桌面下载虚拟主机

VMwareView体系结构规划指南View4.
6ViewManager4.
6ViewComposer2.
6在本文档被更新的版本替代之前,本文档支持列出的每个产品的版本和所有后续版本.
要查看本文档的更新版本,请访问http://www.
vmware.
com/cn/support/pubs.
ZH_CN-000524-00VMwareView体系结构规划指南2VMware,Inc.
最新的技术文档可以从VMware网站下载:http://www.
vmware.
com/cn/support/pubs/VMware网站还提供最近的产品更新信息.
您如果对本文档有任何意见或建议,请把反馈信息提交至:docfeedback@vmware.
com版权所有2009–2011VMware,Inc.
保留所有权利.
本产品受美国和国际版权及知识产权法的保护.
VMware产品受一项或多项专利保护,有关专利详情,请访问http://www.
vmware.
com/go/patents-cn.
VMware是VMware,Inc.
在美国和/或其他法律辖区的注册商标或商标.
此处提到的所有其他商标和名称分别是其各自公司的商标.
VMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com北京办公室北京市海淀区科学院南路2号融科资讯中心C座南8层www.
vmware.
com/cn上海办公室上海市浦东新区浦东南路999号新梅联合广场23楼www.
vmware.
com/cn广州办公室广州市天河北路233号中信广场7401室www.
vmware.
com/cn目录VMwareView体系结构规划51VMwareView简介7使用VMwareView的优势7VMwareView功能9VMwareView组件如何组成在一起9集成并自定义VMwareView132规划丰富的用户体验15功能支持表15选择显示协议17在本地模式下使用View桌面的优势18访问本地计算机连接的USB设备19从View桌面打印19将多媒体文件流式传输到View桌面20使用单点登录功能登录View桌面20使用多个显示器显示View桌面203从中心位置管理桌面池21桌面池的优势21降低并管理存储要求22应用程序部署23使用ActiveDirectoryGPO管理用户和桌面244体系结构设计元素与规划指导原则25虚拟机要求25VMwareViewESX节点29特定类型员工的桌面池30桌面虚拟机配置32vCenter和ViewComposer虚拟机配置与桌面池上限34ViewConnectionServer最大连接数和虚拟机配置34ViewTransferServer虚拟机配置与存储35vSphere群集36VMwareView构建基块37VMwareView容器405安全功能规划41了解客户端连接41选择用户身份验证方法43限制View桌面访问45VMware,Inc.
3使用组策略设置保护View桌面46实施最佳实践来保护客户端系统47分配管理员角色47准备使用安全服务器47了解VMwareView通信协议516VMwareView环境设置步骤概述57索引59VMwareView体系结构规划指南4VMware,Inc.
VMwareView体系结构规划《VMwareView体系结构规划指南》主要介绍了VMwareView的主要功能和部署选项,并概述了如何在生产环境中设置VMwareView组件.
本指南回答了以下问题:nVMwareView能否解决您需要解决的问题n在您的企业中实施VMwareView解决方案是否是一种可行且经济高效的做法为帮助您保护已安装的VMwareView,本指南还针对一些安全功能进行了讨论.
目标读者本书所述信息面向IT决策制定者、体系结构人员、管理员和其他需要熟悉VMwareView组件及功能的读者.
通过了解这些信息,体系结构人员和规划人员可确定VMwareView是否能够满足企业向最终用户高效、安全地交付Windows桌面和应用程序的要求.
规划人员可借助示例体系结构了解进行大规模VMwareView部署所需达到的硬件要求及需要进行的设置工作.
VMware,Inc.
5VMwareView体系结构规划指南6VMware,Inc.
VMwareView简介1借助VMwareView,IT部门可在数据中心内运行虚拟桌面,并将桌面作为受管服务交付给员工.
最终用户可以获得熟悉的个性化环境,并可以在企业或家庭中的任何地方访问此环境.
将桌面数据置于数据中心,管理员可进行集中式管理,同时还能提高效率、增强安全性.
本章讨论了以下主题:n第7页,"使用VMwareView的优势"n第9页,"VMwareView功能"n第9页,"VMwareView组件如何组成在一起"n第13页,"集成并自定义VMwareView"使用VMwareView的优势使用VMwareView能有效提高企业桌面管理的可靠性、安全性、硬件独立性与便捷性.
可靠性与安全性通过将虚拟桌面与VMwarevSphere进行整合,并对服务器、存储和网络资源进行虚拟化,可实现对虚拟桌面的集中式管理.
将桌面操作系统和应用程序放置于数据中心的某个服务器上可带来以下优势:n轻松限制数据访问.
防止敏感数据被复制到远程员工的家用计算机.
n安排数据备份时无须考虑最终用户的系统是否关闭.
n数据中心托管的虚拟桌面不会或很少停机.
虚拟机可以驻留在具有高可用性的VMware服务器群集中.
虚拟桌面还能连接到后端物理系统和Windows终端服务服务器.
便捷性统一管理控制台可支持AdobeFlex上的扩展,即使最大规模的View部署也能通过单个ViewManager界面来有效管理.
向导和仪表板可提高工作效率,并有助于查看详细信息或更改设置.

图1-1展示了一个基于浏览器的ViewAdministrator用户界面.
VMware,Inc.
7图1-1显示仪表板视图的ViewManager管理控制台另外一项便捷功能是VMware远程显示协议PCoIP.
PCoIP(PC-over-IP)显示协议可提供与使用物理PC相同的最终用户体验:n在LAN中,显示速度较传统远程显示更快,且更流畅.
n在WAN中,该显示协议还能弥补因延迟增加或带宽减少导致的不便,确保最终用户在任何网络条件下均可保持高效.
可管理性您能够在很短的时间内部署最终用户的桌面.
无需在每个最终用户的物理PC上逐一安装应用程序.
最终用户可连接到应用程序齐备的虚拟桌面.
最终用户可以在不同地方使用各种设备访问同一个虚拟桌面.

使用VMwarevSphere托管虚拟桌面可带来以下优势:n简化管理任务和管理工作.
管理员无须访问用户的物理PC即可修补和升级应用程序和操作系统.
n简化存储管理.
借助VMwarevSphere,您可以虚拟化卷和文件系统,从而避免管理单独的存储设备.
硬件独立性虚拟机具有硬件独立性.
由于View桌面运行在数据中心内的某个服务器中,且只能从客户端设备访问,因此View桌面可以使用与客户端设备硬件不兼容的操作系统.
例如,尽管WindowsVista只能运行在支持Vista的PC上,但您可以将WindowsVista安装在虚拟机中,并在不支持Vista的PC上使用该虚拟机.
虚拟桌面可运行在PC、Mac、瘦客户端和作为瘦客户端使用的PC上.
VMwareView体系结构规划指南8VMware,Inc.
VMwareView功能VMwareView中包含的功能可支持可用性、安全性、集中式控制和可扩展性.
以下功能提供最终用户所熟悉的体验:n从虚拟桌面打印至客户端设备上定义的任何本地或网络打印机,或使用基于位置的打印功能映射到物理位置接近客户端系统的打印机.
虚拟打印机功能可消除兼容性问题,而且您不必在虚拟机上安装额外的打印驱动程序.
n使用多个显示器.
借助PCoIP多显示器支持,您可以分别调整每个显示器的分辨率和旋转角度.
n访问连接到可显示虚拟桌面的本地设备的USB设备和其他外围设备.
VMwareView提供了以下安全功能:n使用RSASecurID双因素身份验证或智能卡登录.
n使用SSL安全加密链路确保对所有连接进行完全加密.
n使用VMwareHighAvailability托管桌面并确保自动进行故障切换.
以下功能可用于进行集中式管理:n使用MicrosoftActiveDirectory管理对虚拟桌面的访问并管理策略.
n使用基于Web的管理控制台从任何位置管理虚拟桌面.
n使用模板或主映像快速创建和部署桌面池.
n在不影响用户设置、数据或首选项的情况下向虚拟桌面发送更新和修补程序.

可扩展性功能需要借助VMware虚拟化平台来管理桌面和服务器:n与VMwarevSphere集成,可帮助经济高效地部署虚拟桌面,实现虚拟桌面的高可用性,并提供高级资源分配控制.
n将ViewConnectionServer配置为在最终用户与授权其访问的虚拟桌面之间代理连接.
n用ViewComposer快速创建与主映像共享虚拟磁盘的桌面映像.
采用这种方法使用链接克隆,有助于节省磁盘空间和简化对操作系统的修补程序和更新的管理.
VMwareView组件如何组成在一起最终用户启动ViewClient登录ViewConnectionServer.
该服务器与WindowsActiveDirectory集成,通过它可以访问VMwareESX主机、刀片或物理PC或Windows终端服务服务器中托管的虚拟桌面.
图1-2显示了VMwareView部署中各主要组件之间的关系.
章1VMwareView简介VMware,Inc.
9图1-2VMwareView环境高级示例运行虚拟桌面虚拟机的ESX主机ViewConnectionServerViewAdministrator(浏览器)VMwarevCenterServer(带有ViewComposer)网络WindowsViewClientMacViewClientWindowsViewClientwithLocalMode瘦客户端虚拟桌面ESX主机VMVMVMVMVMVMVM虚拟机桌面OSappappappViewAgentMicrosoftActiveDirectory终端服务器刀片PC物理PC非vCenter虚拟机ViewAgentViewTransferServerThinApp客户端设备使用VMwareView的一大优势在于,最终用户可以在任何地点使用任何设备访问桌面.
用户可以通过公司的笔记本电脑、家用PC、瘦客户端设备或Mac访问其个性化虚拟桌面.
在Mac和Windows笔记本电脑及PC中,最终用户只需打开ViewClient就能显示View桌面.
瘦客户端设备使用View瘦客户端软件,您可以对其进行配置,使View瘦客户端成为用户在设备上唯一能直接启动的应用程序.
将传统PC作为瘦客户端桌面使用,可以使硬件的使用寿命延长三到五年.
例如,通过在瘦客户端桌面中使用VMwareView,您可以在旧版桌面硬件上使用WindowsVista等新型操作系统.
ViewConnectionServer该软件服务充当客户端连接的Broker.
ViewConnectionServer通过WindowsActiveDirectory对用户进行身份验证,并将请求定向到相应的虚拟机、物理或刀片PC或Windows终端服务服务器.
ViewConnectionServer提供了以下管理功能:n用户身份验证n授权用户访问特定的桌面和池n将通过VMwareThinApp打包的应用程序分配给特定桌面和池n管理本地和远程桌面会话VMwareView体系结构规划指南10VMware,Inc.
n在用户和桌面之间建立安全连接n支持单点登录n设置和应用策略在企业防火墙内,您需要安装和配置一个至少包含两个ViewConnectionServer实例的组.
其配置数据存储在一个嵌入式LDAP目录内,并且在组内各成员之间复制.
在企业防火墙外部,您可以在DMZ中安装ViewConnectionServer并将其配置为安全服务器.
DMZ中的安全服务器可与企业防火墙内的ViewConnectionServer进行通信.
安全服务器可确保唯一能够访问企业数据中心的远程桌面流量是通过严格验证的用户产生的流量.
用户只能访问被授权访问的桌面资源.

安全服务器提供了一个功能子集,且无需包含在ActiveDirectory域中.
您需要将ViewConnectionServer安装在WindowsServer2008服务器中,最好安装在VMware虚拟机中.
ViewClient此客户端软件用于访问View桌面,可在Windows或MacPC(作为本地应用程序)或瘦客户端上(如果安装了ViewClientforLinux)运行.
成功登录后,用户需要在其有权使用的虚拟桌面列表中进行选择.
身份验证需要使用ActiveDirectory凭据、UPN、智能卡PIN或RSASecurID令牌.
管理员可以将ViewClient配置为允许最终用户选择显示协议.
这些协议包括PCoIP、MicrosoftRDP和适用于HPBlade上托管的View桌面的HPRGS.
PCoIP协议的速度和显示质量可与物理PC媲美.
ViewClientwithLocalMode(之前被称为OfflineDesktop)是ViewClient的一个版本,现已经过扩展,允许最终用户下载虚拟机并在其本地系统上使用(无论是否连接网络).
具体功能根据您使用的ViewClient而异.
本指南主要介绍适用于Windows的ViewClient和适用于Mac的ViewClient,本指南未详细介绍以下客户端类型:nViewClientforLinux(仅通过认证的合作伙伴提供).
n各种第三方客户端(仅通过认证的合作伙伴提供).
nViewOpenClient(支持VMware合作伙伴认证计划).
ViewOpenClient并不是正式发布的View客户端,因此不具有与ViewClient同等的支持.
ViewPortal在WindowsPC或笔记本电脑中,最终用户可以打开Web浏览器并使用ViewPortal来下载、安装、更新并启动基于Windows的ViewClient.
自View4.
5起,ViewPortal可安装适用于Windows的完整ViewClient(包含或不包含本地模式).
要使用ViewPortal,最终用户需要打开InternetExplorer浏览器并输入ViewConnectionServer实例的URL.
ViewPortal提供了一个链接,可用于下载适用于Windows的ViewClient完整版安装程序.
ViewAgent您可以在所有用作View桌面源的虚拟机、物理系统和终端服务服务器上安装ViewAgent服务.
此代理通过与ViewClient进行通信来提供连接监视、虚拟打印和访问本地连接的USB设备等功能.
如果桌面源本身是一个虚拟机,您首先应当在该虚拟机上安装ViewAgent服务,然后再将其作为模板或链接克隆的父虚拟机使用.
从该虚拟机创建池时,该代理将自动安装到每个虚拟桌面上.

您可以在安装代理时选择单点登录选项.
使用单点登录后,用户只会在连接ViewConnectionServer时收到登录提示,下一次连接虚拟桌面时便不会收到提示.
章1VMwareView简介VMware,Inc.
11ViewAdministrator这款基于Web的应用程序能帮助管理员配置ViewConnectionServer、部署并管理View桌面、控制用户身份验证并排除最终用户遇到的问题.
ViewAdministrator应用程序会随ViewConnectionServer实例一起安装.
借助该应用程序,管理员无需在他们的本地计算机上安装应用程序,即可从任何地方管理ViewConnectionServer实例.
ViewComposer您需要将该软件服务安装在管理虚拟机的vCenterServer实例上.
然后,ViewComposer将可以从指定的父虚拟机创建链接克隆池.
这种方法可节约多达90%的存储成本.
每个链接克隆都像一个独立的桌面,带有唯一的主机名和IP地址,但不同的是,链接克隆与父虚拟机共享一个基础映像,因此存储需求明显减少.
由于链接克隆桌面池共享一个基础映像,因此您可以通过仅更新父虚拟机来快速部署更新和修补程序.
最终用户的设置、数据和应用程序均不会受到影响.
从View4.
5开始,您可以将链接克隆技术用于下载的View桌面,并将其检出在本地系统上使用.
vCenterServer该服务可充当联网VMwareESX主机的中心管理员.
vCenterServer(之前称作VMwareVirtualCenter)提供了在数据中心内配置、部署和管理虚拟机的中心点.
除了将这些虚拟机作为View桌面池的源,您还可以使用虚拟机来托管VMwareView的服务器组件,包括ConnectionServer实例、ActiveDirectory服务器和vCenterServer实例.
您可以将ViewComposer和vCenterServer安装在相同的服务器上,以创建链接克隆桌面池.
vCenterServer会管理向物理服务器和存储分配虚拟机的情况,以及向虚拟机分配CPU和内存资源的情况.
您需要将vCenterServer安装在WindowsServer2003或2008服务器中,最好安装在VMware虚拟机中.
ViewTransferServer该软件用于管理和简化数据中心与在最终用户本地系统上检出使用的View桌面之间的数据传输.
必须安装ViewTransferServer才能支持运行ViewClientwithLocalMode(之前被称为OfflineDesktop)的桌面.
有些操作需要用ViewTransferServer在vCenterServer的View桌面和客户端系统中相应的本地桌面之间发送数据.
n当用户检入或检出桌面时,ViewManager将对该操作进行授权和管理.
ViewTransferServer可以在数据中心和本地桌面之间传输文件.
nViewTransferServer可以将用户生成的更改复制到数据中心,从而使本地桌面与数据中心内的相应桌面同步.
复制操作将以您在本地模式策略中指定的时间间隔进行.
您也可以在ViewAdministrator中启动复制.
您可以设置策略,使用户能够从他们的本地桌面启动复制.
nViewTransferServer从数据中心向本地客户端分发一般系统数据,以使本地桌面保持最新.
ViewTransferServer将ViewComposer基础映像从映像存储库下载到本地桌面.
n如果本地计算机损坏或丢失,ViewTransferServer可以将数据和系统映像下载到本地桌面,从而部署本地桌面并恢复用户数据.
VMwareView体系结构规划指南12VMware,Inc.
集成并自定义VMwareView要增强组织中VMwareView的执行效率,您可以使用多个界面将VMwareView与外部应用程序集成,或是创建可以从命令行或批次模式运行的管理脚本.
将View与业务智能软件集成您可以将VMwareView配置为将事件记录到MicrosoftSQLServer或Oracle数据库.
n登录和启动桌面会话等最终用户操作.
n添加授权和创建桌面池等管理员操作.
n报告系统故障和错误的警告.
n统计采样,如记录24小时内的最大用户数量.
您可以使用CrystalReports、IBMCognos、MicroStrategy9和OracleEnterprisePerformanceManagementSystem等业务智能报告引擎来访问和分析事件数据库.
有关更多信息,请参阅《VMwareViewIntegration》(VMwareView集成指南)文档.
使用ViewPowerCLI创建管理脚本WindowsPowerShell是一种面向MicrosoftWindows的命令行与脚本环境.
PowerShell使用.
NET对象模型,为管理员提供管理和自动化功能.
要在其他控制台环境中使用PowerShell,您需要运行在PowerShell中被称为cmdlet的命令.
ViewPowerCLI为VMwareView提供了一个易于使用的PowerShell界面.
您可以使用ViewPowerCLIcmdlet在View组件上执行各种管理任务.
n创建和更新桌面池.
n将数据中心资源添加到完整虚拟机或链接克隆池.
n在链接克隆桌面上执行重新平衡、刷新或重构操作.
n对特定桌面或桌面池的使用情况进行取样.
n查询事件数据库.
n查询View服务的状态.
您可以将cmdlet与vSpherePowerCLIcmdlet结合使用,后者为VMwarevSphere产品提供了一个管理界面.
有关更多信息,请参阅《VMwareViewIntegration》(VMwareView集成指南)文档.
修改View中的LDAP配置数据当您使用ViewAdministrator修改VMwareView配置时,就会更新存储库中相应的LDAP数据.
VMwareView将其配置信息存储在兼容LDAP的存储库中.
例如,在您添加桌面池时,VMwareView会将与用户、用户组和授权相关的信息存入LDAP.
您可以使用VMware和Microsoft命令工具将LDAP配置数据以LDAP数据交换格式(LDIF)文件导入到VMwareView(或者从VMwareView导出).
这些命令仅面向希望用脚本来更新配置数据,而不使用ViewAdministrator或ViewPowerCLI的高级管理员.
章1VMwareView简介VMware,Inc.
13您可以使用LDIF文件执行多种任务.
n在ViewConnectionServer实例之间传输配置数据.
n定义桌面池等各种View对象,并将其添加到您的ViewConnectionServer实例,无需使用ViewAdministrator或ViewPowerCLI.
n备份您的View配置,在需要时还原ViewConnectionServer实例的状态.
有关更多信息,请参阅《VMwareViewIntegration》(VMwareView集成指南)文档.
使用SCOM监视View组件您可以使用MicrosoftSystemCenterOperationsManager(SCOM)监视VMwareView组件的状态和性能,其中包括ViewConnectionServer实例和安全服务器,以及这些主机上运行的View服务.
有关更多信息,请参阅《VMwareViewIntegration》(VMwareView集成指南)文档.
使用vdmadmin命令管理View在ViewConnectionServer实例上,您可以使用vdmadmin命令行界面执行各种管理任务.
您可以使用vdmadmin命令执行那些在ViewAdministrator用户界面中无法执行的管理任务,或者执行需要通过脚本自动运行的管理任务.
有关更多信息,请参阅《VMwareView管理指南》文档.
VMwareView体系结构规划指南14VMware,Inc.
规划丰富的用户体验2VMwareView可为最终用户提供熟悉的个性化桌面环境.
最终用户可以访问与本地计算机连接的USB和其他设备、将文档发送至本地计算机能够检测的任意打印机、使用智能卡进行身份验证以及使用多个显示器.

VMwareView拥有很多您希望为最终用户提供的功能.
在决定使用哪些功能前,您必须了解每项功能的局限和限制.
本章讨论了以下主题:n第15页,"功能支持表"n第17页,"选择显示协议"n第18页,"在本地模式下使用View桌面的优势"n第19页,"访问本地计算机连接的USB设备"n第19页,"从View桌面打印"n第20页,"将多媒体文件流式传输到View桌面"n第20页,"使用单点登录功能登录View桌面"n第20页,"使用多个显示器显示View桌面"功能支持表大部分Windows客户端操作系统均支持大多数功能,如访问本地USB设备、虚拟打印、Wyse多媒体重定向(MultimediaRedirection,MMR)、PCoIP和MicrosoftRDP显示协议.
您还需要考虑View桌面操作系统是否支持这些功能.
当您规划为最终用户提供哪些显示协议和功能时,可以使用以下表格来确定支持这些功能的客户端操作系统和代理(View桌面)操作系统.
WindowsVista系列包括WindowsVistaHome、Enterprise、Ultimate和Business版本.
Windows7系列包括Home、Professional、Enterprise和Ultimate版本.
对于Windows终端服务器,版本为Standard版.
表2-1View桌面(安装了ViewAgent)操作系统支持的功能功能WindowsXPHome/ProSP3(32位)WindowsVistaSP1、SP2(32位)Windows7(32位和64位)Windows2003/2003R2终端服务器SP2(32位)Windows2008SP2/2008R2终端服务器(64位)USB访问XXXRDP显示协议XXXXXPCoIP显示协议XXXVMware,Inc.
15表2-1View桌面(安装了ViewAgent)操作系统支持的功能(续)功能WindowsXPHome/ProSP3(32位)WindowsVistaSP1、SP2(32位)Windows7(32位和64位)Windows2003/2003R2终端服务器SP2(32位)Windows2008SP2/2008R2终端服务器(64位)HPRGS显示协议XXWyseMMRXXVirtualPrintingXXX智能卡XXXXXRSASecurIDXXXN/AN/A单点登录XXXXX多个显示器XXX通过RDP7本地模式XXX表2-2Windows客户端支持的功能功能WindowsXPHome/ProSP3(32位)WindowsVistaSP1、SP2(32位)Windows7(32位和64位)USB访问XXXRDP显示协议XXXPCoIP显示协议XXXHPRGS显示协议XXWyseMMRXXVirtualPrintingXXX智能卡XXXRSASecurIDXXX单点登录XXX多个显示器XXX本地模式XXX表2-3Mac客户端支持的功能功能MacOSX(10.
5,6)MacOSX(10.
6)USB访问RDP显示协议XXPCoIP显示协议HPRGS显示协议WyseMMRVirtualPrinting智能卡RSASecurIDXX单点登录XXVMwareView体系结构规划指南16VMware,Inc.
表2-3Mac客户端支持的功能(续)功能MacOSX(10.
5,6)MacOSX(10.
6)多个显示器本地模式此外,还有一些VMware合作伙伴提供了面向VMwareView部署的瘦客户端设备.
每种瘦客户端设备上的可用功能由供应商、设备型号以及企业选择使用的配置决定.
有关瘦客户端设备的供应商和型号的信息,请参见VMware网站上的《ThinClientCompatibilityGuide》(瘦客户端兼容性指南).
选择显示协议显示协议可以图形界面的形式向用户显示数据中心内的View桌面.
您可以采用MicrosoftRDP(RemoteDesktopProtocol,远程桌面协议)、适用于HP物理机的HPRGS或PCoIP(PC-over-IP).
您可以通过设置策略来控制使用哪种协议,也可以让最终用户在登录桌面时选择协议.

注意当您检出桌面在本地客户端系统中使用时,不会使用RDP或PCoIP远程显示协议.
VMwareView采用PCoIPPCoIP是VMware提供的一种新型高性能远程显示协议.
该协议适用于来自虚拟机、Teradici客户端和物理机(使用Teradici主机卡)上的View桌面.
PCoIP可弥补因延迟增加或带宽减少导致的不便,确保最终用户在任何网络条件下均可保持高效.
PCoIP针对LAN或WAN中广大用户,对图像、音频和视频内容的交付进行了优化处理.
PCoIP提供以下功能:n您最多可以使用4个显示器,并可以分别调整各显示器的分辨率,每个显示器的最大分辨率为2560x1600.
n您可以在本地系统与View桌面之间复制粘贴文本,但无法在系统之间复制粘贴文件夹和文件之类的系统对象.
nPCoIP支持32位色彩.
nPCoIP支持128位加密.
nPCoIP支持高级加密标准(AdvancedEncryptionStandard,AES)加密(默认启用).
n对于企业防火墙外部的用户,您可将该协议与公司虚拟专用网络或View安全服务器结合使用.
客户端硬件要求包括:n800Mhz或更快的处理器速度n具有SSE2扩展指令集、基于x86的处理器MicrosoftRDP远程桌面协议实际上就是人们从家用计算机访问办公计算机时使用的协议.
RDP可用于访问远程计算机上的所有应用程序、文件和网络资源.
MicrosoftRDP具有以下功能:n您能够在分屏模式下使用多个显示器.
n您可以在本地系统与View桌面之间复制粘贴文本,但无法在系统之间复制粘贴文件夹和文件之类的系统对象.
n您可以配置AdobeFlash内容使用的带宽,以增强整体Web浏览体验,提高其他应用程序的响应速度.
nRDP支持32位色彩.
章2规划丰富的用户体验VMware,Inc.
17nRDP支持128位加密.
n您可以采用该协议与企业DMZ中的View安全服务器建立安全加密连接.
HPRGS协议RGS是HP提供的显示协议,该协议允许用户通过标准网络访问远程物理计算机的桌面.

连接HPBladePC、HPWorkstation和HPBladeWorkstation时,您可以将HPRGS作为显示协议.
不支持与在VMwareESX主机上运行的虚拟机的连接.
HPRGS提供以下功能:n您能够在分屏模式下使用多个显示器.
n您可以配置AdobeFlash内容使用的带宽,以增强整体Web浏览体验,提高其他应用程序的响应速度.
VMwareView未捆绑或许可HPRGS.
请与HP联系,获得HPRGS5.
2.
5版的许可,以与VMwareView结合使用.
有关如何安装并配置HPRGS组件的信息,请参见以下网站上的HPRGS文档,网址为:http://www.
hp.
com.
在本地模式下使用View桌面的优势利用ViewClientwithLocalMode,用户可以将View桌面检出并下载到本地系统(如笔记本电脑).
管理员可以通过设置备份和连接服务器的频率、对USB设备的访问以及检入桌面的权限等策略,管理这些本地View桌面.
对于网络连接较差的远程办公室里的员工而言,应用程序在本地View桌面上的运行速度比远程桌面更快.
这样,用户无论是否连接到网络,都可以使用本地版本的桌面.

如果客户端系统已连接到网络,则检出的桌面将继续与ViewConnectionServer进行通信以提供策略更新,并确保本地缓存的身份验证标准为最新标准.
默认情况下,系统每隔5分钟会尝试一次连接.
ViewClientwithLocalMode是一项完全受支持的功能,在早期版本中是一个名为ViewClientwithOfflineDesktop的试验性功能.
本地模式的View桌面与同类远程桌面的运行方式相同,但可以利用本地资源.
延迟时间将会消除,性能也会得到改善.
用户与其本地View桌面断开连接后可以再次登录,而无需连接到ViewConnectionServer.
网络访问恢复后或用户就绪时,检出的虚拟机即可进行备份、回滚或检入.
利用本地资源本地桌面被检出之后即可利用本地系统上的内存和CPU资源.
例如,无论为vCenterServer中的虚拟机指定何种内存设置,超出主机和客户操作系统所需内存的可用内存都会供主机和本地View桌面使用.
同样,本地View桌面在本地系统上最多可自动使用两个可用CPU,您也可以将本地桌面配置为最多使用四个CPU.
虽然本地桌面可以利用本地资源,但是在ESX3.
5主机上创建的Windows7或WindowsVistaView桌面无法实现3D和WindowsAero效果.
即使将该桌面检出到Windows7或WindowsVista主机上本地使用时,同样会有这一限制.
仅使用vSphere4.
x创建的View桌面才能呈现WindowsAero和3D效果.
通过应用本地模式节省数据中心资源通过要求下载并仅在本地模式下使用View桌面,可以降低数据中心在带宽、内存和CPU资源方面的成本.
员工和承包商有时将此策略称为自备PC程序.
检出View桌面被检出时,vCenter会为其拍摄快照,以保留虚拟机状态.
vCenterServer版本的桌面会被锁定,使其他用户无法进行访问.
锁定View桌面后,将禁用vCenterServer操作,包括启动联机桌面、拍摄快照、编辑虚拟机设置等.
但View管理员仍然可以监视本地会话和访问vCenterServer版本的桌面,以移除访问或回滚桌面.
VMwareView体系结构规划指南18VMware,Inc.
备份备份过程中,会在客户端系统上拍摄快照,以保留已检出虚拟机的状态.
此快照与vCenter中的快照之间的增量数据将被复制到vCenter中,并与vCenter中的快照数据合并在一起.
vCenterServer中的View桌面会使用所有新数据和配置进行更新,但本地桌面仍保持检出到本地系统中的检出状态,并在vCenterServer中保持锁定.
回滚在回滚过程中,系统会丢弃本地View桌面并解锁vCenterServer中的相应桌面.
以后的客户端连接会定向到vCenterServer中的View桌面,直到桌面再次被检出.
检入View桌面被检入时,客户端系统会为其拍摄快照,以保留虚拟机状态.
此快照与vCenter中的快照之间的增量数据将被复制到vCenter中,并与vCenter中的快照数据合并在一起.
vCenterServer中的虚拟机将解锁.
以后的客户端连接会定向到vCenterServer中的View桌面,直到桌面再次被检出.
每个本地系统中的数据均用AES进行加密.
默认情况下为128位加密,不过您可以配置为192位或256位加密.
桌面的生命周期会通过策略加以控制.
如果客户端与ViewConnectionServer失去连接,与服务器断开连接的最长时间就是用户访问被拒绝之前可以继续使用桌面的时间.
同样,如果移除用户访问,则在缓存过期或客户端通过ViewConnectionServer检测到该变更后,客户端系统将无法访问.
ViewClientwithLocalMode存在以下局限:n您必须拥有包含LocalMode组件的View许可证.
n执行回滚和检入操作时,最终用户无法访问其本地桌面.
n只有受vCenterServer管理的虚拟机才具有此功能.
n本地桌面不支持分配用VMwareThinApp创建的应用程序包.
n出于安全性原因,您无法从View桌面访问主机CD-ROM.
n同样出于安全性原因,您无法在本地系统和View桌面之间复制和粘贴文本或系统对象,如文件和文件夹.
访问本地计算机连接的USB设备管理员可以配置从View桌面使用各种USB设备的能力,如使用U盘、VoIP(IP语音)设备和打印机.
这种功能称为USB重定向.
使用此功能时,可以从ViewClient的菜单中访问大多数本地客户端系统连接的USB设备.
您可以使用此菜单来连接和断开设备.
菜单中未显示、但可在View桌面中使用的USB设备包括智能卡读卡器和人机界面设备(如键盘和指针设备).
View桌面和本地计算机可同时使用这些设备.
此功能存在以下局限:n当您从ViewClient的菜单中访问USB设备并在View桌面中使用该设备时,将无法在本地计算机上访问该设备.
nUSB重定向无法在Microsoft终端服务器提供的View桌面或Windows2000系统上使用.
从View桌面打印借助虚拟打印功能,Windows系统上的View客户端最终用户可从View桌面使用本地或网络打印机,而不必在View桌面上安装额外的打印驱动程序.
在此功能可以使用的打印机上,您可以设置数据压缩、打印质量、双面打印和色彩等属性的首选项.
打印机被添加到本地Windows计算机后,View会将其加入到View桌面的可用打印机列表.
无需进行进一步配置.
拥有管理员特权的用户仍然可以在View桌面上安装打印机驱动程序,且不会与虚拟打印组件发生冲突.
章2规划丰富的用户体验VMware,Inc.
19要将打印作业发送到USB打印机,可以使用USB重定向功能或虚拟打印功能.
此外,从View4.
5开始,IT组织将可以通过基于位置的打印功能将View桌面映射到与终端客户端设备最接近的打印机.
以医生为例,无论他在医院的哪个房间打印文档,其打印作业都会发送到最近的一台打印机.

将多媒体文件流式传输到View桌面WyseMMR(多媒体重定向)支持将多媒体文件流式传输到View桌面后高保真回放多媒体文件.
由于本地解码器必须安装在客户端上,因此MMR功能可支持客户端系统支持的媒体文件格式.
支持的文件格式包括MPEG2、WMV、AVI和WAV等.
此功能存在以下局限:n为获得最佳质量,请使用WindowsMediaPlayer10或更高版本,并将其安装到本地计算机(或客户端访问设备)和View桌面.
n您必须将WyseMMR的端口(默认端口号为9427)添加为View桌面的防火墙例外规则.
nWindows7客户端或虚拟桌面不支持MMR.
尽管Windows7虚拟桌面不支持MMR,但是当Windows7桌面具有1GBRAM和2个虚拟CPU时,您可以在原始分辨率下通过PCoIP播放480p和720p格式的视频.
如果播放1080p格式的视频,您可能需要调整窗口使之不超过全屏大小.
使用单点登录功能登录View桌面单点登录(Single-Sign-On,SSO)功能允许您对ViewManager进行配置,使系统仅向最终用户发出一次登录提示.
如果您未使用单点登录功能,最终用户就必须登录两次.
系统首先提示他们登录ViewConnectionServer,然后提示登录View桌面.
如果还使用了智能卡,最终用户就必须登录三次,因为用户还必须在智能卡读卡器提示他们输入PIN时进行登录.
SSO作为可选组件实施,您可以在为桌面源安装ViewAgent时选择是否安装该组件.
此功能包含适用于WindowsXP的图形标识和身份验证(GraphicalIdentificationandAuthentication,GINA)动态链接库和适用于WindowsVista的凭据提供程序动态链接库.
使用多个显示器显示View桌面无论使用何种显示协议,您都可以使用多个显示器显示View桌面.
如果您采用了VMware的PCoIP显示协议,则可以分别调整每个显示器的分辨率和旋转角度.
PCoIP支持真正的多显示器会话,而不是分屏模式会话.
分屏模式远程会话实际上是一个单显示器会话.
所有显示器的尺寸和分辨率必须相同,显示器布局必须位于边界框内.
如果您最大化应用程序窗口,则这个窗口将跨所有显示器显示.
在真正的多显示器会话中,显示器可以采用不同的分辨率和尺寸,而且可以旋转.
如果您最大化应用程序窗口,则仅在该应用程序窗口所在的显示器中全屏显示该窗口.
此功能存在以下局限:n您最多只能使用10个(如采用RDP显示协议)或4个(如采用PCoIP显示协议)显示器显示View桌面.
n如果您采用MicrosoftRDP显示协议,则必须在View桌面中安装Microsoft远程桌面连接(RemoteDesktopConnection,RDC)6.
0或更高版本.
n如果您在本地模式下使用View桌面,不会用到远程显示协议.
您能够在分屏模式下使用多个显示器.
VMwareView体系结构规划指南20VMware,Inc.
从中心位置管理桌面池3您可以创建包含一个或数百个虚拟桌面的桌面池.
您可以将虚拟机、物理机和Windows终端服务服务器作为桌面源使用.
创建一个虚拟机并将其用作基础映像后,VMwareView便可通过该映像生成大量虚拟桌面.
您可以通过VMwareThinApp将应用程序轻松地安装或流式传输到池中.
本章讨论了以下主题:n第21页,"桌面池的优势"n第22页,"降低并管理存储要求"n第23页,"应用程序部署"n第24页,"使用ActiveDirectoryGPO管理用户和桌面"桌面池的优势借助VMwareView,您可以创建桌面池,并将桌面池部署为VMwareView进行集中管理的基础.
您可以通过以下来源创建虚拟桌面池:n物理桌面PC或Windows终端服务服务器等物理系统n在ESX主机上托管并由vCenterServer管理的虚拟机n运行于VMwareServer或其他支持ViewAgent的虚拟化平台上的虚拟机如果将vSphere虚拟机作为桌面源使用,您可以按需要自动生成任意数量的相同虚拟桌面.
您可以设置为池生成的虚拟桌面数量的最大值和最小值.
设置这些参数可确保您始终能够获得足够的View桌面来使用,同时又不会生成过多的桌面浪费可用资源.
使用池来管理桌面,您可以对池中的所有虚拟桌面应用设置或部署应用程序.
以下示例介绍了一些可用设置:n指定View桌面默认使用的远程显示协议,以及是否允许最终用户重写默认值.
n配置AdobeFlash动画的显示质量和带宽调节.
n如果使用虚拟机,则可以指定是否在不使用虚拟机时将其关闭或删除.
n如果使用vSphere4.
1,则指定是否使用MicrosoftSysprep自定义规范或VMware的QuickPrep.
Sysprep为池中的每个虚拟机生成唯一的SID和GUID.
n指定是否可以或必须下载View桌面,并在本地客户端系统上运行.
VMware,Inc.
21此外,使用桌面池可带来很多便利.
专用分配池每个用户都被分配了一个特定的View桌面,并在每次登录时返回同一个虚拟桌面.
用户可以个性化定制其桌面、安装应用程序和存储数据.
浮动分配池在每次使用虚拟机后可选择性地删除并重新创建虚拟机,从而形成高度可控的环境.
浮动分配桌面就像一个计算机实验室或Kiosk环境,其中的每个桌面都加载了必要的应用程序,而且所有桌面都能访问所需的数据.
利用浮动分配池,您还可以创建可供轮班制用户使用的桌面池.
例如,包含100个桌面的池可供300名轮班制用户(每班100个用户)使用.
降低并管理存储要求使用由vCenterServer管理的虚拟桌面,实现了以前只有经过虚拟化的服务器才能实现的存储效率.
由于池中的所有桌面与基础映像共享一个虚拟磁盘,因此使用ViewComposer有助于节约存储空间.
n使用vSphere管理存储第22页,VMwarevSphere可以对磁盘卷和文件系统进行虚拟化,这样您在管理和配置存储时,就无需考虑数据的物理存储位置.
n使用ViewComposer降低存储要求第22页,ViewComposer可创建与基础映像共享虚拟磁盘的桌面映像,因此您可以将存储容量需求降低50%到90%.

使用vSphere管理存储VMwarevSphere可以对磁盘卷和文件系统进行虚拟化,这样您在管理和配置存储时,就无需考虑数据的物理存储位置.
VMwarevSphere支持光纤通道SAN阵列、iSCSISAN阵列和NAS阵列等目前广泛应用的存储技术,用以满足各种数据中心存储需求.
存储阵列通过存储区域网络与各个服务器组相连,并在各服务器组之间共享存储资源.
采用这种结构能够聚合存储资源,还能更加灵活地将这些资源分配给虚拟机.

利用View4.
5及更高版本和vSphere4.
1及更高版本,您现在还可以使用以下功能:nvStorage精简部署,初期仅部署所需的磁盘空间,随后再逐渐增加磁盘容量n分层存储,通过View环境在高性能存储和低成本存储层级之间分配虚拟磁盘,尽可能提高性能并节约成本nESX主机上的本地存储,用于存放客户操作系统中的虚拟机交换文件使用ViewComposer降低存储要求ViewComposer可创建与基础映像共享虚拟磁盘的桌面映像,因此您可以将存储容量需求降低50%到90%.
ViewComposer使用基础映像或父虚拟机,可创建最多包含512个链接克隆虚拟机的池.
每个链接克隆都像一个独立的桌面,带有唯一的主机名和IP地址,但链接克隆的存储需求明显较少.
当您创建链接克隆桌面池时,首先需要从父虚拟机创建一个完整克隆.
完整克隆(或副本)以及与之链接的克隆可存储在相同的数据存储或LUN(逻辑单元号)上.
如有必要,您可以使用重新平衡功能在不同的LUN之间移动副本和链接克隆.
此外,您也可以将ViewComposer副本和链接克隆分别存放在具有不同性能特征的数据存储中.
例如,您可以将副本虚拟机存储在固态磁盘(SSD)中.
固态磁盘具有低存储容量和高读取性能,通常支持的每秒I/O次数(IOPS)能达到上万次.
您可以将链接克隆存储在以传统旋转介质作为后端的数据存储中.
这种磁盘性能较低,但价格相对低廉,并具有较高存储容量,因此适合存储大型池中的大量链接克隆.
分层存储配置能够经济高效地处理密集I/O负载,如同时重新启动大量虚拟机,或者运行计划内的病毒扫描任务.
VMwareView体系结构规划指南22VMware,Inc.
创建链接克隆池时,您可以选择配置一个单独的一次性虚拟磁盘,用来存储客户操作系统在用户会话期间生成的页面文件和临时文件.
虚拟机关闭后,ViewManager将删除一次性磁盘.
使用一次性磁盘可以减缓链接克隆的增长速度,同时降低已关闭虚拟机所占用的空间,这些都有助于节省存储空间.

当您创建专用分配桌面池时,ViewComposer可选择性为每个虚拟桌面创建各自的永久虚拟磁盘.
最终用户的Windows配置文件和应用程序数据将保存在永久磁盘中.
刷新、重构或重新平衡链接克隆时,永久虚拟磁盘中的内容会被保留.
VMware建议您将ViewComposer永久磁盘存储在单独的数据存储中.
这样便可以备份保存永久磁盘的整个LUN.
有关更多信息,请参阅名为《StorageConsiderationsforVMwareView》(VMwareView的存储注意事项)的最佳实践指南.
应用程序部署利用VMwareView,您在部署应用程序时中便拥有了多种选择:您可以采用传统应用程序部署技术,可以分发由VMwareThinApp创建的应用程序包,或者将应用程序部署为ViewComposer基础映像的一部分.
n使用ViewComposer部署应用程序和系统更新第23页,由于链接克隆桌面池共享一个基础映像,因此您可以通过更新父虚拟机来快速部署更新和修补程序.

n在ViewAdministrator中管理VMwareThinApp应用程序第23页,VMwareThinApp能帮您将应用程序封装到可在虚拟化应用程序沙箱中运行的单独文件中.
采用这种方法可以灵活地部署应用程序,而且不会产生冲突.
n使用现有流程部署应用程序第24页,利用VMwareView,您可以继续沿用公司目前采用的应用程序部署技术.
由此会产生两个新问题,即如何管理服务器CPU利用率和存储I/O,以及确定是否允许用户安装应用程序.
使用ViewComposer部署应用程序和系统更新由于链接克隆桌面池共享一个基础映像,因此您可以通过更新父虚拟机来快速部署更新和修补程序.

借助重构功能,您可以修改父虚拟机、拍摄新状态的快照并向全部或部分用户及桌面提供新版本映像.
您可以使用此功能执行以下任务:n应用操作系统和软件修补程序及升级n应用服务包n添加应用程序n添加虚拟设备n更改其他虚拟机设置,如可用内存创建包含用户设置和其他用户生成数据的ViewComposer永久磁盘.
永久磁盘不受重构操作影响.
您可以在删除链接克隆时保留用户数据.
在员工离开公司后,另一位员工可以访问他的用户数据.
拥有多个桌面的用户可以将用户数据整合到一个桌面上.
如果希望禁止用户添加、删除软件或更改设置,您可以使用刷新功能将桌面恢复到默认值.
此功能还可以减小链接克隆的大小(链接克隆的大小会不断增长).
在ViewAdministrator中管理VMwareThinApp应用程序VMwareThinApp能帮您将应用程序封装到可在虚拟化应用程序沙箱中运行的单独文件中.
采用这种方法可以灵活地部署应用程序,而且不会产生冲突.
ThinApp通过可将应用程序从底层操作系统及其库和框架中分离,并将应用程序捆绑到一个可执行文件(称为应用程序包)来提供应用程序虚拟化.
从View4.
5起,您可以使用ViewAdministrator将ThinApp应用程序分发到桌面和池.
章3从中心位置管理桌面池VMware,Inc.
23当您使用ThinApp创建虚拟化应用程序后,就可以从共享文件服务器中流式处理应用程序,或者将应用程序安装到虚拟桌面.
如果您要配置虚拟化应用程序以进行流式处理,则必须解决以下架构问题:n特定用户组对存储应用程序包的特定应用程序存储库的访问权限n应用程序存储库的存储配置n流式处理过程中产生的网络流量(很大程度上取决于应用程序的类型)对于经过流式处理的应用程序,用户可以用桌面快捷方式启动.
如果您要分配ThinApp包使其能够安装到虚拟桌面,所需考虑的架构问题与使用基于MSI的传统软件部署方法时需要解决的问题类似.
应用程序存储库的存储配置问题涉及到经过流式处理的应用程序和虚拟桌面中安装的ThinApp包.
注意以本地模式下载和使用的View桌面不支持分配用VMwareThinApp创建的应用程序包.
使用现有流程部署应用程序利用VMwareView,您可以继续沿用公司目前采用的应用程序部署技术.
由此会产生两个新问题,即如何管理服务器CPU利用率和存储I/O,以及确定是否允许用户安装应用程序.
如果您将应用程序同时推送到大量虚拟桌面,便会发现CPU利用率和存储I/O将大幅增加.
这些峰值工作负载会极大影响桌面的性能.
因此,最好将应用程序更新安排在非高峰时段进行,如有可能请交错更新桌面.
您还必须验证您的存储解决方案是否支持此类工作负载.
如果您的公司允许用户安装应用程序,您可以继续沿用当前策略,但却无法充分利用ViewComposer的功能,如刷新和重构桌面.
利用ViewComposer,如果某个应用程序未虚拟化或者包含在用户的配置文件或数据设置中,ViewComposer执行刷新、重构或重新平衡操作时便会放弃该应用程序.
在很多情况下,这种可以严格控制要安装哪些应用程序的功能是一项优势.
由于ViewComposer桌面采用与已知可行配置类似的配置,因此您可以轻松支持这些桌面.
如果用户强烈要求安装自己的应用程序并使这些应用程序在虚拟桌面的生命周期内永久可用,您可以创建完整永久桌面并允许用户安装应用程序,而不使用ViewComposer部署应用程序.
使用ActiveDirectoryGPO管理用户和桌面VMwareView包含很多组策略管理(ADM)模板,可用于集中管理与配置View组件和View桌面.
将这些模板导入到ActiveDirectory后,您就可以用它们来设置应用于以下组和组件的策略:n所有系统(无论由哪个用户登录)n所有用户(无论登录哪个系统)nViewConnectionServer配置nViewClient配置nViewAgent配置应用GPO后,属性将存储在特定组件的本地Windows注册表中.
您可以使用GPO设置能够从ViewAdministrator用户界面(UserInterface,UI)中获得的所有策略.
也可以使用GPO设置不能从UI中获得的策略.
有关可通过ADM模板实现的设置的完整列表和描述,请参阅《VMwareView管理指南》文档.
VMwareView体系结构规划指南24VMware,Inc.
体系结构设计元素与规划指导原则4典型的VMwareView体系结构设计采用构建基块策略来实现可扩展性.
由于硬件配置、所用的View和vSphere软件版本以及其他特定环境设计因素的不同,各构建基块的定义可能存在差异.

本章将介绍一个经过验证的构建基块示例,此构建基块由使用vSphere4.
1并且最多支持2000个虚拟桌面的组件组成.
整个部署中集成了5个这样的构建基块,一个"容器"中总共有10000个虚拟桌面.
此体系结构的标准可扩展设计足以适应各种企业环境及特定要求.
本章详细介绍了有关内存、CPU、存储容量、网络组件和硬件需求的重要细节,为IT体系结构人员和规划人员提供了实用的VMwareView解决方案部署指导.
本章讨论了以下主题:n第25页,"虚拟机要求"n第29页,"VMwareViewESX节点"n第30页,"特定类型员工的桌面池"n第32页,"桌面虚拟机配置"n第34页,"vCenter和ViewComposer虚拟机配置与桌面池上限"n第34页,"ViewConnectionServer最大连接数和虚拟机配置"n第35页,"ViewTransferServer虚拟机配置与存储"n第36页,"vSphere群集"n第37页,"VMwareView构建基块"n第40页,"VMwareView容器"虚拟机要求在规划View桌面规格时,您所选择的RAM、CPU和磁盘空间配置将对您的服务器、存储硬件和开销情况产生重要影响.
n基于员工类型的规划第26页,包括RAM、CPU和存储大小在内的很多配置元素的要求,很大程度上取决于使用虚拟桌面的员工类型和必须安装的应用程序.
n估算虚拟桌面的内存要求第26页,服务器RAM的成本往往要高于PCRAM成本.
RAM成本在整个服务器硬件成本和所需存储总量中占据了很大比例,因此确定合适的内存分配量对规划桌面部署至关重要.
VMware,Inc.
25n估算虚拟桌面的CPU要求第28页,在估算CPU时,您必须收集有关各类企业员工平均CPU利用率的信息.
另外,还要额外计算10%到25%的处理能力,用以满足虚拟化开销和峰值期间的使用需要.
n选择合适的系统磁盘大小第29页,在分配磁盘空间时,还要为操作系统、应用程序和用户可能会安装或生成的其他内容提供足够的空间.

这个容量通常低于物理PC磁盘的容量.
基于员工类型的规划包括RAM、CPU和存储大小在内的很多配置元素的要求,很大程度上取决于使用虚拟桌面的员工类型和必须安装的应用程序.
规划体系结构时,可将员工分为以下几个类型.
任务型员工任务型员工和管理型员工通常在固定的计算机设备上使用少数应用程序执行重复的任务.
与知识型员工使用的应用程序相比,这些应用程序往往不需要消耗大量的CPU和内存资源.
按特定轮班制度工作的任务型员工可能会在同一时间登录虚拟桌面.
任务型员工包括呼叫中心分析人员、零售员工和库房员工等.

知识型员工知识型员工的日常工作包括访问Internet、使用电子邮件和创建复杂文档、演示文稿及电子表格.
知识型员工包括会计、销售经理和市场调研分析师等.

超级用户超级用户包括应用程序开发人员和使用图形密集型应用程序的用户.
仅以本地模式使用桌面的员工这些用户下载并只在其本地系统上运行View桌面,这样可以降低数据中心的带宽、内存和CPU资源成本.
安排复制任务可确保备份系统和数据.
由管理员配置最终用户系统与ViewManager的通信频率,避免系统锁定.
Kiosk用户这些用户需要共享公共位置的桌面.
典型的Kiosk用户包括:教室内使用共享计算机的学生、护理工作站的护士以及用于工作安排和人员招聘的计算机等.

这些桌面需要自动登录.
如果需要,可以通过特定的应用程序来进行身份验证.

估算虚拟桌面的内存要求服务器RAM的成本往往要高于PCRAM成本.
RAM成本在整个服务器硬件成本和所需存储总量中占据了很大比例,因此确定合适的内存分配量对规划桌面部署至关重要.
如果分配的RAM过低,存储I/O将因为频繁的内存交换而受到负面影响.
如果分配的RAM过高,客户操作系统的页面文件和每个虚拟机的交换文件和挂起文件将变得非常大,会对存储容量产生不利影响.

注意该主题解决了远程访问View桌面时的内存分配问题.
如果用户以本地模式运行View桌面,其客户端系统所使用的内存容量即为客户端设备可用内存的一部分.
您需要有足够的内存才能在客户端计算机上运行主机操作系统,另外还需要一定的内存来运行View桌面的操作系统以及客户端计算机和View桌面上的应用程序.
VMware建议您至少为WindowsXP和WindowsVista预留2GB的内存,至少为Windows7预留3GB的内存.
尝试检出在vCenterServer中配置的桌面时,如果该桌面所需的内存量超出本地客户端系统所能提供的内存,那么除非您更改Windows注册表设置,否则将无法检出该桌面.
有关说明,请参见《VMwareView管理指南》文档.
VMwareView体系结构规划指南26VMware,Inc.
RAM大小对性能的影响分配RAM时,应避免选择过于保守的分配设置.
请考虑以下问题:n分配的RAM不足可导致客户机交换过于频繁,由此产生的I/O将严重降低性能并增加存储I/O负载.
nVMwareESX支持透明内存共享和内存伸缩等精密的内存资源管理算法,能极大的降低为了支持给定的客户机RAM分配量所需的物理RAM.
例如,即使为虚拟桌面分配了2GB内存,所消耗的物理RAM也仅为2GB的一小部分.
n由于虚拟桌面的性能极易受到响应时间的影响,因此需要在ESX主机上为RAM预留设置指定非零值.
预留一部分RAM可确保空闲但处于使用状态的桌面不会被完全交换到磁盘.
此外还可以降低ESX交换文件消耗的存储空间.
但是,较高的预留设置将影响您在ESX主机上过量分配内存的能力,还可能影响vMotion维护操作.
RAM大小对存储的影响分配到虚拟机的RAM容量直接关系到虚拟机使用的某些文件的大小.
要访问以下列表中的文件,请使用Windows客户操作系统定位Windows页面文件和休眠文件,通过ESX主机的文件系统来定位ESX交换文件和挂起文件.
Windows页面文件默认情况下,该文件的大小为客户机RAM的150%.
默认情况下,该文件位于C:pagefile.
sys,由于它将被频繁访问,因而会导致精简部署的存储不断增大.
链接克隆虚拟机上的页面文件和临时文件可被重定向到虚拟机关闭时删除的单独虚拟磁盘中.
一次性页面文件重定向可以节约存储容量、减缓链接克隆的增长速度并改善性能.
尽管可以从Windows中调整该文件的大小,但这样做可能会降低应用程序的性能.
笔记本电脑的Windows休眠文件该文件的大小能和客户机RAM的大小完全相同.
在View部署中不需要使用此文件,因此您可以安全地将其删除,即使您使用了ViewClientwithLocalMode也可以删除.
ESX交换文件该文件的扩展名为.
vswp,如果您预留的RAM低于虚拟机的RAM,则会创建此交换文件.
交换文件的大小与未预留的客户机RAM的大小相同.
假如,如果预留了50%的客户机RAM,且客户机的RAM为2GB,则ESX交换文件的大小为1GB.
该文件可以存储在ESX主机或群集的本地数据存储中.
ESX挂起文件该文件的扩展名为.
vmss,如果您设置了桌面池注销策略(使虚拟桌面在最终用户注销时挂起),则会创建此文件.
该文件的大小与客户机RAM的大小相同.
采用PCoIP时适用于特定显示器配置的RAM大小如果采用VMware的PCoIP显示协议,则ESX主机所需的额外RAM大小将部分取决于为最终用户配置的显示器数量和显示分辨率.
表4-1中列出了不同配置所需的RAM大小.
此表中列条目所显示的内存大小不包括其他PCoIP功能所需的内存.
表4-1PCoIP客户端显示开销显示分辨率标准宽度(像素)高度(像素)1个显示器的开销2个显示器的开销4个显示器的开销VGA6404802.
34MB4.
69MB9.
38MBSVGA8006003.
66MB7.
32MB14.
65MB720p12807207.
03MB14.
65MB28.
13MBUXGA1600120014.
65MB29.
30MB58.
59MB1080p1920108015.
82MB31.
64MB63.
28MBWUXGA1920120017.
58MB35.
16MB70.
31MB章4体系结构设计元素与规划指导原则VMware,Inc.
27表4-1PCoIP客户端显示开销(续)显示分辨率标准宽度(像素)高度(像素)1个显示器的开销2个显示器的开销4个显示器的开销QXGA2048153624.
00MB48.
00MB96.
00MBWQXGA2560160031.
25MB62.
50MB125.
00MB在考虑这些要求时,请注意为虚拟机分配的RAM配置并不会改变.
也就是说,您不需要先为应用程序分配1GB的RAM,然后再为1080p双显示器分配31MB.
在计算每个ESX主机所需的物理RAM总量时,您只需要考虑RAM的开销.
将客户操作系统RAM加到RAM开销内,然后乘以虚拟机的数量.
特定工作负载和操作系统所需的RAM大小由于不同类型员工的RAM需求存在很大差异,因此很多企业都通过试运行来确定企业中不同类型员工所需的适当内存设置.
开始时最好分配1GB(WindowsXP桌面和32位WindowsVista及Windows7桌面)或2GB(64位Windows7桌面)的内存.
在试运行阶段中,需要监视不同类型员工的使用性能和所用磁盘空间,并做出适当调整,最后确定适用于每种类型员工的最佳设置.
估算虚拟桌面的CPU要求在估算CPU时,您必须收集有关各类企业员工平均CPU利用率的信息.
另外,还要额外计算10%到25%的处理能力,用以满足虚拟化开销和峰值期间的使用需要.
注意该主题解决了在远程访问View桌面时的CPU要求问题.
如果用户在客户端系统上以本地模式运行View桌面,View桌面将使用客户端设备上的可用CPU(最多2个).
对CPU的具体要求因员工类型而异.
在试运行阶段,请使用性能监测工具(如虚拟机中的Perfmon、ESX中的esxtop或vCenter性能监测工具)来了解这些员工组的平均及峰值CPU利用率.
另外请遵循以下原则:n软件开发人员或其他具有高性能需求的超级用户对CPU的要求可能高于知识型员工和任务型员工.
对于计算密集型任务或需要用PCoIP显示协议播放720p格式视频的Windows7桌面,我们建议您部署双虚拟CPU.
n至于其他情形,则建议使用单虚拟CPU.
由于很多虚拟机都运行在一台服务器上,因此当代理程序(如防病毒代理)一起同时检查是否存在更新时,CPU利用率将达到峰值.
请确定有哪些/多少代理可能导致性能问题,并采取适当策略来解决这些问题.
例如,以下策略可能会对您的企业有所帮助:n使用ViewComposer更新映像,而不是由软件管理代理将软件更新下载到每个虚拟桌面.
n将防病毒程序和软件更新安排在非峰值期间(在登录用户数量较少时)运行.

n交错或随机执行更新.
在最初调整大小时,不妨假设每个虚拟机至少需要用到整个CPU核心1/8到1/10的计算资源.
也就是在每个核心上试运行8到10个虚拟机.
例如,如果假设在每个核心上运行8个虚拟机并使用2插槽8核ESX主机,您可以在试运行期间在服务器上托管128个虚拟机.
在此期间监视主机上的CPU整体使用情况,确保利用率基本保持在安全值以内(如80%),从而为满足峰值负载留出足够空间.
VMwareView体系结构规划指南28VMware,Inc.
选择合适的系统磁盘大小在分配磁盘空间时,还要为操作系统、应用程序和用户可能会安装或生成的其他内容提供足够的空间.
这个容量通常低于物理PC磁盘的容量.
由于数据中心磁盘空间每千兆字节的成本通常高于传统PC部署中台式机或笔记本电脑的成本,因此需要对操作系统映像大小进行优化.
以下建议可用于优化映像大小:n删除不需要的文件.
例如,减少临时Internet文件的配额.
n选择能满足未来增长需要的虚拟磁盘大小,但不要过大.
n使用集中的文件共享或ViewComposer永久磁盘存储用户生成的内容和安装的应用程序.
确定所需的存储空间时,必须考虑每个虚拟桌面的以下文件:nESX挂起文件的大小与分配给虚拟机的RAM容量相同.
nWindows页面文件的大小为RAM容量的150%.
n每个虚拟机的日志文件的大小约为100MB.
n虚拟磁盘或.
vmdk文件必须能够容纳操作系统、应用程序以及将来的应用程序和软件更新.
另外,如果本地用户数据和用户安装的应用程序位于虚拟桌面(而不是文件共享)中,虚拟磁盘还必须能够容纳这些数据和应用程序.
如果使用ViewComposer,.
vmdk文件会不断增大,但您可以为View桌面池安排ViewComposer刷新操作并设置存储过载策略,并将Windows页面文件和临时文件重定向到单独的非永久磁盘,以控制它的增长量.
您也可以将这个预估值提高15%,确保用户的磁盘空间不会耗尽.
VMwareViewESX节点节点是指VMwareView部署中托管虚拟机桌面的单个VMwareESX主机.
VMwareView能采用最经济高效的方式,最大限度增加整合比率(即ESX主机上托管桌面的数量).
尽管影响服务器选取的因素有很多,但如果您要严格控制采购价格,就必须找到处理能力和内存表现俱佳的服务器配置.

要确定环境和硬件配置的理想整合比率,必须在实际环境下进行性能检测(如试运行).
由于使用模式和环境因素的不同,具体的整合比率可能会有很大差异.
请遵循以下原则:n作为一般性架构,通常以每个CPU核心运行8到10个虚拟桌面作为考虑计算容量的依据.
有关计算每个虚拟机CPU要求的信息,请参见第28页,"估算虚拟桌面的CPU要求".
n从虚拟桌面RAM、主机RAM和过量分配比率方面思考内存容量问题.
尽管可以为每个CPU核心部署8到10个虚拟桌面,但如果虚拟桌面占用1GB或更多的RAM,就必须仔细衡量物理RAM需求.
有关计算每个虚拟机所需RAM容量的信息,请参阅第26页,"估算虚拟桌面的内存要求".
请注意,物理RAM的成本并不符合线性规律,在某些情况下,购买不使用昂贵DIMM芯片的小型服务器可能更加划算.
在其他情况下,考虑机架密度、存储连接能力、可管理性及其他因素的影响,也有助于最大限度地减少部署中的服务器数量.
n最后,还要考虑群集和故障切换方面的要求.
有关更多信息,请参阅第36页,"确定高可用性的要求".
有关vSphere中ESX主机规范的信息,请参见《VMwarevSphereConfigurationMaximums》(VMwarevSphere配置上限)文档.
章4体系结构设计元素与规划指导原则VMware,Inc.
29特定类型员工的桌面池VMwareView具有许多功能,可以帮助您节省存储空间、降低各种应用情况的处理需求量.
其中很多功能都是通过池设置来实现.
最基本的问题是衡量特定类型的用户,判定用户需要固定桌面映像还是非固定桌面映像.
需要固定桌面映像的用户将其数据存放于必须保留、维护和备份的操作系统映像本身中.
例如,这些用户会安装一些个人应用程序,或者拥有不能保存在虚拟机本身以外位置(如在文件服务器上或应用程序数据库中)的数据.

非固定桌面映像非固定体系结构具有很多优势,如易于支持、允许基于ViewComposer的映像管理以及存储成本较低.
此外,该体系结构还能限制链接克隆虚拟机的备份需求,并提供更加简化、廉价的灾难恢复和业务连续性选项.
固定桌面映像这些映像要求使用传统映像管理技术.
固定映像与特定存储系统技术一起使用时,可降低存储成本.
规划备份、灾难恢复和业务连续性策略时,VMwareConsolidatedBackup和VMwareSiteRecoveryManager等备份和恢复技术都是重要的考量因素.
您可以使用ViewComposer创建链接克隆虚拟机的浮动分配池,从而创建非固定桌面映像.
也可以创建完整虚拟机的专用分配池来创建固定桌面映像.
一些存储厂商专门为固定桌面映像提供了经济高效的存储解决方案.

这些厂商通常拥有自己的最佳实践和部署实用程序.
如果使用其中某家厂商的技术,可能需要创建手动的专用分配池.
n任务型员工池第30页,您可以为任务型员工提供标准化非固定桌面映像,让映像随时保有易懂、易于支持的配置,因此员工可以登录到任意可用桌面.
n知识型员工和超级用户池第31页,知识型员工需要创建复杂的文档并将它们保留在桌面上.
超级用户则需要安装并保留其个人应用程序.

根据所保留的个人数据的性质和数量,可以采用固定或非固定类型的桌面.

n移动用户池第31页,这些用户可以检出View桌面,即使没有网络连接也可在其笔记本电脑或台式机上以本地方式运行桌面.

nKiosk用户池第32页,Kiosk用户包括机场登机处的乘客、教室或图书馆内的学生、医疗数据录入工作站的医护人员以及自助服务点的顾客.
与客户端设备关联的帐户(而不是用户)才有权使用这些桌面池,因为用户不需要登录即可使用客户端设备或View桌面.
但仍可要求用户提供身份验证凭据来访问某些应用程序.
任务型员工池您可以为任务型员工提供标准化非固定桌面映像,让映像随时保有易懂、易于支持的配置,因此员工可以登录到任意可用桌面.
由于任务型员工需要用一套为数不多的应用程序来执行重复性任务,因此您可以为其创建非固定桌面映像来节省存储空间并降低处理要求.
使用以下池设置:n创建一个自动池,以便在创建池时创建桌面,或是根据池的利用率来按需生成桌面.

n使用浮动分配,以便用户能登录到任意可用桌面.
如果所有用户都不需要在同一时间登录,该设置就可以减少所需的桌面数量.
n创建ViewComposer链接克隆桌面,以使桌面共享相同的基础映像,并减少在数据中心内使用的存储空间(相对于完整虚拟机).
n确定在用户注销时执行的操作(如果有).
磁盘容量会不断增长.
为节省磁盘空间,您可以在用户注销时将桌面刷新到原始状态.
也可以设置计划来定期刷新桌面.
例如,安排桌面每天、每周或每月刷新一次.

VMwareView体系结构规划指南30VMware,Inc.
知识型员工和超级用户池知识型员工需要创建复杂的文档并将它们保留在桌面上.
超级用户则需要安装并保留其个人应用程序.
根据所保留的个人数据的性质和数量,可以采用固定或非固定类型的桌面.
由于超级用户和知识型员工(如会计、销售经理、市场分析师)需要创建和保留文档及设置,因此您需要为他们创建专用分配桌面.
由于知识型员工不需要使用用户安装的应用程序(临时应用除外),您可以创建非固定桌面映像,并将其所有个人数据保存在虚拟机以外的位置,如文件服务器或应用程序数据库中.
对于其他知识型员工和超级用户,您可以为其创建固定桌面映像.
使用以下池设置:n使用专用分配,以便每一个知识型员工或超级用户每次都能登录到相同的桌面.

n使用vStorage精简部署,以便每一个桌面在最初都能仅使用磁盘在初始操作时所需的存储空间.

n如果知识型员工不需要使用用户安装的应用程序(临时应用除外),您可以创建ViewComposer链接克隆桌面.
这些非固定桌面映像可以共享同一个基础映像,所需的存储空间也低于完整虚拟机.

n如果使用ViewComposer链接克隆桌面,需要实施基于漫游或虚拟配置文件的解决方案来集中存储用户数据,或者为桌面配置一个永久磁盘.
但需要注意的是,在您刷新或重构桌面后,集中存储的数据和永久磁盘都会被保留,而包含操作系统和应用程序的磁盘却不会继续保留.
n对于需要安装个人应用程序、在操作系统磁盘中添加数据的超级用户和知识型员工来说,您需要为其创建完整的虚拟机桌面.
这些用户需要使用固定桌面映像.
移动用户池这些用户可以检出View桌面,即使没有网络连接也可在其笔记本电脑或台式机上以本地方式运行桌面.

ViewClientwithLocalMode为最终用户和IT管理员提供了诸多优势.
对管理员而言,使用本地模式可将View安全策略扩展到以前未受管的笔记本电脑.
管理员可以严格控制View桌面上运行的应用程序,并像管理远程View桌面那样集中管理桌面.
采用本地模式时,VMwareView的所有优势还可以扩展到网络速度与可靠性不足的远程或分支机构.
对最终用户而言,则能够继续享有选择联机/脱机使用其个人计算机的灵活性.
View桌面经过自动加密,可以轻松和数据中心内的映像进行同步,满足灾难恢复要求.
一般建议在没用可用的网络连接时,本地模式用户可能需要从笔记本电脑访问其桌面应用程序和数据.
此外,他们还可能要定期将这些数据自动备份到数据中心,以免在笔记本电脑丢失、损坏或失窃后损失数据.
为提供这些功能,您可以使用以下池设置:n创建用于建立池的虚拟机时,配置客户操作系统所需的最低RAM容量和虚拟CPU.
在本地模式下运行的桌面会根据客户端计算机提供的资源调整内存使用量和处理能力.
n创建一个自动池,以便在创建池时创建桌面,或是根据池的利用率来按需生成桌面.

n使用专用分配,因为本地模式用户每次都要登录到相同的桌面.
n创建ViewComposer链接克隆桌面,以使桌面共享相同的基础映像,并减少在数据中心内使用的存储空间(相对于完整虚拟机).
n如果您希望在部署过程为池中的每个链接克隆生成唯一的本地计算机SID和GUID,请在创建池时选择Sysprep自定义规范.
Sysprep会在最初部署期间和重构操作完成后创建新的SID和GUID.
由于您不会重构本地模式池,因此SID和GUID通常会保持不变.
n仅将需要在本地模式下使用的桌面加入到池中.
本地模式虚拟机可放置在IOPS要求较低(相对于专门支持大量远程View桌面的存储)的数据存储中.
章4体系结构设计元素与规划指导原则VMware,Inc.
31其他有助于减少资本支出的建议如果您增加每台ESX主机上的虚拟机数量,可以减少本地模式池所需的ESX主机数量.
如果大多数虚拟机没有同时开机,那么一台ESX4.
1主机最多可以托管500个虚拟机,这在本地模式池中很常见.
请按照下面的建议减少每个虚拟机所需的带宽量和I/O操作,并将ESX主机上的虚拟机数量最大化.
n设置View策略以便最终用户只能在本地模式下使用View桌面.
进行该设置时,数据中心的虚拟机将保持锁定和关机状态.
n设置本地模式策略,使最终用户无法启动桌面回滚、数据备份或检入数据中心的操作.

n不要安排自动备份.
n不要为部署或下载本地模式桌面开启SSL功能.
n如果ViewConnectionServer的性能受本地桌面数量的影响,请将检测信号时间间隔设置得更长些.
检测信号可以使ViewConnectionServer确定本地桌面拥有网络连接.
默认间隔是5分钟.
Kiosk用户池Kiosk用户包括机场登机处的乘客、教室或图书馆内的学生、医疗数据录入工作站的医护人员以及自助服务点的顾客.
与客户端设备关联的帐户(而不是用户)才有权使用这些桌面池,因为用户不需要登录即可使用客户端设备或View桌面.
但仍可要求用户提供身份验证凭据来访问某些应用程序.
设置为在Kiosk模式中运行的View桌面采用非固定桌面映像,因为用户数据并不需要保存在操作系统磁盘中.

Kiosk模式桌面用于在瘦客户端设备或固定PC中使用.
您必须确保:桌面应用程序可通过身份验证机制保证交易安全、物理网络不会被篡改和偷窃,以及连接到网络的所有设备都是受信任的.

最佳实践是使用专用的ViewConnectionServer实例处理Kiosk模式的客户端,并在ActiveDirectory中为这些客户端的帐户创建专用的组织单位和组.
这样不仅能防止这些系统遭受意外入侵,还会使客户端的配置和管理变得更加容易.
要设置kiosk模式,您必须使用vdmadmin命令行界面并按照《VMwareView管理指南》文档中有关Kiosk模式的主题中所述内容来执行若干个操作步骤.
在此设置过程中,您可以使用以下池设置:n创建一个自动池,以便在创建池时创建桌面,或是根据池的利用率来按需生成桌面.

n使用浮动分配,使用户能够访问池中的任何可用桌面.
n创建ViewComposer链接克隆桌面,以使桌面共享相同的基础映像,并减少在数据中心内使用的存储空间(相对于完整虚拟机).
n制定刷新策略以频繁刷新桌面(如在每次用户注销时刷新).
n使用ActiveDirectoryGPO(组策略对象)配置基于位置的打印,以便桌面能够使用位置最近的打印机.

有关可通过组策略管理(GroupPolicyadministrative,ADM)模板实现的设置的完整列表和描述,请参阅《VMwareView管理指南》文档.
n如果您希望覆盖在桌面启动或将USB设备插入客户端计算机时执行的将本地USB设备连接到桌面的默认策略,可以使用GPO.
桌面虚拟机配置由于虚拟桌面所需的RAM、CPU和磁盘空间具体取决于客户操作系统,因此这里分别针对WindowsXP、WindowsVista和Windows7虚拟桌面提供了配置示例.
示例中的虚拟机设置(如内存、虚拟处理器数量和磁盘空间)均特定于VMwareView.
表4-2中列出的指导原则适用于远程模式下运行的标准WindowsXP虚拟桌面.
VMwareView体系结构规划指南32VMware,Inc.
表4-2适用于WindowsXP的桌面虚拟机示例项目示例操作系统32位WindowsXP(具有最新服务包)RAM1GB(下限为512MB,上限为2GB)虚拟CPU1系统磁盘容量16GB(下限为8GB,上限为40GB)用户数据容量(作为永久磁盘)5GB(起始值)虚拟SCSI适配器类型LSILogicParallel(非默认类型)虚拟网络适配器可变(默认)所需的系统磁盘空间容量取决于基础映像所需的应用程序数量.
VMware曾验证过包含8GB磁盘空间的设置.
其应用程序包括:MicrosoftWord、Excel、PowerPoint、AdobeReader、InternetExplorer、McAfeeAntivirus和PKZIP.
用户数据所需的磁盘空间取决于最终用户的角色和数据存储的组织策略.
如果使用ViewComposer,此数据将保存在永久磁盘上.
表4-3中列出的指导原则适用于远程模式下运行的标准WindowsVista虚拟桌面.
表4-3适用于WindowsVista的桌面虚拟机示例项目示例操作系统操作系统32位WindowsVista(具有最新服务包)RAM1GB虚拟CPU1系统磁盘容量20GB(标准)用户数据容量(作为永久磁盘)5GB(起始值)虚拟SCSI适配器类型LSILogicParallel(默认类型)虚拟网络适配器E1000(默认)表4-4中列出的指导原则适用于远程模式下运行的标准Windows7虚拟桌面.
表4-4ESX4.
1Server上托管的Windows7桌面虚拟机示例项目示例操作系统32位Windows7RAM1GB虚拟CPU1系统磁盘容量20GB(比标准值略小)用户数据容量(作为永久磁盘)5GB(起始值)虚拟SCSI适配器类型LSILogicSAS(默认类型)虚拟网络适配器E1000(默认)章4体系结构设计元素与规划指导原则VMware,Inc.
33vCenter和ViewComposer虚拟机配置与桌面池上限您可以将vCenterServer和ViewComposer安装在同一个虚拟机上.
由于该虚拟机本身是一台服务器,因此与桌面虚拟机相比,它需要更多内存和更强的处理能力.
ViewComposer最多能为每个池创建和部署512个桌面.
另外,ViewComposer还能同时在512个桌面上执行重构操作.
您可以在物理机上安装vCenterServer和ViewComposer,此处选取虚拟机作为示例,该虚拟机具有表4-5中所列规格.
托管该虚拟机的ESX/ESXi主机可以是VMwareHA群集的一部分,以防止物理服务器出现故障.
该示例假设您使用的是VMwareView和vSphere4.
1及vCenterServer4.
1.
表4-5vCenterServer虚拟机示例和池的大小上限项目示例操作系统64位WindowsServer2008R2EnterpriseRAM4GB虚拟CPU2系统磁盘容量40GB虚拟SCSI适配器类型LSILogicSAS(WindowsServer2008的默认类型)虚拟网络适配器E1000(默认)ViewComposer池的大小上限512个桌面重要事项请将vCenter和ViewComposer连接的数据库置于单独的虚拟机上.
有关数据库大小的指导信息,请参见以下网站上的《vCenterServer4.
xDatabaseSizingCalculatorforMicrosoftSQLServer》(适用于MicrosoftSQLServer的vCenterServer4.
xDatabaseSizingCalculator),网址是:http://www.
vmware.
com/support/vsphere4/doc/vsp_4x_db_calculator.
xls.
ViewConnectionServer最大连接数和虚拟机配置ViewAdministrator用户界面会随ViewConnectionServer一起安装.
与vCenterServer实例相比,该服务器需要更多的内存和处理资源.
ViewConnectionServer配置尽管您可以在物理机上安装ViewConnectionServer,但是此处选取了虚拟机作为示例,这些虚拟机具有表4-6中所列规格.
托管该虚拟机的ESX/ESXi主机可以是VMwareHA群集的一部分,以防止物理服务器出现故障.
表4-6ConnectionServer虚拟机示例项目示例操作系统64位WindowsServer2008R2RAM10GB虚拟CPU4系统磁盘容量40GB虚拟SCSI适配器类型LSILogicSAS(WindowsServer2008的默认类型)虚拟网络适配器E1000(默认)1个网卡1GigabitVMwareView体系结构规划指南34VMware,Inc.
ViewConnectionServer群集设计注意事项您可以在一个组中部署多个ViewConnectionServer副本实例来实现负载平衡和高可用性.
副本实例组专为支持在连接LAN的单数据中心环境内组成群集而设计.
由于组内的实例之间会产生通信流量,VMware不建议在WAN中使用ViewConnectionServer副本实例组.
在跨数据中心的View部署中,需要为每个数据中心创建一个单独的View部署.
ViewConnectionServer的最大连接数表4-7中提供了在VMwareView部署中测得的最大并行连接数限制信息.
该示例假设您使用的是VMwareView和vSphere4.
1及vCenterServer4.
1.
另外,还假设ViewConnectionServer在64位的WindowsServer2008R2Enterprise版操作系统中运行.
表4-7View桌面连接每个部署中的ConnectionServer数量连接类型最大并行连接数1台ConnectionServer直接连接、RDP或PCoIP;安全加密链路连接、RDP;PCoIP安全网关连接2,0007台ConnectionServer(5+2个备用)直接连接、RDP或PCoIP10,0001台ConnectionServer统一访问物理PC1001台ConnectionServer统一访问终端服务器200如果使用安全服务器从企业网络外建立PCoIP连接,则需要使用PCoIP安全网关连接.
如果使用安全服务器从企业网络外建立RDP连接或通过PCoIP安全网关连接获取USB和多媒体重定向(MultimediaRedirection,MMR)加速功能,则需要使用安全加密链路连接.
ViewTransferServer虚拟机配置与存储必须安装ViewTransferServer才能支持运行ViewClientwithLocalMode(之前被称为OfflineDesktop)的桌面.
该服务器所需的内存要低于ViewConnectionServer.
ViewTransferServer配置您必须将ViewTransferServer安装在虚拟机(而不是物理机)上,而且该虚拟机必须由与管理本地桌面相同的vCenterServer实例管理.
表4-8列出了适用于ViewTransferServer实例的虚拟机规范.
表4-8ViewTransferServer虚拟机示例项目示例操作系统64位WindowsServer2008R2RAM4GB虚拟CPU2系统磁盘容量20GB虚拟SCSI适配器类型LSILogicParallel(并不是默认的SAS)虚拟网络适配器E1000(默认)1个网卡1Gigabit章4体系结构设计元素与规划指导原则VMware,Inc.
35ViewTransferServer的存储和带宽要求有些操作需要用ViewTransferServer在vCenterServer的View桌面和客户端系统中相应的本地桌面之间发送数据.
当用户检入或检出桌面时,ViewTransferServer将在数据中心和本地桌面之间传输文件.
ViewTransferServer会将用户做出的更改复制到数据中心,以使本地桌面与数据中心对应的桌面同步.

如果为本地桌面使用ViewComposer链接克隆,您配置TransferServer存储库的磁盘驱动器必须具有足够的空间来存储静态映像文件.
映像文件为ViewComposer基础映像.
网络存储磁盘运行速度越快,性能就越好.
有关确定基础映像文件大小的信息,请参见《VMwareView管理指南》文档.
虽然网络带宽可能在数量较少时就会达到饱和,但理论上每个TransferServer实例可以容纳60个并发磁盘操作.
VMware通过每秒1GB的网络连接测试了20个并发磁盘操作,如20个客户端同时下载一个本地桌面.
vSphere群集在VMwareView部署中,可使用VMwareHA群集来防止物理服务器出现故障.
由于ViewComposer的限制,群集中的服务器或节点数不能超过8个.
VMwarevSphere和vCenter为管理托管View桌面的服务器群集提供了一组丰富的功能.
另外,群集的配置也很重要,因为每个View桌面池都必须与一个vCenter资源池相关联.
因此,每个池中能容纳的最大桌面数量与您计划在每个群集中运行的服务器和虚拟机的数量有关.
在大型VMwareView部署中,可以通过在每个数据中心对象中仅包含一个群集对象(非默认行为)来提高vCenter的性能和响应能力.
默认情况下,VMwarevCenter会在同一个数据中心对象中新建群集.
确定高可用性的要求VMwarevSphere通过强大的效率和资源管理支持,为您提供业界领先的服务器虚拟机.
但增加单台服务器的虚拟机密度后,一台服务器产生的故障也将影响更多的用户.
具体的高可用性要求将因桌面池用途的不同而存在很大差异.
例如,非固定桌面映像(浮动分配)池与固定桌面映像(专用分配)池的恢复点目标(RecoveryPointObjective,RPO)要求可能会有所不同.
对于浮动分配池,如果用户使用的桌面不再可用,可以尝试让他们登录不同的桌面.
如果可用性要求很高,就必须对VMwareHA进行适当配置.
如果您使用了VMwareHA并计划为每台服务器部署固定数量的桌面,请以较低的容量运行每台服务器.
如果服务器出现故障,则在其他主机上重新启动桌面时,每台服务器中桌面的容量不会超出限制.
例如,在一个包含8台主机的群集中,每台主机都能够运行128个桌面,如果以容许单台服务器出现故障为目标,则需要确保群集中运行的桌面数量不能超过128*(8-1)=896个.
您也可以使用VMwareDRS(DistributedResourceScheduler)来平衡8台主机中的桌面.
这样,您可以充分利用额外的服务器容量,而不会闲置任何热备用资源.
此外,DRS还能在故障服务器恢复运行后重新平衡群集.
您还必须确保对存储进行适当配置,使其支持大量虚拟机为响应服务器故障而立即重新启动时产生的I/O负载.
存储IOPS是影响服务器出现故障后桌面恢复速度的最重要因素.
示例:群集配置示例表4-9中列出的设置是特定于VMwareView的设置.
有关vSphere中HA群集限制的信息,请参见《VMwarevSphereConfigurationMaximums》(VMwarevSphere配置上限)文档.
表4-9HA群集示例项目示例节点(ESX主机)8(包括1个热备用)群集类型DRS(DistributedResourceScheduler)/HAVMwareView体系结构规划指南36VMware,Inc.
表4-9HA群集示例(续)项目示例网络组件标准ESX4.
1群集网络交换机端口80网络要求具体取决于服务器类型、网络适配器数量和vMotion的配置方式.
VMwareView构建基块一个支持2000个用户的构建基块由物理机、VMwarevSphere基础架构、VMwareView服务器、共享存储和2000个虚拟机桌面组成.
一个View容器中最多可包含五个构建基块.
表4-10基于LAN的View构建基块示例项目示例vSphere群集2个或更多(每个群集最多包含8个ESX主机)80端口网络交换机1共享存储系统1带有ViewComposer的vCenterServer1(可在基块内运行)数据库MSSQLServer或Oracle数据库服务器(可在基块内运行)VLAN3(均为1Gbit以太网网络:管理网络、存储网络和vMotion网络)借助vCenter4.
1(在一个vCenter中最多能部署10000个虚拟机),您可以使用vCenterServer管理多个构建基块内的虚拟桌面.
在本文档撰写期间,VMware尚未结合VMwareView来验证此方法.
在VMwareView4.
5和4.
6中测试vCenterServer4.
1时,我们设置了一些限制,即在一个vCenterServer中测试2000个虚拟桌面.
如果您的容器中只有一个构建基块,请使用两个ViewConnectionServer实例来增加冗余.
图4-1中显示了View构建基块的组件.
图4-1VMwareView构建基块2个VMwareESX群集VMwarevCenterServer8台主机8台主机共享存储2000个用户章4体系结构设计元素与规划指导原则VMware,Inc.
37View构建基块的共享存储存储设计问题是View体系结构中的一个最关键要素.
是否使用ViewComposer桌面(使用链接克隆技术)将对体系结构产生极大的影响.
VMwarevSphere可以使用的外部存储系统包括光纤通道或iSCSISAN(存储区域网络)、NFS(网络文件系统)或NAS(网络连接存储).
ESX二进制文件、虚拟机交换文件和父虚拟机的ViewComposer副本都存储在该系统上.
从体系结构角度看,ViewComposer可以创建共享基础映像的桌面映像,将存储要求降低50%甚至更多.
通过设置刷新策略使桌面定期返回原始状态,并回收自上一次刷新操作后用于跟踪更改的空间,可以进一步降低存储要求.
将ViewComposer永久磁盘或共享文件服务器作为用户配置文件和用户文档的主存储库,还可以降低操作系统磁盘空间.
ViewComposer能帮您将用户数据从操作系统中分开,您只需备份或复制永久磁盘即可,这也会进一步降低存储要求.
有关更多信息,请参阅第22页,"使用ViewComposer降低存储要求".
注意您可以在试运行期间决定是否为每个构建基块使用单独的专用存储组件.
要考虑的主要问题是每秒的I/O次数(IOPS).
您可以跨多个构建基块试验分层存储策略,最大限度提高性能并节约成本.

有关更多信息,请参阅名为《StorageConsiderationsforVMwareView》(VMwareView的存储注意事项)的最佳实践指南.
存储带宽问题尽管很多因素都对支持VMwareView环境的存储系统的设计具有重要的作用,但从服务器配置的角度来看,规划合适的存储带宽才是最重要的问题.
另外,您还必须考虑端口整合硬件产生的影响.

VMwareView环境中有时会出现I/O风暴负载,此时所有虚拟机都会同时执行活动.
防病毒软件或软件更新代理等基于客户机的代理可触发I/O风暴;人为行为(如所有员工都在早上同一时段登录)也可以触发I/O风暴.
您可以通过最佳操作实践(如交错更新不同虚拟机)最大程度地减少这些风暴工作负载.
另外,您也可以在试运行阶段测试各种注销策略,以确定用户注销时暂停或关闭虚拟机是否会导致I/O风暴.
将ViewComposer副本存储在单独的高性能数据存储中,可加快大量并发读取操作的速度,从而应对I/O风暴负载问题.
除确定最佳实践外,VMware还建议您为每100个虚拟机提供1Gbps的带宽,即使平均带宽可能低于这个数值的1/10.
这样的保守规划可确保在峰值负载期间能够获得足够的存储连接.
网络带宽问题在显示流量方面,有很多影响网络带宽的因素,如所用协议、显示器分辨率和配置,以及工作负载中多媒体内容所占的比重.
并发启动经过流式处理的应用程序也可能导致出现利用率峰值.

由于这些问题产生的影响有很大差异,因此很多企业都将监视带宽消耗作为试运行项目的一部分.
在试运行开始时,为一般知识型员工规划150到200Kbps的带宽容量.
使用PCoIP显示协议时,如果您的企业LAN带宽是100Mb或1Gb交换网络,那么在以下情况中,您的最终用户可以获得最佳性能:n两台显示器(1920x1080)n大量使用MicrosoftOffice应用程序n大量浏览嵌入Flash的Web内容n经常进行多媒体应用,不常使用全屏模式VMwareView体系结构规划指南38VMware,Inc.
n经常使用基于USB的外围设备n基于网络的打印上述信息摘自名为《PCoIPDisplayProtocol:InformationandScenario-BasedNetworkSizingGuide》(PCoIP显示协议:基于信息和场景的网络调整指南)的信息指南.
WAN支持与PCoIP对于广域网(Wide-AreaNetwork,WAN),您必须考虑带宽限制和延迟问题.
VMware提供的PCoIP显示协议可适应各种延迟和带宽条件.
如果您采用RDP显示协议,则必须使用WAN优化产品为分支机构或小型企业的用户加速应用程序.
采用PCoIP时,许多WAN优化技术会内置到基础协议中.
nWAN优化对基于TCP的协议(如RDP协议)非常重要,因为这些协议需要在客户端和服务器之间进行多次握手.
这些握手可能会产生非常大的延迟.
WAN加速器可以"伪造"握手回复,从而在协议中隐藏网络延迟.
由于PCoIP是基于UDP的协议,因此无需使用这种WAN加速.
nWAN加速器还能压缩客户端和服务器之间的网络流量,但压缩比率通常只能达到2:1.
PCoIP最多能够将图像和音频内容压缩到原来的1/100.
以下示例展示了PCoIP在各类WAN情形中的性能:在家办公使用专用电缆或DSL连接,4到8MB的下载带宽,延迟低于300毫秒,在下列条件下可获得出色的网络性能:n两台显示器(1920x1080)nMicrosoftOffice应用程序n偶尔浏览嵌入Flash的Web内容n定期访问多媒体内容n偶尔使用本地连接的USB打印机移动用户使用专用3G连接,5到500Kb的下载带宽,延迟低于300毫秒,在下列条件下可获得足够的带宽和尚可接受的网络延迟:n单个显示器nMicrosoftOffice应用程序n偶尔浏览嵌入Flash的Web内容n偶尔使用本地连接的USB打印机建议移动用户使用本地应用程序访问多媒体内容.
分支或远程机构为每1Mb带宽规划3个并发活动用户.
办公室用户,基于UDP的20Mb专用站到站VPN,延迟低于200毫秒,在下列条件下可获得尚可接受的网络性能:n两台显示器(1920x1080)nMicrosoftOffice应用程序n偶尔浏览嵌入Flash的Web内容n偶尔使用本地连接的USB打印机上述信息摘自名为《PCoIPDisplayProtocol:InformationandScenario-BasedNetworkSizingGuide》(PCoIP显示协议:基于信息和场景的网络调整指南)的信息指南.
章4体系结构设计元素与规划指导原则VMware,Inc.
39有关设置VPN以使用PCoIP的信息,请参见VMware网站上的以下解决方案概述:nVMwareViewandJuniperNetworksSAServersSSLVPNSolution(VMwareView与Juniper网络SAServersSSLVPN解决方案)nVMwareViewandF5BIG-IPSSLVPNSolution(VMwareView与F5BIG-IPSSLVPN解决方案)nVMwareViewandCiscoAdaptiveSecurityAppliances(ASA)SSLVPNSolution(VMwareView与CiscoAdaptiveSecurityAppliances(ASA)SSLVPN解决方案)VMwareView容器一个VMwareView容器可以将五个包含2,000个用户的构建基块集成为一个ViewManager安装实体,您可以轻松对其进行管理.
容器一个是由VMwareView可扩展性限制决定的组织单元.
表4-11中列出了View容器中的组件.
表4-11VMwareView容器示例项目数量/容量View构建基块5ViewConnectionServer7(每个构建基块1个,另有2个备用)10Gb以太网模块1模块化网络交换机1负载平衡模块1用于WAN的VPN1(可选)网络核心跨ViewConnectionServer实例对入站请求进行负载平衡.
支持冗余和故障切换机制(通常在网络级别)可避免负载平衡程序成为单点故障.
例如,虚拟路由器冗余协议(VirtualRouterRedundancyProtocol,VRRP)可与负载平衡程序进行通信,以添加冗余和故障切换功能.
如果ViewConnectionServer实例在活动会话期间出现故障或没有响应,用户不会丢失数据.
桌面状态将被保存在虚拟机桌面内,因此用户可以连接其他ViewConnectionServer实例,并恢复到桌面会话发生故障时的状态.
图4-2显示了所有组件如何集成到一个可管理实体.
图4-2包含10,000个View桌面的容器图交换网络VMwareViewConnectionServerVMwareView构建基块负载平衡网络核心每个交换网络均与各个ViewConnectionServer相连接VMwareView体系结构规划指南40VMware,Inc.
安全功能规划5VMwareView为敏感的企业数据提供了强大的网络安全保障.
如果要进一步提高安全性,您可以将VMwareView与特定的第三方用户身份验证解决方案进行集成、使用安全服务器和实施受限制的授权功能.

本章讨论了以下主题:n第41页,"了解客户端连接"n第43页,"选择用户身份验证方法"n第45页,"限制View桌面访问"n第46页,"使用组策略设置保护View桌面"n第47页,"实施最佳实践来保护客户端系统"n第47页,"分配管理员角色"n第47页,"准备使用安全服务器"n第51页,"了解VMwareView通信协议"了解客户端连接ViewClient和ViewAdministrator通过安全HTTPS连接与ViewConnectionServer主机通信.
用于用户身份验证和View桌面选择的初始ViewClient连接在用户打开ViewClient并提供ViewConnectionServer或安全服务器主机的IP地址或域名时创建.
ViewAdministrator连接则在管理员在Web浏览器中键入ViewAdministratorURL时创建.
默认的服务器SSL证书是在您安装ViewConnectionServer时生成的.
默认情况下,当客户端访问ViewAdministrator等安全页面时,系统会向客户端提供该证书.
您可以使用默认证书进行测试,但应当尽快将其替换为您自己的证书.
默认证书不是由商业证书颁发机构(CA)签发的.
如果使用未经认证的证书,不受信任的第三方将有可能伪装成您的服务器并截获流量.

n使用PCoIP安全网关的客户端连接第42页,客户端使用VMware的PCoIP显示协议连接View桌面时,ViewClient可与ViewConnectionServer实例或安全服务器上的PCoIP安全网关组件建立第二条连接.
通过Internet访问View桌面时,此连接可提供所需的安全级别和连接性能.
n采用MicrosoftRDP的安全加密链路客户端连接第42页,当用户通过MicrosoftRDP显示协议连接到View桌面时,ViewClient会建立指向ViewConnectionServer主机的第二条HTTPS连接.
此连接提供了一条传送RDP数据的安全加密链路,因此称作安全加密链路连接.
VMware,Inc.
41n直接客户端连接第43页,管理员可以对ViewConnectionServer进行配置,以便绕过ViewConnectionServer主机,直接在客户端系统和View桌面虚拟机之间建立View桌面会话.
这种连接类型称为直接客户端连接.
nViewClientwithLocalMode客户端连接第43页,ViewClientwithLocalMode允许移动用户将View桌面检出到本地计算机.
使用PCoIP安全网关的客户端连接客户端使用VMware的PCoIP显示协议连接View桌面时,ViewClient可与ViewConnectionServer实例或安全服务器上的PCoIP安全网关组件建立第二条连接.
通过Internet访问View桌面时,此连接可提供所需的安全级别和连接性能.
从View4.
6开始,安全服务器中包含一个PCoIP安全网关组件.
PCoIP安全网关连接提供以下优势:n唯一能够访问企业数据中心的远程桌面流量是通过严格验证的用户产生的流量.

n用户只能访问被授权访问的桌面资源.
n此连接支持PCoIP,PCoIP是一种高级远程桌面协议,它通过封装UDP而不是TCP中的视频显示数据包来有效利用网络.
nPCoIP使用AES-128进行加密保护.
n只要PCoIP不被任何网络组件阻止,就不再需要VPN连接.
例如,试图从宾馆房间访问View桌面的人员会发现,宾馆所用的代理未被配置为允许TCP端口4172上的入站流量,以及UDP端口4172上的出入站流量.
有关更多信息,请参阅第50页,"基于DMZ的安全服务器的防火墙规则".
支持PCoIP的安全服务器在WindowsServer2008R2上运行,并可充分利用64位体系结构.
此安全服务器还可以利用支持AES新指令(AESNewInstructions,AESNI)的Intel处理器的功能,从而高度优化PCoIP加密和解密性能.
采用MicrosoftRDP的安全加密链路客户端连接当用户通过MicrosoftRDP显示协议连接到View桌面时,ViewClient会建立指向ViewConnectionServer主机的第二条HTTPS连接.
此连接提供了一条传送RDP数据的安全加密链路,因此称作安全加密链路连接.
安全加密链路连接具有以下优势:nRDP数据可通过HTTPS在安全加密链路中传输,并且使用SSL进行加密.
这种强大的安全协议与其他安全网站提供的安全性功能(如网上银行和信用卡支付所使用的安全性功能)相同.

n一个客户端可以通过一个HTTPS连接访问多个桌面,降低了整体协议开销.
n由于VMwareView可管理HTTPS连接,因此显著提高了底层协议的可靠性.
如果用户临时失去网络连接,HTTP连接将在网络连接恢复后重新建立,RDP连接也会自动恢复,用户不必再重新连接并登录.
在ViewConnectionServer实例的标准部署中,HTTPS安全连接的终点为ViewConnectionServer.
在DMZ部署中,HTTPS安全连接的终点为安全服务器.
有关DMZ部署和安全服务器的信息,请参见第47页,"准备使用安全服务器".
使用PCoIP显示协议的客户端可以使用加密链路连接传输USB重定向和多媒体重定向(MMR)加速功能所产生的流量,但对于其他数据,PCoIP使用安全服务器上的PCoIP安全网关.
有关更多信息,请参见第42页,"使用PCoIP安全网关的客户端连接".
采用PCoIP或HPRGS显示协议的客户端不使用安全加密链路连接.
VMwareView体系结构规划指南42VMware,Inc.
直接客户端连接管理员可以对ViewConnectionServer进行配置,以便绕过ViewConnectionServer主机,直接在客户端系统和View桌面虚拟机之间建立View桌面会话.
这种连接类型称为直接客户端连接.
采用直接客户端连接时,客户端和ViewConnectionServer主机之间仍然会建立HTTPS连接,以供用户进行身份验证和选择View桌面,但不会使用第二条HTTPS连接(安全加密链路连接).
使用HPRGS显示协议的客户端总是使用直接客户端连接.
HPRGS客户端不能使用安全加密链路连接或PCoIP安全网关连接.
直接PCoIP连接具有以下内置安全功能:nPCoIP支持高级加密标准(AdvancedEncryptionStandard,AES)加密(默认启用).
nPCoIP的硬件实施过程使用AES和IPSecurity(IPsec).
nPCoIP可与第三方VPN客户端配合使用.
对于采用MicrosoftRDP显示协议的客户端,直接客户端连接仅适用于企业网络内部的部署环境.
采用直接客户端连接时,RDP流量通过客户端和View桌面虚拟机之间的连接发送时未加密.
ViewClientwithLocalMode客户端连接ViewClientwithLocalMode允许移动用户将View桌面检出到本地计算机.
在LAN中传输数据时,ViewClientwithLocalMode支持安全加密链路通信和非安全加密链路通信.
在安全加密链路通信中,所有流量都要通过ViewConnectionServer主机进行路由,您可以指定是否对通信和数据传输进行加密.
而在非安全加密链路通信中,数据会在客户端系统的本地桌面和vCenterServer的View桌面虚拟机之间直接传输,不经过任何加密.
无论您配置安全加密链路通信还是非安全加密链路通信,用户计算机上的本地数据都经过加密.

存储在本地客户端系统上的数据磁盘使用默认的AES-128加密强度进行加密.
加密密钥经过加密后存储在客户端系统上,其中一位密钥派生自用户凭据(用户名和密码或智能卡和PIN).
在服务器端,密钥存储在ViewLDAP中.
任何用于保护服务器上的ViewLDAP的安全措施都可以保护存储在LDAP中的本地模式加密密钥.
注意您可以将加密密钥密码从AES-128更改为AES-192或AES-256.
桌面的生命周期会通过策略加以控制.
如果客户端与ViewConnectionServer失去连接,与服务器断开连接的最长时间就是用户访问被拒绝之前可以继续使用桌面的时间.
在客户端侧,此过期策略存储在采用应用程序内置密钥加密的文件中.
此内置密钥可防止拥有密码访问权限的用户规避此过期策略.

选择用户身份验证方法VMwareView使用您现有的ActiveDirectory基础架构进行用户身份验证和管理.
为了进一步增强安全性,您可以将VMwareView与RSASecurID和智能卡身份验证解决方案进行集成.
nActiveDirectory身份验证第44页,每个ViewConnectionServer实例都加入到ActiveDirectory域中,用户可以通过所加入域的ActiveDirectory进行身份验证.
用户还可以通过与之存在信任协议的其他用户域来进行身份验证.

nRSASecurID身份验证第44页,RSASecurID通过双因素身份验证增强了安全性,进行双因素身份验证需要知道用户PIN和令牌代码.
令牌代码只能从物理SecurID令牌上获取.
章5安全功能规划VMware,Inc.
43n智能卡身份验证第44页,智能卡是一种嵌入计算机芯片的小型塑料卡.
很多政府机构和大型企业都利用智能卡来验证其计算机网络来访用户的身份.
智能卡也称为通用存取卡(CommonAccessCard,CAC).
n作为当前用户登录功能第45页,如果ViewClient用户选择了作为当前用户登录复选框,则他们在登录客户端系统时提供的凭据还将用于验证ViewConnectionServer实例和View桌面.
无须进行进一步的用户身份验证.
ActiveDirectory身份验证每个ViewConnectionServer实例都加入到ActiveDirectory域中,用户可以通过所加入域的ActiveDirectory进行身份验证.
用户还可以通过与之存在信任协议的其他用户域来进行身份验证.

例如,如果ViewConnectionServer实例是域A的成员,域A和域B之间存在信任关系,那么域A和域B中的用户都可以通过ViewClient连接到ViewConnectionServer实例.
同样,如果某个混合域环境内的域A和MITKerberos领域之间存在信任协议,那么Kerberos领域中用户可以在通过ViewClient连接ViewConnectionServer实例时选择Kerberos领域名.
ViewConnectionServer会从主机所在的域开始遍历信任关系,以确定可以访问哪些域.
对于一组连接良好的小型域,ViewConnectionServer能够快速确定完整的域列表,但随着域数量的不断增多或域之间连接能力的逐渐降低,确定完整域列表所需的时间也会随之增加.
另外,该列表还可能包含您不希望用户在登录桌面时为其提供的域.
管理员可以使用vdmadmin命令行界面来配置域的过滤,从而限制ViewConnectionServer实例能够搜索并向用户显示的域.
有关更多信息,请参阅《VMwareView管理指南》文档.
限时登录和设置密码有效期这样的策略也是通过现有ActiveDirectory操作过程来处理的.
RSASecurID身份验证RSASecurID通过双因素身份验证增强了安全性,进行双因素身份验证需要知道用户PIN和令牌代码.
令牌代码只能从物理SecurID令牌上获取.
通过在ViewConnectionServer主机上安装RSASecurID软件并修改ViewConnectionServer设置,管理员可以在单个ViewConnectionServer实例上启用RSASecurID身份验证.
当用户通过启用RSASecurID身份验证的ViewConnectionServer实例登录时,首先需要验证他们的RSA用户名和通行码.
如果他们未通过这个级别的身份验证,访问将被拒绝.
如果成功通过RSASecurID身份验证,他们就可以继续正常访问,系统随后会要求输入ActiveDirectory凭据.
如果有多个ViewConnectionServer实例,则可以在一些实例上配置RSASecurID身份验证,在另一些实例上配置其他的用户身份验证方式.
例如,您可以仅为那些通过Internet远程访问View桌面的用户配置RSASecurID身份验证.
VMwareView通过了RSASecurIDReady程序的认证,支持各种SecurID功能,包括新建PIN模式、下一个令牌代码模式、RSAAuthenticationManager以及负载平衡等.
智能卡身份验证智能卡是一种嵌入计算机芯片的小型塑料卡.
很多政府机构和大型企业都利用智能卡来验证其计算机网络来访用户的身份.
智能卡也称为通用存取卡(CommonAccessCard,CAC).
只有基于Windows的ViewClient和ViewClientwithLocalMode才支持智能卡身份验证.
ViewAdministrator不支持此功能.
管理员可以为单个ViewConnectionServer实例启用智能卡身份验证.
为ViewConnectionServer实例启用智能卡身份验证时,通常涉及将根证书添加到信任存储区文件,然后再修改ViewConnectionServer设置.
VMwareView体系结构规划指南44VMware,Inc.
采用智能卡身份验证的客户端连接必须启用SSL.
管理员可以通过在ViewAdministrator中设置全局参数来为客户端连接启用SSL.
要使用智能卡,客户端计算机必须具有智能卡中间件和智能卡读卡器.
要在智能卡上安装证书,您必须将一台计算机设置为注册站点.
要通过本地桌面使用智能卡,您必须在智能卡注册过程中选择1024位或2048位密钥大小.
本地桌面不支持带有512位密钥的证书.
默认情况下,当用户检入和检出本地桌面时,ViewConnectionServer使用AES-128对虚拟磁盘文件进行加密.
您可以将加密密钥密码更改为AES-192或AES-256.
作为当前用户登录功能如果ViewClient用户选择了作为当前用户登录复选框,则他们在登录客户端系统时提供的凭据还将用于验证ViewConnectionServer实例和View桌面.
无须进行进一步的用户身份验证.
为支持此功能,用户凭据应存储在ViewConnectionServer实例和客户端系统中.
n在ViewConnectionServer实例中,用户凭据经过加密并与用户名、域和可选UPN一同存储在用户会话中.
进行身份验证时,凭据被添加到用户会话中,并在删除会话对象后清除.
当用户注销、会话超时或身份验证失败时,会话对象就会被删除.
会话对象位于易失性内存中,而不是存储在ViewLDAP或磁盘文件中.
n在客户端系统中,用户凭据加密存储在AuthenticationPackage(ViewClient的一个组件)的表内.
用户登录时系统会将凭据添加到该表中,用户注销时系统会从该表中删除凭据.
该表位于易失性内存中.

管理员可以使用ViewClient组策略设置来控制是否显示作为当前用户登录复选框并指定其默认值.
管理员还可以用组策略指定当用户在ViewClient中选择作为当前用户登录复选框时,由哪个ViewConnectionServer实例接受传送的用户身份和凭据信息.
"作为当前用户登录"功能存在以下限制和要求:n如果ViewConnectionServer实例中的智能卡身份验证设置为"需要",选择了作为当前用户登录复选框的智能卡用户登录View桌面时必须再次用智能卡和PIN码进行身份验证.
n如果用户在登录时选中作为当前用户登录复选框,则将无法检出桌面以在本地模式下使用.

n客户端登录的系统上的时间必须与ViewConnectionServer主机上的时间同步.
n如果在客户端系统上修改默认的通过网络访问此计算机用户权限分配,则必须按照VMware知识库(KB)文章1025691的描述进行修改.
限制View桌面访问您可以使用受限制的授权功能,根据用户连接的ViewConnectionServer实例限制View桌面访问.
使用受限制的授权功能,您可以为一个ViewConnectionServer实例分配一个或多个标签.
在之后配置桌面池时,您可以选择希望其能够访问桌面池的ViewConnectionServer实例的标签.
当用户通过带标签的ViewConnectionServer实例登录时,他们只可以访问那些没有标签或至少有一个匹配标签的桌面池.

例如,您的VMwareView部署中可能包含两个ViewConnectionServer实例.
其中一个实例用于支持内部用户.
另一个实例则与安全服务器配对,用于支持您的外部用户.
为防止外部用户访问特定桌面,您可以采用以下操作设置受限制的授权:n将"内部"标签分配给支持内部用户的ViewConnectionServer实例.
n将"外部"标签分配给与安全服务器配对并支持外部用户的ViewConnectionServer实例.
n将"内部"标签分配给仅供内部用户访问的桌面池.
n将"外部"标签分配给仅供外部用户访问的桌面池.
章5安全功能规划VMware,Inc.
45外部用户无法看到带有"内部"标签的桌面池,因为他们是通过带有"外部"标签的ViewConnectionServer登录的;而内部用户无法看到带有"外部"标签的桌面池,因为他们是通过带有"内部"标签的ViewConnectionServer登录的.
图5-1显示了此配置.
图5-1受限制的授权示例DMZ外部网络远程ViewClientViewConnectionServer标签:"外部"桌面池A标签:"外部"ViewSecurityServerVMVMVMVM本地ViewClientViewConnectionServer标签:"内部"桌面池B标签:"内部"VMVMVMVM您也可以使用受限制的授权功能,根据您为特定ViewConnectionServer实例配置的用户身份验证方法控制桌面访问.
例如,您可以仅允许经过智能卡身份验证的用户使用特定的桌面池.

受限制的授权功能只能强制执行标签匹配.
您必须设计网络拓扑结构以强制特定的客户端通过特定的ViewConnectionServer实例进行连接.
使用组策略设置保护View桌面VMwareView中包含组策略管理(ADM)模板,您可以使用其安全相关组策略设置来保护您的View桌面.
例如,您可以使用组策略设置执行以下任务:n指定当用户在ViewClient中选择作为当前用户登录复选框时,由哪个ViewConnectionServer实例接受传送的用户身份和凭据信息.
n为ViewClient中的智能卡身份验证启用单点登录功能.
n配置ViewClient中的服务器SSL证书检查.
n防止用户通过ViewClient命令行选项提供凭据信息.
n防止非ViewClient系统使用RDP连接到View桌面.
您可以设置此策略,使连接必须由View管理,这意味着用户必须使用ViewClient连接View桌面.
有关使用ViewClient组策略设置的信息,请参阅《VMwareView管理指南》文档.
VMwareView体系结构规划指南46VMware,Inc.
实施最佳实践来保护客户端系统您应当通过实施最佳实践来保护客户端系统.
n确保客户端系统被配置为在空闲一定时间后进入睡眠状态,并在计算机被唤醒前要求用户输入密码.

n要求用户在启动客户端系统时输入用户名和密码.
不要将客户端系统配置为允许自动登录.

n对于Mac客户端系统,请考虑为密钥串和用户帐户设置不同的密码.
如果密码不同,用户会在系统为其输入任何密码前收到提示.
另外还要考虑开启FileVault保护.
n与远程状态下连接内网时相比,本地模式客户端系统在运行本地模式时可能会需要更多的访问网络.
请考虑为本地模式客户端系统强制实施内网安全策略,或者禁止这些系统在运行本地模式时访问网络.

分配管理员角色VMwareView环境中的一项关键管理任务是确定哪些用户能够使用ViewAdministrator,以及这些用户有执行哪些任务的权限.
在ViewAdministrator中执行任务的授权由一个访问控制系统掌控,该系统由管理员角色和特权组成.
角色就是一组特权的集合.
特权可授予执行特定操作的能力,例如授予用户对桌面池的权限或更改配置设置的权限.

特权还控制管理员可在ViewAdministrator中查看的内容.
管理员可以创建文件夹细分桌面池,然后将特定桌面池的管理权委托给ViewAdministrator中不同的管理员.
管理员需要针对文件夹为用户分配角色,才能配置对该文件夹中资源的管理员访问权限.
管理员只能访问其已经分配角色的文件夹中的资源.
管理员在文件夹上的角色决定了其对该文件夹中资源所具有的访问权限级别.

ViewAdministrator中包含一组预定义角色.
管理员还可以组合所选特权来创建自定义角色.

准备使用安全服务器安全服务器是一个运行部分ViewConnectionServer功能的特殊ViewConnectionServer实例.
您可以使用安全服务器在Internet和内部网络之间提供额外的安全保护层.
安全服务器位于DMZ内,充当受信任网络中的连接代理主机.
每台安全服务器均与一个ViewConnectionServer实例配对,并将所有流量转发给该实例.
这样的设计能保护ViewConnectionServer实例免受公共Internet的威胁,并强制所有无保护的会话请求经过安全服务器传输,从而提供额外的安全保护层.

基于DMZ的安全服务器部署要求打开防火墙上的一些端口,以允许客户端与DMZ内的安全服务器进行连接.
您还需要配置端口,以供内部网络中的安全服务器与ViewConnectionServer实例通信使用.
有关特定端口的信息,请参见第50页,"基于DMZ的安全服务器的防火墙规则".
由于用户直接连接到内部网络中的任何ViewConnectionServer实例,因此您不必在基于LAN的部署中实施安全服务器.
注意从View4.
6开始,安全服务器中包含一个PCoIP安全网关组件,因此使用PCoIP显示协议的客户端可以使用安全服务器而不是VPN连接.
有关设置VPN以使用PCoIP的信息,请参见VMware网站上的以下解决方案概述:nVMwareViewandJuniperNetworksSAServersSSLVPNSolution(VMwareView与Juniper网络SAServersSSLVPN解决方案)nVMwareViewandF5BIG-IPSSLVPNSolution(VMwareView与F5BIG-IPSSLVPN解决方案)nVMwareViewandCiscoAdaptiveSecurityAppliances(ASA)SSLVPNSolution(VMwareView与CiscoAdaptiveSecurityAppliances(ASA)SSLVPN解决方案)章5安全功能规划VMware,Inc.
47部署安全服务器的最佳实践在DMZ中运行安全服务器时,您应当遵循最佳安全策略和步骤.
《DMZVirtualizationwithVMwareInfrastructure》(在VMware基础架构中实施DMZ虚拟化)白皮书中介绍了虚拟化DMZ方面的最佳实践示例.
此白皮书中的许多建议都可应用于物理DMZ.
要限制帧的广播范围,应在隔离的网络中部署与安全服务器配对的ViewConnectionServer实例.
该拓扑结构有助于防止内部网络中的恶意用户监视安全服务器与ViewConnectionServer实例之间的通信.
同时,您也可以使用网络交换机的高级安全功能,避免安全服务器和ViewConnectionServer的通信受到恶意监视,并抵御ARP缓存投毒(ARPCachePoisoning)等监控攻击.
有关更多信息,请参见网络设备的管理文档.
安全服务器拓扑结构您可以实施几种不同的安全服务器拓扑结构.
图5-2中展示的拓扑结构显示了一个在DMZ中包含两台负载平衡安全服务器的高可用性环境.
安全服务器与内部网络中的两个ViewConnectionServer实例通信.
图5-2DMZ中的负载平衡安全服务器vCenterManagementServerMicrosoftActiveDirectoryViewConnectionServer负载平衡ViewSecurityServerDMZ外部网络远程ViewClient运行虚拟桌面虚拟机的ESX主机当远程用户连接安全服务器时,他们必须成功通过身份验证,才可以访问View桌面.
在这种拓扑结构中,DMZ两端都实施了合适的防火墙规则,这种结构适用于通过Internet上的客户端设备来访问View桌面.
VMwareView体系结构规划指南48VMware,Inc.
您可以为每个ViewConnectionServer实例连接多个安全服务器.
您也可以将DMZ部署与标准部署结合使用,以便支持内部用户和外部用户访问.
图5-3中展示的拓扑结构显示了将四个ViewConnectionServer实例作为一个组的环境.
内部网络中的实例专供内部网络用户使用,外部网络中的实例则专供外部网络用户使用.
如果与安全服务器配对的ViewConnectionServer实例启用了RSASecurID身份验证,所有外部网络用户都需要使用RSASecurID令牌进行身份验证.
图5-3多台安全服务器vCenterManagementServerMicrosoftActiveDirectoryViewConnectionServer负载平衡ViewSecurityServerDMZ外部网络远程ViewClient负载平衡内部网络ViewClient运行虚拟桌面虚拟机的ESX主机如果您安装了多台安全服务器,则必须实施硬件或软件负载平衡解决方案.
ViewConnectionServer本身不提供负载平衡功能.
ViewConnectionServer可与标准的第三方负载平衡解决方案配合使用.
基于DMZ的安全服务器的防火墙基于DMZ的安全服务器部署中必须包含两个防火墙.
n需要部署一个面向外部网络的前端防火墙,用于保护DMZ和内部网络.
您需要将该防火墙配置为允许外部网络流量到达DMZ.
n需要在DMZ和内部网络之间部署一个后端防火墙,用于提供第二层安全保障.
您需要将该防火墙配置为仅接受DMZ内的服务产生的流量.
防火墙策略可严格控制来自DMZ服务的入站通信,这样将大幅降低内部网络泄露的风险.
图5-4显示了包含前端和后端防火墙的配置示例.
章5安全功能规划VMware,Inc.
49图5-4双层防火墙拓扑结构ViewClientViewClientHTTPS流量HTTPS流量容错负载平衡机制ViewSecurityServerDMZ内部网络ViewConnectionServerViewConnectionServerVMwarevCenterActiveDirectoryVMwareESX主机ViewSecurityServer后端防火墙前端防火墙基于DMZ的安全服务器的防火墙规则您需要为基于DMZ的安全服务器配置特定的前端防火墙规则和后端防火墙规则.
前端防火墙规则要允许外部客户端设备连接到DMZ中的安全服务器,前端防火墙必须允许特定TCP和UDP端口上的流量.
表5-1中总结了相关的前端防火墙规则.
表5-1前端防火墙规则源协议端口目标说明任意HTTP80安全服务器如果SSL已禁用,外部客户端设备使用端口80来连接DMZ中的安全服务器.
任意HTTPS443安全服务器如果SSL已启用(默认情况),外部客户端设备使用端口443来连接DMZ中的安全服务器.
任意PCoIPTCP443UDP443安全服务器如果SSL已禁用,外部客户端设备使用TCP端口4172来连接DMZ中的安全服务器,也可以使用UDP端口4172进行双向通信.
VMwareView体系结构规划指南50VMware,Inc.
后端防火墙规则要允许安全服务器与内部网络中的每个ViewConnectionServer实例通信,后端防火墙必须允许特定TCP端口上的入站流量.
位于后端防火墙后面的内部防火墙必须采用类似配置,以允许View桌面和ViewConnectionServer实例相互通信.
表5-2中总结了相关的后端防火墙规则.
表5-2后端防火墙规则源协议端口目标说明安全服务器HTTP80TransferServer安全服务器可以使用端口80将View桌面数据从TransferServer下载到本地模式桌面,并将数据复制到TransferServer.
安全服务器HTTPS443TransferServer如果您将ViewConnectionServer配置为使用SSL进行本地模式操作和桌面部署,安全服务器使用端口443执行本地模式桌面与TransferServer之间的数据下载和复制操作.
安全服务器AJP138009ViewConnectionServer安全服务器使用端口8009将AJP13转发的Web流量传输到ViewConnectionServer实例.
安全服务器JMS4001ViewConnectionServer安全服务器使用端口4001将Java消息服务(JavaMessageService,JMS)流量传输到ViewConnectionServer实例.
安全服务器RDP3389View桌面安全服务器使用端口3389向View桌面传输RDP流量.
注意使用USB重定向功能时,RDP需要使用TCP端口32111.
使用MMR时,RDP需要使用TCP端口9427.
安全服务器PCoIPTCP4172UDP4172View桌面安全服务器使用TCP端口4172将PCoIP流量传输到View桌面,安全服务器使用UDP端口4172双向传输PCoIP流量.
使用USB重定向功能时,采用PCoIP从客户端到View桌面的连接需要使用TCP端口32111.
用于ViewConnectionServer相互通信的TCP端口ViewConnectionServer实例组使用其他TCP端口来相互通信.
例如,ViewConnectionServer实例使用端口4100来相互传输JMS路由器之间(JMSIR)的流量.
同一组中的ViewConnectionServer实例之间一般不使用防火墙.
了解VMwareView通信协议VMwareView组件之间通过几种不同的协议来交换消息.
图5-5展示了在没有配置安全服务器时每个组件所使用的通信协议.
也就是说,在没有为RDP和PCoIP安全网关启用安全加密链路的情况下.
此配置可在典型的LAN部署中使用.
章5安全功能规划VMware,Inc.
51图5-5未配置安全服务器时的VMwareView组件和所用协议ViewAdministratorViewMessagingViewBroker&AdminServerViewAgentViewClientMac、Windows和Linux客户端瘦客户端ViewConnectionServerView桌面虚拟机ViewManagerLDAPHTTP(S)HTTP(S)HTTP(S)JMSRDPRDP客户端RDPPCoIPPCoIPvCenterServer瘦客户端操作系统SOAPRDPRDPPCoIPPCoIPViewSecureGWServer&PCoIP安全网关注意此图展示了使用PCoIP或RDP协议的客户端的直接连接.
然而,默认设置是为PCoIP协议采用直接连接,为RDP协议采用安全加密链路连接.
请参阅表5-3了解每个协议所用的默认端口.
图5-6展示了在配置了安全服务器时,每个组件通信时所采用的协议.
此配置可在典型的WAN部署中使用.
VMwareView体系结构规划指南52VMware,Inc.
图5-6已配置安全服务器的VMwareView组件和所用协议ViewAdministratorViewMessagingViewBroker&AdminServerViewAgentViewClientMac、Windows和Linux客户端瘦客户端ViewSecurityServerViewConnectionServerView桌面虚拟机ViewManagerLDAPHTTP(S)HTTP(S)HTTP(S)HTTP(S)JMSAJP13HTTP(S)JMSRDPRDP客户端RDPPCoIPPCoIPPCoIPvCenterServer瘦客户端操作系统SOAPRDPRDPViewSecureGWServer&PCoIP安全网关ViewSecureGWServer&PCoIP安全网关HTTP(S)PCoIP表5-3中列出了每个协议所用的默认端口.
表5-3默认端口协议端口JMSTCP端口4001AJP13TCP端口8009注意AJP13仅用于安全服务器配置.
HTTPTCP端口80HTTPSTCP端口443RDPTCP端口3389使用USB重定向功能时,RDP需要使用TCP端口32111.
使用MMR时,RDP需要使用TCP端口9427.
注意如果将ViewConnectionServer实例配置为采用直接客户端连接,则这些协议将直接从客户端连接到View桌面,不会通过ViewSecureGWServer组件使用安全加密链路传送.
章5安全功能规划VMware,Inc.
53表5-3默认端口(续)协议端口SOAPTCP端口80或443PCoIPTCP端口4172(从ViewClient到View桌面的连接).
PCoIP还使用UDP端口4172进行双向传输.
使用USB重定向功能时,采用PCoIP从客户端到View桌面的连接需要使用TCP端口32111.
ViewBroker和AdministrationServerViewBroker组件是ViewConnectionServer的核心,负责管理VMwareViewClient和ViewConnectionServer之间的所有用户交互.
ViewBroker中还包含由ViewAdministratorWeb客户端使用的AdministrationServer.
ViewBroker可与vCenterServer紧密协作,提供对View桌面(包括虚拟机创建和电源操作)的高级管理功能.
ViewSecureGatewayServerViewSecureGatewayServer是用于VMwareView客户端与安全服务器或ViewConnectionServer实例之间的安全HTTPS连接的服务器端组件.
当您为ViewConnectionServer配置了安全加密链路连接时,RDP、USB和多媒体重定向(MultimediaRedirection,MMR)流量将通过ViewSecureGateway组件使用安全加密链路传送.
当您配置直接客户端连接时,这些协议将直接从客户端连接到View桌面,不会通过ViewSecureGatewayServer组件使用安全加密链路传送.
注意使用PCoIP显示协议的客户端可以使用加密链路连接传输USB重定向和多媒体重定向(MMR)加速功能所产生的流量,但对于其他数据,PCoIP使用安全服务器上的PCoIP安全网关.
HPRGS不使用安全加密链路连接.
ViewSecureGatewayServer还负责将其他Web流量从VMwareView客户端转发到ViewBroker组件,包括用户身份验证和桌面选择流量.
另外,ViewSecureGatewayServer还可以将ViewAdministrator客户端的Web流量传送到AdministrationServer组件.
PCoIP安全网关从View4.
6开始,安全服务器中包含一个PCoIP安全网关组件.
在启用了PCoIP安全网关的情况下,通过身份验证后,使用PCoIP协议的View客户端可与安全服务器再建立一条安全连接.
此连接允许远程客户端通过Internet访问View桌面.
启用PCoIP安全网关组件后,安全服务器将PCoIP流量转发至View桌面.
如果使用PCoIP的客户端也使用USB重定向功能或多媒体重定向(MMR)加速功能,您可以启用View安全网关组件来转发这些数据.
配置直接客户端连接时,PCoIP流量和其他流量从View客户端直接转到View桌面.
终端用户(如家庭用户或移动用户)通过Internet访问桌面时,安全服务器可提供所需的安全级别和连接性能,因此无需使用VPN连接.
PCoIP安全网关组件可确保唯一能够访问企业数据中心的远程桌面流量是通过严格验证的用户产生的流量.
终端用户只能访问被授权访问的桌面资源.

VMwareView体系结构规划指南54VMware,Inc.
ViewLDAPViewLDAP是ViewConnectionServer中的嵌入式LDAP目录,也是所有VMwareView配置数据的配置存储库.
ViewLDAP中包含代表每个View桌面、每个可访问的View桌面、集中管理的多个View桌面和View组件配置设置的各种条目.
此外,ViewLDAP还包含一组View插件DLL,可为其他VMwareView组件提供自动化服务和通知服务.
ViewMessagingViewMessaging组件为ViewConnectionServer组件之间以及ViewAgent与ViewConnectionServer之间的通信提供消息路由器.
该组件支持Java消息服务(JavaMessageService,JMS)API(用于在VMwareView中传送消息).
默认情况下,用于组件间消息验证的RSA密钥长度为512位.
如果您想使用更强的加密计算,可将RSA密钥的长度增加到1024位.
如果您希望所有的密钥均为1024位,就必须在安装第一个ViewConnectionServer实例后,趁尚未创建更多的服务器和桌面时立即更改RSA密钥的长度.
有关更多信息,请参见VMware知识库(KB)文章1024431.
ViewConnectionServer的防火墙规则在防火墙上必须为ViewConnectionServer实例及安全服务器打开某些端口.
在WindowsServer2008上安装ViewConnectionServer时,安装程序可为您配置所需的Windows防火墙规则(可选).
在WindowsServer2003上安装ViewConnectionServer时,您必须手动配置所需的Windows防火墙规则.
表5-4在ViewConnectionServer安装过程中打开的端口协议端口ViewConnectionServer实例类型JMSTCP4001传入标准和副本JMSIRTCP4100传入标准和副本AJP13TCP8009传入标准和副本HTTPTCP80传入标准、副本和安全服务器HTTPSTCP443传入标准、副本和安全服务器PCoIPTCP4172传入;UDP4172双向传送标准、副本和安全服务器ViewAgent的防火墙规则ViewAgent安装程序会打开防火墙上的特定TCP端口.
如非特别注明,端口均为传入端口.
表5-5ViewAgent安装期间打开的TCP端口协议端口RDP3389USB重定向32111MMR9427章5安全功能规划VMware,Inc.
55表5-5ViewAgent安装期间打开的TCP端口(续)协议端口PCoIP4172(TCP和UDP)HPRGS42966ViewAgent安装程序为入站RDP连接配置本地防火墙规则,以匹配主机操作系统当前的RDP端口(通常为3389).
如果您更改了RDP端口号,则必须更改相关的防火墙规则.
如果您指示ViewAgent安装程序不启用远程桌面支持,安装程序将不会打开端口3389和32111,您必须手动打开这些端口.
HPRGSSender应用程序是HPRGS远程显示协议的服务器端组件.
默认情况下,HPRGSSender使用端口42966.
如果您将虚拟机模板作为桌面源,仅当模板为桌面域成员时,才会对已部署的桌面应用防火墙例外规则.
你可以用Microsoft组策略设置来管理本地防火墙例外规则.
有关更多信息,请参见Microsoft知识库(KB)文章875357.
ActiveDirectory的防火墙规则如果您在VMwareView环境和ActiveDirectory服务器之间部署了防火墙,则必须确保打开了所有必要端口.
例如,ViewConnectionServer必须能够访问ActiveDirectory全局目录和轻型目录访问协议(LightweightDirectoryAccessProtocol,LDAP)服务器.
如果全局目录和LDAP端口被防火墙软件阻止,管理员将无法正常配置用户授权.
请参见适用于您的ActiveDirectory服务器版本的Microsoft文档,了解确保ActiveDirectory顺利通过防火墙而必须打开的端口.
ViewClientwithLocalMode的防火墙规则ViewClientwithLocalMode数据通过端口902上传和下载.
如果您希望使用ViewClientwithLocalMode功能,则ESX主机必须能够访问端口902.
VMwareView体系结构规划指南56VMware,Inc.
VMwareView环境设置步骤概述6完成这些高级任务以安装VMwareView并配置初期部署.
表6-1View安装与设置核对清单步骤任务1在ActiveDirectory中设置所需的管理员用户和用户组.
操作说明:《VMwareView安装指南》和vSphere文档2安装并设置VMwareESX/ESXi主机和vCenterServer(如果还未执行此步骤).
操作说明:vSphere文档3如果要部署链接克隆桌面,请在vCenterServer系统上安装ViewComposer.
操作说明:《VMwareView安装指南》文档4安装并设置ViewConnectionServer.
操作说明:《VMwareView安装指南》文档5如果要在本地模式下使用桌面,请安装TransferServer.
操作说明:《VMwareView安装指南》文档6创建一个或多个可作为完整克隆桌面池模板使用的虚拟机,或者是可作为链接克隆桌面池的父虚拟机的虚拟机.

操作说明:《VMwareView管理指南》文档7创建一个桌面池.
操作说明:《VMwareView管理指南》文档8控制用户的桌面访问.
操作说明:《VMwareView管理指南》文档9在最终用户的计算机上安装ViewClient,并让他们可访问View桌面.
操作说明:《VMwareView安装指南》10(可选)创建并配置更多的管理员,允许对特定清单对象和设置进行不同级别的访问.