校园桌面虚拟化解决方案[键入文档副标题]上海育东信息技术有限公司2011/11/71需求分析目前很多学校计划对现有机房、实训教师及教师日常办公环境进行逐步改造，建立学校私有虚拟桌面云。

要求可以保证集中化管理学校终端的桌面环境，同时尽量保证师生的桌面使用体验。

2设计目标项目建成后，应提供安全的桌面工作环境，同时无需对现有的前后台应用作大规模的改造。

技术上选择采用桌面虚拟化的方式，实现新的集中的桌面管理构架。

通过桌面虚拟化的改造，项目可达到以下目标:•桌面也应用全部运行在数据中心，保证数据的安全性；•通过策略及其它技术手段，可以严格禁止涉密数据下载或保存到本地的客户端设备。

•桌面集中托管于数据中心，在数据中心进行集中的部署、维护和管理；•运行在高性能的服务器上可以使桌面的性能得到提升；•可以迅速地部署最新的操作系统和应用软件；•降低维护桌面以及软件的费用；•前端桌面使用瘦客户端，减少终端维护量，增强终端安全性；•提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯；•能良好兼容学校的现有设计应用、并且对未来的可能的应用及安全构架有良好的兼容性；•构架设计遵循开放、灵活的原则，以适应系统扩充以及日后的需求变更；•提供尽可能灵活地部署方式，以适应不同类型用户的需求，如设计用户和普通办公用户，涉密终端和非涉密终端等；•桌面虚拟化方案可以适应主流的服务器、客户端的硬件配置，对学校现有的服务器、PC等设备，可充分利用，便于日常维护；•方案的可扩展性强，在业务规模增大时，可快速扩容部署，总体造价合理；•未来可以从分支机构或任何节点远程访问集中托管的桌面。

3关键设计标准3.1安全性•桌面和应用全部运行在数据中心的服务器上，集中进行安全管控；•用户无法随意将重要数据从工作桌面上取走(通过授权,才可以将文件拷贝出去)；•可以制定严格的访问策略，细粒度地控制最终用户对桌面应用的访问权限，例如是否可以打印、复制粘贴或将文件保存到本地；3.2最终用户体验•良好的用户体验，虚拟桌面能够提供与目前用户使用的PC一样的各种功能：如流畅地播放高清教学视频，通过即时通讯软件进行多媒体通信（包括双向语音），流畅地观看带有flash的网页，使用各种外设等。

•用户的客户端设备可以使用各种操作系统和配置的硬件设备来访问桌面/应用和数据。

如：笔记本、PC机、thin-client、各种智能手机、PDA、IPAD等。

•管理员应该有必要的监测能力，评估最终用户体验和排除故障所需的工具，以找出问题，并计划调整受到影响的服务质量。

•未来终端用户可以通过下列不同类型的网络：高带宽的LAN、低带宽的WAN、Internet/3G、甚至用电话拨号的链路都可以流畅地进行工作。

3.3可靠性•服务可用性即没有直接影响整体架构问题的单点故障。

•所有功能组件必须支持冗余或高可用性，某些功能组件出现故障也不受影响所有用户，其次允许个别用户会话尽可能自动恢复。

•如有需要，部署主动监控服务、报警机制、负载共享或故障切换机制，应无缝转移负荷不用的资源，同样不必要加载失败的节点。

3.4可扩展性•作为最终目标的桌面虚拟化的基础建设，在设计中支持3,000或更多的并发虚拟桌面。

•功能模块化可以为未来的发展提供基础，当数量或应用等发生变化，功能模块化可以很容易地适应，而无需重新设计或重新设计整个基础设施。

对于以1,000并发用户为一个单元的设计，可以很容易扩展到3,000或更多。

4桌面虚拟化优势4.1增强的安全性•桌面、应用和数据集中控制在数据中心保证了数据的安全性。

•虚拟桌面的操作系统是置于数据中心，相对于传统的PC，不易遭受恶意攻击。

•安全补丁可以在数据中心仅需对标准Windows映像进行安装。

•当桌面硬件被其他“瘦设备”代替时，它可以通过禁止使用如USB等可移动存储设备，降低使用者偷取信息和导入计算机病毒的可能。

4.2卓越的用户体验•按需桌面：用户每次登录时都会动态产生一个虚拟桌面，从而确保性能不会降低•SpeedScreen™：任何网络条件下都能提供最快速的桌面性能•快速开机：数秒内便能访问虚拟桌面•通用打印机驱动：为用户提供快速一致的打印体验，对于IT部门而言可简化打印机管理和支持4.3简单的桌面置备和管理•桌面镜像管理：使IT可以通过一个单一镜像集中化管理多个虚拟桌面•按需镜像置备：创建或取消置备虚拟桌面，不仅优化资源利用，而且用户每次登录时都能获得一个干净的操作系统•桌面存储优化：使数百个虚拟桌面可以从一个单一桌面镜像启动，从而减少“桌面镜像蔓延”，可节省高达90%的存储费用•虚拟机基础架构：提供一种基于准虚拟化的64位系统管理程序，实现虚拟桌面集中存管的可扩展性和经济实惠性4.4可靠的桌面访问管理•桌面分配：为用户群创建虚拟桌面池，或为特定用户提供个性化桌面•会话管理：虚拟桌面连接和会话状态•会话可靠性：确保用户即使通过高延时或低带宽的网络连接也可继续工作•高可用性/故障恢复：在避免产生单点故障的情况下让用户能够访问其虚拟桌面•安全远程访问：使远程工作人员和加班人员能够采用其它设备从公司防火墙之外的地点访问其虚拟桌面4.5桌面优化和支持•桌面性能监测：通过对实时和历史监测数据进行跟踪，主动确保用户始终获得最佳的性能•WAN优化：采用服务质量（QoS）机制来提升广域网（WAN）性能•桌面支持：使技术支持人员能够查看用户屏幕、开展对话、传输文件，从而快速解决问题4.6广泛的桌面交付生态系统•桌面设备：新型终端设备可提供最佳的用户体验和立即可用的互操作性•支持广泛的系统管理程序：提供与思杰、微软和VMware等任何VM基础架构的互操作性和集成能力•支持刀片PC：采用基于刀片PC的虚拟桌面，为用户提供高性能的专用计算资源•支持异构客户端：使用户在终端设备选择上具有更大的灵活性，支持Windows、Linux、Mac和智能手机等操作系统•确保与桌面设备、服务器、存储和管理软件的互操作性5学校桌面虚拟化解决方案概念设计5.1功能实现本次方案,学校虚拟化主要考虑50并发用户的虚拟化桌面及虚拟化应用的使用，具备以下四种主要模式：1)VDI桌面提供个性化Windows桌面体验，能够通过任何网络安全地交付给任何设备。

这种方案结合了集中管理和全面用户个性化定制的优点。

基于虚拟机的集中管理桌面实质是传统意义上狭义的桌面虚拟化VDI，把Windows XP/Vista/7的桌面运行在后台的服务器上，例如一台物理服务器通过服务器虚拟化技术可以同时运行60个Windows XP，再通过ICA协议把XP 的桌面远程传输到60个用户的终端设备上，用户在面前的设备上看到的其实是个虚拟的影子，真正的桌面运行在数据中心。

2)共享式桌面集中管理共享桌面的实质是发布共享的Windows服务器的桌面，可提供封闭、经过简化的标准环境，提供一组核心应用，适合不需要（或者不允许）个性化定制的任务型员工。

后台基于Windows Server 2003或2008服务器，使用Citrix XenApp发布服务器的桌面给前端用户同时访问，配置严格的组策略保护共享的服务器工作环境。

3)应用虚拟化Citrix XenApp Server提供的应用虚拟化功能，使所有应用执行都发生在数据中心，本地接入设备仅作为演示平台用。

这为端点环境、应用执行和信息控制的集中化企业控制提供了独特的机会。

XenApp实现了对应用、文件、打印机和数据的集中化部署和管理，允许企业在数据中心管理用户环境的关键特征。

集中化使企业能更轻松、更可靠地实现综合控制，对需求变化的适应性更快速、更灵活和更经济实惠。

4)流桌面基于流技术的无盘桌面利用客户端的本地计算能力，同时集中管理桌面的统一镜像。

Citrix Provisioning Server（无盘方式）采用流技术通过网络将单一标准桌面镜像，包括操作系统和软件按需交付给物理/虚拟桌面。

一方面可以配合第二个场景实现VDI单一镜像管理；另一方面适用于三维图形要求更高的环境，除了硬盘之外，内存、CPU、GPU都调用本地的计算资源，所以性能基本和传统桌面没有区别。

5.2整体架构桌面虚拟化的采用基于虚拟机的集中VDI方案，网络环境划分成三个部分：终端层、虚拟桌面层和后台应用层，各部分之间使用防火墙严格隔离，只开放访问必须的端口。

将用户终端隔离后可以对后台应用服务器起到很好的保护作用，用户所有的个人桌面、应用和文档被集中控制在虚拟桌面层。

访问流程简单地描述为：用户使用各种终端设备连接入口服务器（WI），通过域控制器（AD）验证身份，在基础架构服务器集群的调控下，访问分配给他的虚拟桌面，透过该桌面访问后台系统。

从服务器网段到终端网段所有的通讯都被安全接入网关设备封装在加密通道中。

这样的架构既保证了网络层的传输安全，又保护了企业文档的数据安全。

架构图如下所示：图四：桌面虚拟化整体架构示意图5.3模块描述本节将详细描述整体架构中的各个组成模块。

5.3.1AD和WI网络入口服务器Web Interface（WI）负责显示基于Web的界面，当用户顺利通过身份验证后可以看到自己可用的虚拟桌面。

活动目录（AD）服务器提供标准的LDAP目录服务，负责用户的身份验证和所有桌面虚拟化组件之间的信任互访。

5.3.2基础架构服务器集群许可证服务器（License）负责桌面虚拟化的许可证管理和查询。

数据库服务器（DB）负责存放桌面虚拟化以及应用虚拟化的所有配置信息，同时也可以保存这些服务器的历史性能数据。

应用虚拟化服务器负责向虚拟桌面推送应用，应用虚拟化的功能描述可以参考 2.1.4节。

桌面虚拟化控制器是基础架构服务器的核心组件，提供如下服务：•XML服务：负责Web Interface组件与虚拟桌面服务器群之间的通信。

XML服务验证用户身份，提供可用的虚拟桌面列表，并生成相应的信息让终端能够连接到虚拟桌面；•控制器服务：负责虚拟桌面上虚拟桌面服务的通信。

控制器服务进行虚拟桌面注册并保持虚拟桌面状态；•资源池服务：基于虚拟桌面服务器群配置，资源池服务联系虚拟化基础架构来启动和关闭虚拟桌面；•IMA服务：IMA服务负责桌面交付控制器之间所有跨服务器的通信。

这包括流向和来自数据采集器的流量。

5.3.3虚拟桌面承载服务器集群虚拟桌面承载服务器底层使用服务器虚拟化技术，每台物理机上虚拟出一定数量的虚拟桌面，目前虚拟桌面以Windows XP操作系统为主，虚拟桌面上除了承载标准的企业应用外，还运行着两个虚拟化的服务：•虚拟桌面代理服务：负责与桌面交付服务器进行注册并保持与控制器的心跳检测。

如果心跳检测失败，虚拟桌面服务将重新与另一个可用的交付服务器进行注册。

•应用接收器：具有正确的凭据之后，应用接收器联系应用虚拟化服务器以获得可用的应用程序列表。