【正文】 目前桌面虛擬化技術融合了應用虛擬化技術，在虛擬桌面模式下，每個人獨享的遠程操作系統(tǒng)，并利用內(nèi)含的應用虛擬化技術，實現(xiàn)更 靈活，高效的管理和應用。 ? 提高網(wǎng)絡安全，由于只使用需要開放 1 個端口，所以可以實現(xiàn)網(wǎng)絡的邏輯隔離和嚴格控制，在不影響應用的前提下，全面提升網(wǎng)絡安全性。通過單一鏡像管理，可動態(tài)按需產(chǎn)生虛擬桌面，該桌面所有的運行都發(fā)生在遠程數(shù)據(jù)中心的機房里 ,不用再擔心數(shù)據(jù)駐留在客戶端導致的安全漏洞。 2. 虛擬桌面交付控制器：虛擬桌面交付控制器負責整個虛擬桌面系統(tǒng)的調(diào)度，例如新虛擬桌面的注冊以及將虛擬桌面的請求指向可用的系統(tǒng)。當每個虛擬桌面啟動時，操作系統(tǒng)會經(jīng)由網(wǎng)絡 通過流技術交付給虛擬桌面 。通過將應用與基本桌面鏡像分離，所需的桌面鏡像數(shù)量大大減少，這就簡化了維護過程，并可以利用其他手段對用戶使用應用的行為進行錄像，進行行為控制。同時遠程訪問能夠接近甚至達到本地使用的效果，例如實現(xiàn)雙向語音， VOIP，高清視頻的應用，并能夠很好地支持各種 USB 設備和smart card 的辨識。 終端機可以在第一次訪問 Citrix服務器時下載并安裝 Citrix ICA插件， ICA插件和虛擬應用服務器的平臺 及虛擬桌面操作系統(tǒng) 之間通過 ICA協(xié)議建立連接通道，使得 PC機用戶可以正常使用服務器上 或者桌面操作系統(tǒng)上 運行的各種業(yè)務軟件。 同時 ICA協(xié)議可以分別針對單獨的虛擬通道進行控制，這樣為用戶的訪問和使用帶來了細粒度的控制。 良好的用戶體驗 只有系統(tǒng)有良好的用戶體驗，開發(fā)人員才能夠使用虛擬桌面來很好地進行開發(fā)，如果體驗很差，無法滿足開發(fā)人員的要求，不但不可能幫助開發(fā)工作，反而會影響開發(fā)的正常進行；即使能夠滿足開發(fā)人員要求，用戶體驗差，也可能造成開發(fā)人員的抵觸，造成項目失敗。虛擬桌面需要很好地解決多媒體，甚至是高清媒體的播放，自動探知客戶端和服務器的計算能力，并基于網(wǎng)絡選擇最優(yōu)的播放方式，讓用戶獲得最佳的體驗，這樣才能讓開發(fā)人員有更好的使用體驗，更積極地支持虛擬桌面的管理方式。 根據(jù)類型用戶使用不同的解決方案 虛擬桌面技術是一整套的實現(xiàn)用于遠程使用桌面操作系統(tǒng)的技術，而不僅僅局限于使 用虛擬操作系統(tǒng)一種技術（俗稱 VDI）。 ? 托管刀片 PC 對用某些需要硬件級別資源支持的應用開發(fā)，可以將后臺的刀片 PC或者獨立PC，工作站發(fā)布出來，用戶可以從遠程進行使用，進行這些對硬件資源要求比較高的應用的開發(fā) ? 無盤 PC 在保證數(shù)據(jù)不可以被隨意帶走的前提下，但要更充分利用現(xiàn)有 PC 的資源，可以通過事先無盤 PC 的方式，將操作系統(tǒng)通過網(wǎng)絡啟動的方式引導，開發(fā)人員可以像本地機一樣進行操作，但是無法將對系統(tǒng)的更改保存，操作系統(tǒng)重啟之后，將恢復原來狀態(tài)。 ? 本地虛擬桌面 這種技術可以幫助用戶在本地運行一個虛擬操作系統(tǒng)，并進行正常的操作。 高效的鏡像管理 當大量的虛擬桌面產(chǎn)生，鏡像 管理是一個非常關鍵的問題，好的鏡像管理將會大大減少IT 管理人員的管理工作量和復雜度。所有的部分進行動態(tài)組裝，讓用戶感覺和使用一個獨占的 PC 沒有任何差別。什么樣的設備和什么樣的人可以接入，需要通過安全、智能的網(wǎng)絡接入手段來根據(jù)企業(yè)的管理規(guī)范和安全策略進行自動的判定，將適當?shù)臋嘞藓蛻媒桓督o遠程接入的用戶，在保證業(yè)務安全的同時，讓網(wǎng)絡更加安全，可靠。 3. 認證成功后，虛擬基礎架構按需從鏡像管理服務器獲取標準 Windows 桌面、應用軟件、用戶個性配置文件。 6. 通過虛擬桌面調(diào)度服務器上的策略設置，可以禁止終端的磁盤， USB 等設備以及剪貼板，所有用戶使用的文檔無法保存在本地桌面，而都會駐留在數(shù)據(jù)中心，從機制上保證數(shù)據(jù)的安全。 管理 方案 完整的虛擬桌面的解決方案可以通過一個平臺，采用不同的策略和管理方案，很好地滿足不同類型的用戶的使用特點： ? 對于不需要桌面的用戶，可以直接把所需要的應用通過虛擬桌面產(chǎn)品中的虛擬應用技術交付到人員自有 PC 桌面上，或者 通過瘦客戶端進行使用；利用后臺策略，禁止用戶將數(shù)據(jù)和代碼保存到本地磁盤和設備上，實現(xiàn)數(shù)據(jù)在數(shù)據(jù)中心的統(tǒng)一存儲和管理。 當前企業(yè)在對人員的管理主要是基于傳統(tǒng)的桌面進行管理，主要采用微軟組策略或者第三方的管理軟件或硬件對終端桌面進行控制，例如： ? 禁止 USB 口，防止用戶利用 USB 設備拷貝數(shù)據(jù) ? 禁止藍牙和紅外設備，防止用戶通過藍牙和紅外設備傳輸數(shù)據(jù) ? 對數(shù)據(jù)進行加密，防止文件外泄造成信息外流 但是這些手段并不能很好地解決當前問題，仍然存在以下風險： ? 目前需要第三方的軟件禁止 USB 訪問，但是都在客戶端實現(xiàn)，具有技術背景的開發(fā)人員可以繞開軟件，通過 USB設備將數(shù)據(jù)拷貝出來 ? 目前的的軟件對藍牙和紅外設備的管理能力有限 ? 對數(shù)據(jù)進行加密，開發(fā)人員可以通過各種手段進行反向破解 ? 移動設備的普及使得用戶可以不通過傳統(tǒng)存儲設備，利用藍牙和紅外將數(shù)據(jù)傳輸?shù)绞謾C等設備上 ? 用戶也可以通過將硬盤 PC 上拆卸下來，帶走通過其他 PC進行拷貝 而這些手段實施也存在以下的問題和局限： ? 當前解決方案都是在客戶端實現(xiàn)，而開發(fā)人員可以通 過各種手段將并不處于管理員可控范圍內(nèi)的客戶端上的數(shù)據(jù)拷貝出來 ? 開發(fā)人員使用桌面上各種應用的行為無法記錄，對于不合理行為無法進行控制 ? 采用多種軟硬件技術進行管控，成本高，效果差，像補丁一樣對各個潛在風險進行修補，無法根本上解決問題 ? 為了滿足業(yè)務需求，目前開發(fā)人員都必須得在企業(yè)進行開發(fā)，占用企業(yè)大量的設備，場地，整個開發(fā)成本高。開發(fā)環(huán)境被分為可控的虛擬開發(fā)環(huán)境與物理的自有環(huán)境，在滿足開發(fā)人員的特殊需求同時，能夠管控開發(fā)環(huán)境，減少企業(yè) IT 人員的管理復雜性。 系統(tǒng)安全： 通過虛擬桌面將用戶的 辦公桌面 與 私人桌面 進行了分離，對企業(yè)具有重要意義的辦公桌面，由企業(yè)提供給辦公人員， IT 管理人員可以實現(xiàn)完全的管控，包括使用策略或者只讀操作系統(tǒng)鏡像，用虛擬應用的方式為其提供所需應用，禁止最終用戶軟件的隨意安裝、注冊表的修改等等行為，防止用戶對系統(tǒng)的任意修改造成企業(yè)內(nèi)部 IT 系統(tǒng)的安全隱患。 行為監(jiān)控； 對于合法用戶的利用合法操作授權進行不合理的行為（合規(guī)，審核的對象），傳統(tǒng)的授權方法不能很好地解決。 ? 實時監(jiān)控 管理員可以從后臺對用戶正在進行的操作和工作進行實時的監(jiān)控，一旦發(fā)生任何問題，管理人員可以第一時間發(fā)現(xiàn)問題并采取措施，防止產(chǎn)生任何不良的后果。 項目建成后，應提供安全的桌面工作環(huán)境，同時無需對現(xiàn)有的前后臺應用作大規(guī)模的改造。 xx 集團 桌面虛擬化的一期項目，期望 達成以下目 標： 1. 將 300個 場景相對簡單的用戶，平穩(wěn)切換到虛擬化桌面平臺；用戶數(shù)據(jù)將不能通過終端泄露； 2. 對于本期交付的平臺，結合技術、流程、組織等手段建立恰當?shù)倪\維機制； 3. 上述 兩項工作應該使終端信息安全，桌面管理，用戶桌面 使用體 驗等多個方面有顯著的提升； 4. 完成 對于 xx集團 所有用戶桌面虛擬化和應用虛擬化的技術方案設計和實施規(guī)劃以及運維機制的設計，其中包括對于各種必要軟硬件的選型標準和推薦。 ? 管理 員應該有必要的監(jiān)測能力，評估最終用戶體驗和排除故障所需的工具，以找出問題，并計劃調(diào)整 受到影響的服 務質(zhì)量。 ? 如有需要， 部署 主 動監(jiān)控 服 務、報警機制、負載 共享或故障切換機制，應無縫轉(zhuǎn)移負荷不用 的 資源，同樣不必要加載失敗的節(jié)點。 思杰交付中心（ Citrix Delivery CenterTM），將數(shù)據(jù)中心轉(zhuǎn)變成交付中心，其組成架構如下圖所示： 圖 : 思杰交付中心架構圖 關鍵組件解釋如下： ? Citrix XenApp? – 虛擬應用：支持客戶端和服務器端應用虛擬化的端到端 Windows應用交付系統(tǒng)； ? Citrix XenDesktop? – 虛擬桌面：以更低成本更安全、更可靠地直接通過數(shù)據(jù)中心交付 Windows桌面； ? Citrix XenServer? – 虛擬服務器：交付動態(tài)數(shù)據(jù)中心最簡捷、最有效的方式； ? Citrix174。 Citrix 桌面交付云平臺在終端用戶層與最終業(yè)務層建立了一個云接入平臺，為ERP、 OA 等業(yè)務系統(tǒng)的訪問提供一個更安全、更可管理的集中接入平臺，無論是互聯(lián)網(wǎng)用戶 、廣域網(wǎng)用戶 還是內(nèi)網(wǎng)用戶，均可通過接入平臺接入并訪問企業(yè)內(nèi)部業(yè)務系統(tǒng)，云接入平臺為企業(yè)的各種終端訪問提供總體的接入解決方案。用戶還可根據(jù)場景的需求，實現(xiàn)僅對虛擬應用的交付，通過直接訪問應用虛擬化云平臺，實現(xiàn)應用環(huán)境的交付。從服務器網(wǎng)段到終端網(wǎng)段所有的通訊都被安全接入網(wǎng)關設備封裝在加密通道中。 活動目錄（ AD）服務器提供標準的 LDAP 目錄服務，負責用戶的身份驗證和所有桌面虛擬化組件之間的信任互訪。 桌面虛擬化控制器 Desktop Delivery Controller（ DDC）是基礎架構服務器的核心組件，提供如下服務： ? XML 服務：負責 Web Interface 組件與 XenDesktop 服務器群之間的通信。 虛擬桌面承載服務器集群 虛擬桌面承載服務器底層使用 XenServer 或 HyperV/VMware 服務器虛擬化技術，每臺物理機上虛擬出一定數(shù)量的虛擬桌面，目前虛擬桌面以 Windows XP 操作系統(tǒng)為主，虛擬桌面上除了承載標準的企業(yè)應用外，還運行著兩個 Citrix 的服務： ? 虛擬桌面代理服務：負責與 Desktop Delivery Controller 進行注冊并保持與控制器的心跳檢測。 NetScaler 接入網(wǎng)關 NetScaler 主要有兩個功能：其一是安全接入網(wǎng)關，負責把所有從終端設備網(wǎng)段到后臺服務器之間的通訊封裝在使用 443 端口的加密通道中，實現(xiàn) ICA 協(xié)議的安全接入代理；其二是為網(wǎng)絡入口 Web Interface 提供負載均衡支持。 ICA具備以下 特征： ? 色彩： ICA協(xié)議支持真彩 (24 位色 )。 ? Speed Screen：該項專利技術大大減少了網(wǎng)絡傳輸數(shù)據(jù)量，一般情況下，平均每個用戶的正常工作僅占用 10Kbps。 xx 集團 桌面云方案詳細設計 在平臺的構建中，可根據(jù)需求選擇通過服務器虛擬化資源池來構建運算資源。 平臺架構采用多服務器的群組部署方式，可以便捷的實現(xiàn)橫向或縱向的擴展。 如上圖所示， xx 集團 桌面 項目中的支撐服務器分為三個集群，分別為 基礎架構服務器集群、托管共享桌面服務器集群、 VDI 桌面承載服務器集群 。 考慮到用戶客戶端自身安裝配置的存儲空間需求以及緩存的用戶個性化配置及數(shù)據(jù)對存儲空間的需求，按照每用戶需要 1GB 存儲空間來估算。具體可支持數(shù)據(jù)將以根據(jù) xx 集團 的應用需求進行測試和調(diào)整。 從內(nèi)存角度， 64G內(nèi)存配置： 64G內(nèi)存減去 4G的 Hypervisor 所用內(nèi)存，剩余 60G內(nèi)存。 服務器虛擬化平臺可以采用 XenDesktop 包含的 Citrix XenServer 企業(yè)版。 。 在項目中，如果使用一對一保持狀態(tài)的集中 VDI 虛擬桌面方式，這種方式在管理上相對復雜，需要像使用物理機時一樣部署統(tǒng)一的操作系統(tǒng)補丁系統(tǒng)和防病毒系統(tǒng)。 從 CPU 和內(nèi)存統(tǒng)一的考慮，推薦使用雙路 8核， 64G內(nèi)存的配置，每服務器支持約 30用戶。 VDI 桌面承載服務器集群： VDI 桌面承載服務器集群全部運行 VDI 虛擬桌面 ， 20普通設計用戶 桌面將采用 VDI 桌面進行交付，其容量規(guī)劃需要考慮操作系統(tǒng)類型，用戶的類型， CPU 的資源消耗，磁盤 IO，內(nèi)存等等因素。 硬件部署配置方案依據(jù)以往 Citrix 系統(tǒng)實施經(jīng)驗來進行估算，可依據(jù)實際的情況進行調(diào)整。 依照總用戶數(shù)約為 300用戶進行估算， XenApp 虛擬服務器集中部署在數(shù)據(jù)中心，物理服務器典型配置多為 2 路 8核 CPU、 64G 內(nèi)存的 PC 服務器。 圖 ：桌面 云平臺 服務器群集設計示意圖 上圖為采用基于虛擬機的集中 VDI 桌面和托管共享桌面兩種方式實現(xiàn)桌面虛擬化時的示意圖，如果采用其他的方式來實現(xiàn)將會有不同，比如 PVS 流桌面實現(xiàn)會不一樣，實際實施前需要詳細調(diào)研需求，確定哪些機器采用集中托管共享桌面，哪些機器采用基于虛擬機集中的VDI 桌面，不同的需求采用不同的交付技術，從而設計出更合理的架構。虛擬化服務器的應用能夠充分利用服務器資源，提升單個服務器支持的并發(fā)會話數(shù)量，并可以實現(xiàn)靈活地擴展和動態(tài)調(diào)配，有助于提高系統(tǒng)的高可用性。 ? 多媒體支持： ICA協(xié)議能夠支持音頻、視頻和多媒體帶寬控制。 ? 分辨率： ICA協(xié)議支持無限大（ 64000X64000）。 支持 不支持 節(jié)能環(huán)保，電源 =50W 支持 不支持 體積 x , 重量 = kg 輕巧 笨重 與顯示器整合，便于標準化 支持 不支持 故障排查難易程度 直接更換機器 較難 重裝操作系統(tǒng)耗時 很短 較長 業(yè)務系統(tǒng)發(fā)布、升級難易程度 直接更新遠程服務器上的應用客戶端 一臺臺升級 系統(tǒng)補丁升級 系統(tǒng)簡化、漏洞很少、基本不打 經(jīng)常要打系統(tǒng)補丁 業(yè)務系統(tǒng)應用環(huán)境對本地操作系統(tǒng)的影響 遠程桌面訪問應用客戶端，無需