SANGFOR虚拟化整体技术方案1(内部学习版).pptx

深信服虚拟化整体技术方案 安全产品部 内部学习版 六月中旬产品正式发布 目录 1.1. 深信服整体虚拟化交付体系深信服整体虚拟化交付体系 2.2. 桌面虚拟化技术方案桌面虚拟化技术方案 3.3. 应用虚拟化技术方案应用虚拟化技术方案 4.4. 服务器虚拟化技术方案服务器虚拟化技术方案 5.5. SRAPSRAP交付协议介绍交付协议介绍 SANGFOR在虚拟化领域的积累 EasyConnect 应用虚拟化产 品 核心SRAP高 效传输协议 虚拟安全桌面 平台VSP、上 网虚拟安全桌 面SD 深信服多年前已全面分析了虚拟化的市 场趋势，并预估了虚拟化发展的大体方 向，所以在4年前便开始投入虚拟化产 品研发和进行技术储备。 深信服在当前的市场环境下顺势而发，将于三季度 发布服务器虚拟化VT+桌面虚拟化vDesk+瘦客户 机aDesk一站式虚拟化解决方案。 SANGFOR整体虚拟化交付体系 数据中心数据中心 后台应用系统 应用服务器 SRAPSRAP传输协议传输协议 Delivery ControllerDelivery Controller 办公室人员 移动人员 服务器虚拟化：在应用服务器上部署 Hypervisor，将服务器物理资源如CPU、内存、 磁盘、I/O等抽象成逻辑资源，形成动态管理的“资源池”，并创建合适的虚拟服务器 ，实现服务器资源整合，提升资源利用率，最终更好地适应IT业务的变化。 桌面虚拟化：在数据中心应用服务器上安装Windows桌面系统，用户使用各类终端 设备登录Delivery Controller虚拟桌面接入管理平台，通过高效SRAP协议获得对后 台服务器上的Windows桌面的访问权限。 应用虚拟化：在数据中心应用服务器上安装的业务系统客户端（例如OA、ERP等） 并且在Delivery controller虚拟应用交付平台上进行发布，用户登录此平台可访问虚 拟应用程序，而应用系统客户端运行在平台上，在网络中仅传输图像和指令信息，安 全性得以保障。 目录 1.1. 深信服整体虚拟化交付体系深信服整体虚拟化交付体系 2.2. 桌面虚拟化技术方案桌面虚拟化技术方案 3.3. 应用虚拟化技术方案应用虚拟化技术方案 4.4. 服务器虚拟化技术方案服务器虚拟化技术方案 5.5. SRAPSRAP交付协议介绍交付协议介绍 SANGFOR桌面虚拟化技术架构 SANGFOR服务器虚拟化VT：搭建高可用性集群服务 器环境，通过虚拟机提供桌面资源； SANGFOR桌面虚拟化vDesk：提供纯软件和硬件两种 模式，进行桌面资源整理，利用SRAP交付给用户； SANGFOR瘦客户机aDesk：基于Android平台的终端 设备，打造绿色办公环境； 桌面虚拟化技术特点 桌面资源在服务端运行 界面推送到客户端设备 通过高效的SRAP交付协议将运行在服务端的桌面图像交付 给客户端； 虚拟桌面接入管理平台提供身份认证、桌面资源整合及发 布、访问控制、VPN加密等； 仅需要少量带宽资源，可获得与本地桌面一致的操作体验 ； 利用重定向技术支持瘦客户机外设映射； 虚拟桌面接入管理平台 便捷性设计 随时随地通过WEB方式接入实现虚拟桌面创 建、发布等配置 瘦客户机aDesk采用即插即用模式，减少管理 员初始化部署工作量 WEB控制台 实现在DHCP的网络环境中，简单接线即可完 成全自动化部署，并支持运行状态统一管理 即插即用模式 集成单点登录功能，实现系统快速登录 自动化部署 支持将资源生成桌面快捷方式图标，一键式访 问 单点登录 桌面快捷方式 安全性设计 仅传输键盘、鼠标、打印等指令信息及界面 变化信息，不会传输实际的业务数据 集成SSL和国密办SM1、SM2等算法，加密 传输有保障 SRAP传输协议 可实现细粒度的访问策略控制，基于网络、 用户、设备分配桌面资源 远程安全访问 集成短信认证、动态令牌、硬件特征码等用户认证 机制，可实现与用户账号密码的集成认证 策略化控制 针对用户的后台数据存储进行加密隔离，提 升个人数据安全性 组合用户认证 存储加密 良好的用户体验 利用A9芯片内置的视频协议处理器，可以 流畅地运行1080P的高清视频 专利技术SRAP协议，实现传输效率比传统 的微软RDP技术提高6倍以上 视频协议处理器 提高远程应用发布访问音视频内容的速度和 播放流畅度 高效桌面响应 合入H264编码、HTP、单边加速等优化机 制 音视频重定向 SRAP协议栈优化 性价比最高 国内唯一具有自主知识产权的高效桌面交付 协议SRAP，并且覆盖服务器虚拟化、桌面虚 拟化、瘦客户机全方位解决方案的厂商 利用其独特的内存页面共享、虚拟机模板链 接等技术节省计算和存储资源，提升虚拟桌 面的部署密度和服务器资源的利用率 一站式解决方案 独特的芯片架构和免费的Android操作系统， 使得用户端的成本比其他瘦客户机降低了 20%到30%，并且无需引入Citrix、VMware 等价格昂贵的集成方案 虚拟机部署密度 提高20% 投资成本少 设备分类：普通版和设备分类：普通版和WIFIWIFI版版 瘦客户机桌面效果 瘦客户机的云桌面 目录 1.1. 深信服整体虚拟化交付体系深信服整体虚拟化交付体系 2.2. 桌面虚拟化技术方案桌面虚拟化技术方案 3.3. 应用虚拟化技术方案应用虚拟化技术方案 4.4. 服务器虚拟化技术方案服务器虚拟化技术方案 5.5. SRAPSRAP交付协议介绍交付协议介绍 SANGFOR应用虚拟化技术架构 架构简单：利用SANGFOR服务器虚拟化技术搭建高性能终端应用服务器群 ，保障高可用性； 应用发布：将服务器群指定的应用程序以虚拟图像的方式发布到各种终 端，数据不落地； 跨平台：支持PC、瘦客户机aDesk、IOS/Android平台的智能终端等。 应用服务器 应用虚拟化方案组件 1、远程应用发布模块 2、RemoteApp Agent 3、RemoteApp Client 4、应用程序客户端 访问安全，降低业务风险 可针对不同用户之间业务数据隔离及用户与终端服务器之间的数据可针对不同用户之间业务数据隔离及用户与终端服务器之间的数据 交互权限，进行细粒度的权限控制，从而防止越权访问交互权限，进行细粒度的权限控制，从而防止越权访问 只有键盘输入、屏幕滑动和屏幕更新等少量数据通过网络传输，企业应用只有键盘输入、屏幕滑动和屏幕更新等少量数据通过网络传输，企业应用 数据不会留存在智能终端设备上，有效保证了数据传输和访问的安全性数据不会留存在智能终端设备上，有效保证了数据传输和访问的安全性 具备用户名、硬件特征码、动态令牌等七种身份认证方式和授权机具备用户名、硬件特征码、动态令牌等七种身份认证方式和授权机 制，降低了用户接入的安全风险制，降低了用户接入的安全风险 智能终端通过智能终端通过SSLSSL协议接入，数据经过强加密后传输，保证了数据协议接入，数据经过强加密后传输，保证了数据 传输的安全性传输的安全性 交付快速，提高办公效率 图像缓存优化、动态内容过滤等技术，提升应用访图像缓存优化、动态内容过滤等技术，提升应用访 问速度问速度 有损压缩、无损压缩等技术，大幅降低数据传输量有损压缩、无损压缩等技术，大幅降低数据传输量 自主研发的自主研发的SRAPSRAP协议框架，比传统的协议框架，比传统的RDPRDP协议提高协议提高6 6 倍以上传输速率倍以上传输速率 独创的单边加速技术，极大地提升了传输效率独创的单边加速技术，极大地提升了传输效率 使用便捷，提升用户体验 独特模拟指针、模拟键盘、放大镜等技术，适应独特模拟指针、模拟键盘、放大镜等技术，适应PCPC用户使用用户使用 习惯；轻松实现与不同系统平台的文件共享习惯；轻松实现与不同系统平台的文件共享 支持并发多任务会话，轻松实现多程序切换；支持横竖屏快支持并发多任务会话，轻松实现多程序切换；支持横竖屏快 速切换，适应不同程序、页面的视觉要求速切换，适应不同程序、页面的视觉要求 支持支持3030种以上快捷键（复制粘贴等），满足用户不种以上快捷键（复制粘贴等），满足用户不 同使用习惯同使用习惯 支持调用本地输入法、打印机等本地资源；支持单指滚屏、支持调用本地输入法、打印机等本地资源；支持单指滚屏、 双指滚屏等双指滚屏等4 4种滚屏方式，方便易用种滚屏方式，方便易用 性价比高，降低投资成本 SDKSDK软件开发工具包，快速完成移动应用的安全化软件开发工具包，快速完成移动应用的安全化 ，降低开发成本，降低开发成本 支持非对称集群，保护前期投资支持非对称集群，保护前期投资 并发用户数性能较高并发用户数性能较高 占用服务器资源少，服务器部署成本较低占用服务器资源少，服务器部署成本较低 典型客户案例 目录 1.1. 深信服整体虚拟化交付体系深信服整体虚拟化交付体系 2.2. 桌面虚拟化技术方案桌面虚拟化技术方案 3.3. 应用虚拟化技术方案应用虚拟化技术方案 4.4. 服务器虚拟化技术方案服务器虚拟化技术方案 5.5. SRAPSRAP交付协议介绍交付协议介绍 服务器虚拟化技术分类 寄居架构 虚拟化系统平台安装在已有的主机操作系统 （Host OS，宿主操作系统）之上，通过宿 主机操作系统来管理和访问各类资源（如文 件和各类I/O设备等)，如Workstation， Microsoft Virtual Server等。这类虚拟化 架构系统损耗比较大，很少在企业级应用中 采用。 原生架构（SANGFOR） 此虚拟化架构不需要在服务器上先安装操作 系统，而是直接将虚拟化系统平台中安装在 服务器硬件设备中，以获得服务器的最佳性 能，如Citrix Xenserver、Vmware ESXi、 Microsoft Hyper-V等均属于这样的虚拟架 构。本质上，可以认为虚拟化系统平台包含 一个操作系统，只不过是非常轻量级的操作 系统实现核心功能并有更多的安全机制。 硬件设备 操作系统 虚拟化系统平台 硬件设备 虚拟化系统平台 SANGFOR服务器虚拟化技术架构 SANGFOR服务器虚拟化VT系统 VMVMVMVM SANGFOR服务器虚拟化VT系统 VMVMVMVM 集中管理平台 SANGFOR服务器虚拟化VT系统：作为物理 服务器的虚拟化Hypervisor层，将服务器 物理资源如CPU、内存、磁盘、I/O等抽象 成逻辑资源，形成动态管理的“资源池” ，并创建合适的虚拟服务器 集中管理平台：虚拟服务器的统一控制点 ，可提供如访问控制、性能监控动态迁 移、集群配置和虚拟机创建等功能； SANGFOR Hypervisor架构 Virtual Machine SANGFOR Hypervisor DriverDriverDriverDriver Console OS Virtual Machine Virtual Machine 1. 利用标准驱动堆栈，支持最新硬件 设备而无需更改代码 2. 为硬件辅助虚拟化而构建，无需仿 真层，提升性能 3. 非常轻量级，采用SANGFOR OS 系统架构，具备多层的安全机制 4.全中文WEB统一管理界面，简化配 置和部署 SANGFOR虚拟化数据中心架构 存储网络存储网络 服务器集群服务器集群 存储阵列存储阵列 SANGFOR VT VMVMVMVMVM 集中管理平台 虚拟上网行为管理AC 虚拟SSL VPN 虚拟应用交付AD 虚拟广域网优化WOC 虚拟应用防火墙AF 服务器虚拟化的基本功能 支持虚拟机镜像管理 支持虚拟机模板 支持虚拟机快照 支持客户机所有USB外设映射，支持摄像头、麦克风 支持相同内存页合并，以提高服务器虚拟化内存性能 支持虚拟机服务器集群（50台物理服务器） 支持多种存储（本地、NFS、SAN ISCSI、SAN FC） 静态负载：虚拟机开机自动选择最佳物理服务器 物理服务器HA，只能检测到物理机的故障 虚拟机的网络和存储的I/O控制（非资源池模式） 动态容量添加 可扩展虚拟机 热添加 CPU 内存 热添加和删除 存储设备 网络设备 热扩展虚拟磁盘 以零宕机时间横向扩展虚拟机 64 GB 4 个 CPU 255 GB 8 个 CPU 操作系统 应用程序 虚拟机动态迁移 SANGFOR VTSANGFOR VT VMVMVMVM 实现虚拟机动态迁移，而服务不中断 利用迁移技术实现计划内服务器维护和升级 支持主流存储环境如FC/iSCSI/NFS等 高可用性HA保障 SANGFOR VTSANGFOR VTSANGFOR VT VMVMVMVMVMVM 当物理服务器、操作系统、应用程序出现故障 时，自动在正常服务器上重启 故障恢复时间小于10秒 无需增加集群软件成本，部署简单 备用物理服务器依然可以运行虚拟机，达到资 源最大化利用 虚拟机HA辅助：检测到虚拟机内部发生软件 故障时，自动执行故障恢复，网口bypass、自 动重启、切换到备用虚拟机 动态负载均衡和智能节电 动态负载均衡： 根据物理机的负载自动调整虚拟机运行位置 1，新启动虚拟机，自动分配到有足够剩余资源的物理机运行 2，已有物理机资源达到紧张状态，自动把部分虚拟机迁移到其他空闲的 物理机，而不影响虚拟机的运行和业务（小于3秒） 智能节电： 1，负载低时，虚拟机自动迁移到少量主机 ，并关闭不使用的物理机 2，按照时间段设置自动节电，达到耗电最 小化目的 存储在线迁移 SANGFOR VT VMVM 虚拟机磁盘存储在线迁移，减少计划内停机 迁移过程中虚拟机无需停机 支持跨异构存储阵列执行实时的虚拟机磁盘文 件迁移，同时保证全面的事务完整性 存储动态负载均衡 存储网络 SANGFOR VT VMVM SANGFOR VT VMVM 跨预分配的存储卷集群持续监视存储和 存储I/O利用率 智能调整存储资源以满足业务增长目标 持续平衡存储空间负载和存储I/O负载， 以简化调配、改进应用程序服务级别和改 善可管理性 分布式虚拟交换机 SANGFOR VT VMVM SANGFOR VT VMVM SANGFOR VT VMVM vSwitchvSwitchvSwitch分布式虚拟交换机 实现跨物理机、集群级别的虚拟局域网 逻辑上，虚拟交换机端口可以跟VM虚拟网卡连接，可以跟物理 网卡连接，可以跟虚拟路由器、虚拟网络设备（AC、AD、WOC 、VPN、AF）的虚拟端口相连接 可靠性，任何一台物理机故障，不影响其他物理机上的虚拟交换 机工作 支持虚拟端口镜像，可以把指定端口数据镜像到某个虚拟端口 虚拟路由器 SANGFOR服务器虚拟化VT系统 VMVM VMVM 分布式虚拟交换机 虚拟路由器 功能说明：静态路由、基于ip/端口的过滤规则、 NAT、提供DHCP、DNS服务 路由器网口可以跟虚拟网卡、物理网卡、虚拟交换 机等连接 路由器内部配置直接在虚拟网络管理界面完成，无 需另外登录路由器进行设置 虚拟SANGFOR网络设备 SANGFOR服务器虚拟化VT系统 WOCVPNADAF 分布式虚拟交换机 支持虚拟防火墙（AF）、虚拟广域网优化（WOC ）、虚拟VPN（SSL VPN）、虚拟上网行为管理（ AC）、虚拟负载均衡（AD） ACVM 虚拟资源池 虚拟资源池 SANGFOR服务器虚拟化VT系统 VMVMVMVMVM 在多台物理机组成集群时，形成虚拟的资源池，可以把集群计算 资源按资源池划分给不同的VM使用 实现限制资源池，即每个资源池可以配置资源使用的最高上限， 不能超越该上限（后续实现保障资源池） 资源包括：CPU频率，内存容量，磁盘容量，IO速率，IO频率 虚拟化产品发布规划（服务器虚拟化VT） VT1.2版本（8月份） 支持虚拟机镜像管理、支持虚拟机模板、支持虚拟机快照 支持客户机所有USB外设映射，支持摄像头、麦克风 支持相同内存页合并，以提高服务器虚拟化内存性能 支持虚拟机服务器集群（50台物理服务器） 支持多种存储（本地、NFS、SAN ISCSI、SAN FC） VT2.0版本（12月底） 支持虚拟交换机、虚拟路由器 支持虚拟防火墙（AF）、虚拟广域网优化（WOC）、虚拟VPN（SSLVPN）、虚拟上网行为管理 （AC）、虚拟负载均衡（AD） 动态负载均衡、网络状态监控（虚拟网络拓扑可视化）、虚拟机故障自动迁移 集群支持集中控制1000物理服务器、虚拟机状态报告、虚拟机资源池统一管理分配 产品发展方向：SDN（软件定义网络） SANGFOR服务器虚拟化VT系统 虚拟服务器 虚拟交换机 虚拟AD 虚拟VPN 虚拟AC 虚拟AF 虚拟WOC 虚拟路由器 为什么选择SANGFOR虚拟化 本地化服务增强实施的高效率和高水 平 单一WEB控制模式，管理最简化 性价比最高， 实施成本最低 构建于自主研发的Sangfor OS架构 之上的，实现更为全面的系统架构管 理和更完善的安全机制 整体方案最完整，涵盖云终端、交付 平台、服务器虚拟化、虚拟安全产品 等 目录 1.1. 深信服整体虚拟化交付体系深信服整体虚拟化交付体系 2.2. 桌面虚拟化技术方案桌面虚拟化技术方案 3.3. 应用虚拟化技术方案应用虚拟化技术方案 4.4. 服务器虚拟化技术方案服务器虚拟化技术方案 5.5. SRAPSRAP交付协议介绍交付协议介绍 SRAP的主要差异化特性 流式压缩算法Min-deflate 图像文字识别技术 针对图像的有损压缩算法JPEG（比RDP提高2-8倍的压缩率） 更高效的图像缓存匹配（改进PDF、WORD等滚动阅读体验） 动态内容识别过滤 视频优化 SRAP Min-Deflate压缩算法 Min-deflate相比RDP6.1压缩率平均提高5% 场景描述RDP压缩率Min-deflate PDF文字92-93%94% PDF图片86-91%93-95% 网页文字66%70% word57-71%66-76% PPT文字70-71%75-76% PPT图片73-74%77-78% 视频52-54%59-61% SRAP 图像缓存匹配 A1 A6 A3A2 A4A5 A7A8A9 B1B2B3 B4 B7 B5B6 B8B9 问题分析： 如上图可发现： B4是由A4下半部分与A7上半部分组成， B5是由A5下半部分与A8上半部分组成， B6是由A6下半部分与A9上半部分组成， 由此可以想到，当前块更新块是有之前的块部分组合而成，于是可以在块与 块之间进行图像匹配，每个块按每4个像素计算Hash值，Hash值相同就依 次对比对应块的图像，有相同的就进行引用。 效果： 针对pdf滚动场景有10倍左右压缩提升 SRAP 动态内容过滤技术 一般网页浏览中，不重要的动态效果消耗了大量的带宽， 导致远程应用使用出现操作延迟的体验。 SRAP 动态内容过滤技术 解决方案： 采用启发式的动态内容识别算法从图像更新数据中 识别出动态内容更新的数据，并将其合并或丢弃。 算法原理： 将屏幕按64x64大小划分为N个分隔块，统计每