VMware vSphere服务器虚拟化之十六 桌面虚拟化之VMware Horizon View
VMware Horizon View (原VMware View的升级版现在版本5.2)是全新桌面虚拟化产品,它以虚拟工作空间的方式提供具有弹性的桌面服务,为用户体验、管理和服务带来终极的控制力和灵活性。使用任何HTML5浏览器方便地访问远程Horizon View桌面是一项新功能,支持终端用户能够在任何设备上方便地访问他们的虚拟桌面和应用,无需提前安装烦人的客户端软件。支持硬件加速3D图形让大多数图形密集型应用能够在虚拟桌面内运行,向VDI开放CAD(计算机辅助设计)和CAM(计算机辅助制造)等新行业。最后,HorizonView 5.2 with Unity提供直观、面向手势的新界面,把您的Windows移动环境转变为平板电脑友好的用户体验。HorizonView能有效提高企业桌面管理的可靠性、安全性、硬件独立性与便捷性,下面逐一分析:
可靠性与安全性:通过将虚拟桌面与 VMwarevSphere 进行整合,并对服务器、存储和网络资源进行虚拟化,可实现对虚拟桌面的集中式管理。将桌面操作系统和应用程序放置于,,数据中心的某个服务器上可带来以下优势:
■ |
轻松限制数据访问。防止敏感数据被复制到远程员工的家用计算机。 |
■ |
RADIUS支持为选择双因素身份验证供应商提供了灵活性。支持的供应商包括 RSA SecureID、VASCO DIGIPASS、SMS Passcode和 SafeNet等。 |
■ |
与 Horizon Workspace整合意味着最终用户可通过他们用来访问 SaaS、Web和 Windows应用程序的同一个基于 Web的应用程序目录来按需访问 View桌面。用户还可以在 View桌面内使用 Horizon Workspace Catalog来访问应用程序。 |
■ |
通过使用预创建的 Active Directory 帐户部署 View桌面,满足具有只读访问策略的锁定 Active Directory环境的需求。 |
■ |
安排数据备份时无须考虑最终用户的系统是否关闭。 |
■ |
数据中心托管的虚拟桌面不会或很少停机。虚拟机可以驻留在具有高可用性的 VMware 服务器群集中。 |
虚拟桌面还能连接到后端物理系统和 Windows 终端服务服务器。
便捷性:统一管理控制台可支持 Adobe Flex 上的扩展,即使最大规模的 Horizon View 部署也能通过单个 View Manager界面来有效管理。向导和控制板可提高工作效率,并有助于查看详细信息或更改设置。显示控制板视图的 ViewManager 管理控制台展示了一个基于浏览器的 ViewAdministrator用户界面.另外一项便捷功能是 VMware远程显示协议 PCoIP。PCoIP(PC-over-IP)显示协议可提供与使用物理 PC相同的最终用户体验:
■ |
在 LAN中,显示速度较传统远程显示更快,且更流畅。 |
■ |
在 WAN中,该显示协议还能弥补因延迟增加或带宽减少导致的不便,确保最终用户在任何网络条件下均可保持高效。 |
可管理性:您能够在很短的时间内部署最终用户的桌面。无需在每个最终用户的物理PC上逐一安装应用程序。最终用户可连接到应用程序齐备的虚拟桌面。最终用户可以在不同地方使用各种设备访问同一个虚拟桌面。
使用 VMwarevSphere 托管虚拟桌面可带来以下优势:
■ |
简化管理任务和管理工作。管理员无须访问用户的物理 PC 即可修补和升级应用程序和操作系统。 |
■ |
与 Horizon Workspace整合意味着 IT经理能够使用 Horizon Workspace Administrator Web界面来监视用户和组的 View桌面授权。 |
■ |
通过 View Persona Management 可以集中管理物理桌面和虚拟桌面,包括用户配置文件、应用程序授权、策略、性能及其他设置。转换至虚拟桌面之前,需要为物理桌面用户部署 View Persona Management。 |
■ |
简化存储管理。借助 VMware vSphere,您可以虚拟化卷和文件系统,从而避免管理单独的存储设备。 |
■ |
利用 View存储加速器,可显著减少 IOPS存储负载,从而支持更大规模的最终用户登录,无需任何专门的存储阵列技术。 |
■ |
如果 View桌面采用 vSphere 5.1及更高版本所适用的节省空间的磁盘格式,则客户机操作系统中过期或已删除的数据将通过擦除和压缩流程自动回收。 |
硬件独立性:虚拟机具有硬件独立性。由于 View 桌面运行在数据中心内的某个服务器中,且只能从客户端设备访问,因此View桌面可以使用与客户端设备硬件不兼容的操作系统。
例如,尽管Windows7和 Windows 8只能运行在支持 Windows 7和 Windows 8的 PC上,但您可以将 Windows7或 Windows 8安装在虚拟机中,并在不支持 Windows7或 Windows 8的 PC上使用该虚拟机。虚拟桌面可运行在 PC、Mac、瘦客户端和作为瘦客户端、Tablet和手机使用的 PC上。
如果您使用 HTML Access 功能,最终用户可以在浏览器中打开 View 桌面,无需在客户端系统或设备上安装任何客户端应用程序。
VMware HorizonView中包含的功能可支持可用性、安全性、集中式控制和可扩展性。
可用性体验:
■ |
在 Microsoft Windows客户端设备中,可以在虚拟桌面上使用 Windows客户端设备上定义的任何本地或网络打印机进行打印。该虚拟打印机功能可消除兼容性问题,而且您不必在虚拟机上安装额外的打印驱动程序。 |
■ |
在任意客户端设备中,使用基于位置的打印功能映射到物理位置接近客户端系统的打印机。基于位置的打印需要您在虚拟机中安装打印驱动程序。 |
■ |
使用多个显示器。借助 PCoIP多显示器支持,您可以分别调整每个显示器的分辨率和旋转角度。 |
■ |
访问连接到可显示虚拟桌面的本地设备的 USB 设备和其他外围设备。您可指定最终用户可连接的 USB设备类型。对于包含多种设备类型的组合设备(例如,包含一个视频输入设备和一个存储设备),可通过分割设备,允许连接其中一个设备(如视频输入设备),而禁止连接另一个(如存储设备)。 |
■ |
即使桌面已刷新或重构,使用 View Persona Management 仍可保留会话间的用户设置和数据。View Persona Management能够按照可配置的时间间隔将用户配置文件复制到远程配置文件存储(CIFS共享位置)。您也可以在不受 View管理的物理机和虚拟机上使用独立版本的 View Persona Management。 |
Horizon View安全功能:
■ |
使用 RSA SecurID或 RADIUS(远程身份验证拨入用户服务)等双因素身份验证或智能卡登录。 |
■ |
在针对 Active Directory提供只读访问策略的环境中配置 View桌面时,使用预创建的 Active Directory帐户。 |
■ |
使用 SSL安全加密链路确保对所有连接进行完全加密。 |
■ |
使用 VMware High Availability 托管桌面并确保自动进行故障切换。 |
可扩展性功能需要借助 VMware 虚拟化平台来管理桌面和服务器:
■ |
与 VMware vSphere集成,有助于经济高效地部署虚拟桌面,实现虚拟桌面的高可用性,并提供高级资源分配控制。 |
■ |
使用 Horizon View存储加速器功能可支持相同的存储资源中更大规模的最终用户登录。该存储加速器可使用 vSphere 5平台中的功能,为常见的基块读取操作创建主机缓存。 |
■ |
将 View连接服务器配置为在最终用户与授权其访问的虚拟桌面之间代理连接。 |
■ |
用 View Composer快速创建与主映像共享虚拟磁盘的桌面映像。采用这种方法使用链接克隆,有助于节省磁盘空间和简化对操作系统的修补程序和更新的管理。 |
集中式管理:
■ |
使用 Microsoft Active Directory 管理对虚拟桌面的访问并管理策略。 |
■ |
使用 View Persona Management 简化并优化从物理桌面到虚拟桌面的迁移过程。 |
■ |
使用基于 Web 的管理控制台从任何位置管理虚拟桌面。 |
■ |
使用模板或主映像快速创建和部署桌面池。 |
■ |
在不影响用户设置、数据或首选项的情况下向虚拟桌面发送更新和修补程序。 |
■ |
与 Horizon Workspace 集成使最终用户能够通过 Horizon Workspace Web Client 访问 View 桌面,并在 View桌面内使用 Horizon Workspace Web Client。 |
VMware HorizonView各组件介绍:
1、View连接服务器(View Connection Server):软件服务充当客户端连接的 Broker。View连接服务器通过 Windows Active Directory对用户进行身份验证,并将请求定向到相应的虚拟机、物理或刀片 PC 或 Windows终端服务服务器。使用 Windows、Linux、Mac PC 或者笔记本电脑的最终用户需要打开 Web浏览器,并输入一个 View连接服务器实例的 URL地址。该地址页面就是view portal。其中包含VMware下载网站链接,用于下载 View Client( View Portal页面上的链接是可配置的。例如,您可将链接配置为指向一个内部 Web服务器,也可在自己的 View连接服务器上对可用的客户端版本加以限制)如果您使用 HTML Access 功能,View Portal也会显示一个前往 View Web Client的链接,可在支持的浏览器中打开 View桌面,户端系统或设备可脱离view client即可访问虚拟桌面。ViewConnection Server基于 Web的应用程序能帮助管理员配置、部署并管理 View桌面、控制用户身份验证并排除最终用户遇到的问题。这个功能就是View Administrator,View Administrator 应用程序会随 View Connection Server 实例一起安装。借助该应用程序,管理员无需在他们的本地计算机上安装应用程序,即可从任何地方管理 View Connection Server 实例。
View连接服务器提供了以下管理功能:
■ |
用户身份验证 |
■ |
授权用户访问特定的桌面和池 |
■ |
将通过 VMware ThinApp打包的应用程序分配给特定桌面和池 |
■ |
管理本地和远程桌面会话 |
■ |
在用户和桌面之间建立安全连接 |
■ |
支持单点登录 |
■ |
设置和应用策略 |
在企业防火墙内,您需要安装和配置一个至少包含两个 View 连接服务器实例的组。其配置数据存储在一个嵌入式 LDAP 目录内,并且在组内各成员之间复制。在企业防火墙外部,您可以在 DMZ 中安装 View连接服务器并将其配置为安全服务器。DMZ中的安全服务器可与企业防火墙内的 View连接服务器进行通信。安全服务器可确保唯一能够访问企业数据中心的远程桌面流量是通过严格验证的用户产生的流量。用户只能访问被授权访问的桌面资源。安全服务器提供了一个功能子集,且无需包含在 Active Directory 域中。您需要将 View 连接服务器安装在 WindowsServer 2008 服务器中,最好安装在 VMware虚拟机中。
2、View Composer:可将该软件服务安装在管理虚拟机的vCenterServer 实例上或安装在单独的服务器上。然后,View Composer 将可以从指定的父虚拟机创建链接克隆池。这种方法可节约多达 90% 的存储成本。每个链接克隆都像一个独立的桌面,带有唯一的主机名和 IP 地址,但不同的是,链接克隆与父虚拟机共享一个基础映像,因此存储需求明显减少。由于链接克隆桌面池共享一个基础映像,因此您可以通过仅更新父虚拟机来快速部署更新和修补程序。最终用户的设置、数据和应用程序均不会受到影响。您也可以将链接克隆技术用于您下载并检出以在本地系统上使用的 View 桌面。尽管在可以将 View Composer安装在其自身的服务器主机上,但一项 View Composer 服务只能基于一个 vCenterServer实例运行。同样地,vCenter Server 实例只能与一个 View Composer服务相关联。
3、vCenter Server:服务可充当连接到网络的 VMware ESX/ESXi服务器的中心管理员。vCenter Server 提供了在数据中心内配置、部署和管理虚拟机的中心点。除了将这些虚拟机作为 View 桌面池的源,您还可以使用虚拟机来托管 Horizon View 的服务器组件,包括连接服务器实例、ActiveDirectory服务器和 vCenter Server实例。您可以将 View Composer和 vCenter Server 安装在相同的服务器上,以创建链接克隆桌面池。vCenter Server 会管理向物理服务器和存储分配虚拟机的情况,以及向虚拟机分配 CPU 和内存资源的情况。使用 vCenterServer 5.1 或更高版本时,如果您将 View桌面插件添加至 vSphere WebClient,您就能够使用 vSphere Web Client 中的 View桌面功能来搜索 View用户,显示用户桌面并排除底层虚拟机故障。您需要将vCenterServer 安装在 Windows Server 2008 服务器中,最好安装在 VMware 虚拟机中。
4、View传输服务器:软件用于管理和简化数据中心与在最终用户本地系统上检出使用的 View 桌面之间的数据传输。必须安装 View传输服务器才能支持运行 View Client with Local Mode 的桌面。有些操作需要用 View传输服务器在 vCenterServer的 View桌面和客户端系统中相应的本地桌面之间发送数据。
■ |
当用户检入或检出桌面时,View Manager 将对该操作进行授权和管理。View传输服务器会在数据中心与本地桌面之间传输文件。 |
■ |
View传输服务器会将用户做出的更改复制到数据中心,以使本地桌面与数据中心中对应的远程桌面同步。 复制操作将以您在本地模式策略中指定的时间间隔进行。您也可以在 View Administrator 中启动复制。您可以设置策略,使用户能够从他们的本地桌面启动复制。 |
■ |
View传输服务器从数据中心向本地客户端分发一般系统数据。View传输服务器将 View Composer基础映像从传输服务器存储库下载到本地桌面。 |
5、View Agent:可以在所有用作 View 桌面源的虚拟机、物理系统和终端服务服务器上安装 View Agent 服务。在虚拟机上,此代理通过与 ViewClient 进行通信来提供连接监视、虚拟打印、View用户配置管理和访问本地连接的 USB设备等功能。如果桌面源本身是一个虚拟机,您首先应当在该虚拟机上安装 View Agent 服务,然后再将其作为模板或链接克隆的父虚拟机使用。从该虚拟机创建池时,该代理将自动安装到每个虚拟桌面上。您可以在安装代理时选择单点登录选项。使用单点登录后,用户只会在连接 View Connection Server 时收到登录提示,下一次连接虚拟桌面时便不会收到提示。
6、View Client:用于访问 View 桌面的客户端软件可以在 Tablet、Windows、Linux、Mac PC 或笔记本电脑、瘦客户端等平台上运行。成功登录后,用户需要在其有权使用的虚拟桌面列表中进行选择。身份验证需要使用 Active Directory 凭据、UPN、智能卡 PIN 或者 RSA SecurID或其他双因素身份验证令牌。管理员可以将 View Client配置为允许最终用户选择显示协议。协议包括 PCoIP和 Microsoft RDP。PCoIP协议的速度和显示质量可与物理 PC媲美。View Client with Local Mode(之前称为 Offline Desktop)是 View Client 的一个版本,利用 View Client with Local Mode,用户可以将 View 桌面检出并下载到本地系统(如笔记本电脑)。管理员可以通过设置备份和连接服务器的频率、对 USB 设备的访问以及检入桌面的权限等策略,管理这些本地 View 桌面。对于网络连接较差的远程办公室里的员工而言,应用程序在本地 View 桌面上的运行速度比远程桌面更快。这样,用户无论是否连接到网络,都可以使用本地版本的桌面。如果客户端系统已连接到网络,则检出的桌面将继续与 View 连接服务器进行通信以提供策略更新,并确保本地缓存的身份验证标准为最新标准。默认情况下,系统每隔 6 分钟会尝试一次连接。本地模式的 View 桌面与同类远程桌面的运行方式相同,但可以利用本地资源。延迟时间将会消除,性能也会得到改善。用户与其本地 View 桌面断开连接后可以再次登录,而无需连接到 View 连接服务器。网络访问恢复后或用户就绪时,检出的虚拟机即可进行备份、回滚或检入。每个本地系统中的数据均用 AES 进行加密。默认情况下为 128位加密,不过您可以配置为 192位或 256位加密。桌面的生命周期会通过策略加以控制。如果客户端与 View 连接服务器失去连接,与服务器断开连接的最长时间就是用户访问被拒绝之前可以继续使用桌面的时间。同样,如果移除用户访问,则在缓存过期或客户端通过 View 连接服务器检测到该变更后,客户端系统将无法访问。
View Client with Local Mode存在以下局限:
■ |
您必须拥有包含本地模式组件的 Horizon View许可证。 |
■ |
执行回滚和检入操作时,最终用户无法访问其本地桌面。 |
■ |
只有受 vCenter Server管理的虚拟机才具有此功能。 |
■ |
您不能将 View Persona Management与以本地模式运行的桌面配合使用。 |
■ |
以本地模式下载和使用的 View桌面不支持分配用 VMware ThinApp创建的应用程序包。回滚桌面可能导致 View连接服务器在回滚桌面上出现关于 ThinApps的错误信息。 |
■ |
出于安全性原因,您无法从 View桌面访问主机 CD-ROM。 |
■ |
同样出于安全性原因,您无法在本地系统和 View桌面之间复制和粘贴文本或系统对象,如文件和文件夹。 |