虚拟云和硬件服务 > 虚拟云

虚拟云服务项目概述

1、设计方案

1.1 系统架构

本项目由一个基础构架,四个资源池,统一呈现方式三部分组成,每部分定义介绍如下。


1.2基础构架设计

为了统一的虚拟底层和对GPU层良好支持,本方案虚拟化服务器层采用VMware vSphere6.5作为虚拟化服务器基础平台,以达到一致管理、统一调度、节省资源为目标。

分别建立管理组件、二维办公桌面、三维设计桌面、根据不同科室分类部署的科研桌面以及少量虚拟应用。针对三维设计桌面,在vSphere6.5平台上配合NVIDIA的GRID vGPU技术功能,将服务器里的单个物理GPU拆分成多个vGPU内核一一对应每个设计桌面虚拟机。


1.3服务组件资源池设计

承载整个虚拟化应用和桌面的控制组件。

1.3.1管理组件功能说明

  • Citrix Desktop Delivery Controller

    Delivery Controller 是负责管理用户访问的服务器端组件,它还负责代理和优化连接。

    冗余性 — 生产站点应始终确保至少拥有两个位于不同物理服务器上的 Controller,这是最佳做法。

    可扩展性 — 随着站点活动的增长,Controller 的 CPU 使用率将提高,数据库活动也会增加。更多的 Controller 可以处理更多用户以及更多的应用程序和桌面请求,并且可以提升整体响应能力。

  • Citrix Provisionning Server:

    将用户的操作系统、应用软件、个人配置文件分离,采用流技术,将用户桌面通过网络按需提交到用户。

    Provisioning Server节省了IT管理人员的时间和金钱,并减少部署服务器补丁、更新和升级时的失误。当需要打补丁或进行升级时,Provisioning Server的功能使IT能够复制现有的虚拟工作负载镜像,进行必要的更改,并使所有关联的服务器都能在重新启动时随之发生变化。如果出现问题,可以回退到以前产生的镜像,仅需简单重新启动并回流到以前产生的镜像。

  • Citrix Profile Management:

    Citrix Profile Management 提供了一种简单、可靠和高性能的方法来管理虚拟化或物理 Windows 环境中的用户个性化设置。其对基础结构和管理的要求很低,并且可以帮助用户快速登录和注销。

    将用户Profile以漫游方式,在传统物理PC机、Citrix虚拟桌面、还是异构虚拟桌面都能轻松实现统一用户配置文件资源。

  • StoreFront

    StoreFront 管理从数据中心中的 XenApp、XenDesktop 服务器向用户设备交付桌面和应用程序的过程。用户可以直接通过 Citrix Receiver 访问 StoreFront 应用商店,或者通过浏览到 Citrix Receiver for Web 或桌面设备站点进行访问。用户还可以使用瘦客户端和其他兼容的最终用户设备通过 XenApp Services 站点访问 StoreFront。

  • License

    每个 Citrix 产品环境必须具有至少一个共享的或专用的许可证服务器。许可证服务器是部分或完全专用于存储和管理许可证的计算机。如果用户尝试连接,Citrix 产品将向许可证服务器请求许可证。

    运行 Citrix 产品的服务器会联系许可证服务器来获取许可证。

  • SQL Server

    Microsoft SQL Server 是一个全面的数据库平台,使用集成的商业智能 (BI)工具提供了企业级的数据管理。Microsoft SQL Server 数据库引擎为关系型数据和结构化数据提供了更安全可靠的存储功能,使您可以构建和管理用于业务的高可用和高性能的数据应用程序。

1.4桌面资源池设计

目前,公司内员工使用的主要是Windows 7桌面操作系统,主要的应用软件为普通办公、科学研究、少量三维设计。按300用户设计,普通桌面、科研桌面(含三维桌面)按2:8比例资源规划,60普通桌面、240科研桌面规划

1.4.1普通桌面

普通办公桌面定位日常办公软件的用户,如Office、Adobe Acrobat XI Pro,不涉及专业软件,针对该部分用户通过制备Server级的共享桌面来满足用户的需求,制备模式采用Citrix流技术,保证虚拟磁盘只读,从而保证虚拟磁盘镜像系统的安全性和稳定性,针对单一镜像进行管理,简化IT运维,对普通桌面作如下资源规划:

  • 主要适用的人员群体

    普通办公人员

  • 用户配置详情

    用户数据存放至网络数据盘,每用户设计配额200GB,用户桌面配置文件同意漫游到网络路径,用户的桌面及文档等,也重定向到网络路径。实现用户数据与系统镜像的分离。

1.4.2科研桌面

科研桌面在科研云中数量最多,设计为按科室进行分类,每个科室一个虚拟磁盘镜像,镜像里根据需求安装本科室的专业软件,不同的科室访问不同的镜像,针对该部分用户通过制备Win7专有桌面来满足用户的需求,制备模式采用Citrix流技术,保证虚拟磁盘只读,从而保证虚拟磁盘镜像系统的安全性和稳定性,一个科室一个镜像进行管理,避免管理每台客户机,简化IT运维。

  • 主要适用的人员群体

    科研研究人员

  • 桌面配置及使用方式

    用户数据存放至网络数据盘,每用户设计配额200GB,用户桌面配置文件同意漫游到网络路径,用户的桌面及文档等,也重定向到网络路径。实现用户数据与系统镜像的分离。

1.4.3三维桌面

  • 专业设计应用场景

    此方案主要面向公司内专业设计人员,为之提供配置了专业显示资源、专业应用软件的可集中管理的标准化虚拟化桌面,用于完成项目设计工作或计算分析任务。能支持三维设计与工程设计软件的稳定运行,并获得流畅的显示与应用体验。

  • 主要适用的人员群体

    三维专业设计人员

  • 桌面配置及使用方式

    用户数据存放至网络数据盘,每用户设计配额200GB,用户桌面配置文件同意漫游到网络路径,用户的桌面及文档等,也重定向到网络路径。实现用户数据与系统镜像的分离。

1.4.4桌面应用类型与推荐

这类用户个性化需求一般,通过统一定制的1/N的系统镜像快速部署,每组用户使用存储中的同一个镜像资源,根据科室、专业、用途不同制作各自桌面模板,每个镜像隔离使用,相互之间互不影响,标准化用户以只读模式使用镜像,用户无法更改镜像,此镜像及其中的应用等资源只能由管理员就行修改。

  • 用户拥有原有工作模式的桌面体验,可进行桌面的配置文件级个性化。
  • 服务器资源可根据需求定制。
  • 采用Citrix PVS置备服务器,通过无盘方式极大降低存储资源。
  • 根据科室或项目分类系统镜像,统一维护和管理。
  • 选择性增加GPU/vGPU资源即可实现三维图形设计桌面,也可使用专业图形工作站。

1.5应用资源池设计

将科室需要的专业应用通过虚拟化应用方式灵活提供给需要的设计者。同时,通过底层GPU资源支持可提供三维级专业设计应用支持。

可发布软件类型如下:

  • 单机版设计软件:将单机版软件直接安装在虚拟应用发布服务器上,统一发布管理及加密狗。
  • C/S设计软件:将软件的Client程序,安装在科研云中心的虚拟应用发布服务器上,统一管理授权。

应用云平台可提供的共享应用场景作如下规划:

使用WindowsServer系统多用户多进程方式通过PVS流推送模式进行多服务器负载。

1.6数据资源池设计

1.6.1用户数据存储方式

提供对虚拟化桌面操作系统、虚拟应用程序(专业软件)、用户配置文件等桌面元素,以及业务数据之间的相互隔离,分开保存。不仅能对共享存储设备实现优化使用,占用存储容量更低,且更易于对桌面、应用、数据等元素进行分类管理。

用户向“云”中申请的虚拟化桌面是将上述各个元素组合起来呈现的。其中,虚拟化桌面交付系统将桌面操系统镜像、用户配置文件、应用程序进行组合,生成一个可用的虚拟化工作环境;业务数据则由“文件服务器”供给,用户可以透过虚拟化工作桌面、传统桌面、移动设备获得,对此数据进行的修改将被回写到“云”端备用。

1.6.2桌面的个性化配置文件

  • Citrix Profile Management

    通过CPM(Citrix Profile Management)将两种类型虚拟桌面及虚拟共享应用配置文件保持一致,其原理是将用户Profile以漫游方式统一存储在Windows共享目录下,每个用户独立隔离独立权限,分别存放配置文件信息和我的文件,当用户开启虚拟桌面或是虚拟应用时,用户配置文件统一从CPM的存储中提取并写入。

    所以在传统物理PC机、Citrix虚拟桌面和应用、甚至异构虚拟桌面都能轻松实现统一用户配置文件资源。

  • 1.7统一呈现方式

    提供将桌面、应用、用户数据三者耦合的工作空间交付模式,即可将用户需要的资源快速转化为一种可供按需选择使用的虚拟化服务,从而满足用户随时、随地使用的需求。而虚拟化桌面对于传统模式下用户的使用习惯与工作方式没有任何影响。

    设计应用直接安装在虚拟桌面中,同时将特定应用通过Citrix XenApp或XenDesktop虚拟化技术推送到虚拟化桌面或虚拟应用服务器中供用户使用。二者结合使用。这样能更有效的利用服务器与存储器的资源,降低系统成本,提升用户的使用体验满意度。

    员工利用现有计算机,工作桌面及应用可通过配置StoreFront,用户使用域账户通过WEB登录即可使用虚拟桌面及虚拟应用资源。

    以Web或客户端方式登录到Web服务器,需输入AD域的用户名、密码、域等信息完成身份认证。

    示意图

    1.8数据管控及安全

    桌面、应用和数据全部运行在数据中心的服务器上,集中进行安全管控;

    用户无法随意将内部资料和文件等涉密信息从工作桌面上取走;

    可以制定严格的访问策略,细粒度地控制最终用户对桌面应用的访问权限,例如是否可以打印、复制粘贴或将文件保存到本地。

    1.8.1涉密资源划分

    “涉密网”

    将涉密项目虚拟桌面定义为“涉密网”,在此平台使用专业应用来完成设计业务,产生的所有数据文件只能保存在此,绝对不能复制到它以为的任何环境,杜绝设计资产外泄。

    用户本地计算机

    “涉密网”存放公司用户设计的所有资源,用户本地PC机可以访问个人资源。

    1.8.2数据保护

    用户本地计算机数据只能上传,不能下载,如需下载需进行申请审核。

    1.8.3网络边界

    科研云计算系统不能链接外网,所有对内和对外的网络端口全部关闭,内网用户只通过StoreFront应用交付网关设备连接使用科研云计算系统的资源。

    后期将后台业务应用服务器和授权服务器全部放到“涉密网”里,杜绝网络漏洞,真正做到科研云计算系统只留一个对外端口,以提高整体系统安全性。

    1.8.4移动设备

    关闭USB移动设备映射接口。

    1.8.5杀毒软件

    建议采用虚拟服务器构架杀毒软件解决方案,可大幅降低集中杀毒对存储IO的开销。如采用传统杀毒软件方式,重点范围为服务组件资源池和数据资源池。桌面和应用资源池集中自动扫面完整杀毒时间建议为非工作时间。