Citrix虚拟桌面解决方案XenDesktop技术方案.docx

Citrix虚拟桌面解决方案XenDesktop技术方案.docx

《Citrix虚拟桌面解决方案XenDesktop技术方案.docx》由会员分享，可在线阅读，更多相关《Citrix虚拟桌面解决方案XenDesktop技术方案.docx（14页珍藏版）》请在冰豆网上搜索。

Citrix虚拟桌面解决方案XenDesktop技术方案

Citrix虚拟桌面解决方案

2012年04月

1.背景3

2.目标3

3.解决方案3

1）桌面虚拟化（XenDesktop）4

2）虚拟桌面镜像管理6

3）智能访问控制（SmartAccess）8

4）性能监控（EdgeSight）11

5）Citrix桌面交付主要特性及优点11

6）技术部署12

7）方案优势13

4.安全访问过程15

5.结论23

1.背景

目前，XXX银行网络是由内网和外网两套网络架构组成，如果信息中心的员工要到每个购物中心维护当地的PC机，将面临很大的维护工作量。

同时，企业的销售和客户数据存在知识产权的外泄和一定的安全隐患，主要体现在如下方面：

1）内、外网的环境中均需要有独立的PC系统。

2）需要更多的维护人员进行系统维护，以保证业务的稳定性、连续性和安全性。

2.目标

因此，为了帮助银行更顺畅的使用桌面系统，同时降低维护工作量和保证数据的安全，同时还能遵守安全规定。

建议在内网和外网分别搭建两套虚拟桌面的方案，将软件和文档都放置到数据中心，只有授权的用户才能使用相应软件、才能拷贝重要文档，防止了信息的泄漏和丢失。

3.解决方案

对那些希望在全公司范围有效保护企业和客户信息的现代企业来说，坚不可摧的安全性已成了万能钥匙。

日益普遍的全球化和员工移动性的不断提高使数据的分布范围日益扩大，敏感数据越来越多地传播到企业网络范围之外，这无疑增加了数据安全漏洞。

保护企业数据变得越来越难，安全性理所当然地成了大多数IT机构工作的重中之重。

然而，单靠部署最新的防火墙、防病毒或加密工具并不能拒日益狡猾的入侵者于网络之外。

不光是黑客，有组织的犯罪、心怀不轨的内部员工和不经意间的错误都会使这些防线形同虚设；当关键数据不在IT部门控制范围之内时尤其如此。

而且，应对安全威胁的重任使IT部门疲于应付，已到了黔驴技穷的境地。

要求定期进行及时更新和维护的传统安全控制解决方案显得无能为力。

新的蠕虫攻击，被盗的笔记本电脑或狡诈的访问权限修改都会迅速演变为一场灾难。

在用户设备必须独立部署和维护的情况下，情况会变得更加糟糕。

此外，接入控制及其他安全保护措施会降低最终用户的生产率，这使IT部门更加头疼。

单纯靠使用更多工具来解决问题不是有效的解决办法。

相反，IT部门需要一种全新的方法来应对面临的严峻挑战——这种方法必须使“位置”变得无关紧要，而且有望保护任何地方的重要企业信息。

CitrixXenDesktop就是这样一种解决方案。

它将传统的桌面系统和应用部署方法转变为应用交付方法，使IT部门可以全面控制整个企业范围内数千种应用中创建、共享和散发的企业数据。

在应用交付方法中，只有应用的“交互式”组件被动态地交付给最终用户，而应用本身及其企业数据仍保存在主机服务器中。

1）桌面虚拟化（XenDesktop）

XenDesktop虚拟化桌面发布技术核心是其ICA协议，ICA协议连接了虚拟桌面和远端客户端设备，通过ICA的32个虚拟通道（包括鼠标、键盘、图像、声音、端口、打印等等），运行在虚拟桌面的输入输出数据重新定向到远端客户端机器的输入输出设备上，因此虽然应用客户端软件并没有运行在客户端设备上，但是用户使用起来和在客户端安装运行客户端软件相比，没有感觉任何操作上的改变。

由于ICA协议是一种高效率的数据交换协议，同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息，因此每一个连接只占用十几K的网络带宽。

这种模式使得企业应用部署架构上发生变化，从一种分布式部署变成了大集中的应用部署，因而带来了应用访问、性能及安全等各个方面的提升。

CitrixXenDesktop的应用交付何提供一种更智能的新方法来保护安全性，使IT部门可以获得最终的控制权，确保全面的安全性和监管法规遵从而不降低业务性能和生产率。

Citrix桌面交付技术可以在数据中心集中化管理桌面，还可轻松实现安全防护及备份。

然而，经常出现的同一生命周期管理问题依然存在——IT部门仍需对每个虚拟桌面镜像及其所安装的应用程序和用户设置进行管理、维护和更新。

另外，桌面虚拟化还会带来新的挑战——尤其是会使用户的网络性能大大降

低，使每位用户的桌面镜像网络存储成本大大增加。

CitrixXenDesktop桌面交付技术超越桌面虚拟化，可提供一种端到端的

桌面交付解决方案。

XenDesktop可动态按需产生虚拟桌面，用户每次登录时都能获得一个干净的、个性化的全新桌面从而确保性能不会下降。

此外，

XenDesktop采用的高速交付协议还可在任何网络条件下提供无与伦比的响应速度。

对于IT机构而言，XenDesktop可通过分别交付桌面操作系统、应用软件和用户个人配置文件，大大简化桌面生命周期管理并显著降低拥有成本。

Citrix桌面虚拟化服务器包含如下组件：

CitrixDesktopDeliveryController服务器：

以下简称CitrixDDC服务

器，对用户的登录请求进行认证，授权用户可使用某一个用户桌面。

CitrixProvisionServer:

将用户的操作系统、应用软件、个人配置文件

分离，采用流技术，将用户桌面按需提交到用户。

ProvisioningServer节省了

IT管理人员的时间和金钱，并减少部署服务器补丁、更新和升级时的失误。

当

需要打补丁或进行升级时，ProvisioningServer的功能使IT能够复制现有的

虚拟工作负载镜像，进行必要的更改，并使所有关联的服务器都能在重新启动时随之发生变化。

如果出现问题，可以回退到以前产生的镜像，仅需简单重新启动并回流到以前产生的镜像。

凯德置地Citrix桌面交付实现方式如下:

虑扫化儒离

尽量少的桌面鏡像筒化桌面镜像避知帳，诚少测试工作量

1.员工利用现有计算机，以Web或客户端方式登录CitrixDDC服务器，节约

当前用户计算机的投资

2.CitrixDDC服务器提交认证请求到后台域控制器。

3.认证成功后，工作站按需从CitrixProvision服务器获取标准Windows桌

面、应用软件、用户个性配置文件。

用户个性配置文件及新建的设计图纸等文档，都集中存放于比亚迪网络存储中，简化文件的管理；标准Windows桌

面映像只需要一份，同时提供给所有用户使用，这可节约大量的存储空间。

4.CitrixDDCK务器通过ICA协议提交工作站上的桌面到最终用户，用户就像使用本地计算机一样方便。

5.用户与CitrixDDC服务器之间的会话采用ICA协议，只传输屏幕信息、键盘、鼠标指令等，只占用少量的网络带宽。

2）虚拟桌面镜像管理

在数据中心设立ProvisioningServerforDesktops服务器（组），采用虚

拟化技术和流技术通过网络服务按需交付单一的标准桌面操作系统和软件，而不

是在每个桌面上进行物理部署。

其他网络结构和软硬件资源基本不改变，但所有

的安装、维护、管理、控制等模式就发生了变化，并将带来一系列益处。

ProvisioningServerforDesktops的功能极大地降低了桌面运营和管理的成

本，提高了数据安全性，降低了通常软件升级或打补丁相关的风险，简化了IT管理，并增强了IT灵活性。

采用该解决方案，可以对所有桌面IT操作实现集中

化管理。

由于操作系统/软件镜像虚拟化存储在网络上，因此无需在桌面上预先安装或永久性安装软件。

该解决案提供了全面的PC用户体验并且减少了桌面IT管理的访问。

由于虚拟桌面操作系统引导是从网络上的ProvisioningServer读取vDisk文件，所以，将有多种因素影响虚拟桌面的性能。

下图是同时有225个并发时的引导时间为280秒，该测试环境的服务器是DellPowerEdge2800，内存6G—块千兆网卡。

一个PVS服务器可以支持377个设备，一般建议最少两台PVS服务器保证高可靠性。

Client:

DellGX520,Pentium42.8GHz,512MBRAM,NetXtremeGigabit,WindowsXPSP2SelCeenJeDpOWeXEdgeF28nCCmD4a^.X（GHzJ.方GHM%RBMRNMXnerpRigaC0oW^Tgl^wsvXP2K325tanda「dSP1（noha）ArdSeDeVfDeoPoWeSPgie2800,DualXeon3.2GHz6GBRAM,IntelPRO/1000MT,Server2K3StandardSP1（noHA）

ArdenceVersion:

4.1SP1

本方案按照客户有500个并发远程用户访问应用服务器的需求，为保证系统

稳定不间断访问，建议在本方案中采用HA双服务器冗余：

设立2台Citrix

ProvisioningServer服务器，有效保证系统的可靠性和可扩展性。

服务器

配置

功能

备注

PVS1

CUP3GHzDualCore/内存8GB/NIC

Provisioning

1GB*2

Server

PVS2

CUP3GHzDualCore/内存8GB/NIC

1GB*2

Provisioning

Server

冗余

SQL

Server

CUP2GHz/内存1GB/160GB磁盘

PVSDatabase

SAN

按需配置

用户Image

3）智能访问控制（SmartAccess）

XenDesktop提供了全面的安全访问控制，所有访问虚拟桌面的用户，都会经过AAC高级访问控制，进行严格的权限控制。

本地用户可以直接从内网访问，外网用户需要经过防火墙，而在两道防火墙之间的DMZ隔离区内放置SSLVPN设备AccessGateway硬件。

XenDesktop的智能访问控制能够根据不同用户接入时的不同场景，将有相应的接入策略与之对应，并控制用户使用企业资源的过程和操作。

第一步：

针对远程接入场景的智能分析，包括：

接入角色分析

接入设备识别接入设备配置网络位置分析认证方式其他定制的安全扫描

如图：

进行端点扫描和分析

第二步：

基于策略的企业应用资源接入，包括:

虚拟桌面

文件和网络共享资源

基于Web的邮件系统

Web站点

基于Web的应用

邮件同步

基于IP的语音应用（VoIP等软电话应用）

如图：

接入策略控制

GettingStarted

Unthn;□vervlffAi'ltDgfJideiMcm-IhlcMihi^ieEttnd^taidk.TiriVd'b-Bdiics-filKMitig硏巾日nJatten:

cdinidgpouiBernnGBi-

FhibhLi.tiWabAp[jilicalion

r■snifi■snri¥-r-ti^nlllt^nd“代

azip4[：

-i3i>5-:

teSaiEFohiend^ebaphere亡已刖唱URL空P:

iu已日二匸色此

[>rsi怦h■tn-piir,ftfih■ri'fthPrt"[aprrfR

FPuib加h/WphFm車I

一^亠1亡輛im.curAflLie..drdjar1acc^：

：

0Hebbiscd

IfflwjrMormri胡丹沪十甘£肝冊鬥诜

Enl打mf祁i

匚-昇莎二时“占*'.十弓“広勺■■;=<¥ii^pcnrefth"口kefr少'-i：

e7l（op^rrhi

zefli；'0!

aar^n^v：

ICrcuti?

LoyqrIPoint

Jrrr-flf*a■iflifcvqeTpliwhine14.101}aqnnvdacqi_n-"essctis^llrqs

tMtfqu惟Im白扌目丁皿idhisrl’Mibr|^tan-sl|*I啦亡「POM

rtjst・»•*;art应tim『|

□eaitejafjlerInn卫口忙perfagermant|aidtiarebQ

□emIejijidicjiiubEg■auueis

'[CreateAccessCeritsir

耳V・icowtoMwMcwnize

jnlrimYcri=Td.TCk^n-^fiTUlClft

‘PublishFileShares

'Coni补用■nda^riticwtlqU^CrintfIh

-；岂$二Uf札订jbmyejgg

L«Hdb.untltiN』r山山uLUJkiiLJifcl

I；祈1牯jih・■“门工门・型〔皿ir.i

〔：

嫡"aFa□曰~iirK白ccmd

第三步：

操作控制和管理

Copy/Paste

上传/下载资源

打印

预览

保存到本地或者文件服务器

在线安全编辑（内存中进行）

日志

如图：

操作控制管理

用户场景体验

体验一：

当用户从企业内部网络来访问企业门户中的各种资源时，Citrix

AccessGatewayEnterprise监测到该用户访问从信任网络发起（内部网络）后，

该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大，这是符合

常理的。

体验二：

当用户作为企业移动用户来访问企业门户中的各种资源时，该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的；毕竟，该用户是

从外网接入，我们需要对其进行策略控制。

体验三：

用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及

进行的对资源的操作权限我们是必须要对其进行严格控制的，此时，该用户会发

现很多资源只能浏览而没有更多的控制能力

4）性能监控（EdgeSight）

XenDesktop白金版的性能监控工具可以方便地监控XenDesktop管理服务

器、虚拟桌面、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及License管理等等。

通过性能监控工具，管理人员不仅可以追踪用户对应用软件的使用情况，提前预知系统的性能问题，并且保存数据，以供分析和产生报表。

5）Citrix桌面交付主要特性及优点

卓越的用户体验

1.按需桌面：

用户每次登录时都会动态产生一个虚拟桌面，从而确保性能不

会降低SpeedScreen?

任何网络条件下都能提供最快速的桌面性能

2•快速开机：

数秒内便能访问虚拟桌面

3.通用打印机驱动：

为用户提供快速一致的打印体验，对于IT部门而言可

简化打印机管理和支持

4.EasyCall:

实现简单的点击呼叫语音通信

简单的桌面置备和管理

1.桌面镜像管理：

使IT可以通过一个单一镜像集中化管理多个虚拟桌面

2.按需镜像置备：

创建或取消置备虚拟桌面，不仅优化资源利用，而且用户每次登录时都能获得一个干净的操作系统

3.桌面存储优化：

使数百个虚拟桌面可以从一个单一桌面镜像启动，从而减少“桌面镜像蔓延”，可节省高达90%的存储费用

4.虚拟机基础架构：

提供一种基于准虚拟化的64位系统管理程序，实现虚拟桌面集中存管的可扩展性和经济实惠性

可靠的桌面访问管理

1.桌面分配：

为用户群创建虚拟桌面池，或为特定用户提供个性化桌面

2.会话管理：

虚拟桌面连接和会话状态

3.会话可靠性：

确保用户即使通过高延时或低带宽的网络连接也可继续工作

4.高可用性/故障恢复：

在避免产生单点故障的情况下让用户能够访问其虚拟桌面

5.安全远程访问：

使远程工作人员和加班人员能够采用其它设备从公司防火墙之外的地点访问其虚拟桌面

桌面优化和支持

1.桌面性能监测：

通过对实时和历史监测数据进行跟踪，主动确保用户始终获得最佳的性能

2.WAF优化：

采用服务质量（QoS机制来提升广域网（WAN性能

3.桌面支持：

使技术支持人员能够查看用户屏幕、开展对话、传输文件，从而快速解决问题

广泛的桌面交付生态系统

1.桌面设备：

新型终端设备可提供最佳的用户体验和立即可用的互操作性

2.支持广泛的系统管理程序：

提供与思杰、微软和VMware等任何VM基础架构的互操作性和集成能力

3.支持刀片PC采用基于刀片PC的虚拟桌面，为用户提供高性能的专用计算资源支持异构客户端：

使用户在终端设备选择上具有更大的灵活性，支持

WindowsLinux、Mac和智能手机等操作系统

4.CitrixReady产品：

确保与桌面设备、服务器、存储和管理软件的互操作性

6）技术部署

在凯德商用的环境中，建议采用如下的部署架构：