云桌面演示平台搭建及技术验证

【摘要】云桌面平台基于目前流行的云计算、虚拟化技术，将应用的执行环境放在云端，打造SaaS的服务模式，为用户搭建统一的软件资源平台、应用平台和服务平台，用户可以直接定制和使用云桌面提供的各类应用、内容、和个人主机租用服务，同时也避免了个人终端的升级、维护、软件系统安装、更新等繁琐问题。用户只需通过个人PC、手机或其它云终端设备，并通过移动或固定网络就能轻松获取公共计算资源。本部于2011年建立云桌面的演示平台，期间建成至今经历了几次成功的产品演示，并且作为公司自用的移动办公工具受到广泛好评。文章从云桌面演示平台的网络结构和功能特点来讨论Citrix 云桌面平台的结构对商用云桌面的技术验证。

【关键词】虚云桌面技术 Xendesktop ICA SaaS

一、背景

随着个人电脑、宽带互联网的不断普及，人们对互联网及应用的可靠性、有效性及便捷性要求不断提高，在宽带应用、移动应用大规模发展的同时，也面临着诸多问题，包括终端的快速更新换代带来的扩展性问题、软硬件的维护问题、以及软件应用选择和更新、个人文档的有效保存、信息安全的防范等问题。

为了有效解决以上所面临的各类问题，我们将构建中国电信面向个人和中小型企业用户，基于PC、瘦终端、手机和多媒体移动终端的云桌面VDI服务平台，建立应用商店及可扩展应用执行环境，集成电信的服务及云桌面应用，打造新一代的电信服务平台。

桌面虚拟化就是将应用或操作系统桌面尽可能完整地从用户设备中分离出来。换句话说，就是界面抽象化，不在本地设备上安装和使用软件，应用软件与操作系统安装并运行于数据中心中的物理服务器或虚拟机上，通过虚拟化软件与控制台，实现应用与桌面的集中化管理，将应用程序或操作系统桌面作为服务统一交付给客户端用户，提供无缝的用户体验。桌面云解决方案是一种动态结构，能够更加灵活地适应企业的业务扩张。在不用重新开发和改动系统软件的前提下，所有的业务逻辑上全部在后台服务器上进行部署，前端PC或瘦客户机上无需部署任何业务系统软件，只是标准的显示与操作环境。通过后台服务器强大的并行计算能力将多用户计算结果控制投放到各个终端，从而不仅实现了办公网业务快速部署、快速实现，而且加快桌面系统维护的响应能力，提供更加安全、节能、易管理的集中运算模式。

二、云桌面网络结构

（一）模拟的网络场景

作为企业用户的移动桌面，必须时刻保证可以访问公网。这类用户会把桌面当做电脑使用，处理文档，查找资料，特别在没有电脑的时候，桌面就是他们全天候的办公利器。

企业内部应用的桌面，例如访问财务系统，需要通过专线或者VPN接入内部网络。这类场景中，云桌面更像是一个接入工具，让人随时随地接入特定网络。此时，访问公网已不重要，连接公网的云桌面反而增加了内网安全隐患。

（二）网络管控的要求

云桌面并不是面向一个企业的平台，每个企业的桌面需要做充分的隔离，避免相互干扰。但是，多个企业可能会使用一台DHCP，DNS服务器，这时必须做到网络连通。此外，一个企业中的云桌面也会有不同的功能，一部分每次启动只需要推送初始化过的系统，不用保持历史使用数据；一部分则会有读写权限，保证每次登陆的使用连续性。

云桌面的冗余性中，虚机的漂移是很重要的，要实现这一点使用支持虚拟化的网络设备。也可以在对称的网络环境中，通过实交换机与虚拟交换机配合来做到。

（三）拓扑结构说明

云桌面平台搭建在两台8512下，两台8512作为平台的出口设备。两台3560G与上联采用三层互联，作为云桌面平台的核心部分。旁挂了一台netscaler，它负责将公网端口映射到桌面的内网端口。两台刀框服务器共有四个交换模块，每个交换模块四根千兆接入，下联两根到内网交换机3560。NAS存储双机头各两根接入内网。在刀框上的层虚拟交换层引入内外网的网段，为每个服务器和桌面分配网段。专线接入提供接入企业内网的服务，使得内网流量与公网的分开。

（四）各个部分的功能特点

公网出口：提供稳定的公网接入，通过路由方式保证双上联的冗余。

核心交换：两台3560G配置HSRP，云桌面的公网网段，和内网网关均启在这两台设备上。下联的设备均配置内网网段，四层交换机netscaler提供NAT。公网接入云桌面也通过netscaler做端口映射实现。在核心交换层，各个内网和公网默认都相互连通。考虑到虚机的安全性，3560G和netscaler上均配置ACL将不需要互访的VLAN隔开。

刀片接入：这次使用的HP刀框，每框可以满配8个刀片，2个交换模块为cisco3020模块。交换模块有16个网口与刀片通过刀框连接，8个空闲端口可以连接线路做配置。与核心交换层和存储交换层都使用trunk打通，使用不同的allow Vlan在互联端口上隔开存储区域和交换区域，也防止产生环路。

虚拟交换：刀片到虚机之间是虚拟交换层。可以出公网的网段和存储网段与三台3560G两层打通。虚机的网口对应的VLAN，一台虚机至多有4个网口，出公网，访问存储，做控制，访问特定网络。虚拟交换层还有一个特别的功能，通过mac地址进行二层VLAN内的虚机访问控制。通常情况下，同一VLAN下的虚机是打通的，每个虚机每个网卡都在不同VLAN中，这个是平台安全患。过去可以通过PVLAN的方式来对VLAN下的网络做细化管控，但是PVLAN对于多个VLAN的配置较为繁琐，很难直观的反应相互的关系。好在虚机的每个网口都有不同的MAC地址，虚拟交换机支持MAC地址ACL。

存储交换：NETAPP存储双机头分别接入内网交换机。内网交换机中的不同VLAN也代表了实际应用中的不同企业用户组。

专线接入：云桌面接入企业内网，本次测试平台以电信OA为例，通过一台juniper SSG 5防火墙连接OA交换机。特定的网段在到达四层后不通过公网NAT出平台，直接路由指到防火墙接口再通过一次NAT转化为OA地址来访问公司内网。这里的专线也能通过其他方式，比如防火墙之间建立VPN通道；也可以专线直接透传到3560G。这两种接入方式均通过验证。

三、云桌面应用部署

（一）Xenserver的使用

XenServer是基于开源Xen系统管理程序创建的。由于Xen是众多业界领先IT厂商（包括Citrix，Intel，AMD，HP，IBM，Nov-

el，Redhat，Sun等等）广泛参与的一个开源项目，其发展十分迅速，技术构架也十分领先。由于其先进的精简构架，Xen系统管理程序降低了总开销，并提供了接近于物理服务器的性能。 XenServer充分利用Intel VT平台和AMD虚拟化（AMD-V）平台进行硬件辅助虚拟化，提供了更快速、更高效的虚拟化计算能力。与其它基于封闭式专用系统构建的虚拟化产品不同，XenServer的开放API让客户可以通过现有的服务器和存储硬件来访问和控制先进的功能。XenServer的基于裸金属的原生64位构架，以及结合使用硬件虚拟化辅助技术和半虚拟化技术是其高性能特性的保证。由于XenServer来源于开源的Xen项目，其对各种 Linux发行版有广泛地支持，性能十分出色，与竞争对手相比，Linux性能领先。在存储的支持上，不但支持IDE、SATA、SCSI和 SAS本地存储和iSCSI、光纤通道和NFS等共享存储，由于其开放的存储管理接口，XenServer还能与NetApp、Dell/EqualLogic和IBM Storage N系列（以及更多）实现了本地集成，从而可以充分利用各种经优化的高级存储服务，包括快速克隆、瘦配置、快照和副本删除等等。

（二）桌面虚拟化和Xendesktp

本次方案采用了Citrix的虚拟桌面技术，并通过设置个人的Profile文件，使得用户通过PC或瘦终端访问应用服务器，所有的应用数据都将保留在公司企业内部，避免由于使用者有意或无意造成机密文件丢失。每一位使用者的Profile文件夹通过域控制器重定向存储系统上，保证用户访问漫游特性，同时也满足大用户量对于存储的集中访问。客户端的电脑及瘦客户机只是具有显示与操作功能，不处理与存储任何应用和企业与客户重要数据，但是业务人员照常使用原有系统的各项功能，并获得更好的体验。同时，网络中传输的是加密并压缩的屏幕更改与鼠标、键盘信息，更加安全。原有的后台数据库、文件服务器及局域网或广域网访问保持原样不动，只是在客户端用户访问和后台系统之间增加了虚拟化服务器集群，主要实现对各种客户端与应用程序（Microsoft Office， IE， 业务支持系统客户端等）的集中部署和交付。

XenDesktop可动态按需产生虚拟桌面，用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。此外，XenDesktop采用的高速交付协议还可在任何网络条件下提供无与伦比的响应速度。对于IT机构而言，XenDesktop可通过分别交付桌面操作系统、应用和用户设置，大大简化桌面生命周期管理并显著降低拥有成本。Citrix XenDesktopTM可为任意地点的用户按需交付桌面，同时显著简化生命周期管理。它可提供一种端到端的桌面交付解决方案，为最终用户加速交付桌面，提供更强大的数据保护和监控，并降低高达40%的拥有成本。XenDesktop可以将操作系统，应用和用户配置文件进行物理拆分，当员工登录的时候，可以将这三部分进行动态组合，组合出一个运行桌面，利用Citrix独有的高效的ICA协议将操作系统的桌面交付给前台的设备上，这种方式比较适合Office软件，专业数据分析软件等通用性软件方式，也可以选择给每一个员工生成一个独立的桌面操作系统，将应用直接安装在桌面上，企业员工或专职人员可以拥有对桌面更大的管理能力。

（三）云桌面用户使用流程

如图所示，用户使用云桌面的接入步骤。首先，用户通过客户端或web方式，连接到桌面分发控制器DDC。DDC会根据当前的情况选择最适合的桌面。根据策略会优先从已经建立和启动的虚机中选择一台分配给用户。若没有合适的虚机，则会启用PXE远程启动虚机并导入相对应的事先准备好的OS，OS存放在存储中。一旦虚拟机启动时，它会通过一组Web服务接口的DDC沟通，DDC分配虚机地址。然后通过ICA协议虚机与用户建立连接，回调到DDC获得许可的会话。已取得许可证后，用户的行为将被记录到他们的虚拟桌面。用户的配置也会被保存起来，以便将来登录后可以漫游这些配置。

四、测试结论

平台建立以后进行了下列功能的测试

平台硬件能力：通过多轮测试和验证，在现有主机、网络和接入环境下，云桌面平台能够满足功能需求，在技术上是可以实现的。验证使用的单台刀片物理机配置为HP BL685c：4×8核AMD Opteron 128G内存，大约一个物理内核，可以带动2～3个配置为：2vCPU，1G内存的XP虚机。

主页面功能：登录的安全策略：如登录时间、登录地点、ip地址限制，不同地点登录对电脑的访问权限等；查看修改用户个人信息，包括用户登记的注册信息、用户密码等查询网络计算机信息，并可在线升级计算机配置；查询用户使用日志。

企业管理员功能：在线购买、开设、注销企业网络计算机用户；设置企业内部网络计算机的用户分组，为每个分组设置安全管理策略、桌面、应用、权限等；查看企业内部网络计算机的登录日志，使用情况报表等；查询帐务信息，可以在线充值。

桌面管理系统功能：按用户群组设置不同桌面应用软件。为不同群组的用户设置不同的应用：默认已安装应用（自动为用户安装的常用应用软件）；可选安装的应用，可按应用类型分类管理呈现，应用类型可灵活设置。统计各类应用的使用时长、频率等信息。个人用户桌面：影视、游戏、音乐、即时聊天、办公、网购、教育、理财、搜索、优惠打折、地图、IE上网、我的电脑、自助服务、回收站。企业用户桌面：我的电脑、回收站、office、邮件、统一通信、视频会议、企业文档库、OA、ERP、CRM、企业业务系统、elearning等

终端访问验证：三种终端方式：Pc电脑、手机、瘦客户机，测试的虚拟桌面基于主流的Windows 7和XP操作系统。通过以Private（用户可对操作系统进行读写操作并保存修改）与Standard（用户可进行正常操作，无法保存对操作系统的修改）两种模式进行，适用于不同的应用场景和用户需求。

应用分发功能：支持第三方软件客户端的正常运行（MSN、QQ、暴风影音、千千静听、超级兔子、360软件等）。在桌面虚拟化模式下，对单台虚拟桌面安装指定的第三方软件（应用推送分发）。在桌面虚拟化模式下，对一组虚拟桌面（5台）安装常用的第三方软件（应用推送分发）

五、云桌面应用

云桌面，基于分布式云计算存储技术，集成互联网精华应用，依托高度加密算法，为互联网各个层次用户提供最简便、最丰富、最安全、最贴心的服务。其可提供互联网用户的基于浏览器的上网桌面系统，能够最大程度的方便用户个性化上网，提供各项常用功能的管理，诸如微博消息树提醒、邮箱新邮件提醒、各类网站的导航等；提供个性化定制功能，用户可以按分类自由管理使用常用常去的网站，定制网站的图标，个性化桌面的风格等；扩展各种上网的入口功能，如搜索引擎集成功能，网络收藏夹等。

参考文献：

[1]刘艳霞，基于XenDesktop桌面虚拟化网络平台的研究， COMPUTER ERA，2011， （6）.

[2]Gareth R James， Citrix XenDesktop implementation： a practical guide for IT professionals， 2010.

[3]Xun Xu，From cloud computing to cloud manufacturing，Robotics and Computer Integrated Manufacturing，2012， （1）.