应用发布接入Xenapp解决方案.docxVIP

应用发布接入Xenapp解决方案 总体方案构架 通过Citrix XenApp集中部署和发布应用客户端软件，整个的后台应用服务 器架构没有变化，客户端可以通过XenApp来访问集中发布的各种在线培训应用 程序和某些测试环境。其整体构架如下图所示： 客户端软件安装在Citrix服务器（XenApp）上，而所有访问用户使用终端设备 均无需事先安装应用客户端软件。客户端设备只需通过IE就可以运行应用系统 （第一次访问时会自动提示下载安装一个几兆大小的Citrix ICA插件），多用 户同时访问时，由XenApp管理和运行应用客户端软件的多进程访问，并控制向 不同用户发布的权限。 客户端可以直接连接Webinterface和XenApp服务器。或者可以通过在防火墙打 开相应的HTTP和ICA协议端口来访问XenApp服务器。 同时外网远程接入所有客户端经过安全网关Access Gateway （可选）或者第三 方VPN接入。使用Access Gateway可以实现SSL加密，对传输的数据进行加密 保护，并且配合XenApp的智能访问，可以实现用户的访问场景识别，能够更加 严格地限制用户对后台资源的访问，保护客户的数据安全。 XenApp可整合现有的活动目录中的用户账户来进行用户身份认证。 图中的文件服务器，提供了用户的个人数据存储功能。通过使用Windows的目录 权限控制，及文件夹重定向功能，可以做到用户数据的安全保存及漫游访问。 通过Citrix服务器（XenApp）的Smart Audit功能，客户端的操作不仅可以被管 理员实时监控，述可以进行屏幕录像并长期保存，以实现行为审计。 Citrix Delivery Centeri.dxXenDesktop ■ XenApp ?XenServerNetScaler Citrix Delivery Center i.dx XenDesktop ■ XenApp ?XenServer NetScaler 实现 集中管理 Citrix的集中部署模式只将应用部署在数据中心，用户可以通过任意终端和任 意网络进行访问数据屮心，非常方便；而只需对服务器端的数据屮心进行管理, 实现了管理维护的简化。应用软件的安装及配置变化，均可以在服务器端集中进 行，大大简化了开发环境的配置和部署。 应用发布 XenApp为用户提供了基于服务器的计算模式(Server-based Computing),实 现了虚拟化应用发布。其技术核心是ICA协议，ICA协议连接了运行在XENAPP 服务器上的应用进程和远端客户端设备，通过1CA的32个虚拟通道(包括鼠标、 键盘、图像、声音、端口、打印等等)，运行在中心服务器上的应用进程的输入 输出数据重新定向到远端客户端机器的输入输出设备上，因此虽然应用客户端软 件并没有运行在客户端设备上，但是用户使用起来和在客户端安装运行客户端软 件相比，没有感觉任何操作上的改变。 XenApp虚拟化应用发布原理如下图所示： 由于ICA协议是一种高效率的数据交换协议，同时在中心服务器和远端终端设备 之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息，因此每一个连接只占 用十几K的网络带宽。 这种模式使得企业应用部署架构上发生变化，从一种分布式部署变成了大集屮的 应用部署，因而带来了应用访问、性能及安全等各个方面的提升。 存储隔离 通过选择NTFS文件系统和Windows Server的用户Profile机制，每个用户可以 有自己的存储空间。利用NTFS的文件权限的管理机制，用户在服务器端的私有 存储空间，工作目录，临吋文件可以被安全的管理和限制。可限制用户的对其他 用户数据的交叉访问。也可给予特定管理员访问、获取用户数据的权限。 同时可以通过配置Windows Server 2003的文件夹重定向，将My Documents等 目录集中重定向到集中的文件服务器，从而保证用户不管登录到哪台服务器，都 能一致地访问其用户数据。 数据保护 由于网络上传输的只是客户端的键盘、鼠标动作以及显示界而的刷新部分，业务 数据和代码的并不下载到客户端本地；数据、缓存、Cookie等等全部在中央受 限的环境中控制；另外ICA协议还含有多种加密技术，保证显示界面和用户操作 数据的安全传输；客户端的操作感觉虽然就像在木机操作一样，但未经权限许可, 不得擅自修改、备份、拷盘、打印等。通过应用发布的方式，内部员工和外部合 作公司的员工只能使用本岗位的应用程序，而不能打开其他的应用软件或数据信 息。 远程接入 本地用户可以直接从内网访问，外部用户需要经过防火墙，可在两道防火墙 之间的DMZ隔离区内放置SSL加密的网关设备Access Gateway。 Citrix为用户提供了统一的安全接入手段，一个典型的接入过程如下图