政府营业大厅方案V1.0

VMwareandCMBConfidential政府营业大厅桌面云方案建议书—海关桌面云VMware政府营业大厅桌面云方案建议书—海关桌面云VMwareEUC团队2014/10/11政府营业大厅桌面云方案建议书©2014VMwareEUC保密文档PagePAGE2ofNUMPAGES112文档修订日期版本编写注释审阅2014/10/111.0AaronWang初始稿本文档版权属威睿信息技术中国有限公司（简称:VMware）所有，未经VMware许可，均不得传播、散发、印制给其他公司及个人。©2014VMware,Inc.Allrightsreserved.ThisproductisprotectedbyU.S.andinternationalcopyrightandintellectualpropertylaws.Thisproductiscoveredbyoneormorepatentslistedat\o"/download/patents.html"/download/patents.html.VMwareisaregisteredtrademarkortrademarkofVMware,Inc.intheUnitedStatesand/orotherjurisdictions.Allothermarksandnamesmentionedhereinmaybetrademarksoftheirrespectivecompanies.VMware,Inc.

3401HillviewAve

PaloAlto,CA94304

政府营业大厅桌面云方案建议书©2014VMwareEUC保密文档PagePAGE111ofNUMPAGES112TOC\o"1-3"文档修订 21. 项目概述 61.1 行业背景 61.2 项目背景 71.3 需求分析 71.3.1 海关总体需求分析 71.3.2 海关业务需求 81.4 项目目标 91.5 建设原则 102. 海关桌面云方案 122.1 方案概述 122.2 安全封闭的桌面环境 132.2.1 安全封闭的桌面环境 132.2.2 稳定高可用的桌面 152.2.3 防病毒及数据安全 172.3 高效的自动化桌面平台 182.3.1 灵活提供对资源的需求 182.3.2 部门协同提高工作效率和创新能力 192.4 自助服务 202.4.1 业务人员自助服务 202.4.2 项目组管理人员自助服务 222.5 桌面管理 222.5.1 操作系统的管理 232.5.2 应用门户与应用交付 242.5.3 用户数据和个性化配置 272.6 外设兼容性 272.7 其它应用场景 292.7.1 关员日常办公场景 292.7.2 移动办公场景 302.8 运维监控 322.8.1 整体环境的监控 322.8.2 问题处理 332.8.3 容量规划 342.8.4 终端设备管理 352.8.5 合规性管理 353. 桌面云运维管理 363.1 概述 363.2 业务人员使用流程 373.2.1 vPC的自助申请/部署/回收 373.2.2 vPC的使用 393.2.3 个人数据故障恢复 403.2.4 桌面外设使用 403.3 业务管理流程 413.3.1 vPC资源池管理 413.3.2 AD服务(OULayer)及权限管理 413.4 云平台项目组管理流程 413.4.1 vPC资源池创建 423.4.2 App生命周期管理 433.4.3 计算、网络、存储全方位自动化部署 463.4.4 安全策略自动化部署 483.4.5 租户(项目组)资源划分和授权 493.4.6 性能监控 513.4.7 容量管理 533.4.8 自定义监控页面，大屏显示 573.4.9 报表管理 583.4.10 日志收集分析 593.4.11 安全加固(ESXi,vPC) 603.4.12 防病毒服务管理 613.4.13 计量收费 623.4.14 审批流程管理 633.4.15 补丁管理 643.4.16 容灾管理 643.4.17 终端设备管理 653.4.18 AD服务及权限管理 653.5 桌面云运维小组架构 653.6 应急预案管理 674. 政府营业大厅桌面云VMware产品说明（参考） 684.1 概述 684.2 软件定义的数据中心 704.3 HorizonView桌面虚拟化方案 734.4 vCenterAutomationCenter构建自助开发平台 784.5 NSX微分区及无代理防病毒 854.6 Mirage桌面应用和数据管理 954.7 vCenterOperationsForView 984.7.1 vCenterOperationsManager主要价值 984.7.2 vCenterOperationsManager产品架构 994.7.3 vCenterOperationsManager基本功能 1004.7.4 vCenterOperationsManager基本仪表版说明 1014.7.5 vCenterOperationsManager提供定制化功能 1144.8 SocialCast企业安全社交平台 1195. 为什么选择VMware 1235.1 VMware公司简介 1235.2 VMware政府行业成功案例 124项目概述行业背景随着虚拟化、云计算、移动互联网的不断进步，无论是国家还是地市政府机关都面临着新一轮的机遇和挑战。云计算、\o"查看移动信息化中的全部文章"移动信息化的出现不仅令政府单业的信息化进程进入新的领域，也带来了新一轮的变革。“十五”以来，“政府先行，带动国民经济和社会信息化发展”方针的提出为政府开展信息化以及移动信息化建设提供了政策基础。一批重点工程和应用系统，如“金税”、“金关”、“金盾”、“金财”、“金审”等项目，已经或基本建成，并开始发挥重要作用，为云计算、移动信息化的发展提供了优越的信息化基础。“十二五”规划出台后，明确要求提高政府机关的办公效率以及服务水平。2012年推出的《关于进一步加强电子政务网络建设和应用工作的通知》明确提出要加快和完善全国县级以上政务部门的国家电子政务网络建设，将原有政务专网上系统按实际业务需求分别迁移到电子政务内网或外网，实现纵向及横向的互联互通及分级测评和风险评估。为了提高办公效率，响应政策，适应移动互联网带来的移动应用热潮，政府部门很多内部业务和公众业务都在向外网转移。政府移动信息化已经在众多地市级以上单位开展：地市级以上政府单位在政策创新的要求下，移动信息化进程走在前列，而县级市以下单位则相对滞后。移动执法、移动审批是政府部门的主要移动应用：政府有很多部门都会使用到现场办公的方式，如税务、工商、城管、公安等，也就催生了对于移动执法系统的需求。同时，作为政府部门，其内部业务的移动审批需求也比较强烈，这两大应用构成了目前政府移动信息化应用的主流。特别是\o"移动OA"移动OA对政府部门实现移动审批、上下级沟通的高效办公起到显著效果。政府节能减排计划提上日程：全球范围内绿色经济、低碳技术正在兴起，“十二五”时期政府也要求大力加强节能减排工作，不少发达国家大幅增加投入，支持节能环保、新能源和低碳技术等领域创新发展，因此政府要率先做出节能减排的表率。项目背景随着海关信息化建设的不断发展，各直属海关及其关区内隶属海关客户端微机在配置和数量上都有了质的提高，为有效支撑海关业务应用系统的平稳运行起到了关键作用。目前各海关为每一位关员都配置独立的客户端微机（如“一机两网”微机），在每台微机中根据用户的实际需要，安装部署常用软件，如HB2004的各种辅助软件、Office、H2010客户端等等。随着这几年客户端在各直属海关及其关区内隶属海关的迅速发展，其品牌和型号变得越来越复杂，无疑给技术人员造成了很大的管理和运维成本。根据金关工程（二期）的总体技术要求，需要对客户端从运行架构和运维管理等方面进行深入的变革，实现客户端资源的“随需而动、规范统一”。需求分析海关总体需求分析海关总体需求调研采取：总体规划，样本选取调研，最后指导设计的方式完成需求调研。其中需求调研确定试点调研单位后，采用问卷调查表，访谈和工具采样三种方法相结合的方式，最终达到总体需求调研的目的。下表列出了需求调研的四个方向：业务环境，基础架构，应用系统，运维管理。海关业务需求现有的客户端运行模式面临着软件更新频率高、维护工作量巨大、网络突发负荷大、安全隐患多、运维总成本高等多种问题，这就对新平台提出相应的如下需求：1、客户端集中管理，减少网络突发负荷，防止敏感数据外泄。客户端系统集中部署在中心机房的若干台服务器中，通过集中管理端统一发布给关员使用。由于H2010的客户端为标准化设备，关员在客户端无需安装和维护应用程序，都由系统管理员通过策略统一维护.同时所有管理工作都在海关中心机房内部完成，这都将大大降低软件部署和频繁更新所带来的工作量以及对网络的负荷。客户端接收的仅是图像信息，敏感数据可不发送至客户端，从而降低外泄风险。2、有效减少客户端配备数量，减少行政成本投入。通过实施客户端桌面云的改造，应使得关员能够灵活的通过管理网微机安全、可靠的访问运行网应用，应有效压缩关员的运行网微机配备数量，同时原有H2010微机配套的网络、外设等设备均可整合使用，应有效减少海关行政成本，符合建设“绿色海关”的要求。普通微机仍然会有应用需求而配备，其相应的管理模式可以在维持现状的基础上，逐步改进和整合。3、新平台具有高度的稳定性、可用性和安全性。虚拟化平台集中部署在中心机房的服务器端，风险相对集中后对平台的安全稳定运行提出高要求。平台架构设计中服务器、网络、存储、软件系统等各方面均应避免存在单点故障；平台应实现多台服务器的负载均衡，并且对于负载的增减拥有较高的灵活性和可伸缩性；平台应具有完备的备份恢复技术方案，具有尽量简单的系统恢复方法和尽量短的系统恢复时间。项目目标目前，海关为了进一步对交付平台进行整合，考虑到当前各种业务需求和分散的业务平台，并展望在今后整体交付平台的可扩展性。此次项目要建设一个集中的桌面云平台，对当前各类应用和桌面进行整合，把服务集中、灵活、快捷、安全的交付到最终用户手中。结合海关项目的需求，背景和项目的现状，要求做到以下几点:适应金关工程（二期）总体技术要求的需要海关金关工程（二期）建设的提出，是认真贯彻落实国家“十二五”规划战略部署和十七届六中全会精神的具体表现，是促进国民经济和社会持续、健康、快速发展的客观要求，是海关改革、创新与发展的保证。《海关金关工程二期可研报告》中对海关桌面云建设提出的明确要求，需要科技部门在客户端改造方面提出切实有效的整体解决方案。适应新技术发展的需要当前科学技术的发展方向，已不仅局限于提高性能，而是利用采用综合的手段与整合的方法，着力提高适应力和综合处理能力来达到系统整体提升的目的。同样，海关信息化建设要做到又好又快，也要适应这一发展趋势，加大现有系统整合的力度，努力构建具有良好适应力、易于扩展、安全稳定的信息系统建设基础架构，走可持续发展之路。适应建设节约型社会的需要当前，按照海关应用项目分网部署客户端的传统资源分配模式所带来的资源利用效率低、可管理性差、动态调配能力不足等弊端越来越明显，客观上造成了海关客户端设备数量的急速膨胀和行政管理成本的居高不下，这些与建设“节约型海关”的宗旨相违背的情况急需加以改变。这就要求海关科技系统必须加大客户端资源的整合力度，科学规划，积极构建用户体验优良、运行稳定、易于扩展、便于管理的海关客户端基础运行环境，走可持续发展的道路。适应海关业务不断增长的应用需求随着海关信息化建设的不断深入，依托于海关科技的各项应用需求日益增长，要在每年科技投入相对固定的前提下，满足不断增长的业务需求对海关客户端性能、稳定性方面的需求。依托科技创新，实现优化整合、资源合理配置是根本出路。建设原则集成性原则平台的建设正是为了避免按照应用或项目来规划交付模式的传统模式带来的分散的部署、管理和运维，通过统一的集成的平台建设，逐步统一访问的接入规范，从而实现整体架构的平台化，提高访问接入的安全性，降低运营成本，提升交付效率。标准化原则制定适应不同类型应用访问的平台的统一规范，支持业务的拓展、信息的扩展和集成管理的要求，突破传统分散的管理模式，实现平台建设、应用接入和用户访问的标准，旨在构建标准化平台的架构，实现一致的平台扩展和应用场景接入，满足集成性一致性和可操作性的要求。安全性原则根据访问的不同安全等级要求，和网络访问的安全规范，制定平台的安全性规范，满足数据安全和访问安全的要求，提供可靠的平台安全管理模式，并通过技术手段，实现平台自身和用户的审计监控。高可用性原则平台需充分考虑系统的安全和可靠，实现自适应的故障转移，架构设计避免出现单点故障的可能性，网络访问需保障负载的均衡和可靠，并提供平台的应急灾备和快速的响应，保障用户体验的连续性。可扩展性原则考虑到平台应用场景的扩展和用户规模的扩展，平台的设计要考虑到业务未来发展的需要，架构应满足横向和纵向扩展的需求，在架构简明的基础上，降低各功能模块和组件的耦合度，并充分考虑到兼容性，实现快速高效的扩展方案。适应性原则平台需充分考虑到已有的IT资源投入，适应系统、网络和应用架构，避免在构建过程中的大范围系统改造，降低系统复杂度和建设成本。管理性原则平台的管理和运维架构便捷简单，能够实现常见的监控和报警机制，并能够深入监控用户的体验，及时响应平台的问题和事件。同时，平台需满足行内已有的运维规范和流程，并能实现已有管理平台的统一集成管理。海关桌面云方案方案概述针对海关面临的挑战和需求，解决方案需要可以很好的实现海关环境的集中统一运行管理，加速并简化应用部署和管理，满足业务的扩展和安全需求，实现便捷的用户访问，有效降低IT成本。在此基础上，提供虚拟桌面对关内关键业务系统的访问控制。提供不同职能用户组的虚拟桌面的访问控制。提供业务系统与培训系统的隔离策略。对终端设备的接入，外设的访问进行控制，对行运行网内/外的数据流转进行统一管控以满足数据中心内外部数据安全需求。提供自助的服务平台以减少管理，提高效率，规范流程。提供统一的管理平台能对整体的环境进行监控，问题分析和容量规划。做到IT环境的不断持续优化。构建完善的运维支撑体系，满足日常支持，管理以及应急处理的要求。安全封闭的桌面环境安全封闭的桌面环境封闭的虚拟桌面环境可以防止数据被意外访问和发生数据泄露，从而提供最大的数据安全性。用户的桌面，数据都存放在数据中心，用户通过网络接入环境。只有特定的客户端网络才能连接连接服务器，例如设置客户端网络策略。对于数据中心，仅连接服务器的IP或域名和特定端口（443和4172）暴露给客户端。客户端网络和数据中心网络是完全隔离的，从而极大的保证网络安全。客户端和View连接服务器连接使用PCoIP协议，此协议为似有加密协议，保证了数据的传输安全。对于客户端而言，与虚拟桌面相关的数据交换通道：内存剪切板(客户端到虚拟机，虚拟机到客户端)，USB设备（类型），打印机设备都可以设置安全的管控策略从而实现安全控制。HorizonView连接服务器前端可设置负载均衡，以保证连接系统的负载均衡和故障切换。后端的开发测试环境完全部署在vSphere的ESXi平台之上。所有的系统数据都存放在数据中心内部。业务人员桌面环境架构图在虚拟桌面内部，实现不同类型桌面组之间的访问控制，以及对运行网区域，管理网区域的访问策略，实现运行网与管理网的隔离。NSX可以实现双重维度的访问控制，对于同一个项目组分区的不同人员，还可以设置基于用户或用户组的访问策略控制。提供动态的访问策略控制使得安全控制更加灵活和安全。View的连接服务器还提供审计功能，例如什么人什么时间登陆了什么桌面系统，何时断开或者注销等，这些信息都存放在View的数据库中。为后续审计提供支持。对于某些信息敏感的桌面，可能需要关注于用户在虚拟桌面内的一些具体的操作，用户通过键盘鼠标输入了哪些内容，查看了哪些系统等等。通常是为了事后审计用户的行为。VMware和国内的审计厂商合作提供此类解决方案，如ITPro和AuditPro软件能对此类桌面的操作进行拍照或录屏，对鼠标键盘进行跟踪，对调用的相关应用的操作进行记录。此类软件往往占用资源较小，可以在虚拟桌面内安全使用，生成的图片或者操作录像容量不大，方便事后进行查看。稳定高可用的桌面由于用户桌面和数据的大集中，对虚拟桌面系统的基础架构平台的可用性和稳定性提供了更高的要求。VMware的vSphere平台是业内公认的最佳企业级虚拟化平台，是成熟稳定的技术。前期招商银行已经实现了大范围的基于x86平台的业务虚拟化。虚拟化程度已经达到了80%左右。vSphere平台能提供对计算资源，网络资源，存储资源的抽象化。同时提供整个系统的高可用性。利用网卡，HBA卡，服务器的冗余实现虚拟机资源的自动漂移，遇到非计划内的故障可以自动重启修复。存储可以采用共享存储或者使用分布式的本地存储来实现数据的冗余安全。还可以利用底层平台来构建双活数据中心或站点灾备中心。vSphere实现不同级别的系统高可用性除此之外，系统内置的DRS能动态的按虚拟机负载进行放置虚拟机。还可以设置DRS的策略来将虚拟机进行分组以放置在不同的物理服务器上。例如把不同的VCS（View虚拟连接服务器）放置在不同的物理服务器以提高高可用性。将数据库系统和应用系统放置在同一个物理服务器上以提供整体性能。vSphere内置的HA,DRS功能提高高可用和效率防病毒及数据安全虚拟桌面系统内除了之前章节提到的网络安全和数据安全外，防病毒安全是很重要的环节，传统的每台虚拟机上安装防病毒软件进行病毒更新和病毒扫描在虚拟环境下存在着很多弊端：虚拟机病毒定义更新会导致虚拟机IO风暴，影响存储性能。虚拟机定时的病毒扫描会导致服务器CPU风暴，短时CPU耗尽。虽然可以采用一些方式规避以上两条：例如通过更新虚拟桌面模板来更新病毒定义以规避每台虚拟机都更新病毒定义的IO风暴；通过随机错开病毒扫描以避免CPU风暴，排除可信的文件夹和目录以减少防病毒软件的负载。VMware的NSX（之前为vCloudNetworkandSecurity）为第三方厂商提供了基于VMkernel的接口，使得传统的防病毒厂商和数据泄露厂商都可以整合进来协同工作，同时也支持专用的IPS，网络防火墙和负载均衡设备厂商的插入使用。NSX提供服务接口给防病毒，防数据泄露和网络入侵及防火墙厂商借助于NSX提供的接口和VMwareESXi的安全生态环境，招商银行可以实现完善的世界一流的数据安全方案。高效的自动化桌面平台灵活提供对资源的需求利用vCenterAutomationCenter可以构建资源服务目录，业务人员根据提供的服务目录可以提出资源的申请，同时会被告知使用的时间和可能的费用。提出的申请会被后台管理人员进行审批，批复后会在后台利用vCAC的工作流引擎自动部署，部署完毕后会通知给业务人员进行使用。通过这种方式，大大提高了效率和规范了流程，IT管理人员只需要进行审批就可以实现对资源生命周期的自动管理。使用者也可以以最快的速度得到所需要的资源。而且在资源使用过程中，引入了计费系统，可以方便行内对外包公司的资源计费。部门协同提高工作效率和创新能力海关大多数的内部协同工作还是基于电话，Email，即时通讯工具，文档的协同如sharepoint。email过于繁重，尤其是需要很多人的回复和反馈。即时交流工具快捷却又不便于查找记录和方便大家评价。Sharepoint缺少用户反馈的功能。社交工具的出现已改变了人们的交流方式，微博就是一种有效的沟通方式。VMware的企业微博工具，SocialCast就是提供给企业内部使用的一种便捷方式。而且Socialcast还可以嵌入到企业内的任意应用以供使用，例如内部网站，内部应用等。在内部办公中使用可以进行事件通知，产品反馈，提问和解答，进行投票，讨论问题，团队工作，任务，新主意和创新平台等等。这些事件其实都是以人为中心，人就是一个很重要的平台。许多知名的企业都已经部署了socialcast，例如：3M,Nokia,Philips,SAS,GM,PSI等。此外SocialCast提供的丰富的API可以实现界面定制，外部应用的迁入和整合等等。SocialCast企业微博提高效率和提高企业创新能力自助服务提供自助服务可以简化管理，规范流程，提高效率以及可以提供计费参考。自助服务可以分为两大类，一类为业务使用的自助门户，一类为项目管理员使用的管理服务。业务人员自助服务业务人员需要两大类的自助服务，一类为虚拟桌面本身相关。例如通过此类自助服务，可以实现下列任务：新员工可以申请桌面。申请额外的特定桌面，如3D。申请昂贵的限量license应用的使用权。桌面在使用过程中出现问题，自助进行重置。桌面已经损坏，无法重启，可以进行恢复至出厂设置。桌面资源进行回收。业务人员自助服务:虚拟桌面第二类服务与开发测试平台相关，例如申请一台Windows2008,Linux,或者Mac系统，申请一个数据库应用，文件服务器，web服务器，测试用虚拟机等等。用户在提出申请之后，经相关人员（事前定义好的审批人员）批准后，系统会在后台自动生成系统，系统准备好之后，开发人员就可以在vCAC的界面里看到部署好的系统或者应用了。申请的资源可以设置生命周期，还提供了计费功能。图例SEQ图例\*ARABIC12开发人员自助服务:开发资源项目组管理人员自助服务由于项目组众多，管理人员无法去管理每一个项目组内部的管理任务，为了让项目组管理人员能自主管理一些组内任务，减轻IT工作人员的管理负担，可以把一些常用的管理服务做成管理服务目录提供给项目组内的管理人员进行自助服务。项目组内的管理人员可以选择常用的管理服务申请，行内管理人员只需批复即可。例如可以把下列管理任务分配到各个项目组：编辑项目组桌面池的属性以满足项目组人员的需求。（桌面个数，电源策略，连接协议）对用户进行桌面池的授权。对用户进行特定应用的授权。为新到员工部署新增桌面。对项目组的桌面进行系统维护（如刷新或更新模板）。对桌面的连接进行管理。图例SEQ图例\*ARABIC13项目组管理人员自助管理服务桌面管理虚拟桌面的管理与传统的桌面管理并无太大的差别。通常可分为操作系统的管理（系统镜像），应用程序的管理，个人数据和个性化配置的管理。VMwareMirage产品通过对操作系统进行分层，将系统分为：驱动程序层，操作系统层，企业应用层，计算机表示层和用户个性化层。对每一层进行单独管理，从而实现对整个桌面系统的管理。对系统层的更新不会影响用户个性化层的用户配置和用户数据，对企业强制应用的更新不会对用户个性化层信息进行覆盖。图例SEQ图例\*ARABIC14Mirage对系统的分层定义操作系统的管理采用Mirage技术可以简化对系统镜像（模版）的管理，这样可以把不同单位，不同部门的镜像进行统一，达到统一管理企业镜像的目。同时，通过对基础镜像升级windows补丁和驱动，可以达到快速更新和部署的目的。图例SEQ图例\*ARABIC15Mirage通过管理控制台推送系统更新应用门户与应用交付应用门户VMware桌面云提供类似应用商店的模式来为用户提供应用，所有应用均采用VMwareWorkspacePortal进行发布，通过HorizonWorkspace将不同类型的应用：Windows应用（Thinapp），SaaS应用，WindowsServer发布的应用（XenApps和HorizonView发布的应用）发布到指定的用户，从而简化终端用户体验并降低IT成本。对于IT管理员而言，可以实现更简单且基于策略的集中式管理。对于SaaS的web应用而言，VMware提供基于SAML协议的单点登陆集成功能，实现一次登陆应用门户，使用任何SaaS应用无需再次输入密码。对于传统的Windows桌面应用而言，采用VMwareThinapp进行软件的打包。VMwareThinApp是一种无代理的应用虚拟化解决方案，它可以简化应用程序交付，同时避免冲突。作为VMwareView的一部分，ThinApp可保持应用程序独立于底层操作系统，从而简化重复性管理任务，并减少虚拟桌面的存储需求。图例SEQ图例\*ARABIC16WorkspacePortal提供企业应用门户应用交付应用交付的方式有多种形式：利用Mirage进行应用交付，通过分层的技术，将应用和操作系统分离，在操作系统层（基础层）之上，对应用进行捕获和管理（包括分配和更新），达到统一应用管理的目的。同时，Mirage也可以和Thinapp配合使用，实现多种版本应用的交付。例如：同一软件的不同版本等。应用的分配和管理支持两种方式：单个虚拟桌面中包含一个应用层，该应用层包含多个应用，如下图左示例；单个虚拟桌面中包含多个应用层，每个应用层包含一个应用，如下图右示例。根据以上的技术，相同的基础层加上定制的不同应用层，可以为为企业定制不同类型场景的虚拟桌面，比如基础层加上财务的应用，可以生成财务专用的桌面。如下图所示：图例SEQ图例\*ARABIC17Mirage通过应用分层管理进行应用交付此外，对于一些基于windowsserver的应用，Horizon6还可以进行基于WindowsSessionHost应用的发布交付，和CitrixXenApps类似。2014年8月，VMware宣布收购了CloudVolumes，使得VMware能以最快和最灵活的方式去交付Windows（桌面和服务器）甚至Linux的应用，在用户登陆在线的情况下，进行应用的交付，甚至不同版本的交付，对应用进行在线升级和更新。图例SEQ图例\*ARABIC18CloudVolumes通过挂载的方式实现应用交付用户数据和个性化配置Mirage可以创建完整的虚拟机快照并将变更持续同步到后台数据中心,可确保桌面能够快速恢复。在VM被损坏后,IT部门可以将系统恢复,从而最大限度地减少终端用户的停机时间。利用VMwareMirage文件门户,用户可以恢复单个文件或整个目录。图例SEQ图例\*ARABIC19Mirage对整个桌面系统进行快照备份由于Mirage采用分层技术保留了用户个性化层：用户的数据，用户程序，用户配置。在对其他层进行更新时，此部分不受影响。而且由于对整个桌面定时做快照，保证了用户数据和个性化配置不会丢失。外设兼容性打印兼容性通过Thinprint虚拟打印技术可对各类打印机及高强度打印业务进行支持。Thinprint采用无驱动打印技术，使得打印驱动只需要在客户端安装，不需要在服务器端安装，Thinprint把服务器端和客户端打印处理分开，使打印处理完全在客户端进行。减少服务器端的管理，并且降低服务器端的资源占用。新设备映射至服务器端后可自动识别，满足海关业务人员日常打印需求，特别是高强度打印业务，并且同时满足单打印机\双打印机\共享打印的实现。海关目前常见打印机类型和设置方式如下图：打印设备类型具体型号打印内容设置网络打印机高速打印机HP等通关票据Thinprint映射并口打印机DPK，实得等通关票据ThinPrint映射USB打印机HP等通关票据Thinprint映射外设兼容性通过PCoIP的USB重定向虚拟通道可兼容各类USB设备，包括海关H2010应用认证所需的USB读卡器以及USB-Key的兼容性支持。USB设备重定向至服务器端后可被自动识别，以满足用户日常使用需求，特别是海关大量设备同时使用的需求。同时，通过USB重定向策略配置，根据USBVID、PID（设备号）黑白名单的设置，可依据海关实际需求配置哪种USB设备允许正常使用，而哪些USB设备禁止用户使用。海关常见的USB的外设有：USB设备具体型号设置USB读卡器ScanLogic海关定制USB读卡器禁用USB，开启白名单，加入ScanLogic设备号USBKEYUsb打印机禁用USB，开启白名单，加入USBKEY设备号USB扫描枪Usb扫描枪禁用USB，开启白名单，加入USB扫描枪设备号注册U盘需统计U盘UID，PID禁用USB，开启白名单，加入注册U盘设备号其他外设兼容性支持：条码阅读器等其他外设正常输入输出。其它应用场景海关桌面云平台建设主要分海关通关业务办理、关员日常办公以及移动办公三种工作场景，各使用场景有其不同的特点。关员日常办公场景OA办公场景在传统模式下面临着软件更新频率高、维护工作量巨大、网络突发负荷大、安全隐患多、运维总成本高等多种问题。因此使用HorizonView方案中的自动池来进行桌面的统一部署和维护，降低运维成本。同时使用固定池配合HorizonWorkspace的用户数据存放和分享功能保障办公同时有个性化内容。运用PCoIP细腻的策略控制来使用户可接入部分外设的同时保障数据安全。此外，如果用户在一段时间内还会保持虚拟桌面与物理桌面并存的情况，可使用HorizonMirage来配合HorizonView进行物理虚拟统一管理。同时HorizonMirage还可进行用户数据备份、端点维护、Win7迁移等工作。终端接入设备可使用瘦客户机或是利旧的PC机。最后通过vCopsforView来保障整个系统安全稳定的运行。此场景适用的逻辑架构图如下：关员日常办公使用场景有以下特点：关员日常办公桌面为知识型岗位，有大量OA应用、Office办公软件、有多媒体播放等需求，应用相对复杂，对计算资源要求相对适中。所需外设型多：多种型号网络打印机，USB打印机，U盘，其它USB设备等。多媒体播放：有多媒体（标清、高清）播放需求。移动性：较少移动性要求。安全性：关员日常办公接触大量海关敏感信息，对数据安全要求高。网络带宽：应用场景相对较为复杂，带宽占用较高。移动办公场景移动政务场景的核心要求是访问的便捷性和安全性，要求用户可以随时随地的访问内务应用，并且可以保障数据安全。因此使用HorizonView安全服务器来保障广域网用户的安全快捷接入。同时使用HorizonView方案中的自动池来进行桌面的统一部署和维护，降低运维成本，使用固定池保障个性化内容。运用PCoIP细腻的策略控制来使用户从外网接入的同时保障数据安全。此外，如果用户有非保密数据想在广域网上进行同步和分享，可使用HorizonWorkspace来配合HorizonView进行用户数据存放和分享。终端接入设备可使用任意的笔记本或移动设备。最后通过vCopsforView来保障整个系统安全稳定的运行。此场景适用的逻辑架构图如下：移动办公场景有以下特点：移动办公场景利用IPAD等平板电脑做为接入设备，应用软件较为单一，对计算资源要求不高。无外设需求。多媒体播放：较少的多媒体播放需求。移动性：日常办公桌面有复杂的移动性要求。安全性：移动终端也会接触部分敏感信息，对数据安全要求较高。网络带宽：移动办公应用场景相对较为简单，带宽占用较低。运维监控整体环境的监控从一个统一的页面对整体的桌面环境包括vSphere基础架构和桌面云中的虚拟桌面进行整体的监控，从而对虚拟化平台运行状态做到心中有数。图例SEQ图例\*ARABIC20vCops监控平台架构图通过统一的监控平台，可以对以下资源进行监控：物理服务器资源使用情况，包括CPU、内存、磁盘空间；虚拟机资源使用情况，包括vCPU、内存使用情况；对CPU、内存等资源超既定阀值的状态进行告警，并对告警数据进行管理，以了解系统运行状态；性能数据管理，同样达到了解系统运行状态的效果，同时配合VMware相关的容量管理工具，以达到更为精细的虚拟化环境配置和管理虚拟桌面的健康度监控还可以利用vCenterOperations实现配置管理。着眼于主机配置数据（软、硬件）的发现、比较、变更管理和审计，以及虚拟机与物理服务器依赖关系，应用软件间相互依赖关系的发掘。通过细粒度的配置管理，帮助IT管理人员了解VMware虚拟化环境的组成（即虚拟化IT基础架构），配置是否发生变化、什么时候发生的变化，虚拟化平台支撑的应用系统之间的相互依赖关系，从而达到精细化高效管理的效果。vCops着眼于标准的ITIL流程管理，为虚拟化平台运维提供标准化的流程管理，包括问题管理、事件管理、发布管理等等标准管理流程。同时为使用者提供直观、方便、全图形化的基于浏览器的管理介面。通过规范的流程管理有助于提高问题解决的效率，降低风险。问题处理通过vCops的平台很容易发现问题并分析问题，找到问题的根本原因是出在CPU，内存，存储还是网络，问题是出在基础架构层还是虚拟机层，是虚拟机层还是应用层。根据健康状况发现问题：用0-100的数值表示对象的健康状况，自动学习对象的行为特征，记录其在执行正常行为时的各项指标，当一项或多项指标出现异常时，及时向管理人员发出告警。当某个对象的健康状况出现问题时，系统将提供关于其健康状况的分析报告，明确指出问题所在并给出解决办法供管理人员进行参考。点击红色的非健康状况显示图，会显示出和此目标相关的各个细节：如关联的基础架构，各项点对点的性能指标等。从而很容易帮助找到问题的根源。容量规划vCops能提供多种报告以告知管理员及决策层当前的资源使用情况和基于现有情况或假定情况的容量规划。从而对企业内的资源情况，容量情况做到定量的分析：1．资源容量度量用0-100表示可用资源的数量，数值越大，表明剩余的可用资源越多。当可用资源将在30天内用尽时，以红色显示；将在60天内用尽时，以橙色显示。2．关键资源的可用性汇总视图对于主要的环境资源，包括CPU，内存，网络以及存储I/O等，汇总显示资源的可用性。3．提供资源可用容量的细节视图及报告可以详细显示资源使用情况和可用情况的变化图及趋势，指示当前状态，并指明状态转换点及剩余天数。终端设备管理虽然一般的瘦客户机厂商提供了对瘦客户机的管理软件，如统一升级系统，更新软件，资产管理等。也可以利用vCenterConfigurationManager对终端接入设备的系统（PC或Laptop）补丁管理，软件管理，还可以进行合规性检查和软件及资产管理。合规性管理对整个桌面环境的合规性检查，例如：系统是否安装补丁，是否安装必须软件，桌面是否被用户更改IP地址等等。对整个环境的安全加固包括ESXi,vCenter,View和虚拟机。对于招行的系统管理来说，也是非常关键的一环。 vCenterConfigurationManager能满足这方面的需求。很多金融机构都部署了vCM来进行合规性检查包括给虚拟桌面系统进行补丁管理等。例如：中国人寿。vCM还可以对整个系统环境进行安全加固，避免可能的安全风险。对系统管理员（桌面管理员）而言：可以利用vCM对虚拟桌面进行补丁升级和桌面优化，查看用户安装的软件和软件配置，检测桌面发生的变更。对于安全管理员而言：可以对整个运维环境进行合规性检查（HIPPA,PCI,etc）:整个虚拟化环境和终端用户的设备（笔记本，台式机，瘦客户机）。对于数据中心基础架构管理员而言，可以利用vCM来进行虚拟桌面模板的配置管理，和对大批量虚拟桌面的统一管理（如统一进行软件的配置变更等）。桌面云运维管理概述政府营业大厅桌面云必须具有良好的管理能力，实现云平台内业务组（即租户）的自助式管理。既保证业务人员和管理人员能够自助式的、方便的使用和管理自己的虚拟桌面，以及虚拟桌面内的应用和个人数据；同时保证云平台能够有效的监控整个平台，为平台的稳定运营提供良好的、自动化的运维支持，最大限度的减少人工管理成本。在政府营业大厅桌面云设计中，我们设计的使用者包括3级结构：业务人员：即使用者。进行正常的业务受理对外提供服务。业务管理员：即租户管理员。租户管理员完成业务组内部自身的管理工作。云平台管理员：即云平台的基础架构管理员，负责整个基础架构的管理和运维工作，包括自动化部署管理策略的制定、容量管理、性能监控…用户角色的定义业务人员使用流程业务人员工作内容包括：vPC的自助申请/部署/回收vPC的使用登录软件使用数据存储故障恢复个人数据故障恢复数据受控传输桌面外设使用vPC的自助申请/部署/回收vCACforView为业务人员提供自助式的管理界面。在基于用户授权使用的自助式管理界面内可以进行虚拟桌面的申请、虚拟桌面的删除、虚拟桌面的重置刷新、虚拟应用的申请等等工作。这些自助式管理界面内可用的服务功能，来自于云平台管理员预先制定好的服务目录，并且被授权于当前用户可用。所以在我们设计的CMB开发桌面云内的管理逻辑是：云平台管理员制定服务目录，授权项目组使用；项目组管理员授权业务人员使用；业务人员在自助式管理界面自助式使用该服务。为了方便业务人员使用，我们可以通过自定义自助门户的图标、图片内容的方式，灵活的修改自助门户内容。也可以灵活修改服务标签内容和说明，区分不同的服务。vPC的使用虚拟桌面的使用包括：登录软件使用数据存储业务人员在自己的工作台上的瘦客户机TC，或者自有的笔记本电脑，通过ViewClient连接虚拟桌面，登录后即可进入被授权使用的虚拟桌面。进入虚拟桌面后，即可获得如同本机的桌面工作环境体验。可以在其中使用已安装和被授权使用的应用软件，进行日常工作。工作产生的数据可以存放在虚拟桌面中预置好的存储空间。这些预置好的存储空间通过AD域组策略设置的方式，映射为虚拟桌面内的逻辑磁盘。业务人员在使用中无需了解具体的存储位置，并选择复杂的网络存储路径。个人数据故障恢复由于个人数据属于个人的自我管理，所以我们设计虚拟桌面内的个人数据故障时，数据的故障恢复工作由业务人员自己执行完成，无需项目组管理员，甚至云平台管理员参与。在本次桌面云设计中，我们通过Mirage实现个人数据的自动备份和自助式数据恢复。日常虚拟桌面使用时，系统会按照制定的数据备份策略，自动、定时的向后台服务器备份个人数据。备份数据按时间进行管理。一旦个人数据故障发生。业务人员可以通过任何浏览器访问自己的数据备份Web门户，按照时间点进行文件级的数据恢复。桌面外设使用CMB的业务业务人员可能会使用到各种外设。我们通过USB重定向和串口重定向方式，将本地外设设备重定向给虚拟桌面，即可进行日常的使用。VMwareView对于外设的支持，具有全球最大的外设支持列表，完备的支持CMB所需的各种外设设备。业务管理流程业务管理员负责日常的虚拟桌面池策略的管理和项目组内部人员授权管理。vPC资源池管理虚拟桌面作为服务目录的一种内容，虚拟桌面管理逻辑是：云平台管理员制定的不同的虚拟桌面规范，按照规范部署不同的虚拟桌面池，授权不同的项目组使用。项目组管理员维护虚拟桌面池的策略，授权业务人员使用。所以项目管理员通过自助门户，进行虚拟桌面池策略的维护和用户授权维护。具体的工作包括：基于业务人员的请求，在虚拟桌面池中部署虚拟桌面；基于业务人员的请求，在虚拟桌面池中删除虚拟桌面，并保留永久性数据；管理维护虚拟桌面池的用户授权工作；管理维护虚拟应用池的用户授权工作；虚拟桌面池的分配、定义和授权；为虚拟桌面池和虚拟应用池增加和删除用户修改和维护虚拟桌面池的策略，比如虚拟桌面池的桌面数量、显示名字、开机数量等等。修改和维护虚拟应用池的策略，比如虚拟应用池的显示名字。虚拟桌面会话管理。AD服务(OULayer)及权限管理用户管理通过AD域用户管理。云平台管理员按照项目定义不同OU，制定OU策略，授权项目组管理。项目组管理制定OU内部的用户策略，包括：OU内用户的添加、删除；OU内用户的组策略管理定义和维护。通过vCAC的服务目录，来申请新用户的建立和老用户的删除工作。云平台项目组管理流程云平台项目管理员负责整个基础架构的管理和运维。包括：vPC资源池创建App生命周期管理交付更新删除策略制定和实施：自动化部署、安全隔离、安全接入(vPC,Net,VSAN,FW,VPN)租户(项目组)资源划分和授权容量管理，性能监控高可用运维(VMotion…)报表管理日志收集分析安全加固(ESXi,vPC)防病毒服务管理计量收费审批流程管理操作行为审计补丁管理(ESXi,vPC)容灾切换终端设备管理终端接入管理AD服务及权限管理vPC资源池创建云平台管理员制定的不同的虚拟桌面规范，按照规范部署不同的虚拟桌面池，授权不同的项目组使用。所以云平台管理员的首要工作是：按照业务管理规范和安全管理规范，进行桌面标准化，制定面向不同项目组的虚拟桌面模版。然后，基于虚拟桌面模版为不同的项目组部署虚拟桌面池，授权项目组使用。基于虚拟桌面模版部署虚拟桌面池，必须是自动、可靠的部署方式。VMware的View解决方案，通过ViewManager制定虚拟桌面池策略，通过调用vCenterServer，进行桌面池的自动化部署。App生命周期管理虚拟桌面是业务人员使用的工作环境，真正使用的是各种开发工具和办公软件，以及其它各种应用软件。所以应用软件的管理是桌面云管理的重点。VMwareHorizonMirage是一种分层映像管理解决方案,能将PC分离为归IT组织或终端用户拥有和管理的多个逻辑层。您可以在保留终端用户文件和个性化设置的同时更新IT托管层。为最大限度地提高终端用户的工作效率,分层桌面映像的快照和备份支持在出现故障时快速恢复或回滚。通过将PC转换为集中式分层映像服务简化PC。通过内置的备份和恢复功能集中管理和保护PC映像,以降低IT成本。为终端用户提供个性化桌面体验和优化的工作效率。我们可以将虚拟桌面内部映像分层为操作系统、应用软件、个人数据等多个分层。应用软件分层可以按照不同的粒度机型分层，理论上可以实现每个应用一个分层。针对每个分层（即应用）实现应用的交付、更新和回收服务。在应用管理设计中，我们可以分别定义不同业务人员类型应用池。为不同业务类型进行桌面应用的生命周期管理服务。HorizonMirage体系结构包括位于数据中心的HorizonMirage服务器(提供集中式桌面管理和保护)、HorizonMirage客户端(可在端点上创建本地缓存,以优化用户体验)，以及高级WAN优化技术(用于加速通过WAN进行的双向同步)。Mirage的系统架构如下：计算、网络、存储全方位自动化部署传统意义上的桌面云系统能够实现虚拟桌面的批量、自动化部署。但是这种自动化部署并不全面，只是实现了虚拟桌面本身的自动化部署，并不能实现虚拟桌面的网络自动化部署和存储的自动化部署。所以，我们在虚拟桌面自动化部署时，必须先等待网络系统分配VLAN和IP地址，VLAN路由联通、防火墙安全策略配置等等工作。同时还要等待存储系统分配存储空间。之后，才能够进行虚拟桌面的自动化部署。无法做到虚拟桌面实时交付。VMware通过NSX和VSAN技术实现网络虚拟化和存储虚拟化，结合vSphere，真正实现全面的虚拟桌面自动化部署，保证虚拟桌面实时交付。VSAN使用服务器的本地磁盘，构建廉价高效的分布式存储系统，保证虚拟桌面的可靠性和低成本，是的桌面云中的最大成本，即存储成本能够大大降低。但是VSAN最大的好处是，所有虚拟桌面的存储策略都是基于VM的，我们可以在VSAN的存储空间上在线的定义和修改每一个虚拟桌面的存储策略，实现虚拟桌面的存储性能和可靠性保护。所以无需等待传统意义上存储系统定义不同类型（RAID）的存储空间。同样，NSX实现软件定义的网络，在已有的网络VLAN设计中，通过VXLAN定义网络隧道，实现虚拟网络定义和虚拟路由器的联通。保证在虚拟桌面自动部署的同时，自动实现虚拟桌面的虚拟网络定义和连接，实现虚拟桌面的网络连接。在桌面云中，即可实现在为不同的项目组创建虚拟桌面池的同时，自动定义不同的2层虚拟网络，并实现虚拟网络的连接。VMwarevCACforView支持VSAN和NSX虚拟网络集成管理。这样真正实现了虚拟桌面的全自动化部署。安全策略自动化部署NSX内部具有的分布式虚拟防火墙功能，通过Micro-Segmentation技术，能够实现不同虚拟网络的安全策略的在线定义和修改，保证不同项目组之前虚拟桌面的安全控制。NSX同时内置IPsecVPN和SSLVPN，保证用户的安全接入控制。租户(项目组)资源划分和授权在桌面云中，通过定义FabricGroup，划分资源池。通过定义BusinessGroup，划分项目组成员，定义项目组管理员。通过Entilement授权不同的BusinessGroup（即项目组）使用不同的FabricGroup。在Entitlement中定义不同的项目组管理员的管理权限。性能监控通过VCOPS实现开发桌面云的性能监控。桌面云环境管理界面：数据中心级别的工作负载：服务器级别的工作负载：虚拟桌面界别的工作负载：1周压力趋势和可回收资源：虚拟桌面资源竞争热图：容量管理根据桌面云的系统容量和虚拟桌面使用资源的历史趋势，进行容量分析。通过定义容量预测管理模型，灵活的定义面向不同使用习惯的虚拟桌面容量预测模型，进行准确的容量预测。支持项目型业务增长环境的容量预测。自定义监控页面，大屏显示支持自定义监控页面，满足不同管理员的监控需求。同时支持多个自定义页面的自动切换显示，支持大屏幕显示。报表管理自动定期的生成虚拟桌面资源使用状况报表。日志收集分析通过LogInsight实现统一的日志管理。LogInsight能够提供vSphere、View、vCAC日志知识库，根据日志信息进行专家系统分析，发现真正的故障信息。安全加固(ESXi,vPC)通过vCM系统进行CMB开发桌面云各个环节的安全加固。包括：vSphere架构View架构虚拟桌面的Windows操作系统防病毒服务管理vSphere提供了一种新型的防病毒管理机制。在ESXi上安装防病毒代理虚拟机，统一实现该ESXi上所有虚拟桌面的防病毒工作。好处：无需在每个虚拟桌面安装防病毒软件代理；虚拟桌面关机杀毒，不会影响办公时间的使用；防病毒代理虚拟机采用OVA导入，安装简单。计量收费vCACforView中，可以定义桌面云中的资源费率，为不同的项目组、业务人员提供基于实际资源使用量的计量收费信息。审批流程管理在桌面云中，我们采用的vCACforView，支持灵活的审批流程定义。内置了通用的审批流程，可以灵活定义不同的审批级别和审批人。当默认的审批流程无法满足需要，或者需要和第三方审批流程结合时，vCAC提供vCACDevelopmentKit，结合vCO，可以实现自定义审批流程开发。补丁管理通过vCM系统进行桌面云各个运行环境的补丁管理。包括：ESXi虚拟桌面的Windows操作系统容灾管理桌面云的容灾管理可以通过SRM实现一键式容灾切换。SRM按照预先制定的虚拟机切换次序和预置脚本，完成整个桌面云的远程切换。VMwarevSphereVMwarevSphereVMwarevCenterServerSiteRecoveryManagerVMwarevCenterServerSiteRecoveryManagerVMwarevSphereSiteA(Primary)SiteB(Recovery)ServersServersSRM还支持生产环境不间断的容灾演练。终端设备管理终端设备管理，即瘦客户机管理。由于VMware不提供瘦客户机，所以无法提供瘦客户机管理方案。建议采用瘦客户机厂商的管理方案。AD服务及权限管理桌面云的用户管理通过AD域用户管理。云平台管理员按照项目定义不同OU，制定OU策略，授权项目组管理。桌面云运维小组架构根据桌面云监控功能的监控数据和监控结果，建立统一运维虚拟化体系和运维流程，快速响应客户需求,包括：运维流程建立：基于ITIL的事件和问题管理流程，快速响应服务请求运维记录：即开即用的工作流，报告，问题，模板，保证快速处理运维系统：根据紧迫性和对业务的影响程度智能分配服务优先级,集成变更和配置管理，轻松管理资产和变更,灵活，易用的配置工具运维团队建立图例SEQ图例\*ARABIC22构建分层的运维团队终端用户三级运维体系L1：HelpDesk热线；HelpDesk平台；知识库构建L2:终端现场支持；用户故障排除L3:VMware产品支持；其他产品集成处理；产品定制；硬件不同级别的工作范围分配如下：L1：终端设备故障电话处理安装调整应用/操作系统电话指导问题跟进/汇总/建立知识库用户使用帮助（远程）L2：终端设备故障处理/替换安装调整应用/操作系统用户使用现场支持用户故障排除L3:VMware产品缺陷处理其他产品与VMware产品集成缺陷处理产品定制开发功能性需求运维团队按照以下的流程进行运维流程：图例SEQ图例\*ARABIC23运维团队的运维流程应急预案管理运维小组应制定此开发桌面系统的应急预案，规定业务服务时间、故障影响的系统、业务影响范围、应急组织架构、应急场景，并应提供本系统的配置信息、应急工作小组成员联系方式。制定系统的RTO，RPO。例如本系统的RPO值为小于24小时、RTO值为小于2小时。RPO恢复点目标：突发事件发生后，将数据恢复到突发事件发生前时间点的数据，衡量在突发事件发生后丢失多少数据的指标，是能容忍的最大数据丢失量。RTO恢复时间目标：突发事件发生后，从系统宕机至业务停顿时刻开始，到系统恢复至可以支持对外营业之时，此两点的时间，是能容忍的最大恢复时间。考虑此系统影响的范围，包括数据中心组件，虚拟桌面组件等。业务影响的范围：如开发测试环境对应的项目组。系统故障影响范围：是否会影响到生产环境等。还应考虑到应急组织架构，包括设置应急领导小组，应急执行小组，应急保障小组。制定各个工作小组的职责。同时制定突发事件的分级及应急响应处理流程。对常见的应急场景和处理方式进行描述，编写应急手册。在应急预案中，附加整个系统的配置信息和所有应急工作小组人员的联系方式。政府营业大厅桌面云VMware产品说明（参考）概述政府营业大厅桌面项目解决方案所涉及的VMware产品介绍如下：图例SEQ图例\*ARABIC27开发云桌面方案产品架构图VMwarevCloudSuiteVMwarevCloudSuite®是一种集成式产品/服务,可构建和管理基于软件定义的数据中心体系结构的VMwarevSphere私有云,从而显著提高IT部门的效率、敏捷性和控制力。vCloudSuite能够跨数据中心提供虚拟化经济效益,并保证应用调配跟得上业务发展速度,同时还可保证适当的安全性和可用性水平。vCloudSuite适合需要高级虚拟化功能(例如管理、自动化和灵活性)来解决运维效率低下、基础架构缺乏灵活性和停机这些难题的IT部门。产品组件：vSpherevCloudNetworkingandSecurityvCenterSiteRecoveryManagervCloudAutomationCentervCenterOperationsManagementSuiteVMwareVirtualSANVMwareVirtualSAN是适用于VMwarevSphere的全新的软件定义的存储层,它为存储带来了软件定义的数据中心的各种优势。通过建立服务器硬盘和固态硬盘(HDD和SSD)集群,VirtualSAN可以创建专为虚拟环境设计的经过闪存优化、恢复能力极强的共享数据存储。VMwareNSXVMwareNSX是提供虚拟机网络操作模式的领先网络虚拟化平台。与虚拟机的计算模式相似,虚拟网络以编程方式进行调配和管理,与底层硬件无关。NSX可以在软件中重现整个网络模型,使任何网络拓扑(从简单的网络到复杂的多层网络),都可以在数秒钟内创建和调配。它支持一系列逻辑网络元素和服务,例如逻辑交换机、路由器、防火墙、负载平衡器、VPN和工作负载安全性。用户可以通过这些功能的自定义组合来创建隔离的虚拟网络。VMwareHorizon6VMwareHorizon6可以通过单一平台向终端用户交付虚拟化或远程桌面以及应用。这些桌面和应用服务(包括RDS托管应用、VMwareThinApp打包应用、SaaS应用,甚至来自Citrix的应用)可全部从一个统一的工作空间进行访问,并跨越设备、位置、介质和连接的界限。Horizon6采用端到端管理并已针对软件定义的数据中心进行优化,有助于IT部门按照终端用户期望的速度和业务部门要求的效率,控制、管理和保护他们所需的全部Windows资源。产品组件：HorizonViewMirageWorkspacePortalVirtualSANforViewvCenterOperationsManagerforViewvCloudOrchestratorforView软件定义的数据中心为了彻底解决现有数据中心存在的问题，全面提升数据中心的运营效率，VMware提出了软件定义的数据中心解决方案（SoftwareDefinedDataCenter，简称SDDC）。软件定义的数据中心就是虚拟化、软件化数据中心的一切资源，专门的软件会代替专门硬件，它们会贯穿到数据中心的方方面面。虚拟化是从服务器虚拟化开始的，它所带来的好处前面已经提到了。而网络、存储是物理性很强的资源，虚拟机虽然带来了一些灵活性，但它没有办法在其他资源上体现。软件定义的数据中心就是把数据中心所有的传统、物理、硬件的资源进行虚拟化、软件化。VMware软件定义数据中心在各种底层硬件架构上面加载了一个虚拟的基础设施层，它提取所有硬件资源并将其汇集成资源池，支持安全高效自动地为应用按需分配资源。它可以将虚拟化技术的好处扩展至包括计算、存储、网络与安全以及可用性在内的数据中心所有领域，从而实现支持灵活、弹性、高效和可靠IT服务的计算环境。SDDC提供了让数据中心适配新形势和新应用所需的一切，管理了从存储到网络与安全的方方面面。虚拟化一切，底层硬件的任何变化都与上层应用无关，有了这个基础，可伸缩性和性能问题便可迎刃而解。包含有大量遗留资产的数据中心因此可以提高效率、降低成本、实现动态化。VMware软件定义数据中心的整体架构如下图所示。图：VMware软件定义数据中心软件定义的计算软件定义的计算是针对x86系统的虚拟化技术，它可以将x86系统转变成通用的共享硬件基础架构，原先多台服务器完成的工作可以整合到少数服务器完成。摆脱了竖井式的结构，服务器物理硬件、操作系统和应用以松耦合的方式联结，虚拟机和上面的操作系统和应用完全独立于底层的硬件。除此之外，软件定义的计算通过把服务器计算资源抽象化、池化和自动化来实现资源的自由调配和充分利用，它可以使资源充分利用，并按需调配。当数据中心的服务器需要升级或维护的时候，通过虚拟机迁移技术可以把服务器上的虚拟机在工作状态迁移到另一个主机，始终保持业务的连续性。服务器虚拟化大大增加了数据中心的灵活性和IT的敏捷性，减少管理的复杂度和IT响应时间。软件定义的存储与可用性软件定义的存储可以对存储资源进行抽象化处理，它把应用于服务器的先进技术运用于存储领域，可对异构存储资源进行抽象化处理，以支持存储的池化、复制和按需分发，并以应用为中心进行消费和管理，最终实现基于策略的自动化。该方案使存储层与虚拟化计算层非常相似：都具有聚合、灵活、高效和弹性扩展的特点。它们的优势也如出一辙：全面降低了存储基础架构的成本和复杂性。软件定义的可用性可以提供本地高可用，数据保护以及灾难恢复等多项功能，它可以在最大程度上保证业务的连续性。本地高可用解决方案是指在站点内部，物理主机之间对应用进行保护，使其免受单个主机停机影响的解决方案。数据保护可以以简单无中断的方式备份整个虚拟机，包括操作系统、应用二进制文件和应用数据。灾难恢复解决方案可以使企业管理从生产数据中心到灾难恢复站点的故障切换，同时，它还可以管理两个互为恢复站点且具有活动工作负载的站点之间的故障切换。软件定义的网络与安全现有的网络体系结构对底层物理硬件有很大的依赖，他们依赖于专用物理设备，因此灵活性很差。除此之外，这种不灵活的体系结构对工作负载和应用的扩展与迁移都产生了很大的限制。在安全方面，传统的安全防护手段价格昂贵，对虚拟化平台不具感知能力，使用不够灵活，管理难度大，不能很好地满足新架构的需要。软件定义的网络与安全会创建一个二层到七层的网络服务，通过创建软件驱动型抽象层将网络连接与安全组件与底层物理网络基础架构完全分离，因此它可以确保硬件独立性，使得网络连接与安全服务摆脱与硬件绑定的限制。该方案它可以从终端主机的角度忠实地再现物理网络模型：工作负载感觉不到任何差异，因此，软件定义的网络与安全对上层应用是透明的，上面的业务可以不做任何修改而继续使用。高效敏捷的运维管理与服务调配软件定义数据中心的所有计算、存储及网络资源都是松耦合的，可以根据数据中心内各种资源的消耗比例而适当增加或减少某种资源的配置，这样便使得数据中心的管理具有较大的灵活性。VMware提供的高效敏捷的服务调配方案不仅可以管理基础计算资源，也可以管理桌面资源。它提供了一个可以跨不同云提供商的，管理和调配虚拟机和物理机，并管理它们的生命周期的自助式门户。而运维管理解决方案可使用户更全面地了解基础设施所有层的情况。它可以收集和分析性能数据、关联异常现象，并可识别出构成性能问题的根本原因。它提供的容量管理可优化资源使用率，基于策略的配置管理则可确保合规性并消除数量剧增和配置偏差问题。应用发现、依赖关系映射和成本计量功能为基础设施和运维团队带来了更高级别的应用感知和财务责任。上述这些自动化的管理方案是传统数据中心没有的功能，它可以实现较少工作人员对数据中心的高度智能管理。此特性一方面能降低数据中心的人工维护成本，另一方面能提高管理效率，提升客户体验。HorizonView桌面虚拟化方案VMwareHorizonViewManager是企业级虚拟桌面管理器，是VMwareHorizonView的关键组件。IT管理员使用VMwareViewManager作为中心控制点，支持最终用户安全灵活地访问其虚拟桌面和应用程序，并利用与VMwarevSphere™之间的紧密集成，帮助客户以安全托管服务形式交付桌面。VMwareViewManager具有极强的可扩展性和可靠性，它使用基于Web的直观管理界面创建和更新桌面映像、管理用户数据、实施全球策略等，从而同时代理和监控数以万计的虚拟桌面。ViewManager包括下列组件：VMwareViewConnectionServer—管理对虚拟桌面的安全访问，与VMwarevCenter™Server配合提供高级管理功能VMwareViewAgent—提供会话管理和单点登录功能VMwareViewClient—支持PC和瘦客户端上的最终用户通过VMwareViewConnectionServer连接到虚拟桌面使用。ViewClientwithLocalMode—即使网络发生中断也可以访问虚拟桌面，不会影响IT策略的实施。VMwareViewAdministrator—允许管理员进行配置设置、管理虚拟桌面和设置桌面的权限以及分配应用程序VMwareView角色管理—角色管理可动态地将用户角色与无状态流动桌面相关联。管理员可轻松部署低成本、无状态流动桌面池，让用户能够在不同会话之间保持其指定设置。主要特性全面的Windows7虚拟桌面支持，通过以虚拟桌面的形式交付Windows7，最大限度地减少迁移过程中的用户中断。避免桌面硬件更新，重新调整PC用途以访问Windows7，更快地实现投资回报，使操作系统迁移更经济高效并提供卓越的最终用户体验。利用高性能PCoIP显示协议保持稳定的访问，从而支持最广泛的使用情形和部署选项，即使通过低带宽连接也是如此。为最终用户提供独立于特定设备的应用程序和数据访问。在任意数目的监视器配置上提供富媒体内容，并为用户提供对本地打印机、扫描仪和其他本地外围设备的无缝访问。利用VMwareViewComposer持久磁盘永久保存最终用户数据和设置。用户可以灵活地使用公司或非公司的任何PC、笔记本电脑或瘦客户端。使用ViewClientwithLocalMode，最终用户即使在断开连接时也可以访问其虚拟桌面。简化的虚拟桌面和应用程序管理管理用户或用户组的虚拟机权限管理向桌面或桌面池分配虚拟应用程序从单个位置在数分钟内部署和更新多个虚拟桌面和应用程序使用基于角色的管理来委派管理权限，从而扩展IT资源利用和扩展现有目录服务工具和基础架构自动桌面部署采用细化策略实施部署新的桌面或桌面组使用虚拟机模板对特定桌面池或桌面组进行自定义高级虚拟桌面映像管理利用链接克隆技术快速创建或更新桌面映像安装更新、补丁程序和新应用程序，而不会对最终用户造成任何中断虚拟打印从虚拟桌面自动发现和连接本地打印机并进行打印，既没有兼容性问题和带宽限制，也不需要进行复杂的用户设置本地客户端机器和虚拟桌面之间进行复制和粘贴剪贴板支持，支持单向或双向复制和粘贴高效地保留用户设置和数据，通过支持更多的无状态流动桌面使用

情形来降低桌面TCO收集20个以上会话状态，用于进行监视、趋势分析和高效的故障排除即使网络连接状态欠佳，也可支持高质量打印企业级的可扩展性和可靠性在单个VMwareViewManager实例上，使用可扩展性更高的新管理控制台监控数以万计的虚拟桌面计算机为VMwareViewManager实例建立集群，以提高冗余、可扩展性和性能安全代理使用内置SSL形成从非受控设备到虚拟桌面的安全加密链路集成RSASecurID实现双因素身份验证，从而确保安全访问支持对VMwarevSphereWindowsTerminalServer、刀片PC环境或远程物理PC上托管的虚拟桌面进行访问VMwareView主要功能VMwareView是专为桌面构建的唯一一款端到端解决方案，该解决方案以托管服务的形式交付桌面，可提供促进业务增长所需的可扩展管理、丰富的用户体验和通用虚拟化平台。底层架构(桌面提供者)VMwarevSphereForDesktops此版本的VMwarevSphere专门为桌面而设计，它为运行虚拟桌面和应用程序提供了一个高度可扩展、高度可靠的强健平台，它具有内置的业务连续性和灾难恢复功能，能够保护桌面数据和可用性，而且不像传统解决方案那样昂贵和复杂。VMwarevCenterServerforDesktops此版本的VMwarevCenter™Server是VMwarevSphere的集中管理中心，可让您完全控制和查看虚拟基础架构中的集群、主机、虚拟机、存储、网络连接和其他关键元素。桌面管理架构(桌面交付与管理)VMwareViewManagerViewManager使IT管理员能够从单一控制台集中管理数千个虚拟桌面，简化了虚拟桌面的管理、调配和部署。此外，终端