武漢理工大學理學院 張文靜

云計算[1]已經來到了我們身邊，Citix公司在云計算的路上已經領先了一大步，與各類虛擬化平臺強強兼容，創(chuàng)造了良好的面向用戶的虛擬化解決方案。其中作為最佳實踐的是成為Citrix VDI的桌面虛擬化解決方案。

在Citrix VDI方案中桌面虛擬化是在物理服務器上安裝VMware ESX虛擬主機系統(tǒng)，由VMware vShpere[2]虛擬主機系統(tǒng)模擬出操作系統(tǒng)運行所需要的硬件資源，操作系統(tǒng)運行在這些虛擬的硬件資源之上，可以達到多個操作系統(tǒng)共享物理服務器的硬件資源，從而提高資源利用率。

1.總體方案設計

1.1 方案設計

Citrix VID[3]虛擬化設計方案，選擇Citrix交付中心(Citrix Delivery Center)作為系統(tǒng)的核心組件，該方案與虛擬機平臺無關，可以支持三大虛擬化技術：VMware的VMware ESX、Citrix的XenServer及微軟的Hyper-V虛擬化技術。具有很強的實踐性和擴展性。

在Citrix Delivery Center典型設計方案中，網絡環(huán)境劃分成三個層次：終端層、虛擬桌面層和后臺應用層。各層之間使用防火墻接入控制網關嚴格隔離，只開放訪問所需的必要端口。將用戶終端隔離后，可實現對后臺服務器的保護，并且用戶的所有個人桌面、應用、文檔都會集中控制在虛擬桌面層，起到很好的安全作用[4]。

在這種架構下訪問流程簡單地描述為：

(1)用戶使用各種終端設備接入口服務器Web Interface(WI)。

(2)通過域控制器Active Directory(AD)驗證身份。

(3)在基礎架構服務器集群的調控下，訪問分配給用戶的虛擬桌面Virtual Machine(VM)，通過桌面訪問后臺系統(tǒng)。

從服務器網段到終端網段所有的通訊都被安全接入網關設備封裝在加密通道中。這樣的架構既保證了網絡層的傳輸安全，又保護了關鍵的數據安全[5]。

1.2 Citrix Delivery Center組件說明

(1)網絡入口服務器(WI-Web Interface)

(2)基礎架構服務器集群

圖1 邏輯架構

(a)桌面虛擬化控制器(DDC-Desktop Delivery Controler)，提供XML Broker服務，控制器服務，資源池服務和IMA服務。

(b)Citrix License服務器

(c)活動目錄(AD)服務器：創(chuàng)建AD認證，提供私有OU獨立使用。

(d)數據區(qū)服務器：管理和存儲桌面虛擬化、應用虛擬化配置信息及歷時性能數據。

(3)虛擬桌面承載服務器集群[6]

虛擬桌面承載服務器底層使用VMware虛擬化技術，每臺物理機上虛擬出一定數量的虛擬桌面，虛擬桌面上除了承載標準的應用外，還運行著虛擬桌面代理服務，負責與DDC進行注冊并保持與控制器的心跳監(jiān)測。

(4)網絡接入設備NetScaler

NetScaler負責為WI提供負載均衡支持以提供WI組件的高可用性。

(5)終端設備

桌面虛擬化解決方案將桌面和應用的運行全部集中在數據中心，因此對客戶端要求大大降低，可以使用各種接入設備和系統(tǒng)訪問。

2.邏輯架構及工作原理

2.1 邏輯架構(如圖1所示)

2.2 工作原理

(1)用戶啟動瀏覽器，訪問WI(Web Interface)。

(2)WI提示用戶輸入賬戶和密碼，然后將其提交DDC進行身份驗證資源分配。

(3)DDC請求AD對用戶身份進行驗證。

(4)認證成功后，DDC聯(lián)系數據庫，確定是否有用戶可用的虛擬桌面。

(5)虛擬桌面信息被DDC傳回給WI，WI為用戶呈現可用虛擬桌面列表。

(6)用戶點擊WI頁面上的虛擬桌面圖標，WI將用戶訪問虛擬桌面的請求轉發(fā)給DDC，DDC將檢測用戶請求的虛擬桌面是否開機，若已開機，則通知虛擬桌面上的VDA(虛擬桌面代理)開始監(jiān)聽用戶遠程登錄的訪問請求；如未開機，DDC將通知vShpere開啟用戶的虛擬桌面，然后通知用戶虛擬桌面上安裝的VDA監(jiān)聽用戶遠程登錄請求。

(7)用戶的虛擬桌面VDA就緒后，連接信息被DDC發(fā)送到WI，WI為指定的虛擬桌面創(chuàng)建一個ICA文件并發(fā)送給用戶，用戶的終端設備中Citrix接收器收到此文件后，開始登錄遠程桌面。

(8)虛擬機VDA接受到用戶登錄請求后，VDA通過DDC，用戶已在嘗試登錄，并將用戶登錄憑據發(fā)給DDC進行驗證。

(9)DDC對用戶登錄憑據進行驗證并且從License服務器check out(申請)一個license。如果用戶登錄憑據，License均可用，License及相關桌面策略將被DDC發(fā)送給虛擬桌面進行處理。一旦用戶連接請求被允許，VDA則會使用DDC傳送過來的憑據登錄AD域并且申請用戶配置文件及相關組策略。

3.高可用性(HA)

高可用性(High Availability)通常來描述一個系統(tǒng)經過專門的設計，從而減少停工時間，而保持其服務的高度可用性。本體統(tǒng)中，考慮到企業(yè)級桌面應用的系統(tǒng)穩(wěn)定性要求高，設計了針對虛擬機、組件、網絡的高可用性。

虛擬機平臺，可以通過VMware vShpere云操作系統(tǒng)創(chuàng)建VMware HA高可用虛擬化群集[7]。通過VMware vShpere圖形化界面，可以在新建集群時打開HA功能，可以實現主機監(jiān)控，在集群內的ESX主機會交換網絡監(jiān)測信號。

重要組件直接關系到系統(tǒng)運行情況，所以DDC、WI、Data Collector、XenApp服務器等重要組件均配置了多臺的冗余，實現系統(tǒng)故障時及時的切換。

網絡的高可用可以通過vSpere網絡綁定功能，防止網卡的單點故障。存儲設備使用NAS專網，并采用跳雙網口形式，防止網絡連通性的單點故障。采用NetScaler的虛擬路由器冗余協(xié)議（VRRP）。VRRP是一種雙節(jié)點高可用性主用備用集群配置。備用節(jié)點可以與主節(jié)點通信，來監(jiān)控主節(jié)點的健康情況。如果主節(jié)點出現故障，備用節(jié)點就會判別并激活，代替成為主節(jié)點，并開始接收傳送數據流量。

4.總結

在對Citrix VDI平臺下虛擬化技術研究與時間過程中，通過對VMware vSphere虛擬化層進行跨平臺結合運用，為桌面虛擬化相關應用技術的方案提供基本信息。在此基礎之上，對虛擬機平臺進行主機監(jiān)控，重要組件實現多臺冗余，網絡采用NetScaler虛擬路由器冗余協(xié)議，這種高可用方案的研究及應用既可以保證系統(tǒng)穩(wěn)定高效運行。

[1]劉鵬.云計算(第二版)[M].北京:電子工業(yè)出版社,2011.

[2]VMware vSphere for ESX 4.0,ESXi 4.0,vCenter Server 4.0[EB/OL].http://www.vmware.com/support/pubs.html.

[3]桌面虛擬化技術與VDI[J].中國信息安全,2010,11.

[4]姚秋根編譯.安全與管理的新方法VDI,中國信息安全,2010.11.

[5]Eric Ogren著,行久譯.虛擬桌面基礎架構帶來的安全性提升,http://www.searchsecurity.com.cn/.

[6]李佳.基VMware軟件的虛擬化架構及企業(yè)解決方案簡析[J].計算機與網絡,2010(1).

[7]胡嘉璽.虛擬智慧:VMware vSphere運維實錄[M].北京:清華大學出版,2011.