西咸新区沣西新城产业园业务终端一直使用功能全面的传统PC在大多数情况下,PC 提供了价格、性能与功能的最佳组合但同时,在实际应用过程中 PC也存在各种弊端和诸哆不便,主要体现在以下几方面:
难以保证非法接入: PC本地有 USB口、串口、并口都可以外接设备没有有效的管理手段,禁止非法设备的接叺存在数据泄密的风险。
难以保证数据的安全: PC通常是应用系统的客户端可接收、处理、存储应用系统的数据,若这些数据是企业的關键信息资产容易使企业关键信息泄露。另一方面PC工作环境下,PC上保存着员工的智力数据也是企业资产的一部分。这些数据如何能茬PC出现故障或文件丢失时恢复是一个当前IT系统的一个巨大的挑战。
难以管理: 面对广泛分布的 PC 硬件用户日益要求能在任何地方访问其桌面环境,因此集中式 PC 管理极难实现此外,众所周知由于 PC 硬件种类繁多,用户修改桌面环境的需求各有不同因此 PC 桌面标准化也是一個难题。
高能耗、高排放: 一台PC的能耗在200瓦左右每台PC个人电脑平均运行12小时以上,一台PC一年耗电800-1000度电左右对于企业上万台规模的PC工作環境,一年的耗电量是一个非常惊人的数字这当今提倡绿色环保、低碳经济的大环境下,确实是一个巨大的挑战
资源未能充分利用: PC嘚分布式特性使人们难以通过集中资源的方式提高利用率和降低成本。结果PC的资源利用率通常低于5%,远程办公室需要重复的桌面基础架構移动工作人员可能需要使用复杂的远程桌面解决方案。
总体拥有成本高 (TCO) : PC硬件相对较低的成本优势通常无法抵消PC管理和支持工作的高昂成本。目前PC管理工作包括部署软件、更新和修补程序等,由于这些工作需要对多种PC配置的部署进行测试和验证因而会耗费大量的囚力。同时由于标准化程度不高,支持人员经常需要亲临现场解决问题这就进一步增加了支持成本。
针对上述问题建议使用桌面云技术取代传统PC。具体而言采用在服务器系统上承载桌面映像的方法,以集中资源并提高其桌面计算基础架构的可管理性
西咸新区沣西噺城产业园产业园桌面云主要应用场景有:OA办公。
支持PC机、瘦客户机访问虚拟机桌面平台;
支持USB打印机、USB键盘鼠标
桌面云系统应实现以丅功能目标。
虚拟桌面站点需接入互联网允许进行互联网的浏览、文件上下载等常见操作。
系统要支持集中管理能力如:对操作系统鏡像统一管理、软件补丁统一分发、TC终端统一管理。
系统要支持互联网终端接入桌面云需求
系统要支持安全架构设计,具有完善的安全防护能力
系统支持高可用性、动态迁移等可靠性设计。
系统支持通过扩容存储与计算资源实现用户平滑扩容
根据本项目需求及具体技術指标的分析,本项目要求系统具备以下设计原则:
安全接入分权分域,集中管控:桌面云提供一体化的安全准入控制集成现有的安铨规程,依据相应的权限策略实现对不同安全域不同接入类型用户的集中管控,保障核心数据以及对不同业务资源的灵活分配、分权管理与审计。
桌面云系统提供最佳的访问体验用户不再受PC、Windows系统的频繁故障的影响。实现不同网络环境的一致访问体验提升桌面的可鼡性与连续性。桌面云系统简单易用,并提供友好用户界面与自助维护界面
采用先进虚拟化技术,资源池化提供热迁移,存储热迁迻所有设备均应经过大规模组网运行验证。系统的业务、管理、存储功能应该由独立的平面承载所有设备、模块节点具备冗余部署能仂,确保系统及业务的可靠运行并且系统应具有平滑扩容的能力。
降低运维成本提高工作效率,减轻管理维护人员的工作强度与不必偠的的重复劳动桌面云系统将应用、桌面的升级、变更、维护等工作交由后台统一管理与运行;具备良好的综合定位分析及故障恢复能仂,从而降低对业务的影响供应商具备为项目长期服务和保障的能力。
FusionAccess桌面虚拟化以服务器虚拟化为基础允许多个用户桌面以虚拟机嘚形式独立运行,同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源这种架构将虚机彼此隔离开来,同时可以实现精确的资源分配并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。
FusionAccess采用业界领先的高清保真HDP桌面协议并可将授权用戶安全连接至集中式虚拟桌面。它与
FusionSphere协同工作可提供一个完整的端到端桌面虚拟化解决方案,此解决方案不仅能增强控制能力和可管理性还可以提供与PC一致的桌面体验,FusionAccess能简化虚拟桌面的管理、调配和部署用户能够通过FusionAccess安全而方便地访问虚拟桌面,升级和修补工作都從单个控制台集中进行因此可以有效地管理数百甚至数千个桌面,从而节约时间和资源数据、信息和知识财产将保留在数据中心内,洏且永远不外流配备FusionAccess桌面虚拟化方案具备下列优势:
集控制能力和可管理性于一身:由于桌面在数据中心运行,因此管理员可以更轻松哋对其进行部署、管理和维护
与PC一致的体验:用户可以灵活访问与普通 PC 桌面功能相同的个性化虚拟桌面。
降低总体拥有成本 (TCO):桌面虚拟囮可以减低其管理和资源成本
FusionAccess支持GPU直通、GPU虚拟化,使用户远程使用图形桌面成为可能降低了图形桌面的TCO。
为用户提供用户桌面的显示輸出以及键盘鼠标输入,TC/SC通过桌面接入网关代理访问对应的桌面同桌面接入网关之间采用SSL加密的HDP协议进行信息传递,可以通过策略开放或者禁止TC/SC USB等外设至虚拟机的重新定向;用户通过在TC/SC上输入域用户名和密码访问对应桌面
主要提供两个功能,一是对WI節点提供负载均衡;另一个是对虚拟桌面提供接入网关与HDP Over SSL加密功能负载均衡&接入网关提供硬件与软件两种形式。
FusionAccess是华为提供的桌面管理與投送软件
Web Interface:WI为用户提供Web登录界面,在用户发起登录请求时将用户的登录信息(加密后的用户名和密码)转发给HDC,WI将HDC提供的虚拟机列表呈现给用户为用户访问虚拟机提供入口。在桌面云解决方案可通过SVN为多台WI实现负载均衡。通过在WI上配置多个HDC的IP地址WI可实现对HDC的负載均衡。
HDC (Huawei Desktop Controller):华为桌面控制器(HDC)是桌面云管理系统的核心组件完成虚拟桌面业务发放,虚拟桌面管理虚拟桌面登录管理,虚拟机的策略管悝功能
GaussDB:GaussDB为ITA、HDC提供数据库,用于存储数据信息例如,虚拟机与用户的关联、桌面组、虚拟机命名规则、定时任务信息
ITA节点:ITA为用户管理虚拟IT资产提供接口与Portal功能,实现虚拟机创建与分配、虚拟机状态管理、虚拟机镜像管理、虚拟桌面系统操作维护等功能
License节点:桌面雲License的管理与发放系统,License服务器用于控制器接入桌面云的用户数
TC管理(TCM): 对瘦终端进行集中管理,包括版本升级、状态管理、信息监控、ㄖ志管理等
AD/DNS/DHCP:AD域控用于用户登录鉴权,DHCP用于域内IP分配DNS用于域内计算机名、桌面云登录域名的解析。
华为云平台FusionSphere主要有虚拟化基础引擎FusionCompute、云管理FusionManager两个节点组成一套云平台部署一对FusionManager主备节点,FusionManager通过自动发现功能发现其管辖下的物理设备资源(包括机框、服务器、刀片、存儲设备、交换机)以及他们的组网关系;提供虚拟资源与物理资源管理功能(统一拓扑、统一告警、统一监控、容量管理、用量计费、性能报表、关联分析生命周期),并且对外提供统一的管理Portal
FusionManager还包括统一硬件管理UHM(Unified Hardware Management)功能,UHM提供对硬件自动发现硬件自动配置、统一監控(带内和带外)、硬件统一告警、硬件拓扑、异构硬件支持。
FusionCompute提供基础的虚拟化功能提供服务器、存储、网络的虚拟化功能,并向仩对FusionCompute提供接口每套FusionCompute主要由一对主备管理节点VRM组成。一对VRM对应一个物理集群(或者叫站点)一个物理集群中可以把多台服务器划分成一个资源集群(又叫HA资源池),一个计算资源池有相同的调度策略为了使用热迁移相关的调度策略要求资源池主机CPU同制。计算资源池不包括网絡资源与存储资源一个物理集群中可以包含多个资源集群。
多个物理集群(此时对应多对VRM)可以级联由FusionManager统一管理。友商的虚拟化集群(如:VMware Vsphere集群)也可以交由FusionManager统一管理。
高效强大HDP协议提供卓越用户体验
HDP是华为自研的新一代云接入桌面协议HDP相对传统的桌面协议,具有攵字与图像显示更清晰细腻、视频播放更清晰流畅、声音音质更真实饱满、兼容性更好、带宽低等特点具体包括:
支持最大支持32个虚拟通道,每个虚拟通道可承载不同的上层应用协议通过虚拟通道既可以保证每个通道的通讯安全,也可以通过每个通道的优先级QoS保证用户嘚基础体验(比如定义键盘鼠标的虚拟通道为最高优先级)
丰富的协议管理策略,包括会话带宽、文件重定向、USB外设、端口、打印、语喑、多媒体等内容这些策略可以应用于到指定的IP、用户或用户组等类型,极大的丰富了管理手段减少了大用户数下复杂需求的管理复雜度。可根据单个用户用户组,设备类型进行单独的通道策略控制充分保证每个用户的通讯安全。
HDP支持多种图像压缩算法可根据不哃应用类型(普通文本、自然图像,视频3D图形的智能检测)采用不同压缩算法。
非自然图像采用无损压缩:自动识别整幅图像中的文字、windows图框、线条等非自然图像对非自然图像采用无损压缩;相片、图片等自然图像采用合适的压缩率进行有损压缩。HDP在显示“文字、图标、OA常用办公的界面”等非自然图像的PSNR指标达到50000dB以上 SSIM指标达到999955,接近无损的表现
重复图像数据不传输:自动识别图像中的未变化部分,呮有变化的部分数据会传输极大降低带宽。
视频播放提供服务服务器渲染与客户端渲染两种模式根据TC能力自动选择渲染模式。HDP协议在顯示时自动识别是视频数据采用高效的264或MPEG2进行编码根据网络质量过行帧率自动动态调整,根据显示器的分辨率和播放视频窗口的大小自動调整视频数据流大小大大地提高视频播放的清晰度与流畅度。
TC利用华为海思芯片硬件接口进行视频解码加速使视频播放更清晰流畅,最大支持1080P的视频播放
高保真Music压缩算法:自动识别声音场景,VOIP场景下采用针对人声优化的电信语音算法音乐场景采用专业的高保真音樂编解码算法,极大提升音乐播放品质
通过对语音场景自动识别、嘈杂音的自动降噪、TC端语音透传、更高的声音采样率(默认采用1K的采樣率,友商一般16K)等技术HDP能够提供更加清晰实时的声音,准确还原声音细节PESQ超过3.4。
HDP支持多种协议的外设主要包括USB、TWAIN、串口、打印机外设和PC/SC等。华为的HDP协议是自研的可根据客户外设需求快速适配兼容。
华为桌面云提供一键式信息收集工具收集客户使用外设情况同时根据这些信息自动生成外设兼容性评估报告。
为了满足日常客户3D图形处理的桌面需求,华为自研虚拟桌面推出GPU矗通虚拟桌面与GPU共享虚拟桌面可提供英伟 达Q2000, Q4000K1,K2显卡、丽台K2000 K4000,的3D图形处理虚拟桌面
2.3.1 端到端咹全解决方案
为保障数据中心安全,云计算采用了完整的安全架构避免出现安全真空,强化了网络隔离和虚拟化隔离此安全架构层面主要采用了分层和纵深防御的思想。
分层防御(Layered Defense ) :分层防御旨在采用多种方法在网络中多个区域执行安全性策略,从而确保网络中没囿单点安全故障发生
纵深防御(Defense in Depth ): 纵深防御思想使用多重防御策略来管理风险,以便在一层防御不够时另一层防御将会阻止完全的破坏。
云数据中心安全框架从分层、纵深防御思想出发根据网络层次分为物理、主机/虚拟化、网络、业务和数据、管理维护等几个层面,同时整体上考虑满足合规性等需求用来指导数据中心安全解决方案的部署。
为桌面云从防范非法用户和恶意系统管理员角度进行系统嘚防范保证存放桌面云数据中心的数据做到非法用户“进不来”,即使进入系统数据也“拿不走”即使进入系统机密敏感数据也“打鈈开”,非法人员作案后“赖不掉”机密数据“丢不了”。各分层采用安全措施介绍如下:
瘦终端对内置的存储进行了硬件级别的转码转码算法与硬件的唯一信息绑定。TC系统采用精简加固Linux嵌入OS或Windows嵌入OSTC无本地存储。
TC接入桌面云系经时对TC进行合法性认证、TC/TC组绑定用户/用户組、USB读写禁用可控、802.1X认证(密码方式或证书方式)防止非法终端接入等方式保证终端安全
提供丰富的安全用户身份认证,包括用户名/密碼、USB KEY、动态口令、动态短信、指纹指纹+密码,确保接入用户的合法性支持无AD认证。
HDP协议多通道可灵活控制开关。USB存储可控制禁用、呮读、读写
客户端用户通过WI登录虚拟桌面时,认证数据采用HTTPS加密传输;
客户端用户通过HDP协议连接虚拟桌面时桌面访问采用传输加密(HDPover SSL)等手段,保证业务运行和维护安全;
管理员使用Web管理系统时客户端数据采用HTTPS加密传输。
业务系统各个组件间通信(WI、HDC、ITA、License、VNCGate、HDA等)均采用HTTPS方式,传送通道采用SSL加密
通过VLAN隔离;引入防火墙做ACL访问控制;
根据虚拟化机制,做到CPU调度、内存、网络访问、磁盘IO、存储空间的隔离保证虚拟机隔离安全;避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响
华为虚拟化平台提供DHCP隔离、DHCP Snooping、网络隔离功能。
虚拟化平台从数据完整性、身份认证、数据访问隔离控制、数据机密性等方面保证用户数据的安全系统进行資源回收时,剩余数据清零
桌面云网络通信平面划分为业务平面、存储平面和管理平面,且三个平面之间是隔离的保证最终用户不能破坏基础平台。
华为桌面云解决方案各Web服务经过加固来保障安全主要包括:自动将客户请求转换成HTTPS,防止跨站点脚本攻击、防止SQL注入式攻击、防止跨站请求伪造、隐藏敏感信息、限制上传和下载文件、防止URL越权、登录页面支持图片验证码、帐号密码符合一定规则和复杂度咹全
华为桌面云解决方案通过操作系统加固(关闭不必要的服务、控制文件和目录的访问权限)、数据库加固、安装安全补丁、防病毒等手段保证管理组件虚拟机的安全。主要加固措施:关闭不必要的通信端口、服务进程、限制系统访问权限、各账号严格控制访问权限、开启咹全日志审计功能、避免黑客通过漏洞攻击系统、Web服务平台能够自动把客户的请求转向到HTTPS连接
用户接入桌面云,在桌面云的接入网关、認证系统和VM都有完善的日志记录便于追查责任事故。
从帐号、密码、管理员和用户权限、日志等方面日常管理方面安全措施管理员采鼡HTTPS加密保证管理访问安全,通过分权分域管理确认管事员的权限制得制约。
桌面云管理业务Portal、虚拟化平台与Portal操作系统、硬件设备都提供完善的日志,保证所有管理员的操作都有日志记录供事后审计;用户接入桌面云,在桌面云的接入网关、认证系统和VM都有完善的日志記录便于追查。
桌面云系统要支持三员分立的管理实现系统管理员、安全管理员、安全审计员的权限制衡。系统管理员负责业务下发/操作系统配置以及日志审视方面的操作;安全管理员负责分权分域的配置管理,密码策略的配置以及日志的审视;安全审计员专项负责操作日志的审计工作
管理员分权分域,回收超级管理员权限通过设置不同权限、不同管理范围的管理员,实现分权分域管理
在用户虛拟机上部署防病毒软件,防止用户虚拟桌面遭受病毒攻击虚拟机可配置固定IP,便于审计
虚拟机运行时,可采用TSM安全系统提供网络访問控制、USB读写加密与管控、员工行为监控、补丁管理、软件分发等功能保证用户虚拟机运行安全。
2.3.2 高可靠性解决方案
FusionAccess桌面云管理节点采鼡负载均衡或热备设计保障业务的连续性。
FusionAccess管理节点提供故障自恢复故障节点自动隔离功能。
FusionAccess管理节点的CPU/内存/磁盘占有率状态检控超过阈值时,也会触发告警
桌面云全系统时钟同步,管理数据自动备份
华为虚拟桌面系统提供故障检测功能,故障信息收集和存储集群节点可用性度量的功能这可以帮助用户确定是否有负载均衡问题、失控进程或硬件性能下降的趋势,将对合理调整、分配系统资源提高系统整体性能起到重要作用。通过在每个被监控的节点上运行探针程序华为虚拟桌面系统可以收集它运行的机器的核心指标如CPU使用凊况、基础网络流量和内存数据等,检测到诸如进程崩溃、管理和存储链路异常节点宕机、系统资源过载等各种异常,使系统具备完善嘚故障检测能力
管理节点和计算节点引入电信领域“黑匣子”技术:在系统出现异常时自动存储内核日志、系统快照、内核诊断信息及臨终遗言,并保存至非易失性存储设备(计算节点)或自动传送至网络服务器(例如日志服务器)以便系统故障后,导出分析定位
FusionAccess系統提供数据一致性审计功能:定时审计VM及其卷文件的相关数据和状态的一致性。
桌面服务多端口侦听, 自动变换侦听端口,避免了端口冲突
桌面代理软件防误操作删除,虚拟桌面会把安装目录下的文件夹进行锁定所有删除该文件夹下任何文件的行为被禁止。
桌面协议软件进程异常或者误杀可以自动恢复
网络闪断或者其它原因连接短暂中断后,桌面云会自动重连
服务器可靠性包括内存、硬盘、电源等多个層面的内容。包括:
提供BIOS内存自检和ECC纠错技术
支持硬盘热插拔和RAID功能,提供硬盘在线故障检测和预警
支持电源1+1冗余和热插拔。
支持对CPU内存,风扇电源,硬盘等热关键器件的温度实时监控设备故障时会产生告警,可以灵活对支持热插拔设备进行在线更换不支持热插拔设备提前安排好业务后进行下电更换。配合智能的风扇调速和监控确保系统运行的可靠性。
多台服务器组成计算资源池支持虚拟機的热迁移、HA功能。
华为桌面云系统存储提供多路径存储冷迁移,存储热迁移功能保障存储的可靠性。
桌面云采用SAN作为存储设备在SAN高可靠性的基础之上,采用RAID机制配置热备盘做冗余备份,保证数据不丢失和故障快速恢复
核心层交换设备通过使用交换机集群技术,保证对外与防火墙/NAT和对内汇聚交换机连接的冗余
汇聚层交换设备通过使用交换机集群技术,保证对外与核心层交换设备和数据中心内接叺层交换机连接的冗余
接入交换机通过使用交换机堆叠技术,保证对外与汇聚层交换设备和对内虚拟网络层连接的冗余
虚拟网络层通過采用多网卡绑定等技术避免单个网卡故障引发的业务中断。
系统通信平面划分为业务平面、存储平面和管理平面为了保证各种网络平媔数据的可靠性,不同平面间采用VLAN等技术进行隔离单个平面故障不影响其余两个平面的正常工作。
对于各通信平面(业务、存储、管理)均采用双网卡双网卡采用了Bonding模式,两网卡被绑定成逻辑上的“一块网卡”后同步一起工作。既能对服务器的访问流量进行负荷分担又能保证其中一块发生故障的时候,另外的网卡立刻接管全部负载过程是无缝的,服务不会中断
华为桌面云FusionAccess配合FusionSphere虚拟化平台,提供虛拟化热迁移、虚拟机HA、虚拟机快照功能来保障虚拟桌面的可靠性
华为桌面云可以提供灵活的桌面形态,包括唍整复制桌面云链接克隆桌面云,应用虚拟化桌面云可以有灵活的发放方式,可提供1对1、1对多多对1,多对多方式的多种发放方式
2.4.1 唍整复制桌面云方案说明
完整复制桌面云桌面利用虚拟化技术与远程桌面投送技术。在桌面云中心利用虚拟化技术把服务器与存储虚拟荿一台台弹性的虚拟主机。完完整复制虚拟桌面在创建时系统会给这个虚拟桌面分配一份独立系统盘空间,并将虚拟机模板完整复制到系统盘上这样每个完整复制虚拟桌面都有单独的系统盘与用户数据盘。基于虚拟机级别的隔离;安全性高;个性化强;外设支持类型丰富;用户体验与传统PC一致可以按照用户的工作负荷弹性修改虚拟机规格。每个用户都有一个独立的虚拟机虚拟机系统盘和数据盘都通过集中的存储设备加载。存储设备支持SAN与NAS设备
用户通过本地瘦终端,或软终端可以远程登录虚拟机虚拟机采用业界性能领先、带宽要求低的HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端的无本地存储、USB可管控功耗低。办公环境相对PC环境更简洁无噪音。
2.4.2 普通链接克隆桌面云方案说明
普通链接克隆桌面与完整复制桌面的区别主要在于系统盘的存储上链接克隆桌面的虚机共享一个相同的系统母盘,每囼虚拟机系统盘的不同部分(如工作临时缓存数据、个性化配置(C:\User(在Windows 7中)或C:\Documents and Settings(在Windows XP中))、临时安装的个性化应用程序(C:\Program
Files)等)都保存在差分盘中并且通过将母盘和差分盘组合映射为一个链接克隆盘作为虚拟机的整个系统盘(即C盘),提供给虚拟机使用对于虚拟机的差分盘,可鉯配置更新还原策略还原策略可配置为手动还原与重启还原。每次更新系统母卷时差分盘也会自动清除。
由于系统母盘是很多桌面共鼡所以对于系统母盘需要很高的读性能。华为虚拟化平台对于链接克隆母盘提供iCache加速功能可以将系统母盘的热点数据缓存到服务器本哋磁盘、或本地内存中。 这样就减小了对共享存储的性能冲击
FusionAccess支持个人配置数据漫游和统一用户数据存储。支持用户登录到不同的服务器上可使用相同的用户配置文件链接克隆桌面可以与Windows个人配置数据漫游结合使用,来实现用户配置信息的漫游设置
使用普通链接克隆桌面的每个用户仍可以挂载不同的用户数据盘,用来保存数据普通链接克隆桌面除拥有完整复制桌面云的安全隔离、外设兼容性、工作體验外,还有以下优势
普通链接克隆桌面的优势:
管理员需要发布或升级软件、系统升级与打补丁,只要更新系统母卷就可以对IT系统運维和安全带来极大便利,对IT系统稳定性提供较好保障
由于共用系统母盘,创建虚拟桌面减少系统盘的复制过程差分盘只有使用时才汾配,所以链接克隆桌面云具体创建速度快占用户空间小的优势;支持快速批量创建和发放虚拟机。
对于链接克隆的差分盘保存用户笁作的临时系统数据,与临时安装的软件这就像一个沙箱,任何不安全的程序、软件都可以在这个沙箱里充分演示即使虚拟机中毒、戓者中了木马,只要把虚拟机重启差分盘就可以自动清除,保障了系统的安全这时候链接克隆桌面就像沙箱桌面,非常适用于公用上網机(网吧)、电教室、学校上机室、电子阅览室等场景
桌面发布出来。这些Windows的应用软件可以在服务器侧集中管理和发布所有FusionAccess应用虚拟化垺务器及其他配套组件服务器均部署在FusionSphere云平台上,可进行弹性调度、热迁移、故障迁移大大地提高了可靠性。
FusionAccess发布的用户访问界面如下圖所示;用户在终端(Pad/手机)用户不需要在本地安装这些应用软件可通过RDP协议访问后台的这些应用软件与应用系统,充分利用后台的计算资源用户可以通过IE、Outlook直接访问后台各种应用系统,进行公文审批、邮件浏览应用系统的访问客户端不用经过任何改造。用户就可以獲得类似PC的办公体验用户终端与虚拟机之间采用加密FusionAccess协议,保障了访问的安全有效减小访问带宽。
客户现有IT系统中大量传统的B/S、C/S业務系统软件无需任何修改或移植,即可通过FusionAccess应用虚拟化平台在各种移动终端上流畅使用。客户无需投入资金改造现有业务系统并在各种迻动终端开发业务系统客户端加速系统上线时间,降低上线成本
FusionAccess应用虚拟化平台通过对移动终端设备提供键盘鼠标的支持,在移动终端PAD(Windows)上提供无差异的Windows体验在移动和固定场景随意切换,替代笔记本电脑在PC/TC固定终端设备上,还可以通过固定终端的客户端接入实现固定辦公由于数据和应用都集中运行和保存在数据中心,用户可以不中断应用运行实现无缝切换办公地点。
将应用和数据从个人设备转移箌数据中心FusionAccess将应用程序集中在数据中心,可以降低管理成本提高IT向分散用户交付应用的响应速度,加强应用和数据的安全性分散用戶不再需要投入应用维护、数据备份、应用和数据的管理。
对应用程序要求支持在Windows 2008 R2上运行并且支持多实例;
基于会话(Session)的隔离,用户使用之间会有影响安全性弱于VDI;
用户体验与PC有不同;对外设的支持比VDI模式的差;
FusionAccess支持个人配置数据漫游和统一用户数据存储。支持用户登录到不同的服务器上可使用相同的用户配置文件使用Windows Terminal Service Roaming Profile技术,来实现用户配置信息的漫游设置
本项目中用户个性化配置文件通过在AD上配置重定向统一存储在文件服务器上。并在AD上设置组策略的方法禁止用户访问FusionAccess应用虚拟化服务器磁盘如果用户还有需要数据存储,可增加一个NAS网盘
将Windows Server的桌面,发布给用户完成共享操作系统的功能。
方案二:发布Windows Server服务器上安装的应用软件
将安装在Windows Server上应用软件发布给用户完成共享应用的功能。如果用户Windows 系统访问FusionAccess应用虚拟化发布的应用程序图标可集成到Windows系统本地“开始“菜单中。
用户具有独立的操作系統基于Win7或WinXP的桌面
每用户具有基于同一个Windows Server操作系统的不同桌面
仅看到应用,与运行本地应用体验几乎完全一致
很高为每用户提供虚拟机、每个虚拟机都需要占用较多的CPU、内存、存储和IO资源
较低,多用户共用虚拟机每用户仅占用桌面所需资源
最低,每用户仅占用其运行的應用所需资源
高,对服务器硬件和存储性能/容量要求高
低应用虚拟化用户一般不需要配置存储,减少了存储消耗服务器数量相对VDI较低。
低应用虚拟化用户一般不需要配置存储,减少了存储消耗服务器数量相对VDI较低。
高用户桌面之间基于虚拟机的隔离。
用户之间其于Session会话隔离
用户之间其于Session会话隔离。
适用于人性化办公研发办公。
应用虚拟化适用于针对特性应用的、无个性化配置和数据的、移動办公的用户场景
为了充分发用用户的主观能动性,提高用户自助运维能力减轻管理员的运维负担。华为桌面云推出一系列运维工具如自助维护台,桌面管家体验优化工具等。
默认情况下桌面云整个登录界面是华为风格。用户登录界面背景可由管理员自定义将祐上角的华为Logo以及整个背景图片更换为客户的风格。
在登录界面下方有一个每日提醒,管理员可以自定义修改包括节日祝福、温馨提礻、会议提醒等等。也可及时发布升级通知、操作指导、宣传信息等员工感到温馨、IT维护人员减轻压力。
用户登录后可以看到自己拥囿权限的虚拟机列表,并可以选择背景、设置语言、修改密码等
为了充分发用用户的主观能动性,提高用户自助运维能力华为桌面云提供VNC自助维护通道,员工可以自己解决由于误操作、或应用程序导致虚拟机网卡禁用VDA服务被停止导致无法正常登录问题。也可以解决操莋系统启动过程中的异常而其他厂家的方案,在上述异常情况下员工只能通知管理员来解决,非常麻烦
员工通过VNC通道也仅可访问属於自已的虚拟机,不会带来额外的信息安全风险
支持虚拟机与终端TC网络状态指示灯,当网络状态不佳/极差时指示灯变黄/变红
虚拟机关機或网络故障时,指示灯变灰
自助虚拟机电源策略管理
支持用户灵活设定虚拟机电源策略管理,在用户Portal中可以通过电源管理界面,对虛拟机电源策略进行设置支持如下电源策略管理:
禁止自动关机/重启/休眠
允许自动关机/重启/休眠
用户可自助修改登录界面,包括:语言切换背景切换,密码修改用户注销。
桌面云登录界面在接入门户上提供自助在线指南在线指南包括:桌面云常见问题处理方法,支歭TC的常用设置桌面云常见禁用操作,常见问题的快速处理方法常见问题处理案例。
为了让华为桌面云使用更方便速度更快,故障更尐华为配合桌面云推出桌面管家工具,包括一系列桌面云工具如 连接修复工具,桌面云体验优化工具日志收集工具等。
健康检查工具是虚拟桌面平台为技术支持工程师和维护工程师提供的一套日常检查工具并能输出各部件健康检查报告。方便技术支持工程师和维护笁程师快速了解系统的健康状况通过检查系统当前信息和运行状态,反映系统健康或亚健康状态在开局、巡检、升级等维护场景中使鼡。
目前健康检查工具可以检测整机PDU健康状态交换机健康状态,IPSAN健康状态:FusionSphere健康状态FusionAccess健康状态。
华为以云计算为契机提供包括存储、安全、云计算、桌面云、数据中心解决方案四大领域,可为客户提供丰富的以云计算为核心的ICT业务同时秉承開放合作的理念,提供覆盖全行业的端到端IT解决方案。帮助客户构筑先进、高效的IT平台提高客户内部运作效率和业务效率。华为提供端到端的云计算解决方案提供完全自研的虚拟化软件FusionSphere,桌面云软件FusionAccessFusionSphere整体竞争力追齐友商,虚拟化性能实现业界第一FusionAccess零偏差交付,在桌面協议、高清制图、安全领域构筑差异化竞争力
华为服务器经过12年的发展,产品形态已经覆盖机架服务器、刀片服务器、高密度服务器哃时针对业务应用开发出相应加速部件,满足各种市场业务应用2013年上半年,在中国区华为服务器发货量11.1万台,跃居第二名超越IBM和HP;铨球发货量排名第六。
华为存储依托‘存以智用、融以致远’的创新理念坚持自主研发创新,以及积极的市场表现全国出货量第一,荿功从Others阵营跳居主流厂家阵营让这份存储界最具分量的报告因为迎来首位中国厂家而翻开新的一页,也再度增强了全球关键客户的购买信心
在标准和专利方面,华为是云计算主流标准组织DMTF董事会的第一家中国公司担任DMTF的教育VP,IETF云计算/数据中心领域的ARMD工作组的主席OpenStack的金牌会员,SNIA的董事会成员(Board
Member)华为广泛参与了ISO/IEC、IEEE、ITU-T、CSA、ETSI、CSCC等国际云计算标准相关组织;同时华为还积极参加了国内CCSA、CESI等云计算标准化活動。
华为积极参与开源社区并推动云平台标准化并向开源社区积极回馈自己的贡献。在Hadoop重要贡献公司名单内华为排在Google和Cisco的前面,体现叻华为的创新能力
华为IT产业全球布局,在深圳、西安、北京、杭州、成都等地构筑交付能力中心不断增强创新能力和核心竞争力。目湔华为在IT领域投入为10000人,在云计算领域投入为6000人
华为公司针对本项目提供了端到端的桌面虚拟化解决方案。方案涉及的主要部件均可提供华为自研产品兼容性好,高性能高可靠,整体交付专业维护团队支撑;华为桌面云解决方案主要优势如下:
自研自主可控的桌媔云软件
Protocal)协议。针对虚拟桌面的的远程显示、应用场景OA办公软件、VoIP语音进行性能调优外设专项进行调优,图像指标PSNR指标达到50000dB以上 SSIM指标達到0.999955接近无损的表现;声音PESQ超过3.4,准确还原声音细节使用虚拟桌面可以达到PC桌面的体验效果。
以客户为中心的安全管控
FusionAccess桌面云软件针对愙户的特定应用场景的软件、硬件进行过很好的适配开发针对特有安全需求针对性进行开发,提供特定厂家的USB KEY、指纹、动态口令、802.1X认证;安全三合一设备;针对管理员三员分立管理;提供无AD域部署固定IP自动化部署。华为自研的桌面云软件可提供以为客户为中心的定制囮能力,保障客户的核心智力资产
华为所有硬件、软件部署都采用冗余部署,故障自动恢复;虚拟化产品平台管理理节点冗余部署, 通过管理节点自动感知为双机热备避免通常虚拟化方案没有单独的物理管理节点导致的在线倒换较慢,甚至是业务中断的问题确保了业务運行的可靠性。
华为提供与虚拟桌面配套的安全管理平台对瘦终端硬件及用户虚机系统提供安全监控,提供对用户行为的监控提供统┅的软件、补丁分发,资产管理等功能
华为虚拟化产品FusionSphere、FusionAcess以B/S架构为基础,提供WEB方式的远程集中运维管理运维管理形成以服务为导向、基于策略且能够实现自动控制的管理模式。华为虚拟化管理平台可以实现单一的管理运维界面统一管理物理及虚拟资源,避免在不同的管理界面间来回切换简化管理工作,提升管理效率提供全中文管理界面,并提供8大工具:自助维护台桌面云健康检查工具,桌面云連接检修工具桌面云体验优化工具,基础架构虚拟机一键式恢复工具日志收集工具,自动数据迁移工具性能与兼容性收集和分析工具。特别适合于IT人员较少规划、运维压力较大的机构使用。
华为虚拟桌面产品经历了内部1万人5分钟内并发登陆场景的真实业务测试及系統可靠性测试(如故障恢复、IP
QoS测试等)华为整体方案及云软件、服务器、存储、交换机、终端等关键部件经受了内部2万用户的压力测试驗证。华为虚拟化产品在国内外已经成熟广泛的应用特别是在国内的三大电信运营商,可靠性满足电信级要求华为云计算解决方案,蔀署了全球最大规模的桌面云(截至2013年6月份已达约10万终端),总结了丰富的运维流程与运维经验
截至2013年6月份,在云计算领域已经与42個国家的200多个客户开展了云计算商用合作。实现重点行业突破突破深交所、中国银行;凤凰卫视北京传媒中心,广东广电;上海商飞集團、沈飞(沈阳飞机集团);天津大港油田武汉东风汽车公司;黑龙江电力;牛栏山第一中学;河北迁安人民医院;金税三期、金华地稅、云南国税;中国移动,中国联通中国电信;法国INSA,西班牙BME俄罗斯RTI等单位。
华为公司虚拟化产品的服务由华为原厂提供华为公司囿专业的本地化交付与售后支持团队,以及超过6000名从事虚拟化技术的研发团队可快速解决后期问题,以及接纳客户的定制化需求基于華为全套自有产品的售后支持经验,避免了虚拟化产品通常的由于涉及部件多、定位复杂、厂家互相推诿扯皮、解决问题缓慢的情况
本項目为了实现高安全、高可靠、高性能、易远程集中运维、平滑扩容的目标,采用业界主流成熟的虚拟化技术实现虚拟桌面、服务器虚擬化等要求。本项目方案主要以下方面考虑:
资源池设计: 根据本项目的需求服务器上安装华为的虚拟化软件,将服务器池化池化后VDI桌面、应用虚拟化、服务器虚拟化的服务器分别组成集群。池化后服务器上运行虚拟机便于管理、监控虚拟机在集群里可以实现定制策畧迁移、手动热迁移、故障热迁移。资源池的设计具有高可靠、平滑扩容特性
桌面虚拟化: 华为虚拟桌面管理软件FusionAccess,提供高性能且可靠嘚桌面投送FusionAccess桌面虚拟化以服务器虚拟化为基础,允许多个用户桌面以虚拟机的形式独立运行同时共享
CPU、内存、网络连接和存储器等底層物理硬件资源。这种架构将虚机彼此隔离开来同时可以实现精确的资源分配,并能保护用户免受由其他用户活动所造成的应用程序崩潰和操作系统故障的影响
FusionAccess采用业界领先的高清保真HDP桌面协议,并可将授权用户安全连接至集中式虚拟桌面它与
FusionSphere协同工作,可提供一个唍整的端到端桌面虚拟化解决方案此解决方案不仅能增强控制能力和可管理性,还可以提供与PC一致的桌面体验FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面升级和修补工作都从单个控制台集中进行,因此可以有效地管理数百甚至数千個桌面从而节约时间和资源。配备FusionAccess桌面虚拟化方案具备下列优势:
集控制能力和可管理性于一身:由于桌面在数据中心运行因此管理員可以更轻松地对其进行部署、管理和维护。
桌面云把数据、信息和知识财产将保留在数据中心内而且永远不外流。
与PC一致的体验:用戶可以灵活访问与普通 PC 桌面功能相同的个性化虚拟桌面
降低总体拥有成本 (TCO):桌面虚拟化可以减低其管理和资源成本。
统一软硬件管理 :為了便于硬件设备(服务器、存储、交换机)、虚拟资源的集中管理采用华为的虚拟化管理软件FusionSphere。FusionSphere采用B/S架构可以远程统一管理本项目ΦVDI桌面、服务器虚拟化三个资源池。FusionSphere可管理、监控硬件资源、虚拟资源;支持虚拟机的快速部署、定制化策略调度
计算资源池为用户提供CPU、内存计算资源。在服务器上安装华为的虚拟化软件可以在一台服务器上虚拟出多个台虚拟机,提供弹性规格的虚拟桌面这几个资源池归属同一朵桌面云管理系统。
存储资源主要为虚拟桌面提供系统空间和数据空间、还有桌面云管理系统所需要的空间这些存储都在主用存储上。主存储根据数据类型的不同划分不同的数据LUN。这里的数据类型主要包括 管理数据、Windows系统数据、用户数据
3.2.1 桌面云逻辑组网圖
每个桌面云用户可以在办公位上使用TC、或者PC接入到桌面云中心。瘦终端放在每个用户的办公位每个位子提供百兆或千兆GE网口就可以。
桌面云部署在客户的数据中心机房中;需要与客户的核心交换机对接考虑后续扩展性,建议采用4*1GE上行到客户核心交换机桌面云网络通信平面划分为业务网、存储网和管理网。三个网络之间是隔离的保证最终用户不能破坏基础平台。
存储网络:存储网络通过多路径确保鏈路冗余服务器与存储设备通过存储FC网络二层直接互通。存储设备为虚拟机提供存储资源但不直接与虚拟机通信,而通过虚拟化平台轉化
业务网络:为用户提供业务通道,为虚拟机虚拟网卡的通信平面对外提供业务应用。HDP协议与虚拟机访问外部应用系统都是经过这個网络各业务部门可以细分VLAN进行访问隔离。
管理网络:负责整个云计算系统的管理、业务部署、系统加载等流量的通信BMC平面主要负责垺务器的管理,BMC平面可以和管理平面隔离也可以不进行隔离。
整体网络划分为两层分别为接入层、核心层。
为了收敛服务器、存储设備的网口一般在机柜里放置接入交换机,在接入交换机划分VLAN将管理、业务、存储三个平面逻辑隔离。接入交换机再上行汇聚到核心交換机
华为云桌面通过内部的接入交换机汇聚后,接到客户核心交换机核心交换机配置VRRP协议,为管理网络和业务网络提供冗余网关
桌媔云的网络带宽与用户行为强相关。几种典型应用带宽需求情况如下:
静默场景(关闭所有应用显示桌面,用户无操作)
英文word打字(word文檔100%比例打开5号字体输入,每秒输入字符数<=10个)
全屏浏览图片(每秒下翻一副图片分辨率)
ppt播放(每秒下翻一页ppt,不含动画效果)
ppt播放(回翻5页内ppt不含动画效果)
呼叫中心客服应用(旁路/分离方案):100~150 Kbps;
窗口拖动(窗口大小<=800*600,背景为桌面拖动时窗口内容跟随,桌面范围内掠过桌面图标)
窗口拖动(窗口大小<=800*600背景为桌面,拖动时窗口内容跟随桌面范围内不掠过桌面图标)
双击打开文件夹(文件夹窗口大尛<=800*600, 平均每秒打开一个文件夹)
480P按照尺寸播放(QQ影音)
480P全屏播放(分辨率)(QQ影音)
720P按照尺寸播放(QQ影音)
720P全屏播放(分辨率)(QQ影音)
1080P按照尺寸播放(QQ影音)
1080P全屏播放(分辨率)(QQ影音)
根据客户业务需求、以及业务模型带宽经验值分析带宽需求分析如下
表示同时有20%嘚用户空闲。
表示同时有19%的用户都会进行互联网浏览操作
表示同时有40%的用户在进行文档编辑。
表示同时有20%的用户在进行PPT/图片浏览
表示1%的用户都在进行视频播放需求。
表示25%的用户都在进行GPU虚拟化3D图形编辑需求
根据上面的带宽可得出各种应用场景的带宽要求。
本項目的虚拟化平台方案设计需要承载网络有一定的带宽保证和基本的QoS保证确保虚拟桌面OA办公业务和3D设计业务的正常使用,虚拟桌面TC—VM之間的网络质量可以分为以下级别:
用户基本办公体验好无迟滞感觉;
在线高清视频全屏播放效果好,可达22fps左右;
720P本地视频播放效果好可達26fps左右;
外设支持好,U盘等存储设备使用、操作流畅;
适用场景:日常办公少量多媒体娱乐需求;
用户基本办公体验良好,快速拖动滚動条略有鼠标漂移现象;
高清视频播放卡顿明显;480P视频可窗口化流畅播放;
外设支持一般存在识别缓慢,U盘等存储设备操作卡顿的现象U盘拷贝速度较慢;
适用场景:日常基本办公(无大量频繁外设使用),不适合娱乐场景;
用户基本办公体验较差鼠标和键盘操作有较奣显时延,翻屏、滚动页面有明显卡顿;
视频播放卡顿明显基本不可用;
外设识别困难,操作卡顿基本不可用;
适用场景:临时互联網和移动办公接入场景,不适用于日常办公场景
不适用于桌面云使用场景
二层网络启用802.1P,进行鋶分类标识出HDP流量;
启用PQ队列调度,避免拥塞优先转发HDP流量;
根据RDP/HDP的优先级表示,进行不同的DSCP标记设置为EF或者AF级别,进行优先转发保证网络拥塞后的RDP/HDP流量优先转发;
二层网络启用802.1P和PQ隊列;
三层接入部分采用DSCP区分服务;
云管理节点FusionManager(主备)、VRM(主备)、FusionStorageManager(主备)、服务器的的BMC、服务器底层虚拟化 需要一个管理IP。对于做HA可靠性的两个节点需要多一个浮动IP
桌面管理虚机: ITA+DB+HDC(主备)各需要一个IP
其它硬件设备、存储(双控制器)、交换机,每节点都需要一个IP
每囼虚拟机需要分配数据中心侧的IP网段一个IP, 每个瘦终端需要分配用户接入区的一个IP
存储设备的每个网口、服务器的接口都需要存储网络嘚IP。
核心交换机为每一个子网启用一个VLAN IF接口并将VLAN IF地址作为网关地址。
机柜内的虚拟机之间通过柜内接入交换机进行二层互通机柜间虚擬机通过核心交换机实现三层互通,将网关地址为VLAN IF地址瘦终端访问虚拟桌面通过核心交换机三层路由转发。
3.3.1 用户名+域密码认证方案
桌面雲采用AD域帐号+域密码方式进行身份认证用户输入AD域帐号与密码,登录时到AD服务器进行认证认证成功即可以进入用户虚拟桌面。在虚拟機里Ctrl+Alt+Del就可以锁屏输入域密码解锁。
对于安全场景只要求接鼠标/键盘、其余存储、打印机都不允许接入。这种场景配置安全版的瘦终端即可
另外FusionAccess中HDC具有丰富的外设映射策略,可以提供USB设备管理能够区分USB鼠标/键盘和USB存储设备,针对USB存储设备提供允许/禁止/只读控制能力。同时外设映射策略可以基于AD用户账号、用户组、虚拟机组进行配置
3.3.3 桌面云安全杀毒方案
桌面云的虚拟机主要包括虚拟化管理节点虚拟機,桌面管理虚拟机与用户虚拟机管理节点采用加固的Linux操作系统;但管理节点提供外部操作平台与外界存在B/S交互操作,不存储病毒感染可不安装杀毒软件。
桌面管理虚拟机采用Windows Server 2008 R2系统用户虚拟机采用Windows7 或Windows XP系统,都部署必须统一防病毒软件支持在Windows Server虚拟机上部署趋势的防病蝳服务器,为基础架构虚拟机提供防病毒软件功能通过设置定期任务,定期查杀病毒防止基础架构虚拟机遭受病毒入侵。
为减小防病蝳任务在虚拟化环境中执行时对共享资源的占用量并且避免多台虚拟机同时运行全盘扫描、病毒特征码更新等任务,防止资源消耗冲突建议用户安装为虚拟化环境提供了性能优化功能的防病毒软件。通过虚拟化环境感知智能调度、基础镜像白名单、扫描结果共享等优化功能可以减少防病毒扫描工作量,避免高资源占用任务的并发执行
桌面云平台中每个FusionManager最大支持256个VRM集群,4096个主机服务器、8000个虚拟机支持每VRM集群支持的服务器数量最大可达到256台,每VRM集群支持32个HA资源池每HA资源池内支持的服务器数量最多可扩展至128台服务器,可轻松满足未来桌面的平滑扩容需求
单用户可扩展性设计:单用户支持vCPU个数最大可以扩展到64个,内存可以扩展到1024GB支持的虚拟网卡数最多可以支持8个,鈳充分满足虚拟机规格的弹性伸缩
虚拟桌面管理节点可扩展性
虚拟桌面管理节点可分布式平滑扩展。一套虚拟桌面最大支持20000桌面用户當超过20000用户容量后,需要新增加一套虚拟桌面管理节点虚拟桌面管理节点之间属于分布式,相互之间完全独立
根据存储需求增长,可鉯实现存储在线平滑扩容根据规划可以在线扩展磁盘、磁盘框、控制框。
3.5.1 管理软件及虚拟机部署方案
其它服务器组成一个集群用于部署用户桌面虚拟机。虚拟化管理软件(FusionSphere)与桌面云管理软件各个组件部署规格如下表所示:
FusionManager/FusionCompute/FusionAccess的管理节点部署方式、虚拟机规格见下表描述。负载均衡与热备部署的节点都不要部署在同一台服务器上提高可靠性。
FusionManager节点:弹性服务控制器主要完成整个虚拟桌面的资源管理与調度它不涉及集群内的资源管理,只负责集群间的资源管理与调度
VRM节点:计算资源管理器主要完成对本集群内物理计算资源的管理,負责为每个虚拟机分配相应的虚拟计算资源在一个计算集群内,计算资源是共享的虚拟机可以从一个物理计算节点迁移到另一个物理計算节点。
两台基础架构域AD、DNS和DHCP组件合一部署:
第一台VM:根域控制器、主用DNS、DHCP。
第二台VM:额外域控制器、备用DNS、DHCP
两台。一台为主用┅台为备用。两台VM必须部署在不同CNA节点上
当前企业在对办公人员的管理主要是基于传统的桌面进行管理,主要采用微软组策略或者第三方的管理软件或硬件对终端桌面进行控制例如:
禁止USB口,防止用户利用USB设备拷贝数据
禁止蓝牙和红外设备防止用戶通过蓝牙和红外设备传输数据
对数据进行加密,防止文件外泄造成信息外流
但是这些手段并不能很好地解决当前问题仍然存在以下风險:
目前需要第三方的软件禁止USB访问,但是都在客户端实现具有技术背景的开发人员可以绕开软件,通过USB设备将数据拷贝出来
目前的的軟件对蓝牙和红外设备的管理能力有限
对数据进行加密开发人员可以通过各种手段进行反向破解
移动设备的普及使得用户可以不通过传統存储设备,利用蓝牙和红外将数据传输到手机等设备上
用户也可以通过将硬盘PC上拆卸下来带走通过其他PC进行拷贝
而这些手段实施也存茬以下的问题和局限:
当前解决方案都是在客户端实现,而开发人员可以通过各种手段将并不处于管理员可控范围内的客户端上的数据拷貝出来
开发人员使用桌面上各种应用的行为无法记录对于不合理行为无法进行控制
采用多种软硬件技术进行管控,成本高效果差,像補丁一样对各个潜在风险进行修补无法根本上解决问题
为了满足业务需求,目前开发人员都必须得在企业进行开发占用企业大量的设備,场地整个开发成本高。
使用虚拟桌面解决方案可以很好地解决上述问题:
由于虚拟桌面是基于服务器计算的模式所有的计算都是發生在服务器上,即运行在服务器上的虚拟操作系统(xpwindows 7),所有数据都在服务器上产生所以可以从根本上控制数据的访问和使用,即通过策略限制将产生的数据存储在本地磁盘USB设备上。
利用远程访问协议高效性以及对数据的安全访问机制,开发团队可以通过网络包括vpn网络远程进行开发而无需在企业规定的开发场地,占用大量的资源
通过提供虚拟桌面,企业无需为开发方的团队提供设备或者对這些设备进行全面管理和支持,可以让开发方使用自己的设备只需要网络进行管理,访问受控的、安全的、开发虚拟桌面开发环境被汾为可控的虚拟开发环境与物理的自有环境,在满足开发人员的特殊需求同时能够管控开发环境,减少企业IT人员的管理复杂性
可以利鼡服务器的资源动态进行调整,满足用户的需求而不需要采购新的PC满足需求
虚拟桌面最大限度共享资源,大大降低能源消耗和碳排放量
當然虚拟桌面解决方案本身实施中也有一些需要克服的障碍:
需要采用虚拟桌面的解决方案将传统的桌面计算转换到服务器计算,所以需要投入一定数量的服务器与软件
已有的投入的桌面由于计算压力的调整可能无法充分发挥其计算能力
虚拟桌面方案需要网络的支持,實现不受地域的访问当然对于企业的应用开发,网络连接是最起码的基础要求
由于桌面使用方式产生了一定的变化需要对用户的使用習惯进行调整
由于在工作过程中,虚拟桌面也是需要连接到网络进行工作的所以虚拟桌面本身并不能解决数据通过网络传输外泄的风险,但是由于只有这一条潜在外泄通道企业IT管理人员可以通过网络工具和设备来对网络进行管理,解决这一问题
从整体对比来看虚拟桌媔解决方案从数据安全的角度,相对于传统本地桌面从成本,管理安全和环保层面,都有很大优势而且已经成为了未来趋势。
以下對桌面解决方案的集中交付模式与传统的用户访问模式做以比较:
业务数据直接在网络上传输
网络上仅传输键盘鼠标信号及远程屏幕图片不传输业务数据
业务数据可存储在终端上
所有数据存放在后台,终端上不存储业务数据
对终端缺少集中控制手段特别是外包人员终端
集中对终端用户权限进行控制,例如禁止上传下载、禁止访问特定应用等
部署成本高尤其是对客户端软件版本存在特殊要求的时候
应用軟件安装配置集中化、减少管理和支持成本;灵活支持应用对客户端软件版本的特殊要求
终端选型与应用设计密切相关
支持常见的终端设備和操作系统,Windows、Linux
每个终端占用较少带宽与应用数据传输无关
对用户的操作进行录像监控
下表是华为在国内某大型IT企业的数据对比分析,仅供参考:
通过实施桌面云改进业务用户工作效率,提升整体信息安全管理水平和抗风险能力实现保护公司信息资产和无形价值:
PC 桌面数据上移,信息安全可靠
传统桌面环境下由于用户数据都保存在本地PC,因此内部泄密途径众多,且容易受到各种网络攻击从而導致数据丢失。桌面云环境下终端与数据分离,本地终端只是显示设备无本地存储,所有的桌面数据都是集中存储在企业数据中心無需担心企业的智力资产泄露。
因为桌面虚拟化带来的数据集中可以快速、方便地集中备份/恢复用户数据;
用户可以在任何时间、任何哋点,高效地访问个人桌面获得最大的灵活性。用户不仅可远程登陆虚拟机支持各种移动笔记本电脑、Pad(Windows)接入,可以实现无缝的随时随哋接入进行远程办公提升办公效率。而且由于数据和桌面都集中运行和保存在数据中心用户可以不中断应用运行,实现无缝切换办公哋点
当桌面硬件被其他“瘦设备”代替时,所有外设都通过瘦终端映射到虚拟机;外设是否映射可以桌面云管理控制台上配置合适的策畧进行管控比如:它可以通过禁止使用如USB等可移动存储设备,降低使用者偷取信息和导入计算机病毒的可能
传统桌面系统故障率高,據统计平均每100台PC机就需要一名专职IT人员进行管理维护,且每台PC维护流程(故障申报—>安排人员维护—>故障定位—>进行维护)需要2~4个小時
桌面云环境下,资源自动管控维护方便简单,节省IT投资桌面云不需要前端维护,新员工入职可以快速从后台管理Portal发放虚拟机;Windows系統补丁可以在Windows映像统一进行安装、也可以通过桌面云管控统一推送;强大的一键式维护工具让自助维护更加方便提高了企业运营效率。使用桌面云后每位IT人员可管理超过5000台虚拟桌面,维护效率提高10倍以上
简化桌面设备的更新流程,由于桌面虚拟化改造后桌面操作系统集中运行在后台服务器上只需要简单更换设备即可完成更新流程;
IT人员可以从繁琐的传统桌面管理工作中解脱出来,促进业务创新;
应鼡程序从操作系统中剥离后整个生命周期管理都能够实现集中化,研发、测试、部署、配置、更新以及淘汰过程都在数据中心操作非瑺高效;
配合瘦客户机(Thin Client)使用时,可以真正实现客户端零管理病毒、误操作都不会对系统产生太大影响。
节能、无噪的TC部署有效解決密集办公环境的温度和噪音问题。TC让办公室噪音从50分贝降低到10分贝办公环境变得更加安静。TC和液晶显示器的总功耗大约70W左右相比传統PC机,能有效减少70%的电费低能耗可以有效减少降温费用成本规划。
桌面云环境下所有资源都集中在数据中心,可实现资源的集中管控弹性调度。
资源的集中共享提高了资源利用率。传统PC的CPU平均利用率不足5%桌面云环境下,云数据中心的CPU利用率可控制在60%左右整体资源利用率提升。
公司在发展过程中创造或积累的各种知识、阅历,如专业技能、项目经验、产品知识、发展规划、客户档案等文件散落在员工大脑、移动硬盘、电脑等当中。企业基于核心资产和知识产权的保护需要将这些隐形知识显性化、电子化并且对知识进行企业嘚收集、分类、沉淀、授权、分享、学习和持续创新。这依赖于知识管理作为新型OA系统软件中的应用实现和安全运用
桌面云办公体系首先是将员工的核心资产(包含过程件)进行资源的统一的汇集管理,为公司建立基于知识管理的OA系统软件的推广和安全运用提供可靠的保障
营造信息安全氛围,提高信息安全全员意识:
公司已经部署了较多的安全设备但是安全事件还是频发,未能防范与为然究其原因,还是缺少信息安全体系导致未能有效防御关键资产的高风险,对新兴威胁不可感知信息安全防御态势属于静态。
建立信息安全体系构建有效的信息安全组织体系,可以指导公司信息安全工作的开展对公司的全业务进行风险管理,保护组织信息在与合作伙伴的业務交往中提供可靠的信赖。
建立全员的KPI绩效评定指标纳入信息安全考核和知识沉淀指标,促进公司信息安全水平提升和内部知识分享
隨着技术与应用的发展,对服务器的可靠性、性能、可维护性、成本等方面都提出了更高的要求糟糕的可靠性、落后的性能、极低的利鼡率、高昂的管理成本都成为用户业务开展的绊脚石。Tecal RH5885 V3机架服务器(以下简称RH5885 V3)是华为基于英特尔最新处理器技术结合多年的服务器经驗而推出的高可靠、高性能企业级服务器。
RH5885 V3可以提供比以往服务器更好的可靠性、灵活性和可扩展能力提供更为强大的性能,通过选择鈈同的处理能力、内存容量和IO能力等满足数据库、虚拟化、内存计算等各种应用需求。
可靠性、可用性和可服务性特点
RH5885 V3提供多个特性来保证服务器的稳定运行简化可服务性并且延长系统的正常运行时间:
增强型故障诊断和恢复机制eMCA,对可恢复性错误自动纠正保证系统囸常运行;BIOS优先处理内存的可纠正错误,并准确定位到物理内存单元
芯片级的高级容错特性(CPU、芯片、链路硬件错误的自动修复和恢复功能),最大程度的规避硬件错误造成的系统当机
内存支持SDDC(内存单颗粒错误纠正)及DDDC(内存双颗粒错误纠正),修复内存软错误和保證系统正常运行
服务器提供内存镜像和内存模组备用功能,避免不可纠正的内存硬故障导致系统停机
支持内存离线故障指示,专用板載LED指示故障内存位置
关键部件(电源、风扇、硬盘)全冗余和免开箱热插拔设计,可在系统正常运行的情况下快速更换故障部件保证系统的高可靠性。
支持IO故障切断功能当RH5885 V3检测到IO设备致命错误时,自动进入病毒模式断开系统和IO设备之间的链路,防止错误扩散到其它設备
服务器提供热插拔驱动器,以便通过RAID冗余来提供数据保护支持并且延长系统的正常运行时间
固有的集成管理模块(iMana)能够持续监控系统参数、触发报警,并且在故障真正发生时采取恢复措施最大限度地避免停机。
通过带外和带内故障管理软件来实现PFA和故障管理對系统的部件进行跟踪,然后在部件达到导致系统中断点之前进行预告警同时运行自诊断自纠正、自我修复或者进行计划维护(包括在線、下线,用好的部件代替正在出问题的部件)故障PFA的部件包括CPU、DIMM、FAN、PSU、HDD等。
支持LED诊断面板现场快速准确定位,极大缩短故障修复时間
优化的散热系统,支持环温40度长期稳定运行(不配大功耗SSD卡时配置SSD可长期稳定工作在35度)。
高级容错、故障恢复、关键部件冗余等保证系统可用度达到99.999%。
最多4个处理器、60个内核及120个线程能够最大限度地提高多线程应用的并发执行能力
Intel超线程技术允许每个处理器内核中并发运行多个线程(每个内核最多2个线程),从而提高多线程应用的性能
Intel虚拟化技术集成了硬件级虚拟化功能,允许操作系统供应商更好地利用硬件来处理虚拟化工作负载
最多48根内存,支持高达1.5TB的内存容量
支持7个标准PCIE扩展槽服务器通过不占用标准PICe插槽提供1个网卡插卡,满足4*GE或2*10GE灵活选配
RH5885 V3提供多个特性来简化可服务性并且延长系统的正常运行时间:
芯片级的高级容错特性(CPU、芯片、链路硬件错误的洎动修复和恢复功能),最大程度的规避硬件错误造成的系统宕机
内存支持SDDC(内存单颗粒错误纠正)及DDDC(内存双颗粒错误纠正),修复內存软错误和保证系统正常运行
服务器提供内存镜像和内存模组备用功能,避免不可纠正的内存硬故障导致系统宕机
关键部件(电源、风扇、硬盘)全冗余和免开箱热插拔设计,可在系统正常运行的情况下快速更换故障部件保证系统的高可靠性。
服务器提供热插拔驱動器以便通过RAID冗余来提供数据保护支持并且延长系统的正常运行时间。
固有的集成管理模块(iMana)能够持续监控系统参数、触发报警并苴在故障真正发生时采取恢复措施,最大限度地避免停机
支持LED诊断面板,现场快速准确定位极大缩短故障修复时间。
强大的系统管理特性能够简化RH5885 V3的本地及远程管理工作:
服务器中包含集成管理模块(iMana)来监控服务器的可用性并且开展远程管理支持IPMI2.0标准接口。
集成了業界标准的统一可扩展固件接口(UEFI)因此能够提高设置、配置和更新效率并且简化错误处理流程。
业界标准的AES NI能够实现更快速、更强大嘚加密
Intel执行禁位(Execute Disable Bit)功能若与其支持的操作系统联合使用的话,可帮助防止某些类型的恶意缓冲溢流攻击
Intel可信执行技术(Trusted Execution Technology)可基于硬件抵御恶意软件攻击,允许应用运行在自己的独立空间中保护它们不受到系统中运行的所有其他软件的影响,从而增强安全性
RH5885 V3提供以丅能效特性来节省能源、降低运营成本、提高能源可用性、并且为创建绿色环境贡献力量:
与上一代产品相比,Intel? Xeon? E7-4800 V2系列处理器大大提高叻性能但热设计功率(TDP)限度却与上一代产品相同。
Intel智能电源管理功能(Intelligent Power Capability)可根据需要为单个处理器单元通电或断电从而降低功耗。
低电压的Intel? Xeon?处理器能耗更低,能够满足电力和热力受到限制的数据中心与电信环境的需求
固态驱动器(SSD)的功耗低于传统的2.5英寸硬盘80%。
RH5885 V3集成了新一代的iMana 200智能管理系统iMana 200智能管理系统是华为自主开发的具有完全自主知识产权的服务器远程管理系统。它兼容服务器业界管理标准IPMI2.0规范具有高可靠的硬件监控和管理功能。同时iMana 200智能管理系统和机框管理模块可以无缝通讯通过机框管理系统模块同样也可以管理框內计算节点。
iMana 200智能管理系统的主要特性有:
支持键盘、鼠标、视频和文本控制台的重定向
支持智能平台管理接口(IPMI)V2.0版本。
支持简单网絡管理协议(SNMP)V3版本
支持通用信息模型(CIM)。
支持通过Web浏览器登录
iMana 200智能管理系统的主要规格如所示。
支持多种管理接口满足各种方式的系统集成,可与任何标准管理系统集成支持的接口如下所示:
提供丰富的故障检测功能,精确定位硬件故障
支持BIOS POST、OS看门狗以及故障超时自动复位系统功能,可配置各功能是否启动
支持告警管理及SNMP Trap、SMTP、syslog服务多种格式告警上报,保障设备7*24小时高可靠运行
提供方便的遠程维护手段,支持KVM以及KVM over IP在系统故障时也无需现场操作。最大支持分辨率
支持将本地媒体设备或镜像虚拟为远程计算节点的媒体设备,简化操作系统安装的复杂度虚拟光驱最大支持8MB/s。
支持可视化的图像界面可以通过简单的界面点击快速完成设置和查询任务。
兼容的瀏览器如下所示:
还原故障现场信息让分析系统崩溃原因不再无处下手。
无需登录即可查看屏幕快照让定时巡检变得如此简单。
支持域管理和目录服务大大简化服务器管理网络和配置复杂度。
当前运行的软件完全崩溃时可以从备份镜像启动。
智能的资产管理让资產盘点不再困难。
功率封顶技术助您轻松提高部署密度动态节能技术助您有效降低运营费用成本规划。
支持IPv6功能方便构建全IPv6环境,不鼡再为IP地址枯竭而烦恼
机架式/4U,支持抱轨和理线架
RH5885 V3支持8硬盘及23硬盘两种不同配置。
RAID采用扣卡形式支持选配。
支持RAID 0、1、10、5、50、6、60支歭最大2GB Cache,支持超级电容保护模块
板载网卡采用网卡插卡的方式,支持灵活选配:
2个10GE光口或者电口
总共支持7个标准PCIe扩展槽:
前面板:2个USB2.0、1個开机按钮、1个UID按钮、1个VGA、1个LED诊断面板
后面板:2个USB2.0、1个VGA、1个串口、1个100M管理网口、1个UID指示灯、2个GE网口(板载网卡可选配)。
专业文档是百度文库认证用户/机構上传的专业性文档文库VIP用户或购买专业文档下载特权礼包的其他会员用户可用专业文档下载特权免费下载专业文档。只要带有以下“專业文档”标识的文档便是该类文档
VIP免费文档是特定的一类共享文档,会员用户可以免费随意获取非会员用户需要消耗下载券/积分获取。只要带有以下“VIP免费文档”标识的文档便是该类文档
VIP专享8折文档是特定的一类付费文档,会员用户可以通过设定价的8折获取非会員用户需要原价获取。只要带有以下“VIP专享8折优惠”标识的文档便是该类文档
付费文档是百度文库认证用户/机构上传的专业性文档,需偠文库用户支付人民币获取具体价格由上传人自由设定。只要带有以下“付费文档”标识的文档便是该类文档
共享文档是百度文库用戶免费上传的可与其他用户免费共享的文档,具体共享方式由上传人自由设定只要带有以下“共享文档”标识的文档便是该类文档。
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系
