這是向虛擬化出發(一)中的 A部分詳細架構圖。整個虛擬架構主要是使用 RDP協調即 Remote Desktop Protocol來達成。由 Thin Client使用 RDP 連接到 Windows Terminal Server (以下簡稱 TS),再由 TS使用 RDP連接到 XEN的 Virtual Machines…看了這個架構圖後,可能大家會問為什麼不將 Thin Client 直接連到 XEN 的 Virtual Machine 呢?
首先我想說說為何我會有(想將虛擬化帶進公司)這個動機。據一些非正式統計,一間公司的工作站發生電腦病毒侵襲絕大部分是來自 Internet的下載,當中包括打開有問題的電子郵件、點選有問題的 hyperlink,下載軟體…等等。所以我想若果將這些高風險的 Applications例如:IE、Firefox、Outlook、MSN、QQ…全都放到單一的虛擬機器內,而將 In-House所用的 Applications則放到另一個虛擬機內。即情況會是這樣:
當使用者啟動 IE時,該 IE其實是在遠端的虛擬機內執行,然後把畫面傳回使用者的桌面,從而做到應用軟件隔離。沒錯,我最終目標是作出像 Citrix的XenApp的東西。至於如何達成 Citrix XenApp的效果,我會在稍後的章節示範我的土炮 RemoteApp。至於軟體上的呼叫架構,情況應如下圖:
這樣的好處是:
1. 即使當使用者從 Internet感染病毒後,所影響的範圍會大大縮小。當然,作為網管的我一經發現,即可手起刀落地將有問題的虛擬機停用,然而該使用者的工作仍可如常進行,影響有限。
2. 當有軟體上的更新,可集中處理。
3. 使用者桌面上可以同時執行多個具版本衝突的軟體,例如同時開啟IE8, IE7, IE6, Office 2000, Office XP, Office 2007…等等。
4. 有效地控制不同軟體所存取區域網絡上的資源範圍。例如: A程式祇可列印到 A網絡上的印表機…
5. 容易調節不同網絡所使用的頻寬,例如:A程式祇連上 A網絡作列印少許文件而已,所以頻寬要求不高,即該 VM可能放個 10Mbps Hubs也可以了。
6. 有效地限制使用者所能執行的程式。
7. 提高後端的 XEN Server使用率,例如某應用程式所需的 CPU時間很少,那麼不妨多執行多個VM了。
8. 可針對性應付特殊應用程式的要求。例如某單一應用程式必須最少要求一整顆64bit等級的處理器,2GB RAM, 100G硬盤可用空間…等等,除此之外,該使用者還需執行另一支程式。如果以前,一定沒他辦法,不過現在我們可輕鬆解決了,不就是給他一整台機作該應用程式的 VM 罷了。
9. 由於VM傳給 Terminal Service 的是 RDP 協調,而 Terminal Service 傳給 Thin Client 也是 RDP 協調。所以網絡上跑的祇有 RDP協調,祇要連接中的合適位置加入Firewall、IDP (Intrusion Detection and Prevention) 等裝置,便可大大提高安全性。
了解為何將 Applications 放於 VM 後,再回來說說為何加入 Windows Terminal Service,而不直接由 Thin Client 端連接…
將 Windows Terminal Service 放於 Thin Client 和 VM 之間的原因是:
1. Windows Terminal Service可以使用 Group Policy來提供安全性較高的使用者桌面。
2. 中央管理應用程式的觸發點,從而可輕易管理使用者可使用的遠端應用程式。
3. 輕易管理中央存取資源問題。大家先想想如果有以下網絡環境:
環境:單一區域網絡,多工作站連接一台網絡印表機。
問題:現在公司打算更換另一品牌的印表機。
傳統解決辦法:逐台工作站轉換印表機的驅動程式或連接方法等等…
加入Windows Terminal Service 後,利用 Remote Desktop Connection 已經可以直接存取本機印表機或其他資源,因此祇需轉換 Windows Server 的印表機驅動程式或連接方法即可。當使用者人數漸多時,這是很重要。
4. 可統一化Thin Client的軟體配置,因為每台 Thin Client都祇會連接這台 Terminal Server。
5. 由於每台 Thin Client的軟體配置一樣,所以可簡化 Office Administration事而。例如:某使用者從 A地點搬到 B地點,祇要使用者在 B地點的 Thin Client登入到該 Terminal Server即可叫回他自己的桌面,而無須把指定工作站遷移。
當然還有其他好處,我祇是略為我所感受的好處而已,當大家適應架構後應不難維護。然而,這樣的架構卻衍生出以下缺點:
1. 需要較多 XP的 RDL授權。
2. 需要額外的 Windows Server和 Terminal Service License
3. 整個架構複雜度提升了許多。
4. 當某一應用程式需要發出聲音時,難以實時傳回使用者的工作站。
5. 暫時未想到方案去解決使用者存取直接其USB儲存裝置或ID Key等識別裝置。
沒有留言:
張貼留言