目 录
1 导言 6
1.1 概述 6
1.2 企业需求 6
1.3 功能需求 7
1.4 管理需求 8
2 方案规划 9
2.1 方案规划 9
2.1.1 基本原理 9
2.1.2 逻辑拓补 10
3 架构设计 12
3.1 架构原理 12
3.2 系统架构设计 13
3.2.1 网络规划 13
3.2.2 硬件规划 15
3.2.3 软件规划 15
4 方案特性 16
4.1 功能性 16
4.1.1 兼容性 16
4.1.2 节约带宽 16
4.1.3 存储隔离 16
4.1.4 用户体验 17
4.2 管理特性 17
4.2.1 安全访问 17
4.2.2 高可用性 17
4.2.3 负载均衡 17
4.2.4 集中管理 18
4.2.5 访问控制 18
4.2.6 灵活扩展 18
5 应用场景 19
5.1 移动办公 19
5.2 内部办公 19
企业办公桌面环境是让员工提高工作效率的技术手段,其上运行的各种公司办公软件、应用系统是让员工协同工作的良好工具。但由于企业IT的不断普及,几乎大多数员工都拥有使用的电脑,这也带来了相应的管理维护上的挑战。
每台使用C/S系统的设备都需要安装各个模块的客户端,部署和维护客户端需要花费大量的时间和人力。
由于大量的数据在广域网上传输,因此远程的访问速度和网络性能经常得不到保障,数据安全面临挑战。
随着软硬件的频繁升级与更新,客户端设备不可避免地要被淘汰,应该如何控制系统追加投资?
不同的B/S应用系统需要在用户的浏览器中安装或升级不同的插件,修改相关安全设置,这就产生了插件版本管理问题、插件维护问题等。
● 加强办公桌面的标准化管理
企业需要IT部门采取一切手段降低办公桌面环境出现问题的次数,这样既能够降低维护成本,同时也能够提高用户的使用体验。其次如何在标准化过程中确保员工在桌面环境中存储的数据不丢失以及员工长久以来形成的操作使用习惯得以保存是项目实施过程中的难点所在。最重要的是即使标准化实施成功后很多企业IT部门发现,一段时间后标准化的办公桌面环境已经严重走样与最初的设定大相径庭。造成这种结果的原因之一就是个人桌面环境和办公桌面环境很难分开造成的。
● 降低办公环境宕机时间,改善服务用户体验
办公桌面环境在维护过程中使用者将会停止办公/降低办公效率,直到自己熟悉的办公桌面环境恢复正常。由于办公桌面环境直接和人发生互动,产生问题的原因多种多样,因此维护起来难度很大,问题定位非常困难。
● 在IT环境不断提升中确保不兼容程序的继续服务
IT技术不断发展,面临的各种挑战也随之增加。企业的IT环境只有不断的发展、提高、完善才能应对各种新出现的威胁。而且只有不断应用先进技术,才能提高企业综合管理水平。但是随着企业IT建设的不断投入,新的应用系统的投入使用,相对的就会有一些应用系统技术过时、难以适应当前的IT技术水平,维护他们越来越困难、维护成本越来越高。
● 随时随地安全访问办公环境
员工在工作当中经常会遇到一些紧急状况,需要立即处理信息和数据,但办公电脑又没在手边。企业为了解决这种问题,会给那些会出现突发现象的员工配备移动电脑,结果还是无法杜绝现象的发生。企业需要一种技术手段,能够让员工随时随地的安全访问到自己的办公桌面环境。
● 可交付应用到任意终端
云集可以帮助企业解决传统应用交付模式中,对终端种类依赖性较高的问题,实现将应用交付到用户的任意终端,无论用户使用Windows PC,Mac计算机,亦或是iOS终端、Andorid等智能终端,均可以正常使用同一应用程序,并获得基本类似的用户体验。
● 可通过低带宽链路交付应用
云集可以帮助企业有效地利用十分宝贵的带宽资源,实现高效的应用交付过程,保证在相对比较困难的网络条件下用户同样可以顺利地访问企业应用,保证用户可进行正常的业务操作。
● 具备相互隔离的存储空间
云集在使用的过程中,应可以如原生本地应用一般与本地设备进行资源交互,包括调用本地文件、读取本地各类端口等,同时支持本地输入法,最大限度地消除虚拟应用与本地应用之间的差异,提供良好的用户体验。
● 可通过加密链路交付应用
云集交付平台应支持通过SSL加密链路进行应用交付,以降低在交付过程中的风险,避免由于网络数据包被拦截而带来数据泄露的风险。
● 可实现应用的访问控制
云集可以支持将应用定向交付至指定用户或用户组,同时对用户访问应用时的操作行为进行合规性约束,帮助企业整合并管理现有应用资源。
● 具备负载均衡设计
CloudPortal交付平台应具备负载均衡的设计,可根据用户访问量和资源使用情况,使业务高峰期间用户的访问可以有效地均摊到该个环节的所有的业务服务器节点上,避免对单台服务器造成较大的冲击,使服务器响应能力下降造成业务阻塞。
● 存储隔离
通过选择NTFS文件系统和Windows Server的用户Profile机制,每个用户可以有自己的存储空间。利用NTFS的文件权限的管理机制,用户在服务器端的私有存储空间,工作目录,临时文件可以被安全的管理和限制。可限制用户的对其他用户数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。 同时可以通过配置Windows Server 2008的文件夹重定向,将My Documents等目录集中重定向到集中的文件服务器,从而保证用户不管登录到哪台服务器,都能一致地访问其用户数据。
通过AppMirror服务器集中部署和发布应用程序软件,整个的后台应用服务器架构没有变化,客户端可以通过CloudPortal来访问集中发布的各种企业应用和办公工具。其整体构架如下图所示:
CloudPortal交付平台整体拓扑结构如上图所示,整个交付平台可以视为由四个部分构成
● 应用交付服务器群集
应用交付服务器群集即AppMirror服务器群集,是整个虚拟化交付平台的核心成员,它们提供应用虚拟化发布服务,通过将待交付的应用程序集中部署在AppMirror服务器群集上,构成虚拟应用资源池;将AppMirror服务器群集视为传统应用交付模式中的客户端,和后端的企业业务服务器组直接建立连接,之后,AppMirror服务器群集将通过高效的Web页面将应用程序的窗口画面交付到用户设备上,帮助最终用户实现虚拟应用的访问,完成企业业务应用的交付。
● 域控制器
本方案中的应用虚拟化交付平台是基于Windows活动目录进行集中管理的,无论是其中的组件服务器,还是平台的目标用户,都将注册并记录在活动目录的的全局编录服务中,由其统一进行管理。应用交付平台双身份验证的静态密码部分也需要基于AD域账户这套用户目录。
● 数据库
在应用虚拟化交付平台中,必须具备至少一台SQL数据库,用于存储虚拟应用发布的基本信息,包括哪些AppMirror服务器发布了哪些应用程序、哪些应用程序分配给了哪些用户等,SQL数据库是整个应用交付平台中非常重要的基础支持组件。
● CloudPortal服务器
CloudPortal服务器是CloudFactory套件提供的Web门户,用于访问用户各自的虚拟办公桌面环境和虚拟应用程序,通过CloudPortal,用户可以将后端的所有虚拟化产品进行有机的整合,同时Web门户的界面风格可以由管理员根据用户的角色来制定,最终用户还可以自定义其中一部分页面。
● 应用交付安全网关
应用交付安全网关设备,这是一台位于7层的网络设备,它可以作为HTTP协议的连接代理,将虚拟应用通过证书加密的SSL链路交付至最终用户,同时,安全网关设备具备完整的RADIUS协议支持,可以便捷地连接RADIUS服务器,实现用户访问的双身份验证。
在AppMirror群集中,应用服务器由2台服务器组成,并与网络接口服务器直接连接,随后有一组服务器提供虚拟应用服务。AppMirror服务器、管理控制台、数据收集器都不采用独立的服务器上,所有的组件服务器都与AppMirror应用服务器混合安装。
单纯就AppMirror产品而言,用户完整的访问虚拟应用流程如下表所示:
由于云集交付平台中的服务器组件较多,因此建议用户采用基于服务器虚拟化技术的物理服务器组成底层平台,承载所有的服务器组件。
以典型的轻度工作负载下50个并发用户为例,在充分保证各组件服务器高可用性的前提下,所需要的所有服务器组件清单如下:
根据3.4章节中所列出的组件服务器清单,环境中共包含13台组件服务器,它们全部基于Windows Server平台,另针对两台虚拟应用服务器,需要额外采购终端服务授权。安全网关基于单独的硬件,但仍需为每名用户采购用于并发访问的许可。
详细的软件授权清单如下:
AppMirror是CloudPortal的一个组成部分,它允许您提供任何虚拟化产品通过Web浏览器发布到云的任何地方,不需要额外的插件和第三方软件组成。
AppMirror可以在多种平台下为用户提供可访问的Web界面,这些平台包括Windows、Mac OS、Linux、iOS、Andorid等,基本涵盖了用户日常可以接触到的所有操作系统平台,可轻松实现将Windows应用交付到任意终端。
HTTP是一个客户端和服务器端请求和应答的标准(TCP)。客户端是终端用户,服务器端是网站。通过使用Web浏览器,客户端发起一个到服务器上指定端口(默认端口为80)的HTTP请求。(我们称这个客户端)叫用户代理(user agent)
以一个主要基于Office软件的传统办公室文职人员的日常应用模式为例,虚拟应用交付的平均带宽可以低至10-20kbps,整个交付过程完全可以实现通过低速网络链路实现。
通过使用NTFS文件系统和Windows Server的用户个人配置文件机制,每个用户都可以拥有自己的存储空间。利用NTFS的文件权限的管理机制,用户在服务器端的私有存储空间,工作目录,临时文件可以被安全的管理和限制。可限制用户的对其他用户数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。
AppMirror可以帮助用户将几乎所有日常可用到的的本地资源,无缝的映射到虚拟应用中,它们包括但不限于本地磁盘、剪贴板、打印机、音频设备、麦克风、USB接口设备、COM接口设备等。并且允许用户在虚拟应用中使用安装在本地操作系统的输入法,这将最大限度地消除虚拟应用与本地应用用户感受方面的区别。
在AppMirror交付平台向用户交付应用时,实际在用户与平台之间交互的只有经过压缩的图像数据与鼠标键盘指令,真实的业务信息、数据、缓存、Cookie等等敏感数据,全部被保留在数据中心内,在AppMirror服务器与业务服务器之间进行交互。
这种应用交付的架构首先保证了交付应用所需链路的安全性,即使该链路上的数据被恶意拦截,截获的也只是经过特殊加密并压缩过的图像数据,并不会造成真实业务数据的泄露;另外,用户本身也将无法接触到真实的业务数据,他们看到的仅仅只是反映在AppMirror服务器上程序窗口图像,从而也就可以从根本上杜绝用户非法拷贝数据带来的信息安全风险。
整个平台的高可用性和冗余设计将通过物理层、链路层与应用层分别体现:
首先整个方案中无论是物理服务器还是虚拟服务器,均采用N+1设计思路,通过自身的群集服务保障至少具有一节点以上的冗余能力。
其次所有的链路以及网络设备均采用双设计,即至少两条链路进行链路绑定,至少两台交换设备提供交叉绑定。这样配合操作系统自身的聚合、绑定功能,确保链路上任何的连接、设备出现故障不会对整体产生影响。
最后所有设计关键服务角色的服务器,在设计时将依据服务群集保障的设计思路对其进行高可用性的配置,保证在出现故障时有其他服务器能提供服务。
整个虚拟应用交付平台中最主要的角色就是AppMirror服务器,它也是最主要的访问压力承载者,因此整个平台的负载均衡设计可理解为泛指AppMirror服务器之间的负载均衡设计。
在方案中,多台AppMirror服务器协同构成AppMirror服务器群集,称为一个AppMirror场。场中的所有服务器上在完全相同的路径下部署完全相同的应用程序;在交付应用时,AppMirror场中所有可用的服务器以轮寻的形式提供服务,保证所有访问会话均匀地负载到场中的每台服务器上,避免单台服务器压力过大,造成服务器的拥塞。
所有AppMirror服务器可集中通过同一个控制台进行集中管理,无需登录到每台服务器进行单独操作。
通过对访问用户进行与AD集成的身份认证,管理员不仅可以方便地为用户或用户组设置每个应用的访问权限,并且可以详细地查看用户对各应用的使用情况。
CloudFactory是一个集成的云平台管理套件,通过其中的CloudPortal,使目前的云平台架构能够与VMware、 Citrix、 Microsoft的产品紧密结合,为客户在云计算平台的初次构建和日常运维过程中提供集中统一的操作界面和自动化部署功能,极大地提高了系统管理人员的工作效率和最终用户的使用体验。
移动办公用户通过广域网经由总部网络防火墙访问云集统一身份验证平台,通过身份验证的用户,可获取到授权的应用程序,这些应用都集中部署在AppMirror服务器业务集群中:内部业务系统,企业OA,邮箱等,用户数据均集中保存在文件服务器上。
内部办公人员直接访问云集CLoudPortal登陆页面,获取授权的应用程序,开展日常工作,用户数据集中保存在文件服务器。
本文来源:https://www.2haoxitong.net/k/doc/1185d9b30408763231126edb6f1aff00bed570fe.html
文档为doc格式