微軟VDI解決方案簡介課件

桌面虛擬化解決方案介紹議題需求分析微軟VDI架構概述解決方案特色功能案例及效益任意訪問增強合規(guī)離線工作業(yè)務連續(xù)簡單交付統(tǒng)一管理防火墻數(shù)據(jù)中心云端后臺應用桌面虛擬化基本業(yè)務邏輯防火墻防火墻數(shù)據(jù)中心虛擬桌面Loginxxx傳統(tǒng)桌面LoginxxxLoginxxxVDI終端操作及會話數(shù)據(jù)業(yè)務數(shù)據(jù)業(yè)務數(shù)據(jù)業(yè)務數(shù)據(jù)虛擬桌面效益比較傳統(tǒng)桌面需要維護分散的桌面在托管的數(shù)據(jù)中心外圍網(wǎng)絡，存在業(yè)務數(shù)據(jù)的通信網(wǎng)絡鏈路中斷時，桌面需要需要重新連接業(yè)務系統(tǒng)，工作中斷桌面之間相互獨立，不共享信息資源(數(shù)據(jù)備份、安全)傳統(tǒng)交付虛擬桌面僅需要維護集中的RDS及Hyper-V主機在托管的數(shù)據(jù)中心外圍網(wǎng)絡，僅有操作和會話數(shù)據(jù)的通信，實現(xiàn)安全邊界瘦客戶端到虛擬桌面網(wǎng)絡鏈路中斷時,虛擬桌面到業(yè)務系統(tǒng)的會話不受影響，在網(wǎng)絡恢復時能夠快速恢復業(yè)務虛擬桌面共享底層的宿主機，共享信息資源（數(shù)據(jù)備份、安全）虛擬桌面環(huán)境可快速交付虛擬桌面架構示意圖：防火墻服務管理平臺遠程桌面連接代理桌面配置數(shù)據(jù)虛擬會話主機場企業(yè)LOB應用企業(yè)LOB應用瘦客戶端虛擬桌面主機場LoginxxxLoginxxx胖客戶端議題需求分析微軟VDI架構概述特色功能案例及效益用戶狀態(tài)應用程序操作系統(tǒng)Microsoft桌面虛擬化：用戶狀態(tài)應用程序操作系統(tǒng)用戶體驗虛擬化

(UE-V)文件夾重定向改變設備,保持體驗應用程序虛擬化

(App-V)RemoteApp虛擬化任意應用程序,任意場景Microsoft

VDIClientHyper-VMED-VWindows任意地點訪問統(tǒng)一集中管理通過更廣泛的平臺為用戶帶來虛擬化!防火墻VDI解決方案完整架構示意圖：Loginxxx遠程桌面WEB訪問服務管理平臺遠程桌面連接代理遠程桌面訪問網(wǎng)關用戶體驗虛擬化虛擬會話主機場虛擬桌面主機群集應用程序虛擬化企業(yè)LOB應用企業(yè)LOB應用遠程用戶交付方式解決方案架構概述：虛擬會話主機提供共享虛擬會話虛擬桌面主機提供池化或個人桌面Remote-APP提供遠程應用程序APP-V提供應用程序兼容性RemoteFX提供外設兼容性UE-V提供用戶平滑遷移體驗支持傳輸層安全加密及數(shù)據(jù)重定向管制

支持RDWEB或遠程訪問網(wǎng)關，通過SSL加密安全協(xié)議訪問

通過AD身份驗證并可結合微軟ADFS實現(xiàn)OTP、多因素身份驗證兼容性安全訪問性能和可靠性遠程桌面連接代理提供桌面場中的負載均衡及會話保持虛擬桌面主機池支持64節(jié)點8000桌面高可用規(guī)模

網(wǎng)絡優(yōu)化及緩存虛擬應用程序LoginxxxLoginxxxLoginxxx防火墻Microsoft

RemoteApp:PoweredbyRDS

托管虛擬應用程序靈活訪問應用程序交付一個或多個應用程序而非桌面無需本地安裝

保護企業(yè)數(shù)據(jù)客戶端本地不保存任何文件或數(shù)據(jù)靈活的驗證訪問選項簡化應用程序部署集中發(fā)布應用程序防火墻瘦客戶端應用程序虛擬桌面LoginxxxLoginxxxLoginxxx防火墻Microsoft

VirtualDesktopInfrastructure(VDI)

托管虛擬桌面靈活訪問Windows桌面從任意連接的設備安全訪問Windows桌面繼續(xù)使用現(xiàn)有的設備和程序保護企業(yè)數(shù)據(jù)集中企業(yè)數(shù)據(jù)并控制用戶訪問避免業(yè)務中斷企業(yè)資源的快速交付集中管理快速交付管理的桌面操作系統(tǒng)本地桌面瘦客戶端本地設備虛擬桌面LoginxxxLoginxxx任意地點辦公從任意設備訪問數(shù)據(jù)和個人設置避免業(yè)務中斷登入即可接受數(shù)據(jù)恢復工作*包含用戶體驗虛擬化

(UE-V),文件夾重定向及離線文件。Microsoft用戶狀態(tài)虛擬化用戶狀態(tài)文件共享瘦客戶端VDIwithWindowsServer2012防火墻PoweredbyWindowsServer20121平臺?1體驗?3部署選擇桌面會話池化桌面?zhèn)€人桌面集團辦公室分支辦公室圖書館/咖啡廳住宅操作系統(tǒng)更多細節(jié):專用虛機vs.池化虛機專用虛機分類池化虛機分類虛機創(chuàng)建虛機以goldimage為模版批量創(chuàng)建是goldimage的全克隆版虛機以goldimage為模版批量創(chuàng)建以goldimage為母盤以差異盤的方式創(chuàng)建虛機更新/打補丁每臺虛機獨立進行更新采用維護隊列方式避免更新風暴通過修改goldimage實現(xiàn)批量更新當用戶注銷時虛機會被重建虛機的標識信息會被保留倒入現(xiàn)有虛機完全支持對于導入虛機分類不支持更新/打補丁個性化每個用戶在第一次登錄時會被自動關聯(lián)到專用的虛機用戶可以是本機管理員以便可以完成類似于安裝軟件的管理任務日常操作完全等同于物理機使用UPD保存用戶數(shù)據(jù)和設置用戶每次都會登錄到一臺全新的虛機用戶注銷時，虛機會執(zhí)行回滾用戶沒有安裝應用的權限典型應用場景針對知識工作者的高端桌面用于開發(fā)測試的離岸開發(fā)工程工作站知識工作者桌面任務工作者桌面駐留舊版本程序遠程會話個人桌面池化桌面選擇正確的VDI架構：易管理應用程序兼容個性化經(jīng)濟效益操作系統(tǒng)良好優(yōu)秀Best最佳個人桌面遠程會話+用戶磁盤

+App-V池化桌面

+用戶磁盤+App-V管理成本計算資源成本DAS存儲成本

SAN存儲成本每個映像=OS+App+用戶磁盤每個用戶都有專屬映像CostsWithApp-V,

StorageforappsOS映像所需存儲映像管理服務器基礎架構管理工作+App-V使用Windows8和DAS存儲的各種部署類型都能降低存儲成本(DAS相較于SAN，可以減少大約25%的存儲成本)VDI成本構成分析議題需求分析微軟VDI架構概述特色功能案例及效益RemoteFX

能夠更好的響應不斷變化的網(wǎng)絡條件，并對內(nèi)容的編碼進行動態(tài)優(yōu)化19文字內(nèi)容圖像內(nèi)容視頻與動畫RemoteFX自適應圖形RemoteFX漸進式渲染網(wǎng)絡公平共享根據(jù)活躍會話的數(shù)量為所有會話動態(tài)分配可用帶寬，實現(xiàn)平均的帶寬占用磁盤公平共享通過在會話間平均分配磁盤I/O，防止會話過度使用磁盤CPU公平共享根據(jù)活躍會話的數(shù)量和負載數(shù)量，在所有會話間動態(tài)分配處理器資源。公平共享體驗保持連接的新方式DirectAccess提供自動的透明式連接傳統(tǒng)虛擬專用網(wǎng)絡（VPN）的兼容性議題需求分析微軟VDI架構概述特色功能案例及效益VDI解決方案需考慮的關鍵問題：忽略交付結合方式，只提供單一的方式忽視帶寬，未計算正確工作負載下的需求忽視延遲的影響，終端、服務器、應用、外設、打印機忽略用戶的管理，造成用戶之間相互影響忽略登錄時間影響忽視峰值負載需求未采取正確的負載均衡方式忽略其它VDI相關技術啟動風暴，殺毒風暴過度的定制及手工操作按照我們此前的項目經(jīng)驗，建議虛擬實例和宿主機的整合比不超過40：1，超過改整合比例可能會在網(wǎng)絡和存儲上形成性能瓶頸，進而刺激成本的增長

按照一臺宿主機支撐40臺虛機，每臺虛機配置2個vCPU，2GB內(nèi)存，50GB存儲空間，則建議的服務器硬件配置為：CPU：按照物理CPU和vCPU1：4的比例，支撐40臺虛機，需要20個物理core，考慮到CPU性能通常不是性能瓶頸，可以使用4路4核或者2路12核CPU內(nèi)存：40臺虛機共需80GB內(nèi)存，考慮到冗余及服務器本身所需的內(nèi)存，內(nèi)存最低配置為96GB，建議配置為128GB網(wǎng)卡數(shù)量：如果采用iSCSI類型存儲，每臺服務器至少配置6塊網(wǎng)卡，如果使用FCSAN作為后端存儲，則服務器以太網(wǎng)卡的數(shù)量也至少需要4塊對于遠程會話用戶，同等配置的硬件服務器可以支撐100個用戶的使用存儲容按照每用戶50GB的空間劃分，共需要N*50GB，通常還應考慮15%的彈性空間為確保性能建議使用高轉速SAS硬盤，RAID0+1模式如果采用SAN，通常FCSAN較IPSAN有更好的性能和穩(wěn)定性VDI服務器及存儲規(guī)劃建議：網(wǎng)絡鏈路規(guī)劃—用戶操作臺端到虛擬桌面1、操作帶寬在無視頻流應用，標準的Office辦公環(huán)境下，需保證80kbps~160kbps的網(wǎng)絡帶寬，用于會話虛擬化層的操作指令及桌面云端畫面?zhèn)鬏?，保障流暢的用戶體驗。（1280*768分辨率,16bit,無背景桌面）2、外設重定向數(shù)據(jù)交互當用戶在虛擬桌面中使用本地的外設，如音頻、攝像頭、打印機、掃描儀等時，會需要額外的帶寬，其中音頻帶寬約30kpbs3、配置會話公平共享通過會話公平共享的方案，避免用戶搶占資源，保證用戶體驗網(wǎng)絡鏈路建議：基于客戶的應用場景，以最基本的B/S架構為主，則建議規(guī)劃每用戶60kbps以上的網(wǎng)絡帶寬，同時盡可能的改進延遲可用性規(guī)劃建議：1、業(yè)務應用：RDSWeb\RDGW做為安全操作的邊界及跳板，需要保障虛擬桌面到業(yè)務應用之間的帶寬及可用性2、數(shù)據(jù)存儲：將用戶的配置和數(shù)據(jù)集中進行保存，通過擴展文件服務器透明故障轉移群集實現(xiàn)高可用性3、VDI虛機高可用性：VDI實例通過微軟Hyper-V群集實現(xiàn)全局高可用性4、會話負載均衡：虛擬桌面的會話連接通過RDS連接代理實現(xiàn)負載均衡以及會話保持，用戶網(wǎng)絡斷開恢復時，RDS連接代理能夠恢復會話的工作狀態(tài)5、網(wǎng)絡鏈路：為每桌面規(guī)劃不低于60kbps帶寬并且延遲小于100ms，掉包率小于0.5%的鏈路，以保障可用性和用戶體驗虛擬桌面安全方案：1、數(shù)據(jù)傳輸安全在虛擬桌面方案中，終端與虛擬桌面網(wǎng)絡之間僅傳遞加密的操作指令及回顯畫面，同時僅允許網(wǎng)絡層身份驗證的終端連接到桌面，必要時，還可以使用IPSEC保護傳輸安全（非建議措施，會顯著影響性能）2、訪問接入安全在非專線接入時，為保障安全性，可以在為虛擬桌面規(guī)劃遠程訪問網(wǎng)關角色，避免虛擬桌面服務器暴露在不安全的網(wǎng)絡上，并保護真實的內(nèi)部拓撲，在接入時，還可以引入NAP機制，對接入終端進行健康檢查3、身份驗證安全默認情況下，虛擬桌面通過Kerberos方式驗證，有存在網(wǎng)關時，會進行兩次驗證，并可以結合雙因素身份認證服務，終端用戶需經(jīng)過雙因素身份驗證（RSA、RADIUSOTP令牌以及智能卡）后才能訪問4、數(shù)據(jù)存放安全通過策略，限制本地設備及資源，數(shù)據(jù)全部使用USV方式集中保存在配置服務器，在配置服務器可集中通過RMS、EFS、Bitlocker以及DAC技術對存放的數(shù)據(jù)進行加密、訪問保護虛擬桌面案例收益分析：信息安全能耗入職申領PC66瓦24小時10分鐘235瓦本地存儲嚴格防范云端存儲輕松防范

傳統(tǒng)PC機方式虛擬桌面效果PC/服務器設備100032臺服務器+1000瘦客戶端節(jié)省14%的投資入職申領辦公設備9萬元/年1800元/年節(jié)省98%的費用1天/人次10分鐘/人次用戶遷移（升級系統(tǒng)，更換電腦）22萬元/年4萬元/年節(jié)省80%的費用2小時/人次20分鐘/人次能耗235瓦/PC66瓦/PC節(jié)省72%維護效率<100臺/人>1000臺/人提高9倍設備更新頻率3年10年節(jié)省75%175萬元/年43萬元每年總成本/年2867元/臺554元/臺節(jié)省80%虛擬桌面推進方案：階段一：過渡并存階段在托管數(shù)據(jù)中心構建好虛擬桌面之后，原有的桌面既能夠通過RDP協(xié)議連接到虛擬桌面，訪問業(yè)務應用，也能夠在原有桌面上直接訪問業(yè)務應用。階段二：設備利舊階段在用戶逐步適應虛擬桌面訪問之后，確保無損的性能使用體驗，并利用到虛擬桌面的會話保持，工作快速恢復特性之后，調(diào)整網(wǎng)絡安全策略，原有桌面不再能夠直接訪問業(yè)務應用，僅支持桌面連接到虛擬桌面，通過虛擬桌面訪問業(yè)務應用。階段三：持續(xù)運維更新在原有的桌面硬件淘汰或計劃性的更換時，將原有的胖客戶端替代為瘦客戶端，通過瘦客戶端連接到虛擬桌面，帶來更佳的經(jīng)濟效益并減少管理成本。階段四：擴大虛擬桌面規(guī)模當業(yè)務規(guī)模持續(xù)增長時，有可能需要擴大可支撐的桌面數(shù)量，基于會話集合與連接代理的方式，可以快速的向集合中添加VDI虛機和宿主機主機，以擴展桌面規(guī)模，需要注意的是，在擴展虛機桌面規(guī)模時，還需要考慮到網(wǎng)絡、IO以及相應的配套系統(tǒng)的擴展微軟相關支持：微軟團隊Assessment&RoadmapTacticalSolutionsStrategicSolutionsSupportRiskAssesment解決方案加速器MicrosoftAssessmentandPlanning(MAP)ToolkitMicrosoftDeploymentToolkit(MDT)SecurityComplianceManager(SCM)InfrastructurePlanningandDesign(IPD)MicrosoftOperationsFramework(MOF)Governance,Risk,&Compliance(GRC)基礎架構規(guī)劃設計指引(IPD)DirectAccessDynamicDatacenterExchangeOnline—EvaluatingSoftware-plus-ServicesExchangeServerFileServicesForefrontIdentityManager2010InternetInformation