入大量人力物力对BOSS客户端进行维护,同时需要投入大量资金改造网络和硬件,但是依然无法确保性能、安全等问题。
从架构层面解决如上问题,必须将BOSS客户端上收,实现大集中模式。
2.总体架构
BOSS客户端大集中是指业务人员本地PC机上不再安装BOSS客户端,而是在数据中心部署Citrix服务器集群来运行每个业务人员的BOSS客户端,这种架构一方面通过Citrix虚拟应用技术实现了业务人员通过未安装BOSS客户端的标准PC或终端照常访问和使用BOSS系统,另一方面大集中架构将企业BOSS系统的部署运行还原到局域网内,将其管理和安全保护范围限制在数据中心内,从而全面提升管理、安全、性能等各个方面。
BOSS客户端大集中架构如下图所示:
可以看到,蓝色部分为原有架构及访问点,Citrix对原有架构非常平滑地进行了改善,原有的后台BOSS服务器及局域网访问保持原样不动,只是在营业厅用户访问和BOSS服务器之间增加了Citrix服务器集群,主要实现对BOSS客户端的集中部署和计算,这样可以大大减少IT维护,降低在广域网络上的数据传输和带宽占用,全面提升远程访问的效率,并且由于客户端软件不再扩散到远程分支机构,管理得到进一步加强,系统整体安全性得到提高。
这种基于服务器运行模式的大集中架构已经在全球被大量的电信、金融、政府和企业客户所采用,可以在管理维护、投资成本、应用性能、安全和业务连续性各个方面对BOSS系统进行提升:
∙首先从管理维护的角度,这种集中管理的优势显而易见:
以前的软件部署和管理,工程师们需要对每一台电脑进行安装和维护工作,低级的重复劳动消耗了大量的人力物力,而且电信企业覆盖面广业务点多,管理人员就算频繁出差,也无法满足企业的业务响应要求。
而现在PC机上不再安装BOSS客户端软件,成为标准终端设备,如果一台坏了,换一台备用标准设备就可以继续工作,对业务没有影响。
设备基本维护由厂商提供,企业的IT管理人员只管理和维护中心服务器,通过应用策略去设定每个用户或用户组的行为,管理人员足不出数据中心,通过服务器上各种数据、策略和信息管理着整个企业用户对应用的使用,达到事半功倍的效果。
∙其次性能同样得到提升,集中发布降低了应用对网络和终端硬件的依赖,使其不再成为性能瓶颈,同时Citrix可以集中对应用进行优化,使得用户访问效率大大提高;
∙从安全性来看,所有的企业应用数据和监控逻辑全部保留在数据中心内,防止了敏感信息的泄漏,可以精确地控制对各应用程序的安全访问;同时中心管理人员可以通过审计录像对敏感操作进行记录,以备审计追踪等。
∙从企业的总体成本衡量,传统模式需要不断地对PC机和带宽进行无底洞式地投入,同时企业存在大量的资源闲置浪费、重复建设和不合理的被迫升级等;在集中式架构下,企业的应用不再依赖于PC机和客户端网络带宽,只要为每个业务人员配备一台终端和十几K的带宽就可以正常工作;每次系统和软件升级只需对少量服务器升级即可,节省了大量成本。
Citrix集中接入层还提供了各种安全和管理功能,可以实现全面的用户接入的安全控制和管理,包括用户行为控制、远程监控、远程培训、行为审计、对各个应用的口令管理,以及整体系统的性能监控管理等等。
3.应用场景
1)BOSS营业厅改造
目前,移动公司各服务厅采用电脑终端进行业务处理,电脑和办公网络成为保障公司客户服务工作正常开展的基础。
如何才能最大程度地保证各服务厅的前、后台终端及外接设备正常运作,降低故障发生率、缩短故障处理时间是信息技术中心管理室的重要职责,同时也是目前面临的重要问题。
移动公司目前的系统维护模式仍采用各服务厅的终端发生故障时进行派单,少数系统维护人员派车赶往现场集中处理的模式。
但由于各服务厅遍布各县/镇/区,离公司总部距离普遍稍远,在系统维护人员短缺的情况下又不能派人常驻各服务厅进行终端维护,所以在终端电脑维护和故障响应时间方面一直未能达到让人满意的效果;随着各服务厅终端数量越来越多,目前的设备维护模式已经不能适应高效率、高质量服务的发展需求,对现有的设备维护模式进行改革势在必行。
服务营业厅面临的问题:
∙IT维护支持响应滞后,对于一般的市公司已经达到1000台电脑、100台打印机和200台网络设备的IT规模,其中服务系统客户端软件的少部分故障可以通过远程软件来完成处理,绝大部分故障则只能派人现场处理,而最远的镇服务厅离市公司大概100多公里,来去要花费四个小时。
由此可见,现在各服务厅终端维护模式无法满足各服务厅的正常工作的响应要求。
服务厅是移动公司的主要提供业务办理渠道,每天有大量客户到服务厅办理业务。
所以各服务厅的前台一旦出现故障,对各服务厅的工作将有重大影响。
∙各服务厅系统升级工作难于统一实施,每次各服务厅操作系统升级,都会有一些终端无法正常进行,只能手动升级,这造成了各服务生产终端维护工作量特别大。
另外各服务厅终端的操作系统使用时间已近3年,昼夜不停的使用导致电脑操作系统运行较慢,对所有电脑统一进行重新安装操作系统既耗费人力、物力,而且也会占用服务厅工作人员大量的时间,目前来说很难实行。
而且各服务厅现有终端的硬件维护工作量将会越来越大,各服务厅大部分电脑终端陆陆续续的即将超过3年质量保修期,早期购买的电脑已低于服务厅要求的标准配置,对于过保的电脑硬件维护和升级将在以后工作中占较大比重,目前也缺少终端电脑硬件配置的详细资料。
∙前台生产终端系统存在较多安全漏洞。
生产终端全部采用PC机,存在很多众所周知的安全漏洞问题,很容易受到黑客攻击、病毒入侵的影响。
生产终端缺乏严格管理和有效控制,无法保证接入终端和用户身份的合法性和可靠性。
o终端用户在本机上具有管理员的权限,可以随意安装与业务无关的软件、访问与业务无关的网站、更改系统的设置,容易导致一些终端部分业务软件不能正常使用。
o对于存在安全问题的设备,目前采用手工查找MAC地址的方式定位其所连接的交换机端口,比较麻烦,所需时间较长,往往会影响到网络的运行。
o目前对终端定期扫描采用网络扫描器,扫描不同网段的终端速度比较慢,而且会占用很大带宽,扫描自动化程度不高。
o远程控制方面形式不够统一,而且需要终端提供密码,给远程维护带来很大不便。
实施BOSS客户端大集中改造的收益
BOSS客户端大集中后,用户的PC机上不再安装BOSS客户端,因此访问BOSS系统对PC机和网络的要求降到了最低,终端维护变得简单,企业IT人员不再维护PC机,所有的访问管理均可以通过远程管理。
这种模式带来的收益包括:
∙高效率的IT支持响应,通过BOSS客户端大集中部署后,能够实现对生产终端的统一标准化安装、安全策略自动分发和同步、安全补丁自动升级等,实现对生产终端以及网络设备的集中、统一管理。
对中心终端及网络设备远程集中管理,将极大程度地提高维护效率、增强终端安全性和稳定性以及极大降低公司维护成本。
∙安全性大大提高,当前,由于安全补丁或病毒升级包更新不及时造成的生产力损失已经成为IT管理中的重要问题,
∙软硬件投资降低
(待补充)
2)BOSS远程访问与合作营业厅扩展
目前BOSS系统有大量的远程访问需求,主要来自于合作营业厅业务,而以目前BOSS系统的传统架构如果对合作厅开放远程访问,必然在性能和安全两方面之间难以平衡:
由于合作厅属于合作伙伴,从IT架构来看属于企业外部访问,所以对其访问的安全控制要求要高于企业内部访问,目前的BOSS架构由于缺少在BOSS客户端和服务器之间的安全控制,只能另寻出路,有的在网络层寻找办法,比如采用网闸技术,实现物理连接层的隔离;有的干脆为远程访问另外建立一套BOSS服务器,实现远程用户和企业内部客户的分离。
而无论哪种方案,为了保证BOSS系统的远程访问时的性能,企业还要对合作厅到BOSS服务器之间的网络进行投资,为企业带来了额外的负担。
建立两套BOSS服务器的做法属于无奈之举,并不可取,因为这种模式需要定期地同步两套甚至多套BOSS服务器和数据,不仅造成了额外的管理维护成本,并且不能保证两套系统的一致性;而如果采用网闸技术,那么传统的BOSS客户端部署在营业厅的PC机上,其访问BOSS服务器时必然要经过网闸,并且受到广域网带宽的限制,性能无法保证;同时由于BOSS连接发起方位于合作伙伴的PC机,无法严格控制客户端行为,也就是说,用网络层安全技术是无法完全解决应用层安全问题。
实施BOSS客户端大集中改造的收益
BOSS客户端大集中结构很好地解决了网络安全对BOSS系统性能的影响,如下图所示:
大集中模式中BOSS客户端位于网闸以内的Citrix服务器上,和BOSS服务器同属数据中心内的局域网运行模式,能够保证运行的高效率,而用户的访问经过网闸,由于Citrix的连接协议适用于延时和窄带网络,因此用户可以通过窄带网连接,享受局域网的BOSS运行速度,访问体验不受网闸影响。
同时由于BOSS客户端位于数据中心,BOSS应用连接完全处于企业内部IT的管理和监控范围之内;而合作伙伴只能通过Citrix服务器被授权访问应用,无法直接与BOSS服务器发起连接,整体安全性得到大大提高。
而基于大集中架构的BOSS系统由于解决了远程用户的安全访问、应用效率、管理维护等问题,因此非常利于合作营业厅的扩展,BOSS系统对合作方的硬件和网络没有硬性要求,合作方可以通过任意设备任意网络访问,只需要在Citrix服务器上进行身份认证即可。
因此移动营业厅可以推出多种产品打包方案吸引合作伙伴,双方的关系更加灵活和可控。
例如双方签订了一年的合作合同,BOSS客户端集中平台就对其开放相应的功能,合作方是什么样的合作级别,就开放什么样的功能,非常灵活,到期终止合作,只需取消权限即可,所有的软件和数据没有扩散和泄漏,全部在企业自己的管理控制之内。
这样可以促使其合作营业厅模式得到极大的发展。
3)BOSS与OA互访及客服前移
目前大部分企业内BOSS系统与OA系统是网络层分离的,这是早期没有相应的安全解决方案造成的现状,这给工作人员带来的不便是显而易见的。
同时企业的客服呼叫中心在服务提供方面会发挥越来越大的作用,当用户打进来电话时,客服人员需要即时查询该用户的缴费信息,查询互联网相关资讯,甚至使用即时通信如QQ、MSN等工具为用户提供服务,客服人员需要访问各个系统,但是目前的传统BOSS架构难以支持跨部门的访问。
除了网络分离的现状外,BOSS客户端部署也是互访的障碍之一,由于大量的OA和客服人员本身的PC机环境复杂,已经难以管理维护,再增加BOSS客户端无疑在安全上,还是IT维护所都是无法支持的。
实施BOSS客户端大集中改造的收益
通过实施BOSS客户端大集中改造,可以在BOSS网和OA网之间建立一个互访隔离区,BOSS和OA不可以之间访问,但是可以通过互访隔离区的Citrix服务器访问对方,如下图所示:
同时通过Citrix服务器可以将BOSS客户端发布给OA人员和客服人员使用,以客服人员为例,其访问BOSS系统是通过Citrix的虚拟化技术,其本机环境与BOSS系统依然实现了隔离,但是客服人员经过授权,可以看到和使用BOSS系统里的用户信息。
(待补充)
4.投资回报分析
三技术方案
1.技术原理
为什么在这种大集中模式中用户没有安装应用软件,但是能够照常使用这些应用?
这就是虚拟化计算实现的效果。
虚拟化计算的核心是ICA协议,ICA协议连接了运行在CPS服务器上的应用进程和远端客户端设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此虽然应用客户端软件并没有运行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件相比,没有感觉任何操作上的改变。
CPS虚拟化应用发布原理如下图所示:
ICA传输的主要为人机交互数据,例如屏幕刷新和鼠标键盘信息,同时ICA协议是一种高效率的数据交换协议,采用了大量的数据压缩、加密和连接优化技术,因此每一个用户的连接只占用10-20K的网络带宽。
ICA对带宽消耗的改善
根据Citrix在用户环境中的测试,实际的业务数据和ICA人机交互数据对带宽的消耗对比如下图所示:
从上图可以看出,真实的业务数据(深蓝色线,发生在Citrix服务器和应用服务器之间)往往是大量和突发的,而经过ICA的过滤后(浅蓝色,发生在Citrix服务器和客户端之间),传输量非常小和平滑,因此ICA数据非常节省广域网带宽。
Citrix模式对BOSS系统的改善:
Citrix用户针对BOSS系统进行了全面的测试,使用传统BOSS客户端访问和Citrix方式访问,在打开BOSS系统时,两种方式对比数据如下:
操作名称
结构方式
响应时间
(s)
上行数据量
(byte)
下行数据量
(byte)
总数据量
(byte)
打开
BOSS
不使用Citrix产品
61.858
2338
533646
535984
使用Citrix产品
4.10
2775
3308
6083
由于BOSS系统客户端和服务器之间有大量的数据交互,使用Citrix集中模式可以有效地降低数据传输,大大提高整体性能。
而对于系统中的文件,由于Citrix集中模式是在服务器上打开文件,因此用户可以快速地打开阅读,而无须将庞大的文件通过低速网络下载到本地才能够处理。
那么为什么说,用户通过应用虚拟化技术访问CPS服务器,比直接访问后台服务器更加安全?
因为客户端直接访问后台时,之间传输的数据是真实的企业应用数据,该数据会被缓存在用户本地或在传输中被截获,这些都是不安全因素;而用户访问CPS服务器时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地,同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。
因而可以说数据总是存放在最安全的地方。
CPS带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。
对于远程用户从公网访问内网,CPS通过严格的用户认证进行安全权限控制。
对于企业越来越严格的审计要求,应用CPS虚拟化发布应用可以提供复杂的内控和审计功能。
对于受控用户或敏感操作,CPS可以提供用户操作应用软件的记录监控,管理人员不仅可以实时在线地监控用户的屏幕操作,还可以用类似录像的方式记录下来,以备审计或回朔检查。
2.功能介绍
Citrix集中应用发布平台的核心产品是CitrixPresentationServer(简称CPS),提供了全面的性能优化、安全访问、集中管理和审计等功能,下面就CPS主要功能进行描述。
1)负载均衡
CPS内置了负载均衡功能,用户无需额外购买任何组件。
CPS的集群名称叫做Farm,在一个Farm之内负责计算负载量和分配连接的CPS服务器的角色叫做DataCollector,所有CPS服务器的负载状况会存入数据库并实时变化,DataCollector会查询Farm内所有CPS服务器的负载情况,决定将下一个连接交给Farm内哪一台最空闲的CPS服务器。
如果一台DataCollector失效,会有备份的CPS接替。
CPS提供给用户多种负载均衡算法,其指标包括:
CPU利用率、内存使用率、磁盘交换等十多项指标,用户还可以针对不同应用类型自行定义负载指标的组合。
2)图像加速
CPS不仅降低了在客户端数据传输量,还提供了多种窄带网上的图像加速功能,如:
∙图形加速:
针对如JPG等图片的传递,CPS提供了进一步的图形压缩,如采用大比例的JPG压缩算法等降低实际的图形传递数据量
∙FLASH加速:
针对浏览器中的FLASH插件进行加速,可以提高大多数WEB应用的现实效率
∙移动图像加速:
针对用户对图像进行平移或转动的操作,在窄带网络上会消耗大量的带宽,CPS提供了降低图形分辨率的方式,当图像移动时降低分辨率以减少传输,当图像停止下来后,再还原分辨率
∙延时加速:
CPS的会话连接会针对无线网络进行优化,当窄带网络有很大延时时,会提供本地回显和鼠标响应等优化手段。
3)单点登录
当用户通过了身份认证后,CPS可以自动管理后台应用的帐号和口令,CitrixPasswordManager(简称CPM),可以实现多系统登陆口令的自动管理,对应用系统无任何改动,是领先的企业单点登录解决方案。
CPM从根本上改变了传统的多口令管理方式。
使用它,用户可直接登录OA系统或业务系统,且口令得到了更高的安全保障。
以前,用户需记住10个,甚至20个口令,而且还必须弄清楚哪个应用配的是哪个口令,现在通过CPM的部署使用户只需一次身份验证,其余的工作将由CPM完成。
它将自动接入受口令保护的信息资源,执行严密的口令策略,监控口令相关事项,自动化终端用户工作,例如口令变更,可以按照系统要求的口令策略自动生成口令。
4)智能审计
通过Citrix应用发布平台,任何用户使用应用的过程中可以被全程监控:
用户的操作行为及显示器上的内容变化可以通过ICA协议存放到磁盘上,然后在需要的时候像看电影一样回放。
由于ICA协议高效率地节省网络带宽,因此通过ICA记录下来的用户操作录像非常节省空间,经过测试,一个员工一整天的操作全部通过ICA记录下来,生成的文件大小不会超过20M。
同时为有效利用资源和保护隐私,Citrix解决方案也允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。
5)智能访问
CPS提供了全面的安全访问控制,所有访问CPS服务器的用户,都会经过AAC高级访问控制,进行严格的权限控制。
CPS的智能访问控制能够根据不同用户接入时的不同场景,将有相应的接入策略与之对应,并控制用户使用企业资源的过程和操作。
例如当用户从企业内部网络来访问企业门户中的各种资源时,CPS监测到该用户访问从信任网络发起(内部网络)后,该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大;当用户作为企业移动用户来访问企业门户中的各种资源时,该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的;毕竟,该用户是从外网接入,我们需要对其进行策略控制。
升级会员 