桌面虚拟化系统解决方案docx.docx
《桌面虚拟化系统解决方案docx.docx》由会员分享,可在线阅读,更多相关《桌面虚拟化系统解决方案docx.docx(22页珍藏版)》请在冰豆网上搜索。
桌面虚拟化系统解决方案docx
桌面虚拟化系统
解决方案
专业资料
第1章概述4
1.1项目背景和目的4
第2章项目需求5
2.1功能需求5
2.1.1集中管理5
2.1.2应用虚拟化5
2.1.3桌面虚拟化5
2.1.4存储隔离5
2.1.5数据保护5
2.1.6远程接入访问控制5
2.1.7访问日志5
2.2技术需求6
2.2.1水平扩展6
2.2.2负载均衡6
2.3服务器安全防护6
第3章解决方案及对应项目需求的实现7
3.1总体方案构架7
3.2应用场景描述7
3.2.1内部办公人员:
7
3.2.2内部研发人员:
7
3.3对应功能需求的实现8
3.3.1集中管理8
3.3.2应用虚拟化9
3.3.3桌面虚拟化10
专业资料
3.3.4存储隔离10
3.3.5数据保护11
3.3.6远程接入访问控制12
3.3.7访问日志13
3.4技术需求的实现14
3.4.1水平扩展14
3.4.2负载均衡14
3.4.3服务器安全防护14
第4章系统预算18
专业资料
第1章概述
1.1项目背景和目的
随着公司内部办公项规模扩大,办公环境的管理更加复杂,安全管理的要求也日益提升。
利用现有硬件资源,建立一个简单、易用、安全的统一接入平台,以有效进行办公环境的规范管理,支持可控的远程访问模式,同时对于研发环境如何保护重要数据与代码的安全提出了挑战。
(1)每台使用C/S系统的设备都需要安装各个模块的客户端,部署和维护客户端需要花费大量的时间和人力
(2)如何进行远程的维护、技术支持以及灵活的扩展与搬迁,这是IT人
员希望亟待解决的问题;
(3)由于大量的数据在广域网上传输,因此远程的访问速度和网络性能经常得不到保障,数据安全面临挑战;
(4)随着软硬件的频繁升级与更新,客户端设备不可避免地要被淘汰,应该如何控制系统追加投资?
(5)不同的B/S应用系统需要在用户的浏览器中安装或升级不同的插件,修改相关安全设置,这就产生了插件版本管理问题、插件维护问题等。
(6)远程低带宽时访问效率不理想。
专业资料
第2章项目需求
2.1功能需求
2.1.1集中管理
将办公环境中的应用软件进行集中管理,可以根据需要随时调整办公环境
的应用部署,简化办公人员客户端的办公环境配置及部署要求。
2.1.2应用虚拟化
具有包括各类办公工具在内的应用软件发布功能和Web网页发布功能。
2.1.3桌面虚拟化
特定企业用户可使用集中部署的虚拟桌面进行日常办公和设计工作,工作数据均保存在后台服务器。
2.1.4存储隔离
每个用户能建立各自的文件系统或存储空间,相互之间不能访问。
但授权
用户可以访问特定用户组的存储空间,可以通过FTP或者其它方式获取用户存储空间的数据。
2.1.5数据保护
研发人员所有的代码及办公数据只在服务器端传递,提高系统数据访问的安全性。
2.1.6远程接入访问控制
支持分公司远程接入的办公模式,能有效控制用户的剪贴板、本地硬盘、打印机、端口等操作,做到分公司人员XX无法从任何渠道获取代码、文档和办公数据。
对于合作公司的远程访问要求能有效控制,包括登录时间段、登录用户的监控。
2.1.7访问日志
用户登录及对办公工具和应用软件的访问,应该有日志记录。
专业资料
2.2技术需求
2.2.1水平扩展
服务器端支持水平扩展,能通过水平增加服务器来适应办公需求的扩大。
2.2.2负载均衡
可根据用户访问量和资源使用情况,动态分配到到负载量最低的服务器
上。
可支持手动负载均衡操作。
2.3服务器安全防护
保证服务器对外服务时,系统安全性,确保数据安全。
专业资料
第3章解决方案及对应项目需求的实现
3.1总体方案构架
通过CitrixXenApp集中部署和发布应用客户端软件,整个的后台应用服
务器架构没有变化,客户端可以通过XenApp来访问集中发布的各种企业应用
和办公工具。
其整体构架如下图所示:
XenDesktop集群
XenServer资源池
件
内部
配置文件
文
办公人员
应用程序
置
配
用户A
用户B
用户C
用户D
操作系统
虚拟桌面
文件服务器
防
防
CitrixXenDesktop
CitrixXenDesktop
序
火
火
配置文件
程
墙
NetScaler12000
墙
CitrixBranchRepeater
应用程序
用
AccessGateWay
操作系统
应
OA
ERP
CRM
虚拟桌面
CitrixXenApp
配置文件
统
域控制器DataStore
DHCP
应用程序
系
操作系统
作
LicenseServer
操
远程用户
基础架构
虚拟桌面
ProvisioningServer
研发人员
3.2应用场景描述
3.2.1内部办公人员:
内部办公人员直接访问Citrix统一身份验证平台,获取授权的虚拟桌
面和虚拟应用程序,开展日常办公工作,用户数据集中保存在文件服务
器。
3.2.2内部研发人员:
研发人员使用没有硬盘的
PC
机,通过CitrixProvisioning
Server网
络引导,创建无盘工作站环境,操作系统镜像保存在
CitrixProvisioning
Server上,软件更新及系统补丁只需在服务器上进行一次更新即可完成。
研发数据均保存在数据中心服务器上,未经允许研发人员无法通过任
何途径获得相关数据文件。
专业资料
常用办公软件(OA,ERP,CRM等)集中安装在CitrixXenApp上,而
所有访问用户使用终端设备只需通过IE就可以运行授权的虚拟桌面和应用程序
(第一次访问时会自动提示下载安装一个几兆大小的CitrixICA插件),多用
户同时访问时,由XenApp管理和运行应用客户端软件的多进程访问,并控制向不同用户发布的权限。
Citrix可整合企业现有的活动目录中的用户账户来进行用户身份认证。
图中的文件服务器,提供了用户的个人数据存储功能。
通过使用Windows的目录权限控制,及文件夹重定向功能,可以做到用户数据的安全保存及漫游访问。
对于未来非办公网段的应用的部署,可以通过在相应的网段部署XenApp服务器来实现。
备注:
在本建议书中,由于项目初步阶段的应用都集中在办公网段,所以
在软件及硬件配置清单中,只考虑了在办公网段部署XenApp和Xendesktop服务器。
若在其他网段部署额外的XenApp和XenDestktop服务器,由于Citrix的软件许可是基于并发用户数,只要并发用户数不变,可以共用已有的CitrixXenApp和XenDesktop软件许可,无需另外采购。
只需要增加相应的服务器硬件及Windows授权即可。
在后端的服务器资源方面,可以采用服务器虚拟化整合之后剩余的服务
器。
3.3对应功能需求的实现
3.3.1集中管理
Citrix的集中部署模式只将企业应用部署在数据中心,由于客户端和服务器
位于同一局域网内,因而应用性能和安全性得到提升,用户可以通过任意终端
和任意网络进行访问数据中心,非常方便;而企业只需对局域网内的数据中心
专业资料
进行管理,实现了管理维护的简化。
应用软件的安装及配置变化,均可以在服
务器端集中进行,大大简化了办公环境的配置和部署。
3.3.2应用虚拟化
XenApp为用户提供了基于服务器的计算模式(Server-based
Computing),实现了虚拟化应用发布。
其技术核心是ICA协议,ICA协议
连接了运行在XENAPP服务器上的应用进程和远端客户端设备,通过ICA的
32个虚拟通道(包括鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此虽然应用客户端软件并没有运行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件相比,没有感觉任何操作上的改变。
XenApp虚拟化应用发布原理如下图所示:
应用软件的用户界面在客
户端显示(可以支持非
Windows客户端)
应用软件安装和运行都在
服务器端
网络只传递通过
Citrix的ICA技术处理后的屏幕刷新和
键盘敲击和鼠标移动信息
(带宽需求10-20kbs,甚至可以是低速的拨号连接)
由于ICA协议是一种高效率的数据交换协议,同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息,因此每一个连接只占用十几K的网络带宽。
这种模式使得企业应用部署架构上发生变化,从一种分布式部署变成了大集中的应用部署,因而带来了应用访问、性能及安全等各个方面的提升。
专业资料
3.3.3桌面虚拟化
CitrixXenDesktop可提供一种端到端的桌面交付解决方案。
可动态按需
产生虚拟桌面,用户每次登录时都能获得一个干净的、个性化的全新桌面——
从而确保性能不会下降。
此外,XenDesktop采用的高速交付协议还可在任何
网络条件下提供无与伦比的响应速度。
对于IT机构而言,XenDesktop可通过
分别交付桌面操作系统、应用和用户设置,大大简化桌面生命周期管理并显著
降低拥有成本。
CitrixXenDesktop可为任意地点的用户按需交付桌面,同时显著简化生
命周期管理。
它可提供一种端到端的桌面交付解决方案,为最终用户加速交付
桌面,提供更强大的数据保护和监控,并降低高达40%的拥有成本。
采用桌面虚拟化技术可以在数据中心集中化管理桌面,还可轻松实现安全
防护及备份。
然而,经常出现的同一生命周期管理问题依然存在——IT部门仍
需对每个虚拟桌面镜像及其所安装的应用程序和用户设置进行管理、维护和更
新。
另外,桌面虚拟化还会带来新的挑战——尤其是会使用户的网络性能大大
降低,使每位用户的桌面镜像网络存储成本大大增加。
3.3.4存储隔离
通过选择NTFS文件系统和WindowsServer的用户Profile机制,每个用
专业资料
户可以有自己的存储空间。
利用NTFS的文件权限的管理机制,用户在服务器端的私有存储空间,工作目录,临时文件可以被安全的管理和限制。
可限制用户的对其他用户数据的交叉访问。
也可给予特定管理员访问、获取用户数据的权限。
同时可以通过配置WindowsServer2003的文件夹重定向,将My
Documents等目录集中重定向到集中的文件服务器,从而保证用户不管登录到哪台服务器,都能一致地访问其用户数据。
3.3.5数据保护
传统模式应用分布在企业的所有客户端上,其安全要考虑各个环节:
服务器、客户机和端到端的网络;其维护和安全管理范围需要涵盖企业的每一台终端设备和跨广域网段。
因为客户端直接访问后台时,之间传输的数据是真实的企业应用数据,该数据会被缓存在用户本地或在传输中被截获,这些都是不安全因素;而用户访
问XenApp或XenDesktop服务器时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用户端无任何应用数据缓存在本地,同时中途截获这些信息然后反推出用户真正的办公操作和数据比直接截获办公数据困难上千倍。
因而可以说数据总是存放在最安全的地方。
XenApp和XenDesktop带来
的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。
对于远程
用户从公网访问内网,XenApp和XenDesktop通过严格的用户认证进行安全
权限控制。
由于网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部
分,办公数据和代码的并不下载到客户端本地;数据、缓存、Cookie等等全部在中央受限的环境中控制;另外ICA协议还含有多种加密技术,保证显示界面和用户操作数据的安全传输;客户端的操作感觉虽然就像在本机操作一样,
但未经权限许可,不得擅自修改、备份、拷盘、打印等。
通过应用发布的方式,内部员工和外部合作公司的员工只能使用本岗位的应用程序,而不能打开其他的应用软件或数据信息。
专业资料
对于研发人员可采用无盘工作站的工作原理,客户端均为无硬盘的PC机
通过CitrixProvisioningServer的无盘启动为开发人员提供研发环境,所有研
发数据均保存在文件服务器,通过设置禁用本地所有端口(例如:
USB端口,
打印端口等)确保企业核心数据不被泄露。
3.3.6远程接入访问控制
Citrix为用户提供了统一的安全接入手段,一个典型的接入过程如下图所
示:
首先用户需要进行身份认证,XenApp集成了各种身份认证手段,包括双因素认证等,访问用户提供用户名、口令和passcode:
当用户通过认证后,会通过加密链路进入其个人访问门户,看到其所能访问的各个应用软件:
专业资料
当用户使用某一软件,或访问某一系统,通过Citrix的虚拟化服务器和口令管理,在几秒内自动完成应用调用和登陆,然后用户就可以如在本地一样使用所需软件和应用。
而管理员不仅可以方便地设置每个应用允许哪些用户的访问,并且可以详
细地记录用户对各应用的使用情况。
通过Citrix应用交付平台可以严格控制用户对应用的访问,根据不同用户接入时的不同场景,将有相应的接入策略与之
对应,并控制用户使用企业资源的过程和操作。
可控制的操作和资源访问包括Copy/Paste、打印、保存到本地,端口的访问等。
3.3.7访问日志
管理员不仅可以方便地设置每个应用允许哪些用户的访问,并且可以使用SQL数据库的方式,详细地记录用户对各应用的使用情况,可以生成各种报
表,如用户登录时间,运行的应用等。
专业资料
3.4技术需求的实现
3.4.1水平扩展
Citrix内置实现了群集功能,在Citrix服务器配置中集群称之为一个
Farm,当用办公系统规模扩大时,可以方便地通过在ServerFarm中添加服
务器来进行水平扩展。
3.4.2负载均衡
在Citrix的ServerFarm中,“DataCollector”负载均衡调度服务器负
责收集每一台服务器里面的一些动态信息,如CPU,内存等使用情况,并与之进行交流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。
ServerFarm同时提供了高可用性功能,当单点服务器出现故障时不影响用户使用,用户会重新连接到另外一台负载较轻的服务器上。
从而避免了单点故障。
3.4.3服务器安全防护
1.Windows部分
由于Citrix环境基于Windows身份验证,因此,用户权限决定了系统安全性,对于Citrix用户,建议按照部门在域控制器上建立OU,仅赋予OU中用户最基本的用户权限,使用组策略隐藏服务器系统盘符,使用登录脚本在文
件服务器上为Citrix用户创建可读写的个人文件夹,用户个人数据仅允许保存在该目录,此文件夹存放于文件服务器。
专业资料
在CitrixXenApp服务器上安装防病毒软件,确保服务器不被病毒所感
染。
2.Citrix部分
使用Citrix控制台为用户配置访问策略,是否允许用户使用本地设备(硬
盘,光驱,打印机等),不允许使用本地硬盘的用户登录到Citrix使用相关应用
的时候,则无法将数据保存到本地,确保公司核心数据的安全。
设置Citrix策略禁止用户使用本地设备
专业资料
将策略应用于用户usr1
用户user1无法将数据保存到本地硬盘
专业资料
其他用户可正常使用本地硬盘
3.网络部分
防火墙仅需开放Citrix所需的80和1494端口,如果部署了Access
Gateway,则仅需开放443端口即可。
CitrixICA协议为私有协议,目前还没有针对ICA的攻击方法,因
此,Citrix在广域网的运行是比较安全可靠的。
专业资料
第4章系统预算
序号产品数量预算备注
1CitrixXenDesktop4.0,200EnterpriseEdition
2
后端服务器
4
利旧
3
安装、调试及
1年服务
1
4合计
专业资料
升级会员 