基于Citrix VDI跨平臺(tái)桌面虛擬化架構(gòu)研究

武漢理工大學(xué)理學(xué)院 張文靜

云計(jì)算[1]已經(jīng)來到了我們身邊，Citix公司在云計(jì)算的路上已經(jīng)領(lǐng)先了一大步，與各類虛擬化平臺(tái)強(qiáng)強(qiáng)兼容，創(chuàng)造了良好的面向用戶的虛擬化解決方案。其中作為最佳實(shí)踐的是成為Citrix VDI的桌面虛擬化解決方案。

在Citrix VDI方案中桌面虛擬化是在物理服務(wù)器上安裝VMware ESX虛擬主機(jī)系統(tǒng)，由VMware vShpere[2]虛擬主機(jī)系統(tǒng)模擬出操作系統(tǒng)運(yùn)行所需要的硬件資源，操作系統(tǒng)運(yùn)行在這些虛擬的硬件資源之上，可以達(dá)到多個(gè)操作系統(tǒng)共享物理服務(wù)器的硬件資源，從而提高資源利用率。

1.總體方案設(shè)計(jì)

1.1 方案設(shè)計(jì)

Citrix VID[3]虛擬化設(shè)計(jì)方案，選擇Citrix交付中心(Citrix Delivery Center)作為系統(tǒng)的核心組件，該方案與虛擬機(jī)平臺(tái)無關(guān)，可以支持三大虛擬化技術(shù)：VMware的VMware ESX、Citrix的XenServer及微軟的Hyper-V虛擬化技術(shù)。具有很強(qiáng)的實(shí)踐性和擴(kuò)展性。

在Citrix Delivery Center典型設(shè)計(jì)方案中，網(wǎng)絡(luò)環(huán)境劃分成三個(gè)層次：終端層、虛擬桌面層和后臺(tái)應(yīng)用層。各層之間使用防火墻接入控制網(wǎng)關(guān)嚴(yán)格隔離，只開放訪問所需的必要端口。將用戶終端隔離后，可實(shí)現(xiàn)對后臺(tái)服務(wù)器的保護(hù)，并且用戶的所有個(gè)人桌面、應(yīng)用、文檔都會(huì)集中控制在虛擬桌面層，起到很好的安全作用[4]。

在這種架構(gòu)下訪問流程簡單地描述為：

(1)用戶使用各種終端設(shè)備接入口服務(wù)器Web Interface(WI)。

(2)通過域控制器Active Directory(AD)驗(yàn)證身份。

(3)在基礎(chǔ)架構(gòu)服務(wù)器集群的調(diào)控下，訪問分配給用戶的虛擬桌面Virtual Machine(VM)，通過桌面訪問后臺(tái)系統(tǒng)。

從服務(wù)器網(wǎng)段到終端網(wǎng)段所有的通訊都被安全接入網(wǎng)關(guān)設(shè)備封裝在加密通道中。這樣的架構(gòu)既保證了網(wǎng)絡(luò)層的傳輸安全，又保護(hù)了關(guān)鍵的數(shù)據(jù)安全[5]。

1.2 Citrix Delivery Center組件說明

(1)網(wǎng)絡(luò)入口服務(wù)器(WI-Web Interface)

(2)基礎(chǔ)架構(gòu)服務(wù)器集群

圖1 邏輯架構(gòu)

(a)桌面虛擬化控制器(DDC-Desktop Delivery Controler)，提供XML Broker服務(wù)，控制器服務(wù)，資源池服務(wù)和IMA服務(wù)。

(b)Citrix License服務(wù)器

(c)活動(dòng)目錄(AD)服務(wù)器：創(chuàng)建AD認(rèn)證，提供私有OU獨(dú)立使用。

(d)數(shù)據(jù)區(qū)服務(wù)器：管理和存儲(chǔ)桌面虛擬化、應(yīng)用虛擬化配置信息及歷時(shí)性能數(shù)據(jù)。

(3)虛擬桌面承載服務(wù)器集群[6]

虛擬桌面承載服務(wù)器底層使用VMware虛擬化技術(shù)，每臺(tái)物理機(jī)上虛擬出一定數(shù)量的虛擬桌面，虛擬桌面上除了承載標(biāo)準(zhǔn)的應(yīng)用外，還運(yùn)行著虛擬桌面代理服務(wù)，負(fù)責(zé)與DDC進(jìn)行注冊并保持與控制器的心跳監(jiān)測。

(4)網(wǎng)絡(luò)接入設(shè)備NetScaler

NetScaler負(fù)責(zé)為WI提供負(fù)載均衡支持以提供WI組件的高可用性。

(5)終端設(shè)備

桌面虛擬化解決方案將桌面和應(yīng)用的運(yùn)行全部集中在數(shù)據(jù)中心，因此對客戶端要求大大降低，可以使用各種接入設(shè)備和系統(tǒng)訪問。

2.邏輯架構(gòu)及工作原理

2.1 邏輯架構(gòu)(如圖1所示)

2.2 工作原理

(1)用戶啟動(dòng)瀏覽器，訪問WI(Web Interface)。

(2)WI提示用戶輸入賬戶和密碼，然后將其提交DDC進(jìn)行身份驗(yàn)證資源分配。

(3)DDC請求AD對用戶身份進(jìn)行驗(yàn)證。

(4)認(rèn)證成功后，DDC聯(lián)系數(shù)據(jù)庫，確定是否有用戶可用的虛擬桌面。

(5)虛擬桌面信息被DDC傳回給WI，WI為用戶呈現(xiàn)可用虛擬桌面列表。

(6)用戶點(diǎn)擊WI頁面上的虛擬桌面圖標(biāo)，WI將用戶訪問虛擬桌面的請求轉(zhuǎn)發(fā)給DDC，DDC將檢測用戶請求的虛擬桌面是否開機(jī)，若已開機(jī)，則通知虛擬桌面上的VDA(虛擬桌面代理)開始監(jiān)聽用戶遠(yuǎn)程登錄的訪問請求；如未開機(jī)，DDC將通知vShpere開啟用戶的虛擬桌面，然后通知用戶虛擬桌面上安裝的VDA監(jiān)聽用戶遠(yuǎn)程登錄請求。

(7)用戶的虛擬桌面VDA就緒后，連接信息被DDC發(fā)送到WI，WI為指定的虛擬桌面創(chuàng)建一個(gè)ICA文件并發(fā)送給用戶，用戶的終端設(shè)備中Citrix接收器收到此文件后，開始登錄遠(yuǎn)程桌面。

(8)虛擬機(jī)VDA接受到用戶登錄請求后，VDA通過DDC，用戶已在嘗試登錄，并將用戶登錄憑據(jù)發(fā)給DDC進(jìn)行驗(yàn)證。

(9)DDC對用戶登錄憑據(jù)進(jìn)行驗(yàn)證并且從License服務(wù)器check out(申請)一個(gè)license。如果用戶登錄憑據(jù)，License均可用，License及相關(guān)桌面策略將被DDC發(fā)送給虛擬桌面進(jìn)行處理。一旦用戶連接請求被允許，VDA則會(huì)使用DDC傳送過來的憑據(jù)登錄AD域并且申請用戶配置文件及相關(guān)組策略。

3.高可用性(HA)

高可用性(High Availability)通常來描述一個(gè)系統(tǒng)經(jīng)過專門的設(shè)計(jì)，從而減少停工時(shí)間，而保持其服務(wù)的高度可用性。本體統(tǒng)中，考慮到企業(yè)級桌面應(yīng)用的系統(tǒng)穩(wěn)定性要求高，設(shè)計(jì)了針對虛擬機(jī)、組件、網(wǎng)絡(luò)的高可用性。

虛擬機(jī)平臺(tái)，可以通過VMware vShpere云操作系統(tǒng)創(chuàng)建VMware HA高可用虛擬化群集[7]。通過VMware vShpere圖形化界面，可以在新建集群時(shí)打開HA功能，可以實(shí)現(xiàn)主機(jī)監(jiān)控，在集群內(nèi)的ESX主機(jī)會(huì)交換網(wǎng)絡(luò)監(jiān)測信號(hào)。

重要組件直接關(guān)系到系統(tǒng)運(yùn)行情況，所以DDC、WI、Data Collector、XenApp服務(wù)器等重要組件均配置了多臺(tái)的冗余，實(shí)現(xiàn)系統(tǒng)故障時(shí)及時(shí)的切換。

網(wǎng)絡(luò)的高可用可以通過vSpere網(wǎng)絡(luò)綁定功能，防止網(wǎng)卡的單點(diǎn)故障。存儲(chǔ)設(shè)備使用NAS專網(wǎng)，并采用跳雙網(wǎng)口形式，防止網(wǎng)絡(luò)連通性的單點(diǎn)故障。采用NetScaler的虛擬路由器冗余協(xié)議（VRRP）。VRRP是一種雙節(jié)點(diǎn)高可用性主用備用集群配置。備用節(jié)點(diǎn)可以與主節(jié)點(diǎn)通信，來監(jiān)控主節(jié)點(diǎn)的健康情況。如果主節(jié)點(diǎn)出現(xiàn)故障，備用節(jié)點(diǎn)就會(huì)判別并激活，代替成為主節(jié)點(diǎn)，并開始接收傳送數(shù)據(jù)流量。

4.總結(jié)

在對Citrix VDI平臺(tái)下虛擬化技術(shù)研究與時(shí)間過程中，通過對VMware vSphere虛擬化層進(jìn)行跨平臺(tái)結(jié)合運(yùn)用，為桌面虛擬化相關(guān)應(yīng)用技術(shù)的方案提供基本信息。在此基礎(chǔ)之上，對虛擬機(jī)平臺(tái)進(jìn)行主機(jī)監(jiān)控，重要組件實(shí)現(xiàn)多臺(tái)冗余，網(wǎng)絡(luò)采用NetScaler虛擬路由器冗余協(xié)議，這種高可用方案的研究及應(yīng)用既可以保證系統(tǒng)穩(wěn)定高效運(yùn)行。

[1]劉鵬.云計(jì)算(第二版)[M].北京:電子工業(yè)出版社,2011.

[2]VMware vSphere for ESX 4.0,ESXi 4.0,vCenter Server 4.0[EB/OL].http://www.vmware.com/support/pubs.html.

[3]桌面虛擬化技術(shù)與VDI[J].中國信息安全,2010,11.

[4]姚秋根編譯.安全與管理的新方法VDI,中國信息安全,2010.11.

[5]Eric Ogren著,行久譯.虛擬桌面基礎(chǔ)架構(gòu)帶來的安全性提升,http://www.searchsecurity.com.cn/.

[6]李佳.基VMware軟件的虛擬化架構(gòu)及企業(yè)解決方案簡析[J].計(jì)算機(jī)與網(wǎng)絡(luò),2010(1).

[7]胡嘉璽.虛擬智慧:VMware vSphere運(yùn)維實(shí)錄[M].北京:清華大學(xué)出版,2011.