虚拟电脑app(Vmware-view桌面虚拟化简介)

1.项目简介XXX用户所现有的办公方式是基于传统PC方式，需要在每台PC上安装所需的软件程序(办公软件如word等，聊天软件如QQ等)及客户端，同时重要的数据也分散在各PC上，不能很方便的进行集中存储及备份。

在现有的方式下，客户端安全隐患增加，由于PC机的安全漏洞较多，因此业务数据在客户端有泄露及丢失的危险，并且用户的业务工作环境也有受攻击和被破坏的危险而工作人员的工作环境被绑定在PC机上，出现软硬件故障的时候，工作人员只能被动地等待IT维护人员来修复，因此维护响应能力的不足，直接导致了响应能力的降低，带来工作效率低下。

2.需求与方案1、需求描述：对用户区别对待的桌面分配方式要求保证领导所用的桌面虚拟机的性能，包括CPU、内存不与其他用户发生争抢，领导具有所分配虚拟机的最高权限，可以自己安装软件，使用外插USB设备等，且保留每次产生的用户数据。

普通用户使用的桌面也要保证能看到上次的数据，以及所作的设置等普通用户不允许自己安装应用程序，不具有系统管理员权限，不能使用USB设备等解决方法：在集群中划分两个资源池领导使用的资源池采用完整虚拟机自动池的专用分配方式。

每次领导用户使用的桌面虚拟机是以用户的身份绑定的在该虚拟机上添加领导用户的权限为管理员权限，领导可以自己安装应用该桌面池内的虚拟机在vsphere中采用CPU以及内存的资源预留机制，在可能的使用高峰期内计算资源不会与别的用户发生争抢。

设置该池的USB接入为允许普通用户数量众多，所以需要建立链接克隆自动池并采用浮动分配的方式每个用户每次使用的虚拟机实际上应该是不一样的，但是由于采用用户配置管理的功能，用户每次体验的桌面看起来是一样的桌面，并包含上次产生的用户数据。

普通用户不具有自己安装应用的权限，并不能使用USB接入，设置该池的USB接入为禁止2、需求描述：灵活的应用部署方式解决方法：应用的部署方式有三种1）传统的应用安装领导使用的桌面具有自己安装应用的权限，可以独立下载并安装应用而且下次登陆后应用依然存在。

2）通过模板的部署普通用户使用的链接克隆自动池具有composer功能模块提供的通过模板部署应用的功能在下班时间可以通过在vCenter中重做父虚拟机的镜像模板，再在view管理中选择重置某个虚拟机或整个桌面池

来进行模板的更新及新应用的部署3）Thinapp应用部署在ESX上部署一台用户使用的桌面虚拟机一样干净的操作系统，并安装Thinapp4.6程序并使用该程序对新安装的应用进行打包之后将打包后的程序拷贝到网络共享位置就可以在view界面中将该。

应用发布给某个桌面或者某个桌面池了可以在网络共享位置上建立多个文件夹分别存放不同类型的APP程序例如：² 领导需要的应用该文件夹（folder1）的权限设置为领导的用户组具有读写权限，领导可以通过view分发来获取该文件中的应用。

普通用户在该文件服务器上也能看到该文件夹（folder1），但是没有权限查看² 分发给其他用户的应用该文件夹（folder2）的权限设置为everyone，所有人都可以通过view分发来获取该文件中的应用，甚至可以通过“\\文件服务器主机名\folder2”直接读取其中内容。

3、需求描述：审计以及安全方面的要求需要对用户的上网行为以及机器的登陆使用进行审计，并配合公司网络中已有的审计功能一起使用需要保证通过internet访问桌面的安全加密解决方法：配置view的event事件数据库。

View的事件数据库经过配置后可以在view管理界面中记录所有用户的登陆注销的时间以及当时使用的桌面那么普通用户所在资源池中的桌面是浮动分配且每次生成都重新DHCP获取IP，如果已有环境中的审计功能模块是通过IP地址区分数据包的，这将给原来的审计行为带来复杂度。

用户与view桌面之间的连接通过SSL协议加密如果环境允许还可以部署view中的security server提高数据传输的安全性Security server 与外部网络以及内网view connector server之间都有独立的防火墙，通过这两个防火墙严格的端口控制，可以大大提高对外部访问的安全性。

对于用户身份的验证，可以提供的方式有普通的用户名密码登陆和动态密码（RSA），动态密码需要专门的硬件，提供更多一层的安全认证此外，对于用户登陆桌面的PC物理机的信息，也可以在每次登陆时通过脚本读取注册表。

再发送到指定的网络位置进行记录4、需求描述：子网网络设计以及对原来网络的影响解决方法：部署单独的AD/DHCP以及DNS服务View的桌面环境作为一个子网接入公司内部网络，子网中包含自己的DHCP、DNS以及AD服务。

公司网络对view子网提供一个网关地址，view子网的机器都使用该网关地址由于是一个单独的子网，内部的AD、DNS以及DHCP对于外部网络服务不会产生影响除了提供一个网关地址给view子网外，还需要在内部网络中的DNS上添加view connector server的域名与IP对应的DNS条目，或者在终端用户使用的电脑上的hosts文件中修改增加该条目。

5、存储的规划解决方法：本次实施包含两个桌面池，存储的数据类型包括两个桌面池的父虚拟机，完整虚拟机克隆桌面池的用户使用的桌面虚拟机，链接克隆桌面池的副本虚拟机以及根据此副本的链接克隆，Thinapp应用程序分发用的和用户配置管理persona management用来存放用户配置数据的虚拟机，最后还包括功能服务器的虚拟机。

功能服务器包括vCenter、view manager、AD，这些是存在功能节点的本地存储上的其他人在光纤存储阵列上如下分配：对所有物理磁盘划分两个raid，可以留下一块盘作为hotspare热备盘领导用的虚拟机以及两个池子的父虚拟机以及Thinapp与persona management需要的文件共享服务器在第一个raid上，其他都在另一个raid上。

这样将文件共享服务器和链接克隆这两个读写频繁的部分物理隔离开一共16块盘，每块盘1T容量具体规划如下：1）7块盘做RAID5专用于persona management需要的文件服务器，大概6T的空间，直接映射给文件服务器的虚拟机。

如果今后需要扩展可以使用更大的硬盘并迁移数据Thinapp文件共享服务器也可以使用同一台虚拟机实现2） 8块盘做另一个raid5，大概6-7T的实际容量，剩下一块做全局热备盘划分两个LUN，一个2T，另一个大概4-5T。

这部分一是存放链接克隆的副本虚拟机以及每个虚拟桌面的链接克隆，还有就是领导的虚拟机和几个父虚拟机领导使用的虚拟机20个，每个给20G，加上父虚拟机一共也是400G-500G，实际上采用精简配置的话暂用空间会更少，100G左右，采用2T的LUN也足够了。

剩下的4-5T的LUN用来存放链接克隆的副本虚拟机以及每个虚拟桌面的链接克隆，考虑到今后的扩展，这个容量也是够用了6、需求描述：AD域的创建现有环境中的域控是ＩＢＭ基于LDAP协议的ITDS6.1版本的域控制器，view需要基于Windows的AD域控制器。

解决方法：目前的方案还是将view环境中的AD域作为一个单独的域来使用，问题主要在于如何将3000个用户的条目在AD中导入或新建域中用户的条目可以在view环境都部署好之后再导入首先使用IBM的ITDS的工具导出用户的信息到excel表格里，另存为该文件为csv格式，在windows的AD域中使用。

dsadd执行导入操作。由于AD中默认最大查询数量是2000个，需要再修改筛选器设置中的默认显示条目。

亲爱的读者们，感谢您花时间阅读本文。如果您对本文有任何疑问或建议，请随时联系我。我非常乐意与您交流。