track session ppt - track 4-1 vmware 1029 update
TRANSCRIPT
议题
Virtual Desktop Manager 2 概述
基本的单服务器部署
具有可扩展性和高可用性的多服务器部署
使用 Microsoft Active Directory 进行虚拟桌面授权的
验证和管理
RSA SecurID 验证
桌面池
DMZ 部署
问题
Virtual Desktop Manager 2 概述
VMware VDM 2VDM Connection Server
安装于 Windows Server 2003 上
VDM Client安装于 Windows 客户端 PC 上
VDM Agent安装于 Windows Virtual Desktop 客户操作系统上
支持的客户端设备包括
Windows(Vista、XP 及 Win2000)
Linux 和 Mac OS X
瘦客户端
与 VirtualCenter 的集成
VDM Connection Server 与 VirtualCenter 紧密集成
支持使用多个 VirtualCenter 实例进行大规模 VDI 部署
用于对 ESX 上运行的虚拟桌面池进行管理
自动管理池的大小(根据需要扩大和缩小池)
自动控制电源操作(如暂停和恢复)
具有高可用性和可扩展性的多服务器部署
避免任何单点故障
体系结构的直接访问方式确保了每台服务器均可单独运行
可进行扩展,以支持大量虚拟桌面
首先会安装标准的(单实例)服务器
第二台及后续服务器将作为第一台服务器的副本实例来安装,并根据第一台服务器初始化数据
一个 VDM Connection Server 组将协同工作,通过 ADAM 目录服务共享相同的配置副本
任一服务器上的数据变更均会复制到其他所有服务器上
多服务器部署 — 安装
将第一台或唯一的一台 VDM Connection Server 服务器安装为独立实例
第二台服务器可以作为副本实例来安装,从第一台服务器上获取初始目录数据
如果两台服务器均在运行中,则任何一台服务器上的配置变更均会被立即复制到另一服务器上。如果其中一台发生故障,另一台可以单独运行。ADAM 用于在每台服务器上提供目录服务
多服务器部署 — 安装
将第一台或唯一的一台 VDM Connection Server 服务器安装为独立实例
第二台服务器可以作为副本实例来安装,从第一台服务器上获取初始目录数据
如果两台服务器均在运行中,则任何一台服务器上的配置变更均会被立即复制到另一服务器上。如果其中一台发生故障,另一台可以单独运行。ADAM 用于在每台服务器上提供目录服务
第三台或后续服务器也可以作为副本来安装,这样,所有服务器会作为一个服务器组来运行,从而复制一致的配置数据
Microsoft ADAM 的使用
VDM Connection Server 的每个标准实例或副本实例中嵌入了一个 Active Directory Application Mode(ADAM)实例,用于提供目录服务(LDAP)ADAM 用于:
协同 Active Directory 进行验证
存储所有授权数据的配置(将虚拟桌面分配给各个用户或组等等)
VDM Connection Server 的其他所有软件配置
ADAM 授权过程可通过外部安全主体(Foreign Security Principal)获得 Windows 用户和组的相关信息。这样就无需执行与 AD 的复杂同步处理
使用 Microsoft ADAM 和 AD 进行验证
用户访问其虚拟桌面的过程如下:
连接至一个已启用且经授权的 VDM Connection Server可以连接至组内任何一个负载平衡的服务器
以 AD 用户名、域名及密码的形式提供正确凭据以便登录(通
过信任关系支持跨域登录)
这将利用 Active Directory 执行 Windows 登录
系统将检查授权信息,以确定用户有权使用哪个或哪些桌面
如果用户无权使用任何桌面,将被视为登录失败
一个桌面将被选定,从而开始进行会话
VDM 部署 — AD 验证
ESX 上运行的虚拟桌面
VirtualCenter
Active Directory
客户端设备 VDMConnection
Server
利用 Active Directory 对用户进行验证
使用 RSA SecurID 进行验证
基于标记的“双要素”验证
VDM Connection Server 的可选功能
需要使用 RSA Authentication Manager用户首先使用其 Windows 域凭据进行验证
随后会要求用户输入其 SecurID PIN 码和标记编号(可选)
支持常用的 SecurID 界面功能,如 PIN 更改、重新输入标记
编号等
VDM 部署 — SecurID 验证
ESX 上运行的虚拟桌面
VirtualCenter
Active Directory
客户端设备 VDMConnection
Server
RSA AuthenticationManager
VDM 部署 — SecurID 验证
ESX 上运行的虚拟桌面
VirtualCenter
Active Directory
客户端设备 VDMConnection
Server
利用 Active Directory 对用户进行验证
RSA AuthenticationManager
VDM 部署 — SecurID 验证
ESX 上运行的虚拟桌面
VirtualCenter
Active Directory
客户端设备 VDMConnection
Server
利用 Active Directory 对用户进行验证
RSA AuthenticationManager
SecurID 标记
VDM 部署 — SecurID 验证
ESX 上运行的虚拟桌面
VirtualCenter
Active Directory
客户端设备 VDMConnection
Server
根据 Active Directory 对用户进行验证
RSA AuthenticationManager
验证 SecurID PIN 和标记编号
SecurID 记号
桌面池
单个桌面
最简单的授权
为一个用户分配一个虚拟桌面
桌面池 — 不固定
多个用户有权使用多个桌面
自动管理池大小
动态分配 — 每次分配给用户的桌面可能会不同
桌面池 — 固定
多个用户有权使用多个桌面
自动管理池大小
固定分配 — 每次分配给用户同一桌面
VDM 部署 — 应用 DMZ
为能从互联网访问企业 VDI 桌面,VDM Connection Server 支持部署 DMZ 内运行 VDM Connection Server 软件的部分功能的服务器会部署在 DMZ 内
Web 服务器和安全(HTTPS)渠道终端
不包含代理或目录服务功能
与安全区域内的完整 VDM Connection Server 实例协同运行
结合 DMZ 防火墙规则,DMZ 部署可确保只有通过验证的用户才
可以尝试连接到在安全区域内运行的桌面
VDM 部署 — 应用 DMZ
ESX 上运行的虚拟桌面
VirtualCenter
Active Directory
客户端设备
VDMSecurityServer
负载平衡
VDMConnection
Server
DMZ
VDM 部署 — DMZ 和内部应用
ESX 上运行的虚拟桌面
VirtualCenter
Active Directory
客户端设备(远程)
VDMSecurityServer
VDMConnection
Server
DMZ
客户端设备(内部)