citrix桌面虚拟化实施部署白皮书

CitrixVirtualDesktopHandbook，它介绍了桌面虚拟化架构设计、CitrixVirtualDesktopHandbookCitrix顾问实施方法论，如下图所FlexCast方法论；StoreFrontFirewall层才能进来，这就涉及到了FW、等技术；内存、设备等；Manitain在虚拟桌面环境设计和实施到生产环境以后持续的时必需的在项目的初期一般只需要做AssessFlexCast模式、容量、用户分组等有的交接，所以无需做Design的计划，如下图计划表所小型企业有可能通过每台终端，或者是连接方式来搜集数据。ESD（EnterpriseSoftwareDeployment），例如SCCm等，可以通过这些平台去搜集应用程序的使用情况等信SED一般都不提供应用程序性能需求和实际使用的信息。表通过面对面的会议或 沟通来进行，这种方式比手动收集显著减自动化搜集可以通过自动化工具搜集并生成报表。Citrix公司为帮用户节LanDeskProjectAccelerator用户提供了60LandDeskFaskTackLicense。LanDeskFastTackCitrix实施方法论开发设计的专业信息搜集Profile类型：包括本地、漫游、强制、第和未Profile版本：WindowsXPWindowsVista、Windows7Profile位置：文件服务器的位置包括 的位置和大NumberofCPUDiskOperationAgeoftheLocalCOM、FlexCast模型分成不同的用Pooled-Random/Streaming、Pooled-Static、Pooled/StreamedwithalvDisk、Dedicated、Existing、Physical/RemotePCStreamedLocalOn-DemandXenAppXenDesktopHDX来提供2、BusinessCharacteristics、Citrix架构师是贯穿整个项目的角色，其他的User设计模型最上面的一层就是用户层，用户层和每个用户组关。这一层将TabletbasedonAndroidoriOSiOSLaptopDesktopPCThin瘦客户Smartphone智能可移动性：例如用户个人设备将不适合用于离线的LocalVM（即Xen ingVHD、LocalRemotePC硬件标准，这些指包括：1GHz的处理器、1GB的内存、16GB的空余磁盘空HDXGPU卡；的折旧期对成本节省来说很重要，而公司考虑的是绿色环保因素，可能新瘦客户机的处理能力已经极大的增长，即使是中等的现在也能够实现图形HDX特性等都不在话下，例如多显示器支持等等。PC混合部署，我们需要记住的是用户组的特性才瘦机厂商现在有越来越多的OS选择了，常见的有WindowsThinPC（基于Windows7），WinXP、Win7Win8、Linux变种，甚至零客户机。WindowsThinPC和类似于DellWyse零客户机是最好的选择；能实现功能WindowsCPU有更高要求的研发用户等场景；上可能器却会碰到License的问题。Receiver决断：ReceiverCitrixReceiver简单的部署在兼容它的终端上，但是实际CitrixReceiver在部署了不同的插件之后，功能还是有着很多的不同的。所Receiver的类型。pdfPageCitrixReceiverCitrixReceiverEnterprise版本有什么不同就有DesktopLock功能和非接触MerchandisingServer的插件管理功能XenDesktop基于地址来配置Receiver：除了黑莓和HTML5的Receiver客户快速/非接触式智能卡：目前只有CitrixReceiverEnterprise版本支FlashCitrixReceiver、CitrixReceiverEnterprise、ReceiverLinux版本上支持，其他例如MAC、HTML5以及所有平板和智能统统不支持，onlineplugin也不支持哦；UDPCitrixReceiverCitrixReceiverEnterprise版本、ReceiverMAC、ReceiverLinux版本上支持；Pre-LaunchCitrixReceiverCitrixReceiverEnterprise版AERO特效：WindowsCitrixReceiver、CitrixReceiverEnterpriseWindows8/RTReceiver才支持；磁盘重定向：除Win8/RT之外所有的平板、智能以及HTML都不支CitrixReceiver、CitrixReceiverEnterpriseReceiverMAC才支持，Linux版本的也不支持哦HDX3DProCitrixReceiverCitrixReceiverEnterprise版本完全支持，Linux、MAC、Win8/RT都是部分支持；ShareFile：黑莓、HTML5、Win8/RTAG的：CitrixReceiver、CitrixReceiverEnterprise版本和ReceiverMAC需要安装插件才支持；Linux不支持哦！Win8/RT、安卓、苹果天生HTML5，不好意思。CitrixReceiverCitrixReceiverEnterprise版本支单点登录：CitrixReceiverCitrixReceiverEnterprise版本支持；这StoreFront支持：黑莓、LinuxHTML5DesktopLockCitrixReceiverEnterprise版本支持，CitrixReceiver都决断：ReceiverReceiverStoreFront：CitrixStoreFrontWebReceiverReceiverCitrixReceiverDownloadPageTemte主页，它包含了所有版本Receiver的软件WebInterface：这是我们最常见的方式，不过要注意的是，他不支持基BUOD来说非常合适。WindowsStore：在Windows8Store里面可以到Windows8/RT的Receiver软件。目前Receiver只支持ARM或者是基于In Windows8/RT设备。 y，或者是Apple的AppleStore；BlackBerryEnterpriseServerBlackBerryMerchandisingServer：这也是法。除此之外，MerchandisingServerReceiverReceiver的插件，它可以定期连接到CitrixUpdateService去检查有没有的软件。MasterImage：Receiver做到操作系统镜像文件中；ReceiverCitrixReceiverUpdaterPlug-in，或者是MerchandisingServer，也可以是其他软件分发工具；软件分发工具：LANDesk、MSSMSSymantec在XenApp和XenDesktop安装光盘里面也自带了这个；ReceiverCitrixReceiverPage到。用户只要登录到这个站点，会自动检查终端的类型和ReceiverBYOD决断：Receiver基于电子邮件的自动发现和配置：版的Receiver可以通过只需要输StoreFront以及指向StoreFront服务器的FQDN的一条SRV记录；注意：DNSWindowsDNS测如果是用户，就必须配合AccessGateway，同时在DNS中有对应的SRV记录；此外，在AccessGateway硬件或者是StoreFront服务器上必须有有 组策略：启动也可以用来配置Receiver。中有一行这样的参数：SERVER_LOCATION=Server_URL.缺省的值是空,WebInterface或者StroeFront的地址输入进去ProvisioningFile：StroeFront的环境，我们就可以从StoreFront服务器中到处一个.cr为扩展名的文件，然后将此文件放到共享文件夹，或者是发布到网页中，用户后双击可以自动打开该文件URL：MAC桌面来说，可以通过一个叫OneClickProvisioningURL来进行配置。管理员URL。由于该工具并没有包含用户名和信息，所以可以将该地址通过电子邮URL发送至文件共享服务器中亦可。该工具对用户，WebInterface等适用。决断：ReceiverMerchandisingServer：CitrixReceiverUpdaterPlug-In平台的Receiver来说（CitrixReceiver,CitrixReceiverEnterpriseandCitrixReceiverMac），MerchandisingServerReceiverPlug-In升级的方法了。CitrixReceiverUpdaterPlug-InMerchandisingServer软件分发平台：LANDeskSymantecAltirisScalabilityAssumptionsCPU的速度：按照2.7GHz和InWestmere处理器架构来设计工作负荷：假设已经加载了防软件和标准的工具HypervisorcoreCPUcore所能支撑的用户数。此外，需要注意的是从CPU到4路CPU性能并不是线性增长的，我们要预15%的用户数降低；另外，PvD5.6.10WinXPXP下CPUCPUCCU/coreFlexCastIOPS=IOPS×+IOPSPVSMCS模DiffDisk中。写的内容包括：UserWindows、CitrixPVSMCS的差异磁盘所需要的磁盘空间取决于应用程序的使用PVSVM留，例如EdgeSight数据、Windows日志和防软件的定义库文件；10GPvDMCS模式下推荐使用NFS的以利用ThinProvisioning能力三、层AccessWebInterface：给XA和XD提供安全SecureGatewayWebInterface)SecureGatewayWIAccessGateway:AccessGateway，我们就可以选择是否采用预认证策略，这我们可以配置的策略包括测试防软件、软件、操作系统，甚至是注板是否开启，映射，甚至是否开启特定的应用程序权限。例如，如果用户没有安装防软件，可以配置策略隐藏敏感的应用程序。WebInterface,SecureGateway(WebInterface),StoreFrontStoreFrontWebInterface已经是行将就StoreFrontWeba)用户名b)Pass-Through：允许从用户设备上透传 息，用户登录到加入域的电脑后自动登录到Store；cAccessGatewayPass-ThroughAccessGateway后自StoreAccessGateway：NetScaler支持几种不同的认证。下面分别列出LDAP：轻型协议是我们最为熟悉的认证方法了，它是一种基于TCP协议的服务，例如MS的活动就是其中一种实现Radius（akaToken）：Radius全名是RemoteAuthenticationDialInUserService，这是一种基于UDP传输协议的安全认证协议。除了认证外，它还提供和计费功能。AccessGateway转发用户输入的用户名和给Radius服务器，Radius服务器可以立即检查用户名和密 客户端：用户登录到AccessGateway虚拟服务器后，可以通过本地的客户端的属性来做认证。客户端通常在用户端的形式是CommonAccessCards(CACs)的形式，再通过客户端本地的来信息。AccessGateway作为认证点的用户必须有对应的会话策略来定义用户体Receiver在设计阶段制定的。一般而言，首先我们移动设备：表达式定义为：“REQ.HTTP.HEADERUser-AgentCONTAINS每个会话策略（Session）都必须定义一个对应的SessionProfile（姑且翻译成会话配置文件）。这个会话配置文件定义了用户去资源时的细节。有两种定义到虚拟桌面环境的方式的会话配置文件的形式：SSL：传统的方式，将网络全部打通。这种方式并不一定十分SSL中开辟一条给客户端网络流量的单独通道。这样通过receiver的流量智慧限制在指定的端口，只能指上述两种方式各有利弊，第式虽然安全性差了，但是可以做客户端流量可以被企业的网络过滤设备，例如HDX：在HDX方式下，用户是通过AccessGateway连接到他们的虚拟桌面和虚拟应用。这种方式下完全没有将内部资源到公网上，此时AccessGateway充当了一个微型 HDX的流量。其他的流量，例如电子邮件，又或者是使用者上网的流量都不经过AccessGateway。最后的层决断就是要决定虚拟桌面所需要的最大并发网络带宽。其中很重NetScalerAccessGateway的哪一个平台。ERP使用者和一个在电脑前都不挪窝的OA用户肯定带宽要求是不同的，CAD画图的用户那就更不用说了。总带宽的的计算可以这样来定义Control控制器子层的职责是给每个用户提供予以支持控制层的基础架构组Interface、StoreFrontNetScalerAccessGateway；1)架如果有用户需要或者是离线的移动能力，那么就要设计基础1-Arm(NormalSecurity，单臂模式)：在这种架构下，AccessGatewayBonded的网络接口，再加上VLAN和IP子网的设计，来传递用户和虚拟桌面的流量。2-Arm(HighSecurity双臂模式)：在双臂模式下，AccessGateway利用两张或者的物理或者逻辑Bonded的网络接口卡，再加上VLAN和IP子网的设计，来传递用户和虚拟桌面的流量。前段用户的流量DMZ区来分离前后端的流量，同时还可以定制策略和流量策略。Double-HopDMZVeryHighSecurity):这种模式既利用了双臂拓扑下AccessGateway设备。有一些企业使用了三个物理的/逻辑的结构来保护他们的内部网络。这三个将DMZ区划分为两个区域来提供额外的内部。DMZAccessGatewayAccessGateway设备加密客户端连接，判断用户的认证方式，控制能够的内部网络服务器；第二个DMZ区域的AccessGateway设备充当与一个设备角色。这个AccessGateway设备启用ICA协议将客户端连接穿越第二个DMZ区到后端的服务器场。在第一个DMZ区的AccessGateway设备和内部网络的Secure Authority（STA）也是通过第二个DMZ区的AccessGateway设备来进行的。在AccessGateway部分，我们曾经讨论过只要是涉及到，我们都会考虑NetScalerAccess Gateway设备。问了确定合适的NetScaler平台来满足项目需求，必须确定一些关键资源。由于所有的流量都是通过SSL（安接层）HTTPsHTTP（超文本协议）协议来传输。所以metric需要确认：SSL吞吐量：SSLGBSSLSSL每秒量（TPS）：TPSmetric定义在每秒每个应用程序交付控制器（ADC）能处理的SSL数量关于这两个参数的更详细解释，可以参考：BestPracticesforimplementing2048-bitSSLSSLSSL带宽POCPilot来实际测试得来，但是2%是一个合理的数NetScaler平台的时候，SSL的吞吐量常常是最大并发带宽乘1.02，即：SSL=×128MNetScaler模型应当计算130Mbps=128MVPX：VPXNetScalerNetScaler提供完全一致的功能，2)CitrixStoreFront是WebInterface的下一代产品，它验证用户连接到的决断：WebInterfaceWebInterface和StoreFront是两种不同的解决方案，在一些功能方面有。所以我们要认真评估我们的需求。一般来说，新的方案应该使用StoreFront，因为WebInterface已经不再有新功能添加了。可以参考下面的了解Citrix桌 tonesforCitrixXenDesktop已经不再会有性的功能添加了：WebInterfaceStoreFront新版本中StoreFrontWeb服务不可用了，那么用StoreFrontDNSRoundRobin：在多个服务器之间提供基本的负载均衡功能，无法CitrixNetScaler：StoreFront服务的状态，根据StoreFront的配置数据都在每一台StoreFront服务器的本地然后被到专门的SQLServer。WebReciever，但是已经建立起来的会话可以继续正为了防止应用程序订阅数据库成为单点故障点，CitrixSQLLicense即可。细节可以参考文档：ConfiguringStoreFrontusingtheConfigurationFiles.LicenseCluster节点SQLlicense。Hypervisor高可用：Hypervisor的高SQlExpressLicenseSQLServer（HA功能的HypervisorLicenseHypervisor层检测到的。注意：未来的StoreFront版本将不会再使用应用程序订阅数据库立了一个前提条件是每用户在每小时之内启动了五个应用程序，订阅了285StoreFront4vCPU4GBRAM。下，推荐的一个应用程序订阅数据库独立SQL服务器的配置是4vCPU和10KB空间消耗：=（×每用户的订阅数）10KB1=1个用户订阅一个应用程序，例如，100010个应用程100MB。这部分内容主要是介绍 部分，请大家自行参见原始文档ProvisioningCitrixProvisioningServices（PVS）使用流化的技术简化了虚拟桌面和物理桌面ProvisioningServicesProvisioningServices基础架构的最ProvisioningServers（服务器）SQL数据库Provisioning场，当然，如果异地之间的网速足够快，理论上也可以只建立一个ProvisioningServices场。ProvisioningServicesProvisioningServicesProvisioningServers（服务器）、vDiskpoolstargetdevices的集合。多个站点共享同一个数据库。TargetdevicesProvisioningServers上。在ProvisioningServices的数据库有所有一个场内的的系统配置信息。SQLServer、R22012SQL版本ProvisioningServices250M容量，即使在大型环下面的是用来计算ProvisioningServices的数据库的容量大小ProvisioningServicesProvisioning果连接丢失，StreamServices会使用的一个快照以获取场的配置信息。一旦数据库连接建立起来了，Stream过程会把断线期间的变化同步到数据库中。StreamSOAPProvisioningServices基础架构中的targetdevice级别，而是基于集合这个级可以考虑基于vDisk的分配来创建不同的设备集合，这样所有分配到一个特定vDisktargetdevices就能被快速的定位。ProvisioningServicesWindowsvDisk的部分内容缓存在著低于从内存中数据的，所以，正确计算ProvisioningServers的内存是非常关键的。请参见以下的：vDisk2G决断：ScaleUpScale随着Farm场的增长，管理员需要作出决定以判断是不是需要给ProvisioningServerProvisioningServers，冗余：将用户符合扩展到其他负荷不重的服务器上会有助于降低当ProvisioningServers宕机情况下爱所影响的用户数量。如果公司无法接ScalingOut，就是我越多，在服务器宕机后所需要的恢复时间也就越多。Citrix的内部测试显8分钟恢复生产能力；ScalingUp，即向上扩展（增加单台服务器的处理能力）。硬件成本：ScaleUp会有更高的性价比，但是继续往后ScaleOut会开始更具性价比，应该做一个成本分析；一个场可以包含一个或者多个的vDisk。一般来说有两个主要的选择本地或者是DAS：DAS可以是本地的，或者是基于Block的类型，ProvisioningServer可以直接，例如SATA、SCSI、iSCSI，以及vDiskProvisioningServer所反问，因此，vDisk应当被手动或者自动的到其他的vDisk位置上。Servers之间做容错动作。NASNASNASvDisk可以被多个ProvisioningServer同时所。NAS由于不需要vDisk功能所以能保证vDisk在一个场内的多台ProvisioningServerServicesversioing所更新时，一个新的差异磁盘就会被创建。vDiskvDiskchain的最大版本数：vDiskversioningvDisk升级以及管vDisks。5-7个的版本数。vDisk容量：vDisk：Windows7x64image40GBWindows7x86image35GBWindowsXPimage=20GB镜像文件大小，那么估计ProvisioningServices所需要的空间如下01以及10RAID5和6ProvisioningServicesRAID级别有如下推荐配置：ProvisioningServicesvDiskWriteCache来说主要是写WriteCache：RAID0、1、10RAIDvDisk：推荐RAID0、1、5、10，它可以让读操作分配到RAID中TargetDevice的硬盘上：ProvisioningServers不用处理写ProvisioningServers的资源消耗。尽管没有放在缓存在TargetDevice的硬盘上永久保存：和第式类似，区别在2008R2windows7上支持。TargetDevice的内存中：尽管这种方式在性能上是最优的，但RAM别耗尽了也会印象系统的稳定性；ProvisioningServer的磁盘上：ProvisioningServer的targetdevice由于所POC阶段推荐！缓存在ProvisioningServer的磁盘上永久保存：和上式基本类似，区别在于用户重启之后永久保存。这种方式的好处在于targetdevicevDisk所做的改变，在重启之后也仍然保留。任何对vDiskvDisk被PrivateImageMode，一下所有的操作都会导致缓存文件被标记cingavDiskinMaintenancemodeMapthedrivefromtheconsoleChangingthelocationofthewritecachefileUsingAutomaticupdatetargetdevice上是最为推荐的配置方法，因为既不用消耗而外RAMProvisioningServers的扩展性。小。一般来说应当能够一下数据：TemporaryapplicationUserprofiletempWindowsEventCitrix patternCitrixApplicationStreaming/App-V此外，WindowspagefileProvisioningServices固定磁盘格式：对于私有模式（privatemode）vDisk，固定尺寸大小device，我们说仅当对vDisk进行模式时才有实际意义。著降低。尽管在共享模式下（SharedMode）vDiskvDisk执行vDisk合并时所要花费的时间会增加许多。vDisk的大小主要取决于操作系统以及安装在操作系统上的应用程序的多少，我vDisk的大小如果设置的太小或者是太大，日后我们还可以在ProvisioningServicesvDisk的大小，请遵循以下的准则：TargetDevice的空间：targetdevice服务的计算机所如果vDisk是在DAS上就需要在他自己有变化的时候到其他DAS上。ProvisioningServices支持vDisk从本地到ProvisioningServers上，也可以支持在使用共享时多个站点之间的。可以是手动或者是自手动：简单，但是更耗时自动：大型环境下自动更快。一些自动化工具，例如DFS-R还支持带宽控制。唯一缺点是如果出错，管理员还不支持，除非平台支持重传。VolumeProvisioningServices支持KeyManagementService(KMS)和MultipleActivationKey(MAK)volumelicensing。KMSVolumeLicensing：可以在用户的本地网络上激活，无需连接到微软的。一台KMS服务器支持不受限的JMS客户端。微软公司推KMS服务器。Office2010KSMMAKVolumeLicensing：MS的激活方式ProvisioningServices是虚拟桌面基础架构中最重要的组成部分，因此为了避免MAKVolumeLicensing：MS的激活方式数据库：ProvisioningServices支持两种数据库的高可用方式：ProvisioningServers（PVS服务器）：所有在一个站点之间的ProvisioningServerstargetdevice提供同一个vDiskPVS服务器。ProvisioningServices启动文件应当配置为高可用。在启动文件中可以配4PVS服务器的列表。TargetDevicePVSStreaming服务的服务vDisk和：对于DAS上的vDisk，应当做好同步操作。对于NAS上的vDisk，NAS必须提供一条高可用的网络共享连接；网络：ProvisioningServers（PVS服务器）TeamedTargetDevice候。带宽是随着操作系统的不同而有所区别的。TargetDevice启动所需要的时间可以参考下面的：例如，500Windows7TargetDevices1G40M1GBEthernet=500targetsx40MB=20GB/125MBs=16010GB500TargetDevice时备注：会增加网络延迟，同时也会造成网络瓶颈，如果可能，最好禁，如果实在不能避免，最好能开放一下端口的完 能力PVS10Gbps网络能提供最够需要的带宽，如果做不到的话，1GbpsPVS服务器的瓶颈。将多块网卡做Teaming处理能提供更高的吞吐量，增加网络性能，也能网络的单PVS服务器的网络配置属性，从最大容量到最小：NICPVSTargetDevicesNICChecksumOffloadingAutoNegotiation，使用JumboFrame。PVSTargetDevices生成树协议（SpanningTreeProtocol）/PortFast：禁用生成树协PortFast；StormControl：CiscoCatalystUnicast流量UnicastFiltering。BroadcastHelper：PXETFTPTargetDevicebootstrap程TargetDevicePVS服务器之间的流化会话过程。有三TargetDevicebootstrap程序：BroadcastHelper：PXETF