VDI云桌面技术方案

1云桌面技术方案

云桌面技术方案

2015年2月

云桌面技术方案

目录

1. 2.

业务需求 ................................................................................................................................... 3 需求分析 ................................................................................................................................... 4

2.1 建设原则 .................................................................................................................................... 4

2.1.1 2.1.2

实现功能 ................................................................................................................... 5 实现目标 ................................................................................................................... 6

2.2 技术要求的点对点应答 ............................................................................................................ 7

3. 总体方案设计 ........................................................................................................................... 9

3.1 总体设计 .................................................................................................................................... 9

3.1.1 3.1.2 3.1.3

设计原则 ................................................................................................................... 9 设计内容 ................................................................................................................. 11 总体架构设计 ......................................................................................................... 11

3.2 技术架构设计 .......................................................................................................................... 12

3.2.1 桌面虚拟化技术 ..................................................................................................... 12

3.3 虚拟化桌面规划设计 .............................................................................................................. 13

3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6

系统架构示意图 ..................................................................................................... 13 虚拟桌面流程示意图 ............................................................................................. 14 虚拟桌面架构设计 ................................................................................................. 15 连接服务器组件设计 ............................................................................................. 26 View 桌面池设计 ................................................................................................... 28 虚拟桌面快速交付方案设计 ................................................................................. 41

3.4 功能设计 .................................................................................................................................. 42

3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9 3.4.10 2

网络链路设计 ......................................................................................................... 42 客户端连接设计 ..................................................................................................... 43 互联网访问设计 ..................................................................................................... 43 身份认证设计 ......................................................................................................... 43 移动办公和数据安全设计 ..................................................................................... 44 高可用性和安全防护设计 ..................................................................................... 44 软件分发设计 ......................................................................................................... 51 vm防毒设计 ........................................................................................................... 51 P2V迁移设计 ......................................................................................................... 51 集中监控管理 ......................................................................................................... 52

云桌面技术方案

1. 业务需求

1） 建立云桌面平台，实现电脑桌面的虚拟化使用。

2） 要求提供拓扑方案，提供内网及互联网使用时的使用方式。

3） 虚拟桌面数为450个，满足2年的桌面使用需求。并发按80%计共360个。

4） 客户端采用NC 150台、利旧电脑300台。客户端配置需求为vCPU=4U,Memory=4GB, 系

统盘=40GB,数据盘=100GB。

5） 网络中心在临潼工作区，高新产业园与临潼工作区采用100M数字电路连接，集团

本部采用20M数字电路与临潼工作区连接。高新产业园虚拟桌面250个，大庆路集团本部工作区虚拟桌面50个，临潼工作区虚拟桌面150个。虚拟桌面与后台连接占用带宽小，适应陕鼓的专线连接的多区域办公环境。需提出部署云桌面后高新产业园连接临潼工作区、大庆路集团本部连接临潼工作区的新增专线带宽需求。 6） 多终端类型支持，客户端支持NC、PC、主流操作系统的智能手机和平板电脑。客

户端提供Windows 7、WINDOWS XP操作系统。

7） 支持通过公司内网使用、通过互联网使用。采用互联网时支持公司现有的SSL VPN

设备访问虚拟桌面。

8） 虚拟桌面站点可需接入互联网，允许进行互联网的浏览、文件上下载等常见操作。 9） 系统支持通过扩容存储与计算资源实现用户平滑扩容。

10）移动办公需求，桌面云用户可从企业园区网的各个站点、位置访问自己的虚拟桌面

环境。用户可以不中断应用运行，实现无缝切换办公地点。

11）虚拟桌面可预装业务所需的应用程序及应用客户端软件。能够实现软件自动化批量

安装。

12）可以让用户无法将文件和信息保存在本地设备或移动磁盘上，从而有效实现数据安

全。

13）支持MS OFFICE 2007/2010、RTX、Project、VISIO、 IE、Acrobat Reader、视频

播放软件、QQ、常用输入法、泛微EM等办公软件。

14）支持运行公司OA、SGRP、MOA、KM、MOA、CRM、视频会议、论坛、电子招标、集团

财务、流程管理等B/S和C/S等系统。

15）客户端使用时流畅，无卡顿，与PC体验相同。每日上班大量并发登录时，无登录风

3

云桌面技术方案

暴产生，登录流畅，登录时间不超过30秒。

16）支持USB打印机，支持设置网络打印机，支持USB键盘鼠标，支持本地输入法。 17）提供丰富的用户身份认证，包括用户名/密码、USB KEY、动态口令、动态短信、指

纹，指纹+密码，确保接入用户的合法性。支持其组合方式。

18）能够记录虚拟桌面运行日志，为桌面运行分析、系统优化提供参考数据。支持虚桌

使用情况统计分析，支持用户使用情况统计分析。

19）客户端加电后可自动进入虚拟桌面登录界面，对于PC 用户可手动登录虚拟桌面或

直接进入。

20）支持AD与和无AD域的部署、认证方式。

21）在服务器端统一部署杀毒软件，不需每个客户端部署杀毒软件。 22）虚拟机可配置固定IP，支持IP、MAC及网络端口三者绑定。 23）能够升级、打补丁及回退自动化操作。

24）快速将用户数据从原来的物理机迁移到虚拟机。可实现虚拟桌面的数据备份。 25）支持集中管理，如对操作系统镜像统一管理、软件补丁统一分发、TC终端统一管理

等。管理员可快速业务发放、桌面管理、模板管理、权限管理、资源管理、监控管理、告警管理、拓扑管理、日志管理、任务管理、统计管理。 26）平台具有完善的安全防护能力。系统支持高可用性设计。

2. 需求分析

2.1 建设原则

采用虚拟桌面系统，通过PC机终端或瘦客户机连接在服务器后台运行的虚拟桌面，实现Windows桌面的快捷、灵活交付和统一管理。

系统应实现桌面的集中更新、统一发布；将桌面的升级、变更、维护等工作交由后台统一管理和运行；在后台而不是在用户终端上进行集中发布、配置和更新；终端用户无需任何变动即可获得最新应用和服务，除了满足桌面快速发放、虚拟桌面安全等诉求外，还减少了终端所需的运维支持力度。

1) 办公桌面以虚拟桌面方式提供交付, 在网络中传输为加密协议，具有高速率、低带

宽和压缩加密的特点，可以保证数据的安全性；用户以软客户端的方式登录虚拟桌面，购买支持桌面交付协议的云终端后也支持以瘦终端方式登录；

2) 系统支持研发办公桌面的快速发放和回收，支持虚拟桌面分权分域管理，支持多个4

云桌面技术方案

管理员，且能对不同管理员配置不同权限。

3) 系统包括桌面虚拟化软件、计算、存储、网络设备应具备高可靠机制（如：虚拟机

HA高可用，虚拟机热迁移，存储双控制器，磁盘RAID，存储热迁移，分布式交换，单板支持热插拔，支持多机框管理模块，电源热插拔和冗余，风扇热插拔和冗余等），以保障整体方案无单点故障，不影响日常办公。

4) 系统具备高可用性和负载均衡功能，能承受突发性较大规模用户的并发访问与会话

连接。

5) 系统具备数据和虚拟平台备份功能，能对用户关键数据执行周期的自动备份和历史

数据的恢复。

6) 系统具备良好的易用性，具有较好的人机操作界面及详细的帮助和提示信息，可以

通过操作界面完成系统参数的维护与管理。

7) 系统满足可管理性要求，具有良好的管理手段，方便对计算资源、存储资源、网络

资源、虚拟机、操作系统、数据库、管理平台及应用程序等进行有效地监控、管理与维护。

8) 系统具备良好的平滑扩展能力，计算资源、存储资源和网络资源及系统软件应具有

良好的平滑扩容和减容能力，能在保证现网平台正常运营条件下对系统进行调整，支持未来软件中心业务的扩展性要求。

9) 系统具备良好的开放性，提供多种瘦终端的接入能力，满足桌面云平台用户的应急

接入。

2.1.1 实现功能

随着企业办公项规模扩大，办公环境的管理更加复杂，安全管理的要求也日益提升。利用现有硬件资源，建立一个简单、易用、安全的统一接入平台，以有效进行办公环境的规范管理，支持可控的远程访问模式。

1. 集中管理：可将办公环境中的应用软件进行集中管理，可以根据需要随时调整办公

环境的应用部署，简化办公人员客户端的环境配置及部署要求。 2. 应用发布：具有包括各类办公工具在内的应用软件发布功能。

5

云桌面技术方案

3. 存储隔离：每个用户能建立各自的文件系统或存储空间，相互之间不能访问。但授

权用户可以访问特定用户组的存储空间，可以通过FTP或者其它方式获取用户存储空间的数据。

4. 数据保护：所有的代码及业务数据只在服务器端传递，提高系统数据访问的安全性。 5. 远程接入：支持外部合作公司远程接入的项目开发模式，能有效控制用户的剪贴板、

本地硬盘、打印机、端口等操作，做到合作公司人员未经授权无法从任何渠道获

取项目的代码、文档和业务数据。

6. 访问控制：对于合作公司的远程访问要求能有效控制，包括登录时间段、登录用户

的监控。要求能穿越防火墙（能够NET转换）访问到服务器。 7. 访问日志：用户登录及应用软件的访问，应该有日志记录。

8. 水平扩展：服务器端支持水平扩展，能通过水平增加服务器来适应业务需求的扩大。 9. 负载均衡：可根据用户访问量和资源使用情况，动态分配到到负载量最低的服务器

上。可支持手动负载均衡操作。

2.1.2 实现目标

? 建立统一架构的虚拟平台；

? 移动和固定办公终端通过虚拟桌面访问工作环境，满足日常工作要求； ? 通过虚拟应用访问不同应用环境，满足日常不同业务的工作要求； ? 提高对桌面及应用的访问控制和使用权限管理；

? 可以迅速地部署或者更新操作系统，简化Windows的升级操作；

? 将应用的升级、变更、维护等工作交由后台统一管理和运行，在系统上而不是在用

户终端上进行集中发布、配置和更新，终端用户无需任何变动即可获得最新应用和服务，减少终端所需的运维支持力度；

? 前端桌面最终目标是使用瘦客户端，减少终端维护量，增强终端安全性； ? 提供接近于本地应用的最终客户体验、并且最大限度保持原有的用户使用习惯； ? 能良好兼容现有开发相关应用、并且对未来的可能的应用及安全构架有良好的兼容

性；

? 开发平台及业务应用使用的整体安全性提高；

? 桌面和应用全部运行在数据中心，保证设计数据等涉密信息的安全性； 6

云桌面技术方案

? 通过策略等技术手段，可以严格禁止涉密数据下载或保存到本地的客户端设备； ? 桌面集中托管于数据中心，在数据中心进行集中的部署、维护和管理； ? 构架设计遵循开放、灵活的原则，以适应系统扩充以及日后的需求变更； ? 桌面虚拟化方案可以适应主流的服务器、客户端的硬件配置，对现有的服务器、PC

等设备，可充分利用，便于日常维护； ? 大大降低终端PC机的投入和维护成本。

2.2 技术要求的点对点应答

技术要求 1） 建立云桌面平台，实现电脑桌面的虚拟化使用。 应答 无偏离 Suit VMware Horizon View Client和HTML Client VMware Horizon View Suit（400 Users） VMware Horizon View 4） 客户端采用NC 150台、利旧电脑300台。客户端配置需求为vCPU=4U,Memory=4GB, 系统盘=40GB,数据盘=100GB。 虚拟桌面配置为无偏离 vCPU=4U,Memory=4GB, 系统盘=50GB,数据盘=100GB。 5） 网络中心在临潼工作区，高新产业园与临潼工作区采用100M数字电路连接，集团本部采用20M数字电路与临潼工作区连接。高新产业园虚拟桌面250个，大庆路集团本部工作区虚拟桌面50个，临潼工作区虚拟桌面150个。虚拟桌面与后台连接占用带宽小，适应陕鼓的专线连接的多区域办公环境。需提出部署云桌面后高新产业园连接临潼工作区、大庆路集团本部连接临潼工作区的新增专线带宽需求。 6） 多终端类型支持，客户端支持NC、PC、主流操作系统的智能手机和平板电脑。客户端提供Windows 7、WINDOWS XP操作系统。 7） 支持通过公司内网使用、通过互联网使用。采用互联网时支持公司现有的SSL VPN设备访问虚拟桌面。 8） 虚拟桌面站点可需接入互联网，允许进行互联网的浏览、文件上下载等常见操作。 9） 系统支持通过扩容存储与计算资源实现用户平滑扩容。 10） 移动办公需求，桌面云用户可从企业园区网的各个站点、位置访问自己的虚拟桌面环境。用户可以不中断应用运行，实现无缝切换办公地点。 11） 虚拟桌面可预装业务所需的应用程序及应用客户端软件。能够实现软件自动化批量安装。 12） 可以让用户无法将文件和信息保存在本地设备或移动磁盘上，从而有效实现数据安全。 无偏离 无偏离 VMware Horizon View和Thinapp VMware Horizon View 无偏离 VMware Horizon View 无偏离 无偏离 无偏离 无偏离 无偏离 高新产业园连接临潼工作区新增一条100M数字电路连接，大庆路集团本部连接临潼工作区新增一条20M数字电路连接 VMware Horizon View VMware Horizon View、Client和HTML Client VMware Horizon View VMware Horizon View 应答产品 VMware Horizon View 2） 要求提供拓扑方案，提供内网及互联网使用时的使用方式。 无偏离 3） 虚拟桌面数为450个，满足2年的桌面使用需求。并发按80%计共360个。 无偏离 7

云桌面技术方案

高清视13） 支持MS OFFICE 2007/2010、RTX、Project、VISIO、 IE、频播放Acrobat Reader、视频播放软件、QQ、常用输入法、泛微EM等办公软件。 14） 支持运行公司OA、SGRP、MOA、KM、MOA、CRM、视频会议、论坛、电子招标、集团财务、流程管理等B/S和C/S等系统。 15） 客户端使用时流畅，无卡顿，与PC体验相同。每日上班大量并发登录时，无登录风暴产生，登录流畅，登录时间不超过30秒。 16） 支持USB打印机，支持设置网络打印机，支持USB键盘鼠标，支持本地输入法。 17） 提供丰富的用户身份认证，包括用户名/密码、USB KEY、动态口令、动态短信、指纹，指纹+密码，确保接入用户的合法性。无偏离 支持其组合方式。 18） 能够记录虚拟桌面运行日志，为桌面运行分析、系统优化提供参考数据。支持虚桌使用情况统计分析，支持用户使用情况统计分析。 19） 客户端加电后可自动进入虚拟桌面登录界面，对于PC 用户可手动登录虚拟桌面或直接进入。 无偏离 不支持无AD域20） 支持AD与和无AD域的部署、认证方式。 的部署，VMware Horizon View 其他无偏离 第三方杀毒软件 for 21） 在服务器端统一部署杀毒软件，不需每个客户端部署杀毒软件。 无偏离 VMware，例如Symantec Endpoint Protection for VM 不支持绑定网22） 虚拟机可配置固定IP，支持IP、MAC及网络端口三者绑定。 络端口，VMware Horizon View 其他无偏离 23） 能够升级、打补丁及回退自动化操作。 24） 快速将用户数据从原来的物理机迁移到虚拟机。可实现虚拟桌面的数据备份。 25） 支持集中管理，如对操作系统镜像统一管理、软件补丁统一分发、TC终端统一管理等。管理员可快速业务发放、桌面管理、模板管理、权限管理、资源管理、监控管理、告警管理、拓扑管理、日志管理、任务管理、统计管理。 26） 平台具有完善的安全防护能力。系统支持高可用性设计。 无偏离 VMware Horizon View Suit 无偏离 VMware Horizon View Suit 无偏离 无偏离 VMware Horizon View VMware vSphere Enterprise Plus和存储阵列镜像 无偏离 无偏离 VMware Horizon View VMware Horizon View和第三方动态密码产品 VMware vCenter Operation Manage for View VMware Horizon View 无偏离 VMware Horizon View 需要测试，其他无偏离 无偏离 VMware Horizon View VMware Horizon View 8

云桌面技术方案

3. 总体方案设计

3.1 总体设计

3.1.1 设计原则

按照桌面虚拟化的建设目标，依据桌面虚拟化建设项目具有涉及范围广、建设规模大、数据构成复杂等特点，在设计阶段需遵循一些重要原则，以保障后续建设的顺利衔接和有效执行。

一、全面性

桌面虚拟化建设是一项从无到有的工程。除了针对基础建设需求进行设计之外，也要就系统建成后整个云平台的运营、管理和运维进行综合考虑，使得设计能够全面地满足系统持续稳定运行的需求，尽力避免一些细小但关键构成的遗漏。

桌面虚拟化建设是一项系统工程，是一项长期性工作，必须通盘考虑，统一规划，确保整体效能，在总体规划指导下，按照“实用先行、由简至难、循序渐进”的原则分步推进具体系统的建设。

二、高可用性

桌面虚拟化建设项目应首先考虑信息系统的高可用性，应坚持需求驱动、以应用为主导的方针，规划和建设相应的各个子系统；系统应该在容错、应急、负载等多方面予以考虑，应有适量冗余及其他保护措施，平台和应用软件应具有容错性、健壮性等，保证系统连续服务；结合严谨的测试管理与运维体系，保证系统的高可用性。

三、安全性

桌面虚拟化建设项目作为重要政府服务建设项目其信息安全的重要性不言而喻。因此必须将安全性设计作为重要涉及原则予以优先考虑。严格遵照国家的有关保密法规，采取切实有效的措施，确保信息网络和信息资源的安全。

四、开放性

桌面虚拟化建设项目涉及的应用系统与基础平台类型多样，结构复杂，建设过程中会遇

9

云桌面技术方案

到较多的系统间衔接问题。同时为保证项目的快速有效建设，势必由不同的建设单位使用不同的产品进行子系统的建设，如果采用较封闭的技术与产品，必将造成整体应用无法衔接或效率低下，因此在总体设计阶段，在保证安全性的前提下，要考虑的是系统整体和局部的开放性。

系统建设要统一规划、统一标准、加强管理，提倡联合协同、共同发展，调动各方积极性。建立统一规划、数据接口标准统一的信息平台，兼容各种应用系统进行数据交换，从顶到底要求每一个系统的构成部分符合设计的开放标准，实现异构系统的互联互通，确保整体应用框架之间衔接顺畅。

五、可扩展性

桌面虚拟化建设项目应充分考虑未来发展，同时信息化建设是一个循序渐进、不断扩充的过程，系统的总体设计应该采用层次化、组件化设计，整体构架考虑与现有系统的连接，为今后系统扩展和集成留有扩充余量。

六、先进性

桌面虚拟化建设项目应在设计思想、系统架构、采用技术、选用平台上均具有一定的先进性、前瞻性。在充分保证可用性、开放性、扩展性的前提下保持系统的先进性、扩充性，采用技术成熟、厂家信誉好的产品，使系统在未来相当一段时间保持稳定。

七、可实施、可管理、可维护

桌面虚拟化建设项目在保证业务覆盖面广、架构完善、技术先进的同时，也必须考虑软件系统及其运行环境的可实施、可管理、可维护，并在设计中重视建设期中、建设期后的管理与维护体系。

（一）可实施性

所实现的业务功能，必须是在目前的组织框架下可以运营的。对现有应用的整合应不影响业务的运行，对现有应用系统影响和改造量较小。业务功能的实现可以分布实施快速见效。

（二）可管理性

采用集中管理模式，配备与各个实施阶段相适应的实用的系统管理手段，对系统设备、系统资源、应用软件、数据实行全面的管理。 10

云桌面技术方案

（三）可维护性

系统设计应标准化、规范化，分层设计，组件化实现，降低应用整合平台的维护成本。

3.1.2 设计内容

1、 建设强大、高效的计算资源平台，通过采用架构领先、功能丰富的刀片服务器，为

桌面虚拟化搭建可靠、稳定的应用支撑平台，满足软件开发中心各种应用的部署和运行。

2、 建设安全、可靠的存储资源平台，通过采用冗余架构，高速、高容量的SAN+NAS一

体化存储，为开发人员的开发数据及虚拟化系统的正常运行，提供良好的数据存储环境。

3、 在详尽的服务、性能、安全和隐私保护等政策的指导下，帮助用户实现快速部署、

安全计算以及灵活扩展IT能力。在领先的融合基础设施以及丰富的自动化与管理软件系列产品的基础上，实现桌面虚拟化所需的全部资源的管理。

3.1.3 总体架构设计

如图所示，根据软件中心桌面虚拟化建设需求，我们提出了运行支撑环境的的“两池一

11

云桌面技术方案

区”的架构体系。分别为：虚拟化计算资源池、虚拟化存储资源池和资源管理区。

虚拟化计算资源池通过采用VMware的VDI虚拟化技术，为用户的办公人员提供高性能，高安全的业务办公环境。

虚拟化存储资源池通过部署SAN和NAS一体化的设备，为虚拟机镜像文件的共享存储，以及办公人员的业务数据提供了可靠，安全的存储环境。

资源管理区通过在虚拟机环境部署冗余的VCenter/Composer服务器、连接服务器，数据库服务器架构为VDI的正常，稳定运行提供后台管理；通过部署云资源管理软件为VDI环境下的虚拟机资源，存储资源，网络资源，应用资源及运维处理等方面提供360度全方位的监控及运维管理；通过部署磁盘阵列镜像软件，确保虚拟化存储资源池内的虚拟机文件和用户的业务数据的安全，确保桌面虚拟化系统整体的稳定、可靠运行。

3.2 技术架构设计

3.2.1 桌面虚拟化技术

桌面虚拟化是在物理服务器上安装虚拟主机系统，由虚拟主机系统模拟出操作系统运行所需要的硬件资源，如：CPU、内存、网卡、存储等。操作系统运行在这些虚拟的硬件资源之上，可以达到多个操作系统共享物理服务器的硬件资源，从而提高资源利用率。虚拟桌面的存储和执行（包括操作系统、应用程序和用户数据）都集中在数据中心，用户使用终端设，备通过远程协议（如：RDP、ICA、PCoIP）进行访问。桌面虚拟化将所有桌面虚拟机在数据中心进行托管并统一管理；同时用户能够获得完整PC的使用体验。用户可以通过瘦客户端，或者类似的设备在局域网或者远程访问获得与传统PC一致的用户体验。是一种仅将操作系统桌面呈现在用户面前的技术，由服务器端完成运算。可以结合服务器虚拟化和应用虚拟化进行。

桌面虚拟化解决方案提供的功能主要包括基本功能、用户使用便利要求、应用虚拟化、维护管理和可靠性等方面。其中，基本功能包括多种方式接入、支持无差别的多应用访问、支持多虚拟机、支持主流操作系统、支持主流存储技术；用户便利使用要求包括系统可随时随地访问且支持个性化桌面，支持SSO，支持网络存储空间的动态分配，支持音频输入输出等；应用虚拟化指将应用程序从底层操作系统分离出来，支持虚拟桌面与应用软件虚拟化间的无缝集成；此外，桌面虚拟化还需支持多种部署、维护方式，能提供丰富的管理维护手段，同时具备电信级兼容性和可靠性。

12

云桌面技术方案

3.3 虚拟化桌面规划设计

3.3.1 系统架构示意图

VMware View总体架构如上图所示，VDI产品后台采用的是vSphere for Desktop即vSphere最高版本支持。VMware VDI Manager 5.0 是企业级虚拟桌面管理器，是 VMware VDI 5.0的关键组件。IT 管理员使用 VMware VDI Manager 作为中心控制点，支持最终用户安全灵活地访问其虚拟桌面和应用程序，并利用与 VMware vSphere? 之间的紧密集成，说明客户以安全托管服务形式交付桌面。VMware VDI Manager 具有极强的可扩展性和可靠性，它使用基于 Web 的直观管理界面创建和更新桌面映像、管理用户数据、实施全球策略等，从而同时代理和监控数以万计的虚拟桌面。

根据网络划分为客户端运行网和中心机房网络：

1. 客户端运行网：用户平时使用的瘦客户端和PC电脑位于运行网内，通过安装View

Client，访问位于中心机房网络中的虚拟桌面。

2. 负载均衡器：负载均衡器位于运行网内，它按照设定的负载均衡策略，将450个用

户View客户端的连接分发到中心机房网络中的View连接服务器上，达到负载均衡的目的。

3. 中心机房网络：View系统，包括vSphere，View连接和安全服务器，vCenter服务

器，View composer服务器都位于中心机房网络中，为运行网提供安全集中的虚拟

13

云桌面技术方案

桌面资源，供用户使用。

3.3.2 虚拟桌面流程示意图

图3-4 VMware View流程架构示意图

3.3.2.1 用户认证

客户机（PC机或瘦客户机）安装使用view客户端通过HTTPS协议连接View连接服务器，连接成功后，View连接服务器提示用户输入用户名和密码，之后View连接服务器会提交到AD数据库中验证。认证通过，则进入获取桌面信息流程，不成功则返回错误提示。

3.3.2.2 桌面信息

认证成功之后，view连接服务器会从View配置数据库中获取用户分配桌面信息，将该信息通过HTTPS协议返回给用户view客户端，用户通过view客户端可以检索到自己可以使用的桌面。

3.3.2.3 连接桌面

终端使用HTTPs tunnel和PCoIP tunnel，用户通过view客户端选择自己相应的桌面，view连接服务器会分别于与虚拟机和用户的view客户端建立PCoIP隧道，通过view连接服务器的中转，用户view客户端与虚拟机建立PCoIP隧道使用虚拟桌面。

14

云桌面技术方案

3.3.2.4 View管理控制台

管理员在客户端上通过IE或者其他浏览器（安装Flash插件），访问View web 管理控制台，输入Https：//view连接服务器IP/admin/地址，对View连接服务器进行管理。

3.3.2.5 View与vCenter

View连接服务器通过vCenter的web service API对虚拟机进行包括：生成虚拟机，刷新，重构虚拟机等操作，并对虚拟机进行开关机，重启等操作。

vCenter通过内部的API，管理Esxi server，并在Esxi server上，接受View连接服务器的指令，生成虚拟机，并按照view连接服务器的要求，对虚拟机进行日常维护操作。

Esxi server安装在物理机上，将物理机的存储，网络和计算资源进行虚拟化抽象，提供给上层平台vCenter使用。

3.3.2.6 方案要点

? View桌面系统安全策略的定制。 ? 光纤存储的性能规划。 ? 桌面模板的定制以及性能优化。

? View桌面系统在窄带宽下多用户并发访问性能的优化。 ? View 桌面系统各个组件的协同工作配置。

3.3.3 虚拟桌面架构设计

方案基于VMware Horizon View构建，VMware Horizon View桌面虚拟化方案构建在VMware vSphere 5之上，VMware vSphere允许多个用户桌面以虚拟机的形式独立运行，同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将用户彼此隔离开来，使每位用户都拥有自己的操作系统，同时对Horizon View关键组件（ESXi，vCenter，Connection，Security，Composer，SQL，AD Server）均部署了双或多节点保证VMware HorizonView环境的正常运行实现高可用性，方案总体架构如下图所示。

15

云桌面技术方案

3.3.3.1 架构设计中的关键组件及其高可用性

图2 虚拟化架构组件图

? View Manager 包括下列组件：

? VMware VDI Connection Server—管理对虚拟桌面的安全访问，与 VMware

vCenter? Server 配合提供高级管理功能

? VMware VDI Security Server—提供外网对虚拟桌面的安全访问，与 VMware

Connection Server 配合管理

? VMware VDI Agent—提供会话管理和单点登录功能

? VMware VDI Client—支持 PC 和瘦客户端上的最终用户通过 VMware VDI

Connection Server 连接到虚拟桌面使用。

? View Client with Local Mode—即使网络发生中断也可以访问虚拟桌面，不会影

响 IT 策略的实施。

? VMware VDI Administrator—允许管理员进行配置设置、管理虚拟桌面和设置

桌面的权限以及分配应用程序

? VMware VDI 角色管理—角色管理可动态地将用户角色与无状态流动桌面相

关联。管理员可轻松部署低成本、无状态流动桌面池，让用户能够在不同会话之间保持其指定设置。

3.3.3.2 View 架构的逻辑单元设计部分

450 个 虚拟桌面单元,分布在 1个集群中 10个节点的ESXI 群集上。由分布在外面的

16

云桌面技术方案

管理单元进行管理。每台ESXI 主机包括4路8核的CPU, 一共提供 32核支持30~80个 虚拟桌面的运行. 这个单元包括两个群集共计最大可以支持到 2048 个桌面的运行。

17

图：单个View 逻辑架构

云桌面技术方案

3.3.3.3 View大规模扩展方式

图:View Pod扩容设计

本次按照450 个用户来进行设计一个View Pod，，所以，使用一个 view pod 就可以满足需要，并且一个 view pod 支持扩展到 2048 个用户。

View pod 是View架构的一个抽象的功能组件，并且是 view逻辑管理架构设计的核心，View pod 由以下组件组成:

一个view管理block, 管理的block 包括：

? View 连接服务器–在集群中共有 3个 view 的连接服务器，设置active/Standby

模式，其中 2个设置成为实际转发连接的服务器，其中一台设置成 standby 的状态。

? vCenter-用来管理虚拟桌面的 vCenter

一个 view 桌面 block：包含所有的主机和主机上生成的虚拟机，也就是供用户使用的虚拟桌面。

18

云桌面技术方案

3.3.3.4 逻辑架构设计

对涉及到大型的View桌面系统部署，采用View building blocks和View building pods这两种搭建概念，在物理的硬件上，对view进行部署。运用这种成熟的和可扩展的方式桌面系统搭建方式，可以方便的实现客户环境构建，为用户从物理环境迁移到虚拟桌面，提供便利的架构方案支持。并且，采取这种方式的部署，搭建好一个View building block之后，还可以根据性能，地理，客户需求和访问方式的不同，再添加新的block，便捷的实现整体架构的扩展，最大程度的满足客户的扩展需要。

根据用户现场的物理设备和需求调研的结果进行分析，现对view架构做如下的逻辑设计。

逻辑设计包括：

本次中按照450个用户来进行设计一个View Pod就可以满足需要，并且一个view pod支持扩展到2048个用户。

View pod 是View架构的一个抽象的功能组件，并且是view逻辑管理架构设计的核心，View pod 由以下组件组成:

一个view管理block, 管理的block包括：

View连接服务器– 在集群中共有3个view的连接服务器，设置成active/Standby模式，其中2个设置成为实际转发连接的服务器，其中一台设置成standby的状态。

vCenter - 用来管理虚拟桌面的vCenter，并且支持扩展到最多5台vCenter（一个view pod）。

一个view桌面block：包含所有的主机和主机上生成的虚拟机，也就是供用户使用的虚拟桌面。

View blocks – 此次架构设计中，只需要一个view block即可。 3.3.3.4.1.

View 管理 Block

View 管理 Block 也是一个View架构的一个抽象的组件，它由所有的View和vSphere的管理虚拟机组成，其中包括:

? View Connection Servers

? View 桌面 block的vCenter servers (一个View 桌面block，一个vCenter) ? vSphere 基础架构 项目 角色说明 建议配置 19

云桌面技术方案

硬件 提供用户桌面应用所需的计算资源，通过（群集HA/DRS/vMotion/StorageMotion） 虚拟化系统虚拟出若干台虚拟机并提供给网卡：6个或更多1000M网卡； CPU：二颗Intel(R)十核Xeon(R) 内存：256G或以上； 硬盘：300GB 15K RPM SAS； 系统与软件 虚拟化基础平台服务器 系统：安装ESXi 5.5； 其功能是在一台主机上虚拟出若干台虚拟机并实现主机资源管理,按需将资源分配给光纤存储适配卡：2张FC HBA卡； 上层的虚拟机。 不同的用户。 电源：冗余双电源； 系统：推荐Windows 7桌面操作系统； 其它软件： 在虚拟化基础平台上创建虚拟机? 用户所需的基本应用软件。 ? VMware Tool：虚拟机功能增强软件包，其中包含虚拟机驱动程序，与Host及vCenter Server间的通讯组件等； 硬盘：系统盘40G 数据盘：100G ? VMware View Agent：这是与桌面瘦客户机交互的组件，只有安装VMware View 5 Agent后，客户端才能连接； 为用户虚拟桌面应用提供存储支持，所有A、 采用中等性能FC SAN存储阵列； B、 电源：冗余双电源； C、 存储控制器：双控制器,每控制器Cache>=512GB； D、 RAID:支持0,1,5,10+hotspare； E、 主机接口：4个8GB FC接口、4个千兆以太接口；含HA、阵列镜像Mirror、FCP数据访问、 NFS数据访问等许可 托管虚拟桌面 （HA和vMotion保护实现高可用性） 虚拟化基础平台服务器上的虚拟机，用户的操作系统、应用及部分个并提供给桌面用户时，建议每台VM的配置如下： CPU：4颗vCPU，频率2.0GHz或以上； 内存：4G； 人数据保存在该虚拟机上。 存储阵列 虚拟化系统、企业应用数据、用户数据均存储在存储20

云桌面技术方案

工作。 用例场景三 使用打印机 用户使用View客户端串口或ThinPrint打印机，或者使用RDP配置串并口打印机 d) 用户连接设计 用户的网络带宽连接设计： 用户用例 网络使用 网络带宽 100M或1000M 100M或1000M 20M或100M 协议选择 View设计 PCoIP PCoIP PCoIP PCoIP带宽协议优化 PCoIP带宽协议优化 PCoIP带宽协议优化 word，excel进行日常办公，网络打并使用打印机 印机 临潼工作区用户 局域网 高新产业园用户 大庆路集团本部用户 e) 用户访问安全设置

局域网 局域网 根据实际使用情况，本次Internet VPN连接设计使用安全服务器。 用户 Internet用户 客户端 客户端运行网 连接服务器 中心机房网络 虚拟机 中心机房网络 View设计 使用HTTP和PCoIP隧道 3.3.4 连接服务器组件设计

3.3.4.1 View 连接服务器系统要求

操作系统 CPU 内存 网卡 磁盘 网络 数量 主机名 Windows 2008 R2 or R2 SP1 64位 8 vCPU 16G 千兆VMware vNet3 C盘100G VMware E1000 1（Standard） + 1（Replica）+ 1（Standby） con1（Primary） con2（Replica） 26

云桌面技术方案

con3（standby） 系统优化 Windows Server 2008 无需更改TCB的大小。当内存大小为10G时，安装时View Connection Server会将JVM的Heap Size设置为2G。否则设置为512M。 JVM大小设置项为：HKLM\\SOFTWARE\\VMware, Inc.\\VMware -Xms128m -Xmx1024m VDM\\Plugins\\wsnm\\tunnelService\\Params -Dsimple.http.poller=simple.http.GranularPoller -Dsimple.http.connect.configurator=com.vmware.vdi.front.SimpleConfigurator 3.3.4.2 View Connection Server全局配置

从安全角度考虑，将VMware View Connection Server配置成旁路的模式部署，仅当瘦客户端启动，用户第一次登陆时，才会通过connection server建立会话，后续的应用操作不需要通过其进行会话连接。同时Https模式和PCoIP自由的AES-256加密更保障了通讯的安全性。

设置： Connection server 设置 连接服务器配置 关闭 关闭 数据转发，支持300台桌面，最大可以支持到750桌面同时访问。 View connection server 配置页面，设置Https隧道。 View connection server 配置页面，设置PCoIP隧道。

开启 Http隧道 PCoIP隧道 支持桌面数目 池状态 3.3.4.3 View Connection Server replica

VMware View Connection Server为一组服务器，第一次安装的时候，选择Standard View Connection Server，之后安装多台View Connection Server的时候，选择安装模式为Replica Server。此次规划为2台View Replica作为负载均衡和提供高可用。1台connection server作为Standby的server，当由connection server出故障之后，Standby服务器立刻启动，接管故障的连接服务器。

27

云桌面技术方案

3.3.4.4 View Connection Server的负载均衡

考虑到450用户情况，部署3台View Connection Server即可, 其中2台Active，一台Standby。

前置负载均衡设备，所有终端用户将连接统一的负载均衡设备地址，自动实现负载均衡和故障切换。

3.3.5 View 桌面池设计

3.3.5.1 桌面池的设计

根据需求调研，现对桌面池的设计如下：3个部门，每个部门2个桌面池，每个桌面池的类型如下： 桌面池ID win7x32Pool win7x64Pool 池类型 固定池 固定池 生成类型和方法 自动（Linked clone） 自动（Linked clone） 默认协议 PCoIP PCoIP 池状态 开启 开启 3.3.5.2 桌面池定义

池属性 池生成类型 池类型 生成方法 显示协议 用户数据持久化 主机缓存 选项 自动 固定池 Linked Clone PCoIP 配置重定向 配置 描述 所有的虚拟虚拟桌面全部通过模板自动生成。 固定池中的桌面，只能一个授权用户访问，其他用户无法访问 使用副本+链接克隆虚拟机生成虚拟桌面 VMware支持的先进显示协议 重定向用户配置和数据到持久磁盘 配置主机缓存，CBRC host cache，用于将热点数据存放在主机的内存中，最大设置2G，设置不做索引的时间为：周一到周五，8:00~22:00 设置永久磁盘D盘，将用户数据重定向到D盘,大小100G 将副本和操作系统分开，将副本放在单独的数据存储上，根据具体情况，单独数据存储一般为NAS数据存储 将一次性磁盘文件定位到E盘，大小6~8G 选择数据存储（LUN）的时候，将链接克隆虚拟机放在多个数据存储中，一个数据存储最多不超过64个链接克隆虚拟机。 使用ThinAPP方式发布虚拟应用 设置特定的AD组，为View Pools建立AD用户组，根据实际情况，将450个用户分为6个组（3个部门），对 存储配置 永久磁盘和操作系统分开 副本和操作系统分开 重定向一次性磁盘文件 链接克隆磁盘分别在多个存储 应用发布 授权用户 ThinAPP发布 设置AD View 用户组 28

云桌面技术方案

应相应的不超过6个桌面池（每个部门不超过2个桌面池）。 电源管理 用户注销操作 保持开机 预定分钟后将用户注销 虚拟桌面始终保持开机，如果用户采取关机操作，View连接服务器会自动将虚拟桌面开机 在预定分钟后不操作，将用户注销，根据实际情况，设置为300分钟。 3.3.5.3 View 桌面系统

3.3.5.3.1.

桌面操作系统虚拟硬件配置

虚拟桌面系统根据调研的结果，进行归纳后有以下三种: ? Windows 7 SP1 32 位中文系统 系统 License CPU 内存 磁盘 Windows 7 SP1 32位中文系统 KMS 激活 4 vCPU 4G C盘：50G D盘：100G 网卡 软驱，光驱，串并口等 VMware VMXNET3 禁用 ? Windows 7 SP1 64 位中文系统 系统 License CPU 内存 磁盘 Windows 7 SP1 64位中文系统 KMS 激活 4 vCPU 4G C盘：50G D盘：100G 网卡 软驱，光驱，串并口等 3.3.5.3.2.

VMware VMXNET3 禁用 桌面操作系统系统及软件

系统镜像由用户统一生成。 3.3.5.3.3.

桌面操作系统优化

桌面系统的优化对整个VDI环境的性能影响较大。因此需要做好这方面的工作。 29

云桌面技术方案

3.3.5.3.4.

快照及注意事项

VMware虚拟机快照使用方便，但不应作为备份恢复的方案，快照数量太多，会大大影响虚拟机的性能。建议生产用的虚拟机快照数量为3个。 3.3.5.3.5.

? 桌面存储分配 虚拟桌面存储设计

Storage 需求 OS User Data Page File Log Files Totals ? 网络连接 配置 50G 100G 4G 1G 155G 注意事项 建议使用PCoIP。如有需要串口设备的使用，则须使用RDP协议才能实现。或者使用串口转USB口的设备使用PCoIP协议。

以每个用户150~200Kb 计算，150~200*450=720Mb，建议根据此参数考虑网络带宽来满足要求。 USB设备 UＳＢ读卡器 具体型号 USB读卡器 安全风险 无 View设置 禁用USB，开启白名单，加入USB设备UID和PID UＳＢ打印机 USB打印机 无 禁用USB，开启白名单，加入USB打印机设备号 USB Key USB key 无 禁用USB，开启白名单，加入USB Key设备号 注册U盘 需统计U盘UID，PID 有 禁用USB，开启白名单，加入注册U盘设备号 30

云桌面技术方案

3.3.5.4 瘦客户机终端

3.3.5.4.1. 打印设备 网络打印机 并口打印机 终端系统定制要求 具体型号 网络打印机 并口打印机 打印内容 文档类 文档类 View设置 默认打印机映射 ThinPrint打印机或RDP打印 串口打印机 串口打印机 文档类 ThinPrint打印机或RDP打印 USB打印机 USB打印机 文档类 USB打印机重定向 要求用户登陆后只能使用View Client软件。用户无法打开其他软件和登陆本地系统。目前暂时使用的瘦客户机或PC终端应按照以上终端配置进行系统设置。 3.3.5.4.2.

外设使用的基本原则

所有的USB Storage存储类设备将被禁用，其余类型USB设备（如注册的U盘、ＵＳＢ读卡器、ＵＳＢ打印机、USB key）可以使用。将采用白名单的方式对USB设备进行放行，通用的USB设备，UID和PID一致，可以加入白名单使用。 3.3.5.4.3.

外设的种类及型号

常见的USB的外设有，所有设备均需要经过测试验证。 3.3.5.4.4.

打印

在此桌面环境内可以使用打印机来打印数据。

3.3.5.5 vCenter 服务器配置

操作系统 CPU 内存 网卡 磁盘 数量 主机名 系统优化 Windows 2008 R2 or R2 SP1 64位 8 vCPU 16 G 千兆VMware VMXNet3 C盘100G 2 （1个为冷备，定时复制vCenter虚拟机） viewvc 无特殊需求 31

云桌面技术方案

3.3.5.6 vCenter 数据库配置

数据库的信息如下： 属性 数据库服务器 CPU 内存 数据库产品 数据库名称 身份验证的方法 数据表容量 临时表容量 自动扩展 Transaction Log 容量 恢复模式 vCenter 统计级别 数量 配置 viewdb 8vCPU 16G SQL Server 2008 R2 VCDB Windows/SQL server 200G 50G Yes 2G(max), 10% incresement 简单 2 1 关于如何估算vCenter DB的大小，请参考VMware vCenter Server 4.x Database Sizing Calculator for Microsoft SQL Server或者使用vCenter内置的工具估算DB(需要安装VC之后)。

vCenter必须能够通过ODBC链接到数据库。在vCenter与数据库服务器必需的网络端口是1433。

3.3.5.7 vCenter 集群定义及配置

考虑到此次购买的服务器数量和实际的需求，建立1个群集。同时承担虚拟桌面集群，包含桌面服务器，提供基础架构和桌面资源。和管理服务器集群，负责管理集群的管理服务器资源。

View 桌面 block 集群，包含存放View桌面的物理机：

注：以上所涉及到的服务器的配置和数量仅作为设计中的计算资源的参考，不能作为最终采购服务器数量和型号的依据。

View 管理 block 和集群：

32

集群属性 集群名称 主机列表名 CPU 内存 硬盘 网卡 数量 配置 Cluster 云桌面技术方案

A1、A2、A3、A4、A5、A6、A7、A8、A9、A10，A11,A12 二路十核 256G 300Gx2 1Gx6 10 为了便于管理，所有的群集配置一致，具体属性如下： 所有群集 HA 属性 主机故障 主机监控 缺省的启动顺序 主机隔离响应 接入控制 规格 1/n群集资源预留 Enable Medium Leave Power On Do not prevent VMs from being powered on if they violate availability constraints DRS 3.3.5.7.1.

虚拟机监测灵敏度 虚拟机监控 存储心跳 分布式电源管理 自动化程度 迁移阈值 主机故障类型和检测

N/A N/A 系统默认为2个datastores Disabled Semi Automatic 默认 vSphere HA 群集的首选主机负责检测从属主机的故障。根据检测到的故障类型，在主机上运行的虚拟机可能需要进行故障切换。在 vSphere HA 群集中，检测三种类型的主机故障：

? 主机停止运行（即发生硬件故障）。 33

云桌面技术方案

? 主机与网络隔离（有网络冗余条件下，极少情况发生）。 ? 主机失去与首选主机的网络连接（若ESX主机出现软件故障等）。

首选主机监控群集中从属主机的活跃度。此通信通过每秒交换一次网络检测信号来完成。当首选主机停止从从属主机接收这些检测信号时，它会在声明该主机已出现故障之前检查主机活跃度。首选主机执行的活跃度检查是要确定从属主机是否在与数据存储之一交换检测信号。而且，首选主机还检查主机是否对发送至其管理 IP 地址的 ICMP ping 进行响应。

如果首选主机无法直接与从属主机上的代理进行通信，则该从属主机不会对 ICMP ping 进行响应，并且该代理不会发出被视为已出现故障的检测信号。会在备用主机上重新启动主机的虚拟机。如果此类从属主机与数据存储交换检测信号，则首选主机会假定它处于某个网络分区或隔离网络中，因此会继续监控该主机及其虚拟机。

当主机仍在运行但无法再监视来自管理网络上 vSphere HA 代理的流量时，会发生主机网络隔离。如果主机停止监视此流量，则它会尝试 ping 群集隔离地址。如果仍然失败，主机将声明自己已与网络隔离。首选主机监控在独立主机上运行的虚拟机，如果发现虚拟机的电源已关闭，而且该首选主机负责这些虚拟机，则会重新启动这些虚拟机。注意如果您确保网络基础结构具有足够的冗余度且至少有一个网络路径始终可用，则主机网络隔离应该在极少数情况下才出现。 3.3.5.7.2.

数据存储检测信号

当 vSphere HA 群集中的首选主机无法通过管理网络与从属主机通信时，首选主机将使用数据存储检测信号来确定从属主机是否出现故障，是否位于网络分

区中，或者是否与网络隔离。如果从属主机已停止数据存储检测信号，则认为该从属主机出现故障，并且其虚拟机已在别处重新启动。

vCenter Server 选择一组首选数据存储集用于检测信号。此选择会使可访问检测信号数据存储的主机数最大，并且会将数据存储受同一存储阵列或 NFS 服务器支持的可能性降至最低。

vSphere HA 将在用于数据存储检测信号和保留受保护的虚拟机集的每个数据存储的根目录中创建一个目录，目录名称为 .vSphere-HA。请勿删除或修改存储在此目录中的文件，因为这可能会对操作产生影响。由于多个群集可能使用一个数据存储，因此将针对每个群集创建该目录的子目录。Root 用户拥有这些目录和文件，并且只有 root 用户可以读写这些目录和文件。vSphere HA 使用的磁盘空间取决于多个因素，包括所用的 VMFS 版本以及将数据存储用于信号检测的主机数。使用 vmfs5 时，最大使用量和典型使用量约为 3 MB。34

云桌面技术方案

vSphere HA 使用数据存储增加的开销很小，并且对其他数据存储操作的性能没有影响。 3.3.5.7.3.

“预留的群集资源的百分比”接入控制策略

可以将 vSphere HA 配置为通过预留特定百分比的群集 CPU 和内存资源来执行接入控制，用于从主机故障中进行恢复。使用“预留的群集资源的百分比”接入控制策略，vSphere HA 可确保预留 CPU 和内存资源总量的指定百分比以用于故障切换。 3.3.5.7.4.

计算当前故障切换容量

已打开电源的虚拟机的总资源要求由两个组件组成，即 CPU 和内存。vSphere HA 将计算这些值。

CPU 组件值的计算方法是：加总已打开电源虚拟机的 CPU 预留。如果没有为虚拟机指定 CPU 预留，系统会为其分配一个默认值 256 MHz（可以使用 das.vmcpuminmhz 高级属性更改此值）。

内存组件值的计算方法是：加总每台已打开电源虚拟机的内存预留（以及内存开销）。 计算出主机的 CPU 和内存资源总和，从而得出虚拟机可使用的主机资源总数。这些值包含在主机的根资源池中，而不是主机的总物理资源中。不包括用于虚

拟化目的的资源。只有处于连接状态、未进入维护模式而且没有 vSphere HA 错误的主机才列入计算范畴。先用主机 CPU 资源总数减去总 CPU 资源要求，然后再用这个结果除以主机 CPU 资源总数，从而计算出“当前的 CPU 故障切换容量”。“当前的内存故障切换容量”的计算方式与之相似。

考虑到10台主机的配置一致，允许2台主机出现故障，则应预留20%来进行资源的保证。 3.3.5.7.5.

群集的扩展说明

一个群集内的ESXi 主机平均CPU利用率超过70%，内存平均利用率长期超过85%时，需要考虑向群集内加入新的ESXi 主机。

群集的数据存储初始配置不能完全满足虚拟桌面的需要，当存储使用超过70%时，vCenter发出存储空间不足预警；超过85%时，vCenter发出存储空间不足报错。一旦存储的告警或报错出现时，必须及时增加存储可用空间。防止存储空间被占满，导致驻留该存储的所有虚拟桌面不可用。 3.3.5.7.6.

使用网卡绑定的网络冗余

如果用两个连接到不同物理交换机的网卡组成一个网卡组，则可以提高管理网络的可靠性。因为通过两个网卡（并且通过单独的交换机）连接的服务器具有两条独立的路径来发送35

本文来源：https://www.bwwdw.com/article/ik3f.html