【文章內(nèi)容簡介】 效可靠 。 XenApp實現(xiàn)了對應(yīng)用、文件、數(shù)據(jù)的集中化部署和管理，允許企業(yè)在數(shù)據(jù)中心管理用戶環(huán)境的關(guān)鍵 應(yīng)用程序、數(shù)據(jù) 。集中化使企業(yè)能更輕松、更可靠地實現(xiàn)綜合控制，對需求變化的適應(yīng)性更快速、更靈活和更經(jīng)濟實惠。 思杰 桌面虛擬化 （ XenDesktop） 思杰桌面虛擬化 XenDesktop可提供一種端到端的桌面交付解決方案?？蓜討B(tài)按需產(chǎn)生虛擬桌面，用戶每次登錄時都能獲得一個干凈的、個性化的全新桌面 — 從而確保性能不會下降。此外， XenDesktop采用的 Citrix HDX高速交付協(xié)議還可在任何網(wǎng)絡(luò)條件下提供無與倫比的 桌面 響應(yīng)速度。對于 IT機構(gòu)而言， XenDesktop可通過分別交付桌面操作系統(tǒng)、應(yīng)用和用戶設(shè)置，大大簡化桌 面生命周期管理并顯著降低擁有成本。 12 Citrix XenDesktop可為任意地點的用戶按需交付桌面，同時顯著簡化生命周期管理。它可提供一種端到端的桌面交付解決方案，為最終用戶加速交付桌面，提供更強大的數(shù)據(jù)保護和監(jiān)控，并降低高達 40%的擁有成本。 采用桌面虛擬化技術(shù)可以在數(shù)據(jù)中心集中化管理桌面，還可輕松實現(xiàn)桌面安全防護，并有效減少桌面終端的運維管理工作。 Citrix可根據(jù)用戶的不同場景，通過應(yīng)用虛擬化和桌面虛擬化的組合實現(xiàn)對用戶環(huán)境的交付。如果應(yīng)用虛擬化可以滿足業(yè)務(wù)應(yīng)用交付的需求，則只需要部署應(yīng)用虛擬化實 現(xiàn)應(yīng)用環(huán)境的交付；如果用戶需要完整的桌面虛擬化體驗，通過桌面虛擬化方案可以實現(xiàn)包含操作系統(tǒng)、應(yīng)用、用戶配置文件和數(shù)據(jù)文件的組裝交付，其中的應(yīng)用可選擇在虛擬桌面本地部署應(yīng)用或者通過應(yīng)用虛擬化實現(xiàn)虛擬桌面內(nèi)的應(yīng)用交付。用戶還可根據(jù)場景的需求，實現(xiàn)僅對虛擬應(yīng)用的交付，通過直接訪問應(yīng)用虛擬化云平臺，實現(xiàn)應(yīng)用環(huán)境的交付。如下圖所示： 思杰 服務(wù)器虛擬化 （ XenServer） 思杰服務(wù)器虛擬化 XenServer是基于開源 Xen174。系統(tǒng)管理程序創(chuàng)建的，作為一種 企業(yè)級的產(chǎn)品 ， XenServer底層 管理程序 的高效性 降低了 總開銷，并 使得其上運行的虛擬機 接近于本地 物理計算 性能。 XenServer充分利用 Intel174。 VT和 AMD174。虛擬化（ AMDV?）硬件輔助虛擬化 技術(shù) ，提供更快速、更高效的虛擬化計算能力。與其它基于封閉式專用系統(tǒng)構(gòu)建的虛擬化產(chǎn)品不同， XenServer的開放 API讓客戶可以通過現(xiàn)有的服務(wù)器和存儲硬件來訪問和控制先進的功能。 XenServer為關(guān)鍵工作負載提供了所需的先進功能，同時提供了大規(guī)模部署必需的簡易操作能力。利用獨特的應(yīng)用儲備技術(shù)， XenServer可通過虛擬或物理服務(wù)器快速交付工作負載，成為企業(yè)每臺 服務(wù)器的理想虛擬化平臺。 13 思杰移動設(shè)備管理（ XenMobile） Citrix XenMobile提供了幫助企業(yè)實現(xiàn)移動戰(zhàn)略的創(chuàng)新模式。該產(chǎn)品可提供 IT部門所需的安全性和合規(guī)性，同時為用戶提供全面的移動設(shè)備、應(yīng)用和數(shù)據(jù)靈活性。只需輕輕一點，用戶就可以輕松接入統(tǒng)一企業(yè)應(yīng)用商店中的移動、 SaaS和 Windows應(yīng)用，包括無縫集成的電子郵件、瀏覽器、數(shù)據(jù)共享和支持應(yīng)用。 IT部門可借助全面的配置、安全、置備和支持功能全面管控移動設(shè)備。此外， XenMobile還利用 Worx App SDK—— 一種簡單而強大的 SDK，使任何移動應(yīng)用都可以支持 Worx。這樣，IT部門就可以添加適當?shù)牟呗?、行為和安全控制功能。有?XenMobile， IT部門可以輕松滿足合規(guī)性和管控需求，而用戶可以獲得全面的移動靈活性，以自己喜歡的方式工作和生活。 思杰 安全接入網(wǎng)關(guān) 與負載均衡設(shè)備（ NetScaler） 思杰安全接入網(wǎng)關(guān)與負載均衡設(shè)備 NetScaler作為一種 完整的虛擬 桌面和應(yīng)用訪問解決方案 的硬件組成部分 ，為 IT 人員提供了細粒度的應(yīng)用層 安全管理及 策略和行為控制能力， 14 可保障應(yīng)用和數(shù)據(jù)訪問的安全，同時讓用戶可在任何地方開展工作。該解決方案為 IT 提供的單點控制能力和工具可幫助確保企業(yè)內(nèi)外的合規(guī)性及最高的信息安全性。同時， NetScaler讓用戶可單點訪問所需的企業(yè)應(yīng)用和數(shù)據(jù)，單點訪問功能還針對用戶角色、設(shè)備和網(wǎng)絡(luò)進行了優(yōu)化。這一獨特的功能組合幫助企業(yè)最大程度地提高了移動辦公人員的工作效率。 NetScaler可提供強大的接入管理功能，無需任何額外的網(wǎng)絡(luò)隧道軟件，即可實現(xiàn)XenApp 和 XenDesktop 客戶端的安全連接。同時， NetScaler向移動設(shè)備提供應(yīng)用級別的VPN接入 (MicroVPN)，只有安全受控的移動應(yīng)用 (native mobile app)才會獲得進入企業(yè)內(nèi)網(wǎng)的 VPN通道，避免傳統(tǒng) VPN模式帶來的把企業(yè)內(nèi)網(wǎng)暴露在整個移動設(shè)備面前的安全威脅。 3 詳細設(shè)計 邏輯架構(gòu)設(shè)計 16 方案在邏輯上由兩部分組成： ? 數(shù)據(jù)中心 ? 用戶接入 數(shù)據(jù)中心邏輯 架構(gòu) 設(shè)計 向用戶提供應(yīng)用程序、桌面、數(shù)據(jù)資源的交付，所有用戶應(yīng)用程序、桌面、數(shù)據(jù)都放置于數(shù)據(jù)中心中，用戶的執(zhí)行操作均在數(shù)據(jù)中心內(nèi)部完成，最終將用戶執(zhí)行的結(jié)果傳輸給用戶，此部分包括三個層次模塊： ? 核心應(yīng)用層 此層為 XX單位 現(xiàn)有各項辦公 、 業(yè)務(wù)系統(tǒng)，如 OA、郵件等，未來 可將這些業(yè)務(wù)逐步遷移到服務(wù)器虛擬化平臺上運行， 以 提高服務(wù)器利用率，提升 數(shù)據(jù) 中心運營效率。 ? 應(yīng)用 交付層 此 層為用戶提供虛擬 應(yīng)用 和虛擬桌面服務(wù)， 承載 了 用戶 所需要 的 各項應(yīng)用程序 、 桌面、數(shù)據(jù)，通過此層，實現(xiàn)了 用戶 的應(yīng)用程序 、 桌面、 數(shù)據(jù) 的集中 化 管理 和按需應(yīng)用交付 ， 用戶的各項操作均在此層完成，并將執(zhí)行的結(jié)果以屏幕變化量的方式傳輸給用戶，向用戶交付的并非 真實數(shù)據(jù)，保證了數(shù)據(jù)始終不會離開數(shù)據(jù)中心，保障數(shù)據(jù)管控的安全性。 此層同時為移動設(shè)備上運行的企業(yè)原生移動應(yīng)用 (native mobile app)提供移動應(yīng)用管理 (MAM)服務(wù) 。 企業(yè)自行開發(fā)的原生移動應(yīng)用經(jīng)過 MAM控制器 (App Controller)打包后，獲得 MAM管控接口，由企業(yè)應(yīng)用商店統(tǒng)一向移動設(shè)備發(fā)布，實現(xiàn)移動應(yīng)用級別的安全管控。 ? 接入層 此層主要完成將虛擬化層所提供的執(zhí)行結(jié)果向用戶交付的工作。 用戶向數(shù)據(jù)中心請求的操作會通過接入層的負載均衡功能實現(xiàn)自動分配，而用戶在數(shù)據(jù)中心的執(zhí)行結(jié)果也會通過此層以 SSL加密的方式傳輸給用戶，因此，此層完成了用戶到數(shù)據(jù)中心的雙向交互，并具備有效 的安全控制策略來保障合法用戶的身份登錄及后端系統(tǒng)的單點登錄功能。 此層同時為移動設(shè)備提供移動設(shè)備管理 (MDM)服務(wù)。 MDM設(shè)備管理器 (Device Manager)負責將 MDM管控策略、原生移動應(yīng)用、移動設(shè)備配置推送到移動設(shè)備，同時收集移動設(shè)備的資產(chǎn)信息，追蹤移動設(shè)備的地 理位置 (GPS tracking)，實現(xiàn)對移動設(shè)備的遠程管理。 17 用戶接入邏輯 架構(gòu) 設(shè)計 用戶接入網(wǎng)絡(luò)主要面向兩種類型用戶的交付： 內(nèi)網(wǎng)辦公用戶 外網(wǎng)辦公用戶 ? 內(nèi)網(wǎng)辦公用戶： 包括 位于總部及分支機構(gòu)內(nèi)網(wǎng)的用戶，為這些用戶提供應(yīng)用 、桌面服務(wù)，用戶可以在內(nèi)網(wǎng)任意終端設(shè)備 （筆記本、臺式機、瘦客戶機 、移動設(shè)備）上通過自己的賬號訪問自己的辦公 資源。 ? 外網(wǎng)辦公用戶： 面向需要外部辦公的用戶，這些用戶可以安全的通過各種終端設(shè)備（筆記本、家用臺式機、 iPad、 iPhone、 Android平 板 電腦和智能手機）訪問 企業(yè)內(nèi)部應(yīng)用 ，實現(xiàn)高效靈活的移動辦公。 詳細 架構(gòu)設(shè)計 19 整個 系統(tǒng)平臺 通過 思杰安全網(wǎng)關(guān)作為數(shù)據(jù)中心總?cè)?口， 接入層的對外 防火墻上 只需 開放特定 端口 （ TCP 443/8443）即可 供用戶訪問， 較少的端口 提高 了 系統(tǒng) 訪問 的安全性。用戶只要 接入 到網(wǎng)絡(luò)里面，在任何地方都可以訪問 虛擬應(yīng)用 /桌面平臺，不局限于內(nèi)網(wǎng)還是外網(wǎng)，也不局限于任意終端設(shè)備 。 由于虛擬應(yīng)用 /桌面的安全特點，數(shù)據(jù)始終不落地，有效保證用戶訪問的數(shù)據(jù)安全性。 方案在邏輯上分為兩個 部分 ： ? 數(shù)據(jù)中心 ? 用戶接入 數(shù)據(jù)中心詳細 架構(gòu)設(shè)計 按照邏輯拓撲圖建設(shè)三個邏輯功能層（接入層、應(yīng)用 交付層、核心應(yīng)用層），現(xiàn)分別說明如下： ? 內(nèi)外網(wǎng)訪問與安全保障 為了滿足用戶對于內(nèi)外網(wǎng)訪 問的需求，同時又保證數(shù)據(jù)的安全性，我們在數(shù)據(jù)中心內(nèi)建設(shè)辦公網(wǎng)應(yīng)用 交付平臺 ， 內(nèi) 外 網(wǎng)終端所在 網(wǎng)絡(luò)與應(yīng)用交付平臺通過防火墻 隔離，保證了網(wǎng)絡(luò)的安全和數(shù)據(jù)的隔離性 。 NetScaler安全接入網(wǎng)關(guān)設(shè)備是接入層的核心組件 ，其作用主要有： ? 協(xié)議代理： 作為 ICA 協(xié)議的反向代理， 把所有從終端設(shè)備網(wǎng)段到 應(yīng)用交付層 之間的通訊封裝在使用 443 端口的加密通道中。 協(xié)議代理模式可以 極大 簡化 企業(yè)防火墻地址轉(zhuǎn)換 (NAT)和準入策略 的維護工作量。沒有 NetScaler 的情況下，用戶的終端設(shè)備需要直接訪問 XenApp 或 VDI 虛擬機 的TCP 1494 和 2598 端口，因此在終端設(shè)備網(wǎng)段和應(yīng)用交付層 之間的防火墻上配置的地址轉(zhuǎn)換和 準入策略 的 數(shù)量與 XenApp 或 VDI 虛擬機的 數(shù)量有關(guān) 。 當有大量 XenApp或 VDI 虛擬機需要發(fā)布到用戶網(wǎng)段，管理員需要花費較多工作量修改防火墻的配置。 如果在終端設(shè)備網(wǎng)段和應(yīng)用交付層之間 部署了 NetScaler, 所有用戶終端設(shè)備都只需要訪問經(jīng)過轉(zhuǎn)換后的 NetScaler IP 地址的 TCP 443 端口， 防火墻上 只需要配置一條地址轉(zhuǎn)換和 準入策略 ，策略的 數(shù)量與 XenApp 或 VDI 虛擬機的 數(shù)量無關(guān) 。 20 ? 負載均衡： NetScaler 作為業(yè)界 的 7 層負載均衡設(shè)備，可以為包括 StoreFront門戶網(wǎng)站、桌面虛擬化控制器 (DDC)的 XML 服務(wù)、 PVS 服務(wù)在內(nèi)的諸多組件提供負載均衡，實現(xiàn)高可用。 ? 網(wǎng)絡(luò)隔離：在一個存在多個相互隔離的網(wǎng)段的環(huán)境中， 用戶如果希望 通過一個終端設(shè)備同時訪問多個網(wǎng)段的資源，如位于開發(fā)網(wǎng)的終端設(shè)備希望安全地 訪問辦公網(wǎng)的OA 系統(tǒng)，可以通過 NetScaler 把辦公網(wǎng)的 OA 客戶端以虛擬應(yīng)用或虛擬桌面的方式單點發(fā)布到開發(fā)網(wǎng)；通過這種方式，辦公網(wǎng)只需要把 NetScaler 的一個 IP地址和 443端口暴露給開發(fā)網(wǎng)，大大減少了兩個網(wǎng)段之間需要開放訪問權(quán)限的 IP 地址和端口數(shù)量，為 “終端合一 ”的網(wǎng)絡(luò)隔離需求提供了更安全的實現(xiàn)方式。 如下圖所示： ? 應(yīng)用匯聚與統(tǒng)一訪問 應(yīng)用交付平臺 最終通過 Citrix NetScaler安全接入網(wǎng)關(guān)設(shè)備 統(tǒng)一交付 應(yīng)用及桌面資源 ，用戶只需訪問統(tǒng)一 的發(fā)布 門戶，系統(tǒng) 就會根據(jù)用戶身份來自動判別并分配應(yīng)用，對 用戶 的 訪問權(quán)限 實現(xiàn)了 細粒度 的 控制，以確保有效的權(quán)限訪問合法授權(quán)的應(yīng)用資源。 思杰虛擬化技術(shù)在網(wǎng)絡(luò)上并不傳輸真實 的業(yè)務(wù)數(shù)據(jù)，加上終端所在網(wǎng)段及應(yīng)用交付網(wǎng)段之間 嚴格的用戶權(quán)限保障，因此， 方案足以保證兩網(wǎng)隔離的安全性。 以下是應(yīng)用交付層的各個功能模塊： 基礎(chǔ)架構(gòu)服務(wù)器集群 21 基礎(chǔ)架構(gòu)服務(wù)器運行各種管理角色的虛擬機 ，每個角色的作用如下： ? 虛擬發(fā)布 門戶 服務(wù)器（ StoreFront）：提供桌面云的發(fā)布門戶網(wǎng)站，用戶身份驗證后可在門戶網(wǎng)站中 看到自己可用的虛擬桌面 和虛擬應(yīng)用 。 ? 許可證服務(wù)器（ License）：負責 Citrix桌面虛擬化的許可證管理和查詢。 ? 活動目錄（ AD）：服務(wù)器提供標準的 LDAP目錄服務(wù)，負責用戶的身份驗證和所有桌面虛擬化組件之間的信任互訪。 ? 數(shù)據(jù)庫服務(wù)器（ DB）：負責存放桌面虛擬化以及應(yīng)用虛擬化的所有配置信息，同時也可以保存這些服務(wù)器的歷史性能數(shù)據(jù)。 ? 應(yīng)用虛擬化服務(wù)器（ XenApp）：負責向用戶推送虛擬應(yīng)用 或共享桌面 。 ? 桌面虛擬化控制器 (DDC)：是虛擬桌面基礎(chǔ)架構(gòu)的核心，提供如下服務(wù)： ? XML服務(wù)：負責 Web Interface組件與 XenDesktop服務(wù)器群之間的通信。 XML服務(wù)驗證用戶身份，提供可用的虛擬桌面列表，并生成相應(yīng)的信息讓終端能夠連接到虛擬桌面； ? 控制器服務(wù)：負責虛擬桌面上虛擬桌面服務(wù)的通信?？刂破鞣?wù)進行虛擬桌面注冊并保持虛擬桌面狀態(tài)； ? 資源池服務(wù)：基于 XenDesktop服務(wù)器群配置，資源池服務(wù)聯(lián)系虛擬化基礎(chǔ)架構(gòu)來啟動和關(guān)閉虛擬桌面； 虛擬桌面 /應(yīng)用承載服務(wù)器集群 虛擬桌面 /應(yīng)用 承載服務(wù)器底層使用 XenServer服務(wù)器虛擬化技術(shù)，每臺物理機上虛擬出一定數(shù)量的虛擬桌面，目前 支持客戶端操作系統(tǒng) (Windows 7/8/)和服務(wù)器操作系統(tǒng)(Windows 2021/2021 R2/2021/2021 R2)，桌面上除了承載標準的辦公應(yīng)用外，還運行著一個 Citrix的特殊服務(wù)： ? 虛擬桌面代理服務(wù)：負責與 Desktop Delivery Controller進行注冊并保持與控制器的心跳檢測。如果心跳檢測失敗，虛擬桌面服務(wù)將重新與另一個可用的 Desktop Delivery Controller 進行注冊。 OS鏡像管理和交付模塊