企业iPad移动办公解决方案
1. 概述
移动办公系统是众多企业管理层及时掌握企业信息、快速进行管理决策的必备系统,其对企业的重要性不言而喻。
传统的移动办公系统(如笔记本电脑+VPN模式,或者WAP手机)在使用中往往面临着如下问题:
Ø 客户端差异化问题:办公系统往往是基于PC机Windows系统开发的,但是数量非常大的移动终端往往是智能手机和iPad,将办公系统移植到手机上既费时费力,又带来了额外的开发、维护和重新用户培训等一系列问题。
Ø 网络及性能问题:移动办公的网络千差万别,而办公软件的运行往往是基于局域网设计的,因此很多应用在移动办公使用时因网络而产生性能瓶颈,比如当邮件有比较大的附件时,局域网内可以马上打开,但是广域网上需要等很长时间才能下载后进行处理。
Ø 安全性问题:移动办公是将企业关键信息传递在公共网络上,因此面临着比在企业内部使用更高的安全性要求,移动办公不仅有数据被截获的危险,而且移动终端更加容易丢失,如果上面有信息敏感数据则对企业造成的无法估算的危害。同时如果外部终端接入企业内网,会对企业内部造成系统级的安全威胁。
传统的技术方案所带来的这些问题,需要企业不断地投入人力物力进行解决,给企业带来了很大的管理和压力成本,因此企业提出了技术创新的要求。
虚拟化技术的出现,使得企业得以从技术架构上根本解决如上问题。通过应用虚拟化使得传统应用直接升级为了面向服务的架构,因此企业的OA办公软件、业务系统和ERP系统等等,均不需要移植和安装在手机和iPad等移动设备上,而通过虚拟服务就可以被手机和iPad访问和使用。虚拟化应用的特点是只要在后台服务器安装一次,然后经过管理员的权限定义,就可以被用户通过任意终端设备和任意网络所使用,而所有的数据和维护管理工作全部在数据中心。
虚拟化技术不仅为企业带来了很大的资源节省和降低成本,同时使得企业的IT响应能力大大提高,移动办公不再需要额外开发,而真正成为了企业IT架构的自然延伸,实现了用户随时随地地安全访问企业内部信息。
由于Citrix虚拟应用技术,分离了应用的使用平台和运行平台,因此手机、iPad和移动终端从应用运行设备变成纯粹的输入输出设备,通过无线网络远程运行和操作Windows或Unix平台的各种应用和服务,从而实现了用户的移动办公。
作为苹果的平板电脑,iPad采用iPhone的操作系统,配备9.7寸显示器,屏幕分辨率达1024x768,具备3G和WiFi通讯方式,是目前市场上非常适合用于企业移动办公的终端设备。
据媒体报道,Citrix对其IT客户进行的一项调查显示,80%的企业计划采购iPad,而更多企业则表示,将支持员工使用iPad。
调查主要结果如下:
-84%企业将支持个人使用iPad。50%企业则表示,将为员工购买iPad。
-80%企业表示将以公司名义购买并使用iPad。
-对移动设备较高的接受度表明,企业IT部门对于移动设备的安全性有信心。
-iPad将推动更多人在工作中使用个人电脑。
-在工作中引入移动设备的******优势在于可以帮助员工远程工作,对那些上班路程较远的员工来说可以极大地提升效率。
2.1. 方案概述
在数据中心配置Citrix服务器集群为应用的运行平台,实现稳定的大并发支撑能力,满足大规模移动用户的同时使用。通过虚拟应用平台实现移动办公的总体架构如下图所示:
移动办公系统的部署,对于目前OA系统的架构没有改变,只是在OA门户服务器的局域网内,放置一组虚拟应用服务器集群,供移动用户访问,而固定办公用户仍直接访问OA门户服务器,因此原办公模式不受影响。
通过虚拟应用平台部署移动办公系统,一方面应用更加方便使用,用户无论在笔记本上还是手机上,实际上使用的都是运行在虚拟应用服务器上的同一个应用,没有适应多种界面的要求,而且可以实现同一个应用在不同的移动设备之间的漫游,实现了业务连续性;另一方面,由于所有的应用都位于数据中心的机房,集中管理的同时,也大大提高了办公数据的安全性。
而在手机和虚拟应用服务器之间只需20k左右的带宽,因为其间传递的并非实际的业务数据,而是虚拟化数据。这样既保证了OA系统可以在低带宽网络下使用,又避免了业务数据在公网传输的安全隐患。
2.2. 软件部署架构
虚拟应用服务器上软件部署包括:在底层Windows2003操作系统之上安装Citrix XenApp虚拟应用服务器,然后在虚拟应用服务器之上安装各种办公软件如OFFICE软件、邮件系统以及浏览器阅读器等工具软件。
iPad的软件部署包括:在手机操作系统上安装虚拟应用接收器。
iPad上不安装任何应用软件的客户端,通过虚拟应用接收器,可以使用所有虚拟应用服务器上的应用,整个软件架构如下图所示:
iPad的网络访问只需要指定虚拟应用服务器的IP地址、用户登陆的用户名和口令,以及登录域名称等信息即可,用户打开虚拟应用接收器就可以获取服务器上授权使用的应用图标,打开应用图标即可使用。
2.3. 技术原理
虚拟应用服务器和虚拟应用接收器之间,通过Citrix ICA协议建立通道,使得客户端设备可以远程操作服务器上的应用。
ICA协议连接了运行在服务器上的应用进程和业务PC机的输入输出设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在服务器上的应用进程的输入输出数据重新定向到远端客户端的输入输出设备上,因此业务用户使用服务器上的应用时感觉就像在使用本地应用一样。
ICA协议如下图所示:
虚拟化应用实现了应用软件运行在服务器上,但是对该软件的操作(输入输出)在客户端设备上,所有的输入如点击、键盘的操作被ICA协议同步到服务器上执行,所有的输出如屏幕的刷新也被ICA协议同步到客户端。
虚拟化应用操作模式如下图所示:
ICA协议是一种高效率的数据交换协议,采用了数据压缩、加密和连接优化技术,每一个用户的连接只占用10K-20K的网络带宽,而实际运行的客户端软件位于后台的局域网内,因此终端用户相当于用拨号线的链路就可以享受到局域网内的运行速度。
同时ICA协议可以分别针对单独的虚拟通道进行控制,这样为用户的访问和使用带来了细粒度的控制。比如如果控制用户不许通过打印机把信息打印出来,只需要中断ICA连接中的打印机通道即可。
2.4. 访问场景
用户在使用移动办公OA系统时的访问方式如下:
笔记本用户打开浏览器,输入统一的访问网址,然后在出现的身份认证页面里输入自己的用户身份,通过后就会看到OA门户图标以及其他被授权使用的应用图标。点击OA门户图标,界面显示建立服务的连接条,大约10秒钟后出现OA门户的界面,剩下的操作就和本地IE访问OA门户一样。
iPad用户可以预先设置好访问地址和用户名口令,这样直接打开OA图标就可以使用OA门户。
面向服务的访问使用体现在:
Ø 用户可以中断和重连服务(session disconnect and reconnect),当用户离开一段时间,但又不想结束业务操作,可以选择断开服务,这时用户屏幕上的OA应用消失,等用户回来后,重新输入身份认证,通过后刚才做了一半的业务就重新出现在屏幕上,可以继续工作。
Ø 客户端和网络故障不会影响业务操作,如果业务用户的客户端设备死机或者网络中断,同上面一样只是服务断开,工作是运行在服务器上,并没有受影响。用户只需要更换任意客户端或网络,就可以重新连接服务,继续刚才中断了一半的业务操作。
Ø 会话超时(Session timeout),管理员可以在后台设置服务超时,当一个用户打开业务操作后长时间不用,系统可以自动释放该会话,业务界面暂时消失。当这个用户重新使用时,再做身份认证后,继续刚才的业务操作。
Ø 会话监控(Session Shadow),系统有远程监控的功能和权限,如果某用户出现操作上的问题,有相关权限的管理人员,可以监控该用户的操作,两个人可以共享同一个会话服务,管理人员可以远程帮助用户操作或解决问题。
其中访问服务超时设置可以针对不同的用户进行不同的设置,例如对于VIP用户,可以设置永不超时,这样VIP用户即使不操作也会一直连接;对于一般用户,可以设置超时时间例如30分钟,这样如果这个用户30分钟不操作,该连接就会释放。
2.5. iPad配置、使用示例
1. 下载并自动安装Citrix Receive for iPad,在桌面生成名为Citrix的图标,点击后进入软件。 | |
2. 第一次访问时出现欢迎界面,点击左下角“设置我的虚拟工作区”。 | |
3. 进入工作区设置窗口。 | |
4. 根据管理员提供的地址、用户名、口令和域的信息填写常规设置项,并点击“存储”按钮保存设置。 | |
5. 此时可以看到已配置好的工作区,点击进入。 | |
6. 已进入工作区。 | |
7. 点击右上角“应用程序”按钮,可浏览已发布的应用程序列表。此示例中点击“Microsort Word”。 | |
8. Microsoft Word正在打开。 | |
9. 打开后,创建一个新的文件,即可进行编辑使用。 |
2. 详细设计
2.1. 拓扑结构
虚拟应用服务器群组要求和OA门户服务器部署在同一局域网内,可以放置在用户数据中心机房内,用户数据中心需要和移动网络连接,一般有两种连接方式:
1, 通过APN专线连接,企业用户向无线运营商申请APN专线,连接企业用户的数据中心和无线运营商,这样用户的手机和iPad访问可以直接进入数据中心;
2, 通过公网(internet)连接,企业用户需要开通数据中心和internet的线路访问,用户通过手机和iPad访问和来自互联网的访问一样,可以访问其数据中心。
用户数据中心的网络拓扑图如下所示:
2.2. 访问安全
3.2.1认证方式
为了提高系统访问的安全性,移动用户在访问虚拟应用平台时需要进行身份认证,以确定该用户是否可以使用移动办公应用,防止非法用户或其他非授权人员的访问。
由于企业办公软件以Windows平台为主,因此建议采用微软的活动目录AD作为统一的用户身份管理系统。AD域不仅统一定义用户身份,还定义了用户访问服务器的权限和行为控制等组策略等。
移动办公系统会在公网上传递用户身份,因此建议提高用户认证强度。虚拟应用平台支持的身份认证模式包括:
Ø 静态口令:目前的用户名加口令,属于低强度身份认证,建议只在内网使用
Ø 数字证书:通过数字证书可以有效识别客户端有效性。可以统一采用企业内部认可的证书体系,通过在虚拟应用平台和用户手机客户端加载数字证书,来确保用户身份的可靠性。如果用户手机丢失,则发证机构将该证书作废,则丢失手机无法使用移动办公系统。
Ø 动态口令/双因素认证:虚拟应用平台经集成了大量的高强度身份认证技术,如RSA令牌卡等。认证令牌可以硬件、软件和智能卡等多种形式向用户提供。令牌在发售时已经使用唯一的128位种子初始化;内部芯片每分钟都会使用一种算法,组合该种子与当前时间,生成一个随机的数字作为动态密码,从而提高用户的密码强度。
Ø 生物识别(如指纹)及其他高强度认证:应用集中发布平台预留了集成其他身份认证的接口,如RADIUS认证等等,可以方便地集成用户自由认证或第三方认证。
考虑手机和iPad设备的接口限制,目前大多数用户都使用RSA令牌卡的加强认证方式。
3.2.2加密方案
从安全性角度考虑,移动办公和手机访问需要对链路传输信息进行加密,需要配置VPN接入设备。移动办公的VPN设备需要支持各种手机终端,Citrix提供了支持智能手机的VPN安全网关AGEE。
AGEE支持对Citrix虚拟服务器的单点登录,SSL加密、智能手机的ICA转发以及对客户端的智能访问(SmartAccess)等功能。其部署方案为放置在DMZ区域,如下图所示:
出于对后台系统保护的需要,管理者可以制定对后台系统更加严格的访问条件,比如用户访问来自PC机还是来自手机,如果是PC机是否安装了企业要求的防病毒软件等等,需要使用AGEE SmartAccess智能访问控制。
针对用户访问的场景的智能分析,包括:
l 接入角色分析,基于用户身份
l 接入设备识别,用户使用的是什么机器,什么操作系统
l 接入设备配置,用户的设备中是否有防病毒、软件、服务、外设等等
l 网络位置分析,用户来自于办公室、楼层还是家中、网吧
l 其他定制的安全扫描
基于扫描结果可以决定哪些应用可以访问,控制范围包括集中应用发布平台上发布的所有应用,以及每个应用的操作权限如:
l 是否可以访问应用
l 在应用系统中否可以打印
l 从文件中粘贴复制内容
l 上传和下载文件,保存到本地或者文件服务器
l 在线安全编辑(内存中进行)
CitrixXenApp与AGEE和RSA口令卡的结合是非常成熟的安全加强方案,是很多用户名目前正在使用的方式。下图为结合后的架构示例:
2.3. 应用部署
移动办公系统的部署工作,主要是将应用客户端部署在虚拟应用服务器上。以Lotus Notes为例说明如何在服务器上进行应用部署。
部署基于Notes的虚拟应用时,对于原先部属的LotusNotes办公系统、Domino服务器、数据库服务器等应用系统不变,通过在原来的Domino服务器前,增加了Citrix 虚拟服务器。原先安装在客户端的Notes客户端程序现在需要安装在Citrix服务器上。相应的客户端的配置文件,统一安装在一台单独的文件服务器之内,在客户端访问的时候,可以提取相应的客户端信息进行认证。
在将要部署Citrix系统的服务器上先安装好win2003server和 Citrix之后,那么就需要发布 Lotus Notes的客户端了。具体步骤如下:
ü 首先创建一个域管理员账号来安装Notes(如,Notesadmin)
ü 所有登陆系统的用户都有一个主目录,把此目录映射成一个盘符,如W,可运行Microsoft ApplicationCompatibility Scripts目录下的chkroot.cmd。
ü 用新创建的Notesadmin账号登陆系统,在命令行提示符下打入change user/install,是系统处于安装模式,然后运行安装Lotus Notes,注意选择共享安装。
ü 安装完毕后,不要重启系统,再次运行Lotus Notes安装程序,此次不要选择共享安装,在程序文件夹目录下选c:\lotus\notes,在数据文件夹下选w:\lotus\notes\data
ü 安装完毕后,不要启动notes,不要重启系统。在c:\lotus\notes下打开notes.ini文件,修改Directory=w:\lotus\notes\data,并添加一条目,WinNTIconPath=w:\lotus\notes\data\w32。保存此文件并剪切到w:\lotus\notes\data目录下,在Citrix里发布lotus notes应用程序时,指定工作目录为w:\lotus\notes
ü 制定登陆脚本,使每个登录的新用户都能拷贝Notesadmin的主目录到自己的w盘下
ü 将每个用户登录Lotus的ID文件拷贝到其相应中央共享目录中
通过这样配置,每个用户通过Citrix来使用Lotus时,互相之间就不会产生影响,每个用户将有自己的配置或模板文件,使用起来得心应手。
2.4. 客户端要求
虚拟应用的客户端支持最新的的智能手机,以及其他客户端操作系统。
Citrix支持的智能手机/PDA如下:
– Apple iPhone/iPod Touch/iPad
– Android GPhone
– BlackBerry
– Window Mobile/PocketPC
– EPOS/Symbian
– Nokia 9000系列/E61/E70/
– SE S60 3RD S80
Citrix支持的其他客户端类型如下:
– Windows:
– 32-bit: 95, 98, NT and 2000/XP/2003/Vista
– 16-bit: 3.1, 3.11, WFWG
– CE
– DOS:32-bit, 16-bit Real Mode Version
– Macintosh: iMAC, 68k & PowerPC
– Unix:
– HP-UX
– IBM AIX
– Solaris Sparc
– Solaris x86
– SunOS
– SGI IRIX
– Compaq Tru64
– SCO - UnixWare, OpenServer
– Linux: Red Hat, Caldera, SuSE, Slackware
3. 虚拟应用平台功能
移动办公应用集中发布平台,不仅实现了应用的集中部署和远程使用,同时必须保证后台服务器的可靠性、可扩展性和可管理性,具体功能如下。
无论是用户访问,还是后台管理员的管理对象,都不是单台的服务器,而是一个单一的集群。否则随着应用的增多和用户数的增多,对服务器的资源调度和管理将成为瓶颈。
平台的集群功能包括:
ü 在操作系统之上建立集群平台层,管理员应用发布的设置和管理只需针对平台,而不需一台一台服务器进行设置
ü 通过集群平台可以提高整体后台的可靠性和可扩展性
ü 通过集群平台可以有效地将工作负载进行分担,其负载算法应根据服务器的CPU、内存、磁盘交换等多种逻辑由管理员定义组合计算
ü 集群平台可以根据用户身份进行会话重连,以实现跨客户端设备和网络的工作漫游
ü 通过集群平台可以优化操作系统计算资源,如控制整体CPU计算能力按照用户均分,优化应用的内存消耗等,以提高后台支持并发访问的能力
应用发布平台能够实现应用粒度的控制,即各个应用可以在集群中独立发布,用户可以针对单个应用独立访问。例如集群中1至4号服务器发布应用OA门户,5、6号服务器发布OFFICE工具,7、8号服务器发布IE等工具,这样后台的管理更加灵活,1至4号服务器可以专门针对OA应用进行优化。另外可以控制应用运行的位置,如果用户使用PC机并在局域网内,可以允许OFFICE以应用流模式下载并运行在客户端,以节省服务器计算资源。
平台的应用控制功能包括:
ü 可以独立发布和访问应用,而不依赖于桌面
ü 可以实现应用只安装一次,就可以部署到平台服务器上,无需在每台服务器上安装
ü 可以控制应用的运行位置,如运行在服务器上还是运行在客户端
ü 可以控制应用在服务器上的进程数,以防止单个用户运行大量应用耗尽后台资源
ü 可以控制应用对外设的访问,如是否可以拷贝文件、是否可以打印、是否可以粘贴内容
ü 可以解决应用兼容性问题,如将互相冲突的应用安装在同一台服务器上,以节省服务器资源
ü 提供应用标准外设的支持以及非标准外设的集成接口
由于应用集中运行时,会话会持续消耗网络带宽,因此带宽控制能力,是后台支持并发能力的一个重要指标。
平台的带宽控制能力包括:
ü 每用户消耗带宽应尽可能低,例如10K-20K
ü 控制带宽的消耗,如设定每用户消耗带宽的******值
ü 能够细粒度控制传输数据对带宽的消耗,如分别控制打印数据、磁盘文件拷贝、声音数据等对带宽消耗的******值
ü 提供网络硬件加速方案,实现诸如压缩、缓存和TCP/CIFS等协议优化,以进一步节省带宽,从而提高用户在有限带宽下的应用体验
由于用户的访问终端和环境各异,例如终端设备和PC机共存,而PC机的安全隐患较多,因此需要针对用户的访问进行识别和权限控制。
ü 能够识别用户访问的终端设备类型
ü 能够通过策略设置,即使相同的客户如果通过不同的终端设备访问到的应用不同,例如某些应用只有图形终端能用,PC机不能用等
ü 能够通过策略设置,即使相同的应用如果通过不同的终端设备或网络环境访问时使用的外设不同,例如在办公室可以打印,办公室外不许打印。
ü 能够设别终端设备是否满足安全条件,比如是否安装防病毒软件等,如果安装了才可以使用某些应用,后者才可以使用某些外设等
对服务器和客户端用户的使用进行监控,并提供可视化监控界面和报表,是集中应用发布平台的必备功能,因为用户业务运行的压力全部在服务器上,用户的使用和后台服务器状态、操作系统报错、网络状况密切相关,能否全面监控和管理,是所有用户正常使用的保证。
平台的访问控制能力包括:
ü 提供平台健康状况监控的可视化仪表盘
ü 自动收集所有服务器的系统事件报警和错误并统一通知管理员
ü 提供相关的数据钻取帮助管理员定位用户问题
ü 提供用户远程访问会话信息记录
ü 提供用户体验记录,包括会话内部的事件记录(如连接过程、加载驱动、加载配置文件的详细过程和时间记录)
ü 提供系统管理的统计报表,如用户访问统计、资源消耗情况、网络延时统计、系统出错统计等
ü 提供用户的远程工作监控和接管
4. 系统配置方案
目前企业应用是以32位操作系统为主,而32位操作系统的内存访问瓶颈是2G内核空间,虽然操作系统可以扩展用户访问空间,但是无法扩展内核空间,因此只要2G内核空间用完,配再多的内存都是无效,服务器性能也无法提升。
虚拟应用服务器的配置可以采用服务器虚拟化技术,因为服务器虚拟化可以有效解决32位系统的内存瓶颈问题,将一台物理服务器虚拟成多台逻辑服务器(4G-8G),然后在每台逻辑服务器中安装32位操作系统及软件。
4.1. 服务器角色分类
虚拟应用平台所需逻辑服务器的角色包括:
· XenApp服务器(虚拟应用,运行各种办公软件)
– Windows 2003 Server + SP2(Enterprise)
– Citrix XenApp
– 微软终端服务
– 用户的办公软件
· WEB 服务器(访问门户)
– Windows 2003 Standard Server + SP2
– IIS 6或Tomcat等
– Citrix Web Interface
· 域控制器DC(用户管理及权限定义)
– Windows 2003 Standard Server + SP2
– 为避免单点故障,域控制器需要有备份
· 数据库/文件服务器(记录配置参数存放配置文件)
– Windows 2003 Server + SP2
– MS SQL Server
4.2. 服务器容量估算
在整个架构设计中,辅助服务器压力不大,用户访问使用OA系统的压力全部集中在XenApp服务器上。
压力测试的基准数据来源于硬件厂商如IBM的实验室对服务器计算能力的实测数据,在模拟多个并发用户分别以简单、普通、高负载三种操作频率使用流行的MS Office 2000软件,Windows 2000/2003 Enterprise Server +Citrix XenApp 服务器 + IBM刀片服务器HS20(配有 2路至强DP 2.4G, 4G RAM,一个40G的IDE硬盘,一个18G15000转scsi硬盘,2块千兆网卡),可以最多支持320、215、170个并发用户。再根据Citrix以往的成功实施经验,如果使用2-4-2(2CPU, 4G内存,2个硬盘)的配置建议,每台服务器将能顺畅支持约50-100个并发用户(根据每个用户同时使用应用多少而变化)。
当服务器并发处理任务时,性能主要取决于硬件,主要消耗指标为CPU和内存。
根据大量用户的使用经验,当服务器CPU平均使用率和内存使用率高于80%时,服务器响应会明显下降,因此我们测试的依据是,在现有硬件条件下,以80%为极限,计算出现有服务器硬件能够在合理性能范围内支持的******用户数。
对于OA办公系统,一般为内存消耗型应用,消耗内存最小90M,******时200M,保守估计平均每并发用户消耗150M内存。
以一台XA服务器配置为8G为基准,为保证其最高效率内存消耗不超过80%为6.4G。而一个并发访问平均消耗内存150M,6.4G/150M=43,因此从内存估算一个8G的32位XA服务器支持43个并发。支持100个并发需要3台XA服务器
4.3. 服务器配置示意
针对100并发的移动办公的典型配置,建议虚拟服务器服务器采用如下硬件配置:
资源类型 | 配置要求 | 备注 |
CPU | 2路4核 | 64位并支持Intel VT或AMD-V技术 |
内存 | 32GB | XenServer消耗1GB左右,总共31G可用 |
网卡 | 4块1Gigabit/Full-Duplex | 网卡绑定实现网络负载均衡 |
硬盘 | 2x 73GB 15,000 rpm SAS硬盘, RAID-1 | 双硬盘配置成RAID-1,只用于安装XenServer |
存储 | HBA或iSCSI(可选) | 所有的虚拟机镜像文件(Virtual Disk Image)都保存在远程共享存储中以支持XenMotion和HA |
服务器物理2台,每台分配的逻辑服务器5台,包括:DC域控服务器(2G) 1台,WEB服务器(4G) 1台,XA(8G)3台。
服务器角色分配如下图所示:
4.4. 软硬件配置列表
针对100个并发访问规模的软硬件列表如下:
硬件列表:
服务器 | 数量 |
PC服务器(2个四核CPU,32G内存,硬盘2X73G) | 2 |
共享存储(option) | 1(注1) |
AGEE(option) | 2(注2) |
软件清单
软件及授权 | 数量 |
Citrix CCU(并发用户数) | 100 |
Citrix XenServer | 2 |
Windows 2003 Enterprise | (注3) |
Microsoft Terminal Service License | 100 |
注1:存储根据用户的实际情况选配
注2:如果使用SSL VPN及智能场景识别功能,需要配置此硬件。
注3:采用虚拟化后,微软操作系统一套授权可以安装4套虚拟机,具体请查询微软。