终端与桌面虚拟化-写在View4发布前
本文标签: 终端与桌面虚拟化 View4发布 

摘要：终端是企业信息化的应用平台，桌面是用户在终端上的直观体验。本文从企业对终端管控的需求出发，为读者介绍了6种常见的终端管理方法，并简要分析在采用虚拟化技术后，为终端管理会带来哪些变化。本文成稿与View4发布前，未来会根据VMview4的情况作一定补充。
    
    随着虚拟化技术的发展，VMware、微软、思杰等众多厂商推出“端到端”的虚拟化解决方案。这里的一“端”是服务器，另一“端”指的是终端。
   
一、终端应用特点分析
   
    凡带有独立操作系统，能完成输入和输出的设备均可被称之为终端。终端具有以下特点：
   
    1、数量庞大，数量众多的终端是企业信息化输入输出的平台。
   
    2、种类繁多，目前终端已经不限于传统PC（工作站、瘦客户机、笔记本等），各种手持设备（如：PDA掌上电脑、POS终端等）、智能手机、数控设备配置的工控机等。 不同种类的终端安装的操作系统不同，同一种操作系统的不同版本除了存在功能差别也不小。
   
    3、与服务器本地用户数少且为专业网管人员不同，终端的用户差别较大。一般认为任务型工作者使用的应用较少（例如：仓库工作人员主要用库存管理模块，数控设备操作工则只需数控代码编程即可），而知识型工作者则需要更大的自由度，不同的应用特点决定了企业对终端集中控制的力度，具体如图1所示。
    
    图1 不同需求用户的正态分布
   
    4、与网络关系密切。“网络就是计算机”，无论何种终端都离不开网络，无论是在局域网上的PC还是在3G网络上的手机，终端通过网络连接起来。互联网的快速发展，尤其是3G开始推广后，对移动终端的管理成为企业的新难题。
   
二、终端管理全程控制
   
    随着企业信息化的深入，终端已经成为用户业务操作的平台，是IT运维的重要对象。在能满足应用要求的条件下，企业对终端的核心要求是要“可控”。具体如下：
   
    1、物理硬件可控：要防止未经授权的拆机、用户未经授权自行更换配件等，此外，对企业网络传输过程的可控要求，成为VPN等远程传输技术发展的动力。
   
    2、操作系统可控；为了保证企业客户端的安全和可靠，企业需要对终端的操作系统进行统一安装补丁、分发新版本的应用程序，还要防止用户自行安装和修改操作系统，以免用户借此摆脱企业IT安全策略的限制。
   
    3、应用软件可控；不同的企业、不同的岗位有不同的应用需求，因此需要约定适合自身的应用列表，应用软件可控是企业对终端管控能力加强的重要特征。操作系统和应用软件可控既能简化和稳定企业的IT环境，又能对软件授权进行有效管理。完成了这个部分的工作后，可实现对企业IT基础资源的基本控制。
   
    4、使用过程可控；随着目前互联网的快速发展，网页游戏、SNS网站、网络读书网站等层出不穷，要防止员工对互联网的滥用，同时也为了满足如塞班斯法案等内审的要求，对使用过程的监控受到企业青睐，上网行为管理、IT审计软件受到企业关注。
   
    5、电子成果可控：对于企业也而言，大多数计算机用户属于知识工作者，工作成果也多数以电子形式存在，因此企业需要对员工工作的成果加以控制，防止企业核心知识资产的外泄。
   
    6、关注成本：终端数量多，针对不同的工作岗位和要求，可配置不同的终端，同时还要考虑操作系统和应用软件的授权费用。
   
    7、有限稳定：和服务器要24小时开机不同，一般终端只需在工作时间内能够稳定运行即可，它对于硬件的稳定性要求比服务器低。
   
    8、易用：终端是每个人的工作平台，其数量远超服务器，且分布的物理位置范围广，这就要求终端以及其上的信息化应用要易使用、易部署和易维护。
   
    终端是企业IT中最难管理的部分，管控难度主要包括：由于数量庞大，维护难度高，升级速度慢，耗时很长；客户端的应用越来越臃肿庞大；随着客户端性能的增强，应用的兼容性风险不断增大；随着互联网的普及，诸如即时通讯、SNS等带来的安全隐患也不容忽视。
   
三、终端桌面组成分析
   
    对于Windows操作系统而言，管理终端的重点在于管理用户的“桌面”。
   
    在Windows中，用户可在很大范围内自定义计算机环境，以适合自己的工作习惯和个人喜好。例如：改变 Windows 颜色方案、设置用鼠标打开文件的方式是单击而不是双击等。简言之，“桌面”代表了用户从打开机器到登陆到操作系统后看到的一切，包括：安装的应用程序、自定义的环境设置、个人的文档等。操作系统会为每个用户保存桌面记录；在受控的前提下，企业对于终端管理的目标是让用户能在任何一台终端上继续自己的工作。要达到这个目标，需要深入分析终端的组成。传统终端可划分为四个层次：
     
    图2 终端应用层次图
   
    1、硬件层：包括CPU、内存、硬盘、网卡、显示卡、USB端口等各种硬件和输入输出接口。
   
    2、操作系统层：用户终端需安装操作系统，利用各种驱动程序来识别和支持硬件，同时为应用提供各种接口程序（API）以便对硬件进行操作。
   
    3、应用层：在Windows中这些信息可能体现为：应用程序文件、注册表、字体文件、ini配置文件、com对象和服务等。应用层包括两种信息，一种为应用通用信息，如：应用的exe可执行文件；另一种是应用的系统配置信息，其中可能针对客户端的内存、CPU等配置记录相关优化后的参数，也包括该应用安装的位置、临时文件的存放地点等信息。
   
    4、用户层：用户层一般也包括两种信息，一种为某个应用的用户个人设置，例如：在AutoCAD应用中，应用生成的结果存放在哪个目录中、用户常常调用哪些系统菜单、设定了哪些宏等；另一种信息为用户和操作系统相关的个人设置信息，例如：用户的收藏夹、桌面图标、个人文档等的位置。
   
    为了更直观，如图2 所示，以上四个层次中将配置信息独立出来，用户层则被称为用户文件。
   
四、终端管理两种思路
   
    终端管理的发展过程实际上是实现用户和终端之间的松耦合的过程，实现松耦合的目的是让用户摆脱终端的限制，无论走到哪里，使用何种终端，其工作连续性得到了保证。终端管理的常见方法如下：
     
    图3 传统桌面管理方法
   
    1、以用户为中心的终端管理
   
    传统终端管理是以用户为中心的，管理的方法从用户文件的松耦合开始入手。
   
    漫游用户桌面配置文件是将配置信息和用户文件存放到企业内部网络中，用户更换终端后，只需登陆到服务器取回这些文件即可恢复原来的操作桌面。如图4所示：
     
    图4 本地文件网络化，终端松耦合第一步
   
    除了普通PC，Windows下可用的两种终端是无盘工作站和瘦客户机。前者采用网卡自带的启动芯片与服务器启动镜像结合，终端没有硬盘，将存储空间从本地硬盘移到了文件服务器上；后者与采用订制后精简的操作系统与专用协议相结合。两方案的目的都是为了将各种资源迁移到服务器上，尽可能摆脱客户端的限制。在虚拟化技术引入前，在实际应用中并不多见，主要是因为这种松耦合实现并不彻底，虚拟化技术的成熟。
   
    2、以应用为核心的终端管理
   
    以应用为核心的方法从对应用集中管控的角度设计，又可分为应用封装和应用交付两种方法，这两种方法都可被称为应用虚拟化。其共同的特点是：由单独的系统来进行应用的分发，判断用户是否有权利使用应用；不同之处在于，应用封装方式下用户需要在本地执行应用，应用交付方式下用户实际上是在服务器上执行应用。
   
    （1）应用封装
   
    应用封装将某个应用在安装过程中的各种信息记录下来，打包成为一个可执行文件，通过域控制器分发给用户，执行文件后，用户将获得该应用所需要的一切配置信息；应用封装的典型代表是微软应用虚拟化（SoftGrid Application Virtualization）。
   
    其产品原名主要分为客户端、服务器端和SoftGrid sequencer三部分。其中sequencer负责对应用进行打包，即分析某个应用的安装过程，将所有和该应用有关的注册表、文件、ini配置等单独存放起来，并制作成一个可执行文件；服务器server负责存储和分发打包后的应用；客户端client负责接收和使用。应用程序之间完全独立，且对终端本地应用不产生任何影响。主要优点如下：
   
    可以将某个版本的单个应用直接发给用户，同一用户可以在一台终端上使用不同版本的某个应用；
   
    下载代码的数量较少，用户用到什么功能就下载什么代码；以流的形式部分传送，一边传送一边执行，只需要5%-20%的代码即可启动程序；
   
    可实现统一应用的分发和升级；
   
    下载后在客户端本地执行，因此对服务器要求不高；
   
    可采用本地缓存，不用重复安装。
   
    应用封装仅仅支持与操作系统关联度不大的非核心类业务，越贴近操作系统核心的应用，越不容易实现虚拟化。对于如：杀毒软件、操作系统补丁、驱动程序等则无法实现应用虚拟化，其应用范围有限。
   
    （2）应用交付
     
    图5 应用交付解决方案示意图
   
    应用交付起源于远程接入，目前市场的领导者是思杰系统（Citrix），其应用交付的方法如图5所示，在终端与服务器之间单独设立应用虚拟化平台，这个平台类似于一个门户，所有应用都在该门户上发出，将普通用户与服务器之间隔离开来，通过权限管理和应用单点登录等功能，将每个用户的操作系统层、应用层的所有数据统一存放，通过ICA协议，在终端上只能与服务器交换桌面图像、鼠标和键盘等输入输出信息，用户并发操作服务器上安装的应用，其解决方案的优点如下：
   
    使用和管理比较简单。由于设立了专门的应用接入平台，管理员可对所有用户、应用权限、数据存放的位置等进行集中管理，因此双方都会觉得比较简单；
   
    低成本。由于在应用服务器和客户端之间交换的仅为压缩后的屏幕和输入输出信息，因此对网络带宽的要求不高；所有应用的计算都放在了服务器，因此对终端的要求较低；此外运维工作的重心也从客户端转向了服务器，这均有利于企业降低成本。
   
    兼容性较好。由于无需在客户端安装软件或只需要安装一个客户端，应用存在冲突的概率较小，相对传统方式的兼容性较好。
   
    集中管理和跨平台是应用交付最大的特点和优势，其主要缺点也源于此。
   
    若应用不支持多用户并发操作，则应用交付无法支持；
   
    对客户端硬件（如：打印机、读卡器、COM口设备）的支持需要单独开发；
   
    仅传输屏幕信息的低带宽协议对与如三维CAD、视频等海量图形显示信息的精度和显示效果有待提高。
   
    目前，应用交付除了应用虚拟化平台外，在如何保障传输效果和安全性方面也在不断提高，如安全网关、网络加速等方面的技术已成为应用交付的组成部分。
   
    3、桌面虚拟化
   
    在谈到桌面虚拟化之前，有必要先谈谈网络整机镜像。为了降低运维工作量，不少企业采用诸如ghost类的磁盘镜像产品。其原理是：将终端的系统分区做成一个镜像文件，一旦用户系统崩溃，直接恢复镜像即可。这种方法优点在于简单，恢复迅速；缺点是镜像制作费时、存储需要空间，面对需要经常打补丁的操作系统和应用软件，无法实现动态更新或实现的成本很高。
   
    桌面虚拟化的主要原理是将所有的终端都转换成单独的虚拟机，用户需要使用的时候，只需要加载虚拟机即可。这种方式由于虚拟机之间完全隔离，具有更好的兼容性，未来发展前景很好。目前，桌面虚拟化首先需要解决的是如何让一台PC更好的使用一个虚拟机和怎样将虚拟机文件交付给客户端。在此基础上，需要实现这些虚拟机文件的信息同步更新，降低升级代码给网络带来的压力；此外，有效利用刀片、瘦客户机与企业存储，使企业终端可控能力得到提高也值得关注。
   
    市场上主要的解决方案包括：Citrix XenDesktop 是思杰的桌面虚拟化解决方案，微软的桌面虚拟化产品源自其Virtual PC，VMware View是VMware的桌面虚拟化解决方案。关于多种终端形式与桌面虚拟化应用的比较可参考表1。
   
    表1  终端与桌面虚拟化对比表
   
    
    如果说服务器虚拟化更为IT专业人员关注，那么终端管理和所有用户都密切相关。无论是从用户角度还是从应用角度出发，让用户在任何地点、任何网络都能访问应用，打造一个连续、不宕机的终端环境，这样的情景并不遥远。

后记：发稿之日正好是VMware View4桌面虚拟化软件发布之日，如何让各种应用不受空间距离的限制？这是应用交付等以应用为核心的虚拟化技术发展的源动力，而桌面虚拟化技术的潜力到底有多大？对高速网络的发展、对传统IT架构会有哪些影响？微软和思杰能否经受以VMware为代表的新加入者的挑战？这些疑问都很值得期待。