VMware虚拟桌面架构(VDI)合作伙伴TEP培训 （二）

VMware虚拟桌面架构（VDI）合作伙伴TEP培训,议程,VMwareVDI解决方案和VDM2.0产品简介VMwareVDI/VDM2.0定价与许可VMwareVDI部署和实施VMwareVDI最佳实践,VMwareVDI解决方案和VDM2.0产品简介,VMware,VMwareVDIInfrastructure概述,VMwareVI3平台托管的虚拟桌面,VMwareVDM2管理从客户端到所托管桌面的连接。,ActiveDirectory用户身份验证,Internet访问DMZ,VMwareVirtualCenterVDM管理VI3平台,客户端,VMwareVDM2组件,VDMClient本机Windows客户端；针对Linux和MAC的浏览器访问；瘦客户端支持。,VDMAgent运行于托管的XP和Vista虚拟机中；会话管理。,VDMSecurityServer可以在DMZ中安装独立的VDMSecurityServer（可选）,VDMConnectionServer服务在Windows2003上运行；将客户端连接到托管的虚拟桌面；与ActiveDirectory和VirtualCenter集成。,VDM用户和ActiveDirectory,用户存储在ActiveDirectory中VDMConnectionServer连接到AD基础架构以查找用户和用户组帐户；没有到特定域控制器的链接；对AD内域控制器故障切换的固有支持。,ActiveDirectory基础架构,VDMConnectionServer,域用户和用户组,VMwareVDM2中的身份验证,ActiveDirectory(AD)：根据AD验证用户凭证；VDMConnectionServer为每位用户维护验证的会话；“单点登录”(SSO)虚拟桌面。AD集成的好处：与多个域环境和信任关系集成（预置）；保留用户管理过程和技能；无需用户数据复制；SecurID：可选择与SecurID集成来获得双要素身份验证。,VMwareVDM2中的用户权限,权限以数据形式存储在VDMConnectionServer中；用户（和组）享有桌面权限；“授权”用户连接到虚拟机；,用户和组,桌面,虚拟机池,授权组享有桌面权限,分配池,授权用户享有桌面权限,分配单个虚拟机,模板,VMwareVDM2连接代理,连接代理：VMwareVDM将用户连接到相应桌面，基于：权限；虚拟桌面状态（例如正在运行、挂起或关闭）；连接状态（例如现已断开、连接或无会话）；VDMConnectionServer发起VDMClient与托管的虚拟桌面间的RDP连接。,选择虚拟机,连接细节发送至客户端,连接到桌面会话,加密和直接连接,加密连接：客户端与数据中心之间的SSL隧道；RDP数据在隧道中加密。,RDP连接,SSL隧道,直接连接：连接到VDMConnectionServer获取代理；直接连接。,RDP连接,初始连接和请求,桌面分配,单个桌面和池类型,单个桌面：用户与虚拟桌面间静态一对一关系；可以配置单个设置和资源分配。持久池：池中所有虚拟桌面都克隆自同一个模板；可以对池中的任何桌面进行初始桌面分配；用户在后续的连接中会被连接到同一个桌面。非持久池：池中所有虚拟桌面都克隆自同一个模板；可以对池中的任何桌面进行桌面分配；注销时桌面返回池中以进行再分配。,池配置和注销策略,持久和非持久池参数：模板：创建池中的所有虚拟桌面；自定义规范：应用于模板；资源池和数据存储：针对部署的虚拟桌面；池中最大和最小虚拟桌面数；可用桌面：已创建、正在运行和可用的桌面；注销策略：VMwareVDM在用户注销桌面时应用该策略：保持运行、重新启动、挂起、开启、关闭和删除；断开X分钟后注销（也适用于单个桌面）。,VDM数据和ADAM,VDM2以ActiveDirectory应用程序模式(ADAM)存储数据：不受约束并可从Microsoft重新分发（与VMwareVDM捆绑在一起）；基于ActiveDirectory(AD)技术的灵活的LDAP目录；ADAM存储VMwareVDM数据（例如桌面权限）并引用AD数据（即用户和用户组）；VMwareVDM2体系结构固有的数据复制、安全性和可用性。,VDM数据,用户数据,AD,ADAM,复制,复制,复制,复制,复制,复制,引用,VDMConnectionServer的高可用性,水平扩展支持使用L2/L4深探针的第三方负载平衡器；消息总线体系结构适用于与虚拟桌面的代理连接；使用开放标准LDAP与ActiveDirectory通信添加ConnectionServer来处理增大的负载。,JMS消息总线,LB,VDMConnectionServer,VDMSecurityServer的高可用性,VDMSecurityServer链接到VDMConnectionServer：VDMSecurityServer与VDMConnectionServer之间一对一映射；L2/L4深探针包括检查关联的ConnectionServer；此配置不改变消息总线。,DMZ,内部网络,JMS消息总线,LB,瘦客户端支持,VMwareVDM2支持Linux和XPe客户端，其中包括市场上的绝大部分瘦客户端。已在下列瘦客户端上对VMwareVDM做过专门测试：自定义操作系统：WYSES10VDIEdition；WYSEV10L；基于Linux：WYSES50；WYSEV50；WYSEV50L。,基于XPe：WYSEV90；WYSEV90L；Neowarec50。,VMwareVDI部署和实施,VMware,VMwareVDM2部署场景,运行在ESX上面的虚拟机,VirtualCenter,ActiveDirectory,VDM客户机,VDM连接服务器,单个VDM连接服务器的部署适用于小型应用环境、POC或者测试VDMConnectionServer采用标准Standard安装模式,基于Web的管理控制台,选择VDMConnectionServer的安装模式,VMwareVDM2部署场景,避免单点故障一组当中的任何连接VDM服务器故障，其它VDM服务器都可以独立运行可进行水平扩展，以支持大量虚拟桌面连接Scalingandloadbalancingsupportedusingthirdpartysolutions一个VDM连接服务器组将协同工作，通过ADAM目录服务共享相同的配置副本任一服务器上的数据变更均会复制到其他所有服务器上,多个VDM连接服务器的部署,VMwareVDM2部署场景,多个VDM连接服务器的部署第一台VDMConnectionServer服务器以Standard模式安装第二台VDMConnectionServer服务器Replica模式安装，从第一台服务器上获取初始目录数据一旦投入运行，2台VDM连接服务器都会成为主服务器-MasterServers则任何一台服务器上的配置变更均会被立即复制到另一服务器上。如果其中一台发生故障，另一台可以单独运行。,VMwareVDM2部署场景,多个VDM连接服务器的部署第一台VDMConnectionServer服务器以Standard模式安装第二台VDMConnectionServer服务器Replica模式安装，从第一台服务器上获取初始目录数据一旦投入运行，2台VDM连接服务器都会成为主服务器-MasterServers则任何一台服务器上的配置变更均会被立即复制到另一服务器上。如果其中一台发生故障，另一台可以单独运行。通过添加后续的ReplicaServers服务器来增加冗余和扩展性。再用一个组当中的VDM服务器都是主服务器,选择VDMConnectionServer安装模式,VMwareVDM2部署场景,运行在ESX上面的虚拟机,VirtualCenter,ActiveDirectory,VDM连接服务器,负载均衡器,多个VDM连接服务器的部署,VMwareVDM2部署场景,适用于从公网访问企业内部的VDI桌面系统。VDM安全服务器部署在DMZ区域中选择SecurityServer模式安装VDM服务器。在DMZ区域内部署VDM连接服务器软件的一个子集Web服务器和安全隧道终端(HTTPS)目录数据不存放在DMZ区域中安全服务器与位于内部安全网络的全功能VDM连接服务器必须一一对应遵照DMZ防火墙的规则，只允许经过认证的用户连接到企业内部可信任的网络之中的桌面系统上需要在DMZ区域内为多台VDM安全服务器提供负载平衡不需要加入AD域,VDM2安全服务器SecurityServer远程访问,选择VDMConnectionServer安装模式,VMwareVDM2部署场景,VDM2安全服务器SecurityServer远程访问,运行在ESX上面的虚拟机,VirtualCenter,ActiveDirectory,VDM客户机,VDM安全服务器,负载均衡器,VDM连接服务器,DMZ,VMwareVDM2部署场景,VDM2安全服务器SecurityServer远程访问,OuterfirewallRulesExample,InnerfirewallRulesExample,VMwareVDM2部署场景,多服务器混合部署场景(LAN和DMZ),运行在ESX上面的虚拟机,VirtualCenter,ActiveDirectory,VDM客户机(远端SSL隧道),VDM安全服务器,VDM连接服务器,DMZ,VDM客户机(内网直连),负载均衡器,负载均衡器,VDM基本安装过程,准备过程：安装好ESXServer和VCServer在VCServer中准备好Sysprep准备虚拟机模版和定制模版配置好AD/DNS/DHCPServer域/组/用户主机名称正反向解析虚拟桌面的动态IP地址范围制定各种Windows安全访问策略GPORoamingProfile,安装过程：安装VDMServer软件包WindowsServer2003SP2不能是域控制器/IIS服务器/VC服务器必须加入域安装VDMAgent软件包在XP或Vista虚拟机中安装配置VDMServer通过Web管理界面进行安装VDMClient软件包从VDMClient进行连接,VDMClient（Windows客户端）,VDMClient身份验证：Win32应用程序，以.exe方式安装；支持：VistaHome；VistaHomePremium；VistaBusiness；VistaUltimate；XPProfessional；2000Professional；XPe；提示输入AD凭证。,VDMClient权限和配置,桌面权限：会话状态：连接；断开；无会话；配置“自动连接”。,选项：默认桌面；屏幕大小；,连接的桌面和简化条,桌面视图：用户登录到虚拟桌面；熟悉的界面；使用桌面就像使用“普通”PC。“简化条”位于屏幕顶端：连接到其他桌面；连接和断开连接USB设备；注销或断开连接会话。使用Windows“开始”按钮退出系统；,用于浏览器连接的VDMWebAccess,Linux支持：RHEL4.0Update4；SLES10；Ubuntu7.04。MAC支持：OS/XPanther(10.3)；OS/XTiger(10.4)；OS/XLeopard(10.5)。Windows客户端,VMwareVDI最佳做法,VMware,最佳做法规模调整与服务器容量,所需的主机数目取决于处理器内核数内存（RAM）操作系统工作负载/用户配置文件一般情况：每个内核对应6到9个虚拟桌面。这个数目不是固定不变的。内存调整选择存储类型：本地、SAN或NAS考虑采用混用方式在SAN上提供一个限定的C（系统）驱动器根据用户登录时使用的凭据将“我的文档”文件夹映射到NAS在SAN上再提供一个较小的驱动器（D）以用于临时存储。考虑虚拟硬盘大小、快照、模板及ISO等因素,最佳做法网络规划,由于每个物理服务器需要托管大量虚拟桌面，因此VDI的实施属于网络密集型实施过程。每个用户的规划量为25Kbps。但并非所有用户都会一直保持最高消耗量。网络延迟不能超过150ms才能实现较好的用户体验。始终将VDI置于LAN中。这可以避免：网络负载过大网络跃点（Networkhop）由于距离较长而导致的延迟将打印机或文件共享放在与远程桌面通信分隔的VLAN中。执行通信修整，以保障桌面连接端口（如RDP端口）上的最低服务水平。,最佳做法虚拟桌面配置,不要为单个桌面预留太多RAM。充分利用ESX中的内存过量分配功能。根据用户配置文件设置CPU和内存。不要在开始就使用过高的配置。删除视觉效果（如WindowsXP的可视包装器）将屏幕保护改为“空白”并取消密码保护定期在虚拟桌面上执行磁盘碎片整理安装VMwareTools并将硬件加速设置设为全速不要使用VSMP（多个虚拟CPU），因为这会使CPU调度发生延迟。不要设置CPU关联。将虚拟机的时间与ESX主机同步（使用VMwareTools设置），不使用Windows自身的时间同步机制,最佳做法规划和变更管理,实现用户的期望非常关键，但却经常会被忽视随着规模的扩大保持对容量的了解和规划。谨慎地使用容量工具从具有25到100个用户的试点计划开始。正确的桌面模板更改配置以获得最佳结果然后扩大用户范围完成试点实施后开展满意度调查将不同类型的用户包含在VDI群集内。根据资源消耗量确定低端、中端及高端用户,最佳做法规划和变更管