作者:范军 (Frank Fan) 新浪微博:@frankfan7

桌面虚拟化的网络设计涉及很多考虑因素,比如从内网访问还远程访问,与LoadBalancer的整合,防火墙,虚拟交换机,网络带宽等很多方面。

实例:

假设一个客户需求大致如下:

·5000台同时在线虚拟桌面

·满足用户随时随地访问虚拟桌面,无论是通过公司内网还是Internet

·设计需要符合公司的安全策略,比如保证通过Internet访问的安全性

·高可用性。公司已经使用了F5  Load Balancer

·尽量实现网络隔离


    Network Architecture综述

针对以上需求,下图描述了一个相对完善的VDI网络框架。每个方框代表了从网络角度逻辑划分的模块,左上角×××方块内标注了每个模块的序号。设计这些不同的网络是为了保证安全隔离和性能。

【桌面虚拟化】之七网络设计_第1张图片


下面分别解释每个模块。某些模块在小型的VDI项目中可以整合在一起,而无需单独分开。根据具体项目需求,某些模块不是必要的。

DMZ网络

模块1连接此网络。

如果用户是从Internet访问桌面,为保证安全性,通常有下面几种个选择。

采用×××方案来连接到VDI,比如IPSec 或者 SSL ×××

采用 ViewSecurity Server.  RDP封装在HTTPS

采用以上两种混合的方式,比如对于某些人员只需要在短期内访问桌面,使用SecurityServer. 而对于长期的用户,采用完善的×××方案。

下图介绍了方案二采用SecurityServer的情形。SecurityServer Loadbalancer置于DMZ内。

每个SecurityServer都有与其对应的ConnectionServer

【桌面虚拟化】之七网络设计_第2张图片


注意在本例中Loadbalancer采用SSLOffload的方式。这也是通常使用的一种方式。

【桌面虚拟化】之七网络设计_第3张图片

这意味着SSL会在抵达Load Balancer后终止,Load BalancerView Security Server发起HTTP请求,而不是HTTPS

这么设计的原因是,通常在LoadbalancerViewSecurity之间的网络是在数据中心内部,是可以信任。另外这样可以减轻ViewSecurity Server用于处理SSL的负荷。

Production Network  for ViewInstance

模块2和模块6连接此网络。

模块2包括View  Connection Server, Composer, 文件服务器等

模块6包括View所依赖的一些服务,比如ADDHCPDNS,NTP等等

Production Network  for  VDI Desktop

模块4连接此网络。

这是为桌面特定设计的专属网络。有效的与Server所处的网络进行隔离。

VDI Management Network
模块35连接此网络

用于vCenter以及ESXi主机的Management Network.


相关设计决定

Tunnel Mode vs Direct Mode

Tunnel Mode:也称作Proxy Mode.   View Client需要通过View Security/Connection Server来与虚拟桌面建立连接。一旦View Security/ConnectionServer中断服务,已经与桌面建立连接立即中断。同时也无法建立新的连接

Tunnel Mode是通过把RDP封装在HTTP/HTTPS内来实现的。

好处:

更严格的访问控制

网络优化设备可以优化HTTP/HTTPS,从而节省带宽。

缺点:

View Security/ConnectionServer增加负荷来处理SSL

因为RDP封装在HTTP/HTTPS内,不容易与其他的HTTP/HTTPS通讯区分开来

仅支持RDP,不支持PCoIP

Direct ModeView Client直接与虚拟桌面建立连接。一旦View Security/ConnectionServer中断服务,不影响已经建立的连接。但是无法建立新的连接。因为新的连接需要Security/Connectserver的参与。

优缺点与TunnelMode恰好相反。


NetworkLatency

Latency是影响用户体验的一个重要因素。一般建议适合VDI的网络latency200 ms以内。某些应用对Latency很敏感,需要充分验证已有网络环境是否满足。


带宽(BandwidthUtilization

借鉴一些工具来提供理论上的参考。比如

VMware View Planner

PCoIP Bandwidth Calculator

如果你进行前期的Proofof Concept, 应当检测VDI占用网络带宽。主要是PCoIP UDP占用的。

如果客户已经有WANOptimization,可以考虑优化VDI占用的带宽。比如

·HTTP/HTTPS

·RDP

·USB Redirection

·Multimedia Redirection  

也可以考虑实施QoS。当然要优先企业的关键应用和Latency Sensitive的应用,比如VOIP.  下图仅供参考


【桌面虚拟化】之七网络设计_第4张图片

Load Balancing

以下是采用单个VIPVirtual IP  Address还是多个VIP的比较。

在采用多个VIP的情况下,每个View Security/Connection Server都分别对应各自的VIPExternal  URL

【桌面虚拟化】之七网络设计_第5张图片

参考:

Network Considerations and BestPractices

Tools for PCoIP Protocol Deployments

Planning for PCoIP on the Network

PCoIP Bandwidth Calculator and Settings Guideline

Cisco Solutions for a VMwareView 4.0 Environment Design Guide