虚拟桌面项目建议书citrix.docx
《虚拟桌面项目建议书citrix.docx》由会员分享,可在线阅读,更多相关《虚拟桌面项目建议书citrix.docx(22页珍藏版)》请在冰豆网上搜索。
虚拟桌面项目建议书citrix
虚拟桌面项目建议书(citrix)
桌面云项目建议书
citrix
1、管理现状及存在的问题
为每个用户提供安全高效的桌面环境是几乎所有公司或组织的基本要求。
如果用户无法使用他们的桌面或应用程序,公司就无法高效率运作。
每隔几年,几乎每个公司或组织都会大规模采用新操作系统、新硬件或新应用,这就需要大量的人力来大规模地构建、测试并发布最新系统。
这一庞大繁琐的过程往往拖延了许多对企业有利的升级,进而可能导致企业无法快速应对业务需求。
虽然很多供应商都提供有助于部署新应用和操作系统的自动化工具,但是问题在于:
传统方式(即将应用部署于大量的最终客户)并不是最佳的方法。
这种传统的方法很可能会对用户和企业造成不良影响,例如:
⏹位于终端的企业重要数据很容易通过各种途径泄露;
⏹终端用户设备的丢失引起的数据丢失等重大安全隐患;
⏹因恶意或无意的行为导致操作系统或应用程序损坏,需要大量的故障排除和修理时间,因此造成终端用户宕机;
⏹与新硬件采购相关的大量费用,导致系统升级延迟;
⏹终端系统维护与管理地理分布广,维护成本高,维护周期长。
客户状况与面临问题分析
另外,对于如此众多的员工计算机的维护工作,主要面临以下挑战:
•客户端操作系统、应用客户端需要不断升级、不停打补丁
•客户端防病毒,防恶意软件任务艰巨,不能指望每个用户都是专家
•客户端硬件每三年左右就需要更新换代,投入巨大
•部署了很多安全产品,数据仍然容易泄露
•为确保安全不得不牺牲很多方便性,系统使用复杂
•桌面设备的功耗过大,造成大量电量消耗,产生过多碳排放
2、解决方案
2.1虚拟桌面解决方案
比起将操作系统和应用部署到所有终端物理工作站的老式做法,新做法——Citrix虚拟桌面与虚拟应用解决方案能够为浦城清洁能源的用户提供安全的桌面设计环境与应用操作环境,而无需花费与大规模发布桌面并保证数据安全相关的时间和费用。
虚拟桌面是一个企业级的,通过一定手段实现的可远程访问、调度和管理的桌面的操作系统,可以是运行在服务器上的虚拟操作系统,也可以是直接安装、运行在数据中心内的物理PC(工作站,刀片PC)上的操作系统。
在虚拟桌面模式下,每个人独享自己的远程操作系统。
将桌面操作系统虚拟化带来很多好处,包括:
●信息保存在远程的桌面操作系统(目前支持的主要是windows系统)中,即数据中心内,保证了数据的安全性;
●桌面的性能能够得到提升,因为它和应用后端的服务器都运行在数据中心;
●桌面可以分享最新最强大的服务器硬件,配置资源可以按照用户需求动态调整;
●可以从任何地点,任何设备远程访问桌面;
●在数据中心对所有的桌面进行统一的高效维护,无需特定的补丁与应用的分发软件,统一进行安装和升级,维护桌面的费用大大降低。
应用虚拟化则是将应用统一部署在服务器上,而用户终端不需要安装每一种应用的客户端软件,只需要在服务器端统一安装、维护一套应用(在物理资源充足的情况下),即可以通过使用远程访问协议,直接使用这些应用,从而将用户使用与管理员管理分开,带来更大的收益:
●用户可以随时随地,通过网络,使用任何设备访问到需要使用的应用
●终端设备支持更广泛,可以通过PC,瘦客户端、甚至是手机来访问传统PC上才能使用到的各种windows应用
●应用管理更简单,管理员在服务器进行统一一次管理,就可以将最新更新交付给所有用户
●数据更安全,通过策略配置,用户无法将机密数据保存在本地设备上,只能在数据中心进行存储,备份,保证数据的安全性和可用性。
●提高网络安全,由于只使用需要开放1-2个端口,所以可以实现网络的逻辑隔离和严格控制,在不影响应用的前提下,全面提升网络安全性。
2.1.1技术原理
之所以Citrix的虚拟桌面和虚拟应用技术可以从更本上解决终端上的信息安全问题,由于Citrix产品使用的技术原理造成的。
Citrix使用自有的ICA协议处理本地操作与远程桌面和应用的交互。
终端机可以在第一次访问Citrix服务器时下载并安装CitrixICA插件,ICA插件和虚拟应用服务器的平台及虚拟桌面操作系统之间通过ICA协议建立连接通道,使得PC机用户可以正常使用服务器上或者桌面操作系统上运行的各种业务软件。
ICA协议连接了运行在前端服务器上的应用进程和业务PC机的输入输出设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在前端服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此业务用户使用前端服务器上的柜台应用时感觉就像在使用本地模式一样。
ICA协议如下图所示:
图1:
ICA协议逻辑示意图
虚拟化的桌面与应用实现了操作系统与应用软件运行在服务器或后台工作站上,但是操作(输入输出)在客户端机器上,所有的输入如鼠标键盘的操作被ICA协议同步到服务器上执行,所有的输出如屏幕的刷新也被ICA协议同步到客户端。
虚拟化应用操作模式如下图所示:
图2:
ICA协议工作原理示意图
ICA协议是一种高效率的数据交换协议,采用了数据压缩、加密和连接优化技术,每一个用户的连接只占用10K-20K的网络带宽,而实际运行的客户端软件位于后台的局域网内,因此终端用户相当于用拨号线的链路就可以享受到局域网内的运行速度。
同时ICA协议可以分别针对单独的虚拟通道进行控制,这样为用户的访问和使用带来了细粒度的控制。
比如如果控制用户不许通过打印机把信息打印出来,只需要中断ICA连接中的打印机通道即可。
2.1.2系统架构
针对上节中提到的浦城清洁能源目前面临的挑战,思杰建议采用CitrixXenDesktop虚拟桌面及XenApp虚拟应用结合的解决方案来应对以上的挑战。
CitrixXenDesktop桌面虚拟化方案提供一种端到端的桌面管理解决方案。
可动态按需产生虚拟桌面,该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。
用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。
XenDesktop解决方案包含很多组件,从而能够为每个企业的独特需求提供最佳的解决方案。
桌面虚拟化完整的解决方案整体架构如图1所示。
图3、整体架构
本方案将采用该架构中的六大核心组件:
1.VirtualizationInfrastructure(虚拟化基础架构):
虚拟化基础架构允许单个物理服务器分成多个共享资源的虚拟服务器。
Citrix的XenDesktop方案可以兼容目前市场上的最主要的3中服务器虚拟化产品:
XenServer,VmWareESX,微软Hyper-v,实现了广泛的兼容性;而本方案的虚拟化基础架构是基于VmWareESX构建的。
通过在XenDesktop构建虚拟的桌面操作系统,用户可以通过价格更为便宜,更新周期更长的终端设备(瘦客户端,手机)远程的使用这些操作系统开展日常的业务工作,而管理工作都在后台对这些虚拟操作系统进行管理,从而降低整个桌面的采购成本与管理成本。
2.图形工作站:
如果浦城清洁能源使用了一些基于windows的3D应用,可能要求使用硬件的GPU资源,所以基于虚拟机的方式不能支持;而XenDesktop可以将传统放在前端得图形工作站收到后台数据中心,进行统一管理,用户可以通过传统PC访问后台的图形工作站,进行使用,从而提高数据安全性与管理效率。
3.VirtualDesktopDeliveryController(虚拟桌面交付控制器):
虚拟桌面交付控制器负责新虚拟桌面的注册以及将虚拟桌面的请求指向可用的系统。
用户通过整合的WebInterface组件间接与控制器进行交互。
通过Web网站,或者通过本地安装的接收器,将虚拟桌面交付给用户。
4.VirtualDesktopProvisioning(虚拟桌面置备):
XenDesktop解决方案的置备服务器在虚拟化基础架构上为虚拟桌面实例提供了操作系统镜像。
一个基本的操作系统镜像被创建,其包括了企业策略规定的所有操作系统级的配置。
当每个虚拟桌面启动时,操作系统会经由网络通过流技术交付给虚拟桌面。
由于只要求对基本镜像进行升级,并且所有虚拟桌面将会在下一次重启时使用最新的镜像。
5.ApplicationDeliveryController(应用交付控制器):
应用交付控制器负责识别分配给用户的应用,并将其交付给虚拟桌面。
应用交付是基于用户需求实现用户桌面个性化的第一部分。
通过将应用与基本桌面镜像分离,所需的桌面镜像数量大大减少,这就简化了维护过程。
6.个性化:
解决方案的个性化允许用户按照需求自定义他们的工作环境。
利用用户个性化,用户设置会被保存起来,并且无论用户接入哪个桌面都可使用保存的个性化设置。
用户个性化不单纯是漫游特性,因为CitrixUserProfileManager删除了所有不必要的设置而只保留了对用户有价值的设置。
而且,个性化设置的交付也进行了优化,因此用户无需长时间等待虚拟桌面的装载。
以上只是高度概括了整个架构,以下部分将会更加详细地介绍,系统如何共同协作来交付虚拟化桌面以满足预定的工作环境。
2.1.3功能模块
本方案中将使用下列组件共同协作将动态的虚拟桌面环境交付给用户。
终端
●DesktopReceiver(桌面接收器):
安装在终端上的思杰客户端,使终端可以采用CitrixICA协议建立与虚拟桌面的连接。
DesktopDeliveryController(XenDesktop服务器)
●WebInterface:
负责显示基于Web的界面,让用户看到自己的可用虚拟桌面。
●XML服务:
负责WebInterface组件与XenDesktop服务器群之间的通信。
XML服务验证用户身份,提供可用的虚拟桌面列表,并生成相应的信息让终端能够连接到虚拟桌面。
●控制器服务:
负责虚拟桌面上虚拟桌面服务的通信。
控制器服务进行虚拟桌面注册并保持虚拟桌面状态。
●资源池服务:
基于XenDesktop服务器群配置,资源池服务联系虚拟化基础架构来启动和关闭虚拟桌面。
●IMA服务:
IMA服务负责DesktopDeliveryController(桌面交付控制器)之间所有跨服务器的通信。
这包括流向和来自数据采集器的流量。
VirtualDesktop(虚拟桌面)
●虚拟桌面服务:
负责与DesktopDeliveryController进行注册并保持与控制器的心跳检测。
如果心跳检测失败,虚拟桌面服务将重新与另一个可用的DesktopDeliveryController进行注册。
对于物理workstation,桌面服务还会提供另外一个组件,将GPU运行结果交付给前端。
●ApplicationReceiver(应用接收器):
具有正确的凭据之后,ApplicationReceiver联系ApplicationDeliveryController以获得可用的应用程序列表。
ApplicationReceiver还负责向ApplicationDeliveryController发送应用程序启动的请求。
ApplicationDeliveryController(XenApp服务器)
●WebInterface:
在验证用户身份后,向ApplicationReceiver提供一套可用的应用程序。
●XML服务:
负责ApplicationDeliveryController(应用交付控制器)的WebInterface组件与XenDesktop服务器群之间的通信。
XML服务验证用户身份,提供可用的应用程序列表,并生成相应的信息让虚拟桌面能够连接到应用程序(托管或通过流技术交付)。
●IMA服务:
IMA服务负责ApplicationDeliveryController之间所有跨服务器的通信。
这包括流向和来自数据采集器的流量。
ProvisioningServers(置备服务器)
●TFTP:
当新的虚拟桌面启动,TFTP会联系DHCP以找到启动文件的IP地址和位置。
通过TFTP服务可以从ProvisioningServer(置备服务器)获取启动文件。
●流服务:
在虚拟桌面接收到带有指令的启动文件之后,它会联系置备服务器并提供其MAC地址。
ProvisioningServer基于MAC地址识别正确的虚拟磁盘,并使用流服务将部分虚拟磁盘按需发送给虚拟桌面。
显示协议
CitrixXenDesktop使用的ICA协议,ICA协议能够适用于TCP/IP、IPX/SPX和NetBEUI等多种协议。
其中,IPX/SPX协议被国内的很多用户所采用,广泛应用于Novell网络。
ICA可以应用于多种网络连接方式,如LAN、WAN、RASdial-up、Directserialconnection(async.)、Directdial-up和Browseavailableservers等。
ICA具备以下特征:
•色彩:
ICA协议支持真彩(24位色)。
•支持本地打印和本地客户打印假脱机。
•分辨率:
ICA协议支持无限大(64000X64000)。
•驱动映射:
ICA协议可以将本地资源和服务器资源无缝地集成在一起,给用户的操作带来极大的方便。
•SpeedScreen:
该项专利技术大大减少了网络传输数据量,一般情况下,平均每个用户的正常工作仅占用10Kbps。
解决了通过广域网系统发布应用程序普遍存在的延时问题。
•多媒体支持:
ICA协议能够支持音频、视频和多媒体带宽控制。
2.1.4用户体验描述
浦城清洁能源Citrix虚拟桌面解决方案实现方式如下:
1.员工利用现有计算机,以Web或客户端方式登录CitrixDDC服务器,节约当前用户计算机的投资。
未来可以通过采购瘦客户端,代替当前的PC,降低终端设备的采购和维护成本。
图四:
用户登录界面截图
2.CitrixDDC服务器提交认证请求到后台域控制器。
3.认证成功后,CitrixXenServer按需从CitrixProvision服务器获取标准Windows桌面、应用软件、用户个性配置文件。
用户个性配置文件及新建的设计图纸等文档,都集中存放于浦城清洁能源网络存储中,简化文件的管理;标准Windows桌面映像只需要一份,同时提供给所有用户使用,这可节约大量的存储空间。
4.CitrixDDC服务器通过ICA协议提交XenServer上的桌面到最终用户,用户就像使用本地计算机一样方便。
5.用户与CitrixDDC服务器之间的会话采用ICA协议,只传输屏幕信息、键盘、鼠标指令等,只占用少量的网络带宽。
6.通过XenDesktop策略,可以禁止终端的磁盘,usb等设备以及剪贴板,所有用户使用的文档无法保存在本地桌面,而都会驻留在数据中心,从机制上保证数据的安全。
真正做到“数据不出门”。
7.所有数据的打印,可以通过策略进行配置,必须将打印数据输出到指定的打印机,从而控制由于打印造成的数据泄漏。
8.所有数据的传输和共享,只能通过网络应用操作,对于桌面管理员可以设置用户不能安装任何软件,所有可用应用,全都是由管理员从后台统一通过XenApp发布给有权限用户,并从后台进行实时录像监控,保证用户的不合法行为得到追踪和记录,保证网络应用进行数据传输不会导致机密信息泄露。
3系统配置
3.1系统配置列表
目前浦城清洁能源考虑需要使用虚拟桌面及虚拟用户为40个虚拟桌面和20个虚拟应用用户,虚拟基础架构使用XenServer提供,第一期考虑使用2台DELLR900服务器。
根据初步了解的信息,需要创建虚拟机如下(活动目录、DNS,DHCP默认为已有服务器,不在下列表中罗列):
类型
虚拟机名称
数量
CPU(逻辑)
内存
硬盘
备注
服务器
DDC桌面交付控制器
2
2
2G
50G
桌面的交付控制器,进行核心调度;其中一个作为备份服务器提供HA
XenApp服务器
2
2
8G
100G
安装各种应用,发布给客户使用(初步设计,XenApp有内置的扩展机制,可以很灵活地横向扩展,更具需求,可以动态添加虚拟机或者增加此虚拟机的资源,满足需求)2个服务器提供NLB和HA功能
Provision服务器
1
2
4G
100G
用户进行桌面镜像管理,将相同的操作系统使用一个镜像进行管理,使用镜像作为备份服务器,进行还原
桌面
WindowsXP虚拟机
40
1
2G
*
如果使用Provision服务器,则镜像将得到统一管理,所有桌面将统一使用一个xp镜像,所有的安装,升级工作都在此镜像上进行,初步设计为20G
总计
44
104G
320G
注:
由于数据本身将被独立在文件服务器上进行存储,所以所需存储容量与服务器,也不再本列表中列出
3.2拓扑结构
3.2.1逻辑拓扑图
逻辑拓扑结构中,按照上述的角色进行配置:
∙用户通过访问DesktopDeliveryController,通过web方式或者webservice方式对自己身份进行认证,并获得对虚拟桌面的访问能力。
∙Provision从存储中获得公用的操作系统镜像,通过网络启动虚拟化平台上的虚拟机(使用专用的网络连接,并且网络启动过程是发生在机房内部,不会对整个网络产生影响)。
∙XenApp服务器将安装在本机的服务器上的应用程序,根据用户的所需以及管理员的配置权限发布到用户的桌面上,可以是虚拟桌面,也可以是传统物理的桌面上,用户可以远程使用。
∙传统的桌面需要安装CitrixDesktopReceiver,获得访问虚拟桌面的能力;如果是只需要访问虚拟应用的桌面和虚拟桌面,需要安装XenAppplug-in实现对虚拟应用的访问能力。
如果两者都需要访问,安装CitrixReceiver即可。
3.2.2物理拓扑图
由于物理拓扑结构中使用Vmware平台,则本质上对原有Vmware系统没有改变,只是在服务器上配置一系列的虚拟机,所以不需要有什么对现有系统的改动。
4实施方案
作为整个项目的一部分,需要进行以下工作:
1.根据浦城清洁能源的实际环境,对XenDesktop交付进行评估(DesktopDeliveryAssessment)。
评估报告包含对各种与CitrixXenDesktop部署相关的基础架构的评估信息。
2.设计XenDesktop交付系统的整体架构,主要包括以下组件:
∙Vmware解决方案:
Vmware提供了整个虚拟桌面交付的底层托管架构和基础,并且可以利用vCenter进行高效远程管理。
∙CitrixProvisioningServer解决方案:
这部分主要提供了将桌面操作系统“流”到虚拟机中,构建虚拟桌面的能力,从而帮户浦城清洁能源构建标准的桌面操作环境。
(可选)
∙CitrixDesktopDeliveryController解决方案 :
此部分实现对终端设备和虚拟桌面之间的会话与连接的管理能力。
∙在整个设计方案中,对XenDesktop解决方案的各个组件提供冗余设计,增强高可用性。
∙XenApp作为整个方案中的应用交付模块,提供虚拟应用的交付能力。
∙架构设计最终将提供一个设计文档,描述整个XenDesktop方案的整体设计以及结合浦城清洁能源相关规定、条件或限制的具体设计方案。
3.构建小规模的CitrixXenDesktop环境,实现整体设计的相关架构。
∙安装和配置CitrixXenDesktopDeliveryController服务器,并且与浦城清洁能源已有的合适的后台资源(例如微软活动目录,Citrix的数据存储,网络组件等)进行集成。
∙安装和配置CitrixProvisioningServers并且与浦城清洁能源已有的合适的后台资源(例如存储,网络等)进行集成。
∙安装和配置CitrixXenServer,并且与浦城清洁能源已有的合适的后台资源(例如存储,网络等)进行集成。
4.创建、测试4个虚拟机镜像(基于WindowsXP专业版),作为浦城清洁能源的标准工作环境(SOEStandardOperatingEnvironment),并在这些镜像里本地安装一些核心应用。
5.辅助浦城清洁能源打包一个由较少测试应用(最多5个)组成的软件包,使用XenApp发布5个应用到XenDesktop上。
如果时间允许,可以测试更多的应用。
6.辅助浦城清洁能源构建一个试点环境,创建20个桌面(用户)。
7.辅助浦城清洁能源准备将CitrixXenDesktop环境集成到浦城清洁能源的实际运行环境,用户数量最多达到40用户与20个XenApp用户。
8.进行CitrixXenDesktop相关的知识传递给浦城清洁能源的IT人员,包括如何设计,构建,管理和维护CitrixXenDesktop环境。
5、方案收益
采用Citrix桌面交付技术,用户使用原有PC或相应的计算设备,比如说带有显示器和键盘的小型瘦客户机,用户从数据中心来安装虚拟桌面,这比起以前传统的桌面模式来有很多优势:
5.1、安全性加强
●防止数据泄密
所有业务工作实际保存、运行在数据中心的服务器,或者是图形工作站上,用户只能远程看到运行程序的图像,大大保证数据的安全;通过内置策略,用户无法将文件和信息保存在本地的各种设备上,防止机密数据随便被拷贝造成的泄露;
●防止数据丢失与损坏
所有业务数据,设计文件都统一保存在数据中心,由IT人员统一进行管理、定期备份与恢复,从而避免终端用户个人保管不当造成的数据损坏和丢失
●提升桌面系统安全:
虚拟桌面的操作系统是置于数据中心,相对于传统的PC,不易遭受恶意攻击。
管理员可以将安全补丁可以在数据中心仅需对标准Windows映像进行安装,一次安装,所有用户的桌面都可以得到升级,将系统风险降低到最低。
●降低硬件风险:
当桌面硬件被其他“瘦设备”代替时,它可以通过禁止使用如USB等可移动存储设备,降低使用者偷取信息和导入计算机病毒的可能。
●控制用户的应用访问能力
管理员可以根据用户的角色和公司策略,灵活、动态地对用户进行应用访问能力的指派;通过后台的配置,可以做到用户按照需求获得仔细需要的服务,同时随时可以取消客户对某些应用的访问能力。
5.2、运维成本减少
●把PC集中于数据中心,也可以加快新桌面的建立,通常只需安装一份包含了现有的虚拟PC桌面的镜像,减少存储需求。
●虚拟PC需要的补丁,也可以快速安装,而不用去访问各个工作区域。
●应用的安装、管理、升级,也只需要操作一次,即可以让所有用户进行使用。
●延长桌面PC使用寿命,降低桌面更新的采购成本,维护桌面的费用大大降低。
●更灵活快捷的服务业务,如果新添加用户,只要硬件资源仍然充足,可以通过简单的配置,在一分钟只能为用户提供出一台桌面系统,而无需传统的复杂的桌面准备工作,而只需要一台统一的简单的终端设备,就可以让用户访问。
●提供高可扩展性,在架构设计合理和硬件充足的前提下,通过配置生成新的虚拟桌面供给客户;当硬件不足的情况下,将新的服务器加入vmware的资源池,XenDesktop将很容易地就可以利用新增加的资源,提供更多的桌面服务,无需对系统做出调整和改变。
●未来浦城清洁能源可以通过购买瘦客户端替代当前的PC,降低桌面成本。
5.3、实现节能减排
●目前瘦客户端的功耗是PC的六分之一,则使用虚拟桌面,采用瘦客户端,终端耗电量将减少83.3%。
●目前中国火电每度电产生500克二氧化碳,每个桌面每年将减