1.项目描述
1.项目背景：  
随着金融信息服务有限公司的业务发展，公司对信息化安全要求越来越高，特别是涉及到公司战略发展、研发系统等关键数据安全问题，为了避免传统PC数据隐患高、易损坏、数据存储分散、易泄漏难以管理及研发等重要数据部门有越来越多的对外沟通、互联网访问的需求，期望通过虚拟桌面的技术，建设一套高度信息安全、高可靠、设备轻型化、绿色节能的办公系统。目前传统IT办公系统比较突出的矛盾如下：

    每台客户端部署和维护需要花费大量的时间和人力；
    软硬件的频繁升级与更新，增加管理成本；
    服务器资源没有充分规划和利用；
    无法为移动客户端提供灵活、安全的桌面应用接入平台； 炫亿时代
    公司机密数据无法得到安全保障；

2.技术介绍

    虚拟桌面技术是基于虚拟化和云计算理念成长起来的终端管理方法，它完全颠覆了传统意义上的终端管理概念；
    在某种意义上它剥离了计算机终端软件与硬件之间的联系，将系统和服务集中在服务器端，这使得网络管理人员不必再将维护的重点放在分散的个人终端上，只要维护和加固服务器端便可以实现全网络终端便捷的维护和高安全。
    终端用户也可以从选择和安装各种安全软件、补丁升级、病毒库升级等繁杂的个人维护工作中解脱出来，并且虚拟化和集中化的应用方式，也可以使用户终端从根本上避免系统瘫痪、软件冲突及误操作等多层面的问题。
    虚拟桌面技术完全不同于传统模式的终端管理软件，集中化和虚拟化的特点不仅仅会大大增强内部系统及网络的安全性，同时也因此减少了网络运维的复杂程度和运维成本。 xetimes.com
    在终端管理方面，虚拟化的终端管理平台将是目前各种纷争背后终端管理发展的必然趋势。
    基于虚拟桌面技术，为员工提供新一代的企业级桌面服务，为公司建设更安全、更有效、更灵活的研发办公及员工培训环境，建成后的系统将成为信息系统的重要基础架构组件。

3.实现目标

    桌面和数据全部运行在机房虚拟桌面平台，实现虚拟桌面内重要数据进出管控功能；
    通过策略、网络隔离等技术手段，严格禁止重要数据下载、上传或保存到外部设备；
    构架设计遵循开放、灵活的原则，以适应后续系统扩容以及日后的需求变更；   
    提供尽可能灵活地部署方式，以适应不同类型用户的需求；
    传统PC用户平滑过渡到桌面虚拟化环境，最大限度保持原有用户使用习惯和数据安全和完整性； 炫亿时代
    桌面系统集中托管于机房，在后台进行集中的部署、维护和监控、备份管理；   
    瘦客户端后台集中管控和策略下发，减少终端维护量，增强终端安全性；    
    通过试点项目建立和完善运维管理流程，并为后续项目可行性研究提供可靠数据保障；

2.网络架构设计
整体架构网络根据用途可以分为：

    存储网络
    业务网络
    备份网络
    管理网络
    带外管理网络

xetimes.com

3.存储架构设计
主要描述整个虚拟桌面架构采用那种存储协议以及选用存储时的注意事项
虚拟桌面架构中，即使用到SAN协议，又使用到NAS协议

    SAN协议主要用来存储邮件、数据库等结构化数据
    NAS协议主要用来存储用户Profile、文件夹重定向等非结构化数据

1.存储协议选择
从上图可以看出FC协议报文封装最短，传输也最高效。所以走SAN协议的数据，选择FC协议来传输
2.存储RAID类型选择
目前市场上主流存储NetApp、EMC、DELL、HP、华为等品牌都有自己的存储RAID类型。下表是不同RAID类型读写惩罚对照表：
RAID   
从上表可以看出，RAID-0写惩罚最小，但是没有数据保护机制，所以在生产环境极少使用。RAID-1和RAID-10虽然写惩罚较小，但是都消耗一半的磁盘。所以从性能上面我们选择RAID-DP。 xetimes.com
3.存储空间的计算
用户数量：300
总空间需求：100GB*300=30T
4.运算资源计算
CPU：
300*1vcpu=300vcpu
MEM：
300*4GB=12T
4.软件架构的设计
1.VMware vCenter高可用设计
由于vCenter server是所有vSphere Host管理和配置的核心，因此，其在整个VMware环境中非常重要，那么需要对其高可用性有很好的规划。VC在vSphere环境中的位置如图：
采用VCenter High Availability 保证 vCenter 的高可用，其工作原理如下图：
注：结合金融行业现有规模以及未来扩展，通常建议采用Small部署方式。
2.Citrix软件架构
5.数据安全——终端接入设计
1.局域网接入
通过 Citrix Receiver或IE 使企业能够以高性能安全地通过任何用户设备交付虚拟桌面和 Windows、Web 及
SaaS 应用，进而有效地管理大量进入工作空间的新设备。它可以通过以下方式，帮助当前移动性日

炫亿时代

益增强的员工队伍通过他们选择的任何设备快速简单地按需访问虚拟桌面、企业应用。
2.分支机构接入
分支机构人员可以通过Internet连接到位于数据中心的办公环境。和内网连接的区别是，通过Internet
连进来的用户首选连接到位于公司DMZ网络区域的Security Gateway（NetScaler）。逻辑图如下：
3.VPN接入
 系统支持VPN的接入方式，访问带宽在60K以内，支持数据流压缩
系统支持VPN的接入方式，支持数据流压缩，每种工作类型所需带宽如下
100个外网VPN用户。
按照office类型，VPN带宽需要：100*43kbps=4300kbps=537.5KBps
按照Printing类型，VPN带宽需要：100*593kbps=59300kbps=7412KBps
VPN带宽可以参照上述范围进行设定。
6.数据安全——虚拟化环境杀毒设计
传统杀毒模式在虚拟化环境下主要突出矛盾

    存储IO风暴导致业务缓慢 炫亿时代
    卸载防病毒软件带来安全隐患

所以在虚拟环境下我们推荐使用针对虚拟化杀毒的无代理杀毒模式
7.数据安全——虚拟化环境备份设计
备份有两种方式可以选择：
1.存储级别备份
备份采用本地备份，我们建议可以分为2级或3级备份机制。
一级：先使用NetApp存储中的SnapShot快照技术对重要的或所有的VM文件，每日快照备份；
二级：再通过NetApp Snap Vault技术对主存储中的数据进行快照复制技术复制到第二台NetApp存储中，可以每日增量，每周全备的方式；
三级：通过传统备份软件将重要核心数据备份到第二台NetApp存储。
对于非虚拟化环境的数据可以采用NetApp OSSV进行备份。
2.VEEEAM文件或应用级别备份
如果期望备份可以从文件级别快速恢复，我们可以采用第三方备份软件VEEM。 炫亿时代
VEEEAM也可以实现AD、Sql、Oracle、Exchange等应用颗粒度恢复。
8.数据安全——数据准入准出设计
用户数据准入准出分为两个层面：
1.进出虚拟桌面环境，不允许虚拟桌面环境和内网进行数据交互
解决方法：通过禁止USB映射、本地磁盘映射来解决。并且虚拟桌面RDP远程连接禁止。
2.进出内外网，不允许虚拟桌面环境中数据出外网
解决方法：用户即可以访问虚拟桌面又可以访问外网。为了做到内外网隔离。我们通过 XenApp发布浏览器供虚拟桌面用户上网。











  炫亿时代

---