云集解决方案-精品

1、云集解决方案(文档编号) 文档版本XX发布日期2016-06-16 ONE NET Branch 中小企业网络解决方案技术建议书目 录1 导言61.1 概述61.2 企业需求61.3 功能需求71.4 管理需求82 方案规划92.1 方案规划92.1.1 基本原理92.1.2 逻辑拓补103 架构设计123.1 架构原理123.2 系统架构设计133.2.1 网络规划133.2.2 硬件规划153.2.3 软件规划154 方案特性164.1 功能性164.1.1 兼容性164.1.2 节约带宽164.1.3 存储隔离164.1.4 用户体验174.2 管理特性174.2.1 安全访问174.2

2、.2 高可用性174.2.3 负载均衡174.2.4 集中管理184.2.5 访问控制184.2.6 灵活扩展185 应用场景195.1 移动办公195.2 内部办公191 导言1.1 概述企业办公桌面环境是让员工提高工作效率的技术手段，其上运行的各种公司办公软件、应用系统是让员工协同工作的良好工具。但由于企业IT的不断普及，几乎大多数员工都拥有使用的电脑，这也带来了相应的管理维护上的挑战。 每台使用C/S系统的设备都需要安装各个模块的客户端，部署和维护客户端需要花费大量的时间和人力。 由于大量的数据在广域网上传输，因此远程的访问速度和网络性能经常得不到保障，数据安全面临挑战。 随着软硬件的频

3、繁升级与更新，客户端设备不可避免地要被淘汰，应该如何控制系统追加投资？ 不同的B/S应用系统需要在用户的浏览器中安装或升级不同的插件，修改相关安全设置，这就产生了插件版本管理问题、插件维护问题等。1.2 企业需求l 加强办公桌面的标准化管理企业需要IT部门采取一切手段降低办公桌面环境出现问题的次数，这样既能够降低维护成本，同时也能够提高用户的使用体验。其次如何在标准化过程中确保员工在桌面环境中存储的数据不丢失以及员工长久以来形成的操作使用习惯得以保存是项目实施过程中的难点所在。最重要的是即使标准化实施成功后很多企业IT部门发现，一段时间后标准化的办公桌面环境已经严重走样与最初的设定大相径庭。造

4、成这种结果的原因之一就是个人桌面环境和办公桌面环境很难分开造成的。l 降低办公环境宕机时间，改善服务用户体验办公桌面环境在维护过程中使用者将会停止办公/降低办公效率，直到自己熟悉的办公桌面环境恢复正常。由于办公桌面环境直接和人发生互动，产生问题的原因多种多样，因此维护起来难度很大，问题定位非常困难。l 在IT环境不断提升中确保不兼容程序的继续服务IT技术不断发展，面临的各种挑战也随之增加。企业的IT环境只有不断的发展、提高、完善才能应对各种新出现的威胁。而且只有不断应用先进技术，才能提高企业综合管理水平。但是随着企业IT建设的不断投入，新的应用系统的投入使用，相对的就会有一些应用系统技术过时、

5、难以适应当前的IT技术水平，维护他们越来越困难、维护成本越来越高。l 随时随地安全访问办公环境员工在工作当中经常会遇到一些紧急状况，需要立即处理信息和数据，但办公电脑又没在手边。企业为了解决这种问题，会给那些会出现突发现象的员工配备移动电脑，结果还是无法杜绝现象的发生。企业需要一种技术手段，能够让员工随时随地的安全访问到自己的办公桌面环境。1.3 功能需求l 可交付应用到任意终端云集可以帮助企业解决传统应用交付模式中，对终端种类依赖性较高的问题，实现将应用交付到用户的任意终端，无论用户使用Windows PC，Mac计算机，亦或是iOS终端、Andorid等智能终端，均可以正常使用同一应用程序

6、，并获得基本类似的用户体验。l 可通过低带宽链路交付应用云集可以帮助企业有效地利用十分宝贵的带宽资源，实现高效的应用交付过程，保证在相对比较困难的网络条件下用户同样可以顺利地访问企业应用，保证用户可进行正常的业务操作。l 具备相互隔离的存储空间云集在使用的过程中，应可以如原生本地应用一般与本地设备进行资源交互，包括调用本地文件、读取本地各类端口等，同时支持本地输入法，最大限度地消除虚拟应用与本地应用之间的差异，提供良好的用户体验。1.4 管理需求l 可通过加密链路交付应用云集交付平台应支持通过SSL加密链路进行应用交付，以降低在交付过程中的风险，避免由于网络数据包被拦截而带来数据泄露的风险。l

7、 可实现应用的访问控制云集可以支持将应用定向交付至指定用户或用户组，同时对用户访问应用时的操作行为进行合规性约束，帮助企业整合并管理现有应用资源。l 具备负载均衡设计CloudPortal交付平台应具备负载均衡的设计，可根据用户访问量和资源使用情况，使业务高峰期间用户的访问可以有效地均摊到该个环节的所有的业务服务器节点上，避免对单台服务器造成较大的冲击，使服务器响应能力下降造成业务阻塞。l 存储隔离通过选择NTFS文件系统和Windows Server的用户Profile机制，每个用户可以有自己的存储空间。利用NTFS的文件权限的管理机制，用户在服务器端的私有存储空间，工作目录，临时文件可以被

8、安全的管理和限制。可限制用户的对其他用户数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。 同时可以通过配置Windows Server 2008的文件夹重定向，将My Documents等目录集中重定向到集中的文件服务器，从而保证用户不管登录到哪台服务器，都能一致地访问其用户数据。2 方案规划2.1 方案规划2.1.1 基本原理通过AppMirror服务器集中部署和发布应用程序软件，整个的后台应用服务器架构没有变化，客户端可以通过CloudPortal来访问集中发布的各种企业应用和办公工具。其整体构架如下图所示：2.1.2 逻辑拓补CloudPortal交付平台整体拓扑结构如上图所

9、示，整个交付平台可以视为由四个部分构成I. 核心业务服务器l 应用交付服务器群集应用交付服务器群集即AppMirror服务器群集，是整个虚拟化交付平台的核心成员，它们提供应用虚拟化发布服务，通过将待交付的应用程序集中部署在AppMirror服务器群集上，构成虚拟应用资源池；将AppMirror服务器群集视为传统应用交付模式中的客户端，和后端的企业业务服务器组直接建立连接，之后，AppMirror服务器群集将通过高效的Web页面将应用程序的窗口画面交付到用户设备上，帮助最终用户实现虚拟应用的访问，完成企业业务应用的交付。II. 后台支持服务器l 域控制器本方案中的应用虚拟化交付平台是基于Wind

10、ows活动目录进行集中管理的，无论是其中的组件服务器，还是平台的目标用户，都将注册并记录在活动目录的的全局编录服务中，由其统一进行管理。应用交付平台双身份验证的静态密码部分也需要基于AD域账户这套用户目录。l 数据库在应用虚拟化交付平台中，必须具备至少一台SQL数据库，用于存储虚拟应用发布的基本信息，包括哪些AppMirror服务器发布了哪些应用程序、哪些应用程序分配给了哪些用户等，SQL数据库是整个应用交付平台中非常重要的基础支持组件。III. 用户接入服务器l CloudPortal服务器 CloudPortal服务器是CloudFactory套件提供的Web门户，用于访问用户各自的虚拟办

11、公桌面环境和虚拟应用程序，通过CloudPortal，用户可以将后端的所有虚拟化产品进行有机的整合，同时Web门户的界面风格可以由管理员根据用户的角色来制定，最终用户还可以自定义其中一部分页面。l 应用交付安全网关应用交付安全网关设备，这是一台位于7层的网络设备，它可以作为HTTP协议的连接代理，将虚拟应用通过证书加密的SSL链路交付至最终用户，同时，安全网关设备具备完整的RADIUS协议支持，可以便捷地连接RADIUS服务器，实现用户访问的双身份验证。3 架构设计3.1 架构原理在AppMirror群集中，应用服务器由2台服务器组成，并与网络接口服务器直接连接，随后有一组服务器提供虚拟应用服

12、务。AppMirror服务器、管理控制台、数据收集器都不采用独立的服务器上，所有的组件服务器都与AppMirror应用服务器混合安装。3.2 系统架构设计3.2.1 网络规划 单纯就AppMirror产品而言，用户完整的访问虚拟应用流程如下表所示：序号配置数量1户连接到安全网关设备，建立SSL加密链路2安全网关设备与域控制器通信，验证用户静态密码登录信息的有效性3域控制器将信息验证成功的结果反馈给接入网关，静态密码验证通过4安全网关设备与AD服务器通信，验证用户动态密码登录信息的有效性5AD服务器将信息验证成功的结果反馈给接入网关，动态密码验证通过6安全网关设备将用户的验证成功的信息传递给网络

13、接口服务器，网络接口服务器通过验证7用户选择应用程序，网络接口服务器根据用户选择的资源与后台AppMirror服务器组进行确认，并将确认到服务器IP、端口等相关信息通过HTTP协议反馈至安全网关设备8安全网关设备通过加密链路将此文件提供给用户9连接通过安全网关设备传递到文件内记录的AppMirror服务器，建立连接3.2.2 硬件规划I. 组件服务器由于云集交付平台中的服务器组件较多，因此建议用户采用基于服务器虚拟化技术的物理服务器组成底层平台，承载所有的服务器组件。以典型的轻度工作负载下50个并发用户为例，在充分保证各组件服务器高可用性的前提下，所需要的所有服务器组件清单如下：服务器组件配置

14、数量备注域控制器4 vCPU / 4GB RAM2无虚拟应用交付服务器8 vCPU / 16GB RAM10产品内置负载均衡机制SQL Server数据库4 vCPU / 4GB RAM2基于Cluster / Mirror实现高可用性网络接口服务器4 vCPU / 4GB RAM2通过NetScaler Access Gateway实现负载均衡CloudCockpit服务器4 vCPU / 4GB RAM1无CloudShaper控制台4 vCPU / 4GB RAM1无操作系统和应用系统镜像部署服务器4 vCPU / 4GB RAM1无安全网关设备N/A2该组件是单独的硬件设备3.2.3

15、软件规划根据3.4章节中所列出的组件服务器清单，环境中共包含13台组件服务器，它们全部基于Windows Server平台，另针对两台虚拟应用服务器，需要额外采购终端服务授权。安全网关基于单独的硬件，但仍需为每名用户采购用于并发访问的许可。详细的软件授权清单如下：软件名称版本数量AppMirror ServerV1.2.3200Windows Server 2008 R2Standard17Windows Server 2008 R2Enterprise2Windows Server 2008 R2 Terminal Service CALN/A200Microsoft SQL Server

16、2008 R2Enterprise2CloudFactory (Portal&Shaper)8.25004 方案特性4.1 功能性4.1.1 兼容性AppMirror是CloudPortal的一个组成部分，它允许您提供任何虚拟化产品通过Web浏览器发布到云的任何地方，不需要额外的插件和第三方软件组成。AppMirror可以在多种平台下为用户提供可访问的Web界面，这些平台包括Windows、Mac OS、Linux、iOS、Andorid等，基本涵盖了用户日常可以接触到的所有操作系统平台，可轻松实现将Windows应用交付到任意终端。4.1.2 节约带宽HTTP是一个客户端和服务器端请求和应答

17、的标准（TCP）。客户端是终端用户，服务器端是网站。通过使用Web浏览器，客户端发起一个到服务器上指定端口（默认端口为80）的HTTP请求。（我们称这个客户端）叫用户代理（user agent）以一个主要基于Office软件的传统办公室文职人员的日常应用模式为例，虚拟应用交付的平均带宽可以低至10-20kbps，整个交付过程完全可以实现通过低速网络链路实现。4.1.3 存储隔离通过使用NTFS文件系统和Windows Server的用户个人配置文件机制，每个用户都可以拥有自己的存储空间。利用NTFS的文件权限的管理机制，用户在服务器端的私有存储空间，工作目录，临时文件可以被安全的管理和限制。可

18、限制用户的对其他用户数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。4.1.4 用户体验AppMirror可以帮助用户将几乎所有日常可用到的的本地资源，无缝的映射到虚拟应用中，它们包括但不限于本地磁盘、剪贴板、打印机、音频设备、麦克风、USB接口设备、COM接口设备等。并且允许用户在虚拟应用中使用安装在本地操作系统的输入法，这将最大限度地消除虚拟应用与本地应用用户感受方面的区别。4.2 管理特性4.2.1 安全访问在AppMirror交付平台向用户交付应用时，实际在用户与平台之间交互的只有经过压缩的图像数据与鼠标键盘指令，真实的业务信息、数据、缓存、Cookie等等敏感数据，全部被

19、保留在数据中心内，在AppMirror服务器与业务服务器之间进行交互。这种应用交付的架构首先保证了交付应用所需链路的安全性，即使该链路上的数据被恶意拦截，截获的也只是经过特殊加密并压缩过的图像数据，并不会造成真实业务数据的泄露；另外，用户本身也将无法接触到真实的业务数据，他们看到的仅仅只是反映在AppMirror服务器上程序窗口图像，从而也就可以从根本上杜绝用户非法拷贝数据带来的信息安全风险。4.2.2 高可用性整个平台的高可用性和冗余设计将通过物理层、链路层与应用层分别体现：首先整个方案中无论是物理服务器还是虚拟服务器，均采用N+1设计思路，通过自身的群集服务保障至少具有一节点以上的冗余能力。其次所有的链路以及网络设备均采用双设计，即至少两条链路进行链路绑定，至少两台交换设备提供交叉绑定。这样配合操作系统自身的聚合、绑定功能，确保链路上任何的连接、设备出现故障不会对整体产生影响。最后所有设计关键服务角色的服务器，在设计时将依据服务群集保障的设计思路对其进行高可用性的配置，保证在出现故障时有其他服务器能提供服务。4.2.3 负载均衡整个虚拟应用交付平台中最主要的角色就是AppMirror服务器，它也是最主要的访问压力承载者，因此整个平台的负载均衡设计可理解为泛指AppMirror服务器之间的负载均衡设计。在方案中，多台