应用发布接入Xenapp解决方案.doc

应用发布接入Xenapp解决方案总体方案构架通过Citrix XenApp集中部署和发布应用客户端软件，整个的后台应用服务器架构没有变化，客户端可以通过XenApp来访问集中发布的各种在线培训应用程序和某些测试环境。其整体构架如下图所示：客户端软件安装在Citrix服务器（XenApp）上，而所有访问用户使用终端设备均无需事先安装应用客户端软件。客户端设备只需通过IE就可以运行应用系统（第一次访问时会自动提示下载安装一个几兆大小的Citrix ICA插件），多用户同时访问时，由XenApp管理和运行应用客户端软件的多进程访问，并控制向不同用户发布的权限。客户端可以直接连接WebInterface和XenApp服务器。或者可以通过在防火墙打开相应的HTTP和ICA协议端口来访问XenApp服务器。同时外网远程接入所有客户端经过安全网关Access Gateway（可选）或者第三方VPN接入。使用Access Gateway可以实现SSL加密，对传输的数据进行加密保护，并且配合XenApp的智能访问，可以实现用户的访问场景识别，能够更加严格地限制用户对后台资源的访问，保护客户的数据安全。XenApp可整合现有的活动目录中的用户账户来进行用户身份认证。图中的文件服务器，提供了用户的个人数据存储功能。通过使用Windows的目录权限控制，及文件夹重定向功能，可以做到用户数据的安全保存及漫游访问。通过Citrix服务器（XenApp）的SmartAudit功能，客户端的操作不仅可以被管理员实时监控，还可以进行屏幕录像并长期保存，以实现行为审计。实现集中管理Citrix的集中部署模式只将应用部署在数据中心，用户可以通过任意终端和任意网络进行访问数据中心，非常方便；而只需对服务器端的数据中心进行管理，实现了管理维护的简化。应用软件的安装及配置变化，均可以在服务器端集中进行，大大简化了开发环境的配置和部署。应用发布XenApp为用户提供了基于服务器的计算模式（Server-based Computing），实现了虚拟化应用发布。其技术核心是ICA协议，ICA协议连接了运行在XENAPP服务器上的应用进程和远端客户端设备，通过ICA的32个虚拟通道（包括鼠标、键盘、图像、声音、端口、打印等等），运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上，因此虽然应用客户端软件并没有运行在客户端设备上，但是用户使用起来和在客户端安装运行客户端软件相比，没有感觉任何操作上的改变。XenApp虚拟化应用发布原理如下图所示：由于ICA协议是一种高效率的数据交换协议，同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息，因此每一个连接只占用十几K的网络带宽。这种模式使得企业应用部署架构上发生变化，从一种分布式部署变成了大集中的应用部署，因而带来了应用访问、性能及安全等各个方面的提升。存储隔离通过选择NTFS文件系统和Windows Server的用户Profile机制，每个用户可以有自己的存储空间。利用NTFS的文件权限的管理机制，用户在服务器端的私有存储空间，工作目录，临时文件可以被安全的管理和限制。可限制用户的对其他用户数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。同时可以通过配置Windows Server 2003的文件夹重定向，将My Documents等目录集中重定向到集中的文件服务器，从而保证用户不管登录到哪台服务器，都能一致地访问其用户数据。数据保护由于网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部分，业务数据和代码的并不下载到客户端本地；数据、缓存、Cookie等等全部在中央受限的环境中控制；另外ICA协议还含有多种加密技术，保证显示界面和用户操作数据的安全传输；客户端的操作感觉虽然就像在本机操作一样，但未经权限许可，不得擅自修改、备份、拷盘、打印等。通过应用发布的方式，内部员工和外部合作公司的员工只能使用本岗位的应用程序，而不能打开其他的应用软件或数据信息。远程接入本地用户可以直接从内网访问，外部用户需要经过防火墙，可在两道防火墙之间的DMZ隔离区内放置SSL加密的网关设备Access Gateway。Citrix为用户提供了统一的安全接入手段，一个典型的接入过程如下图所示：首先用户需要进行身份认证，XenApp集成了各种身份认证手段，包括双因素认证等，访问用户提供用户名、口令和passcode：当用户通过认证后，会通过加密链路进入其个人访问门户，看到其所能访问的各个应用软件：当用户使用某一软件，或访问某一系统，通过Citrix的虚拟化服务器和口令管理，在几秒内自动完成应用调用和登陆，然后用户就可以如在本地一样使用所需软件和应用。访问控制XenApp不仅对访问用户的身份进行认证（和AD集成的身份认证），还可以对用户使用的访问设备进行检测（需AccessGateway支持），以提供更高级别的安全访问控制。而管理员不仅可以方便地设置每个应用允许哪些用户的访问，并且可以详细地记录用户对各应用的使用情况。通过Citrix 应用交付平台可以严格控制用户对应用的访问，根据不同用户接入时的不同场景，将有相应的接入策略与之对应，并控制用户使用企业资源的过程和操作。可控制的操作和资源访问包括Copy/Paste、打印、保存到本地，端口的访问等。访问日志管理员不仅可以方便地设置每个应用允许哪些用户的访问，并且可以使用SQL数据库的方式，详细地记录用户对各应用的使用情况，可以生成各种报表，如用户登录时间，运行的应用等。（报表功能需要XenApp企业版或白金版支持，高级版不含此功能。）操作录像操作录像可以通过XenApp的智能审计（SmartAudit）来实现。（该功能需要XenApp白金版支持）通过XenApp服务器使用的任何应用都可以被全程监控：用户的操作行为及显示器上的内容变化可以通过ICA协议存放到磁盘上，然后在需要的时候像看电影一样回放。为有效利用资源和保护隐私，Citrix解决方案也允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。而由于ICA协议的高效，操作的屏幕录像记录下来并存储到文件的大小一般为：10M/天/人。 在数据中心的Citrix服务器上进行软件应用安装和管理，而不是在用户自己的电脑上。 用户可通过网络连接集中化应用，并实时运行和操作，如同本地运行一样。 集中化服务将所有应用处理过程和数据都集中在服务器上， 并把数据的管理严格控制在数据中心。 该解决方案是以安全为出发点设计的，只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输，但都是经过加密处理的。 如果管理策略（Policy Manager）要求对用户的操作进行录像，用户界面、键盘敲击和鼠标操作信息被多复制一份电子拷贝，即软件录像。 经过数字签名的不会被恶意破坏的完整的录像数据安全存储在独立的审计部门的文件(存储)服务器上，只有数字电子证书配对成功的控制台才可以查阅、浏览。 实时监控、审计和报告功能保证了IT对整个业务过程的端到端透明度。 用户使用软件的完整过程被录像后，即可方便的检索和审计。技术需求的实现水平扩展Citrix XenApp内置实现了群集功能，在Citrix服务器配置中集群称之为一个Farm， 当用业务系统规模扩大时，可以方便地通过在Server Farm中添加服务器来进行水平扩展。负载均衡在XenApp的Server Farm中， “Data Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息，如CPU，内存等使用情况，并与之进行交流；当有应用请求时，自动将请求转到负载最轻的服务器上运行。Server Farm同时提供了高可用性功能，当单点服务器出现故障时不影响用户使用，用户会重新连接到另外一台负载较轻的服务器上。从而避免了单点故障。本地输入法Citrix XenApp支持使用客户端的本地