红山世纪桌面虚拟化vTop技术白皮书v5.2.doc

《红山世纪桌面虚拟化vTop技术白皮书v5.2.doc》由会员分享，可在线阅读，更多相关《红山世纪桌面虚拟化vTop技术白皮书v5.2.doc（17页珍藏版）》请在三一办公上搜索。

1、 红山桌面虚拟化vTop技术白皮书(Version 5.2)北京红山世纪科技有限公司2013 年 8 月红山桌面虚拟化vTop技术白皮书 版本号：V 5.2版权所有 2013 北京红山世纪科技有限公司。保留所有权利。 Halsign、红山、vTop和徽标是北京红山世纪科技有限公司在中国和/或其他国家/地区的注册商标或商标。其他公司名称或产品名称仅作提供信息之用，可能是其各自所有者的商标。目 录1概述21.1传统桌面面临挑战21.2VDI架构桌面虚拟化带来的挑战21.3新型智能桌面虚拟化技术IDV42vTop工作原理63vTop系统架构84vTop主要功能104.1用户权限管理104.2备份与容

2、灾104.3虚拟防火墙104.4主机绑定104.5策略管理115vTop优势125.1简单易用125.2用户完美体验135.3保证数据安全146红山公司简介161 概述1.1 传统桌面面临挑战 位于终端的应用、数据和设计成果等很容易通过各种途径泄露； 因恶意或无意的行为导致操作系统或应用程序损坏，需要大量的故障排除和修理时间，因此造成终端用户宕机； 位于终端的企业重要数据很容易通过各种途径泄露； 终端用户设备丢失，引起数据丢失等重大安全隐患； 难以对移动存储等进行限制，存在通过移动存储传播的恶意软件等安全威胁； 当个人计算机出现故障时，需要重新部署配置客户端，工作量巨大，费事费力； 客户端操作

3、系统、应用客户端需要不断升级、安装补丁； 客户端硬件每三年左右就需要更新换代，投入巨大； 终端设备维护管理复杂，IT管理人员需要面对大量零散的服务请求； 为确保安全不得不牺牲很多方便性，系统使用复杂；1.2 VDI架构桌面虚拟化带来的挑战VDI架构桌面虚拟化将操作系统及应用程序统一存放在数据中心的服务器及存储设备中，虚拟桌面与数据中心网络连接，所有的桌面计算资源高度集中在数据中心，只是将界面发送至终端设备。图 1 VDI架构图VDI架构桌面虚拟化给IT建设带来的显著挑战： 高成本要实现VDI环境，企业需要在核心基础设施上增加投入，包括面向VDI的高可靠性存储、服务器和新的终端设备，同时还需要支

4、付VDI软件授权的费用，实施起来比传统IT基础架构的成本还要高。 存储性能瓶颈VDI环境对存储管理员提出了前所未有的挑战，系统的性能较容量而言变得更为重要。由于桌面和应用以集中化的方式存储，而非分散在本地驱动器上，对于存储系统的需求较以往呈指数增长。成百上千的虚拟桌面的数据吞吐量给存储系统带来了巨大的压力，VDI的性能也受到存储系统能够支持的IOPS的影响。一方面，VDI的存储容量必需能够满足所有应用程序和用户数据的需求；另一方面，存储性能直接影响终端用户的用户体验。对VDI系统来说，当大量的Windows系统同时启动或登录时，会产生所谓的“启动风暴”或“登录风暴”。 可能涉及软件授权陷阱企业

5、在实施VDI之前，必须要搞清楚软件厂商是否提供了产品的VDI授权，很多软件授权都明文禁止在虚拟环境中使用，或者会要求企业另外购买专门的虚拟化授权供VDI环境使用。 用户体验高效的远程显示协议也无法完全消除低带宽、高延时网络连接对用户体验的影响。对网络带宽、延时的要求，使得VDI无法真正突破多媒体、3D影像设计应用的瓶颈。另外，VDI要求具有始终能连接到数据中心的网络，给用户的移动性也带来挑战。 网络依赖虚拟桌面与数据中心网络连接，所有的计算都发生在虚拟的宿主机端。对网络的依赖，使得脱机使用变得十分困难。 集中风险VDI采用集中运算的机构，当网络、数据中心、服务器、存储等出现故障时，将引发大面积

6、的桌面故障。 外围设备支持VDI对各种可用外围设备存在限制，对很多外设的兼容存在问题。1.3 新型智能桌面虚拟化技术IDV图 2 桌面虚拟化IDV架构图智能桌面虚拟化(Intelligent Desktop Virtualization,IDV)是一种新颖的技术观念，IDV采取的是分布式运行方式来满足运营技术需求，同时进行集中管理。n 成本低在不进行大量资金投入，不对现有桌面管理实践做大规模改造，不影响用户体验的前提下，通过IDV即可获得桌面虚拟化的优势。借助IDV，各机构无需基础设施的投入便可快速而方便地开展桌面虚拟化。n 降低存储和网络带宽需求智能提供层映像，从而提高更新和补丁操作、简化存

7、储并避免映像漂移。 当IT人员将桌面映像分成逻辑层时，可独立管理每一层，并能最大程度地减少映像数量。智能传输要求在电脑上运行的本地映像与中央映像同步。这样可确保终端用户和IT人员随时使用黄金映像。应使用去重复技术增强这些映像的同步和存储，以最大程度地减少存储和网络带宽需要。n 用户体验流畅集中管理和本地执行，将数据中心新构建量降至最低，同时使用智能客户端的处理能力，优化用户体验。即使对于服务器托管的VDI，通过多媒体重定向的本地执行也能提供更好的用户体验，提高服务器上的VM密度。更高级别的本地执行可提供更佳性能，并能降低成本。可完美支持多媒体、3D影像设计、视频交互等应用。n 支持离线模式ID

8、V提供了离线模式，当网络断开时，可直接在本地硬件设备运行虚拟桌面，让用户能够在任何时间、任何地点使用虚拟桌面，实现更大的移动性。n 支持外设IDV本地虚拟化实现方式，能够兼容几乎所有的外设，打印机、U-Key、加密狗等等，不再受虚拟化限制，可随意使用。n 安全性高IDV采用分布式计算方式，网络、数据中心、服务器、存储任何一点的故障，都不会引起大规模桌面失效，从而保证了业务的可靠运行。2 vTop工作原理 红山vTop是基于业内领先的IDV（Intelligent Desktop Virtualization）架构的桌面虚拟化解决方案。红山vTop是直接安装在客户端上的裸金属架构，多个操作系统可

9、作为虚拟机并排安装，vTop可以全面隔离每个虚拟机，确保最高的安全性；同时用户可以直接访问图形硬件，获得最佳的用户体验。vTop桌面虚拟化解决方案技术架构如下图所示。图 3红山vTop技术架构vTop桌面虚拟化解决方案主要由几部分组成：高级管理控制台vConsole、管理中心vManager、备份与同步服务器vStorage、桌面虚拟化软件vTop及存储。vConsole是具有友好的图形化界面的管理控制台，安装在一台PC机（或vGate虚拟机）上，对各个虚拟桌面进行统一管理。vConsole可实时监控每一个vTop桌面的运行及资源使用情况。vManager安装在一台PC机（或vGate虚拟机）

10、上，是桌面虚拟化解决方案的管理中心，用于镜像管理，用户(组)管理、虚拟桌面集中控制，客户端性能监控、策略管理以及防火墙设置和QoS保证等。vStorage安装在一台PC机（或vGate虚拟机）上，进行虚拟机标准镜像存放与维护更新；对客户端本地数据进行增量备份，将用户本地虚拟桌面同步到数据中心；vTop是基于本地虚拟化IDV架构的桌面虚拟化平台，本质是把服务器虚拟化技术中广泛采用的超虚拟化移植到客户端，同时加入了对各种多样的客户端设备及外设的支持、电源管理等特性支持。vTop可在本地客户端直接运行桌面和应用软件，能够实现离线虚拟桌面，为用户带来体验流畅、完全网外移动的完美体验。作为一个企业级的桌

11、面虚拟化解决方案，红山vTop桌面虚拟化采用集中管控、分布运行的架构。客户端的虚拟桌面可以通过vStorage进行同步，可以统一下发标准虚拟机镜像，也可以定时备份客户端上的本地数据。同时vManager通过集中的策略管理，可以限制被管理的虚拟桌面对外设和网络的访问、加密本地存储的数据、设置QoS、在设备丢失后进行远程镜像关闭、远程擦除，从而保证客户端数据的安全性。3 vTop系统架构vTop是基于业内领先的IDV架构的桌面虚拟化解决方案，具备IDV架构的所有优点，能够为用户提供更灵活、更安全、更流畅的桌面体验，同时vTop还具有用户权限管理、备份与容灾、终端漫游、虚拟防火墙等独特功能，实现用户

12、真正地随时随地、在任何设备上安全访问自己的桌面和应用。红山vTop系统架构如下图所示。图 4红山vTop系统架构红山vTop是一种高性能裸机系统管理程序，基于智能桌面虚拟化IDV架构，允许用户同时运行多个操作系统虚拟桌面，同时保持各操作系统间完全隔离。vTop基于Intel vPro硬件虚拟化技术，可支持全面的3D图形和高清视频。vTop采取分布式运行方式来满足运营技术需求，同时对用户终端进行集中式管理。 成本低在不进行大量资金投入，不对现有桌面管理实践做大规模改造，不影响用户体验的前提下，通过vTop即可获得桌面虚拟化的优势。借助vTop，各机构无需基础设施的投入便可快速而方便地开展桌面虚拟

13、化。 降低存储和网络带宽需求智能提供桌面镜像，vStorage对镜像进行统一管理，智能传输要求在电脑上运行的本地桌面镜像与数据中心镜像同步。使用去重复技术增强镜像的同步和存储，最大程度地减少存储和网络带宽需要。 用户体验流畅集中管理和本地执行，将数据中心新构建量降至最低，同时使用智能客户端的处理能力，优化用户体验。本地执行可充分利用本地资源，提供最佳性能，可完美支持多媒体、3D影像设计、视频交互等应用。 支持离线模式vTop提供了离线模式，当网络断开时，可直接在本地硬件设备运行虚拟桌面，让用户能够在任何时间、任何地点使用虚拟桌面，实现更大的移动性。 支持外设vTop本地虚拟化实现方式，能够兼容

14、几乎所有的外设，打印机、密钥、加密狗等等，不再受虚拟化限制，可随意使用。 安全性高vTop采用分布式计算方式，网络、数据中心、服务器、存储任何一点的故障，都不会引起大规模桌面失效，从而保证了业务的可靠运行。4 vTop主要功能4.1 用户权限管理vManager创建桌面用户，每个用户拥有独立的虚拟桌面，各用户虚拟桌面之间完全隔离。用户凭用户名、密码可在vManager管理下的任意客户端访问自己的桌面；vManager管理下的任意客户端，某一用户登录注销后，其它用户可无障碍登录继续访问自己的桌面。vTop实现了真正终端漫游功能，为用户带来更高的移动性，用户可随时随地访问自己的桌面。4.2 备份与

15、容灾vStorage可实现镜像的集中管理和本地虚拟桌面的数据同步管理，每次用户连接到网络时，根据预先设置的备份策略将本地数据增量备份到数据中心。vManager进行虚拟机快照策略管理，按照一定的快照策略，创建虚拟机快照；当用户数据损坏时，vStorage可将用户数据恢复到损坏之前的状态。若客户端设备丢失或被盗，vManager可对用户本地虚拟桌面进行远程关闭和远程擦除，确保用户数据不会泄露出去。4.3 虚拟防火墙虚拟防火墙是针对虚拟化的安全防护功能，专为虚拟网络设计的ACL控制、强大的分层式防护设计与自动化安全功能，为用户提供更严密的安全防护。用户访问控制（ACL）可对虚拟机之间进行进一步隔离

16、，为虚拟机之间的数据安全增加了一层保护。4.4 主机绑定个人桌面应用、测试或开发、演示、高度保密环境等等，针对不同部门或用户的不同的安全权限和要求，可对主机和用户（或用户组） 强制绑定，如：某些客户端主机只能由研发部门员工凭用户名、密码登录使用，其它用户无相应权限，无法登录；某台客户端主机专门用于高保密环境，只供指定员工一人使用。4.5 策略管理vManager对虚拟桌面、主机客户端、用户、用户组进行相应的策略管理。主要包括以下策略：1、 同步策略设置用户本地虚拟桌面与数据中心的同步策略，如：开机时同步、关机时同步、按照一定周期同步、安装设定时间同步等等。2、 快照策略设置用户恢复虚拟桌面的还

17、原点，多长时间创建一次虚拟桌面的快照，如：开机时创建、关机时创建、按照一定周期创建、按照设定时间创建等等。3、 访问控制策略支持细化的访问控制策略，严格控制流入、流出每一个虚拟桌面的流量。详细展示网络环境中虚拟桌面所有通信的行为和性能。4、 QoS策略支持细粒度的QoS设置，既保证和整个网络的畅通，又最大程度保证核心业务的高效运行。5、 外设使用策略选择允许或者禁止访问光驱、USB、打印机等外设。5 vTop优势5.1 简单易用数分钟安装部署完成，无需改变用户习惯即可使用虚拟桌面。 创建标准镜像管理员创建企业标准镜像，发布到管理服务器vStorage。 为用户分配部署镜像用户下载标准镜像到本地

18、，形成用户虚拟桌面。虚拟桌面在本地运行，因此可提供良好的性能体验，且可运行用户离线脱机使用。 用户桌面个性化定制虚拟桌面采用分层架构：用户数据与设置、用户自行安装的应用程序、包含操作系统及程序的标准镜像，共三层设计。通过分层设计，用户可在本地对镜像进行个性化定制，IT管理员只需维护标准镜像。既保证了用户使用的灵活性，又简化了管理。 用户自行恢复桌面如果用户桌面出现系统崩溃、蓝屏死机、恶意攻击等问题，用户可自行将虚拟桌面恢复到原始的干净状态，用户数据与设置不受任何影响。 集中更新镜像vTop只需将镜像的更新增量部分分发给用户，更新速度快，成功率高。更新过程中如果遇到问题，还可回退到上一版本。 完

19、备的策略管理虚拟桌面vTop可通过管理服务器vManager查看所有虚拟桌面的使用情况，并且有多种策略对客户端本地桌面进行控制。5.2 用户完美体验 支持离线模式，降低网络依赖vTop可支持离线使用功能，在网络条件差、甚至没有网络的情况下，用户仍然可以访问桌面和应用，不必担心网络中断或网络故障带来的桌面失效。 利用本地资源，支持复杂应用vTop采用本地虚拟化技术，可充分利用本地计算资源，图形设计、高清视频、多任务等DVI桌面虚拟化无法解决的瓶颈问题，vTop均可轻松解决。用户可在vTop上运行复杂、高性能的应用，体验流畅，本地化运行方式，无需改变用户习惯，用户适应成本为零。 兼容本地外设，消除

20、使用禁锢vTop可以兼容几乎所有的外设，U盘、打印机、U-Key、加密狗等等，不再受虚拟化限制，可随意使用。 用户权限管理，访问安全便捷vTop数据同步方案，可按照一定的策略将用户数据同步到数据中心，之后用户即可凭用户名、密码在任意本地设备上访问这些数据，各用户桌面完全隔离，保证访问的安全性。5.3 保证数据安全1、 AES加密vTop可提供对用户数据进行加密的功能，使用128或256位AES对虚拟桌面进行加密，未授权用户即使获取了虚拟机文件，也无法解密数据。2、 虚拟桌面封装隔离vTop虚拟桌面对包括操作系统在内的企业用户桌面进行了完整封装，各虚拟桌面被彻底隔离，并完全独立于底层主机硬件。3

21、、 PKI身份验证用户使用vTop虚拟桌面之前，必须通过身份验证，目前vTop主要采用PKI身份验证。vTop设置了允许用户登录失败的最大次数；超过此阈值，则将该用户桌面锁定，在一定的时间之内不允许该用户在任何客户端登录。4、 远程禁止如果客户端主机离线使用超过一定时间，管理服务器锁定该客户端，用户无法通过其访问自己的桌面。5、 远程擦除管理服务器设置一定的时间阈值，如果客户端长时间不联系管理服务器，一旦时间超过管理服务器设置的阈值，则客户端主机将自动删除所有本地数据，确保脱网设备可控。6、 外设禁用管理服务器可以根据一定的策略，选择禁止访问光驱、USB、打印机等外设，以避免数据泄露或外来病毒入侵。7、 用户数据集中管理本地客户端只保存操作系统、应用程序等系统文件，用户数据文件集中到存储服务器端进行统一管理。由于应用程序是在本地启动，对性能影响非常小，同时又能避免本地数据泄露。8、 完整的策略管理vTop提供了多种策略，为用户提供安全保护，可以针对整个企业制定统一的策略，也可以对每个用户进行个性化策略定制。