謝群

(云南電網(wǎng)公司昆明供電局，昆明 650011)

供電局桌面虛擬化系統(tǒng)架構(gòu)研究

謝群

(云南電網(wǎng)公司昆明供電局，昆明 650011)

介紹了在云計(jì)算的背景下，某供電局借助于IAAS(infrastructure as a service，基礎(chǔ)設(shè)施即服務(wù))提供的基礎(chǔ)資源平臺(tái)，桌面虛擬化和云平臺(tái)的融合，實(shí)現(xiàn)類似于SAAS(Software-as-a-service，軟件即服務(wù))一樣的DAAS(Desktop As a Service，桌面即服務(wù))，將桌面作為一種按需服務(wù)，安全快速地向任何用戶提供服務(wù)。

云計(jì)算；虛擬化；虛擬桌面；DAAS；Citrix

0 前言

隨著供電局各個(gè)大集中系統(tǒng)的陸續(xù)推廣應(yīng)用，各個(gè)系統(tǒng)的應(yīng)用基本覆蓋了日常工作，終端電腦的日常維護(hù)工作量越來越大，保障各個(gè)終端系統(tǒng)的正常運(yùn)行，降低操作系統(tǒng)故障率已成為信息化一個(gè)重要工作。必須構(gòu)建一種全新的內(nèi)網(wǎng)加固與運(yùn)維管理模式，最大限度保證終端計(jì)算機(jī)以安全的狀態(tài)運(yùn)行，并且在系統(tǒng)出現(xiàn)故障的時(shí)候，IT管理員能夠在最短的時(shí)間里對(duì)這些故障進(jìn)行快速恢復(fù)。

1 基礎(chǔ)架構(gòu)設(shè)計(jì)

根據(jù)架構(gòu)設(shè)計(jì)的內(nèi)容，在電網(wǎng)數(shù)據(jù)中心實(shí)施Citrix桌面交付系統(tǒng)，主要包括如下幾個(gè)方面。

1.1 桌面虛擬化邏輯架構(gòu)

Citrix桌面虛擬化系統(tǒng)構(gòu)建于服務(wù)器虛擬化基礎(chǔ)之上，兼容vSphere、Hyper-V、XenServer等三大主流的服務(wù)器虛擬化產(chǎn)品。通過服務(wù)器虛擬化將CPU、內(nèi)存、網(wǎng)絡(luò)及存儲(chǔ)進(jìn)行整合，構(gòu)建計(jì)算機(jī)資源池。從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)資源統(tǒng)一管理，提高資源利用率。

Citrix桌面虛擬化邏輯架構(gòu)圖如圖1所示：

圖1 昆明供電局桌面虛擬化邏輯架構(gòu)圖

1.2 桌面虛擬化系統(tǒng)關(guān)鍵組件

1.2.1 基礎(chǔ)架構(gòu)服務(wù)器集群

1)統(tǒng)一訪問接口服務(wù)器 (Web Interface)-訪問接口及負(fù)載均衡。

2)桌面交付控制器 (Desktop DeliveryControler)-用于驗(yàn)證用戶身份、管理用戶桌面環(huán)境的置備以及安排用戶與虛擬桌面之間的連接。

3)數(shù)據(jù)庫服務(wù)器 -存儲(chǔ)桌面虛擬化系統(tǒng)相關(guān)數(shù)據(jù)。

4)AD服務(wù)器-提供LDAP用戶驗(yàn)證，管理用戶賬戶信息，配置相關(guān)策略。

5)許可證 (License)服務(wù)器-桌面虛擬化系統(tǒng)許可證分配管理。

1.2.2 虛擬桌面承載服務(wù)器集群

虛擬桌面承載服務(wù)器集群底層使用 Citrix、VMWare、

Microsoft等服務(wù)器虛擬化產(chǎn)品進(jìn)行虛擬化，在此基礎(chǔ)上批量創(chuàng)建多臺(tái)虛擬機(jī)，每臺(tái)虛擬機(jī)作為一個(gè)虛擬桌面的提供者，安裝著桌面代理客戶端，通過此客戶端與桌面交付控制器進(jìn)行聯(lián)系，接受桌面交付控制器控制。

1.2.3 終端設(shè)備

Citrix桌面虛擬化系統(tǒng)將絕大部分?jǐn)?shù)據(jù)處理集中由數(shù)據(jù)中心的虛擬桌面服務(wù)器集群處理，終端設(shè)備只負(fù)責(zé)顯示桌面圖像及接受鼠標(biāo)鍵盤的輸入，從而大大減輕終端設(shè)備的工作負(fù)載，終端設(shè)備硬件要求降低，可以充分使用現(xiàn)有的設(shè)備低配置或者瘦客戶機(jī)，運(yùn)行高要求的Windows7/8操作系統(tǒng)。各終端設(shè)備須安裝 Citrix Receiver客戶端軟件。

2 、桌面交付工作原理

Citrix虛擬桌面交付工作原理如下圖2所示：

圖2 桌面交付工作原理

1)驗(yàn)證-采用虛擬化技術(shù)，用戶幾乎可通過任何計(jì)算機(jī)訪問其虛擬桌面。

2)代理和桌面置備-身份驗(yàn)證通過后，桌面交付控制器 (DDC)就可識(shí)別用戶身份，然后動(dòng)態(tài)置備虛擬桌面。利用內(nèi)置的供給 (provisioning)服務(wù)功能，系統(tǒng)管理員將通過流 (streaming)技術(shù)將相應(yīng)的桌面操作系統(tǒng)交付到托管環(huán)境，用戶的配置文件將添加到桌面操作系統(tǒng)中。

3)開放性架構(gòu)-作為基于開放性架構(gòu)的全面的桌面虛擬化 (VDI)和桌面管理部署環(huán)境的一部分，Citrix XenDesktop讓IT管理員可靈活使用各種托管式基礎(chǔ)架構(gòu)、一系列客戶端平臺(tái)和各種應(yīng)用虛擬化解決方案 (Citrix XenApp和Microsoft應(yīng)用虛擬化技術(shù))。

4)桌面交付-一旦確認(rèn)用戶身份，系統(tǒng)就會(huì)通過ICA協(xié)議為其交付桌面環(huán)境。作為用戶驗(yàn)證階段的一部分，系統(tǒng)將應(yīng)用用于控制用戶環(huán)境的策略，此外，XenDesktop還可利用單一桌面鏡像以流技術(shù)將虛擬桌面經(jīng)局域網(wǎng)交付到標(biāo)準(zhǔn)化PC或桌面設(shè)備，該鏡像由系統(tǒng)管理員在數(shù)據(jù)中心集中管理。集中化桌面管理和桌面控制能力充分利用了終端設(shè)備的處理能力，有助于部署全面的數(shù)據(jù)中心到桌面的桌面虛擬化或虛擬桌面基礎(chǔ)架構(gòu)(VDI)環(huán)境。由于企業(yè)的所有數(shù)據(jù)都在數(shù)據(jù)中心進(jìn)行集中保存和管理，因此，可確保機(jī)密信息、知識(shí)產(chǎn)權(quán)、客戶檔案和患者資料等的安全性。

3 業(yè)務(wù)訪問過程

3.1 業(yè)務(wù)訪問流程及端口

業(yè)務(wù)訪問流程及端口示意圖如下圖3所示：

圖3 業(yè)務(wù)訪問流程及端口

3.2 詳細(xì)流程

1)用戶通過 HTTPS協(xié)議訪問 ACCESS GATEWAY的VSERVER IP或VSERVER IP綁定的域名，ACCESS GATEWAY返回WEB頁面，要求用戶輸入用戶名和密碼。

2)ACCESS GATEWAY獲取到用戶輸入的用戶名和密碼后，會(huì)通過LDAP協(xié)議與AD服務(wù)器進(jìn)行鑒權(quán)，并返回鑒權(quán)結(jié)果。

3)當(dāng)鑒權(quán)失敗時(shí)，ACCESS GATEWAY通過WEB信息提示用戶驗(yàn)證失敗；如鑒權(quán)成功，ACCESS GATEWAY通過負(fù)載均衡 (Load Balance)功能，根據(jù)相應(yīng)策略，選擇負(fù)載較小的訪問接口服務(wù)器 (Web Interface)，將用戶訪問轉(zhuǎn)到該接口服務(wù)器，并通過簡單的單點(diǎn)登錄 (Simple Single Sign-On)服務(wù)將用戶信息傳遞到該服務(wù)器。

4)訪問接口服務(wù)器接收到用戶的訪問申請(qǐng)后，立即檢查該桌面交付控制器場(chǎng)中負(fù)載較小的桌面交付控制器，將用戶信息傳遞到該服務(wù)器。

5)桌面交付控制器接收到用戶信息后，與數(shù)據(jù)庫服務(wù)器通訊，枚舉該用戶桌面或應(yīng)用的所有分配信息，并將用戶的賬戶名及密碼信息通過STA保險(xiǎn)箱保存起來，給用戶返回一張ticket，連同用戶桌面或應(yīng)用的IP、端口等信息一起打包返回給接口服務(wù)器。

6)接口服務(wù)器接收到相關(guān)信息后調(diào)用ICA模板將這些信息按格式生成相應(yīng)的ICA文件，并生成對(duì)應(yīng)的桌面或應(yīng)用快捷方式列表，通過WEB呈現(xiàn)給用戶。

7)用戶點(diǎn)擊桌面或應(yīng)用快捷方式時(shí)，調(diào)用本地的Citrix Receiver客戶端軟件打開對(duì)應(yīng)的ICA文件，把ICA文件中的ticket取出，通過聯(lián)系桌面交付控制器，使用ticket從STA保險(xiǎn)箱中取出用戶的賬戶名及密碼信息，利用該賬戶名及密碼直接打開相應(yīng)的桌面或應(yīng)用，將桌面或應(yīng)用的界面顯示給用戶。

8)用戶在打開的桌面或應(yīng)用中進(jìn)行操作是，Citrix Receiver客戶端通過ICA協(xié)議將用戶端鼠標(biāo)鍵盤的輸入傳遞到數(shù)據(jù)中心服務(wù)器集群，數(shù)據(jù)中心服務(wù)器集群接收后進(jìn)行相應(yīng)處理，并把處理結(jié)果返回給用戶，ICA協(xié)議會(huì)將返回的結(jié)果與當(dāng)前顯示的頁面進(jìn)行像素對(duì)比，將變化的像素傳輸?shù)接脩舳?，重新組合成新的顯示頁面，并把頁面顯示給用戶。

4 系統(tǒng)高可用設(shè)計(jì)

高可用性 (High Availability)通常來描述一個(gè)系統(tǒng)經(jīng)過專門的設(shè)計(jì)，從而減少停工時(shí)間，而保持其服務(wù)的高度可用性。本體統(tǒng)中，考慮到企業(yè)級(jí)桌面應(yīng)用的系統(tǒng)穩(wěn)定性要求高，設(shè)計(jì)了針對(duì)服務(wù)器集群、網(wǎng)絡(luò)、存儲(chǔ)和 Netscaler的高可用性。

1)服務(wù)器集群，通過服務(wù)器虛擬化系統(tǒng)創(chuàng)建HA高可用虛擬化群集。重要組件均配置了多臺(tái)的冗余，實(shí)現(xiàn)系統(tǒng)故障時(shí)及時(shí)的切換。

2)網(wǎng)絡(luò)的高可用可以通過網(wǎng)絡(luò)綁定功能，防止網(wǎng)卡的單點(diǎn)故障。

3)存儲(chǔ)設(shè)備啟用多路徑，防止網(wǎng)絡(luò)連通性的單點(diǎn)故障。

4)采用 NetScaler的虛擬路由器冗余協(xié)議(VRRP)。VRRP是一種雙節(jié)點(diǎn)高可用性主用備用集群配置。備用節(jié)點(diǎn)可以與主節(jié)點(diǎn)通信，來監(jiān)控主節(jié)點(diǎn)的健康情況。如果主節(jié)點(diǎn)出現(xiàn)故障，備用節(jié)點(diǎn)就會(huì)判別并激活，代替成為主節(jié)點(diǎn)，并開始接收傳送數(shù)據(jù)流量。

5 結(jié)束語

在對(duì)Citrix桌面虛擬化平臺(tái)下虛擬化技術(shù)研究與時(shí)間過程中，通過對(duì)服務(wù)器虛擬化層進(jìn)行跨平臺(tái)結(jié)合運(yùn)用，為桌面虛擬化相關(guān)應(yīng)用技術(shù)的方案提供基本信息。在此基礎(chǔ)之上，對(duì)虛擬機(jī)平臺(tái)進(jìn)行主機(jī)監(jiān)控，重要組件實(shí)現(xiàn)多臺(tái)冗余，網(wǎng)絡(luò)采用NetScaler虛擬路由器冗余協(xié)議，這種高可用方案的研究及應(yīng)用保證了系統(tǒng)穩(wěn)定高效運(yùn)行。

在安全性方面，由于所有數(shù)據(jù)都保持在企業(yè)防火墻內(nèi)，因此桌面虛擬化可以盡量減少風(fēng)險(xiǎn)和數(shù)據(jù)丟失，內(nèi)置SSL加密提供從非受管的設(shè)備到虛擬桌面的安全隧道；在數(shù)據(jù)保護(hù)能力方面，管理員只需遵循目前在數(shù)據(jù)中心使用的備份過程，即可確保可靠的桌面?zhèn)浞?。另外，由于所有?shù)據(jù)均駐留在數(shù)據(jù)中心，因此保護(hù)數(shù)據(jù)安全的工作也得到了簡化。

[1] Citrix.Citrix XenDesktop產(chǎn)品概述.http：//support.citrix.com，2012-04-03

[2] 張文靜.基于Citrix VDI跨平臺(tái)桌面虛擬化架構(gòu)研究[J].電子世界，2013，06.

[3] David.Huang.Citrix Infrastructure Overview. http：//www.citrix.com，2010，06

[4] Ye.liu.Citrix Access Gateway，9.2 Enterprise Edition Technical Presentation. http：//support.citrix.com，2012，07.

[5] Citirx. Citrix XenServerArchitecturalIntroduction and Technical Deep Dive. http：//support.citrix.com，2012，05.

[6] Citrix.XenApp-XenDesktop PoC Training Schedule.http：// support.citrix.com，2012，02.

[7] Ningyi Tian.Citrix Education.http：//www.citrix.com，2013，07.

Study on the Desktop Virtualization System Architecture of Kunming Power Supply Bureau

XIE Qun
(Kunming Power Supply Bureau，Kunming 650011)

This paper introduces in the context of cloud computing，Kunming power supply bureau with the help of IAAS(infrastructure as a service，infrastructure as a service)based resource platform provides，perfect desktop virtualization and cloud platform integration，similar to the SAAS(Software-as-a-service，software as a service)like DAAS(Desktop As a Service，desktop as a service)，the desktop as a service on demand，whenever and wherever possible，fast and safe delivery to any user complete desktop experience.

cloud computing；virtual；virtual desktop；DAAS；Citrix

TM76

B

1006-7345(2014)04-0103-04

2014-04-24

謝群 (1968)，女，工程師，云南電網(wǎng)公司昆明供電局，從事計(jì)算機(jī)網(wǎng)絡(luò)、信息方面的管理管理工作 (e-mail)1376503528＠qq.com。