微软VDI解决方案简介课件

桌面虚拟化解决方案介绍议题需求分析微软VDI架构概述解决方案特色功能案例及效益任意访问增强合规离线工作业务连续简单交付统一管理防火墙数据中心云端后台应用桌面虚拟化基本业务逻辑防火墙防火墙数据中心虚拟桌面Loginxxx传统桌面LoginxxxLoginxxxVDI终端操作及会话数据业务数据业务数据业务数据虚拟桌面效益比较传统桌面需要维护分散的桌面在托管的数据中心外围网络，存在业务数据的通信网络链路中断时，桌面需要需要重新连接业务系统，工作中断桌面之间相互独立，不共享信息资源(数据备份、安全)传统交付虚拟桌面仅需要维护集中的RDS及Hyper-V主机在托管的数据中心外围网络，仅有操作和会话数据的通信，实现安全边界瘦客户端到虚拟桌面网络链路中断时,虚拟桌面到业务系统的会话不受影响，在网络恢复时能够快速恢复业务虚拟桌面共享底层的宿主机，共享信息资源（数据备份、安全）虚拟桌面环境可快速交付虚拟桌面架构示意图：防火墙服务管理平台远程桌面连接代理桌面配置数据虚拟会话主机场企业LOB应用企业LOB应用瘦客户端虚拟桌面主机场LoginxxxLoginxxx胖客户端议题需求分析微软VDI架构概述特色功能案例及效益用户状态应用程序操作系统Microsoft桌面虚拟化：用户状态应用程序操作系统用户体验虚拟化

(UE-V)文件夹重定向改变设备,保持体验应用程序虚拟化

(App-V)RemoteApp虚拟化任意应用程序,任意场景Microsoft

VDIClientHyper-VMED-VWindows任意地点访问统一集中管理通过更广泛的平台为用户带来虚拟化!防火墙VDI解决方案完整架构示意图：Loginxxx远程桌面WEB访问服务管理平台远程桌面连接代理远程桌面访问网关用户体验虚拟化虚拟会话主机场虚拟桌面主机群集应用程序虚拟化企业LOB应用企业LOB应用远程用户交付方式解决方案架构概述：虚拟会话主机提供共享虚拟会话虚拟桌面主机提供池化或个人桌面Remote-APP提供远程应用程序APP-V提供应用程序兼容性RemoteFX提供外设兼容性UE-V提供用户平滑迁移体验支持传输层安全加密及数据重定向管制

支持RDWEB或远程访问网关，通过SSL加密安全协议访问

通过AD身份验证并可结合微软ADFS实现OTP、多因素身份验证兼容性安全访问性能和可靠性远程桌面连接代理提供桌面场中的负载均衡及会话保持虚拟桌面主机池支持64节点8000桌面高可用规模

网络优化及缓存虚拟应用程序LoginxxxLoginxxxLoginxxx防火墙Microsoft

RemoteApp:PoweredbyRDS

托管虚拟应用程序灵活访问应用程序交付一个或多个应用程序而非桌面无需本地安装

保护企业数据客户端本地不保存任何文件或数据灵活的验证访问选项简化应用程序部署集中发布应用程序防火墙瘦客户端应用程序虚拟桌面LoginxxxLoginxxxLoginxxx防火墙Microsoft

VirtualDesktopInfrastructure(VDI)

托管虚拟桌面灵活访问Windows桌面从任意连接的设备安全访问Windows桌面继续使用现有的设备和程序保护企业数据集中企业数据并控制用户访问避免业务中断企业资源的快速交付集中管理快速交付管理的桌面操作系统本地桌面瘦客户端本地设备虚拟桌面LoginxxxLoginxxx任意地点办公从任意设备访问数据和个人设置避免业务中断登入即可接受数据恢复工作*包含用户体验虚拟化

(UE-V),文件夹重定向及离线文件。Microsoft用户状态虚拟化用户状态文件共享瘦客户端VDIwithWindowsServer2012防火墙PoweredbyWindowsServer20121平台•1体验•3部署选择桌面会话池化桌面个人桌面集团办公室分支办公室图书馆/咖啡厅住宅操作系统更多细节:专用虚机vs.池化虚机专用虚机分类池化虚机分类虚机创建虚机以goldimage为模版批量创建是goldimage的全克隆版虚机以goldimage为模版批量创建以goldimage为母盘以差异盘的方式创建虚机更新/打补丁每台虚机独立进行更新采用维护队列方式避免更新风暴通过修改goldimage实现批量更新当用户注销时虚机会被重建虚机的标识信息会被保留倒入现有虚机完全支持对于导入虚机分类不支持更新/打补丁个性化每个用户在第一次登录时会被自动关联到专用的虚机用户可以是本机管理员以便可以完成类似于安装软件的管理任务日常操作完全等同于物理机使用UPD保存用户数据和设置用户每次都会登录到一台全新的虚机用户注销时，虚机会执行回滚用户没有安装应用的权限典型应用场景针对知识工作者的高端桌面用于开发测试的离岸开发工程工作站知识工作者桌面任务工作者桌面驻留旧版本程序远程会话个人桌面池化桌面选择正确的VDI架构：易管理应用程序兼容个性化经济效益操作系统良好优秀Best最佳个人桌面远程会话+用户磁盘

+App-V池化桌面

+用户磁盘+App-V管理成本计算资源成本DAS存储成本

SAN存储成本每个映像=OS+App+用户磁盘每个用户都有专属映像CostsWithApp-V,

StorageforappsOS映像所需存储映像管理服务器基础架构管理工作+App-V使用Windows8和DAS存储的各种部署类型都能降低存储成本(DAS相较于SAN，可以减少大约25%的存储成本)VDI成本构成分析议题需求分析微软VDI架构概述特色功能案例及效益RemoteFX

能够更好的响应不断变化的网络条件，并对内容的编码进行动态优化19文字内容图像内容视频与动画RemoteFX自适应图形RemoteFX渐进式渲染网络公平共享根据活跃会话的数量为所有会话动态分配可用带宽，实现平均的带宽占用磁盘公平共享通过在会话间平均分配磁盘I/O，防止会话过度使用磁盘CPU公平共享根据活跃会话的数量和负载数量，在所有会话间动态分配处理器资源。公平共享体验保持连接的新方式DirectAccess提供自动的透明式连接传统虚拟专用网络（VPN）的兼容性议题需求分析微软VDI架构概述特色功能案例及效益VDI解决方案需考虑的关键问题：忽略交付结合方式，只提供单一的方式忽视带宽，未计算正确工作负载下的需求忽视延迟的影响，终端、服务器、应用、外设、打印机忽略用户的管理，造成用户之间相互影响忽略登录时间影响忽视峰值负载需求未采取正确的负载均衡方式忽略其它VDI相关技术启动风暴，杀毒风暴过度的定制及手工操作按照我们此前的项目经验，建议虚拟实例和宿主机的整合比不超过40：1，超过改整合比例可能会在网络和存储上形成性能瓶颈，进而刺激成本的增长

按照一台宿主机支撑40台虚机，每台虚机配置2个vCPU，2GB内存，50GB存储空间，则建议的服务器硬件配置为：CPU：按照物理CPU和vCPU1：4的比例，支撑40台虚机，需要20个物理core，考虑到CPU性能通常不是性能瓶颈，可以使用4路4核或者2路12核CPU内存：40台虚机共需80GB内存，考虑到冗余及服务器本身所需的内存，内存最低配置为96GB，建议配置为128GB网卡数量：如果采用iSCSI类型存储，每台服务器至少配置6块网卡，如果使用FCSAN作为后端存储，则服务器以太网卡的数量也至少需要4块对于远程会话用户，同等配置的硬件服务器可以支撑100个用户的使用存储容按照每用户50GB的空间划分，共需要N*50GB，通常还应考虑15%的弹性空间为确保性能建议使用高转速SAS硬盘，RAID0+1模式如果采用SAN，通常FCSAN较IPSAN有更好的性能和稳定性VDI服务器及存储规划建议：网络链路规划—用户操作台端到虚拟桌面1、操作带宽在无视频流应用，标准的Office办公环境下，需保证80kbps~160kbps的网络带宽，用于会话虚拟化层的操作指令及桌面云端画面传输，保障流畅的用户体验。（1280*768分辨率,16bit,无背景桌面）2、外设重定向数据交互当用户在虚拟桌面中使用本地的外设，如音频、摄像头、打印机、扫描仪等时，会需要额外的带宽，其中音频带宽约30kpbs3、配置会话公平共享通过会话公平共享的方案，避免用户抢占资源，保证用户体验网络链路建议：基于客户的应用场景，以最基本的B/S架构为主，则建议规划每用户60kbps以上的网络带宽，同时尽可能的改进延迟可用性规划建议：1、业务应用：RDSWeb\RDGW做为安全操作的边界及跳板，需要保障虚拟桌面到业务应用之间的带宽及可用性2、数据存储：将用户的配置和数据集中进行保存，通过扩展文件服务器透明故障转移群集实现高可用性3、VDI虚机高可用性：VDI实例通过微软Hyper-V群集实现全局高可用性4、会话负载均衡：虚拟桌面的会话连接通过RDS连接代理实现负载均衡以及会话保持，用户网络断开恢复时，RDS连接代理能够恢复会话的工作状态5、网络链路：为每桌面规划不低于60kbps带宽并且延迟小于100ms，掉包率小于0.5%的链路，以保障可用性和用户体验虚拟桌面安全方案：1、数据传输安全在虚拟桌面方案中，终端与虚拟桌面网络之间仅传递加密的操作指令及回显画面，同时仅允许网络层身份验证的终端连接到桌面，必要时，还可以使用IPSEC保护传输安全（非建议措施，会显著影响性能）2、访问接入安全在非专线接入时，为保障安全性，可以在为虚拟桌面规划远程访问网关角色，避免虚拟桌面服务器暴露在不安全的网络上，并保护真实的内部拓扑，在接入时，还可以引入NAP机制，对接入终端进行健康检查3、身份验证安全默认情况下，虚拟桌面通过Kerberos方式验证，有存在网关时，会进行两次验证，并可以结合双因素身份认证服务，终端用户需经过双因素身份验证（RSA、RADIUSOTP令牌以及智能卡）后才能访问4、数据存放安全通过策略，限制本地设备及资源，数据全部使用USV方式集中保存在配置服务器，在配置服务器可集中通过RMS、EFS、Bitlocker以及DAC技术对存放的数据进行加密、访问保护虚拟桌面案例收益分析：信息安全能耗入职申领PC66瓦24小时10分钟235瓦本地存储严格防范云端存储轻松防范

传统PC机方式虚拟桌面效果PC/服务器设备100032台服务器+1000瘦客户端节省14%的投资入职申领办公设备9万元/年1800元/年节省98%的费用1天/人次10分钟/人次用户迁移（升级系统，更换电脑）22万元/年4万元/年节省80%的费用2小时/人次20分钟/人次能耗235瓦/PC66瓦/PC节省72%维护效率<100台/人>1000台/人提高9倍设备更新频率3年10年节省75%175万元/年43万元每年总成本/年2867元/台554元/台节省80%虚拟桌面推进方案：阶段一：过渡并存阶段在托管数据中心构建好虚拟桌面之后，原有的桌面既能够通过RDP协议连接到虚拟桌面，访问业务应用，也能够在原有桌面上直接访问业务应用。阶段二：设备利旧阶段在用户逐步适应虚拟桌面访问之后，确保无损的性能使用体验，并利用到虚拟桌面的会话保持，工作快速恢复特性之后，调整网络安全策略，原有桌面不再能够直接访问业务应用，仅支持桌面连接到虚拟桌面，通过虚拟桌面访问业务应用。阶段三：持续运维更新在原有的桌面硬件淘汰或计划性的更换时，将原有的胖客户端替代为瘦客户端，通过瘦客户端连接到虚拟桌面，带来更佳的经济效益并减少管理成本。阶段四：扩大虚拟桌面规模当业务规模持续增长时，有可能需要扩大可支撑的桌面数量，基于会话集合与连接代理的方式，可以快速的向集合中添加VDI虚机和宿主机主机，以扩展桌面规模，需要注意的是，在扩展虚机桌面规模时，还需要考虑到网络、IO以及相应的配套系统的扩展微软相关支持：微软团队Assessment&RoadmapTacticalSolutionsStrategicSolutionsSupportRiskAssesment解决方案加速器MicrosoftAssessmentandPlanning(MAP)ToolkitMicrosoftDeploymentToolkit(MDT)SecurityComplianceManager(SCM)InfrastructurePlanningandDesign(IPD)MicrosoftOperationsFramework(MOF)Governance,Risk,&Compliance(GRC)基础架构规划设计指引(IPD)DirectAccessDynamicDatacenterExchangeOnline—EvaluatingSoftware-plus-ServicesExchangeServerFileServicesForefrontIdentityManager2010InternetInformation