VDI解决方案需考虑的关键问题:
1. 忽略交付结合方式,只提供单一的方式
2. 忽视带宽,未计算正确工作负载下的需求
3. 忽视延迟的影响,终端、服务器、应用、外设、打印机
4. 忽略用户的管理,造成用户之间相互影响
5. 忽略登录时间影响
6. 忽视峰值负载需求
7. 未采取正确的负载均衡方式
8. 忽略其它VDI相关技术
9. 启动风暴,杀毒风暴
10. 过度的定制及手工操作
VDI服务器及存储规划建议:
按照我们此前的项目经验,建议虚拟实例和宿主机的整合比不超过40:1,超过改整合比例可能会在网络和存储上形成性能瓶颈,进而刺激成本的增长
按照一台宿主机支撑40台虚机,每台虚机配置2个vCPU,2GB内存,50GB存储空间,则建议的服务器硬件配置为:
• CPU:按照物理CPU和vCPU 1:4的比例,支撑40台虚机,需要20个物理core,考虑到CPU性能通常不是性能瓶颈,可以使用4路4核或者2路12核CPU
• 内存:40台虚机共需80GB内存,考虑到冗余及服务器本身所需的内存,内存最低配置为96GB,建议配置为128GB
• 网卡数量:如果采用iSCSI类型存储,每台服务器至少配置6块网卡,如果使用FC SAN作为后端存储,则服务器以太网卡的数量也至少需要4块
对于远程会话用户,同等配置的硬件服务器可以支撑100个用户的使用
存储
• 容按照每用户50GB的空间划分,共需要N*50GB,通常还应考虑15%的弹性空间
• 为确保性能建议使用高转速SAS硬盘,RAID0+1模式
• 如果采用SAN,通常FC SAN较IP SAN有更好的性能和稳定性
网络链路规划—用户操作台端到虚拟桌面:
1、操作带宽
在无视频流应用,标准的Office办公环境下,需保证80kbps~160kbps的网络带宽,用于会话虚拟化层的操作指令及桌面云端画面传输,保障流畅的用户体验。(1280*768分辨率,16bit,无背景桌面)
2、外设重定向数据交互
当用户在虚拟桌面中使用本地的外设,如音频、摄像头、打印机、扫描仪等时,会需要额外的带宽,其中音频带宽约30kpbs
3、配置会话公平共享
通过会话公平共享的方案,避免用户抢占资源,保证用户体验
网络链路建议:
基于客户的应用场景,以最基本的B/S架构为主,则建议规划每用户60kbps以上的网络带宽,同时尽可能的改进延迟
可用性规划建议:
1、业务应用:
RDSWeb\RDGW做为安全操作的边界及跳板,需要保障虚拟桌面到业务应用之间的带宽及可用性
2、数据存储:
将用户的配置和数据集中进行保存,通过扩展文件服务器透明故障转移群集实现高可用性
3、VDI虚机高可用性:
VDI实例通过微软Hyper-V群集实现全局高可用性
4、会话负载均衡:
虚拟桌面的会话连接通过RDS连接代理实现负载均衡以及会话保持,用户网络断开恢复时,RDS连接代理能够恢复会话的工作状态
5、网络链路:
为每桌面规划不低于60kbps带宽并且延迟小于100ms,掉包率小于0.5%的链路,以保障可用性和用户体验
虚拟桌面安全方案:
1、数据传输安全
在虚拟桌面方案中,终端与虚拟桌面网络之间仅传递加密的操作指令及回显画面,同时仅允许网络层身份验证的终端连接到桌面,必要时,还可以使用IPSEC保护传输安全(非建议措施,会显著影响性能)
2、访问接入安全
在非专线接入时,为保障安全性,可以在为虚拟桌面规划远程访问网关角色,避免虚拟桌面服务器暴露在不安全的网络上,并保护真实的内部拓扑,在接入时,还可以引入NAP机制,对接入终端进行健康检查
3、身份验证安全
默认情况下,虚拟桌面通过Kerberos方式验证,有存在网关时,会进行两次验证,并可以结合双因素身份认证服务,终端用户需经过双因素身份验证(RSA、RADIUS OTP 令牌以及智能卡)后才能访问
4、数据存放安全
通过策略,限制本地设备及资源,数据全部使用USV方式集中保存在配置服务器,在配置服务器可集中通过RMS、EFS、Bitlocker以及DAC技术对存放的数据进行加密、访问保护
