成功案例

当前位置:首 页 >> 关于中达 >> 成功案例

Citrix Xendesktop解决方案

发布者: 发布时间:2018-04-11 05:10 浏览次数:2382

1、方案总体概述

1.1、架构总体介绍

  为了实现企业应用、桌面、数据的统一的管理,虚拟化及交付基础架构提供了用户到应用和桌面的端到端解决方案,可将任何应用、桌面、数据交付给任何用户,并提供最佳的性能、最高的安全性、最低的成本及最强的灵活性。

  思杰交付中心云解决方案,将数据中心转变成交付中心,其组成架构如下图所示:

 

关键组件解释如下:

  • Citrix XenApp – 虚拟应用:支持客户端和服务器端应用虚拟化的端到端Windows应用交付系统;
  • Citrix XenDesktop –虚拟桌面:以更低成本更安全、更可靠地直接通过数据中心交付Windows桌面;
  • Citrix XenServer/CloudPlatform – 虚拟服务器/Iaas云平台:交付动态数据中心最简捷、最有效的方式;
  • Citrix NetScaler – 接入网关和负载均衡:为企业核心业务实现高效的应用层负载均衡,为终端用户接入企业访问应用程序和桌面提供接入网关,为IT 人员提供了细粒度的应用层策略和行为控制能力,可保障应用和数据访问的安全,同时让用户可单点访问所需的应用和桌面。
  • Citrix XenMobile – 提供新一代的移动设备管理解决方案,保护企业在移动访问下的安全性。
  • Citrix Receiver – 接收器:允许 IT 组织将桌面或应用程序

  思杰交付中心是以安全为出发点设计的,是提供安全接入的基础,而非事后的弥补。桌面、应用程序、数据都集中运行在思杰服务器上,数据不落地,员工可以使用原有的操作习惯和使用方式来使用这些应用。

  基于策略的控制让IT部门能轻松地限制什么人能接入哪些信息以及什么时候接入等细粒度的安全管控。所有的信息都是虚拟化的并且是以加密的方式进行传输的,使用户能安全利用非信任网络。最终,思杰能高效管理经由多种接入网关传输的验证过程,从而有效防护任何资源的前门。总而言之,这种安全手段为那些希望扩展接入的机构提供了恰当的保护等级,而没有泄密安全。

  采用思杰接入基础架构的产品和服务,管理员可以设置端到端的接入策略,指定每种特定接入情境下可接入哪些内容。接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。通过创建接入策略,管理员能更轻松地控制对敏感数据的接入。

  这些策略还需考虑三种不同的接入因素:谁正在接入应用;他们使用的是哪种类型的客户端设备,如台式机、笔记本电脑、智能手机、平板电脑或自助查询终端;以及他们所处的位置,比如在他们通常的工作地点,在其它办公室,或在路途中。

  这都意味着一种更复杂的接入控制判定,包括选择性信任,要求有比简单的Yes/No更多的控制内容,因为这些因素控制着用户如何接入应用,而不仅仅是用户是否接入应用。用户可能被全部授权、部分授权或不被授权接入应用。举例来说,如果用户在路途中,可能获准以只读权限接入文档,而不能编辑。

1.1.1、虚拟应用交付

  即XenApp,应用虚拟化模式。应用保持传统方式,通过ICA协议传递到用户现有的桌面使用,从传统的“安装后运行“改变为“点击后运行”。

  此外,还能根据需要将虚拟应用以离线形式发布到用户现有电脑上,供用户离线时使用。虚拟应用在本地设备上运行,但集中进行管理。因为虚拟应用能够脱机工作,因此这种模式也是移动用户的理想选择。

1.1.2、虚拟共享桌面

  集中管理共享桌面的实质是发布共享的Windows服务器的桌面,可提供封闭、经过简化的标准环境,提供一组核心应用,适合不需要(或者不允许)个性化定制的任务型员工。这种模式最多可在一台服务器上支持500位用户,与任何其他虚拟桌面技术相比都可以大大节约成本。后台基于Windows Server 2003或2008服务器,使用Citrix XenApp发布服务器的桌面给前端用户同时访问,配置严格的组策略保护共享的服务器工作环境。主要用在应用相对比较简单、用户个性化需求不高的场景。不少中小外企就是将这种手段配合瘦客户机使用,时间长的已经部署接近十年。

1.1.3、虚拟独占桌面(VDI)

 提供个性化Windows桌面体验,通常适用于办公室工作人员 ,能够通过任何网络安全地交付给任何设备。这种方案结合了集中管理和全面用户个性化定制的优点,每台服务器一般能支持60到70个桌面。

  基于虚拟机的集中管理桌面实质是传统意义上狭义的桌面虚拟化VDI,把Windows XP/Vista/7/8的桌面运行在后台的服务器上,例如一台物理服务器通过服务器虚拟化技术可以同时运行60个Windows XP,再通过ICA协议把XP的桌面远程传输到60个用户的终端设备上,用户在面前的设备上看到的其实是个虚拟的影子,真正的桌面运行在数据中心。适用于应用相对复杂,用户个性化要求高的场景。

  这种桌面虚拟化场景又可以细分为保存状态和无状态两种。保存状态是指用户和后台虚拟机一对一绑定,用户对虚拟桌面的修改会保存在虚拟机中;无状态是指从一个磁盘镜像中启动多个用户的虚拟机,这些虚拟机保持只读状态,用户对虚拟桌面的任何修改会在注销后消失。前者用户拥有更大的自主权限,但管理复杂、存储资源占用很大;后者用户不能对操作系统进行修改,权限受控,但一对多的理念使管理简单,同时不会占用大量的存储资源。

1.1.4、远程访问PC桌面

  作为其他集中管理桌面方案的有力补充,Citrix也提供对现有PC桌面的远程访问。采用与上述桌面方案相同的架构,充分利用现有的PC设备,同时又能够兼顾方便灵活的访问方式和保证信息数据的安全。Remote PC的使用,能够最大限度利用原有PC机硬件或者保留用户的现有使用体验,甚至可使得用户在不同终端使用方式间的平滑过渡,而不间断起工作。Remote PC提供了一个灵活的选择,使用Remote PC,将可以帮助最终用户:

  •    不再需要专门的VPN通道访问个人PC;

  •    认证通过DDC来进行,比如可以实现双因素认证;

  •    不需要记住个人PC的主机名和IP地址;

  •    在物理PC上得到全部的HDX体验;

  •    一个用户可以被分配多个桌面,而多个用户也能分配一个桌面;

  •    提供新的WDDM显示驱动;

  •    和本地显示驱动和平相处;

  •    使用了ThinWire,可以支持任意设备,也能实现Aero效果;

  •    电源管理功能:即使在远程PC关机时也能远程执行开机操作(必须要Intel AMT技术支持);

1.1.5、基于本地客户端并集中管理的流桌面

  基于流技术的无盘桌面利用富客户端的本地计算能力,同时集中管理桌面的统一镜像。这种方法很简便而且成本低廉,能够利用现有PC资源并最大限度降低数据中心开销,帮助客户实施桌面虚拟化。它还适用于使用无盘PC的政府部门和大学实验室,确保最高的数据安全性。

  Citrix Provisioning Server(无盘方式) 采用流技术通过网络将单一标准桌面镜像,包括操作系统和软件按需交付给物理/虚拟桌面。一方面可以配合第二个场景实现VDI单一镜像管理;另一方面适用于三维图形要求更高的环境,除了硬盘之外,内存、CPU、GPU都调用本地的计算资源,所以性能基本和传统桌面没有区别。国内不少企业的设计部门都在使用。

1.1.6、基于本地客户端虚拟化的离线管理桌面

  Citrix XenClient技术能够实现客户端虚拟化,这种技术支持离线使用,适合企业的移动用户。XenClient是Citrix和Intel一起研发的,本质就是把服务器虚拟化技术中广泛采用的ParaHypervisor移植到客户端。

1.2、详细架构设计

  整个系统平台通过思杰安全网关作为数据中心总入口,接入层的对外防火墙上只需开放特定端口(TCP 443/8443)即可供用户访问,较少的端口提高了系统访问的安全性。用户只要接入到网络里面,在任何地方都可以访问虚拟应用/桌面平台,不局限于内网还是外网,也不局限于任意终端设备。由于虚拟应用/桌面的安全特点,数据始终不落地,有效保证用户访问的数据安全性。

  方案在逻辑上分为两个部分:

  • 数据中心
  • 用户接入

1.2.1、数据中心详细架构设计

  按照逻辑拓扑图建设三个逻辑功能层(接入层、应用交付层、核心应用层),现分别说明如下:

  • 内外网访问与安全保障

  为了满足用户对于内外网访问的需求,同时又保证数据的安全性,我们在数据中心内建设办公网应用交付平台,内外网终端所在网络与应用交付平台通过防火墙隔离,保证了网络的安全和数据的隔离性。

  NetScaler安全接入网关设备是接入层的核心组件,其作用主要有:

  • 协议代理:作为ICA协议的反向代理,把所有从终端设备网段到应用交付层之间的通讯封装在使用443端口的加密通道中。

  协议代理模式可以极大简化企业防火墙地址转换(NAT)和准入策略的维护工作量。没有NetScaler的情况下,用户的终端设备需要直接访问XenApp或VDI虚拟机的TCP 1494和2598端口,因此在终端设备网段和应用交付层之间的防火墙上配置的地址转换和准入策略的数量与XenApp或VDI虚拟机的数量有关。当有大量XenApp或VDI虚拟机需要发布到用户网段,管理员需要花费较多工作量修改防火墙的配置。

  如果在终端设备网段和应用交付层之间部署了NetScaler, 所有用户终端设备都只需要访问经过转换后的NetScaler IP地址的TCP 443端口,防火墙上只需要配置一条地址转换和准入策略,策略的数量与XenApp或VDI虚拟机的数量无关。

  • 负载均衡:NetScaler作为业界No.1的7层负载均衡设备,可以为包括StoreFront门户网站、桌面虚拟化控制器(DDC)的XML服务、PVS服务在内的诸多组件提供负载均衡,实现高可用。
  • 网络隔离:在一个存在多个相互隔离的网段的环境中,用户如果希望通过一个终端设备同时访问多个网段的资源,如位于开发网的终端设备希望安全地访问办公网的OA系统,可以通过NetScaler把办公网的OA客户端以虚拟应用或虚拟桌面的方式单点发布到开发网;通过这种方式,办公网只需要把NetScaler的一个IP地址和443端口暴露给开发网,大大减少了两个网段之间需要开放访问权限的IP地址和端口数量,为“终端合一”的网络隔离需求提供了更安全的实现方式。如下图所示:

  • 应用汇聚与统一访问

  应用交付平台最终通过Citrix NetScaler安全接入网关设备统一交付应用及桌面资源,用户只需访问统一的发布门户,系统就会根据用户身份来自动判别并分配应用,对用户的访问权限实现了细粒度的控制,以确保有效的权限访问合法授权的应用资源。

  思杰虚拟化技术在网络上并不传输真实的业务数据,加上终端所在网段及应用交付网段之间严格的用户权限保障,因此,方案足以保证两网隔离的安全性。

  以下是应用交付层的各个功能模块:

  基础架构服务器集群

  基础架构服务器运行各种管理角色的虚拟机,每个角色的作用如下:

  • 虚拟发布门户服务器(StoreFront):提供桌面云的发布门户网站,用户身份验证后可在门户网站中看到自己可用的虚拟桌面和虚拟应用。
  • 许可证服务器(License):负责Citrix桌面虚拟化的许可证管理和查询。
  • 活动目录(AD):服务器提供标准的LDAP目录服务,负责用户的身份验证和所有桌面虚拟化组件之间的信任互访。
  • 数据库服务器(DB):负责存放桌面虚拟化以及应用虚拟化的所有配置信息,同时也可以保存这些服务器的历史性能数据。
  • 应用虚拟化服务器(XenApp):负责向用户推送虚拟应用或共享桌面。
  • 桌面虚拟化控制器(DDC):是虚拟桌面基础架构的核心,提供如下服务:
  • XML服务:负责Web Interface组件与XenDesktop服务器群之间的通信。XML服务验证用户身份,提供可用的虚拟桌面列表,并生成相应的信息让终端能够连接到虚拟桌面;
  • 控制器服务:负责虚拟桌面上虚拟桌面服务的通信。控制器服务进行虚拟桌面注册并保持虚拟桌面状态;
  • 资源池服务:基于XenDesktop服务器群配置,资源池服务联系虚拟化基础架构来启动和关闭虚拟桌面;

  虚拟桌面/应用承载服务器集群

  虚拟桌面/应用承载服务器底层使用XenServer服务器虚拟化技术,每台物理机上虚拟出一定数量的虚拟桌面,目前支持客户端操作系统(Windows 7/8/8.1)和服务器操作系统(Windows 2008/2008 R2/2012/2012 R2),桌面上除了承载标准的办公应用外,还运行着一个Citrix的特殊服务:

  • 虚拟桌面代理服务:负责与Desktop Delivery Controller进行注册并保持与控制器的心跳检测。如果心跳检测失败,虚拟桌面服务将重新与另一个可用的Desktop Delivery Controller进行注册。

  OS镜像管理和交付模块

  OS镜像管理和交付模块是由Provisioning Server(置备服务器,简称PVS)组件来完成的。PVS在虚拟化基础架构上为所有的用户提供了桌面操作系统镜像。一个基本的操作系统镜像被创建,包含了操作系统级的配置。每个桌面启动时,操作系统会经由网络通过流技术交付给虚拟桌面。管理员只需要对基本镜像进行升级,所有虚拟桌面将会在下一次重启时使用最新的镜像。

  通过PVS服务器来集中管理和交付桌面镜像,使OS的镜像管理大大简化,通过1个或数个镜像的部署和升级,就能简单实现成百上千的虚拟桌面的部署和升级维护,大大简化了镜像管理的流程和工作量,使桌面更加稳定和安全。

  • 资源交付类型的管理

  系统可以向用户直接交付应用程序或整个桌面,并为用户统一分配存储空间,应用交付平台可以细粒度地根据用户应用需求来决定发布的资源。

  当普通办公用户从内网访问时,平台可对其发布共享桌面,为用户提供桌面环境的同时降低后台投资成本;当相同的用户移动办公或在家办公时,平台可直接将虚拟应用发布到用户的移动终端设备上,虚拟应用的方式简化了用户的操作流程,提高用户在移动场景下的办公效率。

  • 系统运维管理

  整套虚拟化系统均运行于服务器虚拟化平台上,服务器虚拟化为所有虚拟化系统提供了标准、兼容、高可靠的执行环境,同时,还提供了冗余性等安全保障,通过虚拟化平台,实现了数据中心的自动化运维。

  对于用户来说,所有的应用程序、桌面均由统一的镜像生成,后期的补丁更新、软件安装等操作只需要管理员更改黄金镜像,即可对特定或所有用户实现统一的更新,高效快捷。同时,对于用户的日常运维来说,由于用户的操作均在数据中心完成,管理员对于用户日常遇到的各种问题(操作系统、应用程序、配置等)均可在数据中心里进行维护操作,提升了IT运维效率。

1.2.2、用户接入详细架构设计

  系统需要向以下两类用户提供服务:

  •   内网办公用户
  •   外网办公用户

  内网办公用户

  XX单位通过运营商高质量的专线网络将总部数据中心与各分支机构进行互联,基于虚拟化技术的移动工作空间能够实现如下功能:

  • 内网高效灵活办公

  虚拟化后,用户的应用程序、桌面、数据与终端设备之间的硬耦合关系被打破,用户可以在内网任意终端设备上通过自己的账户来访问自己的资源,资源随人走,所有用户在内网任意地点、任意终端设备均可开展办公。

  如某用户离开办公室自己的工位到会议室参加会议,无需携带任何资料介质,只需通过会议室的终端设备(PC或瘦客户机)登录移动工作空间即可访问到与在工位上办公时一致的办公资源,在离开工位时正在进行中的工作状态(如编辑到一半的文档)会无缝切换到会议室的终端设备上。

  同样,该用户到其他分支机构办公,也无需携带任何办公终端设备和介质,直接使用当地的计算机终端即可访问自己原有的办公应用或桌面,方便而高效。

  • 数据安全保障

  用户内网办公无需携带介质,终端设备也不会驻留任何业务数据,因此,方案在实现了用户灵活办公的同时保障了数据的安全性。

  外网办公用户

  外网主要满足用户移动办公的需求,用户无论在任何地点、使用任何终端设备(家用PC、笔记本、iPad、iPhone、Android平板及智能手机)均可安全高效地接入企业内网、访问办公应用,很好地满足了移动办公及在家办公的需求。

  因此,用户即使下班回家或到异地出差期间,也可以通过该系统安全接入企业内网继续办公。

1.2.3、物理设备连接设计

1.3、用户访问流程设计

1.3.1、客户端设备的支持

  桌面虚拟化解决方案将桌面和应用的运行全部集中到数据中心,因此对客户端要求大大降低,可以使用各种接入设备和系统访问

  支持的终端设备操作系统列在下表中:

 

Microsoft

Apple

Linux and UNIX

其它

Windows XP/Vista/7/8/8.1

Mac OS X

SUSE Linux, Ubuntu

Android

Windows Server 2003/2008 R2/2012

iPhone

RedHat, CentOS, Fedora

BlackBerry

Windows Embedded Standard (WES)

iPad

HP-UX 10.2 or above

Chrome OS

Windows CE

iPod Touch

IBM AIX 4.3.1 or above

EPOC/Symbian OS

Windows Phone

 

Sun Solaris 1.0 or above

Java

Windows Mobile

 

 

IBM OS/2

 

  • PC或瘦客户机访问流程介绍

  可通过PC浏览器(IE, Firefox,Chrome,Safari)访问企业的统一应用门户,输入用户名和密码:

  身份验证成功后,可以得到授权应用程序和桌面的页面,如下图,是该用户授予访问的各项应用

  用户点击相应的应用程序图标,即可获得这些应用程序(用户设备无需安装这些应用程序)

  用户也可以获得完整的Windows桌面,如下图,用户点选“桌面”选项卡

  用户点选相应桌面的图标,即可获得一个完整的Windows桌面。 

  • 平板电脑访问流程介绍

  Citrix Receiver是终端设备访问移动工作空间的客户端软件,对于受MDM管理的平板电脑,MDM服务器会自动将Citrix Receiver推送到平板电脑;对于不受MDM管理的平板电脑,用户可到苹果或安卓应用商店中下载并安装“Citrix Receiver”。

  Citrix Receiver就像应用程序商店一样展现企业应用列表,用户可以点击应用图标选取自己需要的应用程序。

  用户可以通过ipad打开所有Windows应用程序 。

  • 智能手机访问流程

  智能手机的访问流程同平板相同。

 

 

 

 

【返回】【关闭】