虚拟化安全管理系统组成说明.docVIP

赞嘉虚拟化安全管理系统由三个模块组成。三个模块分别为前端Web应用模块、数据管理和分析模块和连接XenDesktop SDK的脚本模块。 前端Web应用模块是安装在IIS7的一个Web站点，主要用于提供本系统的用户界面。安全管理员、系统管理员和审计管理员都经这个站点登录，进行各种操作。安全管理员可以将添加主机、新建虚拟桌面等任务配置提交给系统管理员，系统管理员可以审核并生效这些操作，而审计管理员可以查看安全管理员和系统管理员的各种操作行为，并在线导出日志为Excel报表。 图7-1 赞嘉虚拟化安全管理系统的Web用户界面 数据管理和分析模块负责将前端Web应用模块的操作和相关数据记录到SQL Server数据库。操作包括各种管理员的所有操作，相关数据包括所有曾经输入的配置参数。换言之，这个模块是主要为前端Web应用模块提供各种数据服务。 连接XenDesktop SDK的脚本模块负责将系统管理员提交生效的操作进行实际生效执行。这个模块通过PowerShell脚本调用XenDesktop SDK 5.0，控制DDC完成各种虚拟机管理的实际功能，诸如创建host连接，创建虚拟桌面等等。连接XenDesktop SDK的脚本模块还负责从DDC获取虚拟化平台的各种信息数据，并传递到Web站点进行显示，诸如当前host连接、已经存在的虚拟桌面等等。 模块细节设计说明 前端Web应用模块 前端的Web应用主要都是用户界面的展现，按功能区分，有安全管理员的界面、系统管理员的界面、审计管理员的界面。其中安全管理员的界面包括功能页面 新建host、新建虚拟桌面、新建桌面组、当前系统配置、修改密码、退出；系统管理员界面包括功能页面 审核生效配置、当前系统配置、修改密码、退出；审计管理员界面包括功能页面 操作日志、当前系统配置、修改密码、退出。公共功能页面有 当前系统配置、修改密码和退出。“当前系统配置”页面列出了XenDesktop DDC的当前主要信息，如当前存在的catalog、当前的host connection等等。“修改密码”用于修改当前登录的管理员自身的密码，“退出”用于安全退出管理页面session。安全管理员的“新建host”用于新建XenDesktop DDC到XenServer的主机连接，“新建虚拟桌面”用于创建基于某个XenServer连接的Catalog并在之下创建由指定的Master VM生成的桌面虚拟机，“新建桌面组”用于建立DDC中的桌面组并将用户附加到之前创建的Catalog。系统管理员的“审核生效配置”用于将安全管理员提交的操作实际执行。审计管理员的“操作日志”用于查看安全管理员和系统管理员的历史操作并导出Excel报表。 数据管理和分析模块 数据管理和分析模块主要由前端的Web应用调用，实现管理日志的记录和数据库连接维护等。其主要由底层的数据库操作类库和日志分析记录组成。其中底层的数据库操作类实现将各种操作调用转换成对应的SQL语句进行数据库操作，本系统默认使用SQL Server数据连接；日志分析记录负责在各个操作节点记录相应的日志，并提供一定的日志查询机制。前端的Web应用按需要调用此模块的各个功能，以实现后端的数据存储和分析。 连接XenDesktop SDK的脚本模块 连接XenDesktop SDK的脚本模块主要由前端的Web应用调用，实现对XenDesktop DDC的实际管控。主要是系统管理员的界面“审核生效配置”调用这个模块。由于XenDesktop SDK提供的第三方开发接口是基于Microsoft Powershell Framework的，所以本模块主要是由一些封装的脚本和调用脚本的本地应用程序组成，调用关系是前端页面触发本地应用，本地应用调用Powershell脚本使用其cmdlet实现管控DDC的功能。这个模块主要包括 页面应用使用powershell机制的实现、powershell调用预处理和任务线程调度、DDC功能解析脚本。其中页面应用使用powershell的部分完全基于.Net 4.0类库提供的功能实现，主要是用runspace类进行参数传递，powershell调用脚本需要相应的权限，所以需要调用预处理，由于控制DDC的相关任务往往等待时间较长，所以有任务线程调度和等待机制，负责通知前端页面当前工作的状态。DDC功能解析脚本是后端控制DDC的主要部分，完全基于XenDesktop SDK的规范进行编制。 开发难点克服 主要的难度在于两点，一是XenDesktop SDK的使用和功能脚本编写。众所周知，当今的虚拟化平台在经过数年的发展之后规模比较庞大，一个成熟的虚拟化桌面平台的功能细节十分丰富。XenDesktop SDK常见版本有4.0和5.0两个，在详细比较和资料查阅之