【正文】 xx集團(tuán)虛擬桌面項(xiàng)目建議書思杰系統(tǒng)信息技術(shù)（北京）有限公司2012年6月目錄管理現(xiàn)狀及存在的問題 5解決方案 7 7 8 10 12 15 16 17 18： 18： 19； 19 20 20 21 21 21 21 22 Citrix桌面交付云平臺(tái) 22 24 AD和WI 25 25 26 NetScaler 接入網(wǎng)關(guān) 26 26 XenDesktop HDX ICA協(xié)議 28xx集團(tuán)桌面云方案詳細(xì)設(shè)計(jì) 28 28 31 31 32 32 32 32 32 32 32xx集團(tuán)桌面云解決方案軟硬件需求 33 33 36實(shí)施桌面虛擬化的收益 3安全性加強(qiáng) 3運(yùn)維成本減少 3實(shí)現(xiàn)節(jié)能減排 38 38 39項(xiàng)目實(shí)施建議 39 39 40 40 40 41 41 41 42 42 Citrix產(chǎn)品在終端用戶行為方面的補(bǔ)充 42 4風(fēng)險(xiǎn)分析與應(yīng)對(duì)策略 43項(xiàng)目報(bào)價(jià) 43管理現(xiàn)狀及存在的問題隨著xx集團(tuán)業(yè)務(wù)的不斷發(fā)展，IT系統(tǒng)復(fù)雜度的不斷提升，給IT的管理帶來新的挑戰(zhàn)，特別是終端用戶訪問應(yīng)用系統(tǒng)的桌面環(huán)境日趨復(fù)雜，日益更新的對(duì)應(yīng)用的跨網(wǎng)絡(luò)、移動(dòng)和遠(yuǎn)程的安全訪問需求，對(duì)桌面終端的管理和應(yīng)用發(fā)布模式構(gòu)成一定的威脅： 系統(tǒng)安全性：分散的缺少管理的終端PC 機(jī)對(duì)整個(gè)信息系統(tǒng)造成了極大的安全隱患。比如位于終端的企業(yè)重要數(shù)據(jù)很容易通過各種途徑泄露，終端用戶設(shè)備的丟失會(huì)引起的數(shù)據(jù)丟失等等 管理成本：對(duì)分散的終端PC 機(jī)進(jìn)行管理和維護(hù)需要IT人員大量的工作量。例如：對(duì)終端PC上應(yīng)用和操作系統(tǒng)的安裝管理和更新就消耗了技術(shù)人員大部分的時(shí)間和精力；為了保證終端系統(tǒng)可用性需要為各地配備專門的IT技術(shù)人員，這些IT力量的統(tǒng)籌管理成為IT管理敏捷性的一大挑戰(zhàn)。 數(shù)據(jù)可控性：終端操作人員可通過終端PC訪問企業(yè)的受限辦公和業(yè)務(wù)數(shù)據(jù)，可能導(dǎo)致企業(yè)機(jī)密數(shù)據(jù)的外泄，數(shù)據(jù)安全成為企業(yè)信息系統(tǒng)安全的一大威脅。 數(shù)據(jù)可管理性：數(shù)據(jù)都分散存放于用戶的計(jì)算機(jī)上，由于分散保存，很難對(duì)文檔的進(jìn)出進(jìn)行有效控制，難于實(shí)現(xiàn)對(duì)文檔的統(tǒng)一管理和備份，難于實(shí)現(xiàn)敏感數(shù)據(jù)的安全防護(hù)； 系統(tǒng)可用性：隨著辦公的移動(dòng)化和應(yīng)用的集中化，業(yè)務(wù)人員面臨著愈加復(fù)雜的辦公環(huán)境，在各種環(huán)境中甚至移動(dòng)辦公環(huán)境和遠(yuǎn)程辦公環(huán)境中都要求能夠擁有一致的高效的應(yīng)用體驗(yàn)。 軟件和硬件的投入成本：信息化建設(shè)的發(fā)展，經(jīng)常要面對(duì)軟件和硬件的不斷更新，軟件硬件的更新需要大量的IT技術(shù)人員進(jìn)行測(cè)試、部署、推廣，這也是IT日常支出的一項(xiàng)龐大費(fèi)用。 人員成本：針對(duì)分散的終端PC機(jī)，IT人員需要經(jīng)常進(jìn)行操作系統(tǒng)、應(yīng)用系統(tǒng)、硬件等維護(hù)工作；IT人員日復(fù)一日陷入低效率的重復(fù)手動(dòng)勞動(dòng)中，無(wú)形中增加了IT投入的人力成本。 系統(tǒng)可靠性：終端操作人員擁有終端過高的權(quán)限和不規(guī)范操作，可能導(dǎo)致系統(tǒng)可靠性下降，無(wú)形中增加了管理成本和人力成本。 業(yè)務(wù)連續(xù)性：采用分散的PC模式，易造成管理的復(fù)雜度，難以定位故障和損壞，影響業(yè)務(wù)連續(xù)性和效率。分析這些問題產(chǎn)生的原因，可以發(fā)現(xiàn)根源在于客戶端和業(yè)務(wù)系統(tǒng)的維護(hù)，而針對(duì)終端操作系統(tǒng)和業(yè)務(wù)系統(tǒng)的安裝、維護(hù)、升級(jí)、防病毒、防信息泄露等工作，反過來會(huì)影響到生產(chǎn)，影響到業(yè)務(wù)的連續(xù)性。 無(wú)法進(jìn)行行為監(jiān)控：由于計(jì)算機(jī)分散管理，用戶登錄業(yè)務(wù)系統(tǒng)后，訪問和使用特定應(yīng)用、特定數(shù)據(jù)時(shí)的行為無(wú)法進(jìn)行有效、實(shí)時(shí)的監(jiān)控，無(wú)法進(jìn)行事后審計(jì)、追溯。 遠(yuǎn)程接入訪問用戶體驗(yàn)差：出差用戶通過VPN方式訪問內(nèi)部系統(tǒng)，由于網(wǎng)絡(luò)速度原因，使用不流暢，用戶體驗(yàn)差，同時(shí)也存在數(shù)據(jù)上的安全隱患。 新的移動(dòng)設(shè)備支持：目前市場(chǎng)上的iPad、iPhone、安卓等新的移動(dòng)設(shè)備無(wú)法運(yùn)行和訪問公司的內(nèi)部系統(tǒng)，無(wú)法滿足移動(dòng)辦公用戶的需求。為每個(gè)用戶提供安全高效的桌面環(huán)境是幾乎所有公司或組織的基本要求。如果用戶無(wú)法使用他們的桌面或應(yīng)用程序，公司就無(wú)法高效率運(yùn)作。每隔幾年，幾乎每個(gè)公司或組織都會(huì)大規(guī)模采用新操作系統(tǒng)、新硬件或新應(yīng)用，這就需要大量的人力來大規(guī)模地構(gòu)建、測(cè)試并發(fā)布最新系統(tǒng)。這一龐大繁瑣的過程往往拖延了許多對(duì)企業(yè)有利的升級(jí)，進(jìn)而可能導(dǎo)致企業(yè)無(wú)法快速應(yīng)對(duì)市場(chǎng)需求。傳統(tǒng)的IT建設(shè)更加注重應(yīng)用后臺(tái)的數(shù)據(jù)集中和運(yùn)行部署集中。對(duì)于運(yùn)行于用戶終端之上的應(yīng)用訪問客戶端，通常采取各自為政的策略，由應(yīng)用的訪問模式來決定應(yīng)用訪問客戶端的運(yùn)行和部署模式及運(yùn)行環(huán)境。最終為了訪問各個(gè)IT系統(tǒng)，不得不面臨各種應(yīng)用訪問客戶端的部署、配置、維護(hù)工作，IT支持人員也不得不奔波于對(duì)用戶終端上用戶運(yùn)行環(huán)境的維護(hù)和支持上。IT管理人員為了能夠給最終用戶良好的應(yīng)用訪問體驗(yàn)，不得不不斷提升用戶終端的性能，不斷建設(shè)相應(yīng)的維護(hù)、支持和防護(hù)系統(tǒng)，用于對(duì)用戶運(yùn)行環(huán)境的升級(jí)更新、安全防護(hù)。因此，在數(shù)據(jù)中心建設(shè)不斷完善，后臺(tái)應(yīng)用不斷集中運(yùn)行的情況下，用戶訪問端所暴露的風(fēng)險(xiǎn)越來越成為IT系統(tǒng)穩(wěn)定和安全運(yùn)行的隱患。目前，xx集團(tuán)公司正處于IT系統(tǒng)架構(gòu)逐步豐富和完善的建設(shè)過程中，隨著各業(yè)務(wù)系統(tǒng)的不斷建設(shè)和集中，IT系統(tǒng)架構(gòu)也越來越趨于復(fù)雜，分散的用戶訪問和集中的辦公及業(yè)務(wù)應(yīng)用，要求系統(tǒng)管理，特別是面對(duì)最終用戶的應(yīng)用訪問環(huán)境和用戶桌面環(huán)境的管理，能夠在便捷、高效的基礎(chǔ)上提供更加集中和安全的訪問模式，便于IT部門的運(yùn)維支持，降低安全和穩(wěn)定性風(fēng)險(xiǎn)，減少IT管理成本，因此如何實(shí)現(xiàn)高效、安全的客戶端安全管理，是當(dāng)前擺在面前的重要議題。針對(duì)上述問題，借鑒國(guó)內(nèi)外同行業(yè)用戶的經(jīng)驗(yàn)，建議對(duì)現(xiàn)有的用戶桌面進(jìn)行逐步改造，建立企業(yè)私有虛擬桌面云。要求可以保證敏感數(shù)據(jù)的安全、集中化管理用戶的桌面環(huán)境，同時(shí)盡量保證用戶的桌面使用體驗(yàn)。解決方案虛擬化技術(shù)正在成為被廣泛使用的技術(shù)，幫助企業(yè)以更低成本，實(shí)現(xiàn)更靈活、穩(wěn)定和高效的IT系統(tǒng)。目前虛擬化技術(shù)主要包含：服務(wù)器虛擬化，應(yīng)用虛擬化和桌面虛擬化技術(shù)。服務(wù)器虛擬化技術(shù)在2007年開始被廣泛接受并采用，目前已經(jīng)成為一種成熟的滿足企業(yè)應(yīng)用的主流技術(shù)。而虛擬桌面技術(shù)被逐步接受，尤其是和虛擬應(yīng)用的結(jié)合，使得桌面虛擬化技術(shù)能被更廣泛地使用幫助企業(yè)以更低成本、更好地實(shí)現(xiàn)桌面管理。虛擬桌面是一個(gè)企業(yè)級(jí)的，通過一定手段實(shí)現(xiàn)的可遠(yuǎn)程訪問、調(diào)度和管理的桌面的操作系統(tǒng)，其可以是運(yùn)行在服務(wù)器上的虛擬操作系統(tǒng)，也可以是直接安裝、運(yùn)行在數(shù)據(jù)中心內(nèi)的物理PC（工作站，刀片PC）上的操作系統(tǒng)。目前桌面虛擬化技術(shù)融合了應(yīng)用虛擬化技術(shù)，在虛擬桌面模式下，每個(gè)人獨(dú)享的遠(yuǎn)程操作系統(tǒng)，并利用內(nèi)含的應(yīng)用虛擬化技術(shù)，實(shí)現(xiàn)更靈活，高效的管理和應(yīng)用。將桌面操作系統(tǒng)虛擬化帶來很多好處，包括： 數(shù)據(jù)更安全，通過策略配置，用戶無(wú)法將機(jī)密數(shù)據(jù)保存在本地設(shè)備上，只能在數(shù)據(jù)中心進(jìn)行存儲(chǔ)，備份，保證數(shù)據(jù)的安全性和可用性； 提高網(wǎng)絡(luò)安全，由于只使用需要開放有限幾個(gè)端口，所以可以實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯隔離和嚴(yán)格控制，在不影響應(yīng)用的前提下，全面提升網(wǎng)絡(luò)安全性； 用戶可以隨時(shí)隨地，通過網(wǎng)絡(luò)，訪問到被授權(quán)的桌面與應(yīng)用； 終端設(shè)備支持更廣泛，可以通過PC，瘦客戶端、甚至是手機(jī)來訪問傳統(tǒng)PC上才能使用到的各種windows 應(yīng)用； 在數(shù)據(jù)中心對(duì)所有的桌面進(jìn)行統(tǒng)一的高效維護(hù)，無(wú)需特定的補(bǔ)丁與應(yīng)用的分發(fā)軟件，統(tǒng)一進(jìn)行安裝和升級(jí)，維護(hù)桌面的費(fèi)用大大降低。 應(yīng)用管理更簡(jiǎn)單，管理員在服務(wù)器進(jìn)行統(tǒng)一一次管理，就可以將最新更新交付給所有用戶； 桌面的性能能夠得到提升，因?yàn)樗蛻?yīng)用后端的服務(wù)器都運(yùn)行在數(shù)據(jù)中心； 桌面可以分享最新最強(qiáng)大的服務(wù)器硬件，配置資源可以按照用戶需求動(dòng)態(tài)調(diào)整。　應(yīng)用虛擬化則是將應(yīng)用統(tǒng)一部署在服務(wù)器上，而用戶終端不需要安裝每一種應(yīng)用的客戶端軟件，即可以通過使用遠(yuǎn)程訪問協(xié)議，直接使用這些應(yīng)用，從而將用戶使用與管理員管理分開，帶來更大的收益： 用戶可以隨時(shí)隨地，通過網(wǎng)絡(luò)，使用任何設(shè)備訪問到需要使用的應(yīng)用 終端設(shè)備支持更廣泛，可以通過PC，瘦客戶端、甚至是手機(jī)來訪問傳統(tǒng)PC上才能使用到的各種windows 應(yīng)用 應(yīng)用管理更簡(jiǎn)單，管理員在服務(wù)器進(jìn)行統(tǒng)一一次管理，就可以將最新更新交付給所有用戶 數(shù)據(jù)更安全，通過策略配置，用戶無(wú)法將機(jī)密數(shù)據(jù)保存在本地設(shè)備上，只能在數(shù)據(jù)中心進(jìn)行存儲(chǔ)，備份，保證數(shù)據(jù)的安全性和可用性。 提高網(wǎng)絡(luò)安全，由于只使用需要開放1個(gè)端口，所以可以實(shí)現(xiàn)網(wǎng)絡(luò)的邏輯隔離和嚴(yán)格控制，在不影響應(yīng)用的前提下，全面提升網(wǎng)絡(luò)安全性。虛擬桌面技術(shù)可以從很好地從根本上解決辦公人員使用終端進(jìn)行業(yè)務(wù)開發(fā)過程中的信息安全與系統(tǒng)安全問題，是由于虛擬桌面本身的工作原理造成的。這種技術(shù)實(shí)現(xiàn)了操作系統(tǒng)與應(yīng)用軟件運(yùn)行在服務(wù)器或后臺(tái)工作站上，但是操作（輸入輸出）在客戶端機(jī)器上，所有的輸入如鼠標(biāo)鍵盤的操作被同步到服務(wù)器上執(zhí)行，所有的輸出如屏幕的刷新也被同步到客戶端。完整的桌面虛擬化方案提供一種端到端的桌面管理解決方案。通過單一鏡像管理，可動(dòng)態(tài)按需產(chǎn)生虛擬桌面，該桌面所有的運(yùn)行都發(fā)生在遠(yuǎn)程數(shù)據(jù)中心的機(jī)房里,不用再擔(dān)心數(shù)據(jù)駐留在客戶端導(dǎo)致的安全漏洞。用戶每次登錄時(shí)都能獲得一個(gè)干凈的、個(gè)性化的全新桌面——從而確保性能不會(huì)下降。桌面虛擬化解決方案一般的架構(gòu)如下圖所示： 圖：整體架構(gòu)虛擬桌面方案將一般包含以下核心要素：1. Virtualization Infrastructure（虛擬化基礎(chǔ)架構(gòu)）：虛擬化基礎(chǔ)架構(gòu)通過使用服務(wù)器虛擬化軟件，將單個(gè)物理服務(wù)器分成多個(gè)共享資源的虛擬操作系統(tǒng)，對(duì)外提供桌面的服務(wù)。用戶可以通過價(jià)格更為便宜，管理成本更低，更新周期更長(zhǎng)的終端設(shè)備（瘦客戶端，手機(jī)）遠(yuǎn)程的使用這些操作系統(tǒng)開展日常的業(yè)務(wù)工作，而管理工作都在后臺(tái)對(duì)這些虛擬操作系統(tǒng)進(jìn)行管理，從而降低整個(gè)桌面的采購(gòu)成本與管理成本。2. 虛擬桌面交付控制器：虛擬桌面交付控制器負(fù)責(zé)整個(gè)虛擬桌面系統(tǒng)的調(diào)度，例如新虛擬桌面的注冊(cè)以及將虛擬桌面的請(qǐng)求指向可用的系統(tǒng)。用戶通過與控制器進(jìn)行交互進(jìn)行身份認(rèn)證，最終獲得授權(quán)使用的桌面。3. 鏡像管理：對(duì)于大量用戶的虛擬桌面管理，良好的鏡像管理可以很好地解決管理面臨的各種問題。通過鏡像管理，可以創(chuàng)建一個(gè)基本的操作系統(tǒng)鏡像，并包括了企業(yè)策略規(guī)定的所有操作系統(tǒng)級(jí)的配置。當(dāng)每個(gè)虛擬桌面啟動(dòng)時(shí)，操作系統(tǒng)會(huì)經(jīng)由網(wǎng)絡(luò)通過流技術(shù)交付給虛擬桌面。由于只要求對(duì)基本鏡像進(jìn)行升級(jí)，并且所有虛擬桌面將會(huì)在下一次重啟時(shí)使用最新的鏡像。4. 虛擬應(yīng)用：虛擬應(yīng)用技術(shù)被融合到虛擬桌面中，目標(biāo)就是通過將每個(gè)用戶使用應(yīng)用的差異，從操作系統(tǒng)中分離出來，從而降低系統(tǒng)管理復(fù)雜性，其負(fù)責(zé)識(shí)別分配給用戶的應(yīng)用，并將其交付給虛擬桌面。虛擬應(yīng)用是基于用戶需求實(shí)現(xiàn)用戶桌面?zhèn)€性化的第一部分。通過將應(yīng)用與基本桌面鏡像分離，所需的桌面鏡像數(shù)量大大減少，這就簡(jiǎn)化了維護(hù)過程，并可以利用其他手段對(duì)用戶使用應(yīng)用的行為進(jìn)行錄像，進(jìn)行行為控制。5. 個(gè)性化：解決方案的個(gè)性化允許用戶按照需求自定義他們的工作環(huán)境。利用用戶個(gè)性化，用戶設(shè)置會(huì)被保存起來，并且無(wú)論用戶接入哪個(gè)桌面都可使用保存的個(gè)性化設(shè)置，實(shí)現(xiàn)了一致的用戶體驗(yàn)。6. 高效的遠(yuǎn)程訪問協(xié)議：高效的遠(yuǎn)程訪問協(xié)議可以大大降低帶寬的要求，實(shí)現(xiàn)LAN，WAN甚至是Internet的訪問能力。同時(shí)遠(yuǎn)程訪問能夠接近甚至達(dá)到本地使用的效果，例如實(shí)現(xiàn)雙向語(yǔ)音，VOIP，高清視頻的應(yīng)用，并能夠很好地支持各種USB設(shè)備和smart card的辨識(shí)。以上只是高度概括了整個(gè)架構(gòu)，以下部分將會(huì)更加詳細(xì)地介紹，系統(tǒng)如何共同協(xié)作來交付虛擬化桌面以滿足預(yù)定的工作環(huán)境。之所以Citrix的虛擬桌面和虛擬應(yīng)用技術(shù)可以從更本上解決終端上的信息安全問題，由于Citrix產(chǎn)品使用的技術(shù)原理造成的。Citrix使用自有的ICA協(xié)議處理本地操作與遠(yuǎn)程桌面和應(yīng)用的交互。終端機(jī)可以在第一次訪問Citrix服務(wù)器時(shí)下載并安裝Citrix ICA插件，ICA插件和虛擬應(yīng)用服務(wù)器的平臺(tái)及虛擬桌面操作系統(tǒng)之間通過ICA協(xié)議建立連接通道，使得PC機(jī)用戶可以正常使用服務(wù)器上或者桌面操作系統(tǒng)上運(yùn)行的各種業(yè)務(wù)軟件。ICA協(xié)議連接了運(yùn)行在前端服務(wù)器上的應(yīng)用進(jìn)程和業(yè)務(wù)PC機(jī)的輸入輸出設(shè)備，通過ICA的32個(gè)虛擬通道（分別傳遞各種輸入輸出數(shù)據(jù)如鼠標(biāo)、鍵盤、圖像、聲音、端口、打印等等），運(yùn)行在前端服務(wù)器上的應(yīng)用進(jìn)程的輸入輸出數(shù)據(jù)重新定向到遠(yuǎn)端客戶端機(jī)器的輸入輸出設(shè)備上，因此業(yè)務(wù)用戶使用前端服務(wù)器上的柜臺(tái)應(yīng)用時(shí)感覺就像在使用本地模式一樣。ICA協(xié)議如下圖所示：圖：ICA協(xié)議邏輯示意圖虛擬化的桌面與應(yīng)用實(shí)現(xiàn)了操作系統(tǒng)與應(yīng)用軟件運(yùn)行在服務(wù)器或后臺(tái)工作站上，但是操作（輸入輸出）在客戶端機(jī)器上，所有的輸入如鼠標(biāo)鍵盤的操作被ICA協(xié)議同步到服務(wù)器上執(zhí)行，所有的輸出如屏幕的刷新也被ICA協(xié)議同步到客戶端。虛擬化應(yīng)用操作模式如下圖所示：圖：ICA協(xié)議工作原理示意圖ICA協(xié)議是一種高效率的數(shù)據(jù)交換協(xié)議，采用了數(shù)據(jù)壓縮、加密和連接優(yōu)化技術(shù)，每一個(gè)用戶的連接只占用10K20K的網(wǎng)絡(luò)帶寬，而實(shí)際運(yùn)行的客戶端軟件位于后臺(tái)的局域網(wǎng)內(nèi)，因此終端用戶相當(dāng)于用撥號(hào)線的鏈路就可以享受到局域網(wǎng)內(nèi)的運(yùn)行速度。同時(shí)ICA協(xié)議可以分別針對(duì)單獨(dú)的虛擬通道進(jìn)行控制，這樣為用戶的訪問和使用帶來了細(xì)粒度的控制。比如如果控制用戶不許通過打印機(jī)把信息打印出來，只需要中斷ICA連接中的打印機(jī)通道即可。用虛擬桌面技術(shù)來解決IT管理中的各種問題，以及虛擬桌面方案最終被廣泛應(yīng)用，需要解決以下幾個(gè)關(guān)鍵問題：由于是遠(yuǎn)程訪問虛擬桌面，則對(duì)網(wǎng)絡(luò)具有很高的依賴性，所以遠(yuǎn)程協(xié)議必須具有很高的效率，才能滿足用戶的要求，即在滿足使用需求和體驗(yàn)的情況向，以很低的帶寬實(shí)現(xiàn)遠(yuǎn)程訪問。因?yàn)橹挥羞@樣，當(dāng)大量用戶同時(shí)使用桌面的時(shí)候，內(nèi)部網(wǎng)絡(luò)才不會(huì)出現(xiàn)擁堵，同時(shí)能夠很好地支持廣域網(wǎng)，甚至互聯(lián)網(wǎng)的訪問，讓開發(fā)人員可以通過各種網(wǎng)絡(luò)接入使用虛擬桌面。