揭秘面向客户PC的XenClient

■ XenClient的架构？

XenClient的基础是针对基于开源Xen的客户端开发的Xen Client Initiative(XCI)。

XenClient架构图

XenClient采用了与Xen相同的架构。因此，Control Domain就相当于Xen的Dom0部分。Control Domain使用Linux作为基础操作系统。但是它具备XenClient的必要管理功能（通常是Linux不具备的）。

而且，XenClient还增加了与XenServer同步的Synchronizer功能和Citrix Receiver远程访问等。

XenClient可以与在XenServer上备份的虚拟机进行同步

客户PC上的虚拟操作系统可以管理XenServer Synchronizer的同步

Synchronizer可以备份，也可以在客户PC上部署虚拟机。虚拟操作系统采用的是VHD格式

除了Control Domain和虚拟操作系统以外，XenClient还运行Service VM和虚拟环境。Service VM与普通的虚拟操作系统环境有所不同，与Control Domain一样是调用管理用的虚拟环境。

XenClient的ServiceVM可以加速与安全相关的VPN网络。Citrix预计将在2011年发布SDK

Citrix还在这次的Synergy 2010大会上公布了反病毒软件厂商McAfee推出针对虚拟环境的防火墙和杀毒软件。如果运行ServiceVM，结合McAfee的软件来管理与虚拟操作系统交换数据的网络通信，在虚拟操作系统中去除病毒，从而确保安全性。

如果引入一系列与XenClient ServiceVM相关的软件，那么即使每个虚拟操作系统环境中没有调用安全软件，也可以确保客户PC环境的安全性。这样既不会浪费CPU资源，也不会花费为数台客户PC导入安全软件所需的成本。

Citrix的ServiceVM只是针对特定软件厂商公开的计划。如果随意谁都能启用ServiceVM的话，安全性恐怕会成为一个大问题。

Intel针对I/O端虚拟化开发的VT-d是客户PC图形方面的一个重要特性。作为一项硬件功能，VT-d可以直接从虚拟操作系统控制IO。在XenClient中，它可以通过使用VT-d直接从虚拟操作系统环境访问GPU。

显卡是通过VT-d直通设备连接的。因为使用直通连接，所以不能共享多个虚拟机，只能同时访问一个虚拟机

需要注意的是，因为虚拟操作系统环境通过VT-d访问GPU，所以不能像服务器虚拟环境那样在一个屏幕上显示多个虚拟操作系统环境的情况。因此，Citrix在虚拟操作系统环境中采用了FlexCast交付远程桌面。而且，只有特定应用窗口才能远程显示，通过PortICA功能可以进行扩展。

在XenClien中，可以使用PortICA在个人操作系统环境中安全迁移运行中的虚拟机。但是在这种情况下，只有安全运行在虚拟机上的应用才能在个人操作系统环境中显示，就像XP Mode的应用模式一样

如果使用了PortICA，那么在商务操作系统环境中安全的商务应用就可以在个人操作系统环境中显示，从而可以运行这些应用。当然，因为这实际上是运行在商务操作系统环境中的，因此完全不受个人操作系统环境的影响。例如，运行在商务操作系统中的最新软件同样可以运行个人操作系统中。

而且，个人虚拟操作系统是不能控制键盘输入和鼠标的，但可以通过Control Domain进行批量管理，这样就可以确保输入环境的安全性。