通过NSX和AppVolumes部署基于角色的安全虚拟桌面

随着“互联网＋”的概念普及，越来越多的数据中心如雨后春笋般冒了出来，桌面和应用虚拟化因其可将操作系统、应用和数据置于数据中心的特点，也迅速在各种规模的企业中大行其道。虚拟化后，可以减少因设备丢失或损坏造成的数据丢失，减少设备上安装的敏感应用被他人访问，有助于高效、集中备份和漏洞修补。在财务部工作的Eva不需要再忍受脚下传统PC吵杂的风扇声和不定期的宕机，可以更加高效地工作。然而随着公司规模的扩大，部门越来越多，不同部门的业务人员要求定制化的桌面和应用的呼声越来越高，于是虚拟桌面管理员Luke就在虚拟桌面（VDI）里面为各个部门添加了一个又一个桌面池，把数据中心变成了这个样子。。。

但是不同的桌面池对其他资源的使用权限，桌面里的应用设置，防火墙设置，都是不一样的，Luke按照各部门的要求都配置好以后，发现网络拓扑图是这个样子的。

这可复杂了，不同的应用，不同的安全需求，每个桌面池要维护一套系统镜像，系统更新需要做多次安装/镜像重构，网络更加复杂，手动配置慢且容易出错，稍有不慎就会接到一堆投诉电话，这系统维护的经济／人力／时间成本太高了，老板又不肯多加人，Luke头疼死了！咋办呢？

不愧是技术专家，Luke发现了一个叫NSX的网络虚拟化平台，并仔细研究了一下NSX的微分段(Micro-Segmentation)功能，发现NSX可以为每一个桌面构建“一体式网络”，消除网络间的干扰，可以集中定义策略，在虚拟机创建的时候就自动添加策略，让安全永远跟随桌面。同时细心的Luke还发现NSX可以根据实际登录桌面的用户在活动目录中的角色调整桌面的网络设置和权限，更好的满足类似于财务部门的桌面不能上外部网络，服务部门的桌面不能访问存储了源代码的工程服务器，开发部门的桌面只能访问开发服务器等等灵活的需求！这真是个好东西！

Luke心想，这意味着我可以使用一个统一的Pool来为所有部门的员工服务了！每个人登录后NSX会根据角色自动设置网络权限，那么以后我只维护一个镜像就够了，每次只重建一次，人多了就加桌面，人少了就删桌面，这样桌面利用率更高，省钱了，我也省事了，真好！

但刚刚做了系统重建，无数的电话又打过来了：我们财务只要看Excel和PPT就够了，你得帮我安装Excel和PPT；我们人力资源只要Word和PPT以及Workforce，别的应用不要出现在我的桌面上！

做为工程师的Luke被美女们的电话打败了。于是他在网上搜索了一番后，又研究了一下App Volumes这个东东，发现App Volumes可以实现基于角色的秒级应用发布！绝了！这样的话，我们就可以统一设置应用发布策略，让财务部的人登录一个干净的桌面后，通过App Volumes自动发布Excel和PPT在桌面上，注销时又自动把应用卸载，恢复成干净的桌面。下次这个桌面被人力资源的人登录后，又自动发布Word和PPT以及Workforce在桌面上，注销时再自动卸载。这可太棒了！用老外的话说，Amazing！ 

于是各部门的用户以后登录虚拟桌面就简单成了这个样子：

不得不给Luke点一个赞！做为技术控，Luke在传统虚拟桌面架构里，通过应用NSX和App Volumes基于角色的网络控制和应用发布功能，大大降低了网络和应用部署复杂度，减少了运营成本，提高了桌面池的利用率，最后得到了公司的嘉奖和升职！

Luke已经成功进阶了，你准备好了么?!

关于App Volumes的安装和部署以及如何进行应用秒级部署的具体操作，请参见本博客之前的文章：

（App Volumes系列一）App Volumes基本介绍

（App Volumes系列二）配置要求和Manager安装

（App Volumes系列三）Manager配置以及Agent安装

（App Volumes系列四）使用App Volumes进行应用管理

关于NSX的功能介绍，请参见NSX系列博文。

作者介绍

薛江波(新浪微博：Jumbo薛)

VMware 终端用户计算解决方案架构师，11年IT经历，丰富的业务流程管理、数字营销以及虚拟化产品和解决方案开发经验。目前致力于终端用户计算产品的解决方案开发以及市场推广工作。