思杰-Citrix虚拟化方案

•应用的单点登录 应用的单点登录
集成应用单点登录的功能，方便用户账号的管理
测试结论
ICA 协议传输过程中所有的数据包都经过加密。交 行卡中心城市办事处现有的很多B/S架构应用，使用 HTTP协议较难保证网络中传输数据的安全性，当使 用 Citrix 发布这些应用后，客户端和 Citrix 服务器 之间将不再有明文的数据包传输，从而提高应用系 统的安全级别
企业应用 o Microsoft Exchange, Outlook o Oracle Financial Services Application (OFSA) o Oracle JD Edwards CRM o Oracle Siebel CRM OnDemand o SAP ERP Financials 数据管理和业务智能 o Access Data SalesVision o ACI BASE24 transaction processing o GoldenGate Software transactional data management o Harte-Hanks Trillium Software o IBM Cognos 8 Business Intelligence (BI) o IBM DB2 o IBM Information Framework (IFW) o Informatica PowerCenter o Microsoft SQL Server o Oracle 8i, 9i o Oracle Hyperion Essbase, Analyzer o Oracle Real Application Clusters (RAC) o SAP Business Objects Crystal Reports o SAP OutlookSoft o SAS Business Intelligence o Sun MySQL o Sybase o Teradata
应用虚拟化
价格 数量 总价(RMB) 500 500,000 12 600,000 500 750,000 500 750,000 12 260,000 1,980,000 255 500 127,500 19,000 12 228,000 180,000 5 900,000 1,000 10 10,000 1,000 10 10,000 6,115,500 1000 50,000 1,500 1,500 20,000
应用有效性：采用Citrix最新的流技术代替传统的手工安装，可以获得更大的应用 可用性，应用可以快速供应到各个服务器，而不需担心应用冲突等问题。 降低数据中心成本：Citrix更加节省服务器，单纯从耗电和制冷上每年节省25万美 金，还不算机架空间的节省 业务敏捷度和扩展性：基于Citrix架构，美洲银行获得更大的灵活性和缩短了新应 用投放市场的时间，通常采取多项目共享Citrix平台的模式大大节省费用，以及灵活 地调度计算资源以满足业务要求。 快速服务器部署和恢复：传统模式部署和恢复应用要采用手工方式消耗几天时间， 而采用Citrix模式在小时内完成。
XenApp 不用 Branch Repeater
减少85%的带宽
XenApp 用 Branch Repeater
应用交付虚拟化技术的优势
传统方式
业务数据直接在网络上传输 数据安全 业务数据可存储在终端上 终端管理 带宽占用 监管审计 对终端缺少集中控制手段，特别是外包人员终端 所有应用所需带宽之和 缺少用户行为监控手段 所有数据存放在后台，终端上不存储业务数据 集中对终端用户权限进行控制，例如禁止上传下载、禁止访问特定应用等 每个终端占用30Kb/s带宽，与应用无关 对用户的操作进行录像监控
PC 维护PC机人员 PC机器上的各种应用 PC机器上安装新应用客户端 总计(RMB)： 总计 ：
以500个虚拟桌面和100个并发虚拟应用为例计算
12
典型虚拟化平台逻辑架构
应用虚拟化平台 分支用户 Branch Repeater Hypervisor 广域网 海外用户 Branch Repeater Hypervisor XenApp服务器 Hypervisor Web Interface NetScaler Hypervisor XenDesktop DDC Hypervisor 单点登录 远程和移动用户 Hypervisor Hypervisor 监控审计 应用客户端 Hypervisor 授权服务器
局域网访问 分支机构访问 Intranet Citrix服务器群组 （负载均衡） Internet GPRS/ CDMA Web 服务器 文件服务器 出差及远程访问 办公客户端 数据库服务器
手机/PDA/移动访问
虚拟桌面 XenDesktop
为每个用户构筑独 立的工作环境，并运 行在数据中心 用户可以通过任意 设备在任意位置访问 自己的工作环境 采用动态数据中心 技术，动态地为每个 用户合成其工作环境， 而不用为1：1地维护 用户工作环境
Macro 4 Humingbird0.8%Gresham Microsoft 0.2% 2.2% 10.4% Tarantella 2.2% Others 7.4%
Citrix 76.8%
思杰交付中心
应用接收 Receiver
分支机构 Branch 优化 Repeater
安全的应 Access 用访问 Gateway
交付平台 发布后台应用客户端 登录应用交付平台 访问应用
所有后台应用系统部署在数据中心服务器 所有应用客户端在交付平台上运行 终端仅接受交付平台上应用运行的屏幕画面
后台应用系统
应用服务器
数据中心 桌面/终端
服务器虚拟化： 服务器虚拟化：在物理服务器上部署 Hypervisor ，将物理服务器划分成 多个逻辑服务器，并实现更好的韵味管理。 网络优化： 网络优化：对广域网传输进行加速优化，实现最佳的传输体验和安全
ICA协议传输图像变化和设备支持 含有 32 个虚拟通道，分别传输不同信息 传输键盘扫描码、鼠标事件和打印数据等 服务器端获得信息实现对屏幕的操控 传输图像变化在客户端显示
安全的设计
•传输协议 ICA 的安全性 传输协议
仅传输键盘、鼠标、打印等信息及屏幕变化信息，不 传输业务数据 •传输协议安全性专项测试 - 某银行信用卡中心 传输协议安全性专项测试
服务器虚拟化架构 XenServer
高性能虚拟化架构
• 64 位 Hypervisor •全面的操作系统和应用程 序支持 •集中化管理 • 实时虚机迁移 • 基于角色的管理 • 内存控制
高级存储整合
• 内置存储服务管理 • FC SANs 和 iSCSI 支持
应用生命周期管理
• 开发和测试实验室 • 状态/准生产 • 自服务门户
办公网
域控制器
OA3.0/Notes 开发测试网
Access Gateway 互联网
开发服务器 文件/数据库服务器 生产网
Repeater
业务服务器
互联网 Hypervisor 虚拟桌面 局域网用户 置备服务器
13
Citrix 方案优势
数据安全 桌面环境支持 性能 业务连续性 运维管理 监管审计
•用户不能从本地设备直接访问开发源代码、公文文档等企业数据，方便实现数据隔离 •通过丰富的策略管理数据向本地设备的传输和打印输出，防止泄密和非授权拷贝 •支持智能卡和双因子等用户认证 •支持多种客户端设备和操作系统，可用Windows、Linux、Mac、Unix等多种客户端甚至手机客户端作 为应用接收客户端 •支持多数外设和打印机，包括打印机、USB设备、串口设备等 •ICA协议可以更好的优化网络带宽实现图像、声音和客户端设备的优化 •HDX优化图像的显示，优化视频、3D图像等的传输 •支撑大量并发用户 •随时随地通过各种设备访问业务系统 •支持扩展性需求，方便实现负载均衡和容灾备份 •内置了丰富的平台管理功能 •能够基于用户、应用、服务器和IP等制定应用发布策略、设备和用户使用策略以及带宽优化策略 •通过单一镜像统一管理应用和桌面环境 •实现细粒度的平台系统监控和报警 •对用户的行为进行审计监控录像
数据中心自动化
• 自动化灾难恢复 • 动态负载均衡 • 高可用性 • 主机电源管理 • 自动化镜像管理和置备
优化应用交来自百度文库网络 NetScaler
广域网优化 Branch Repeater
打印 设备 视频
WAN
打印 设备 视频
Repeater
Branch Repeater
全面支持 XenDesktop 和 XenApp 的传输 针对打印、视频和传输的定制化加速模式 对已有 XenDesktop 或 XenApp 架构不做大的改动
思杰应用交付主要银行业客户
美洲银行（ 美洲银行（Bank of America） ）
美洲银行全面采用Citrix作为集中计算模式的基础架构平台，发布 的应用系统几乎涵盖了其所有的业务及系统，仅美洲银行在印度的分支 机构就部署了约1200台Citrix服务器，支撑大约60个项目的集中运行。
美洲银行通过TCO分析认为集中化带来的收益：
Citrix 虚拟化方案
思杰系统 (Citrix Systems)
应用交付供应商
• • • • 全球应用交付领域的领导厂商，用户无论何时何地都可安全获得企业应用的服务 NASDAQ100及标准普尔500指数成份股 (CTXS)，2008年营业收入$1.6B，全球35个国家5000员工。 全球市场占有率第一 庞大的客户群： • 全球215,000个客户 • 100%财富100强企业，99%财富500强企业 • 覆盖全球75%的互联网用户访问 • 800,000台服务器运行Citrix应用交付平台 • 1亿多个在线虚拟会话 • 思杰中国 • 用户分布于金融、电信、能源、制造等众多行业领域； • 中国公司总部位于北京，并在上海、广州、香港、台湾设立办事处；
测试目的
通过实际的测试对比HTTP协议和ICA协议在安全性 方面的差别
•审计操作录像 审计操作录像
记录用户操作的实时状态“录像”，以便于审计和监 管
•安全的应用访问 SSL VPN 和策略控制 安全的应用访问
可实现细粒度的访问策略控制，并可提供集成的 SSL VPN 方案
测试方法
使用著名的网络抓包软件 WireShark 捕获所有客户 端和后台服务器之间的数据包，并进行分析
技术特点
用户界面推送到客户端设备
TCP
ICA
AUDIO CLIPBOARD DRIVE PRINTING COM VIDEO
ICA 有32个 虚拟通道
应用或桌面在服务器端运行 鼠标与键盘输入信号发送到服务器
用户
防火墙、VPN
应用
网络上只传输应用图像和键盘鼠标信息，没有真实业务数据 对用户进行统一身份认证和权限控制，例如禁止上传、下载 从外网接入使用VPN进行传输加密 可对用户所有操作进行录像审计 用户体验与使用本地系统基本一致 每个客户端平均只需20-30Kb/s带宽
• 虚拟桌面 XenDesktop XenApp • 虚拟应用 XenServer • 虚拟服务器 NetScaler • 交付网络
应用交付虚拟化体系
桌面虚拟化： 桌面虚拟化：在后台服务器上安装Windows桌面系统，用户登录虚拟交 付平台使用后台服务器上的Windows桌面。 应用虚拟化： 应用虚拟化：将后台服务器上安装的应用系统客户端（例如OA、核心业 务）在虚拟交付平台上发布，用户登录平台访问后台应用时，应用系统 客户端运行在平台上，而不是运行在用户的本地终端上。
应用虚拟化
网络上仅传输键盘鼠标信号及远程屏幕图片，不传输业务数据
传统方式
终端 服务器 存储备份(3年) 操作系统 服务器操作系统 虚拟化产品软件 电力消耗(3年) 管理人员成本(3年) 应用软件升级 新应用上线 汇总 名称 PC PC客户端备份 Windows XP 专业版 价格 数量 总价(RMB) 名称 3000 500 1,500,000 瘦客户端 虚拟化服务器 1000 500 500,000 虚拟桌面存储备份 1500 500 750,000 VECD Windows 2003 企业版 虚拟桌面+虚拟应用+虚拟架构 1,695 500 847,500 瘦客户端 虚拟化服务器 180,000 20 3,600,000 维护虚拟化服务器人员 1000 500 500,000 虚拟化服务器上的各种应用 1000 500 500,000 虚拟化服务器安装新应用客户端 总计(RMB)： ： 8,197,500 总计
•双因子用户认证 双因子用户认证
集成智能卡、SecurID 等用户认证机制，可实现与用 户账号密码的集成认证
应用虚拟化 XenApp
• 业务系统部署 • 移动办公 • 分支机构扩展 • 业务终端扩展 • 数据安全及审计 • 开发中心 • 网管中心 • 呼叫中心 • 灾备中心 •…
AD域控制器 办公服务器