【IT168 服务器频道】在世界经济加速一体化和金融日益全球化的今天，我国各大商业银行的触角也逐渐向海外延展，纷纷开设新的海外机构，参股乃至直接收购一些国外银行，加快拓展全球金融市场。随着业务需求的不断发展，银行的数据不断的整合由分散走向集中，应用不断变化更新，所有的一切都在向银行的IT基础架构提出了挑战。

　　目前国内银行的IT基础架构仍然属于传统的静态体系产物，由于很多业务系统都需要满足大数据量传输和高响应速度的特点，系统多数采用传统的C/S架构,特别是各银行的核心业务系统，几乎无一例外的都采用C/S架构。这种模式存在许多的固有弊端：

　　" 维护管理工作量巨大。由于维护和管理的对象面太广（整个用户群的PC），而且客户端大都安装配置复杂，因此缺少有效的集中管理手段，无法从根本上降低总体的管理维护工作量。

　　" 应用效率有待提高。目前用户IT环境越来越复杂，业务对IT系统依赖性越来越高，IT系统对员工的要求也越来越高，而系统复杂性使得应用效率降低，员工与其PC机逐渐绑定在一起而失去了灵活性。应用效率不仅包括因计算机性能和网络速度影响的发生一笔业务的时间，还包括业务人员为适应IT系统而完成业务操作的综合时间和人力成本。以及IT系统是否足够灵活，能否有效避免系统故障带来的业务中断等等。

　　" 安全性问题。传统的部署模式，企业内部分散了成千上万的应用客户端软件，模块的授权安装和使用难于管理；同时用户和后台服务器之间要交互大量的数据，这些企业数据会在大范围内传输，增加了数据被截获和窃取的风险；大量的PC机增加了病毒感染的风险，会直接破坏企业系统运行。

　　" 网络带宽的投入，传统部署模式需要用户访问应用时有一定的带宽保证，才可以顺畅地使用应用系统，随着企业各个应用系统的实施和推广，在网络带宽上的投入会越来越大。而远程访问受网络的影响，依然无法有效解决。

　　" 项目实施工期和整体费用的增加，由于实施新系统对用户PC机配置和网络均有一定要求，因此对于达不到要求的用户，如果不进行改造升级，则不能顺利进行新系统实施，这从项目实施的角度来看，不仅增加了用户投入的整体成本，而且使得项目的实施周期被迫延长。

　　随着应用虚拟化技术日益成熟，逐渐被业界认可，并被认为可以解决传统IT架构所存在的问题。在应用虚拟化领域，主要有Citrix的Presentation Server/XenAPP、VMware的Virtual Desktop Infrastructure、Microsoft的Terminal Server和 Application Virtualization。其中Citrix公司的Presentation Server由于在此领域长期的技术积淀，特别是由于其强大的应用管理功能和低带宽通讯特性，以及其中间件功能使客户端、服务器操作系统可以跨平台使用，使得Citrix在应用虚拟化领域还是保持着一定的技术和客户群体优势。下面结合一个具体的案例对Citrix提供的应用虚拟化交付平台作一个简要的介绍：

　　应用交付平台总体架构

　　通过Citrix集中部署和发布应用客户端软件，整个的后台应用服务器架构没有变化，只是增加了Citrix服务器群组和安全访问网关Access Gateway，如下图所示：

　　应用客户端软件安装在Citrix服务器（XenApp）上，而所有访问用户使用终端设备均无需安装应用客户端软件。客户端设备只需通过IE就可以运行应用系统，多用户同时登陆时，由XenApp管理和运行应用客户端软件的多进程访问，并控制向不同用户（组）实行不同的权限策略。

　　同时所有客户端经过安全网关Access Gateway接入，可以实现SSL加密，对传输的数据进行加密保护，并且配合XenApp的智能访问，可以实现用户的访问场景识别，能够更加严格地限制用户对后台资源的访问。

　　应用交付平台功能简介

　　XenApp为用户提供了基于服务器的计算模式（Server-based Computing），实现了虚拟化应用发布。其技术核心是ICA协议，ICA协议连接了运行在XENAPP服务器上的应用进程和远端客户端设备，通过ICA的32个虚拟通道（包括鼠标、键盘、图像、声音、端口、打印等等），运行在中心服务器上的应用进程的输入输出数据重新定向到远端客户端机器的输入输出设备上，因此虽然应用客户端软件并没有运行在客户端设备上，但是用户使用起来和在客户端安装运行客户端软件相比，没有感觉任何操作上的改变。

　　XenApp虚拟化应用发布原理如下图所示：

　　由于ICA协议是一种高效率的数据交换协议，同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息，因此每一个连接只占用十几K的网络带宽。

　　这种模式使得企业应用部署架构上发生变化，从一种分布式部署变成了大集中的应用部署，因而带来了应用访问、性能及安全等各个方面的提升。

　　传统模式应用分布在企业的所有客户端上，其性能取决于三个因素：服务器、客户机和端到端的网络；其维护和安全管理范围需要涵盖企业的每一台终端设备和跨广域网段。

　　Citrix集中部署模式只将企业应用部署在数据中心，由于客户端和服务器位于同一局域网内，因而应用性能和安全性得到提升，用户可以通过任意终端和任意网络进行访问数据中心，非常方便；而企业只需对局域网内的数据中心进行管理，实现了管理维护的简化。

　　案例

　　2006年底，美银亚洲被建行成功并购更名为建行亚洲股份有限公司（简称建行亚洲），作为收购行动的直接结果，建行面临一项迫在眉睫的挑战，建行亚洲原有的美国银行业务系统终止使用，其业务历史数据要求从原系统中迁移出来，并将使用建行的业务进行业务处理。作为建行亚洲主要业务之一的资金业务后台处理，也将使用建行现有的OPICS系统来替代。由于OPICS系统属于标准的二层C/S架构，服务器以及数据存放在北京，而客户端要部署在香港及澳门等地。为此需要寻找一种标准化的、易于管理的远程接入平台来给建行数据中心和建行亚洲分支机构之间提供应用接入。由于客户信息和金融数据的高度敏感性，同时对数据传输过程中的安全性、用户权限控制都有极高的要求，要求平台提供有效、安全的接入策略。

　　为应对以上挑战，建行就市场的各种技术和产品进行了深入的调研，经多方咨询和测试对比，最后选定基于Citrix Presentation Server架构设计的解决方案。这一解决方案确保建行亚洲的所有用户都能以安全的方式，从内部接入关键业务应用。

　　解决方案概述

　　建行急需应对的挑战是让新增的来自所建行亚洲的员工能利用现有硬件设备和有限的网络环境接入关键业务应用和办公生产型应用。

　　建行实施了一套包含多个群组的Citrix Presentation Server环境，以满足不同用户的接入情景和业务持续性的需求。若要把灾难情况下的业务中断影响降到最低，建行需要实时切换到灾难恢复站点。建行安排了数据存储和应用数据库的复制，以便灾难发生时及时进行立即切换。

　　处于活动状态的两个群组生产环境群组和灾难恢复环境群组，每一个都有独立的Zone，Citrix Presentation Server分别放置在生产数据中心和灾难恢复数据中心。

　　活动的生产环境群组放置在生产数据中心。它包含核心Citrix Presentation Server和Microsoft架构组件，为用户提供关键业务应用的接入。

　　活动的灾难恢复环境群组放置在灾难恢复数据中心。它由规模缩减的Citrix Presentation Server群组组成，仅在生产环境群组无法访问时，为用户提供关键业务应用的接入。

　　为了确定所需的服务器数量，在所针对的硬件平台和相应的应用上做了伸缩性测试。从应用用户中捕获了选定的工作流数量，开发了运行在负载测试软件上的自动脚本。

　　下图为Citrix Presentation Server群组架构的总体概况：

　　以下内容应用于生产环境群组：

　　设置一台Web Interface Server，为用户提供已发布应用的接入。客户端到Web Interface Server的流量进行了加密并通过端口443传递。

　　设置一台终端服务授权服务器的服务器存放可用许可。

　　Citrix License Server（许可授权服务器）与终端服务授权服务器共用。

　　OPICS数据存放于一台数据库服务器。

　　建立一个全规模的Citrix Presentation Server群组用于存放已发布的关键业务应用。

　　所有用于生产环境的Citrix Presentation Server架构和Microsoft架构组件都存放于建行数据中心。

　　以下内容应用于灾难恢复环境群组：

　　设置单独一台Web Interface Server，为用户提供已发布应用的接入。

　　建立一个规模缩减的Citrix Presentation Server群组用于存放已发布的关键业务应用。

　　数据库服务器实现与生产数据中心的数据实时复制。

　　Citrix License Server和Microsoft终端服务授权服务器共用一台服务器。

　　所有用于灾难恢复环境的Citrix Presentation Server架构和Microsoft架构组件都存放在建行灾难恢复数据中心。

　　同时也使用几种Citrix Presentation Server组件来管理群组和服务器。Installation Manager被用于打包和分发应用。Resource Manager安装在生产环境，用于实时监控生产环境群组和服务器，提供报警，并收集历史摘要数据。

　　用户利用Windows 32位的ICA Web客户端版本，或者通过Web Interface接入生产型应用。当灾难发生时，可通过位于灾难恢复站点的Web Interface接入已发布的应用。

　　总结

　　根据业务的实际需求，建行利用Citrix恰当地部署了一个接入平台，建立了具有冗余的Citrix Presentation Server环境，使得建行能完成对所收购公司业务的整合，原有用户和新增用户都能利用现有硬件资源，及时接入关键业务应用。

　　总而言之，经过部分国内商业银行的实践证明，应用虚拟化技术能够提供全面的解决方案应对IT接入的挑战。这些解决方案能够整合进一个接入平台，跨过系统应用架构模式的限制，连接信息需求端到信息供应端的所有点，实现整个机构端到端的延伸。