思杰设计行业方案指南
场景1:2D图形设计虚拟化
传统模式的问题
工程设计业的核心竞争力是知识产权,许多设计部门为了保护自身的核心技术不被泄密,采取了各种手段但还是不尽人意,设计研发是行业创新的源泉,如何建立安全的设计研发中心是企业关心的话题。
传统PC的使用方式下员工一般使用台式电脑或者笔记本电脑进行设计工作,使用各种图形设计软件生成的图纸往往是保存在员工自己的个人电脑中,设计人员可以随意地使用U盘、网络共享或者电子邮件的方式将图纸复制给他人或竞争对手,或者员工在离职时将自己电脑上的图纸全部带走到其他公司,等等。有可能自己的产品或设计还在设计阶段其竞争对手已经将成型的东西交付用户。这些情况的发生对于一个单位来说都将会产生巨大的知识产权的损失。
当然也有一些传统的图纸安全解决方案来保护设计图纸和创意的安全,但其无法很好地定义安全边界,某些号称打造全方位立体式安全都是治标不治本。比如:完全的网络隔离本身存在安全短板削弱隔离效果;真正安全的外设控制会给工作带来极大不便;源代码和文档、程序的安全存取,安全和效率总是悖论;灵活的访问机制快速实现网络切换,不稳定的系统反而导致工作效率降低。
思杰解决方案的应用:XenApp/XenDesktop FlexCast
利用Citrix解决方案可以更好地定义数据中心的安全边界,将设计图纸研发代码等牢牢控制在数据中心内部,位于用户使用端的终端设备能够像在传统PC上一样进行设计和研发的工作,借助于Citrix HDX技术可以在终端上获得跟使用传统PC一样的图形设计效果。我们可以利用Citrix的虚拟化技术将图形设计软件或者是客户端软件安装部署在数据中心而不是个人电脑上来重新定义安全边界。Citrix XenDesktop可以有选择性地控制用户是否能够访问本地硬盘、USB存储设备以及其他一些外设。
部署方式一:在数据中心的服务器上建立多个虚拟机,利用XenDesktop为每个用户分配一个独享的虚拟桌面,前端用户可利用台式电脑、瘦客户机、笔记本电脑等终端设备连接服务器上的独享虚拟桌面。
部署方式二:在数据中心的服务器或者一台图形工作上安装部署图形设计软件,利用XenApp将应用程序进行虚拟发布,共享给前端多个用户使用。在最终用户的终端设备上不需要安装图形设计软件,直接访问虚拟应用即可进行设计工作。
方案特性
l虚拟桌面:提供独立的桌面操作系统环境
l数据集中:信息保存在数据中心保证数据的安全性。
l管理平台:统一的管理平台,客户端的可控及监管。白金版甚至可以监控客户端的性能情况。
l站点漫游:用户无论从何处连接都始终访问他们自己的虚拟桌面和数据。
l故障转移:自动检测到故障站点,并无缝地将用户重定向到一个备用站点,以确保业务连续性。
l快速置备:增加用户桌面,配置管理策略仅需数分钟时间。
l智能卡支持:增强的USB外设支持。支持常见USB设备,如U盘、读卡器、扫描仪、摄像头等。
l多显示器管理:支持多达8台显示设备,多种矩阵排列方式。
l访问安全:Citrix ICA(Independent Computing Archetecture) 协议本身具备安全的数据通道,保证数据安全。
l应用处理能力:支持目前使用的工具软件,提供高效的工作环境。应用软件基本和物理机相同。
l远程接入:低带宽要求,使用WEB浏览器或客户端方式即可接入平台,提供优秀的用户体验。
l设备生命周期: 极低的硬件需求,多软件平台支持,终端设备生命周期可达10年。
常用2D设计类软件:
PROMAX |
AMSIM |
SULSIM |
CAESER II |
HYSYS |
SAFETI |
Pipeline Studio |
OLGA |
VMGSim |
AutoPIPE PLUS |
工程地质勘查CAD8.5 |
Geogia |
同济曙光TBM水工隧洞分析与设计4.0 |
同济曙光T盾构隧道设计与分析3.0 |
天正建筑 |
天正节能 |
天正给排水8.0网络版 |
CAD2008 |
Pro/E |
场景2:远程三维设计访问需求,适用于需要直接创建和设计3D建模的复杂需求
思杰解决方案:FlexCast:HDX 3D(直接发布物理机)
在图纸类研发设计企业中,用户会用到的画图软件有些资源需求一般,如Autocad、Pro/E常用于2D图,有些资源需求较大,如Catia常用于大型的3D图,XenApp如果服务器够强劲的话,可以满足Autocad、Pro/E等2D图纸设计需要,但Catia等大型的3D图XenApp就不合适了,服务器的负载会很重,50M左右的三维部件图形能尚可,但是几百兆的整机图三维旋转时,客户端就只能看到不连续的旋转效果了。所以大型的3D设计需要采用XenDesktop来实现,在服务器端为每个用户单独分配一台虚拟机,而不是像XenApp一样多人共用一台机。
但采用XenDesktop也带来一个核心的问题,由于每个用户的操作系统是虚拟出来的,但是目前的虚拟机所虚拟出来的显卡,是不支持图形加速功能的,大型的3D设计图就算你给操作系统再多的CPU和内存,但由于没有专门的图形加速卡来处理,所以客户端还是只能看到不连续的旋转效果图。Citrix XenDesktop FlexCast中的HDX 3D方式可以代替使用ICA代替这些专用传输协议,在100Kbps左右的带宽条件下就可以使三维图形软件流畅工作。
简单说Citrix的HDX 3D Pro Graphics就是不采用虚拟机,而直接采用物理机的方式来解决图形加速卡的问题。在后台为每个用户准备好一台物理的服务器,服务器可以是塔式的服务器,也可以是刀片的服务器。然后在这些服务器上安装Citrix HDX 3D Pro Graphics客户端程序(当然还有VDA的客户端),再通过XenDesktop将这些机器安装好了3D画图软件的桌面,发布给画图的客户端人员通过Citrix客户端来使用。
其示意图如下:
使用ICA协议访问远程刀片工作站的解决方案可以提供最好的图形效果,因为Citrix XenDesktop的HDX 3D代理可以有效利用刀片工作站上的图形加速卡,远程桌面的图像信息经过图形加速卡处理后再交由ICA协议传输到客户终端。和硬件厂商的专用传输协议相比,对网络资源的占用大大减少,但是性能上能够和物理机保持一致。
方案价值和收益:
l数据安全:所有设计图纸代码等都保存在数据中心内部不在终端设备上落地;
l保护知识产权:严格控制设计图纸防止外流;
l提高资源利用率:可将昂贵的图形工作站在空闲时给其他人在自己的工位上使用;
l终端多样性:使用PC、瘦终端、Android、iOS甚至是老旧设备都能获得同样优秀的图形设计使用体验;
l拓展地域限制:就算是通过广域网环境也能进行3D图形处理,而不用担心数据泄露;
l提升访问速度:图形始终在数据中心内部进行运算和处理,无需将几百兆或上GB的图形通过网络传输到终端设备上,从而提升远程访问的速度。
场景3:三维设计平台集中管控+立旧
设计行业的企业一般而言都不是从头新建,大部分都已经购置了大量的图形处理工作站。一台图形工作站的处理性能惊人,但是同时购置价格高昂也是让企业迟迟不愿意折旧淘汰的最直接原因。除了造价是企业对设计部门最关心的问题之外,另外的关键问题就是设计部门的信息保密问题。
企业的核心就在于知识产权,这个观点已经深入每个企业的管理者心中。但是如何能做到信息的保护每个企业却使用了不同的办法。传统的方式是从数据的防泄密方面着手,思维仍然停留在数据让在本地,然后通过技术手段去阻止数据泄漏这样一种僵化的思维当中。试想,如果数据根本不在本地,又何曾需要做到数据的保护,这就是虚拟化的优势。
每种技术都有它的优缺点,虚拟化的好处固然可以让资料和数据全部集中在数据中心以避免数据被盗的风险,但是后台服务器高昂的投资也往往会让企业的管理者不得不放弃已有昂贵的图形工作站的投资,这始终是一对矛盾的问题。
思杰解决方案:PVS无盘工作站
Citrix Provisioning Server(无盘方式)采用流技术通过网络将单一标准桌面镜像,包括操作系统和软件按需交付给物理/虚拟桌面。一方面可以配合第二个场景实现VDI单一镜像管理;另一方面适用于三维图形要求更高的环境,除了硬盘之外,内存、CPU、GPU都调用本地的计算资源,所以性能基本和传统桌面没有区别。国内不少企业的设计部门都在使用。
这种基于流技术的无盘桌面技术利用胖客户端的本地计算能力,同时集中管理桌面的统一镜像。即简便而且成本低廉,能够利用现有PC资源并最大限度降低数据中心开销,帮助客户实施桌面虚拟化。它还适用于使用无盘PC的政府部门和大学实验室,确保最高的数据安全性。
典型的工作原理可以参考:
方案收益和价值:
l提高安全性
企业正在努力消除内部和外部的数据盗窃和数据丢失。PVS 提供更高的数据安全性,因为物理桌面无需硬盘驱动器就可运行。桌面上不会存储永久性数据,而是集中化存储和保护数据。
l完全一致的性能体验
PVS无盘工作站的方式只是将硬盘从工作站中剥离出来,实际运算能力仍然在图形工作站上完成,包括CPU、内存、图形加速卡、显示器等等,性能没有任何的失真,开发人员的使用习惯没有任何改变。
l几乎零投资方式下的虚拟化
PVS无盘工作站方式不需要购置任何服务器,因为计算能力仍然使用旧有的图形工作站。企业只需要准备少量存储空间以放置统一的虚拟镜像即可。用户数据全部迁移到数据中心,所以即实现了虚拟化的数据集中管理的核心,又避免了大量资金购买新服务器的开销。
l显著减少IT部门进行维护桌面操作系统/应用程序镜像的时间和成本
PVS无盘工作站简化了打补丁、更新和升级过程。使用同一操作系统/应用程序镜像的每个桌面都可通过单一标准虚拟镜像或vDisk 来配置。
l降低风险并简化软件升级
PVS无盘工作站节省了IT 管理员的时间和成本,并减少了软件升级和打补丁时的错误。在软件升级或打补丁时,PVS服务器能使IT 部门能够对单一标准镜像做必要的更改并采用流技术将新的镜像同时交付给所有的桌面。一旦出现问题,回退到以前产生的镜像就如同重启和回流到以前产生的镜像一样轻松,确保了软件运行无风险。
场景4:三维设计平台集中管控 + 独享处理能力,适用于需要直接创建和设计3D建模的复杂需求
PC机一般的折旧时间都在3年-5年期间。而对于图形运算来说,他的折旧期取决于企业性质的不同,可能会更短,也可能会更长。对于技术翻新较快的行业来说,例如汽车、电子、华工行业来说,为了保持企业持续的竞争力,往往需要不断的创新能力。而创新能力也需要来自开发平台输出结果的不断提升,包括硬件处理能力,开发软件的更新,设计的复杂程度等都决定了设计结果的市场竞争力。
折旧时间到期之后继续采购单台图形工作站仍然被证实是一种可行的做法,也可以通过PVS无盘工作站的方式轻松实现虚拟化,保证数据始终在数据中心内部流转,但是避免不了的问题在于图形工作站高昂的造价。虚拟化除了能实现安全的管控之外,还能否将图形工作站的整体造价降低呢?这始终是管理者需要一直考虑的问题。
思杰解决方案:GPU透传
Multi-GPU Pass-through,即GPU透传模式就是将主机的多块物理GPU按照一比一的比例分配给此主机上运行的虚拟桌面,并且通过Citrix XenDesktop的HDX 3D Pro技术让此虚拟桌面里面的应用程序直接调用GPU板卡处理能力,实现三维运算工作站集中管理和维护。下图就是Multi-GPU Pass-through的工作原理图。
方案收益和价值:
l提高安全性
和标准的桌面虚拟化VDI方案类似,GPU透传方式将运算能力和数据全部集中在数据中心,从根本上保证了数据外泄的事故无法发生,实现了企业知识产权的保护;
l降低采购成本
GPU透传方式是在单台的物理服务器上实现了多台图形工作站的能力。对GPU卡的访问配置为每用户一块,而对于要求不高的CPU运算能力设计为共享模式,很大程度的节省了企业的投资成本;
l集中管理
GPU透传模式下所有的运算和数据系统均集中在后台,管理员在后台即可配置和管理所有的组件,无需再亲赴前端用户现场去处理技术问题,不但在人力成本上大大节省开支,更对IT管理架构和水平提高提供技术的保障。
场景5:三维设计平台集中管控 + 共享处理能力,适用于仅需查看和编辑3D设计文档
虽然说设计部门是整个企业的生命核心,但是其高昂的投资成本也会让任何一个企业高管头疼不已。每个人分配一台图形工作站固然方便,但是投入产出有可能不成正比的结果会让CEO对些巨额基础设施的投资犹豫不决。
有时候设计人员也不是全部都处于上班状态,空闲的机器直接导致使用率的降低,也造成了公司资产的浪费,因为设备的折旧是按照时间来计算的。一台图形工作站即使没人使用到期之后也仍然会处于淘汰状态。
将资产的每一分钱都掰成两半来使用似乎是不能实现的。传统方式下一台图形工作站没有办法同时给两个用户同时使用,只能处于使用状态或者出于闲置状态,企业迫切需要有一种类似于移动信号时分复用的技术将昂贵的图形工作站一分为二,甚至一分为更多的开发者使用。
思杰解决方案:XenApp GPU Sharing
大多数用户并不需要一个专用 GPU 进行呈现,因此XenApp OpenGL GPU Sharing 技术支持多个共享 GPU 资源的并发会话。XenApp GPU Sharing技术结合了GPU透传技术和XenApp共享桌面技术的精华,将两者完美的融合在一起。此功能加载项支持在远程桌面会话中呈现 OpenGL 应用程序的图形处理单元 (GPU) 硬件,并可用于裸机或虚拟机,以提高应用程序的可扩展性及性能。通过 HDX 3D,在 XenApp 上运行的具有大量图形的应用程序可以呈现在服务器的 GPU 中。通过将 OpenGL 呈现移至服务器的 GPU,图形呈现不会降低服务器的中央处理单元 (CPU) 的速度。此外,服务器还能够处理更多图形,因为工作负载在 CPU 和 GPU 之间进行了拆分。 XenApp 6.5 OpenGL GPU Sharing 功能加载项无需任何特殊设置。
下图就是XenApp GPU Sharing的技术实现原理:
您可以在 XenApp 服务器上安装多个 GPU,方法是安装一个配备有多个 GPU 的图形卡,或者安装多个配备有一个或多个 GPU 的图形卡。使用 OpenGL GPU Sharing 的可扩展性取决于正在运行的应用程序、占用的视频 RAM 量以及图形卡的处理能力。例如,对于运行 ESRI ArcGIS 等应用程序的 NVIDIA Q6000 和 M2070Q 卡,已报告具有 8 至 10 位用户的可扩展性。这些卡提供 6 GB 的视频 RAM。较新的 NVIDIA GRID 卡提供 8 GB 的视频 RAM 和显著提高的处理能力(更多 CUDA 内核)。其他应用程序可能会提高更多,在高端 GPU 上达到 32 个并发用户。
方案收益和价值:
l非常高的投资回报率
根据图形应用的不同每块GPU卡所能支持的用户不等,从几个到几十个不等,这就相当于将以往购买图形工作站的投资降低了几杯到几十倍,大大降低了企业的初始一次性投资。
l提高安全性
和标准的桌面虚拟化VDI方案类似,XenApp GPU Sharing也将运算能力和数据全部集中在数据中心,从根本上保证了数据外泄的事故无法发生,实现了企业知识产权的保护;
l集中管理
XenApp GPU Sharing下所有的运算和数据系统均集中在后台,管理员在后台即可配置和管理所有的组件,无需再亲赴前端用户现场去处理技术问题,不但在人力成本上大大节省开支,更对IT管理架构和水平提高提供技术的保障。
场景6:虚拟桌面改造,既有的PC机一样可以用于虚拟化环境
企业的设计部门通常并不是全部由设计人员组成,正如同我们在前面场景所分析,既有专注于设计创建以及3D建模的专业人员(场景2、3、4),也有只需要查看和编辑3D设计文件的用户(场景5),更有只需要进行文字和数据搜集和整理类型软件进行设计工作的使用场景。
使用文字和数据搜集和整理类型软件进行设计工作的使用场景一般来说和OA办公类型的场景较为类似,使用者对资源的消耗意愿并不强烈,也就是说一般来说普通PC就能满足需求。但是数据的安全保护需求同样也适用于这些用户,所以并不仅仅是真正设计类的图形数据需要得到保护,那些记载了大量设计思想和数据的文字同样是需要保护的知识产权。
这些用户一般都是使用普通的PC进行工作,在迁移到虚拟化环境时,有一种概念是前段使用瘦客户机的方式才是匹配后端虚拟化技术的最佳搭档。如果说我们能够将图形工作站进行立旧处理,那么普通PC能够立旧吗?答案是肯定的。
思杰解决方案:XenDesktop之Desktop Lock
瘦客户机为什么是虚拟化技术的最佳搭档,一般来说它有以下的优点:
l总体拥有成本低
l简化终端管理
l高安全性
l节能减排、绿色IT
但是首次投入购置瘦客户机的成本也并不低廉,如果现有的PC能够实现上述功能,管理者又何必再去耗资购买新设备呢?Citrix桌面虚拟化提供了一种工具,即Desktop Lock工具,让现有的PC能够实现等同于瘦客户机的高安全性。
Citrix Desktop Lock 可以锁定用户设备,使用户只能访问其虚拟桌面,而无法与本地桌面进行交互,在此访问方案中,,虚拟桌面有效地取代了本地桌面,使用户可以像使用本地桌面一样与虚拟桌面进行交互。这种方式可以在 XenDesktop 环境中提供最佳的用户体验。
场景7:多网互访隔离
场景分析:
在真实的企业网络环境中往往会按照不同的安全级别或者业务系统类型按照安全域划分为不同的区域,根据业务系统的特点甚至有可能采用内网外物理隔离的方式以保证企业信息系统的安全。比如按照访问的不同对象可将用户对于网络的访问分为两大类型,对于内部业务系统的网络访问和对于外部互联网的访问;按照网络的安全区域进行划分又可以分为核心业务网络和终端访问网络;甚至可以根据不同的业务系统类型划分按照业务系统来进行网络隔离和划分。
当我们使用传统PC在企业网络中进行访问时可能通过这台PC既能够访问内部的生产业务系统又能够访问外部的网络比如互联网等,在网络架构上这台PC演变成了一个网桥打通了内部网络和外部网络,这对于网络安全是非常不利的,也给管理带来了很大的风险。同时由于PC上运行的Windows操作系统极易受到木马、病毒等网络攻击,极有可能危害到生产业务系统的安全稳定运行。
传统的解决方案往往需要进行复杂的网络安全架构设计,和部署众多的安全管控软件进行管理和监控,甚至在用户桌面端需要为每个用户配备多台PC机用以连接不同的网络才能实现正常的工作办公。
Citrix解决方案:采用XenDesktop隔离内网和外网
采用Citrix XenDesktop在内部网络中建立用于访问内部业务系统的虚拟化访问平台,限定只能访问内部业务系统并限制不能将业务系统数据复制拷贝到访问终端的本地硬盘和USB移动存储等本地设备。
原理图如下所示:
在用户端的终端设备可以使用PC或者瘦客户机等设备,当用户需要访问外部网络或者互联网时可通过终端设备的本地操作系统桌面进行访问和查看,虚拟化平台部署在数据中心如果需要访问内部业务系统必须通过虚拟桌面或者虚拟应用进行登陆认证后才能访问,Citrix解决方案还可结合第三方Ukey、短信令牌、动态令牌、指纹认证等方式增强安全性。
此外还可以通过Citrix应用虚拟化技术发布访问外网需要的虚拟应用程序(比如IE浏览器等)给内网用户,内网用户在网络上和外网是隔离的但可以通过虚拟应用进行访问,这样既能保证内网的安全又能够满足最终用户访问外部网络的需求。