track session ppt - track 4-1 vmware 1029 update

采用 VMware 下一代连接代理的 VDI —体系结构、安全性和部署方案

安浦

高级技术顾问

VMware

议题

Virtual Desktop Manager 2 概述

基本的单服务器部署

具有可扩展性和高可用性的多服务器部署

使用 Microsoft Active Directory 进行虚拟桌面授权的

验证和管理

RSA SecurID 验证

桌面池

DMZ 部署

问题

VDI 概览


VMware VDM 2VDM Connection Server

安装于 Windows Server 2003 上

VDM Client安装于 Windows 客户端 PC 上

VDM Agent安装于 Windows Virtual Desktop 客户操作系统上

支持的客户端设备包括

Windows（Vista、XP 及 Win2000）

Linux 和 Mac OS X

瘦客户端

单服务器部署

VDI 部署 — 要素

ESX 上运行的虚拟桌面



客户端设备



VirtualCenter

客户端设备



VirtualCenter

Active Directory

客户端设备

VDM 部署 — 单服务器


VirtualCenter

Active Directory

客户端设备

VDMConnection

Server



VirtualCenter

Active Directory

客户端设备

VDMConnection

Server

基于 Web 的管理

与 VirtualCenter 的集成

VDM Connection Server 与 VirtualCenter 紧密集成

支持使用多个 VirtualCenter 实例进行大规模 VDI 部署

用于对 ESX 上运行的虚拟桌面池进行管理

自动管理池的大小（根据需要扩大和缩小池）

自动控制电源操作（如暂停和恢复）

选择 VDM Connection Server 实例类型

多服务器部署

具有高可用性和可扩展性的多服务器部署

避免任何单点故障

体系结构的直接访问方式确保了每台服务器均可单独运行

可进行扩展，以支持大量虚拟桌面

首先会安装标准的（单实例）服务器

第二台及后续服务器将作为第一台服务器的副本实例来安装，并根据第一台服务器初始化数据

一个 VDM Connection Server 组将协同工作，通过 ADAM 目录服务共享相同的配置副本

任一服务器上的数据变更均会复制到其他所有服务器上

多服务器部署 — 安装

将第一台或唯一的一台 VDM Connection Server 服务器安装为独立实例



第二台服务器可以作为副本实例来安装，从第一台服务器上获取初始目录数据

如果两台服务器均在运行中，则任何一台服务器上的配置变更均会被立即复制到另一服务器上。如果其中一台发生故障，另一台可以单独运行。ADAM 用于在每台服务器上提供目录服务



第二台服务器可以作为副本实例来安装，从第一台服务器上获取初始目录数据

如果两台服务器均在运行中，则任何一台服务器上的配置变更均会被立即复制到另一服务器上。如果其中一台发生故障，另一台可以单独运行。ADAM 用于在每台服务器上提供目录服务

第三台或后续服务器也可以作为副本来安装，这样，所有服务器会作为一个服务器组来运行，从而复制一致的配置数据



VirtualCenter

Active Directory

客户端设备

VDMConnection

Server

VDM 部署 — 多服务器


VirtualCenter

Active Directory

客户端设备

VDMConnection

Server

负载平衡



VirtualCenter

Active Directory

客户端设备

VDMConnection

Server

负载平衡

AD 的使用

Microsoft ADAM 的使用

VDM Connection Server 的每个标准实例或副本实例中嵌入了一个 Active Directory Application Mode（ADAM）实例，用于提供目录服务（LDAP）ADAM 用于：

协同 Active Directory 进行验证

存储所有授权数据的配置（将虚拟桌面分配给各个用户或组等等）

VDM Connection Server 的其他所有软件配置

ADAM 授权过程可通过外部安全主体（Foreign Security Principal）获得 Windows 用户和组的相关信息。这样就无需执行与 AD 的复杂同步处理

使用 Microsoft ADAM 和 AD 进行验证

用户访问其虚拟桌面的过程如下：

连接至一个已启用且经授权的 VDM Connection Server可以连接至组内任何一个负载平衡的服务器

以 AD 用户名、域名及密码的形式提供正确凭据以便登录（通

过信任关系支持跨域登录）

这将利用 Active Directory 执行 Windows 登录

系统将检查授权信息，以确定用户有权使用哪个或哪些桌面

如果用户无权使用任何桌面，将被视为登录失败

一个桌面将被选定，从而开始进行会话

VDM 部署 — AD 验证


VirtualCenter

Active Directory

客户端设备 VDMConnection

Server

VDM 部署 — AD 验证


VirtualCenter

Active Directory


Server

利用 Active Directory 对用户进行验证

SecurID 验证

使用 RSA SecurID 进行验证

基于标记的“双要素”验证

VDM Connection Server 的可选功能

需要使用 RSA Authentication Manager用户首先使用其 Windows 域凭据进行验证

随后会要求用户输入其 SecurID PIN 码和标记编号（可选）

支持常用的 SecurID 界面功能，如 PIN 更改、重新输入标记

编号等

VDM 部署 — SecurID 验证


VirtualCenter

Active Directory


Server

RSA AuthenticationManager



VirtualCenter

Active Directory


Server





VirtualCenter

Active Directory


Server



SecurID 标记



VirtualCenter

Active Directory


Server

根据 Active Directory 对用户进行验证


验证 SecurID PIN 和标记编号

SecurID 记号

桌面池

桌面池

单个桌面

最简单的授权

为一个用户分配一个虚拟桌面

桌面池 — 不固定

多个用户有权使用多个桌面

自动管理池大小

动态分配 — 每次分配给用户的桌面可能会不同

桌面池 — 固定

多个用户有权使用多个桌面

自动管理池大小

固定分配 — 每次分配给用户同一桌面

DMZ 服务器部署

VDM 部署 — 应用 DMZ

为能从互联网访问企业 VDI 桌面，VDM Connection Server 支持部署 DMZ 内运行 VDM Connection Server 软件的部分功能的服务器会部署在 DMZ 内

Web 服务器和安全（HTTPS）渠道终端

不包含代理或目录服务功能

与安全区域内的完整 VDM Connection Server 实例协同运行

结合 DMZ 防火墙规则，DMZ 部署可确保只有通过验证的用户才

可以尝试连接到在安全区域内运行的桌面



VirtualCenter

Active Directory

客户端设备

VDMConnection

Server

负载平衡

VDM 部署 — 应用 DMZ


VirtualCenter

Active Directory

客户端设备

VDMSecurityServer

负载平衡

VDMConnection

Server

DMZ

VDM 部署 — DMZ 和内部应用


VirtualCenter

Active Directory

客户端设备（远程）

VDMSecurityServer

VDMConnection

Server

DMZ

客户端设备（内部）

有问题吗？

采用 VMware 下一代连接代理的 VDI —体系结构、安全性和部署方案

安浦

VMware

有关更多信息，请浏览 www.vmware.com/vdi

谢谢

拥抱虚拟世界，引领行业先锋

track session ppt - track 4-1 vmware 1029 update

Documents