Citrix虛擬化解決方案

2014-12-14 21:11:00
admin
原創
1791

1. 虛擬化技術概述

什么是虛擬化?虛擬化用在什么地方?其實任何領域都可能存在虛擬化,因此虛擬化是一個廣義的術語,就計算機領域而言,虛擬化( Virtualization)的定義也存在許多爭議,它對于不同的人來說可能意味著不同的東西,當前廣泛認為虛擬化技術是一項實現計算資源彼此隔離的技術,也就是把物理資源轉變為邏輯上可以管理的資源,擺脫物理結構的限制。通過該技術可以在一個硬件平臺上虛擬出若干個虛擬平臺,并使計算元件在虛擬的平臺上而不是真實的物理平臺上運行,通過從物理硬件上隔離邏輯操作,虛擬化環境平臺提供了更好的操作靈活性和方便的系統修改能力。然而,虛擬化技術的內涵遠遠不止這些,目前,已經有了處理器虛擬化、內存虛擬化、文件虛擬化以及應用虛擬化(任務負載虛擬化和信息虛擬化)等技術,在緊密相關的領域還有存儲虛擬化、網絡虛擬化等技術。因此說虛擬化技術是一個非常強大的概念,可以為最終用戶、應用和企業提供很多優點。

現在的大部分業務系統幾乎都基于 IT系統獨立組織,是“煙囪式”的建設模式,即每提出新業務功能建設需求,就需新增一套系統,并單獨建設系統硬件設備、鑒權、管理模塊及相關資源,部署網絡架構、安全策略,從功能和硬件上采用簡單累加建設方式,該方式使單個系統建設、功能實現較為靈活,但是隨著業務功能需求不斷增多,業務系統功能及硬件的增多使網絡架構日益沉重,資源、數據的零散分布等問題也日益凸現。

隨著業務系統的不斷增加和擴大化,對相關業務系統的維護力度也不斷的加大,對接入系統人員的安全性和可控性也進一步的提出了考驗。

目前,部分業務系統需要提供外部維護需求,以提供各維護的需要,但是訪問形式的不統一,為內部業務系統的訪問帶來了較大的安全隱患,為了統一安全接入平臺,以便提供快速,便捷,安全的訪問和后臺數據的發布和管理,為此提出了此次集中管理解決方案。

 

1.1. 常見的虛擬化技術

u        應用界面展現虛擬化 集中在服務器安裝,多個用戶可在客戶端設備上通過特定的協議同時連接到服務器上并在該服務器上運行程序,程序運行結果在客戶端設備上展現,也就是將將表現層與運算分離。

u        應用程序虛擬化 虛擬應用程序并集中存放在公共的位置,虛擬后的應用程序可按需運行在任何桌面設備上。授權用戶無需在桌面設備上安裝應用程序即可通過特定的流技術將其從公共位置傳輸到桌面設備上并運行。

u        桌面虛擬化 用戶不再擁有獨立的物理 PC ,而是在性能強大的物理服務器上通過虛擬化技術虛擬出若干虛擬機并分配給特定用戶使用。

u        服務器虛擬化 操作系統與應用程序不再在物理服務器上安裝運行。通過虛擬化技術在性能強大的物理服務器上虛擬出若干虛擬機,并分別在虛擬機中安裝相同或不同的操作系統與應用。

u        網絡虛擬化 目前沒有統一的標準, 大都認是虛擬局域網絡 (VPN) 就是網絡虛擬化的產物。而 Cisco 則有更大的定義,如將任何基于服務的傳統客戶端 / 服務器安置到 網絡上

u        存儲虛擬化 通過存儲虛擬化技術集中 (Pooling) 并共享 (Sharing) 存儲資源,以滿足業務動態發展需求的解決方案,如某臺服務器擁有的存儲可以動態擴展。

1.2. 虛擬化技術的價值

u        基本化

u        標準化

u        合理化

u        動態化

2. 項目建設預期目標

鑒于目前用戶方內網業務系統服務提供的多元化的問題,特提出此次建設方案,改造后的安全邊界接入網,將在接入系統邊界處部署 CitrixNetscaler MPX 設備提供外網統一的認證接入,同時 Netcaler MPX 設備強大的 WEB 防火墻功能能為內部業務系統的使用提供強大的安全保護功能,同時在業務系統中統一部署 XENAPP ,以隔離了用戶對后臺服務器的直接訪問,同時通過虛擬化技術,將所有的數據都隔離在數據中心保存,大大提高了系統整體的安全性和后臺數據發布的快捷性。

2.1. 需要解決的問題

目前客戶方有三個網段需要接入到內部網絡以便內安全和快速的訪問到內部應用服務器提供的相關應用,其中兩個網段需要部署在內部網絡,一個網段提供外網 VPN 客戶端和廋客戶端發起訪問,為了實現相關應用,有以下問題需要解決:

1.                        需要讓目前所有應用系統支持智能手機、 PC 、筆記本電腦、實時遠程登錄,應用系統包括 Sharepoint 辦公系統, Exchange server 郵件訪問系統等多個應用系統。

2.                        在安全性方面,確保生產數據的高級別安全,以及日常辦公系統的安全接入和數據共享

3.                        確保在手機終端的用戶體驗不在 PC、筆記本電腦終端無異,網絡速度不影響日常工作效率。

3. 方案的設計

3.1. 設計思路

期項目建設原則如下:

l        規范性

規范性原則規定本次項目的設計、開發、實施和維護管理必須遵循中國國家標準、信息產業部有關通信行業通用的規范、通用的國際規范。

l        擴展性

體現在此項目實施后若有需要,可在此系統上通過擴容優化滿足后續其他系統的接入,滿足各個區縣和地市的接入,最大限度的保護現有投資。

l          方便快捷性

XENAPP 解決客戶端的集中發布,占用帶寬極少

l        易用性

易用性原則規定部署的相關安全網絡設備建成后應方便系統管理員和業務管理員使用。

3.2. 拓撲結構圖

為了用戶端安全需求,在保證網絡業務的正常運行的前提下,提高網絡的安全性能,并把網絡的安全隱患消除在萌芽狀態;部署相應的 網絡安全設備,以達到網絡的安全穩定運行,同時 NetscalerMPX 設備提供的 WEBinterface 接口能快速提供接入通道,從而為后端接入服務器提供快速的接入發布。

3.4. 解決方案部署

方案的部署考慮了部署快捷和易用性,通過設計的拓撲結構圖可以看出,在整個互聯網出口處部署一臺防火墻保證整個接入網絡的安全性能,同時保證了內部網段的可用和安全性,同時將應用服務器組部署在防火墻的 DMZ 區域更加保證了安全性能,在防火墻的后端部署一臺 NetscalerMPX 設備提供 AccessGetway 功能能快速安全的提供外網用戶的訪問需求, 用戶可以使用智能手機、 PC 、筆記本電腦等設備通過 Citrix 的統一應用發布平臺遠程接入,同時由于后臺有專門的文件服務器,用戶無論通過何種設備及接入方式,用戶數據始終是統一同步的。

目前,移動終端設備主要支持三種類型的操作系統: Windows Mobile/CE Apple iPhone Google Android ,終端用戶可以以此為參考選擇適合自己的智能手機型號。用戶手機上不需要安裝 SSL VPN 客戶端,僅需安裝數字證書和 Citrix Receiver 即可。

選擇了 SSL 加密 Citrix Access Gateway 產品,與 Cirix XenApp 一起兩種方案幵存,同時在后端部署了一臺認證動態口令服務器,可以提供用戶認證機制。

3.5. 解決方案優勢

1.          支持多種智能手機終端的跨平臺訪問

Citrix Receiver 作為 Citrix客戶端的接收程序,提供免費下載; Citrix Receiver可以支持幾乎所有桌面操作系統平臺及多種手機平臺,從而避免對所有應用程序進行二次開發去適應每個收集平臺,系統復雜度和開發工作量大大降低。在支持智能手機終端的同時,也支持 PC、筆記本電腦的訪問,打造出新一代移勱應用解決方案,真正做到了任何時間、任何地點、通過任何終端設備訪問后臺業務和辦公系統

2.        終端用戶高清 HDX用戶體驗

終端用戶接收到的只是 Citrix XenApp 服務器上應用程序運行畫面的變化差量, 并且 經過壓縮和加密,所以數據量很小,一般情況下只需要 20k-30k 帶寬即可,低帶寬消耗保證了使用人員的流暢使用體驗。且所有應用無需要在手機上安裝應用客戶端,管理員只需要為每個用戶授權即可讓用戶在手機上獲得不 PC 上一致的應用使用體驗。有限的網絡流量消耗同時保證后續網絡費用的低投入,提高了該系統的普及度和實用性。

3.        所有應用集中發布

與傳統移勱應用解決方案相比,通過 Citrix XenApp 虛擬化發布企業的業務和辦公系統實現對移勱設備終端的支持更為便捷,無需任何二次開發。實現了對新類型終端設備的支持的同時,對已有的系統架構沒有任何影響。

4.        安全性高

業務應用不服務器端的數據交換均發生在 Citrix XenApp 不應用服務器之間的內網服務器群組間,實際業務數據丌會流到用戶終端設備上,既保證了業務數據交換的流暢性又保證了數據安全性。另外 Citrix Access Gateway 為用戶連接提供了 128 SSL/TSL 加密,數據在傳輸過程中得到充分的安全保證。

5.        可靠性高,穩定性好

Citrix XenApp 自身的高可用性可滿足 24 小時不間斷的運行和管理需求。因所有應用不數據完全在后臺管理,即使出現網絡問題,其系統進程也不會中斷,前端桌面的操作狀態會自動在后臺保存,一旦恢復網絡鏈接,所有的操作可立即繼續。

6.        系統易于維護和管理

因為不涉及二次開發,雖然系統功能增加,卻不需要增加額外的系統維護工作量。且所有應用軟件集中在服務器端管理,減少了日常維護的人力物力。

4. 邊界部署方案

為提供安全統一的接入平臺,在業務系統前端部署 CitrixNetScaler MPX 設備提供安全的訪問接入, 同時提供 Xenapp Webinterface 接口 . 設備選型的依據如下:

u        高性能的 Web 應用交付解決方案

u        先進的 nCoreTM 多核并行處理技術

u        業界領先的 18Gb 吞吐性能

u        NetScaler MPX 的各項業界第一

u        可同時開啟最多的功能:模塊之間沒有沖突和限制;

u       功能整合最完善,包含: SSL VPN 以及應用防火墻等高級功能

4.1. 系統應用虛擬化解決方案

用戶端現有的業務系統很多,例如微軟的 Exchange server 郵件服務系統, Sharepoint 系統,如何能將眾多的業務系統進行整合化,集中化,安全化得提供外網用戶訪問是眼前面臨的問題, Citrix 應用虛擬化方案能很好的解決現有的問題:

Citrix 集中部署架構,是通過 XENAPP 隔離了用戶對后臺服務器的直接訪問,同時通過虛擬化技術,將所有的數據都隔離在數據中心保存,大大提高了系統整體的安全性。

并且針對公網用戶的訪問,系統提供了安全接入點,首先用戶需要進行身份認證, Citrix 集成了各種身份認證手段,包括雙因素認證等,訪問用戶提供用戶名、口令,當用戶通過認證后,會通過加密鏈路經過防火墻和隔離區訪問 Web Server 后,然后才允許用戶連接 XENAPP 服務器集群。進一步增強了整體系統的安全性。

Citrix 采用了開放的標準安全協議和公用密鑰架構來確保安全。單點登錄可以訪問基于 Windows Web 以及所有在服務器上運行的應用程序。 Citrix 增強了密碼策略,保證更快速地連接至應用程序,更安全地訪問所需的應用,有效降低相關部門的支持費用。

4.2. 功能描述

Citrix 應用發布平臺中包含了如下組件:

·          XENAPP ,是應用發布的核心平臺,其業界領先的應用虛擬化技術及應用流技術實現各種應用的快速發布,同時提供了連續可用性、高可靠性及快速的應用性能。

·          Access Gateway (簡稱 AG ),提供了對所有應用的安全單點訪問,并且能夠提供根據應用情景實施不同訪問策略的智能訪問。

·          Citrix Password Manager (簡稱 CPM ),提供了用戶口令的安全管理,實現單點登陸自動化。

·          EdgeSight 性能監控,從終端用戶體驗出發的全面性能監控工具。

·          SmartAuditor ,智能審計,提供了后臺對用戶的行為記錄,采用屏幕錄像的方式,通過將 ICA 數據存盤,可以對用戶的行為進行審計。

u        應用虛擬化發布

XENAPP 虛擬化應用發布技術核心是其 ICA 協議, ICA 協議連接了運行在 CPS 服務器上的應用進程和遠端客戶端設備,通過 ICA 32 個虛擬通道(包括鼠標、鍵盤、圖像、聲音、端口、打印等等),運行在中心服務器上的應用進程的輸入輸出數據重新定向到遠端客戶端機器的輸入輸出設備上,因此雖然應用客戶端軟件并沒有運行在客戶端設備上,但是用戶使用起來和在客戶端安裝運行客戶端軟件相比,沒有感覺任何操作上的改變。

CPS 虛擬化應用發布原理如下圖所示:

圖七: ICA 原理圖

由于 ICA 協議是一種高效率的數據交換協議,同時在中心服務器和遠端終端設備之間傳遞的只是加密的屏幕刷新和鼠標鍵盤信息,因此每一個連接只占用十幾 K 的網絡帶寬。

u        通過 AG 實現智能訪問

通過 AG 不僅可以方便地設置每個應用允許哪些用戶的訪問,并且可以詳細地記錄用戶對各應用的使用情況。通過 Citrix 應用發布平臺可以嚴格控制用戶對應用的訪問,從以下實現步驟可以看出,根據不同用戶接入時的不同場景,將有相應的接入策略與之對應,并控制用戶使用企業資源的過程和操作。

第一步:針對遠程接入場景的智能分析,包括:

l        接入角色分析

l        接入設備識別

l        接入設備配置

l        網絡位置分析

l        認證方式

l        其他定制的安全掃描

第二步:基于策略的企業應用資源接入,包括:

l     XENAPP 發布的應用資源

l      文件和網絡共享資源

l      基于 Web 的郵件系統

l     Web 站點

l      基于 Web 的應用

l    郵件同步

l    基于 IP 的語音應用( VoIP 等軟電話應用)

第三步:操作控制和管理

l      Copy/Paste

l      上傳 / 下載資源

l      打印

l      預覽

l      保存到本地或者文件服務器

l      在線安全編輯(內存中進行)

l      日志

AG 監測到用戶通過不同場景訪問,會采取不同的安全策略,我們稱之為智能訪問:

·          用戶訪問從信任網絡發起(內部網絡),該用戶可以接入的企業資源及可以進行的對資源的操作權限相對較大。

·          當用戶作為企業移動用戶來訪問企業門戶中的各種資源時,此時,該用戶可以接入的企業資源及可以進行的對資源的操作權限是有限的;畢竟,該用戶是從外網接入,我們需要對其進行策略控制。

·          用戶使用網吧計算機通過極其不安全的公共網絡接入的企業資源及進行的對資源的操作權限我們是必須要對其進行嚴格控制的,此時,該用戶會發現很多資源只能瀏覽而沒有更多的控制能力。

u        口令管理 CPM

經過安全訪問接入后,由于用戶已經經過了嚴格的身份認證,其對應用的訪問,就可以有口令管理模塊進行管理,這樣有效解決了當用戶應用過多時,口令帶來的混亂和安全性下降。

CPM 從根本上改變了傳統的多口令管理方式。它將自動接入受口令保護的信息資源,執行嚴密的口令策略,監控口令相關事項,自動化終端用戶工作,例如口令變更,可以按照系統要求的口令策略自動生成口令。

u        性能監控

性能監控工具 EdgeSight 可以方便地監控 Citrix 服務器、訪問客戶端、網絡等全方面的使用、錯誤、報警、性能、軟硬件變更、硬件資源情況、軟件使用情況、以及 License 管理等等。

通過性能監控工具,管理人員不僅可以追蹤用戶對應用軟件的使用情況,提前預知系統的性能問題,確保對 SAP 應用的管理,并且保存數據,以供分析和產生報表。

u        智能審計

通過 Citrix 應用發布平臺,任何用戶使用應用的過程中將被全程監控:用戶的操作行為及顯示器上的內容變化可以通過 ICA 協議存放到磁盤上,然后在需要的時候像看電影一樣回放。

為有效利用資源和保護隱私, Citrix 解決方案也允許靈活定制以時間、角色、應用名稱、位置為參數的錄像策略來控制錄像的開始和停止。

發表評論
評論通過審核后顯示。
文章分類
聯系我們
聯系人: 牟經理
電話: 028-85666248
傳真: 028-85666248-8008
Email: business@cd-dxt.com
QQ: 489323802
地址: 成都市二環路西一段80號金科雙楠天都2號樓
福彩3d相年富