2.2 企业云桌面规划的真实案例

本节主要介绍两个企业云桌面的真实案例，这两个案例的规划方案都是基于上述的大中型企业云桌面典型方案来规划建设的。案例一是2016年某社保中心的企业云桌面规划方案，采用了两台Hyper-V主机提供企业云桌面管理群集，利用3台VMware esxi 6.5（vSAN 6.5）提供企业云桌面的桌面群集，利用Citrix XenDesktop 7.11提供企业云桌面，利用Citrix XenApp提供企业云应用，利用Citrix NetScaler对外发布云桌面；案例二是2010年某银行的安全准入系统规划方案，利用20台Hyper-V 2008 R2主机组成4个群集，其中1个群集为两台Hyper-V 2008 R2主机组成的管理群集，其中3个群集分别为6台Hyper-V 2008 R2主机组成的企业云桌面群集，再通过Citrix Xendesktop发布虚拟桌面提供给企业员工使用。

2.2.1 案例1：某社保中心企业云桌面规划

本节介绍2016年某社保中心企业云桌面规划中所涉及的重点内容。该项目非常有参考意义，从规划、测试、实施前后经过了近3个月，涉及了微软的服务器虚拟化产品Hyper-V2016、VMWare的服务器虚拟化产品vSAN 6.5、Citrix的桌面虚拟化产品Xendesktop 7.11、Citrix应用程序虚拟化产品XenApp 7.11、Citrix负载均衡产品NetScaler VPX 11.0及云终端设备DELL Wyse T10。

该项目的难点为：使用vSAN 6.2还是最新的vSAN 6.5。从项目的稳定性、可用性等方面综合考虑后，采用了vSAN 6.5与XenDesktop 7.11的产品组合。为什么选择这一组合？

使用vSphere 6.0+Xendesktop 7.7的组合时，测试中未出现任何问题。这次选择vSAN 6.2后再测试时出现了问题：通过Xendesktop的MCS批量创建云桌面时，第一次可能全部创建成功，后面不管创建10台、20台、30台总会有几台不成功。

将vSAN 6.2和Xendesktop卸了装，装了卸，前后测试不下5次，最终换成了vSAN 6.5和Xendesktop 7.11的组合才算稳定下来。最终因为可用性，选择了vSAN 6.5+Xendesktop 7.11的产品组合来实施此项目。

以下是该社保中心企业云桌面项目规划的重点部分以及关键点总结。

（1）项目整体架构

该项目结合VMware vSAN 6.5进行规划，可保证云桌面管理服务器与云桌面的安全性、可靠性、可用性，整个项目的架构图如图2-1-1所示。

（2）遵循管理群集与云桌面群集分开原则

为什么考虑将管理群集与云桌面群集分开呢？如果不分开，势必造成管理群集与云桌面群集的虚拟机放一起，这会非常乱，如果管理不当，服务器有可能出现问题，从而影响企业云桌面的正常运作，所以建议将这两个群集分开。

企业云桌面管理群集：采用Hyper-V 2016后端接存储，用来部署云桌面管理服务器（vdb、vCenter、CTXLic01\CTXSF01\CTXDDC01\CTXPVS01\CTXNSVPX01）。

企业云桌面的桌面群集：采用vSAN 6.5部署100台云桌面和云桌面管理服务器CTXXenApp01\vCOM01。

（3）云桌面产品组合

在第1章中介绍的企业云桌面的产品组合在这个项目中得以全面体现，整个项目涉及的产品包括：Hyper-V 2016、VMWare vSAN 6.5、vCenter 6.5、XenDesktop 7.11、XenApp 7.11、NetScaler VPX 11.1。

注：不建议采用vSAN 6.0 U2+Xendestkop 7.11（7.7、7.6）等的组合，在通过脚本批量创建WinXP，或者通过Xendesktop的MCS结合vCenter 6.0批量创建Win7的企业云桌面的时候，采用上述组合第一次创建50台或者10台云桌面可行，但后续无论创建多少台云桌面其中总有几台有问题，无法实现使用MCS来批量创建企业云桌面。

（4）基础架构服务器

总共配置两个结点，每个结点上面运行一台虚拟机，分别存放一台域控制器和DNS服务器（DC\DNS）、目的是保证在任何一台物理机死机时，不影响云桌面的运行。另外，DC\DNS采用的是虚拟机，这样可以很方便地将其导出并导入到其他服务器上使用。

（5）企业云桌面管理群集

配置企业云桌面管理群集目的是保证各管理服务器的物理机的高可用性，在任何一台物理机死机的情况下不影响各管理服务器的运行。本项目采用Hyper-V 2016群集作为管理群集是因为，其不需要单独的管理服务器针对Hyper-V进行管理即可实现高可用，实现故障切换，如果换成vSphere配置群集则一定需要借助于vCenter才可以实现上述目标，这就要考虑部署了vCenter的这台管理服务器存放的具体位置，比较烦琐。企业云桌面管理群集主要针对物理服务器，系统盘、网卡、VLAN等进行规划，如表2-2-1-1、表2-2-1-2所示。

（6）企业云桌面的桌面群集

企业云桌面的桌面群集包括所有云桌面的100台虚拟机。由于客户目前的环境中存储性能不能满足需求，但所有其他硬件正好能满足VMware vSAN的需求，所以采用VMware vSAN 6.5作为云桌面的桌面群集的管理配置软件。企业云桌面的桌面群集主要规划系统盘、网卡、存储、RAID卡、VLAN、内存等，配置情况如表2-2-1-3和表2-2-1-4所示。

（7）云桌面规划

本方案采用WinXP X86和Win7 X86作为企业云桌面的操作系统。用于安装操作系统的WinXP系统盘分配30GB存储，Win7系统盘分配35GB存储。用于存放用户数据的数据盘采用网盘形式配置，按200个用户配置。共需使用10TB存储，考虑到扩展需求，计划配置15TB存储，再结合微软的磁盘配额限制每个用户最大数据存储量为50GB。

Windows XP的云桌面的WinXP VDA采用Xendesktop 5.6 VDA+FP1方式发布现有桌面。Windows 7的云桌面的Win7 VDA采用Xendestkop 7.11 VDA，利用MCS结合vCenter 6.5批量发布桌面。

云桌面的命名方式应直观地体现各部门各单位，从而方便管理，企业云桌面命名方式建议列举如下：

1）云桌面-XX-第XX师XX团-vWin7-XX1。

2）云桌面-XX-第XX师XX团-vWinXP-XX1。

3）云桌面-01-总裁室-vWin7-ZC01。

4）云桌面-02-财务部-vWin7-CW01。

（8）云桌面终端设备规划

考虑成本的因素，整个项目采用100台左右9成新的DELL Wyse T10作为用户接入的终端设备，价格含税600元/台左右，在使用效果上速度、功能、易用性等方面都很好，性价比非常高。

2.2.2 案例2：某银行安全准入系统规划

本节将讲解作者在2010年所做的某银行安全准入系统规划的重点部分。该项目实施以前，该银行面临的主要问题是：

1）员工使用自己的笔记本电脑，容易将开发所用的数据及源代码带出开发区域。

2）员工可任意上Internet，容易将数据随意地发送出去，未对上网行为进行管控。

3）未对开发环境中病毒、木马、补丁等进行合规性检查。

针对以上问题，主要考虑从以下几个方面去解决问题：

1）引入安全准入系统，对网络环境进行管控。

2）所有外包开发人员及项目经理，不允许自带开发所用笔记本电脑和台式机进入开发中心，统一使用瘦客户端连接网络开发环境进行开发工作。

3）使用即时消息系统（ocs）在开发区域与办公区域之间进行日常工作沟通。

4）使用TMG结合XenApp进行上网行为管理，允许用户上网查询资料但不允许下载资料。需要下载的资料到网吧区域进行下载，上传到自己的开发所用的云桌面，通过应用策略限制，不允许从开发环境中将数据复制带走。

5）所有供开发使用的虚拟机由各项目经理统一管理开机、关机、重启。

针对安全准入系统的重点规划部分介绍如下。

1）存储部分采用HP P4500G2 iSCSI存储解决方案，把数据集中存储在24台高可靠性的HP LeftHand P4500G2存储设备上。按照750个云桌面的需求，云桌面运行在18台HP BL465G7刀片服务器上，每个云桌面按50GB容量来算，总共大约需要40TB的存储空间，加上冗余量约需要45TB的可用存储。整个存储采用24台ISCSI存储服务器提供服务，其中底层的硬盘使用RAID5，在上层通过HP Cluster管理软件划分为3个群集，在这之上再新建卷（每个卷1TB，采用RAID10的方式），每台Hyper-V接10个1TB的数据卷用于存放云桌面，接1个10GB的卷作为仲裁盘，用于对Hyper-V群集的故障转移使用。

2）服务器虚拟化使用Windows Server 2008 R2安装Hyper-V，组建Hyper-V群集，其中在18台HP BL465G7刀片服务器形成虚拟池来提供750个云桌面使用，在另外2台HP BL465G7刀片服务器形成虚拟池来提供安全准入系统的管理服务器使用。

3）桌面虚拟化采用Citrix Xendesktop进行云桌面的统一新建、分配和日常管理。

4）应用程序虚拟化采用Citrix XenApp进行常用软件的分发，减少软件使用、安装问题。

5）安全准入系统采用微软的System Center产品进行管理，比如SCVMM针对虚拟机进行管理、虚拟机的实时迁移，资源分配等；SCOM针对此环境中的服务器、云桌面的CPU、内存、硬盘、网络进行监控，快速地定位问题所在；SCDPM针对本环境上重要的数据进行备份，方便在系统发生故障的时候进行快速恢复，从而减少损失。

6）瘦客户端采用国光和升腾的产品，通过IE对云桌面进行访问。