SANGFOR虚拟化整体技术方案1(内部学习版)_XXXX0314

深信服虚拟化整体技术方案安全产品部内部学习版六月中旬产品正式发布目录SANGFOR在虚拟化领域的积累EasyConnect应用虚拟化产品核心SRAP高效传输协议虚拟安全桌面平台VSP、上网虚拟安全桌面SD深信服多年前已全面分析了虚拟化的市场趋势，并预估了虚拟化发展的大体方向，所以在4年前便开始投入虚拟化产品研发和进行技术储备。深信服在当前的市场环境下顺势而发，将于三季度发布服务器虚拟化VT+桌面虚拟化vDesk+瘦客户机aDesk一站式虚拟化解决方案。SANGFOR整体虚拟化交付体系后台应用系统应用服务器SRAP传输协议DeliveryController办公室人员移动人员服务器虚拟化：在应用服务器上部署Hypervisor，将服务器物理资源如CPU、内存、磁盘、I/O等抽象成逻辑资源，形成动态管理的“资源池”，并创建合适的虚拟服务器，实现服务器资源整合，提升资源利用率，最终更好地适应IT业务的变化。桌面虚拟化：在数据中心应用服务器上安装Windows桌面系统，用户使用各类终端设备登录DeliveryController虚拟桌面接入管理平台，通过高效SRAP协议获得对后台服务器上的Windows桌面的访问权限。应用虚拟化：在数据中心应用服务器上安装的业务系统客户端（例如OA、ERP等）并且在Deliverycontroller虚拟应用交付平台上进行发布，用户登录此平台可访问虚拟应用程序，而应用系统客户端运行在平台上，在网络中仅传输图像和指令信息，安全性得以保障。目录SANGFOR桌面虚拟化技术架构SANGFOR服务器虚拟化VT：搭建高可用性集群服务器环境，通过虚拟机提供桌面资源；SANGFOR桌面虚拟化vDesk：提供纯软件和硬件两种模式，进行桌面资源整理，利用SRAP交付给用户；SANGFOR瘦客户机aDesk：基于Android平台的终端设备，打造绿色办公环境；桌面虚拟化技术特点桌面资源在服务端运行界面推送到客户端设备通过高效的SRAP交付协议将运行在服务端的桌面图像交付给客户端；虚拟桌面接入管理平台提供身份认证、桌面资源整合及发布、访问控制、VPN加密等；仅需要少量带宽资源，可获得与本地桌面一致的操作体验；利用重定向技术支持瘦客户机外设映射；虚拟桌面接入管理平台便捷性设计•随时随地通过WEB方式接入实现虚拟桌面创建、发布等配置WEB控制台•瘦客户机aDesk采用即插即用模式，减少管理员初始化部署工作量即插即用模式•实现在DHCP的网络环境中，简单接线即可完成全自动化部署，并支持运行状态统一管理自动化部署•集成单点登录功能，实现系统快速登录单点登录•支持将资源生成桌面快捷方式图标，一键式访问桌面快捷方式安全性设计•仅传输键盘、鼠标、打印等指令信息及界面变化信息，不会传输实际的业务数据SRAP传输协议•集成SSL和国密办SM1、SM2等算法，加密传输有保障远程安全访问•可实现细粒度的访问策略控制，基于网络、用户、设备分配桌面资源策略化控制•集成短信认证、动态令牌、硬件特征码等用户认证机制，可实现与用户账号密码的集成认证组合用户认证•针对用户的后台数据存储进行加密隔离，提升个人数据安全性存储加密良好的用户体验•利用A9芯片内置的视频协议处理器，可以流畅地运行1080P的高清视频视频协议处理器•专利技术SRAP协议，实现传输效率比传统的微软RDP技术提高6倍以上高效桌面响应•提高远程应用发布访问音视频内容的速度和播放流畅度音视频重定向•合入H264编码、HTP、单边加速等优化机制SRAP协议栈优化性价比最高•国内唯一具有自主知识产权的高效桌面交付协议SRAP，并且覆盖服务器虚拟化、桌面虚拟化、瘦客户机全方位解决方案的厂商一站式解决方案•利用其独特的内存页面共享、虚拟机模板链接等技术节省计算和存储资源，提升虚拟桌面的部署密度和服务器资源的利用率虚拟机部署密度提高20%•独特的芯片架构和免费的Android操作系统，使得用户端的成本比其他瘦客户机降低了20%到30%，并且无需引入Citrix、VMware等价格昂贵的集成方案投资成本少设备分类：普通版和WIFI版瘦客户机桌面效果瘦客户机的云桌面目录SANGFOR应用虚拟化技术架构架构简单：利用SANGFOR服务器虚拟化技术搭建高性能终端应用服务器群，保障高可用性；应用发布：将服务器群指定的应用程序以虚拟图像的方式发布到各种终端，数据不落地；跨平台：支持PC、瘦客户机aDesk、IOS/Android平台的智能终端等。应用服务器应用虚拟化方案组件1、远程应用发布模块2、RemoteAppAgent3、RemoteAppClient4、应用程序客户端访问安全，降低业务风险可针对不同用户之间业务数据隔离及用户与终端服务器之间的数据交互权限，进行细粒度的权限控制，从而防止越权访问只有键盘输入、屏幕滑动和屏幕更新等少量数据通过网络传输，企业应用数据不会留存在智能终端设备上，有效保证了数据传输和访问的安全性具备用户名、硬件特征码、动态令牌等七种身份认证方式和授权机制，降低了用户接入的安全风险智能终端通过SSL协议接入，数据经过强加密后传输，保证了数据传输的安全性交付快速，提高办公效率图像缓存优化、动态内容过滤等技术，提升应用访问速度有损压缩、无损压缩等技术，大幅降低数据传输量自主研发的SRAP协议框架，比传统的RDP协议提高6倍以上传输速率独创的单边加速技术，极大地提升了传输效率使用便捷，提升用户体验独特模拟指针、模拟键盘、放大镜等技术，适应PC用户使用习惯；轻松实现与不同系统平台的文件共享支持并发多任务会话，轻松实现多程序切换；支持横竖屏快速切换，适应不同程序、页面的视觉要求支持30种以上快捷键（复制粘贴等），满足用户不同使用习惯支持调用本地输入法、打印机等本地资源；支持单指滚屏、双指滚屏等4种滚屏方式，方便易用性价比高，降低投资成本SDK软件开发工具包，快速完成移动应用的安全化，降低开发成本支持非对称集群，保护前期投资并发用户数性能较高占用服务器资源少，服务器部署成本较低典型客户案例目录服务器虚拟化技术分类寄居架构虚拟化系统平台安装在已有的主机操作系统（HostOS，宿主操作系统）之上，通过宿主机操作系统来管理和访问各类资源（如文件和各类I/O设备等)，如Workstation，MicrosoftVirtualServer等。这类虚拟化架构系统损耗比较大，很少在企业级应用中采用。原生架构（SANGFOR）此虚拟化架构不需要在服务器上先安装操作系统，而是直接将虚拟化系统平台中安装在服务器硬件设备中，以获得服务器的最佳性能，如CitrixXenserver、VmwareESXi、MicrosoftHyper-V等均属于这样的虚拟架构。本质上，可以认为虚拟化系统平台包含一个操作系统，只不过是非常轻量级的操作系统实现核心功能并有更多的安全机制。硬件设备操作系统虚拟化系统平台硬件设备虚拟化系统平台SANGFOR服务器虚拟化技术架构SANGFOR服务器虚拟化VT系统VMVMVMVMSANGFOR服务器虚拟化VT系统VMVMVMVM集中管理平台SANGFOR服务器虚拟化VT系统：作为物理服务器的虚拟化Hypervisor层，将服务器物理资源如CPU、内存、磁盘、I/O等抽象成逻辑资源，形成动态管理的“资源池”，并创建合适的虚拟服务器集中管理平台：虚拟服务器的统一控制点，可提供如访问控制、性能监控动态迁移、集群配置和虚拟机创建等功能；SANGFORHypervisor架构VirtualMachineSANGFORHypervisorDriverDriverDriverDriverConsoleOSVirtualMachineVirtualMachine1.利用标准驱动堆栈，支持最新硬件设备而无需更改代码2.为硬件辅助虚拟化而构建，无需仿真层，提升性能3.非常轻量级，采用SANGFOROS系统架构，具备多层的安全机制4.全中文WEB统一管理界面，简化配置和部署SANGFOR虚拟化数据中心架构存储网络服务器集群存储阵列SANGFORVTVMVMVMVMVM集中管理平台虚拟上网行为管理AC虚拟SSLVPN虚拟应用交付AD虚拟广域网优化WOC虚拟应用防火墙AF服务器虚拟化的基本功能•支持虚拟机镜像管理•支持虚拟机模板•支持虚拟机快照•支持客户机所有USB外设映射，支持摄像头、麦克风•支持相同内存页合并，以提高服务器虚拟化内存性能•支持虚拟机服务器集群（50台物理服务器）•支持多种存储（本地、NFS、SANISCSI、SANFC）•静态负载：虚拟机开机自动选择最佳物理服务器•物理服务器HA，只能检测到物理机的故障•虚拟机的网络和存储的I/O控制（非资源池模式）动态容量添加可扩展虚拟机热添加CPU内存热添加和删除存储设备网络设备热扩展虚拟磁盘以零宕机时间横向扩展虚拟机64GB4个CPU255GB8个CPU操作系统应用程序虚拟机动态迁移SANGFORVTSANGFORVTVMVMVMVM实现虚拟机动态迁移，而服务不中断利用迁移技术实现计划内服务器维护和升级支持主流存储环境如FC/iSCSI/NFS等高可用性HA保障SANGFORVTSANGFORVTSANGFORVTVMVMVMVMVMVM当物理服务器、操作系统、应用程序出现故障时，自动在正常服务器上重启故障恢复时间小于10秒无需增加集群软件成本，部署简单备用物理服务器依然可以运行虚拟机，达到资源最大化利用虚拟机HA辅助：检测到虚拟机内部发生软件故障时，自动执行故障恢复，网口bypass、自动重启、切换到备用虚拟机动态负载均衡和智能节电动态负载均衡：根据物理机的负载自动调整虚拟机运行位置1，新启动虚拟机，自动分配到有足够剩余资源的物理机运行2，已有物理机资源达到紧张状态，自动把部分虚拟机迁移到其他空闲的物理机，而不影响虚拟机的运行和业务（小于3秒）智能节电：1，负载低时，虚拟机自动迁移到少量主机，并关闭不使用的物理机2，按照时间段设置自动节电，达到耗电最小化目的存储在线迁移SANGFORVTVMVM虚拟机磁盘存储在线迁移，减少计划内停机迁移过程中虚拟机无需停机支持跨异构存储阵列执行实时的虚拟机磁盘文件迁移，同时保证全面的事务完整性存储动态负载均衡存储网络SANGFORVTVMVMSANGFORVTVMVM跨预分配的存储卷集群持续监视存储和存储I/O利用率智能调整存储资源以满足业务增长目标持续平衡存储空间负载和存储I/O负载，以简化调配、改进应用程序服务级别和改善可管理性分布式虚拟交换机SANGFORVTVMVMSANGFORVTVMVMSANGFORVTVMVMvSwitchvSwitchvSwitch分布式虚拟交换机实现跨物理机、集群级别的虚拟局域网逻辑上，虚拟交换机端口可以跟VM虚拟网卡连接，可以跟物理网卡连接，可以跟虚拟路由器、虚拟网络设备（AC、AD、WOC、VPN、AF）的虚拟端口相连接可靠性，任何一台物理机故障，不影响其他物理机上的虚拟交换机工作支持虚拟端口镜像，可以把指定端口数据镜像到某个虚拟端口虚拟路由器SANGFOR服务器虚拟化VT系统VMVMVMVM分布式虚拟交换机虚拟路由器功能说明：静态路由、基于ip/端口的过滤规则、NAT、提供DHCP、DNS服务路由器网口可以跟虚拟网卡、物理网卡、虚拟交换机等连接路由器内部配置直接在虚拟网络管理界面完成，无需另外登录路由器进行设置虚拟SANGFOR网络设备SANGFOR服务器虚拟化VT系统WOCVPNADAF分布式虚拟交换机支持虚拟防火墙（AF）、虚拟广域网优化（WOC）、虚拟VPN（SSLVPN）、虚拟上网行为管理（AC）、虚拟负载均衡（AD）ACVM虚拟资源池虚拟资源池SANGFOR服务器虚拟化VT系统VMVMVMVMVM在多台物理机组成集群时，形成虚拟的资源池，可以把集群计算资源按资源池划分给不同的VM使用实现限制资源池，即每个资源池可以配置资源使用的最高上限，不能超越该上限（后续实现保障资源池）资源包括：CPU