深信服桌面云方案建议书

上传人:gbs****77 文档编号:12955801 上传时间:2020-06-04 格式:DOCX 页数:53 大小:17.07MB
返回 下载 相关 举报
深信服桌面云方案建议书_第1页
第1页 / 共53页
深信服桌面云方案建议书_第2页
第2页 / 共53页
深信服桌面云方案建议书_第3页
第3页 / 共53页
点击查看更多>>
资源描述
深信服桌面云方案建议书(颠覆传统,让桌面IT更高效、更安全)201X年X月深信服科技有限公司 深信服桌面云方案建议书 文档密级:公开目 录第1章IT发展趋势分析1第2章桌面云方案概述12.1业务挑战与需求12.1.1信息安全风险大12.1.2高昂的运营成本22.1.3桌面无法移动化22.2桌面云:云计算之旅第一步3第3章深信服桌面云解决方案33.1方案设计原则33.2桌面云产品架构图43.3关键组件介绍53.3.1硬件平台53.3.2软件平台63.4方案价值总结73.4.1云安全:全面保护业务数据73.4.2云管理:提升IT运营效率73.4.3云灾备:确保桌面连续性83.4.4云办公:实现工作自由高效83.5投资回报比分析83.6产品技术优势9第4章项目配置清单及说明104.1应用场景需求说明104.2用户桌面配置方案114.2.1云终端配置方案114.2.2虚拟机配置方案124.3服务器存储配置方案124.3.1服务器配置方案124.3.2存储配置方案134.4网络设备配置方案144.4.1网络带宽需求说明144.4.2交换机配置方案144.5桌面云方案整体配置清单15第5章桌面云详细架构设计方案165.1详细架构示意图165.2用户终端设计方案165.2.1桌面云终端访问165.2.2采用现有PC165.2.3移动终端接入175.3桌面控制器设计方案175.3.1部署说明175.3.2集群设计195.3.3功能概览205.4服务器设计方案225.4.1部署说明225.4.2集群设计235.4.3功能概览245.5虚拟存储设计方案255.5.1部署说明255.5.2磁盘设计265.5.3功能概览285.6桌面云网络设计方案285.6.1业务网285.6.2存储网295.7桌面云安全设计方案305.7.1传输协议安全加密305.7.2身份认证权限管理315.7.3区域安全隔离315.7.4业务数据加密存储32第6章深信服桌面云产品理念及技术优势326.1流畅326.1.1云终端硬件加速326.1.2高效桌面交付协议336.1.3外设兼容性保障336.1.4SSD缓存加速346.2稳定356.2.1多层面HA机制356.2.2多副本数据存储366.2.3宕机极速恢复366.3高效376.3.1融合一体化架构376.3.2简约风格控制台386.3.3IOM智能诊断平台386.3.4桌面性能基准评测396.4安全406.4.1多重身份认证系统406.4.2端到端云防护设计406.4.3云安全杀毒方案41第7章深信服桌面云典型应用案例427.1典型案例介绍427.1.1中国文化部427.1.2湖北省鄂州国税437.1.3北方联合电力447.1.4上海爱屋吉屋447.1.5贵州南明区教育局447.2各行业案例表(部分)44iv深信服科技版权所有 www.sangfor.com.cn 第1章 IT发展趋势分析1946年,世界上诞生了第一台电子数字计算机,标志了人类进入新式计算机时代,并对社会发展产生了巨大的推动作用。继此之后,计算机科学技术不断发展,特别是以集成电路、微电子等技术的重大突破,促使计算机朝着更便捷、更人性化的方向发展,几乎每十年便会有一次“彻底颠覆”。当前,我们已经进入了“互联网+”时代, 在此时代,IT系统及信息资产是核心竞争力,所以提升IT效率与安全性是各行业的关键战略方向。然而,面对新时代、新IT诉求,传统PC却存在管理效率低下、数据安全缺失等众多弊端,这再次推动了新技术的研究与变革,现在及未来几年,计算机会从“本地模式”转变为“云化模式”,从而解决传统PC运维效率低、数据安全性差等多种难题。第2章 桌面云方案概述2.1 业务挑战与需求2.1.1 信息安全风险大传统PC模式,信息数据及办公文档分散存储于每台终端上,当硬盘故障将导致重要文件丢失,随着PC数量越多,其数据丢失风险越大,而面对广泛分布在每台电脑上的硬盘数据,IT人员也难以实现统一的数据备份及恢复。再者,不同办公场景均有大量的办公PC,PC与服务器之间传输的是实际业务数据,该数据会缓存在用户本地或在传输过程中被截获,同时用户还可以通过PC拷贝机密数据并随意外发。所以在这种情况下,PC将成为网络中的一个安全缺口,如果不加以管控,则信息泄密风险极大。2.1.2 高昂的运营成本每台PC都有主板、CPU、内存和硬盘等众多零部件,在长达35年的生命周期中,平均每台PC报修次数高达3次以上,每次维修周期需要1到2个工作日不等,因此在硬件故障维护及更换方面需要投入巨大的人力与经费。除此之外,PC桌面管理复杂,包括系统升级、补丁更新、安装软件、网络配置等维护工作均需逐台完成,消耗大量的人力,而且IT人员往往需要亲临现场解决问题,进一步增加了支持成本。同时,传统PC+显示器为250W,那么一台电脑将产生高达352元/年的电力成本,且电脑发热量也比较大,在办公空间密集的情况下,散热成本也逐步上升。因此,IDC预测,用户在PC硬件上投资10元,后续的运营开销将高达30元,而这些投资并不能产生业务价值,也即投入越多,浪费越大。2.1.3 桌面无法移动化在当今竞争激烈的业务环境中,用户需求不断变化,工作不再局限于某个场所,而是采用一种“移动化、随时随地”的工作方式,员工希望通过任意设备随时随地访问数据和应用程序,从而提高工作效率与响应速度。但是,传统PC将办公桌面与特定计算机绑定,限制员工只能在固定工位上进行办公,使用起来非常不灵活,无法满足移动桌面办公需求。为了满足移动化战略需求,办公桌面需要从“以PC为中心”的模式向“以用户为中心”的模式发展,即摆脱将用户桌面、应用程序和数据绑定至单个硬件的束缚,使得用户能够自由连接熟悉的个人桌面系统。2.2 桌面云:云计算之旅第一步迈向云计算之旅的第一步就是利用桌面云切断硬件设备的依赖性,将原先运行在PC上的桌面、应用和数据统一迁移到数据中心的服务器,这样不仅可以有效解决桌面部署和管理的难题,而且还可为用户提供工作所需的桌面灵活性和可访问性,实现随时随地的访问。第3章 深信服桌面云解决方案3.1 方案设计原则l 流畅体验桌面云应提供与PC一致的用户体验,保证流畅的桌面操作及视频播放,并且良好兼容打印机、身份证读卡器、指纹仪、摄像头、高拍仪等各类外设。l 高可靠性桌面云应提供主机和磁盘的冗余部署机制(比如HA技术、虚拟存储技术等),确保桌面及业务的可靠运行,同时要求桌面架构具备平滑扩容能力。l 易于使用桌面云应提供软硬件一体化服务器平台及更少的管理组件、更易用的管理平中,从而实现简单高效的安装调试及运维管理,提升运行效率。l 高安全性桌面云应提供前端、传输端、后端等更全面、多层次的安全功能,包括多种认证方式、传输层加密、数据盘加密等,从而有效保护平台及用户安全。3.2 桌面云产品架构图深信服提供一站式、高性价比桌面云方案,整套方案只需要云终端、桌面云一体机(包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台)两种硬件,即可完成桌面云的快速搭建。其中,桌面云一体机VDS是一款专为云桌面设计的软硬件一体化服务器,集成了服务器虚拟化、存储虚拟化、虚拟桌面控制器等软件平台,用户无需复杂的安装调试过程, 将VDS开机之后,只需要按照向导式配置界面执行几个操作步骤,即可完成桌面云部署上线,非常方便快速。3.3 关键组件介绍3.3.1 硬件平台1. 云终端(ARM) ARM架构:硬件架构采用ARM A9芯片,其优势在于系统运行效率更高,而且长期使用更为稳定。 一体化设计:设备采用集成化设计模式,无多余零部件,并且运行过程中发热少,所以寿命更长,高达58年。 绿色环保:平均功耗仅10W,相对PC可节省10倍电力成本,并且无风扇运行,全程无噪音。2. 桌面云一体机(VDS)桌面云一体机是一款专为“云桌面”量身定制的软硬件一体化服务器(包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台),通过提供简单、一站式交付方案,极大降低部署难度,从而帮助用户加快桌面云项目进度。 高性价比:深信服桌面云方案无需购置独立存储,通过虚拟存储技术提供高性能、低成本的存储方案,效果与独立存储一样,但可以节省存储成本。 极致体验:传统方案采用纯机械硬盘设计,多桌面并发使用时容易卡顿。深信服采用SSD+HDD混合设计方式,同时利用高效缓存技术可以提升多倍IO性能,保障云桌面流畅体验。 良好扩展:普通服务器方案,扩容时需要停机做复杂配置。桌面云一体机在扩容时无需停机,只需在线加入集群,即可自动实现资源平衡,扩容非常轻松方便。 高稳定性:深信服桌面云一体机采用全集群架构设计,主机和磁盘硬盘均有冗余设计机制,能够实现故障自动迁移,确保桌面业务稳定运行。3.3.2 软件平台1. 虚拟桌面控制器:提供用户认证管理、细粒度策略控制、桌面/云终端统一监控及管理等功能,实现更安全、更可靠地交付云桌面。2. 服务器虚拟化:祼金属架构,可为云桌面提供高性能负载平台和先进管理功能,包括虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能。3. 存储虚拟化:将服务器直连硬盘形成分布式共享数据存储,通过内置冗余机制可透明存储多个数据副本,以确保磁盘和服务器故障时,数据不会丢失,并且依然可用。3.4 方案价值总结3.4.1 云安全:全面保护业务数据过去,数据放置在每台终端上,面临数据丢失和外泄的风险。现在,通过桌面云将数据从PC本地迁移到数据中心,便于集中备份,而且集中化模式使得所有的数据计算与业务交付都在后台完成,敏感数据不再需要离开数据中心,从根本上降低数据安全风险。另外,借助桌面云IT部门可以通过设置集中化策略控制用户对数据的访问权限,例如控制用户是否能将文件从数据中心的桌面拷贝到本地设备或U盘。3.4.2 云管理:提升IT运营效率过去,桌面支持与管理成为IT部门“大负担”之一,随着桌面数量增多,这种情况变得越来越严重。现在,借助模板部署、派生及更新技术,IT人员可以轻松、快速地创建多个桌面,并在几分钟内将应用程序和配置文件推送到上千个虚拟桌面。在日常维护方面,IT人员也只需要维护几台服务器、几套模板和一些应用程序,提升IT管理效率,节省支持成本。3.4.3 云灾备:确保桌面连续性桌面云构建了一套高可用的桌面架构,借助自动化备份和集中式运维,可以简化终端硬件管理,使故障恢复从传统PC的几小时缩短至几分钟,提升用户办公体验,员工不需要担心因客户端丢失或故障而造成工作中断,因为用户的数据和应用程序均存储在数据中心,即便设备丢失或发生故障,用户可以从其他设备登录,并快速衔接中断的工作。3.4.4 云办公:实现工作自由高效借助桌面云,员工只需要记住1套账号密码,不管是在办公室、在家还是在出差,只要网络是可达的,用户就可以使用云终端、笔记本、智能终端等不同设备随时访问桌面,而且可以获得一致的办公桌面体验。这种模式,实现办公的无边界,工作不会因为场所的变化而中断,有效提升员工的工作效率。3.5 投资回报比分析分析项目500台云终端500台传统PC投资成本500套(云终端+用户授权)10台服务器500台PC管理成本(年薪4万/人)需要1人工资支出:4万需要2人工资支出:8万运维成本运维成本节省75%硬件更换费用降低50%云终端寿命58年维护难度大、效率低硬件更替成本高PC寿命35年能源成本总功率:10W*500+10*1200W=17000W电费(按0.7元/度):2.5万/年总功率:200w*500=100000W电费(按0.7元/度):15万/年费用节省1年总支出:6.5万5年总支出:32.5万1年总支出:23万5年总支出:115万每年节省16.5万,5年节省82.5万总体来说,部署云桌面需要购买云终端、服务器、存储及桌面云软件授权等软硬件设备,所以前期投资并不会低于传统PC,但长期下来所带来的就是运维工作量及成本的降低(每年可以节省不少的硬件成本、维护成本和电力成本)。所以,随着年份增长,部署云桌面的收益将越来越大。3.6 产品技术优势l 卓越体验 视频重定向+硬件芯片解码:让用户获得与PC一致的播放流畅度,同时节省服务器资源占用,在多并发播放时,CPU利用率可控制在10%以内。 SSD缓存加速:热点/重复数据自动利用SSD进行IO提速,深信服已将缓存命中率突破至60%以上,提升桌面启动速度和操作流畅度。除此之外,深信服借助总线映射、虚拟摄像头、U-Key直通识别等多项核心技术,可以完美兼容U盘、打印机、读卡器、扫描仪、摄像头、高拍仪、U-key等上千种主流外设。l 高度稳定 多层面HA设计机制:借助服务器集群、动态迁移、虚拟存储、端口汇聚等多项HA机制,构建一套高可用桌面架构,提升容错能力。 多副本数据存储:一份数据在2-3台主机进行实时备份存储,实现最大程度的冗余互备,无需担心主机或磁盘的故障而造成数据丢失。l 极其精简 融合一体化架构:桌面云一体机为管理员提供一套极其精简的架构,避免安装的复杂性;单点登录和联动关机为用户提供易于上手、操作便捷的桌面云。 简约风格控制台: UI设计方面遵循少即是多的设计理念,我们尽量去除复杂操作,更多地使用一键式、向导式的配置界面,实现精简管理。l 全面安全 多重身份认证系统:提供高达6种身份认证方式,可按需自由组合,满足不同级别用户(普通员工、领导等)的安全接入需求。 端到端云防护设计:提供面向桌面云的安全保障体系,包括客户端准入、软件防火墙、传输加密、安全存储等端到端技术,提升安全性。第4章 项目配置清单及说明(本章所涉及的性能参数仅供参考,不作为最终选型标准)4.1 应用场景需求说明应用场景操作系统、应用程序、磁盘空间、外设等需求规模(人)办税大厅终端用户:柜台人员操作系统:Windows7磁盘空间:系统盘20G,数据盘20G(开启还原模式,每次重启恢复为原始状态)应用程序:CTAIS/税控系统/退税系统/车购税系统/执法系统等业务系统、IE/Office/PDF等日常办公软件外设:金税盘、金税读卡器、普通打印机、针式打印机、高拍仪、扫描仪300本项目主要将桌面云部署在办税大厅,替换柜台业务人员的办公PC,不仅可以完美兼容各项涉税应用和外设(如上表),而且能够实现统一化、标准化的桌面运维,以及提升税务保密安全。另外,为了最大程度节省维护工作量,建议将桌面设置为还原模式,这样即便产生中毒或软硬件等故障,只需将虚拟机桌面系统重启,便可快速恢复正常业务。4.2 用户桌面配置方案4.2.1 云终端配置方案适用人员终端型号详细配置参数规模(人)柜台业务STD-200HARM四核/1G内存/4G存储/6*USB/1VGA或1HDMI300考虑到办税大厅涉及外设较多,本项目建议部署STD-200H云终端,具备6个USB接口,满足连接外设所需。接口如不足,推荐增加USB分线器,最高支持15个外设并发使用。4.2.2 虚拟机配置方案适用人员虚拟机配置参数规模(人)柜台业务2vCPU/2G内存/系统盘20G+数据盘40G/20IOPS300基于办税大厅应用场景的需求描述,可以判定该场景为“中载模型”,因此推荐每用户虚拟机的性能参数为:2vCPU/2G内存/系统盘20G+数据盘40G/20IOPS。每用户系统盘分配20G,虚拟机模板及快照建议保留4T存储空间,所以需要20G*300+2T=8T系统盘;而每用户数据盘分配40G,所以需要40G*300=12T。因此,最终总共所需的硬盘可用空间为20T。4.3 服务器存储配置方案4.3.1 服务器配置方案桌面云一体机型号主要配置数量VDS-5050E5-2630v3*2/128G内存/存储:1块64G-SSD、1块240G-SSD、6块1T-SATA/6千兆网口9为了提供最佳用户体验,VDS-5050单机推荐承载37用户(最高50用户),所以建议配备9台服务器,总共可以支撑333用户,当其中一台服务器出现故障,剩余8台服务器依然可以支撑近300用户,实现了冗余部署,保证桌面云平台的高可用性。4.3.2 存储配置方案系统盘缓存盘数据盘数量(以每台服务器为单位)1*64G-SSD1*240G-SSD6*1T-SATA9本项目采用分布式虚拟存储方案,直接利用服务器自带硬盘组成统一存储资源池(替代独立的存储设备),并且数据存储采用双副本机制,确保数据可用性。具体配备原则如下: 每台服务器配备1块64G-SSD硬盘,用于安装桌面云软件系统;配置1块240G-SSD硬盘,用于热点/重复数据缓存加速,提升桌面IO性能。 每台服务器配备6块1T-SATA硬盘,用于存储虚拟机模板、操作系统及用户个人数据。实践证明,按SSD+HDD的硬盘配置方式,每台服务器可提供1000IOPS以上,平均每用户高于20IOPS。另外,本项目有9台服务器,总共54块1T-SATA硬盘(减去7%折损系数,实际可用0.93T),由于采用双副本机制,最终可分配空间为54*0.93T/2=25T,可以满足本项目所有用户的系统盘+数据盘空间分配需求(总共20T),并保留5T的扩容空间。4.4 网络设备配置方案4.4.1 网络带宽需求说明应用场景带宽/bps延时/ms丢包率说明办税大厅xxMb500%由于办税大厅涉及较多外设、且日常使用很频繁,所以本项目建议为每用户保留xxMps网络带宽。另外,如果需要通过广域网(如专线)交付桌面云,要求网络延时50ms、以及无丢包,这样才能保证用户体验。4.4.2 交换机配置方案交换机型号配置信息数量xxxx三层交换机(核心/汇聚),背板带宽15Gpbs,16*千兆端口(5个端口下联接入交换机、3个端口连接桌面云服务器)2xxxx二层交换机(接入),背板带宽2Gbps,2*千兆端口(上联核心/汇聚)、24*百兆端口(下联桌面云终端)5按每用户平均消耗xxMbps(根据视频码率而定),则业务网总带宽为xxGbps;另外,每服务器还需消耗1Gbps用于多主机数据同步(存储虚拟化),则存储网总带宽为9Gbps(9台服务器),因此建议核心/汇聚交换机背板带宽为xxGbps或以上。接入交换机每台连接40台桌面云终端,按每用户xxMpbs,则每台接入二层交换机背板带宽为xxGbps或以上,采用2个千兆端口汇聚分别上联到两台核心/汇聚交换机。同时,由于核心/汇聚交换机既用于业务网桌面交付,又用于存储网数据同步,其高可用性非常重要,因此本项目推荐部署2台实现冗余。4.5 桌面云方案整体配置清单设备名称及型号详细描述数量价格预估硬件部分STD-200H桌面云终端,ARM四核平台300VDS-5050桌面云服务器(一体机)9VDC-xxxx虚拟桌面控制器(详见备注)0交换机xxxx三层以太网交换机2交换机xxxx二层以太网交换机5显示器300键鼠套装300软件部分桌面云用户授权按并发用户数计算300虚拟存储模块VS-5050适用于VDS-5050,每服务器配备1个9备注:虚拟桌面控制器VDC,单个集群高于300并发用户必选,低于300并发用户可选软件VDC(免费),本项目并发用户数为100,故采用软件VDC。第5章 桌面云详细架构设计方案5.1 详细架构示意图(本节需根据实际的部署环境输出详细架构拓扑图)5.2 用户终端设计方案5.2.1 桌面云终端访问新增人员,每人部署一台桌面云终端,实现集中部署与管理,提升运行效率,同时降低IT运行的总体碳排放量,符合国家整体能源战略。型号适用场景配置参数STD-100普通办公、生产线、计算机室A9双核,1G内存,4G存储,4*USB口,1*VGASTD-200H平面设计、视频监控、大屏显示A9四核,1G内存,4G存储,6*USB口,1*VGASTD-500双屏办公人员X86双核,6*USB口,2G内存,8G存储,1*VGA,1*HDMI5.2.2 采用现有PC可以有效利用现有PC,通过在PC上安装桌面云客户端软件,实现对云桌面和业务系统的访问。最大程度利旧,节约PC更换成本。支持两种模式:1) PC本地桌面和云桌面共用,比如本地桌面用于上网业务、云桌面用于办公业务,实现业务安全隔离;2) 开机直接跳转到云桌面使用界面,不进入本地桌面,上网及办公业务都在云桌面上完成,IT人员只需要集中管控云桌面即可,本地桌面无需管理,节省工作量。5.2.3 移动终端接入可以采用基于ios和Android系统的平板电脑、智能手机,通过在appstore或安卓商城下载easyconnect客户端,即可实现对云桌面的访问,实现移动化业务办公。5.3 桌面控制器设计方案5.3.1 部署说明 虚拟桌面控制器(VDC)主要负责账号及资源管理、用户认证、新桌面注册分配、传输优化、控制桌面状态、瘦终端集中管理等。 目前支持两种部署模式:软件VDC和硬件VDC,其中软件VDC只适用于300用户以下应用规模,硬件VDC适用于任意应用规模。本项目并发规模为300用户,因此采用软件VDC方式。软件方式:直接在虚拟化平台上创建软件VDC,不需要依赖windows server操作系统,它会以虚拟机的方式运行于服务器上,安装部署非常方便。支撑软件VDC所需的虚拟机配置信息CPU2vCPU内存4G磁盘10G网络接口1vNIC 硬件方式:提供经过优化与改进的1U或2U的专业硬件设备,有多种型号可供选择,可以实现更好的稳定性及高性能,满足更多用户并发接入。建议选购两台设备做集群部署,保证桌面业务高可用性。型号支持并发用户数大小VDC-25005001UVDC-260010001UVDC-450020002UVDC-460050002UVDC-8500160002U5.3.2 集群设计本方案采用两台独立VDC设备(软件或硬件)组成集群模式,提供更可靠的桌面接入服务,并且可以提高接入容量及性能。 每台VDC设备为1个集群节点,用户通过集群IP连接云桌面时,集群软件将动态分配桌面连接到各个正常运行的VDC节点,以充分利用每个VDC节点的资源。如果集群中其中一台VDC节点发生软硬件故障,用户会重新连接到正常的VDC节点,所以只要集群中有一台VDC设备是正常的,桌面业务将不会中断。如果有新的VDC设备加入集群,它会自动下载所有配置信息,与其他VDC节点保持一致,可以节省配置工作量。VDC集群支持会话同步,当其中一台VDC设备出现异常时,可以无缝迁移到其他正常的VDC设备上,用户无需再重新登录认证即可使用。5.3.3 功能概览u 桌面发布及访问1) 可以发布Windows XP、Windows7等桌面操作系统,开关机过程可见,提供与PC一样的用户体验。2) 支持多终端访问,用户可以使用智能终端(ios/android)、PAD或笔记本,随时随地接入云桌面,实现移动办公。3) 通过安装VDI客户端可以将旧PC变身“瘦终端”,实现PC开机后直达VDI登录界面,并且当网络中断时,可切换到PC本地桌面,满足应急办公需求。u 易用性改进1) 可以实现单点登录,实现VDI认证和桌面系统认证一体化, 用户只需1次认证即可接入云桌面。2) 可以联动关机,用户只需点击云桌面“关机”按钮,云桌面和瘦终端将一体化关闭,提升操作便捷性。u 用户体验优化1) 可以兼容文档处理、浏览器、即时通讯工具等各类办公软件,并支持打印机、高拍仪、摄像头、网银key等常用外设,以满足正常办公需求。2) 支持上网缓存加速,可以将用户上网过程中产生的cookies、网页等数据,自动使用内存实现高效加速,有效提升网页浏览速度,并降低硬盘IO消耗。3) 支持视频重定向,以提升播放流畅度及性能,播放1080P高清视频,虚拟机CPU利用率低于15%,从而降低服务器资源消耗,提升虚拟机部署密度。u 安全策略1) 支持6种身份认证方式随需组合,包括本地认证、短信认证、动态令牌、硬件特征码绑定等,以满足不同级别的安全接入需求,同时要求能够与AD域/Radius等第三方认证平台完美结合,实现用户认证。2) 支持设置首次登录强制修改密码、定时修改密码、图形校验码和软键盘等密码安全策略,以保障认证密码安全性,避免越权访问行为。3) 支持客户端安全检测,可根据用户接入的终端类型、操作系统版本、接入IP和时间、软件安装情况等指定访问策略,如客户端不满足安全检测要求则不允许接入,有效保障接入安全性。4) 支持用户终端与云桌面平台之间采用VPN隧道传输,实现数据加密,保障外网接入安全。5) 支持个人盘加密技术,对云桌面个人数据进行加密保存,保障个人隐私安全。u 运维管理1) 支持为云桌面设置还原模式,在操作系统重启后,除个人数据之外其他内容均还原为初始状态,始终为用户呈现干净可用的桌面环境,降低系统故障率。2) 支持统一完成云桌面的开机、关机、挂起、重启等操作,并支持为云桌面设置开关机计划,实现上班前自动开机、下班后自动关机,节省资源占用。3) 支持集中分配个人磁盘,并可以指定磁盘空间大小,在空间不足时还可以为用户新增个人磁盘,以满足用户文档存储需求。4) 支持云桌面分组管理,同时支持批量设置IP,为用户云桌面快速分配IP地址,提升IT人员桌面维护效率。5.4 服务器设计方案5.4.1 部署说明本项目采用深信服桌面云一体机服务器,每台服务器预装深信服服务器虚拟化和存储虚拟化软件,实现开机即用,不需要复杂的安装调试。部署时,将所有主机加入集群,形成统一资源池,方便资源分配及调用, 以及实现集群主机的集中化管理、监控。5.4.2 集群设计如图所示,IT人员只需要将主机选中并加入集群,即可快速完成HA架构配置,非常简单。这样,无论是计划外停机或者服务器出现故障,此架构都能提供最高级别的桌面服务可用性。服务器集群架构无需第三方软件,通过服务器虚拟化平台内置的HA功能特性实现集群主机互为监控,一旦检测到服务器故障之后,自动在集群内的其他正常主机重启虚拟机,保证桌面业务正常运行。另外,如果某台桌面服务器需要维护,在无需中断服务的情况下,可将服务器之上的虚拟机迁移至其他服务器,管理员可以快速、完整地执行运维工作。l 工作原理1) HA技术可以持续监控集群内的桌面服务器和虚拟机,一旦出现故障可快速恢复。恢复时,还会自动选择资源池中最佳的服务器来激活虚拟机,实现资源负载均衡。2) 只要将主机加入集群,HA技术会时刻监控各主机是否有足够可用的资源以及服务器、虚拟机的状态,以便在发生故障时能快速在正常服务器上进行激活。由于所有的虚拟机镜像文件统一存放在共享存储或虚拟存储中,所以使得虚拟机在其他服务器能够快速重启。5.4.3 功能概览u 统一资源管理1) 无需部署集中管理平台,通过Web方式接入集群控制台,实现对所有主机统一管理。2) 支持虚拟机远程运维,无需安装任何插件,即可接入虚拟机操作系统界面,实现桌面管理。3) 支持模板克隆技术,IT管理员只需创建标准桌面模板,即可快速派生出N多个云桌面系统,极大缩短桌面系统上线周期。u 性化优化1) 支持内存或SSD缓存技术,能够对重复硬盘数据进行IO加速,提升云桌面启动速度和运行效率。2) 支持内存页合并技术,能够有效消除多个虚拟机运行过程中重复只读内存数据,以节省内存使用,提升服务器部署密度。u 备份与恢复1) 支持快照技术,当系统故障时可实现故障回滚;同时支持增量保存快照数据,以节省存储空间。2) 支持虚拟机集中备份与恢复,可按需选择多个虚拟机或全部虚拟机备份至外置服务器,并可设置备份策略,实现自动化备份。5.5 虚拟存储设计方案5.5.1 部署说明本项目采用分布式虚拟存储架构,通过它可以将服务器直连硬盘整合起来,形成存储资源池(相当于一台独立存储设备),从而为云桌面平台提供经济高效的存储服务,并且效果与独立存储一样。分布式虚拟存储主要通过磁盘管理、缓存技术、存储网络、冗余副本等技术,管理集群内所有硬盘资源,最终提供统一存储空间用于虚拟机的保存、管理和读写。这样,在无需共享存储的情况下,依然可以实现虚机迁移及故障切换,不仅节省存储购买成本,而且利用分布式技术架构进一步确保数据的高可用性。5.5.2 磁盘设计u 多副本数据存储机制分布式虚拟存储架构采用多副本数据存储机制,以避免数据丢失风险。副本技术通过在多主机或多磁盘同时存储数据(即同一虚机文件在多台服务器并存),当主机或磁盘故障后,可以从其他磁盘的副本信息快速恢复数据。目前支持13份副本(跨主机存储),1副本,数据只保存1份,不具有容错能力;2副本,数据保存2份,能够容忍1个磁盘或者1台主机故障而桌面业务不受影响;3副本,数据保存3份,可以容忍2个磁盘或者2台主机故障而桌面业务不受影响。当采用2副本或者3副本时,如果某主机发生了故障,运行在该主机上的虚拟机会自动在其他主机上重启,这样可以保证用户桌面继续正常使用。 由于副本数会影响到实际可用的硬盘空间,为了确保数据不丢失,并最大化可利用的空间,本项目采用双副本机制,即同一虚机文件在2台服务器有副本信息(相当于跨主机RAID1),这样可以确保集群内其中一台服务器宕机后,数据不丢失,桌面业务可以迁移到其他主机上继续使用。u SSD+HDD磁盘混合设计本项目采用SSD+HDD磁盘混合方案,包括1块SSD硬盘和多块SATA/SAS硬盘,其中SSD的IO性能较高,作为缓存盘,用于缓存用户经常访问的热点数据;机械硬盘的IO性能较低,作为数据盘,用于存储用户虚拟机和个人数据。目前,深信服桌面云一体化服务器的缓存命中率高于60%,这样就可以实现以较低成本获得非常高的IO性能,保障云桌面用户体验。5.5.3 功能概览1) 基于高度可用的设计架构,其冗余机制可存储多个数据副本,从而确保磁盘、服务器的故障,不会影响桌面和数据可用性。2) 支持SSD+机械硬盘混合设计模式,SSD用于缓存云桌面热点数据,机械硬盘用于存储个人数据,为了保证使用效果,要求SSD缓存命中率不低于60%,以提升云桌面IO性能,让用户获得最优用户体验。3) 为满足云桌面扩容需求,要求支持无缝扩展技术,当工作负载变化或性能扩展时,只需将服务器加入集群,即可动态调整资源以实现负载均衡,让扩容更为轻松方便。5.6 桌面云网络设计方案5.6.1 业务网本项目建议采用2块千兆网口进行链路聚合以提升带宽及可靠性。业务网的流量主要包含以下3种:1) 桌面图像变化产生的流量:鼠标移动、界面切换、页面翻滚等只要存在图像变化的地方都会产生流量。2) 视频重定向:本地视频和Flash视频,传输速率与音视频码率一致(流量与在PC看网上电影差不多)。3) 外设重定向:打印机、扫描仪、U盘、摄像头等外设,其流量大小取决于拷贝/打印文件的大小、图像分辨率的大小。5.6.2 存储网存储网络的流量主要包括:桌面IO操作、副本信息、迁移数据等。由于分布式虚拟存储架构会按照算法将虚机文件分布保存在不同服务器上,云桌面运行过程中产生的IO操作或副本信息需要通过网络传输。因此,存储网络是否稳定非常关键,建议将存储网络与业务网络分离,单独构建一套存储网络来支撑虚拟存储通信,每台服务器保留2块千兆网口用于存储通信,并且采用链路聚合的方案来提升通信带宽,以及保障存储网络稳定性。u 方案一:单交换机链路聚合本方案分别将服务器的2个网口连接到交换机(如图所示),可以提升存储网络的容错性,单网口或链路发生故障不会影响存储正常通信。u 方案二:双交换机链路聚合本方案采用双交换机链路聚合方案,每台服务器分别连接到两台交换机,并配置链路聚合。这种方式,需要2台交换机,增加了成本,但是具有更好的容错性,可以保证网口、网线和交换机的故障,都不会影响虚拟存储的通信,并且也进一步扩大了不同服务器之间的存储带宽。5.7 桌面云安全设计方案IT系统对安全性要求越来越高,云桌面平台各环节要求体现安全控制的理念。因此,需要通过良好的安全控制手段,来保证正常桌面业务运行,并规避安全风险。本项目采用的安全措施包括:传输协议安全加密、身份认证权限管理、区域安全隔离、业务数据加密存储。5.7.1 传输协议安全加密员工利用云桌面平台进行日常办公,瘦终端通过专有虚拟交付协议连接到数据中心,传输协议承载了图像传输、身份认证等关键信息,本方案采用SRAP通信协议,此协议仅传输客户端图像变化和鼠标、键盘等操作数据,本身并不直接传输应用数据,避免了数据在终端驻留泄露的可能性。另外,为进一步提升传输安全性,传输协议采用SSL加密手段,保证所有信息都在安全通道内传输。5.7.2 身份认证权限管理 为了建立针对用户的访问权限,实现细粒度的管理平台策略,需要建立用户身份认证平台,建立统一的用户身份认证将给云桌面平台的统一管理提供更高的安全性和便捷性。 深信服云桌面平台可以通过本地数据库或基于LDAP实现平台的统一身份认证、权限分配和策略发布。并且具备良好的密码管理策略,可强制密码长度、密码生存期、密码更改最短有效期、密码复杂性要求、帐号锁定等各种密码安全策略,确保用户密码的安全性。 此外,如果需要更高安全性,平台可同时支持使用U-key认证、短信认证、动态令牌、硬件特征码等多因子身份认证技术实现更加安全的身份认证。活动目录的规划与管理需考虑用户的组织架构和平台的管理需要,因此有必要针对平台的需求,统一规划活动目录的结构,创建不同的对象满足用户管理和平台授权维护的需要,并实现分级的策略化管理。5.7.3 区域安全隔离各部门都存在各自的业务系统、应用软件,而云桌面平台将为会不同的业务部门提供服务,部门之间的业务信息以及数据信息都需要隔离保护,因此采用区域隔离技术,不同部门的业务应用可以根据不同的VLAN进行虚拟环境的网络逻辑隔离,保证员工访问的安全性。5.7.4 业务数据加密存储桌面上存放着各种业务数据,云桌面平台将数据集中化存储,一旦平台受攻击,或者被恶意破坏,则面临较大的数据丢失和泄密风险。因此,需要对个人盘业务数据采用加密存储手段,以确保数据安全性。第6章 深信服桌面云产品理念及技术优势6.1 流畅6.1.1 云终端硬件加速桌面云将计算和存储资源都集中到服务器上,终端主要处理图像和指令信息,而CPU在图像处理方面比较一般、GPU芯片在这方面更专业,所以我们通过软件算法改进充分发挥了云终端GPU硬件芯片的效能,一方面推出了多媒体重定向技术,通过这项技术、不管是本地视频还是在线视频,都不需要在服务器上解码,我们会将视频文件直接传送到云终端,利用视频专用芯片进行解码和播放,这样不仅有效提高了视频播放的流畅度,还节省了大量的服务器资源占用,能够满足高并发视频播放需求。另一方面,我们能够自动感知平面设计类软件,比如PS、CAD,然后通过图形硬件加速技术,进一步提升这些软件的操作体验,包括图像缩放、拖动、画图等等操作。总体来说,因为充分利用了GPU芯片效能,所以效率更高,体验更好。6.1.2 高效桌面交付协议由于桌面云是采用将桌面从远端交付给客户端的模式,所以传输协议的好坏直接影响到用户体验,深信服在优化领域有了很多年的技术积累,11年的时候我们自主研发了SRAP高效交付协议,采用了多项优化技术,比如高效流压缩,即对流量进行边传输边压缩,既可以保证传输效率,又可以节省带宽,还有数据缓存及优化,可以实现对多余或者重复的传输流量进行削减,进一步降低带宽占用,所以深信服的传输协议比我们传统的RDP协议可以提升6倍传输效率,从而获得与PC一致的云桌面用户体验,在使用过程中可以始终保证流畅不卡顿。6.1.3 外设兼容性保障对于外设来说,我们会在终端与服务器之间打通一条专用通道,采用总线映射和底层直通技术,兼容各种办公外设,即使是网银key这种特殊的安全外设我们依然可以完美支持。而对于摄像头和高拍仪这两种业界普遍支持并不好的外设,深信服也有办法解决,我们开发了虚拟摄像头技术,将摄像头、高拍仪的流量进行高度压缩、压缩比超过10倍(源于多年优化领域的技术积累),让我们的产品可以很流畅地支持摄像头、高拍仪的使用。所以,部署深信服的桌面云,大家不用担心外设的支持问题,只要将外设插在终端上,然后在虚拟机上装好驱动程序,我们就可以像PC一样去使用外设,除此之外,还能够实现比PC更好的外设管理,包括管控U盘和打印机等。6.1.4 SSD缓存加速我们知道,传统的sas盘、sata盘最高只有1w多转,每块硬盘一般只有100多个IOPS,即使是多块硬盘累加也达不到桌面云的IO性能要求,所以我们在硬件架构上做了一些改变,我们采用SSD缓存方式,在每台桌面云服务器上都有1块SSD硬盘,通过热点数据精准抓取技术和冗余数据快速淘汰技术,可以让用户以较低的成本获得非常高的IO性能。实践证明,通过我们的缓存算法优化,桌面云所请求的数据、绝大部分情况下都会直接读取到SSD硬盘,当前我们的缓存命中率高达60%以上,从而使得存储的响应速度大幅提升,明显提升整体存储的IOPS性能,从而使得多并发使用时操作体验更好,也有效解决了开机风暴的问题。6.2 稳定6.2.1 多层面HA机制桌面云平台的高可用设计主要涉及到3个层面,主机、存储和网络。在主机层面,服务器加入到集群,集群中各主机互为监控,一旦发现主机故障,HA机制便会自动触发虚机迁移动作,在另一正常服务器拉起、确保VM继续可用。在存储层面,业界通常做法是挂接外置存储,但这种方案成本很高,性能扩展也比较麻烦。所以,深信服采用更合理的方案,利用分布式虚拟存储技术,可以直接把服务器的自带硬盘空间来构成存储、形成一个统一的存储资源池,这样可以用极低的成本,在不用外挂存储的情况下,实现高端存储所具有的数据高可靠和高性能。在网络层面,我们可以采用服务器端口汇聚技术,将多个端口聚合起来,提高网络带宽和容错能力。所以,通过多个层面的HA保障机制,最终可以构建一套高可用的桌面架构。6.2.2 多副本数据存储在数据可靠性方面,传统存储更多采用的是磁盘阵列的方式,也叫raid,这种方式只能做到单主机的磁盘冗余,如果整个主机坏了,数据是无法恢复的。但在存储虚拟化环境下,我们会把每份数据同时在多台主机进行备份存储,如上图,一个份数据同时在3台服务器都有备份数据,而且每一次数据的变化,存储架构都会通过网络在所有副本里进行实时同步,从而确保数据的一致性。这样做可以实现最大程度的数据互备,不用担心磁盘或主机的故障造成的数据丢失,这种方式成本更低、更可靠。6.2.3 宕机极速恢复再来说说怎样做到故障切换的,这里可能会有两种故障点,第一种是当物理硬盘出现故障的时候,存储则会被重新指向另外一台服务器上可用的数据副本,整个过程是毫秒级的切换,对用户来讲基本是无感知的。还有一种是如果物理主机或者是网络故障,整个桌面云平台可以完成分钟级的切换,虚拟桌面可以快速切换到另一台服务器拉起,几分钟就能恢复正常运作,这样就比传统方式的桌面业务恢复速度快了很多。6.3 高效6.3.1 融合一体化架构我们为用户提供了一套极其精简的架构,首先在数据中心端,深信服把桌面云系统软件预装在服务器上,一体化交付给用户,减少了安装的复杂性。另外,在用户端,我们通过单点登录和联动关机这两项技术来简化用户的操作,让用户只需要1次登录动作就可以接入到桌面云系统,只需要1次关机动作就可以把虚拟机和云终端都关闭,保持与PC一致。所以,这样一套架构,对管理员来说安装简易、对用户来说使用很便捷,上手很快、无需培训。6.3.2 简约风格控制台在管理维护方面,目前很多厂商部署及运维环节特别复杂,整个过程会涉及到多种角色服务器、需要安装很多插件及数据库软件,并且还要通过多个控制台才能够管理,IT人员需要很长时间的培训摸索才懂得如何操作。那么,深信服在UI设计方面遵循少即是多的设计理念,我们尽量去除复杂操作,更多地使用一键式、向导式的配置界面,实现精简管理,IT人员可以快速配置整个桌面云环境,降低IT管理复杂度与成本,让桌面云变得更简单、更好用。6.3.3 IOM智能诊断平台除了日常配置之外,桌面云平台在运行过程中,难免会出现一些问题,比如桌面卡顿、或者外设不兼容等等这样的问题,对于大部分IT人员来说,是很难依靠自身力量完成排障工作的。所以,为了减轻用户排障压力,我们推出了IOM智能诊断平台,通过它能够覆盖主机、平台和网络等所有故障节点,实时监控各类组件的问题,当出现问题之后,比如有人反馈桌面很卡顿,IT人员只需要点击几个按钮,就可以精准快速定位问题根源在哪里,并且给出排障建议,节省故障查找成本。另外,对于一些非常难以发现、难以解决的问题,我们还能提供代码级诊断日志,只需要将这些日志发给深信服厂商,我们有专门的研发团队帮助您分析这些故障日志,以最快的速度解决问题。6.3.4 桌面性能基准评测在桌面云项目中,硬件性能选型是非常重要的一个环节,但是不同用户场景的性能负载是不一样的,如果只依靠经验值来选型,得出的结论往往是不准确的。现在,深信服推出DTP性能评测工具、这个工具预装在我们的产品中,能够基于用户体验、模拟用户真实的应用程序和工作行为,最终以报表形式展示出服务器的实际部署容量。那么这套工具有两种用途,第一种是在前期硬件选型时,可以基于真实行为准确评估所需要的服务器配置参数,以确保选型结论既保证良好的用户体验、又不会浪费投资;第二种是在评估老旧服务器时可以用到,如果咱们单位有空闲服务器来把它用来承载桌面云,但却不知能够支撑多少用户桌面,可以利用DTP工具来准确评估出最终的数量。6.4 安全6.4.1 多重身份认证系统国际云安全权威专家认为,在云时代目前所有的密码都已经不再安全,只有多重认证才是现阶段唯一可行的主流安全技术。所以,为了保障桌面云的接入安全性,深信服桌面云提供了高达6种身份认证方式,包括本地认证、第三方结合认证、短信认证、Ukey认证、硬件特征码、动态口令,并且这些认证方式可以按需自由组合,从而满足不同级别的接入安全需求。6.4.2 端到端云防护设计除了解决账户安全问题之外,整个云平台的安全防护也是非常重要的,深信服提供了一套完善的云安全防护体系,包含了端到端的云安全技术,其中云客户端安全准入策略,可以确保只有授权的网络、操作系统、终端和用户才能接入桌面云平台;内置云软件防火墙模块,可以确保桌面云在内外网都能得到安全防护、免受攻击;同时,在整个桌面云传输过程中,所有数据全程加密以确保信息安全性;另外,深信服还独创“用户数据盘加密”技术,可对个人数据采取加密手段,这样不管是IT管理员、还是非法用户,都无法看到其他用户的数据,保障用户个人隐私的安全性。6.4.3 云安全杀毒方案最后,对于桌面虚拟机本身,我们与业界主流病毒厂商合作提供了云杀毒方案,这套方案采用分布式部署架构,在每台虚机先部署杀毒客户端,然后在后台有一个云杀毒中心,负责整体调度和病毒库更新。通过这种基于虚拟机的杀毒方案,可以处理隐藏在内存、文件、网络等所有地方病毒木马,杀毒更为彻底。另外,为了避免杀毒风暴,我们采用空闲查杀、异步处理、断点续杀等多种专为桌面云杀毒而设计的技术,既保障杀毒效果,又可以避免对资源的过度占用。第7章 深信服桌面云典型应用案例7.1 典型案例介绍7.1.1 中国文化部u 项目背景国家文化部是文化行政的最高机构,是国务院负责文化、艺术事业的组成部门。近几年文化部大力推进电子政务及文化专网的信息化建设,与此同时,办公PC数量增长迅猛,导致维护成本不断上升,急需变革以提高效率、降低成本。u 应用场景:双网隔离(文化网与互联网)u 业务系统与外设:网吧监管平台、文化市场计算机监管平台、office、打印机、USB-KEY、摄像头、指纹仪等u 问题与痛点1) PC时常发生软件系统崩溃、配件损坏(硬盘、内存)等故障,随着PC日益增多,运维难度逐年增加。2) 一台PC只有一套操作系统,却要同时访问文化专网和互联网,两网打通容易引入病毒、攻击等安全风险。u 解决方案及价值文化部在新大楼建设初期,便选定深信服桌面云作为PC的替代方案,目前总共部署400多台云终端。1) 桌面和资源的集中化,既可以减少设备硬件故障率,又能够显著提升IT运维效率。2) 每个终端发布两个桌面,满足文化专网和互联网的逻辑隔离要求,并为公职人员提供更便捷的双网办公体验。7.1.2 湖北省鄂州国税u 项目背景为进一步创新税务管理,提升税收现代化管理水平,湖北省鄂州市国家税务局以“互联网+税务”为战略视角,率先在全国税务系统引入桌面云双网隔离技术,打造IT创新工程,最终被评为湖北省优秀项目。u 应用场景:办税大厅、双网隔离(税务内网、互联网)u 业务系统及外设:征管系统CTAIS、增值税防伪税控系统、出口退税系统、车购税系统、执法系统、金税盘、金税读卡器、USB打印机、针式打印机、扫描仪、高拍仪、摄像头等u 问题与痛点1) 随着金税工程逐步推进,经常需要升级各类涉税系统,以及更替办税PC,在传
展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!