解决方案

销售热线:010-82665533
传 真:010-82665698
邮 箱:jyd@jydit.com.cn
地 址:北京市海淀区知春路111号理想大厦608室

当前位置:首页>>解决方案>>虚拟化与云计算

 虚拟化与云计算

Citrix虚拟桌面解决方案

发布人:jdy      发布时间:2012-11-04      浏览次数:556

桌面虚拟化技术简介
虚拟化技术正在成为被广泛使用的技术,帮助企业以更低成本,实现更灵活、稳定和高效的IT系统。目前虚拟化技术主要包含:服务器虚拟化,应用虚拟化和桌面虚拟化技术。服务器虚拟化技术在2007年开始被广泛接受并采用,目前已经成为一种成熟的满足企业应用的主流技术。而虚拟桌面技术被逐步接受,尤其是和虚拟应用的结合,使得桌面虚拟化技术能被更广泛地使用帮助企业以更低成本、更好地实现桌面管理。

虚拟桌面是一个企业级的,通过一定手段实现的可远程访问、调度和管理的桌面的操作系统,其可以是运行在服务器上的虚拟操作系统,也可以是直接安装、运行在数据中心内的物理PC(工作站,刀片PC)上的操作系统。目前桌面虚拟化技术融合了应用虚拟化技术,在虚拟桌面模式下,每个人独享的远程操作系统,并利用内含的应用虚拟化技术,实现更灵活,高效的管理和应用。将桌面操作系统虚拟化带来很多好处,包括:

Ø 数据更安全,通过策略配置,用户无法将机密数据保存在本地设备上,只能在数据中心进行存储,备份,保证数据的安全性和可用性;

Ø 提高网络安全,由于只使用需要开放有限几个端口,所以可以实现网络的逻辑隔离和严格控制,不影响应用的前提下,全面提升网络安全性;

Ø 用户可以随时随地,通过网络,访问到被授权的桌面与应用;

Ø 终端设备支持更广泛,可以通过PC,瘦客户端、甚至是手机来访问传统PC上才能使用到的各种windows 应用;

Ø 在数据中心对所有的桌面进行统一的高效维护,无需特定的补丁与应用的分发软件,统一进行安装和升级,维护桌面的费用大大降低。

Ø 应用管理更简单,管理员在服务器进行统一一次管理,就可以将最新更新交付给所有用户;

Ø 桌面的性能能够得到提升,因为它和应用后端的服务器都运行在数据中心;

Ø 桌面可以分享最新最强大的服务器硬件,配置资源可以按照用户需求动态调整。

系统架构

虚拟桌面技术可以从很好地从根本上解决办公人员使用终端进行业务开发过程中的信息安全与系统安全问题,是由于虚拟桌面本身的工作原理造成的。这种技术实现了操作系统与应用软件运行在服务器或后台工作站上,但是操作(输入输出)在客户端机器上,所有的输入如鼠标键盘的操作被同步到服务器上执行,所有的输出如屏幕的刷新也被同步到客户端。
完整的桌面虚拟化方案提供一种端到端的桌面管理解决方案。通过单一镜像管理,可动态按需产生虚拟桌面,该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。

虚拟桌面方案将一般包含以下核心要素:

Ø Virtualization Infrastructure(虚拟化基础架构):虚拟化基础架构通过使用服务器虚拟化软件,将单个物理服务器分成多个共享资源的虚拟操作系统,对外提供桌面的服务。用户可以通过价格更为便宜,管理成本更低,更新周期更长的终端设备(瘦客户端,手机)远程的使用这些操作系统开展日常的业务工作,而管理工作都在后台对这些虚拟操作系统进行管理,从而降低整个桌面的采购成本与管理成本。

Ø 虚拟桌面交付控制器:虚拟桌面交付控制器负责整个虚拟桌面系统的调度,例如新虚拟桌面的注册以及将虚拟桌面的请求指向可用的系统。用户通过与控制器进行交互进行身份认证,最终获得授权使用的桌面。

Ø 镜像管理:对于大量用户的虚拟桌面管理,良好的镜像管理可以很好地解决管理面临的各种问题。通过镜像管理,可以创建一个基本的操作系统镜像,并包括了企业策略规定的所有操作系统级的配置。当每个虚拟桌面启动时,操作系统会经由网络通过流技术交付给虚拟桌面。由于只要求对基本镜像进行升级,并且所有虚拟桌面将会在下一次重启时使用最新的镜像。

Ø 虚拟应用:虚拟应用技术被融合到虚拟桌面中,目标就是通过将每个用户使用应用的差异,从操作系统中分离出来,从而降低系统管理复杂性,其负责识别分配给用户的应用,并将其交付给虚拟桌面。虚拟应用是基于用户需求实现用户桌面个性化的第一部分。通过将应用与基本桌面镜像分离,所需的桌面镜像数量大大减少,这就简化了维护过程,并可以利用其他手段对用户使用应用的行为进行录像,进行行为控制。

Ø 个性化:解决方案的个性化允许用户按照需求自定义他们的工作环境。利用用户个性化,用户设置会被保存起来,并且无论用户接入哪个桌面都可使用保存的个性化设置,实现了一致的用户体验。

Ø 高效的远程访问协议:高效的远程访问协议可以大大降低带宽的要求,实现LANWAN甚至是Internet的访问能力。同时远程访问能够接近甚至达到本地使用的效果,例如实现双向语音,VOIP,高清视频的应用,并能够很好地支持各种USB设备和smart card的辨识。

虚拟桌面技术要点

用虚拟桌面技术来解决IT管理中的各种问题,以及虚拟桌面方案最终被广泛应用,需要解决以下几个关键问题:

高效的远程访问协议

由于是远程访问虚拟桌面,则对网络具有很高的依赖性,所以远程协议必须具有很高的效率,才能满足用户的要求,即在满足使用需求和体验的情况向,以很低的带宽实现远程访问。因为只有这样,当大量用户同时使用桌面的时候,内部网络才不会出现拥堵,同时能够很好地支持广域网,甚至互联网的访问,让开发人员可以通过各种网络接入使用虚拟桌面。

良好的用户体验

只有系统有良好的用户体验,开发人员才能够使用虚拟桌面来很好地进行开发,如果体验很差,无法满足开发人员的要求,不但不可能帮助开发工作,反而会影响开发的正常进行;即使能够满足开发人员要求,用户体验差,也可能造成开发人员的抵触,造成项目失败。好的虚拟桌面系统需要能够在以下方面满足用户需求,并做到很好的用户体验:

实现智能的,高效的本地设备重定向

虽然开发需要通过策略将客户端设备的各种存储设备禁止访问,但是对于某些特定场景,和特定设备,需要能实现和本地一样的即插即用的效果,例如SmartCard(智能卡),USB外设(摄像头等),打印机等,多个显示器设备。这些设备是日常开发工作中往往必不可少的,所以实现这些设备的自动辨识和使用时对开发工作的正常进行至关重要的。

多媒体的支持

现代企业的业务工作已经越来越丰富,使用的技术手段也越来越多,多媒体的技术就是其中一种。虚拟桌面需要很好地解决多媒体,甚至是高清媒体的播放,自动探知客户端和服务器的计算能力,并基于网络选择最优的播放方式,让用户获得最佳的体验,这样才能让开发人员有更好的使用体验,更积极地支持虚拟桌面的管理方式。

支持实时的协作能力

工作需要随时跟客户进行联系,CallCenter就是非常重要的一种,而且越来越多的通过VOIP的方式工作,力求降低通讯成本,而统一通讯也是逐步被广泛推广的一种协同工作手段。所以虚拟桌面技术需要很好地能够支持开发人员使用这些新技术进行工作,更重要的是能够让开发人员开发出基于这些技术的创新的企业业务系统,支持企业的业务创新。

由于虚拟桌面技术的出现,使得开发不再仅仅局限于一个集中开发地,开发人员可以回到自己公司甚至自己的家里进行开发工作,大大降低企业的各种费用;但需要虚拟桌面能够适应各种网络的连结,能够通过局域网,广域网,甚至是互联网和VPN连结都能访问到开发桌面,在保证的安全需求的同时,实现更灵活的访问并降低成本

自动的网络优化

企业可能有多个开发地点,同时通过虚拟桌面,人员可以从自己公司连结到企业的开发中心进行开发,中间可能涉及到各种文档的传输等工作,自动地对这些网络数据的传输进行优化,在有限的带宽下减少数据延迟,提高数据传输速度,也是提升整个系统用户体验的重要一环。

根据类型用户使用不同的解决方案
虚拟桌面技术是一整套的实现用于远程使用桌面操作系统的技术,而不仅仅局限于使用虚拟操作系统一种技术(俗称VDI)。根据不同的用户使用特性,可以使用不同的技术来满足使用需要和管理要求。

共享托管桌面

对于很多权限比较低的,只限于使用数据处理等固定应用的,而且没有权限更改桌面配置的用户,可以使用基于服务器的共享托管桌面;其最大程度共享操作系统资源,实现最高的投资回报率
托管虚拟操作系统桌面(VDI

对于需要独立的操作系统资源控制能力的用户,使用这种方案,能够很好地满足开发人员的对操作系统的配置需求,并提供独占的操作系统资源支持开发工作。但能够最大程度利用服务器计算能力。

托管刀片PC

对用某些需要硬件级别资源支持的应用开发,可以将后台的刀片PC或者独立PC,工作站发布出来,用户可以从远程进行使用,进行这些对硬件资源要求比较高的应用的开发

无盘PC

在保证数据不可以被随意带走的前提下,但要更充分利用现有PC的资源,可以通过事先无盘PC的方式,将操作系统通过网络启动的方式引导,开发人员可以像本地机一样进行操作,但是无法将对系统的更改保存,操作系统重启之后,将恢复原来状态。

虚拟应用

对于绝大多开发需要的应用,往往都不需要独立占有操作系统的资源,而很多业务工作(不仅仅是开发)都可以直接使用虚拟应用的方式。用户可以通过本地安装了操作系统的PC,也可以通过没有“操作系统”的瘦客户端访问后台服务器的虚拟应用,开展业务工作。这种情况能够大大降低对后台服务器的资源压力。本地虚拟桌面

这种技术可以帮助用户在本地运行一个虚拟操作系统,并进行正常的操作。当用户离线的时候可以正常使用,而当用户重新连接服务器的时候,所有的变化自动会与服务器进行同步,生成一个在服务器上一模一样的虚拟机。当然用户也可以远程访问这个虚拟机。这种方式非常适合经常外出办公的用户。

高效的镜像管理

当大量的虚拟桌面产生,镜像管理是一个非常关键的问题,好的镜像管理将会大大减少IT管理人员的管理工作量和复杂度。通过高效的镜像管理手段,管理人员可以将没有自己安装应用权限的,操作系统可以标准化的用户桌面进行统一,用一个桌面镜像进行管理。所有的升级、安装工作只需要对一个镜像进行处理,之后所有的用户就可以使用最新更新的操作系统。

而这些用户的差异,例如使用应用的差异,配置文件(桌面图片,收藏夹等),以及数据保存都可以通过虚拟应用、配置管理和网络文件夹的方式实现。所有的部分进行动态组装,让用户感觉和使用一个独占的PC没有任何差别。这样做到良好的用户体验,同时能够提高管理人员的管理效率。

安全智能的网络接入

由于虚拟桌面技术使得通过互联网和VPN访问桌面成为可能,那么开发人员可以回到自己的公司或者家里进行开发。这时候安全、智能的网络接入就成为重要的问题。什么样的设备和什么样的人可以接入,需要通过安全、智能的网络接入手段来根据企业的管理规范和安全策略进行自动的判定,将适当的权限和应用交付给远程接入的用户,在保证业务安全的同时,让网络更加安全,可靠。

户体验描述

一般用户可以通过如下方式,使用虚拟桌面:

员工利用现有计算机,以Web或客户端方式登录虚拟桌面系统入口,节约当前用户计算机的投资。未来可以通过采购瘦客户端,代替当前的PC,降低终端设备的采购和维护成本。

                            

用户登录界面截图

Ø 虚拟桌面系统调度服务器提交认证请求到后台域控制器。

Ø 认证成功后,虚拟基础架构按需从镜像管理服务器获取标准Windows桌面、应用软件、用户个性配置文件。用户个性配置文件及新建的设计图纸等文档,都集中存放于网络存储中,简化文件的管理;标准Windows桌面映像只需要一份,同时提供给所有用户使用,这可节约大量的存储空间。

Ø 虚拟桌面调度服务器通过远程协议将虚拟基础架构上的桌面操作系统交付到最终用户,用户就像使用本地计算机一样方便。

Ø 用户与虚拟桌面之间的会话采用远程访问协议,只传输屏幕信息、键盘、鼠标指令等,只占用少量的网络带宽。

Ø 通过虚拟桌面调度服务器上的策略设置,可以禁止终端的磁盘,USB等设备以及剪贴板,所有用户使用的文档无法保存在本地桌面,而都会驻留在数据中心,机制上保证数据的安全。真正做到“数据不出门”。

Ø 所有数据的打印,可以通过策略进行配置,必须将打印数据输出到指定的打印机,从而控制由于打印造成的数据泄漏。

Ø 所有数据的传输和共享,只能通过网络应用操作,对于桌面管理员可以设置用户不能安装任何软件,所有可用应用,全都是由管理员从后台统一通过虚拟应用技术发布给有权限用户,并从后台进行实时录像监控,保证用户的不合法行为得到追踪和记录,保证网络应用进行数据传输不会导致机密信息泄露。

适应不同用户的管理方案

完整的虚拟桌面的解决方案可以通过一个平台,采用不同的策略和管理方案,很好地满足不同类型的用户的使用特点:

1. 对于不需要桌面的用户,可以直接把所需要的应用通过虚拟桌面产品中的虚拟应用技术交付到人员自有PC桌面上,或者通过瘦客户端进行使用;利用后台策略,禁止用户将数据和代码保存到本地磁盘和设备上,实现数据在数据中心的统一存储和管理。

2. 对于需要使用桌面,但是不允许人员自己安装程序的用户(例如业务人员:数据录入,流程操作人员),可以通过镜像管理,实现单一数据镜像,统一进行管理;而所需要的应用可以直接安装在镜像中,或者通过应用交付组件将应用交付到桌面上。

3. 户设置一个虚拟操作系统,人员可以自行安装应用,满足其应用需求,但同时通过策略控制用户将数据与代码存放本地。

4. 对于通过应用发布,管理员可以通过简单的授权配置,用户桌面就可以访问到新的应用,当前这类技术中也出现了自助式的应用选择,用户可以自助式选择自己所需要使用的应用,就可以马上在桌面上使用所需的应用。

解决方案比较分析

Ø 当前企业在对人员的管理主要是基于传统的桌面进行管理,主要采用微软组策略或者第三方的管理软件或硬件对终端桌面进行控制,例如:

Ø 禁止USB口,防止用户利用USB设备拷贝数据

Ø 禁止蓝牙和红外设备,防止用户通过蓝牙和红外设备传输数据

Ø 对数据进行加密,防止文件外泄造成信息外流

但是这些手段并不能很好地解决当前问题,仍然存在以下风险:

Ø 目前需要第三方的软件禁止USB访问,但是都在客户端实现,具有技术背景的开发人员可以绕开软件,通过USB设备将数据拷贝出来

Ø 目前的的软件对蓝牙和红外设备的管理能力有限

Ø 对数据进行加密,开发人员可以通过各种手段进行反向破解

Ø 移动设备的普及使得用户可以不通过传统存储设备,利用蓝牙和红外将数据传输到手机等设备上

Ø 用户也可以通过将硬盘PC上拆卸下来,带走通过其他PC进行拷贝

而这些手段实施也存在以下的问题和局限:

以通过各种手段将并不处于管理员可控范围内的客户端上的数据拷贝出来

使用虚拟桌面解决方案可以很好地解决上述问题:

是发生在服务器上,即运行在服务器上的虚拟操作系统(xpvistawindows7),所有数据都在服务器上产生,所以可以从根本上控制数据的访问和使用,即通过策略限制将产生的数据存储在本地磁盘,USB设备上。

a) 利用远程访问协议高效性,以及对数据的安全访问机制,开发团队可以通过网络包括vpn网络远程进行开发,而无需在企业规定的开发场地,占用大量的资源。

b) 通过提供虚拟桌面,企业无需为开发方的团队提供设备,或者对这些设备进行全面管理和支持,可以让开发方使用自己的设备,只需要网络进行管理,访问受控的、安全的、开发虚拟桌面。开发环境被分为可控的虚拟开发环境与物理的自有环境,在满足开发人员的特殊需求同时,能够管控开发环境,减少企业IT人员的管理复杂性。

c) 可以利用服务器的资源动态进行调整,满足用户的需求,而不需要采购新的PC满足需求

d) 虚拟桌面最大限度共享资源,大大降低能源消耗和碳排放量

2. 当然虚拟桌面解决方案本身实施中也有一些需要克服的障碍:

a) 需要采用虚拟桌面的解决方案,将传统的桌面计算转换到服务器计算,所以需要投入一定数量的服务器与软件

b) 已有的投入的桌面由于计算压力的调整,可能无法充分发挥其计算能力

c) 虚拟桌面方案需要网络的支持,实现不受地域的访问,当然对于企业的应用开发,网络连接是最起码的基础要求

d) 由于桌面使用方式产生了一定的变化,需要对用户的使用习惯进行调整

e) 由于在工作过程中,虚拟桌面也是需要连接到网络进行工作的,所以虚拟桌面本身并不能解决数据通过网络传输外泄的风险,但是由于只有这一条潜在外泄通道,企业IT管理人员可以通过网络工具和设备来对网络进行管理,解决这一问题

从整体对比来看,虚拟桌面解决方案从数据安全的角度,相对于传统本地桌面,从成本,管理,安全和环保层面,都有很大优势,而且已经成为了未来趋势。

桌面虚拟化方案如何应对安全威胁

虚拟桌面解决方案,将传统开发人员对桌面的操作从分布在不同位置的处于管理人员管理范围之外的PC上,转移到了数据中心统一管理的数据中心上,从而防止了分布式计算带来的各种信息安全风险,从开发的角度来看,主要提高了以下几方面的安全水平:

数据安全:

在整个开发过程中,开发人用使用服务器上的虚拟操作系统以及虚拟应用,开发过程中所涉及的企业数据是通过虚拟桌面访问到的,通过虚拟桌面的策略,可以禁止开发人员本地磁盘、USB等各种设备被重定向,虚拟桌面中的任何应用无法访问本地存储设备,这些数据就无法被保存到本地设备中,只能保存到管理员事先设定的个人有权限访问的各种服务器或者网络存储上,从而保证开发涉及的各种企业数据安全。

通过网络设置,虚拟桌面与文件服务器(网络存储)可以直接通讯,但是开发人员的自有设备与文件服务器之间通过防火墙等网络设备进行隔离,只有虚拟桌面所需的端口可以被允许访问,开发人员无法直接通过自有设备直接访问文件服务器获得这部分数据。

系统安全:

通过虚拟桌面将开发人员的开发桌面与日常桌面进行了分离,对企业具有重要意义的开发桌面,由企业提供给开发人员,IT管理人员可以实现完全的管控,包括使用策略或者只读操作系统镜像,用虚拟应用的方式为其提供所需应用,禁止最终用户软件的随意安装、注册表的修改等等行为,防止用户对系统的任意修改造成企业内部IT系统的安全隐患。企业通过虚拟桌面可以构建“标准开发桌面”。

开发人员可以携带自己的PC作为日常桌面,拥有对其的完全控制权,可以随意安装程序和系统修改,员工的私人事务、与开发无关、或可能有关的辅助性工作,都可以在日常桌面上实现,对开发人员的个人需求进行了“疏导”,满足了开发人员的日常使用需求同时,也能很好支持开发工作和IT管理要求。
通过网络防火墙开放远程访问协议所需的少数的几个端口,可以将两个桌面联通起来,提供了“标准化开发桌面”和“非标准化自有桌面”的结合,开发人员通过一个设备无缝地使用2个桌面,满足个人需求的同时,符合企业的安全和管理要求,从而一举两得。

行为监控;

对于合法用户的利用合法操作授权进行不合理的行为(合规,审核的对象),传统的授权方法不能很好地解决。而利用虚拟桌面中带有的虚拟应用技术,基于相关功能模块,可以根据业务策略和安全规定,选择对特定用户使用特定应用时的所有行为进行全程录像,利用远程反问协议的基本原理和优势,一般性的业务操作录像,每天录像文件大小不会超过30M的数据量。通过这种技术可以对开发人员的全程行为监控:

事前通告

被监控的用户在使用应用的时候,就会被告知,所有行为将会被录像。通过事先告知此种监控手段的存在,可以大大降低开发人员采取非法行为的动机和意愿,达到防患于未然的效果。

实时监控

管理员可以从后台对开发人员正在进行的开发操作和工作进行实时的监控,一旦发生任何问题,管理人员可以第一时间发现问题并采取措施,防止产生任何不良的后果。

事后追溯

如果一旦发生任何问题,造成不良后果,管理人员可以根据使用人员、应用和时间进行检索,调取录像,反向查找是什么人进行了什么非法操作,从而进行补救,并可以将其作为相关证据,辅助采取相关措施,保证企业利益。

代码安全:

系统代码作为一种特殊的数据,数据安全也是代码安全所涉及的一层安全保障;这主要涉及到企业的知识产权,以及所开发系统的系统安全。通过数据安全的保护手段,可以保护代码以及程序文件本身。

同时,由于代码本身是开发人员通过应用进行编写,包括测试和对代码的更改,这些行为与系统配置和应用操作有相同性,所以也需要使用相应技术对用户的行为进行监控,对于代码更改过程进行记录,对于代码的变更、代码更新进行全程的控制。