VMWARE桌面云解决方案书.docx
《VMWARE桌面云解决方案书.docx》由会员分享,可在线阅读,更多相关《VMWARE桌面云解决方案书.docx(33页珍藏版)》请在冰点文库上搜索。
VMWARE桌面云解决方案书
文档信息
文档标题:
VMware桌面云解决方案书
文档参考:
发行版本:
第2版
发行日期:
2012年2月9日
变更记录:
增加了“无代理防病毒管理”、“IT运维模式的改变”、“业务连续性的保证”、“整体拥有成本计算“这4个章节的内容。
客户经理:
技术顾问:
1前言
虚拟化技术是云计算的关键技术之一,随着云计算技术的逐步推广,基于桌面提供云+端的桌面云IT基础设施架构方案,由于其低成本、低功耗、高安全、易管理,已在金融、电信、电力等行业的呼叫中心、营业厅、OA办公、外包开发等领域得到部署和应用。
随着XXXX信息化进程的不断深入,传统的PC访问模式也逐渐的不能适应快速发展的业务需要。
XXXX由信息安全部牵头,将尝试首先在数据借用平台采用桌面虚拟化解决方案,并考虑在未来全行范围OA办公系统推广桌面虚拟化来替换原有的PC架构。
VMware作为业界最为领先的虚拟化厂商,其引以为豪的VMwareView产品在全球数以万计的客户环境中平稳可靠的运行。
在VIEW的桌面云解决方案中,所有的数据以及运算都在服务器端进行。
桌面云改变了过去分散、独立的桌面系统环境,通过集中部署,IT人员在数据中心就可以完成所有的管理维护工作。
由于客户端并不存储数据和资料,杜绝了通过客户端泄露信息的途径,大大提高了企业信息的安全性。
如果在桌面云解决方案选择瘦客户端(ThinClient),则相比传统的PC、笔记本等桌面计算设备,在硬件成本上也会降低很多。
2桌面云解决方案(VMwareView)
VMwareView桌面虚拟化构建于VMwareESX/ESXi(服务器虚拟化)之上,VMwareESX允许多个用户桌面以虚拟机的形式独立运行,同时共享CPU、内存、网络连接和存储器等底层物理硬件资源。
这种架构将用户彼此隔离开来,使每位用户都拥有自己的操作系统,同时可以实现精确的资源分配,并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。
利用VMwareESX的功能和vCenterServer的管理功能,View桌面虚拟化实现了标准化的虚拟硬件,并为物理VMwareESX主机硬件提供了严格筛选的硬件兼容性列表(HCL),有效减少了设备驱动程序不兼容的问题。
借助VMwareESX可扩展的CPU调度功能以及VMwareDistributedResourceScheduler(DRS)的多主机平衡功能,性能波动现象也明显减少。
VMwareESX可以直接暂停并重新调度虚拟机,而无需考虑客户操作系统内部的线程活动。
这使得资源共享更加确定,可显著改善用户在View桌面虚拟化环境中的体验。
与基于TerminalServer的集中式计算不同,View桌面虚拟化可为每位用户提供一个独立的虚拟机来进行桌面计算。
通过为每位用户提供自己的操作系统,View桌面虚拟化提供了企业部署集中式桌面所需的稳定性和性能管理功能。
2.1ViewManager功能简介
VMwareViewManager是VMwareView桌面虚拟化解决方案中的一个关键组件。
ViewManager是一个企业级虚拟桌面管理器,可将授权用户安全连接至集中式虚拟桌面。
它与VMwareVirtualInfrastructure协同工作,可提供一个完整的端到端View桌面虚拟化解决方案,此解决方案不仅能增强控制能力和可管理性,还可以提供令用户备感亲切的桌面体验,ViewManager能简化虚拟桌面的管理、调配和部署。
用户能够通过ViewManager安全而方便地访问虚拟桌面,升级和修补工作都从单个控制台集中进行,因此可以有效地管理数百甚至数千个桌面,从而节约时间和资源。
数据、信息和知识财产将保留在数据中心内,而且永远不必外流—除非得到您的允许而且不违反安全策略。
配备ViewManager的View桌面虚拟化具备下列优势:
⏹集控制能力和可管理性于一身
由于桌面在数据中心运行,因此管理员可以更轻松地对其进行部署、管理和维护。
⏹令最终用户备感亲切的体验
用户可以灵活访问与普通PC桌面功能相同的个性化虚拟桌面。
⏹集成VMwareInfrastructure
View桌面虚拟化集成了VMwareInfrastructure的备份、故障切换和灾难恢复功能,并将这些优势扩展到桌面。
⏹降低总体拥有成本(TCO)
View桌面虚拟化可以降低管理和能源成本并延长PC的使用寿命,因而可以实现较低的总体拥有成本。
2.1.1主要功能和特点
下面列出了View桌面虚拟化中ViewManager的各项功能:
⏹企业级连接代理
ViewManager可管理用户及其虚拟桌面之间的连接。
当用户登录ViewManager后,将出现用户有权访问的虚拟桌面。
在连接到虚拟桌面后,用户便可以访问自己的应用程序,就如同这些应用程序在本地运行一样。
⏹支持USB客户端设备
USB设备可从本地连接到客户端,并通过虚拟桌面进行访问。
⏹基于Web的管理用户界面
通过基于Web的管理控制台,用户能够在任何位置管理自己的虚拟桌面。
⏹“智能池”功能
大量的持久和非持久池功能可简化集中式桌面的部署和管理。
⏹灵活的部署选项
关键组件可部署在各种配置中,并能部署于网络的不同位置,因而极大地提高了安全性、可扩展性和可靠性。
ViewManager可同时支持多台vCenterServer,并可通过横向扩展来支持大量的虚拟桌面。
⏹高可用性
多台服务器可组成群集,从而获得自动故障切换功能,以及高可用性和可扩展性。
这些服务器还可以利用业界标准的负载平衡解决方案。
⏹与MicrosoftActiveDirectory集成
ViewManager可连接至ActiveDirectory,从而允许查找用户帐户和用户组帐户,并能使用ActiveDirectory中的身份验证功能来控制哪些用户可以访问虚拟桌面。
⏹支持二元身份验证
借助RSASecurID,可以支持二元身份验证,从而增强了访问控制。
⏹与VMwareVirtualInfrastructure无缝集成
通过与VMwarevCenter紧密配合,可以提供高级虚拟桌面管理功能,例如自动挂起和继续功能,此功能可减少承载虚拟桌面所需的内存和处理能力。
利用VMwareVirtualInfrastructure的强大功能,即使在服务器硬件发生故障时,桌面也能保持正常运行,另外桌面还可以在发生计划外停机时迅速恢复,而无需购置重复的硬件。
⏹简化桌面管理
桌面和应用程序虚拟化切断了软件、硬件和操作系统之间的联系,不需要在最终用户设备上实际安装或管理桌面环境。
只需数分钟,即可从中央位置提供、管理和更新所有Windows桌面和应用程序。
VMwareView能让应用程序和桌面的测试、调配和支持工作变得更加轻松,而且还能减少成本。
⏹自动桌面调配
VMwareView提供了单个管理工具来调配新桌面或桌面组,并提供了用于设置桌面策略的简单界面。
通过使用模板,可以对虚拟桌面池进行自定义,并方便地设置策略,如池中可以包含多少虚拟机或注销参数。
此功能可实现桌面调配活动的自动化和集中化,从而提高IT效率。
⏹高级虚拟桌面映像管理
VMwareComposer以成熟的链接克隆技术为基础,允许从主映像快速创建桌面映像。
无论何时在主映像上实施更新,都可以在数分钟内推送到任意数量的虚拟桌面,极大地简化了部署和修补工作,并降低了成本。
此过程不会影响用户设置、数据或应用程序,因此用户仍然可以高效地使用工作桌面,甚至在应用更改的同时也是如此。
⏹统一访问
使用VMwareView,您可以从单个界面安全地访问承载于VMwareVirtualInfrastructure环境、WindowsTerminalServer环境或刀片PC上的个性化桌面。
还可以远程访问物理PC。
用户可以无缝连接到正确的桌面环境。
管理员可以监视和审核桌面活动,并可以对多个WindowsTerminalServer进行负载平衡。
⏹虚拟打印
通过VMwareView,可以实现从虚拟桌面到本地设备的打印,而无兼容性问题、带宽限制或复杂的用户设置。
VMwareView将自动发现、连接和实现从虚拟桌面到客户端设备上定义的任何本地或网络打印机的打印。
通用打印驱动程序消除了兼容性问题。
虚拟打印包括以压缩方式提供高质量的打印和增强的性能(甚至是在状态欠佳的网络连接上)。
⏹熟悉的最终用户体验
VMwareView提供完整、未经修改的桌面环境,与现有传统或自定义应用程序兼容,并为各个用户提供适合各自需求的自定义桌面。
由于具有广泛的客户端支持,因此用户可以随时通过各种虚拟桌面设备访问自己的桌面,并使用本地打印机、USB设备或其他外围设备。
此外,多媒体重定向改善了播放丰富多媒体的最终用户体验。
⏹安全性
VMwareView提供了强大的网络安全性,以保护敏感企业数据。
SSL隧道能确保所有连接都已完全加密。
此外,VMwareViewManager完全支持RSASecurID®,并提供了附加的二元身份验证安全性,以便进行增强的访问控制。
另外通过策略设定,可以控制终端设备与虚拟桌面之间的文件拷贝(允许/禁止单向或双向文件拷贝)
⏹可用性和可扩展性
VMwareView具有高可用性,不存在单点故障。
VMwareHighAvailability(HA)能确保自动故障切换,在您的虚拟化桌面环境中提供了全面而经济高效的保护,而且不会产生传统群集解决方案的成本和复杂性。
此外,物理层和虚拟层上的高级群集功能还提供了企业级可扩展性。
⏹简化应用程序管理
VMwareThinApp应用程序虚拟化将应用程序从底层操作系统分离出来,以提高兼容性和简化应用程序管理。
由ThinApp打包的应用程序可以在数据中心的服务器上运行,并可以通过虚拟桌面上的快捷方式进行访问,从而进一步减少了桌面映像的大小和后续存储需求。
由于对应用程序进行了隔离和虚拟化,因此可以在用户的虚拟桌面上运行多个应用程序或同一应用程序的多个版本,且不会产生冲突。
可以集中管理和部署应用程序,从而确保所有用户桌面都使用最新的应用程序版本。
⏹离线桌面
离线桌面允许通过相同的管理框架在本地或数据中心运行受管虚拟桌面,从而提高生产效率。
只需要将虚拟桌面下载到您的本地客户端设备上。
将继续应用和执行该虚拟桌面的全部现有安全策略。
您可以在以后将桌面签入到数据中心进行重新同步。
⏹多种客户端支持
瘦客户端支持,VMwareView支持各种瘦客户端设备。
有关完整列表,请参阅《瘦客户端兼容性指南HCL》:
WINDOWS台式机支持,可以支持WINXP,WIN7等版本的操作系统上的ViewClient运行。
另外在IPAD,MAC及ANDROID系统上支持运行ViewClient,增加用户登录设备的灵活性。
⏹客户端软件中文化
ViewClient软件支持显示中文语言,亦更好的帮助用户使用。
2.1.2ViewManager组件构成
ViewManager包括下列关键组件:
⏹ViewManagerConnectionServer
⏹ViewManagerAgent
⏹ViewManagerClient
⏹ViewManagerWebAccess
⏹ViewManagerAdministrator
2.1.2.1ViewManagerConnectionServer
此组件是View桌面虚拟化连接代理,用于管理对虚拟桌面的安全访问,并与vCenter一起提供高级管理功能。
它安装在MicrosoftWindowsServer2003上,所在服务器位于ActiveDirectory域中。
ViewManagerConnectionServer可作为下列实例之一进行安装:
⏹标准版
ViewManager标准安装模式提供独立的功能,并用作唯一的ViewManagerConnectionServer(如果将一组ViewManagerConnectionServer用作完全复制的高可用性组,则为该组中的第一个ViewManagerConnectionServer)。
⏹副本
此实例将安装为高可用性组中的第二个或后续ViewManager服务器。
配置数据从现有的ViewManager服务器初始化,然后自动在ViewManager组成员之间进行复制,以实现ViewManager的高可用性。
⏹SecurityServer
此实例只实现ViewManagerConnectionServer功能的一个子集,适用于非保护区(DMZ)部署。
ViewManagerSecurityServer不需要位于ActiveDirectory域中。
当ViewClient需要通过广域网(INTERNET)连接到内部网络时,需要部署SecurityServer,如下图所示:
2.1.2.2ViewManagerAgent
此组件运行在每个虚拟桌面上,用于进行会话管理和单点登录。
借助ViewManagerClient,此组件支持可选的USB设备重定向。
此代理可安装在虚拟机模板上,这样基于该模板创建的虚拟桌面将自动包括ViewManagerAgent。
虚拟桌面所在的ActiveDirectory域应为下列域之一:
⏹ViewManagerConnectionServer所在的域
⏹与ViewManagerConnectionServer域签有信任协议的域
当用户连接至自己的虚拟桌面时,将使用用户登录域时所用的凭据自动登录虚拟桌面。
在安装期间,ViewManagerAgent可禁用此单点登录功能。
如果虚拟桌面不在域中,或所在的域没有信任协议,则无法实现单点登录,用户必须手动登录虚拟桌面。
2.1.2.3ViewManagerClient
此组件作为本机Windows应用程序运行在WindowsPC之上,允许用户通过ViewManager连接至自己的虚拟桌面。
此组件与ViewManagerConnectionServer相连,用户可以使用支持的任意身份验证机制进行登录。
完成登录后,用户可以从虚拟桌面列表中选择已获得授权的虚拟桌面。
此步骤可提供对虚拟桌面的远程访问,并为用户带来备感亲切的桌面体验。
ViewManagerClient还与ViewManagerAgent紧密配合,可提供增强的USB支持。
即使没有ViewManagerUSB支持,也可获得基本USB支持(例如USB驱动器和USB打印机),但ViewManager可将这一支持扩展到更多的USB设备。
在安装期间,可以指定ViewManagerClient中的ViewManagerUSB支持。
2.1.2.4ViewManagerWebAccess
此组件类似于ViewManagerClient,但通过Web浏览器提供ViewManager用户界面。
安装ViewManagerConnectionServer时,将自动包括ViewManagerWebAccess。
Linux和AppleMacOS/X均支持ViewManagerWebAccess,但此WebAccess并不支持ViewManagerUSB扩展。
所有必要的ViewManager软件都将自动通过Web浏览器安装在客户端上。
ViewManagerWebAccess在Linux上使用rdesktop,在MacOS/X上使用MicrosoftRemoteDesktopConnectionClientforMac。
ViewManagerWebAccess也可以在Windows客户端上与ViewManagerClient一起使用。
用户需使用Web浏览器来访问ViewManagerConnectionServer,以此获取客户端设备上所必需的软件。
如果具有管理权限的用户安装的ViewManagerClient软件支持USB,则Windows上的ViewManagerWebAccess将完全支持ViewManagerUSB。
2.1.2.5ViewManagerAdministrator
此组件通过Web浏览器提供ViewManager管理。
它可供ViewManager管理员执行下列操作:
⏹配置设置
⏹管理虚拟桌面以及Windows用户和组对桌面的权限
ViewManagerAdministrator还提供了用于监控ViewManager服务器上的日志事件的界面,并随ViewManagerConnectionServer一起安装。
有关ViewManagerConnectionServer组件及其与其他ViewManager组件之间关系的更多信息,请参见“ViewManagerConnectionServer组件”。
2.1.3功能模块说明
2.1.3.1ViewManager用户身份验证
用户需要先登录ViewManager,才能证明身份并访问自己的虚拟桌面。
通常情况下,用户通过在登录提示中输入Windows凭证来实现此目的。
为提高安全级别,还可以将ViewManager配置为要求RSASecurID身份验证。
这要求对每位用户使用SecurID标记,在登录过程中,用户需要输入自己的SecurID用户名以及SecurIDPIN和标记码。
在成功验证输入的SecurID详细信息后,系统将提示用户输入Windows凭证。
2.1.3.2ActiveDirectory身份验证
每个ViewManagerConnectionServer都必须加入一个ActiveDirectory域。
这样便可以根据所加入域以及与该域签有信任协议的其他用户域的ActiveDirectory对ViewManager进行用户身份验证。
例如,如果ViewManagerConnectionServer是域A中的成员,且域A与域B之间存在信任协议,则这两个域中的用户均可登录至ViewManager。
通过根据现有的ActiveDirectory对用户进行身份验证,组织可以确保集中管理用户帐户,从而简化ViewManager的操作管理。
如果ActiveDirectory中禁用了某个用户帐户,该用户将无法登录ViewManager。
各种策略(例如限制允许登录的小时数以及为密码设置过期日期等)也通过现有ActiveDirectory的操作程序进行处理。
2.1.3.3RSASecurID身份验证
VMwareViewManager已通过RSASecurIDReady计划认证,采用了RSASecurID身份验证技术。
各个ViewManagerConnectionServer均可启用RSASecurID身份验证。
用户在访问启用了RSASecurID身份验证的ViewManagerConnectionServer时,系统将提示输入RSASecurID用户名和密码(PIN和标记码)。
在根据RSAAuthenticationManager完成身份验证后,用户才可以继续登录。
使用RSASecurID可为采用二元身份验证的增强安全机制提供另一层保护。
此身份验证要求提供用户的PIN和标记码,这些信息只有从物理SecurID标记上才能获取。
根据RSASecurID认证的要求,ViewManager支持各种SecurID功能,包括新建PIN模式、下一个标记码模式、RSAAuthenticationManager以及负载平衡等。
2.1.3.4ViewManager扩展的USB设备重定向
VMwareViewManager允许重定向多种本地连接的USB设备,以供用户虚拟桌面上运行的软件使用。
在连接适当的设备后,可从ViewManagerClient的动态下拉菜单中进行选择。
在虚拟桌面会话启动后连接的设备将出现在该菜单中,这些设备一旦完成初始化,即可用于重定向。
某些设备(如打印机、本地USB闪存以及智能卡等)可使用标准Microsoft远程桌面协议(RDP)转发至虚拟桌面。
不过与RDP相比,ViewManagerClientUSB重定向扩展了可用设备的范围以及某些设备的功能。
例如,可使用RDP将声音定向至本地计算机,但在禁用此功能并采用ViewManagerUSB重定向后,将可以使用VoIP设备。
一旦用户通过身份验证,就会启动ViewManagerUSB重定向。
因此,智能卡转发将仅限于RDP功能,以便可以使用智能卡对虚拟桌面会话进行身份验证。
这样,此类设备将不会出现在ViewManagerClient的设备菜单中。
键盘或鼠标等人体学接口设备(HID)也不会出现在USB设备列表中,因为这些设备是本地必需的,无需转发或重定向即可工作。
RDP转发和ViewManagerUSB重定向可通过ActiveDirectory组策略和ViewManagerAdministrator进行管理。
使用ViewManagerUSB重定向时,需要安装ViewManagerClient和ViewManagerAgent,且用户必须在ViewManagerClient和ViewManagerAgent操作系统上拥有管理权限。
2.1.3.5ViewManager安全访问
ViewManagerConnectionServer与ViewManagerClient和ViewManagerWebAccess一起,可为客户端设备与ViewManagerConnectionServer之间的桌面协议提供安全保护。
ViewManager将封装所有协议(如HTTPS连接中扩展的RDP),这具有下列优点:
⏹RDP协议通过HTTPS“搭建隧道”,并使用安全套接字层(SSL)进行加密。
这是一种强大的安全协议,它与其他安全网站(例如网上银行、信用卡支付等)提供的安全级别是一致的。
⏹一个HTTPS连接可用于客户端与服务器间的所有通信。
多个桌面连接将通过此HTTPS连接进行多路传输,从而降低了协议的整体开销。
⏹ViewManager控制着此HTTPS连接的两端,从而显著提高了底层协议的可靠性。
如果用户的网络连接暂时中断,则在网络连接恢复后,系统将重新建立
升级会员 