服务器虚拟化集群技术方案.pdf

资源描述

1、XX科研院所服务器虚拟集群系统技术方案I目录1 前言.12 项目建设必要性分析.13 方案设计.33.1 总体拓扑.33.2 方案概述.33.3 VMware服务器虚拟化方案.53.3.1 服务器虚拟化方案概述.53.3.2 方案架构及描述.73.3.3 方案优势.153.4 Citrix XenDEsktop 桌面虚拟化方案.163.4.1 桌面虚拟化概述.163.4.2 方案架构及描述.293.4.3 Citrix产品及功能描述.363.5 vFoglight虚拟环境监控方案.403.5.1 虚拟环境监控方案概述.403.5.2 方案介绍.443.6 接入网络解决方案.543.6.1

2、方案描述.543.6.2 物理布局设计.583.6.3 方案优势.593.6.4 业务服务器区接入层设计的创新发展.603.6.5 基于Nexus产品的创新设计总结.644 配置方案.65I1前言广泛采用的I T平台在应用范围和复杂性方面急速发展，服务器数量、网络复杂程度和存储容量也随着一波波的技术变革而激增。由此导致的诸多问题目前仍在困扰着各信息化部门。如：服务器利用率低下、多应用并存导致系统不稳定、整机备份还原困难、计划内或计划外的停机导致服务中断等。服务器虚拟化技术，经过数十年的发展，成功的解决了这些问题，为基础资源整合提供了理想的解决方案。通过部署服务器虚拟集群，将多个服务器、网

3、络存储设备、备份系统等作为一个资源池，从资源池中灵活的分配适当的资源给相应的应用，使得上述问题迎刃而解。今天，服务器虚拟化技术已经被广泛应用在各个领域，作为绿色数据中心的核心技术手段，发挥着重大的作用。2项目建设必要性分析随着信息化工作的不断推进，XX科研院所已建立若干重要应用系统等。这些系统的正常运行切实保障了 XX科研院所的科研生产顺利开展，大大提高了工作效率和科研能力。这些应用无不需要良好的服务器环境作为支撑，而且随着应用数量及性能要求的不断提高，对服务器环境资源的要求也将越来越高。同时，随着科研生产对信息化的依赖性增强，保障数据中心稳定、不间断的运行显得越来越重要。数据中

4、心现有多台服务器，每台服务器都运行多个应用服务。目前主要存在以下几个问题：1.服务器资源使用率不均匀平均使用率低于40%。2.计划外或计划内停机维护，影响应用服务的不间断运行。3.部署新应用的成本较高。这些问题越来越严重的影响着数据中心安全稳定的运行，解决这些问题迫在眉睫。1分析以上问题，其根本原因在于资源无法合理利用。对此，部署服务器虚拟集群可以很好的解决这些问题。将每台独立的服务器组合成统一的资源池，按需分配每个应用需要的资源，最大限度的保证资源得到合理利用。同时，各应用之间没有冲突，使单个应用的稳定性大大提高。当某个应用故障时，可以利用快照迅速恢复至故障前的状态。当整台服务器

5、故障时，可迅速将该服务器上运行的系统快速迁移到其他服务器上。由于资源得到了合理的利用，不仅大大降低的服务器硬件采购成本，同时也降低了数据中心的能耗，为创建绿色数据中心打下良好的基础。23方案设计3.1 总体拓扑VCenter已有PC机服务器虚拟化集群零客户端、瘦客户机原有备份设备光纤交换机vFoglight 性能监控与优化服务器原有存储设备3.2 方案概述采用10台I BM3850X5部署虚拟化环境，每台配置64G内存，两颗6核CPU,这10台服务器上都安装配置VMwar e第5代虚拟架构套件Vspher e5,利用3850 服务器强大的处理能力，生成多个虚拟服务器，而每一个虚拟服务器，

6、从功能、性能和操作方式上，等同于传统的单台物理服务器，在每个虚拟服务器上，再安装配置Windows ser ver 2008 R2操作系统，进而再安装应用软件，从而大大提高资源利用率，降低成本，增强了系统和应用的可用性，提高系统的灵活性和快速响应，完美的实现了服务器虚拟架构的整合。服务器主机接入已有的SAN存储网络中，为了实现VMwar e虚拟化环境的多路3径管理，新增一套PowerPath/VE软件，通过它，管理员可以将虚拟化服务器与存储之间的所有连接看作一个通道池，由Power Path/VE自动分配、调节这些资源，实现性能最优，并可以对某些应用设定优先级，保证关键应用。为了集中

7、管理和监控虚拟机、实现自动化以及简化资源调配，采用1台 I BM3850X5(16G内存，两颗6核CPU)服务器部署Window系统，用于安装套件中的Virtual Center软件，对物理服务器及其上的虚拟服务器进行统一的管理。同时,另部署一台服务器,作为VCenter的Hear tbeat服务器，保证VCenter的高可用性。在具体实现中，为了实现数据的集中存储、集中备份以及充分利用VMware 虚拟架构中虚拟机可动态在线从一台物理服务器迁移到另一台物理服务器上的特性等，利用现有的光纤通道的EMC存储作为共享存储，以存放虚拟机文件，同时配置冗余的光纤交换机，组成标准的SAN集中存储架

8、构，由VMwar e虚拟架构套件生产出来的虚拟机的封装文件都存放在存储阵列上。通过共享的EMC 存储架构，可以最大化的发挥虚拟架构的优势，进行在线地迁移正在运行的虚拟机(VMware VMotion),进行动态的资源管理(VMwar e DRS),和集中的基于虚拟机快照技术的Lan Fr ee的整合备份(VMware VCB)等，而且为以后的容灾提供扩展性和打下基础。方案中采用两台I BM3850X5(16G内存，两颗6核CPU),安装相关备份软件作为Vmwar e虚拟环境的备份服务器,对虚拟化环境进行统一的备份恢复管理。同时采用一台I BM3850X5(16G内存，两颗6核CPU)

9、安装vFogl ight对整个虚拟化环境进行性能监控报警与性能优化。在Vmwar e服务器虚拟化环境之上，部署Citrix XenDesktop桌面虚拟化环境,桌面虚拟化的点数为50个，在用户前端配置零客户端和瘦客户机，数据存储在服务器上，用户前端仅作为显示和输入。4/桌面虚拟化服务器另外根据需求新增2台CI SCO N5548交换机和4台N2248交换机搭建网络环境，既用于新建系统，也实现与已有系统及环境的网络衔接。新增服务器及交换机设备，实际安装时占用2个机柜，新增一套KVM液晶套件，便于所有服务器的操作管理。详细解决方案在下面的章节进行详细介绍。3.3 VMware服务器虚拟化方

10、案3.3.1 服务器虚拟化方案概述5随着企业的成长，I T部门必须快速地提升运算能力一以不同操作环境的新服务器形式而存在。因此而产生的服务器数量激增则需要大量的资金和人力去运作，管理和升级。n部门需要：提升系统维护的效率快速部署新的系统来满足商业运行的需要找到减少相关资产，人力和运作成本的方法VMWARE服务器整合为这些挑战提供了解决方案。虚拟构架提供前所未有的负载隔离，为所有系统运算和I/O设计的微型资源控制。虚拟构架完美地结合现有的管理软件并在共享存储（SAN）上改进投资回报率。通过把物理系统整合到有VMWARE虚拟构架的数据中心上去，能够：更少的硬件和维护费用空闲系统资源

11、的整合提升系统的运作效率性价比高，持续的产品环境整合I T基础服务器运行I T基础应用的服务器大多数是I ntel构架的服务器，这一类的应用通常表现为文件和打印服务器，活动目录，网页服务器，防火墙，NAT/DHCP 服务器等。虽然大多数服务器系统资源的利用率在10%15%,但是构架，安全和兼容性方面的问题导致必须指定不同的物理平台来运行它们。管理，安装补丁和添加安全策略将花去大量的时间。另外，服务器的衍生组件将导致设备，动力和散热方面的成本上升。6因为低服务器的利用率，低CPU的合并和中等I/O的要求，I T基础服务器首选作为虚拟化和相关整合的候选者。虚拟构架把可用的硬件看成普通的

12、资源池，因此，在资源规划分配阶段能确保灵活性。在某一负载达到峰值的情况下，任务能轻松地重新分配。预制一个新的负载无须部署一个新的服务器。虚拟化使得用户能够：达到甚至超过每个CPU,4个负载的整合比率更便宜的硬件和运作成本在服务器管理方面的重大改进，包含添加，移动，变更，预制和重置基础应用将变得更强壮和灾难抵御能力整合空闲服务器和存储资源，为新项目重新部署这些资源提升运作效率改进服务器的管理灵活性通过零当机维护改善服务等级标准化环境和改进安全灾难状态下，减少恢复时间更少冗余的情况下，确保高可用性更有效的适应动态商业的需求高级备份策略在技术支持和培训方面降低成本3.3

13、.2方案架构及描述7Vmware ESXi 服务器虚拟化集群以太网交换机VCenter光纤交换机原有备份设备vFoglight 性能监控与优化服务器原有存储设备备份与恢复服务器服务器虚拟化的主体即VMwar e Vspher e5。Vspher e5代表一种新的I T服务部署、配置和消费模式。VMwar e虚拟化使得企业和服务提供商可以建立起具有弹性的、可按需访问的计算资源池，并通过基于策略的自动化和管理模式来提高效率，从而为云计算的实现奠定坚实的基础。VMwar e vSpher e5和VMwar e vCenter 产品系列是广大客户和服务提供商构建私有云和公共云环境的基石，这些技术

14、已经得到了众多业界领先合作伙伴的支持。8ApplicationsFuture ApplkatknVMware vSphereAv3rMbility Security Scafblitykih?rrtd：I.oudtK?vmal Ckwjd采用10台I BM3850X5部署虚拟化环境，每台配置64G内存，两颗6核CPU,这10台服务器上都安装配置VMwar e第5代虚拟架构套件Vspher e5,利用3850 服务器强大的处理能力，生成多个虚拟服务器，而每一个虚拟服务器，从功能、性能和操作方式上，等同于传统的单台物理服务器，在每个虚拟服务器上，再安装配置Windows或Linux操作系统，进

15、而再安装应用软件，从而大大提高资源利用率，降低成本，增强了系统和应用的可用性，提高系统的灵活性和快速响应，完美的实现了服务器虚拟架构的整合。为了集中管理和监控虚拟机、实现自动化以及简化资源调配，采用1台 I BM3850X5（16G内存，两颗6核CPU）服务器部署Window系统，用于安装套 9件中的Vir tual Center软件，对物理服务器及其上的虚拟服务器进行统一的管理。同时,另部署一台服务器，作为VCenter的Hear tbeat服务器，保证VCenter的高可用性。在具体实现中，为了实现数据的集中存储、集中备份以及充分利用VMware 虚拟架构中虚拟机可动态在线从一台物理服

16、务器迁移到另一台物理服务器上的特性等，利用现有的光纤通道的EMC存储作为共享存储，以存放虚拟机文件，同时配置冗余的光纤交换机，组成标准的SAN集中存储架构，由VMwar e虚拟架构套件生产出来的虚拟机的封装文件都存放在存储阵列上。通过共享的EMC 存储架构，可以最大化的发挥虚拟架构的优势，进行在线地迁移正在运行的虚拟机(VMware VMotion),进行动态的资源管理(VMware DRS),和集中的基于虚拟机快照技术的Lan Fr ee的整合备份等，而且为以后的容灾提供扩展性和打下基础。3.3.2.1 支持集中存储用户现有FCSAN存储系统，服务器虚拟化可采用FCSAN集中存储方

17、式，这样可以将每个虚拟机的文件系统创建在共享的FC SAN集中存储阵列上，VMware VMFS虚拟机文件系统，是一种高性能的群集文件系统，允许多个ESX Ser ver安装同时访问同一虚拟机存储。支持通过VMware VirtualCenter VMware VMotion 技术、VMware DRS和VMware HA提供的基于虚拟化的分布式基础结构服务。由于VMwar e的虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件，通过将这些文件放在SAN存储阵列上的VMFS文件系统中，可以让不同服务器上的虚拟机都可以访问到该文件，从而消除了单点故障。10VMwa

18、re ESXo 口VM VM VM VM33.2.2动态资源平衡动态资源平衡是虚拟集群重要功能之一。当单台宿主机运行多个虚拟机，某台虚拟机资源占用率提高，以至单台宿主机无法提供多余的资源时，集群将自动把该虚拟机动态迁移至其他资源空闲的宿主机，以满足该虚拟机的资源请求。在迁移过程中不会对正常应用造成任何影响，并且被迁移对象的应用服务不会中断。动态资源平衡的实现将极大提高集群内部资源的利用率。该功能的另一个作用是避免计划内停机带来的服务中断。当某台宿主机由于硬件升级或维护等原因需要停机时，利用资源平衡，手动将该宿主机的全部虚拟机迁至其他宿主机，然后关闭该宿主机。维护完毕后，再将虚拟机迁

19、移回该宿主机。保证.在配置动态资源平衡时需要注意根据实际情况制定合适的迁移策略，以便于管理维护。11一)三O-PMW。VMware ESX H VMware ESX H VMware ESXi3.3.23故障迁移故障迁移是虚拟集群另一个非常重要的功能。他能最大限度的避免由于硬件故障导致的非计划内停机。当某台宿主机故障时，该宿主机上运行的虚拟机会自动被其他宿主机引导，在第一时间恢复应用。如图所示：VMware ESXiVMware ESXVMware ESXOperating ServerFailed ServerOperating Server在部署时应当注意，为了实现动态资源平衡和故障

20、迁移等高级功能，虚拟集群中应保证一定的资源冗余。1233.2.4现有物理服务器迁移将现有的生产环境迁移到虚拟化平台上的过程中，为了保证应用和数据的一致性，不造成数据的丢失，利用VMwar e专门提供的物理到虚机（P2V）的迁移工具VMwar e Conver ter,将现有应用直接迁移成虚拟机，实现从物理机到虚拟机的转换，从而避免繁琐的重新安装过程，提供工作效率和安全性。在迁移后，原有的应用依然存在物理服务器中，而在虚拟平台上，就可以新部署出一台跟物理应用一样的虚拟服务器，其中的数据不变，包括系统、应用、以及数据。3.3.2.5 VCenter 集中管理在集中管理控制台安装VC,集

21、中管理虚拟集群。可以集中的监控每台宿主机、虚拟机的状态和资源使用情况，建立虚拟机，分配资源，动态迁移等统一在 VC中管理。针对每个虚拟机设置权限，以确保只有被授权的人才能访问。13方案中同时配置了 VCenter hear tbeat,确保VCenter服务的高可用性。*OMaE wauwspunw UOH ev-dd。Fully Monitored Redundancy Framework(Heartbeat)PRIMARY SERVERNetworkNetworkWANLANMown，*fkT.HKATICrA FAH-OVtHHeartbeat DiagnosticsXHEARTBEA

22、T CHANNELSECONDARY SERVERP2P,P2V.OR V2V FAILOVER1433.2.6 PowerPath/VE 多路径管理PowerPath/VE(PowerPath Vir tual Edition)是虚拟环境中唯一的多路径管理软件。通过它，管理员可以将虚拟化服务器与存储之间的所有连接看作一个通道池，由Power Path/VE自动分配、调节这些资源，实现性能最优，并可以对某些应用设定优先级，保证关键应用。3.3.3方案优势1.大大降低TCO 通过服务器整合，控制和减少物理服务器的数量，明显提高每个物理服务器及其CPU的资源利用率，从而降低硬件成本。降低运营

23、和维护成本，包括数据中心空间、机柜、网线，耗电量，冷气空调和人力成本等。2.提高运营效率加快新服务器和应用的部署，大大降低服务器重建和应用加载时间。主动地提前规划资源增长，这样对客户和应用的需求响应快速，不需要象以前那样，需要长时间的采购流程，然后进行尝试。不需要象以前那样，硬件维护需要数天/周的变更管理准备和1-3小时维护窗口，现在可以进行快速的硬件维护和升级。3.提高服务水平帮助企业建立业务和I T资源之间的关系，使I T和业务优先级对应。将所有服务器作为大的资源统一进行管理，并按需进行资源调配。4.旧硬件和操作系统的投资保护15 不再担心旧系统的兼容性，维护和升级等一系列问题

24、。5.为将来的集中网络存储提供可能对于由于成本或者其他原因没有接入到存储网络（SAN,iSCSi 和NAS）的服务器，整合后物理服务器数量减少，可以考虑接入到存储网络，这样充分利用网络存储的优势，将这些分散的数据集中管理备份，为这些服务器和应用的以后的容灾打下基础。同时，通过虚拟机的特有功能和网络存储的有效结合，提高了这些应用的可用性，移动性和灵活性。3.4 Citrix XenDEsktop桌面虚拟化方案3.4.1 桌面虚拟化概述虚拟化技术正在成为被广泛使用的技术,帮助企业以更低成本，实现更灵活、稳定和高效的I T系统。目前虚拟化技术主要包含：服务器虚拟化，应用虚拟化和桌面虚拟化

25、技术。服务器虚拟化技术在2007年开始被广泛接受并采用，目前已经成为一种成熟的满足企业应用的主流技术。而虚拟桌面技术被逐步接受，尤其是和虚拟应用的结合，使得桌面虚拟化技术能被更广泛地使用帮助企业以更低成本、更好地实现桌面管理。虚拟桌面是一个企业级的，通过一定手段实现的可远程访问、调度和管理的桌面的操作系统,其可以是运行在服务器上的虚拟操作系统,也可以是直接安装、运行在数据中心内的物理PC（工作站，刀片PC）上的操作系统。目前桌面虚拟化技术融合了应用虚拟化技术,在虚拟桌面模式下，每个人独享的远程操作系统,并利用内含的应用虚拟化技术，实现更灵活，高效的管理和应用。将桌面操作系统虚拟化带

26、来很多好处，包括：数据更安全，通过策略配置，用户无法将机密数据保存在本地设备上，只能在数据中心进行存储，备份，保证数据的安全性和可用性；16 提高网络安全，由于只使用需要开放有限几个端口，所以可以实现网络的逻辑隔离和严格控制，在不影响应用的前提下，全面提升网络安全性;用户可以随时随地，通过网络，访问到被授权的桌面与应用；终端设备支持更广泛，可以通过PC,瘦客户端、甚至是手机来访问传统 PC上才能使用到的各种windows应用；在数据中心对所有的桌面进行统一的高效维护，无需特定的补丁与应用的分发软件，统一进行安装和升级，维护桌面的费用大大降低。应用管理更简单，管理员在服务器进行统一一次管理，

27、就可以将最新更新交付给所有用户；桌面的性能能够得到提升，因为它和应用后端的服务器都运行在数据中心；桌面可以分享最新最强大的服务器硬件，配置资源可以按照用户需求动态调整。3.4.1.1 桌面虚拟化系统架构虚拟桌面技术可以从很好地从根本上解决办公人员使用终端进行业务开发过程中的信息安全与系统安全问题，是由于虚拟桌面本身的工作原理造成的。这种技术实现了操作系统与应用软件运行在服务器或后台工作站上，但是操作（输入输出）在客户端机器上,所有的输入如鼠标键盘的操作被同步到服务器上执行,所有的输出如屏幕的刷新也被同步到客户端。完整的桌面虚拟化方案提供一种端到端的桌面管理解决方案。通过单一镜像管

28、理，可动态按需产生虚拟桌面，该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。用户每次登录时都能获得一个干净的、个性化的全新桌面一一从而确保性能不会下降。桌面虚拟化常用架构如下:17虚拟桌面方案将一般包含以下核心要素：1.Virtualization I nfrastructure（虚拟化基础架构）：虚拟化基础架构通过使用服务器虚拟化软件，将单个物理服务器分成多个共享资源的虚拟操作系统，对外提供桌面的服务。用户可以通过价格更为便宜，管理成本更低，更新周期更长的终端设备（瘦客户端，手机）远程的使用这些操作系统开展日常的业务工作，而管理工作都在后台

29、对这些虚拟操作系统进行管理，从而降低整个桌面的采购成本与管理成本。2.虚拟桌面交付控制器：虚拟桌面交付控制器负责整个虚拟桌面系统的调度，例如新虚拟桌面的注册以及将虚拟桌面的请求指向可用的系统。用户通过与控制器进行交互进行身份认证，最终获得授权使用的桌面。3.镜像管理：对于大量用户的虚拟桌面管理，良好的镜像管理可以很好地解决管理面临的各种问题。通过镜像管理，可以创建一个基本的操 18作系统镜像，并包括了企业策略规定的所有操作系统级的配置。当每个虚拟桌面启动时，操作系统会经由网络通过流技术交付给虚拟桌面。由于只要求对基本镜像进行升级，并且所有虚拟桌面将会在下一次重启时使用最新的镜像。4

30、.虚拟应用：虚拟应用技术被融合到虚拟桌面中，目标就是通过将每个用户使用应用的差异，从操作系统中分离出来，从而降低系统管理复杂性，其负责识别分配给用户的应用，并将其交付给虚拟桌面。虚拟应用是基于用户需求实现用户桌面个性化的第一部分。通过将应用与基本桌面镜像分离，所需的桌面镜像数量大大减少，这就简化了维护过程，并可以利用其他手段对用户使用应用的行为进行录像，进行行为控制。5.个性化：解决方案的个性化允许用户按照需求自定义他们的工作环境。利用用户个性化，用户设置会被保存起来，并且无论用户接入哪个桌面都可使用保存的个性化设置，实现了一致的用户体验。6.高效的远程访问协议：高效的远程访问协议

31、可以大大降低带宽的要求，实现LAN,WAN甚至是I nter net的访问能力。同时远程访问能够接近甚至达到本地使用的效果，例如实现双向语音，VOI P,高清视频的应用，并能够很好地支持各种USB设备和smart car d的辨识。以上只是高度概括了整个架构，以下部分将会更加详细地介绍，系统如何共同协作来交付虚拟化桌面以满足预定的工作环境。3.4.1.2 虚拟桌面技术要点用虚拟桌面技术来解决I T管理中的各种问题，以及虚拟桌面方案最终被广泛应用，需要解决以下几个关键问题：1）高效的远程访问协议19由于是远程访问虚拟桌面，则对网络具有很高的依赖性，所以远程协议必须具有很高的效率，才能

32、满足用户的要求，即在满足使用需求和体验的情况向，以很低的带宽实现远程访问。因为只有这样，当大量用户同时使用桌面的时候，内部网络才不会出现拥堵，同时能够很好地支持广域网，甚至互联网的访问，让开发人员可以通过各种网络接入使用虚拟桌面。2）良好的用户体验只有系统有良好的用户体验，开发人员才能够使用虚拟桌面来很好地进行开发，如果体验很差，无法满足开发人员的要求，不但不可能帮助开发工作，反而会影响开发的正常进行；即使能够满足开发人员要求，用户体验差，也可能造成开发人员的抵触，造成项目失败。好的虚拟桌面系统需要能够在以下方面满足用户需求，并做到很好的用户体验：实现智能的，高效的本地设备重定向

33、虽然开发需要通过策略将客户端设备的各种存储设备禁止访问，但是对于某些特定场景，和特定设备，需要能实现和本地一样的即插即用的效果，例如Smart Card（智能卡），USB外设（摄像头等），打印机等，多个显示器设备。这些设备是日常开发工作中往往必不可少的，所以实现这些设备的自动辨识和使用时对开发工作的正常进行至关重要的。多媒体的支持现代企业的业务工作己经越来越丰富，使用的技术手段也越来越多，多媒体的技术就是其中一种。虚拟桌面需要很好地解决多媒体，甚至是高清媒体的播放，自动探知客户端和服务器的计算能力，并基于网络选择最优的播放方式，让用户获得最佳的体验，这样才能让开 20发人员有更好的使

34、用体验，更积极地支持虚拟桌面的管理方式。3）根据类型用户使用不同的解决方案虚拟桌面技术是一整套的实现用于远程使用桌面操作系统的技术，而不仅仅局限于使用虚拟操作系统一种技术（俗称VDI）。根据不同的用户使用特性，可以使用不同的技术来满足使用需要和管理要求。共享托管桌面对于很多权限比较低的，只限于使用数据处理等固定应用的，而且没有权限更改桌面配置的用户，可以使用基于服务器的共享托管桌面；其最大程度共享操作系统资源，实现最高的投资回报率托管虚拟操作系统桌面（VDI）对于需要独立的操作系统资源控制能力的用户，使用这种方案,能够很好地满足开发人员的对操作系统的配置需求，并提供独占的操作系统资源支

35、持开发工作。但能够最大程度利用服务器计算能力。托管刀片PC对用某些需要硬件级别资源支持的应用开发，可以将后台的刀片PC或者独立PC,工作站发布出来，用户可以从远程进行使用，进行这些对硬件资源要求比较高的应用的开发虚拟应用对于绝大多开发需要的应用，往往都不需要独立占有操作系统的资源，而很多业务工作（不仅仅是开发）都可以直接使用虚拟应用的方式。用户可以通过本地安装了操作系统的PC,也可以通过没有“操作系统”的瘦客户端访问后台服务器的虚拟应用，开展业务工作。这种情况能够大大降低对后台服务器的资源压力。4）高效的镜像管理21当大量的虚拟桌面产生，镜像管理是一个非常关键的问题，好的镜像管理

36、将会大大减少I T管理人员的管理工作量和复杂度。通过高效的镜像管理手段，管理人员可以将没有自己安装应用权限的，操作系统可以标准化的用户桌面进行统一，用一个桌面镜像进行管理。所有的升级、安装工作只需要对一个镜像进行处理，之后所有的用户就可以使用最新更新的操作系统。而这些用户的差异，例如使用应用的差异，配置文件（桌面图片，收藏夹等），以及数据保存都可以通过虚拟应用、配置管理和网络文件夹的方式实现。所有的部分进行动态组装，让用户感觉和使用一个独占的PC没有任何差别。这样做到良好的用户体验，同时能够提高管理人员的管理效率。341.3用户体验描述一般用户可以通过如下方式，使用虚拟桌面：1.员工利

37、用零客户端或者瘦客户机，以Web或客户端方式登录虚拟桌面系统入口，节约当前用户计算机的投资。予 Cirix XenDeskop Logon Bicrosoft Interaet Explorer:件电）编辑查看（V）收搬工具帮助005后退-。回圉,管/的：收藏夹e二!二：L1 婚 1 ht t p：/10.0.0.1&3/Ci t r ix/Des k t o pWeb/au t h/l o gin.as px语逐置Go o gl e s zel in k V PH 苞易聆科公司资源 Win d o w s O Wind o w s Med ia 蜀免费Ho t mail 面自定义链接*

38、目转到图：用户登录界面截图222.虚拟桌面系统调度服务器提交认证请求到后台域控制器。3,认证成功后，虚拟基础架构按需从镜像管理服务器获取标准 Windows桌面、应用软件、用户个性配置文件。用户个性配置文件及新建的设计图纸等文档，都集中存放于网络存储中，简化文件的管理；标准Windows桌面映像只需要一份，同时提供给所有用户使用，这可节约大量的存储空间。4.虚拟桌面调度服务器通过远程协议将虚拟基础架构上的桌面操作系统交付到最终用户，用户就像使用本地计算机一样方便。5.用户与虚拟桌面之间的会话采用远程访问协议，只传输屏幕信息、键盘、鼠标指令等，只占用少量的网络带宽。6,通过虚拟桌面调度

39、服务器上的策略设置，可以禁止终端的磁盘，USB等设备以及剪贴板，所有用户使用的文档无法保存在本地桌面，而都会驻留在数据中心，从机制上保证数据的安全。真正做到数据不出门。7.所有数据的打印，可以通过策略进行配置，必须将打印数据输出到指定的打印机，从而控制由于打印造成的数据泄漏。8.所有数据的传输和共享，只能通过网络应用操作，对于桌面管理员可以设置用户不能安装任何软件，所有可用应用，全都是由管理员从后台统一通过虚拟应用技术发布给有权限用户，并从后台进行实时录像监控，保证用户的不合法行为得到追踪和记录，保证网络应用进行数据传输不会导致机密信息泄露。3.4.1.4适应不同用户的管理方案完

40、整的虚拟桌面的解决方案可以通过一个平台，采用不同的策略和管理方案，很好地满足不同类型的用户的使用特点：23 对于不需要桌面的用户，可以直接把所需要的应用通过虚拟桌面产品中的虚拟应用技术交付到人员自有PC桌面上，或者通过瘦客户端进行使用；利用后台策略，禁止用户将数据和代码保存到本地磁盘和设备上，实现数据在数据中心的统一存储和管理。对于需要使用桌面，但是不允许人员自己安装程序的用户（例如业务人员：数据录入，流程操作人员），可以通过镜像管理,实现单一数据镜像，统一进行管理；而所需要的应用可以直接安装在镜像中，或者通过应用交付组件将应用交付到桌面上。对于允许人员自行安装应用的状况，可以为每个用

41、户设置一个虚拟操作系统，人员可以自行安装应用，满足其应用需求，但同时通过策略控制用户将数据与代码存放本地。对于通过应用发布，管理员可以通过简单的授权配置，用户桌面就可以访问到新的应用，当前这类技术中也出现了自助式的应用选择，用户可以自助式选择自己所需要使用的应用，就可以马上在桌面上使用所需的应用。3.4.1.5与传统桌面解决方案比较分析当前企业在对人员的管理主要是基于传统的桌面进行管理，主要采用微软组策略或者第三方的管理软件或硬件对终端桌面进行控制，例如：禁止USB 口，防止用户利用USB设备拷贝数据禁止蓝牙和红外设备，防止用户通过蓝牙和红外设备传输数据对数据进行加密，防止文件

42、外泄造成信息外流但是这些手段并不能很好地解决当前问题，仍然存在以下风险：24 目前需要第三方的软件禁止USB访问，但是都在客户端实现，具有技术背景的开发人员可以绕开软件，通过USB设备将数据拷贝出来目前的的软件对蓝牙和红外设备的管理能力有限对数据进行加密，开发人员可以通过各种手段进行反向破解移动设备的普及使得用户可以不通过传统存储设备，利用蓝牙和红外将数据传输到手机等设备上用户也可以通过将硬盘PC上拆卸下来，带走通过其他PC 进行拷贝而这些手段实施也存在以下的问题和局限：当前解决方案都是在客户端实现，而开发人员可以通过各种手段将并不处于管理员可控范围内的客户端上的数据拷贝出来

43、开发人员使用桌面上各种应用的行为无法记录，对于不合理行为无法进行控制采用多种软硬件技术进行管控，成本高，效果差，像补丁一样对各个潜在风险进行修补，无法根本上解决问题为了满足业务需求，目前开发人员都必须得在企业进行开发，占用企业大量的设备，场地，整个开发成本高。使用虚拟桌面解决方案可以很好地解决上述问题：由于虚拟桌面是基于服务器计算的模式，所有的计算都是发生在服务器上，即运行在服务器上的虚拟操作系统(xp,vista,w indow s?),所有数据都在服务器上产生，所以可以从根本上控制数据的访问和使用，即通过策略限制将产生的数据存储在本地磁盘,25USB设备上。通过提供虚拟桌面

44、，企业无需为开发方的团队提供设备，或者对这些设备进行全面管理和支持，可以让开发方使用自己的设备，只需要网络进行管理，访问受控的、安全的、开发虚拟桌面。开发环境被分为可控的虚拟开发环境与物理的自有环境，在满足开发人员的特殊需求同时，能够管控开发环境，减少企业n人员的管理复杂性。可以利用服务器的资源动态进行调整，满足用户的需求，而不需要采购新的pc满足需求虚拟桌面最大限度共享资源，大大降低能源消耗和碳排放量当然虚拟桌面解决方案本身实施中也有一些需要克服的障碍：需要采用虚拟桌面的解决方案，将传统的桌面计算转换到服务器计算，所以需要投入一定数量的服务器与软件已有的投入的桌面由于计算压力的

45、调整，可能无法充分发挥其计算能力虚拟桌面方案需要网络的支持，实现不受地域的访问，当然对于企业的应用开发，网络连接是最起码的基础要求由于桌面使用方式产生了一定的变化，需要对用户的使用习惯进行调整由于在工作过程中，虚拟桌面也是需要连接到网络进行工作的，所以虚拟桌面本身并不能解决数据通过网络传输外泄的风险,但是由于只有这一条潜在外泄通道，企业I T管理人员可以通过网络工具和设备来对网络进行管理，解决这一问题26从整体对比来看，虚拟桌面解决方案从数据安全的角度，相对于传统本地桌面，从成本，管理，安全和环保层面，都有很大优势，而且己经成为了未来趋势。3.4.1.6桌面虚拟化方案如何应

46、对安全威胁虚拟桌面解决方案，将传统开发人员对桌面的操作从分布在不同位置的处于管理人员管理范围之外的PC上，转移到了数据中心统一管理的数据中心上，从而防止了分布式计算带来的各种信息安全风险，从开发的角度来看，主要提高了以下几方面的安全水平：1）数据安全：在整个开发过程中，开发人用使用服务器上的虚拟操作系统以及虚拟应用，开发过程中所涉及的企业数据是通过虚拟桌面访问到的，通过虚拟桌面的策略，可以禁止开发人员本地磁盘、USB等各种设备被重定向，虚拟桌面中的任何应用无法访问本地存储设备，这些数据就无法被保存到本地设备中，只能保存到管理员事先设定的个人有权限访问的各种服务器或者网络存储上，从而保

47、证开发涉及的各种企业数据安全。通过网络设置，虚拟桌面与文件服务器（网络存储）可以直接通讯，但是开发人员的自有设备与文件服务器之间通过防火墙等网络设备进行隔离，只有虚拟桌面所需的端口可以被允许访问，开发人员无法直接通过自有设备直接访问文件服务器获得这部分数据。2）系统安全：通过虚拟桌面将开发人员的开发桌面与日常桌面进行了分离，对企业具有重要意义的开发桌面，由企业提供给开发人员，I T管理人员可以实现完全的管 27控，包括使用策略或者只读操作系统镜像，用虚拟应用的方式为其提供所需应用，禁止最终用户软件的随意安装、注册表的修改等等行为，防止用户对系统的任意修改造成企业内部I T系统的安

48、全隐患。企业通过虚拟桌面可以构建“标准开发桌面。开发人员可以携带自己的PC作为日常桌面，拥有对其的完全控制权，可以随意安装程序和系统修改，员工的私人事务、与开发无关、或可能有关的辅助性工作，都可以在日常桌面上实现，对开发人员的个人需求进行了疏导，满足了开发人员的日常使用需求同时，也能很好支持开发工作和I T管理要求。通过网络防火墙开放远程访问协议所需的少数的几个端口，可以将两个桌面联通起来，提供了“标准化开发桌面和非标准化自有桌面的结合，开发人员通过一个设备无缝地使用2个桌面，满足个人需求的同时，符合企业的安全和管理要求，从而一举两得。3）行为监控：对于合法用户的利用合法操作授权进

49、行不合理的行为（合规，审核的对象）,传统的授权方法不能很好地解决。而利用虚拟桌面中带有的虚拟应用技术，基于相关功能模块，可以根据业务策略和安全规定，选择对特定用户使用特定应用时的所有行为进行全程录像，利用远程反问协议的基本原理和优势，一般性的业务操作录像，每天录像文件大小不会超过30M的数据量。通过这种技术可以对开发人员的全程行为监控：事前通告被监控的用户在使用应用的时候，就会被告知，所有行为将会被录像。通过事先告知此种监控手段的存在，可以大大降低开发人员采取非法行为的动机和意愿，达到防患于未然的效果。实时监控28管理员可以从后台对开发人员正在进行的开发操作和工作进行实时的监控，一

50、旦发生任何问题，管理人员可以第一时间发现问题并采取措施，防止产生任何不良的后果。事后追溯如果一旦发生任何问题，造成不良后果，管理人员可以根据使用人员、应用和时间进行检索，调取录像，反向查找是什么人进行了什么非法操作，从而进行补救，并可以将其作为相关证据，辅助采取相关措施,保证企业利益。4）代码安全：系统代码作为一种特殊的数据，数据安全也是代码安全所涉及的一层安全保障；这主要涉及到企业的知识产权，以及所开发系统的系统安全。通过数据安全的保护手段，可以保护代码以及程序文件本身。同时，由于代码本身是开发人员通过应用进行编写，包括测试和对代码的更改，这些行为与系统配置和应用操作有相同性，所

展开阅读全文