【文章內容簡介】 遠程訪問協(xié)議可以大大降低帶寬的要求，實現 LAN，WAN 甚至是 Inter 的訪問能力。同時遠程訪問能夠接近甚至達到本地使用的效果，例如實現雙向語音， VOIP，高清視頻的應用，并能夠很好地支持各種 USB 設備和smart card 的辨識。 以上只是高度概括了整個架構，以下部分將會更加詳細地介紹，系統(tǒng)如何共同協(xié)作來交付虛擬化桌面以滿足預定的工作環(huán)境。 技術原理 之所以 Citrix的虛擬桌面和虛擬應用技術可以從更本上解決終端上的信息安全問題，由于 Citrix產品使用的技術原理造成的。 Citrix使用自有的 ICA協(xié)議處理本地操作與遠程桌面和應用的交互。 終端機可以在第一次訪問 Citrix服務器時下載并安裝 Citrix ICA插件， ICA插件和虛擬應用服務器的平臺 及虛擬桌面操作系統(tǒng) 之間通過 ICA協(xié)議建立連接通道，使得 PC機用戶可以正常使用服務器上 或者桌面操作系統(tǒng)上 運行的各種業(yè)務軟件。 ICA協(xié)議連接了運行在前端服務器上的應用進程和業(yè)務 PC機的輸入輸出設備，通過 ICA的 32個虛擬通道（分別傳遞各種輸入輸出數據如鼠標、鍵盤、圖像、聲音、端口、打印等等），運行在前端服務器上的應用進程的輸入輸出數據重新定向到遠端客戶端機器的輸入輸出設備上，因此業(yè)務用戶使用前端服務器 上的柜臺應用時感覺就像在使用本地模式一樣。 ICA協(xié)議如下圖所示： 圖： ICA 協(xié)議邏輯示意圖 虛擬化的桌面與應用 實現了 操作系統(tǒng)與 應用軟件運行在服務器 或后臺工作站上，但是 操作（輸入輸出）在客戶端機器上，所有的輸入如鼠標鍵盤的操作被 ICA協(xié)議同步到服務器上執(zhí)行，所有的輸出如屏幕的刷新也被 ICA協(xié)議同步到客戶端。虛擬化應用操作模式如下圖所示： 應用軟件的用戶界面在客戶端顯示（可以支持非W in do w s 客戶端）應用軟件安裝和運行都在服務器端網絡只傳遞通過網絡只傳遞通過C itr ixitr i 的的 IC AI 技術處理后的屏幕刷新和技術處理后的屏幕刷新和鍵盤敲擊和鼠標移動信息鍵盤敲擊和鼠標移動信息（（ 帶寬需求帶寬需求 10 20 k b s , 甚至可以是低速甚至可以是低速 的撥號連接）的撥號連接） 圖： ICA 協(xié)議工作原理示意圖 ICA協(xié)議是一種高效率的數據交換協(xié)議，采用了數據壓縮、加密和連接優(yōu)化技術，每一個用戶的連接只占用 10K20K的網絡帶寬，而實際運行的客戶端軟件位于后臺的局域網內，因此終端用戶相當于用撥號線的鏈路就可以享受到局域網內的運行速度。 同時 ICA協(xié)議可以分別針對單獨的虛擬通道進行控制，這樣為用戶的訪問和使用帶來了細粒度的控制。比如如果控制用戶不許通過打印機把信息打印出來，只需要中斷 ICA連接中的打印機通道即可。 虛擬桌面技術要點 用虛擬桌面技術來解決 IT 管理中的各種問題，以及虛擬桌面方案最終被廣泛應用， 需要解決以下幾個關鍵問題： 高效的遠程訪問協(xié)議 由于是遠程訪問虛擬桌面，則對網絡具有很高的依賴性，所以遠程協(xié)議必須具有很高的效率，才能滿足用戶的要求，即在滿足使用需求和體驗的情況向，以很低的帶寬實現遠程訪問。因為只有這樣，當大量用戶同時使用桌面的時候，內部網絡才不會出現擁堵，同時能夠很好地支持廣域網，甚至互聯網的訪問，讓開發(fā)人員可以通過各種網絡接入使用虛擬桌面。 良好的用戶體驗 只有系統(tǒng)有良好的用戶體驗，開發(fā)人員才能夠使用虛擬桌面來很好地進行開發(fā)，如果體驗很差，無法滿足開發(fā)人員的要求，不但不可能幫助開發(fā)工作，反而會影響開發(fā)的正常進行；即使能夠滿足開發(fā)人員要求，用戶體驗差，也可能造成開發(fā)人員的抵觸，造成項目失敗。好的虛擬桌面系統(tǒng)需要能夠在以下方面滿足用戶需求，并做到很好的用戶體驗： ? 實現智能的，高效的本地設備重定向 雖然開發(fā)需要通過策略將客戶端設備的各種存儲設備禁止訪問，但是對于某些特定場景，和特定設備，需要能實現和本地一樣的即插即用的效果，例如 Smart Card（智能卡）， USB 外設（攝像頭等），打印機等，多個顯示器設備。這些設備是日常開發(fā)工作中往往必不可少的，所以實現這些設備的自動辨識和使用時對開發(fā)工作的正常進行至關重要的。 ? 多媒體的支持 現代企業(yè)的業(yè)務工作已經越來越豐富，使用的技術手段也越來越多，多媒體的技術就是其中一種。虛擬桌面需要很好地解決多媒體，甚至是高清媒體的播放，自動探知客戶端和服務器的計算能力，并基于網絡選擇最優(yōu)的播放方式，讓用戶獲得最佳的體驗，這樣才能讓開發(fā)人員有更好的使用體驗，更積極地支持虛擬桌面的管理方式。 ? 支持實時的協(xié)作能力 隨著企業(yè)業(yè)務的發(fā)展，越來越多的工 作需要隨時跟客戶進行聯系， Call Center 就是非常重要的一種，而且越來越多的通過 VOIP 的方式工作，力求降低通訊成本，而統(tǒng)一通訊也是逐步被廣泛推廣的一種協(xié)同工作手段。所以虛擬桌面技術需要很好地能夠支持開發(fā)人員使用這些新技術進行工作，更重要的是能夠讓開發(fā)人員開發(fā)出基于這些技術的創(chuàng)新的企業(yè)業(yè)務系統(tǒng)，支持企業(yè)的業(yè)務創(chuàng)新。 ? 各種網絡的廣泛適用性 由于虛擬桌面技術的出現，使得開發(fā)不再僅僅局限于一個集中開發(fā)地，開發(fā)人員可以回到自己公司甚至自己的家里進行開發(fā)工作，大大降低企業(yè)的各種費用；但需要虛擬桌面能夠適應各種網 絡的連結，能夠通過局域網，廣域網，甚至是互聯網和 VPN 連結都能訪問到開發(fā)桌面，在保證的安全需求的同時，實現更靈活的訪問并降低成本 ? 自動的網絡優(yōu)化 企業(yè)可能有多個開發(fā)地點，同時通過虛擬桌面，人員可以從自己公司連結到企業(yè)的開發(fā)中心進行開發(fā)，中間可能涉及到各種文檔的傳輸等工作，自動地對這些網絡數據的傳輸進行優(yōu)化，在有限的帶寬下減少數據延遲，提高數據傳輸速度，也是提升整個系統(tǒng)用戶體驗的重要一環(huán)。 根據類型用戶使用不同的解決方案 虛擬桌面技術是一整套的實現用于遠程使用桌面操作系統(tǒng)的技術，而不僅僅局限于使 用虛擬操作系統(tǒng)一種技術（俗稱 VDI）。根據不同的用戶使用特性，可以使用不同的技術來滿足使用需要和管理要求。 ? 共享托管桌面 對于很多權限比較低的，只限于使用數據處理等固定應用的，而且沒有權限更改桌面配置的用戶，可以使用基于服務器的共享托管桌面；其最大程度共享操作系統(tǒng)資源，實現最高的投資回報率 ? 托管虛擬操作系統(tǒng)桌面（ VDI） 對于需要獨立的操作系統(tǒng)資源控制能力的用戶，使用這種方案，能夠很好地滿足開發(fā)人員的對操作系統(tǒng)的配置需求，并提供獨占的操作系統(tǒng)資源支持開發(fā)工作。但能夠最大程度利用服務器計算能力。 ? 托管刀片 PC 對用某些需要硬件級別資源支持的應用開發(fā)，可以將后臺的刀片 PC或者獨立PC，工作站發(fā)布出來，用戶可以從遠程進行使用，進行這些對硬件資源要求比較高的應用的開發(fā) ? 無盤 PC 在保證數據不可以被隨意帶走的前提下，但要更充分利用現有 PC 的資源，可以通過事先無盤 PC 的方式，將操作系統(tǒng)通過網絡啟動的方式引導，開發(fā)人員可以像本地機一樣進行操作，但是無法將對系統(tǒng)的更改保存，操作系統(tǒng)重啟之后，將恢復原來狀態(tài)。 ? 虛擬應用 對于絕大多開發(fā)需要的應用，往往都不需要獨立占有操作系統(tǒng)的資源，而很多業(yè)務工作（不僅僅是開發(fā)）都可以直接使用虛 擬應用的方式。用戶可以通過本地安裝了操作系統(tǒng)的 PC，也可以通過沒有“操作系統(tǒng)”的瘦客戶端訪問后臺服務器的虛擬應用，開展業(yè)務工作。這種情況能夠大大降低對后臺服務器的資源壓力。 ? 本地虛擬桌面 這種技術可以幫助用戶在本地運行一個虛擬操作系統(tǒng)，并進行正常的操作。當用戶離線的時候可以正常使用，而當用戶重新連接服務器的時候，所有的變化自動會與服務器進行同步，生成一個在服務器上一模一樣的虛擬機。當然用戶也可以遠程訪問這個虛擬機。這種方式非常適合經常外出辦公的用戶。 高效的鏡像管理 當大量的虛擬桌面產生，鏡像 管理是一個非常關鍵的問題，好的鏡像管理將會大大減少IT 管理人員的管理工作量和復雜度。通過高效的鏡像管理手段，管理人員可以將沒有自己安裝應用權限的，操作系統(tǒng)可以標準化的用戶桌面進行統(tǒng)一，用一個桌面鏡像進行管理。所有的升級、安裝工作只需要對一個鏡像進行處理，之后所有的用戶就可以使用最新更新的操作系統(tǒng)。 而這些用戶的差異，例如使用應用的差異，配置文件（桌面圖片，收藏夾等），以及數據保存都可以通過虛擬應用、配置管理和網絡文件夾的方式實現。所有的部分進行動態(tài)組裝，讓用戶感覺和使用一個獨占的 PC 沒有任何差別。這樣做到良 好的用戶體驗，同時能夠提高管理人員的管理效率。 安全智能的網絡接入 由于虛擬桌面技術使得通過互聯網和 VPN 訪問桌面成為可能，那么開發(fā)人員可以回到自己的公司或者家里進行開發(fā)。這時候安全、智能的網絡接入就成為重要的問題。什么樣的設備和什么樣的人可以接入，需要通過安全、智能的網絡接入手段來根據企業(yè)的管理規(guī)范和安全策略進行自動的判定，將適當的權限和應用交付給遠程接入的用戶，在保證業(yè)務安全的同時，讓網絡更加安全，可靠。 用戶體驗描述 一般用戶可以通過如下方式，使用虛擬桌面： 1. 員工利用現有計算機，以 Web 或客戶端方式登錄虛擬桌面系統(tǒng)入口，節(jié)約當前用戶計算機的投資。未來可以通過采購瘦客戶端，代替當前的 PC，降低終端設備的采購和維護成本。 圖：用戶登錄界面截圖 2. 虛擬桌面系統(tǒng)調度服務器提交認證請求到后臺域控制器。 3. 認證成功后，虛擬基礎架構按需從鏡像管理服務器獲取標準 Windows 桌面、應用軟件、用戶個性配置文件。用戶個性配置文件及新建的設計圖紙等文檔，都集中存放于網絡存儲中，簡化文件的管理；標準 Windows 桌面映像只需要一份，同時提供給所有用戶使用，這可節(jié)約大量的存儲空間。 4. 虛擬 桌面調度服務器通過遠程協(xié)議將虛擬基礎架構上的桌面操作系統(tǒng)交付到最終用戶，用戶就像使用本地計算機一樣方便。 5. 用戶與虛擬桌面之間的會話采用遠程訪問協(xié)議，只傳輸屏幕信息、鍵盤、鼠標指令等，只占用少量的網絡帶寬。 6. 通過虛擬桌面調度服務器上的策略設置，可以禁止終端的磁盤， USB 等設備以及剪貼板，所有用戶使用的文檔無法保存在本地桌面，而都會駐留在數據中心，從機制上保證數據的安全。真正做到“數據不出門”。 7. 所有數據的打印，可以通過策略進行配置，必須將打印數據輸出到指定的打印機，從而控制由于打印造成的數據泄漏。 8. 所有數據的傳輸和共享，只能通過網絡應用操作，對于桌面管理員可以設置用戶不能安裝任何軟件，所有可用應用，全都是由管理員從后臺統(tǒng)一通過虛擬應用技術發(fā)布給有權限用戶，并從后臺進行實時錄像監(jiān)控，保證用戶的不合法行為得到追蹤和記錄，保證網絡應用進行數據傳輸不會導致機密信息泄露。 管理 方案 完整的虛擬桌面的解決方案可以通過一個平臺，采用不同的策略和管理方案，很好地滿足不同類型的用戶的使用特點： ? 對于不需要桌面的用戶，可以直接把所需要的應用通過虛擬桌面產品中的虛擬應用技術交付到人員自有 PC 桌面上，或者 通過瘦客戶端進行使用；利用后臺策略，禁止用戶將數據和代碼保存到本地磁盤和設備上，實現數據在數據中心的統(tǒng)一存儲和管理。 ? 對于需要使用桌面，但是不允許人員自己安裝程序的用戶（例如業(yè)務人員：數據錄入，流程操作人員），可以通過鏡像管理，實現單一數據鏡像，統(tǒng)一進行管理；而所需要的應用可以直接安裝在鏡像中，或者通過應用交付組件將應用交付到桌面上。 ? 對于允許人員自行安裝應用的狀況，可以為每個用戶設置一個虛擬操作系統(tǒng)，人員可以自行安裝應用，滿足其應用需求，但同時通過策略控制用戶將數據與代碼存放本地。 對于通過應用發(fā)布，管 理員可以通過簡單的授權配置，用戶桌面就可以訪問到新的應用，當前這類技術中也出現了自助式的應用選擇，用戶可以自助式選擇自己所需要使用的應用，就可以馬上在桌面上使用所需的應用。 當前企業(yè)在對人員的管理主要是基于傳統(tǒng)的桌面進行管理，主要采用微軟組策略或者第三方的管理軟件或硬件對終端桌面進行控制，例如： ? 禁止 USB 口，防止用戶利用 USB 設備拷貝數據 ? 禁止藍牙和紅外設備，防止用戶通過藍牙和紅外設備傳輸數據 ? 對數據進行加密，防止文件外泄造成信息外流 但是這些手段并不能很好地解決當前問題，仍然存在以下風險： ? 目前需要第三方的軟件禁止 USB 訪問，但是都在客戶端實現，具有技術背景的開發(fā)人員可以繞開軟件，通過 USB設備將數據拷貝出來 ? 目前的的軟件對藍牙和紅外設備的管理能力有限 ? 對數據進行加密，開發(fā)人員可以通過各種手段進行反向破解 ? 移動設備的普及使得用戶可以不通過傳統(tǒng)存儲設備，利用藍牙和紅外將數據傳輸到手機等設備上 ? 用戶也可以通過將硬盤 PC 上拆卸下來，帶走通過其他 PC進行拷貝 而這些手段實施也存在以下的問題和局限： ? 當前解決方案都是在客戶端實現，而開發(fā)人員可以通 過各種手段將并不處于管理員可控范圍內的客戶端上的數據拷貝出來 ? 開發(fā)人員使用桌面上各種應用的行為無法記錄，對于不合理行為無法進行控制 ? 采用多種軟硬件技術進行管控，成本高，效果差，像補丁一樣對各個潛在風險進行修補，無法根本上解決問題 ? 為了滿足業(yè)務需求，目前開發(fā)人員都必須得在企業(yè)進行開發(fā)，占用企業(yè)大量的設備，場地，整個開發(fā)成本高。 使用虛擬桌面解決方案可以很好地解決上述問題： ? 由于虛擬桌面是基于服務器計算的模式，所有的計算都是發(fā)生在服務器上，即運行在服務器上的虛擬操作系統(tǒng)（