文档文库
手机版
投诉建议
热门搜索: 心得体会 演讲稿 思想汇报
首页 > VMware View 5.0 体系结构规划指南

VMware View 5.0 体系结构规划指南

发布时间:   来源:文档文库   
字号:
手机查看
VMwareView体系结构规划指南
View5.0
ViewManager5.0ViewComposer2.7
在本文档被更新的版本替代之前,本文档支持列出的每个产品的版本和所有后续版本。要查看本文档的更新版本,请访http://www.vmware.com/cn/support/pubs
ZH_CN-000698-00

VMwareView体系结构规划指南
最新的技术文档可以从VMware网站下载:http://www.vmware.com/cn/support/pubs/VMware网站还提供最近的产品更新信息。
您如果对本文档有任何意见或建议,请把反馈信息提交至:docfeedback@vmware.com
版权所有©20092011VMware,Inc.保留所有权利。本产品受美国和国际版权及知识产权法的保护。VMware产品受一项或多项专利保护,有关专利详情,请访问http://www.vmware.com/go/patents-cn
VMwareVMware,Inc.在美国和/或其他法律辖区的注册商标或商标。此处提到的所有其他商标和名称分别是其各自公司的商标。

VMware,Inc.3401HillviewAve.PaloAlto,CA94304www.vmware.com
北京办公室
北京市海淀区科学院南路2融科资讯中心C座南8www.vmware.com/cn上海办公室
上海市浦东新区浦东南路999新梅联合广场23www.vmware.com/cn广州办公室
广州市天河北路233中信广场7401www.vmware.com/cn
2VMware,Inc.

目录
VMwareView体系结构规划
5
1VMwareView简介7
使用VMwareView的优势7
VMwareView功能
8
VMwareView组件如何组成在一起9
集成并自定义VMwareView
132规划丰富的用户体验15
功能支持表15选择显示协议
16
使用View用户配置管理保留用户数据和设置17
在本地模式下使用View桌面的优势19
访问本地计算机连接的USB设备20
View桌面打印
21
将多媒体文件流式传输到View桌面21使用单点登录功能登录View桌面21使用多个显示器显示View桌面
213从中心位置管理桌面池23
桌面池的优势23
降低并管理存储要求
24
应用程序部署
25
使用ActiveDirectoryGPO管理用户和桌面
26
4体系结构设计元素与规划指导原则27
虚拟机要求
27
VMwareViewESX/ESXi节点31
特定类型员工的桌面池32
桌面虚拟机配置
35
vCenterViewComposer虚拟机配置与桌面池上限36
ViewConnectionServer最大连接数和虚拟机配置37
ViewTransferServer虚拟机配置与存储38
vSphere群集
38
VMwareView构建基块39
VMwareView容器42
5安全功能规划45
了解客户端连接
45
选择用户身份验证方法
47
VMware,Inc.




3

VMwareView体系结构规划指南
限制View桌面访问49
5051
使用组策略设置保护View桌面实施最佳实践来保护客户端系统分配管理员角色
51
51
准备使用安全服务器
了解VMwareView通信协议55

6VMwareView环境设置步骤概述61
索引463
VMware,Inc.

VMwareView体系结构规划
VMwareView体系结构规划指南》主要介绍了VMwareView的主要功能和部署选项,并概述了如何在生产环境中设置VMwareView组件。
本指南回答了以下问题:
nn
VMwareView能否解决您需要解决的问题?
在您的企业中实施VMwareView解决方案是否是一种可行且经济高效的做法?
为帮助您保护已安装的VMwareView,本指南还针对一些安全功能进行了讨论。
目标读者
本书所述信息面向IT决策制定者、体系结构人员、管理员和其他需要熟悉VMwareView组件及功能的读者。通过了解这些信息,体系结构人员和规划人员可确定VMwareView是否能够满足企业向最终用户高效、安全地交付Windows桌面和应用程序的要求。规划人员可借助示例体系结构了解进行大规模VMwareView部署所需达到的硬件要求及需要进行的设置工作。
VMware,Inc.5

VMwareView体系结构规划指南
6VMware,Inc.

VMwareView简介
1
借助VMwareViewIT部门可在数据中心内运行虚拟桌面,并将桌面作为受管服务交付给员工。最终用户可以获得熟悉的个性化环境,并可以在企业或家庭中的任何地方访问此环境。将桌面数据置于数据中心,管理员可进行集中式管理,同时还能提高效率、增强安全性。本章讨论了以下主题:
nnnn
7页,“使用VMwareView的优势”8页,“VMwareView功能”
9页,“VMwareView组件如何组成在一起”13页,“集成并自定义VMwareView
使用VMwareView的优势
使用VMwareView能有效提高企业桌面管理的可靠性、安全性、硬件独立性与便捷性。
可靠性与安全性
通过将虚拟桌面与VMwarevSphere进行整合,并对服务器、存储和网络资源进行虚拟化,可实现对虚拟桌面的集中式管理。将桌面操作系统和应用程序放置于数据中心的某个服务器上可带来以下优势:
nnn
轻松限制数据访问。防止敏感数据被复制到远程员工的家用计算机。安排数据备份时无须考虑最终用户的系统是否关闭。
数据中心托管的虚拟桌面不会或很少停机。虚拟机可以驻留在具有高可用性的VMware服务器群集中。
虚拟桌面还能连接到后端物理系统和Windows终端服务服务器。
便捷性
统一管理控制台可支持AdobeFlex上的扩展,即使最大规模的View部署也能通过单个ViewManager界面来有效管理。向导和仪表板可提高工作效率,并有助于查看详细信息或更改设置。1-1展示了一个基于浏览器ViewAdministrator用户界面。
VMware,Inc.7

VMwareView体系结构规划指南
1-1显示仪表板视图的ViewManager管理控制台
另外一项便捷功能是VMware远程显示协议PCoIPPCoIP(PC-over-IP显示协议可提供与使用物理PC相同的最终用户体验:
nn
LAN中,显示速度较传统远程显示更快,且更流畅。
WAN中,该显示协议还能弥补因延迟增加或带宽减少导致的不便,确保最终用户在任何网络条件下均可保持高效。
可管理性
您能够在很短的时间内部署最终用户的桌面。无需在每个最终用户的物理PC上逐一安装应用程序。最终用户可连接到应用程序齐备的虚拟桌面。最终用户可以在不同地方使用各种设备访问同一个虚拟桌面。使用VMwarevSphere托管虚拟桌面可带来以下优势:
nn
简化管理任务和管理工作。管理员无须访问用户的物理PC即可修补和升级应用程序和操作系统。简化存储管理。借助VMwarevSphere,您可以虚拟化卷和文件系统,从而避免管理单独的存储设备。
硬件独立性
虚拟机具有硬件独立性。由于View桌面运行在数据中心内的某个服务器中,且只能从客户端设备访问,因此View桌面可以使用与客户端设备硬件不兼容的操作系统。
例如,尽管Windows7只能运行在支持Windows7PC上,但您可以将Windows7安装在虚拟机中,并在不支持Windows7PC上使用该虚拟机。虚拟桌面可运行在PCTabletMac、瘦客户端和作为瘦客户端使用的PC上。
VMwareView功能
VMwareView中包含的功能可支持可用性、安全性、集中式控制和可扩展性。以下功能提供最终用户所熟悉的体验:
n
MicrosoftWindows客户端设备中,可以在虚拟桌面上使用Windows客户端设备上定义的任何本地或网络打印机进行打印。该虚拟打印机功能可消除兼容性问题,而且您不必在虚拟机上安装额外的打印驱动程序。
8VMware,Inc.

1VMwareView简介
n
在任意客户端设备中,使用基于位置的打印功能映射到物理位置接近客户端系统的打印机。基于位置的打印需要您在虚拟机中安装打印驱动程序。
使用多个显示器。借助PCoIP多显示器支持,您可以分别调整每个显示器的分辨率和旋转角度。访问连接到可显示虚拟桌面的本地设备的USB设备和其他外围设备。
即使桌面已刷新或重构,使用View用户配置管理仍可保留会话间的用户设置和数据。View用户配置管理能够按照可配置的时间间隔将用户配置文件复制到远程配置文件存储(CIFS共享位置)。
nnn
VMwareView提供了以下安全功能:
nnn
使用RSASecurID双因素身份验证或智能卡登录。使用SSL安全加密链路确保对所有连接进行完全加密。
使用VMwareHighAvailability托管桌面并确保自动进行故障切换。
以下功能可用于进行集中式管理:
nnnn
使用MicrosoftActiveDirectory管理对虚拟桌面的访问并管理策略。使用基于Web的管理控制台从任何位置管理虚拟桌面。使用模板或主映像快速创建和部署桌面池。
在不影响用户设置、数据或首选项的情况下向虚拟桌面发送更新和修补程序。
可扩展性功能需要借助VMware虚拟化平台来管理桌面和服务器:
n
VMwarevSphere集成,可帮助经济高效地部署虚拟桌面,实现虚拟桌面的高可用性,并提供高级资源分配控制。
ViewConnectionServer配置为在最终用户与授权其访问的虚拟桌面之间代理连接。
ViewComposer快速创建与主映像共享虚拟磁盘的桌面映像。采用这种方法使用链接克隆,有助于节省磁盘空间和简化对操作系统的修补程序和更新的管理。
nn
VMwareView组件如何组成在一起
最终用户启动ViewClient登录ViewConnectionServer。该服务器与WindowsActiveDirectory集成,通过它可以访问VMwarevSphere环境、刀片或物理PCWindows终端服务服务器中托管的虚拟桌面。1-2显示了VMwareView部署中各主要组件之间的关系。
VMware,Inc.9

VMwareView体系结构规划指南
1-2VMwareView环境高级示例
Tablet
WindowsViewClient
WindowsViewClientwithLocalMode
MacViewClient
瘦客户端
MicrosoftActiveDirectoryView
TransferServer
ViewAdministrator(浏览器)
ThinApp
网络
ViewConnectionServer
vCenter虚拟机
VM
VMwarevCenterServer(带有ViewComposer
物理PC
刀片PC
ViewAgent
终端服务器
虚拟桌面VM
桌面OSapp
app
app
VM
VM
VM
ESXi主机
ViewAgent虚拟机
VM
VM
运行虚拟桌面虚拟机的ESXi主机
客户端设备
使用VMwareView的一大优势在于,最终用户可以在任何地点使用任何设备访问桌面。用户可以通过公司的笔记本电脑、家用PC、瘦客户端设备、MacTablet访问其个性化虚拟桌面。
TabletMacWindows笔记本电脑及PC中,最终用户只需打开ViewClient就能显示View桌面。瘦客户端设备使用View瘦客户端软件,您可以对其进行配置,使View瘦客户端成为用户在设备上唯一能直接启动的应用程序。将传统PC作为瘦客户端桌面使用,可以使硬件的使用寿命延长三到五年。例如,通过在瘦客户端桌面中使用VMwareView,您可以在旧版桌面硬件上使用Windows7等新型操作系统。
ViewConnectionServer
该软件服务充当客户端连接的BrokerViewConnectionServer通过WindowsActiveDirectory对用户进行身份验证,并将请求定向到相应的虚拟机、物理或刀片PCWindows终端服务服务器。ViewConnectionServer提供了以下管理功能:
nnnn
用户身份验证
授权用户访问特定的桌面和池
将通过VMwareThinApp打包的应用程序分配给特定桌面和池管理本地和远程桌面会话
10VMware,Inc.

1VMwareView简介
nnn
在用户和桌面之间建立安全连接支持单点登录设置和应用策略
在企业防火墙内,您需要安装和配置一个至少包含两个ViewConnectionServer实例的组。其配置数据存储在一个嵌入式LDAP目录内,并且在组内各成员之间复制。
在企业防火墙外部,您可以在DMZ中安装ViewConnectionServer并将其配置为安全服务器。DMZ中的安全服务器可与企业防火墙内的ViewConnectionServer进行通信。安全服务器可确保唯一能够访问企业数据中心的远程桌面流量是通过严格验证的用户产生的流量。用户只能访问被授权访问的桌面资源。
安全服务器提供了一个功能子集,且无需包含在ActiveDirectory域中。您需要将ViewConnectionServer装在WindowsServer2008服务器中,最好安装在VMware虚拟机中。
ViewClient
用于访问View桌面的客户端软件可以在TabletWindowsMacPC或笔记本电脑、瘦客户端等平台上运行。成功登录后,用户需要在其有权使用的虚拟桌面列表中进行选择。身份验证需要使用ActiveDirectory凭据、UPN、智能卡PINRSASecurID令牌。
管理员可以将ViewClient配置为允许最终用户选择显示协议。协议包括PCoIPMicrosoftRDPPCoIP议的速度和显示质量可与物理PC媲美。
ViewClientwithLocalMode(之前称为OfflineDesktop)是ViewClient的一个版本,现已经过扩展,允许最终用户下载虚拟机并在其本地Windows系统上使用(无论是否连接网络)。
具体功能根据您使用的ViewClient而异。本指南重点介绍适用于WindowsViewClient。本指南未详细介绍以下客户端类型:
n
要获取适用于Tablet和适用于MacViewClient的详细信息,请参阅以下网址中的VMwareViewClient文档:https://www.vmware.com/support/viewclients/doc/viewclients_pubs.htmlViewClientforLinux(仅通过认证的合作伙伴提供)。各种第三方客户端(仅通过认证的合作伙伴提供)。
ViewOpenClient(支持VMware合作伙伴认证计划)。ViewOpenClient并不是正式发布的View客户端,因此不具有与ViewClient同等的支持。
nnn
ViewPortal
要使用ViewPortal,使用WindowsMacPC或笔记本电脑的最终用户需要打开Web浏览器,并输入一个ViewConnectionServer实例的URL地址。ViewPortal提供了一个链接,可用于下载适用于WindowsMacViewClient完整版安装程序。
ViewAgent
您可以在所有用作View桌面源的虚拟机、物理系统和终端服务服务器上安装ViewAgent服务。在虚拟机上,此代理通过与ViewClient进行通信来提供连接监视、虚拟打印、View用户配置管理和访问本地连接的USB设备等功能。
如果桌面源本身是一个虚拟机,您首先应当在该虚拟机上安装ViewAgent服务,然后再将其作为模板或链接克隆的父虚拟机使用。从该虚拟机创建池时,该代理将自动安装到每个虚拟桌面上。
您可以在安装代理时选择单点登录选项。使用单点登录后,用户只会在连接ViewConnectionServer时收到登录提示,下一次连接虚拟桌面时便不会收到提示。
VMware,Inc.11

VMwareView体系结构规划指南
ViewAdministrator
这款基于Web的应用程序能帮助管理员配置ViewConnectionServer、部署并管理View桌面、控制用户身份验证并排除最终用户遇到的问题。
ViewAdministrator应用程序会随ViewConnectionServer实例一起安装。借助该应用程序,管理员无需在他们的本地计算机上安装应用程序,即可从任何地方管理ViewConnectionServer实例。
ViewComposer
您需要将该软件服务安装在管理虚拟机的vCenterServer实例上。然后,ViewComposer将可以从指定的父虚拟机创建链接克隆池。这种方法可节约多达90%的存储成本。
每个链接克隆都像一个独立的桌面,带有唯一的主机名和IP地址,但不同的是,链接克隆与父虚拟机共享一个基础映像,因此存储需求明显减少。
由于链接克隆桌面池共享一个基础映像,因此您可以通过仅更新父虚拟机来快速部署更新和修补程序。最终用户的设置、数据和应用程序均不会受到影响。从View4.5开始,您可以将链接克隆技术用于下载的View面,并将其检出在本地系统上使用。
vCenterServer
该服务可充当联网VMwareESX/ESXi主机的中心管理员。vCenterServer(之前称作VMwareVirtualCenter提供了在数据中心内配置、部署和管理虚拟机的中心点。
除了将这些虚拟机作为View桌面池的源,您还可以使用虚拟机来托管VMwareView的服务器组件,包括ConnectionServer实例、ActiveDirectory服务器和vCenterServer实例。
您可以将ViewComposervCenterServer安装在相同的服务器上,以创建链接克隆桌面池。vCenterServer会管理向物理服务器和存储分配虚拟机的情况,以及向虚拟机分配CPU和内存资源的情况。您需要将vCenterServer安装在WindowsServer2008服务器中,最好安装在VMware虚拟机中。
ViewTransferServer
该软件用于管理和简化数据中心与在最终用户本地系统上检出使用的View桌面之间的数据传输。必须安装ViewTransferServer才能支持运行ViewClientwithLocalMode(之前被称为OfflineDesktop)的桌面。有些操作需要用ViewTransferServervCenterServerView桌面和客户端系统中相应的本地桌面之间发送数据。
n
当用户检入或检出桌面时,ViewManager将对该操作进行授权和管理。ViewTransferServer可以在数据中心和本地桌面之间传输文件。
ViewTransferServer可以将用户生成的更改复制到数据中心,从而使本地桌面与数据中心内的相应桌面同步。
复制操作将以您在本地模式策略中指定的时间间隔进行。您也可以在ViewAdministrator中启动复制。您可以设置策略,使用户能够从他们的本地桌面启动复制。
n
n
ViewTransferServer从数据中心向本地客户端分发常规系统数据。ViewTransferServerViewComposer基础映像从TransferServer存储库下载到本地桌面。
12VMware,Inc.

1VMwareView简介
集成并自定义VMwareView
要增强组织中VMwareView的执行效率,您可以使用多个界面将VMwareView与外部应用程序集成,或是创建可以从命令行或批次模式运行的管理脚本。
View与业务智能软件集成
您可以将VMwareView配置为将事件记录到MicrosoftSQLServerOracle数据库。
nnnn
登录和启动桌面会话等最终用户操作。添加授权和创建桌面池等管理员操作。报告系统故障和错误的警告。
统计采样,如记录24小时内的最大用户数量。
您可以使用CrystalReportsIBMCognosMicroStrategy9OracleEnterprisePerformanceManagementSystem等业务智能报告引擎来访问和分析事件数据库。
有关更多信息,请参阅VMwareViewIntegrationVMwareView集成指南)文档。
使用ViewPowerCLI创建管理脚本
WindowsPowerShell是一种面向MicrosoftWindows的命令行与脚本环境。PowerShell使用.NET对象模型,为管理员提供管理和自动化功能。要在其他控制台环境中使用PowerShell,您需要运行在PowerShell被称为cmdlet的命令。
ViewPowerCLIVMwareView提供了一个易于使用的PowerShell界面。您可以使用ViewPowerCLIcmdletView组件上执行各种管理任务。
nnnnnn
创建和更新桌面池。
将数据中心资源添加到完整虚拟机或链接克隆池。在链接克隆桌面上执行重新平衡、刷新或重构操作。对特定桌面或桌面池的使用情况进行取样。查询事件数据库。查询View服务的状态。
您可以将cmdletvSpherePowerCLIcmdlet结合使用,后者为VMwarevSphere产品提供了一个管理界面。有关更多信息,请参阅VMwareViewIntegrationVMwareView集成指南)文档。
修改View中的LDAP配置数据
当您使用ViewAdministrator修改VMwareView配置时,就会更新存储库中相应的LDAP数据。
VMwareView将其配置信息存储在兼容LDAP的存储库中。例如,在您添加桌面池时,VMwareView会将与用户、用户组和授权相关的信息存入LDAP
您可以使用VMwareMicrosoft命令工具将LDAP配置数据以LDAP数据交换格式(LDIF文件导入到VMwareView(或者从VMwareView导出)。这些命令仅面向希望用脚本来更新配置数据,而不使用ViewAdministratorViewPowerCLI的高级管理员。您可以使用LDIF文件执行多种任务。
nn
ViewConnectionServer实例之间传输配置数据。
定义桌面池等各种View对象,并将其添加到您的ViewConnectionServer实例,无需使用ViewAdministratorViewPowerCLI
VMware,Inc.13

VMwareView体系结构规划指南
n备份您的View配置,在需要时还原ViewConnectionServer实例的状态。
有关更多信息,请参阅VMwareViewIntegrationVMwareView集成指南)文档。
使用SCOM监视View组件
您可以使用MicrosoftSystemCenterOperationsManager(SCOM监视VMwareView组件的状态和性能,其中包括ViewConnectionServer实例和安全服务器,以及这些主机上运行的View服务。有关更多信息,请参阅VMwareViewIntegrationVMwareView集成指南)文档。
使用vdmadmin命令管理View
ViewConnectionServer实例上,您可以使用vdmadmin命令行界面执行各种管理任务。您可以使用vdmadmin命令执行那些在ViewAdministrator用户界面中无法执行的管理任务,或者执行需要通过脚本自动运行的管理任务。
有关更多信息,请参阅VMwareView管理指南》文档。
14VMware,Inc.

规划丰富的用户体验
2
VMwareView可为最终用户提供熟悉的个性化桌面环境。最终用户可以访问与本地计算机连接的USB和其他设备、将文档发送至本地计算机能够检测的任意打印机、使用智能卡进行身份验证以及使用多个显示器。VMwareView拥有很多您希望为最终用户提供的功能。在决定使用哪些功能前,您必须了解每项功能的局限和限制。
本章讨论了以下主题:
nnnnnnnnn
15页,“功能支持表”16页,“选择显示协议”
17页,“使用View用户配置管理保留用户数据和设置”19页,“在本地模式下使用View桌面的优势”20页,“访问本地计算机连接的USB设备”21页,“从View桌面打印”
21页,“将多媒体文件流式传输到View桌面”21页,“使用单点登录功能登录View桌面”21页,“使用多个显示器显示View桌面”
功能支持表
大部分客户端操作系统均支持大多数功能,如访问本地USB设备、基于位置的打印、PCoIPMicrosoftRDP显示协议。您还需要考虑View桌面操作系统是否支持这些功能。
当您规划为最终用户提供哪些显示协议和功能时,可以使用以下表格来确定支持这些功能的客户端操作系统和代理(View桌面)操作系统。
WindowsVista系列包括WindowsVistaHomeEnterpriseUltimateBusiness版本。Windows7系列包HomeProfessionalEnterpriseUltimate版本。对于Windows终端服务器,版本为Standard版。2-1View桌面(安装了ViewAgent)操作系统支持的功能
WindowsXPProSP332位)XXXX
WindowsVistaSP1SP232位)XXXX
Windows7SP132位和64位)XXXX
X
X
Windows2003
SP2/2003R2终端服务器SP232位)
Windows2008
SP2/2008R2SP1终端服务器(64位)
功能USB访问RDP显示协议PCoIP显示协议用户配置管理
VMware,Inc.15

VMwareView体系结构规划指南
2-1View桌面(安装了ViewAgent)操作系统支持的功能(续)
WindowsXPProSP332位)XXXXXXXX
WindowsVistaSP1SP232位)XXXXXXXX
XXXXXXX
X不适用X
X不适用X
支持RDP7
Windows7SP132位和64位)
Windows2003
SP2/2003R2终端服务器SP232位)
Windows2008
SP2/2008R2SP1终端服务器(64位)
功能WyseMMR基于位置的打印虚拟打印智能卡RSASecurID单点登录多个显示器LocalMode(本地模式)
2-2Windows客户端支持的功能
功能USB访问RDP显示协议PCoIP显示协议用户配置管理WyseMMR基于位置的打印虚拟打印智能卡RSASecurID单点登录多个显示器
LocalMode(本地模式)
WindowsXPHome/ProSP332位)XXX
X(不支持本地模式)XXXXXXXX
WindowsVistaSP1SP232位)XXX
X(不支持本地模式)XXXXXXXX
XXXXXXX
Windows7SP132位和64位)XXX
X(不支持本地模式)
此外,还有一些VMware合作伙伴提供了面向VMwareView部署的瘦客户端设备。每种瘦客户端设备上的可用功能由供应商、设备型号以及企业选择使用的配置决定。有关瘦客户端设备的供应商及型号的信息,请参阅VMware网站上的ThinClientCompatibilityGuide(瘦客户端兼容性指南)。
注意有关MacTablet支持的功能的详细信息,请参阅以下网址上的VMwareViewClient文档:https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html
选择显示协议
显示协议可以图形界面的形式向用户显示数据中心内的View桌面。您可以使用VMware提供的PCoIP(PC-over-IPMicrosoftRDPRemoteDesktopProtocol,远程桌面协议)。
您可以通过设置策略来控制使用哪种协议,也可以让最终用户在登录桌面时选择协议。注意当您检出桌面在本地客户端系统中使用时,不会使用PCoIPRDP远程显示协议。
16VMware,Inc.

2规划丰富的用户体验
采用PCoIPVMwareView
PCoIPVMware提供的一种新型高性能远程显示协议。该协议适用于来自虚拟机、Teradici客户端和物理机(使用Teradici主机卡)上的View桌面。
PCoIP可弥补因延迟增加或带宽减少导致的不便,确保最终用户在任何网络条件下均可保持高效。PCoIPLANWAN中广大用户,对图像、音频和视频内容的交付进行了优化处理。PCoIP提供以下功能:
n
您最高可以以1920x1200的屏幕分辨率使用3D应用程序(如WindowsAero主题或GoogleEarth)。这种非硬件加速图形功能使您能够运行DirectX9OpenGL2.1应用程序,且无需使用物理图形处理器(GPU。此功能可在WAN中提供可接受的性能,最高为100ms
您最多可以使用4个显示器,并可以分别调整各显示器的分辨率,每个显示器的最大分辨率为2560x1600。启用3D功能后,最多可支持2台显示器,其最高分辨率1920x1200
您可以在本地系统和桌面之间复制和粘贴文本和图像(不超过1MB)。支持的文件格式包括文本、图像RTF(富文本格式)。您无法在系统之间复制和粘贴系统对象,如文件夹和文件。PCoIP支持32位色彩。
使用View5中新增的优化控制,您可以降低LANWAN中的带宽使用并最多提高75%的带宽。PCoIP支持高级加密标准(AdvancedEncryptionStandard,AES128位加密(默认启用)。对于企业防火墙外部的用户,您可将该协议与View安全服务器或公司虚拟专用网络结合使用。
n
n
nnnn
客户端硬件必须满足以下要求:
nn
具有SSE2扩展指令集、基于x86的处理器,处理器速度为800MHz或更高。
具有NEON(首选)或WMMX2扩展指令集的ARM处理器,处理器速度为1GHz或更高。
MicrosoftRDP
远程桌面协议实际上就是人们从家用计算机访问办公计算机时使用的协议。RDP可用于访问远程计算机上的所有应用程序、文件和网络资源。MicrosoftRDP具有以下功能:
n
使用RDP6,您可以在分屏模式下使用多个显示器。RDP7真正实现了多显示器支持,最多可支持16显示器。
您可以在本地系统和View桌面之间复制和粘贴文本和系统对象,如文件夹和文件。RDP支持32位色彩。RDP支持128位加密。
您可以采用该协议与企业DMZ中的View安全服务器建立安全加密连接。
nnnn
使用View用户配置管理保留用户数据和设置
View用户配置管理可保留用户对其配置文件所作的更改。用户配置文件中包含各种由用户生成的信息。
nnn
用户特定的数据和桌面设置,这些信息可以使桌面外观保持一致(无论用户登录到哪个桌面)。应用程序数据和设置。例如,这些设置允许应用程序记住工具栏位置和首选项。由用户应用程序配置的Windows注册表条目。
为协助增强这些功能,View用户配置管理要求CIFS共享位置的存储大于或等于用户本地配置文件大小。
VMware,Inc.17

VMwareView体系结构规划指南
缩短登录和注销时间
View用户配置理缩短了登录和注销桌面所需的时间。
n
View会将最近对View桌面配置文件所作的更改定期复制到远程存储库中。默认情况下,每10分钟一次。相反,Windows漫游配置文件会等待用户注销,并在注销时将所有更改复制到服务器中。
在登录过程中,View只下载Windows需要的文件,如用户注册表文件。其他文件将在用户或应用程序View桌面中的配置文件夹打开它们时复制到View桌面。
使用View用户配置管理,在注销过程中,只有在上次复制后更新的文件才会被复制到远程存储库中。
n
n
使用View用户配置管理,您可以避免对ActiveDirectory作出更改,从而拥有一个受管的配置文件。要配置用户配置管理,您可以指定一个中心存储库,无需在ActiveDirectory中更改用户属性。使用该中心存储库,您可以在一环境中管理用户配置文件,而不会对用户可能登录的物理机产生影响。
使用View用户配置管理时,如果您使用VMwareThinApp应用程序部署桌面,ThinApp沙箱数据同样可以存储在用户配置文件中。此数据可随用户漫游,但不会对登录时间产生明显影响。此策略可有效防止数据丢失或损坏。
配置选项
您可以在多个级别上配置View用户配置:单个View桌面、桌面池、OU或部署中的所有View桌面。通过设置组策略(GPO,您可以对用户配置中要包含的文件和文件夹进行粒度控制:
n
指定是否包含本地设置文件夹。对于Windows7WindowsVista,该策略影响AppData\Local文件夹。对于WindowsXP,该策略影响[LocalSettings(本地设置)]文件夹。
指定在登录时加载的文件和文件夹。例如:ApplicationData\Microsoft\Certificates。在文件夹中,您还可以指定要排除的文件。
指定在用户登录到桌面后,要在后台下载的文件和文件夹。在文件夹中,您还可以指定要排除的文件。指定用户的用户配置中由Windows漫游配置文件功能(而不是View用户配置管理)管理的文件和文件夹。在文件夹中,您还可以指定要排除的文件。
n
nn
与使用Windows漫游配置文件一样,您可以配置文件夹重定向。您可以将下列文件夹重定向到某一网络共享位置。

联系人Cookie桌面下载收藏夹历史记录链接
我的文档我的音乐我的图片我的视频网上邻居打印机邻居最近使用的项目
保存游戏搜索开始菜单启动项目模板
Internet临时文件
要配置一个远程存储库来存储用户配置,您可以使用一个网络共享位置或一个针对Windows漫游配置文件配置的现有ActiveDirectory用户配置文件路径。网络共享位置可以是服务器上的文件夹、网络连接存储(network-attachedstorage,NAS设备或网络服务器。要支持大型View部署,您可以为不同桌面池配置单独的存储库。
受限
View用户配置管理存在以下局限和限制:
nn
您必须拥有一个包含View用户配置管理组件的View许可证。
View用户配置管理仅可在虚拟机上运行。它不能在物理计算机或Microsoft终端服务器上运行。
18VMware,Inc.

2规划丰富的用户体验
nnn
View用户配置管理需要一个CIFSCommonInternetFileSystem,公用Internet文件系统)共享位置。您不能将View用户配置管理与以本地模式运行的桌面配合使用。
如果用户在具有v1用户配置文件和v2用户配置文件的桌面间切换时,该用户不能访问相同的配置文件。但是,重定向的文件夹可供v1v2共享。WindowsXP使用v1配置文件。WindowsVistaWindows7使用v2配置文件。
在本地模式下使用View桌面的优势
利用ViewClientwithLocalMode,用户可以将View桌面检出并下载到本地系统(如笔记本电脑)。管理员可以通过设置备份和连接服务器的频率、对USB设备的访问以及检入桌面的权限等策略,管理这些本地View桌面。
对于网络连接较差的远程办公室里的员工而言,应用程序在本地View桌面上的运行速度比远程桌面更快。这样,用户无论是否连接到网络,都可以使用本地版本的桌面。
如果客户端系统已连接到网络,则检出的桌面将继续与ViewConnectionServer进行通信以提供策略更新,并确保本地缓存的身份验证标准为最新标准。默认情况下,系统每隔5分钟会尝试一次连接。
本地模式的View桌面与同类远程桌面的运行方式相同,但可以利用本地资源。延迟时间将会消除,性能也会得到改善。用户与其本地View桌面断开连接后可以再次登录,而无需连接到ViewConnectionServer。网络访问恢复后或用户就绪时,检出的虚拟机即可进行备份、回滚或检入。利用本地资源
本地桌面被检出之后即可利用本地系统上的内存和CPU资源。例如,无论为vCenterServer中的虚拟机指定何种内存设置,超出主机和客户操作系统所需内存的可用内存都会供主机和本地View桌面使用。同样,本地View桌面在本地系统上最多可自动使用两个可用CPU,您也可以将本地桌面配置为最多使用四个CPU
虽然本地桌面可以利用本地资源,但是在ESX/ESXi3.5主机上创建的Windows7WindowsVistaView桌面无法实现3DWindowsAero效果。甚至当检出桌面在Windows7WindowsVista主机上进行本地使用时也存在该限制。仅在使用vSphere4.x或更高版本创建View桌面时才能实现WindowsAero3D效果。
通过应用本地模式节省数据中心资源检出
通过要求下载并仅在本地模式下使用View桌面,可以降低数据中心在带宽、内存和CPU资源方面的成本。员工和承包商有时将此策略称为自备PC程序。View桌面被检出时,vCenter会为其拍摄快照,以保留虚拟机状态。vCenterServer版本的桌面会被锁定,使其他用户无法进行访问。锁定View桌面后,将禁用vCenterServer操作,包括启动联机桌面、拍摄快照、编辑虚拟机设置等。但View管理员仍然可以监视本地会话和访问vCenterServer版本的桌面,以移除访问或回滚桌面。
备份过程中,会在客户端系统上拍摄快照,以保留已检出虚拟机的状态。此快照与vCenter中的快照之间的增量数据将被复制到vCenter中,并与vCenter中的快照数据合并在一起。vCenterServer中的View桌面会使用所有新数据和配置进行更新,但本地桌面仍保持检出到本地系统中的检出状态,并在vCenterServer中保持锁定。
备份
VMware,Inc.19

VMwareView体系结构规划指南
回滚
在回滚过程中,系统会丢弃本地View桌面并解锁vCenterServer中的相应桌面。以后的客户端连接会定向到vCenterServer中的View桌面,直到桌面再次被检出。
View桌面被检入时,客户端系统会为其拍摄快照,以保留虚拟机状态。此快照vCenter中的快照之间的增量数据将被复制到vCenter中,并与vCenter的快照数据合并在一起。vCenterServer中的虚拟机将解锁。以后的客户端连接会定向到vCenterServer中的View桌面,直到桌面再次被检出。
检入
每个本地系统中的数据均用AES进行加密。默认情况下为128位加密,不过您可以配置为192位或256位加密。桌面的生命周期会通过策略加以控制。如果客户端与ViewConnectionServer失去连接,与服务器断开连接的最长时间就是用户访问被拒绝之前可以继续使用桌面的时间。同样,如果移除用户访问,则在缓存过期或客户端通过ViewConnectionServer检测到该变更后,客户端系统将无法访问。ViewClientwithLocalMode存在以下局限:
nnnn
您必须拥有包含LocalMode组件的View许可证。执行回滚和检入操作时,最终用户无法访问其本地桌面。只有受vCenterServer管理的虚拟机才具有此功能。
不支持检出使用虚拟硬件版本8View桌面。如果使用vSphere5创建作为本地模式桌面资源的虚拟机,请确保创建的虚拟机使用虚拟硬件版本7
您不能将View用户配置管理与以本地模式运行的桌面配合使用。
以本地模式下载和使用的View桌面不支持分配用VMwareThinApp创建的应用程序包。回滚桌面可能导ViewConnectionServer在回滚桌面上出现关于ThinApps的错误信息。出于安全性原因,您无法从View桌面访问主机CD-ROM
同样出于安全性原因,您无法在本地系统和View桌面之间复制和粘贴文本或系统对象,如文件和文件夹。
nn
nn
访问本地计算机连接的USB设备
管理员可以配置从View桌面使用各种USB设备的能力,如使用U盘、VoIPIP语音)设备和打印机。这种功能称为USB重定向。
使用此功能时,可以从ViewClient的菜单中访问大多数本地客户端系统连接的USB设备。您可以使用此菜单来连接和断开设备。
菜单中未显示、但可在View桌面中使用的USB设备包括智能卡读卡器和人机界面设备(如键盘和指针设备)。View桌面和本地计算机可同时使用这些设备。此功能存在以下局限:
n
当您从ViewClient的菜单中访问USB设备并在View桌面中使用该设备时,将无法在本地计算机上访问该设备。
USB重定向无法在Microsoft终端服务器提供的View桌面或Windows2000系统上使用。
n
20VMware,Inc.

2规划丰富的用户体验
View桌面打印
借助虚拟打印功能,Windows系统上的View客户端最终用户可从View桌面使用本地或网络打印机,而不必View桌面上安装额外的打印驱动程序。您可以通过基于位置的打印功能将View桌面映射到与终端客户端设备距离最近的打印机。
使用虚拟打印时,打印机被添加到某一台本地Windows计算机后,View会将其加入到View桌面的可用打印机列表。无需进行进一步配置。在此功能可以使用的打印机上,您可以设置数据压缩、打印质量、双面打印和色彩等属性的首选项。拥有管理员特权的用户仍然可以在View桌面上安装打印机驱动程序,且不会与虚拟打印组件发生冲突。
要将打印作业发送到USB打印机,可以使用USB重定向功能或虚拟打印功能。
基于位置的打印功能可用于Windows和非Windows客户端系统。IT组织可以通过基于位置的打印将View桌面映射到与终端客户端设备最近的打印机。以医生为例,无论他在医院的哪个房间打印文档,其打印作业都会发送到最近的一台打印机。使用此功能需要在View桌面上安装正确的打印机驱动程序。
将多媒体文件流式传输到View桌面
WyseMMR(多媒体重定向)支持将多媒体文件流式传输到View桌面后完全保真回放多媒体文件。由于本地解码器必须安装在客户端上,因此MMR功能可支持客户端系统支持的媒体文件格式。支持的文件格式包括MPEG2WMVAVIWAV等。此功能存在以下局限:
n
为获得最佳质量,请使用WindowsMediaPlayer10或更高版本,并将其安装到本地计算机(或客户端访问设备)和View桌面。
您必须将WyseMMR的端口(默认端口号为9427)添加为View桌面的防火墙例外规则。Windows7客户端或虚拟桌面不支持MMR
尽管Windows7虚拟桌面不支持MMR,但是当Windows7桌面具有1GBRAM2个虚拟CPU时,您可以在原始分辨率下通过PCoIP播放480p720p格式的视频。如果播放1080p格式的视频,您可能需要调小窗口以获得高清质量。
nn
使用单点登录功能登录View桌面
单点登录(Single-Sign-On,SSO功能允许您对ViewManager进行配置,使系统仅向最终用户发出一次登录提示。
如果您未使用单点登录功能,最终用户就必须登录两次。系统首先提示他们登录ViewConnectionServer,然后提示登录View桌面。如果还使用了智能卡,最终用户就必须登录三次,因为用户还必须在智能卡读卡器提示他们输入PIN时进行登录。
此功能包含适用于WindowsXP的图形标识和身份验证(GraphicalIdentificationandAuthentication,GINA动态链接库和适用于WindowsVista的凭据提供程序动态链接库。
使用多个显示器显示View桌面
无论使用何种显示协议,您都可以使用多个显示器显示View桌面。
如果您采用了VMwarePCoIP显示协议,则可以分别调整每个显示器的分辨率和旋转角度。PCoIP支持真正的多显示器会话,而不是分屏模式会话。
分屏模式远程会话实际上是一个单显示器会话。所有显示器的尺寸和分辨率必须相同,显示器布局必须位于边界框内。如果您最大化应用程序窗口,则这个窗口将跨所有显示器显示。MicrosoftRDP6使用分屏模式。
VMware,Inc.21

VMwareView体系结构规划指南
在真正的多显示器会话中,显示器可以采用不同的分辨率和尺寸,而且可以旋转。如果您最大化应用程序窗口,则仅在该应用程序窗口所在的显示器中全屏显示该窗口。此功能存在以下局限:
n
nn
n
22如果使用PCoIP,则用于显示View桌面的最大显示器数量为4。启用3D功能后,最多可支持2台显示器,其最高分辨率1920x1200。支持旋转式显示器,但不支持叠放式显示器。如果使用MicrosoftRDP7,用于显示View桌面的最大显示器数量为16
如果您采用MicrosoftRDP显示协议,则必须在View桌面中安装Microsoft远程桌面连接(RemoteDesktopConnection,RDC6.0或更高版本。
如果您在本地模式下使用View桌面,不会用到远程显示协议。您能够在分屏模式下使用多个显示器。
VMware,Inc.

从中心位置管理桌面池
3
您可以创建包含一个或数百个虚拟桌面的桌面池。您可以将虚拟机、物理机和Windows终端服务服务器作为桌面源使用。创建一个虚拟机并将其用作基础映像后,VMwareView便可通过该映像生成大量虚拟桌面。您可以通过VMwareThinApp将应用程序轻松地安装或流式传输到池中。本章讨论了以下主题:
nnnn
23页,“桌面池的优势”24页,“降低并管理存储要求”25页,“应用程序部署”
26页,“使用ActiveDirectoryGPO管理用户和桌面”
桌面池的优势
借助VMwareView,您可以创建桌面池,并将桌面池部署为VMwareView进行集中管理的基础。您可以通过以下来源创建虚拟桌面池:
nnn
物理桌面PCWindows终端服务服务器等物理系统ESX/ESXi主机上托管并由vCenterServer管理的虚拟机
运行于VMwareServer或其他支持ViewAgent的虚拟化平台上的虚拟机
如果将vSphere虚拟机作为桌面源使用,您可以按需要自动生成任意数量的相同虚拟桌面。您可以设置为池生成的虚拟桌面数量的最大值和最小值。设置这些参数可确保您始终能够获得足够的View桌面来使用,同时又不会生成过多的桌面浪费可用资源。
使用池来管理桌面,您可以对池中的所有虚拟桌面应用设置或部署应用程序。以下示例介绍了一些可用设置:
nnnn
指定View桌面默认使用的远程显示协议,以及是否允许最终用户重写默认值。配置AdobeFlash动画的显示质量和带宽调节。
如果使用虚拟机,则可以指定是否在不使用虚拟机时将其关闭或删除。
如果使用vSphere4.1或更高版本,则指定是使用MicrosoftSysprep自定义规范,还是VMwareQuickPrepSysprep为池中的每个虚拟机生成唯一的SIDGUID指定是否可以或必须下载View桌面,并在本地客户端系统上运行。
n
VMware,Inc.23

VMwareView体系结构规划指南
此外,使用桌面池可带来很多便利。专用分配池浮动分配池
每个用户都被分配了一个特定的View桌面,并在每次登录时返回同一个虚拟桌面。用户可以个性化定制其桌面、安装应用程序和存储数据。
在每次使用虚拟机后可选择性地删除并重新创建虚拟机,从而形成高度可控的环境。浮动分配桌面就像一个计算机实验室或Kiosk环境,其中的每个桌面都加载了必要的应用程序,而且所有桌面都能访问所需的数据。
利用浮动分配池,您还可以创建可供轮班制用户使用的桌面池。例如,包含100个桌面的池可供300名轮班制用户(每班100个用户)使用。
降低并管理存储要求
使用由vCenterServer管理的虚拟桌面,实现了以前只有经过虚拟化的服务器才能实现的存储效率。由于池中的所有桌面与基础映像共享一个虚拟磁盘,因此使用ViewComposer有助于节约存储空间。
n
使用vSphere管理存储24页,
VMwarevSphere可以对磁盘卷和文件系统进行虚拟化,这样您在管理和配置存储时,就无需考虑数据的物理存储位置。
n使用ViewComposer降低存储要求24页,
ViewComposer可创建与基础映像共享虚拟磁盘的桌面映像,因此您可以将存储容量需求降低50%90%
使用vSphere管理存储
VMwarevSphere可以对磁盘卷和文件系统进行虚拟化,这样您在管理和配置存储时,就无需考虑数据的物理存储位置。
VMwarevSphere支持光纤通道SAN阵列、iSCSISAN阵列和NAS阵列等目前广泛应用的存储技术,用以满足各种数据中心存储需求。存储阵列通过存储区域网络与各个服务器组相连,并在各服务器组之间共享存储资源。采用这种结构能够聚合存储资源,还能更加灵活地将这些资源分配给虚拟机。利用View4.5及更高版本和vSphere4.1及更高版本,您现在还可以使用以下功能:
nnn
vStorage精简部署,初期仅部署所需的磁盘空间,随后再逐渐增加磁盘容量
分层存储,通过View环境在高性能存储和低成本存储层级之间分配虚拟磁盘,尽可能提高性能并节约成本ESX/ESXi主机上的本地存储,用于存放客户操作系统中的虚拟机交换文件
使用ViewComposer降低存储要求
ViewComposer可创建与基础映像共享虚拟磁盘的桌面映像,因此您可以将存储容量需求降低50%90%ViewComposer使用基础映像或父虚拟机,可创建最多包含512个链接克隆虚拟机的池。每个链接克隆都像一个独立的桌面,带有唯一的主机名和IP地址,但链接克隆的存储需求明显较少。
当您创建链接克隆桌面池时,首先需要从父虚拟机创建一个完整克隆。完整克隆(或副本)以及与之链接的克隆可存储在相同的数据存储或LUN(逻辑单元号)上。如有必要,您可以使用重新平衡功能在不同的LUN间移动副本和链接克隆。
此外,您也可以将ViewComposer副本和链接克隆分别存放在具有不同性能特征的数据存储中。例如,您可以将副本虚拟机存储在固态磁盘(SSD中。固态磁盘具有低存储容量和高读取性能,通常支持的每秒I/O次数(IOPS能达到上万次。您可以将链接克隆存储在以传统旋转介质作为后端的数据存储中。这种磁盘性能较低,但价格相对低廉,并具有较高存储容量,因此适合存储大型池中的大量链接克隆。分层存储配置能够经济高效地处理密集I/O负载,如同时重新启动大量虚拟机,或者运行计划内的病毒扫描任务。
24VMware,Inc.

3从中心位置管理桌面池
创建链接克隆池时,您可以选择配置一个单独的一次性虚拟磁盘,用来存储客户操作系统在用户会话期间生成的页面文件和临时文件。虚拟机关闭后,ViewManager将删除一次性磁盘。使用一次性磁盘可以减缓链接克隆的增长速度,同时降低已关闭虚拟机所占用的空间,这些都有助于节省存储空间。
当您创建专用分配桌面池时,ViewComposer可选择性为每个虚拟桌面创建各自的永久虚拟磁盘。最终用户Windows配置文件和应用程序数据将保存在永久磁盘中。刷新、重构或重新平衡链接克隆时,永久虚拟磁盘中的内容会被保留。VMware建议您将ViewComposer永久磁盘存储在单独的数据存储中。这样便可以备份保存永久磁盘的整个LUN
有关更多信息,请参阅名为StorageConsiderationsforVMwareViewVMwareView的存储注意事项)的最佳实践指南。
应用程序部署
利用VMwareView,您在部署应用程序时中便拥有了多种选择:您可以采用传统应用程序部署技术,可以分发由VMwareThinApp创建的应用程序包,或者将应用程序部署为ViewComposer基础映像的一部分。
n
使用ViewComposer部署应用程序和系统更新25页,
由于链接克隆桌面池共享一个基础映像,因此您可以通过更新父虚拟机来快速部署更新和修补程序。
nViewAdministrator中管理VMwareThinApp应用程序25页,
VMwareThinApp能帮您将应用程序封装到可在虚拟化应用程序沙箱中运行的单独文件中。采用这种方法可以灵活地部署应用程序,而且不会产生冲突。
n使用现有流程部署应用程序26页,
利用VMwareView,您可以继续沿用公司目前采用的应用程序部署技术。由此会产生两个新问题,即如何管理服务器CPU利用率和存储I/O,以及确定是否允许用户安装应用程序。
使用ViewComposer部署应用程序和系统更新
由于链接克隆桌面池共享一个基础映像,因此您可以通过更新父虚拟机来快速部署更新和修补程序。借助重构功能,您可以修改父虚拟机、拍摄新状态的快照并向全部或部分用户及桌面提供新版本映像。您可以使用此功能执行以下任务:
nnnnn
应用操作系统和软件修补程序及升级应用服务包添加应用程序添加虚拟设备
更改其他虚拟机设置,如可用内存
创建包含用户设置和其他用户生成数据的ViewComposer永久磁盘。永久磁盘不受重构操作影响。您可以在删除链接克隆时保留用户数据。在员工离开公司后,另一位员工可以访问他的用户数据。拥有多个桌面的用户可以将用户数据整合到一个桌面上。
如果希望禁止用户添加、删除软件或更改设置,您可以使用刷新功能将桌面恢复到默认值。此功能还可以减小链接克隆的大小(链接克隆的大小会不断增长)。
ViewAdministrator中管理VMwareThinApp应用程序
VMwareThinApp能帮您将应用程序封装到可在虚拟化应用程序沙箱中运行的单独文件中。采用这种方法可以灵活地部署应用程序,而且不会产生冲突。
ThinApp通过可将应用程序从底层操作系统及其库和框架中分离,并将应用程序捆绑到一个可执行文件(称为应用程序包)来提供应用程序虚拟化。从View4.5起,您可以使用ViewAdministratorThinApp应用程序分发到桌面和池。
VMware,Inc.25

VMwareView体系结构规划指南
当您使用ThinApp创建虚拟化应用程序后,就可以从共享文件服务器中流式处理应用程序,或者将应用程序安装到虚拟桌面。如果您要配置虚拟化应用程序以进行流式处理,则必须解决以下架构问题:
nnn
特定用户组对存储应用程序包的特定应用程序存储库的访问权限应用程序存储库的存储配置
流式处理过程中产生的网络流量(很大程度上取决于应用程序的类型)
对于经过流式处理的应用程序,用户可以用桌面快捷方式启动。
如果您要分配ThinApp包使其能够安装到虚拟桌面,所需考虑的架构问题与使用基于MSI的传统软件部署方法时需要解决的问题类似。应用程序存储库的存储配置问题涉及到经过流式处理的应用程序和虚拟桌面中安装ThinApp包。
注意以本地模式下载和使用的View桌面不支持分配用VMwareThinApp创建的应用程序包。回滚桌面可能导致ViewConnectionServer在回滚桌面上出现关于ThinApps的错误信息。
使用现有流程部署应用程序
利用VMwareView,您可以继续沿用公司目前采用的应用程序部署技术。由此会产生两个新问题,即如何管理服务器CPU利用率和存储I/O,以及确定是否允许用户安装应用程序。
如果您将应用程序同时推送到大量虚拟桌面,便会发现CPU利用率和存储I/O将大幅增加。这些峰值工作负载会极大影响桌面的性能。因此,最好将应用程序更新安排在非高峰时段进行,如有可能请交错更新桌面。您还必须验证您的存储解决方案是否支持此类工作负载。
如果您的公司允许用户安装应用程序,您可以继续沿用当前策略,但却无法充分利用ViewComposer的功能,如刷新和重构桌面。利用ViewComposer,如果某个应用程序未虚拟化或者包含在用户的配置文件或数据设置中,ViewComposer执行刷新、重构或重新平衡操作时便会放弃该应用程序。在很多情况下,这种可以严格控制要安装哪些应用程序的功能是一项优势。由于ViewComposer桌面采用与已知可行配置类似的配置,因此您可以轻松支持这些桌面。
如果用户强烈要求安装自己的应用程序并使这些应用程序在虚拟桌面的生命周期内永久可用,您可以创建完整永久桌面并允许用户安装应用程序,而不使用ViewComposer部署应用程序。
使用ActiveDirectoryGPO管理用户和桌面
VMwareView包含很多组策略管理(ADM模板,可用于集中管理与配置View组件和View桌面。将这些模板导入到ActiveDirectory后,您就可以用它们来设置应用于以下组和组件的策略:
nnnnn
所有系统(无论由哪个用户登录)所有用户(无论登录哪个系统)ViewConnectionServer配置ViewClient配置ViewAgent配置
应用GPO后,属性将存储在特定组件的本地Windows注册表中。
您可以使用GPO设置能够从ViewAdministrator用户界面(UserInterface,UI中获得的所有策略。也可以使GPO设置不能从UI中获得的策略。有关可通过ADM模板实现的设置的完整列表和描述,请参阅VMwareView管理指南》文档。
26VMware,Inc.

体系结构设计元素与规划指导原则
4
典型的VMwareView体系结构设计采用容器策略,容器包含相应的组件,而组件则可通过使用vSphere4.1或更高版本基础架构最多支持10000个虚拟桌面。由于硬件配置、所用的ViewvSphere软件版本以及其他特定环境设计因素的不同,容器的定义可能存在差异。
此体系结构的标准可扩展设计足以适应各种企业环境及特定要求。本章详细介绍了有关内存、CPU、存储容量、网络组件和硬件需求的重要细节,为IT体系结构人员和规划人员提供了实用的VMwareView解决方案部署指导。
本章讨论了以下主题:
nnnnnnnnnn
27页,“虚拟机要求”
31页,“VMwareViewESX/ESXi节点”32页,“特定类型员工的桌面池”35页,“桌面虚拟机配置”
36页,“vCenterViewComposer虚拟机配置与桌面池上限”37页,“ViewConnectionServer最大连接数和虚拟机配置”38页,“ViewTransferServer虚拟机配置与存储”38页,“vSphere群集”
39页,“VMwareView构建基块”42页,“VMwareView容器”
虚拟机要求
在规划View桌面规格时,您所选择的RAMCPU和磁盘空间配置将对您的服务器、存储硬件和开销情况产生重要影响。
n
基于员工类型的规划28页,
包括RAMCPU和存储大小在内的很多配置元素的要求,很大程度上取决于使用虚拟桌面的员工类型和必须安装的应用程序。
n估算虚拟桌面的内存要求28页,
服务器RAM的成本往往要高于PCRAM成本。RAM成本在整个服务器硬件成本和所需存储总量中占据了很大比例,因此确定合适的内存分配量对规划桌面部署至关重要。
n估算虚拟桌面的CPU要求30页,
在估算CPU时,您必须收集有关各类企业员工平均CPU利用率的信息。另外,还要额外计算10%25%的处理能力,用以满足虚拟化开销和峰值期间的使用需要。
VMware,Inc.27

VMwareView体系结构规划指南
n选择合适的系统磁盘大小30页,
在分配磁盘空间时,还要为操作系统、应用程序和用户可能会安装或生成的其他内容提供足够的空间。这个容量通常低于物理PC磁盘的容量。
基于员工类型的规划
包括RAMCPU和存储大小在内的很多配置元素的要求,很大程度上取决于使用虚拟桌面的员工类型和必须安装的应用程序。
规划体系结构时,可将员工分为以下几个类型。任务型员工
任务型员工和管理型员工通常在固定的计算机设备上使用少数应用程序执行重复的任务。与知识型员工使用的应用程序相比,这些应用程序往往不需要消耗大量的CPU和内存资源。按特定轮班制度工作的任务型员工可能会在同一时间登录虚拟桌面。任务型员工包括呼叫中心分析人员、零售员工和库房员工等。知识型员工的日常工作包括访问Internet、使用电子邮件和创建复杂文档、演示文稿及电子表格。知识型员工包括会计、销售经理和市场调研分析师等。超级用户包括应用程序开发人员和使用图形密集型应用程序的用户。
这些用户下载并只在其本地系统上运行View桌面,这样可以降低数据中心的带宽、内存和CPU资源成本。安排复制任务可确保备份系统和数据。由管理员配置最终用户系统与ViewManager的通信频率,避免系统锁定。
这些用户需要共享公共位置的桌面。典型的Kiosk用户包括:教室内使用共享计算机的学生、护理工作站的护士以及用于工作安排和人员招聘的计算机等。这些桌面需要自动登录。如果需要,可以通过特定的应用程序来进行身份验证。
知识型员工超级用户
仅以本地模式使用桌面的员
Kiosk用户
估算虚拟桌面的内存要求
服务器RAM的成本往往要高于PCRAM成本。RAM成本在整个服务器硬件成本和所需存储总量中占据了很大比例,因此确定合适的内存分配量对规划桌面部署至关重要。
如果分配的RAM过低,存储I/O将因为频繁的内存交换而受到负面影响。如果分配的RAM过高,客户操作系统的页面文件和每个虚拟机的交换文件和挂起文件将变得非常大,会对存储容量产生不利影响。
注意该主题解决了远程访问View桌面时的内存分配问题。如果用户以本地模式运行View桌面,其客户端系统所使用的内存容量即为客户端设备可用内存的一部分。
您需要有足够的内存才能在客户端计算机上运行主机操作系统,另外还需要一定的内存来运行View桌面的操作系统以及客户端计算机和View桌面上的应用程序。VMware建议您至少为WindowsXPWindowsVista预留2GB的内存,至少为Windows7预留3GB的内存。
尝试检出在vCenterServer中配置的桌面时,如果该桌面所需的内存量超出本地客户端系统所能提供的内存,那么除非您更改Windows注册表设置,否则将无法检出该桌面。有关说明,请参见VMwareView管理指南》文档。
RAM大小对性能的影响
分配RAM时,应避免选择过于保守的分配设置。请考虑以下问题:
nn
分配的RAM不足可导致客户机交换过于频繁,由此产生的I/O将严重降低性能并增加存储I/O负载。VMwareESX/ESXi支持复杂的内存资源管理算法,例如透明内存共享和内存虚拟增长,可显著降低支持给定的客户机RAM分配所需的物理RAM。例如,即使为虚拟桌面分配了2GB内存,所消耗的物理RAM也仅为2GB的一小部分。
28VMware,Inc.

4体系结构设计元素与规划指导原则
n
由于虚拟桌面的性能极易受到响应时间的影响,因此需要在ESX/ESXi主机上为RAM预留设置指定非零值。预留一部分RAM可确保空闲但处于使用状态的桌面不会被完全交换到磁盘。此外还可以降低ESX/ESXi交换文件消耗的存储空间。但是,较高的预留设置将影响您在ESX/ESXi主机上过量分配内存的能力,还可能影响vMotion维护操作。
RAM大小对存储的影响
分配到虚拟机的RAM容量直接关系到虚拟机使用的某些文件的大小。要访问以下列表中的文件,请使用
Windows客户操作系统定位Windows页面文件和休眠文件,通过ESX/ESXi主机的文件系统来定位ESX/ESXi交换文件和挂起文件。Windows页面文件
默认情况下,该文件的大小为客户机RAM150%。默认情况下,该文件位C:\pagefile.sys,由于它将被频繁访问,因而会导致精简部署的存储不断增大。链接克隆虚拟机上的页面文件和临时文件可被重定向到虚拟机关闭时删除的单独虚拟磁盘中。一次性页面文件重定向可以节约存储容量、减缓链接克隆的增长速度并改善性能。尽管可以从Windows中调整该文件的大小,但这样做可能会降低应用程序的性能。
该文件的大小能和客户机RAM的大小完全相同。在View部署中不需要使用此文件,因此您可以安全地将其删除,即使您使用了ViewClientwithLocalMode也可以删除。
该文件的扩展名为.vswp,如果您预留的RAM低于虚拟机的RAM,则会创建此交换文件。交换文件的大小与未预留的客户机RAM的大小相同。假如,如果预留了50%的客户机RAM,且客户机的RAM2GB,则ESX/ESXi交换文件的大小为1GB。该文件可以存储在ESX/ESXi主机或群集的本地数据存储中。该文件的扩展名为.vmss,如果您设置了桌面池注销策略(使虚拟桌面在最终用户注销时挂起),则会创建此文件。该文件的大小与客户机RAM的大小相同。
笔记本电脑的Windows眠文件
ESX/ESXi交换文件
ESX/ESXi挂起文件
采用PCoIP时适用于特定显示器配置的RAM大小
如果采用VMwarePCoIP显示协议,则ESX/ESXi主机所需的额外RAM大小将部分取决于为最终用户配置的显示器数量和显示分辨率。4-1中列出了不同配置所需的RAM大小。此表中列条目所显示的内存大小不包括其他PCoIP功能所需的内存。4-1PCoIP客户端显示开销
显示分辨率标准VGASVGA720pUXGA1080pWUXGAQXGAWQXGA
宽度(像素)640800128016001920192020482560
高度(像素)48060072012001080120015361600
1个显示器的开销2.34MB3.66MB7.03MB14.65MB15.82MB17.58MB24.00MB31.25MB
2个显示器的开销4.69MB7.32MB14.65MB29.30MB31.64MB35.16MB48.00MB62.50MB
4个显示器的开销9.38MB14.65MB28.13MB58.59MB63.28MB70.31MB96.00MB125.00MB
VMware,Inc.29

VMwareView体系结构规划指南
在考虑这些要求时,请注意为虚拟机分配的RAM配置并不会改变。也就是说,您不需要先为应用程序分配1GBRAM,然后再为1080p双显示器分配31MB。在计算每个ESX/ESXi主机所需的物理RAM总量时,您只需要考虑RAM的开销。将客户操作系统RAM加到RAM开销内,然后乘以虚拟机的数量。
注意要使用View5.0提供的全新3D呈现功能,您必须为每个Windows7View桌面分配64MB128MBVRAM。这种非硬件加速的图形功能允许您使用诸如WindowsAero主题或GoogleEarth之类的3D应用程序。
特定工作负载和操作系统所需的RAM大小
由于不同类型员工的RAM需求存在很大差异,因此很多企业都通过试运行来确定企业中不同类型员工所需的适当内存设置。
开始时最好分配1GBWindowsXP桌面和32WindowsVistaWindows7桌面)或2GB64
Windows7桌面)的内存。在试运行阶段中,需要监视不同类型员工的使用性能和所用磁盘空间,并做出适当调整,最后确定适用于每种类型员工的最佳设置。
估算虚拟桌面的CPU要求
在估算CPU时,您必须收集有关各类企业员工平均CPU利用率的信息。另外,还要额外计算10%25%处理能力,用以满足虚拟化开销和峰值期间的使用需要。
注意该主题解决了在远程访问View桌面时的CPU要求问题。如果用户在客户端系统上以本地模式运行View桌面,View桌面将使用客户端设备上的可用CPU(最多2个)。
CPU的具体要求因员工类型而异。在试运行阶段,请使用性能监测工具(如虚拟机中的PerfmonESX/ESXi中的esxtopvCenter性能监测工具)来了解这些员工组的平均及峰值CPU利用率。另外请遵循以下原则:
n
软件开发人员或其他具有高性能需求的超级用户对CPU的要求可能高于知识型员工和任务型员工。对于计算密集型任务、需要用PCoIP显示协议播放720p视频,以及Windows7桌面,我们建议您部署双虚CPU
至于其他情形,则建议使用单虚拟CPU
n
由于很多虚拟机都运行在一台服务器上,因此当代理程序(如防病毒代理)一起同时检查是否存在更新时,CPU利用率将达到峰值。请确定有哪些/多少代理可能导致性能问题,并采取适当策略来解决这些问题。例如,以下策略可能会对您的企业有所帮助:
nnn
使用ViewComposer更新映像,而不是由软件管理代理将软件更新下载到每个虚拟桌面。将防病毒程序和软件更新安排在非峰值期间(在登录用户数量较少时)运行。交错或随机执行更新。
在最初调整大小时,不妨假设每个虚拟机至少需要用到整个CPU核心1/81/10的计算资源。也就是在每个核心上试运行810个虚拟机。例如,如果假设在每个核心上运行8个虚拟机并使用2插槽8ESX/ESXi机,您可以在试运行期间在服务器上托管128个虚拟机。在此期间监视主机上的CPU整体使用情况,确保利用率基本保持在安全值以内(如80%),从而为满足峰值负载留出足够空间。
选择合适的系统磁盘大小
在分配磁盘空间时,还要为操作系统、应用程序和用户可能会安装或生成的其他内容提供足够的空间。这个容量通常低于物理PC磁盘的容量。
由于数据中心磁盘空间每千兆字节的成本通常高于传统PC部署中台式机或笔记本电脑的成本,因此需要对操作系统映像大小进行优化。以下建议可用于优化映像大小:
nn
删除不需要的文件。例如,减少临时Internet文件的配额。选择能满足未来增长需要的虚拟磁盘大小,但不要过大。
30VMware,Inc.

4体系结构设计元素与规划指导原则
n使用集中的文件共享或ViewComposer永久磁盘存储用户生成的内容和安装的应用程序。
确定所需的存储空间时,必须考虑每个虚拟桌面的以下文件:
nnnn
ESX/ESXi挂起文件的大小与分配给虚拟机的RAM容量相同。Windows页面文件的大小为RAM容量的150%每个虚拟机的日志文件的大小约为100MB
虚拟磁盘或.vmdk文件必须能够容纳操作系统、应用程序以及将来的应用程序和软件更新。另外,如果本地用户数据和用户安装的应用程序位于虚拟桌面(而不是文件共享)中,虚拟磁盘还必须能够容纳这些数据和应用程序。
如果使用ViewComposer.vmdk文件会不断增大,但您可以为View桌面池安排ViewComposer刷新操作并设置存储过载策略,并将Windows页面文件和临时文件重定向到单独的非永久磁盘,以控制它的增长量。
您也可以将这个预估值提高15%,确保用户的磁盘空间不会耗尽。
VMwareViewESX/ESXi节点
节点是指VMwareView部署中托管虚拟机桌面的单个VMwareESX/ESXi主机。
VMwareView能采用最经济高效的方式,最大限度增加整合比率(即ESX/ESXi主机上托管桌面的数量)。尽管影响服务器选取的因素有很多,但如果您要严格控制采购价格,就必须找到处理能力和内存表现俱佳的服务器配置。
要确定环境和硬件配置的理想整合比率,必须在实际环境下进行性能检测(如试运行)。由于使用模式和环境因素的不同,具体的整合比率可能会有很大差异。请遵循以下原则:
n
作为一般性架构,通常以每个CPU核心运行810个虚拟桌面作为考虑计算容量的依据。有关计算每个虚拟机CPU要求的信息,请参见30页,“估算虚拟桌面的CPU要求”.
从虚拟桌面RAM、主机RAM和过量分配比率方面思考内存容量问题。尽管可以为每个CPU核心部署810个虚拟桌面,但如果虚拟桌面占用1GB或更多的RAM,就必须仔细衡量物理RAM需求。有关计算每个虚拟机所需RAM容量的信息,请参阅28页,“估算虚拟桌面的内存要求”
请注意,物理RAM的成本并不符合线性规律,在某些情况下,购买不使用昂贵DIMM芯片的小型服务器可能更加划算。在其他情况下,考虑机架密度、存储连接能力、可管理性及其他因素的影响,也有助于最大限度地减少部署中的服务器数量。
n
n最后,还要考虑群集和故障切换方面的要求。有关更多信息,请参阅38页,“确定高可用性的要求”
有关vSphereESX/ESXi主机规范的信息,请参见《VMwarevSphereConfigurationMaximums》(VMwarevSphere配置上限)文档。
VMware,Inc.31

VMwareView体系结构规划指南
特定类型员工的桌面池
VMwareView具有许多功能,可以帮助您节省存储空间、降低各种应用情况的处理需求量。其中很多功能都是通过池设置来实现。
最基本的问题是衡量特定类型的用户,判定用户需要固定桌面映像还是非固定桌面映像。需要固定桌面映像的用户将其数据存放于必须保留、维护和备份的操作系统映像本身中。例如,这些用户会安装一些个人应用程序,或者拥有不能保存在虚拟机本身以外位置(如在文件服务器上或应用程序数据库中)的数据。非固定桌面映像
非固定体系结构具有许多优势,如易于支持和存储成本较低。此外,该体系结构还能限制链接克隆虚拟机的备份需求,并提供更加简化、廉价的灾难恢复和业务连续性选项。
这些映像可能会要求使用传统映像管理技术。固定映像与特定存储系统技术一起使用时,可降低存储成本。规划备份、灾难恢复和业务连续性策略时,
VMwareConsolidatedBackupVMwareSiteRecoveryManager等备份和恢复技术都是重要的考量因素。
固定桌面映像
您可以使用ViewComposer创建链接克隆虚拟机的浮动分配池,从而创建非固定桌面映像。您可以通过创建链接克隆虚拟机或完整虚拟机的专用分配池来创建固定桌面映像。如果您使用链接克隆虚拟机,则可以配置ViewComposer永久磁盘和文件夹重定向。一些存储厂商专门为固定桌面映像提供了经济高效的存储解决方案。这些厂商通常拥有自己的最佳实践和部署实用程序。如果使用其中某家厂商的技术,可能需要创建手动的专用分配池。
n
任务型员工池32页,
您可以为任务型员工提供标准化非固定桌面映像,让映像随时保有易懂、易于支持的配置,因此员工可以登录到任意可用桌面。
n知识型员工和超级用户池33页,
知识型员工必须能够创建复杂的文档并将其保留在桌面上。超级用户则必须能够安装并保留其个人应用程序。根据所保留的个人数据的性质和数量,可以采用固定或非固定类型的桌面。
n移动用户池33页,
这些用户可以检出View桌面,即使没有网络连接也可在其笔记本电脑或台式机上以本地方式运行桌面。
nKiosk用户池34页,
Kiosk用户包括机场登机处的乘客、教室或图书馆内的学生、医疗数据录入工作站的医护人员以及自助服务点的顾客。与客户端设备关联的帐户(而不是用户)才有权使用这些桌面池,因为用户不需要登录即可使用客户端设备或View桌面。但仍可要求用户提供身份验证凭据来访问某些应用程序。
任务型员工池
您可以为任务型员工提供标准化非固定桌面映像,让映像随时保有易懂、易于支持的配置,因此员工可以登录到任意可用桌面。
由于任务型员工需要用一套为数不多的应用程序来执行重复性任务,因此您可以为其创建非固定桌面映像来节省存储空间并降低处理要求。使用以下池设置:
nn
创建一个自动池,以便在创建池时创建桌面,或是根据池的利用率来按需生成桌面。
使用浮动分配,以便用户能登录到任意可用桌面。如果所有用户都不需要在同一时间登录,该设置就可以减少所需的桌面数量。
创建ViewComposer链接克隆桌面,以使桌面共享相同的基础映像,并减少在数据中心内使用的存储空间(相对于完整虚拟机)。
确定在用户注销时执行的操作(如果有)。磁盘容量会不断增长。为节省磁盘空间,您可以在用户注销时将桌面刷新到原始状态。也可以设置计划来定期刷新桌面。例如,安排桌面每天、每周或每月刷新一次。
n
n
32VMware,Inc.

4体系结构设计元素与规划指导原则
n
使用用户配置管理功能,以便用户始终应用首选的桌面外观和应用程序设置,就像使用Windows用户配置文件一样。如果您未将桌面设置为在注销时刷新或删除,您可以配置在注销时移除用户配置。
重要事项View用户配置管理为希望在会话期间保留设置的用户实施浮动分配池提供了便利。之前,浮动分配桌面的一个限制是:当最终用户注销时,他们会丢失其所有配置设置和存储在View桌面中的所有数据。每当最终用户登录时,其桌面背景即设置为默认壁纸,他们必须重新配置每个应用程序的首选项。使用View用户配置管理,浮动分配桌面的最终用户无法区分自身会话与专用分配桌面会话之间的差异。
知识型员工和超级用户池
知识型员工必须能够创建复杂的文档并将其保留在桌面上。超级用户则必须能够安装并保留其个人应用程序。根据所保留的个人数据的性质和数量,可以采用固定或非固定类型的桌面。
由于超级用户和知识型员工(如会计、销售经理、市场分析师)必须能够创建和保留文档及设置,因此您需要为他们创建专用分配桌面。对于不需要使用用户安装的应用程序(临时应用除外)的知识型员工,您可以创建非固定桌面映像,并将其所有个人数据保存在虚拟机以外的位置,如文件服务器或应用程序数据库中。对于其他知识型员工和超级用户,您可以为其创建固定桌面映像。使用以下池设置:
nn
使用专用分配池,以便每一个知识型员工或超级用户每次都能登录到相同的桌面。
使用用户配置管理功能,以便用户始终应用首选的桌面外观和应用程序设置,就像使用Windows用户配置文件一样。
使用vStorage精简部署,以便每一个桌面在最初都能仅使用磁盘在初始操作时所需的存储空间。对于必须安装个人应用程序、在操作系统磁盘中添加数据的超级用户和知识型员工来说,您需要为其创建完整的虚拟机桌面。
如果知识型员工不需要使用用户安装的应用程序(临时应用除外),您可以创建ViewComposer链接克隆桌面。桌面映像可以共享同一个基础映像,所需的存储空间也低于完整虚拟机。
如果您使用ViewComposer链接克隆桌面,需要实施View用户配置管理、漫游配置文件或其他配置文件管理解决方案。
通过配置永久磁盘,您可以刷新和重构链接克隆操作系统磁盘,并将每个用户配置文件的副本保存在永久磁盘上。
nn
n
n
移动用户池
这些用户可以检出View桌面,即使没有网络连接也可在其笔记本电脑或台式机上以本地方式运行桌面。ViewClientwithLocalMode为最终用户和IT管理员提供了诸多优势。对管理员而言,使用本地模式可将View安全策略扩展到以前未受管的笔记本电脑。管理员可以严格控制View桌面上运行的应用程序,并像管理远程View桌面那样集中管理桌面。采用本地模式时,VMwareView的所有优势还可以扩展到网络速度与可靠性不足的远程或分支机构。
对最终用户而言,则能够继续享有选择联机/脱机使用其个人计算机的灵活性。View桌面经过自动加密,可以轻松和数据中心内的映像进行同步,满足灾难恢复要求。
一般建议
在没用可用的网络连接时,本地模式用户可能需要从笔记本电脑访问其桌面应用程序和数据。此外,他们还可能要定期将这些数据自动备份到数据中心,以免在笔记本电脑丢失、损坏或失窃后损失数据。为提供这些功能,您可以使用以下池设置:
n
创建用于建立池的虚拟机时,配置客户操作系统所需的最低RAM容量和虚拟CPU。在本地模式下运行的桌面会根据客户端计算机提供的资源调整内存使用量和处理能力。
创建一个自动池,以便在创建池时创建桌面,或是根据池的利用率来按需生成桌面。使用专用分配,因为本地模式用户每次都要登录到相同的桌面。
nn
VMware,Inc.33

VMwareView体系结构规划指南
n
创建ViewComposer链接克隆桌面,以使桌面共享相同的基础映像,并减少在数据中心内使用的存储空间(相对于完整虚拟机)。
如果您希望在部署过程为池中的每个链接克隆生成唯一的本地计算机SIDGUID,请在创建池时选择Sysprep自定义规范。Sysprep会在最初部署期间和重构操作完成后创建新的SIDGUID。由于您不会重构本地模式池,因此SIDGUID通常会保持不变。
仅将需要在本地模式下使用的桌面加入到池中。本地模式虚拟机可放置在IOPS要求较低(相对于专门支持大量远程View桌面的存储)的数据存储中。
n
n
其他有助于减少资本支出的建议
如果您增加每台ESX/ESXi主机上的虚拟机数量,可以减少本地模式池所需的ESX/ESXi主机数量。如果大多数虚拟机没有同时开机,那么一台ESX/ESXi4.1主机最多可以托管500个虚拟机,这在本地模式池中很常见。请按照下面的建议减少每个虚拟机所需的带宽量和I/O操作,并将ESX/ESXi主机上的虚拟机数量最大化。
n
设置View策略以便最终用户只能在本地模式下使用View桌面。进行该设置时,数据中心的虚拟机将保持锁定和关机状态。
设置本地模式策略,使最终用户无法启动桌面回滚、数据备份或检入数据中心的操作。不要安排自动备份。
不要为部署或下载本地模式桌面开启SSL功能。
如果ViewConnectionServer的性能受本地桌面数量的影响,请将检测信号时间间隔设置得更长些。检测信号可以使ViewConnectionServer确定本地桌面拥有网络连接。默认间隔是5分钟。
nnnn
Kiosk用户池
Kiosk用户包括机场登机处的乘客、教室或图书馆内的学生、医疗数据录入工作站的医护人员以及自助服务点的顾客。与客户端设备关联的帐户(而不是用户)才有权使用这些桌面池,因为用户不需要登录即可使用客户端设备或View桌面。但仍可要求用户提供身份验证凭据来访问某些应用程序。
设置为在Kiosk模式中运行的View桌面采用非固定桌面映像,因为用户数据并不需要保存在操作系统磁盘中。Kiosk模式桌面用于在瘦客户端设备或固定PC中使用。您必须确保:桌面应用程序可通过身份验证机制保证交易安全、物理网络不会被篡改和偷窃,以及连接到网络的所有设备都是受信任的。
最佳实践是使用专用的ViewConnectionServer实例处理Kiosk模式的客户端,并在ActiveDirectory中为这些客户端的帐户创建专用的组织单位和组。这样不仅能防止这些系统遭受意外入侵,还会使客户端的配置和管理变得更加容易。
要设置kiosk模式,您必须使用vdmadmin命令行界面并按照VMwareView管理指南》文档中有关Kiosk模式的主题中所述内容来执行若干个操作步骤。在此设置过程中,您可以使用以下池设置:
nnn
创建一个自动池,以便在创建池时创建桌面,或是根据池的利用率来按需生成桌面。使用浮动分配,使用户能够访问池中的任何可用桌面。
创建ViewComposer链接克隆桌面,以使桌面共享相同的基础映像,并减少在数据中心内使用的存储空间(相对于完整虚拟机)。
制定刷新策略以频繁刷新桌面(如在每次用户注销时刷新)。
使用ActiveDirectoryGPO(组策略对象)配置基于位置的打印,以便桌面能够使用位置最近的打印机。有关可通过组策略管理(GroupPolicyadministrative,ADM模板实现的设置的完整列表和描述,请参阅VMwareView管理指南》文档。
如果您希望覆盖在桌面启动或将USB设备插入客户端计算机时执行的将本地USB设备连接到桌面的默认策略,可以使用GPO
nn
n
34VMware,Inc.

4体系结构设计元素与规划指导原则
桌面虚拟机配置
由于虚拟桌面所需的RAMCPU和磁盘空间具体取决于客户操作系统,因此这里分别针对WindowsXPWindowsVistaWindows7虚拟桌面提供了配置示例。
示例中的虚拟机设置(如内存、虚拟处理器数量和磁盘空间)均特定于VMwareView4-2中列出的指导原则适用于远程模式下运行的标准WindowsXP虚拟桌面。4-2适用于WindowsXP的桌面虚拟机示例
项目操作系统RAM虚拟CPU系统磁盘容量
用户数据容量(作为永久磁盘)虚拟SCSI适配器类型虚拟网络适配器
示例
32WindowsXP(具有最新服务包)1GB(下限为512MB,上限为2GB1
16GB(下限为8GB,上限为40GB5GB(起始值)
LSILogicParallel(非默认类型)可变(默认)
所需的系统磁盘空间容量取决于基础映像所需的应用程序数量。VMware曾验证过包含8GB磁盘空间的设置。其应用程序包括:MicrosoftWordExcelPowerPointAdobeReaderInternetExplorerMcAfeeAntivirusPKZIP
用户数据所需的磁盘空间取决于最终用户的角色和数据存储的组织策略。如果使用ViewComposer,此数据将保存在永久磁盘上。
4-3中列出的指导原则适用于远程模式下运行的标准WindowsVista虚拟桌面。4-3适用于WindowsVista的桌面虚拟机示例
项目操作系统RAM虚拟CPU系统磁盘容量
用户数据容量(作为永久磁盘)虚拟SCSI适配器类型虚拟网络适配器
示例
操作系统32WindowsVista(具有最新服务包)1GB1
20GB(标准)5GB(起始值)
LSILogicParallel(默认类型)VMXNET3
4-4中列出的指导原则适用于远程模式下运行的标准Windows7虚拟桌面。4-4ESX/ESXi4.1或更高版本主机上的Windows7桌面虚拟机示例
项目操作系统RAM虚拟CPU系统磁盘容量
用户数据容量(作为永久磁盘)
示例
32Windows7(具有最新服务包)1GB1
20GB(比标准值略小)5GB(起始值)
VMware,Inc.35

VMwareView体系结构规划指南
4-4ESX/ESXi4.1或更高版本主机上的Windows7桌面虚拟机示例(续)
项目
虚拟SCSI适配器类型虚拟网络适配器
示例
LSILogicSAS(默认类型)
VMXNET3
(要使用该适配器,必须安装Microsoft修补程序,Windows7SP1的修补程序下载地址为
http://support.microsoft.com/kb/2550978,先前版本的修补程序下载地址为http://support.microsoft.com/kb/2344941。)
vCenterViewComposer虚拟机配置与桌面池上限
您可以将vCenterServerViewComposer安装在同一个虚拟机上。由于该虚拟机本身是一台服务器,因此与桌面虚拟机相比,它需要更多内存和更强的处理能力。
使用vSphere4.1或更高版本时,ViewComposer最多可以在每个池中创建和部署1000个桌面。另外,ViewComposer还能同时在1,000个桌面上执行重构操作。桌面池的大小受以下因素的限制:
nnnn
每个桌面池仅可包含一个ESX/ESXi群集。
每个ESX/ESXi群集可包含的ESX/ESXi主机不超过8个。每个CPU内核具有可用于810个虚拟桌面的计算容量。
子网可用的IP地址数量会限制池中桌面的数量。例如,如果在您的网络设置中,池中子网仅包含256个可IP地址,则池的大小将被限制为256个桌面。
您可以在物理机上安装vCenterServerViewComposer,此处选取虚拟机作为示例,该虚拟机具有4-5中所列规格。托管该虚拟机的ESX/ESXi主机可以是VMwareHA群集的一部分,以防止物理服务器出现故障。该示例假设您使用的是VMwareViewvSphere4.1(或更高版本)及vCenterServer4.1(或更高版本)。4-5vCenterServer虚拟机示例和池的大小上限
项目操作系统RAM虚拟CPU系统磁盘容量虚拟SCSI适配器类型虚拟网络适配器
ViewComposer池的大小上限
示例
64WindowsServer2008R2Enterprise4GB240GB
LSILogicSASWindowsServer2008的默认类型)E1000(默认)1,000个桌面
重要事项VMware建议您将vCenterViewComposer连接的数据库置于单独的虚拟机上。有关数据库大小的指导信息,请参见以下网站上的《vCenterServer4.xDatabaseSizingCalculatorforMicrosoftSQLServer》(适用于MicrosoftSQLServervCenterServer4.xDatabaseSizingCalculator),网址是:http://www.vmware.com/support/vsphere4/doc/vsp_4x_db_calculator.xls
36VMware,Inc.

4体系结构设计元素与规划指导原则
ViewConnectionServer最大连接数和虚拟机配置
ViewAdministrator用户界面会随ViewConnectionServer一起安装。与vCenterServer实例相比,该服务器需要更多的内存和处理资源。
ViewConnectionServer配置
尽管您可以在物理机上安装ViewConnectionServer,但是此处选取了虚拟机作为示例,这些虚拟机具有4-6中所列规格。托管该虚拟机的ESX/ESXi主机可以是VMwareHA群集的一部分,以防止物理服务器出现故障。
4-6ConnectionServer虚拟机示例
项目操作系统RAM虚拟CPU系统磁盘容量虚拟SCSI适配器类型虚拟网络适配器1个网卡
示例
64WindowsServer2008R210GB440GB
LSILogicSASWindowsServer2008的默认类型)E1000(默认)1Gigabit
ViewConnectionServer群集设计注意事项
您可以在一个组中部署多个ViewConnectionServer副本实例来实现负载平衡和高可用性。副本实例组专为支持在连接LAN的单数据中心环境内组成群集而设计。由于组内的实例之间会产生通信流量,VMware不建议WAN中使用ViewConnectionServer副本实例组。在跨数据中心的View部署中,需要为每个数据中心创建一个单独的View部署。
ViewConnectionServer的最大连接数
4-7中提供了在VMwareView部署中测得的最大并行连接数限制信息。
该示例假设您使用的是VMwareViewvSphere4.1(或更高版本)及vCenterServer4.1(或更高版本)。另外,还假设ViewConnectionServer64位的WindowsServer2008R2Enterprise版操作系统中运行。4-7View桌面连接
每个部署中的ConnectionServer数量1ConnectionServer
连接类型
直接连接、RDPPCoIP安全加密链路连接、RDPPCoIP安全网关连接
7ConnectionServer5+2个备用)1ConnectionServer1ConnectionServer
直接连接、RDPPCoIP统一访问物理PC统一访问终端服务器
10,000100200
最大并行连接数2,000
如果使用安全服务器从企业网络外建立PCoIP连接,则需要使用PCoIP安全网关连接。如果使用安全服务器从企业网络外建立RDP连接或通过PCoIP安全网关连接获取USB和多媒体重定向(MultimediaRedirection,MMR加速功能,则需要使用安全加密链路连接。您可以将多个安全服务器与一个连接服务器进行配对。
VMware,Inc.37

VMwareView体系结构规划指南
ViewTransferServer虚拟机配置与存储
必须安装ViewTransferServer才能支持运行ViewClientwithLocalMode(之前被称为OfflineDesktop)的桌面。该服务器所需的内存要低于ViewConnectionServer
ViewTransferServer配置
您必须将ViewTransferServer安装在虚拟机(而不是物理机)上,而且该虚拟机必须由与管理本地桌面相同vCenterServer实例管理。4-8列出了适用于ViewTransferServer实例的虚拟机规范。4-8ViewTransferServer虚拟机示例
项目操作系统RAM虚拟CPU系统磁盘容量虚拟SCSI适配器类型虚拟网络适配器1个网卡
示例
64WindowsServer2008R24GB220GB
LSILogicParallel(并不是默认的SASE1000(默认)1Gigabit
ViewTransferServer的存储和带宽要求
有些操作需要用ViewTransferServervCenterServerView桌面和客户端系统中相应的本地桌面之间发送数据。当用户检入或检出桌面时,ViewTransferServer将在数据中心和本地桌面之间传输文件。ViewTransferServer会将用户做出的更改复制到数据中心,以使本地桌面与数据中心对应的桌面同步。
如果为本地桌面使用ViewComposer链接克隆,您配置TransferServer存储库的磁盘驱动器必须具有足够的空间来存储静态映像文件。映像文件为ViewComposer基础映像。网络存储磁盘运行速度越快,性能就越好。有关确定基础映像文件大小的信息,请参见VMwareView管理指南》文档。
虽然网络带宽可能在数量较少时就会达到饱和,但理论上每个TransferServer实例可以容纳60个并发磁盘操作。VMware通过每秒1GB的网络连接测试了20个并发磁盘操作,如20个客户端同时下载一个本地桌面。
vSphere群集
VMwareView部署中,可使用VMwareHA群集来防止物理服务器出现故障。由于ViewComposer的限制,群集中的服务器或节点数不能超过8个。
VMwarevSpherevCenter为管理托管View桌面的服务器群集提供了一组丰富的功能。另外,群集的配置也很重要,因为每个View桌面池都必须与一个vCenter资源池相关联。因此,每个池中能容纳的最大桌面数量与您计划在每个群集中运行的服务器和虚拟机的数量有关。
在大型VMwareView部署中,可以通过在每个数据中心对象中仅包含一个群集对象(非默认行为)来提高vCenter的性能和响应能力。默认情况下,VMwarevCenter会在同一个数据中心对象中新建群集。
确定高可用性的要求
VMwarevSphere通过强大的效率和资源管理支持,为您提供业界领先的服务器虚拟机。但增加单台服务器的虚拟机密度后,一台服务器产生的故障也将影响更多的用户。
具体的高可用性要求将因桌面池用途的不同而存在很大差异。例如,非固定桌面映像(浮动分配)池与固定桌面映像(专用分配)池的恢复点目标(RecoveryPointObjective,RPO要求可能会有所不同。对于浮动分配池,如果用户使用的桌面不再可用,可以尝试让他们登录不同的桌面。
38VMware,Inc.

4体系结构设计元素与规划指导原则
如果可用性要求很高,就必须对VMwareHA进行适当配置。如果您使用了VMwareHA并计划为每台服务器部署固定数量的桌面,请以较低的容量运行每台服务器。如果服务器出现故障,则在其他主机上重新启动桌面时,每台服务器中桌面的容量不会超出限制。
例如,在一个包含8台主机的群集中,每台主机都能够运行128个桌面,如果以容许单台服务器出现故障为目标,则需要确保群集中运行的桌面数量不能超过128*(8-1=896个。您也可以使用VMwareDRS(DistributedResourceScheduler来平衡8台主机中的桌面。这样,您可以充分利用额外的服务器容量,而不会闲置任何热备用资源。此外,DRS还能在故障服务器恢复运行后重新平衡群集。
您还必须确保对存储进行适当配置,使其支持大量虚拟机为响应服务器故障而立即重新启动时产生的I/O负载。存储IOPS是影响服务器出现故障后桌面恢复速度的最重要因素。
示例:群集配置示例
4-9中列出的设置是特定于VMwareView的设置。有关vSphereHA群集限制的信息,请参见《VMwarevSphereConfigurationMaximums》(VMwarevSphere配置上限)文档。4-9HA群集示例
项目
节点(ESX/ESXi主机)群集类型网络组件交换机端口
示例
8(包括1个热备用)
DRS(DistributedResourceScheduler/HA标准ESX/ESXi4.1群集网络80
网络要求具体取决于服务器类型、网络适配器数量和vMotion的配置方式。
VMwareView构建基块
一个支持2000个用户的构建基块由物理机、VMwarevSphere基础架构、VMwareView服务器、共享存储2000个虚拟机桌面组成。一个View容器中最多可包含五个构建基块。4-10基于LANView构建基块示例
项目vSphere群集80端口网络交换机共享存储系统
带有ViewComposervCenterServer数据库VLAN
示例
2个或更多(每个群集最多包含8ESX/ESXi主机)11
1(可在基块内运行)
MSSQLServerOracle数据库服务器(可在基块内运行)3(均为1Gbit以太网网络:管理网络、存储网络和vMotion网络)
借助vCenter4.15.0(在每个vCenterServer中最多能部署10000个虚拟机),您可以拥有包含超过2000View桌面的构建基块。在本文档撰写期间,VMware尚未结合VMwareView来验证此方法。将vCenterServer4.15.0VMwareView一起测试时限制在一个vCenterServer中测试2000个虚拟桌面。如果您的容器中只有一个构建基块,请使用两个ViewConnectionServer实例来增加冗余。
VMware,Inc.39

VMwareView体系结构规划指南
4-1VMwareView构建基块的组件
2000个用户
共享存储
8台主机8台主机
2VMwareESX群集
VMwarevCenterServer
View体系结构的共享存储
存储设计问题是View体系结构中的一个最关键要素。是否使用ViewComposer桌面(使用链接克隆技术)将对体系结构产生极大的影响。
VMwarevSphere可以使用的外部存储系统包括光纤通道或iSCSISAN(存储区域网络)、NFS(网络文件系统)或NAS(网络连接存储)。ESX/ESXi二进制文件、虚拟机交换文件和父虚拟机的ViewComposer副本都存储在该系统上。
从体系结构角度看,ViewComposer可以创建共享基础映像的桌面映像,将存储要求降低50%甚至更多。通过设置刷新策略使桌面定期返回原始状态,并回收自上一次刷新操作后用于跟踪更改的空间,可以进一步降低存储要求。
ViewComposer永久磁盘或共享文件服务器作为用户配置文件和用户文档的主存储库,还可以降低操作系统磁盘空间。ViewComposer能帮您将用户数据从操作系统中分开,您只需备份或复制永久磁盘即可,这也会进一步降低存储要求。有关更多信息,请参阅24页,“使用ViewComposer降低存储要求”
注意您可以在试运行期间作出有关专用存储组件的最佳决策。要考虑的主要问题是每秒的I/O次数(IOPS您可以试验分层存储策略,最大限度提高性能并节约成本。
有关更多信息,请参阅名为《StorageConsiderationsforVMwareView》(VMwareView的存储注意事项)的最佳实践指南。
存储带宽问题
尽管很多因素都对支持VMwareView环境的存储系统的设计具有重要的作用,但从服务器配置的角度来看,规划合适的存储带宽才是最重要的问题。另外,您还必须考虑端口整合硬件产生的影响。
VMwareView环境中有时会出现I/O风暴负载,此时所有虚拟机都会同时执行活动。防病毒软件或软件更新代理等基于客户机的代理可触发I/O风暴;人为行为(如所有员工都在早上同一时段登录)也可以触发I/O风暴。您可以通过最佳操作实践(如交错更新不同虚拟机)最大程度地减少这些风暴工作负载。另外,您也可以在试运行阶段测试各种注销策略,以确定用户注销时暂停或关闭虚拟机是否会导致I/O风暴。将ViewComposer副本存储在单独的高性能数据存储中,可加快大量并发读取操作的速度,从而应对I/O风暴负载问题。除确定最佳实践外,VMware还建议您为每100个虚拟机提供1Gbps的带宽,即使平均带宽可能低于这个数值的1/10。这样的保守规划可确保在峰值负载期间能够获得足够的存储连接。
40VMware,Inc.

4体系结构设计元素与规划指导原则
网络带宽问题
在显示流量方面,有很多影响网络带宽的因素,如所用协议、显示器分辨率和配置,以及工作负载中多媒体内容所占的比重。并发启动经过流式处理的应用程序也可能导致出现利用率峰值。
由于这些问题产生的影响有很大差异,因此很多企业都将监视带宽消耗作为试运行项目的一部分。在试运行开始时,为一般知识型员工规划150200Kbps的带宽容量。
使用PCoIP显示协议时,如果您的企业LAN带宽是100Mb1Gb交换网络,那么在以下情况中,您的最终用户可以获得最佳性能:
nnnnnn
两台显示器(1920x1080
大量使用MicrosoftOffice应用程序大量浏览嵌入FlashWeb内容经常进行多媒体应用,不常使用全屏模式经常使用基于USB的外围设备基于网络的打印
上述信息摘自名为《PCoIPDisplayProtocol:InformationandScenario-BasedNetworkSizingGuide》(PCoIP显示协议:基于信息和场景的网络调整指南)的信息指南。
可对PCoIP执行的优化控制
如果采用VMwarePCoIP显示协议,可以对诸多影响网络带宽使用的因素进行调整。
n
您可以在WindowsLinux客户端系统中调整图像缓存的大小,调整范围为50MB300MB。图像缓存减少了必须重传的显示数据量。
您可以配置网络拥挤时使用的图像质量级别和帧速率。质量级别设置允许您限制显示图像更改区域的初始质量。无变化的图像区域会逐渐以无损(完美)质量呈现。您可以对帧速率进行调整,调整范围是每秒1帧至120帧。
该项控制对无需进行更新的静态屏幕内容和仅有部分内容需要刷新的情况非常有效。
n
nn
如果不打算循序渐进地呈现完美质量(无损),而选择构建感知型无损质量,您可以关闭无损构建功能。您可以控制会话协商期间PCoIP终端播发的加密算法。默认情况下,Salsa20-256round12AES-128-GCM算法均可使用。
关于会话带宽,您可以配置最大带宽(单位为kbps)以符合网络连接的类型,如4Mbit/sInternet连接。此带宽包括所有图像、音频、虚拟通道、USB以及控制PCoIP流量。
您也可以配置为会话预留的带宽下限(单位为kbps),这样用户无需等待带宽变得可用。您可以指定PCoIP会话的UDP数据包的最大传输单元(MaximumTransmissionUnit,MTU大小,范围为5001500字节。
n
n您可以指定PCoIP会话中音频(声音播放)可用的最大带宽。
WAN支持与PCoIP
对于广域网(Wide-AreaNetwork,WAN,您必须考虑带宽限制和延迟问题。VMware提供的PCoIP显示协议可适应各种延迟和带宽条件。
如果您采用RDP显示协议,则必须使用WAN优化产品为分支机构或小型企业的用户加速应用程序。采用PCoIP时,许多WAN优化技术会内置到基础协议中。
n
WAN优化对基于TCP的协议(如RDP协议)非常重要,因为这些协议需要在客户端和服务器之间进行多次握手。这些握手可能会产生非常大的延迟。WAN加速器可以“伪造”握手回复,从而在协议中隐藏网络延迟。由于PCoIP是基于UDP的协议,因此无需使用这种WAN加速。
VMware,Inc.41

VMwareView体系结构规划指南
n
WAN加速器还能压缩客户端和服务器之间的网络流量,但压缩比率通常只能达到2:1PCoIP最多能够将图像和音频内容压缩到原来的1/100
View5中引入了用于调整PCoIP带宽使用方式的控制,有关这些控制的信息,请参阅41页,“可对PCoIP执行的优化控制”
以下示例展示了PCoIP在各类WAN情形中的性能:在家办公
使用专用电缆或DSL连接,48MB的下载带宽,延迟低于300毫秒,在下列条件下可获得出色的网络性能:
nnnnn
两台显示器(1920x1080MicrosoftOffice应用程序偶尔浏览嵌入FlashWeb内容定期访问多媒体内容
偶尔使用本地连接的USB打印机
移动用户
使用专用3G连接,5500Kb的下载带宽,延迟低于300毫秒,在下列条件下可获得足够的带宽和尚可接受的网络延迟:
nnnn
单个显示器
MicrosoftOffice应用程序偶尔浏览嵌入FlashWeb内容偶尔使用本地连接的USB打印机
建议移动用户使用本地应用程序访问多媒体内容。
分支或远程机构
为每1Mb带宽规划3个并发活动用户。办公室用户,基于UDP20Mb专用站到站VPN,延迟低于200毫秒,在下列条件下可获得尚可接受的网络性能:
nnnn
两台显示器(1920x1080MicrosoftOffice应用程序偶尔浏览嵌入FlashWeb内容偶尔使用本地连接的USB打印机
上述信息摘自名为《PCoIPDisplayProtocol:InformationandScenario-BasedNetworkSizingGuide》(PCoIP显示协议:基于信息和场景的网络调整指南)的信息指南。
VMwareView容器
一个VMwareView容器可以将五个包含2,000个用户的构建基块集成为一个ViewManager安装实体,您可以轻松对其进行管理。
容器一个是由VMwareView可扩展性限制决定的组织单元。4-11中列出了View容器中的组件。4-11VMwareView容器示例
项目
View构建基块
ViewConnectionServer10Gb以太网模块模块化网络交换机
数量/容量5
7(每个构建基块1个,另有2个备用)11
42VMware,Inc.

4体系结构设计元素与规划指导原则
4-11VMwareView容器示例(续)
项目负载平衡模块用于WANVPN
数量/容量11(可选)
网络核心跨ViewConnectionServer实例对入站请求进行负载平衡。支持冗余和故障切换机制(通常在网络级别)可避免负载平衡程序成为单点故障。例如,虚拟路由器冗余协议(VirtualRouterRedundancyProtocol,VRRP可与负载平衡程序进行通信,以添加冗余和故障切换功能。
如果ViewConnectionServer实例在活动会话期间出现故障或没有响应,用户不会丢失数据。桌面状态将被保存在虚拟机桌面内,因此用户可以连接其他ViewConnectionServer实例,并恢复到桌面会话发生故障时的状态。
4-2显示了所有组件如何集成到一个可管理实体。4-2包含10,000View桌面的容器图
VMwareView
构建基块
交换网络
每个交换网络均与各个ViewConnectionServer相连接
VMwareViewConnectionServer
负载平衡
网络核心
VMware,Inc.43

VMwareView体系结构规划指南
44VMware,Inc.

安全功能规划
5
VMwareView为敏感的企业数据提供了强大的网络安全保障。如果要进一步提高安全性,您可以将VMwareView与特定的第三方用户身份验证解决方案进行集成、使用安全服务器和实施受限制的授权功能。本章讨论了以下主题:
nnnnnnnn
45页,“了解客户端连接”47页,“选择用户身份验证方法”49页,“限制View桌面访问”
50页,“使用组策略设置保护View桌面”51页,“实施最佳实践来保护客户端系统”51页,“分配管理员角色”51页,“准备使用安全服务器”55页,“了解VMwareView通信协议”
了解客户端连接
ViewClientViewAdministrator通过安全HTTPS连接与ViewConnectionServer主机通信。
用于用户身份验证和View桌面选择的初始ViewClient连接在用户打开ViewClient并提供ViewConnectionServer或安全服务器主机的IP地址或域名时创建。ViewAdministrator连接则在管理员在Web浏览器中键ViewAdministratorURL时创建。
默认的服务器SSL证书是在您安装ViewConnectionServer时生成的。默认情况下,当客户端访问ViewAdministrator等安全页面时,系统会向客户端提供该证书。
您可以使用默认证书进行测试,但应当尽快将其替换为您自己的证书。默认证书不是由商业证书颁发机构(CA签发的。如果使用未经认证的证书,不受信任的第三方将有可能伪装成您的服务器并截获流量。
n
使用PCoIP安全网关的客户端连接46页,
客户端使用VMwarePCoIP显示协议连接View桌面时,ViewClient可与ViewConnectionServer实例或安全服务器上的PCoIP安全网关组件建立第二条连接。通过Internet访问View桌面时,此连接可提供所需的安全级别和连接性能。
n采用MicrosoftRDP的安全加密链路客户端连接46页,
当用户通过MicrosoftRDP显示协议连接到View桌面时,ViewClient会建立指向ViewConnectionServer主机的第二条HTTPS连接。此连接提供了一条传送RDP数据的安全加密链路,因此称作安全加密链路连接。
VMware,Inc.45

VMwareView体系结构规划指南
n直接客户端连接47页,
管理员可以对ViewConnectionServer进行配置,以便绕过ViewConnectionServer主机,直接在客户端系统和View桌面虚拟机之间建立View桌面会话。这种连接类型称为直接客户端连接。
nViewClientwithLocalMode客户端连接47页,
ViewClientwithLocalMode允许移动用户将View桌面检出到本地计算机。
使用PCoIP安全网关的客户端连接
客户端使用VMwarePCoIP显示协议连接View桌面时,ViewClient可与ViewConnectionServer实例或安全服务器上的PCoIP安全网关组件建立第二条连接。通过Internet访问View桌面时,此连接可提供所需的安全级别和连接性能。
View4.6开始,安全服务器中包含一个PCoIP安全网关组件。PCoIP安全网关连接提供以下优势:
nnn
唯一能够访问企业数据中心的远程桌面流量是通过严格验证的用户产生的流量。用户只能访问被授权访问的桌面资源。
此连接支持PCoIPPCoIP是一种高级远程桌面协议,它通过封装UDP而不是TCP中的视频显示数据包来有效利用网络。
PCoIP使用AES-128进行加密保护。
只要PCoIP不被任何网络组件阻止,就不再需要VPN连接。例如,试图从宾馆房间访问View桌面的人员会发现,宾馆所用的代理未被配置为允许TCP端口4172上的入站流量,以及UDP端口4172上的出入站流量。
有关更多信息,请参阅54页,“基于DMZ的安全服务器的防火墙规则”
nn
支持PCoIP的安全服务器在WindowsServer2008R2上运行,并可充分利用64位体系结构。此安全服务器还可以利用支持AES新指令(AESNewInstructions,AESNIIntel处理器的功能,从而高度优化PCoIP加密和解密性能。
采用MicrosoftRDP的安全加密链路客户端连接
当用户通过MicrosoftRDP显示协议连接到View桌面时,ViewClient会建立指向ViewConnectionServer主机的第二条HTTPS连接。此连接提供了一条传送RDP数据的安全加密链路,因此称作安全加密链路连接。安全加密链路连接具有以下优势:
n
RDP数据可通过HTTPS在安全加密链路中传输,并且使用SSL进行加密。这种强大的安全协议与其他安全网站提供的安全性功能(如网上银行和信用卡支付所使用的安全性功能)相同。一个客户端可以通过一个HTTPS连接访问多个桌面,降低了整体协议开销。
由于VMwareView可管理HTTPS连接,因此显著提高了底层协议的可靠性。如果用户临时失去网络连接,HTTP连接将在网络连接恢复后重新建立,RDP连接也会自动恢复,用户不必再重新连接并登录。
nn
ViewConnectionServer实例的标准部署中,HTTPS安全连接的终点为ViewConnectionServer。在DMZ部署中,HTTPS安全连接的终点为安全服务器。请参阅51页,“准备使用安全服务器”获取有关DMZ部署和安全服务器的信息。
使用PCoIP显示协议的客户端可以使用加密链路连接传输USB重定向和多媒体重定向(MMR加速功能所产生的流量,但对于其他数据,PCoIP使用安全服务器上的PCoIP安全网关。有关更多信息,请参阅46页,“使PCoIP安全网关的客户端连接”
46VMware,Inc.

5安全功能规划
直接客户端连接
管理员可以对ViewConnectionServer进行配置,以便绕过ViewConnectionServer主机,直接在客户端系统和View桌面虚拟机之间建立View桌面会话。这种连接类型称为直接客户端连接。
采用直接客户端连接时,客户端和ViewConnectionServer主机之间仍然会建立HTTPS连接,以供用户进行身份验证和选择View桌面,但不会使用第二条HTTPS连接(安全加密链路连接)。直接PCoIP连接具有以下内置安全功能:
nnn
PCoIP支持高级加密标准(AdvancedEncryptionStandard,AES加密(默认启用)。PCoIP的硬件实施过程使用AESIPSecurity(IPsecPCoIP可与第三方VPN客户端配合使用。
对于采用MicrosoftRDP显示协议的客户端,直接客户端连接仅适用于企业网络内部的部署环境。采用直接客户端连接时,RDP流量通过客户端和View桌面虚拟机之间的连接发送时未加密。
ViewClientwithLocalMode客户端连接
ViewClientwithLocalMode允许移动用户将View桌面检出到本地计算机。
LAN中传输数据时,ViewClientwithLocalMode支持安全加密链路通信和非安全加密链路通信。在安全加密链路通信中,所有流量都要通过ViewConnectionServer主机进行路由,您可以指定是否对通信和数据传输进行加密。而在非安全加密链路通信中,数据会在客户端系统的本地桌面和vCenterServerView桌面虚拟机之间直接传输,不经过任何加密。
无论您配置安全加密链路通信还是非安全加密链路通信,用户计算机上的本地数据都经过加密。
存储在本地客户端系统上的数据磁盘使用默认的AES-128加密强度进行加密。加密密钥经过加密后存储在客户端系统上,其中一位密钥派生自用户凭据(用户名和密码或智能卡和PIN码)。在服务器端,密钥存储在ViewLDAP中。任何用于保护服务器上的ViewLDAP的安全措施都可以保护存储在LDAP中的本地模式加密密钥。注意您可以将加密密钥密码从AES-128更改为AES-192AES-256
桌面的生命周期会通过策略加以控制。如果客户端与ViewConnectionServer失去连接,与服务器断开连接的最长时间就是用户访问被拒绝之前可以继续使用桌面的时间。在客户端侧,此过期策略存储在采用应用程序内置密钥加密的文件中。此内置密钥可防止拥有密码访问权限的用户规避此过期策略。
选择用户身份验证方法
VMwareView使用您现有的ActiveDirectory基础架构进行用户身份验证和管理。为了进一步增强安全性,您可以将VMwareViewRSASecurID和智能卡身份验证解决方案进行集成。
n
ActiveDirectory身份验证48页,
每个ViewConnectionServer实例都加入到ActiveDirectory域中,用户可以通过所加入域的ActiveDirectory进行身份验证。用户还可以通过与之存在信任协议的其他用户域来进行身份验证。
nRSASecurID身份验证48页,
RSASecurID通过双因素身份验证增强了安全性,进行双因素身份验证需要知道用户PIN和令牌代码。令牌代码只能从物理SecurID令牌上获取。
n智能卡身份验证48页,
智能卡是一种嵌入计算机芯片的小型塑料卡。很多政府机构和大型企业都利用智能卡来验证其计算机网络来访用户的身份。智能卡也称为通用存取卡(CommonAccessCard,CAC
VMware,Inc.47

VMwareView体系结构规划指南
n使用“作为当前用户登录”功能49页,
ViewClient用户选择[Loginascurrentuser(作为当前用户登录)]复选框时,用户登录客户端系统时提供的凭据将被用于ViewConnectionServer实例和View桌面的身份验证。无需进行其他用户身份验证。
ActiveDirectory身份验证
每个ViewConnectionServer实例都加入到ActiveDirectory域中,用户可以通过所加入域的ActiveDirectory进行身份验证。用户还可以通过与之存在信任协议的其他用户域来进行身份验证。
例如,如果ViewConnectionServer实例是域A的成员,域A和域B之间存在信任关系,那么域A和域B的用户都可以通过ViewClient连接到ViewConnectionServer实例。
同样,如果某个混合域环境内的域AMITKerberos领域之间存在信任协议,那么Kerberos领域中用户可以在通过ViewClient连接ViewConnectionServer实例时选择Kerberos领域名。
ViewConnectionServer会从主机所在的域开始遍历信任关系,以确定可以访问哪些域。对于一组连接良好的小型域,ViewConnectionServer能够快速确定完整的域列表,但随着域数量的不断增多或域之间连接能力的逐渐降低,确定完整域列表所需的时间也会随之增加。另外,该列表还可能包含您不希望用户在登录桌面时为其提供的域。
管理员可以使用vdmadmin命令行界面来配置域的过滤,从而限制ViewConnectionServer实例能够搜索并向用户显示的域。有关更多信息,请参阅VMwareView管理指南》文档。
限时登录和设置密码有效期这样的策略也是通过现有ActiveDirectory操作过程来处理的。
RSASecurID身份验证
RSASecurID通过双因素身份验证增强了安全性,进行双因素身份验证需要知道用户PIN和令牌代码。令牌代码只能从物理SecurID令牌上获取。
通过在ViewConnectionServer主机上安装RSASecurID软件并修改ViewConnectionServer设置,管理员可以在单个ViewConnectionServer实例上启用RSASecurID身份验证。
当用户通过启用RSASecurID身份验证的ViewConnectionServer实例登录时,首先需要验证他们的RSA户名和通行码。如果他们未通过这个级别的身份验证,访问将被拒绝。如果成功通过RSASecurID身份验证,他们就可以继续正常访问,系统随后会要求输入ActiveDirectory凭据。
如果有多个ViewConnectionServer实例,则可以在一些实例上配置RSASecurID身份验证,在另一些实例上配置其他的用户身份验证方式。例如,您可以仅为那些通过Internet远程访问View桌面的用户配置RSASecurID身份验证。
VMwareView通过了RSASecurIDReady程序的认证,支持各种SecurID功能,包括新建PIN模式、下一个令牌代码模式、RSAAuthenticationManager以及负载平衡等。
智能卡身份验证
智能卡是一种嵌入计算机芯片的小型塑料卡。很多政府机构和大型企业都利用智能卡来验证其计算机网络来访用户的身份。智能卡也称为通用存取卡(CommonAccessCard,CAC
只有基于WindowsViewClientViewClientwithLocalMode才支持智能卡身份验证。ViewAdministrator不支持此功能。
管理员可以为单个ViewConnectionServer实例启用智能卡身份验证。为ViewConnectionServer实例启用智能卡身份验证时,通常涉及将根证书添加到信任存储区文件,然后再修改ViewConnectionServer设置。采用智能卡身份验证的客户端连接必须启用SSL。管理员可以通过在ViewAdministrator中设置全局参数来为客户端连接启用SSL
48VMware,Inc.

5安全功能规划
要使用智能卡,客户端计算机必须具有智能卡中间件和智能卡读卡器。要在智能卡上安装证书,您必须将一台计算机设置为注册站点。
要通过本地桌面使用智能卡,您必须在智能卡注册过程中选择1024位或2048位密钥大小。本地桌面不支持带512位密钥的证书。默认情况下,当用户检入和检出本地桌面时,ViewConnectionServer使用AES-128虚拟磁盘文件进行加密。您可以将加密密钥密码更改为AES-192AES-256
使用“作为当前用户登录”功能
ViewClient用户选择[Loginascurrentuser(作为当前用户登录)]复选框时,用户登录客户端系统时提供的凭据将被用于ViewConnectionServer实例和View桌面的身份验证。无需进行其他用户身份验证。为支持此功能,用户凭据应存储在ViewConnectionServer实例和客户端系统中。
n
ViewConnectionServer实例中,用户凭据经过加密并与用户名、域和可选UPN一同存储在用户会话中。这些凭据会在进行身份验证时添加,并在会话对象被破坏时清除。用户注销、会话超时或身份验证失败时,会话对象都会被破坏。会话对象位于易失性内存中,而不是存储在ViewLDAP或磁盘文件中。在客户端系统中,用户凭据经过加密存储在AuthenticationPackageViewClient的一个组件)的一个表中。用户登录时这些凭据会被添加到表中,用户注销时则会从表中移除。该表位于易失性内存中。
n
管理员可以用ViewClient组策略设置控制[Loginascurrentuser(作为当前用户登录)]复选框的可用性以及指定其默认值。管理员还可以用组策略指定当用户在ViewClient中选择[Loginascurrentuser(作为当前用户登录)]复选框时,由哪个ViewConnectionServer实例接受传送的用户身份和凭据信息。“作为当前用户登录”功能存在以下限制和要求:
n
如果ViewConnectionServer实例中的智能卡身份验证设置为[Required(需要)],选择了[Loginascurrentuser(作为当前用户登录)]复选框的智能卡用户登录View桌面时必须再次用智能卡和PIN码进行身份验证。
如果用户在登录时选中[Loginascurrentuser(作为当前用户登录)]复选框,则将无法检出桌面以在本地模式下使用。
客户端登录的系统上的时间必须与ViewConnectionServer主机上的时间同步。
如果在客户端系统上修改默认的[Accessthiscomputerfromthenetwork(通过网络访问此计算机)]户权限分配,则必须按照VMware知识库(KB文章1025691的描述进行修改。
客户端计算机必须能够与企业ActiveDirectory服务器通信,并且不能使用缓存凭据进行身份验证。例如,如果用户从企业网络外部登录到客户端计算机,缓存凭据将用于身份验证。如果用户试图在不提前建VPN连接的情况下连接到安全服务器或ViewConnectionServer实例,系统会提示用户提供凭据,并且“作为当前用户登录”功能将无法工作。
n
nn
n
限制View桌面访问
您可以使用受限制的授权功能,根据用户连接的ViewConnectionServer实例限制View桌面访问。使用受限制的授权功能,您可以为一个ViewConnectionServer实例分配一个或多个标签。在之后配置桌面池时,您可以选择希望其能够访问桌面池的ViewConnectionServer实例的标签。当用户通过带标签的ViewConnectionServer实例登录时,他们只可以访问那些没有标签或至少有一个匹配标签的桌面池。
例如,您的VMwareView部署中可能包含两个ViewConnectionServer实例。其中一个实例用于支持内部用户。另一个实例则与安全服务器配对,用于支持您的外部用户。为防止外部用户访问特定桌面,您可以采用以下操作设置受限制的授权:
nnn
将“内部”标签分配给支持内部用户的ViewConnectionServer实例。
将“外部”标签分配给与安全服务器配对并支持外部用户的ViewConnectionServer实例。将“内部”标签分配给仅供内部用户访问的桌面池。
VMware,Inc.49

VMwareView体系结构规划指南
n将“外部”标签分配给仅供外部用户访问的桌面池。
外部用户无法看到带有“内部”标签的桌面池,因为他们是通过带有“外部”标签的ViewConnectionServer登录的;而内部用户无法看到带有“外部”标签的桌面池,因为他们是通过带有“内部”标签的ViewConnectionServer登录的。5-1显示了此配置。5-1受限制的授权示例
远程ViewClient
外部网络
DMZ
ViewSecurityServer
本地ViewClient
ViewConnectionServer标签:外部ViewConnectionServer标签:内部
VMVM
VMVM
VMVM
VMVM
桌面池A标签:外部桌面池B标签:内部
您也可以使用受限制的授权功能,根据您为特定ViewConnectionServer实例配置的用户身份验证方法控制桌面访问。例如,您可以仅允许经过智能卡身份验证的用户使用特定的桌面池。
受限制的授权功能只能强制执行标签匹配。您必须设计网络拓扑结构以强制特定的客户端通过特定的ViewConnectionServer实例进行连接。
使用组策略设置保护View桌面
VMwareView中包含组策略管理(ADM模板,您可以使用其安全相关组策略设置来保护您的View桌面。例如,您可以使用组策略设置执行以下任务:
n
指定当用户在ViewClient中选择作为当前用户登录复选框时,由哪个ViewConnectionServer实例接受传送的用户身份和凭据信息。
ViewClient中的智能卡身份验证启用单点登录功能。配置ViewClient中的服务器SSL证书检查。防止用户通过ViewClient命令行选项提供凭据信息。
防止非ViewClient系统使用RDP连接到View桌面。您可以设置此策略,使连接必须由View管理,这意味着用户必须使用ViewClient连接View桌面。
nnnn
有关使用ViewClient组策略设置的信息,请参阅VMwareView管理指南》文档。
50VMware,Inc.

本文来源:https://www.2haoxitong.net/k/doc/8137dfe9551810a6f5248638.html

《VMware View 5.0 体系结构规划指南.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式

相关推荐

推荐内容

描写舞蹈的词语 都市言情经典励志小说排名 2010年10月江苏自学考试《绩效管理》试卷 物联网状态下的烟草商业物流配送体系 上海牛津英语6A Unit 6 测验 词汇和语法部分 2013年全国各地中考语文真题分类汇编:语病+标点(56道题)(之一)t Word 文档 行政区划改革的新构想 电影《白日焰火》的视觉符号解读 《卜算子 咏梅》练习 《上吏部侍郎帝京篇》骆宾王唐诗全诗赏析
网站内容来自网络,如有侵权请联系我们,立即删除! Copyright © 范文写作网京ICP备16605803号