应用虚拟化解决方案.docx

《应用虚拟化解决方案.docx》由会员分享，可在线阅读，更多相关《应用虚拟化解决方案.docx（20页珍藏版）》请在第一文库网上搜索。

1、虚拟应用解决方案1. 项目概述21.1. 项目背景21.2. 现状分析21. 3.需求分析31.1.1. 项目目标31.1.2. 平台功能要求42. 易讯通解决方案设计52.1. 应用发布62.2. 资源监控62.3. 平台管理72.4. 集中化应用管理72.5. 会话可靠性82.6. 本地打印机访问92.7. 无缝Windows92.8. 高效传输协议，提高工作效率102.9. 数据安全和存储102.10. 丰富的管理模式及外设支持113. 易讯通解决方案优势133.1. 流畅的用户体验133.2. 安全体系133.2.1. 服务端安全性133.2.2. 客户端安全性143.2.3. 数据传

2、输安全性1533动态集群153.4. 虚拟打印153.5. 本地输入173.6. 简化部署173.7. 提高数据保护能力183.8. 提高资源利用率183.9. 安全性183.9.1. 技术层面183.9.2. 管理层面193.10. 易管理性193.10.1. 提升运维效率193.10.2. 改善服务等级193.11. 灵活扩展203.12. 节约成本203.12.1. 硬件成本203.12.2. 软件部署203.12.3. 软件维护211项目概述1.1. 项目背景随着业务项目的数量增加与规模扩大，与外部公司的合作日益密切，项目业务环境的管理更加复杂，针对移动办公无法实现,且安全管理的要求也

3、日益提升。为此，需要建立一个简单、易用能提供移动办公并能将安全合为一体的统一接入平台，以有效进行业务环境的规范管理，为内部员工提供移动办公的接入后访问后台多个业务系统的统一的安全接口，同时保护重要数据与代码的安全，并能对重要系统操作进行跟踪和审计。易讯通将结合自身在虚拟化技术的优势和统一业务接入平台环境建设方面的经验，帮助用户采用虚拟化的技术实现业务系统的移动办公和统一接入平台端的集中管理维护，实现维护简单、业务系统安全的同时节省更多的能源消耗。1.2. 现状分析近年来，随着IT信息化技术不断发展和壮大，企业内部部门员工较多，集团企业在不同的地点还分设了多个办事处，管理难度加大。异地办公、移动

4、办公的需求凸现，企业迫切需要简单的部署来实现员工的移动办公，让各分公司之间的信息资源稳定、安全地互联。办公移动性随时处理公司应用，实现4A级(任何时间、地点、人员、设备)办公。真正实现BYOD(BringYourOwnDevice)0提高审批处理效率领导或办公人员外出时，需要审批和处理的工作流程及时处理，可以通过移动网络和移动设备进行实时处理。丰富沟通渠道：外出员工或外地分支机构可以获取公司的最新情况和业务审批的执行情况。提高安全性：.加密传输，数据不落地。为此，我们采用易讯通EastedThinAPP应用虚拟化产品来满足集团BYOD办公需求，通过应用虚拟化产品，实现员工随时随地访问公司应用，

5、同时保障传输数据安全。介于目前通过传统的VPN访问的模式有以下个问题：1、数据无法集中安全的保存2、传统的VPN访问模式，不具有用户操作审计3、用户不能实现移动办公，即用IPAD、IPHoNE等移动设备进行访问4、用户在访问业务系统的时候，需要登录多个页面进行登录，而且需要记住每个业务系统登录密码5、传统的VPN访问模式，不能实现按需交付用户应用6、移动端的访问需要进行而开发，费用昂贵因此需要一套可以提供统一接入平台，并能提供数据统一存储及操作审计的平台来替代传统的VPN访问模式。1.3.需求分析13.1. 项目目标通过将业务系统客户端部署到应用交付平台，通过应用交付平台实现安全访问控制，同时

6、实现最为完整的集中管理，便于全方位了了解客户端人员的行为,保除了业务应用环境服务器高效、安全可靠地运行，最终达到如下效果：远程用户使用账户和密码结合RAD1US安全认证，通过公网访问到虚拟访问平台；用户通过虚拟访问平台登录访问内部业务系统，虚拟访问平台可以提供按需交付业务系统；在该过程中，虚拟访问平台和远程用户之间仅传递图片及键盘操作信息,并且用户的所有操作都会有相应的审计；满足对IPhOnc、IpadAndroidWrMSyn1bian等手机系统的支持应用虚拟化技术：整合应用和数据,将虚拟化后的内容交付给用户，期间,只有屏幕显示，键盘输入和鼠标操作等数据经过网络传输，最大化IT控制能力。集中

7、化桌面应用管理，同时对应用进行隔离，不会造成不同用户之间的数据干扰及系统冲突。支持虚拟IP,支持特定应用必须有独立IP地址的应用；压缩管理：只能压缩经网络传输的数据，以尽可能获取最好的性能；会话可靠性：在网络连接断开时保持工作项目的开放状态，重新连接后自动无缝恢复；无缝Windows：在WindoWS终端侧，集成本地和远程应用，用户可以在任务栏上选择本地和远程应用，不必了解应用所在位置；本地打印机访问：可以选择配置仅允许使用远程打印机或配置实用本地打印机的访问能力连接策略：提供综合策略子系统，根据用户/用户组/服务器组ip地址和客户端名称来控制对资源的访问，实现对带宽、打印等的细化控制；账户验

8、证：支持微软活动目录；负载均衡能力：内建负载均衡能力，管理员根据用户负载、上下文切换,CPU利用率、IP地址等来配置负载均衡规则。可扩展性：在并发扩大的情况下，能够平滑的过渡并进行升级；13.2. 平台功能要求虚拟访问平台（以下简称平台）集中部署各类应用软件，用户可以通过平台以WEB的方式同时访问多个应用（应用类型包含B/S与C/S应用）。平台提供性能监控工具。用户可以方便地监控服务器、访问客户端、网络等全方面的使用情况。具备事件报错、告警能力。具备系统性能监控功能。具备软硬件变更、硬件资源情况、软件使用情况、以及许可管理等功能。通过性能监控工具，管理人员不仅可以追踪用户对应用软件的使用情况，

9、提前预知系统的性能问题，并且保存数据，提供分析报表。平台要求具有良好的界面风格，可以通过灵活的系统平台进行资源管理、发布，包括对资源的添加、修改、删除等操作，以及基于资源属性（资源命名、连接方式（例如IdaP）等的查询、检索。同时资源应能够按部门、类型进行树状管理。便于大量资源管理、维护时，快速检索，修改用户配置。同时在安全方面提供RADIUS认证的访问模式。2.易讯通解决方案设计业务应用系统虚拟化交付平台采用EaStedThinaPP虚拟应用服务产品，实现业务应用系统客户端的集中发布。通过应用交付平台实现各专业维护工具的集中发布和管控，合法授权的访问用户通过基于Web技术的浏览器（如Inte

10、rnetExp1oer,IE）,登陆系统门户后，就可以对业务应用系统客户端进行方便、快速、安全的业务操作，实现对业务应用系统的统一使用。通过EaStedThinaPP集中部署和发布应用客户端软件，整个的后台应用服务器架构没有变化，客户端可以通过Thinapp来访问集中发布的各种企业应用和业务工具。其整体构架如下图所示：业务应用系统客户端软件安装在Thinapp服务器之上，而所有访问用户使用终端设备均无需事先安装应用客户端软件。客户端设备只需通过IE就可以运行应用系统(第一次访问时需下载安装EaStedThinappC1ient),多用户同时访问时，由ThinaPP管理和运行应用客户端软件的多进

11、程访问，并控制向不同用户发布的权限。Thinapp可整合现有的活动目录中的用户账户来进行用户身份认证，并可以选择结合RAD1US验证，提供更高的账户安全保护。图中的文件服务器，提供了用户的个人数据存储功能。通过使用WindoWS的目录权限控制，及文件夹重定向功能，可以做到用户数据的安全保存及漫游访问。通过Thinapp服务器视频审计功能，客户端的操作不仅可以被管理员实时监控，还可以进行屏幕录像并长期保存，以实现行为审计。2.1. 应用发布虚拟化业务应用访问平台将传统的应用程序管理由分布式部署改变成集中部署模式，因而带来了应用访问、性能及安全等各个方面的提升。针对各客户端软件不同类型的发布方法：

12、1) B/S应用，直接在ThinaPP管理控制台上发布IE浏览器，设置访问UR1地址，可以对IE进行定制以增强其安全性(如隐藏地址栏，禁止用户访问其他地址等)。2) C/S应用如果无须安装，直接拷贝到服务器，发布其可执行文件。3) C/S应用如果需要安装，在服务器上安装后，发布其可执行文件。4) C/S应用如果需要额外安装数据库中间件等，正常情况安装后可以运行，则发布可执行程序即可。2.2. 资源监控Thinapp的性能监控工具可以方便地监控服务器、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及许可管理等等。通过性能监控工具，管理人员不仅可以追踪

13、用户对应用软件的使用情况，提前预知系统的性能问题，并且保存数据，以供分析和产生报表。2.3. 平台管理EastedThinapp的应用交付平台和Windows的域控制器结合实现对用户权限的管理，访问应用交付平台的用户都在域控制器上增加、修改和删除，用户的操作系统权限是通过域控制器来实现，用户能够访问咖些应用程序通过Thinapp来授权。在部署应用交付平台时，要考虑各级用户对后台系统的访问权限，因此需要建立用户信任域关系，基于统一的域机构和信任关系，系统需要细化如下定义:域结构的细化ADC的定义和同步关系所有服务器的统一命名DNS服务器的同步和域名解析用户名称和用户组的定义依据实际需要建设组织单

14、元对于已经建立域结构的组织，需要考虑其已有的域结构与新建域或子域的兼容和平滑迁移。2.4. 集中化应用管理传统模式应用分布在企业的所有客户端上，其安全要考虑各个环节：服务器、客户机和端到端的网络；其维护和安全管理范围需要涵盖企业的每一台终端设备和跨广域网段。因为客户端直接访问后台时，之间传输的数据是真实的企业应用数据，该数据会被缓存在用户本地或在传输中被截获，这些都是不安全因素；而用户访问ThinaPP服务器时，之间传输的是屏幕增量变化信息和鼠标键盘变化信息，用户端无任何应用数据缓存在本地，同时中途截获这些信息然后反推出用户真正的业务操作和数据比直接截获业务数据困难上千倍。因而可以说数据总是存

15、放在最安全的地方。Thinapp带来的最大益处是采用应用虚拟化方式阻止数据任何时候离开数据中心。对于远程用户从公网访问内网,Thinapp通过严格的用户认证进行安全权限控制。由于网络上传输的只是客户端的键盘、鼠标动作以及显示界面的刷新部分，业务数据和代码的并不下载到客户端本地；数据、缓存、COokie等等全部在中央受限的环境中控制；另外VAP协议还含有多种加密技术，保证显示界面和用户操作数据的安全传输；客户端的操作感觉虽然就像在本机操作一样，但未经权限许可，不得擅自修改、备份、拷盘、打印等。通过应用发布的方式，内部员工和外部合作公司的员工只能使用本岗位的应用程序，而不能打开其他的应用软件或数据信息。2.5. 会话可靠性会话可靠性使会话在网络连接中断时保持活动状态并显示在用户的屏幕上。用户仍然可以看到他们正在使用的应用程序，直至网络连接恢复。此功能对于使用无线连接的移动用户尤为有用。例如，使用无线连接的用户进入铁路隧道后将暂时失去连接。通常，会话会断开连接并从用户屏幕上消失，然后该用户必须重新连接到已断开连接的会话。会话可靠性可使会话在服务器上保持活动状态。