【VMware虚拟化解决方案】双网隔离虚拟化桌面解决方案

在“移动- 云计算”时代，现有 IT 基础架构必须与时俱进，以便支持未来新的需求。正因为如此，VMware 及其合作伙伴针对 PC 和不断涌现的移动设备适时推出了终端用户计算解决方案，可同时解决管理这些设备要面对的成本和复杂性问题。

在 PC 时代，用户通常访问的是存储在桌面计算机上的应用和数据；IT 部门一般将重点放在桌面及网络访问的物理安全性上。现在，用户是在一个移动的多设备环境中工作。他们会携带自己的设备（手机、平板电脑和笔记本电脑）来工作，这就引发了新的 IT 挑战。VMware Horizon Suite 是一种安全的移动企业平台，可以让您的 IT 团队为终端用户赋予更大的自主权。它支持自带设备 (BYOD) 移动性和虚拟工作空间，使 IT 部门可以在用户需要时交付相应的服务。

一、企业面临的挑战

一直以来，桌面计算普遍使用的是功能全面的“胖客户端”PC。在许多情况下，此类 PC 提供了价格、性能与功能的最佳组合。但是，在不少使用案例中，胖客户端 PC 并不是理想的解决方案。其缺点包括：

? 难以管理：面对广泛分布的 PC 硬件，用户日益要求能在任何地方访问其桌面环境，因此集中式 PC 管理极难实现。此外，众所周知，由于 PC 硬件种类繁多，用户修改桌面环境的需求各有不同，因此 PC 桌面标准化也是一个难题。

? 总体拥有成本高：PC硬件相对较低的成本优势，通常无法抵消PC管理和支持工作的高昂成本。目前，PC管理工作包括部署软件、更新和修补程序等，由于这些工作需要对多种PC配置的部署进行测试和验证，因而会耗费大量的人力。同时，由于标准化程度不高，支持人员经常需要亲临现场解决问题，这就进一步增加了支持成本。

? 难以保护数据的安全：确保PC上的数据能成功备份并能在PC出现故障或文件丢失时恢复，是一个巨大的挑战。即使数据能成功备份，PC失窃的风险也威胁着重要数据的安全。

? 资源未充分利用：PC的分布式特性使人们难以通过集中资源的方式提高利用率和降低成本。结果，PC的利用率通常低于5%，远程办公室需要重复的桌面基础架构，移动工作人员可能需要使用复杂的远程桌面解决方案。

? 桌面网络复杂：对于一些安全性较高的企业，对IT办公环境要求比较严格，为了防止员工泄露公司数据，禁止PC办公电脑与互联网相接，但又要求有部分PC能通过互联网实现公司业务。所以隔离网络的信息安全及应用一直是困扰和阻碍企业信息化的一个大问题，如果能在隔离网络上更加轻松自由的进行办公、上网、通信等应用，而又满足网络物理隔离的安全要求，似乎成了一个很难解决的矛盾。

二、传统的双网解决方案 1、硬盘隔离卡

大家对于双网的结局方案，可能会想到网吧，会想到传统双网隔离方案，采用硬盘隔离卡的形式进行隔离，那么硬盘隔离卡存在一些弊端，比如说，数据主流客户端本地，可以通过移动存储设备将其拷贝。容易造成错误的网络连接，并且客户端本地容易遭受攻击，客户端使用本地存储，容易影响用户数据安全可靠，所以说采用硬盘隔离卡的方案在整体稳定可靠性方面来说，表现的比较差。

2、双PC形式

有些企业就说了，公司的电脑比较多，可以充分利用剩余的IT资源，将为员工配置2台PC，一台是内网，一台是外网，这样就可以结局隔离的问题了。那么，双PC会存在哪些方面的弊端呢？首先，由于PC数量的成倍增多，带来的成本比较高昂，并且IT桌面运维人员的压力会增加，以至于无法满足桌面运维需求。其次是大量的电脑给公司带来了巨大的电费，平常一台电脑能完成的事情，现在需要2太，大大浪费企业资源。从安全上来讲，数据会驻留客户端本地，并且容易造成网络的连接混乱，客户端本地与移动存储设备容易遭到病毒的攻击，影响用户数据安全可靠。

三、VMware Horizon View单客户端双虚拟桌面解决方案

VMware Horizon View桌面虚拟化架构采用以用户为中心的计算、按需向用户提供IT资源，既不改变用户的使用习惯、保证用户获得足够的自由度，同时满足集中管理和数据安全的要求本地应用恢复到桌面，解决上述桌面管理的各种难题。通计这种管理架构，用户可以获得改进的服务，并拥有充分的灵活性，例如，在办公室或出差时可以使用不同的客户端使用存放在数据中心的虚拟机展开工作本地应用恢复到桌面，IT管理人员通过虚拟化架构能够简化桌面管理，提高数据的安全性，降低运维成本。

根据《View桌面虚拟化 Server Sizing and Scaling》，设计两种负载方式（Light worker和Heavy worker），使用RDP协议作远程显示。一台配置为两颗八核3.6GHz CPU、96GB内存的服务器可以支撑的并发用户数见下表：

Workload Number of

Desktops Desktop Activation Desktop Configuration

Light worker 42 Resume from suspended state Windows 7 2GB guest

Heavy worker 26 Resume from suspended state Windows8 3GB guest

Light worker的定义：

Light worker负载设计为模拟数据操作终端。Light worker通过View桌面虚拟化向后台输入数据，典型的作业包括抄录、输入、订单、制造生产流程等。

Heavy worker的定义：

Heavy worker负载设计为模拟脑力工作者，他们在某种决策支持系统中收集、评估、沟通信息。宕机的损失不确定，但一定是十分明显。典型作业包括：市场调研、项目管理、销售、桌面发布、决策支持、数据挖掘、财务分析、行政管理、设计和开发等。

1、使用VMware Horizon View中的Security Server进行隔离

。

2、使用物理网闸进行内外网的隔离。

四、瘦客户端的使用 1、View Client

客户端使用VMware View Client程序，通过RDP协议或PC Over IP协议，登陆到View Manager，可以看到允许其登陆的一个或多个虚拟机。VMware View 提供完整、未经修改的桌面环境，与现有传统或自定义应用程序兼容，并为各个用户提供适合各自需求的自定义桌面。由于具有广泛的客户端支持，因此用户可以随时通过各种虚拟桌面设备访问自己的桌面，并使用本地打印机、USB 设备或其他外围设备。此外，多媒体重定向改善了播放丰富多媒体的最终用户体验。

2、互联网浏览器

客户端使用浏览器，例如IE，通过RDP协议或PC Over IP协议，登陆到View Manager，可以看到允许其登陆的一个或多个虚拟机。VMware View 提供完整、未经修改的桌面环境，与现有传统或自定义应用程序兼容，并为各个用户提供适合各自需求的自定义桌面。

3、广域网环境

由于所有计算工作都集中在放置在数据中心的物理服务器内，在局域网内由于延迟很小，用户不会感觉虚拟桌面的使用速度上到与本地计算机的明显区别，特别是使用RDP协议，但是在广域网环境中，由于延迟不等，往往当网络延迟超过30ms，用户就有可能会开始抱怨虚拟桌面的速度问题。因此，在广域网环境下，首选建议使用VMware View使用PC Over IP协议，在网络延迟达到200~300ms的广域网环境中，都有非常良好的表现，可以满足各种不同层次客户端应用的要求。

五、应用虚拟化

VMware ThinApp 应用程序虚拟化将应用程序从底层操作系统分离出来，以提高兼容性和简化应用程序管理。由 ThinApp 打包的应用程序可以在数据中心的服务器上运行，并可以通过虚拟桌面上的快捷方式进行访问，从而进一步减少了桌面映像的大小和后续存储需求。由于对应用程序进行了隔离和虚拟化，因此可以在用户的虚拟桌面上运行多个应用程序或同一应用程序的多个版本，且不会产生冲突。可以集中管理和部署应用程序，从而确保所有用户桌面都使用最新的应用程序版本。