云桌面平臺解決方案

來源：廣東坤通科技有限公司日期：2020-01-13 點擊：9215 屬于：解決方案

方案目標與收益

實現(xiàn)內(nèi)外網(wǎng)安全高效的移動辦公,，提升用戶工作效率和便捷性

通過建設,，實現(xiàn)用戶無論在內(nèi)網(wǎng)還是外網(wǎng)均能高效、靈活進行移動辦公，并能夠支持多種移動智能終端設備的訪問，如iPad平板電腦、iPhone智能手機、Android系列的平板電腦、智能手機等設備的無縫接入,。用戶無論在任何地點，使用任何終端設備,，均可以安全,、高效、快速的進行辦公,。

實現(xiàn)用戶內(nèi)外網(wǎng)訪問的數(shù)據(jù)安全保障

通過建設,，在滿足用戶訪問內(nèi)外網(wǎng)資源的前提下實現(xiàn)內(nèi)外兩網(wǎng)的安全有效隔離，通過虛擬化技術(shù),，實現(xiàn)兩個網(wǎng)絡的虛擬化隔離,，用戶看到的僅是應用程序的執(zhí)行畫面結(jié)果而并非真實數(shù)據(jù),，用戶不能夠?qū)?nèi)網(wǎng)數(shù)據(jù)傳輸?shù)酵饩W(wǎng)，但又能夠操作使用內(nèi)網(wǎng)資源,，保證了企業(yè)數(shù)據(jù)安全的同時滿足用戶的應用需求,。

細粒度的安全接入管控

交付平臺可根據(jù)用戶終端的位置(安全或非安全區(qū)域)、終端的合規(guī)情況,、用戶的部門屬性等條件,，靈活定義用戶終端訪問企業(yè)資源的權(quán)限，阻斷從非安全區(qū)域訪問的終端設備把各種安全威脅帶進企業(yè)內(nèi)網(wǎng)的可能性,。

提升桌面運維效率

項目建設后,，所有應用程序、桌面,、數(shù)據(jù)均運行于數(shù)據(jù)中心，客戶端設備弱化為訪問終端,，管理員僅需在數(shù)據(jù)中心內(nèi)即可實現(xiàn)對用戶應用,、桌面的統(tǒng)一運維，這包括日常的故障排查,、補丁更新,、軟件安裝、系統(tǒng)升級等各項操作,，簡化了客戶端的運維管理工作,，實現(xiàn)集中化、高效,、統(tǒng)一的桌面IT運維,。

降低企業(yè)信息化總體擁有成本

方案設計原則
1. 先進性

采用目前市場上主流產(chǎn)品及解決方案，滿足用戶未來5年內(nèi)的發(fā)展趨勢,；
1. 安全性
桌面和應用全部運行在數(shù)據(jù)中心的服務器上,，集中進行安全管控；
用戶無法隨意將內(nèi)部資料和文件等涉密信息從研發(fā)工作桌面上取走,；
可以制定嚴格的訪問策略,，細粒度地控制最終用戶對桌面應用的訪問權(quán)限，例如是否可以復制粘貼或?qū)⑽募４娴教摂M桌面,，導致數(shù)據(jù)泄露,。
1. 可靠性
服務可用性即沒有直接影響整體架構(gòu)問題的單點故障。
所有功能組件必須支持冗余或高可用性,，某些功能組件出現(xiàn)故障也不受影響所有用戶,，其次允許個別用戶會話盡可能自動恢復。
如有需要,，部署主動監(jiān)控服務,、報警機制,、負載共享或故障切換機制，應無縫轉(zhuǎn)移負荷不用的資源,，同樣不必要加載失敗的節(jié)點,。
1. 最終用戶體驗
良好的用戶體驗，虛擬桌面能夠提供與目前用戶使用的PC一樣的各種功能,。
用戶的客戶端設備可以使用各種操作系統(tǒng)和配置的硬件設備來訪問桌面/應用和數(shù)據(jù),。如：筆記本、PC機,、瘦客戶機,、各種智能手機、平板電腦等,。
管理員應該有必要的監(jiān)測能力,，評估最終用戶體驗和排除故障所需的工具，以找出問題,，并計劃調(diào)整受到影響的服務質(zhì)量,。
未來終端用戶可以通過不同類型的網(wǎng)絡流暢地進行工作。
1. 可擴展性
作為最終目標的桌面虛擬化的基礎建設,，在設計中支持5000或更多的虛擬桌面,。
平臺設計支持平滑的用戶規(guī)模升級擴容，擴容過程不影響當前用戶的正常使用,。
功能模塊化可以為未來的發(fā)展提供基礎,，當數(shù)量或應用等發(fā)生變化，功能模塊化可以很容易地適應,，而無需重新設計或重新設計整個基礎設施 ,。可以很容易擴展到5000或更多,。
同時,，對于新增或淘汰設備可以逐步更換為能耗更低、生命周期更長且軟硬件免維護的瘦客戶機,，最大化度減少客戶端的維護管理工作,，并有效節(jié)省運營成本。

思杰方案總體概述
1. 思杰交付架構(gòu)總體介紹

為了實現(xiàn)企業(yè)應用,、桌面,、數(shù)據(jù)的統(tǒng)一的管理，思杰虛擬化及交付基礎架構(gòu)提供了用戶到應用和桌面的端到端解決方案,，可將任何應用,、桌面、數(shù)據(jù)交付給任何用戶，并提供最佳的性能,、最高的安全性,、最低的成本及最強的靈活性。
思杰交付中心云解決方案,，將數(shù)據(jù)中心轉(zhuǎn)變成交付中心,，其組成架構(gòu)如下圖所示：

關鍵組件解釋如下：

Citrix Virtual Apps – 虛擬應用：支持客戶端和服務器端應用虛擬化的端到端Windows應用交付系統(tǒng)；
Citrix Virtual Desktops –虛擬桌面：以更低成本更安全,、更可靠地直接通過數(shù)據(jù)中心交付Windows桌面,；
Citrix Hypervisor – 虛擬服務器平臺：交付動態(tài)數(shù)據(jù)中心最簡捷、最有效的方式,；
Citrix ADC – 接入網(wǎng)關和負載均衡：為企業(yè)核心業(yè)務實現(xiàn)高效的應用層負載均衡,，為終端用戶接入企業(yè)訪問應用程序和桌面提供接入網(wǎng)關，為IT 人員提供了細粒度的應用層策略和行為控制能力,，可保障應用和數(shù)據(jù)訪問的安全,，同時讓用戶可單點訪問所需的應用和桌面。
Citrix Receiver – 接收器：允許 IT 組織將桌面或應用程序

思杰交付中心是以安全為出發(fā)點設計的,，是提供安全接入的基礎,，而非事后的彌補。桌面,、應用程序、數(shù)據(jù)都集中運行在思杰服務器上,，數(shù)據(jù)不落地,，員工可以使用原有的操作習慣和使用方式來使用這些應用。
基于策略的控制讓IT部門能輕松地限制什么人能接入哪些信息以及什么時候接入等細粒度的安全管控,。所有的信息都是虛擬化的并且是以加密的方式進行傳輸?shù)?，使用戶能安全利用非信任網(wǎng)絡。最終,，思杰能高效管理經(jīng)由多種接入網(wǎng)關傳輸?shù)尿炞C過程,，從而有效防護任何資源的前門?？偠灾?，這種安全手段為那些希望擴展接入的機構(gòu)提供了恰當?shù)谋Ｗo等級，而沒有泄密安全,。
采用思杰接入基礎架構(gòu)的產(chǎn)品和服務,，管理員可以設置端到端的接入策略，指定每種特定接入情境下可接入哪些內(nèi)容,。接入策略可以考慮用戶,、群組、設備類型、網(wǎng)絡位置和端點安全性,。通過創(chuàng)建接入策略,，管理員能更輕松地控制對敏感數(shù)據(jù)的接入。
這些策略還需考慮三種不同的接入因素：誰正在接入應用,；他們使用的是哪種類型的客戶端設備,，如臺式機、筆記本電腦,、智能手機,、平板電腦或自助查詢終端；以及他們所處的位置,，比如在他們通常的工作地點,，在其它辦公室，或在路途中,。
這都意味著一種更復雜的接入控制判定,，包括選擇性信任，要求有比簡單的Yes/No更多的控制內(nèi)容,，因為這些因素控制著用戶如何接入應用,，而不僅僅是用戶是否接入應用。用戶可能被全部授權(quán),、部分授權(quán)或不被授權(quán)接入應用,。舉例來說，如果用戶在路途中,，可能獲準以只讀權(quán)限接入文檔,，而不能編輯。

1. 1. HDX協(xié)議

思杰桌面云的核心技術(shù)協(xié)議是HDX協(xié)議,，該協(xié)議連接了運行在平臺上的應用客戶端運行環(huán)境和遠端終端設備,，通過HDX的32個虛擬通道（分別傳遞各種輸入輸出數(shù)據(jù)如鼠標、鍵盤,、圖像,、聲音、端口,、打印等等）,，運行在中心服務器上的應用運行環(huán)境的輸入輸出數(shù)據(jù)重新定向到遠端終端設備的輸入輸出設備上，因此雖然應用應用客戶端軟件并沒有運行在客戶端設備上,，但是用戶使用起來和在客戶端安裝運行客戶端軟件相比,，沒有感覺任何操作上的改變。
HDX協(xié)議如下圖所示:

HDX協(xié)議是一種高效率的數(shù)據(jù)交換協(xié)議,，采用了數(shù)據(jù)壓縮,、加密和連接優(yōu)化技術(shù)，每一個用戶的連接只占用50K-100K的網(wǎng)絡帶寬，而實際運行的客戶端軟件位于后臺的局域網(wǎng)內(nèi),，因此終端用戶相當于用撥號線的鏈路就可以享受到局域網(wǎng)內(nèi)的運行速度,。
HDX通過八大技術(shù)實現(xiàn)全面的外設接入支持,細粒度的安全管控，并呈現(xiàn)給用戶最優(yōu)的高清體驗:

HDX Broadcast: 適應任何網(wǎng)絡的交付優(yōu)化技術(shù)
HDX Adaptive Orchestration（自適應業(yè)務流程）: 對終端資源,、網(wǎng)絡和服務器資源的最大利用
HDX MediaStream: 無縫的（連貫流暢的）多媒體體驗
HDX RichGraphics with RemoteFX: 高畫質(zhì)圖像,支持RemoteFX
HDX RealTime（實時）: 實時的語音和視頻
HDX Plug-n-Play（即插即用）: 外設的便捷訪問
HDX SmartAccess（智能訪問）: 任何訪問地點的安全訪問
HDX WAN Optimization（廣域網(wǎng)加速）: 性能和帶寬優(yōu)化

1. 1. Framework技術(shù)

在Citrix Virtual Apps and Desktops早期版本中,，思杰將Framehawk技術(shù)整合進HDX協(xié)議，極大地提升了在不穩(wěn)定的網(wǎng)絡,，例如無線寬帶環(huán)境下的用戶體驗,。
現(xiàn)在的員工都不愿意被束縛在連接到固定網(wǎng)絡的傳統(tǒng)PC機上工作，在移動化浪潮下,，我們希望拿著我們的手機,、平板以及筆記本電腦在大樓間移動，在校園中移動,，訪問通過WIFI網(wǎng)絡支持的由Citrix Virtual Apps和Citrix Virtual Apps and Desktops提供的虛擬應用和虛擬桌面,。但是現(xiàn)實情況卻不是這么完美，有時候即使是在你的WIFI信號滿格的情況下,，仍然會出現(xiàn)丟包,、網(wǎng)絡擁塞、延遲以及網(wǎng)絡抖動,，當我們上下滾動網(wǎng)頁或者是文檔的時候常常會遇到遲滯的感覺,。
為了在惡劣網(wǎng)絡條件下提升用戶體驗，我們需要解決幀率/幀速和視覺質(zhì)量的問題,，但是對于體驗這個感性的問題來說,，實際情況遠不僅僅是上面談到的兩點。例如我們在平板上打字的時候,，由于沒有看到平板有反應，我們就不停的點擊平板,，其結(jié)果是導致一些錯誤的反應結(jié)果,。Framehawk就是用戶在比較糟糕網(wǎng)絡條件下用于調(diào)節(jié)用戶體驗的技術(shù)。Framehawk會時刻觀察著幀的緩沖區(qū),，同時觀察著屏幕上不同的內(nèi)容類型,，判斷哪些是對用戶重要的部分：當屏幕迅速變化，例如播放視頻或者是移動的圖像的時候,，如果一些像素在播放過程中丟失時,，人體的眼睛實際上是觀察不到的，因為新的數(shù)據(jù)很快就覆蓋掉這些丟失的數(shù)據(jù)了,；但是對一個靜止的屏幕,，人眼是非常挑剔的，例如一個任務欄、一個圖標,，或者是我們正試圖閱讀的一段文字時,，我們希望這些區(qū)域的像素顯示要求非常完美。一般的傳輸協(xié)議在傳輸上肯定要求數(shù)據(jù)不是0就是1,，而Framehawk研究的是人體的感性體驗效果技術(shù),。
在用戶設備端，Framehawk往Citrix Receiver注入了一個用戶意圖的判斷引擎,，分析用戶試圖去做什么動作,。例如在一個高延遲和抖動的糟糕的網(wǎng)絡環(huán)境下，一般用戶的反應會比較夸張,，例如不斷的在不同的屏幕之間切來切去（試圖通知計算機快點發(fā)送變更來,？），又或者在一個按鍵上點擊多次,，因為不確定系統(tǒng)是否接受了之前的點擊,。Framehawk的用戶意圖引擎能辨識出用戶上下滾動頁面，放大縮小,、左移或者右移,，讀的動作、打字的動作,、以及其他的操作動作,，然后把這些動作的指令發(fā)送給虛擬桌面或虛擬應用。如果用戶試圖讀,，那么文本的圖像質(zhì)量需要非常好,；如果用戶在上下滾動頁面，那么需要的就是快速和平滑切換,。
經(jīng)過實驗室的測試,，Framehawk可使用戶在丟包率超過40%的網(wǎng)絡環(huán)境中，仍可流暢訪問虛擬應用及桌面,。

1. 1. 服務器虛擬化平臺兼容性

Citrix Virtual Apps and Desktops采用開放的架構(gòu),，同時支持多種業(yè)界主流的服務器虛擬化平臺和云平臺，包括：

Citrix Hypervisor
VMware vSphere
Microsoft Hyper-V
Nutanix AHV
Microsoft Azure
Apache CloudStack CloudPlatform
Amazon Web Services
Google Platform
IBM SoftLayer
KVM
1. 1. 服務器硬件兼容性

思杰桌面云廣泛地支持主流X86服務器廠商,，包括80多個不同廠商,，1000多種服務器型號。廠商名稱及服務器型號可通過以下官網(wǎng)鏈接驗證：http://hcl.xensource.com/BrowsableServerList.aspx

1. 1. 存儲硬件兼容性

思杰桌面云廣泛地支持主流的存儲產(chǎn)品,，如SAN,、NAS和iSCSI，廠商主流的存儲設備廠商,，品牌包括HP,、IBM,、EMC、HDS,、華為等90多個不同廠商,，900多種存儲型號。廠商名稱及存儲型號可通過以下官網(wǎng)鏈接驗證：http://hcl.xensource.com/BrowsableStorageList.aspx

1. 思杰交付技術(shù)介紹

思杰是桌面虛擬化解決方案領域中的領導者,。不同崗位上的員工需要不同類型的桌面,。有些員工要求簡潔實用和標準化的桌面，有的員工則看重卓越性能和個性化,。
思杰的Citrix Virtual Apps桌面虛擬化結(jié)合了思杰特有的FlexCast™交付技術(shù),，可通過單一解決方案滿足各種要求。利用FlexCast,，IT部門能夠交付各種虛擬桌面– 每種桌面都經(jīng)過專門定制,，可滿足每位用戶的性能、安全性和靈活性要求,。
思杰的虛擬桌面的FlexCast技術(shù),，包含了以下六種技術(shù)，用戶可以根據(jù)其自身桌面應用的需求,，選擇最合適的技術(shù),。

1. 1. 虛擬應用交付

即Citrix Virtual Apps，應用虛擬化模式,。應用保持傳統(tǒng)方式,，通過ICA協(xié)議傳遞到用戶現(xiàn)有的桌面使用，從傳統(tǒng)的“安裝后運行“改變?yōu)?/span>“點擊后運行”,。
此外,，還能根據(jù)需要將虛擬應用以離線形式發(fā)布到用戶現(xiàn)有電腦上，供用戶離線時使用,。虛擬應用在本地設備上運行,，但集中進行管理。因為虛擬應用能夠脫機工作,，因此這種模式也是移動用戶的理想選擇,。

1. 1. 虛擬共享桌面

集中管理共享桌面的實質(zhì)是發(fā)布共享的Windows服務器的桌面，可提供封閉,、經(jīng)過簡化的標準環(huán)境，提供一組核心應用,，適合不需要（或者不允許）個性化定制的任務型員工,。這種模式最多可在一臺服務器上支持500位用戶，與任何其他虛擬桌面技術(shù)相比都可以大大節(jié)約成本,。后臺基于Windows Server 服務器,，使用Citrix Virtual Apps發(fā)布服務器的桌面給前端用戶同時訪問,，配置嚴格的組策略保護共享的服務器工作環(huán)境。主要用在應用相對比較簡單,、用戶個性化需求不高的場景,。不少中小外企就是將這種手段配合瘦客戶機使用，時間長的已經(jīng)部署接近十年,。

1. 1. 虛擬獨占桌面（VDI）

提供個性化Windows桌面體驗,，通常適用于辦公室工作人員，能夠通過任何網(wǎng)絡安全地交付給任何設備,。這種方案結(jié)合了集中管理和全面用戶個性化定制的優(yōu)點,，每臺服務器一般能支持60到70個桌面。
基于虛擬機的集中管理桌面實質(zhì)是傳統(tǒng)意義上狹義的桌面虛擬化VDI,，把Windows 7/8/10的桌面運行在后臺的服務器上,，例如一臺物理服務器通過服務器虛擬化技術(shù)可以同時運行60個Windows 7/8/10，再通過ICA協(xié)議把虛擬機的桌面遠程傳輸?shù)?/span>60個用戶的終端設備上,，用戶在面前的設備上看到的其實是個虛擬的影子,，真正的桌面運行在數(shù)據(jù)中心。適用于應用相對復雜,，用戶個性化要求高的場景,。
這種桌面虛擬化場景又可以細分為保存狀態(tài)和無狀態(tài)兩種。保存狀態(tài)是指用戶和后臺虛擬機一對一綁定,，用戶對虛擬桌面的修改會保存在虛擬機中,；無狀態(tài)是指從一個磁盤鏡像中啟動多個用戶的虛擬機，這些虛擬機保持只讀狀態(tài),，用戶對虛擬桌面的任何修改會在注銷后消失,。前者用戶擁有更大的自主權(quán)限，但管理復雜,、存儲資源占用很大,；后者用戶不能對操作系統(tǒng)進行修改，權(quán)限受控,，但一對多的理念使管理簡單,，同時不會占用大量的存儲資源。

1. 1. 虛擬機托管應用 (VM Hosted App)

VDI獨占桌面和虛擬應用前面已介紹過,，前者可以最佳的支持各種復雜外設,，后者可以更好的做到標準化以及節(jié)省硬件開銷等；那么什么是虛擬機托管應用VM Hosted App呢,？VM Hosted App其實是以VDI獨占桌面的形式來交付某些具體的應用,，即后臺是VDI發(fā)布技術(shù)，前端展現(xiàn)的是虛擬應用效果,。
很多企業(yè)選擇虛擬化解決方案來提高安全,、集中管理,、IT管理效率等能力的時候，從成本,、標準化等角度考慮,，往往更認可虛擬應用的部署方式。但是在某些情況下一些特殊的應用（如需要特殊復雜的外設,、需要運行在32位系統(tǒng)下）難于以虛擬應用的方式來部署,。如果因為這些數(shù)量較少的應用而放棄虛擬應用而全部采用VDI的方式部署將大大增加成本和管理運難的便利性。
Citrix VM Hosted App可以有效解決上述場景中所出現(xiàn)的尷尬局面,，將”特殊應用”后臺以VDI方式發(fā)布,，與虛擬應用完美集成，前端只能看到所發(fā)布出來的這些應用列表,，不能直接訪問虛擬桌面,，達到統(tǒng)一視圖效果，既滿足特殊應用需求的同時,，又充分發(fā)揮出虛擬應用的優(yōu)勢,，達到VDI與虛擬應用的完美結(jié)合。

1. 1. Linux虛擬桌面

Linux系統(tǒng)由于其開源,、穩(wěn)定,、安全等特性，無論是作為服務器還是桌面操作系統(tǒng)已經(jīng)越來越被企業(yè)和用戶所認可,，尤其在科研,、圖形設計、高性能計算等高科技領域,。思杰公司已正式推出Linux操作系統(tǒng)的虛擬桌面,，用戶可以通過相同的使用體驗遠程訪問Linux操作系統(tǒng)。
Linux虛擬桌面的安裝配置非常簡單和便捷,，企業(yè)不需要改變原有的虛擬桌面基礎架構(gòu),，只需在Linux系統(tǒng)上安裝VDA(Virtual Desktop Agent)即可，當前版本支持SuSE Linux和RedHat Linux,，在下個版本中將會支持更多的Linux系統(tǒng),。

1. 1. 遠程訪問PC桌面

作為其他集中管理桌面方案的有力補充，Citrix也提供對現(xiàn)有PC桌面的遠程訪問,。采用與上述桌面方案相同的架構(gòu),，充分利用現(xiàn)有的PC設備，同時又能夠兼顧方便靈活的訪問方式和保證信息數(shù)據(jù)的安全,。Remote PC的使用,，能夠最大限度利用原有PC機硬件或者保留用戶的現(xiàn)有使用體驗，甚至可使得用戶在不同終端使用方式間的平滑過渡,，而不間斷起工作,。Remote PC提供了一個靈活的選擇，使用Remote PC,，將可以幫助最終用戶：

不再需要專門的VPN通道訪問個人PC,；
認證通過DDC來進行，比如可以實現(xiàn)雙因素認證,；
不需要記住個人PC的主機名和IP地址,；
在物理PC上得到全部的HDX體驗；
一個用戶可以被分配多個桌面,，而多個用戶也能分配一個桌面,；
提供新的WDDM顯示驅(qū)動；
和本地顯示驅(qū)動和平相處,；
使用了ThinWire,，可以支持任意設備，也能實現(xiàn)Aero效果,；
電源管理功能：即使在遠程PC關機時也能遠程執(zhí)行開機操作（必須要Intel AMT技術(shù)支持）,；
1. 思杰交付產(chǎn)品介紹

本方案由如下四個產(chǎn)品組件組成，分別介紹如下：

1. 1. 思杰應用虛擬化（Citrix Virtual Apps）

思杰應用虛擬化Virtual Apps提供的應用虛擬化功能,，使用戶所有應用程序的執(zhí)行都發(fā)生在數(shù)據(jù)中心,，用戶的終端接入設備僅作為展現(xiàn)平臺用。這為用戶提供了更為靈活,、多樣的接入終端與使用環(huán)境的選擇,，而企業(yè)對于應用和數(shù)據(jù)的安全控制更為高效可靠。
Virtual Apps實現(xiàn)了對應用,、文件,、數(shù)據(jù)的集中化部署和管理，允許企業(yè)在數(shù)據(jù)中心管理用戶環(huán)境的關鍵應用程序,、數(shù)據(jù),。集中化使企業(yè)能更輕松、更可靠地實現(xiàn)綜合控制,，對需求變化的適應性更快速,、更靈活和更經(jīng)濟實惠。

1. 1. 思杰桌面虛擬化（Citrix Virtual Apps and Desktops）

思杰桌面虛擬化 Virtual Desktops可提供一種端到端的桌面交付解決方案,?？蓜討B(tài)按需產(chǎn)生虛擬桌面，用戶每次登錄時都能獲得一個干凈的,、個性化的全新桌面—從而確保性能不會下降,。此外，Citrix Virtual Apps and Desktops采用的Citrix HDX高速交付協(xié)議還可在任何網(wǎng)絡條件下提供無與倫比的桌面響應速度,。對于IT機構(gòu)而言,，Virtual Desktops可通過分別交付桌面操作系統(tǒng),、應用和用戶設置，大大簡化桌面生命周期管理并顯著降低擁有成本,。
Citrix Virtual Desktopsp可為任意地點的用戶按需交付桌面,，同時顯著簡化生命周期管理。它可提供一種端到端的桌面交付解決方案,，為最終用戶加速交付桌面,，提供更強大的數(shù)據(jù)保護和監(jiān)控，并降低高達40%的擁有成本,。
采用桌面虛擬化技術(shù)可以在數(shù)據(jù)中心集中化管理桌面,，還可輕松實現(xiàn)桌面安全防護，并有效減少桌面終端的運維管理工作,。
Citrix可根據(jù)用戶的不同場景,，通過應用虛擬化和桌面虛擬化的組合實現(xiàn)對用戶環(huán)境的交付。如果應用虛擬化可以滿足業(yè)務應用交付的需求,，則只需要部署應用虛擬化實現(xiàn)應用環(huán)境的交付,；如果用戶需要完整的桌面虛擬化體驗，通過桌面虛擬化方案可以實現(xiàn)包含操作系統(tǒng),、應用,、用戶配置文件和數(shù)據(jù)文件的組裝交付，其中的應用可選擇在虛擬桌面本地部署應用或者通過應用虛擬化實現(xiàn)虛擬桌面內(nèi)的應用交付,。用戶還可根據(jù)場景的需求,，實現(xiàn)僅對虛擬應用的交付，通過直接訪問應用虛擬化云平臺,，實現(xiàn)應用環(huán)境的交付,。

1. 1. 思杰服務器虛擬化（Citrix Hypervisor）

思杰服務器虛擬化Citrix Hypervisor是基于開源Xen®系統(tǒng)管理程序創(chuàng)建的，作為一種企業(yè)級的產(chǎn)品,，Citrix Hypervisor底層管理程序的高效性降低了總開銷,，并使得其上運行的虛擬機接近于本地物理計算性能。Citrix Hypervisor充分利用Intel® VT和AMD®虛擬化（AMD-V™）硬件輔助虛擬化技術(shù),，提供更快速,、更高效的虛擬化計算能力。與其它基于封閉式專用系統(tǒng)構(gòu)建的虛擬化產(chǎn)品不同,，Citrix Hypervisor的開放API讓客戶可以通過現(xiàn)有的服務器和存儲硬件來訪問和控制先進的功能,。
Citrix Hypervisor為關鍵工作負載提供了所需的先進功能，同時提供了大規(guī)模部署必需的簡易操作能力,。利用獨特的應用儲備技術(shù),，Citrix Hypervisor可通過虛擬或物理服務器快速交付工作負載，成為企業(yè)每臺服務器的理想虛擬化平臺。

1. 1. 思杰安全接入網(wǎng)關與負載均衡設備（Citrix ADC）

思杰安全接入網(wǎng)關與負載均衡設備Citrix ADC作為一種完整的虛擬桌面和應用訪問解決方案的硬件組成部分,，為IT 人員提供了細粒度的應用層安全管理及策略和行為控制能力,，可保障應用和數(shù)據(jù)訪問的安全，同時讓用戶可在任何地方開展工作,。該解決方案為IT 提供的單點控制能力和工具可幫助確保企業(yè)內(nèi)外的合規(guī)性及最高的信息安全性,。同時，Citrix ADC讓用戶可單點訪問所需的企業(yè)應用和數(shù)據(jù),，單點訪問功能還針對用戶角色、設備和網(wǎng)絡進行了優(yōu)化,。這一獨特的功能組合幫助企業(yè)最大程度地提高了移動辦公人員的工作效率,。
Citrix ADC可提供強大的接入管理功能，無需任何額外的網(wǎng)絡隧道軟件,，即可實現(xiàn)Citrix Virtual Apps and Desktops 客戶端的安全連接,。同時，Citrix ADC向移動設備提供應用級別的VPN接入(Micro-VPN),，只有安全受控的移動應用(native mobile app)才會獲得進入企業(yè)內(nèi)網(wǎng)的VPN通道,，避免傳統(tǒng)VPN模式帶來的把企業(yè)內(nèi)網(wǎng)暴露在整個移動設備面前的安全威脅。

用戶分組與桌面類型

根據(jù)不同的用戶對桌面的不同需求來提供不同構(gòu)型的虛擬桌面,，而不是一刀切的提供單一架構(gòu)的虛擬桌面類型,，是我們解決優(yōu)化虛擬桌面資源調(diào)度和提高運維管理工作效率的關鍵方法。

1. 任務型用戶和共享桌面

在企業(yè)內(nèi)部眾多的桌面云用戶中,，有相當一部分用戶的日常工作是普通的OA辦公,，這些用戶每天只會訪問固定的少量辦公應用，對計算資源的要求不高,，只需訪問少量常用的外設,，無太多的桌面定制化需求，我們將他們歸為任務型用戶,。此類用戶的辦公有以下特點：

普遍使用OA,、Microsoft Office等常見的辦公軟件。應用相對簡單,，對計算資源要求相對較低,。
外設訪問：外設需求不多，只需支持常用的網(wǎng)絡打印機,。
多媒體播放：高清視頻/Flash動畫播放需求不多,，屬于偶發(fā)性訪問。
安全性：接觸大量敏感信息,，對數(shù)據(jù)安全要求高,。
網(wǎng)絡帶寬：應用場景相對簡單，多媒體訪問不多，需結(jié)合具體應用場景評估,。

對于任務型用戶,，基于Citrix Virtual Apps的虛擬應用或共享桌面是最佳的選擇，我們?yōu)槿蝿招陀脩舸罱?/span>Citrix Virtual Apps應用虛擬化交付平臺,，發(fā)布共享式虛擬桌面(Hosted Shared Desktop,，簡稱HSD)及虛擬應用，實現(xiàn)任務型用戶桌面的標準化管理,，限制用戶自行安裝軟件的權(quán)限,；通過活動目錄的用戶配置文件漫游及文件重定向功能，實現(xiàn)用戶個人數(shù)據(jù)的安全存放及統(tǒng)一管理,。此方案具備了硬件投入低,、并發(fā)訪問性能良好、桌面標準化程度高等特點,。

1. 知識型用戶和標準化桌面

還有些用戶屬于參與代碼開發(fā)與測試的研發(fā)人員,，或者是具有輕量級2D圖形作業(yè)需求的設計人員等，這些用戶對計算資源的要求高,，每位用戶需使用獨立的操作系統(tǒng)進行開發(fā)與調(diào)試工作,，會頻繁使用各種周邊外設，我們將他們歸為知識型用戶,。此類用戶的辦公有以下特點：

有訪問多媒體的需求,，業(yè)務應用較復雜，對終端計算能力要求高,。
外設訪問：外設需求較多,，需要訪問跟業(yè)務相關的周邊外設進行開發(fā)調(diào)試。
多媒體播放：有高清視頻/Flash動畫的播放需求,，帶寬需求較高,。
安全性：接觸大量敏感信息，對數(shù)據(jù)安全要求高,。
網(wǎng)絡帶寬：應用場景較為復雜,，有高清視頻/Flash等多媒體訪問要求，帶寬需求較高,，需結(jié)合具體應用場景評估,。

對于知識型用戶，基于PVS的標準化桌面是最佳的選擇,。我們?yōu)橹R型用戶搭建Citrix Virtual Desktops虛擬化交付平臺,，發(fā)布獨占式虛擬桌面（簡稱VDI），通過Citrix PVS服務進行單一鏡像管理,。此方案同時具備了存儲利用率高,、鏡像統(tǒng)一管理,、桌面性能好、外設支持廣泛等特點,。

1. 自由型用戶和個性化桌面

其他少量用戶具有應用不可預知或規(guī)范化的特點,，例如領導或IT管理人員，他們需要自由安裝應用軟件的權(quán)限,。同時,，由于應用軟件的不可預知，也導致對虛擬桌面性能的需求不可預知,。這種類型的用戶我們稱為自由型用戶,。
對于自由型用戶，基于MCS的個性化VDI桌面是最佳選擇,。個性化桌面占用的計算資源高,，其管理運維工作壓力大，但它的使用體驗最接近傳統(tǒng)PC,，能夠勝任各種復雜的使用場景。

邏輯架構(gòu)

方案在邏輯上由兩部分組成：

數(shù)據(jù)中心
用戶接入
1. 數(shù)據(jù)中心邏輯架構(gòu)

向用戶提供應用程序,、桌面,、數(shù)據(jù)資源的交付，所有用戶應用程序,、桌面,、數(shù)據(jù)都放置于數(shù)據(jù)中心中，用戶的執(zhí)行操作均在數(shù)據(jù)中心內(nèi)部完成,，最終將用戶執(zhí)行的結(jié)果傳輸給用戶,，此部分包括三個層次模塊：

核心應用層

此層為無限極現(xiàn)有各項辦公、業(yè)務系統(tǒng),，如OA,、郵件等，未來可將這些業(yè)務逐步遷移到服務器虛擬化平臺上運行,，以提高服務器利用率,，提升數(shù)據(jù)中心運營效率。

應用交付層

此層為用戶提供虛擬應用和虛擬桌面服務,，承載了用戶所需要的各項應用程序,、桌面、數(shù)據(jù),，通過此層,，實現(xiàn)了用戶的應用程序、桌面,、數(shù)據(jù)的集中化管理和按需應用交付,，用戶的各項操作均在此層完成，并將執(zhí)行的結(jié)果以屏幕變化量的方式傳輸給用戶，向用戶交付的并非真實數(shù)據(jù),，保證了數(shù)據(jù)始終不會離開數(shù)據(jù)中心,，保障數(shù)據(jù)管控的安全性。

接入層

此層主要完成將虛擬化層所提供的執(zhí)行結(jié)果向用戶交付的工作,。用戶向數(shù)據(jù)中心請求的操作會通過接入層的負載均衡功能實現(xiàn)自動分配,，而用戶在數(shù)據(jù)中心的執(zhí)行結(jié)果也會通過此層以SSL加密的方式傳輸給用戶，因此,，此層完成了用戶到數(shù)據(jù)中心的雙向交互,，并具備有效的安全控制策略來保障合法用戶的身份登錄及后端系統(tǒng)的單點登錄功能。

1. 用戶接入邏輯架構(gòu)

用戶接入網(wǎng)絡主要面向兩種類型用戶的交付：

內(nèi)網(wǎng)辦公用戶：

包括位于總部及分支機構(gòu)內(nèi)網(wǎng)的用戶,，為這些用戶提供應用,、桌面服務，用戶可以在內(nèi)網(wǎng)任意終端設備（筆記本,、臺式機,、瘦客戶機、移動設備）上通過自己的賬號訪問自己的辦公資源,。

外網(wǎng)辦公用戶：

面向需要外部辦公的用戶,，這些用戶可以安全的通過各種終端設備（筆記本、家用臺式機,、iPad,、iPhone、Android平板電腦和智能手機）訪問企業(yè)內(nèi)部應用,，實現(xiàn)高效靈活的移動辦公,。

詳細架構(gòu)設計

整個系統(tǒng)平臺通過思杰安全網(wǎng)關作為數(shù)據(jù)中心總?cè)肟冢尤雽拥膶ν夥阑饓ι现恍栝_放特定端口（TCP 443/8443）即可供用戶訪問,，較少的端口提高了系統(tǒng)訪問的安全性,。用戶只要接入到網(wǎng)絡里面，在任何地方都可以訪問虛擬應用/桌面平臺,，不局限于內(nèi)網(wǎng)還是外網(wǎng),，也不局限于任意終端設備。由于虛擬應用/桌面的安全特點,，數(shù)據(jù)始終不落地,，有效保證用戶訪問的數(shù)據(jù)安全性。
方案在邏輯上分為兩個部分：

數(shù)據(jù)中心
用戶接入
1. 數(shù)據(jù)中心詳細架構(gòu)

按照邏輯拓撲圖建設三個邏輯功能層（接入層,、應用交付層,、核心應用層），現(xiàn)分別說明如下：

內(nèi)外網(wǎng)訪問與安全保障

為了滿足用戶對于內(nèi)外網(wǎng)訪問的需求,，同時又保證數(shù)據(jù)的安全性,，我們在數(shù)據(jù)中心內(nèi)建設辦公網(wǎng)應用交付平臺,，內(nèi)外網(wǎng)終端所在網(wǎng)絡與應用交付平臺通過防火墻隔離，保證了網(wǎng)絡的安全和數(shù)據(jù)的隔離性,。
Citrix ADC安全接入網(wǎng)關設備是接入層的核心組件,，其作用主要有：

- 協(xié)議代理：作為ICA協(xié)議的反向代理，把所有從終端設備網(wǎng)段到應用交付層之間的通訊封裝在使用443端口的加密通道中,。
- 協(xié)議代理模式可以極大簡化企業(yè)防火墻地址轉(zhuǎn)換(NAT)和準入策略的維護工作量,。沒有Citrix ADC的情況下，用戶的終端設備需要直接訪問虛擬應用或VDI虛擬機的TCP 1494和2598端口,，因此在終端設備網(wǎng)段和應用交付層之間的防火墻上配置的地址轉(zhuǎn)換和準入策略的數(shù)量與Citrix Virtual Apps或VDI虛擬機的數(shù)量有關,。當有大量Citrix Virtual Apps或VDI虛擬機需要發(fā)布到用戶網(wǎng)段，管理員需要花費較多工作量修改防火墻的配置,。
- 如果在終端設備網(wǎng)段和應用交付層之間部署了Citrix ADC, 所有用戶終端設備都只需要訪問經(jīng)過轉(zhuǎn)換后的Citrix ADC IP地址的TCP 443端口,，防火墻上只需要配置一條地址轉(zhuǎn)換和準入策略，策略的數(shù)量與Citrix Virtual Apps或VDI虛擬機的數(shù)量無關,。
- 負載均衡：Citrix ADC作為業(yè)界No.1的7層負載均衡設備,，可以為包括StoreFront門戶網(wǎng)站、桌面虛擬化控制器(DDC)的XML服務,、PVS服務在內(nèi)的諸多組件提供負載均衡,，實現(xiàn)高可用。
- 網(wǎng)絡隔離：在一個存在多個相互隔離的網(wǎng)段的環(huán)境中,，用戶如果希望通過一個終端設備同時訪問多個網(wǎng)段的資源,，如位于開發(fā)網(wǎng)的終端設備希望安全地訪問辦公網(wǎng)的OA系統(tǒng),，可以通過Citrix ADC把辦公網(wǎng)的OA客戶端以虛擬應用或虛擬桌面的方式單點發(fā)布到開發(fā)網(wǎng),；通過這種方式，辦公網(wǎng)只需要把Citrix ADC的一個IP地址和443端口暴露給開發(fā)網(wǎng),，大大減少了兩個網(wǎng)段之間需要開放訪問權(quán)限的IP地址和端口數(shù)量,，為“終端合一”的網(wǎng)絡隔離需求提供了更安全的實現(xiàn)方式。如下圖所示：

應用匯聚與統(tǒng)一訪問

應用交付平臺最終通過Citrix ADC安全接入網(wǎng)關設備統(tǒng)一交付應用及桌面資源,，用戶只需訪問統(tǒng)一的發(fā)布門戶,，系統(tǒng)就會根據(jù)用戶身份來自動判別并分配應用，對用戶的訪問權(quán)限實現(xiàn)了細粒度的控制,，以確保有效的權(quán)限訪問合法授權(quán)的應用資源,。
思杰虛擬化技術(shù)在網(wǎng)絡上并不傳輸真實的業(yè)務數(shù)據(jù)，加上終端所在網(wǎng)段及應用交付網(wǎng)段之間嚴格的用戶權(quán)限保障,，因此,，方案足以保證兩網(wǎng)隔離的安全性。
以下是應用交付層的各個功能模塊：

1. 1. 基礎架構(gòu)服務器集群

基礎架構(gòu)服務器運行各種管理角色的虛擬機,，每個角色的作用如下：

虛擬發(fā)布門戶服務器（StoreFront）：提供桌面云的發(fā)布門戶網(wǎng)站,，用戶身份驗證后可在門戶網(wǎng)站中看到自己可用的虛擬桌面和虛擬應用,。
許可證服務器（License）：負責Citrix桌面虛擬化的許可證管理和查詢。
活動目錄（AD）：服務器提供標準的LDAP目錄服務,，負責用戶的身份驗證和所有桌面虛擬化組件之間的信任互訪,。
數(shù)據(jù)庫服務器（DB）：負責存放桌面虛擬化以及應用虛擬化的所有配置信息，同時也可以保存這些服務器的歷史性能數(shù)據(jù),。
應用虛擬化服務器（Citrix Virtual Apps）：負責向用戶推送虛擬應用或共享桌面,。
桌面虛擬化控制器(DDC)：是虛擬桌面基礎架構(gòu)的核心，提供如下服務：
XML服務：負責Web Interface組件與Citrix Virtual Apps and Desktops服務器群之間的通信,。XML服務驗證用戶身份,，提供可用的虛擬桌面列表，并生成相應的信息讓終端能夠連接到虛擬桌面,；
控制器服務：負責虛擬桌面上虛擬桌面服務的通信,。控制器服務進行虛擬桌面注冊并保持虛擬桌面狀態(tài),；
資源池服務：基于Citrix Virtual Apps and Desktops服務器群配置,，資源池服務聯(lián)系虛擬化基礎架構(gòu)來啟動和關閉虛擬桌面；
1. 1. 虛擬桌面/應用承載服務器集群

虛擬桌面/應用承載服務器底層使用Citrix Hypervisor服務器虛擬化技術(shù),，每臺物理機上虛擬出一定數(shù)量的虛擬桌面,，目前支持客戶端操作系統(tǒng)(Windows 7/8/10)和服務器操作系統(tǒng)(Windows 2008/2008 R2/2012/2012 R2/2016/2019)，桌面上除了承載標準的辦公應用外,，還運行著一個Citrix的特殊服務：

虛擬桌面代理服務：負責與Desktop Delivery Controller進行注冊并保持與控制器的心跳檢測,。如果心跳檢測失敗，虛擬桌面服務將重新與另一個可用的Desktop Delivery Controller進行注冊,。
1. 1. OS鏡像管理和交付模塊

OS鏡像管理和交付模塊是由Provisioning Server（置備服務器,，簡稱PVS）組件來完成的。PVS在虛擬化基礎架構(gòu)上為所有的用戶提供了桌面操作系統(tǒng)鏡像,。一個基本的操作系統(tǒng)鏡像被創(chuàng)建,，包含了操作系統(tǒng)級的配置。每個桌面啟動時,，操作系統(tǒng)會經(jīng)由網(wǎng)絡通過流技術(shù)交付給虛擬桌面,。管理員只需要對基本鏡像進行升級，所有虛擬桌面將會在下一次重啟時使用最新的鏡像,。
通過PVS服務器來集中管理和交付桌面鏡像,，使OS的鏡像管理大大簡化，通過1個或數(shù)個鏡像的部署和升級,，就能簡單實現(xiàn)成百上千的虛擬桌面的部署和升級維護,，大大簡化了鏡像管理的流程和工作量，使桌面更加穩(wěn)定和安全,。

資源交付類型的管理

系統(tǒng)可以向用戶直接交付應用程序或整個桌面,，并為用戶統(tǒng)一分配存儲空間,，應用交付平臺可以細粒度地根據(jù)用戶應用需求來決定發(fā)布的資源。
當普通辦公用戶從內(nèi)網(wǎng)訪問時,，平臺可對其發(fā)布共享桌面,，為用戶提供桌面環(huán)境的同時降低后臺投資成本；當相同的用戶移動辦公或在家辦公時,，平臺可直接將虛擬應用發(fā)布到用戶的移動終端設備上,，虛擬應用的方式簡化了用戶的操作流程，提高用戶在移動場景下的辦公效率,。

系統(tǒng)運維管理

整套虛擬化系統(tǒng)均運行于服務器虛擬化平臺上,，服務器虛擬化為所有虛擬化系統(tǒng)提供了標準、兼容,、高可靠的執(zhí)行環(huán)境,，同時，還提供了冗余性等安全保障,，通過虛擬化平臺,，實現(xiàn)了數(shù)據(jù)中心的自動化運維。
對于用戶來說,，所有的應用程序,、桌面均由統(tǒng)一的鏡像生成，后期的補丁更新,、軟件安裝等操作只需要管理員更改黃金鏡像,，即可對特定或所有用戶實現(xiàn)統(tǒng)一的更新，高效快捷,。同時,，對于用戶的日常運維來說，由于用戶的操作均在數(shù)據(jù)中心完成,，管理員對于用戶日常遇到的各種問題（操作系統(tǒng),、應用程序,、配置等）均可在數(shù)據(jù)中心里進行維護操作,，提升了IT運維效率。

1. 用戶接入詳細架構(gòu)

系統(tǒng)需要向以下兩類用戶提供服務：內(nèi)網(wǎng)辦公用戶,、外網(wǎng)辦公用戶,。

內(nèi)網(wǎng)辦公用戶

基于虛擬化技術(shù)的移動工作空間能夠?qū)崿F(xiàn)如下功能：

- 內(nèi)網(wǎng)高效靈活辦公

虛擬化后，用戶的應用程序,、桌面,、數(shù)據(jù)與終端設備之間的硬耦合關系被打破，用戶可以在內(nèi)網(wǎng)任意終端設備上通過自己的賬戶來訪問自己的資源,，資源隨人走,，所有用戶在內(nèi)網(wǎng)任意地點,、任意終端設備均可開展辦公。
如某用戶離開辦公室自己的工位到會議室參加會議,，無需攜帶任何資料介質(zhì),，只需通過會議室的終端設備（PC或瘦客戶機）登錄移動工作空間即可訪問到與在工位上辦公時一致的辦公資源，在離開工位時正在進行中的工作狀態(tài)(如編輯到一半的文檔)會無縫切換到會議室的終端設備上,。
同樣,，該用戶到其他分支機構(gòu)辦公，也無需攜帶任何辦公終端設備和介質(zhì),，直接使用當?shù)氐挠嬎銠C終端即可訪問自己原有的辦公應用或桌面,，方便而高效。

- 數(shù)據(jù)安全保障

用戶內(nèi)網(wǎng)辦公無需攜帶介質(zhì),，終端設備也不會駐留任何業(yè)務數(shù)據(jù),，因此，方案在實現(xiàn)了用戶靈活辦公的同時保障了數(shù)據(jù)的安全性,。

外網(wǎng)辦公用戶

外網(wǎng)主要滿足用戶移動辦公的需求,，用戶無論在任何地點、使用任何終端設備（家用PC,、筆記本,、iPad、iPhone,、Android平板及智能手機）均可安全高效地接入企業(yè)內(nèi)網(wǎng),、訪問辦公應用，很好地滿足了移動辦公及在家辦公的需求,。
因此,，用戶即使下班回家或到異地出差期間，也可以通過該系統(tǒng)安全接入企業(yè)內(nèi)網(wǎng)繼續(xù)辦公,。

1. 可擴展性
硬件級的擴容：思杰桌面云平臺對服務器,、存儲等硬件具有廣泛的兼容性，未來用戶規(guī)模擴展時,，平臺本身具有對多種異構(gòu)硬件的兼容能力
- 平臺底層硬件采用計算,、網(wǎng)絡、存儲等資源通過服務器虛擬化技術(shù)統(tǒng)一管理,，多套單元設備可以通過網(wǎng)絡聚合起來,，實現(xiàn)分布式和模塊化的無縫橫向擴展（scale-out），形成統(tǒng)一的資源池,，各部分可以通過線性擴展的方式實現(xiàn)投資保護和投資預測,。
- 服務器的擴容：在需要增加平臺的計算能力時，可以通過在現(xiàn)有服務器虛擬化資源池中增加新的成員服務器,，或構(gòu)建新的服務器虛擬化資源池等多種方式靈活的增加服務器的數(shù)量
- 存儲設備的擴容：存儲設備可以通過多種技術(shù)和方式實現(xiàn)了高可靠性,，同時也增加了系統(tǒng)的復雜性,，從而容易導致維護和管理的復雜性。因此在方案設計中在提供高可靠性的同時,，也要注重提供存儲系統(tǒng)的可管理性和可維護性,。整個系統(tǒng)應該有靈活的系統(tǒng)擴容方案，能夠進行不影響系統(tǒng)和應用工作的在線擴容,。能夠采用圖形化界面對存儲設備進行配置管理,。系統(tǒng)配置工作應該簡單明了，流程清晰,。系統(tǒng)應該能夠提供遠程告警,。
用戶數(shù)量的擴容：桌面云平臺采用架構(gòu)和負載分區(qū)的設計原則，本項目的默認的架構(gòu)組件的用戶規(guī)模容量高達5000用戶,，在此范圍內(nèi)的用戶規(guī)模擴展只需要考慮用戶虛擬桌面負載計算資源的簡單堆疊,，具備很高的可擴展性
用戶桌面的擴容：本項目的用戶主要采用PVS標準化虛擬桌面置備模型，這種桌面模型具有業(yè)界最快的桌面置備速度,，用戶虛擬桌面的增加只需要簡單的修改一個數(shù)量即可
1. 高可用
  1. 無單點故障

思杰桌面云全局無任何單點故障,，接入層的虛擬化發(fā)布門戶(StoreFront)采用Windows集群高可用機制，未來可以采用兩個Citrix ADC配置HA功能,，Citrix ADC為多個虛擬化發(fā)布門戶(StoreFront)提供負載均衡,，多個Citrix Virtual Apps and Desktops虛擬機間具有內(nèi)置的負載均衡和HA功能，Citrix Hypervisor服務器資源池間具有HA和負載均衡功能,，網(wǎng)絡采用冗余架構(gòu),，存儲配置磁盤冗余：

物理服務器層面：物理服務器自身的電源、網(wǎng)卡,、HBA等模塊通常配置硬件冗余,，采用網(wǎng)卡綁定和多網(wǎng)絡/交換機多路徑連接方式確保網(wǎng)絡層面的高可用性。故物理服務器如出現(xiàn)個別模塊損壞,、掉電不會影響該物理服務器的業(yè)務連續(xù)性,。而針對服務器整體故障的情況，則由服務器虛擬化產(chǎn)品確保整套系統(tǒng)的高可用性,；
服務器虛擬化層面：Citrix Hypervisor在部署中不需要在外部獨立設立管理服務器進行虛擬化架構(gòu)的管理,，所有的配置及管理功能已內(nèi)置在平臺的Dom0中，資源池中的每一臺Citrix Hypervisor都會同步保留一份整個虛擬化平臺的配置,，任何一臺Citrix Hypervisor宕掉,，只要啟用資源池中的任意一臺Citrix Hypervisor作為資源池中的主服務器,，整個平臺即可正常運行,，所以整個架構(gòu)不存在單點故障。
桌面虛擬化層面：Citrix Virtual Apps and Desktops所有服務器角色都以虛擬服務器的形式運行在Citrix Hypervisor資源池中,，各服務器角色以應用集群的方式部署,，同時由兩臺或者兩臺以上服務器同時承載請求,，單臺服務器發(fā)生故障時相應請求會自動轉(zhuǎn)移到可用服務器。Citrix Virtual Apps and Desktops集群中的服務器角色以Active-Active（多活）的方式提供服務,，無單點故障風險,。
1. 1. 負載均衡

思杰桌面云由多個層面進行負載均衡：

接入層，可以由Citrix ADC為多個虛擬化發(fā)布門戶(StoreFront)提供負載均衡
桌面管理服務器,，多個Citrix Virtual Apps and Desktops服務器構(gòu)成一個站點,，站點內(nèi)所有服務器內(nèi)置負載均衡和HA功能，多個應用服務器構(gòu)成一個場,，場內(nèi)所有服務器內(nèi)置負載均衡和HA功能
Citrix Hypervisor的資源池支持虛擬桌面在一個負載最低的承載服務器上啟動
Citrix Hypervisor的WLB功能為承載服務器資源池提供負載均衡,，當一臺承載服務器負載過大時，該服務器上的虛擬桌面自動遷移到資源池其他服務器上,，WLB可設置最大密度和最大性能的負載均衡,。
1. 1. 故障切換

思杰桌面云為系統(tǒng)故障提供如下保障：

虛擬桌面所在的物理服務器發(fā)生故障時，Citrix Hypervisor的HA功能使虛擬桌面經(jīng)過幾分鐘在物理集群內(nèi)其他服務器上重新啟動后服務
虛擬桌面所在的物理服務器發(fā)生故障時,，Citrix Hypervisor Marathon功能保證關鍵用戶的備份虛擬桌面可實時接管,，保障關鍵虛擬桌面100%的可服務性
當承載虛擬桌面的物理服務器發(fā)生故障，可快速連接到原中斷的桌面/會話,，此恢復時間在可接受范圍內(nèi)
1. 1. 故障恢復

當系統(tǒng)發(fā)生故障時,，進行如下故障恢復：

支持桌面/會話的備份，通過Citrix Hypervisor的Snapshot功能可以對單個或多個或一組虛擬桌面/會話進行備份,，作為故障恢復點
支持桌面/會話的恢復,，支持當單個虛擬桌面/會話出現(xiàn)故障時，能夠從Snapshot的備份中直接進行恢復到故障恢復點
支持當單個虛擬桌面/會話出現(xiàn)故障時,，能夠重新建立新的虛擬桌面連接
1. 1. 數(shù)據(jù)安全及數(shù)據(jù)備份和恢復

用戶數(shù)據(jù)保存在平臺的文件服務器或共享存儲中,，其數(shù)據(jù)的安全保障由這部分硬件和軟件聯(lián)合提供，包括：

硬盤RAID分組確保單盤故障不會造成數(shù)據(jù)丟失
共享存儲雙控制器或文件服務器雙機集群冗余配置構(gòu)成文件系統(tǒng)的高可用保障
對于數(shù)據(jù)的備份和恢復,，主要包含以下幾個方面：
在日常維護工作中,，對桌面云平臺配置數(shù)據(jù)庫保持每天增量、每周/每月全備份的日常運維規(guī)范
對AD的用戶和組策略信息保持每天增量,、每周/每月全備份的日常運維規(guī)范
對個性化用戶虛擬機保持每天快照,、每周/每月全備份的日常運維規(guī)范
對標準化用戶虛擬機模板保持每次模板更新后的異地復制的日常運維規(guī)范

注意：備份存儲設備和備份工具軟件不包含在本項目的設備和軟件清單中，備份和恢復工作也主要由客戶自身的存儲部門/存儲工程師負責,。

1. 系統(tǒng)病毒防控

本項目采用兩級安全控制,，未來也可以采用基于Hypervisor的輕代理或無代理防病毒方案。

通過NAS存儲文件服務器,，實現(xiàn)文件的集中,，對NAS存儲進行統(tǒng)一的防病毒操作，實現(xiàn)高效的病毒防控
用戶虛擬機采用浮動（自動恢復）方式，用戶退出桌面后自動清除用戶數(shù)據(jù)之外產(chǎn)生的臨時數(shù)據(jù),，實現(xiàn)系統(tǒng)自恢復,，使得病毒等沒有殘留的余地，保證系統(tǒng)的安全
1. SSL服務器證書

用戶加密的HTTPS協(xié)議訪問虛擬桌面,、虛擬應用及移動應用管理平臺,，所有流量都被加密封裝在SSL協(xié)議中，企業(yè)需要先申請SSL服務器證書,。SSL服務器證書可由互聯(lián)網(wǎng)的第三方權(quán)威機構(gòu)的CA頒發(fā),，也可由企業(yè)內(nèi)建的CA頒發(fā)，這兩種證書的差異如下表所示：

	第三方頒發(fā)證書	企業(yè)自頒發(fā)證書
終端兼容性	好,，主流的第三方權(quán)威機構(gòu)的CA證書都會預裝進各種終端設備	差,，企業(yè)自建CA的證書需要手動或批量安裝進終端設備，否則不被終端信任
成本	高,，通常按年或按數(shù)年購買	無需購買,，企業(yè)自生成

考慮到諸多移動設備(iOS、Android,、Windows Phone等)及瘦客戶機對于企業(yè)自頒發(fā)證書皆不信任,，需要管理員手工導入或通過MDM策略推送，本方案建議向第三方機構(gòu)購買SSL服務器證書并部署在Citrix ADC安全接入網(wǎng)關設備,。由于國內(nèi)的證書頒發(fā)機構(gòu)的CA證書大多不被移動設備及瘦客戶機信任,，我們建議向國際證書頒發(fā)機構(gòu)(如GlobalSign、TrustAsia等)采購SSL服務器證書,。
該SSL證書綁定的主機名(common name)需與終端設備訪問移動工作空間所用的域名(FQDN)一致,，如終端設備通過域名hdx.abc.com訪問移動工作空間，則Citrix ADC部署的SSL服務器證書也需要綁定域名hdx.abc.com,。

1. 網(wǎng)絡架構(gòu)

整個數(shù)據(jù)中心網(wǎng)絡的架構(gòu)分為三個部分:

生產(chǎn)網(wǎng)

生產(chǎn)網(wǎng)與現(xiàn)有核心網(wǎng)絡架構(gòu)相連,，主要用于整體架構(gòu)與外部網(wǎng)絡的通信，這包括同現(xiàn)有數(shù)據(jù)中心業(yè)務系統(tǒng)的通信,、虛擬化管理架構(gòu)和虛擬應用/虛擬桌面的通信,、對外數(shù)據(jù)的傳輸通信，是本系統(tǒng)的核心網(wǎng)絡架構(gòu),。

管理網(wǎng)

管理網(wǎng)為單獨的網(wǎng)絡鏈路,，用于連接所有Citrix Hypervisor服務器虛擬化，實現(xiàn)所有物理服務器的管理,、虛擬機在線遷移,、HA功能保證等基礎架構(gòu)所需的管理功能。

存儲網(wǎng)

存儲網(wǎng)主要用于與網(wǎng)絡類型的存儲連接,，如IPSAN,、NAS等類型的網(wǎng)絡存儲設備
網(wǎng)絡帶寬需求設計

數(shù)據(jù)中心網(wǎng)絡帶寬需求

網(wǎng)絡類型	帶寬需求
生產(chǎn)網(wǎng)	最少1Gb,，建議10Gb
管理網(wǎng)	最少1Gb，建議10Gb
存儲網(wǎng)	最少1Gb,，建議10Gb

移動辦公網(wǎng)絡需求

需求類型	帶寬需求
每用戶帶寬需求	50k~100kbps/用戶

如果移動辦公場景下同時有100用戶并發(fā)訪問,，那么數(shù)據(jù)中心的公網(wǎng)出口大約需要5M~10Mbps的帶寬,。

上一方案：稅務行業(yè)F5解決方案

下一方案：云存儲解決方案