FTI Cloud Desktop được triển khai tại các Trung tâm dữ liệu của FPT tại Hà Nội và Hồ Chí Minh. Hệ thống dựa trên kiến trúc giải pháp VMware Horizon 7, VMware vSphere, vSAN; kết hợp với hệ thống web portal, FTI VPN và bảo mật xác thực 2 lớp MFA OTP.
Hình 1: Sơ đồ tổng quan
Hình 2: Sơ đồ đấu nối vật lý
Hệ thống được thiết kế đảm bảo độ tin cậy, bảo mật, ngăn chặn thất thoát dữ liệu, tiện lợi bằng khả năng truy cập đa nền tảng trên laptop, smartphone, tablet, …
Lựa chọn giải pháp, công nghệ
Hệ thống sử dụng các giải pháp của VMware, Microsoft và OpenSource.
-
Server sử dụng phần cứng dựa trên kiến trúc x86.
-
Lớp mạng sử dụng SDN của Cisco ACI.
-
VPN gateway sử dụng OpenVPN.
-
Lớp ảo hóa sử dụng VMware vSphere.
-
Phần lưu trữ sử dụng VMware vSAN với ổ cứng SSD.
-
Lớp quản lý sử dụng VMware vCenter.
-
Lớp giao diện và điều phối sử dụng VMware Horizon View.
-
Quản lý thông tin người dùng và xác thực tập trung sử dụng Microsoft Active Directory.
-
Cơ sở dữ liệu sử dụng Microsoft SQL Server 2016 Always On, cho phép khả năng dự phòng Active – Active.
-
Sử dụng công nghệ VMware link clone, Instant clone cho phép nhiều máy người dùng được ánh xạ từ 1 VM Image, từ đó giúp khởi tạo nhanh chóng và tối ưu phần ổ cứng Hệ điều hành.
Các thành phần của hệ thống
Hình 2: Sơ đồ chi tiết
-
Horizon Client: là các thiết bị đầu cuối (Windows, Linux, Mac PC, Laptop, Thin Client, Tablet, Mobile …) được cài đặt phần mềm Horizon client cho phép người dùng kết nối và tương tác với máy tính ảo (Cloud Desktop).
-
VPN Gateway: cung cấp kết nối VPN client-to-site cho thiết bị đầu của người dùng, được xác thực 2 lớp (MFA) bằng mật khẩu và OTP.
-
Unified Access Gateway: UAG hoạt động như một cổng an toàn cho người dùng muốn truy cập các ứng dụng và cloud desktop từ Internet. Unified Access Gateway đặt trong khu vực DMZ, giảm thiểu khả năng tấn công vào bên trong hệ thống. Unified Access Gateway kết hợp cùng với Connection Server và Active Directory thực hiện xác thực cho người dùng.
-
Connection Server: là thành phần quan trọng, lưu thông tin cấu hình của các cloud desktop tương ứng với tài khoản người dùng và quyền truy cập. Nó còn có nhiệm vụ:
-
Hướng người dùng đến đúng các ứng dụng, nhóm cloud desktop, ví dụ như nhóm cloud desktop cho Nhân sự, Tài chính, Kế toán, BGĐ, …
-
Quản lý các phiên ứng dụng và remote desktop.
-
Thiết lập kết nối an toàn giữa người dùng, cloud desktop và ứng dụng.
-
Kích hoạt SSO (single sign-on).
-
Thiết lập và kích hoạt các chính sách. Người dùng chỉ có thể truy cập các tài nguyên mà họ được phép.
-
Connection Server được triển khai thành ít nhất 02 nodes nhằm đảm bảo hiệu năng và khả năng dự phòng.
-
-
Horizon Agent: được cài đặt trên cloud desktop. Khi người dùng được xác thực thành công, Horizon client sẽ khởi tạo kết nối đến Horizon Agent thông qua các giao thức như PCoIP, VMware Blast. Các bước này hoàn toàn tự động, người dùng không cần thực hiện bất kỳ thao tác gì.
-
Horizon Administrator: ứng dụng web cho phép admin cấu hình Connection Server. Thực hiện triển khai, quản lý các ứng dụng, cloud desktop, kiểm soát xác thực người dùng. Horizon Administrator được cài đặt sẵn trong Connection Server.
-
View Composer: thành phần quản lý và cấp phát cho phép user dùng chung 1 OS image, giúp tối ưu lên đến 90% ổ cứng cho OS.
-
Active Directory: gồm một cặp máy chủ Windows Server, trong đó một máy chủ đóng vai trò Primary Domain Controller (PDC) quản lý toàn bộ domain. Máy chủ còn lại đóng vai trò Backup Domain controller (BDC).
-
Máy ảo người dùng (cloud desktop): được ảo hoá bởi VMware ESXi cluster. Vùng này được cấu hình hỗ trợ fail-over, đảm bảo khả năng dự phòng.
-
DNS (Domain Name Service): hệ thống phân giải tên miền.
-
DHCP (Dynamic Host Configuration Protocol): hệ thống cấp phát IP tự động cho các cloud desktop.
Giao thức hiển thị (Display Protocol)
Hệ thống FTI Cloud Desktop hỗ trợ đầy đủ các các giao thức hiển thị trên client từ nâng cao đến truyền thống, bao gồm: VMware Blast Extreme, PCoIP (PC-over-IP), hoặc Microsoft RDP (Remote Desktop Protocol).
VMware Blast Extreme
Blast Extreme là giao thức do VMware tự phát triển tối ưu cho điện toán đám mây dựa trên giao thức H264. Blast Extreme chỉ truyền những điểm ảnh thay đổi từ cloud desktop đến người dùng giúp giảm băng thông, giảm tài nguyên xử lý, đặc biệt trên các thiết bị như smartphone, tablet giúp tiết kiệm pin. Nó cũng tự động tính toán và điều chỉnh theo điều kiện của hạ tầng mạng, tăng trải nghiệm của người dùng.
Blast Extreme còn hỗ trợ rất nhiều tính năng:
-
Bảo mật với Advanced Encryption Standard (AES) 128-bit hoặc 256-bit.
-
Virtual Printing.
-
Điều hướng cho Serial port, scanner.
-
Hỗ trợ hiển thị 32 bit màu.
-
Hỗ trợ video-audio thời gian thực.
-
Hỗ trợ hiển thị lên tới 3 màn hình 4K.
-
Hỗ trợ xem video lên đến 1080p (Full HD)
-
Hỗ trợ hiển thị hình ảnh 3D.
PCoIP
PCoIP là giao thức phổ biến nhất, được hỗ trợ bởi nhiều hãng, nhiều thiết bị. Giao thức được phát triển để tối ưu việc hiển thị hình ảnh với máy tính từ xa, giảm lưu lượng truyền tải.
PCoIP hỗ trợ bảo mật với AES 128-bit hoặc 256-bit, nó cũng tự động tính toán và đáp ứng theo điều kiện hạ tầng mạng, hỗ trợ hiển thị 3D.
Microsoft RDP (Remote Desktop Protocol)
Remote Desktop Protocol là giao thức quen thuộc cho phép kết nối đến máy tính từ xa. RDP hỗ trợ mã hóa 128 bit, không hỗ trợ các ứng dụng chia sẻ (published applications), kết xuất 3D (3D rendering).