桌面云容灾技术架构

1、 桌面云容灾技术方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc9173984 1.1桌面云容灾体系架构 PAGEREF _Toc9173984 h 3 HYPERLINK l _Toc9173985 1.1.1桌面云容灾体系建设标准 PAGEREF _Toc9173985 h 3 HYPERLINK l _Toc9173986 1.1.2桌面云容灾平台架构 PAGEREF _Toc9173986 h 4 HYPERLINK l _Toc9173987 1.1.3桌面云容灾框架 PAGEREF _Toc9173987 h 5 HYPERLINK l _Toc9173

2、988 1.2本地高可用性 PAGEREF _Toc9173988 h 6 HYPERLINK l _Toc9173989 1.2.1硬件层 PAGEREF _Toc9173989 h 8 HYPERLINK l _Toc9173990 1.2.2Cloud stack层 PAGEREF _Toc9173990 h 12 HYPERLINK l _Toc9173991 1.2.3管理层服务器 PAGEREF _Toc9173991 h 13 HYPERLINK l _Toc9173992 1.2.4桌面池的可用性 PAGEREF _Toc9173992 h 17 HYPERLINK l _To

3、c9173993 1.2.5云桌面管理层 PAGEREF _Toc9173993 h 19 HYPERLINK l _Toc9173994 1.2.6业务管理门户 PAGEREF _Toc9173994 h 20 HYPERLINK l _Toc9173995 1.2.7接入层 PAGEREF _Toc9173995 h 20 HYPERLINK l _Toc9173996 1.3同城容灾 PAGEREF _Toc9173996 h 22 HYPERLINK l _Toc9173997 1.3.1同城容灾整体架构 PAGEREF _Toc9173997 h 23 HYPERLINK l _To

4、c9173998 1.3.2硬件层 PAGEREF _Toc9173998 h 24 HYPERLINK l _Toc9173999 1.3.3Cloudstack层 PAGEREF _Toc9173999 h 28 HYPERLINK l _Toc9174000 1.3.4控制层 PAGEREF _Toc9174000 h 29 HYPERLINK l _Toc9174001 1.3.5桌面池管理层 PAGEREF _Toc9174001 h 32 HYPERLINK l _Toc9174002 1.3.6云桌面管理层 PAGEREF _Toc9174002 h 34 HYPERLINK l

5、 _Toc9174003 1.3.7业务管理门户 PAGEREF _Toc9174003 h 34 HYPERLINK l _Toc9174004 1.3.8访问层 PAGEREF _Toc9174004 h 34 HYPERLINK l _Toc9174005 1.4异地远程容灾 PAGEREF _Toc9174005 h 40 HYPERLINK l _Toc9174006 1.4.1异地容灾整体架构 PAGEREF _Toc9174006 h 40 HYPERLINK l _Toc9174007 1.4.2硬件层 PAGEREF _Toc9174007 h 42 HYPERLINK l

6、_Toc9174008 1.4.3Cloudstack层 PAGEREF _Toc9174008 h 46 HYPERLINK l _Toc9174009 1.4.4控制层 PAGEREF _Toc9174009 h 46 HYPERLINK l _Toc9174010 1.4.5桌面池管理层 PAGEREF _Toc9174010 h 47 HYPERLINK l _Toc9174011 1.4.6云桌面管理层 PAGEREF _Toc9174011 h 48 HYPERLINK l _Toc9174012 1.4.7业务管理门户 PAGEREF _Toc9174012 h 48 HYPER

7、LINK l _Toc9174013 1.4.8访问层 PAGEREF _Toc9174013 h 48桌面云容灾体系架构由于桌面云系统承载了企业所有用户到应用的交付的核心平台，桌面云平台的业务连续性关系到整个企业能否正常开展业务的核心层面。故桌面云平台自身具有一定的可用性的同时，但需要考虑到更高层次的威胁对系统带来的不可用，包括地震，电力故障，环境故障，人为误操作等。故而需要对桌面云系统进行灾备的建设，保障业务的可持续性发展，满足业务需要。桌面云容灾体系建设标准对于桌面云建设容灾，就必须提出相应的设计指标，以此作为衡量和选择灾难恢复解决方案的参数。建议根据国家标准信息系统灾难恢复规范GB/T

8、 20988-2007建立设计业务系统的容灾方案。信息系统灾难恢复规范根据信息系统灾难恢复能力定义了六个级别，企业需要根据其计算机处理系统中数据的重要性，以及需要恢复数据的速度和程度，来进行数据容灾的总体规划。详细的灾难恢复能力分级详见下表：桌面云容灾平台架构对于桌面云容灾体系需要实现整个平台的高可用。这里包括：物理架构的高可用构建物理架构的可用性，保证各个硬件层次的可用性，如服务器，存储，网络，这部分主要通过硬件自身的冗余组件保证。基础架构的高可用基础架构的可用是桌面云系统的核心，由于桌面云的各个服务器可以通过虚拟化的方法部署与各个Hypervisor层，故可以利用Hypervisor的集群

9、特性实现。回话并发的可用性回话并发的可用性保证了在当底层基础架构层次的某单个服务器的不可用时实现业务快速转移和日常访问的负载均衡。保证访问的可用性，而Citrix的服务器系统本身具备负载均衡特性。可以很好的保障访问回话层次的高可用。站点的可用性站点的可用性解决当一个数据中心出现问题是，故障快速转移，实现业务连续性，Citrix的Netscaler觉有全局负载均衡特性，当生产中心或者某一站点出息故障时可以快速完成业务切换到可用的站点或者数据中心。桌面云容灾框架容灾架构设计如上图，对于桌面云系统，我们建议建立统一管理的本地数据备份，同城数据实时备份，异地远程数据备份的2地3中心模式整体规划。根据系

10、统现状，结合国家标准信息系统灾难恢复规范，我们建议由于桌面云系统作为企业核心业务的特点，建议同城灾备等级为6级（RPO=0，RTO1hr），异地灾备等级为5级（RPO10m，RTO2hr）。根据企业实际情况逐渐建立这一整套完善的灾难恢复技术体系。本地高可用同城集群异地灾备目标建立完善的桌面云高可用集群系统，保证桌面云自身的高可用建立同城双中心的桌面云系统，实现桌面云业务在两个中心的快速切换以及负载均衡建立异地的桌面云应用级备份中心，实现发生重大灾难时业务的可恢复性和关键业务的连续性抵御风险类型硬件故障，应用失败，低等级人为失误电力，环境，大规模硬件失败，高等级人为失误区域性自然灾难RTO，RP

11、ORTO=0RPO=0RTO=2m10mRPO=0RTO=20m40mRPO=2m10m可以看出首先建立桌面云本地的高可用是构建桌面云容灾体系的基础，并且可以抵御日常大部分灾难。在此基础之上构建同城灾备中心实现桌面云的同城高可用或双中心，抵御数据中心层次的灾难，最后构建异地灾备中心抵御更大但概率较低的灾难，满足桌面云系统的可恢复性和关键业务连续性的业务要求。企业可以根据自身的情况实现不同目标的容灾系统，或者实现容灾系统演进，最终构建完整的桌面云容灾体系，路线图如下：第一步，建设桌面云本地高可靠系统，第二部，构建桌面云的同城容灾体系。第三步，建设异地远程数据容灾体系第四步，建立异地应用级容灾体系

12、 第五步，建立同城双中心本地高可用性桌面云本身的高可用是整个平台的基础，只有本身的冗余组件的搭建，防止由于单个组件导致的本身系统的不可以具有重要意义，也是整个远程容灾的基础。高可用性（HA）解决方案可确保在系统上消除了单点故障，冗余组件之间尽可能无缝的故障转移，以维持服务，并持续性为用户提供不间断的服务。在XenDesktop或XenApp解决方案，作为桌面云的HA需要考虑如下的五个层次的可用性。硬件层服务器作为桌面云平台服务器应具备RAS标准。其中R(reliability)表示高可靠性；A(Availability)表示高可用性；S(Serviceability)表示可维护性。一般用MTB

13、F指标(平均无故障时间)来衡量服务器的高可靠性，MTBF值越大表示系统的可靠性越高；用几个9来衡量服务器的高可用性，如99.999%。 存储系统存储子系统的可用性是整个平台的基础。从存储子系统的构建来看需要完成存储网络的可用性，存储可用性，以及数据可用性。存储系统可用性与保证HBA或NIC，网络路径，存储控制器和磁盘阵列的高可用。在上面所示的环境中，XenServer的多路径功能允许利用多个冗余网络路径的存储基础设施，它可以提高性能，并提供高可用性的存储I/ O。再次，存储阵列必须支持此配置。同时服务器到存储需要建立一个独立的存储专业网络，保证其可靠性。存储网络可以在主机和存储之间构建冗余的光

14、纤交换机提供冗余的光纤连接实现存储网络的冗余存储存储子系统可以通过存储系统间做镜像或者采用存储虚拟化的方法构建存储系统的高可用网络桌面云的可用性与企业内部网络的可用性息息相关，这需要企业网络架构需要提高网络可用性。在网络出现故障时，确保网络能快速回复的容错技术均可以归入高可用技术。常用的网络高可用技术可归为以下几类： 单设备的硬件冗余：冗余电源、冗余风扇、双主控、板卡支持热插拔； 物理链路捆绑：以太网链路聚合，基于IRF的跨设备以太网链路聚合； 二层冗余路径：STP、MSTP、SmartLink； 三层冗余路径：VRRP、ECMP、动态路由协议多路径； 故障检测：NQA、BFD、OAM、DLD

15、P； 不间断转发：GR、热补丁升级； L4-L7多路径：状态热备、非对称路径转发。备份系统备份系统是作为可用性系统中最为可靠，实现成本最低的实现手段。在桌面云的备份系统中需要考虑以下几个方面的问题。备份架构备份内容备份策略恢复方式备份架构作为桌面云备份系统，需要数据量非常大，另外由于桌面云的数据主要通过底层的hypervisor进行管理和统一部署在存储系统上。这样需要备份系统在架构上，需要采用LAN-free和server-free技术完成数据的快速备份，降低对系统的影响。备份服务器：将采用独立的物理服务器作为整个备份系统的核心平台，由该服务器完成备份作业的发起，策略制定，资源管理，数据复制等

16、。针对Xenserver服务器需要在Xenserver服务器中部署一台独立的虚拟机服务器作为介质服务器完成对该Xenserver中的VM的LAN-free备份。存储：备份存储建议首选独立的磁盘存储作为一级备份存储，实现数据的重复数据删除的同时快速备份和恢复。同时为了数据的安全性通过数据备份策略将备份数据归档当二级备份存储带库，虚拟带库进行长期保存或出库保存，实现数据的安全性网络：由于备份采用的是LAN-free和server-free方式，故网络上的数据非常小，可以将备份网络和其他网络合用。重复数据删除：由于在虚拟机中，有大量的重复数据，采用重复数据删除将极大的提升备份性能的同时降低存储消耗。

17、由于虚拟机资源非常紧张，故采用重复数据删除时采用后端服务器消重或者存储消重，降低对服务器资源消耗。备份内容在桌面云系统中备份系统将备份以下关键数据用户数据基础设施以及专有模式下的关键虚拟机备份策略备份内容备份方式备份周期备份级别用户数据NDMP，LAN-free每日增量，每周全量文件级基础设施服务器LAN-Free，Server-free每周全量磁盘级关键独占VMLAN-Free，Server-free每日增量，每周全量磁盘级恢复方式在桌面云备份系统中，可以当某个文件出现损坏可以通过备份系统中的细粒度恢复技术，恢复其中某个文件。当然当整个VM不可用时，可以首选通过快照技术快速恢复，当快照无法恢

18、复时，再利用备份系统进行单个VM的恢复。Cloud stack层Cloudstack是完成对硬件资源和hypervisor层的资源调度整合管理，其核心是通过一下组件构成Cloud stack核心服务器Primary 存储Secondary 存储配置数据库Cloudstack核心服务器Primary 存储Secondary 存储配置数据库管理层服务器控制层提供托管虚拟桌面的基础，包含所需的基础设施。在控制层中，每个组件应该是高度可用的，以避免单点故障。 XenDesktop和XenApp架构，需要考虑的下列基础设施服务器和服务：XenDesktop控制器XenDesktop的控制器负责管理活动级

19、别和空闲的虚拟桌面和监测网络和连接的台式机的状态。在XenDesktop控制器必须提供其相应的桌面，以方便用户的连接。每个XenDesktop的控制器还包含XML的服务，这是负责对用户进行身份验证（当使用Citrix Web界面），并规划资源。在XenDesktop环境中，多个控制器会自动实现负载均衡，以实现高可用。建议通过采用N +1冗余方式实现部署，这样将确保用户连接始终可用。XenApp的控制器XenApp的控制器基础设施由两部分组成，管理连接到共享的虚拟桌面和虚拟化应用程序。Zone数据采集器（ZDCs）的维护在一个zone内的XenApp应用服务器的动态信息，如服务器负载，会话状态和

20、发布的应用程序。 XML代理对用户进行身份验证和枚举资源，以及管理用户启动请求配置到相应的应用服务器。 XenApp的控制器可以和其他Xenapp组件集成，或可以专门独立的服务器时。 ZDC和XML控制器的功能，也可以独立部署到不同的服务器。多个ZDC将采用主备模式工作。即在ZDC服务器群中，只有一台ZDC是机，其他的ZDC这是备机模式。这样可以根据业务的规模配置1主多备的模式进行ZDC的部署。无论任何情况建议最少配置两台ZDC实现冗余，同样XML代理服务器也是如此。单一镜像管理单一镜像管理将利用XenDesktop的MCS技术进行实现，MCS是利用了Hypervisor层的快照技术从主镜像盘

21、通过快照使用极少量空间为用户创建了ID盘和差异盘，存储每个桌面的差异信息。这部分信息包含存储在存储子系统上，无需特定的服务器支持，故只要保证存储子系统的可用性即可保证镜像管理的可用性。License服务器Citrix License服务器提供了桌面云中的所有组件许可。 Citrix许可有30天的宽限期，在此期间，当许可证服务器不可用时XenDesktop组件将正常工作的。失败的许可证服务器可以很容易地重建，并从备份中恢复，而不会影响桌面云系统的运行。在使用Xendesk环境中需要微软远程桌面服务的支持，这就需要微软License服务器的部署。微软的License服务器可以成对部署，从而避免单点

22、故障。SQL数据库服务器MSSQL数据库存储了XenDesktop，XenApp，StoreFront，PVS系统的所有配置信息。配置和当前利用率信息被存储在数据库中。MSSQL的连续性对于XenDesktop系统至关重要，如果失败，客户端将无法连接到XenDesktop系统中或者无法使用XenApp。 SQL Server可以通过一些技术，包括hypervisor HA集群技术，和SQL镜像。 XenDesktop的架构，建议的SQL数据库可以通过SQL镜像证配置高可用，因为它提供了自动故障切换用最少的停机时间。Active Directory和DNS服务活动目录（AD）主要用来实现用户身份

23、验证而DNS服务用来实现系统全局FQDN。 AD和DNS服务是企业IT架构的重要组成部分，它们通常是在都具有了高可用性。一般可以利用Active Directory集成的DNS多主复制实现可用性。DHCP服务当一个新的虚拟机启动时，它从DHCP请求一个地址。 DHCP系统的设计必须具备即使一台DHCP服务器损坏也不会阻止新的DHCP请求的能力。通常情况下，企业的DHCP解决方案已经具有高可用性。在不同的网络域中建立冗余DHCP服务器或构建集群DHCP服务器是最常见的方法。XML服务XML的服务是XenDesktop或XenApp环境中的一个重要组成部分，作为XenDesktop控制器或XenA

24、pp控制器基础设施的一部分存在。XML服务是负责当使用Citrix Web界面时的用户认证，以及资源的枚举和资源启动进程。在XML服务中的失败将导致用户无法启动虚拟桌面或虚拟化应用程序。下图显示了XML服务用户是多么重要。XML服务是构成用户之间和XenDesktop和XenApp基础设施之间的中转站，这使得它的关键。如果该进程回应不正确，Web界面的服务器可能会被卡住，导致用户没有获得其资源的请求/响应。多个XML服务器可以负载平衡，以提供高可用性。 XML的服务器的数量应考虑采取所需的负载的N +1冗余配置。 Citrix Web界面提供的XML服务的基本循环的负载平衡。然而，这会产生问题

25、，如果一个XML服务正在运行，但没有回应的情况。而NetScaler提供了更多的智能监控，通过使用预配置的监控XML服务。监测确定的XML服务是否正在运行，它是否响应及时与预期的信息。如果监控到收到一个错误的结果或完全故障，NetScaler将利用其负载均衡算法创建一个新的会话连接到其他可用的XML服务上。 所以NetScaler将动态调整环境，以避开失败的XML服务。如果XML Broker功能恢复后，NetScaler可自动检测，并将其合并到周围的环境。虚拟桌面代理（VDA）虚拟桌面代理是一个软件组件，安装在XenDesktop虚拟桌面中，实现虚拟机注册到XenDesktop控制器，以及管

26、理虚拟桌面和用户设备之间的HDX连接。 在安装时VDA使用控制器地址列表或通过组策略进行，随机从从控制器列表中选取控制器进行尝试连接到XenDesktop。如果无法联系该控制器，它会从列表中选择另一个。VDA也有高可用，在罕见的情况下所有XenDesktop控制器是不可用，这将允许用户连接到其专用的虚拟桌面。连接被限制在一个单一的设备（无漫游）和无其他功能，如Citrix策略，电源管理和远程访问（通过接入网关）将不可用。桌面池的可用性客户端当使用Citrix桌面云时，客户端主要包括以下4个层次组件：硬件操作系统应用个性化为了保证用户能随时可以工作，需要解决以上硬件，操作系统，应用的可用性问题。

27、硬件由于Citrix桌面云本身提供了终端的可用性，当使用Citrix桌面云系统是终端硬件故障变得成为一个非常容易解决与XenDesktop，硬件成为一个非问题，提供可用性。在此之前，用户的物理桌面包含其全部应用环境。当终端损坏意味着失去工作，直到设备修好。在一个虚拟化的桌面模式中，用户的操作系统，应用程序和个人设置从核心硬件抽象出来。本质上，用户能够在不同的物理机器上，无缝的访问其桌面和应用。提供了容错能力在以下方面：终端故障：如果用户的物理终端故障，任何新的终端均可以用来获得到虚拟桌面。虚拟桌面失败：如果提供的虚拟桌面出现故障时，用户可以立即启动一个新的初始化连接，并在Citrix桌面云系统

28、将重新并快速的为用户制备一个完整可用的具备其原有个性化的桌面交付给用户。相比较传统物理终端故障时失去任何打开和未保存的修改数据，而恢复到一个新的虚拟桌面会快和轻松很多。可以看出，转化成一个虚拟桌面系统将避免传统桌面设备故障带来的生产力损失。操作系统操作系统的无法启动、蓝屏、崩溃等故障是导致桌面系统不可以的第二个主要的原因。而当使用Citrix桌面云系统时，出现系统崩溃等问题时可以利用Citrix 先进的FlexCast技术可以重新快速提供一个标准化、快速、优化过得操作系统镜像给虚拟桌面，从而保证桌面的可用性。在的池桌面模式中，将通过对标准操作系统映像创建快照，此快照的基础上，利用Citrix独

29、有的差异磁盘技术组合成具有个性化的桌面一个交互给用户的使用。而用户的更改只存储在差异磁盘空间中。一旦用户的桌面会话重新启动，所做的任何将被删除。当用户重新发出一个新的连接到他们的虚拟桌面，他们收到一个全新的，优化的环境。在专用的桌面模式和集中模式类似，只是用户对桌面的更改在重新启动后保持持续性。这样当虚拟桌面出现崩溃时需要快速的重新启动到一个可用的桌面。当出现虚拟桌面需要恢复时，可以通过备份系统快速恢复。当管理员需要对桌面云进行变更时，如安装一个新的修补程序的情况。在池模型中，补丁程序可以应用到目录的主映像，并通过重新启动虚拟桌面交付给用户。如果该变更出现故障，管理员可以通过快照快速恢复到以前

30、的桌面映像。而在专用的虚拟台式机的情况下，使用传统的桌面管理工具进行应用和系统的管理。应用在虚拟桌面中交付应用程序可以通过三种不同的方式。在池模式桌面、专有桌面可以以利用流技术或者应用虚拟化技术均可很好的解决用户在使用应用过程中出现崩溃，误删除等带来的应用不可用问题。安装：在虚拟桌面基本映像中直接安装应用程序。在池模式中，操作系统为只读，用户级别的改变都存储在一个临时的缓存中。重新启动虚拟桌面时，这些更改将丢失并且虚拟桌面将恢复到基本映像。这样可以使的操作系统和已安装的应用程序的恢复到原始状态，无任何损坏或错误配置。而专用的虚拟桌面模式中的应用程序管理部署，通过传统的系统管理模式进行。当出现故

31、障时通过快照或者备份系统进行恢复即可。流：流交付应用程序时按需通过在网络上进行应用交付的。应用程序存储在文件服务器上（ApplicationHUB）。当用户启动应用程序时，按需交付到虚拟桌面。流程序将在应用程序加载的过程中验证文件状态的正确性。如果检测有问问题，则从应用HUB（ApplicationHUB）重传有问题的部分应用流即可。应用虚拟化：应用虚拟化，应用在XenApp服务器上执行，因此应用程序不会影响到虚拟桌面。个性化在XenDesktop环境中，个性化使用，可以减少桌面映像数量和设备。通过个性化设置用户可以对不同用户或者部门，呈现个人或者部门文档、应用、界面等。应保持尽可能保留用户配

32、置和自定义个性化配置。如果个性化配置信息是不可用的，用户会收到一个默认的配置文件，和一个标准的虚拟桌面的访问，会失去自定义功能。如果没有个性化系统是不可用的，用户也可以访问重定向文件夹中存储的文件。用户个性化的数据存储在网络用户存储（NUS）中。网络用户存储是微软的Windows文件共享服务，它包含用户的个人资料数据和重定向文件夹。NUS存储在存储系统上，可以通过存储复制将完整的复制到灾备中心中，当需要灾备中心提供服务时，可以通过脚本形式自动化启动该服务，即可以对外提供个性化的数据服务。云桌面管理层云桌面管理完成用户自服务，桌面云流程管理等服务。该服务将采用Webservice方法对底层云平台

33、或者hypervisor平台进行调度管理。Webservice采用了三层架构，桌面云管理web服务桌面管理配置数据库桌面云管理web容器其高可用可以通过构建冗余的web容器和配置数据库的复制镜像技术进行保障该平台的高可用。业务管理门户业务管理门户是一个企业级操作支持平台，可立即支持多种Iaas。业务管理门户包括帐户管理、价格与账单、CRM 和报告的标准模块和组件，这些模块和组件可针对公共云计划快速实现。该服务将采用Webservice方法对底层云平台或者hypervisor平台进行调度管理。Webservice采用了三层架构，业务管理门户web服务业务管理门户配置数据库业务管理门户web容器其

34、高可用可以通过构建冗余的web容器和配置数据库的复制镜像技术进行保障该平台的高可用。接入层接入层是为用户提供访问XenDesktop或XenApp环境所需的组件包括，Web Interface、StoreFront Server和NetScaler。这些组件允许用户在本地和远程访问他们的虚拟桌面和应用程序。如果接入层没有高可用，在接入层无法提供的控制和桌面层的资源，虚拟资源也就无法使用。Web InterfaceWeb Interface的服务器负责向用户交付桌面和应用程序。无论是用于通过Web浏览器访问，或通过Citrix Receiver（服务站点），Web Interface是用户接口的

35、一个重要组成部分。从界面上，用户输入他们的凭据，并选择自己的桌面或应用程序。作为用户交互，网络接口连通的XenDesktop网站以满足用户请求的XML服务。当W服务失效的情况下，IIS服务失效或Web Interface遇到问题，用户将无法连接到后台环境。高可用性Web Interface实现多台服务器配置，通过外部负载均衡器如Citrix NetScaler实现WI 以及XML 服务器的负载均衡。应配置足够的Web Interface服务器处理的用户请求，同时提供N +1冗余，从而防止由于服务器故障而无法提供服务。StoreFront 服务器与Web Interface相似， StoreFr

36、ont 服务器也是负责向用户提供桌面和应用程序。StoreFront提供了用户可以通过具有native接收客户端台式机，笔记本电脑和平板电脑，或者基于Web的访问的方式。StoreFront绕过XML的代理服务器的身份验证的要求，直接进行认证，然后传递请求。StoreFront也有一个数据库服务器组件，它提供了应用程序跨多个设备的同步。StoreFront服务器的SQL数据库组件应加以保护，以保持可用性（请参阅SQL Server的控制层部分）。可以配置多台StoreFront服务器，通过外部负载均衡器如Citrix NetScaler实现StoreFront服务器的负载均衡。应配置足够的We

37、b Interface服务器处理的用户请求，同时提供N +1冗余，从而防止由于服务器故障而无法提供服务。AppController服务器NetScaler的/接入网关NetScaler在XenDesktop和XenApp架构扮演两个主要角色。它为XML服务器和Web Interface服务器等组件提供了智能的负载平衡，另外提供企业级接入网管平台其平台。 NetScaler通过智能监控，负载平衡Web Interface和XML服务器。启动一个连接监控服务，不断的探测需要监控的服务是否能够正确的连接相应。如果监控到服务无法正常访问和响应，NetScaler将生成警报。并且NetScaler会将该

38、服务器从负载均衡池中剔除，直到问题得到解决。用户新的请求被路由到可用的服务器。在接入网关的配置中，应指定至少有两个Secure Ticket Authority（STA）服务器从而避免单点故障的发生。在生产环境中，NetScaler和Access Gateway应配置为高可用。NetScaler的设备，可以是物理或虚拟设备，均成对安装部署成主备模式成负载均衡器或者Access Gateway模式从而防止一个组件发生故障的情况下继续提供服务。同城容灾同城容灾在作为桌面云容灾体系建设中关键的一个容灾内容，主要完成对生产中心的桌面云高可用的补充，实现在同一生产中心无法抵御的环境灾难，电力故障，大规模

39、硬件故障，高等级人为错误等造成的生产中心业务不可用的情况下，保证业务的连续性。在桌面云系统同城容灾系统建设需要考虑一个重要因素是，在同城灾备中心和业务的关系。企业在进行异地灾备中心建设时，对于该中心的角色定位会分为以下几种情况：数据级灾备中心：即仅仅是完成对生产中心数据的远距离备份，具有简单的恢复验证能力。在灾难发生是，只是保证数据的安全性，为生产中心修复后提供可用恢复的数据。日常和灾难时不承担任何业务。应用级灾备中心：在数据级灾备中心的基础上有一定的运算资源，当灾难发生时，可以承担降级或者完整业务的运行。日常并不承担任何业务的运行。双活中心：在应用级容灾中心的基础上，日常承担企业一部分业务，

40、作为企业另一数据中心使用，当灾难时将出行灾难的生产中心业务进行接管。由于对于云桌面系统是作为企业业务的交付平台，故的容灾的方式也和灾备中心的定位息息相关的。由于同城灾备中心具有距离近，资源调配容易，可管理性较高等特点，在桌面云同城灾备中，建议采用同城双中心的建设模式进行。同城容灾整体架构桌面云在同城容灾系统中利用同城光纤网络构建起对等数据中心。由于Citrix桌面云起基础架构服务器组件均具有冗余的特点，故可以在两个中心同时部署，实现其功能上的冗余，并两用Citrix先进的全局负载均衡器Netscaler完成外部访问的负载均衡和故障转移，从而实现了同城双中心容灾的桌面云。其中对于个人数据建议可以

41、通过文件实时双向复制方式完成两个中心的个人数据可用性保护。桌面云在同城容灾系统中，主要完成桌面云系统本身的同城可用性，这包括架构上，同城灾备中心由于和生产中心距离较近，从灾难发生概率和利用率来看，同城在被中心具有其，人员到位迅速，快速恢复，快速支撑业务的先天优势。所以在现有桌面云可用性的基础上，在同城灾备中心构建相同等级或接近的运算资源，存储资源，网络资源。为了更好的提升同城灾备中心的资源利用率，在技术、管理成熟时可以轻松的演进成双中心方式运维，即将部分业务部署在灾备中心和生产中心实现互为备份，对等同城双活容灾模式。硬件层在灾备中心的硬件上建议配置与生产中心处理能力和存储能力相同或者接近的资源

42、，服务器：在灾备中心虚拟层的部署方式和生产中心的部署方式相同存储系统在同城灾备中心中存储将承担从生产中心复制过来的数据副本的存储外，还将为了避免逻辑错误，将配置用于生产数据容量的2倍空间，用于对复制过来的数据做定时快照克隆，从而避免当逻辑错误发生时无可用数据的情况。并且可以通过快照快速恢复业务系统。由于桌面云系统有着数据集中的特点，可以利用存储复制技术快速，安全，快捷的将生产中心的数据实时的复制到灾备中心。由于存储复制的同构性的约束，建议可以采用存储虚拟技术整合后端存储，通过存储虚拟化整合后，各个厂商的异构存储间可以实现数据相互共享和无缝复制。从而降低存储成本和实现灵活的扩展。由于同城灾备有着

43、距离近，传输带宽较高的特点，在同城灾备中心为了保证数据的安全性，建议采用同步复制模式进行，从而保证RPO=0。数据复制在进行存储实时远程数据复制需要考虑以下2个重要问题：保证灾难发生后数据的可用性并恢复在灾难恢复中有两个时间点必须确定，即灾难何时开始、何时结束。灾难的发生可能持续数秒钟或数分钟。从灾难开始到结束之间发生的事情称为“rolling disaster”。如何从“rolling disaster”中恢复是每一种灾难恢复解决方案的目的，因为数据的破坏正是在这一期间发生的，如果保护不好，则很可能备份的数据不可用或失真。换句话说灾难恢复解决方案的目标是要能够在第二地点得到一份完整的灾难发生

44、前一时刻的备份（注意：一定不能是灾难发生期间的备份）。如果在灾难发生期间，数据远程实时备份仍在进行，则得到的备份数据很可能是已经破坏了的数据（如果有特殊要求，另当别论）。写顺序的保证，即实时备份数据的逻辑性和完整性的保证在生产系统中，数据更新的顺序是数据完整性的标志，例如数据库中数据更新和逻辑的日志的更新是有先后顺序的，从而可以使DBMS恢复数据库。这就要求远程的备份数据也要保证这样的顺序，否则很可能造成备份数据无法用于恢复，因而就失去了备份的意义。因此数据远程备份除了要保证数据的更新能够实时备份至远端，更要保证备份数据的顺序和相互关系，从而保证备份数据的可用性。存储系统实时远程数据复制采用存

45、储系统内部复制软件来实现，如EMC SRDF，Mirrorview，Netapp SNAPMIRROR，HDS TrueCopy ，IBM PPRC。存储复制软件是一种基于存储系统控制器的远程数据备份技术，在主磁盘存储系统（primary storage controller）和次磁盘存储系统（secondary storage controller）之间通过存储系统控制器微码提供数据镜像功能，而不需占用任何主机资源。当主数据中心由意外原因导致整个系统崩溃时，异地备份系统将完全接管全部工作，在极短时间内，恢复用户业务。存储复制软件提供两种数据备份方式：同步备份和异步备份，在同城容灾中为了保证数

46、据的安全性将采用同步复制模式。A 同步方式同步方式是在不需要主机干预情况下，生产磁盘与备份磁盘同步进行相同的I/O更新。应用系统不知道远程数据备份正在进行。利用存储系统控制器的操作台来启动、监控、控制远程数据备份的操作。在进行远程数据备份时，生产磁盘控制器必须通过网络将数据写到备份磁盘系统控制器，并且由备份磁盘控制器确认以后，才返回磁盘更新完成的信息。如下图存储同步复制方式的示意图同步方式的优点是：备份磁盘总是与生产磁盘同步。备份磁盘系统在更新时总是与生产磁盘系统保持完全一致的顺序，以保证数据和连续更新的完整性。万一在生产地点发生灾难时，不会出现数据丢失。由于备份数据总是最新的，应用程序就能够

47、在最短的时间内重新启动。B 复制内容Site A Volume Site B Volume Replication of Volume Infrastructure Infrastructure No User data User data Yes Write cache Write cache No Virtual machine Virtual machine No 两个数据中心的XenDesktop/XenApp服务器在一个Farm中，将共享相同的DataStore，DataStore保存在关系型数据库SQL Server中，SQL Server采用MS Cluster技术实现可靠性。用

48、户数据和标准镜像模版等数据保存在存储中，建议通过文件实时双向复制技术保障数据的异地复制确保可靠性和可读性。网络在灾备中心网络包换用户两个中心间的通信和复制的网络，以及在灾备中心服务器将通信的业务网络复制网络在同城容灾模式中，生产中心和容灾中心的距离在10KM200KM之间，需要在网络中实现服务器的通信和存储之间的通信。由于多模光纤的最长距离为300500m，单模光纤的最长距离为1035KM，因此对于超过35KM以上距离，需要采用光纤扩展器或密集波分多路复用技术（DWDM）。DWDM在传输过程中的延迟小，是当前构建城域网骨干的主要技术。存储复制支持的容灾通信链路协议为：Fibre Channel

49、、ESCON、DWDM、ATM、E1/E3、IP、SONET等。在同城传输网络中距离较近，作为光纤从价格上已经非常便宜，并且可以通过波分复用形式提高其传输利用率。故在同城灾备的复制网络上光纤为最佳选择业务网络业务网络主要实现桌面云系统中各个服务器的通信，故可以采用和生产中心网络相同的网络架构即可。Cloudstack层Cloudstack是完成对硬件资源和hypervisor层的资源调度整合管理，其核心是通过一下组件构成Cloudstack核心服务器Primary 存储Secondary 存储配置数据库Cloudstack核心服务器Primary 存储Secondary 存储配置数据库控制层生

50、产中心控制层中的各个组件是以虚拟机形式部署在hypervisor服务器中，并同一存储在存储系统上，在主备模式的容灾模式中可以采用可通过存储复制方式统一的复制到灾备中心，保证其可靠性。当生产中心出现故障时，需要切换到灾备中心，将在构建应用级容灾中讨论。而在同城双中心模式中，需要在两个中心同时部署控制层相关组件，并同时提供托管虚拟桌面的基础。在双中心模式容灾环境中控制层，每个组件应该是并行高度可用的，以避免单点故障。 XenDesktop和XenApp架构，需要考虑的下列基础设施服务器和服务：XenDesktop控制器XenDesktop的控制器负责管理活动级别和空闲的虚拟桌面和监测网络和连接的台

51、式机的状态。在XenDesktop控制器必须提供其相应的桌面，以方便用户的连接。每个XenDesktop的控制器还包含XML的服务，这是负责对用户进行身份验证（当使用Citrix Web界面），并规划资源。在XenDesktop环境中，多个控制器会自动实现负载均衡，以实现高可用。建议通过在两个中心同时部署采用N +1冗余方式实现部署，这样将确保用户连接始终可用。XenApp的控制器XenApp的控制器基础设施由两部分组成，管理连接到共享的虚拟桌面和虚拟化应用程序。Zone数据采集器（ZDCs）的维护在一个zone内的XenApp应用服务器的动态信息，如服务器负载，会话状态和发布的应用程序。 X

52、ML代理对用户进行身份验证和枚举资源，以及管理用户启动请求配置到相应的应用服务器。 XenApp的控制器可以和其他Xenapp组件集成，或可以专门独立的服务器时。 ZDC和XML控制器的功能，也可以独立部署到不同的服务器。多个ZDC将采用主备模式工作。即在ZDC服务器群中，只有一台ZDC是机，其他的ZDC这是备机模式。这样可以根据业务的规模配置1主多备的模式进行ZDC的部署。无论任何情况建议最少配置两台ZDC实现冗余，同样XML代理服务器也是如此。而在双中心模式中对于ZDC的配置可采用对等配置方式进行，即在两个中心均部署冗余的ZDC，如下图所示。单一镜像管理单一镜像管理将利用XenDeskto

53、p的MCS技术进行实现，MCS是利用了Hypervisor层的快照技术从主镜像盘通过快照使用极少量空间为用户创建了ID盘和差异盘，存储每个桌面的差异信息。这部分信息包含存储在存储子系统上，无需特定的服务器支持，故只要保证存储子系统的可用性即可保证镜像管理的可用性。License服务器Citrix License服务器提供了桌面云中的所有组件许可。 Citrix许可有30天的宽限期，在此期间，当许可证服务器不可用时XenDesktop组件将正常工作的。失败的许可证服务器可以很容易地重建，并从备份中恢复，而不会影响桌面云系统的运行。可以通过定时Hypervisor Clone备份的方法将该服务器定

54、时备份后复制导入到另一中心的虚拟服务上，并关机，当出现切换时只需要快速其他该服务器即可。在使用XenDesktop环境中需要微软远程桌面服务的支持，这就需要微软License服务器的部署。微软的License服务器可以成对部署，从而避免单点故障。SQL数据库服务器MSSQL数据库存储了XenDesktop，XenApp，StoreFront，PVS系统的所有配置信息。配置和当前利用率信息被存储在数据库中。MSSQL的连续性对于XenDesktop系统至关重要，如果失败，客户端将无法连接到XenDesktop系统中或者无法使用XenApp。 SQL Server可以通过一些技术，包括hyperv

55、isor HA集群技术，和SQL镜像。 在双中心XenDesktop的架构，建议在两个中心之间采用SQL数据库镜像配置实现高可用。Active Directory和DNS服务活动目录（AD）主要用来实现用户身份验证而DNS服务用来实现系统全局FQDN。 AD和DNS服务是企业IT架构的重要组成部分，它们通常是在都具有了高可用性。一般可以利用Active Directory集成的DNS多主复制实现可用性。即在两个中心均部署对等AD服务器，并利用其自身的复制实现可用性即可。DHCP服务当一个新的虚拟机启动时，它从DHCP请求一个地址。 DHCP系统的设计必须具备即使一台DHCP服务器损坏也不会阻止

56、新的DHCP请求的能力。通常情况下，企业的DHCP解决方案已经具有高可用性。在不同的网络域中建立冗余DHCP服务器或构建集群DHCP服务器是最常见的方法。XML服务XML的服务是XenDesktop或XenApp环境中的一个重要组成部分，作为XenDesktop控制器或XenApp控制器基础设施的一部分存在。XML服务是负责当使用Citrix Web界面时的用户认证，以及资源的枚举和资源启动进程。在XML服务中的失败将导致用户无法启动虚拟桌面或虚拟化应用程序。多个XML服务器可以负载平衡，以提供高可用性。 XML的服务器的数量应考虑采取两个中心部署N +1冗余XML服务器。 虚拟桌面代理（VD

57、A）虚拟桌面代理是一个软件组件，安装在XenDesktop虚拟桌面中，实现虚拟机注册到XenDesktop控制器，以及管理虚拟桌面和用户设备之间的HDX连接。 在安装时VDA使用控制器地址列表或通过组策略进行，随机从从控制器列表中选取控制器进行尝试连接到XenDesktop。如果无法联系该控制器，它会从列表中选择另一个。VDA也有高可用，在罕见的情况下所有XenDesktop控制器是不可用，这将允许用户连接到其专用的虚拟桌面。连接被限制在一个单一的设备（无漫游）和无其他功能，如Citrix策略，电源管理和远程访问（通过接入网关）将不可用。桌面池管理层桌面层依托于控制层的可用，桌面层包含操作系统

58、和应用，以及个性化三部分。操作系统在池模式中，操作系统依托于PVS系统的可用，而PVS作为控制层的基础架构一部分，利用其自身的N+1冗余部署在两个中心，同时将其数据利用文件实时复制或在存储复制将完整的复制到灾备中心。这样PVS始终能保证其可用性。这样就可以提供完整的桌面了。在专有模式中，由于这部分系统较少，只需要这部分数据统一存储在具备复制能力的存储上，将这部分专用模式的虚拟机完整的复制到灾备中心。同样当需要启用灾备中心是，可以通过脚本形式自动化启动基础架构，和这部分被复制过来的虚拟机。从而保证桌面的操作系统可用。应用在生产中心桌面的应用主要有三种方式存在，安装在操作系统中，流，应用虚拟化。在

59、安装在操作系统中的应用程序，如果是专有模式桌面方式，将通过存储复制统一复制到在被中心。专用模式的系统启动后，即可使用。在流模式中，依托于PVS系统的可用，而PVS作为控制层的基础架构一部分，利用其自身的N+1冗余部署在两个中心，同时将其数据利用文件实时复制或在存储复制将完整的复制到灾备中心。这样PVS始终能保证其可用性，这样就可以为桌面提供完整的应用了。在应用虚拟化模式中，主要依托于应用虚拟化平台XenApp的可用，而XenApp作为控制层的基础架构一部分，利用其自身的N+1冗余部署在两个中心，这样就可以为桌面提供完整的应用了。个性化用户个性化的数据存储在网络用户存储（NUS）中。网络用户存储

60、是微软的Windows文件共享服务，它包含用户的个人资料数据和重定向文件夹。故需要在同城两个中心均部署NUS服务器，或在CIFS，NFS，等共享文件存储系统。用户个性数据均存储在这些存储之上，通过文件实时双向复制或存储复制将完整的复制到灾备中心中，保证其可读性和可用性。云桌面管理层云桌面管理完成用户自服务，桌面云流程管理等服务。该服务将采用Webservice方法对底层云平台或者hypervisor平台进行调度管理。Webservice采用了三层架构，桌面云管理web服务桌面管理配置数据库桌面云管理web容器其高可用可以通过构建冗余的web容器和配置数据库的复制镜像技术进行保障该平台的高可用。