桌面系統(tǒng)VMware View設(shè)計v1.0

1、目錄1.虛擬桌面優(yōu)勢41.1可靠性與安全性41.2便捷性41.3可管理性51.4托管虛擬桌面優(yōu)勢51.5硬件獨立性52.虛擬桌面架構(gòu)62.1客戶端設(shè)備62.2View Connection Server72.3View Client82.4View Portal82.5View Agent82.6View Composer92.7vCenter Server92.8View Transfer Server102.9vSphere 5103.需求114.架構(gòu)設(shè)計114.1虛擬桌面架構(gòu)124.2前端防火墻規(guī)則134.3后端防火墻規(guī)則134.4VMware View 通信協(xié)議144.4.1默認端口1

2、44.4.2LAN 部署144.4.3WAN部署154.4.4View Connection Server 的防火墻規(guī)則154.4.5View Agent 的防火墻規(guī)則154.4.6Active Directory 的防火墻規(guī)則164.4.7View Client with Local Mode 的防火墻規(guī)則164.5容量規(guī)劃174.6服務(wù)器規(guī)劃174.6.1View Security Server174.6.2View Connectiong Server184.6.3View Transfer Server194.6.4關(guān)于本地網(wǎng)絡(luò)（LAN）204.7最終用戶帳號204.7.1桌面池劃分2

3、04.7.2桌面池通用選項244.7.3桌面池網(wǎng)絡(luò)254.7.4桌面池存儲設(shè)計274.8桌面模板設(shè)計284.8.1桌面池1284.8.2桌面池2294.8.3虛擬桌面模板配置294.8.4制作虛擬機模板295.虛擬桌面安全315.1防病毒軟件315.2防火墻325.3遠程訪問325.4補丁與更新325.5雙因素認證325.6傳遞驗證335.7USB和打印機重定向335.8隔離桌面池335.9SSL認證336.配置基于角色的委托管理346.1角色和特權(quán)346.2使用文件夾委托管理346.3為不同文件夾配置不同的管理員356.4為同一文件夾配置不同管理員356.5對管理員進行管理366.6預(yù)定義的

4、管理員角色376.7全局特權(quán)376.8特定于對象的特權(quán)386.9內(nèi)部特權(quán)396.10執(zhí)行常見任務(wù)所需的特權(quán)396.10.1管理池所需的特權(quán)396.10.2管理桌面所需的特權(quán)396.10.3管理永久磁盤所需的特權(quán)406.10.4管理用戶和管理員所需的特權(quán)406.10.5執(zhí)行常規(guī)管理任務(wù)和命令所需的特權(quán)416.11針對管理員用戶和組的最佳實踐411. 虛擬桌面優(yōu)勢使用 VMware View 能有效提高企業(yè)桌面管理的可靠性、安全性、硬件獨立性與便捷性。1.1 可靠性與安全性通過將虛擬桌面與 VMware vSphere 進行整合，并對服務(wù)器、存儲和網(wǎng)絡(luò)資源進行虛擬化，可實現(xiàn)對虛擬桌面的集中式管理。

5、將桌面操作系統(tǒng)和應(yīng)用程序放置于數(shù)據(jù)中心的某個服務(wù)器上可帶來以下優(yōu)勢： 輕松限制數(shù)據(jù)訪問。防止敏感數(shù)據(jù)被復(fù)制到遠程計算機。 安排數(shù)據(jù)備份時無須考慮最終用戶的系統(tǒng)是否關(guān)閉。 數(shù)據(jù)中心托管的虛擬桌面不會或很少停機。虛擬機可以駐留在具有高可用性的 VMware 服務(wù)器群集中。虛擬桌面還能連接到后端物理系統(tǒng)和 Windows 終端服務(wù)服務(wù)器。1.2 便捷性統(tǒng)一管理控制臺可支持 Adobe Flex 上的擴展，即使最大規(guī)模的 View 部署也能通過單個 View Manager 界面來有效管理。向?qū)Ш蛢x表板可提高工作效率，并有助于查看詳細信息或更改設(shè)置。 另外一項便捷功能是 VMware 遠程顯示協(xié)議 P

6、CoIP。PCoIP (PC-over-IP) 顯示協(xié)議可提供與使用物理 PC 相同的最終用戶體驗： 在 LAN 中，顯示速度較傳統(tǒng)遠程顯示更快，且更流暢。 在 WAN 中，該顯示協(xié)議還能彌補因延遲增加或帶寬減少導(dǎo)致的不便，確保最終用戶在任何網(wǎng)絡(luò)條件下均可保持高效。1.3 可管理性能夠在很短的時間內(nèi)部署最終用戶的桌面。無需在每個最終用戶的物理 PC 上逐一安裝應(yīng)用程序。最終用戶可連接到應(yīng)用程序齊備的虛擬桌面。最終用戶可以在不同地方使用各種設(shè)備訪問同一個虛擬桌面。1.4 托管虛擬桌面優(yōu)勢使用 VMware vSphere 托管虛擬桌面可帶來以下優(yōu)勢： 簡化管理任務(wù)和管理工作。管理員無須訪問用戶的

7、物理 PC 即可修補和升級應(yīng)用程序和操作系統(tǒng)。 簡化存儲管理。借助 VMware vSphere，您可以虛擬化卷和文件系統(tǒng)，從而避免管理單獨的存儲設(shè)備。1.5 硬件獨立性虛擬機具有硬件獨立性。由于 View 桌面運行在數(shù)據(jù)中心內(nèi)的某個服務(wù)器中，且只能從客戶端設(shè)備訪問，因此View 桌面可以使用與客戶端設(shè)備硬件不兼容的操作系統(tǒng)。例如，盡管 Windows 7 只能運行在支持 Windows 7 的 PC 上，但您可以將 Windows 7 安裝在虛擬機中，并在不支持 Windows 7 的 PC 上使用該虛擬機。虛擬桌面可運行在 PC、Tablet、Mac、瘦客戶端和作為瘦客戶端使用的 PC 上

8、。2. 虛擬桌面架構(gòu)2.1 客戶端設(shè)備使用 VMware View 的一大優(yōu)勢在于，最終用戶可以在任何地點使用任何設(shè)備訪問桌面。用戶可以通過公司的筆記本電腦、家用 PC、瘦客戶端設(shè)備、Mac 或 Tablet 訪問其個性化虛擬桌面。在 Tablet、Mac 和 Windows 筆記本電腦及 PC 中，最終用戶只需打開 View Client 就能顯示 View 桌面。瘦客戶端設(shè)備使用 View 瘦客戶端軟件，您可以對其進行配置，使 View 瘦客戶端成為用戶在設(shè)備上唯一能直接啟動的應(yīng)用程序。將傳統(tǒng) PC 作為瘦客戶端桌面使用，可以使硬件的使用壽命延長三到五年。例如，通過在瘦客戶端桌面中使用 V

9、Mware View，您可以在舊版桌面硬件上使用 Windows 7 等新型操作系統(tǒng)。2.2 View Connection Server該軟件服務(wù)充當(dāng)客戶端連接的 Broker。View Connection Server 通過 Windows Active Directory 對用戶進行身份驗證，并將請求定向到相應(yīng)的虛擬機、物理或刀片 PC 或 Windows 終端服務(wù)服務(wù)器。View Connection Server 提供了以下管理功能： 用戶身份驗證 授權(quán)用戶訪問特定的桌面和池 將通過 VMware ThinApp 打包的應(yīng)用程序分配給特定桌面和池 管理本地和遠程桌面會話 在用戶和桌

10、面之間建立安全連接 支持單點登錄 設(shè)置和應(yīng)用策略在企業(yè)防火墻內(nèi)，您需要安裝和配置一個至少包含兩個 View Connection Server 實例的組。其配置數(shù)據(jù)存儲在一個嵌入式 LDAP 目錄內(nèi)，并且在組內(nèi)各成員之間復(fù)制。在企業(yè)防火墻外部，您可以在 DMZ 中安裝 View Connection Server 并將其配置為安全服務(wù)器。DMZ 中的安全服務(wù)器可與企業(yè)防火墻內(nèi)的 View Connection Server 進行通信。安全服務(wù)器可確保唯一能夠訪問企業(yè)數(shù)據(jù)中心的遠程桌面流量是通過嚴格驗證的用戶產(chǎn)生的流量。用戶只能訪問被授權(quán)訪問的桌面資源。安全服務(wù)器提供了一個功能子集，且無需包含在

11、 Active Directory 域中。您需要將 View Connection Server 安裝在 Windows Server 2008 服務(wù)器中，最好安裝在 VMware 虛擬機中。2.3 View Client用于訪問 View 桌面的客戶端軟件可以在 Tablet、Windows 或 Mac PC 或筆記本電腦、瘦客戶端等平臺上運行。成功登錄后，用戶需要在其有權(quán)使用的虛擬桌面列表中進行選擇。身份驗證需要使用 Active Directory 憑據(jù)、UPN、智能卡 PIN 或 RSA SecurID 令牌。管理員可以將 View Client 配置為允許最終用戶選擇顯示協(xié)議。協(xié)議包

12、括 PCoIP 和 Microsoft RDP。PCoIP 協(xié)議的速度和顯示質(zhì)量可與物理 PC 媲美。View Client with Local Mode（之前稱為 Offline Desktop）是 View Client 的一個版本，現(xiàn)已經(jīng)過擴展，允許最終用戶下載虛擬機并在其本地 Windows 系統(tǒng)上使用（無論是否連接網(wǎng)絡(luò)）。2.4 View Portal要使用 View Portal，使用 Windows、Mac PC 或筆記本電腦的最終用戶需要打開 Web 瀏覽器，并輸入一個View Connection Server 實例的 URL 地址。View Portal 提供了一個鏈接，

13、可用于下載適用于 Windows 或 Mac的 View Client 完整版安裝程序。2.5 View Agent您可以在所有用作 View 桌面源的虛擬機、物理系統(tǒng)和終端服務(wù)服務(wù)器上安裝 View Agent 服務(wù)。在虛擬機上，此代理通過與 View Client 進行通信來提供連接監(jiān)視、虛擬打印、View 用戶配置管理和訪問本地連接的 USB設(shè)備等功能。如果桌面源本身是一個虛擬機，您首先應(yīng)當(dāng)在該虛擬機上安裝 View Agent 服務(wù)，然后再將其作為模板或鏈接克隆的父虛擬機使用。從該虛擬機創(chuàng)建池時，該代理將自動安裝到每個虛擬桌面上?？梢栽诎惭b代理時選擇單點登錄選項。使用單點登錄后，用戶只

14、會在連接 View Connection Server 時收到登錄提示，下一次連接虛擬桌面時便不會收到提示。這款基于 Web 的應(yīng)用程序能幫助管理員配置 View Connection Server、部署并管理 View 桌面、控制用戶身份驗證并排除最終用戶遇到的問題。View Administrator 應(yīng)用程序會隨 View Connection Server 實例一起安裝。借助該應(yīng)用程序，管理員無需在他們的本地計算機上安裝應(yīng)用程序，即可從任何地方管理 View Connection Server 實例。2.6 View Composer需要將該軟件服務(wù)安裝在管理虛擬機的 vCenter

15、Server 實例上。然后，View Composer 將可以從指定的父虛擬機創(chuàng)建鏈接克隆池。這種方法可節(jié)約多達 90% 的存儲成本。每個鏈接克隆都像一個獨立的桌面，帶有唯一的主機名和 IP 地址，但不同的是，鏈接克隆與父虛擬機共享一個基礎(chǔ)映像，因此存儲需求明顯減少。由于鏈接克隆桌面池共享一個基礎(chǔ)映像，因此您可以通過僅更新父虛擬機來快速部署更新和修補程序。最終用戶的設(shè)置、數(shù)據(jù)和應(yīng)用程序均不會受到影響。可以將鏈接克隆技術(shù)用于下載的 View 桌面，并將其檢出在本地系統(tǒng)上使用。2.7 vCenter Server該服務(wù)可充當(dāng)聯(lián)網(wǎng) VMware ESX/ESXi 主機的中心管理員。vCenter S

16、erver提供了在數(shù)據(jù)中心內(nèi)配置、部署和管理虛擬機的中心點。除了將這些虛擬機作為 View 桌面池的源，您還可以使用虛擬機來托管 VMware View 的服務(wù)器組件，包括Connection Server 實例、Active Directory 服務(wù)器和 vCenter Server 實例?？梢詫?View Composer 和 vCenter Server 安裝在相同的服務(wù)器上，以創(chuàng)建鏈接克隆桌面池。vCenter Server會管理向物理服務(wù)器和存儲分配虛擬機的情況，以及向虛擬機分配 CPU 和內(nèi)存資源的情況。需要將 vCenter Server 安裝在 Windows Server 2

17、008 服務(wù)器中，最好安裝在 VMware 虛擬機中。2.8 View Transfer Server該軟件用于管理和簡化數(shù)據(jù)中心與在最終用戶本地系統(tǒng)上檢出使用的 View 桌面之間的數(shù)據(jù)傳輸。必須安裝View Transfer Server 才能支持運行 View Client with Local Mode（之前被稱為 Offline Desktop）的桌面。有些操作需要用 View Transfer Server 在 vCenter Server 的 View 桌面和客戶端系統(tǒng)中相應(yīng)的本地桌面之間發(fā)送數(shù)據(jù)。 當(dāng)用戶檢入或檢出桌面時，View Manager 將對該操作進行授權(quán)和管理。Vi

18、ew Transfer Server 可以在數(shù)據(jù)中心和本地桌面之間傳輸文件。 View Transfer Server 可以將用戶生成的更改復(fù)制到數(shù)據(jù)中心，從而使本地桌面與數(shù)據(jù)中心內(nèi)的相應(yīng)桌面同步。復(fù)制操作將以您在本地模式策略中指定的時間間隔進行。您也可以在 View Administrator 中啟動復(fù)制?？梢栽O(shè)置策略，使用戶能夠從他們的本地桌面啟動復(fù)制。 View Transfer Server 從數(shù)據(jù)中心向本地客戶端分發(fā)常規(guī)系統(tǒng)數(shù)據(jù)。View Transfer Server 將 View Composer基礎(chǔ)映像從 Transfer Server 存儲庫下載到本地桌面。2.9 vSphe

19、re 5虛擬化基礎(chǔ)平臺，用于運行于虛擬桌面的虛擬機。為虛擬機提供了高可用、容錯、資源動態(tài)調(diào)配的基礎(chǔ)平臺，實現(xiàn)了資源池化管理。3. 需求VMware View Manager負責(zé)VMware虛擬化架構(gòu)與活動目錄（Active Directory）之間的無縫整合。VMware View和vCenter一起提供虛擬桌面管理能力，例如虛擬桌面的自動掛起和恢復(fù)，或者部署持久性或非持久性虛擬桌面池。根據(jù)虛擬桌面系統(tǒng)的特點，設(shè)計虛擬桌面應(yīng)當(dāng)滿足以下主要需求： 桌面系統(tǒng)集中以虛擬機形式運行于vSphere上，包括本地員工、異地員工、維護人員、和代維人員； 維護人員、和代維人員無需保留本地數(shù)據(jù)； 允許特殊用戶/

20、特殊終端使用USB設(shè)備； 員工設(shè)置固定桌面，維護人員和代維人員無固定桌面。 設(shè)定部分用戶能夠?qū)崿F(xiàn)本地打印4. 架構(gòu)設(shè)計內(nèi)網(wǎng)通過View Connection Server 直接訪問虛擬桌面；外網(wǎng)通過安全網(wǎng)關(guān)（Security Server）連接桌面，連接服務(wù)器和安全網(wǎng)關(guān)使用多機集群實現(xiàn)冗余，為Kiosk(物理終端綁定虛擬桌面)模式建立獨立的安全網(wǎng)關(guān)和連接服務(wù)器。4.1 虛擬桌面架構(gòu)當(dāng)遠程用戶連接安全服務(wù)器時，他們必須成功通過身份驗證，才可以訪問 View 桌面。在這種拓撲結(jié)構(gòu)中，DMZ 兩端都實施了合適的防火墻規(guī)則，這種結(jié)構(gòu)適用于通過 Internet 上的客戶端設(shè)備來訪問 View 桌面?；?/p>

21、于 DMZ 的安全服務(wù)器部署中必須包含兩個防火墻。 需要部署一個面向外部網(wǎng)絡(luò)的前端防火墻，用于保護 DMZ 和內(nèi)部網(wǎng)絡(luò)。您需要將該防火墻配置為允許外部網(wǎng)絡(luò)流量到達 DMZ。 需要在 DMZ 和內(nèi)部網(wǎng)絡(luò)之間部署一個后端防火墻，用于提供第二層安全保障。需要將該防火墻配置為僅接受 DMZ 內(nèi)的服務(wù)產(chǎn)生的流量。防火墻策略可嚴格控制來自 DMZ 服務(wù)的入站通信，這樣將大幅降低內(nèi)部網(wǎng)絡(luò)泄露的風(fēng)險。4.2 前端防火墻規(guī)則要允許外部客戶端設(shè)備連接到 DMZ 中的安全服務(wù)器，前端防火墻必須允許特定 TCP 和 UDP 端口上的流量。4.3 后端防火墻規(guī)則要允許安全服務(wù)器與內(nèi)部網(wǎng)絡(luò)中的每個 View Connec

22、tion Server 實例通信，后端防火墻必須允許特定 TCP 端口上的入站流量。位于后端防火墻后面的內(nèi)部防火墻必須采用類似配置，以允許 View 桌面和 View ConnectionServer 實例相互通信。4.4 VMware View 通信協(xié)議VMware View 組件之間通過幾種不同的協(xié)議來交換消息。4.4.1 默認端口4.4.2 LAN 部署4.4.3 WAN部署4.4.4 View Connection Server 的防火墻規(guī)則在防火墻上必須為 View Connection Server 實例及安全服務(wù)器打開某些端口。在 Windows Server 2008 上安裝

23、View Connection Server 時，安裝程序可為您配置所需的 Windows 防火墻規(guī)則（可選）。在 Windows Server 2003 R2 上安裝 View Connection Server 時，必須手動配置所需的 Windows防火墻規(guī)則。4.4.5 View Agent 的防火墻規(guī)則View Agent 安裝程序會打開防火墻上的特定 TCP 端口。如非特別注明，端口均為傳入端口。View Agent 安裝程序為入站 RDP 連接配置本地防火墻規(guī)則，以匹配主機操作系統(tǒng)當(dāng)前的 RDP 端口（通常為3389）。如果更改了 RDP 端口號，則必須更改相關(guān)的防火墻規(guī)則。如果您

24、指示 View Agent 安裝程序不啟用遠程桌面支持，安裝程序?qū)⒉粫蜷_端口 3389 和 32111，您必須手動打開這些端口。如果您使用虛擬機模板作為桌面源，只有在模板為桌面域成員的情況下，防火墻異常才會在部署的桌面中繼續(xù)存在。你可以用 Microsoft 組策略設(shè)置來管理本地防火墻例外規(guī)則。有關(guān)更多信息，請參閱 Microsoft 知識庫(KB) 文章 875357。4.4.6 Active Directory 的防火墻規(guī)則如果您在 VMware View 環(huán)境和 Active Directory 服務(wù)器之間部署了防火墻，則必須確保打開了所有必要端口。例如，View Connection

25、 Server 必須能夠訪問 Active Directory 全局目錄和輕型目錄訪問協(xié)議 (LightweightDirectory Access Protocol, LDAP) 服務(wù)器。如果全局目錄和 LDAP 端口被防火墻軟件阻止，管理員將無法正常配置用戶授權(quán)。請參見Active Directory 服務(wù)器版本的 Microsoft 文檔，了解確保 Active Directory 順利通過防火墻而必須打開的端口。4.4.7 View Client with Local Mode 的防火墻規(guī)則View Client with Local Mode 數(shù)據(jù)通過端口 902 上傳和下載。如果您

26、希望使用 View Client with Local Mode功能，則 ESX/ESXi 主機必須能夠訪問端口 902。4.5 容量規(guī)劃根據(jù)硬件配置和測試情況，按每臺物理主機駐留40-80臺桌面系統(tǒng)計算，每個VMware群集8臺物理主機（考慮VMware HA冗余要求，每個群集按空閑一臺主機計算做備用機），每個集群提供280-560臺虛擬桌面系統(tǒng)，全公司2500個桌面計算，預(yù)計通過5個集群實現(xiàn)。4.6 服務(wù)器規(guī)劃4.6.1 View Security Server 屬性配置View Security Servers 數(shù)量3View Security 主機 / IPsecu01.xxx.xxx

27、secu 02.xxx.xxxsecu 03.xxx.xxx負載均衡使用負載均衡設(shè)備，01-02實現(xiàn)負載均衡，服務(wù)地址為：secur.xxx.xxx；03不在負載均衡列表，為Kiosk模式時使用服務(wù)地址為：secur1.xxx.xxx；虛擬機或物理機物理機處理器數(shù)量處理器類型2vCPU內(nèi)存32GB NIC4 x Gigabit(2塊對外，2塊對內(nèi))共有存儲不需要操作系統(tǒng)64-bit Windows Server 2008 R2VMware View網(wǎng)絡(luò)端口VMware View網(wǎng)絡(luò)端口防火墻前后都應(yīng)設(shè)置防火墻4.6.2 View Connectiong Server 屬性配置View Mana

28、ger Connection Servers 數(shù)量3View Manager 主機 / IPconn01.xxx.xxxconn02.xxx.xxxconn03.xxx.xxx負載均衡分別于Security Server對應(yīng)，01、02為正常連接使用，03為Kiosk模式使用 虛擬機或物理機VMware Virtual Hardware 7處理器數(shù)量處理器類型4vCPU內(nèi)存16 GB NIC2 x Gigabit共有存儲不低于40GB（LSI Logic SAS）操作系統(tǒng)64-bit Windows Server 2008 R2VMware View網(wǎng)絡(luò)端口VMware View網(wǎng)絡(luò)端口容量規(guī)

29、劃每個Connect Server支持3000個虛擬桌面連接通過雙機實現(xiàn)冗余4.6.3 View Transfer Server 屬性配置View Manager Transfer Servers 數(shù)量1View Manager 主機 / IPTran01.xxx.xxx負載均衡分別于Security Server對應(yīng)，01、02為正常連接使用，03為Kiosk模式使用 虛擬機或物理機VMware Virtual Hardware 7處理器數(shù)量處理器類型2vCPU內(nèi)存4 GB NIC1 x Gigabit共有存儲不低于20GB（LSI Logic SAS）操作系統(tǒng)64-bit Windows

30、Server 2008 R2容量規(guī)劃每個Transfer Server容納60個并發(fā)磁盤操作4.6.4 關(guān)于本地網(wǎng)絡(luò)（LAN）建議提供兩臺千兆網(wǎng)絡(luò)交換機用于Security Server的出口。同時，提供負載均衡設(shè)備，可均攤Security Server的用戶請求。4.7 最終用戶帳號項目AD帳號AD組映射網(wǎng)盤內(nèi)部員工按員工數(shù)量創(chuàng)建按瘦客戶端數(shù)量創(chuàng)建，按終端位置創(chuàng)建帳號OA組/或再細分是運維人員按運維人員按瘦客戶端數(shù)量創(chuàng)建，按終端位置創(chuàng)建帳號運維組是代維人員建立一定數(shù)量按瘦客戶端數(shù)量創(chuàng)建，按終端位置創(chuàng)建帳號代維組否代理人按代理人數(shù)量創(chuàng)建按瘦客戶端數(shù)量創(chuàng)建，按終端位置創(chuàng)建帳號代理人組否4.7.1

31、 桌面池劃分桌面池劃分考慮以下幾個方面：每個資源池使用同一個虛擬桌面模板，虛擬桌面CPU、內(nèi)存、磁盤空間、網(wǎng)絡(luò)連接和VLAN ID等都一致； 用戶日常辦公行為一致的劃分在同一桌面資源池； 軟件安裝和使用需求相近的劃分在同一桌面資源池； 每個資源池不超過240臺link-clone方式的虛擬桌面。4.7.1.1. 內(nèi)部員工桌面池屬性配置池數(shù)量11單池桌面數(shù)量/最大數(shù)量240/840池屬性自動浮動桌面池（Automation Pool Floating Pool）連接協(xié)議RDP桌面模板配置2vCPU/2GBRAM/10GB硬盤/1Gbps網(wǎng)卡模板數(shù)量XX軟件應(yīng)用XXXXXXESXi主機群集Clus

32、ter1、Cluster 2、Cluster 3、Cluster 4、Cluster5（每群集8臺ESXi主機）數(shù)據(jù)存儲VMFSVMFS-LUN-01、VMFS-LUN-02、VMFS-LUN-03、VMFS-LUN-04、VMFS-LUN-05、VMFS-LUN-06、VMFS-LUN-07、VMFS-LUN-08、VMFS-LUN-09、VMFS-LUN-10、VMFS-LUN-11、VMFS-LUN-12、VMFS-LUN-13、VMFS-LUN-14、VMFS-LUN-15、VMFS-LUN-16用戶員工組覆蓋地區(qū)本地、異地現(xiàn)人員分布本地(837)：異地3F(152),4F(264)；

33、XXXX；C盤訪問/讀寫禁止D盤配置USB設(shè)備訪問禁止AD配置共享目錄映射否瘦客戶端支持VMware View ThinPrint（虛擬打印）是4.7.1.2. 運維人員池屬性配置池數(shù)量1單池桌面數(shù)量/最大數(shù)量50/-池屬性自動浮動桌面池（Automation Pool Floating Pool）連接協(xié)議RDP/PCoIP桌面模板配置2vCPU/2GBRAM/10GB硬盤/1Gbps網(wǎng)卡模板數(shù)量1軟件應(yīng)用運維工具XXXXESXi主機群集群集5（共7臺ESXi主機）數(shù)據(jù)存儲VMFSVMFS-LUN-17、VMFS-LUN-18、VMFS-LUN-19、VMFS-LUN-20用戶運維組覆蓋地區(qū)本

34、地，異地現(xiàn)人員分布本地數(shù)據(jù)中心1（20）本地數(shù)據(jù)中心2（10）異地數(shù)據(jù)中心1（5）；C盤訪問/讀寫禁止D盤配置USB設(shè)備訪問禁止AD配置共享目錄映射是瘦客戶端支持VMware View ThinPrint（虛擬打印）是4.7.1.3. 代維人員池屬性配置池數(shù)量1單池桌面數(shù)量/最大數(shù)量20/-池屬性自動浮動桌面池（Automation Pool Floating Pool）連接協(xié)議RDP/PCoIP桌面模板配置2vCPU/2GBRAM/10GB硬盤/1Gbps網(wǎng)卡模板數(shù)量1軟件應(yīng)用代維軟件ESXi主機群集群集5（共7臺ESXi主機）數(shù)據(jù)存儲VMFSVMFS-LUN-17、VMFS-LUN-18、

35、VMFS-LUN-19、VMFS-LUN-20用戶代維組覆蓋地區(qū)本地、異地現(xiàn)人員分布本地（9）異地(4)；C盤訪問/讀寫禁止D盤不配置USB設(shè)備訪問禁止AD配置共享目錄映射是瘦客戶端支持VMware View ThinPrint（虛擬打?。┦?.7.1.4. 代理人桌面池屬性配置池數(shù)量1單池桌面數(shù)量/最大數(shù)量55/-池屬性自動浮動桌面池（Automation Pool Dedicated Pool）連接協(xié)議RDP/PCoIP桌面模板配置2vCPU/2GBRAM/10GB硬盤/1Gbps網(wǎng)卡模板數(shù)量1軟件應(yīng)用代理人應(yīng)用軟件ESXi主機群集群集5（共7臺ESXi主機）數(shù)據(jù)存儲VMFSVMFS-LU

36、N-17、VMFS-LUN-18、VMFS-LUN-19、VMFS-LUN-20、VMFS-LUN-21、VMFS-LUN-22、VMFS-LUN-23、VMFS-LUN-24用戶代理人組覆蓋地區(qū)本地現(xiàn)人員分布本地1（10）本地2(20)C盤訪問/讀寫禁止D盤10GB（重定向至另一數(shù)據(jù)存儲）USB設(shè)備訪問禁止AD配置共享目錄映射是瘦客戶端支持VMware View ThinPrint（虛擬打?。┦?.7.2 桌面池通用選項屬性配置StateEnabledWhen VM is not in useDo nothing (VM remains on)Automatic logoff afterdi

37、sconnectNeverAllow users to resettheir desktopYesDefault displayprotocolRDPAllow users to overridethe default protocol不選擇Max number ofmonitors1Resolution of eachmonitor最大Adobe Flash qualityModeratorAdobe Flash throttlingModerator4.7.3 桌面池網(wǎng)絡(luò)所有桌面均按照Linked-Clone方式創(chuàng)建，一般每240個桌面使用一個VLAN。位置虛擬桌面桌面數(shù)人員角色數(shù)量VLA

38、N ID廣百1區(qū)168員工152VLAN-A 運維7VLAN-D VLAN-F代維4VLAN-F代理人5VLAN-S2區(qū)314員工152VLAN-A 運維7VLAN-D VLAN-F代維4VLAN-F代理人5VLAN-S中信1區(qū)73員工152VLAN-A 運維7VLAN-D VLAN-F代維4VLAN-F代理人5VLAN-S2區(qū)53員工152VLAN-A 運維7VLAN-D VLAN-F代維4VLAN-F在顯示流量方面，有很多影響網(wǎng)絡(luò)帶寬的因素，如所用協(xié)議、顯示器分辨率和配置，以及工作負載中多媒體內(nèi)容所占的比重。并發(fā)啟動經(jīng)過流式處理的應(yīng)用程序也可能導(dǎo)致出現(xiàn)利用率峰值。由于這些問題產(chǎn)生的影響有很

39、大差異，因此將監(jiān)視帶寬消耗作為試運行項目的一部分。在試運行開始時，為一般知識型員工規(guī)劃 150 到 200 Kbps 的帶寬容量。使用 PCoIP 顯示協(xié)議時，如果LAN 帶寬是 100 Mb 或 1 Gb 交換網(wǎng)絡(luò)，那么在以下情況中，最終用戶可以獲得最佳性能： 兩臺顯示器 (1920x1080) 大量使用 Microsoft Office 應(yīng)用程序 大量瀏覽嵌入 Flash 的 Web 內(nèi)容 經(jīng)常進行多媒體應(yīng)用，不常使用全屏模式 經(jīng)常使用基于 USB 的外圍設(shè)備 基于網(wǎng)絡(luò)的打印可對 PCoIP 執(zhí)行的優(yōu)化控制采用 VMware 的 PCoIP 顯示協(xié)議，可以對諸多影響網(wǎng)絡(luò)帶寬使用的因素進行調(diào)

40、整。 您可以在 Windows 和 Linux 客戶端系統(tǒng)中調(diào)整圖像緩存的大小，調(diào)整范圍為 50 MB 至 300 MB。圖像緩存減少了必須重傳的顯示數(shù)據(jù)量。 您可以配置網(wǎng)絡(luò)擁擠時使用的圖像質(zhì)量級別和幀速率。質(zhì)量級別設(shè)置允許您限制顯示圖像更改區(qū)域的初始質(zhì)量。無變化的圖像區(qū)域會逐漸以無損（完美）質(zhì)量呈現(xiàn)。您可以對幀速率進行調(diào)整，調(diào)整范圍是每秒 1幀至 120 幀。該項控制對無需進行更新的靜態(tài)屏幕內(nèi)容 和僅有部分內(nèi)容需要刷新的情況 非常有效。 如果不打算循序漸進地呈現(xiàn)完美質(zhì)量（無損），而選擇 構(gòu)建感知型無損質(zhì)量，您可以關(guān)閉無損構(gòu)建功能。 您可以控制會話協(xié)商期間 PCoIP 終端播發(fā)的加密算法。默認

41、情況下，Salsa20-256round12 和 AES-128-GCM算法均可使用。 關(guān)于會話帶寬，您可以配置最大帶寬（單位為 kbps）以符合網(wǎng)絡(luò)連接的類型，如 4 Mbit/s Internet 連接。此帶寬包括所有圖像、音頻、虛擬通道、USB 以及控制 PCoIP 流量。也可以配置為會話預(yù)留的帶寬下限（單位為 kbps），這樣用戶無需等待帶寬變得可用。您可以指定 PCoIP會話的 UDP 數(shù)據(jù)包的最大傳輸單元 (Maximum Transmission Unit, MTU) 大小，范圍為 500 至 1500 字節(jié)。 可以指定 PCoIP 會話中音頻（聲音播放）可用的最大帶寬。4.7.

42、4 桌面池存儲設(shè)計所有桌面均按照Linked-Clone方式創(chuàng)建，使用單個Replica的桌面不超過240臺（超過240臺即創(chuàng)建新的桌面模板）。Replica存放在SSD上。每64個桌面放在一個Data store上面。桌面所需的數(shù)據(jù)存儲，按以下公式計算：操作系統(tǒng)數(shù)據(jù)存儲每個LUN劃分為一個VMFS；每個VMFS容量為650GB；每個虛擬桌面群集共需要4個VMFS；共劃分20個VMFS，共占用約13TB光纖存儲空間（單指虛擬桌面容量）容量計算Replica容量16GB (Windows XP SP3)*【注】置于SSD存儲上虛擬機交換文件2048 MB交換頁文件2048 MB虛擬機本地日志文件

43、500 MB最大VMDK增長4096 MB (Conservative)冗余空間20%光纖數(shù)據(jù)存儲需求(VMFS)64 VMs x (2GB + 2GB + 0.5GB + 4GB) x 1.2 / 0.8 960GB針對員工和運維人員等有本地磁盤使用要求的用戶，單獨建立用戶數(shù)據(jù)存儲，按每人10GB分配。每個數(shù)據(jù)存儲960GB。另VMware 還建議每 100 個虛擬機提供 1 Gbps 的I/O帶寬，即使平均帶寬可能低于這個數(shù)值的 1/10。這樣的保守規(guī)劃可確保在峰值負載期間能夠獲得足夠的存儲連接。4.8 桌面模板設(shè)計根據(jù)目前虛擬桌面的客戶需求，預(yù)創(chuàng)建不同配置的若干模板，桌面部署通過模板進行

44、。具體桌面初始配置如下表：4.8.1 桌面池1項目配置操作系統(tǒng)Windows XP Professional 32 Bit SP3CPU2 vCPURAM2 GB系統(tǒng)盤C: - 15GB本地數(shù)據(jù)盤無網(wǎng)絡(luò)盤無NIC/VLAN ID1 x 1Gbps / VLAN-A VLAN-D軟件安裝XXXX用戶配置文件重定向否虛擬桌面數(shù)量每個模板最多生成240個虛擬桌面虛擬桌面類型Floating Desktop Pool4.8.2 桌面池2項目配置操作系統(tǒng)Windows XP Professional 32 Bit SP3CPU2 vCPURAM2 GB系統(tǒng)盤C: - 15GB本地數(shù)據(jù)盤無網(wǎng)絡(luò)盤是NIC/

45、VLAN ID1 x 1Gbps / VLAN-E軟件安裝辦公軟件用戶配置文件重定向是虛擬桌面數(shù)量每個模板最多生成240個虛擬桌面虛擬桌面類型Floating Desktop Pool4.8.3 虛擬桌面模板配置虛擬桌面模板中磁盤驅(qū)動器一般分為C盤和D盤，原則上通過組策略限制用戶對C盤做出任何修改，C盤指根據(jù)系統(tǒng)管理員定期維護而改變。為了保證企業(yè)的信息安全和數(shù)據(jù)存儲容量，虛擬桌面系統(tǒng)部署上線之后，所有員工的使用權(quán)限將受到適當(dāng)限制，不能隨意安裝程序和插件等。4.8.4 制作虛擬機模板虛擬桌面模板全新安裝，還應(yīng)注意以下事宜：項目配置注意事項虛擬桌面操作系統(tǒng)Windows XP profession

46、al SP3 中文版虛擬機配置軟驅(qū)、光驅(qū)或USB從虛擬機配置中刪除（要求保留的除外）屏幕顯示24-Bit或16-Bit在模板中設(shè)置屏幕顯示為24-BitHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp桌面主題關(guān)閉Windows墻紙無性能選擇Settings for best performanceAdjust My ComputerPropertiesAdvanced TabPerformance SectionSettings for best performance屏幕保護取消

47、桌面搜索禁止StartControl PanelAdd Remove Windows ComponentsIndexing Service.Disable indexing of the C: drive from the properties系統(tǒng)還原刪除StartControl PanelSystemSystem Restore無關(guān)XP組件刪除游戲、Media Pleyer、Messenger、Movie Maker、墻紙和Outlook Express等自動更新關(guān)閉模板由管理員負責(zé)更新防火墻關(guān)閉臨時程序刪除C:Documents and Settings用戶名Local SettingsT

48、emp用戶配置文件刪除只保留管理員配置文件VMware Tools隱藏VMware Tools圖標輸入法保留拼音和五筆磁盤清理和磁盤碎片整理運行統(tǒng)一桌面設(shè)置好桌面后，保存桌面Profile，在AD中配置Roaming Profile,是每個最終用戶登陸后，桌面主體、顯示等統(tǒng)一到優(yōu)化后的形式。5. 虛擬桌面安全VMware View的安全對虛擬桌面至關(guān)重要。你可以使用眾多的與保護物理桌面最佳實踐相同的方式確保虛擬桌面基礎(chǔ)設(shè)施的安全，但是確保VMware View足夠安全需要進行一些額外的考慮。5.1 防病毒軟件對許多虛擬環(huán)境來說，防病毒當(dāng)然是VMware View安全的一個重要組件。但是防病毒是

49、少有的不能使用VMware ThinApp這類產(chǎn)品進行虛擬化的應(yīng)用之一，因此防病毒軟件必須使用基礎(chǔ)鏡像安裝。對于基于View Composer的資源池來說，你可以很輕松地使用最新的防病毒程序?qū)μ摂M機進行更新，然后重組整個資源池。對于單個虛擬桌面來說，你通常可以采用與物理桌面相同的方式對虛擬桌面進行防病毒管理。為減少對內(nèi)存、CPU和磁盤的使用，一些管理員在虛擬桌面中放棄了防病毒。如果你在基礎(chǔ)設(shè)施中其他的所有環(huán)節(jié)實施了恰當(dāng)?shù)腣DI安全，那么這一風(fēng)險可以接受。確保VDI安全的其他措施包括了過濾潛在的惡意網(wǎng)站，對文件服務(wù)器和郵件服務(wù)器進行防病毒掃描，恰當(dāng)?shù)倪吔绨踩鹊?。不用安裝防病毒軟件仍能夠提升VM

50、ware View安全的更好方式是使用VMware提供的vShield Endpoint，它卸載了虛擬機和虛擬設(shè)備上的防病毒進程。使用vShield Endpoint，單一的定義更新會自動保護所有的虛擬桌面，不必對整個資源池進行重組。vShield Endpoint同樣將用于提供防病毒功能的系統(tǒng)資源進行了集中化，減少了對系統(tǒng)資源的使用。5.2 防火墻VDI的安全性原則實際上并不要求管理員在每個本地桌面上運行防火墻，但是引入VMware View后可能需要對網(wǎng)絡(luò)防火墻規(guī)則進行改變。在VMware知識庫文章中對VMware View不同組件之間可能必需的一些防火墻規(guī)則進行了概括。你必須創(chuàng)建或更改的

51、最為常見的規(guī)則就是與DMZ區(qū)域中組件相關(guān)的規(guī)則,DMZ區(qū)域中的組件包括VMware View 安全服務(wù)器及傳輸服務(wù)器。5.3 遠程訪問即使用戶通過遠程訪問基礎(chǔ)設(shè)施，確保VMware View的安全仍舊是可能的。DMZ不允許終端用戶的設(shè)備直接訪問安全網(wǎng)絡(luò)，為終端用戶提供了一個進入基礎(chǔ)設(shè)施的一個連接點，通過將一個或多個安全服務(wù)器放入DMZ中就可以達到最好的桌面安全性。如果你想將訪客隔離至不能與安全網(wǎng)絡(luò)進行通信的網(wǎng)段中，那么這一安全措施同樣有效，此時虛擬桌面具有完全的網(wǎng)絡(luò)訪問權(quán)限。5.4 補丁與更新虛擬桌面操作系統(tǒng)內(nèi)部經(jīng)過簡化的補丁與更新是VDI相對于復(fù)雜的物理桌面的一個主要優(yōu)勢。通過更新父鏡像，進

52、行測試，然后重組資源池，你就可以快速、可靠地將虛擬桌面更新至最新版本。5.5 雙因素認證VMware View對智能卡以及RSA SecurID提供了內(nèi)置支持。在使用智能卡進行身份認證時，如果移除智能卡連接將自動中斷，這確保了良好的桌面安全性。這一情景在醫(yī)療保健領(lǐng)域非常流行，一旦護士離開病人的房間，便會自動終止該護士的會話。5.6 傳遞驗證默認情況下，用戶登錄到VMware View 基礎(chǔ)設(shè)施后就能夠登錄到虛擬桌面，即使在使用雙因素認證機制時也是如此。傳遞認證提供了更加平滑的終端用戶體驗。然而，如果VMware View的安全性是一個關(guān)注點，你可能希望強制用戶兩次輸入憑證或者要求用戶使用一個與

53、訪問VMware 基礎(chǔ)設(shè)施不同的單獨帳戶登錄到虛擬桌面上。為了禁用傳遞驗證，在VMware View 代理 AMD模板中將AllowSingleSignon選項設(shè)置為禁用，然后應(yīng)用到你的虛擬桌面即可。5.7 USB和打印機重定向同樣可以在VMware基礎(chǔ)設(shè)施，桌面資源池或單個用戶策略中禁用USB與打印機的重定向。由于數(shù)據(jù)不能被拷貝至本地便攜存儲設(shè)備或者打印到不安全的打印機，該設(shè)置提升了VMware View的安全性。5.8 隔離桌面池在vSphere中使用vShield Edge擴展組件，管理員能夠?qū)ψ烂娉剡M行隔離。隔離為VDI安全性提供了一個附加層，而這一措施通常在物理桌面部署中很難實現(xiàn)。對

54、于需要與組織的其他部分比如人力資源，承包商或開發(fā)人員進行隔離的虛擬桌面來說，提供一個隔離與訪問控制層非常有幫助。5.9 SSL認證默認情況下，VMware View基礎(chǔ)設(shè)施中的所有組件包括vCenter Server，使用自簽名證書確保SSL通道安全。作為VDI安全性的一個最佳實踐，你應(yīng)該使用可信的證書頒發(fā)機構(gòu)創(chuàng)建的證書，這能夠降低中間人攻擊的可能性，而且避免了vSphere Client以及 View管理控制臺用戶在連接時收到相關(guān)的告警。以上九大注意事項能夠增強VMware View的安全性，使部署環(huán)境更容易管理。VMware的View安全強化指南以及防病毒最佳實踐同樣能夠幫助你提升VDI及虛擬桌面的安全性。6. 配置基于角色的委托管理View 環(huán)境中的一項關(guān)鍵管理任務(wù)是確定哪些用戶能夠使用 View Administrator，以及這些用戶有執(zhí)行哪些任務(wù)的權(quán)限。通過基于角色的委托管理，您可以將管理員角色分配給特定 Active Directory 用戶和組，從而選擇性地分配管理權(quán)限。6.1 角色和特權(quán)View Admi