当前位置:首页 >> >>

Citrix桌面虚拟化方案建议书

桌面虚拟化方案建议书
1.实施桌面云的必要性 1.实施桌面云的必要性

企业现有 IT 系统需要在每台 PC 上安装业务所需的软件程序及客户端,同时重要的数据也分散在各 PC 上,不能很方便的进行集中存储及备份。由于 PC 机的安全漏洞较多,业务数据在客户端有泄露及丢失的危 险,并且也有受到来自客户端的攻击和被破坏的危险。 在应用层面,业务人员的工作环境被绑定在 PC 机上,出现软硬件故障的时候,只能被动地等待 IT 维护人 员来修复,不仅要进行 PC 机进行维护,还要对操作系统环境、应用的安装配置和更新进行管理和维护,随着 应用的增多,维护工作呈上升增长趋势,从而导致工作效率低下、终端维护成本上升。 随着应用场景越来越复杂,对业务系统的功能性、安全性、方便性的要求越来越高,例如:工作场所越来 越分散带来了数据如何共享的问题,现有的系统很难实现人到哪里、桌面跟着到哪里的需求;业务连续性要求 能够在故障后快速恢复业务访问;在工作人员来越来越多的情况下,如何做到投入最少的 IT 资源、提供更高 的用户端接入的能力。 因此简化客户端环境,实施集中化部署、管理和运维,部署桌面云计算应用是有效解决方案。

2.桌面云平台的设计目标 2.桌面云平台的设计目标 桌面云平台
为了满足企业高速发展的需要,需要结合网络和应用现状,建设统一桌面应用交付中心,通 过虚拟化技术集中发布应用和桌面,拓展业务发布范围,扩大用户终端的接入手段,为终端用户提 供稳固、安全、可靠、便捷一致的业务访问服务。 具体建设目标是: 应用集中更新、统一发布:建立企业级应用及桌面云交付中心,实现数据与知识的安 全、统一、准确、可共享。桌面云交付中心将应用及桌面的升级、变更、维护等工作交 由后台统一管理和运行,在系统上而不是在用户在终端上进行集中发布、配置和更新, 终端用户无需任何变动即可获得最新应用和服务,减少终端所需的运维支持力度。 安全接入、分权分域、集中管控:桌面云交付中心将提供一体化的安全准入控制,集成 现有的安全规程,依据相应的权限策略实现对不同安全域、不同接入类型用户的集中管 控,保障核心数据、应用数据部流失,以及对不同业务资源的灵活分配和使用状况审 计。 提升用户访问体验:桌面云交付中心提供最佳的访问体验,用户不再频繁受到网络质量 的影响,实现不同网络环境的一致访问体验,提升业务系统的可用性和连续性。客户端 在经过验证后,可以即安全、高效地方便地跨安全分区访问后台各种不同的应用。访问 规则可以根据策略制定,无需频繁更改设定。即使通过带宽有限的网络连接,也可以得 到较好的用户体验; 降低维护成本、提高工作效率:减轻管理人员的工作强度和不必要的重复劳动,提高业 务系统和办公环境的安全性和稳定性。真正实现人尽其责,物尽其用。

项目建成后,应提供安全的桌面工作环境,同时无需对现有的前后台应用作大规模的改造。 技术上选择采用桌面虚拟化的方式,实现新的集中的桌面管理构架。 通过建设桌面云平台,项目可达到以下目标:

1

? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

桌面及应用全部运行在桌面云数据中心,保证业务数据的安全性; 通过策略及其它技术手段,可以严格禁止业务数据下载或保存到本地的客户端设备。 桌面集中托管于数据中心,在数据中心进行集中的部署、维护和管理; 运行在高性能的服务器上可以使桌面的性能得到提升; 可以迅速地部署最新的操作系统和应用软件; 降低维护桌面以及软件的费用; 前端桌面使用瘦客户端,减少终端维护量,增强终端安全性; 可以支持各种终端设备,包括 PC、瘦客户机、平板电脑、智能手机、智能终端等。 提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯; 能良好兼容现有设计应用、并且对未来的可能的应用及安全构架有良好的兼容性; 构架设计遵循开放、灵活的原则,以适应系统扩充以及日后的需求变更; 提供尽可能灵活地部署方式,以适应不同类型用户的需求,如审批类用户和普通办公用 户,涉密终端和非涉密终端等; 桌面云方案可以适应主流的服务器、客户端的硬件配置,对现有的服务器、PC 等设备,可 充分利用,便于日常维护; 方案的可扩展性强,在业务规模增大时,可快速扩容部署,总体造价合理; 未来可以从互联网、公司网或任何节点远程访问集中托管的桌面和应用。

3.桌面云平台的设计目标标准 桌面云平台的设计目标标准 云平台 目标
设计原 设计原则

? ?

? ? ?

桌面和应用全部运行在数据中心的服务器上,集中进行安全管控; 良好的用户体验,虚拟桌面能够提供与目前用户使用的 PC 一样的各种功能:如流畅地播 放视频,通过即时通讯软件进行多媒体通信(包括双向语音),流畅地观看带有 flash 的网 页,使用各种外设等。 用户的客户端设备可以使用各种操作系统和配置的硬件设备来访问桌面/应用和数据。如: 笔记本、PC 机、瘦客户端、各种智能手机、PDA、IPAD 等。 管理员应该有必要的监测能力,评估最终用户体验和排除故障所需的工具,以找出问题, 并计划调整受到影响的服务质量。 服务可用性即没有直接影响整体架构问题的单点故障。所有功能组件必须支持冗余或高可 用性,某些功能组件出现故障也不受影响所有用户,其次允许个别用户会话尽可能自动恢 复。 作为最终目标的桌面虚拟化的基础建设,在设计中支持大量的并发虚拟桌面。 功能模块化可以为未来的发展提供基础,当数量或应用等发生变化,功能模块化可以很容 易地适应,而无需重新设计或重新设计整个基础设施 。

? ?

安全措施

?

桌面云交付中心以安全为出发点设计的,提供安全接入的基础,而非事后的弥补。应用和 桌面都集中在思杰服务器上,而 IT 员工则完全掌控接入控制权。基于策略的控制让 IT 部 门能轻松地限制什么人能接入哪些信息以及什么时候接入。信息是虚拟化的并且是以加密 的方式进行传输的,让用户能安全利用非信任网络。最终,能高效管理经由多种接入网关 传输的验证过程,从而有效防护任何资源的前门。总而言之,这种安全手段为那些希望扩 展接入的机构提供了恰当的保护等级,而没有泄密安全。

2

?

管理员可以设置端到端的接入策略,指定每种特定接入情境下可接入哪些内容。接入策略 可以考虑用户、群组、设备类型、网络位置和端点安全性。通过创建接入策略,管理员能 更轻松地控制对敏感数据的接入。 这些策略还需考虑三种不同的接入因素:谁正在接入应用;他们使用的是哪种类型的客户 端设备,如台式机、笔记本电脑、PDA 或自助查询终端;以及他们所处的位置,比如在他 们通常的工作地点,在其它办公室,或在路途中。 这都意味着一种更复杂的接入控制判定,包括选择性信任,要求有比简单的 Yes/No 更多的 控制内容,因为这些因素控制着用户如何接入应用,而不仅仅是用户是否接入应用。用户 可能被全部授权、部分授权或不被授权接入应用。举例来说,如果用户在路途中,可能获 准以只读权限接入文档,而不能编辑。

?

?

4.桌面云平台整体架构

云平台给员工提供一个安全、可控、便捷的工作环境,并可按照用户的需求安装特殊的应用。 针对这部分用户的桌面需求,可采用 Citrix 桌面云平台进行管理,实现统一发布的虚拟桌面和应 用,统一存储数据,集中化管理,快速、安全、可靠的桌面交付。 典型的桌面交付云平台架构如下:

Citrix 桌面交付云平台在终端用户层与最终业务层建立了一个桌面云平台,为门户和审批业 务系统的访问提供一个更安全、可管理的集中接入平台,无论是外网用户还是内网用户,均可通过 桌面云平台接入并访问后台业务系统,桌面云平台为企业的各种终端访问提供总体的接入解决方 案。通过桌面云平台的虚拟桌面,会让业务访问更快捷更安全,减少了对终端设备和带宽的依赖 性,增加了访问的灵活性,更好的落实桌面云的发展战略。 Citrix 桌面云平台可根据用户的不同场景,通过应用虚拟化和桌面虚拟化的组合实现对用户 环境的交付。如果应用虚拟化可以满足业务应用交付的需求,则只需要部署应用虚拟化实现应用环 境的交付;如果用户需要完整的桌面虚拟化体验,通过桌面虚拟化方案可以实现包含操作系统、应

3

用、用户配置文件和数据文件的组装交付,其中的应用可选择在虚拟桌面上部署应用或者通过应用 虚拟化实现虚拟桌面内的应用交付。根据项目需求,采用 VDI-in-a-Box 桌面虚拟化技术来实现桌面 云平台的交付。 桌面云平台采用 Citrix VDI-in-a-Box 桌面虚拟化方案,网络环境划分成三个部分:终端层、 虚拟化桌面层和后台应用层,各部分之间按照网络安全要求使用防火墙/网闸严格隔离,只开放访 问必须的端口。将用户终端隔离后可以对后台应用服务器起到很好的保护作用,用户所有的个人桌 面、应用和文档被集中控制在虚拟桌面层。

5.实现桌面云平台的收益 实现桌面云平台的收益 桌面云平台
决策层: ? 保护核心数据的安全,无需复杂的 IT 系统即可实现严格的安全管控; ? 满足合规性要求,由于桌面集中管理,任何法律法规方面导致的系统变更可以快速完成, 减少合规性方面的风险; ? 桌面虚拟化改造符合技术发展趋势,是桌面管理的必经之路; ? 集中管理和安全提升意味着成本的降低,桌面虚拟化比传统 PC 有着更高的投资回报率; ? 桌面虚拟化改造可以降低 IT 运行的总体碳排放量,符合国家的整体能源战略; IT 运维管理部门: ? ? 有效减少由于用户桌面故障导致的 XXXX 业务系统中断; 实现用户终端网段和核心业务服务器网段之间的逻辑隔离,员工可以通过 Citrix 虚拟桌面 访问 XXXX 业务系统,但是从终端到后台核心数据之间的直接访问被切断,减少被扫描攻 击的可能性; 配合瘦客户机(Thin Client)使用时,可以真正实现客户端零管理,病毒、误操作都不会对 系统产生太大影响,瘦客户机耗电量只有 20 瓦左右,尤其是在大规模终端设备的场景下, 省电效果尤为明显; 桌面虚拟化改造后,集中的虚拟桌面更容易管理,每个 IT 人员可以管理的虚拟桌面数量可 以比传统 PC 多出十倍以上; 桌面虚拟化改造可以延长桌面设备的使用周期,例如很旧的 PC 机都可以访问运行在后台 服务器上的最新桌面操作系统; 简化桌面设备的更新流程,由于桌面虚拟化改造后桌面操作系统集中运行在后台服务器 上,只需要简单更换设备即可完成更新流程; IT 人员可以从繁琐的传统桌面管理工作中解脱出来,促进业务创新; 应用程序从操作系统中剥离后,整个生命周期管理都能够实现集中化,研发、测试、部 署、配置、更新以及淘汰过程都在数据中心操作,非常高效; 应用程序只需要针对一个标准平台进行开发测试,在所有常见平台上都可以借助 Citrix 进 行访问,例如最新的 iPad 设备; 因为桌面虚拟化带来的数据集中,可以快速、方便地集中备份/恢复用户数据; 未来扩张时,带宽需求更容易估算,不再随着应用数量增加而增加,而只要为每个用户设 计 50Kbps 左右的带宽即可,和应用数量无关;

?

? ? ? ? ? ? ? ?

最终用户: ? 工作数据随着虚拟桌面集中管理,不会丢失;

4

? ? ? ? ?

虚拟桌面比传统桌面更加健壮,桌面、应用的故障可以大大减少; 配合瘦客户机使用时,工作环境更加整洁舒适,噪音小,同时启动速度更快; 在移动办公远程 VPN 访问时,更加高效,可以提升访问的速度; 可以在任何时间、任何地点,使用任何设备安全、高效地访问个人桌面,获得最大的灵活 性; 享受更强大的桌面性能,在虚拟桌面改造后,用户分享强大的服务器运算能力

6.一个典型应用的配置清单 6.一个典型应用的配置清单
某个 200 个终端的企业云计算应用平台为例 物理服务器方面,共设计 6 台两路 4 核 96GB 内存物理服务器和 2 台两路 4 核 8GB 内存物理服务 器。两台 8GB 低配置服务器用于文件服务器集群;其余 6 台 96GB 高配服务器,每台支撑 40 个虚 拟 Windows7 或 XP 桌面,200 虚拟桌面需要 5 台,另外 1 台用于冗余。 存储方面,假设需要 3 个镜像文件, 每个用户计划分配 20G 的桌面空间,每个用户个人数 据存储空间 20G 来计算,建议为每台 VDI-in-a-Box 服务器配置 2*20G*3+70G+20G*40=1TB 磁盘存 储,另外, 为了在文件服务器上为每个用户配置 20GB 的个人数据空间, 文件服务器需要额外 20Gx200=4TB 的存储空间。

硬件列表
硬件类型 PC 服务器 (两路 4 核 96GB 内存,四块 15K 300G 硬盘,4 块千兆网卡) PC 服务器 (两路 4 核 8GB 内存,两块 15K 300GB 硬盘,4 块千兆网卡) 存储设备 NAS 等比较便宜的存储设备存放用户 个人数据 瘦客户机 Citrix NetScaler MPX 7500(可选) 支持 VDI-in-a-Box 的瘦客户机 安全接入网关设备 200 2台 4TB 文件服务器 2 功能 Citrix VDI-in-a-Box 服务器 数量 6

软件列表
软件及授权 Citrix VDI-in-a-Box 5 Windows Server 2003 或 2008 企业版 Windows XP/Win7 虚拟机授 权 描述 VDI-in-a-Box 并发用户数据 用于 VDI-in-a-Box 文件服务器 数量 200 2 200

虚拟桌面的微软桌面操作系统授权,按照微软 条款,选择 VDA(Virtual Desktop Access)授权

5