云桌面平臺解決方案

來源：廣東坤通科技有限公司日期：2020-01-13 點(diǎn)擊：8761 屬于：解決方案

方案目標(biāo)與收益

實現(xiàn)內(nèi)外網(wǎng)安全高效的移動辦公，提升用戶工作效率和便捷性

通過建設(shè),，實現(xiàn)用戶無論在內(nèi)網(wǎng)還是外網(wǎng)均能高效,、靈活進(jìn)行移動辦公，并能夠支持多種移動智能終端設(shè)備的訪問,，如iPad平板電腦,、iPhone智能手機(jī)、Android系列的平板電腦,、智能手機(jī)等設(shè)備的無縫接入,。用戶無論在任何地點(diǎn)，使用任何終端設(shè)備,，均可以安全,、高效、快速的進(jìn)行辦公,。

實現(xiàn)用戶內(nèi)外網(wǎng)訪問的數(shù)據(jù)安全保障

通過建設(shè),，在滿足用戶訪問內(nèi)外網(wǎng)資源的前提下實現(xiàn)內(nèi)外兩網(wǎng)的安全有效隔離，通過虛擬化技術(shù),，實現(xiàn)兩個網(wǎng)絡(luò)的虛擬化隔離,，用戶看到的僅是應(yīng)用程序的執(zhí)行畫面結(jié)果而并非真實數(shù)據(jù)，用戶不能夠?qū)?nèi)網(wǎng)數(shù)據(jù)傳輸?shù)酵饩W(wǎng)，但又能夠操作使用內(nèi)網(wǎng)資源,，保證了企業(yè)數(shù)據(jù)安全的同時滿足用戶的應(yīng)用需求,。

細(xì)粒度的安全接入管控

交付平臺可根據(jù)用戶終端的位置(安全或非安全區(qū)域)、終端的合規(guī)情況,、用戶的部門屬性等條件,，靈活定義用戶終端訪問企業(yè)資源的權(quán)限，阻斷從非安全區(qū)域訪問的終端設(shè)備把各種安全威脅帶進(jìn)企業(yè)內(nèi)網(wǎng)的可能性,。

提升桌面運(yùn)維效率

項目建設(shè)后,，所有應(yīng)用程序、桌面,、數(shù)據(jù)均運(yùn)行于數(shù)據(jù)中心,，客戶端設(shè)備弱化為訪問終端，管理員僅需在數(shù)據(jù)中心內(nèi)即可實現(xiàn)對用戶應(yīng)用,、桌面的統(tǒng)一運(yùn)維,，這包括日常的故障排查、補(bǔ)丁更新,、軟件安裝,、系統(tǒng)升級等各項操作，簡化了客戶端的運(yùn)維管理工作,，實現(xiàn)集中化,、高效、統(tǒng)一的桌面IT運(yùn)維,。

降低企業(yè)信息化總體擁有成本

方案設(shè)計原則
1. 先進(jìn)性

采用目前市場上主流產(chǎn)品及解決方案,，滿足用戶未來5年內(nèi)的發(fā)展趨勢；
1. 安全性
桌面和應(yīng)用全部運(yùn)行在數(shù)據(jù)中心的服務(wù)器上,，集中進(jìn)行安全管控,；
用戶無法隨意將內(nèi)部資料和文件等涉密信息從研發(fā)工作桌面上取走；
可以制定嚴(yán)格的訪問策略,，細(xì)粒度地控制最終用戶對桌面應(yīng)用的訪問權(quán)限,，例如是否可以復(fù)制粘貼或?qū)⑽募４娴教摂M桌面，導(dǎo)致數(shù)據(jù)泄露,。
1. 可靠性
服務(wù)可用性即沒有直接影響整體架構(gòu)問題的單點(diǎn)故障,。
所有功能組件必須支持冗余或高可用性，某些功能組件出現(xiàn)故障也不受影響所有用戶,，其次允許個別用戶會話盡可能自動恢復(fù),。
如有需要，部署主動監(jiān)控服務(wù),、報警機(jī)制,、負(fù)載共享或故障切換機(jī)制，應(yīng)無縫轉(zhuǎn)移負(fù)荷不用的資源，同樣不必要加載失敗的節(jié)點(diǎn),。
1. 最終用戶體驗
良好的用戶體驗,，虛擬桌面能夠提供與目前用戶使用的PC一樣的各種功能。
用戶的客戶端設(shè)備可以使用各種操作系統(tǒng)和配置的硬件設(shè)備來訪問桌面/應(yīng)用和數(shù)據(jù),。如：筆記本,、PC機(jī)、瘦客戶機(jī),、各種智能手機(jī),、平板電腦等。
管理員應(yīng)該有必要的監(jiān)測能力,，評估最終用戶體驗和排除故障所需的工具,，以找出問題，并計劃調(diào)整受到影響的服務(wù)質(zhì)量,。
未來終端用戶可以通過不同類型的網(wǎng)絡(luò)流暢地進(jìn)行工作,。
1. 可擴(kuò)展性
作為最終目標(biāo)的桌面虛擬化的基礎(chǔ)建設(shè)，在設(shè)計中支持5000或更多的虛擬桌面,。
平臺設(shè)計支持平滑的用戶規(guī)模升級擴(kuò)容,，擴(kuò)容過程不影響當(dāng)前用戶的正常使用。
功能模塊化可以為未來的發(fā)展提供基礎(chǔ),，當(dāng)數(shù)量或應(yīng)用等發(fā)生變化,，功能模塊化可以很容易地適應(yīng)，而無需重新設(shè)計或重新設(shè)計整個基礎(chǔ)設(shè)施 ,。可以很容易擴(kuò)展到5000或更多,。
同時,，對于新增或淘汰設(shè)備可以逐步更換為能耗更低、生命周期更長且軟硬件免維護(hù)的瘦客戶機(jī),，最大化度減少客戶端的維護(hù)管理工作,，并有效節(jié)省運(yùn)營成本。

思杰方案總體概述
1. 思杰交付架構(gòu)總體介紹

為了實現(xiàn)企業(yè)應(yīng)用,、桌面,、數(shù)據(jù)的統(tǒng)一的管理，思杰虛擬化及交付基礎(chǔ)架構(gòu)提供了用戶到應(yīng)用和桌面的端到端解決方案,，可將任何應(yīng)用,、桌面、數(shù)據(jù)交付給任何用戶,，并提供最佳的性能,、最高的安全性、最低的成本及最強(qiáng)的靈活性。
思杰交付中心云解決方案,，將數(shù)據(jù)中心轉(zhuǎn)變成交付中心,，其組成架構(gòu)如下圖所示：

關(guān)鍵組件解釋如下：

Citrix Virtual Apps – 虛擬應(yīng)用：支持客戶端和服務(wù)器端應(yīng)用虛擬化的端到端Windows應(yīng)用交付系統(tǒng)；
Citrix Virtual Desktops –虛擬桌面：以更低成本更安全,、更可靠地直接通過數(shù)據(jù)中心交付Windows桌面,；
Citrix Hypervisor – 虛擬服務(wù)器平臺：交付動態(tài)數(shù)據(jù)中心最簡捷、最有效的方式,；
Citrix ADC – 接入網(wǎng)關(guān)和負(fù)載均衡：為企業(yè)核心業(yè)務(wù)實現(xiàn)高效的應(yīng)用層負(fù)載均衡,，為終端用戶接入企業(yè)訪問應(yīng)用程序和桌面提供接入網(wǎng)關(guān)，為IT 人員提供了細(xì)粒度的應(yīng)用層策略和行為控制能力,，可保障應(yīng)用和數(shù)據(jù)訪問的安全,，同時讓用戶可單點(diǎn)訪問所需的應(yīng)用和桌面。
Citrix Receiver – 接收器：允許 IT 組織將桌面或應(yīng)用程序

思杰交付中心是以安全為出發(fā)點(diǎn)設(shè)計的,，是提供安全接入的基礎(chǔ),，而非事后的彌補(bǔ)。桌面,、應(yīng)用程序,、數(shù)據(jù)都集中運(yùn)行在思杰服務(wù)器上，數(shù)據(jù)不落地,，員工可以使用原有的操作習(xí)慣和使用方式來使用這些應(yīng)用,。
基于策略的控制讓IT部門能輕松地限制什么人能接入哪些信息以及什么時候接入等細(xì)粒度的安全管控。所有的信息都是虛擬化的并且是以加密的方式進(jìn)行傳輸?shù)?，使用戶能安全利用非信任網(wǎng)絡(luò),。最終，思杰能高效管理經(jīng)由多種接入網(wǎng)關(guān)傳輸?shù)尿炞C過程,，從而有效防護(hù)任何資源的前門,。總而言之,，這種安全手段為那些希望擴(kuò)展接入的機(jī)構(gòu)提供了恰當(dāng)?shù)谋Ｗo(hù)等級,，而沒有泄密安全。
采用思杰接入基礎(chǔ)架構(gòu)的產(chǎn)品和服務(wù),，管理員可以設(shè)置端到端的接入策略,，指定每種特定接入情境下可接入哪些內(nèi)容。接入策略可以考慮用戶,、群組,、設(shè)備類型、網(wǎng)絡(luò)位置和端點(diǎn)安全性,。通過創(chuàng)建接入策略,，管理員能更輕松地控制對敏感數(shù)據(jù)的接入,。
這些策略還需考慮三種不同的接入因素：誰正在接入應(yīng)用；他們使用的是哪種類型的客戶端設(shè)備,，如臺式機(jī),、筆記本電腦、智能手機(jī),、平板電腦或自助查詢終端,；以及他們所處的位置，比如在他們通常的工作地點(diǎn),，在其它辦公室,，或在路途中。
這都意味著一種更復(fù)雜的接入控制判定,，包括選擇性信任,，要求有比簡單的Yes/No更多的控制內(nèi)容，因為這些因素控制著用戶如何接入應(yīng)用,，而不僅僅是用戶是否接入應(yīng)用,。用戶可能被全部授權(quán)、部分授權(quán)或不被授權(quán)接入應(yīng)用,。舉例來說,，如果用戶在路途中，可能獲準(zhǔn)以只讀權(quán)限接入文檔,，而不能編輯,。

1. 1. HDX協(xié)議

思杰桌面云的核心技術(shù)協(xié)議是HDX協(xié)議，該協(xié)議連接了運(yùn)行在平臺上的應(yīng)用客戶端運(yùn)行環(huán)境和遠(yuǎn)端終端設(shè)備,，通過HDX的32個虛擬通道（分別傳遞各種輸入輸出數(shù)據(jù)如鼠標(biāo),、鍵盤、圖像,、聲音,、端口、打印等等）,，運(yùn)行在中心服務(wù)器上的應(yīng)用運(yùn)行環(huán)境的輸入輸出數(shù)據(jù)重新定向到遠(yuǎn)端終端設(shè)備的輸入輸出設(shè)備上,，因此雖然應(yīng)用應(yīng)用客戶端軟件并沒有運(yùn)行在客戶端設(shè)備上,，但是用戶使用起來和在客戶端安裝運(yùn)行客戶端軟件相比,，沒有感覺任何操作上的改變。
HDX協(xié)議如下圖所示:

HDX協(xié)議是一種高效率的數(shù)據(jù)交換協(xié)議,，采用了數(shù)據(jù)壓縮,、加密和連接優(yōu)化技術(shù)，每一個用戶的連接只占用50K-100K的網(wǎng)絡(luò)帶寬,，而實際運(yùn)行的客戶端軟件位于后臺的局域網(wǎng)內(nèi),，因此終端用戶相當(dāng)于用撥號線的鏈路就可以享受到局域網(wǎng)內(nèi)的運(yùn)行速度,。
HDX通過八大技術(shù)實現(xiàn)全面的外設(shè)接入支持,細(xì)粒度的安全管控，并呈現(xiàn)給用戶最優(yōu)的高清體驗:

HDX Broadcast: 適應(yīng)任何網(wǎng)絡(luò)的交付優(yōu)化技術(shù)
HDX Adaptive Orchestration（自適應(yīng)業(yè)務(wù)流程）: 對終端資源,、網(wǎng)絡(luò)和服務(wù)器資源的最大利用
HDX MediaStream: 無縫的（連貫流暢的）多媒體體驗
HDX RichGraphics with RemoteFX: 高畫質(zhì)圖像,支持RemoteFX
HDX RealTime（實時）: 實時的語音和視頻
HDX Plug-n-Play（即插即用）: 外設(shè)的便捷訪問
HDX SmartAccess（智能訪問）: 任何訪問地點(diǎn)的安全訪問
HDX WAN Optimization（廣域網(wǎng)加速）: 性能和帶寬優(yōu)化

1. 1. Framework技術(shù)

在Citrix Virtual Apps and Desktops早期版本中,，思杰將Framehawk技術(shù)整合進(jìn)HDX協(xié)議，極大地提升了在不穩(wěn)定的網(wǎng)絡(luò),，例如無線寬帶環(huán)境下的用戶體驗,。
現(xiàn)在的員工都不愿意被束縛在連接到固定網(wǎng)絡(luò)的傳統(tǒng)PC機(jī)上工作，在移動化浪潮下,，我們希望拿著我們的手機(jī),、平板以及筆記本電腦在大樓間移動，在校園中移動,，訪問通過WIFI網(wǎng)絡(luò)支持的由Citrix Virtual Apps和Citrix Virtual Apps and Desktops提供的虛擬應(yīng)用和虛擬桌面,。但是現(xiàn)實情況卻不是這么完美，有時候即使是在你的WIFI信號滿格的情況下,，仍然會出現(xiàn)丟包,、網(wǎng)絡(luò)擁塞、延遲以及網(wǎng)絡(luò)抖動,，當(dāng)我們上下滾動網(wǎng)頁或者是文檔的時候常常會遇到遲滯的感覺,。
為了在惡劣網(wǎng)絡(luò)條件下提升用戶體驗，我們需要解決幀率/幀速和視覺質(zhì)量的問題,，但是對于體驗這個感性的問題來說,，實際情況遠(yuǎn)不僅僅是上面談到的兩點(diǎn)。例如我們在平板上打字的時候,，由于沒有看到平板有反應(yīng),，我們就不停的點(diǎn)擊平板，其結(jié)果是導(dǎo)致一些錯誤的反應(yīng)結(jié)果,。Framehawk就是用戶在比較糟糕網(wǎng)絡(luò)條件下用于調(diào)節(jié)用戶體驗的技術(shù),。Framehawk會時刻觀察著幀的緩沖區(qū)，同時觀察著屏幕上不同的內(nèi)容類型,，判斷哪些是對用戶重要的部分：當(dāng)屏幕迅速變化,，例如播放視頻或者是移動的圖像的時候，如果一些像素在播放過程中丟失時,，人體的眼睛實際上是觀察不到的,，因為新的數(shù)據(jù)很快就覆蓋掉這些丟失的數(shù)據(jù)了；但是對一個靜止的屏幕,，人眼是非常挑剔的,，例如一個任務(wù)欄、一個圖標(biāo),，或者是我們正試圖閱讀的一段文字時,，我們希望這些區(qū)域的像素顯示要求非常完美,。一般的傳輸協(xié)議在傳輸上肯定要求數(shù)據(jù)不是0就是1，而Framehawk研究的是人體的感性體驗效果技術(shù),。
在用戶設(shè)備端,，Framehawk往Citrix Receiver注入了一個用戶意圖的判斷引擎，分析用戶試圖去做什么動作,。例如在一個高延遲和抖動的糟糕的網(wǎng)絡(luò)環(huán)境下,，一般用戶的反應(yīng)會比較夸張，例如不斷的在不同的屏幕之間切來切去（試圖通知計算機(jī)快點(diǎn)發(fā)送變更來,？）,，又或者在一個按鍵上點(diǎn)擊多次，因為不確定系統(tǒng)是否接受了之前的點(diǎn)擊,。Framehawk的用戶意圖引擎能辨識出用戶上下滾動頁面,，放大縮小、左移或者右移,，讀的動作,、打字的動作、以及其他的操作動作,，然后把這些動作的指令發(fā)送給虛擬桌面或虛擬應(yīng)用,。如果用戶試圖讀，那么文本的圖像質(zhì)量需要非常好,；如果用戶在上下滾動頁面,，那么需要的就是快速和平滑切換。
經(jīng)過實驗室的測試,，Framehawk可使用戶在丟包率超過40%的網(wǎng)絡(luò)環(huán)境中,，仍可流暢訪問虛擬應(yīng)用及桌面。

1. 1. 服務(wù)器虛擬化平臺兼容性

Citrix Virtual Apps and Desktops采用開放的架構(gòu),，同時支持多種業(yè)界主流的服務(wù)器虛擬化平臺和云平臺,，包括：

Citrix Hypervisor
VMware vSphere
Microsoft Hyper-V
Nutanix AHV
Microsoft Azure
Apache CloudStack CloudPlatform
Amazon Web Services
Google Platform
IBM SoftLayer
KVM
1. 1. 服務(wù)器硬件兼容性

思杰桌面云廣泛地支持主流X86服務(wù)器廠商，包括80多個不同廠商,，1000多種服務(wù)器型號,。廠商名稱及服務(wù)器型號可通過以下官網(wǎng)鏈接驗證：http://hcl.xensource.com/BrowsableServerList.aspx

1. 1. 存儲硬件兼容性

思杰桌面云廣泛地支持主流的存儲產(chǎn)品，如SAN,、NAS和iSCSI,，廠商主流的存儲設(shè)備廠商，品牌包括HP,、IBM,、EMC,、HDS,、華為等90多個不同廠商,，900多種存儲型號。廠商名稱及存儲型號可通過以下官網(wǎng)鏈接驗證：http://hcl.xensource.com/BrowsableStorageList.aspx

1. 思杰交付技術(shù)介紹

思杰是桌面虛擬化解決方案領(lǐng)域中的領(lǐng)導(dǎo)者,。不同崗位上的員工需要不同類型的桌面,。有些員工要求簡潔實用和標(biāo)準(zhǔn)化的桌面，有的員工則看重卓越性能和個性化,。
思杰的Citrix Virtual Apps桌面虛擬化結(jié)合了思杰特有的FlexCast™交付技術(shù),，可通過單一解決方案滿足各種要求。利用FlexCast,，IT部門能夠交付各種虛擬桌面– 每種桌面都經(jīng)過專門定制,，可滿足每位用戶的性能、安全性和靈活性要求,。
思杰的虛擬桌面的FlexCast技術(shù),，包含了以下六種技術(shù)，用戶可以根據(jù)其自身桌面應(yīng)用的需求,，選擇最合適的技術(shù),。

1. 1. 虛擬應(yīng)用交付

即Citrix Virtual Apps，應(yīng)用虛擬化模式,。應(yīng)用保持傳統(tǒng)方式,，通過ICA協(xié)議傳遞到用戶現(xiàn)有的桌面使用，從傳統(tǒng)的“安裝后運(yùn)行“改變?yōu)?/span>“點(diǎn)擊后運(yùn)行”,。
此外,，還能根據(jù)需要將虛擬應(yīng)用以離線形式發(fā)布到用戶現(xiàn)有電腦上，供用戶離線時使用,。虛擬應(yīng)用在本地設(shè)備上運(yùn)行,，但集中進(jìn)行管理。因為虛擬應(yīng)用能夠脫機(jī)工作,，因此這種模式也是移動用戶的理想選擇,。

1. 1. 虛擬共享桌面

集中管理共享桌面的實質(zhì)是發(fā)布共享的Windows服務(wù)器的桌面，可提供封閉,、經(jīng)過簡化的標(biāo)準(zhǔn)環(huán)境,，提供一組核心應(yīng)用，適合不需要（或者不允許）個性化定制的任務(wù)型員工,。這種模式最多可在一臺服務(wù)器上支持500位用戶,，與任何其他虛擬桌面技術(shù)相比都可以大大節(jié)約成本。后臺基于Windows Server 服務(wù)器,，使用Citrix Virtual Apps發(fā)布服務(wù)器的桌面給前端用戶同時訪問,，配置嚴(yán)格的組策略保護(hù)共享的服務(wù)器工作環(huán)境。主要用在應(yīng)用相對比較簡單,、用戶個性化需求不高的場景,。不少中小外企就是將這種手段配合瘦客戶機(jī)使用,，時間長的已經(jīng)部署接近十年。

1. 1. 虛擬獨(dú)占桌面（VDI）

提供個性化Windows桌面體驗,，通常適用于辦公室工作人員 ,，能夠通過任何網(wǎng)絡(luò)安全地交付給任何設(shè)備。這種方案結(jié)合了集中管理和全面用戶個性化定制的優(yōu)點(diǎn),，每臺服務(wù)器一般能支持60到70個桌面,。
基于虛擬機(jī)的集中管理桌面實質(zhì)是傳統(tǒng)意義上狹義的桌面虛擬化VDI，把Windows 7/8/10的桌面運(yùn)行在后臺的服務(wù)器上,，例如一臺物理服務(wù)器通過服務(wù)器虛擬化技術(shù)可以同時運(yùn)行60個Windows 7/8/10,，再通過ICA協(xié)議把虛擬機(jī)的桌面遠(yuǎn)程傳輸?shù)?/span>60個用戶的終端設(shè)備上，用戶在面前的設(shè)備上看到的其實是個虛擬的影子,，真正的桌面運(yùn)行在數(shù)據(jù)中心,。適用于應(yīng)用相對復(fù)雜，用戶個性化要求高的場景,。
這種桌面虛擬化場景又可以細(xì)分為保存狀態(tài)和無狀態(tài)兩種,。保存狀態(tài)是指用戶和后臺虛擬機(jī)一對一綁定，用戶對虛擬桌面的修改會保存在虛擬機(jī)中,；無狀態(tài)是指從一個磁盤鏡像中啟動多個用戶的虛擬機(jī),，這些虛擬機(jī)保持只讀狀態(tài)，用戶對虛擬桌面的任何修改會在注銷后消失,。前者用戶擁有更大的自主權(quán)限,，但管理復(fù)雜、存儲資源占用很大,；后者用戶不能對操作系統(tǒng)進(jìn)行修改,，權(quán)限受控，但一對多的理念使管理簡單,，同時不會占用大量的存儲資源,。

1. 1. 虛擬機(jī)托管應(yīng)用 (VM Hosted App)

VDI獨(dú)占桌面和虛擬應(yīng)用前面已介紹過，前者可以最佳的支持各種復(fù)雜外設(shè),，后者可以更好的做到標(biāo)準(zhǔn)化以及節(jié)省硬件開銷等,；那么什么是虛擬機(jī)托管應(yīng)用VM Hosted App呢？VM Hosted App其實是以VDI獨(dú)占桌面的形式來交付某些具體的應(yīng)用,，即后臺是VDI發(fā)布技術(shù),，前端展現(xiàn)的是虛擬應(yīng)用效果。
很多企業(yè)選擇虛擬化解決方案來提高安全,、集中管理,、IT管理效率等能力的時候，從成本、標(biāo)準(zhǔn)化等角度考慮,，往往更認(rèn)可虛擬應(yīng)用的部署方式,。但是在某些情況下一些特殊的應(yīng)用（如需要特殊復(fù)雜的外設(shè)、需要運(yùn)行在32位系統(tǒng)下）難于以虛擬應(yīng)用的方式來部署,。如果因為這些數(shù)量較少的應(yīng)用而放棄虛擬應(yīng)用而全部采用VDI的方式部署將大大增加成本和管理運(yùn)難的便利性。
Citrix VM Hosted App可以有效解決上述場景中所出現(xiàn)的尷尬局面,，將”特殊應(yīng)用”后臺以VDI方式發(fā)布,，與虛擬應(yīng)用完美集成，前端只能看到所發(fā)布出來的這些應(yīng)用列表,，不能直接訪問虛擬桌面,，達(dá)到統(tǒng)一視圖效果，既滿足特殊應(yīng)用需求的同時,，又充分發(fā)揮出虛擬應(yīng)用的優(yōu)勢,，達(dá)到VDI與虛擬應(yīng)用的完美結(jié)合。

1. 1. Linux虛擬桌面

Linux系統(tǒng)由于其開源,、穩(wěn)定,、安全等特性，無論是作為服務(wù)器還是桌面操作系統(tǒng)已經(jīng)越來越被企業(yè)和用戶所認(rèn)可,，尤其在科研,、圖形設(shè)計、高性能計算等高科技領(lǐng)域,。思杰公司已正式推出Linux操作系統(tǒng)的虛擬桌面,，用戶可以通過相同的使用體驗遠(yuǎn)程訪問Linux操作系統(tǒng)。
Linux虛擬桌面的安裝配置非常簡單和便捷,，企業(yè)不需要改變原有的虛擬桌面基礎(chǔ)架構(gòu),，只需在Linux系統(tǒng)上安裝VDA(Virtual Desktop Agent)即可，當(dāng)前版本支持SuSE Linux和RedHat Linux,，在下個版本中將會支持更多的Linux系統(tǒng),。

1. 1. 遠(yuǎn)程訪問PC桌面

作為其他集中管理桌面方案的有力補(bǔ)充，Citrix也提供對現(xiàn)有PC桌面的遠(yuǎn)程訪問,。采用與上述桌面方案相同的架構(gòu),，充分利用現(xiàn)有的PC設(shè)備，同時又能夠兼顧方便靈活的訪問方式和保證信息數(shù)據(jù)的安全,。Remote PC的使用,，能夠最大限度利用原有PC機(jī)硬件或者保留用戶的現(xiàn)有使用體驗，甚至可使得用戶在不同終端使用方式間的平滑過渡,，而不間斷起工作,。Remote PC提供了一個靈活的選擇，使用Remote PC，將可以幫助最終用戶：

不再需要專門的VPN通道訪問個人PC,；
認(rèn)證通過DDC來進(jìn)行,，比如可以實現(xiàn)雙因素認(rèn)證；
不需要記住個人PC的主機(jī)名和IP地址,；
在物理PC上得到全部的HDX體驗,；
一個用戶可以被分配多個桌面，而多個用戶也能分配一個桌面,；
提供新的WDDM顯示驅(qū)動,；
和本地顯示驅(qū)動和平相處；
使用了ThinWire,，可以支持任意設(shè)備,，也能實現(xiàn)Aero效果；
電源管理功能：即使在遠(yuǎn)程PC關(guān)機(jī)時也能遠(yuǎn)程執(zhí)行開機(jī)操作（必須要Intel AMT技術(shù)支持）,；
1. 思杰交付產(chǎn)品介紹

本方案由如下四個產(chǎn)品組件組成,，分別介紹如下：

1. 1. 思杰應(yīng)用虛擬化（Citrix Virtual Apps）

思杰應(yīng)用虛擬化Virtual Apps提供的應(yīng)用虛擬化功能，使用戶所有應(yīng)用程序的執(zhí)行都發(fā)生在數(shù)據(jù)中心,，用戶的終端接入設(shè)備僅作為展現(xiàn)平臺用,。這為用戶提供了更為靈活、多樣的接入終端與使用環(huán)境的選擇,，而企業(yè)對于應(yīng)用和數(shù)據(jù)的安全控制更為高效可靠,。
Virtual Apps實現(xiàn)了對應(yīng)用、文件,、數(shù)據(jù)的集中化部署和管理,，允許企業(yè)在數(shù)據(jù)中心管理用戶環(huán)境的關(guān)鍵應(yīng)用程序、數(shù)據(jù),。集中化使企業(yè)能更輕松,、更可靠地實現(xiàn)綜合控制，對需求變化的適應(yīng)性更快速,、更靈活和更經(jīng)濟(jì)實惠,。

1. 1. 思杰桌面虛擬化（Citrix Virtual Apps and Desktops）

思杰桌面虛擬化 Virtual Desktops可提供一種端到端的桌面交付解決方案?？蓜討B(tài)按需產(chǎn)生虛擬桌面,，用戶每次登錄時都能獲得一個干凈的、個性化的全新桌面—從而確保性能不會下降,。此外,，Citrix Virtual Apps and Desktops采用的Citrix HDX高速交付協(xié)議還可在任何網(wǎng)絡(luò)條件下提供無與倫比的桌面響應(yīng)速度。對于IT機(jī)構(gòu)而言,，Virtual Desktops可通過分別交付桌面操作系統(tǒng),、應(yīng)用和用戶設(shè)置,，大大簡化桌面生命周期管理并顯著降低擁有成本。
Citrix Virtual Desktopsp可為任意地點(diǎn)的用戶按需交付桌面,，同時顯著簡化生命周期管理,。它可提供一種端到端的桌面交付解決方案，為最終用戶加速交付桌面,，提供更強(qiáng)大的數(shù)據(jù)保護(hù)和監(jiān)控,，并降低高達(dá)40%的擁有成本。
采用桌面虛擬化技術(shù)可以在數(shù)據(jù)中心集中化管理桌面,，還可輕松實現(xiàn)桌面安全防護(hù),，并有效減少桌面終端的運(yùn)維管理工作。
Citrix可根據(jù)用戶的不同場景,，通過應(yīng)用虛擬化和桌面虛擬化的組合實現(xiàn)對用戶環(huán)境的交付,。如果應(yīng)用虛擬化可以滿足業(yè)務(wù)應(yīng)用交付的需求,，則只需要部署應(yīng)用虛擬化實現(xiàn)應(yīng)用環(huán)境的交付,；如果用戶需要完整的桌面虛擬化體驗，通過桌面虛擬化方案可以實現(xiàn)包含操作系統(tǒng),、應(yīng)用,、用戶配置文件和數(shù)據(jù)文件的組裝交付，其中的應(yīng)用可選擇在虛擬桌面本地部署應(yīng)用或者通過應(yīng)用虛擬化實現(xiàn)虛擬桌面內(nèi)的應(yīng)用交付,。用戶還可根據(jù)場景的需求,，實現(xiàn)僅對虛擬應(yīng)用的交付，通過直接訪問應(yīng)用虛擬化云平臺,，實現(xiàn)應(yīng)用環(huán)境的交付,。

1. 1. 思杰服務(wù)器虛擬化（Citrix Hypervisor）

思杰服務(wù)器虛擬化Citrix Hypervisor是基于開源Xen®系統(tǒng)管理程序創(chuàng)建的，作為一種企業(yè)級的產(chǎn)品,，Citrix Hypervisor底層管理程序的高效性降低了總開銷,，并使得其上運(yùn)行的虛擬機(jī)接近于本地物理計算性能。Citrix Hypervisor充分利用Intel® VT和AMD®虛擬化（AMD-V™）硬件輔助虛擬化技術(shù),，提供更快速,、更高效的虛擬化計算能力。與其它基于封閉式專用系統(tǒng)構(gòu)建的虛擬化產(chǎn)品不同,，Citrix Hypervisor的開放API讓客戶可以通過現(xiàn)有的服務(wù)器和存儲硬件來訪問和控制先進(jìn)的功能,。
Citrix Hypervisor為關(guān)鍵工作負(fù)載提供了所需的先進(jìn)功能，同時提供了大規(guī)模部署必需的簡易操作能力,。利用獨(dú)特的應(yīng)用儲備技術(shù),，Citrix Hypervisor可通過虛擬或物理服務(wù)器快速交付工作負(fù)載，成為企業(yè)每臺服務(wù)器的理想虛擬化平臺,。

1. 1. 思杰安全接入網(wǎng)關(guān)與負(fù)載均衡設(shè)備（Citrix ADC）

思杰安全接入網(wǎng)關(guān)與負(fù)載均衡設(shè)備Citrix ADC作為一種完整的虛擬桌面和應(yīng)用訪問解決方案的硬件組成部分,，為IT 人員提供了細(xì)粒度的應(yīng)用層安全管理及策略和行為控制能力,，可保障應(yīng)用和數(shù)據(jù)訪問的安全，同時讓用戶可在任何地方開展工作,。該解決方案為IT 提供的單點(diǎn)控制能力和工具可幫助確保企業(yè)內(nèi)外的合規(guī)性及最高的信息安全性,。同時，Citrix ADC讓用戶可單點(diǎn)訪問所需的企業(yè)應(yīng)用和數(shù)據(jù),，單點(diǎn)訪問功能還針對用戶角色,、設(shè)備和網(wǎng)絡(luò)進(jìn)行了優(yōu)化。這一獨(dú)特的功能組合幫助企業(yè)最大程度地提高了移動辦公人員的工作效率,。
Citrix ADC可提供強(qiáng)大的接入管理功能,，無需任何額外的網(wǎng)絡(luò)隧道軟件，即可實現(xiàn)Citrix Virtual Apps and Desktops 客戶端的安全連接,。同時,，Citrix ADC向移動設(shè)備提供應(yīng)用級別的VPN接入(Micro-VPN)，只有安全受控的移動應(yīng)用(native mobile app)才會獲得進(jìn)入企業(yè)內(nèi)網(wǎng)的VPN通道,，避免傳統(tǒng)VPN模式帶來的把企業(yè)內(nèi)網(wǎng)暴露在整個移動設(shè)備面前的安全威脅,。

用戶分組與桌面類型

根據(jù)不同的用戶對桌面的不同需求來提供不同構(gòu)型的虛擬桌面，而不是一刀切的提供單一架構(gòu)的虛擬桌面類型,，是我們解決優(yōu)化虛擬桌面資源調(diào)度和提高運(yùn)維管理工作效率的關(guān)鍵方法,。

1. 任務(wù)型用戶和共享桌面

在企業(yè)內(nèi)部眾多的桌面云用戶中，有相當(dāng)一部分用戶的日常工作是普通的OA辦公,，這些用戶每天只會訪問固定的少量辦公應(yīng)用,，對計算資源的要求不高，只需訪問少量常用的外設(shè),，無太多的桌面定制化需求,，我們將他們歸為任務(wù)型用戶。此類用戶的辦公有以下特點(diǎn)：

普遍使用OA,、Microsoft Office等常見的辦公軟件,。應(yīng)用相對簡單，對計算資源要求相對較低,。
外設(shè)訪問：外設(shè)需求不多,，只需支持常用的網(wǎng)絡(luò)打印機(jī)。
多媒體播放：高清視頻/Flash動畫播放需求不多,，屬于偶發(fā)性訪問,。
安全性：接觸大量敏感信息，對數(shù)據(jù)安全要求高,。
網(wǎng)絡(luò)帶寬：應(yīng)用場景相對簡單,，多媒體訪問不多，需結(jié)合具體應(yīng)用場景評估,。

對于任務(wù)型用戶,，基于Citrix Virtual Apps的虛擬應(yīng)用或共享桌面是最佳的選擇,，我們?yōu)槿蝿?wù)型用戶搭建Citrix Virtual Apps應(yīng)用虛擬化交付平臺，發(fā)布共享式虛擬桌面(Hosted Shared Desktop,，簡稱HSD)及虛擬應(yīng)用,，實現(xiàn)任務(wù)型用戶桌面的標(biāo)準(zhǔn)化管理，限制用戶自行安裝軟件的權(quán)限,；通過活動目錄的用戶配置文件漫游及文件重定向功能,，實現(xiàn)用戶個人數(shù)據(jù)的安全存放及統(tǒng)一管理。此方案具備了硬件投入低,、并發(fā)訪問性能良好,、桌面標(biāo)準(zhǔn)化程度高等特點(diǎn)。

1. 知識型用戶和標(biāo)準(zhǔn)化桌面

還有些用戶屬于參與代碼開發(fā)與測試的研發(fā)人員,，或者是具有輕量級2D圖形作業(yè)需求的設(shè)計人員等,，這些用戶對計算資源的要求高，每位用戶需使用獨(dú)立的操作系統(tǒng)進(jìn)行開發(fā)與調(diào)試工作,，會頻繁使用各種周邊外設(shè),，我們將他們歸為知識型用戶。此類用戶的辦公有以下特點(diǎn)：

有訪問多媒體的需求,，業(yè)務(wù)應(yīng)用較復(fù)雜,，對終端計算能力要求高,。
外設(shè)訪問：外設(shè)需求較多,，需要訪問跟業(yè)務(wù)相關(guān)的周邊外設(shè)進(jìn)行開發(fā)調(diào)試。
多媒體播放：有高清視頻/Flash動畫的播放需求,，帶寬需求較高,。
安全性：接觸大量敏感信息，對數(shù)據(jù)安全要求高,。
網(wǎng)絡(luò)帶寬：應(yīng)用場景較為復(fù)雜,，有高清視頻/Flash等多媒體訪問要求，帶寬需求較高,，需結(jié)合具體應(yīng)用場景評估,。

對于知識型用戶，基于PVS的標(biāo)準(zhǔn)化桌面是最佳的選擇,。我們?yōu)橹R型用戶搭建Citrix Virtual Desktops虛擬化交付平臺,，發(fā)布獨(dú)占式虛擬桌面（簡稱VDI），通過Citrix PVS服務(wù)進(jìn)行單一鏡像管理,。此方案同時具備了存儲利用率高,、鏡像統(tǒng)一管理、桌面性能好,、外設(shè)支持廣泛等特點(diǎn),。

1. 自由型用戶和個性化桌面

其他少量用戶具有應(yīng)用不可預(yù)知或規(guī)范化的特點(diǎn),，例如領(lǐng)導(dǎo)或IT管理人員，他們需要自由安裝應(yīng)用軟件的權(quán)限,。同時,，由于應(yīng)用軟件的不可預(yù)知，也導(dǎo)致對虛擬桌面性能的需求不可預(yù)知,。這種類型的用戶我們稱為自由型用戶,。
對于自由型用戶，基于MCS的個性化VDI桌面是最佳選擇,。個性化桌面占用的計算資源高,，其管理運(yùn)維工作壓力大，但它的使用體驗最接近傳統(tǒng)PC,，能夠勝任各種復(fù)雜的使用場景,。

邏輯架構(gòu)

方案在邏輯上由兩部分組成：

數(shù)據(jù)中心
用戶接入
1. 數(shù)據(jù)中心邏輯架構(gòu)

向用戶提供應(yīng)用程序、桌面,、數(shù)據(jù)資源的交付,，所有用戶應(yīng)用程序、桌面,、數(shù)據(jù)都放置于數(shù)據(jù)中心中,，用戶的執(zhí)行操作均在數(shù)據(jù)中心內(nèi)部完成，最終將用戶執(zhí)行的結(jié)果傳輸給用戶,，此部分包括三個層次模塊：

核心應(yīng)用層

此層為無限極現(xiàn)有各項辦公,、業(yè)務(wù)系統(tǒng)，如OA,、郵件等,，未來可將這些業(yè)務(wù)逐步遷移到服務(wù)器虛擬化平臺上運(yùn)行，以提高服務(wù)器利用率,，提升數(shù)據(jù)中心運(yùn)營效率,。

應(yīng)用交付層

此層為用戶提供虛擬應(yīng)用和虛擬桌面服務(wù)，承載了用戶所需要的各項應(yīng)用程序,、桌面,、數(shù)據(jù)，通過此層,，實現(xiàn)了用戶的應(yīng)用程序,、桌面、數(shù)據(jù)的集中化管理和按需應(yīng)用交付,，用戶的各項操作均在此層完成,，并將執(zhí)行的結(jié)果以屏幕變化量的方式傳輸給用戶，向用戶交付的并非真實數(shù)據(jù),，保證了數(shù)據(jù)始終不會離開數(shù)據(jù)中心,，保障數(shù)據(jù)管控的安全性,。

接入層

此層主要完成將虛擬化層所提供的執(zhí)行結(jié)果向用戶交付的工作。用戶向數(shù)據(jù)中心請求的操作會通過接入層的負(fù)載均衡功能實現(xiàn)自動分配,，而用戶在數(shù)據(jù)中心的執(zhí)行結(jié)果也會通過此層以SSL加密的方式傳輸給用戶,，因此，此層完成了用戶到數(shù)據(jù)中心的雙向交互,，并具備有效的安全控制策略來保障合法用戶的身份登錄及后端系統(tǒng)的單點(diǎn)登錄功能,。

1. 用戶接入邏輯架構(gòu)

用戶接入網(wǎng)絡(luò)主要面向兩種類型用戶的交付：

內(nèi)網(wǎng)辦公用戶：

包括位于總部及分支機(jī)構(gòu)內(nèi)網(wǎng)的用戶，為這些用戶提供應(yīng)用,、桌面服務(wù),，用戶可以在內(nèi)網(wǎng)任意終端設(shè)備（筆記本、臺式機(jī),、瘦客戶機(jī),、移動設(shè)備）上通過自己的賬號訪問自己的辦公資源。

外網(wǎng)辦公用戶：

面向需要外部辦公的用戶,，這些用戶可以安全的通過各種終端設(shè)備（筆記本,、家用臺式機(jī)、iPad,、iPhone,、Android平板電腦和智能手機(jī)）訪問企業(yè)內(nèi)部應(yīng)用，實現(xiàn)高效靈活的移動辦公,。

詳細(xì)架構(gòu)設(shè)計

整個系統(tǒng)平臺通過思杰安全網(wǎng)關(guān)作為數(shù)據(jù)中心總?cè)肟?，接入層的對外防火墻上只需開放特定端口（TCP 443/8443）即可供用戶訪問，較少的端口提高了系統(tǒng)訪問的安全性,。用戶只要接入到網(wǎng)絡(luò)里面,，在任何地方都可以訪問虛擬應(yīng)用/桌面平臺,，不局限于內(nèi)網(wǎng)還是外網(wǎng),，也不局限于任意終端設(shè)備。由于虛擬應(yīng)用/桌面的安全特點(diǎn),，數(shù)據(jù)始終不落地,，有效保證用戶訪問的數(shù)據(jù)安全性。
方案在邏輯上分為兩個部分：

數(shù)據(jù)中心
用戶接入
1. 數(shù)據(jù)中心詳細(xì)架構(gòu)

按照邏輯拓?fù)鋱D建設(shè)三個邏輯功能層（接入層,、應(yīng)用交付層,、核心應(yīng)用層），現(xiàn)分別說明如下：

內(nèi)外網(wǎng)訪問與安全保障

為了滿足用戶對于內(nèi)外網(wǎng)訪問的需求,，同時又保證數(shù)據(jù)的安全性，我們在數(shù)據(jù)中心內(nèi)建設(shè)辦公網(wǎng)應(yīng)用交付平臺，內(nèi)外網(wǎng)終端所在網(wǎng)絡(luò)與應(yīng)用交付平臺通過防火墻隔離,，保證了網(wǎng)絡(luò)的安全和數(shù)據(jù)的隔離性。
Citrix ADC安全接入網(wǎng)關(guān)設(shè)備是接入層的核心組件,，其作用主要有：

- 協(xié)議代理：作為ICA協(xié)議的反向代理，把所有從終端設(shè)備網(wǎng)段到應(yīng)用交付層之間的通訊封裝在使用443端口的加密通道中,。
- 協(xié)議代理模式可以極大簡化企業(yè)防火墻地址轉(zhuǎn)換(NAT)和準(zhǔn)入策略的維護(hù)工作量,。沒有Citrix ADC的情況下，用戶的終端設(shè)備需要直接訪問虛擬應(yīng)用或VDI虛擬機(jī)的TCP 1494和2598端口,，因此在終端設(shè)備網(wǎng)段和應(yīng)用交付層之間的防火墻上配置的地址轉(zhuǎn)換和準(zhǔn)入策略的數(shù)量與Citrix Virtual Apps或VDI虛擬機(jī)的數(shù)量有關(guān),。當(dāng)有大量Citrix Virtual Apps或VDI虛擬機(jī)需要發(fā)布到用戶網(wǎng)段，管理員需要花費(fèi)較多工作量修改防火墻的配置,。
- 如果在終端設(shè)備網(wǎng)段和應(yīng)用交付層之間部署了Citrix ADC, 所有用戶終端設(shè)備都只需要訪問經(jīng)過轉(zhuǎn)換后的Citrix ADC IP地址的TCP 443端口,，防火墻上只需要配置一條地址轉(zhuǎn)換和準(zhǔn)入策略，策略的數(shù)量與Citrix Virtual Apps或VDI虛擬機(jī)的數(shù)量無關(guān),。
- 負(fù)載均衡：Citrix ADC作為業(yè)界No.1的7層負(fù)載均衡設(shè)備,，可以為包括StoreFront門戶網(wǎng)站、桌面虛擬化控制器(DDC)的XML服務(wù),、PVS服務(wù)在內(nèi)的諸多組件提供負(fù)載均衡,，實現(xiàn)高可用。
- 網(wǎng)絡(luò)隔離：在一個存在多個相互隔離的網(wǎng)段的環(huán)境中,，用戶如果希望通過一個終端設(shè)備同時訪問多個網(wǎng)段的資源,，如位于開發(fā)網(wǎng)的終端設(shè)備希望安全地訪問辦公網(wǎng)的OA系統(tǒng)，可以通過Citrix ADC把辦公網(wǎng)的OA客戶端以虛擬應(yīng)用或虛擬桌面的方式單點(diǎn)發(fā)布到開發(fā)網(wǎng),；通過這種方式,，辦公網(wǎng)只需要把Citrix ADC的一個IP地址和443端口暴露給開發(fā)網(wǎng)，大大減少了兩個網(wǎng)段之間需要開放訪問權(quán)限的IP地址和端口數(shù)量,，為“終端合一”的網(wǎng)絡(luò)隔離需求提供了更安全的實現(xiàn)方式,。如下圖所示：

應(yīng)用匯聚與統(tǒng)一訪問

應(yīng)用交付平臺最終通過Citrix ADC安全接入網(wǎng)關(guān)設(shè)備統(tǒng)一交付應(yīng)用及桌面資源，用戶只需訪問統(tǒng)一的發(fā)布門戶,，系統(tǒng)就會根據(jù)用戶身份來自動判別并分配應(yīng)用,，對用戶的訪問權(quán)限實現(xiàn)了細(xì)粒度的控制，以確保有效的權(quán)限訪問合法授權(quán)的應(yīng)用資源,。
思杰虛擬化技術(shù)在網(wǎng)絡(luò)上并不傳輸真實的業(yè)務(wù)數(shù)據(jù),，加上終端所在網(wǎng)段及應(yīng)用交付網(wǎng)段之間嚴(yán)格的用戶權(quán)限保障，因此,，方案足以保證兩網(wǎng)隔離的安全性,。
以下是應(yīng)用交付層的各個功能模塊：

1. 1. 基礎(chǔ)架構(gòu)服務(wù)器集群

基礎(chǔ)架構(gòu)服務(wù)器運(yùn)行各種管理角色的虛擬機(jī)，每個角色的作用如下：

虛擬發(fā)布門戶服務(wù)器（StoreFront）：提供桌面云的發(fā)布門戶網(wǎng)站,，用戶身份驗證后可在門戶網(wǎng)站中看到自己可用的虛擬桌面和虛擬應(yīng)用,。
許可證服務(wù)器（License）：負(fù)責(zé)Citrix桌面虛擬化的許可證管理和查詢。
活動目錄（AD）：服務(wù)器提供標(biāo)準(zhǔn)的LDAP目錄服務(wù)，負(fù)責(zé)用戶的身份驗證和所有桌面虛擬化組件之間的信任互訪,。
數(shù)據(jù)庫服務(wù)器（DB）：負(fù)責(zé)存放桌面虛擬化以及應(yīng)用虛擬化的所有配置信息,，同時也可以保存這些服務(wù)器的歷史性能數(shù)據(jù)。
應(yīng)用虛擬化服務(wù)器（Citrix Virtual Apps）：負(fù)責(zé)向用戶推送虛擬應(yīng)用或共享桌面,。
桌面虛擬化控制器(DDC)：是虛擬桌面基礎(chǔ)架構(gòu)的核心,，提供如下服務(wù)：
XML服務(wù)：負(fù)責(zé)Web Interface組件與Citrix Virtual Apps and Desktops服務(wù)器群之間的通信。XML服務(wù)驗證用戶身份,，提供可用的虛擬桌面列表,，并生成相應(yīng)的信息讓終端能夠連接到虛擬桌面；
控制器服務(wù)：負(fù)責(zé)虛擬桌面上虛擬桌面服務(wù)的通信,?？刂破鞣?wù)進(jìn)行虛擬桌面注冊并保持虛擬桌面狀態(tài)；
資源池服務(wù)：基于Citrix Virtual Apps and Desktops服務(wù)器群配置,，資源池服務(wù)聯(lián)系虛擬化基礎(chǔ)架構(gòu)來啟動和關(guān)閉虛擬桌面,；
1. 1. 虛擬桌面/應(yīng)用承載服務(wù)器集群

虛擬桌面/應(yīng)用承載服務(wù)器底層使用Citrix Hypervisor服務(wù)器虛擬化技術(shù)，每臺物理機(jī)上虛擬出一定數(shù)量的虛擬桌面,，目前支持客戶端操作系統(tǒng)(Windows 7/8/10)和服務(wù)器操作系統(tǒng)(Windows 2008/2008 R2/2012/2012 R2/2016/2019),，桌面上除了承載標(biāo)準(zhǔn)的辦公應(yīng)用外，還運(yùn)行著一個Citrix的特殊服務(wù)：

虛擬桌面代理服務(wù)：負(fù)責(zé)與Desktop Delivery Controller進(jìn)行注冊并保持與控制器的心跳檢測,。如果心跳檢測失敗,，虛擬桌面服務(wù)將重新與另一個可用的Desktop Delivery Controller進(jìn)行注冊。
1. 1. OS鏡像管理和交付模塊

OS鏡像管理和交付模塊是由Provisioning Server（置備服務(wù)器,，簡稱PVS）組件來完成的,。PVS在虛擬化基礎(chǔ)架構(gòu)上為所有的用戶提供了桌面操作系統(tǒng)鏡像。一個基本的操作系統(tǒng)鏡像被創(chuàng)建,，包含了操作系統(tǒng)級的配置,。每個桌面啟動時，操作系統(tǒng)會經(jīng)由網(wǎng)絡(luò)通過流技術(shù)交付給虛擬桌面,。管理員只需要對基本鏡像進(jìn)行升級,，所有虛擬桌面將會在下一次重啟時使用最新的鏡像。
通過PVS服務(wù)器來集中管理和交付桌面鏡像,，使OS的鏡像管理大大簡化,，通過1個或數(shù)個鏡像的部署和升級，就能簡單實現(xiàn)成百上千的虛擬桌面的部署和升級維護(hù),，大大簡化了鏡像管理的流程和工作量，使桌面更加穩(wěn)定和安全,。

資源交付類型的管理

系統(tǒng)可以向用戶直接交付應(yīng)用程序或整個桌面,，并為用戶統(tǒng)一分配存儲空間，應(yīng)用交付平臺可以細(xì)粒度地根據(jù)用戶應(yīng)用需求來決定發(fā)布的資源,。
當(dāng)普通辦公用戶從內(nèi)網(wǎng)訪問時,，平臺可對其發(fā)布共享桌面,，為用戶提供桌面環(huán)境的同時降低后臺投資成本；當(dāng)相同的用戶移動辦公或在家辦公時,，平臺可直接將虛擬應(yīng)用發(fā)布到用戶的移動終端設(shè)備上,，虛擬應(yīng)用的方式簡化了用戶的操作流程，提高用戶在移動場景下的辦公效率,。

系統(tǒng)運(yùn)維管理

整套虛擬化系統(tǒng)均運(yùn)行于服務(wù)器虛擬化平臺上,，服務(wù)器虛擬化為所有虛擬化系統(tǒng)提供了標(biāo)準(zhǔn)、兼容,、高可靠的執(zhí)行環(huán)境,，同時，還提供了冗余性等安全保障,，通過虛擬化平臺,，實現(xiàn)了數(shù)據(jù)中心的自動化運(yùn)維。
對于用戶來說,，所有的應(yīng)用程序,、桌面均由統(tǒng)一的鏡像生成，后期的補(bǔ)丁更新,、軟件安裝等操作只需要管理員更改黃金鏡像,，即可對特定或所有用戶實現(xiàn)統(tǒng)一的更新，高效快捷,。同時,，對于用戶的日常運(yùn)維來說，由于用戶的操作均在數(shù)據(jù)中心完成,，管理員對于用戶日常遇到的各種問題（操作系統(tǒng),、應(yīng)用程序、配置等）均可在數(shù)據(jù)中心里進(jìn)行維護(hù)操作,，提升了IT運(yùn)維效率,。

1. 用戶接入詳細(xì)架構(gòu)

系統(tǒng)需要向以下兩類用戶提供服務(wù)：內(nèi)網(wǎng)辦公用戶、外網(wǎng)辦公用戶,。

內(nèi)網(wǎng)辦公用戶

基于虛擬化技術(shù)的移動工作空間能夠?qū)崿F(xiàn)如下功能：

- 內(nèi)網(wǎng)高效靈活辦公

虛擬化后,，用戶的應(yīng)用程序、桌面,、數(shù)據(jù)與終端設(shè)備之間的硬耦合關(guān)系被打破,，用戶可以在內(nèi)網(wǎng)任意終端設(shè)備上通過自己的賬戶來訪問自己的資源，資源隨人走,，所有用戶在內(nèi)網(wǎng)任意地點(diǎn),、任意終端設(shè)備均可開展辦公。
如某用戶離開辦公室自己的工位到會議室參加會議，無需攜帶任何資料介質(zhì),，只需通過會議室的終端設(shè)備（PC或瘦客戶機(jī)）登錄移動工作空間即可訪問到與在工位上辦公時一致的辦公資源,，在離開工位時正在進(jìn)行中的工作狀態(tài)(如編輯到一半的文檔)會無縫切換到會議室的終端設(shè)備上。
同樣,，該用戶到其他分支機(jī)構(gòu)辦公,，也無需攜帶任何辦公終端設(shè)備和介質(zhì)，直接使用當(dāng)?shù)氐挠嬎銠C(jī)終端即可訪問自己原有的辦公應(yīng)用或桌面,，方便而高效,。

- 數(shù)據(jù)安全保障

用戶內(nèi)網(wǎng)辦公無需攜帶介質(zhì)，終端設(shè)備也不會駐留任何業(yè)務(wù)數(shù)據(jù),，因此,，方案在實現(xiàn)了用戶靈活辦公的同時保障了數(shù)據(jù)的安全性。

外網(wǎng)辦公用戶

外網(wǎng)主要滿足用戶移動辦公的需求,，用戶無論在任何地點(diǎn),、使用任何終端設(shè)備（家用PC、筆記本,、iPad,、iPhone、Android平板及智能手機(jī)）均可安全高效地接入企業(yè)內(nèi)網(wǎng),、訪問辦公應(yīng)用,，很好地滿足了移動辦公及在家辦公的需求。
因此,，用戶即使下班回家或到異地出差期間,，也可以通過該系統(tǒng)安全接入企業(yè)內(nèi)網(wǎng)繼續(xù)辦公。

1. 可擴(kuò)展性
硬件級的擴(kuò)容：思杰桌面云平臺對服務(wù)器,、存儲等硬件具有廣泛的兼容性,，未來用戶規(guī)模擴(kuò)展時，平臺本身具有對多種異構(gòu)硬件的兼容能力
- 平臺底層硬件采用計算,、網(wǎng)絡(luò),、存儲等資源通過服務(wù)器虛擬化技術(shù)統(tǒng)一管理，多套單元設(shè)備可以通過網(wǎng)絡(luò)聚合起來,，實現(xiàn)分布式和模塊化的無縫橫向擴(kuò)展（scale-out）,，形成統(tǒng)一的資源池，各部分可以通過線性擴(kuò)展的方式實現(xiàn)投資保護(hù)和投資預(yù)測,。
- 服務(wù)器的擴(kuò)容：在需要增加平臺的計算能力時,，可以通過在現(xiàn)有服務(wù)器虛擬化資源池中增加新的成員服務(wù)器，或構(gòu)建新的服務(wù)器虛擬化資源池等多種方式靈活的增加服務(wù)器的數(shù)量
- 存儲設(shè)備的擴(kuò)容：存儲設(shè)備可以通過多種技術(shù)和方式實現(xiàn)了高可靠性,，同時也增加了系統(tǒng)的復(fù)雜性,，從而容易導(dǎo)致維護(hù)和管理的復(fù)雜性,。因此在方案設(shè)計中在提供高可靠性的同時,，也要注重提供存儲系統(tǒng)的可管理性和可維護(hù)性,。整個系統(tǒng)應(yīng)該有靈活的系統(tǒng)擴(kuò)容方案，能夠進(jìn)行不影響系統(tǒng)和應(yīng)用工作的在線擴(kuò)容,。能夠采用圖形化界面對存儲設(shè)備進(jìn)行配置管理,。系統(tǒng)配置工作應(yīng)該簡單明了，流程清晰,。系統(tǒng)應(yīng)該能夠提供遠(yuǎn)程告警,。
用戶數(shù)量的擴(kuò)容：桌面云平臺采用架構(gòu)和負(fù)載分區(qū)的設(shè)計原則，本項目的默認(rèn)的架構(gòu)組件的用戶規(guī)模容量高達(dá)5000用戶,，在此范圍內(nèi)的用戶規(guī)模擴(kuò)展只需要考慮用戶虛擬桌面負(fù)載計算資源的簡單堆疊,，具備很高的可擴(kuò)展性
用戶桌面的擴(kuò)容：本項目的用戶主要采用PVS標(biāo)準(zhǔn)化虛擬桌面置備模型，這種桌面模型具有業(yè)界最快的桌面置備速度,，用戶虛擬桌面的增加只需要簡單的修改一個數(shù)量即可
1. 高可用
  1. 無單點(diǎn)故障

思杰桌面云全局無任何單點(diǎn)故障,，接入層的虛擬化發(fā)布門戶(StoreFront)采用Windows集群高可用機(jī)制，未來可以采用兩個Citrix ADC配置HA功能,，Citrix ADC為多個虛擬化發(fā)布門戶(StoreFront)提供負(fù)載均衡,，多個Citrix Virtual Apps and Desktops虛擬機(jī)間具有內(nèi)置的負(fù)載均衡和HA功能，Citrix Hypervisor服務(wù)器資源池間具有HA和負(fù)載均衡功能,，網(wǎng)絡(luò)采用冗余架構(gòu),，存儲配置磁盤冗余：

物理服務(wù)器層面：物理服務(wù)器自身的電源、網(wǎng)卡,、HBA等模塊通常配置硬件冗余,，采用網(wǎng)卡綁定和多網(wǎng)絡(luò)/交換機(jī)多路徑連接方式確保網(wǎng)絡(luò)層面的高可用性。故物理服務(wù)器如出現(xiàn)個別模塊損壞,、掉電不會影響該物理服務(wù)器的業(yè)務(wù)連續(xù)性,。而針對服務(wù)器整體故障的情況，則由服務(wù)器虛擬化產(chǎn)品確保整套系統(tǒng)的高可用性,；
服務(wù)器虛擬化層面：Citrix Hypervisor在部署中不需要在外部獨(dú)立設(shè)立管理服務(wù)器進(jìn)行虛擬化架構(gòu)的管理,，所有的配置及管理功能已內(nèi)置在平臺的Dom0中，資源池中的每一臺Citrix Hypervisor都會同步保留一份整個虛擬化平臺的配置,，任何一臺Citrix Hypervisor宕掉,，只要啟用資源池中的任意一臺Citrix Hypervisor作為資源池中的主服務(wù)器，整個平臺即可正常運(yùn)行,，所以整個架構(gòu)不存在單點(diǎn)故障,。
桌面虛擬化層面：Citrix Virtual Apps and Desktops所有服務(wù)器角色都以虛擬服務(wù)器的形式運(yùn)行在Citrix Hypervisor資源池中，各服務(wù)器角色以應(yīng)用集群的方式部署,，同時由兩臺或者兩臺以上服務(wù)器同時承載請求,，單臺服務(wù)器發(fā)生故障時相應(yīng)請求會自動轉(zhuǎn)移到可用服務(wù)器,。Citrix Virtual Apps and Desktops集群中的服務(wù)器角色以Active-Active（多活）的方式提供服務(wù)，無單點(diǎn)故障風(fēng)險,。
1. 1. 負(fù)載均衡

思杰桌面云由多個層面進(jìn)行負(fù)載均衡：

接入層,，可以由Citrix ADC為多個虛擬化發(fā)布門戶(StoreFront)提供負(fù)載均衡
桌面管理服務(wù)器，多個Citrix Virtual Apps and Desktops服務(wù)器構(gòu)成一個站點(diǎn),，站點(diǎn)內(nèi)所有服務(wù)器內(nèi)置負(fù)載均衡和HA功能,，多個應(yīng)用服務(wù)器構(gòu)成一個場，場內(nèi)所有服務(wù)器內(nèi)置負(fù)載均衡和HA功能
Citrix Hypervisor的資源池支持虛擬桌面在一個負(fù)載最低的承載服務(wù)器上啟動
Citrix Hypervisor的WLB功能為承載服務(wù)器資源池提供負(fù)載均衡,，當(dāng)一臺承載服務(wù)器負(fù)載過大時,，該服務(wù)器上的虛擬桌面自動遷移到資源池其他服務(wù)器上，WLB可設(shè)置最大密度和最大性能的負(fù)載均衡,。
1. 1. 故障切換

思杰桌面云為系統(tǒng)故障提供如下保障：

虛擬桌面所在的物理服務(wù)器發(fā)生故障時,，Citrix Hypervisor的HA功能使虛擬桌面經(jīng)過幾分鐘在物理集群內(nèi)其他服務(wù)器上重新啟動后服務(wù)
虛擬桌面所在的物理服務(wù)器發(fā)生故障時，Citrix Hypervisor Marathon功能保證關(guān)鍵用戶的備份虛擬桌面可實時接管,，保障關(guān)鍵虛擬桌面100%的可服務(wù)性
當(dāng)承載虛擬桌面的物理服務(wù)器發(fā)生故障,，可快速連接到原中斷的桌面/會話，此恢復(fù)時間在可接受范圍內(nèi)
1. 1. 故障恢復(fù)

當(dāng)系統(tǒng)發(fā)生故障時,，進(jìn)行如下故障恢復(fù)：

支持桌面/會話的備份,，通過Citrix Hypervisor的Snapshot功能可以對單個或多個或一組虛擬桌面/會話進(jìn)行備份，作為故障恢復(fù)點(diǎn)
支持桌面/會話的恢復(fù),，支持當(dāng)單個虛擬桌面/會話出現(xiàn)故障時,，能夠從Snapshot的備份中直接進(jìn)行恢復(fù)到故障恢復(fù)點(diǎn)
支持當(dāng)單個虛擬桌面/會話出現(xiàn)故障時，能夠重新建立新的虛擬桌面連接
1. 1. 數(shù)據(jù)安全及數(shù)據(jù)備份和恢復(fù)

用戶數(shù)據(jù)保存在平臺的文件服務(wù)器或共享存儲中,，其數(shù)據(jù)的安全保障由這部分硬件和軟件聯(lián)合提供,，包括：

硬盤RAID分組確保單盤故障不會造成數(shù)據(jù)丟失
共享存儲雙控制器或文件服務(wù)器雙機(jī)集群冗余配置構(gòu)成文件系統(tǒng)的高可用保障
對于數(shù)據(jù)的備份和恢復(fù)，主要包含以下幾個方面：
在日常維護(hù)工作中,，對桌面云平臺配置數(shù)據(jù)庫保持每天增量,、每周/每月全備份的日常運(yùn)維規(guī)范
對AD的用戶和組策略信息保持每天增量、每周/每月全備份的日常運(yùn)維規(guī)范
對個性化用戶虛擬機(jī)保持每天快照,、每周/每月全備份的日常運(yùn)維規(guī)范
對標(biāo)準(zhǔn)化用戶虛擬機(jī)模板保持每次模板更新后的異地復(fù)制的日常運(yùn)維規(guī)范

注意：備份存儲設(shè)備和備份工具軟件不包含在本項目的設(shè)備和軟件清單中,，備份和恢復(fù)工作也主要由客戶自身的存儲部門/存儲工程師負(fù)責(zé)。

1. 系統(tǒng)病毒防控

本項目采用兩級安全控制,，未來也可以采用基于Hypervisor的輕代理或無代理防病毒方案,。

通過NAS存儲文件服務(wù)器，實現(xiàn)文件的集中,，對NAS存儲進(jìn)行統(tǒng)一的防病毒操作,，實現(xiàn)高效的病毒防控
用戶虛擬機(jī)采用浮動（自動恢復(fù)）方式，用戶退出桌面后自動清除用戶數(shù)據(jù)之外產(chǎn)生的臨時數(shù)據(jù),，實現(xiàn)系統(tǒng)自恢復(fù),，使得病毒等沒有殘留的余地,，保證系統(tǒng)的安全
1. SSL服務(wù)器證書

用戶加密的HTTPS協(xié)議訪問虛擬桌面、虛擬應(yīng)用及移動應(yīng)用管理平臺,，所有流量都被加密封裝在SSL協(xié)議中,，企業(yè)需要先申請SSL服務(wù)器證書。SSL服務(wù)器證書可由互聯(lián)網(wǎng)的第三方權(quán)威機(jī)構(gòu)的CA頒發(fā),，也可由企業(yè)內(nèi)建的CA頒發(fā),，這兩種證書的差異如下表所示：

	第三方頒發(fā)證書	企業(yè)自頒發(fā)證書
終端兼容性	好,，主流的第三方權(quán)威機(jī)構(gòu)的CA證書都會預(yù)裝進(jìn)各種終端設(shè)備	差,，企業(yè)自建CA的證書需要手動或批量安裝進(jìn)終端設(shè)備，否則不被終端信任
成本	高,，通常按年或按數(shù)年購買	無需購買,，企業(yè)自生成

考慮到諸多移動設(shè)備(iOS、Android,、Windows Phone等)及瘦客戶機(jī)對于企業(yè)自頒發(fā)證書皆不信任,，需要管理員手工導(dǎo)入或通過MDM策略推送，本方案建議向第三方機(jī)構(gòu)購買SSL服務(wù)器證書并部署在Citrix ADC安全接入網(wǎng)關(guān)設(shè)備,。由于國內(nèi)的證書頒發(fā)機(jī)構(gòu)的CA證書大多不被移動設(shè)備及瘦客戶機(jī)信任,，我們建議向國際證書頒發(fā)機(jī)構(gòu)(如GlobalSign、TrustAsia等)采購SSL服務(wù)器證書,。
該SSL證書綁定的主機(jī)名(common name)需與終端設(shè)備訪問移動工作空間所用的域名(FQDN)一致,，如終端設(shè)備通過域名hdx.abc.com訪問移動工作空間，則Citrix ADC部署的SSL服務(wù)器證書也需要綁定域名hdx.abc.com,。

1. 網(wǎng)絡(luò)架構(gòu)

整個數(shù)據(jù)中心網(wǎng)絡(luò)的架構(gòu)分為三個部分:

生產(chǎn)網(wǎng)

生產(chǎn)網(wǎng)與現(xiàn)有核心網(wǎng)絡(luò)架構(gòu)相連,，主要用于整體架構(gòu)與外部網(wǎng)絡(luò)的通信，這包括同現(xiàn)有數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的通信,、虛擬化管理架構(gòu)和虛擬應(yīng)用/虛擬桌面的通信,、對外數(shù)據(jù)的傳輸通信，是本系統(tǒng)的核心網(wǎng)絡(luò)架構(gòu),。

管理網(wǎng)

管理網(wǎng)為單獨(dú)的網(wǎng)絡(luò)鏈路,，用于連接所有Citrix Hypervisor服務(wù)器虛擬化，實現(xiàn)所有物理服務(wù)器的管理,、虛擬機(jī)在線遷移,、HA功能保證等基礎(chǔ)架構(gòu)所需的管理功能。

存儲網(wǎng)

存儲網(wǎng)主要用于與網(wǎng)絡(luò)類型的存儲連接,，如IPSAN,、NAS等類型的網(wǎng)絡(luò)存儲設(shè)備
網(wǎng)絡(luò)帶寬需求設(shè)計

數(shù)據(jù)中心網(wǎng)絡(luò)帶寬需求

網(wǎng)絡(luò)類型	帶寬需求
生產(chǎn)網(wǎng)	最少1Gb，建議10Gb
管理網(wǎng)	最少1Gb,，建議10Gb
存儲網(wǎng)	最少1Gb,，建議10Gb

移動辦公網(wǎng)絡(luò)需求

需求類型	帶寬需求
每用戶帶寬需求	50k~100kbps/用戶

如果移動辦公場景下同時有100用戶并發(fā)訪問,，那么數(shù)據(jù)中心的公網(wǎng)出口大約需要5M~10Mbps的帶寬。

上一方案：稅務(wù)行業(yè)F5解決方案

下一方案：云存儲解決方案