VDI云桌面技术方案

1、云桌面技术方案2015年2月目录1.业务需求 . 32.需求分析 . 42.1 建设原则 . 42.1.1实现功能 . 52.1.2实现目标 . 62.2 技术要求的点对点应答 . 73.总体方案设计 . 93.1 总体设计 . 93.1.1设计原则 . 93.1.2设计内容 . 113.1.3总体架构设计 . 113.2 技术架构设计 . 123.2.1桌面虚拟化技术 . 123.3 虚拟化桌面规划设计 . 133.3.1系统架构示意图 . 133.3.2虚拟桌面流程示意图 . 143.3.3虚拟桌面架构设计 . 153.3.4连接服务器组件设计 . 263.3.5View 桌面池设计 .

2、283.3.6虚拟桌面快速交付方案设计 . 413.4 功能设计 . 423.4.1网络链路设计 . 423.4.2客户端连接设计 . 433.4.3互联网访问设计 . 433.4.4身份认证设计 . 433.4.5移动办公和数据安全设计 . 443.4.6高可用性和安全防护设计 . 443.4.7软件分发设计 . 513.4.8vm 防毒设计 . 513.4.9P2V 迁移设计 . 513.4.10集中监控管理 . 521.业务需求建立云桌面平台，实现电脑桌面的虚拟化使用。 要求提供拓扑方案，提供内网及互联网使用时的使用方式。 虚拟桌面数为 450个，满足 2年的桌面使用需求。并发按 80%

3、计共 360个。 客户端采用 NC 150台、利旧电脑 300台。客户端配置需求为 vCPU=4U,Memory=4GB, 系 统盘=40GB,数据盘=100GB 网络中心在临潼工作区，高新产业园与临潼工作区采用 100M 数字电路连接，集团 本部采用20M数字电路与临潼工作区连接。高新产业园虚拟桌面250个，大庆路集团本部工作区虚拟桌面 50个，临潼工作区虚拟桌面 150个。虚拟桌面与后台连接占 用带宽小， 适应陕鼓的专线连接的多区域办公环境。 需提出部署云桌面后高新产业 园连接临潼工作区、大庆路集团本部连接临潼工作区的新增专线带宽需求。多终端类型支持，客户端支持NC PC主流操作系统的智能

4、手机和平板电脑。客户端提供 Windows 7、WINDOWS XP作系统。支持通过公司内网使用、通过互联网使用。采用互联网时支持公司现有的SSL VPN设备访问虚拟桌面。虚拟桌面站点可需接入互联网，允许进行互联网的浏览、文件上下载等常见操作。 系统支持通过扩容存储与计算资源实现用户平滑扩容。移动办公需求， 桌面云用户可从企业园区网的各个站点、 位置访问自己的虚拟 桌面环境。用户可以不中断应用运行，实现无缝切换办公地点。虚拟桌面可预装业务所需的应用程序及应用客户端软件。 能够实现软件自动化 批量安装。可以让用户无法将文件和信息保存在本地设备或移动磁盘上，从而有效实现数据安全。支持 MS OFF

5、ICE 2007/2010、RTX Project、VISIO、IE、Acrobat Reader、 视频播放软件、QQ常用输入法、泛微 EM等办公软件。支持运行公司 OA SGRP MOA KM MOA CRM视频会议、论坛、电子招标、集团财务、流程管理等B/S和C/S等系统。1)2)3)4)5)6)7)8)9)10)11)12)13)14)15)客户端使用时流畅， 无卡顿，与PC体验相同。每日上班大量并发登录时，无登录风暴产生，登录流畅，登录时间不超过 30秒。16)支持USB丁印机，支持设置网络打印机，支持 USB键盘鼠标，支持本地输入法。17)提供丰富的用户身份认证， 包括用户名/密码

6、、USBKEY动态口令、动态短信、 指纹，指纹 +密码，确保接入用户的合法性。支持其组合方式。18)能够记录虚拟桌面运行日志， 为桌面运行分析、 系统优化提供参考数据。 支持 虚桌使用情况统计分析，支持用户使用情况统计分析。19)客户端加电后可自动进入虚拟桌面登录界面，对于 PC 用户可手动登录虚拟桌 面或直接进入。20)支持AD与和无AD域的部署、认证方式。21 ) 在服务器端统一部署杀毒软件，不需每个客户端部署杀毒软件。22)虚拟机可配置固定IP，支持IP、MAC及网络端口三者绑定。23)能够升级、打补丁及回退自动化操作。24)快速将用户数据从原来的物理机迁移到虚拟机。可实现虚拟桌面的数据

7、备份。25)支持集中管理，如对操作系统镜像统一管理、软件补丁统一分发、TC终端统一 管理等。管理员可快速业务发放、桌面管理、模板管理、权限管理、资源管理、监 控管理、告警管理、拓扑管理、日志管理、任务管理、统计管理。26)平台具有完善的安全防护能力。系统支持高可用性设计。2.需求分析2.1建设原则采用虚拟桌面系统，通过 PC机终端或瘦客户机连接在服务器后台运行的虚拟桌面，实 现Windows桌面的快捷、灵活交付和统一管理。系统应实现桌面的集中更新、统一发布； 将桌面的升级、 变更、维护等工作交由后台统 一管理和运行； 在后台而不是在用户终端上进行集中发布、 配置和更新； 终端用户无需任何 变动

8、即可获得最新应用和服务， 除了满足桌面快速发放、 虚拟桌面安全等诉求外， 还减少了 终端所需的运维支持力度。1)办公桌面以虚拟桌面方式提供交付 , 在网络中传输为加密协议， 具有高速率、 低带 宽和压缩加密的特点， 可以保证数据的安全性； 用户以软客户端的方式登录虚拟桌 面，购买支持桌面交付协议的云终端后也支持以瘦终端方式登录；2)系统支持研发办公桌面的快速发放和回收， 支持虚拟桌面分权分域管理， 支持多个 管理员，且能对不同管理员配置不同权限。3)系统包括桌面虚拟化软件、计算、存储、网络设备应具备高可靠机制(如：虚拟机HA高可用，虚拟机热迁移，存储双控制器，磁盘RAID，存储热迁移，分布式交

9、换，单板支持热插拔， 支持多机框管理模块， 电源热插拔和冗余， 风扇热插拔和冗余等) ， 以保障整体方案无单点故障，不影响日常办公。4)系统具备高可用性和负载均衡功能，能承受突发性较大规模用户的并发访问与会话连接。5)系统具备数据和虚拟平台备份功能，能对用户关键数据执行周期的自动备份和历史数据的恢复。6)系统具备良好的易用性， 具有较好的人机操作界面及详细的帮助和提示信息， 可以 通过操作界面完成系统参数的维护与管理。7)系统满足可管理性要求， 具有良好的管理手段，方便对计算资源、 存储资源、网络 资源、虚拟机、操作系统、数据库、管理平台及应用程序等进行有效地监控、管理 与维护。8)系统具备良

10、好的平滑扩展能力， 计算资源、 存储资源和网络资源及系统软件应具有 良好的平滑扩容和减容能力，能在保证现网平台正常运营条件下对系统进行调整， 支持未来软件中心业务的扩展性要求。9)系统具备良好的开放性， 提供多种瘦终端的接入能力， 满足桌面云平台用户的应急 接入。2.1.1 实现功能随着企业办公项规模扩大， 办公环境的管理更加复杂， 安全管理的要求也日益提升。 利 用现有硬件资源，建立一个简单、易用、 安全的统一接入平台，以有效进行办公环境的规范 管理，支持可控的远程访问模式。1.集中管理：可将办公环境中的应用软件进行集中管理，可以根据需要随时调整办公 环境的应用部署，简化办公人员客户端的环境

11、配置及部署要求。2.应用发布：具有包括各类办公工具在内的应用软件发布功能。FTP 或者其它方式获取用户存提高系统数据访问的安全性。3.存储隔离：每个用户能建立各自的文件系统或存储空间，相互之间不能访问。但授权用户可以访问特定用户组的存储空间，可以通过储空间的数据。4.数据保护： 所有的代码及业务数据只在服务器端传递，5.远程接入： 支持外部合作公司远程接入的项目开发模式， 能有效控制用户的剪贴板、本地硬盘、打印机、端口等操作，做到合作公司人员未经授权无法从任何渠道获 取项目的代码、文档和业务数据。6.访问控制：对于合作公司的远程访问要求能有效控制，包括登录时间段、登录用户的监控。要求能穿越防火

12、墙（能够 NET 转换）访问到服务器。7.访问日志：用户登录及应用软件的访问，应该有日志记录。8.水平扩展： 服务器端支持水平扩展， 能通过水平增加服务器来适应业务需求的扩大。9.负载均衡：可根据用户访问量和资源使用情况，动态分配到到负载量最低的服务器 上。可支持手动负载均衡操作。2.1.2 实现目标建立统一架构的虚拟平台； 移动和固定办公终端通过虚拟桌面访问工作环境，满足日常工作要求； 通过虚拟应用访问不同应用环境，满足日常不同业务的工作要求； 提高对桌面及应用的访问控制和使用权限管理； 可以迅速地部署或者更新操作系统，简化Windows 的升级操作；将应用的升级、 变更、 维护等工作交由后

13、台统一管理和运行， 在系统上而不是在用 户终端上进行集中发布、 配置和更新， 终端用户无需任何变动即可获得最新应用和 服务，减少终端所需的运维支持力度； 前端桌面最终目标是使用瘦客户端，减少终端维护量，增强终端安全性； 提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯； 能良好兼容现有开发相关应用、 并且对未来的可能的应用及安全构架有良好的兼容 性；开发平台及业务应用使用的整体安全性提高；桌面和应用全部运行在数据中心，保证设计数据等涉密信息的安全性；通过策略等技术手段，可以严格禁止涉密数据下载或保存到本地的客户端设备； 桌面集中托管于数据中心，在数据中心进行集中的部署、维护

14、和管理； 构架设计遵循开放、灵活的原则，以适应系统扩充以及日后的需求变更； 桌面虚拟化方案可以适应主流的服务器、客户端的硬件配置，对现有的服务器、PC等设备，可充分利用，便于日常维护；大大降低终端PC机的投入和维护成本。2.2技术要求的点对点应答技术要求应答应答产品1） 建立云桌面平台，实现电脑桌面的虚拟化使用。无偏离VMware Horizon ViewSuit2）要求提供拓扑方案，提供内网及互联网使用时的使用方式。无偏离VMware Horizon View Client 和 HTML Client3）虚拟桌面数为450个，满足2年的桌面使用需求。并发按80% 计共360个。无偏离VMwa

15、re Horizon ViewSuit (400 Users )4）客户端采用NC150台、利旧电脑300台。客户端配置需求为vCPU=4U,Memory=4GB,系统盘=40GB,数据盘=100GB无偏离VMware Horizon View虚拟桌面配置为vCPU=4U,Memory=4GB,系统盘=50GB,数据盘=100GB5）网络中心在临潼工作区，咼新产业园与临潼工作区米用100M数字电路连接，集团本部采用20M数字电路与临潼工作区连接。咼新产业园虚拟桌面 250个，大庆路集团本部工作区虚拟桌面50个，临潼工作区虚拟桌面150个。虚拟桌面与后台连接占用带宽小,适应陕鼓的专线连接的多区域

16、办公环境。需提出部署云桌面 后高新产业园连接临潼工作区、大庆路集团本部连接临潼工作区 的新增专线带宽需求。无偏离高新产业园连接临潼工 作区新增一条100M数字 电路连接，大庆路集团 本部连接临潼工作区新 增一条20M数字电路连 接6）多终端类型支持，客户端支持NG PC、主流操作系统的智能手机和平板电脑。客户端提供Windows 7、WINDOWSP操作系统。无偏离VMware Horizon View7） 支持通过公司内网使用、通过互联网使用。采用互联网时支 持公司现有的SSL VPN设备访问虚拟桌面。无偏离VMware Horizon View 、Client 和 HTML Client8

17、） 虚拟桌面站点可需接入互联网，允许进行互联网的浏览、文 件上下载等常见操作。无偏离VMware Horizon View9）系统支持通过扩容存储与计算资源实现用户平滑扩容。无偏离VMware Horizon View10）移动办公需求， 桌面云用户可从企业园区网的各个站点、位置访问自己的虚拟桌面环境。用户可以不中断应用运行，实现无 缝切换办公地点。无偏离VMware Horizon View11）虚拟桌面可预装业务所需的应用程序及应用客户端软件。能够实现软件自动化批量安装。无偏离VMware Horizon View 和口 Thinapp12）可以让用户无法将文件和信息保存在本地设备或移动磁

18、盘 上，从而有效实现数据安全。无偏离VMware Horizon View13） 支持 MS OFFICE 2007/2010、RTX Project、VISIO、IE、Acrobat Reader、视频播放软件、QQ常用输入法、泛微EM等办公软件。高清视 频播放 需要测 试，其他 无偏离VMware Horizon View14） 支持运行公司 OA SGRP MOA KM MOA CRM视频会议、 论坛、电子招标、集团财务、流程管理等B/S和C/S等系统。无偏离VMware Horizon View15）客户端使用时流畅，无卡顿，与PC体验相同。每日上班大量并发登录时，无登录风暴产生，登录

19、流畅，登录时间不超过30秒。无偏离VMware Horizon View16）支持USB打印机，支持设置网络打印机，支持USB键盘鼠标， 支持本地输入法。无偏离VMware Horizon View17）提供丰富的用户身份认证，包括用户名/密码、USBKEY动态口令、动态短信、指纹，指纹+密码，确保接入用户的合法性。支持其组合方式。无偏离VMware Horizon View和第三方动态密码产品18）能够记录虚拟桌面运行日志，为桌面运行分析、 系统优化提供参考数据。支持虚桌使用情况统计分析，支持用户使用情况统 计分析。无偏离VMware vCe nterOperati on Man age f

20、orView19）客户端加电后可自动进入虚拟桌面登录界面，对于PC用户可手动登录虚拟桌面或直接进入。无偏离VMware Horizon View20） 支持AD与和无AD域的部署、认证方式。不支持无AD域的部署，其他无 偏离VMware Horizon View21）在服务器端统一部署杀毒软件，不需每个客户端部署杀毒软件。无偏离第三方杀毒软件forVMware,例如 SymantecEn dpo int Protecti onfor VM22）虚拟机可配置固定 IP，支持IP、MAC及网络端口三者绑定。不支持 绑定网 络端口， 其他无 偏离VMware Horizon View23）能够升级、

21、打补丁及回退自动化操作。无偏离VMware Horizon View24）快速将用户数据从原来的物理机迁移到虚拟机。可实现虚拟桌面的数据备份。无偏离VMware vSphereEn terprise Plus和口存储阵列镜像25）支持集中管理，如对操作系统镜像统一管理、软件补丁统一分发、TC终端统一管理等。管理员可快速业务发放、桌面管理、 模板管理、权限管理、资源管理、监控管理、告警管理、拓扑管 理、日志管理、任务管理、统计管理。无偏离VMware Horizon ViewSuit26）平台具有完善的安全防护能力。系统支持高可用性设计。无偏离VMware Horizon ViewSuit结构复

22、杂， 建设过程中会遇3.总体方案设计3.1总体设计3.1.1 设计原则按照桌面虚拟化的建设目标，依据桌面虚拟化建设项目具有涉及范围广、建设规模大、 数据构成复杂等特点， 在设计阶段需遵循一些重要原则， 以保障后续建设的顺利衔接和有效 执行。一、全面性桌面虚拟化建设是一项从无到有的工程。 除了针对基础建设需求进行设计之外， 也要就 系统建成后整个云平台的运营、 管理和运维进行综合考虑， 使得设计能够全面地满足系统持 续稳定运行的需求，尽力避免一些细小但关键构成的遗漏。桌面虚拟化建设是一项系统工程，是一项长期性工作，必须通盘考虑， 统一规划， 确保 整体效能，在总体规划指导下，按照“实用先行、由简

23、至难、循序渐进”的原则分步推进具 体系统的建设。二、高可用性桌面虚拟化建设项目应首先考虑信息系统的高可用性， 应坚持需求驱动、 以应用为主导 的方针，规划和建设相应的各个子系统；系统应该在容错、应急、负载等多方面予以考虑， 应有适量冗余及其他保护措施， 平台和应用软件应具有容错性、 健壮性等， 保证系统连续服 务；结合严谨的测试管理与运维体系，保证系统的高可用性。三、安全性桌面虚拟化建设项目作为重要政府服务建设项目其信息安全的重要性不言而喻。 因此必 须将安全性设计作为重要涉及原则予以优先考虑。 严格遵照国家的有关保密法规， 采取切实 有效的措施，确保信息网络和信息资源的安全。四、开放性桌面虚

24、拟化建设项目涉及的应用系统与基础平台类型多样， 到较多的系统间衔接问题。同时为保证项目的快速有效建设， 势必由不同的建设单位使用不 同的产品进行子系统的建设，如果采用较封闭的技术与产品，必将造成整体应用无法衔接或 效率低下，因此在总体设计阶段， 在保证安全性的前提下， 要考虑的是系统整体和局部的开 放性。系统建设要统一规划、统一标准、加强管理，提倡联合协同、共同发展，调动各方积极性。建立统一规划、 数据接口标准统一的信息平台，兼容各种应用系统进行数据交换，从顶到底要求每一个系统的构成部分符合设计的开放标准，实现异构系统的互联互通，确保整体应用框架之间衔接顺畅。五、 可扩展性桌面虚拟化建设项目应

25、充分考虑未来发展，同时信息化建设是一个循序渐进、不断扩充的过程，系统的总体设计应该采用层次化、组件化设计，整体构架考虑与现有系统的连接， 为今后系统扩展和集成留有扩充余量。六、 先进性桌面虚拟化建设项目应在设计思想、系统架构、采用技术、选用平台上均具有一定的先进性、前瞻性。在充分保证可用性、开放性、扩展性的前提下保持系统的先进性、扩充性， 采用技术成熟、厂家信誉好的产品，使系统在未来相当一段时间保持稳定。七、 可实施、可管理、可维护桌面虚拟化建设项目在保证业务覆盖面广、 架构完善、技术先进的同时，也必须考虑软 件系统及其运行环境的可实施、 可管理、可维护，并在设计中重视建设期中、 建设期后的管

26、 理与维护体系。（一）可实施性所实现的业务功能， 必须是在目前的组织框架下可以运营的。对现有应用的整合应不影响业务的运行，对现有应用系统影响和改造量较小。业务功能的实现可以分布实施快速见效。（二）可管理性采用集中管理模式，配备与各个实施阶段相适应的实用的系统管理手段，对系统设备、 系统资源、应用软件、数据实行全面的管理。ss-BBQ（三）可维护性系统设计应标准化、规范化，分层设计，组件化实现，降低应用整合平台的维护成本。3.1.2设计内容1、 建设强大、高效的计算资源平台，通过采用架构领先、功能丰富的刀片服务器，为 桌面虚拟化搭建可靠、稳定的应用支撑平台，满足软件开发中心各种应用的部署和 运行

27、。2、 建设安全、可靠的存储资源平台，通过采用冗余架构，高速、高容量的SAN+NAh 体化存储，为开发人员的开发数据及虚拟化系统的正常运行，提供良好的数据存储环境。3、 在详尽的服务、性能、安全和隐私保护等政策的指导下，帮助用户实现快速部署、安全计算以及灵活扩展 IT能力。在领先的融合基础设施以及丰富的自动化与管理 软件系列产品的基础上，实现桌面虚拟化所需的全部资源的管理。3.1.3总体架构设计I Vc*inr/十巴XT嚮S 上一土 0 如图所示，根据软件中心桌面虚拟化建设需求，我们提出了运行支撑环境的的“两池一加戸币区”的架构体系。分别为：虚拟化计算资源池、虚拟化存储资源池和资源管理区。虚拟

28、化计算资源池通过采用 VMware的VDI虚拟化技术，为用户的办公人员提供高性能， 高安全的业务办公环境。虚拟化存储资源池通过部署 SAN和NAS 体化的设备，为虚拟机镜像文件的共享存储， 以及办公人员的业务数据提供了可靠，安全的存储环境。资源管理区通过在虚拟机环境部署冗余的 VCenter/Composer 服务器、连接服务器，数 据库服务器架构为 VDI 的正常，稳定运行提供后台管理；通过部署云资源管理软件为VDI环境下的虚拟机资源， 存储资源， 网络资源， 应用资源及运维处理等方面提供 360 度全方位 的监控及运维管理； 通过部署磁盘阵列镜像软件， 确保虚拟化存储资源池内的虚拟机文件和

29、 用户的业务数据的安全，确保桌面虚拟化系统整体的稳定、可靠运行。3.2技术架构设计3.2.1 桌面虚拟化技术桌面虚拟化是在物理服务器上安装虚拟主机系统， 由虚拟主机系统模拟出操作系统运行所需要的硬件资源，如： CPU内存、网卡、存储等。操作系统运行在这些虚拟的硬件资源之上， 可以达到多个操作系统共享物理服务器的硬件资源， 从而提高资源利用率。 虚拟桌面 的存储和执行 （包括操作系统、 应用程序和用户数据） 都集中在数据中心， 用户使用终端设， 备通过远程协议（如： RDP ICA、PColP）进行访问。桌面虚拟化将所有桌面虚拟机在数据 中心进行托管并统一管理；同时用户能够获得完整 PC的使用体

30、验。用户可以通过瘦客户端， 或者类似的设备在局域网或者远程访问获得与传统PC致的用户体验。是一种仅将操作系统桌面呈现在用户面前的技术， 由服务器端完成运算。 可以结合服务器虚拟化和应用虚拟化 进行。桌面虚拟化解决方案提供的功能主要包括基本功能、用户使用便利要求、应用虚拟化、 维护管理和可靠性等方面。其中，基本功能包括多种方式接入、支持无差别的多应用访问、 支持多虚拟机、 支持主流操作系统、 支持主流存储技术； 用户便利使用要求包括系统可随时 随地访问且支持个性化桌面，支持 SSO支持网络存储空间的动态分配，支持音频输入输出 等；应用虚拟化指将应用程序从底层操作系统分离出来， 支持虚拟桌面与应用

31、软件虚拟化间 的无缝集成； 此外， 桌面虚拟化还需支持多种部署、 维护方式， 能提供丰富的管理维护手段， 同时具备电信级兼容性和可靠性。數据中心99999遶 H tl%户AflFttS f Rd左卄彈、TTTV创户丸曲设舌才博幣响甘內人雄3.3虚拟化桌面规划设计331系统架构示意图FT,書忙事JVMware View总体架构如上图所示，VDI产品后台采用的是vSphere for Desktop 即vSphere最高版本支持。VMwareVDI Manager 5.0是企业级虚拟桌面管理器，是VMware VDI5.0的关键组件。IT管理员使用VMware VDI Manager作为中心控制点

32、，支持最终用户安 全灵活地访问其虚拟桌面和应用程序，并利用与VMware vSphere ?之间的紧密集成，说明客户以安全托管服务形式交付桌面。VMware VDI Manager具有极强的可扩展性和可靠性，它使用基于 Web的直观管理界面创建和更新桌面映像、管理用户数据、实施全球策略等， 从而同时代理和监控数以万计的虚拟桌面。根据网络划分为客户端运行网和中心机房网络：1.客户端运行网：用户平时使用的瘦客户端和PC电脑位于运行网内，通过安装ViewClient，访问位于中心机房网络中的虚拟桌面。2.负载均衡器：负载均衡器位于运行网内，它按照设定的负载均衡策略，将450个用户View客户端的连接

33、分发到中心机房网络中的View连接服务器上，达到负载均衡的目的。3.中心机房网络：View系统，包括vSphere，View连接和安全服务器，vCenter服务 器，View composer服务器都位于中心机房网络中，为运行网提供安全集中的虚拟wdlhlIH勺片烈h*r Mt*hltr 凱 trrJWF1HI :W=512GBD RAID:支持 0,1,5,10+hotspare；E、主机接口： 4个8GB FC接口、4个千兆以太接口；含 HA阵列镜像Mirror、FCP数据访问、NFS数据访问等许可上。硬盘：15000转SAS硬盘，可使用容量 60TB虚拟化基础平台管理服 务器（vCen

34、terServer ）vCen terHeartbeat 实现咼可用性用于安装虚拟 化基础平台的 可视化管理工 具，实现对虚 拟化基础平台 服务器及虚拟 机等的管理。在VMVM上全新安装实现。可利用群 集的高级特性（如 HA FT）提高 其可用性，并可利用 VMwareData Recovery等对其进行定期备份。建议VM资源配置如下：CPU 8颗vCPU每颗频率 2.0G或以上内存：16G硬盘：100G系统： Win dows Server 2008企业版；其它软件：VMware vCenter Server :它是管理Hosts和VMs的核心桌面与应用 交付控制服 务器（Connectio

35、 n Server ）Replica 负载均衡器实现 咼可用按需将用户桌面与应用交付给最终用户。在VMVM上全新安装实现，利用群集 的咼级特性（如咼可用性 HA）提 咼其可用性建议VM资源配置如下：CPU 8颗vCPU 2.0G或以上内存：16G硬盘：100G系统： Win dows Server 2008企业版；其它软件：View Connection Server :在该服务器安装 ViewConnection Server 软件，该软件实现对桌面用户的访问 控制，通过该服务器可以实 现：?将指定的虚拟机分配给指定的用户；将一组虚拟机分配给用户组。VMwareComposer 服为桌面提供

36、可共享通用虚拟磁盘的黄金主在VMVM上全新安装实现，利用群集 的咼级特性（如咼可用性 HA）提系统： Win dows Server 2008企业版；务器映像池，连结咼其可用性其它软件：(HA和到主映像的所建议VM资源配置如下：View Composer Server :在该vMotion 保护有克隆桌面进CPU 8颗vCPU 2.0G或以上服务器上安装View实现高可用行修补或更新内存：16GComposer Server 组性）硬盘：100G件。在VMVM上全新安装实现，利用群集系统： Windows Server 2008;通过与的咼级特性（如咼可用性HA提其它软件：广域网接入服务器Se

37、curityConnectionServer 交互，按需将用户桌面与应用交付咼其可用性建议VM资源配置如下：CPU 4CPU 2.0G 或以上View Security Server :在该 服务器安装View SecurityServer组件，该组件通过与Server给广域网用内存：10G或以上；Connection Server 的交互实户。硬盘：80G现将桌面与应用交付给广域网卡：2个虚拟网卡；网用户。系统：Windows Server建议利用原有环境中的ADAD域控服2003/2008 ;务器其它软件：Microsoft Active提供用户登录或在VMVM上全新安装实现，利用群Dir

38、ectory角色:系统及访问资集的高级特性（如高可用性HAWin dows Server 系统AD/DNS服务源的用户认提咼其可用性自带的角色，直接在器证，同时提供建议VM资源配置如下：“管理服务器向导”域名解析服中添加即可；务。CPU 4CPU 2.0G 或以上DNS 角色：Windows Server内存：10G或以上；系统自带的角色，在安装硬盘：80GActive Directory过程中一并安装，实现域名解析。数据库服务为vCen ter在VMVM上全新安装实现。通过利用器Server、View群集的咼级特性（如咼可用性HA、系统： Win dows Server 2008企业版；(M

39、S SQLComposer 组件FT）提咼其可用性，VM资源配置其它软件： Microsoft .NetCluster 实现等提供数据库如下：Framework咼可用性）基础服务CPU 8颗CPU 2.0G或以上内存：16G硬盘：600GSQL Server 2005DHC服务器 （Active/Sta ndby实现高 可用性）为所有用户的虚拟桌面系统 提供IP地址分配服务在VMVM上全新安装实现。利用群集 的咼级特性（如咼可用性 HA）提 咼其可用性建议VM资源配置如下：CPU 1CPU 2.0G 或以上内存：4G或以上；硬盘：50G系统：Windows Server2003/2008 ；D

40、HCP 角色：Win dows Server系统自带的角色，实现IP地址动态分配。KMS1务器提供 Windows操作系统激活注册服务。建议利旧, ,或在VMVM上全新安装实 现.建议VM资源配置如下：CPU 4CPU 2.0G 或以上内存：10G或以上；硬盘：80G系统：Windows Server2003/2008 ；其它软件：Microsoft KMS角色：安装KMS软件。VMwareTh in App提供无代理的 应用虚拟化服 务，制作虚拟 化应用软件包在VMVM上全新安装实现。建议VM资源配置如下：CPU 1CPU 2.0G 或以上内存：4G或以上；硬盘：50G系统：推存Window

41、s XP或Windows 7桌面操作系统；其它软件：VMware Thi napp 4.0.6以上版本FC存储网络为存储与服务 器间的连接提 供网络链路支 持。8G FC SAN光纤网络；以太网交换：网络：为服务器间、 客户端与服务 器间、服务器与 nternet间的服务器间通讯：1000M以太网络。客户端接入：100M以太网络。1000M以太网交换机，100 M以太网交换机。虚拟桌面能够路由到Conn ection server 地址。/连接提供网络链路支持。3.3.342.View 桌面 BlockView桌面block，同时也可以叫做 View building block ，也是Vie

42、w架构的一个抽象 组件。View桌面blocks 由一个vCenter实例来管理包括主机vSphere的cluster , View桌面和在这些 vSphere host 上的桌面池。一个View 桌面block由以下组件组成：vCenter servers - View block的资源由 vCenter server来管理，并且总是一个 View 桌面的 block 对应一个 vCenter server。ESX/ESXi主机 -ESX/ESXi host来负责运行 view的桌面虚拟机，对应一个 View 桌面block 。vSphere 集群 -vSphere clusters 包括

43、ESX/ESXi 主机。View桌面池 -View block 设计为包含 6个桌面池.共享存储 -VMFSbr NFSdatastore 可以被所有的 View桌面block 中ESX/ESXi 所访问和共享，为SAN存储。本地存储-ESX/ESXi server上，用来存放内存，交换数据和临时文件.3.网络及带宽逻辑设计位置客户端数目连接带宽每个办公部门的业务终端的平均流量为200kb/s （估值）人员数量450人720MB网络需求采用如下数据：根据分析用的客户端网络情况，同时考虑20%勺可能冗余与峰值预留，用于最终核算中行软件中心对于网络带宽的需求。参考实际测试数据，每个虚

44、拟桌面与前端用户的网络流量=400kbps。今后完成软件中心部署后，虚拟桌面将在虚拟平台和现有 中间层应用之间产生大量的网络流量，建议保证中心机房的核心交换机为10,000M。网络设计要求：虚拟桌面能够通过解析Co nn ection server 地址。Connection server 能够解析 vCenter 地址。3.3.344.用户体验设计根据对使用环境的调研，用户的使用场景为业务办公型，为提供给用户满意的用户体验,现提出用户的用户体验设计。a）用户类型设计F表为用户类型:用户类型使用软件网络接入用户权限设计业务办公型办公低负载一般用户权限，用户无法自己安装新软件b）用户用例定义用例

45、属性描述用户数450用户负载高负载位置使用时间12 * 7访冋方式局域网认证方式标准windows登陆认证核心应用办公程序，开发程序操作系统Windows 7 32 bit SP1, Windows 7 64 bit SP1是否允许安装应用不允许观看视频无使用音频（VoIP）无打印机网络打印机和本地串口打印机显示器一个显示器外设通用USB设备、USB key、条码阅读器、刷卡、刷折子、扫描仪、USB读卡器，客户端普通PC网络连接咼带宽占用c）用户用例设计具体的用户用例：用户用例使用软件用例描述外设View 设计用例场景一使用程序用户连接View客户端，获无View配置用户策得身份认证之后，使用

46、进行略，并使用PColP日常办公Gateway用例场景一使用外设用户连接View客户端并使USB设View配置USB重用USB设备，继续开发测试备定向和白名单工作。用例场景二使用打印机用户使用View客户端串口或ThinPrint打印word , excel进行日常办公，网络打机，或者使用 RDP并使用打印机印机配置串并口打印机d）用户连接设计 用户的网络带宽连接设计:用户用例网络使用网络带宽协议选择View设计临潼工作区用户局域网100 M 或 1000MPColPPCoIP带宽协议优化高新产业园用户局域网100 M 或 1000MPColPPCoIP带宽协议优化大庆路集团本部局域网20M

47、或 100MPCoIPPCoIP带宽协议优化用户e）用户访问安全设置根据实际使用情况，本次In ternet VPN 连接设计使用安全服务器。用户客户端连接服务器虚拟机View设计In ternet 用户客户端运行网中心机房网络中心机房网络使用 HTTP和PCoIP隧道334连接服务器组件设计 View连接服务器系统要求操作系统Win dows 2008 R2 or R2 SP1 64 位CPU8 vCPU内存16G网卡千兆 VMware vNet3磁盘C 盘 100G网络VMware E1000数量1 (Standard ) + 1(Replica ) + 1 (Standby

48、 )主机名con1 (Primary )con2 (Replica )con3 （ standby）系统优化Windows Server 2008无需更改TCB的大小。当内存大小为 10G时，安 装时 View Connection Server 会将 JVM的 Heap Size 设置为 2G 否则 设置为512MJVM 大小设置项为： HKLMSOFTWAREVMware,lnc.VMware VDMPlugi nsws nmtunn elServiceParams-Xms128m -Xmx1024m-Dsimple.http.poller=simple.http.Gra nularPol

49、ler-Dsimple.http.c onn ect.c on figurator=com.vmware.vdi.fr on t.Simpl eCon figurator3.342 View Conn ection Server 全局配置从安全角度考虑，将 VMware View Connection Server配置成旁路的模式部署，仅当瘦客户端启动，用户第一次登陆时，才会通过conn ection server建立会话，后续的应用操作不需要通过其进行会话连接。 同时Https模式和PColP自由的AES-256加密更保障了通讯的安全性。设置:Connection server 设置Http

50、隧道PCoIP隧道支持桌面数目池状态连接服务器配置关闭关闭数据转发，支持300台桌 面，最大可以支持到 750 桌面同时访问。开启View conn ection server配置页面，设置 Https 隧道。View conn ection server配置页面，设置 PCoIP 隧道。View Conn ecti on Server replicaVMwareView Connection Server为一组服务器，第一次安装的时候，选择Standard View Conn ection Server ，之后安装多台View Co nn ection Server的时候，选择

51、安装模式为Replica Server。此次规划为2台View Replica作为负载均衡和提供高可用。1台conn ectionserver 作为 Sta ndby 的 server，当由 conn ection server出故障之后， Sta ndby 服务器立刻启动，接管故障的连接服务器。3.344 View Connection Server 的负载均衡考虑到450用户情况，部署 3台View Conn ection Server 即可，其中2台Active，- 台 Standby。前置负载均衡设备，所有终端用户将连接统一的负载均衡设备地址，自动实现负载均衡和故障切换。3.3.5 V

52、iew桌面池设计桌面池的设计根据需求调研，现对桌面池的设计如下：3个部门，每个部门2个桌面池，每个桌面池的类型如下:桌面池ID池类型生成类型和方法默认协议池状态win 7x32Pool固定池自动(Linked clone)PCoIP开启win 7x64Pool固定池自动(Linked clone)PCoIP开启桌面池定义池属性选项描述池生成类型自动所有的虚拟虚拟桌面全部通过模板自动生成。池类型固定池固定池中的桌面，只能一个授权用户访问， 其他用户无法 访问生成方法Lin ked Clone使用副本+链接克隆虚拟机生成虚拟桌面显示协议PCoIPVMware支持的先进显

53、示协议用户数据持久化配置重定向重定向用户配置和数据到持久磁盘主机缓存配置配置主机缓存，CBRC host cache，用于将热点数据存放 在主机的内存中，最大设置 2G,设置不做索引的时间为： 周一到周五，8:0022:00永久磁盘和操作 系统分开设置永久磁盘 D盘，将用户数据重定向到 D盘,大小100G副本和操作系统 分开将副本和操作系统分开，将副本放在单独的数据存储上， 根据具体情况，单独数据存储一般为 NAS数据存储重定向一次性磁盘文件将一次性磁盘文件定位到E盘，大小68G存储配置链接克隆磁盘分 别在多个存储选择数据存储（LUN的时候，将链接克隆虚拟机放在多 个数据存储中，一个数据存储最

54、多不超过64个链接克隆虚拟机。应用发布ThinAPP 发布使用ThinAPP方式发布虚拟应用授权用户设置AD View用户组设置特定的AD组，为View Pools建立AD用户组，根据 实际情况，将450个用户分为6个组（3个部门），对.3.桌面操作系统优化应相应的不超过 6个桌面池（每个部门不超过 2个桌面 池）。电源管理保持开机虚拟桌面始终保持开机，如果用户米取关机操作，View连接服务器会自动将虚拟桌面开机用户注销操作预定分钟后将用户注销在预定分钟后不操作， 将用户注销，根据实际情况，设置 为300分钟。335.3View桌面系统.1.桌面操作系统虚拟硬件配置

55、虚拟桌面系统根据调研的结果，进行归纳后有以下三种Win dows 7 SP1 32 位中文系统系统Windows 7 SP1 32 位中文系统Lice nseKMS激活CPU4 vCPU内存4G磁盘C 盘：50GD 盘：100G网卡VMware VMXNET3软驱，光驱，串并口等禁用Win dows 7 SP1 64 位中文系统系统Windows 7 SP1 64 位中文系统Lice nseKMS激活CPU4 vCPU内存4G磁盘C 盘：50GD 盘：100G网卡VMware VMXNET3软驱，光驱，串并口等禁用.2.桌面操作系统系统及软件系统镜像由用户统一生成。桌面系统的优化

56、对整个 VDI环境的性能影响较大。因此需要做好这方面的工作。4快照及注意事项VMware虚拟机快照使用方便，但不应作为备份恢复的方案，快照数量太多，会大大影 响虚拟机的性能。建议生产用的虚拟机快照数量为3个。.5.虚拟桌面存储设计桌面存储分配Storage 需求配置注意事项OS50GUser Data100GPage File4GLog Files1GTotals155G网络连接建议使用PColP。如有需要串口设备的使用，则须使用RDP协议才能实现。或者使用串口转USB口的设备使用 PColP协议。以每个用户150200Kb计算，150200*450=720Mb,建

57、议根据此参数考虑网络带宽来满足要求。USB设备具体型号安全风险View设置USB读卡器USB读卡器无禁用USB开启白名单，加入USB设备UID和PIDUSB打印机USB打印机无禁用USB开启白名单，加入USB打印机设备号USB KeyUSB key无禁用USB开启白名单，加入 USBKey设备号注册U盘需统计U盘UID, PID有禁用USB开启白名单，加入注册u盘设备号335.4瘦客户机终端.1.终端系统定制要求打印设备具体型号打印内容View设置网络打印机网络打印机文档类默认打印机映射并口打印机并口打印机文档类Thin Pri nt打印机或RDF打印串口打印机串口打印机文档类T

58、hin Pri nt打印机或RDP打印USB打印机USB打印机文档类USB打印机重定向要求用户登陆后只能使用 View Clie nt 软件。用户无法打开其他软件和登陆本地系统。 目前暂时使用的瘦客户机或PC终端应按照以上终端配置进行系统设置。3.3.542.外设使用的基本原则所有的USB Storage存储类设备将被禁用，其余类型 USB设备（如注册的 U盘、US E读卡器、USE打印机、USBkey）可以使用。 将采用白名单的方式对 USB设备进行放行, 通用的USB设备，UID和PID 一致，可以加入白名单使用。.3.外设的种类及型号常见的USB的外设有，所有设备均需要经过

59、测试验证。.4.打印在此桌面环境内可以使用打印机来打印数据。 vCenter服务器配置操作系统Win dows 2008 R2 or R2 SP1 64 位CPU8 vCPU内存16 G网卡千兆 VMware VMXNet3磁盘C 盘 100G数量2（1个为冷备，定时复制 vCenter虚拟机）主机名viewvc系统优化无特殊需求335.6vCenter数据库配置数据库的信息如下:属性配置数据库服务器viewdbCPU8vCPU内存16G数据库产品SQL Server 2008 R2数据库名称VCDB身份验证的方法Win dows/SQL server数据表容量20

60、0G临时表容量50G自动扩展YesTran sacti on Log容量2G(max), 10% in creseme nt恢复模式简单vCenter统计级别2数量1关于如何估算 vCenter DB的大小，请参考 VMwarevCenter Server 4.x Database SizingCalculator for Microsoft SQL Server或者使用 vCenter内置的工具估算 DB(需要安装 VC之后)。vCenter必须能够通过ODBC链接到数据库。在 vCenter与数据库服务器必需的网络端 口是 1433。 vCenter集群定义及配置考虑到此次购