1、Citrix XenApp解决方案建议书2010/4/122第 1 章 概述 .31.1 项目背景 .3第 2 章 项目需求 .42.1 功能需求 .42.1.1 集中管理 .42.1.2 存储隔离 .42.1.3 远程接入访问控制 .42.2 技术需求 .42.2.1 水平扩展 .42.2.2 负载均衡 .5第 3 章 解决方案及对应项目需求的实现 .63.1 总体方案构架 .63.2 应用场景描述 .63.2.1 移动办公远程接入 .63.2.2 内部办公人员 .73.3 对应功能需求的实现 .73.3.1 集中管理 .73.3.2 存储隔离 .83.3.3 远程接入访问控制 .93.4
2、技术需求的实现 .103.4.1 水平扩展 .103.4.2 负载均衡 .113第 4 章 主要效益 .124第 1 章 概述1.1 项目背景随着企业办公项规模扩大,办公环境的管理更加复杂,安全管理的要求也日益提升。利用现有硬件资源,建立一个简单、易用、安全的统一接入平台,以有效进行办公环境的规范管理,支持可控的远程访问模式。目前,企业面临的挑战:(1) 每台使用 C/S 系统的设备都需要安装各个模块的客户端,部署和维护客户端需要花费大量的时间和人力(2) 由于大量的数据在广域网上传输,因此远程的访问速度和网络性能经常得不到保障,数据安全面临挑战;(4) 随着软硬件的频繁升级与更新,客户端设备
3、不可避免地要被淘汰,应该如何控制系统追加投资?(5) 不同的 B/S 应用系统需要在用户的浏览器中安装或升级不同的插件,修改相关安全设置,这就产生了插件版本管理问题、插件维护问题等。5第 2 章 项目需求2.1 功能需求2.1.1集中管理将办公环境中的应用软件进行集中管理,可以根据需要随时调整办公环境的应用部署,简化办公人员客户端的办公环境配置及部署要求。2.1.2存储隔离每个用户能建立各自的文件系统或存储空间,相互之间不能访问。但授权用户可以访问特定用户组的存储空间,可以通过 FTP 或者其它方式获取用户存储空间的数据。2.1.3远程接入访问控制支持分公司远程接入的办公模式,能有效控制用户的
4、剪贴板、本地硬盘、打印机、端口等操作,做到分公司人员未经授权无法从任何渠道获取文档和办公数据。对于手机用户能够做到更加高效的方案企业应用2.2 技术需求2.2.1水平扩展服务器端支持水平扩展,能通过水平增加服务器来适应办公需求的扩大。62.2.2负载均衡可根据用户访问量和资源使用情况,动态分配到到负载量最低的服务器上。7第 3 章 解决方案及对应项目需求的实现3.1 总体方案构架通过 Citrix XenApp 集中部署和发布应用客户端软件,整个的后台应用服务器架构没有变化,客户端可以通过 XenApp 来访问集中发布的各种企业应用和办公工具。其整体构架如下图所示:E R P C R MO A
5、X e n A p p 集群X e n A p p域控制器 D a t a S t o r eL i c e n s e S e r v e r远程用户内部员工X e n A p p基础架构文件服务器防火墙手机用户3.2 应用场景描述3.2.1移动办公远程接入移动办公用户通过广域网经由总部网络防火墙访问 Citrix 统一身份验证平台,通过身份验证的用户,可获取到授权的虚拟应用程序,这些应用都集中部署在8Citrix XenApp 服务器集群中,包括:内部业务系统,企业 OA,ERP 等,用户数据均集中保存在文件服务器上。3.2.2内部办公人员内部办公人员直接访问 Citrix 统一身份验证平
6、台,获取授权的虚拟应用程序,开展日常工作,用户数据集中保存在文件服务器。3.3 对应功能需求的实现3.3.1集中管理Citrix 的集中部署模式只将企业应用部署在数据中心,由于客户端和服务器位于同一局域网内,因而应用性能和安全性得到提升,用户可以通过任意终端和任意网络进行访问数据中心,非常方便;而企业只需对局域网内的数据中心进行管理,实现了管理维护的简化。应用软件的安装及配置变化,均可以在服务器端集中进行,大大简化了办公环境的配置和部署。XenApp 为用户提供了基于服务器的计算模式(Server-based Computing),实现了虚拟化应用发布。其技术核心是 ICA 协议,ICA 协议
7、连接了运行在 XenApp服务器上的应用进程和远端客户端设备,通过 ICA 的 32 个虚拟通道(包括鼠标、键盘、图像、声音、端口、打印等等),运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上,因此虽然应用客户端软件并没有运行在客户端设备上,但是用户使用起来和在客户端安装运行客户端软件相比,没有感觉任何操作上的改变。9XenApp 虚拟化应用发布原理如下图所示:由于 ICA 协议是一种高效率的数据交换协议,同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息,因此每一个连接只占用十几 K 的网络带宽。这种模式使得企业应用部署架构上发
8、生变化,从一种分布式部署变成了大集中的应用部署,因而带来了应用访问、性能及安全等各个方面的提升。3.3.2存储隔离通过选择 NTFS 文件系统和 Windows Server 的用户 Profile 机制,每个用户可以有自己的存储空间。利用 NTFS 的文件权限的管理机制,用户在服务器端的私有存储空间,工作目录,临时文件可以被安全的管理和限制。可限制用户的对其他用户数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。同时可以通过配置 Windows Server 2003 的文件夹重定向,将 My Documents 等目录集中重定向到集中的文件服务器,从而保证用户不管登录到哪台服务器
9、,都能一致地访问其用户数据。103.3.3远程接入访问控制Citrix 为用户提供了统一的安全接入手段,一个典型的接入过程如下图所示:首先用户需要进行身份认证,XenApp 集成了各种身份认证手段,包括双因素认证等,访问用户提供用户名、口令和 passcode:当用户通过认证后,会通过加密链路进入其个人访问门户,看到其所能访问的各个应用软件:11当用户使用某一软件,或访问某一系统,通过 Citrix 的虚拟化服务器和口令管理,在几秒内自动完成应用调用和登陆,然后用户就可以如在本地一样使用所需软件和应用。而管理员不仅可以方便地设置每个应用允许哪些用户的访问,并且可以详细地记录用户对各应用的使用情
10、况。通过 Citrix 应用交付平台可以严格控制用户对应用的访问,根据不同用户接入时的不同场景,将有相应的接入策略与之对应,并控制用户使用企业资源的过程和操作。可控制的操作和资源访问包括 Copy/Paste、打印、保存到本地,端口的访问等。3.4 技术需求的实现3.4.1水平扩展Citrix 内置实现了群集功能,在 Citrix 服务器配置中集群称之为一个 Farm, 当用办公系统规模扩大时,可以方便地通过在 Server Farm 中添加服务器来进行水平扩展。123.4.2负载均衡在 Citrix 的 Server Farm 中, “Data Collector”负载均衡调度服务器负责收集
11、每一台服务器里面的一些动态信息,如 CPU,内存等使用情况,并与之进行交流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。Server Farm 同时提供了高可用性功能,当单点服务器出现故障时不影响用户使用,用户会重新连接到另外一台负载较轻的服务器上。从而避免了单点故障。13第 4 章 主要效益 高效率的 ICA 协议 服务器和客户端之间仅传输经过压缩和加密后的屏幕刷新和鼠标键盘信息 每一个连接只占用 10 几 K 的网络带宽 集中部署管理 所有需要的程序、应用只安装、运行在服务器端 客户端只需要通过 IE 即可访问所需要的应用 智能访问 每个用户在登陆 Citrix 以后,都可以获得不同的应用程序,充份保证用户的权利 通过 NTFS 磁盘格式和 AD 的策略控制,禁止数据存储到客户端电脑上 数字办公无处不在 支持 Mac os,Unix,Linux 等各类平台 支持手机,PDA 等多种终端机 支持 lan,wan,wlan 各类型网络
