《Songye-思杰移动办公解决.docx》由会员分享,可在线阅读,更多相关《Songye-思杰移动办公解决.docx(31页珍藏版)》请在金锄头文库上搜索。
1、 思杰移动办公解决方案2012年9月思杰系统信息技术(北京)有限公司Citrix Systems, Inc.目录1.概述12.总体方案32.1.方案概述32.2.软件部署架构42.3.技术原理52.4.访问场景62.5.典型设备iPad配置、使用示例82.详细设计162.1.拓扑结构162.2.访问安全173.2.1 认证方式173.2.2 加密方案182.3.应用部署202.4.客户端要求213.虚拟应用平台功能224.系统配置方案264.1.服务器角色分类264.2.服务器配置示意274.3.软硬件配置列表275.附录28思杰公司简介281. 概述移动办公系统是众多组织单位管理层及时掌握企
2、业信息、快速进行管理决策的必备系统,其对企业的重要性不言而喻。传统的移动办公系统(如笔记本电脑+VPN模式,或者WAP手机)在使用中往往面临着如下问题: 客户端差异化问题:办公系统往往是基于PC机Windows系统开发的,但是数量最大的移动终端往往是智能手机和平板电脑,将办公系统移植到手机上既费时费力,又带来了额外的开发、维护和重新用户培训等一系列问题。 网络及性能问题:移动办公的网络千差万别,而传统的办公软件往往是基于局域网设计的,因此很多应用在移动办公使用时因网络而产生性能瓶颈,比如当邮件有比较大的附件时,局域网内可以马上打开,但是广域网上需要等很长时间才能下载后进行处理。 安全性问题:移
3、动办公是将企业关键信息传递在公共网络上,因此面临着比在企业内部使用更高的安全性要求,移动办公不仅有数据被截获的危险,而且移动终端更加容易丢失,如果上面有信息敏感数据则对企业造成的无法估算的危害。同时如果外部终端不加防护地接入企业内网,会对企业内部造成系统级的安全威胁。 流量问题:传统的解决方案需要很高的网络流量,对于日常使用的移动办公系统,会产生巨额3G流量费用。传统的技术方案所带来的这些问题,需要企业不断地投入人力物力进行解决,给企业带来了很大的管理和压力成本,因此企业提出了技术创新的要求。虚拟化技术的出现,使得企业得以从技术架构上根本解决如上问题。通过应用虚拟化使得传统应用直接升级为了面向
4、服务的架构,因此企业的OA办公软件、业务系统和ERP系统等等,均不需要移植和安装在手机和平板电脑等移动设备上,而通过虚拟服务就可以被手机和Pad类设备访问和使用。虚拟化应用的特点是只要在后台服务器安装一次,然后经过管理员的权限定义,就可以被用户通过任意终端设备和任意网络所使用,而所有的数据和维护管理工作全部在数据中心。虚拟化技术不仅为企业带来了很大的资源节省和降低成本,同时使得企业的IT响应能力大大提高,移动办公不再需要额外开发,而真正成为了企业IT架构的自然延伸,实现了用户随时随地地安全访问企业内部信息。2. 总体方案使用Citrix XenApp虚拟应用技术,分离应用的使用平台和运行平台,
5、因此智能手机、Pad类设备等移动终端从应用运行设备变成纯粹的输入输出设备,通过无线网络远程访问在服务器上运行的Windows或Unix平台的各种应用和服务,从而实现了用户的移动办公。作为苹果的平板电脑,iPad采用iOS操作系统,配备9.7寸显示器,屏幕分辨率达1024x768,具备3G和WiFi通讯方式,是目前市场上最适合用于企业移动办公的终端设备。据媒体报道,Citrix对其IT客户进行的一项调查显示,80%的企业计划采购iPad,而更多企业则表示,将支持员工使用iPad。调查主要结果如下:-84%企业将支持个人使用iPad。50%企业则表示,将为员工购买iPad。-80%企业表示将以公司
6、名义购买并使用iPad。-对移动设备较高的接受度表明,企业IT部门对于移动设备的安全性有信心。-iPad将推动更多人在工作中使用个人电脑。-在工作中引入移动设备的最大优势在于可以帮助员工远程工作,对那些上班路程较远的员工来说可以极大地提升效率。当然其他类型的智能手机和平板电脑只要安装了Citrix Receiver,也可以无缝访问传统应用,快速实现移动办公。2.1. 方案概述思杰移动办公的方案是在数据中心配置Citrix XenApp服务器集群为应用的运行平台,实现稳定的大并发支撑能力,满足大规模移动用户的同时使用。通过虚拟应用平台实现移动办公的总体架构如下图所示:移动办公系统的部署,对于目前
7、业务系统的架构没有改变,只是在业务系统后台服务器的同一个局域网内,放置一组虚拟应用服务器集群,部署业务系统客户端软件,供移动用户访问,而固定办公用户仍直接使用传统方式访问服务器,因此原办公模式不受影响。通过虚拟应用平台部署移动办公系统,一方面应用更加方便使用,用户无论在笔记本上还是手机上,实际上使用的都是运行在虚拟应用服务器上的同一个应用,没有培训使用多种界面的要求,而且可以实现同一个应用在不同的移动设备之间的漫游,实现了业务连续性;另一方面,由于所有的应用都位于数据中心的机房,数据在终端设备上不会留下任何痕迹,集中管理的同时,也大大提高了办公数据的安全性。而在移动设备和虚拟应用服务器之间只需
8、20Kbps左右的带宽,因为其间传递的并非实际的业务数据,而是终端的控制指令和屏幕的变化指令。这样既保证了业务系统可以在低带宽网络下使用,又避免了业务数据在公网传输的安全隐患。2.2. 软件部署架构虚拟应用服务器上软件部署包括:在底层Windows Server操作系统之上安装Citrix XenApp虚拟应用服务器,然后在虚拟应用服务器之上安装各种业务软件,如OFFICE软件、邮件系统、ERP客户端、带插件的浏览器和阅读器等工具软件。移动设备上的软件部署包括:在设备上安装虚拟应用接收器即Citrix Receiver。移动设备上不需要安装任何应用软件的客户端,通过虚拟应用接收器,可以使用所有
9、虚拟应用服务器上的应用,整个软件架构如下图所示:移动设备的网络访问只需要指定企业的域名、用户登陆的用户名和口令,以及登录域名称等信息即可,用户打开虚拟应用接收器就可以获取服务器上授权使用的应用图标,打开应用图标即可使用。在安全要求较高的环境中,也可以配合双因子身份验证手段例如动态令牌或短信认证等提升安全性。2.3. 技术原理虚拟应用服务器和虚拟应用接收器之间,通过Citrix ICA协议建立通道,使得客户端设备可以远程操作服务器上的应用。ICA协议连接了运行在服务器上的应用进程和客户端设备的输入输出设备,通过ICA的32个虚拟通道(分别传递各种输入输出数据如鼠标、键盘、图像、声音、端口、打印等
10、等),运行在服务器上的应用进程的输入输出数据重新定向到远端客户端的输入输出设备上,因此业务用户使用服务器上的应用时感觉就像在使用本地应用一样。ICA协议如下图所示:虚拟化应用实现了应用软件运行在服务器上,但是对该软件的操作(输入输出)在客户端设备上,所有的输入如点击、键盘的操作被ICA协议同步到服务器上执行,所有的输出如屏幕的刷新也被ICA协议同步到客户端。虚拟化应用操作模式如下图所示:ICA协议是一种高效率的数据交换协议,采用了数据压缩、加密和连接优化技术,每一个用户的连接只占用20Kbps左右的网络带宽,而实际运行的客户端软件位于后台的局域网内,因此终端用户相当于用拨号线的链路就可以享受到
11、局域网内的运行速度。同时ICA协议可以分别针对单独的虚拟通道进行控制,这样为用户的访问和使用带来了细粒度的控制。比如如果控制用户不许通过打印机把信息打印出来,只需要中断ICA连接中的打印机通道即可。2.4. 访问场景用户在使用移动办公系统时的访问方式如下:笔记本用户打开浏览器,输入统一的访问网址,然后在出现的身份认证页面里输入自己的用户身份,通过后就会看到所有被授权使用的应用图标。点击任何应用图标,界面显示建立服务的连接条,大约几十秒钟后出现应用的界面,剩下的操作就和传统访问一样。iOS或Android设备用户可以预先设置好访问地址和用户名口令,这样直接点击应用图标就可以进行工作了。面向服务的
12、访问使用体现在: 用户可以中断和重连服务(session disconnect and reconnect),当用户离开一段时间,但又不想结束业务操作,可以选择断开服务,这时用户屏幕上的业务应用消失,等用户回来后,重新输入身份认证,通过后刚才做了一半的业务就重新出现在屏幕上,可以继续工作。 客户端和网络故障不会影响业务操作,如果业务用户的客户端设备死机或者网络中断,同上面一样只是服务断开,工作是运行在服务器上,并没有受影响。用户只需要更换任意客户端或网络,就可以重新连接服务,继续刚才中断了一半的业务操作。 会话超时(Session timeout),管理员可以在后台设置服务超时,当一个用户打开
13、业务操作后长时间不用,系统可以自动释放该会话,业务界面暂时消失。当这个用户重新使用时,再做身份认证后,继续刚才的业务操作。 会话监控(Session Shadow),系统有远程监控的功能和权限,如果某用户出现操作上的问题,有相关权限的管理人员,可以监控该用户的操作,两个人可以共享同一个会话服务,管理人员可以远程帮助用户操作或解决问题。其中访问服务超时设置可以针对不同的用户进行不同的设置,例如对于VIP用户,可以设置永不超时,这样VIP用户即使不操作也会一直连接;对于一般用户,可以设置超时时间例如30分钟,这样如果这个用户30分钟不操作,该连接就会释放。2.5. 典型设备iPad配置、使用示例1
14、. 下载并自动安装Citrix Receive for iPad,在桌面生成名为Citrix的图标,点击后进入软件。2. 第一次访问时出现欢迎界面,点击左下角“设置我的虚拟工作区”。3. 进入工作区设置窗口。4. 根据管理员提供的地址、用户名、口令和域的信息填写常规设置项,并点击“存储”按钮保存设置。5. 此时可以看到已配置好的工作区,点击进入。6. 已进入工作区。7. 点击右上角“应用程序”按钮,可浏览已发布的应用程序列表。此示例中点击“Microsort Word”。8. Microsoft Word正在打开。9. 打开后,创建一个新的文件,即可进行编辑使用。2. 详细设计2.1. 拓扑结
15、构虚拟应用服务器群组要求和业务系统服务器部署在同一局域网内,可以放置在用户数据中心机房内,中间可以使用VLAN进行安全隔离。数据中心需要和移动网络连接,一般有两种连接方式:1. 通过APN专线连接,企业用户向无线运营商申请APN专线,连接企业用户的数据中心和无线运营商,这样用户的手机和iPad访问可以直接进入数据中心;2. 通过公网(internet)连接,企业用户需要开通数据中心和internet的线路访问,用户通过手机和iPad访问和来自互联网的访问一样,可以访问其数据中心。用户数据中心的网络拓扑图如下所示: 2.2. 访问安全3.2.1 认证方式为了提高系统访问的安全性,移动用户在访问虚拟应用平台时需要进行身份认证,以确定该用户是否可以使用移动办公应用,防止非法用户或其他非授权人员的访问。由于企业办公软件以Windows平台为主,因此建议采用微软的活动目录AD作为统一的用户身份管理系统。AD域不仅统一定义用户身份,还定义了用户访问服务器的权限和行为控制等组策略等。移动办公系统会在公网上传递用户身份,因此建议提高用户认证强度。虚拟应用平
