虛擬桌面解決方案建議書

1、Citrix XenDesktop虛擬桌面解決方案建議書廣東大中信息技術有限公司2010/12/21第1章概述21.1項目背景和目的2第2章項目需求32.1功能需求32.1.1集中管理32.1.2桌面虛擬化32.1.3存儲隔離32.1.4遠程接入訪問控制32.2技術需求42.2.1水平擴展42.2.2負載均衡42.3 服務器安全防護4第3章解決方案及對應項目需求的實現(xiàn)43.1總體方案構架43.2應用場景描述43.2.1遠程接入：43.2.2內(nèi)部辦公VDI桌面：43.2.3內(nèi)部辦公本地流化桌面：53.3對應功能需求的實現(xiàn)53.3.1集中管理53.3.2桌面虛擬化53.3.3存儲隔離63.3.4數(shù)

2、據(jù)保護63.3.5遠程接入訪問控制73.4技術需求的實現(xiàn)93.4.1水平擴展93.4.2負載均衡93.4.3服務器安全防護9第4章解決方案效果分析134.1降低桌面維護成本134.2提高數(shù)據(jù)安全13第5章系統(tǒng)配置建議135.1硬件需求135.2軟件需求135.3存儲需求14第1章 概述1.1 項目背景和目的隨著企業(yè)辦公項規(guī)模擴大，辦公環(huán)境的管理更加復雜，安全管理的要求也日益提升。利用現(xiàn)有硬件資源，建立一個簡單、易用、安全的統(tǒng)一接入平臺，以有效進行辦公環(huán)境的規(guī)范管理，支持可控的遠程訪問模式，同時對于辦公環(huán)境如何保護重要數(shù)據(jù)與代碼的安全提出了挑戰(zhàn)。（1）每臺PC部署和維護需要花費大量的時間和人力；

3、（2）無法為移動辦公及遠程訪問用戶提供靈活的桌面應用接入平臺；（3）由于大量的數(shù)據(jù)在廣域網(wǎng)上傳輸，因此遠程的訪問速度和網(wǎng)絡性能經(jīng)常得不到保障，數(shù)據(jù)安全面臨挑戰(zhàn)；（4）隨著軟硬件的頻繁升級與更新，客戶端設備不可避免地要被淘汰，應該如何控制系統(tǒng)追加投資；第2章 項目需求2.1 功能需求2.1.1 集中管理將辦公環(huán)境中的應用軟件和桌面進行集中管理，可以根據(jù)需要隨時調(diào)整辦公環(huán)境的應用部署，簡化辦公人員客戶端的辦公環(huán)境配置及部署要求。2.1.2 桌面虛擬化用戶可使用集中部署的虛擬桌面進行日常辦公和設計工作，工作數(shù)據(jù)均保存在后臺服務器，沒有企業(yè)領導授權，用戶無法接觸到企業(yè)核心數(shù)據(jù)。2.1.3 存儲隔離每個

4、用戶能建立各自的文件系統(tǒng)或存儲空間，相互之間不能訪問。但授權用戶可以訪問特定用戶組的存儲空間。2.1.4 遠程接入訪問控制支持分公司遠程接入的辦公模式，能有效控制用戶的剪貼板、本地硬盤、打印機、端口等操作，做到分公司人員未經(jīng)授權無法從任何渠道獲取代碼、文檔和辦公數(shù)據(jù)。對于合作公司的遠程訪問要求能有效控制，包括登錄時間段、登錄用戶的監(jiān)控。2.2 技術需求2.2.1 水平擴展服務器端支持水平擴展，能通過水平增加服務器來適應辦公需求的擴大。2.2.2 負載均衡可根據(jù)用戶訪問量和資源使用情況，動態(tài)分配到到負載量最低的服務器上?？芍С质謩迂撦d均衡操作。2.3 服務器安全防護保證服務器對外服務時，系統(tǒng)安全

5、性，確保數(shù)據(jù)安全。第3章 解決方案及對應項目需求的實現(xiàn)3.1 總體方案構架通過Citrix XenDesktop集中部署和發(fā)布用戶桌面，整個后臺服務器架構沒有變化，客戶端可以通過XenDesktop來訪問集中發(fā)布的企業(yè)桌面環(huán)境，其整體構架如下圖所示：3.2 應用場景描述3.2.1 遠程接入：分公司人員通過廣域網(wǎng)經(jīng)由Access GateWay訪問Citrix統(tǒng)一身份驗證平臺，通過身份驗證的用戶，可獲取到授權的虛擬桌面和虛擬應用程序，這些應用和桌面集中部署在Citrix XenApp和XenDesktop服務器集群中，包括：內(nèi)部業(yè)務系統(tǒng)，企業(yè)OA，ERP等，用戶數(shù)據(jù)均集中保存在后臺文件服務器上。

6、Citrix解決方案基于服務器運算架構，前端設備僅完成界面展示工作，無需強大的硬件資源，即使即將淘汰的PC機也可輕松運行WinVista或Win7等主流操作系統(tǒng)。3.2.2 內(nèi)部辦公VDI桌面：VDI桌面由后臺服務器虛擬化提供，每個員工分配一個辦公桌面，辦公人員直接訪問Citrix統(tǒng)一身份驗證平臺，獲取授權的虛擬桌面和虛擬應用程序，開展日常辦公工作，用戶數(shù)據(jù)集中保存在文件服務器。與分廠接入方式一致，內(nèi)部辦公人員使用的終端設備可以是PC機也可以是瘦客戶機。3.2.3 內(nèi)部辦公本地流化桌面：員工使用沒有硬盤的PC機，通過網(wǎng)卡PXE啟動并與Citrix Provisioning Server服務器通

7、信，獲取虛擬硬盤存放位置，創(chuàng)建無盤工作站環(huán)境，操作系統(tǒng)鏡像保存在Citrix Provisioning Server上，軟件更新及系統(tǒng)補丁只需在服務器上進行一次更新即可完成。本地流化桌面每次重啟均恢復標準狀態(tài)，確保桌面性能并且完全利用本地硬件資源，最大化利用原有硬件資源。3.3 對應功能需求的實現(xiàn)3.3.1 集中管理Citrix的集中部署模式只將企業(yè)應用部署在數(shù)據(jù)中心，由于客戶端和服務器位于同一局域網(wǎng)內(nèi)，因而應用性能和安全性得到提升，用戶可以通過任意終端和任意網(wǎng)絡進行訪問數(shù)據(jù)中心，非常方便；而企業(yè)只需對局域網(wǎng)內(nèi)的數(shù)據(jù)中心進行管理，實現(xiàn)了管理維護的簡化。應用軟件的安裝及配置變化，均可以在服務器端

8、集中進行，大大簡化了辦公環(huán)境的配置和部署。3.3.2 桌面虛擬化Citrix XenDesktop可提供一種端到端的桌面交付解決方案?？蓜討B(tài)按需產(chǎn)生虛擬桌面，用戶每次登錄時都能獲得一個干凈的、個性化的全新桌面從而確保性能不會下降。此外，XenDesktop采用的高速交付協(xié)議還可在任何網(wǎng)絡條件下提供無與倫比的響應速度。對于IT機構而言，XenDesktop可通過分別交付桌面操作系統(tǒng)、應用和用戶設置，大大簡化桌面生命周期管理并顯著降低擁有成本。Citrix XenDesktop可為任意地點的用戶按需交付桌面，同時顯著簡化生命周期管理。它可提供一種端到端的桌面交付解決方案，為最終用戶加速交付桌面，提

9、供更強大的數(shù)據(jù)保護和監(jiān)控，并降低高達40%的擁有成本。采用桌面虛擬化技術可以在數(shù)據(jù)中心集中化管理桌面，還可輕松實現(xiàn)安全防護及備份。然而，經(jīng)常出現(xiàn)的同一生命周期管理問題依然存在IT部門仍需對每個虛擬桌面鏡像及其所安裝的應用程序和用戶設置進行管理、維護和更新。另外，桌面虛擬化還會帶來新的挑戰(zhàn)尤其是會使用戶的網(wǎng)絡性能大大降低，使每位用戶的桌面鏡像網(wǎng)絡存儲成本大大增加。3.3.3 存儲隔離通過選擇NTFS文件系統(tǒng)和Windows Server的用戶Profile機制，每個用戶可以有自己的存儲空間。利用NTFS的文件權限的管理機制，用戶在服務器端的私有存儲空間，工作目錄，臨時文件可以被安全的管理和限制。

10、可限制用戶的對其他用戶數(shù)據(jù)的交叉訪問。也可給予特定管理員訪問、獲取用戶數(shù)據(jù)的權限。同時可以通過配置Windows Server 2003的文件夾重定向，將My Documents等目錄集中重定向到集中的文件服務器，從而保證用戶不管登錄到哪臺服務器，都能一致地訪問其用戶數(shù)據(jù)。3.3.4 數(shù)據(jù)保護傳統(tǒng)模式應用分布在企業(yè)的所有客戶端上，其安全要考慮各個環(huán)節(jié)：服務器、客戶機和端到端的網(wǎng)絡；其維護和安全管理范圍需要涵蓋企業(yè)的每一臺終端設備和跨廣域網(wǎng)段。因為客戶端直接訪問后臺時，之間傳輸?shù)臄?shù)據(jù)是真實的企業(yè)應用數(shù)據(jù)，該數(shù)據(jù)會被緩存在用戶本地或在傳輸中被截獲，這些都是不安全因素；而用戶訪問XenDesktop

11、服務器時，之間傳輸?shù)氖瞧聊辉隽孔兓畔⒑褪髽随I盤變化信息，用戶端無任何應用數(shù)據(jù)緩存在本地，同時中途截獲這些信息然后反推出用戶真正的辦公操作和數(shù)據(jù)比直接截獲辦公數(shù)據(jù)困難上千倍。因而可以說數(shù)據(jù)總是存放在最安全的地方，XenDesktop帶來的最大益處是采用應用虛擬化方式阻止數(shù)據(jù)任何時候離開數(shù)據(jù)中心。對于遠程用戶從公網(wǎng)訪問內(nèi)網(wǎng)，XenDesktop通過嚴格的用戶認證進行安全權限控制。由于網(wǎng)絡上傳輸?shù)闹皇强蛻舳说逆I盤、鼠標動作以及顯示界面的刷新部分，辦公數(shù)據(jù)和代碼的并不下載到客戶端本地；數(shù)據(jù)、緩存、Cookie等等全部在中央受限的環(huán)境中控制；另外ICA協(xié)議還含有多種加密技術，保證顯示界面和用戶操作數(shù)據(jù)

12、的安全傳輸；客戶端的操作感覺雖然就像在本機操作一樣，但未經(jīng)權限許可，不得擅自修改、備份、拷盤、打印等。通過應用發(fā)布的方式，內(nèi)部員工和外部合作公司的員工只能使用本崗位的應用程序，而不能打開其他的應用軟件或數(shù)據(jù)信息。采用無盤工作站的工作原理，客戶端均為無硬盤的PC機通過Citrix Provisioning Server的無盤啟動為員工提供辦公環(huán)境，所有數(shù)據(jù)均保存在文件服務器，通過設置禁用本地所有端口（例如：USB端口，打印端口等）確保企業(yè)核心數(shù)據(jù)不被泄露。3.3.5 遠程接入訪問控制Citrix 為用戶提供了統(tǒng)一的安全接入手段，一個典型的接入過程如下圖所示：首先用戶需要進行身份認證，XenDes

13、ktop支持多種身份認證手段，包括雙因素認證，指紋識別等：當用戶通過認證后，會通過加密鏈路進入其個人訪問門戶，看到其所能訪問的各個應用軟件：當用戶使用某一軟件，或訪問某一系統(tǒng)，通過Citrix的虛擬化服務器和口令管理，在幾秒內(nèi)自動完成應用調(diào)用和登陸，然后用戶就可以如在本地一樣使用所需軟件和應用。而管理員不僅可以方便地設置每個應用允許哪些用戶的訪問，并且可以詳細地記錄用戶對各應用的使用情況。通過Citrix 應用交付平臺可以嚴格控制用戶對應用的訪問，可控制的操作和資源訪問包括Copy/Paste、打印、保存到本地，端口的訪問等。3.4 技術需求的實現(xiàn)3.4.1 水平擴展Citrix 內(nèi)置實現(xiàn)了群

14、集功能，在Citrix服務器配置中集群稱之為一個Farm， 當用辦公系統(tǒng)規(guī)模擴大時，可以方便地通過在Server Farm中添加服務器來進行水平擴展。3.4.2 負載均衡在Citrix的Server Farm中， “Data Collector”負載均衡調(diào)度服務器負責收集每一臺服務器里面的一些動態(tài)信息，如CPU，內(nèi)存等使用情況，并與之進行交流；當有應用請求時，自動將請求轉到負載最輕的服務器上運行。Server Farm同時提供了高可用性功能，當單點服務器出現(xiàn)故障時不影響用戶使用，用戶會重新連接到另外一臺負載較輕的服務器上。從而避免了單點故障。3.4.3 服務器安全防護1.Windows部分由于

15、Citrix環(huán)境基于Windows身份驗證，因此，用戶權限決定了系統(tǒng)安全性，對于Citrix用戶，建議按照部門在域控制器上建立OU，僅賦予OU中用戶最基本的用戶權限，使用組策略隱藏服務器系統(tǒng)盤符，使用登錄腳本在文件服務器上為Citrix用戶創(chuàng)建可讀寫的個人文件夾，用戶個人數(shù)據(jù)僅允許保存在該目錄，此文件夾存放于文件服務器。在Citrix XenDesktop服務器上安裝防病毒軟件，確保服務器不被病毒所感染。2.Citrix部分使用Citrix控制臺為用戶配置訪問策略，是否允許用戶使用本地設備（硬盤，光驅，打印機等），不允許使用本地硬盤的用戶登錄到Citrix使用相關應用的時候，則無法將數(shù)據(jù)保存到

16、本地，確保公司核心數(shù)據(jù)的安全。設置Citrix策略禁止用戶使用本地設備將策略應用于用戶usr1用戶user1無法將數(shù)據(jù)保存到本地硬盤其他用戶可正常使用本地硬盤 3.網(wǎng)絡部分防火墻僅需開放Citrix所需的80和1494端口，如果部署了Access Gateway，則僅需開放443端口即可。Citrix ICA協(xié)議為私有協(xié)議，目前還沒有針對ICA的攻擊方法，因此，Citrix在廣域網(wǎng)的運行是比較安全可靠的。第4章 解決方案效果分析4.1 降低桌面維護成本基于服務器運算架構大幅降低前端設備的運算需求，從而延長原有PC終端的使用壽命，隨著舊設備的淘汰可更換成免維護的瘦客戶機，節(jié)省大量的桌面終端投入成

17、本。桌面和應用集中管理和維護使得IT部門的人員可以在后臺只管理和操作系統(tǒng)，應用程序，配置文件的單一實例即可向所有用戶交付個性化的桌面，同時滿足不同類型用戶的需求，無論從靈活性還是安全性都可以達到最優(yōu)的用戶體驗。4.2 提高數(shù)據(jù)安全由于網(wǎng)絡上傳輸?shù)闹皇强蛻舳说逆I盤、鼠標動作以及顯示界面的刷新部分，沒有任何數(shù)據(jù)傳遞，數(shù)據(jù)、緩存、Cookie等等全部在中央受限的環(huán)境中控制；另外桌面虛擬化還含有多種加密技術；客戶端的操作感覺雖然就像在本機操作一樣，但未經(jīng)權限許可，不得擅自修改、備份、拷盤、打印等。第5章 系統(tǒng)配置建議5.1 硬件需求項目第一期：本地流化桌面（200用戶）服務器角色型號及規(guī)格說明單位數(shù)量

18、備注Citrix PVS服務器8G內(nèi)存臺2用于部署Citrix PVS服務器文件服務器+Citrix License Server +SQL服務器8G內(nèi)存臺1用于Citrix License授權存放個人配置文件項目第一期：VDI桌面（200用戶）服務器角色型號及規(guī)格說明單位數(shù)量備注Citrix XenDesktop服務器8G內(nèi)存臺2用于部署Citrix XenDesktop 4.0企業(yè)版（可以用XenServer中的虛擬服務器）PVS服務器8G內(nèi)存臺2用于OS交付文件服務器+Citrix License Server +SQL服務器8G內(nèi)存臺1用于Citrix License授權存放個人配置文件AD(域控制器)4G內(nèi)存臺2用戶身份驗證辦公虛擬桌面2GB內(nèi)存臺200普通辦公虛擬桌面