VDI云桌面技术研究方案报告

./云桌面技术方案2015年2月目录1.业务需求32.需求分析42.1建设原则4实现功能5实现目标62.2技术要求的点对点应答73.总体方案设计93.1总体设计9设计原则9设计内容11总体架构设计113.2技术架构设计12桌面虚拟化技术123.3虚拟化桌面规划设计13系统架构示意图13虚拟桌面流程示意图14虚拟桌面架构设计15连接服务器组件设计26View桌面池设计28虚拟桌面快速交付方案设计413.4功能设计42网络链路设计42客户端连接设计43互联网访问设计43身份认证设计43移动办公和数据安全设计44高可用性和安全防护设计44软件分发设计51vm防毒设计51P2V迁移设计51集中监控管理52业务需求建立云桌面平台,实现电脑桌面的虚拟化使用。要求提供拓扑方案,提供内网及互联网使用时的使用方式。虚拟桌面数为450个,满足2年的桌面使用需求。并发按80%计共360个。客户端采用NC150台、利旧电脑300台。客户端配置需求为vCPU=4U,Memory=4GB,系统盘=40GB,数据盘=100GB。网络中心在临潼工作区,高新产业园与临潼工作区采用100M数字电路连接,集团本部采用20M数字电路与临潼工作区连接。高新产业园虚拟桌面250个,XX路集团本部工作区虚拟桌面50个,临潼工作区虚拟桌面150个。虚拟桌面与后台连接占用带宽小,适应陕鼓的专线连接的多区域办公环境。需提出部署云桌面后高新产业园连接临潼工作区、XX路集团本部连接临潼工作区的新增专线带宽需求。多终端类型支持,客户端支持NC、PC、主流操作系统的智能手机和平板电脑。客户端提供Windows7、WINDOWSXP操作系统。支持通过公司内网使用、通过互联网使用。采用互联网时支持公司现有的SSLVPN设备访问虚拟桌面。虚拟桌面站点可需接入互联网,允许进行互联网的浏览、文件上下载等常见操作。系统支持通过扩容存储与计算资源实现用户平滑扩容。移动办公需求,桌面云用户可从企业园区网的各个站点、位置访问自己的虚拟桌面环境。用户可以不中断应用运行,实现无缝切换办公地点。虚拟桌面可预装业务所需的应用程序及应用客户端软件。能够实现软件自动化批量安装。可以让用户无法将文件和信息保存在本地设备或移动磁盘上,从而有效实现数据安全。支持MSOFFICE2007/2010、RTX、Project、VISIO、IE、AcrobatReader、视频播放软件、QQ、常用输入法、泛微EM等办公软件。支持运行公司OA、SGRP、MOA、KM、MOA、CRM、视频会议、论坛、电子招标、集团财务、流程管理等B/S和C/S等系统。客户端使用时流畅,无卡顿,与PC体验相同。每日上班大量并发登录时,无登录风暴产生,登录流畅,登录时间不超过30秒。支持USB打印机,支持设置网络打印机,支持USB键盘鼠标,支持本地输入法。提供丰富的用户身份认证,包括用户名/密码、USBKEY、动态口令、动态短信、指纹,指纹+密码,确保接入用户的合法性。支持其组合方式。能够记录虚拟桌面运行日志,为桌面运行分析、系统优化提供参考数据。支持虚桌使用情况统计分析,支持用户使用情况统计分析。客户端加电后可自动进入虚拟桌面登录界面,对于PC用户可手动登录虚拟桌面或直接进入。支持AD与和无AD域的部署、认证方式。在服务器端统一部署杀毒软件,不需每个客户端部署杀毒软件。虚拟机可配置固定IP,支持IP、MAC及网络端口三者绑定。能够升级、打补丁及回退自动化操作。快速将用户数据从原来的物理机迁移到虚拟机。可实现虚拟桌面的数据备份。支持集中管理,如对操作系统镜像统一管理、软件补丁统一分发、TC终端统一管理等。管理员可快速业务发放、桌面管理、模板管理、权限管理、资源管理、监控管理、告警管理、拓扑管理、日志管理、任务管理、统计管理。平台具有完善的安全防护能力。系统支持高可用性设计。需求分析建设原则采用虚拟桌面系统,通过PC机终端或瘦客户机连接在服务器后台运行的虚拟桌面,实现Windows桌面的快捷、灵活交付和统一管理。系统应实现桌面的集中更新、统一发布；将桌面的升级、变更、维护等工作交由后台统一管理和运行；在后台而不是在用户终端上进行集中发布、配置和更新；终端用户无需任何变动即可获得最新应用和服务,除了满足桌面快速发放、虚拟桌面安全等诉求外,还减少了终端所需的运维支持力度。办公桌面以虚拟桌面方式提供交付,在网络中传输为加密协议,具有高速率、低带宽和压缩加密的特点,可以保证数据的安全性；用户以软客户端的方式登录虚拟桌面,购买支持桌面交付协议的云终端后也支持以瘦终端方式登录；系统支持研发办公桌面的快速发放和回收,支持虚拟桌面分权分域管理,支持多个管理员,且能对不同管理员配置不同权限。系统包括桌面虚拟化软件、计算、存储、网络设备应具备高可靠机制〔如：虚拟机HA高可用,虚拟机热迁移,存储双控制器,磁盘RAID,存储热迁移,分布式交换,单板支持热插拔,支持多机框管理模块,电源热插拔和冗余,风扇热插拔和冗余等,以保障整体方案无单点故障,不影响日常办公。系统具备高可用性和负载均衡功能,能承受突发性较大规模用户的并发访问与会话连接。系统具备数据和虚拟平台备份功能,能对用户关键数据执行周期的自动备份和历史数据的恢复。系统具备良好的易用性,具有较好的人机操作界面及详细的帮助和提示信息,可以通过操作界面完成系统参数的维护与管理。系统满足可管理性要求,具有良好的管理手段,方便对计算资源、存储资源、网络资源、虚拟机、操作系统、数据库、管理平台及应用程序等进行有效地监控、管理与维护。系统具备良好的平滑扩展能力,计算资源、存储资源和网络资源及系统软件应具有良好的平滑扩容和减容能力,能在保证现网平台正常运营条件下对系统进行调整,支持未来软件中心业务的扩展性要求。系统具备良好的开放性,提供多种瘦终端的接入能力,满足桌面云平台用户的应急接入。实现功能随着企业办公项规模扩大,办公环境的管理更加复杂,安全管理的要求也日益提升。利用现有硬件资源,建立一个简单、易用、安全的统一接入平台,以有效进行办公环境的规范管理,支持可控的远程访问模式。1.集中管理：可将办公环境中的应用软件进行集中管理,可以根据需要随时调整办公环境的应用部署,简化办公人员客户端的环境配置及部署要求。2.应用发布：具有包括各类办公工具在内的应用软件发布功能。3.存储隔离：每个用户能建立各自的文件系统或存储空间,相互之间不能访问。但授权用户可以访问特定用户组的存储空间,可以通过FTP或者其它方式获取用户存储空间的数据。4.数据保护：所有的代码及业务数据只在服务器端传递,提高系统数据访问的安全性。5.远程接入：支持外部合作公司远程接入的项目开发模式,能有效控制用户的剪贴板、本地硬盘、打印机、端口等操作,做到合作公司人员未经授权无法从任何渠道获取项目的代码、文档和业务数据。6.访问控制：对于合作公司的远程访问要求能有效控制,包括登录时间段、登录用户的监控。要求能穿越防火墙〔能够NET转换访问到服务器。7.访问日志：用户登录及应用软件的访问,应该有日志记录。8.水平扩展：服务器端支持水平扩展,能通过水平增加服务器来适应业务需求的扩大。9.负载均衡：可根据用户访问量和资源使用情况,动态分配到到负载量最低的服务器上。可支持手动负载均衡操作。实现目标建立统一架构的虚拟平台；移动和固定办公终端通过虚拟桌面访问工作环境,满足日常工作要求；通过虚拟应用访问不同应用环境,满足日常不同业务的工作要求；提高对桌面及应用的访问控制和使用权限管理；可以迅速地部署或者更新操作系统,简化Windows的升级操作；将应用的升级、变更、维护等工作交由后台统一管理和运行,在系统上而不是在用户终端上进行集中发布、配置和更新,终端用户无需任何变动即可获得最新应用和服务,减少终端所需的运维支持力度；前端桌面最终目标是使用瘦客户端,减少终端维护量,增强终端安全性；提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯；能良好兼容现有开发相关应用、并且对未来的可能的应用及安全构架有良好的兼容性；开发平台及业务应用使用的整体安全性提高；桌面和应用全部运行在数据中心,保证设计数据等涉密信息的安全性；通过策略等技术手段,可以严格禁止涉密数据下载或保存到本地的客户端设备；桌面集中托管于数据中心,在数据中心进行集中的部署、维护和管理；构架设计遵循开放、灵活的原则,以适应系统扩充以及日后的需求变更；桌面虚拟化方案可以适应主流的服务器、客户端的硬件配置,对现有的服务器、PC等设备,可充分利用,便于日常维护；大大降低终端PC机的投入和维护成本。技术要求的点对点应答技术要求应答应答产品1建立云桌面平台,实现电脑桌面的虚拟化使用。无偏离VMwareHorizonViewSuit2要求提供拓扑方案,提供内网及互联网使用时的使用方式。无偏离VMwareHorizonViewClient和HTMLClient3虚拟桌面数为450个,满足2年的桌面使用需求。并发按80%计共360个。无偏离VMwareHorizonViewSuit〔400Users4客户端采用NC150台、利旧电脑300台。客户端配置需求为vCPU=4U,Memory=4GB,系统盘=40GB,数据盘=100GB。无偏离VMwareHorizonView虚拟桌面配置为vCPU=4U,Memory=4GB,系统盘=50GB,数据盘=100GB。5网络中心在临潼工作区,高新产业园与临潼工作区采用100M数字电路连接,集团本部采用20M数字电路与临潼工作区连接。高新产业园虚拟桌面250个,XX路集团本部工作区虚拟桌面50个,临潼工作区虚拟桌面150个。虚拟桌面与后台连接占用带宽小,适应陕鼓的专线连接的多区域办公环境。需提出部署云桌面后高新产业园连接临潼工作区、XX路集团本部连接临潼工作区的新增专线带宽需求。无偏离高新产业园连接临潼工作区新增一条100M数字电路连接,XX路集团本部连接临潼工作区新增一条20M数字电路连接6多终端类型支持,客户端支持NC、PC、主流操作系统的智能手机和平板电脑。客户端提供Windows7、WINDOWSXP操作系统。无偏离VMwareHorizonView7支持通过公司内网使用、通过互联网使用。采用互联网时支持公司现有的SSLVPN设备访问虚拟桌面。无偏离VMwareHorizonView、Client和HTMLClient8虚拟桌面站点可需接入互联网,允许进行互联网的浏览、文件上下载等常见操作。无偏离VMwareHorizonView9系统支持通过扩容存储与计算资源实现用户平滑扩容。无偏离VMwareHorizonView10移动办公需求,桌面云用户可从企业园区网的各个站点、位置访问自己的虚拟桌面环境。用户可以不中断应用运行,实现无缝切换办公地点。无偏离VMwareHorizonView11虚拟桌面可预装业务所需的应用程序及应用客户端软件。能够实现软件自动化批量安装。无偏离VMwareHorizonView和Thinapp12可以让用户无法将文件和信息保存在本地设备或移动磁盘上,从而有效实现数据安全。无偏离VMwareHorizonView13支持MSOFFICE2007/2010、RTX、Project、VISIO、IE、AcrobatReader、视频播放软件、QQ、常用输入法、泛微EM等办公软件。高清视频播放需要测试,其他无偏离VMwareHorizonView14支持运行公司OA、SGRP、MOA、KM、MOA、CRM、视频会议、论坛、电子招标、集团财务、流程管理等B/S和C/S等系统。无偏离VMwareHorizonView15客户端使用时流畅,无卡顿,与PC体验相同。每日上班大量并发登录时,无登录风暴产生,登录流畅,登录时间不超过30秒。无偏离VMwareHorizonView16支持USB打印机,支持设置网络打印机,支持USB键盘鼠标,支持本地输入法。无偏离VMwareHorizonView17提供丰富的用户身份认证,包括用户名/密码、USBKEY、动态口令、动态短信、指纹,指纹+密码,确保接入用户的合法性。支持其组合方式。无偏离VMwareHorizonView和第三方动态密码产品18能够记录虚拟桌面运行日志,为桌面运行分析、系统优化提供参考数据。支持虚桌使用情况统计分析,支持用户使用情况统计分析。无偏离VMwarevCenterOperationManageforView19客户端加电后可自动进入虚拟桌面登录界面,对于PC用户可手动登录虚拟桌面或直接进入。无偏离VMwareHorizonView20支持AD与和无AD域的部署、认证方式。不支持无AD域的部署,其他无偏离VMwareHorizonView21在服务器端统一部署杀毒软件,不需每个客户端部署杀毒软件。无偏离第三方杀毒软件forVMware,例如SymantecEndpointProtectionforVM22虚拟机可配置固定IP,支持IP、MAC及网络端口三者绑定。不支持绑定网络端口,其他无偏离VMwareHorizonView23能够升级、打补丁及回退自动化操作。无偏离VMwareHorizonView24快速将用户数据从原来的物理机迁移到虚拟机。可实现虚拟桌面的数据备份。无偏离VMwarevSphereEnterprisePlus和存储阵列镜像25支持集中管理,如对操作系统镜像统一管理、软件补丁统一分发、TC终端统一管理等。管理员可快速业务发放、桌面管理、模板管理、权限管理、资源管理、监控管理、告警管理、拓扑管理、日志管理、任务管理、统计管理。无偏离VMwareHorizonViewSuit26平台具有完善的安全防护能力。系统支持高可用性设计。无偏离VMwareHorizonViewSuit总体方案设计总体设计设计原则按照桌面虚拟化的建设目标,依据桌面虚拟化建设项目具有涉及范围广、建设规模大、数据构成复杂等特点,在设计阶段需遵循一些重要原则,以保障后续建设的顺利衔接和有效执行。一、全面性桌面虚拟化建设是一项从无到有的工程。除了针对基础建设需求进行设计之外,也要就系统建成后整个云平台的运营、管理和运维进行综合考虑,使得设计能够全面地满足系统持续稳定运行的需求,尽力避免一些细小但关键构成的遗漏。桌面虚拟化建设是一项系统工程,是一项长期性工作,必须通盘考虑,统一规划,确保整体效能,在总体规划指导下,按照"实用先行、由简至难、循序渐进"的原则分步推进具体系统的建设。二、高可用性桌面虚拟化建设项目应首先考虑信息系统的高可用性,应坚持需求驱动、以应用为主导的方针,规划和建设相应的各个子系统；系统应该在容错、应急、负载等多方面予以考虑,应有适量冗余及其他保护措施,平台和应用软件应具有容错性、健壮性等,保证系统连续服务；结合严谨的测试管理与运维体系,保证系统的高可用性。三、安全性桌面虚拟化建设项目作为重要政府服务建设项目其信息安全的重要性不言而喻。因此必须将安全性设计作为重要涉及原则予以优先考虑。严格遵照国家的有关保密法规,采取切实有效的措施,确保信息网络和信息资源的安全。四、开放性桌面虚拟化建设项目涉及的应用系统与基础平台类型多样,结构复杂,建设过程中会遇到较多的系统间衔接问题。同时为保证项目的快速有效建设,势必由不同的建设单位使用不同的产品进行子系统的建设,如果采用较封闭的技术与产品,必将造成整体应用无法衔接或效率低下,因此在总体设计阶段,在保证安全性的前提下,要考虑的是系统整体和局部的开放性。系统建设要统一规划、统一标准、加强管理,提倡联合协同、共同发展,调动各方积极性。建立统一规划、数据接口标准统一的信息平台,兼容各种应用系统进行数据交换,从顶到底要求每一个系统的构成部分符合设计的开放标准,实现异构系统的互联互通,确保整体应用框架之间衔接顺畅。五、可扩展性桌面虚拟化建设项目应充分考虑未来发展,同时信息化建设是一个循序渐进、不断扩充的过程,系统的总体设计应该采用层次化、组件化设计,整体构架考虑与现有系统的连接,为今后系统扩展和集成留有扩充余量。六、先进性桌面虚拟化建设项目应在设计思想、系统架构、采用技术、选用平台上均具有一定的先进性、前瞻性。在充分保证可用性、开放性、扩展性的前提下保持系统的先进性、扩充性,采用技术成熟、厂家信誉好的产品,使系统在未来相当一段时间保持稳定。七、可实施、可管理、可维护桌面虚拟化建设项目在保证业务覆盖面广、架构完善、技术先进的同时,也必须考虑软件系统及其运行环境的可实施、可管理、可维护,并在设计中重视建设期中、建设期后的管理与维护体系。〔一可实施性所实现的业务功能,必须是在目前的组织框架下可以运营的。对现有应用的整合应不影响业务的运行,对现有应用系统影响和改造量较小。业务功能的实现可以分布实施快速见效。〔二可管理性采用集中管理模式,配备与各个实施阶段相适应的实用的系统管理手段,对系统设备、系统资源、应用软件、数据实行全面的管理。〔三可维护性系统设计应标准化、规范化,分层设计,组件化实现,降低应用整合平台的维护成本。设计内容建设强大、高效的计算资源平台,通过采用架构领先、功能丰富的刀片服务器,为桌面虚拟化搭建可靠、稳定的应用支撑平台,满足软件开发中心各种应用的部署和运行。建设安全、可靠的存储资源平台,通过采用冗余架构,高速、高容量的SAN+NAS一体化存储,为开发人员的开发数据及虚拟化系统的正常运行,提供良好的数据存储环境。在详尽的服务、性能、安全和隐私保护等政策的指导下,帮助用户实现快速部署、安全计算以及灵活扩展IT能力。在领先的融合基础设施以及丰富的自动化与管理软件系列产品的基础上,实现桌面虚拟化所需的全部资源的管理。总体架构设计如图所示,根据软件中心桌面虚拟化建设需求,我们提出了运行支撑环境的的"两池一区"的架构体系。分别为：虚拟化计算资源池、虚拟化存储资源池和资源管理区。虚拟化计算资源池通过采用VMware的VDI虚拟化技术,为用户的办公人员提供高性能,高安全的业务办公环境。虚拟化存储资源池通过部署SAN和NAS一体化的设备,为虚拟机镜像文件的共享存储,以及办公人员的业务数据提供了可靠,安全的存储环境。资源管理区通过在虚拟机环境部署冗余的VCenter/Composer服务器、连接服务器,数据库服务器架构为VDI的正常,稳定运行提供后台管理；通过部署云资源管理软件为VDI环境下的虚拟机资源,存储资源,网络资源,应用资源及运维处理等方面提供360度全方位的监控及运维管理；通过部署磁盘阵列镜像软件,确保虚拟化存储资源池内的虚拟机文件和用户的业务数据的安全,确保桌面虚拟化系统整体的稳定、可靠运行。技术架构设计桌面虚拟化技术桌面虚拟化是在物理服务器上安装虚拟主机系统,由虚拟主机系统模拟出操作系统运行所需要的硬件资源,如：CPU、内存、网卡、存储等。操作系统运行在这些虚拟的硬件资源之上,可以达到多个操作系统共享物理服务器的硬件资源,从而提高资源利用率。虚拟桌面的存储和执行〔包括操作系统、应用程序和用户数据都集中在数据中心,用户使用终端设,备通过远程协议〔如：RDP、ICA、PCoIP进行访问。桌面虚拟化将所有桌面虚拟机在数据中心进行托管并统一管理；同时用户能够获得完整PC的使用体验。用户可以通过瘦客户端,或者类似的设备在局域网或者远程访问获得与传统PC一致的用户体验。是一种仅将操作系统桌面呈现在用户面前的技术,由服务器端完成运算。可以结合服务器虚拟化和应用虚拟化进行。桌面虚拟化解决方案提供的功能主要包括基本功能、用户使用便利要求、应用虚拟化、维护管理和可靠性等方面。其中,基本功能包括多种方式接入、支持无差别的多应用访问、支持多虚拟机、支持主流操作系统、支持主流存储技术；用户便利使用要求包括系统可随时随地访问且支持个性化桌面,支持SSO,支持网络存储空间的动态分配,支持音频输入输出等；应用虚拟化指将应用程序从底层操作系统分离出来,支持虚拟桌面与应用软件虚拟化间的无缝集成；此外,桌面虚拟化还需支持多种部署、维护方式,能提供丰富的管理维护手段,同时具备电信级兼容性和可靠性。虚拟化桌面规划设计系统架构示意图VMwareView总体架构如上图所示,VDI产品后台采用的是vSphereforDesktop即vSphere最高版本支持。VMwareVDIManager5.0是企业级虚拟桌面管理器,是VMwareVDI5.0的关键组件。IT管理员使用VMwareVDIManager作为中心控制点,支持最终用户安全灵活地访问其虚拟桌面和应用程序,并利用与VMwarevSphere™之间的紧密集成,说明客户以安全托管服务形式交付桌面。VMwareVDIManager具有极强的可扩展性和可靠性,它使用基于Web的直观管理界面创建和更新桌面映像、管理用户数据、实施全球策略等,从而同时代理和监控数以万计的虚拟桌面。根据网络划分为客户端运行网和中心机房网络：客户端运行网：用户平时使用的瘦客户端和PC电脑位于运行网内,通过安装ViewClient,访问位于中心机房网络中的虚拟桌面。负载均衡器：负载均衡器位于运行网内,它按照设定的负载均衡策略,将450个用户View客户端的连接分发到中心机房网络中的View连接服务器上,达到负载均衡的目的。中心机房网络：View系统,包括vSphere,View连接和安全服务器,vCenter服务器,Viewcomposer服务器都位于中心机房网络中,为运行网提供安全集中的虚拟桌面资源,供用户使用。虚拟桌面流程示意图图3-4VMwareView流程架构示意图用户认证客户机〔PC机或瘦客户机安装使用view客户端通过HTTPS协议连接View连接服务器,连接成功后,View连接服务器提示用户输入用户名和密码,之后View连接服务器会提交到AD数据库中验证。认证通过,则进入获取桌面信息流程,不成功则返回错误提示。桌面信息认证成功之后,view连接服务器会从View配置数据库中获取用户分配桌面信息,将该信息通过HTTPS协议返回给用户view客户端,用户通过view客户端可以检索到自己可以使用的桌面。连接桌面终端使用HTTPstunnel和PCoIPtunnel,用户通过view客户端选择自己相应的桌面,view连接服务器会分别于与虚拟机和用户的view客户端建立PCoIP隧道,通过view连接服务器的中转,用户view客户端与虚拟机建立PCoIP隧道使用虚拟桌面。View管理控制台管理员在客户端上通过IE或者其他浏览器〔安装Flash插件,访问Viewweb管理控制台,输入Https：//view连接服务器IP/admin/地址,对View连接服务器进行管理。View与vCenterView连接服务器通过vCenter的webserviceAPI对虚拟机进行包括：生成虚拟机,刷新,重构虚拟机等操作,并对虚拟机进行开关机,重启等操作。vCenter通过内部的API,管理Esxiserver,并在Esxiserver上,接受View连接服务器的指令,生成虚拟机,并按照view连接服务器的要求,对虚拟机进行日常维护操作。Esxiserver安装在物理机上,将物理机的存储,网络和计算资源进行虚拟化抽象,提供给上层平台vCenter使用。方案要点View桌面系统安全策略的定制。光纤存储的性能规划。桌面模板的定制以及性能优化。View桌面系统在窄带宽下多用户并发访问性能的优化。View桌面系统各个组件的协同工作配置。虚拟桌面架构设计方案基于VMwareHorizonView构建,VMwareHorizonView桌面虚拟化方案构建在VMwarevSphere5之上,VMwarevSphere允许多个用户桌面以虚拟机的形式独立运行,同时共享CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将用户彼此隔离开来,使每位用户都拥有自己的操作系统,同时对HorizonView关键组件〔ESXi,vCenter,Connection,Security,Composer,SQL,ADServer均部署了双或多节点保证VMwareHorizonView环境的正常运行实现高可用性,方案总体架构如下图所示。架构设计中的关键组件及其高可用性图2虚拟化架构组件图ViewManager包括下列组件：VMwareVDIConnectionServer—管理对虚拟桌面的安全访问,与VMwarevCenter™Server配合提供高级管理功能VMwareVDISecurityServer—提供外网对虚拟桌面的安全访问,与VMwareConnectionServer配合管理VMwareVDIAgent—提供会话管理和单点登录功能VMwareVDIClient—支持PC和瘦客户端上的最终用户通过VMwareVDIConnectionServer连接到虚拟桌面使用。ViewClientwithLocalMode—即使网络发生中断也可以访问虚拟桌面,不会影响IT策略的实施。VMwareVDIAdministrator—允许管理员进行配置设置、管理虚拟桌面和设置桌面的权限以及分配应用程序VMwareVDI角色管理—角色管理可动态地将用户角色与无状态流动桌面相关联。管理员可轻松部署低成本、无状态流动桌面池,让用户能够在不同会话之间保持其指定设置。View架构的逻辑单元设计部分450个虚拟桌面单元,分布在1个集群中10个节点的ESXI群集上。由分布在外面的管理单元进行管理。每台ESXI主机包括4路8核的CPU,一共提供32核支持30~80个虚拟桌面的运行.这个单元包括两个群集共计最大可以支持到2048个桌面的运行。图：单个View逻辑架构View大规模扩展方式图:ViewPod扩容设计本次按照450个用户来进行设计一个ViewPod,,所以,使用一个viewpod就可以满足需要,并且一个viewpod支持扩展到2048个用户。Viewpod是View架构的一个抽象的功能组件,并且是view逻辑管理架构设计的核心,Viewpod由以下组件组成:一个view管理block,管理的block包括：View连接服务器–在集群中共有3个view的连接服务器,设置active/Standby模式,其中2个设置成为实际转发连接的服务器,其中一台设置成standby的状态。vCenter-用来管理虚拟桌面的vCenter一个view桌面block：包含所有的主机和主机上生成的虚拟机,也就是供用户使用的虚拟桌面。逻辑架构设计对涉及到大型的View桌面系统部署,采用Viewbuildingblocks和Viewbuildingpods这两种搭建概念,在物理的硬件上,对view进行部署。运用这种成熟的和可扩展的方式桌面系统搭建方式,可以方便的实现客户环境构建,为用户从物理环境迁移到虚拟桌面,提供便利的架构方案支持。并且,采取这种方式的部署,搭建好一个Viewbuildingblock之后,还可以根据性能,地理,客户需求和访问方式的不同,再添加新的block,便捷的实现整体架构的扩展,最大程度的满足客户的扩展需要。根据用户现场的物理设备和需求调研的结果进行分析,现对view架构做如下的逻辑设计。逻辑设计包括：本次中按照450个用户来进行设计一个ViewPod就可以满足需要,并且一个viewpod支持扩展到2048个用户。Viewpod是View架构的一个抽象的功能组件,并且是view逻辑管理架构设计的核心,Viewpod由以下组件组成:一个view管理block,管理的block包括：View连接服务器–在集群中共有3个view的连接服务器,设置成active/Standby模式,其中2个设置成为实际转发连接的服务器,其中一台设置成standby的状态。vCenter-用来管理虚拟桌面的vCenter,并且支持扩展到最多5台vCenter〔一个viewpod。一个view桌面block：包含所有的主机和主机上生成的虚拟机,也就是供用户使用的虚拟桌面。Viewblocks–此次架构设计中,只需要一个viewblock即可。View管理BlockView管理Block也是一个View架构的一个抽象的组件,它由所有的View和vSphere的管理虚拟机组成,其中包括:ViewConnectionServersView桌面block的vCenterservers<一个View桌面block,一个vCenter>vSphere基础架构项目角色说明建议配置硬件系统与软件虚拟化基础平台服务器〔群集HA/DRS/vMotion/StorageMotion提供用户桌面应用所需的计算资源,通过虚拟化系统虚拟出若干台虚拟机并提供给不同的用户。CPU：二颗Intel<R>十核Xeon<R>内存：256G或以上；硬盘：300GB15KRPMSAS；网卡：6个或更多1000M网卡；光纤存储适配卡：2张FCHBA卡；电源：冗余双电源；系统：安装ESXi5.5；其功能是在一台主机上虚拟出若干台虚拟机并实现主机资源管理,按需将资源分配给上层的虚拟机。托管虚拟桌面〔HA和vMotion保护实现高可用性虚拟化基础平台服务器上的虚拟机,用户的操作系统、应用及部分个人数据保存在该虚拟机上。在虚拟化基础平台上创建虚拟机并提供给桌面用户时,建议每台VM的配置如下：CPU：4颗vCPU,频率2.0GHz或以上；内存：4G；硬盘：系统盘40G数据盘：100G系统：推荐Windows7桌面操作系统；其它软件：用户所需的基本应用软件。VMwareTool：虚拟机功能增强软件包,其中包含虚拟机驱动程序,与Host及vCenterServer间的通讯组件等；VMwareViewAgent：这是与桌面瘦客户机交互的组件,只有安装VMwareView5Agent后,客户端才能连接；存储阵列为用户虚拟桌面应用提供存储支持,所有虚拟化系统、企业应用数据、用户数据均存储在存储上。采用中等性能FCSAN存储阵列；电源：冗余双电源；存储控制器：双控制器,每控制器Cache>=512GB；RAID:支持0,1,5,10+hotspare；主机接口：4个8GBFC接口、4个千兆以太接口；含HA、阵列镜像Mirror、FCP数据访问、NFS数据访问等许可硬盘：15000转SAS硬盘,可使用容量60TB。虚拟化基础平台管理服务器〔vCenterServervCenterHeartbeat实现高可用性用于安装虚拟化基础平台的可视化管理工具,实现对虚拟化基础平台服务器及虚拟机等的管理。在VM上全新安装实现。可利用群集的高级特性〔如HA、FT提高其可用性,并可利用VMwareDataRecovery等对其进行定期备份。建议VM资源配置如下：CPU：8颗vCPU,每颗频率2.0G或以上内存：16G硬盘：100G系统：WindowsServer2008企业版；其它软件：VMwarevCenterServer：它是管理Hosts和VMs的核心桌面与应用交付控制服务器〔ConnectionServerReplica负载均衡器实现高可用按需将用户桌面与应用交付给最终用户。在VM上全新安装实现,利用群集的高级特性〔如高可用性HA提高其可用性建议VM资源配置如下：CPU：8颗vCPU2.0G或以上内存：16G硬盘：100G系统：WindowsServer2008企业版；其它软件：ViewConnectionServer：在该服务器安装ViewConnectionServer软件,该软件实现对桌面用户的访问控制,通过该服务器可以实现：将指定的虚拟机分配给指定的用户；将一组虚拟机分配给用户组。VMwareComposer服务器〔HA和vMotion保护实现高可用性为桌面提供可共享通用虚拟磁盘的黄金主映像池,连结到主映像的所有克隆桌面进行修补或更新在VM上全新安装实现,利用群集的高级特性〔如高可用性HA提高其可用性建议VM资源配置如下：CPU：8颗vCPU2.0G或以上内存：16G硬盘：100G系统：WindowsServer2008企业版；其它软件：ViewComposerServer：在该服务器上安装ViewComposerServer组件。广域网接入服务器SecurityServer通过与ConnectionServer交互,按需将用户桌面与应用交付给广域网用户。在VM上全新安装实现,利用群集的高级特性〔如高可用性HA提高其可用性建议VM资源配置如下：CPU：4CPU2.0G或以上内存：10G或以上；硬盘：80G网卡：2个虚拟网卡；系统：WindowsServer2008；其它软件：ViewSecurityServer：在该服务器安装ViewSecurityServer组件,该组件通过与ConnectionServer的交互实现将桌面与应用交付给广域网用户。AD/DNS服务器提供用户登录系统及访问资源的用户认证,同时提供域名解析服务。建议利用原有环境中的AD域控服务器或在VM上全新安装实现,利用群集的高级特性〔如高可用性HA提高其可用性建议VM资源配置如下：CPU：4CPU2.0G或以上内存：10G或以上；硬盘：80G系统：WindowsServer2003/2008；其它软件：MicrosoftActiveDirectory角色：WindowsServer系统自带的角色,直接在"管理服务器向导"中添加即可；DNS角色：WindowsServer系统自带的角色,在安装ActiveDirectory过程中一并安装,实现域名解析。数据库服务器<MSSQLCluster实现高可用性>为vCenterServer、ViewComposer组件等提供数据库基础服务在VM上全新安装实现。通过利用群集的高级特性〔如高可用性HA、FT提高其可用性,VM资源配置如下：CPU：8颗CPU2.0G或以上内存：16G硬盘：600G系统：WindowsServer2008企业版；其它软件：Microsoft.NetFrameworkSQLServer2005DHCP服务器<Active/Standby实现高可用性>为所有用户的虚拟桌面系统提供IP地址分配服务在VM上全新安装实现。利用群集的高级特性〔如高可用性HA提高其可用性建议VM资源配置如下：CPU：1CPU2.0G或以上内存：4G或以上；硬盘：50G系统：WindowsServer2003/2008；DHCP角色：WindowsServer系统自带的角色,实现IP地址动态分配。KMS服务器提供Windows操作系统激活注册服务。建议利旧,或在VM上全新安装实现.建议VM资源配置如下：CPU：4CPU2.0G或以上内存：10G或以上；硬盘：80G系统：WindowsServer2003/2008；其它软件：MicrosoftKMS角色：安装KMS软件。VMwareThinApp提供无代理的应用虚拟化服务,制作虚拟化应用软件包在VM上全新安装实现。建议VM资源配置如下：CPU：1CPU2.0G或以上内存：4G或以上；硬盘：50G系统：推荐WindowsXP或Windows7桌面操作系统；其它软件：VMwareThinapp4.0.6以上版本FC存储网络为存储与服务器间的连接提供网络链路支持。8GFCSAN光纤网络；以太网交换网络为服务器间、客户端与服务器间、服务器与Internet间的连接提供网络链路支持。服务器间通讯：1000M以太网络。客户端接入：100M以太网络。1000M以太网交换机,100M以太网交换机。View桌面BlockView桌面block,同时也可以叫做Viewbuildingblock,也是View架构的一个抽象组件。View桌面blocks由一个vCenter实例来管理包括主机vSphere的cluster,View桌面和在这些vSpherehost上的桌面池。一个View桌面block由以下组件组成：vCenterservers–Viewblock的资源由vCenterserver来管理,并且总是一个View桌面的block对应一个vCenterserver。ESX/ESXi主机–ESX/ESXihost来负责运行view的桌面虚拟机,对应一个View桌面block。vSphere集群–vSphereclusters包括ESX/ESXi主机。View桌面池–Viewblock设计为包含6个桌面池.共享存储–VMFSorNFSdatastore可以被所有的View桌面block中ESX/ESXi所访问和共享,为SAN存储。本地存储–ESX/ESXiserver上,用来存放内存,交换数据和临时文件网络及带宽逻辑设计位置客户端数目连接带宽每个办公部门的业务终端的平均流量为200kb/s〔估值人员数量450人720MB网络需求采用如下数据：根据分析用的客户端网络情况,同时考虑20%的可能冗余与峰值预留,用于最终核算中行软件中心对于网络带宽的需求。参考实际测试数据,每个虚拟桌面与前端用户的网络流量<=200kbps,与中间层等应用服务器的网络流量是>=400kbps。今后完成软件中心部署后,虚拟桌面将在虚拟平台和现有中间层应用之间产生大量的网络流量,建议保证中心机房的核心交换机为10,000M。网络设计要求：虚拟桌面能够通过解析Connectionserver地址。虚拟桌面能够路由到Connectionserver地址。Connectionserver能够解析vCenter地址。用户体验设计根据对使用环境的调研,用户的使用场景为业务办公型,为提供给用户满意的用户体验,现提出用户的用户体验设计。用户类型设计下表为用户类型：用户类型使用软件网络接入用户权限设计业务办公型办公低负载一般用户权限,用户无法自己安装新软件用户用例定义用例属性描述用户数450用户负载高负载位置使用时间12*7访问方式局域网认证方式标准windows登陆认证核心应用办公程序,开发程序操作系统Windows732bitSP1,Windows764bitSP1是否允许安装应用不允许观看视频无使用音频〔VoIP无打印机网络打印机和本地串口打印机显示器一个显示器外设通用USB设备、USBkey、条码阅读器、刷卡、刷折子、扫描仪、USB读卡器,客户端普通PC网络连接高带宽占用用户用例设计具体的用户用例：用户用例使用软件用例描述外设View设计用例场景一使用程序用户连接View客户端,获得身份认证之后,使用进行日常办公无View配置用户策略,并使用PCoIPGateway用例场景二使用外设用户连接View客户端并使用USB设备,继续开发测试工作。USB设备View配置USB重定向和白名单用例场景三使用打印机用户使用View客户端word,excel进行日常办公,并使用打印机串口或网络打印机ThinPrint打印机,或者使用RDP配置串并口打印机用户连接设计用户的网络带宽连接设计：用户用例网络使用网络带宽协议选择View设计临潼工作区用户局域网100M或1000MPCoIPPCoIP带宽协议优化高新产业园用户局域网100M或1000MPCoIPPCoIP带宽协议优化XX路集团本部用户局域网20M或100MPCoIPPCoIP带宽协议优化用户访问安全设置根据实际使用情况,本次InternetVPN连接设计使用安全服务器。用户客户端连接服务器虚拟机View设计Internet用户客户端运行网中心机房网络中心机房网络使用HTTP和PCoIP隧道连接服务器组件设计View连接服务器系统要求操作系统Windows2008R2orR2SP164位CPU8vCPU内存16G网卡千兆VMwarevNet3磁盘C盘100G网络VMwareE1000数量1〔Standard+1〔Replica+1〔Standby主机名con1〔Primarycon2〔Replicacon3〔standby系统优化WindowsServer2008无需更改TCB的大小。当内存大小为10G时,安装时ViewConnectionServer会将JVM的HeapSize设置为2G。否则设置为512M。JVM大小设置项为：HKLM\SOFTWARE\VMware,Inc.\VMwareVDM\Plugins\wsnm\tunnelService\Params-Xms128m-Xmx1024m-Dsimple.http.poller=simple.http.GranularPoller-Dsimple.http.connect.configurator=com.vmware.vdi.front.SimpleConfiguratorViewConnectionServer全局配置从安全角度考虑,将VMwareViewConnectionServer配置成旁路的模式部署,仅当瘦客户端启动,用户第一次登陆时,才会通过connectionserver建立会话,后续的应用操作不需要通过其进行会话连接。同时Https模式和PCoIP自由的AES-256加密更保障了通讯的安全性。设置：Connectionserver设置Http隧道PCoIP隧道支持桌面数目池状态连接服务器配置关闭关闭数据转发,支持300台桌面,最大可以支持到750桌面同时访问。开启Viewconnectionserver配置页面,设置Https隧道。Viewconnectionserver配置页面,设置PCoIP隧道。ViewConnectionServerreplicaVMwareViewConnectionServer为一组服务器,第一次安装的时候,选择StandardViewConnectionServer,之后安装多台ViewConnectionServer的时候,选择安装模式为ReplicaServer。此次规划为2台ViewReplica作为负载均衡和提供高可用。1台connectionserver作为Standby的server,当由connectionserver出故障之后,Standby服务器立刻启动,接管故障的连接服务器。ViewConnectionServer的负载均衡考虑到450用户情况,部署3台ViewConnectionServer即可,其中2台Active,一台Standby。前置负载均衡设备,所有终端用户将连接统一的负载均衡设备地址,自动实现负载均衡和故障切换。View桌面池设计桌面池的设计根据需求调研,现对桌面池的设计如下：3个部门,每个部门2个桌面池,每个桌面池的类型如下：桌面池ID池类型生成类型和方法默认协议池状态win7x32Pool固定池自动〔LinkedclonePCoIP开启win7x64Pool固定池自动〔LinkedclonePCoIP开启桌面池定义池属性选项描述池生成类型自动所有的虚拟虚拟桌面全部通过模板自动生成。池类型固定池固定池中的桌面,只能一个授权用户访问,其他用户无法访问生成方法LinkedClone使用副本+链接克隆虚拟机生成虚拟桌面显示协议PCoIPVMware支持的先进显示协议用户数据持久化配置重定向重定向用户配置和数据到持久磁盘主机缓存配置配置主机缓存,CBRChostcache,用于将热点数据存放在主机的内存中,最大设置2G,设置不做索引的时间为：周一到周五,8:00~22:00存储配置永久磁盘和操作系统分开设置永久磁盘D盘,将用户数据重定向到D盘,大小100G副本和操作系统分开将副本和操作系统分开,将副本放在单独的数据存储上,根据具体情况,单独数据存储一般为NAS数据存储重定向一次性磁盘文件将一次性磁盘文件定位到E盘,大小6~8G链接克隆磁盘分别在多个存储选择数据存储〔LUN的时候,将链接克隆虚拟机放在多个数据存储中,一个数据存储最多不超过64个链接克隆虚拟机。应用发布ThinAPP发布使用ThinAPP方式发布虚拟应用授权用户设置ADView用户组设置特定的AD组,为ViewPools建立AD用户组,根据实际情况,将450个用户分为6个组〔3个部门,对应相应的不超过6个桌面池〔每个部门不超过2个桌面池。电源管理保持开机虚拟桌面始终保持开机,如果用户采取关机操作,View连接服务器会自动将虚拟桌面开机用户注销操作预定分钟后将用户注销在预定分钟后不操作,将用户注销,根据实际情况,设置为300分钟。View桌面系统桌面操作系统虚拟硬件配置虚拟桌面系统根据调研的结果,进行归纳后有以下三种:Windows7SP132位中文系统系统Windows7SP132位中文系统LicenseKMS激活CPU4vCPU内存4G磁盘C盘：50GD盘：100G网卡VMwareVMXNET3软驱,光驱,串并口等禁用Windows7SP164位中文系统系统Windows7SP164位中文系统LicenseKMS激活CPU4vCPU内存4G磁盘C盘：50GD盘：100G网卡VMwareVMXNET3软驱,光驱,串并口等禁用桌面操作系统系统及软件系统镜像由用户统一生成。桌面操作系统优化桌面系统的优化对整个VDI环境的性能影响较大。因此需要做好这方面的工作。快照及注意事项VMware虚拟机快照使用方便,但不应作为备份恢复的方案,快照数量太多,会大大影响虚拟机的性能。建议生产用的虚拟机快照数量为3个。虚拟桌面存储设计桌面存储分配Storage需求配置注意事项OS50GUserData100GPageFile4GLogFiles1GTotals155G网络连接建议使用PCoIP。如有需要串口设备的使用,则须使用RDP协议才能实现。或者使用串口转USB口的设备使用PCoIP协议。以每个用户150~200Kb计算,150~200*450=720Mb,建议根据此参数考虑网络带宽来满足要求。USB设备具体型号安全风险View设置UＳＢ读卡器USB读卡器无禁用USB,开启白名单,加入USB设备UID和PIDUＳＢ打印机USB打印机无禁用USB,开启白名单,加入USB打印机设备号USBKeyUSBkey无禁用USB,开启白名单,加入USBKey设备号注册U盘需统计U盘UID,PID有禁用USB,开启白名单,加入注册U盘设备号瘦客户机终端终端系统定制要求打印设备具体型号打印内容View设置网络打印机网络打印机文档类默认打印机映射并口打印机并口打印机文档类ThinPrint打印机或RDP打印串口打印机串口打印机文档类ThinPrint打印机或RDP打印USB打印机USB打印机文档类USB打印机重定向要求用户登陆后只能使用ViewClient软件。用户无法打开其他软件和登陆本地系统。目前暂时使用的瘦客户机或PC终端应按照以上终端配置进行系统设置。外设使用的基本原则所有的USBStorage存储类设备将被禁用,其余类型USB设备〔如注册的U盘、ＵＳＢ读卡器、ＵＳＢ打印机、USBkey可以使用。将采用白名单的方式对USB设备进行放行,通用的USB设备,UID和PID一致,可以加入白名单使用。外设的种类及型号常见的USB的外设有,所有设备均需要经过测试验证。打印在此桌面环境内可以使用打印机来打印数据。vCenter服务器配置操作系统Windows2008R2orR2SP164位CPU8vCPU内存16G网卡千兆VMwareVMXNet3磁盘C盘100G数量2〔1个为冷备,定时复制vCenter虚拟机主机名viewvc系统优化无特殊需求vCenter数据库配置数据库的信息如下：属性配置数据库服务器viewdbCPU8vCPU内存16G数据库产品SQLServer2008R2数据库名称VCDB身份验证的方法Windows/SQLserver数据表容量200G临时表容量50G自动扩展YesTransactionLog容量2G<max>,10%incresement恢复模式简单vCenter统计级别2数量1关于如何估算vCenterDB的大小,请参考VMwarevCenterServer4.xDatabaseSizingCalculatorforMicrosoftSQLServer或者使用vCenter内置的工具估算DB<需要安装VC之后>。vCenter必须能够通过ODBC链接到数据库。在vCenter与数据库服务器必需的网络端口是1433。vCenter集群定义及配置考虑到此次购买的服务器数量和实际的需求,建立1个群集。同时承担虚拟桌面集群,包含桌面服务器,提供基础架构和桌面资源。和管理服务器集群,负责管理集群的管理服务器资源。View桌面block集群,包含存放View桌面的物理机：注：以上所涉及到的服务器的配置和数量仅作为设计中的计算资源的参考,不能作为最终采购服务器数量和型号的依据。View管理block和集群：集群属性配置集群名称Cluster主机列表名A1、A2、A3、A4、A5、A6、A7、A8、A9、A10,A11,A12CPU二路十核内存256G硬盘300Gx2网卡1Gx6数量10所有群集属性规格HA主机故障1/n群集资源预留主机监控Enable缺省的启动顺序Medium主机隔离响应LeavePowerOn接入控制DonotpreventVMsfrombeingpoweredoniftheyviolateavailabilityconstraints虚拟机监测灵敏度N/A虚拟机监控N/A存储心跳系统默认为2个datastoresDRS分布式电源管理Disabled自动化程度SemiAutomatic迁移阈值默认主机故障类型和检测vSphereHA群集的首选主机负责检测从属主机的故障。根据检测到的故障类型,在主机上运行的虚拟机可能需要进行故障切换。在vSphereHA群集中,检测三种类型的主机故障：主机停止运行〔即发生硬件故障。主机与网络隔离〔有网络冗余条件下,极少情况发生。主机失去与首选主机的网络连接〔若ESX主机出现软件故障等。首选主机监控群集中从属主机的活跃度。此通信通过每秒交换一次网络检测信号来完成。当首选主机停止从从属主机接收这些检测信号时,它会在声明该主机已出现故障之前检查主机活跃度。首选主机执行的活跃度检查是要确定从属主机是否在与数据存储之一交换检测信号。而且,首选主机还检查主机是否对发送至其管理IP地址的ICMPping进行响应。如果首选主机无法直接与从属主机上的代理进行通信,则该从属主机不会对ICMPping进行响应,并且该代理不会发出被视为已出现故障的检测信号。会在备用主机上重新启动主机的虚拟机。如果此类从属主机与数据存储交换检测信号,则首选主机会假定它处于某个网络分区或隔离网络中,因此会继续监控该主机及其虚拟机。当主机仍在运行但无法再监视来自管理网络上vSphereHA代理的流量时,会发生主机网络隔离。如果主机停止监视此流量,则它会尝试ping群集隔离地址。如果仍然失败,主机将声明自己已与网络隔离。首选主机监控在独立主机上运行的虚拟机,如果发现虚拟机的电源已关闭,而且该首选主机负责这些虚拟机,则会重新启动这些虚拟机。注意如果您确保网络基础结构具有足够的冗余度且至少有一个网络路径始终可用,则主机网络隔离应该在极少数情况下才出现。数据存储检测信号当vSphereHA群集中的首选主机无法通过管理网络与从属主机通信时,首选主机将使用数据存储检测信号来确定从属主机是否出现故障,是否位于网络分区中,或者是否与网络隔离。如果从属主机已停止数据存储检测信号,则认为该从属主机出现故障,并且其虚拟机已在别处重新启动。vCenterServer选择一组首选数据存储集用于检测信号。此选择会使可访问检测信号数据存储的主机数最大,并且会将数据存储受同一存储阵列或NFS服务器支持的可能性降至最低。vSphereHA将在用于数据存储检测信号和保留受保护的虚拟机集的每个数据存储的根目录中创建一个目录,目录名称为.vSphere-HA。请勿删除或修改存储在此目录中的文件,因为这可能会对操作产生影响。由于多个群集可能使用一个数据存储,因此将针对每个群集创建该目录的子目录。Root用户拥有这些目录和文件,并且只有root用户可以读写这些目录和文件。vSphereHA使用的磁盘空间取决于多个因素,包括所用的VMFS版本以及将数据存储用于信号检测的主机数。使用vmfs5时,最大使用量和典型使用量约为3MB。vSphereHA使用数据存储增加的开销很小,并且对其他数据存储操作的性能没有影响。"预留的群集资源的百分比"接入控制策略可以将vSphereHA配置为通过预留特定百分比的群集CPU和内存资源来执行接入控制,用于从主机故障中进行恢复。使用"预留的群集资源的百分比"接入控制策略,vSphereHA可确保预留CPU和内存资源总量的指定百分比以用于故障切换。计算当前故障切换容量已打开电源的虚拟机的总资源要求由两个组件组成,即CPU和内存。vSphereHA将计算这些值。CPU组件值的计算方法是：加总已打开电源虚拟机的CPU预留。如果没有为虚拟机指定CPU预留,系统会为其分配一个默认值256MHz〔可以使用das.vmcpuminmhz高级属性更改此值。内存组件值的计算方法是：加总每台已打开电源虚拟机的内存预留〔以及内存开销。计算出主机的CPU和内存资源总和,从而得出虚拟机可使用的主机资源总数。这些值包含在主机的根资源池中,而不是主机的总物理资源中。不包括用于虚拟化目的的资源。只有处于连接状态、未进入维护模式而且没有vSphereHA错误的主机才列入计算范畴。先用主机CPU资源总数减去总CPU资源要求,然后再用这个结果除以主机CPU资源总数,从而计算出"当前的CPU故障切换容量"。"当前的内存故障切换容量"的计算方式与之相似。考虑到10台主机的配置一致,允许2台主机出现故障,则应预留20%来进行资源的保证。群集的扩展说明一个群集内的ESXi主机平均CPU利用率超过70%,内存平均利用率长期超过85%时,需要考虑向群集内加入新的ESXi主机。群集的数据存储初始配置不能完全满足虚拟桌面的需要,当存储使用超过70%时,vCenter发出存储空间不足预警；超过85%时,vCenter发出存储空间不足报错。一旦存储的告警或报错出现时,必须及时增加存储可用空间。防止存储空间被占满,导致驻留该存储的所有虚拟桌面不可用。使用网卡绑定的网络冗余如果用两个连接到不同物理交换机的网卡组成一个网卡组,则可以提高管理网络的可靠性。因为通过两个网卡〔并且通过单独的交换机连接的服务器具有两条独立的路径来发送和接收检测信号,所以群集具有更好的弹性。要为管理网络配置网卡组,请在活动或待机配置的vSwitch配置中配置vNIC。推荐的vNIC参数设置如下：默认的负载平衡=基于源虚拟端口ID的路由故障恢复=否在为vSphereHA群集中的一个主机添加网卡之后,必须在该主机上重新配置vSphereHA。网络配置和维护下列网络维护建议可以帮助您避免对由于丢失vSphereHA检测信号而发生故障的主机和网络隔离的意外检测。对群集ESXi主机所在的网络进行更改时,VMware建议您挂起主机监控功能。更改网络硬件或网络连接设置会中断vSphereHA用于检测主机故障的检测信号,并且这可能导致不必要的虚拟机故障切换尝试。在ESXi主机上更改网络配置时〔例如,添加端口组或移除vSwitch,VMware建议除了挂起主机监控以外,还应将在其中进行了更改的主机置于维护模式。主机退出维护模式后,会重新配置该主机,从而重新检查正在运行的主机的网络信息。如果主机未置于维护模式,则将使用旧的网络配置信息运行vSphereHA代理。DRS和HA配合使用将vSphereHA和DistributedResourceScheduler<DRS>一起使用,可将自动故障切换与负载平衡相结合。这种结合会在vSphereHA将虚拟机移至其他主机后生成一个更平衡的群集。vSphereHA执行故障切换并在其他主机上重新启动虚拟机时,其首要的优先级是所有虚拟机的立即可用性。虚拟机重新启动后,其上打开虚拟机电源的主机可能负载很重,而其他主机的负载较轻。vSphereHA使用虚拟机的CPU和内存预留来确定主机是否有足够的空闲容量容纳虚拟机。在结合使用DRS和vSphereHA并且启用了接入控制的群集内,可能不会从正在进入维护模式的主机上撤出虚拟机。这种行为的出现是由于用于重新启动虚拟机的预留资源出现了故障。必须使用vMotion将虚拟机手动迁出主机。vCenter主机安全在被选的限制管理控制台功能这一部分,ESXi将被配置为一个强壮的root密码保护,遵循企业的密码管理要求。ESXilockdown模式或默认的root用户不可直接通过网络直接访问主机。vCenter和虚拟机安全访问进入执行虚拟机管理的划分将与目前负责物理系统管理组相同,充分利用现有的活动目录〔ActiveDirectory架构。不同的虚拟机组可以按照不同部门或职能划分,利用活动目录中新建的或是已经存在的用户组进行授权。不同用户组管理不同种类的虚拟机。在活动目录〔ActiveDirectory中,建立vSphere管理组vSphereAdministration,统一管理vSphere。如有必要,可以建立物理网络管理员组和存储管理员组。如果VMwarevSphere安全的需要,网络和存储组将仅被获得进入相应工作责任范围〔虚拟网络和存储管理的授权。两个组将不能够进入虚拟机、数据中心、群集或任何其它vSphere基础设施。同样,虚拟机管理组也将不在介入进入配置网络或存储管理,仅由他们负责的虚拟机才可以进入。仅有新建的企业vSphere管理组将有权限负责全面的vSphere架构调整。当使用虚拟机快照时,一定要注意该快照的及时删除,否则虚拟机快照可能会大量增长导致存储空间不足。如果把虚拟机快照权限下发给某个部门或个人使用时,一定要注意对虚拟机快照使用习惯的培训。vCenter用户,角色和权限分配定义用户定义用户、组、角色和权限能够控制哪些用户可以访问vSphere受管对象以及这些用户可以执行哪些具体操作。vCenterServer授权用户是包括在vCenterServer引用的Windows域列表中的用户,或者是vCenterServer系统上的本地Windows用户。vCenterServer授权用户可以是指vCenterServer系统上的本地Windows用户或组,也可以是域用户或组。角色是一组预定义的特权。特权定义用户执行操作和读取属性所需的个人权限。当给用户或组分配权限时,将用户或组与角色配对,并关联与清单中某一受管对象,直接与vCenter服务器中的最高层级的对象相关联。View环境下vCenter管理要点由于VMwareView产品是基于vSphere平台之上的,VMwareView提供了专用的管理界面来进行View的管理。View通过内部的API来调用vCe