Citrix手机移动办公解决方案文档格式.docx
- 文档编号:22626898
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:19
- 大小:47.01KB
Citrix手机移动办公解决方案文档格式.docx
《Citrix手机移动办公解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《Citrix手机移动办公解决方案文档格式.docx(19页珍藏版)》请在冰豆网上搜索。
通过虚拟应用平台部署移动办公系统,一方面应用更加方便使用,用户无论在笔记本上还是手机上,实际上使用的都是运行在虚拟应用服务器上的同一个应用,没有适应多种界面的要求,而且可以实现同一个应用在不同的移动设备之间的漫游,实现了业务连续性;
另一方面,由于所有的应用都位于数据中心的机房,集中管理的同时,也大大提高了办公数据的安全性。
而在手机和虚拟应用服务器之间只需20k左右的带宽,因为其间传递的并非实际的业务数据,而是虚拟化数据。
这样既保证了OA系统可以在低带宽网络下使用,又避免了业务数据在公网传输的安全隐患。
2.2.软件部署架构
虚拟应用服务器上软件部署包括:
在底层Windows2003操作系统之上安装CitrixXenApp虚拟应用服务器,然后在虚拟应用服务器之上安装各种办公软件如OFFICE软件、邮件系统以及浏览器阅读器等工具软件。
手机上的软件部署包括:
在手机操作系统上安装虚拟应用接收器。
手机上不安装任何应用软件的客户端,通过虚拟应用接收器,可以使用所有虚拟应用服务器上的应用,整个软件架构如下图所示:
手机的网络访问只需要指定虚拟应用服务器的IP地址、用户登陆的用户名和口令,以及登录域名称等信息即可,用户打开虚拟应用接收器就可以获取服务器上授权使用的应用图标,打开应用图标即可使用。
2.3.技术原理
虚拟应用服务器和虚拟应用接收器之间,通过CitrixICA协议建立通道,使得客户端设备可以远程操作服务器上的应用。
ICA协议连接了运行在服务器上的应用进程和业务PC机的输入输出设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在服务器上的应用进程的输入输出数据重新定向到远端客户端的输入输出设备上,因此业务用户使用服务器上的应用时感觉就像在使用本地应用一样。
ICA协议如下图所示:
虚拟化应用实现了应用软件运行在服务器上,但是对该软件的操作(输入输出)在客户端设备上,所有的输入如点击、键盘的操作被ICA协议同步到服务器上执行,所有的输出如屏幕的刷新也被ICA协议同步到客户端。
虚拟化应用操作模式如下图所示:
ICA协议是一种高效率的数据交换协议,采用了数据压缩、加密和连接优化技术,每一个用户的连接只占用10K-20K的网络带宽,而实际运行的客户端软件位于后台的局域网内,因此终端用户相当于用拨号线的链路就可以享受到局域网内的运行速度。
同时ICA协议可以分别针对单独的虚拟通道进行控制,这样为用户的访问和使用带来了细粒度的控制。
比如如果控制用户不许通过打印机把信息打印出来,只需要中断ICA连接中的打印机通道即可。
2.4.访问场景
用户在使用移动办公OA系统时的访问方式如下:
笔记本用户打开浏览器,输入统一的访问网址,然后在出现的身份认证页面里输入自己的用户身份,通过后就会看到OA门户图标以及其他被授权使用的应用图标。
点击OA门户图标,界面显示建立服务的连接条,大约10秒钟后出现OA门户的界面,剩下的操作就和本地IE访问OA门户一样。
手机用户可以预先设置好访问地址和用户名口令,这样直接打开OA图标就可以使用OA门户。
面向服务的访问使用体现在:
用户可以中断和重连服务(sessiondisconnectandreconnect),当用户离开一段时间,但又不想结束业务操作,可以选择断开服务,这时用户屏幕上的OA应用消失,等用户回来后,重新输入身份认证,通过后刚才做了一半的业务就重新出现在屏幕上,可以继续工作。
客户端和网络故障不会影响业务操作,如果业务用户的客户端设备死机或者网络中断,同上面一样只是服务断开,工作是运行在服务器上,并没有受影响。
用户只需要更换任意客户端或网络,就可以重新连接服务,继续刚才中断了一半的业务操作。
会话超时(Sessiontimeout),管理员可以在后台设置服务超时,当一个用户打开业务操作后长时间不用,系统可以自动释放该会话,业务界面暂时消失。
当这个用户重新使用时,再做身份认证后,继续刚才的业务操作。
会话监控(SessionShadow),系统有远程监控的功能和权限,如果某用户出现操作上的问题,有相关权限的管理人员,可以监控该用户的操作,两个人可以共享同一个会话服务,管理人员可以远程帮助用户操作或解决问题。
其中访问服务超时设置可以针对不同的用户进行不同的设置,例如对于VIP用户,可以设置永不超时,这样VIP用户即使不操作也会一直连接;
对于一般用户,可以设置超时时间例如30分钟,这样如果这个用户30分钟不操作,该连接就会释放。
3.详细设计
3.1.拓扑结构
虚拟应用服务器群组要求和OA门户服务器部署在同一局域网内,可以放置在用户数据中心机房内,用户数据中心需要和移动网络连接,一般有两种连接方式:
1,通过APN专线连接,企业用户向无线运营商申请APN专线,连接企业用户的数据中心和无线运营商,这样用户的手机访问可以直接进入数据中心;
2,通过公网(internet)连接,企业用户需要开通数据中心和internet的线路访问,用户通过手机访问和来自互联网的访问一样,可以访问其数据中心。
用户数据中心的网络拓扑图如下所示:
3.2.用户认证
为了提高系统访问的安全性,移动用户在访问虚拟应用平台时需要进行身份认证,以确定该用户是否可以使用移动办公应用,防止非法用户或其他非授权人员的访问。
由于企业办公软件以Windows平台为主,因此建议采用微软的活动目录AD作为统一的用户身份管理系统。
AD域不仅统一定义用户身份,还定义了用户访问服务器的权限和行为控制等组策略等。
移动办公系统会在公网上传递用户身份,因此建议提高用户认证强度。
虚拟应用平台支持的身份认证模式包括:
静态口令:
目前的用户名加口令,属于低强度身份认证,建议只在内网使用
数字证书:
通过数字证书可以有效识别客户端有效性。
可以统一采用企业内部认可的证书体系,通过在虚拟应用平台和用户手机客户端加载数字证书,来确保用户身份的可靠性。
如果用户手机丢失,则发证机构将该证书作废,则丢失手机无法使用移动办公系统。
动态口令/双因素认证:
虚拟应用平台经集成了大量的高强度身份认证技术,如RSA令牌等等。
认证令牌可以硬件、软件和智能卡等多种形式向用户提供。
令牌在发售时已经使用唯一的128位种子初始化;
内部芯片每分钟都会使用一种算法,组合该种子与当前时间,生成一个随机的数字作为动态密码,从而提高用户的密码强度。
生物识别(如指纹)及其他高强度认证:
应用集中发布平台预留了集成其他身份认证的接口,如RADIUS认证等等,可以方便地集成用户自由认证或第三方认证。
3.3.加密方案
从安全性角度考虑,移动办公和手机访问需要对链路传输信息进行加密,需要配置VPN接入设备。
移动办公的VPN设备需要支持各种手机终端,Citrix提供了支持智能手机的VPN安全网关AGEE。
AGEE支持对Citrix虚拟服务器的单点登录,SSL加密、智能手机的ICA转发以及对客户端的智能访问(SmartAccess)等功能。
其部署方案为放置在DMZ区域,如下图所示:
出于对后台系统保护的需要,管理者可以制定对后台系统更加严格的访问条件,比如用户访问来自PC机还是来自手机,如果是PC机是否安装了企业要求的防病毒软件等等,需要使用AGEESmartAccess智能访问控制。
针对用户访问的场景的智能分析,包括:
●接入角色分析,基于用户身份
●接入设备识别,用户使用的是什么机器,什么操作系统
●接入设备配置,用户的设备中是否有防病毒、软件、服务、外设等等
●网络位置分析,用户来自于办公室、楼层还是家中、网吧
●其他定制的安全扫描
基于扫描结果可以决定哪些应用可以访问,控制范围包括集中应用发布平台上发布的所有应用,以及每个应用的操作权限如:
●是否可以访问应用
●在应用系统中否可以打印
●从文件中粘贴复制内容
●上传和下载文件,保存到本地或者文件服务器
●在线安全编辑(内存中进行)
3.4.应用部署
移动办公系统的部署工作,主要是将应用客户端部署在虚拟应用服务器上。
以LotusNotes为例说明如何在服务器上进行应用部署。
部署基于Notes的虚拟应用时,对于原先部属的LotusNotes办公系统、Domino服务器、数据库服务器等应用系统不变,通过在原来的Domino服务器前,增加了Citrix虚拟服务器。
原先安装在客户端的Notes客户端程序现在需要安装在Citrix服务器上。
相应的客户端的配置文件,统一安装在一台单独的文件服务器之内,在客户端访问的时候,可以提取相应的客户端信息进行认证。
在将要部署Citrix系统的服务器上先安装好win2003server和Citrix之后,那么就需要发布LotusNotes的客户端了。
具体步骤如下:
✓首先创建一个域管理员账号来安装Notes(如,Notesadmin)
✓所有登陆系统的用户都有一个主目录,把此目录映射成一个盘符,如W,可运行MicrosoftApplicationCompatibilityScripts目录下的chkroot.cmd。
✓用新创建的Notesadmin账号登陆系统,在命令行提示符下打入changeuser/install,是系统处于安装模式,然后运行安装LotusNotes,注意选择共享安装。
✓安装完毕后,不要重启系统,再次运行LotusNotes安装程序,此次不要选择共享安装,在程序文件夹目录下选c:
\lotus\notes,在数据文件夹下选w:
\lotus\notes\data
✓安装完毕后,不要启动notes,不要重启系统。
在c:
\lotus\notes下打开notes.ini文件,修改Directory=w:
\lotus\notes\data,并添加一条目,WinNTIconPath=w:
\lotus\notes\data\w32。
保存此文件并剪切到w:
\lotus\notes\data目录下,在Citrix里发布lotusnotes应用程序时,指定工作目录为w:
\lotus\notes
✓制定登陆脚本,使每个登录的新用户都能拷贝Notesadmin的主目录到自己的w盘下
✓将每个用户登录Lotus的ID文件拷贝到其相应中央共享目录中
通过这样配置,每个用户通过Citrix来使用Lotus时,互相之间就不会产生影响,每个用户将有自己的配置或模板文件,使用起来得心应手。
3.5.客户端要求
虚拟应用的客户端支持最新的的智能手机,以及其他客户端操作系统。
Citrix支持的智能手机/PDA如下:
–AppleiPhone/iPodTouch
–AndroidGPhone
–BlackBerry
–WindowMobile/PocketPC
–EPOS/Symbian
–Nokia9000系列/E61/E70/
–SES603RDS80
Citrix支持的其他客户端类型如下:
–Windows:
–32-bit:
95,98,NTand2000/XP/2003/Vista
–16-bit:
3.1,3.11,WFWG
–CE
–DOS:
32-bit,16-bitRealModeVersion
–Macintosh:
iMAC,68k&
PowerPC
–Unix:
–HP-UX
–IBMAIX
–SolarisSparc
–Solarisx86
–SunOS
–SGIIRIX
–CompaqTru64
–SCO-UnixWare,OpenServer
–Linux:
RedHat,Caldera,SuSE,Slackware
4.虚拟应用平台功能
移动办公应用集中发布平台,不仅实现了应用的集中部署和远程使用,同时必须保证后台服务器的可靠性、可扩展性和可管理性,具体功能如下。
集群能力
无论是用户访问,还是后台管理员的管理对象,都不是单台的服务器,而是一个单一的集群。
否则随着应用的增多和用户数的增多,对服务器的资源调度和管理将成为瓶颈。
平台的集群功能包括:
✓在操作系统之上建立集群平台层,管理员应用发布的设置和管理只需针对平台,而不需一台一台服务器进行设置
✓通过集群平台可以提高整体后台的可靠性和可扩展性
✓通过集群平台可以有效地将工作负载进行分担,其负载算法应根据服务器的CPU、内存、磁盘交换等多种逻辑由管理员定义组合计算
✓集群平台可以根据用户身份进行会话重连,以实现跨客户端设备和网络的工作漫游
✓通过集群平台可以优化操作系统计算资源,如控制整体CPU计算能力按照用户均分,优化应用的内存消耗等,以提高后台支持并发访问的能力
应用控制
应用发布平台能够实现应用粒度的控制,即各个应用可以在集群中独立发布,用户可以针对单个应用独立访问。
例如集群中1至4号服务器发布应用OA门户,5、6号服务器发布OFFICE工具,7、8号服务器发布IE等工具,这样后台的管理更加灵活,1至4号服务器可以专门针对OA应用进行优化。
另外可以控制应用运行的位置,如果用户使用PC机并在局域网内,可以允许OFFICE以应用流模式下载并运行在客户端,以节省服务器计算资源。
平台的应用控制功能包括:
✓可以独立发布和访问应用,而不依赖于桌面
✓可以实现应用只安装一次,就可以部署到平台服务器上,无需在每台服务器上安装
✓可以控制应用的运行位置,如运行在服务器上还是运行在客户端
✓可以控制应用在服务器上的进程数,以防止单个用户运行大量应用耗尽后台资源
✓可以控制应用对外设的访问,如是否可以拷贝文件、是否可以打印、是否可以粘贴内容
✓可以解决应用兼容性问题,如将互相冲突的应用安装在同一台服务器上,以节省服务器资源
✓提供应用标准外设的支持以及非标准外设的集成接口
带宽控制
由于应用集中运行时,会话会持续消耗网络带宽,因此带宽控制能力,是后台支持并发能力的一个重要指标。
平台的带宽控制能力包括:
✓每用户消耗带宽应尽可能低,例如10K-20K
✓控制带宽的消耗,如设定每用户消耗带宽的最大值
✓能够细粒度控制传输数据对带宽的消耗,如分别控制打印数据、磁盘文件拷贝、声音数据等对带宽消耗的最大值
✓提供网络硬件加速方案,实现诸如压缩、缓存和TCP/CIFS等协议优化,以进一步节省带宽,从而提高用户在有限带宽下的应用体验
终端访问控制
由于用户的访问终端和环境各异,例如终端设备和PC机共存,而PC机的安全隐患较多,因此需要针对用户的访问进行识别和权限控制。
平台的访问控制能力包括:
✓能够识别用户访问的终端设备类型
✓能够通过策略设置,即使相同的客户如果通过不同的终端设备访问到的应用不同,例如某些应用只有图形终端能用,PC机不能用等
✓能够通过策略设置,即使相同的应用如果通过不同的终端设备或网络环境访问时使用的外设不同,例如在办公室可以打印,办公室外不许打印。
✓能够设别终端设备是否满足安全条件,比如是否安装防病毒软件等,如果安装了才可以使用某些应用,后者才可以使用某些外设等
可视化监控
对服务器和客户端用户的使用进行监控,并提供可视化监控界面和报表,是集中应用发布平台的必备功能,因为用户业务运行的压力全部在服务器上,用户的使用和后台服务器状态、操作系统报错、网络状况密切相关,能否全面监控和管理,是所有用户正常使用的保证。
✓提供平台健康状况监控的可视化仪表盘
✓自动收集所有服务器的系统事件报警和错误并统一通知管理员
✓提供相关的数据钻取帮助管理员定位用户问题
✓提供用户远程访问会话信息记录
✓提供用户体验记录,包括会话内部的事件记录(如连接过程、加载驱动、加载配置文件的详细过程和时间记录)
✓提供系统管理的统计报表,如用户访问统计、资源消耗情况、网络延时统计、系统出错统计等
✓提供用户的远程工作监控和接管
5.系统配置方案
目前企业应用是以32位操作系统为主,而32位操作系统的内存访问瓶颈是2G内核空间,虽然操作系统可以扩展用户访问空间,但是无法扩展内核空间,因此只要2G内核空间用完,配再多的内存都是无效,服务器性能也无法提升。
虚拟应用服务器的配置可以采用服务器虚拟化技术,因为服务器虚拟化可以有效解决32位系统的内存瓶颈问题,将一台物理服务器虚拟成多台逻辑服务器(4G-8G),然后在每台逻辑服务器中安装32位操作系统及软件。
5.1.服务器角色分类
虚拟应用平台所需逻辑服务器的角色包括:
∙XenApp服务器(虚拟应用,运行各种办公软件)
–Windows2003Server+SP2(Enterprise)
–CitrixXenApp
–微软终端服务
–用户的办公软件
∙WEB服务器(访问门户)
–Windows2003StandardServer+SP2
–IIS6或Tomcat等
–CitrixWebInterface
∙域控制器DC(用户管理及权限定义)
–为避免单点故障,域控制器需要有备份
∙数据库/文件服务器(记录配置参数存放配置文件)
–Windows2003Server+SP2
–MSSQLServer
5.2.服务器容量估算
在整个架构设计中,辅助服务器压力不大,用户访问使用OA系统的压力全部集中在XenApp服务器上。
压力测试的基准数据来源于硬件厂商如IBM的实验室对服务器计算能力的实测数据,在模拟多个并发用户分别以简单、普通、高负载三种操作频率使用流行的MSOffice2000软件,Windows2000/2003EnterpriseServer+CitrixXenApp服务器+ IBM刀片服务器HS20(配有2路至强DP2.4G,4GRAM,一个40G的IDE硬盘,一个18G15000转scsi硬盘,2块千兆网卡),可以最多支持320、215、170个并发用户。
再根据Citrix以往的成功实施经验,如果使用2-4-2(2CPU,4G内存,2个硬盘)的配置建议,每台服务器将能顺畅支持约50-100个并发用户(根据每个用户同时使用应用多少而变化)。
当服务器并发处理任务时,性能主要取决于硬件,主要消耗指标为CPU和内存。
根据大量用户的使用经验,当服务器CPU平均使用率和内存使用率高于80%时,服务器响应会明显下降,因此我们测试的依据是,在现有硬件条件下,以80%为极限,计算出现有服务器硬件能够在合理性能范围内支持的最大用户数。
对于OA办公系统,一般为内存消耗型应用,消耗内存最小90M,最大时200M,保守估计平均每并发用户消耗150M内存。
以一台XA服务器配置为8G为基准,为保证其最高效率内存消耗不超过80%为6.4G。
而一个并发访问平均消耗内存150M,6.4G/150M=43,因此从内存估算一个8G的32位XA服务器支持43个并发。
支持100个并发需要3台XA服务器
5.3.服务器配置示意
针对100并发的移动办公的典型配置,建议虚拟服务器服务器采用如下硬件配置:
资源类型
配置要求
备注
CPU
2路4核
64位并支持IntelVT或AMD-V技术
内存
32GB
XenServer消耗1GB左右,总共31G可用
网卡
4块1Gigabit/Full-Duplex
网卡绑定实现网络负载均衡
硬盘
2x73GB15,000rpmSAS硬盘,RAID-1
双硬盘配置成RAID-1,只用于安装XenServer
存储
HBA或iSCSI(可选)
所有的虚拟机镜像文件(VirtualDiskImage)都保存在远程共享存储中以支持XenMotion和HA
服务器物理2台,每台分配的逻辑服务器5台,包括:
DC域控服务器(2G)1台,WEB服务器(4G)1台,XA(8G)3台。
服务器角色分配如下图所示:
5.4.软硬件配置列表
针对100个并发访问规模的软硬件列表如下:
硬件列表:
服务器
数量
PC服务器(2个四核CPU,32G内存,硬盘2X73G)
2
共享存储(option)
1(注1)
AGEE(option)
2(注2)
软件清单
软件及授权
CitrixCCU(并发用户数)
100
CitrixXenServer
Windows2003Enterprise
(注3)
MicrosoftTerminalServiceLicense
注1:
存储根据用户的实际情况选配
注2:
如果使用SSLVPN及智能场景识别功能,需要配置此硬件。
注3:
采用虚拟化后,微软操作系统一套授权可以安装4套虚拟机,具体请查询微软。
6.附录
思杰公司简介
Cit
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Citrix 手机 移动 办公 解决方案