当前位置:首页 >> >>

虚拟桌面解决方案建议书_图文

Citrix XenDesktop
虚拟桌面解决方案建议书

广东大中信息技术有限公司 2010/12/21

第1章 1.1 第2章 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.2 2.2.1 2.2.2 2.3 第3章 3.1 3.2 3.2.1 3.2.2 3.2.3 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5

概述......................................................................................................... 4 项目背景和目的..................................................................................... 4 项目需求................................................................................................. 5 功能需求................................................................................................. 5 集中管理 .............................................................................................. 5 桌面虚拟化 .......................................................................................... 5 存储隔离 .............................................................................................. 5 远程接入访问控制 .............................................................................. 5 技术需求................................................................................................. 6 水平扩展 .............................................................................................. 6 负载均衡 .............................................................................................. 6

服务器安全防护 .......................................................................................... 6 解决方案及对应项目需求的实现......................................................... 7 总体方案构架......................................................................................... 7 应用场景描述......................................................................................... 7 远程接入: .......................................................................................... 7 内部办公 VDI 桌面: .......................................................................... 8 内部办公本地流化桌面: .................................................................. 8 对应功能需求的实现............................................................................. 8 集中管理 .............................................................................................. 8 桌面虚拟化 .......................................................................................... 9 存储隔离 .............................................................................................. 9 数据保护 ............................................................................................ 10 远程接入访问控制 .............................................................................11

3.4 3.4.1 3.4.2 3.4.3 第4章 4.1 4.2 第5章 5.1 5.2 5.3

技术需求的实现................................................................................... 13 水平扩展 ............................................................................................ 13 负载均衡 ............................................................................................ 13 服务器安全防护 ................................................................................ 13 解决方案效果分析............................................................................... 18 降低桌面维护成本............................................................................... 18 提高数据安全....................................................................................... 18 系统配置建议....................................................................................... 19 硬件需求............................................................................................... 19 软件需求............................................................................................... 19 存储需求............................................................................................... 20

第1章 概述
1.1 项目背景和目的

随着企业办公项规模扩大,办公环境的管理更加复杂,安全管理的要求也日 益提升。利用现有硬件资源,建立一个简单、易用、安全的统一接入平台,以有效 进行办公环境的规范管理,支持可控的远程访问模式,同时对于办公环境如何保护 重要数据与代码的安全提出了挑战。 (1) (2) (3) 每台 PC 部署和维护需要花费大量的时间和人力; 无法为移动办公及远程访问用户提供灵活的桌面应用接入平台; 由于大量的数据在广域网上传输,因此远程的访问速度和网络性能经

常得不到保障,数据安全面临挑战; (4) 随着软硬件的频繁升级与更新,客户端设备不可避免地要被淘汰,应

该如何控制系统追加投资;

第2章 项目需求
2.1 功能需求

2.1.1 集中管理
将办公环境中的应用软件和桌面进行集中管理,可以根据需要随时调整 办公环境的应用部署,简化办公人员客户端的办公环境配置及部署要求。

2.1.2 桌面虚拟化
用户可使用集中部署的虚拟桌面进行日常办公和设计工作,工作数据均保 存在后台服务器,没有企业领导授权,用户无法接触到企业核心数据。

2.1.3 存储隔离
每个用户能建立各自的文件系统或存储空间,相互之间不能访问。但授权 用户可以访问特定用户组的存储空间。

2.1.4 远程接入访问控制
支持分公司远程接入的办公模式,能有效控制用户的剪贴板、本地硬盘、 打印机、端口等操作,做到分公司人员未经授权无法从任何渠道获取代码、文 档和办公数据。对于合作公司的远程访问要求能有效控制,包括登录时间段、 登录用户的监控。

2.2

技术需求

2.2.1 水平扩展
服务器端支持水平扩展,能通过水平增加服务器来适应办公需求的扩大。

2.2.2 负载均衡
可根据用户访问量和资源使用情况,动态分配到到负载量最低的服务器上。可 支持手动负载均衡操作。

2.3

服务器安全防护

保证服务器对外服务时,系统安全性,确保数据安全。

第3章 解决方案及对应项目需求的实现
3.1 总体方案构架
通过 Citrix XenDesktop 集中部署和发布用户桌面,整个后台服务器架构没有 变化,客户端可以通过 XenDesktop 来访问集中发布的企业桌面环境,其整体构架 如下图所示:

3.2 应用场景描述
3.2.1 远程接入:
分公司人员通过广域网经由 Access GateWay 访问 Citrix 统一身份验证平 台,通过身份验证的用户,可获取到授权的虚拟桌面和虚拟应用程序,这些应 用和桌面集中部署在 Citrix XenApp 和 XenDesktop 服务器集群中,包括:内部 业务系统,企业 OA,ERP 等,用户数据均集中保存在后台文件服务器上。 Citrix 解决方案基于服务器运算架构,前端设备仅完成界面展示工作,无 需强大的硬件资源,即使即将淘汰的 PC 机也可轻松运行 WinVista 或 Win7 等 主流操作系统。

3.2.2 内部办公 VDI 桌面:
VDI 桌面由后台服务器虚拟化提供,每个员工分配一个办公桌面,办公人 员直接访问 Citrix 统一身份验证平台,获取授权的虚拟桌面和虚拟应用程序, 开展日常办公工作,用户数据集中保存在文件服务器。 与分厂接入方式一致,内部办公人员使用的终端设备可以是 PC 机也可以 是瘦客户机。

3.2.3 内部办公本地流化桌面:
员工使用没有硬盘的 PC 机,通过网卡 PXE 启动并与 Citrix Provisioning Server 服务器通信,获取虚拟硬盘存放位置,创建无盘工作站环境,操作系统 镜像保存在 Citrix Provisioning Server 上,软件更新及系统补丁只需在服务器上 进行一次更新即可完成。 本地流化桌面每次重启均恢复标准状态,确保桌面性能并且完全利用本地 硬件资源,最大化利用原有硬件资源。

3.3 对应功能需求的实现
3.3.1 集中管理
Citrix 的集中部署模式只将企业应用部署在数据中心,由于客户端和服务器位 于同一局域网内,因而应用性能和安全性得到提升,用户可以通过任意终端和任意 网络进行访问数据中心,非常方便;而企业只需对局域网内的数据中心进行管理, 实现了管理维护的简化。应用软件的安装及配置变化,均可以在服务器端集中进 行,大大简化了办公环境的配置和部署。

3.3.2 桌面虚拟化

Citrix XenDesktop 可提供一种端到端的桌面交付解决方案。可动态按需产生 虚拟桌面,用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保 性能不会下降。此外,XenDesktop 采用的高速交付协议还可在任何网络条件下提 供无与伦比的响应速度。对于 IT 机构而言,XenDesktop 可通过分别交付桌面操作 系统、应用和用户设置,大大简化桌面生命周期管理并显著降低拥有成本。 Citrix XenDesktop 可为任意地点的用户按需交付桌面,同时显著简化生命周 期管理。它可提供一种端到端的桌面交付解决方案,为最终用户加速交付桌面,提 供更强大的数据保护和监控,并降低高达 40%的拥有成本。 采用桌面虚拟化技术可以在数据中心集中化管理桌面,还可轻松实现安全防护 及备份。然而,经常出现的同一生命周期管理问题依然存在——IT 部门仍需对每 个虚拟桌面镜像及其所安装的应用程序和用户设置进行管理、维护和更新。另外, 桌面虚拟化还会带来新的挑战——尤其是会使用户的网络性能大大降低,使每位用 户的桌面镜像网络存储成本大大增加。

3.3.3 存储隔离
通过选择 NTFS 文件系统和 Windows Server 的用户 Profile 机制,每个用户可以

有自己的存储空间。利用 NTFS 的文件权限的管理机制,用户在服务器端的私有存 储空间,工作目录,临时文件可以被安全的管理和限制。可限制用户的对其他用户 数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。 同时可以通过配置 Windows Server 2003 的文件夹重定向,将 My Documents 等 目录集中重定向到集中的文件服务器,从而保证用户不管登录到哪台服务器,都能 一致地访问其用户数据。

3.3.4 数据保护
传统模式应用分布在企业的所有客户端上,其安全要考虑各个环节:服务器、 客户机和端到端的网络;其维护和安全管理范围需要涵盖企业的每一台终端设备和 跨广域网段。 因为客户端直接访问后台时,之间传输的数据是真实的企业应用数据,该数据 会被缓存在用 户本地或在传输中被截获, 这些都是不安全因素;而用 户访问 XenDesktop 服务器时,之间传输的是屏幕增量变化信息和鼠标键盘变化信息,用 户端无任何应用数据缓存在本地,同时中途截获这些信息然后反推出用户真正的办 公操作和数据比直接截获办公数据困难上千倍。 因而可以说数据总是存放在最安全的地方,XenDesktop 带来的最大益处是采用 应用虚拟化方式阻止数据任何时候离开数据中心。对于远程用户从公网访问内网, XenDesktop 通过严格的用户认证进行安全权限控制。 由于网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部分, 办公数据和代码的并不下载到客户端本地;数据、缓存、Cookie 等等全部在中央 受限的环境中控制;另外 ICA 协议还含有多种加密技术,保证显示界面和用户操 作数据的安全传输;客户端的操作感觉虽然就像在本机操作一样,但未经权限许 可,不得擅自修改、备份、拷盘、打印等。通过应用发布的方式,内部员工和外部 合作公司的员工只能使用本岗位的应用程序,而不能打开其他的应用软件或数据信 息。 采 用 无 盘 工 作 站 的 工 作 原 理 , 客 户 端 均 为 无 硬 盘 的 PC 机 通 过 Citrix Provisioning Server 的无盘启动为员工提供办公环境,所有数据均保存在文件服务

器,通过设置禁用本地所有端口(例如:USB 端口,打印端口等)确保企业核心 数据不被泄露。

3.3.5 远程接入访问控制
Citrix 为用户提供了统一的安全接入手段,一个典型的接入过程如下图所示: 首先用户需要进行身份认证,XenDesktop 支持多种身份认证手段,包括双因素 认证,指纹识别等:

当用户通过认证后,会通过加密链路进入其个人访问门户,看到其所能访问的 各个应用软件:

当用户使用某一软件,或访问某一系统,通过 Citrix 的虚拟化服务器和口令管 理,在几秒内自动完成应用调用和登陆,然后用户就可以如在本地一样使用所需 , 软件和应用。 而管理员不仅可以方便地设置每个应用允许哪些用户的访问,并且可以详细地 记录用户对各应用的使用情况。通过 Citrix 应用交付平台可以严格控制用户对应用 的访问,可控制的操作和资源访问包括 Copy/Paste、打印、保存到本地,端口的访 问等。

3.4 技术需求的实现
3.4.1 水平扩展
Citrix 内置实现了群集功能,在 Citrix 服务器配置中集群称之为一个 Farm, 当 用办公系统规模扩大时,可以方便地通过在 Server Farm 中添加服务器来进行水平 扩展。

3.4.2 负载均衡

在 Citrix 的 Server Farm 中, “Data Collector”负载均衡调度服务器负责收集 每一台服务器里面的一些动态信息,如 CPU,内存等使用情况,并与之进行交 流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。 Server Farm 同时提供了高可用性功能,当单点服务器出现故障时不影响用户 使用,用户会重新连接到另外一台负载较轻的服务器上。从而避免了单点故障。

3.4.3 服务器安全防护
1.Windows 部分 由于 Citrix 环境基于 Windows 身份验证,因此,用户权限决定了系统安全 性,对于 Citrix 用户,建议按照部门在域控制器上建立 OU,仅赋予 OU 中用户最 基本的用户权限,使用组策略隐藏服务器系统盘符,使用登录脚本在文件服务器上

为 Citrix 用户创建可读写的个人文件夹,用户个人数据仅允许保存在该目录,此 文件夹存放于文件服务器。 在 Citrix XenDesktop 服务器上安装防病毒软件,确保服务器不被病毒所感 染。 2.Citrix 部分 使用 Citrix 控制台为用户配置访问策略,是否允许用户使用本地设备(硬 盘,光驱,打印机等) ,不允许使用本地硬盘的用户登录到 Citrix 使用相关应用的 时候,则无法将数据保存到本地,确保公司核心数据的安全。

设置 Citrix 策略禁止用户使用本地设备

将策略应用于用户 usr1

用户 user1 无法将数据保存到本地硬盘

其他用户可正常使用本地硬盘 3.网络部分 防火墙仅需开放 Citrix 所需的 80 和 1494 端口,如果部署了 Access Gateway,则仅需开放 443 端口即可。 Citrix ICA 协议为私有协议,目前还没有针对 ICA 的攻击方法,因此, Citrix 在广域网的运行是比较安全可靠的。

第4章 解决方案效果分析
4.1 降低桌面维护成本
基于服务器运算架构大幅降低前端设备的运算需求,从而延长原有 PC 终端的 使用寿命,随着旧设备的淘汰可更换成免维护的瘦客户机,节省大量的桌面终端投 入成本。 桌面和应用集中管理和维护使得 IT 部门的人员可以在后台只管理和操作系 统,应用程序,配置文件的单一实例即可向所有用户交付个性化的桌面,同时满足 不同类型用户的需求,无论从灵活性还是安全性都可以达到最优的用户体验。

4.2 提高数据安全
由于网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部分,没 有任何数据传递,数据、缓存、Cookie 等等全部在中央受限的环境中控制;另外 桌面虚拟化还含有多种加密技术;客户端的操作感觉虽然就像在本机操作一样,但 未经权限许可,不得擅自修改、备份、拷盘、打印等。

序号 序号 1 1 2 2 3 3 4

产品 产品 Windows 2003 Server 企业版 With SP2 Windows 2003 Server 企业版 With SP2 Citrix XenDesktop 企业版用户授权 Windows XP SP3(专业版) Microsoft SQL Server 2005/2008 标准版 Citrix XenDesktop 企业版用户授权 (建议企业版) Microsoft SQL Server 2005/2008 标准版 (建议企业版)

数量 数量 3 7 200 200 1 200 1

角色 角色 操作系统 操作系统 用户授权 客户端虚拟桌面 数据库 用户授权 数据库

备注 备注

服务器角色 Citrix PVS 服务器 文件服务器+Citrix License Server +SQL 服务器

型号及规格说明 8G 内存 8G 内存

单位 台 台

数量 2 1

备注 用于部署 Citrix PVS 服务器 用于 Citrix License 授权 存放个人配置文件

服务器角色 Citrix XenDesktop 服务器

型号及规格说明 8G 内存

单位 台

数量 2

PVS 服务器 文件服务器+Citrix License Server +SQL 服务器 AD(域控制器) 办公虚拟桌面

8G 内存 8G 内存 4G 内存 2GB 内存

台 台 台 台

2 1 2 200

备注 用于部署 Citrix XenDesktop 4.0 企业版(可以用 XenServer 中 的虚拟服务器) 用于 OS 交付 用于 Citrix License 授权 存放个人配置文件 用户身份验证 普通办公虚拟桌面

第5章 系统配置建议
5.1 硬件需求
项目第一期:本地流化桌面(200 用户)

项目第一期:VDI 桌面(200 用户)

5.2 软件需求
项目第一期:本地流化桌面(200 用户)

项目第一期:VDI 桌面(200 用户)

序号 序号 1 1 2 2 3 3 4 5

产品 产品 办公虚拟桌面 办公虚拟桌面 PVS 服务器 AD 服务器 文件服务器+Citrix License Server +SQL 服 Citrix 务器 XenDesktop 服务器 PVS 服务器 文件服务器+Citrix License Server +SQL 服 务器

数量 数量 200 200 2 2 1 2 2 1

存储需求 存储需求 40GB 40GB 30GB 30GB 30GB 30GB 30GB 30GB

总数 总数 8TB 8TB 60GB 60GB 30GB 60GB 60GB 8.1TB 30GB 8.21TB

5.3 存储需求
项目第一期:本地流化桌面(200 用户)

项目第一期:VDI 桌面(200 用户)