服务器虚拟化架构 XenServer
高性能虚拟化架构
• 64 位 Hypervisor •全面的操作系统和应用程 序支持 •集中化管理 • 实时虚机迁移 • 基于角色的管理 • 内存控制
高级存储整合
• 内置存储服务管理 • FC SANs 和 iSCSI 支持
应用生命周期管理
• 开发和测试实验室 • 状态/准生产 • 自服务门户
技术特点
用户界面推送到客户端设备
TCP
ICA
AUDIO CLIPBOARD DRIVE PRINTING COM VIDEO
ICA 有32个 虚拟通道
应用或桌面在服务器端运行 鼠标与键盘输入信号发送到服务器
用户
防火墙、VPN
应用
网络上只传输应用图像和键盘鼠标信息，没有真实业务数据 对用户进行统一身份认证和权限控制，例如禁止上传、下载 从外网接入使用VPN进行传输加密 可对用户所有操作进行录像审计 用户体验与使用本地系统基本一致 每个客户端平均只需20-30Kb/s带宽
局域网访问 分支机构访问 Intranet Citrix服务器群组 （负载均衡） Internet GPRS/ CDMA Web 服务器 文件服务器 出差及远程访问 办公客户端 数据库服务器
手机/PDA/移动访问
虚拟桌面 XenDesktop
为每个用户构筑独 立的工作环境，并运 行在数据中心 用户可以通过任意 设备在任意位置访问 自己的工作环境 采用动态数据中心 技术，动态地为每个 用户合成其工作环境， 而不用为1：1地维护 用户工作环境ห้องสมุดไป่ตู้
PC 维护PC机人员 PC机器上的各种应用 PC机器上安装新应用客户端 总计(RMB)： 总计 ：
以500个虚拟桌面和100个并发虚拟应用为例计算
12
典型虚拟化平台逻辑架构
应用虚拟化平台 分支用户 Branch Repeater Hypervisor 广域网 海外用户 Branch Repeater Hypervisor XenApp服务器 Hypervisor Web Interface NetScaler Hypervisor XenDesktop DDC Hypervisor 单点登录 远程和移动用户 Hypervisor Hypervisor 监控审计 应用客户端 Hypervisor 授权服务器
•双因子用户认证 双因子用户认证
集成智能卡、SecurID 等用户认证机制，可实现与用 户账号密码的集成认证
应用虚拟化 XenApp
• 业务系统部署 • 移动办公 • 分支机构扩展 • 业务终端扩展 • 数据安全及审计 • 开发中心 • 网管中心 • 呼叫中心 • 灾备中心 •…
AD域控制器 办公服务器
应用虚拟化
价格 数量 总价(RMB) 500 500,000 12 600,000 500 750,000 500 750,000 12 260,000 1,980,000 255 500 127,500 19,000 12 228,000 180,000 5 900,000 1,000 10 10,000 1,000 10 10,000 6,115,500 1000 50,000 1,500 1,500 20,000
XenApp 不用 Branch Repeater
减少85%的带宽
XenApp 用 Branch Repeater
应用交付虚拟化技术的优势
传统方式
业务数据直接在网络上传输 数据安全 业务数据可存储在终端上 终端管理 带宽占用 监管审计 对终端缺少集中控制手段，特别是外包人员终端 所有应用所需带宽之和 缺少用户行为监控手段 所有数据存放在后台，终端上不存储业务数据 集中对终端用户权限进行控制，例如禁止上传下载、禁止访问特定应用等 每个终端占用30Kb/s带宽，与应用无关 对用户的操作进行录像监控
应用虚拟化
网络上仅传输键盘鼠标信号及远程屏幕图片，不传输业务数据
传统方式
终端 服务器 存储备份(3年) 操作系统 服务器操作系统 虚拟化产品软件 电力消耗(3年) 管理人员成本(3年) 应用软件升级 新应用上线 汇总 名称 PC PC客户端备份 Windows XP 专业版 价格 数量 总价(RMB) 名称 3000 500 1,500,000 瘦客户端 虚拟化服务器 1000 500 500,000 虚拟桌面存储备份 1500 500 750,000 VECD Windows 2003 企业版 虚拟桌面+虚拟应用+虚拟架构 1,695 500 847,500 瘦客户端 虚拟化服务器 180,000 20 3,600,000 维护虚拟化服务器人员 1000 500 500,000 虚拟化服务器上的各种应用 1000 500 500,000 虚拟化服务器安装新应用客户端 总计(RMB)： ： 8,197,500 总计
数据中心自动化
• 自动化灾难恢复 • 动态负载均衡 • 高可用性 • 主机电源管理 • 自动化镜像管理和置备
优化应用交付网络 NetScaler
广域网优化 Branch Repeater
打印 设备 视频
WAN
打印 设备 视频
Repeater
Branch Repeater
全面支持 XenDesktop 和 XenApp 的传输 针对打印、视频和传输的定制化加速模式 对已有 XenDesktop 或 XenApp 架构不做大的改动
•应用的单点登录 应用的单点登录
集成应用单点登录的功能，方便用户账号的管理
测试结论
ICA 协议传输过程中所有的数据包都经过加密。交 行卡中心城市办事处现有的很多B/S架构应用，使用 HTTP协议较难保证网络中传输数据的安全性，当使 用 Citrix 发布这些应用后，客户端和 Citrix 服务器 之间将不再有明文的数据包传输，从而提高应用系 统的安全级别
ICA协议传输图像变化和设备支持 含有 32 个虚拟通道，分别传输不同信息 传输键盘扫描码、鼠标事件和打印数据等 服务器端获得信息实现对屏幕的操控 传输图像变化在客户端显示
安全的设计
•传输协议 ICA 的安全性 传输协议
仅传输键盘、鼠标、打印等信息及屏幕变化信息，不 传输业务数据 •传输协议安全性专项测试 - 某银行信用卡中心 传输协议安全性专项测试
思杰应用交付主要银行业客户
美洲银行（ 美洲银行（Bank of America） ）
美洲银行全面采用Citrix作为集中计算模式的基础架构平台，发布 的应用系统几乎涵盖了其所有的业务及系统，仅美洲银行在印度的分支 机构就部署了约1200台Citrix服务器，支撑大约60个项目的集中运行。
美洲银行通过TCO分析认为集中化带来的收益：
测试目的
通过实际的测试对比HTTP协议和ICA协议在安全性 方面的差别
•审计操作录像 审计操作录像
记录用户操作的实时状态“录像”，以便于审计和监 管
•安全的应用访问 SSL VPN 和策略控制 安全的应用访问
可实现细粒度的访问策略控制，并可提供集成的 SSL VPN 方案
测试方法
使用著名的网络抓包软件 WireShark 捕获所有客户 端和后台服务器之间的数据包，并进行分析
交付平台 发布后台应用客户端 登录应用交付平台 访问应用
所有后台应用系统部署在数据中心服务器 所有应用客户端在交付平台上运行 终端仅接受交付平台上应用运行的屏幕画面
后台应用系统
应用服务器
数据中心 桌面/终端
服务器虚拟化： 服务器虚拟化：在物理服务器上部署 Hypervisor ，将物理服务器划分成 多个逻辑服务器，并实现更好的韵味管理。 网络优化： 网络优化：对广域网传输进行加速优化，实现最佳的传输体验和安全
办公网
域控制器
OA3.0/Notes 开发测试网
Access Gateway 互联网
开发服务器 文件/数据库服务器 生产网
Repeater
业务服务器
互联网 Hypervisor 虚拟桌面 局域网用户 置备服务器
13
Citrix 方案优势
数据安全 桌面环境支持 性能 业务连续性 运维管理 监管审计
•用户不能从本地设备直接访问开发源代码、公文文档等企业数据，方便实现数据隔离 •通过丰富的策略管理数据向本地设备的传输和打印输出，防止泄密和非授权拷贝 •支持智能卡和双因子等用户认证 •支持多种客户端设备和操作系统，可用Windows、Linux、Mac、Unix等多种客户端甚至手机客户端作 为应用接收客户端 •支持多数外设和打印机，包括打印机、USB设备、串口设备等 •ICA协议可以更好的优化网络带宽实现图像、声音和客户端设备的优化 •HDX优化图像的显示，优化视频、3D图像等的传输 •支撑大量并发用户 •随时随地通过各种设备访问业务系统 •支持扩展性需求，方便实现负载均衡和容灾备份 •内置了丰富的平台管理功能 •能够基于用户、应用、服务器和IP等制定应用发布策略、设备和用户使用策略以及带宽优化策略 •通过单一镜像统一管理应用和桌面环境 •实现细粒度的平台系统监控和报警 •对用户的行为进行审计监控录像
企业应用 o Microsoft Exchange, Outlook o Oracle Financial Services Application (OFSA) o Oracle JD Edwards CRM o Oracle Siebel CRM OnDemand o SAP ERP Financials 数据管理和业务智能 o Access Data SalesVision o ACI BASE24 transaction processing o GoldenGate Software transactional data management o Harte-Hanks Trillium Software o IBM Cognos 8 Business Intelligence (BI) o IBM DB2 o IBM Information Framework (IFW) o Informatica PowerCenter o Microsoft SQL Server o Oracle 8i, 9i o Oracle Hyperion Essbase, Analyzer o Oracle Real Application Clusters (RAC) o SAP Business Objects Crystal Reports o SAP OutlookSoft o SAS Business Intelligence o Sun MySQL o Sybase o Teradata