Citrix企业虚拟化解决方案.docx

citrix虚拟化解决方案目录一、前言4二、目前企业面对挑战：41.如何简化传统部署、维护方式？42.如何保证企业数据安全，避免数据泄露？43.双网隔离仍需采用物理隔离？54.分支机构不断扩张，如何将应用、桌面交付给远程用户，并且保证良好的用户体验？55.如何保证移动用户高效的访问企业数据资源？5三、实现目标6四、citrix解决方案介绍71citrix虚拟化交付中心简介72以安全为出发点设计73应用虚拟化93.1应用访问93.2用户管理103.3应用集成114桌面虚拟化124.1flexcast桌面虚拟化交付技术124.1.1集中管理共享桌面134.1.2基于虚拟机的集中vdi桌面134.1.3集中管理刀片pc桌面154.1.4基于流技术的无盘桌面154.1.5基于流技术的本地虚拟应用164.1.6客户端虚拟化164.2桌面虚拟化优势174.2.1增强的安全性174.2.2卓越的用户体验174.2.3简单的桌面置备和管理184.2.4可靠的桌面访问管理184.2.5桌面优化和支持194.2.6广泛的桌面交付生态系统195服务器虚拟化196负载均衡及网络安全216.1业界领先的15ge 性能216.2功能并发性216.3应用加速226.4支持动态数据中心226.5降低数据中心成本226.6安全接入网关23五、citrix 公司简介23一、 前言云计算是热门话题，但给广大用户的感觉却是让人云里雾里的、虚无缥缈。什么是云？目前还没有一个标准的定义，其核心意义是将应用转化为服务的形式交付给用户：用户可以通过任何设备、任何时间、任何地点只需访问一个web界面，即可使用到其需要的应用，而无需在本地安装相应软件。目前云主要分为两种：“公有云（public cloud）”、“私有云（private cloud）”。如何让企业的“私有云”落地？citrix虚拟化解决方案可以完美的实现这一愿景。二、 目前企业面对挑战：1. 如何简化传统部署、维护方式？为了保证业务的高效运行，“信息化”对企业显得越来越重要，随之而来的是需要部署大量的应用服务器和客户端，给it部门带来了巨大压力，一个项目往往需要部署3-4周，或者更长时间。而用户（客户端）的不断增加，又带来了巨大的维护工作量。如何简化传统部署和维护方式，成为企业面临的一大难题。2. 如何保证企业数据安全，避免数据泄露？随着“信息化”的发展，数据安全对企业显得犹为重要。传统方式中，大部分数据都存在员工的个人pc中，如何有效的备份这些重要的数据；另外，据调查90%以上的泄密，都源于企业内部的泄密，如何避免员工泄密，这些给企业带来了挑战。3. 双网隔离仍需采用物理隔离？很多企业为了保证数据安全，采用物理隔离方式，即一个员工配两台pc，一台办公用：设置很多的安全策略；一台上网用，供用户在互联网上查询相关资料。这种方法可以有效的保证数据安全，但投资成本过大，能否降低成本而有效的保证数据安全？4. 分支机构不断扩张，如何将应用、桌面交付给远程用户，并且保证良好的用户体验？随着企业的不断扩容，分支机构的不断增加，用户和应用的距离越来越远，如何将应用（特别是c/s架构的应用）交付给远程用户，而且保证良好的用户体验。传统方式只能不断增加带宽，这对企业来说增加了不少成本。5. 如何保证移动用户高效的访问企业数据资源？目前，企业越来越多的用户由于出差等原因需要移动办公，访问企业内部的数据。大多情况下只能将c/s架构的应用转换为b/s架构，无疑又增加了很多成本，同时难以保证数据的安全。三、 实现目标1. 集中管理可将应用程序客户端进行集中部署和管理，可以将应用按需交付给用户，以简化应用的环境配置及部署要求。2. 数据保护将用户数据统一存放在数据机房，用户只能看到数据的图像 ，而无法获得真实数据，以保证数据安全性。3. 网络隔离采用逻辑隔离方式，即办公应用采用独立的网段，数据只在服务器端传递，维护终端上无法获得任何业务数据。终端可连接真internet，以查询资料和收发邮件等。对两个网段之间交互的做到灵活管控，4. 远程交付实现远程分支机构通过wan或lan的方式访问企业应用，并保证其良好的用户体验。5. 移动办公用户可以使用任何设备（如thinclient、智能手机、pc、laptop等），在任何时间、任何地点访问企业应用，并保证其具有良好的用户体验。四、 citrix解决方案介绍1 citrix虚拟化交付中心简介思杰虚拟化交付中心利用普遍存在的网络连接，将企业各种类型的应用甚至桌面环境融入了安全的、简便的信息远程接入。整体而言，思杰完整的交付中心能提供这些特性，它们满足了信息供应链上需求端的用户接入需求，以及信息供应端的it管理员管控需求。示意图如下：图表 1 思杰虚拟化交付中心示意图2 以安全为出发点设计思杰交付中心是以安全为出发点设计的，是提供安全接入的基础，而非事后的弥补。应用都集中在思杰服务器上，而it员工则完全掌控接入控制权。基于策略的控制让it部门能轻松地限制什么人能接入哪些信息以及什么时候接入。信息是虚拟化的并且是以加密的方式进行传输的，使用户能安全利用非信任网络。最终，思杰能高效管理经由多种接入网关传输的验证过程，从而有效防护任何资源的前门。总而言之，这种安全手段为那些希望扩展接入的机构提供了恰当的保护等级，而没有泄密安全。采用思杰接入基础架构的产品和服务，管理员可以设置端到端的接入策略，指定每种特定接入情境下可接入哪些内容。接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。通过创建接入策略，管理员能更轻松地控制对敏感数据的接入。这些策略还需考虑三种不同的接入因素：谁正在接入应用；他们使用的是哪种类型的客户端设备，如台式机、笔记本电脑、pda或自助查询终端；以及他们所处的位置，比如在他们通常的工作地点，在其它办公室，或在路途中。这都意味着一种更复杂的接入控制判定，包括选择性信任，要求有比简单的yes/no更多的控制内容，因为这些因素控制着用户如何接入应用，而不仅仅是用户是否接入应用。用户可能被全部授权、部分授权或不被授权接入应用。举例来说，如果用户在路途中，可能获准以只读权限接入文档，而不能编辑。思杰还与合作伙伴携手提供具有强大测试法的接入资源验证，如双因子验证，采用了令牌、智能卡和测定技术。思杰致力于确保客户拥有来自领先安全认证供应商的最广泛的有效认证选择机制。这表示客户可与他们的首选安全认证供应商合作，充分相信思杰接入基础架构能够提供足够的能力和必要的合作伙伴关系创建一个无缝的、安全的解决方案。3 应用虚拟化3.1 应用访问citrix xenapp server提供的应用虚拟化功能，使所有应用执行都发生在数据中心，本地接入设备仅作为演示平台用。这为端点环境、应用执行和信息控制的集中化企业控制提供了独特的机会。该技术利用ica专利协议，ica协议连接了运行在citrix服务器上的应用进程和远端客户端设备，通过ica的32个虚拟通道（包括鼠标、键盘、图像、声音、端口、打印等等），运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上，因此虽然应用客户端软件并没有运行在客户端设备上，但是用户使用起来和在客户端安装运行客户端软件相比，没有感觉任何操作上的改变。citrix虚拟化应用发布原理如下图所示：图表 2 思杰最佳应用虚拟化示意图xenapp实现了对应用、文件、打印机和数据的集中化部署和管理，允许企业在数据中心管理用户环境的关键特征。集中化使企业能更轻松、更可靠地实现综合控制，对需求变化的适应性更快速、更灵活和更经济实惠。由于ica协议是一种高效率的数据交换协议，同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息，因此每一个连接只占用十几k的网络带宽。这种模式使得运维的分布式部署变成了大集中部署模式，因而带来了应用访问、性能及安全等各个方面的提升。3.2 用户管理citrix的应用交付平台和windows的域控制结合实现对用户权限的管理，访问应用交付平台的用户都在域控制器上增加、修改和删除，用户的操作系统权限是通过域控制器来实现，用户能够访问哪些维护管理工具通过xenapp来授权。在部署运维集中管理平台时，要考虑各级用户对后台系统的访问权限，因此需要建立用户信任域关系，基于统一的域机构和信任关系，系统需要细化如下定义： 域结构的细化 dc的定义和同步关系 所有服务器的统一命名 dns服务器的同步和域名解析 用户名称和用户组的定义 依据实际需要建设组织单元 对于已经建立域结构的组织，需要考虑其已有的域结构与新建域或子域的兼容和平滑迁移。3.3 应用集成应用交付平台对于用户访问进行了规范，即用户通过浏览器访问门户后，才可以看到并打开授权其访问的后台系统。citrix在应用交付平台中提供了一个简化门户wi（web interface），用户基于wi进行简单定制就可以使用。同时citrix平台提供了完整的sdk开发包，可以将集成接口定义为标准的web服务，以规范各种门户产品的调用。4 桌面虚拟化citrix xendesktop可提供一种端到端的桌面交付解决方案。可动态按需产生虚拟桌面，用户每次登录时都能获得一个干净的、个性化的全新桌面从而确保性能不会下降。此外，xendesktop采用的高速交付协议还可在任何网络条件下提供无与伦比的响应速度。对于it机构而言，xendesktop可通过分别交付桌面操作系统、应用和用户设置，大大简化桌面生命周期管理并显著降低拥有成本。citrix xendesktop可为任意地点的用户按需交付桌面，同时显著简化生命周期管理。它可提供一种端到端的桌面交付解决方案，为最终用户加速交付桌面，提供更强大的数据保护和监控，并降低高达40%的拥有成本。采用桌面虚拟化技术可以在数据中心集中化管理桌面，还可轻松实现安全防护及备份。然而，经常出现的同一生命周期管理问题依然存在it部门仍需对每个虚拟桌面镜像及其所安装的应用程序和用户设置进行管理、维护和更新。另外，桌面虚拟化还会带来新的挑战尤其是会使用户的网络性能大大降低，使每位用户的桌面镜像网络存储成本大大增加。4.1 flexcast桌面虚拟化交付技术思杰是桌面虚拟化解决方案领域中的领导者。不同岗位上的员工需要不同类型的桌面。有些员工要求简洁实用和标准化的桌面，有的员工则看重卓越性能和个性化。思杰的xendesktop桌面虚拟化结合了思杰特有的flexcast交付技术，可通过单一解决方案满足各种要求。利用flexcast，it部门能够交付各种虚拟桌面 每种桌面都经过专门定制，可满足每位用户的性能、安全性和灵活性要求。思杰的虚拟桌面的flexcast技术，包含了以下六种技术，用户可以根据其自身桌面应用的需求，选择最合适的技术4.1.1 集中管理共享桌面集中管理共享桌面的实质是发布共享的windows服务器的桌面，可提供封闭、经过简化的标准环境，提供一组核心应用，适合不需要 （或者不允许 ）个性化定制的任务型员工。这种模式最多可在一台服务器上支持500位用户，与任何其他 虚拟桌面技术相比都可以大大节约成本。后台基于windows server 2003或2008服务器，使用citrix xenapp发布服务器的桌面给前端用户同时访问，配置严格的组策略保护共享的服务器工作环境。主要用在应用相对比较简单、用户个性化需求不高的场景。不少中小外企就是将这种手段配合瘦客户机使用，时间长的已经部署接近十年。4.1.2 基于虚拟机的集中vdi桌面提供个性化windows桌面体验，通常适用于办公室工作人员 ，能够通过任何网络安全地交付给任何设备。这种方案结合了集中管理和全面用户个性化定制的优点，每台服务器一般能支持60到70个桌面。基于虚拟机的集中管理桌面实质是传统意义上狭义的桌面虚拟化vdi，把windows xp/vista/7的桌面运行在后台的服务器上，例如一台物理服务器通过服务器虚拟化技术可以同时运行60个windows xp，再通过ica协议把xp的桌面远程传输到60个用户的终端设备上，用户在面前的设备上看到的其实是个虚拟的影子，真正的桌面运行在数据中心。适用于应用相对复杂，用户个性化要求高的场景，在6种flexcast场景中部署最为广泛。这种桌面虚拟化场景又可以细分为保存状态和无状态两种。保存状态是指用户和后台虚拟机一对一绑定，用户对虚拟桌面的修改会保存在虚拟机中；无状态是指从一个磁盘镜像中启动多个用户的虚拟机，这些虚拟机保持只读状态，用户对虚拟桌面的任何修改会在注销后消失。前者用户拥有更大的自主权限，但管理复杂、存储资源占用很大；后者用户不能对操作系统进行修改，权限受控，但一对多的理念使管理简单，同时不会占用大量的存储资源。无状态的一对多vdi方案示意图如下所示，这种架构是citrix桌面虚拟化推荐的最佳方案。图表 3 思杰最佳桌面虚拟化方案示意图4.1.3 集中管理刀片pc桌面这种方式能够提供集中化的所有安全优势，每台后端设备只运行一个桌面 ，确保每位用户都有专用计算能力。windows桌面操作系统运行在机房里的刀片pc上，界面通过citrix hdx 3d协议传输到前端设备。目前的服务器虚拟化技术还无法实现对高性能显卡的支持，所以后台只能采用一对一的模式，硬件投入巨大，但可以确保桌面、应用、数据和文档的集中管理，安全性得到保障。主要应用场景是使技术人员和超级用户能够运行cad/cam和gis等专业三维图形应用。4.1.4 基于流技术的无盘桌面 基于流技术的无盘桌面利用富客户端的本地计算能力，同时集中管理桌面的统一镜像。这种方法很简便而且成本低廉，能够利用现有pc资源并最大限度降低数据中心开销，帮助客户实施桌面虚拟化。它还适用于使用无盘pc的政府部门和大学实验室，确保最高的数据安全性。citrix provisioning server（无盘方式） 采用流技术通过网络将单一标准桌面镜像，包括操作系统和软件按需交付给物理/虚拟桌面。一方面可以配合第二个场景实现vdi单一镜像管理；另一方面适用于三维图形要求更高的环境，除了硬盘之外，内存、cpu、gpu都调用本地的计算资源，所以性能基本和传统桌面没有区别。国内不少企业的设计部门都在使用。图表 4 citrix provisioning server无盘工作站工作原理示意图4.1.5 基于流技术的本地虚拟应用桌面保持传统方式，应用程序使用streaming流技术处理，从传统的“安装后运行”改变为“下载后运行”。虚拟应用在本地设备上运行，但集中进行管理。因为虚拟应用能够脱机工作，因此这种模式也是移动用户的理想选择。4.1.6 客户端虚拟化citrix xenclient技术能够实现客户端虚拟化，这种技术支持离线使用，适合企业的移动用户。xenclient是citrix和intel一起研发的，本质就是把服务器虚拟化技术中广泛采用的parahypervisor移植到客户端，目前citrix已经可以提供测试版本。4.2 桌面虚拟化优势4.2.1 增强的安全性l 桌面、应用和数据集中控制在数据中心保证了数据的安全性。l 虚拟桌面的操作系统是置于数据中心，相对于传统的pc，不易遭受恶意攻击。l 安全补丁可以在数据中心仅需对标准windows映像进行安装。l 当桌面硬件被其他“瘦设备”代替时，它可以通过禁止使用如usb等可移动存储设备，降低使用者偷取信息和导入计算机病毒的可能。4.2.2 卓越的用户体验l 按需桌面：用户每次登录时都会动态产生一个虚拟桌面，从而确保性能不会降低l speedscreen：任何网络条件下都能提供最快速的桌面性能l 快速开机：数秒内便能访问虚拟桌面l 通用打印机驱动：为用户提供快速一致的打印体验，对于it部门而言可简化打印机管理和支持4.2.3 简单的桌面置备和管理l 桌面镜像管理：使it可以通过一个单一镜像集中化管理多个虚拟桌面l 按需镜像置备：创建或取消置备虚拟桌面，不仅优化资源利用，而且用户每次登录时都能获得一个干净的操作系统l 桌面存储优化：使数百个虚拟桌面可以从一个单一桌面镜像启动，从而减少“桌面镜像蔓延”，可节省高达90%的存储费用l 虚拟机基础架构：提供一种基于准虚拟化的64位系统管理程序，实现虚拟桌面集中存管的可扩展性和经济实惠性4.2.4 可靠的桌面访问管理l 桌面分配：为用户群创建虚拟桌面池，或为特定用户提供个性化桌面l 会话管理：虚拟桌面连接和会话状态l 会话可靠性：确保用户即使通过高延时或低带宽的网络连接也可继续工作l 高可用性/故障恢复：在避免产生单点故障的情况下让用户能够访问其虚拟桌面l 安全远程访问：使远程工作人员和加班人员能够采用其它设备从公司防火墙之外的地点访问其虚拟桌面4.2.5 桌面优化和支持l 桌面性能监测：通过对实时和历史监测数据进行跟踪，主动确保用户始终获得最佳的性能l wan优化：采用服务质量（qos）机制来提升广域网（wan）性能l 桌面支持：使技术支持人员能够查看用户屏幕、开展对话、传输文件，从而快速解决问题4.2.6 广泛的桌面交付生态系统l 桌面设备：新型终端设备可提供最佳的用户体验和立即可用的互操作性l 支持广泛的系统管理程序：提供与思杰、微软和vmware等任何vm基础架构的互操作性和集成能力l 支持刀片pc：采用基于刀片pc的虚拟桌面，为用户提供高性能的专用计算资源l 支持异构客户端：使用户在终端设备选择上具有更大的灵活性，支持windows、linux、mac和智能手机等操作系统l citrix ready产品：确保与桌面设备、服务器、存储和管理软件的互操作性5 服务器虚拟化citrix xenserver是基于开源xen系统管理程序创建的，作为一种精益化技术，xen系统管理程序降低了总开销，并提供了接近于本地的性能。xenserver充分利用intel vt平台和amd虚拟化（amd-v）平台进行硬件辅助虚拟化，提供了更快速、更高效的虚拟化计算能力。与其它基于封闭式专用系统构建的虚拟化产品不同，xenserver的开放api让客户可以通过现有的服务器和存储硬件来访问和控制先进的功能。xenserver为关键工作负载提供了所需的先进功能，同时提供了大规模部署必需的简易操作能力。利用独特的应用储备技术，xenserver可通过虚拟或物理服务器快速交付工作负载，成为企业每台服务器的理想虚拟化平台。图表 5 思杰服务器虚拟化工作原理示意图6 负载均衡及网络安全citrix netscaler 设备作为web 应用交付解决方案，可显著提高数据中心效率，降低应用交付成本，同时确保服务器的高可用性，加速应用性能，保护资源不会受到来自应用层的攻击。mpx 系列设备是基于最先进的netscaler 平台架构创建的，具有成熟的多处理系统架构，可提供多达8 个cpu 内核、32gb 内存、先进的高速串行互连，以及高度优化的数据包处理引擎，因此mpx 系列设备可提供业界领先的卓越性能和高扩展性。6.1 业界领先的15ge 性能netscaler mpx 设备可提供下一代web 应用所需的卓越性能和高扩展性。mpx 架构所具备的容量可管理4 层和7 层超过15gbps 的流量。另外，除了支持高吞吐量，快速的应用性能也支持非常高的连接率，以及具备处理大量压缩和加密流量的能力。无论从哪个角度衡量其性能，netscaler mpx 设备都可满足世界上规模最大的、要求最严苛的应用。6.2 功能并发性netscaler mpx 架构充分利用四核和八核系统设计，通过多种netscaler 功能来支持复杂的策略，包括本地和全局4 层负载均衡、7 层内容交换、http 压缩、ssl 加密/解密和应用防火墙保护等功能。不同于其它同类竞争产品，netscaler mpx 解决方案在并发多种功能时，仍然保持高性能，而对整体性能几乎不会造成任何影响。6.3 应用加速mpx 系列可支持多种完全标准化的技术，包括压缩、tcp 优化、内存高速缓冲，即使面对高延时和高负载的网络环境，仍可提高面向全球用户的内容交付速度。例如响应时间和网页下载速度等性能数据均可被提高五倍以上。6.4 支持动态数据中心netscaler 解决方案可将客户端请求智能定向到适当的应用资源，以支持快速变化的应用基础架构。而且，通过有效的ssl 和tcp 连接卸载功能，mpx 设备可帮助应用服务器组，无论是虚拟的还是物理的，从而支持更多的用户，交付更多的应用。mpx 解决方案是针对虚拟化应用环境的理想选择。netscaler 设备将基础物理网络和服务器基础架构与逻辑应用业务分离，这样，即使面对最大规模的应用，也只需交付单一的逻辑接入点，同时使基础架构能更好地符合应用的需求。因此，企业可以动态调整后端资源，既无需对应用进行任何调整，也无需中断应用的正常运行。6.5 降低数据中心成本netscaler 平台可大幅降低数据中心的整体开销。负载均衡和细粒度内容交换功能可将客户端请求以最优化的方式重定向到后端服务器，从而最小化对服务器群的需求。通过将多个客户端会话复用到少量的服务器会话，再通过ssl 卸载和基于内存的缓存功能，即可大大减少cpu 需求和服务器数量。mpx 系列的持续吞吐量级别和多达四个10ge 光纤端口可使企业具有保持10ge 链路的能力，并使网络设备投入减少。6.6 安全接入网关citrix access gateway 或netscaler作为一种安全的桌面和应用访问解决方案，为it 人员提供了细粒度的应用层策略和行为控制能力，可保障应用和数据访问的安全，同时让用户可在任何地方开展工作。该解决方案为it 提供的单点控制能力和工具可帮助确保企业内外的合规性及最高的信息安全性。同时，access gateway 让用户可单点访问所需的企业应用和数据，单点访问功能还针对用户角色、设备和网络进行了优化。这一独特的功能组合帮助企业最大程度地提高了移动办公人员的工作效率。access gateway 与citrix xenapp 或citrix xendesktop同时部署时，可提供强大的接入管理功能，无需任何额外的网络隧道软件，即可实现xenapp 和xendesktop 客户端的安全连接。五、 citrix 公司简介citrix systems, inc. 为实现全球接入架构解决方案提供优秀的软件与服务，并在该领域内居全球领导地位，其解决方案能够让客户在任何时间、任何地点、在任何设备上，通过任何形式的网络连接，高效获取各种应