摘要:
F5和VMware是全球战略合作伙伴。F5可明显提升在 VMware 上运行的 IT 环境的性能、可扩展性、可用性以及安全性。
一:VMware VDI概览
VDI即Virtual Desktop Infrastructure,就是我们通常所说的虚拟桌面架构。它通过在企业自建或搭建在公有云之上的后台服务器实现将计算机的终端系统(也称作桌面)虚拟化,使得终端用户可以使用任何设备,在任何地点,任何时间通过网络访问属于自己的个人的桌面系统。以实现企业对桌面系统的统一管理,并实现桌面的安全性和灵活性。
与服务器虚拟化一样,桌面虚拟化也依赖于Hypervisor(虚拟机管理程序)。Hypervisor运行在裸机服务器硬件上,为管理员提供了部署及管理虚拟机的平台,可以通过虚拟化的方式,在服务区之上开启多个虚拟机,而每个虚拟机都是一个企业的个人桌面——每个用户都能获得一个虚拟机,里面含有一套单独的操作系统(几乎都是Windows)和各种应用程序。在操作系统、应用程序和用户看来,虚拟机几乎就像是真实的桌面机一样。
VDI解决方案可以为用户带来诸多好处。它降低了企业对于终端桌面的管理和控制复杂性,显著降低了成本,提升了安全性,提高了员工生产力,并增强了用户体验。它允许员工在任何时间、任何地点,使用任何设备访问公司文件、应用和服务。因此越来越多的企业开始考虑使用VDI来取代传统PC。
如今,VDI有了长足的发展,开始向“桌面云”和桌面即服务(Desktop as a Service,DaaS)进行转变。
VMwareHorizon View是业界领先的最终用户计算(EUC)解决方案。它可以实现集中安全地交付,管理和监控虚拟桌面和应用程序,使终端用户可以跨设备和位置访问虚拟桌面资源池。VMware较传统虚拟桌面更进一步,它们在VDI系统中还实现了虚拟应用架构。VMwareHorizon View目前的最新版本是7.2。
二:F5与VMware VDI融合解决方案
◤2.1简化VMwareHorizon View架构
VMwareHorizon View的逻辑架构如下图所示:
其各组件的功能如下:
统一认证网关(VMware Unified Access Gateway):Edge服务、实现外部用户安全访问桌面和应用。
连接服务器(Horizon Connection Server):验证用户、Broker资源连接、用于配置和监控的管理控制台、运行即时克隆引擎。
Composer Server:可选组件,用于链接克隆创建维护,需要MS SQL或Oracle数据库。
Horizon Agent:安装在虚拟桌面或RDSH服务器中,提供与桌面或应用的连接、远程体验服务。
Horizon终端(Client):安装在最终用户设备(PC/笔记本/瘦客户机)中,支持各种操作系统(MAC/Windows/Linux/IOS/安卓等),提供与Horizon环境的连接。
虚拟桌面池(Desktop Pools):自动桌面池,支持浮动或固定模式,支持从一个共同的主VM镜像克隆,支持即时克隆、链接克隆或全克隆方式。
RDSH Farms和Application Pools:由RDSH服务器组成的自动Farms,支持从一个共同的主VM镜像克隆,支持即时克隆、链接克隆或全克隆方式,交付发布的应用和共享桌面。
部署一套VMware虚拟桌面,必须在虚拟桌面资源池前端部署统一认证网关和连接服务器两个组件,并且是1:1的对应关系,这样的架构本身就有扩展性的问题存在。如果虚拟桌面资源池规模较大,需要多台连接服务器来处理,又带来了可用性问题——VMware将多台连接服务器的IP地址放在同一个域名下进行解析,由于没有健康检查机制,一旦单台连接服务器发生故障,而域名解析仍然对其轮询,就会导致部分终端无法连接虚拟桌面系统。这就需要部署负载均衡设备来解决这个问题。而Internet的连接安全问题又需要防火墙来通过相应端口的开放来解决。实现冗余的架构,以上所有硬件和软件都需要双机部署。综上所述,传统VMware虚拟桌面架构部署非常复杂。
而只要拥有一对F5 BIG-IP设备,我们可以取代防火墙、负载均衡和VMware统一认证网关设备,将这些组件的所有功能全部通过F5 BIG-IP设备来实现,极大地降低了部署的复杂性,消除单点故障,实现更高级的负载均衡和虚拟桌面应用交付。
F5可以取代以上复杂部署的各节点并简化架构的原因在于F5对虚拟桌面协议的支持。VMware通过PCoIP协议实现远程桌面影像投放问题,它是一种高效率的数据交换协议,采用了数据压缩、加密和连接优化技术,将远端桌面影像传输到客户端。F5 BIG-IP系统天生全代理的架构和对PCoIP协议的支持,实现虚拟桌面连接的分离——终端通过SSL协议,安全地连接到ICSA Lab认证的F5 BIG-IP设备,再通过基于TCP/UDP 4172端口的PCoIP协议连接到VMware连接服务器,以访问后台虚拟桌面资源池。
在Horizon View 7.0之后,VMware推出了新的Blast Extreme协议。它专门针对移动和云计算环境实现了影像传输优化——无论是局域网、广域网、移动数据网络,Blast 都能够分析当前的网络延迟、丢包状况,选择最优的网络传输方案,在比较糟糕的网络条件下也能提供较好的用户体验。如今,VMware在Horizon View的部署中,逐渐使用Blast Extreme协议来取代PCoIP协议,而F5是目前唯一一家支持Blast Extreme协议的应用交付厂商。换言之,在Horizon View 7.0之后,如果需要对VMware连接服务器实现负载均衡,或需要使用应用交付设备取代防火墙、VMware统一认证网关,目前F5是唯一一家支持的厂商(其架构如下图所示)。
◤2.2可用性和扩展性、智能的流量管理
一旦需要实现虚拟桌面系统的全局负载均衡或异地灾备,就需要将VMwareHorizon View系统跨越两个或更多的数据中心来部署。且出于性能和高可用性考虑,也会通过部署多个View Pod来实现。
F5可以在数据中心内部实现对VMwareHorizon View连接服务器实现负载均衡。这是F5 LTM传统的核心功能。F5也可以实现数据中心间的负载均衡和智能选路,使得多个Pod、多个数据中心看起来像一个单一的Pod或数据中心。
在多数据中心的Horizon View部署中,用户需要基于地理位置、最低延时,选择连接到最佳的数据中心,这往往需要配置和维护多个域名。而F5能通过单一的域名空间解决这个问题。
◤2.3 提升用户体验
VMware只支持基于源IP的会话保持。用户切换连接服务器时,源IP可能就会改变。
F5的LTM,APM和iRules,可以提供基于用户的登录凭据的会话保持。将用户一定时间内的再次请求连接到现有会话。该解决方案节省了大量的时间消耗,在会话保持超时时间内不会有重登录发生。对于部署Horizon View的客户来说,是一个巨大的价值。
目录
◤2.4 实现单点登录(SSO)
在传统解决方案中,登录到VMware虚拟桌面至少需要登录三次——本地登录、VPN登录、桌面登录,而使用F5 BIG-IP APM解决方案后,可以将三次登陆简化为一次,而且登陆之后可以为用户提供一个统一的Portal,用于连接各种应用(如下图所示)。
◤2.5简单、快速的部署
F5 iAPP是一个非常强大的功能,它内置了各种配置模版,以减少配置时间和增加复杂流量管理的准确性。它通过问答式的方式自动生成应用部署的配置,将以往需要几小时甚至几天完成的部署在几分钟内完成。iApps目前已集成了几十个常用的Http、LDAP、DNS等服务和通用商业软件的配置模板,其中当然包括VMware Horizon View。
对于VMware Horizon View,我们仅需回答11个问题,就可以在F5 BIG-IP设备上实现其快速部署,降低了人工配置错误率,易于复制、横向扩展。
三:融合解决方案总结
F5一直致力于提供服务帮助用户在所有IT环境中安全、可靠地部署应用。而VMware是F5实现这一目标的重要战略合作伙伴。
F5的智能应用服务技术与VMware领先的最终用户计算(EUC)解决方案的结合可提供完善、强大且安全的解决方案,满足客户想要提供办公移动性并确保目前以及将来控制和安全性的要求;而且该联合实施成本低且易于部署。
在该融合方案中,F5 BIG-IP LTM、DNS(GTM)和APM,可以提供安全访问以及面向VMware Horizon View简化的架构、优化的性能和更多的功能,实现更高的可用性,实现更智能的流量管理和单一的域名空间,并实现单点登录和统一的Portal。此外,F5iApp功能可显著提高部署速度,并提供规范性指导。
四:成功案例
案例一:国内某大型券商
用户在四大数据中心使用F5设备,取代防火墙和VMware统一认证网关,并为VMware连接服务器实现负载均衡,为用户5000+的虚拟桌面提供应用交付服务。
正常情况下,用户通过内网或公网登录预设的数据中心访问桌面服务。漫游情况下,用户通过内网或公网登录预设的数据中心访问原有的桌面。容灾切换情况下,用户通过内网或公网访问其他可用的数据中心,系统根据资源情况自动分配新的替代桌面。
案例二:国内某高科技公司
◆解决方案优势:
提供统一的广域接入:用户可通过不同类型的网络以及不同的自带设备(BYOD),通过可以通过Apple Mac、iPhone、iPad、Linux 平台以及Android设备,连接虚拟桌面系统并访问企业资源,确保为远程用户提供安全、快速的应用资源访问。
灵活强大的身份验证:与AAA服务器集成,包括Active Directory、LDAP、RADIUS和Fortinet SecureID,多种认证方式结合实现多因素认证。
VMware View无缝结合: F5支持VMware View 7.0 Blast 协议代理,替换View环境中的Security Server,提供更可靠,更安全的VDI服务。
凭证缓存,实现单点登录(SSO):为实现SSO提供了凭证缓存和代理服务,因此,用户只需登录一次即可访问经过批准的站点和应用。
动态访问控制:采用访问控制列表(ACL)提供访问认证,并在一个会话中为用户授予动态应用的4层和7层ACL。
强大的终端安全:根据访问策略实现认证用户的设备认证,以保护企业免遭病毒或恶意软件感染、数据丢失和恶意设备访问。
先进的可视化策略编辑器(VPE):基于GUI的先进的VPE使得分别或成组设计和管理精细的访问控制策略变得轻松易行。
◆用户收益:
认证集成的灵活度: 客户可以利用F5在多种双因子认证方式中进行选择,提高认证方式的灵活度,保证业务访问的安全性。
便利性: 采用基于SSL VPN及VDI远程连接方式,配合单点登录、实现远程员安全快速有效的连接到内部业务。
可编程: 设备拥有API接口以及SDK开发包,可支持自定义业务的二次开发。同时拥有iRules进行数据流的自定义编辑,达到应用部署的灵活性。
作者介绍:
2016年加入F5 Networks,担任解决方案顾问,毕业于南京邮电大学。曾在NEC、Jardine OneSolution、Alcatel-Lucent等知名IT公司担任系统工程师和架构师工作。有约10年IT行业工作经验。精通网络和虚拟化技术,并在存储、安全、应用交付、语音、无线等领域有深入研究,尤其对SDN、网络虚拟化、分布式存储、OpenStack等前沿IT技术保持着极高的热情和孜孜不倦的追求。持有三项Cisco CCIE认证(安全、语音、数据中心)和三项VMware VCP认证(数据中心虚拟化、网络虚拟化、桌面虚拟化)。曾主导多家跨国企业的中国区数据中心的架构设计。
点击文未“阅读原文”预约顾问面谈。