虚拟桌面基础架构 (VDI) 为企业 IT 提供了诸多好处,包括更简便的软件许可证管理到简化的桌面推出。 对于较小的组织来说,VDI 正是他们在单个项目中调动整个公司所需的工具;对于较大的组织来说,它可以在计划更大规模的部署时为最苛刻的用户群体提供移动性。 VDI 使企业能够最大限度地减少维护机器所花费的时间,并通过购买低端客户端机器来最大限度地节省成本。 向防火墙外的用户提供客户端是保留内部数据同时允许人们在外部工作的好方法 - 如果这些连接能够得到充分保护的话。 软件许可证管理——因为使用 VDI,可以集中管理和跟踪谁在运行什么——在审计时是一个巨大的优势。
虽然 VDI 仍在发展,但 IT 组织在构建 VDI 部署所必须的架构时必须考虑许多因素。 VDI 不仅经历着自身的成长烦恼,而且承载 VDI 客户端的目标设备本身也在快速发生变化。
VDI 的采用速度与 IT 对最终交付给用户的性能、可用性和安全性水平的信心密切相关。 鉴于此,IT 部门必须以战略性的方式实施 VDI,并将这三个特点放在首位。 利用正确的工具,IT 组织可以开发适应不断变化的企业需求的虚拟桌面基础架构。
部署 VDI 有很多优势。集中管理;远程桌面管理和修复无需耗费大量人力;台式机发生故障时可缩短恢复时间;简化软件升级和许可证管理;为新员工和现有员工配置机器,这些都是极具吸引力的商业优势。
然而VDI部署也存在问题。 企业网络的负担比胖客户端解决方案要大得多,因为屏幕上的所有内容以及每个击键或鼠标点击都必须传输到托管虚拟桌面映像的远程服务器。 管理网络资源、优化通信以及增加数据中心的服务器以托管 VDI 实例意味着大部分桌面管理负担从技术支持转移到网络和服务器团队。 这个负担并不小。
供应商锁定也是一个问题。 VDI 是一项正在发展的技术,迄今为止,顶级虚拟化供应商之间的互操作性充其量还处于起步阶段。 当组织从特定的 VDI 供应商处购买基础设施时,锁定级别会增加,因为该基础设施经过微调,仅适用于该供应商的产品。
然而,通过单一图像支持多种设备的吸引力是巨大的。 无论客户喜欢平板电脑、笔记本电脑还是台式机,VDI 都能满足客户的需求,无需担心哪些应用在哪里运行或如何将新应用部署到上述所有设备上,这使得 VDI 成为 IT 组织非常有吸引力的选择。
另一个有吸引力的好处是,通过创建新的虚拟桌面实例并设置用户名和密码,可以轻松地为新员工设置公司发放的、符合 IT 政策的个性化“机器”。 虽然员工仍然需要硬件,但该硬件不需要进行特殊配置,因为组成唯一用户的软件将部署在服务器机房中,而不是部署在用户或客户端设备上。
但从网络角度来看,VDI 并不是很新。 公司不应该将 VDI 视为需要由一组专用网络设备容纳的另一种应用,而应该转向经过验证的、可以随时随地支持任何应用的基础设施解决方案或平台。 F5应用交付控制器 (ADC) 可提高集中托管但在高度分布式环境中交付的应用程序的性能和可用性。 ADC 可以在加速 VDI 的广泛部署方面发挥持续的战略作用。
当与企业应用交互时,用户通常期望最好的情况是,当托管应用交付到任何规模的端点设备时,VDI 将在后台静默且不可见地运行,提供无缝的用户体验。 为了保留这种体验,当今的 VDI 解决方案可以应用相同的技术来提高物理桌面的应用交付性能。
为 VDI 提供安全性、高可用性和优化的网络性能的相同最佳 ADC 可应用于网络应用,从数据库到 Exchange Server 到服务器虚拟化等等。
桌面虚拟化提供的所有潜在优势都可能因对服务器和网络利用率的不利影响而被削弱。 当虚拟化大量桌面时,由于客户端和数据中心的虚拟化桌面之间传输数据,企业网络的流量会显著增加。 如果客户端有时必须通过 WAN 或从路上登录,这个问题很快就会变得更加严重,因为 WAN 和 Internet 连接的性能特征肯定不如 LAN 的性能特征那么吸引人。
虚拟化大量桌面所需的服务器数量也是一个关键因素,因为服务器密度的增加会导致服务器和网络管理员的工时增加。
最后,可移植性也是一个因素,因为很少有 IT 商店只使用一种虚拟化产品。 例如,大多数使用 VMware 进行服务器虚拟化,使用另一种产品进行桌面虚拟化。 即使一家企业目前使用单一供应商进行所有虚拟化项目,也可能只需要进行一次收购就会变得异构,并且需要同样异构的加速和安全解决方案。
综合考虑这三个因素(流量、服务器数量和可移植性水平),在考虑部分或全部迁移到 VDI 时必须解决一系列问题。基础架构能否可靠地支持多种虚拟化工具集? 在与 VDI 提供商谈判时,是否需要讨论虚拟化竞争? 如果有需要的话,VDI 可以从一个供应商转移到另一个供应商吗?
为了缓解 VDI 部署中一些最紧迫的问题,供应商在其产品中内置了部分解决方案和工具集。 例如:
然而,供应商应用交付和压缩工具是一组庞大的锁定设备,将企业困在特定的 VDI 实施中。 虽然更换 VDI 供应商从来都不是一件容易的事,但在更换 VDI 供应商的同时还要更换基础设施的关键部分就更加困难了。 事实上,这非常困难,以至于它可能会阻碍一个组织从长远来看做到最好。 此外,VDI 供应商更注重交付应用,而不是网络性能。 在大多数情况下,最终结果是向 VDI 系统添加了更多功能,但没有进行相应的优化来保持高性能。
F5 ADC(具体来说,BIG-IP 系统)专门用于通过网络执行应用。 BIG-IP 本地流量管理器 (LTM) 运行在 F5 的 TMOS 操作系统上,可提高所有联网应用的性能。 VDI 安装比大多数联网应用使用更多的网络通信,因此 BIG-IP LTM 可以采取更多措施来提高其性能。 BIG-IP LTM 还可以卸载 VDI 服务器的加密,减轻工作量,从而提高特定服务器上托管虚拟桌面的处理能力。 添加 BIG-IP 附加模块的安全性、WAN 优化和 Web 加速等高级功能可以显著减少对额外基础设施的需求。 在某些情况下,F5 产品减少了对 100 多个额外基础设施元素的需求 — — 在这种情况下是用于 VDI 支持应用的服务器。
BIG-IP 系统的一个主要区别在于它减少了组织支持 VDI应用所需的服务器数量。 基础设施不需要改变,因为 BIG-IP 系统包含定制设置来优化每个主要 VDI 供应商的远程桌面协议。 这意味着组织选择的服务器虚拟化供应商可以与其桌面虚拟化供应商完全不同 - 但服务器和桌面虚拟化都将获得高度优化的基础架构的好处。
当然,随着 VDI 市场逐渐成熟,它也会发生改变:新的供应商会进入,旧的供应商会不断发展,而新的操作系统甚至可能(在操作系统级别)加入一些目前仅由 VDI 供应商提供的功能。 F5 ADC 与供应商无关,并将继续通过熟悉整体网络和应用生态系统的设备支持 Microsoft、VMware 和 Citrix 等顶级 VDI 供应商。 即使市场发生变化和发展,F5 仍将继续支持主要 VDI 供应商优化内容交付所需的特性和功能。
一旦 F5 ADC 在 VDI 部署中到位,它们就可以为 IT 组织带来许多额外的好处,包括可扩展性、安全性和可用性。
正如服务器虚拟化不可避免地导致虚拟化蔓延一样,桌面虚拟化也同样如此。 当员工离开组织时,不再有人认为他们的计算机需要被清除。 虚拟桌面可以无限期地保存,并且通常都会这样,除非有必须删除它的理由。 一些员工将需要多个虚拟桌面,而且由于这不会产生硬件费用,因此 IT 部门将面临提供这些虚拟桌面的巨大压力。 最后,并购在现代商业环境中十分常见;能够创造足够空间来扩展和吸收收购的 IT 组织将为其公司带来优势。
VDI 具有可扩展性,但要成功扩展,必须克服一些严重的问题,从网络饱和到系统管理,并且必须检查投资回报率 (ROI)。 扩大规模时,价格是否会下降,还是在整个项目生命周期中成本保持不变? 而且成本够低吗?
VDI 部署所需的整体架构很复杂,但 F5 ADC 通过显著减少某些供应商所需的服务器数量来简化它。 这种减少可以节省资本支出,而网络优化可以减少操作网络所需的工时,从而节省运营支出。
使用 F5 ADC,每个服务器的虚拟机密度可以增加,并且网络通信可以得到优化。 扩展不再是障碍,当需要新服务器或集群时,BIG-IP 系统使 IT 能够简单地从现有服务器复制重要的 ADC 功能并将其应用到新的 VDI 服务器,从而节省时间并最大限度地减少错误。 事实上,F5 ADC 将应用部署周期缩短了 10 到 100 倍,并将配置错误减少了 95%。 通过简化网络资源分配并从应用程序的角度查看网络,F5 ADC 使 IT 运营和部署更加高效。
在合并的情况下,每家公司都会使用不同的 VDI 供应商,F5 可帮助 IT 创建用户池,将用户映射到适合他们的正确 VDI 解决方案,无论他们来自网络的哪个位置或他们的 VDI 服务器位于哪个数据中心。
这种灵活性使管理层在与现有供应商谈判时具有优势。 虽然更换 VDI 供应商绝非易事,但拥有一个不仅可以优化当前基础设施而且可以优化未来选择的架构,可以让 IT 管理或采购代理更轻松地转向新的 VDI 供应商。
当组织使用外部客户端元素部署 VDI 时(例如,从家中或在路上访问应用的能力),安全机制就会暴露在公共互联网上。 如果身份验证服务器成为 DDoS 攻击的目标,这可能会对远程访问造成严重后果。 它还将 VDI 置于安全策略和协议的正常范围之外。 这就造成了桌面图像和物理桌面不一定受到监管的情况。
将大量网络和应用安全转移到 ADC 意味着安全策略可以在所有系统(无论是虚拟的还是物理的)中集中。 使组织能够卸载通过公共互联网发出的连接加密是 F5 产品增加虚拟机密度的众多方法之一。
BIG-IP LTM 是一个抵御 DDoS 攻击的坚实平台;它在 2010 年的匿名者攻击期间保护了一些受到最恶意攻击的网站。
但首先,VDI 应该成为组织的中央访问和安全策略的一部分。 F5 ADC 通过集中处理安全问题来帮助实现这一目标。 从双因素身份验证到智能卡等一次性密码本设备,F5 ADC 可在使用数据中心的 AAA 基础设施的同时增强 VDI 部署的安全性。 BIG-IP 访问策略管理器 (APM) 可以将安全性降低到“此客户端设备上的此用户是否有权访问该资源”的级别。 这为 IT 提供了前所未有的灵活性,使其能够满足用户的需求和期望,同时阻止攻击者。
大多数 VDI 解决方案比传统桌面提供更好的机器特定灾难恢复能力。 这是因为可以删除虚拟机(或者如果需要,删除并在其位置放置一个副本),然后重新启动。 这比派技术人员去排除故障或花一个小时打电话尝试远程诊断要快得多。
即使组织有灾难恢复 (DR) 计划,本地化 DR 也还不够。 与传统环境相比,在 VDI 环境中,处理整个机架甚至整个数据中心的断电能力更为重要。
将用户从数据中心 X 无缝移动到数据中心 Y,或从服务器 X 快速移动到服务器 Y 的能力对于中断期间的生产力非常重要。 大多数 VDI 解决方案在这个领域只有有限的解决方案。
然而,F5 ADC 可以瞬间将用户从一台服务器切换到另一台服务器,或从一个数据中心切换到另一个数据中心,几乎无缝地进行切换。 当 BIG-IP LTM 与 BIG-IP 全局流量管理器 (GTM) 相结合时,用户在移动时只会注意到轻微的闪烁 - 无论是跨数据中心还是跨世界各地。 对于 VMware 客户,F5 和 VMware 通过合作,提供了一套工具来加速和保护跨数据中心的实时迁移事件,因此管理员可以在使用虚拟机时移动它们。
VDI 在底层是一种应用层协议(或几种应用层协议),用于在远程位置的用户和桌面之间传输 I/O。 当桌面处理集中时,网络协议承担了通信 I/O 的负担。 F5 拥有多年优化网络协议以使其可靠且高效的经验。 而且由于所有 VDI 流量都会增加网络负担(应用仍然必须进行之前的所有网络调用,但结果也必须传输到客户端),因此效率至关重要。
无论企业选择哪家 VDI 供应商,F5 都能为虚拟桌面基础架构带来以下独特优势:
VDI 部署是一项值得做的事业,因为它可以减轻桌面占用空间、集中应用管理并解决许可问题。 但它是一个复杂的系统,与服务器虚拟化具有许多共同的属性。 VDI 增加了网络负担,将用户引导至适当的服务器或数据中心需要超出正常工作负载的配置工作。 F5 提供异构架构来满足组织的所有虚拟化需求,同时帮助确保 VDI 部署的安全性、快速性和可用性。 借助简化部署和网络维护的工具、大量安全功能以及 F5 屡获殊荣的 ADC 功能,VDI 部署可以变得更轻松、更具适应性。
而且,凭借与供应商无关的基础设施(而非由特定 VDI 供应商销售的基础设施),F5 将使 IT 组织能够最大限度地利用未来,无论是通过合并、更换 VDI 供应商,还是支持不同的 VDI 和服务器虚拟化供应商。