場景1:2D圖形設計虛拟化
傳統模式的問題
工程設計業的核心競争力是知識産權,許多設計部門為了保護自身的核心技術不被洩密,采取了各種手段但還是不盡人意,設計研發是行業創新的源泉,如何建立安全的設計研發中心是企業關心的話題。
傳統PC的使用方式下員工一般使用台式電腦或者筆記本電腦進行設計工作,使用各種圖形設計軟體生成的圖紙往往是儲存在員工自己的個人電腦中,設計人員可以随意地使用U盤、網絡共享或者電子郵件的方式将圖紙複制給他人或競争對手,或者員工在離職時将自己電腦上的圖紙全部帶走到其他公司,等等。有可能自己的産品或設計還在設計階段其競争對手已經将成型的東西傳遞使用者。這些情況的發生對于一個機關來說都将會産生巨大的知識産權的損失。
當然也有一些傳統的圖紙安全解決方案來保護設計圖紙和創意的安全,但其無法很好地定義安全邊界,某些号稱打造全方位立體式安全都是治标不治本。比如:完全的網絡隔離本身存在安全短闆削弱隔離效果;真正安全的外設控制會給工作帶來極大不便;源代碼和文檔、程式的安全存取,安全和效率總是悖論;靈活的通路機制快速實作網絡切換,不穩定的系統反而導緻工作效率降低。
思傑解決方案的應用:XenApp/XenDesktop FlexCast
利用Citrix解決方案可以更好地定義資料中心的安全邊界,将設計圖紙研發代碼等牢牢控制在資料中心内部,位于使用者使用端的終端裝置能夠像在傳統PC上一樣進行設計和研發的工作,借助于Citrix HDX技術可以在終端上獲得跟使用傳統PC一樣的圖形設計效果。我們可以利用Citrix的虛拟化技術将圖形設計軟體或者是用戶端軟體安裝部署在資料中心而不是個人電腦上來重新定義安全邊界。Citrix XenDesktop可以有選擇性地控制使用者是否能夠通路本地硬碟、USB儲存設備以及其他一些外設。
部署方式一:在資料中心的伺服器上建立多個虛拟機,利用XenDesktop為每個使用者配置設定一個獨享的虛拟桌面,前端使用者可利用台式電腦、瘦客戶機、筆記本電腦等終端裝置連接配接伺服器上的獨享虛拟桌面。
部署方式二:在資料中心的伺服器或者一台圖形工作上安裝部署圖形設計軟體,利用XenApp将應用程式進行虛拟釋出,共享給前端多個使用者使用。在最終使用者的終端裝置上不需要安裝圖形設計軟體,直接通路虛拟應用即可進行設計工作。
方案特性
l虛拟桌面:提供獨立的桌面作業系統環境
l資料集中:資訊儲存在資料中心保證資料的安全性。
l管理平台:統一的管理平台,用戶端的可控及監管。白金版甚至可以監控用戶端的性能情況。
l站點漫遊:使用者無論從何處連接配接都始終通路他們自己的虛拟桌面和資料。
l故障轉移:自動檢測到故障站點,并無縫地将使用者重定向到一個備用站點,以確定業務連續性。
l快速置備:增加使用者桌面,配置管理政策僅需數分鐘時間。
l智能卡支援:增強的USB外設支援。支援常見USB裝置,如U盤、讀卡器、掃描器、攝像頭等。
l多顯示器管理:支援多達8台顯示裝置,多種矩陣排列方式。
l通路安全:Citrix ICA(Independent Computing Archetecture) 協定本身具備安全的資料通道,保證資料安全。
l應用處理能力:支援目前使用的工具軟體,提供高效的工作環境。應用軟體基本和實體機相同。
l遠端接入:低帶寬要求,使用WEB浏覽器或用戶端方式即可接入平台,提供優秀的使用者體驗。
l裝置生命周期: 極低的硬體需求,多軟體平台支援,終端裝置生命周期可達10年。
常用2D設計類軟體:
PROMAX
AMSIM
SULSIM
CAESER II
HYSYS
SAFETI
Pipeline Studio
OLGA
VMGSim
AutoPIPE PLUS
工程地質勘查CAD8.5
Geogia
同濟曙光TBM水工隧洞分析與設計4.0
同濟曙光T盾構隧道設計與分析3.0
天正建築
天正節能
天正給排水8.0網絡版
CAD2008
Pro/E
場景2:遠端三維設計通路需求,适用于需要直接建立和設計3D模組化的複雜需求
思傑解決方案:FlexCast:HDX 3D(直接釋出實體機)
在圖紙類研發設計企業中,使用者會用到的畫圖軟體有些資源需求一般,如Autocad、Pro/E常用于2D圖,有些資源需求較大,如Catia常用于大型的3D圖,XenApp如果伺服器夠強勁的話,可以滿足Autocad、Pro/E等2D圖紙設計需要,但Catia等大型的3D圖XenApp就不合适了,伺服器的負載會很重,50M左右的三維部件圖形能尚可,但是幾百兆的整機圖三維旋轉時,用戶端就隻能看到不連續的旋轉效果了。是以大型的3D設計需要采用XenDesktop來實作,在伺服器端為每個使用者單獨配置設定一台虛拟機,而不是像XenApp一樣多人共用一台機。
但采用XenDesktop也帶來一個核心的問題,由于每個使用者的作業系統是虛拟出來的,但是目前的虛拟機所虛拟出來的顯示卡,是不支援圖形加速功能的,大型的3D設計圖就算你給作業系統再多的CPU和記憶體,但由于沒有專門的圖形加速卡來處理,是以用戶端還是隻能看到不連續的旋轉效果圖。Citrix XenDesktop FlexCast中的HDX 3D方式可以代替使用ICA代替這些專用傳輸協定,在100Kbps左右的帶寬條件下就可以使三維圖形軟體流暢工作。
簡單說Citrix的HDX 3D Pro Graphics就是不采用虛拟機,而直接采用實體機的方式來解決圖形加速卡的問題。在背景為每個使用者準備好一台實體的伺服器,伺服器可以是塔式的伺服器,也可以是刀片的伺服器。然後在這些伺服器上安裝Citrix HDX 3D Pro Graphics用戶端程式(當然還有VDA的用戶端),再通過XenDesktop将這些機器安裝好了3D畫圖軟體的桌面,釋出給畫圖的用戶端人員通過Citrix用戶端來使用。
其示意圖如下:
使用ICA協定通路遠端刀片工作站的解決方案可以提供最好的圖形效果,因為Citrix XenDesktop的HDX 3D代理可以有效利用刀片工作站上的圖形加速卡,遠端桌面的圖像資訊經過圖形加速卡處理後再交由ICA協定傳輸到客戶終端。和硬體廠商的專用傳輸協定相比,對網絡資源的占用大大減少,但是性能上能夠和實體機保持一緻。
方案價值和收益:
l資料安全:所有設計圖紙代碼等都儲存在資料中心内部不在終端裝置上落地;
l保護知識産權:嚴格控制設計圖紙防止外流;
l提高資源使用率:可将昂貴的圖形工作站在空閑時給其他人在自己的工位上使用;
l終端多樣性:使用PC、瘦終端、Android、iOS甚至是老舊裝置都能獲得同樣優秀的圖形設計使用體驗;
l拓展地域限制:就算是通過廣域網環境也能進行3D圖形處理,而不用擔心資料洩露;
l提升通路速度:圖形始終在資料中心内部進行運算和處理,無需将幾百兆或上GB的圖形通過網絡傳輸到終端裝置上,進而提升遠端通路的速度。
場景3:三維設計平台集中管控+立舊
設計行業的企業一般而言都不是從頭建立,大部分都已經購置了大量的圖形處理工作站。一台圖形工作站的處理性能驚人,但是同時購置價格高昂也是讓企業遲遲不願意折舊淘汰的最直接原因。除了造價是企業對設計部門最關心的問題之外,另外的關鍵問題就是設計部門的資訊保密問題。
企業的核心就在于知識産權,這個觀點已經深入每個企業的管理者心中。但是如何能做到資訊的保護每個企業卻使用了不同的辦法。傳統的方式是從資料的防洩密方面着手,思維仍然停留在資料讓在本地,然後通過技術手段去阻止資料洩漏這樣一種僵化的思維當中。試想,如果資料根本不在本地,又何曾需要做到資料的保護,這就是虛拟化的優勢。
每種技術都有它的優缺點,虛拟化的好處固然可以讓資料和資料全部集中在資料中心以避免資料被盜的風險,但是背景伺服器高昂的投資也往往會讓企業的管理者不得不放棄已有昂貴的圖形工作站的投資,這始終是一對沖突的問題。
思傑解決方案:PVS無盤工作站
Citrix Provisioning Server(無盤方式)采用流技術通過網絡将單一标準桌面鏡像,包括作業系統和軟體按需傳遞給實體/虛拟桌面。一方面可以配合第二個場景實作VDI單一鏡像管理;另一方面适用于三維圖形要求更高的環境,除了硬碟之外,記憶體、CPU、GPU都調用本地的計算資源,是以性能基本和傳統桌面沒有差別。國内不少企業的設計部門都在使用。
這種基于流技術的無盤桌面技術利用胖用戶端的本地計算能力,同時集中管理桌面的統一鏡像。即簡便而且成本低廉,能夠利用現有PC資源并最大限度降低資料中心開銷,幫助客戶實施桌面虛拟化。它還适用于使用無盤PC的政府部門和大學實驗室,確定最高的資料安全性。
典型的工作原理可以參考:
方案收益和價值:
l提高安全性
企業正在努力消除内部和外部的資料盜竊和資料丢失。PVS 提供更高的資料安全性,因為實體桌面無需硬碟驅動器就可運作。桌面上不會存儲永久性資料,而是集中化存儲和保護資料。
l完全一緻的性能體驗
PVS無盤工作站的方式隻是将硬碟從工作站中剝離出來,實際運算能力仍然在圖形工作站上完成,包括CPU、記憶體、圖形加速卡、顯示器等等,性能沒有任何的失真,開發人員的使用習慣沒有任何改變。
l幾乎零投資方式下的虛拟化
PVS無盤工作站方式不需要購置任何伺服器,因為計算能力仍然使用舊有的圖形工作站。企業隻需要準備少量存儲空間以放置統一的虛拟鏡像即可。使用者資料全部遷移到資料中心,是以即實作了虛拟化的資料集中管理的核心,又避免了大量資金購買新伺服器的開銷。
l顯著減少IT部門進行維護桌面作業系統/應用程式鏡像的時間和成本
PVS無盤工作站簡化了打更新檔、更新和更新過程。使用同一作業系統/應用程式鏡像的每個桌面都可通過單一标準虛拟鏡像或vDisk 來配置。
l降低風險并簡化軟體更新
PVS無盤工作站節省了IT 管理者的時間和成本,并減少了軟體更新和打更新檔時的錯誤。在軟體更新或打更新檔時,PVS伺服器能使IT 部門能夠對單一标準鏡像做必要的更改并采用流技術将新的鏡像同時傳遞給所有的桌面。一旦出現問題,回退到以前産生的鏡像就如同重新開機和回流到以前産生的鏡像一樣輕松,確定了軟體運作無風險。
場景4:三維設計平台集中管控 + 獨享處理能力,适用于需要直接建立和設計3D模組化的複雜需求
PC機一般的折舊時間都在3年-5年期間。而對于圖形運算來說,他的折舊期取決于企業性質的不同,可能會更短,也可能會更長。對于技術翻新較快的行業來說,例如汽車、電子、華工行業來說,為了保持企業持續的競争力,往往需要不斷的創新能力。而創新能力也需要來自開發平台輸出結果的不斷提升,包括硬體處理能力,開發軟體的更新,設計的複雜程度等都決定了設計結果的市場競争力。
折舊時間到期之後繼續采購單台圖形工作站仍然被證明是一種可行的做法,也可以通過PVS無盤工作站的方式輕松實作虛拟化,保證資料始終在資料中心内部流轉,但是避免不了的問題在于圖形工作站高昂的造價。虛拟化除了能實作安全的管控之外,還能否将圖形工作站的整體造價降低呢?這始終是管理者需要一直考慮的問題。
思傑解決方案:GPU透傳
Multi-GPU Pass-through,即GPU透傳模式就是将主機的多塊實體GPU按照一比一的比例配置設定給此主機上運作的虛拟桌面,并且通過Citrix XenDesktop的HDX 3D Pro技術讓此虛拟桌面裡面的應用程式直接調用GPU闆卡處理能力,實作三維運算工作站集中管理和維護。下圖就是Multi-GPU Pass-through的工作原理圖。
和标準的桌面虛拟化VDI方案類似,GPU透傳方式将運算能力和資料全部集中在資料中心,從根本上保證了資料外洩的事故無法發生,實作了企業知識産權的保護;
l降低采購成本
GPU透傳方式是在單台的實體伺服器上實作了多台圖形工作站的能力。對GPU卡的通路配置為每使用者一塊,而對于要求不高的CPU運算能力設計為共享模式,很大程度的節省了企業的投資成本;
l集中管理
GPU透傳模式下所有的運算和資料系統均集中在背景,管理者在背景即可配置和管理所有的元件,無需再親赴前端使用者現場去處理技術問題,不但在人力成本上大大節省開支,更對IT管理架構和水準提高提供技術的保障。
場景5:三維設計平台集中管控 + 共享處理能力,适用于僅需檢視和編輯3D設計文檔
雖然說設計部門是整個企業的生命核心,但是其高昂的投資成本也會讓任何一個企業高管頭疼不已。每個人配置設定一台圖形工作站固然友善,但是投入産出有可能不成正比的結果會讓CEO對些巨額基礎設施的投資猶豫不決。
有時候設計人員也不是全部都處于上班狀态,空閑的機器直接導緻使用率的降低,也造成了公司資産的浪費,因為裝置的折舊是按照時間來計算的。一台圖形工作站即使沒人使用到期之後也仍然會處于淘汰狀态。
将資産的每一分錢都掰成兩半來使用似乎是不能實作的。傳統方式下一台圖形工作站沒有辦法同時給兩個使用者同時使用,隻能處于使用狀态或者出于閑置狀态,企業迫切需要有一種類似于移動信号時分複用的技術将昂貴的圖形工作站一分為二,甚至一分為更多的開發者使用。
思傑解決方案:XenApp GPU Sharing
大多數使用者并不需要一個專用 GPU 進行呈現,是以XenApp OpenGL GPU Sharing 技術支援多個共享 GPU 資源的并發會話。XenApp GPU Sharing技術結合了GPU透傳技術和XenApp共享桌面技術的精華,将兩者完美的融合在一起。此功能附加元件支援在遠端桌面會話中呈現 OpenGL 應用程式的圖形處理單元 (GPU) 硬體,并可用于裸機或虛拟機,以提高應用程式的可擴充性及性能。通過 HDX 3D,在 XenApp 上運作的具有大量圖形的應用程式可以呈現在伺服器的 GPU 中。通過将 OpenGL 呈現移至伺服器的 GPU,圖形呈現不會降低伺服器的中央處理單元 (CPU) 的速度。此外,伺服器還能夠處理更多圖形,因為工作負載在 CPU 和 GPU 之間進行了拆分。 XenApp 6.5 OpenGL GPU Sharing 功能附加元件無需任何特殊設定。
下圖就是XenApp GPU Sharing的技術實作原理:
您可以在 XenApp 伺服器上安裝多個 GPU,方法是安裝一個配備有多個 GPU 的圖形卡,或者安裝多個配備有一個或多個 GPU 的圖形卡。使用 OpenGL GPU Sharing 的可擴充性取決于正在運作的應用程式、占用的視訊 RAM 量以及圖形卡的處理能力。例如,對于運作 ESRI ArcGIS 等應用程式的 NVIDIA Q6000 和 M2070Q 卡,已報告具有 8 至 10 位使用者的可擴充性。這些卡提供 6 GB 的視訊 RAM。較新的 NVIDIA GRID 卡提供 8 GB 的視訊 RAM 和顯著提高的處理能力(更多 CUDA 核心)。其他應用程式可能會提高更多,在高端 GPU 上達到 32 個并發使用者。
l非常高的投資回報率
根據圖形應用的不同每塊GPU卡所能支援的使用者不等,從幾個到幾十個不等,這就相當于将以往購買圖形工作站的投資降低了幾杯到幾十倍,大大降低了企業的初始一次性投資。
和标準的桌面虛拟化VDI方案類似,XenApp GPU Sharing也将運算能力和資料全部集中在資料中心,從根本上保證了資料外洩的事故無法發生,實作了企業知識産權的保護;
XenApp GPU Sharing下所有的運算和資料系統均集中在背景,管理者在背景即可配置和管理所有的元件,無需再親赴前端使用者現場去處理技術問題,不但在人力成本上大大節省開支,更對IT管理架構和水準提高提供技術的保障。
場景6:虛拟桌面改造,既有的PC機一樣可以用于虛拟化環境
企業的設計部門通常并不是全部由設計人員組成,正如同我們在前面場景所分析,既有專注于設計建立以及3D模組化的專業人員(場景2、3、4),也有隻需要檢視和編輯3D設計檔案的使用者(場景5),更有隻需要進行文字和資料搜集和整理類型軟體進行設計工作的使用場景。
使用文字和資料搜集和整理類型軟體進行設計工作的使用場景一般來說和OA辦公類型的場景較為類似,使用者對資源的消耗意願并不強烈,也就是說一般來說普通PC就能滿足需求。但是資料的安全保護需求同樣也适用于這些使用者,是以并不僅僅是真正設計類的圖形資料需要得到保護,那些記載了大量設計思想和資料的文字同樣是需要保護的知識産權。
這些使用者一般都是使用普通的PC進行工作,在遷移到虛拟化環境時,有一種概念是前段使用瘦客戶機的方式才是比對後端虛拟化技術的最佳搭檔。如果說我們能夠将圖形工作站進行立舊處理,那麼普通PC能夠立舊嗎?答案是肯定的。
思傑解決方案:XenDesktop之Desktop Lock
瘦客戶機為什麼是虛拟化技術的最佳搭檔,一般來說它有以下的優點:
l總體擁有成本低
l簡化終端管理
l高安全性
l節能減排、綠色IT
但是首次投入購置瘦客戶機的成本也并不低廉,如果現有的PC能夠實作上述功能,管理者又何必再去耗資購買新裝置呢?Citrix桌面虛拟化提供了一種工具,即Desktop Lock工具,讓現有的PC能夠實作等同于瘦客戶機的高安全性。
Citrix Desktop Lock 可以鎖定使用者裝置,使使用者隻能通路其虛拟桌面,而無法與本地桌面進行互動,在此通路方案中,,虛拟桌面有效地取代了本地桌面,使使用者可以像使用本地桌面一樣與虛拟桌面進行互動。這種方式可以在 XenDesktop 環境中提供最佳的使用者體驗。
場景7:多網互訪隔離
場景分析:
在真實的企業網絡環境中往往會按照不同的安全級别或者業務系統類型按照安全域劃分為不同的區域,根據業務系統的特點甚至有可能采用内網外實體隔離的方式以保證企業資訊系統的安全。比如按照通路的不同對象可将使用者對于網絡的通路分為兩大類型,對于内部業務系統的網絡通路和對于外部網際網路的通路;按照網絡的安全區域進行劃分又可以分為核心業務網絡和終端通路網絡;甚至可以根據不同的業務系統類型劃分按照業務系統來進行網絡隔離和劃分。
當我們使用傳統PC在企業網絡中進行通路時可能通過這台PC既能夠通路内部的生産業務系統又能夠通路外部的網絡比如網際網路等,在網絡架構上這台PC演變成了一個網橋打通了内部網絡和外部網絡,這對于網絡安全是非常不利的,也給管理帶來了很大的風險。同時由于PC上運作的Windows作業系統極易受到木馬、病毒等網絡攻擊,極有可能危害到生産業務系統的安全穩定運作。
傳統的解決方案往往需要進行複雜的網絡安全架構設計,和部署衆多的安全管控軟體進行管理和監控,甚至在使用者桌面端需要為每個使用者配備多台PC機用以連接配接不同的網絡才能實作正常的工作辦公。
Citrix解決方案:采用XenDesktop隔離内網和外網
采用Citrix XenDesktop在内部網絡中建立用于通路内部業務系統的虛拟化通路平台,限定隻能通路内部業務系統并限制不能将業務系統資料複制拷貝到通路終端的本地硬碟和USB移動存儲等本地裝置。
原理圖如下所示:
在使用者端的終端裝置可以使用PC或者瘦客戶機等裝置,當使用者需要通路外部網絡或者網際網路時可通過終端裝置的本地作業系統桌面進行通路和檢視,虛拟化平台部署在資料中心如果需要通路内部業務系統必須通過虛拟桌面或者虛拟應用進行登陸認證後才能通路,Citrix解決方案還可結合第三方Ukey、短信令牌、動态令牌、指紋認證等方式增強安全性。
此外還可以通過Citrix應用虛拟化技術釋出通路外網需要的虛拟應用程式(比如IE浏覽器等)給内網使用者,内網使用者在網絡上和外網是隔離的但可以通過虛拟應用進行通路,這樣既能保證内網的安全又能夠滿足最終使用者通路外部網絡的需求。