方案背景
企业根据业务发展与IT管理需要,采用Citrix XenDesktop虚拟桌面解决方案,为内部用户提供桌面服务,实现支持多种终端设备的桌面服务支持和移动办公,并安全访问控制及远程访问控制。
通过性能监控工具监控 XenDesktop 管理服务器、虚拟桌面、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及 License管理等等。
通过性能监控工具,管理人员不仅可以追踪用户对应用软件的使用情况,提前预知系统的性能问题,并且保存数据,以供分析和产生报表。
方案目标
通过Citrix XenDesktop虚拟桌面方案,为用户提供2种不同类型的虚拟桌面服务,实现多种终端设备的内部网络访问与外部网络远程访问,而且符合企业的安全管理规定。
采用Citrix XenDesktop虚拟桌面解决提供的桌面服务,最终达到如下效果:
Ø 提供2种不同类型的Windows 7虚拟桌面:一为能实现个性化的专有虚拟桌面50台,二为通过PVS提供的统一标准镜像虚拟桌面20台。
Ø 用户所需应用通过Citrix XenApp虚拟应用解决方案集成提供。
Ø 虚拟桌面支持多种终端设备,比如PC、瘦客户机、智能终端设备等。
Ø 虚拟桌面支持内部网络用户访问与外部网络用户远程访问。
Ø 实现虚拟桌面系统的高可用性与可扩展性。
Ø 实现虚拟桌面的性能监控。
Ø 实现一定的灾难恢复系统。
技术方案
虚拟桌CitrixXenDesktop可提供一种端到端的桌面交付解决方案。可动态按需产生虚拟桌面,用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。此外,XenDesktop采用的高速交付协议还可在任何网络条件下提供无与伦比的响应速度。对于IT机构而言,XenDesktop可通过分别交付桌面操作系统、应用和用户设置,大大简化桌面生命周期管理并显著降低拥有成本。
Citrix XenDesktop可为任意地点的用户按需交付桌面,同时显著简化生命周期管理。它可提供一种端到端的桌面交付解决方案,为最终用户加速交付桌面,提供更强大的数据保护和监控,并降低高达40%的拥有成本。
采用桌面虚拟化技术可以在数据中心集中化管理桌面,还可轻松实现安全防护及备份。然而,经常出现的同一生命周期管理问题依然存在——IT部门仍需对每个虚拟桌面镜像及其所安装的应用程序和用户设置进行管理、维护和更新。另外,桌面虚拟化还会带来新的挑战——尤其是会使用户的网络性能大大降低,使每位用户的桌面镜像网络存储成本大大增加。
通过CitrixXenDesktop发布平台实现虚拟桌面的集中发布和管控,合法授权的访问用户通过基于Web技术的浏览器(如InternetExplorer,IE),登陆系统门户后,就可以对虚拟桌面进行方便、快速、安全的业务操作,实现对虚拟桌面的统一使用。
Citrxi XenDesktop虚拟桌面解决方案采用Citrix虚拟化技术,该技术的核心为ICA协议,ICA协议连接了运行在虚拟化平台上的应用客户端或虚拟桌面运行环境和远端终端设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用或虚拟桌面运行环境的输入输出数据重新定向到远端终端设备的输入输出设备上,因此虽然应用客户端软件或虚拟桌面并没有运行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件或桌面相比,没有感觉任何操作上的改变。
图1 ICA协议
Citrix虚拟化交付技术原理示意图如下:
图2 Citrix虚拟化交付技术原理示意图
Citrix ICA协议是一种高效率的数据交换协议,采用了数据压缩、加密和连接优化技术,每一个用户的连接只占用少量的网络带宽,而实际运行的客户端软件位于后台的局域网内,因此终端用户相当于用少量的网络带宽就可以享受到局域网内的运行速度。如系统客户端和服务器之间有大量的数据交互,使用Citrix集中模式可以有效地降低数据传输,大大提高整体性能。
同时ICA协议可以分别针对单独的虚拟通道进行控制,这样为用户的访问和使用带来了细粒度的控制。比如如果控制用户不许通过打印机把信息打印出来,只需中断ICA连接中的打印机通道即可。
总体架构
虚拟桌面交付平台采用CitrixXenDesktop虚拟桌面技术实现虚拟桌面的统一集中发布。在用户和后台系统之间部署CitrixXenDesktop服务器组,集中部署。
CitrixXenDesktop桌面虚拟化解决方案示意图,如下图所示:
图3 CitrxiXenDesktop虚拟桌面解决方案示意图
其中所有用户均需访问门户网站并经过身份认证后才能使用虚拟桌面交付平台中授权使用的虚拟桌面。远程用户需要通过广域网或VPN连接访问门户。
下图为CitrixXenDesktop逻辑访问拓扑图:
图4 CitrxiXenDesktop逻辑访问拓扑图
基于虚拟机的集中VDI桌面
提供个性化Windows桌面体验,通常适用于办公室工作人员 ,能够通过任何网络安全地交付给任何设备。这种方案结合了集中管理和全面用户个性化定制的优点,每台服务器最佳支持25到30个桌面。
基于虚拟机的集中管理桌面实质是传统意义上狭义的桌面虚拟化VDI,把Windows XP/Vista/7的桌面运行在后台的服务器上,例如一台物理服务器通过服务器虚拟化技术可以同时运行25个Windows 7,再通过ICA协议把Win7的桌面远程传输到25个用户的终端设备上,用户在面前的设备上看到的其实是个虚拟的影子,真正的桌面运行在数据中心。适用于应用相对复杂,用户个性化要求高的场景。
基于流技术的无盘桌面
基于流技术的无盘桌面利用富客户端的本地计算能力,同时集中管理桌面的统一镜像。这种方法很简便而且成本低廉,能够利用现有PC资源并最大限度降低数据中心开销,帮助客户实施桌面虚拟化。它还适用于使用无盘PC的政府部门、大学实验室和Call Center等场景,确保最高的数据安全性。
Citrix PVS - Citrix Provisioning Server(无盘方式) 采用流技术通过网络将单一标准桌面镜像,包括操作系统和软件按需交付给物理/虚拟桌面。一方面可以降低桌面维护成本:在用户注销后(设置为注销后重启该虚拟机),用户对桌面做的任何操作将不被保留,使每个用户登陆时都是使用一个纯净的操作系统;另一方面可以快速升级操作系统和补丁程序:如将XP升级为WINDOWS 7,仅需安装一个WINDOWS 7的标准镜像,然后将所有用户设置从这个新的标准镜像即可。升级补丁程序可使用相同的方法。
图5 PVS无盘虚拟桌面工作原理示意图
方案设计
安全访问
访问虚拟桌面交付平台的终端可以通过智能访问进行限制:对于广域网用户,可以选购采用Citrix的Access Gateway或者NetScaler VPX产品,实现智能访问功能,在VPN上增加策略,策略包含的信息可以是操作系统、注册表、文件、动态链接库等组合访问策略,保证安全的终端在规定的时间内才能访问交付平台。
用户管理
Citrix的虚拟桌面交付平台和Windows的域控制结合实现对用户权限的管理,访问虚拟桌面交a付平台的用户都在域控制器上增加、修改和删除,用户的操作系统权限是通过域控制器来实现,用户能够访问哪些虚拟桌面通过XenDesktop来授权。
在部署运维集中管理平台时,要考虑各级用户对后台系统的访问权限,因此需要建立用户信任域关系,基于统一的域机构和信任关系,系统需要细化如下定义:
Ø 域结构的细化
Ø DC的定义和同步关系
Ø 所有服务器的统一命名
Ø DNS服务器的同步和域名解析
Ø 用户名称和用户组的定义
Ø 依据实际需要建设组织单元
对于已经建立域结构的组织,需要考虑其已有的域结构与新建域或子域的兼容和平滑迁移。
门户集成
虚拟桌面交付平台对于用户访问进行了规范,即用户通过浏览器访问门户后,才可以看到并打开授权其访问的后台虚拟桌面。
Citrix在虚拟桌面交付平台中提供了一个简化门户WI(Web Interface),用户基于WI进行简单定制就可以使用。
同时Citrix平台提供了完整的SDK开发包,可以将集成接口定义为标准的WEB服务,以规范各种门户产品的调用。
扩展性描述
虚拟化资源池的建立可以方便的实现虚拟桌面平台的横向和纵向扩展。平台可以借助 XenServer 服务器虚拟化资源池将多台虚拟化服务器作为单个实体进行管理。所有的服务器共享通用的网络和存储框架,从而方便的实现资源的共享和扩展。资源池采用主/从服务器管理模型,并会将所有池配置数据复制到所有从属服务器上。这种配置可确保在主服务器发生故障时不会引起任何致命的故障。在虚拟化资源池中,方便的实现动态提升虚拟服务器的资源,以实现纵向扩展。同时,也可添加相应的物理服务器、共享存储、网络等到资源池中,方便的实现横向扩展。
图6 CitrixXenDesktop虚拟桌面平台的扩展
在虚拟化平台的服务器场架构中,都充分考虑了高可用性。
AD活动目录:主/备域控服务器群集提供高可用的目录服务。
Web Interface:多个服务器群集通过负载均衡设备对外提供高可用的用户登录认证服务。
DDC服务器:多个服务器群集分区域提供高可用的虚拟桌面交付服务
PVS服务器:多个服务器群集分区域提供高可用的虚拟桌面置备交付服务
XenApp服务器:多个服务器群集分区域提供高可用的应用交付服务。
此外,在资源池的支持下,所有的虚拟服务器都可以在物理服务器之间XenMotion在线迁移,提供的对外服务,业务不会中断。
图7 服务器维护时迁移
虚拟化资源池可以实现高可用性功能,当启用高可用性功能时,故障主机上的虚拟机可根据优先级和资源可用性在另一台物理服务器上自动重启运行。
图8 服务器故障时迁移
基于服务器虚拟化架构的灾备方案主要借助后台存储的灾备功能,生产环境之外定期将存储中的MetaData备份和所有虚拟机镜像文件复制到远程的备份环境中,也可以充分利用虚拟机快照得功能以简化和加快备份恢复速度。当生产环境出现故障时,可以快速将灾备环境中的存储挂接在新的XenServer资源池中,尽量缩短离线时间。
图9 虚拟化平台灾备
当虚拟化平台外的存储有故障时,可以根据存储复制备份对系统进行恢复至备份存储,保障虚拟化平台运行。
图10 存储故障恢复示意图
性能监控(EdgeSight)
性能监控工具监控 XenDesktop管理服务器、虚拟桌面、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及 License管理等等。
通过性能监控工具,管理人员不仅可以追踪用户对应用软件的使用情况,提前预知系统的性能问题,并且保存数据,以供分析和产生报表。
图11 设备摘要图
图12 进程摘要图
系统环境配置与规划
根据企业的情况,对桌面虚拟化系统环境进行以下配置与规划,以满足本次项目的需要。
软件配置
Citrix XenDesktop虚拟化平台软件:
软件 | 版本 | 单位 | 说明 |
XenDesktop5.5 | 铂金版 | 每用户 | 包含虚拟桌面交付平台所需服务器所有组件 |
XenApp6.5 | 铂金版 | 每并发用户 | 包含虚拟应用交付平台所需服务器所有组件 |
XenServer6.0 | 企业版 | 每服务器 | 虚拟化服务器架构 |
PVS 6.0 |
|
| 置备服务器 |
EdgeSight |
|
| 性能监控 |
第三方平台软件:
软件 | 版本 | 单位 | 说明 |
Windows2008R2 | 企业版 | 每服务器 | 服务器操作系统 |
Windows 7 | 专业版 | 每PC | 虚拟桌面操作系统 |
Office应用等 |
|
| 应用 |
SQL2008R2 |
|
|
|
其他 |
|
|
|
硬件配置
本项目中需要安装4台物理服务器,采用Citrix XenServer为虚拟化底层,构建桌面虚拟化平台的资源池;资源池连接FA-SAN存储,提供存储空间;在XenServer资源池外另外提供AD服务器、DHCP服务器、SQL服务器、文件服务器等基础架构服务器,为桌面虚拟化平台提供支持。
具体服务器规划需求见如下表格:
服务器 | 用途 | 数量 | CPU | 内存 | 网卡 | 系统 |
物理服务器 | 构建资源池 | 4 | 2*6 | 72GB (4*18) | 8 * 1G | XenServer6.0 |
AD服务器 | 提供域管理 |
|
|
|
|
|
DHCP服务器 | 动态分配IP地址 |
|
|
|
|
|
SQL服务器 | 提供数据库服务 |
|
|
|
|
|
文件服务器 | 用户文档存放 |
|
|
|
|
|
关于基础服务器,有以下一些要求:
Ø AD域:创建单独账号安装与配置Citrix XenDesktop虚拟桌面系统,这个账号需要具有以下主要权限:
² 在AD域中创建机器账号的权利;
² 与SQL数据库连接的验证权限,并可在SQL服务器中创建库的权利;
Ø DHCP支持TFTP,支持网络启动;
Ø SQL服务器需要提供4个单独数据库分别供DDC、XENAPP、PVS、ES使用;
具体存储规划需求见如下表格:
存储LUN | 空间大小 | 用途 | 说明 |
LUN1 | 1GB | 高可用HA |
|
LUN2 | 1GB | 存储灾备配置 |
|
LUN3 | 498GB | 虚拟服务器 |
|
LUN4 | 500GB | 虚拟桌面 |
|
LUN5 | 500GB | 虚拟桌面 |
|
LUN6 | 500GB | 虚拟桌面 |
|
资源池服务器网卡规划需求如下:
网卡分组 | 数量 | 用途 | 说明 |
1 | 2 | 管理控制台 | 配置管理控制高可用 |
2 | 2 | 虚拟服务器 | 单独网段,绑定配置高可用 |
3 | 2 | 虚拟桌面 | 单独使用网段,绑定配置高可用 |
4 | 2 | PVS服务器 | 由于PVS需要读取OS镜像,流技术推送到VM,需要单独使用网络;2网卡配置不同作用-读入与流出 |
用途 | 类型 | 端口 | 说明 |
CitrixReceiver | TCP | 80/443 | 客户端访问Web Interface |
ICA协议 | TCP | 1494(2598) | 用户与虚拟桌面和应用建立会话 |
Virtaul Desktop Agent | TCP | 80/3389/5985 | VDA与DDC通信; Desktop Director与VDA RM通信 |
XenServer管理控制台XenCenter | TCP | 22/443/3389 | 管理XenServer以及XenServer上的虚机 |
DNS | TCP/UDP | 53 |
|
AD | TCP/UDP | 389/636 |
|
AD | TCP | 3268/3269 |
|
PXE |
| Broadcast | PVS |
DHCP | UDP | 67/68 | PVS |
TFTP | UDP | 69 | PVS |
部署架构
本次部署将采用以下总体架构进行:
图13 总体部署架构
对于XenServer资源池,创建Citrix桌面虚拟化所需的服务器与Win7虚机,如下图所示:
图14 XenServe资源池虚机部署情况与网段分配示意图
物理网络连接上,XenServer资源池内所有服务器,6块网卡连接到服务器网段的物理交换机,其中2块供XenServer管理控制使用,配置高可用;2块绑定供虚拟服务器(PVS服务器除外)使用;2块供PVS服务器使用,根据PVS需求不做绑定;最后两块网卡连接到桌面交换机,绑定供虚拟桌面使用。网卡方面,由于PVS承担虚拟桌面操作系统OS的读取和使用流技术推送到虚机VM中,对网络要求高,故需单独使用物理网卡,不与其他虚拟服务器共享物理网卡。
不同(服务器网段与桌面网段)网段之间需要保持AD域访问的通畅,并开放相应服务的端口,支持虚拟桌面服务系统的正常通信。另外由于外网访问的需求,在外网防火墙也要开启相应端口保持通信。开放端口见前面列表。
实施内容与范围
实施主要针对Citrix XenDesktop虚拟桌面产品进行项目的实施安装:
Ø 基础环境构建
² 安装与配置XenServer6.0服务器4台;创建XenServer资源池;
² XenServer资源池挂接FC-SAN存储,配置高可用和存储故障恢复;
² 创建Windows2008 R2服务器模板;
² 创建Windows7专业版模板;
² 在AD中创建XenDesktop OU供虚拟桌面系统使用
Ø XenDesktop桌面发布系统搭建
² 安装WebInterface + License服务器2台;
² 安装配置DDC(Desktop Delivery Controller)服务器2台,并创建虚拟桌面站点;
² 安装配置PVS(Provisioning Server)服务器2台,加入DDC桌面站点;
² 配置并发布Win 7虚拟桌面
Ø Citrix XenApp应用系统
² 安装与配置XenApp虚拟应用系统服务器2台
² 安装与发布应用
Ø Citrix EdgeSight性能监控
² 安装与配置EdgeSight服务器1台
² 安装与配置EdgeSight客户端