1、深信服桌面云方案建议书(颠覆传统,让桌面IT更高效、更安全)201X年X月深信服科技有限公司 深信服桌面云方案建议书 文档密级:公开目 录第1章IT发展趋势分析1第2章桌面云方案概述12。1业务挑战与需求12.1.1信息安全风险大12。1.2高昂的运营成本22.1.3桌面无法移动化22。2桌面云:云计算之旅第一步3第3章深信服桌面云解决方案33.1方案设计原则33.2桌面云产品架构图43。3关键组件介绍53。3.1硬件平台53。3。2软件平台63.4方案价值总结73。4。1云安全:全面保护业务数据73.4.2云管理:提升IT运营效率73。4.3云灾备:确保桌面连续性83。4.4云办公:实现工作
2、自由高效83。5投资回报比分析83。6产品技术优势9第4章项目配置清单及说明104.1应用场景需求说明104。2用户桌面配置方案114。2.1云终端配置方案114.2。2虚拟机配置方案124。3服务器存储配置方案124。3。1服务器配置方案124.3.2存储配置方案134。4网络设备配置方案144.4.1网络带宽需求说明144。4.2交换机配置方案144.5桌面云方案整体配置清单15第5章桌面云详细架构设计方案165。1详细架构示意图165。2用户终端设计方案165。2.1桌面云终端访问165.2.2采用现有PC165.2。3移动终端接入175.3桌面控制器设计方案175。3。1部署说明175
3、.3。2集群设计195.3.3功能概览205。4服务器设计方案225。4.1部署说明225.4.2集群设计235.4。3功能概览245。5虚拟存储设计方案255.5.1部署说明255。5.2磁盘设计265.5.3功能概览285.6桌面云网络设计方案285.6.1业务网285。6。2存储网295。7桌面云安全设计方案305.7.1传输协议安全加密305.7.2身份认证权限管理315。7.3区域安全隔离315。7.4业务数据加密存储32第6章深信服桌面云产品理念及技术优势326.1流畅326.1。1云终端硬件加速326.1。2高效桌面交付协议336。1。3外设兼容性保障336.1。4SSD缓存加速
4、346。2稳定356.2.1多层面HA机制356.2.2多副本数据存储366.2。3宕机极速恢复366。3高效376.3。1融合一体化架构376。3。2简约风格控制台386。3。3IOM智能诊断平台386.3。4桌面性能基准评测396.4安全406。4.1多重身份认证系统406。4。2端到端云防护设计406。4.3云安全杀毒方案41第7章深信服桌面云典型应用案例427.1典型案例介绍427.1。1中国文化部427.1。2湖北省鄂州国税437。1。3北方联合电力447。1。4上海爱屋吉屋447。1。5贵州南明区教育局447.2各行业案例表(部分)44iv深信服科技版权所有 第1章 IT发展趋势分
5、析1946年,世界上诞生了第一台电子数字计算机,标志了人类进入新式计算机时代,并对社会发展产生了巨大的推动作用。继此之后,计算机科学技术不断发展,特别是以集成电路、微电子等技术的重大突破,促使计算机朝着更便捷、更人性化的方向发展,几乎每十年便会有一次“彻底颠覆。当前,我们已经进入了“互联网+时代, 在此时代,IT系统及信息资产是核心竞争力,所以提升IT效率与安全性是各行业的关键战略方向。然而,面对新时代、新IT诉求,传统PC却存在管理效率低下、数据安全缺失等众多弊端,这再次推动了新技术的研究与变革,现在及未来几年,计算机会从“本地模式”转变为“云化模式”,从而解决传统PC运维效率低、数据安全性
6、差等多种难题。第2章 桌面云方案概述2.1 业务挑战与需求2.1.1 信息安全风险大传统PC模式,信息数据及办公文档分散存储于每台终端上,当硬盘故障将导致重要文件丢失,随着PC数量越多,其数据丢失风险越大,而面对广泛分布在每台电脑上的硬盘数据,IT人员也难以实现统一的数据备份及恢复。再者,不同办公场景均有大量的办公PC,PC与服务器之间传输的是实际业务数据,该数据会缓存在用户本地或在传输过程中被截获,同时用户还可以通过PC拷贝机密数据并随意外发。所以在这种情况下,PC将成为网络中的一个安全缺口,如果不加以管控,则信息泄密风险极大。2.1.2 高昂的运营成本每台PC都有主板、CPU、内存和硬盘等
7、众多零部件,在长达35年的生命周期中,平均每台PC报修次数高达3次以上,每次维修周期需要1到2个工作日不等,因此在硬件故障维护及更换方面需要投入巨大的人力与经费。除此之外,PC桌面管理复杂,包括系统升级、补丁更新、安装软件、网络配置等维护工作均需逐台完成,消耗大量的人力,而且IT人员往往需要亲临现场解决问题,进一步增加了支持成本。同时,传统PC+显示器为250W,那么一台电脑将产生高达352元/年的电力成本,且电脑发热量也比较大,在办公空间密集的情况下,散热成本也逐步上升。因此,IDC预测,用户在PC硬件上投资10元,后续的运营开销将高达30元,而这些投资并不能产生业务价值,也即投入越多,浪费
8、越大.2.1.3 桌面无法移动化在当今竞争激烈的业务环境中,用户需求不断变化,工作不再局限于某个场所,而是采用一种“移动化、随时随地的工作方式,员工希望通过任意设备随时随地访问数据和应用程序,从而提高工作效率与响应速度。但是,传统PC将办公桌面与特定计算机绑定,限制员工只能在固定工位上进行办公,使用起来非常不灵活,无法满足移动桌面办公需求。为了满足移动化战略需求,办公桌面需要从“以PC为中心”的模式向“以用户为中心的模式发展,即摆脱将用户桌面、应用程序和数据绑定至单个硬件的束缚,使得用户能够自由连接熟悉的个人桌面系统。2.2 桌面云:云计算之旅第一步迈向云计算之旅的第一步就是利用桌面云切断硬件
9、设备的依赖性,将原先运行在PC上的桌面、应用和数据统一迁移到数据中心的服务器,这样不仅可以有效解决桌面部署和管理的难题,而且还可为用户提供工作所需的桌面灵活性和可访问性,实现随时随地的访问。第3章 深信服桌面云解决方案3.1 方案设计原则l 流畅体验桌面云应提供与PC一致的用户体验,保证流畅的桌面操作及视频播放,并且良好兼容打印机、身份证读卡器、指纹仪、摄像头、高拍仪等各类外设。l 高可靠性桌面云应提供主机和磁盘的冗余部署机制(比如HA技术、虚拟存储技术等),确保桌面及业务的可靠运行,同时要求桌面架构具备平滑扩容能力。l 易于使用桌面云应提供软硬件一体化服务器平台及更少的管理组件、更易用的管理
10、平中,从而实现简单高效的安装调试及运维管理,提升运行效率。l 高安全性桌面云应提供前端、传输端、后端等更全面、多层次的安全功能,包括多种认证方式、传输层加密、数据盘加密等,从而有效保护平台及用户安全.3.2 桌面云产品架构图深信服提供一站式、高性价比桌面云方案,整套方案只需要云终端、桌面云一体机(包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台)两种硬件,即可完成桌面云的快速搭建。其中,桌面云一体机VDS是一款专为云桌面设计的软硬件一体化服务器,集成了服务器虚拟化、存储虚拟化、虚拟桌面控制器等软件平台,用户无需复杂的安装调试过程, 将VDS开机之后,只需要按照向导式配置界面执行几个操作步
11、骤,即可完成桌面云部署上线,非常方便快速。3.3 关键组件介绍3.3.1 硬件平台1. 云终端(ARM) ARM架构:硬件架构采用ARM A9芯片,其优势在于系统运行效率更高,而且长期使用更为稳定。 一体化设计:设备采用集成化设计模式,无多余零部件,并且运行过程中发热少,所以寿命更长,高达58年. 绿色环保:平均功耗仅10W,相对PC可节省10倍电力成本,并且无风扇运行,全程无噪音。2. 桌面云一体机(VDS)桌面云一体机是一款专为“云桌面”量身定制的软硬件一体化服务器(包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台),通过提供简单、一站式交付方案,极大降低部署难度,从而帮助用户加快桌
12、面云项目进度。 高性价比:深信服桌面云方案无需购置独立存储,通过虚拟存储技术提供高性能、低成本的存储方案,效果与独立存储一样,但可以节省存储成本。 极致体验:传统方案采用纯机械硬盘设计,多桌面并发使用时容易卡顿.深信服采用SSD+HDD混合设计方式,同时利用高效缓存技术可以提升多倍IO性能,保障云桌面流畅体验. 良好扩展:普通服务器方案,扩容时需要停机做复杂配置。桌面云一体机在扩容时无需停机,只需在线加入集群,即可自动实现资源平衡,扩容非常轻松方便。 高稳定性:深信服桌面云一体机采用全集群架构设计,主机和磁盘硬盘均有冗余设计机制,能够实现故障自动迁移,确保桌面业务稳定运行.3.3.2 软件平台
13、1. 虚拟桌面控制器:提供用户认证管理、细粒度策略控制、桌面/云终端统一监控及管理等功能,实现更安全、更可靠地交付云桌面。2. 服务器虚拟化:祼金属架构,可为云桌面提供高性能负载平台和先进管理功能,包括虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能。3. 存储虚拟化:将服务器直连硬盘形成分布式共享数据存储,通过内置冗余机制可透明存储多个数据副本,以确保磁盘和服务器故障时,数据不会丢失,并且依然可用。3.4 方案价值总结3.4.1 云安全:全面保护业务数据过去,数据放置在每台终端上,面临数据丢失和外泄的风险。现在,通过桌面云将数据从PC本地迁移到数据中心,便于集中备份
14、,而且集中化模式使得所有的数据计算与业务交付都在后台完成,敏感数据不再需要离开数据中心,从根本上降低数据安全风险。另外,借助桌面云IT部门可以通过设置集中化策略控制用户对数据的访问权限,例如控制用户是否能将文件从数据中心的桌面拷贝到本地设备或U盘。3.4.2 云管理:提升IT运营效率过去,桌面支持与管理成为IT部门“大负担”之一,随着桌面数量增多,这种情况变得越来越严重.现在,借助模板部署、派生及更新技术,IT人员可以轻松、快速地创建多个桌面,并在几分钟内将应用程序和配置文件推送到上千个虚拟桌面。在日常维护方面,IT人员也只需要维护几台服务器、几套模板和一些应用程序,提升IT管理效率,节省支持
15、成本。3.4.3 云灾备:确保桌面连续性桌面云构建了一套高可用的桌面架构,借助自动化备份和集中式运维,可以简化终端硬件管理,使故障恢复从传统PC的几小时缩短至几分钟,提升用户办公体验,员工不需要担心因客户端丢失或故障而造成工作中断,因为用户的数据和应用程序均存储在数据中心,即便设备丢失或发生故障,用户可以从其他设备登录,并快速衔接中断的工作。3.4.4 云办公:实现工作自由高效借助桌面云,员工只需要记住1套账号密码,不管是在办公室、在家还是在出差,只要网络是可达的,用户就可以使用云终端、笔记本、智能终端等不同设备随时访问桌面,而且可以获得一致的办公桌面体验.这种模式,实现办公的无边界,工作不会
16、因为场所的变化而中断,有效提升员工的工作效率。3.5 投资回报比分析分析项目500台云终端500台传统PC投资成本500套(云终端+用户授权)10台服务器500台PC管理成本(年薪4万/人)需要1人工资支出:4万需要2人工资支出:8万运维成本运维成本节省75%硬件更换费用降低50%云终端寿命58年维护难度大、效率低硬件更替成本高PC寿命35年能源成本总功率:10W500+10*1200W=17000W电费(按0.7元/度):2。5万/年总功率:200w500=100000W电费(按0.7元/度):15万/年费用节省1年总支出:6.5万5年总支出:32。5万1年总支出:23万5年总支出:115万
17、每年节省16.5万,5年节省82。5万总体来说,部署云桌面需要购买云终端、服务器、存储及桌面云软件授权等软硬件设备,所以前期投资并不会低于传统PC,但长期下来所带来的就是运维工作量及成本的降低(每年可以节省不少的硬件成本、维护成本和电力成本)。所以,随着年份增长,部署云桌面的收益将越来越大。3.6 产品技术优势l 卓越体验 视频重定向+硬件芯片解码:让用户获得与PC一致的播放流畅度,同时节省服务器资源占用,在多并发播放时,CPU利用率可控制在10%以内。 SSD缓存加速:热点/重复数据自动利用SSD进行IO提速,深信服已将缓存命中率突破至60以上,提升桌面启动速度和操作流畅度。除此之外,深信服
18、借助总线映射、虚拟摄像头、U-Key直通识别等多项核心技术,可以完美兼容U盘、打印机、读卡器、扫描仪、摄像头、高拍仪、Ukey等上千种主流外设。l 高度稳定 多层面HA设计机制:借助服务器集群、动态迁移、虚拟存储、端口汇聚等多项HA机制,构建一套高可用桌面架构,提升容错能力. 多副本数据存储:一份数据在2-3台主机进行实时备份存储,实现最大程度的冗余互备,无需担心主机或磁盘的故障而造成数据丢失。l 极其精简 融合一体化架构:桌面云一体机为管理员提供一套极其精简的架构,避免安装的复杂性;单点登录和联动关机为用户提供易于上手、操作便捷的桌面云。 简约风格控制台: UI设计方面遵循少即是多的设计理念
19、,我们尽量去除复杂操作,更多地使用一键式、向导式的配置界面,实现精简管理。l 全面安全 多重身份认证系统:提供高达6种身份认证方式,可按需自由组合,满足不同级别用户(普通员工、领导等)的安全接入需求。 端到端云防护设计:提供面向桌面云的安全保障体系,包括客户端准入、软件防火墙、传输加密、安全存储等端到端技术,提升安全性.第4章 项目配置清单及说明(本章所涉及的性能参数仅供参考,不作为最终选型标准)4.1 应用场景需求说明应用场景操作系统、应用程序、磁盘空间、外设等需求规模(人)办税大厅终端用户:柜台人员操作系统:Windows7磁盘空间:系统盘20G,数据盘20G(开启还原模式,每次重启恢复为
20、原始状态)应用程序:CTAIS/税控系统/退税系统/车购税系统/执法系统等业务系统、IE/Office/PDF等日常办公软件外设:金税盘、金税读卡器、普通打印机、针式打印机、高拍仪、扫描仪300本项目主要将桌面云部署在办税大厅,替换柜台业务人员的办公PC,不仅可以完美兼容各项涉税应用和外设(如上表),而且能够实现统一化、标准化的桌面运维,以及提升税务保密安全。另外,为了最大程度节省维护工作量,建议将桌面设置为还原模式,这样即便产生中毒或软硬件等故障,只需将虚拟机桌面系统重启,便可快速恢复正常业务。4.2 用户桌面配置方案4.2.1 云终端配置方案适用人员终端型号详细配置参数规模(人)柜台业务S
21、TD-200HARM四核/1G内存/4G存储/6USB/1VGA或1HDMI300考虑到办税大厅涉及外设较多,本项目建议部署STD200H云终端,具备6个USB接口,满足连接外设所需。接口如不足,推荐增加USB分线器,最高支持15个外设并发使用.4.2.2 虚拟机配置方案适用人员虚拟机配置参数规模(人)柜台业务2vCPU/2G内存/系统盘20G+数据盘40G/20IOPS300基于办税大厅应用场景的需求描述,可以判定该场景为“中载模型”,因此推荐每用户虚拟机的性能参数为:2vCPU/2G内存/系统盘20G+数据盘40G/20IOPS。每用户系统盘分配20G,虚拟机模板及快照建议保留4T存储空间
22、,所以需要20G*300+2T=8T系统盘;而每用户数据盘分配40G,所以需要40G300=12T。因此,最终总共所需的硬盘可用空间为20T。4.3 服务器存储配置方案4.3.1 服务器配置方案桌面云一体机型号主要配置数量VDS5050E5-2630v32/128G内存/存储:1块64GSSD、1块240GSSD、6块1T-SATA/6千兆网口9为了提供最佳用户体验,VDS-5050单机推荐承载37用户(最高50用户),所以建议配备9台服务器,总共可以支撑333用户,当其中一台服务器出现故障,剩余8台服务器依然可以支撑近300用户,实现了冗余部署,保证桌面云平台的高可用性。4.3.2 存储配置
23、方案系统盘缓存盘数据盘数量(以每台服务器为单位)1*64G-SSD1*240G-SSD6*1TSATA9本项目采用分布式虚拟存储方案,直接利用服务器自带硬盘组成统一存储资源池(替代独立的存储设备),并且数据存储采用双副本机制,确保数据可用性.具体配备原则如下: 每台服务器配备1块64G-SSD硬盘,用于安装桌面云软件系统;配置1块240G-SSD硬盘,用于热点/重复数据缓存加速,提升桌面IO性能。 每台服务器配备6块1TSATA硬盘,用于存储虚拟机模板、操作系统及用户个人数据。实践证明,按SSD+HDD的硬盘配置方式,每台服务器可提供1000IOPS以上,平均每用户高于20IOPS。另外,本项
24、目有9台服务器,总共54块1T-SATA硬盘(减去7%折损系数,实际可用0。93T),由于采用双副本机制,最终可分配空间为54*0.93T/2=25T,可以满足本项目所有用户的系统盘+数据盘空间分配需求(总共20T),并保留5T的扩容空间。4.4 网络设备配置方案4.4.1 网络带宽需求说明应用场景带宽/bps延时/ms丢包率说明办税大厅xxMb500%由于办税大厅涉及较多外设、且日常使用很频繁,所以本项目建议为每用户保留xxMps网络带宽.另外,如果需要通过广域网(如专线)交付桌面云,要求网络延时50ms、以及无丢包,这样才能保证用户体验.4.4.2 交换机配置方案交换机型号配置信息数量xx
25、xx三层交换机(核心/汇聚),背板带宽15Gpbs,16*千兆端口(5个端口下联接入交换机、3个端口连接桌面云服务器)2xxxx二层交换机(接入),背板带宽2Gbps,2千兆端口(上联核心/汇聚)、24*百兆端口(下联桌面云终端)5按每用户平均消耗xxMbps(根据视频码率而定),则业务网总带宽为xxGbps;另外,每服务器还需消耗1Gbps用于多主机数据同步(存储虚拟化),则存储网总带宽为9Gbps(9台服务器),因此建议核心/汇聚交换机背板带宽为xxGbps或以上。接入交换机每台连接40台桌面云终端,按每用户xxMpbs,则每台接入二层交换机背板带宽为xxGbps或以上,采用2个千兆端口汇
26、聚分别上联到两台核心/汇聚交换机。同时,由于核心/汇聚交换机既用于业务网桌面交付,又用于存储网数据同步,其高可用性非常重要,因此本项目推荐部署2台实现冗余。4.5 桌面云方案整体配置清单设备名称及型号详细描述数量价格预估硬件部分STD-200H桌面云终端,ARM四核平台300VDS5050桌面云服务器(一体机)9VDC-xxxx虚拟桌面控制器(详见备注)0交换机xxxx三层以太网交换机2交换机xxxx二层以太网交换机5显示器300键鼠套装300软件部分桌面云用户授权按并发用户数计算300虚拟存储模块VS5050适用于VDS5050,每服务器配备1个9备注:虚拟桌面控制器VDC,单个集群高于30
27、0并发用户必选,低于300并发用户可选软件VDC(免费),本项目并发用户数为100,故采用软件VDC。第5章 桌面云详细架构设计方案5.1 详细架构示意图(本节需根据实际的部署环境输出详细架构拓扑图)5.2 用户终端设计方案5.2.1 桌面云终端访问新增人员,每人部署一台桌面云终端,实现集中部署与管理,提升运行效率,同时降低IT运行的总体碳排放量,符合国家整体能源战略。型号适用场景配置参数STD-100普通办公、生产线、计算机室A9双核,1G内存,4G存储,4USB口,1VGASTD-200H平面设计、视频监控、大屏显示A9四核,1G内存,4G存储,6*USB口,1*VGASTD-500双屏办
28、公人员X86双核,6*USB口,2G内存,8G存储,1VGA,1HDMI5.2.2 采用现有PC可以有效利用现有PC,通过在PC上安装桌面云客户端软件,实现对云桌面和业务系统的访问.最大程度利旧,节约PC更换成本。支持两种模式:1) PC本地桌面和云桌面共用,比如本地桌面用于上网业务、云桌面用于办公业务,实现业务安全隔离;2) 开机直接跳转到云桌面使用界面,不进入本地桌面,上网及办公业务都在云桌面上完成,IT人员只需要集中管控云桌面即可,本地桌面无需管理,节省工作量。5.2.3 移动终端接入可以采用基于ios和Android系统的平板电脑、智能手机,通过在appstore或安卓商城下载easy
29、connect客户端,即可实现对云桌面的访问,实现移动化业务办公。5.3 桌面控制器设计方案5.3.1 部署说明 虚拟桌面控制器(VDC)主要负责账号及资源管理、用户认证、新桌面注册分配、传输优化、控制桌面状态、瘦终端集中管理等。 目前支持两种部署模式:软件VDC和硬件VDC,其中软件VDC只适用于300用户以下应用规模,硬件VDC适用于任意应用规模。本项目并发规模为300用户,因此采用软件VDC方式.软件方式:直接在虚拟化平台上创建软件VDC,不需要依赖windows server操作系统,它会以虚拟机的方式运行于服务器上,安装部署非常方便。支撑软件VDC所需的虚拟机配置信息CPU2vCPU
30、内存4G磁盘10G网络接口1vNIC 硬件方式:提供经过优化与改进的1U或2U的专业硬件设备,有多种型号可供选择,可以实现更好的稳定性及高性能,满足更多用户并发接入。建议选购两台设备做集群部署,保证桌面业务高可用性。型号支持并发用户数大小VDC25005001UVDC260010001UVDC450020002UVDC460050002UVDC-8500160002U5.3.2 集群设计本方案采用两台独立VDC设备(软件或硬件)组成集群模式,提供更可靠的桌面接入服务,并且可以提高接入容量及性能。 每台VDC设备为1个集群节点,用户通过集群IP连接云桌面时,集群软件将动态分配桌面连接到各个正常运
31、行的VDC节点,以充分利用每个VDC节点的资源.如果集群中其中一台VDC节点发生软硬件故障,用户会重新连接到正常的VDC节点,所以只要集群中有一台VDC设备是正常的,桌面业务将不会中断.如果有新的VDC设备加入集群,它会自动下载所有配置信息,与其他VDC节点保持一致,可以节省配置工作量.VDC集群支持会话同步,当其中一台VDC设备出现异常时,可以无缝迁移到其他正常的VDC设备上,用户无需再重新登录认证即可使用.5.3.3 功能概览u 桌面发布及访问1) 可以发布Windows XP、Windows7等桌面操作系统,开关机过程可见,提供与PC一样的用户体验。2) 支持多终端访问,用户可以使用智能
32、终端(ios/android)、PAD或笔记本,随时随地接入云桌面,实现移动办公。3) 通过安装VDI客户端可以将旧PC变身“瘦终端”,实现PC开机后直达VDI登录界面,并且当网络中断时,可切换到PC本地桌面,满足应急办公需求。u 易用性改进1) 可以实现单点登录,实现VDI认证和桌面系统认证一体化, 用户只需1次认证即可接入云桌面。2) 可以联动关机,用户只需点击云桌面“关机”按钮,云桌面和瘦终端将一体化关闭,提升操作便捷性。u 用户体验优化1) 可以兼容文档处理、浏览器、即时通讯工具等各类办公软件,并支持打印机、高拍仪、摄像头、网银key等常用外设,以满足正常办公需求。2) 支持上网缓存加
33、速,可以将用户上网过程中产生的cookies、网页等数据,自动使用内存实现高效加速,有效提升网页浏览速度,并降低硬盘IO消耗。3) 支持视频重定向,以提升播放流畅度及性能,播放1080P高清视频,虚拟机CPU利用率低于15%,从而降低服务器资源消耗,提升虚拟机部署密度。u 安全策略1) 支持6种身份认证方式随需组合,包括本地认证、短信认证、动态令牌、硬件特征码绑定等,以满足不同级别的安全接入需求,同时要求能够与AD域/Radius等第三方认证平台完美结合,实现用户认证。2) 支持设置首次登录强制修改密码、定时修改密码、图形校验码和软键盘等密码安全策略,以保障认证密码安全性,避免越权访问行为。3
34、) 支持客户端安全检测,可根据用户接入的终端类型、操作系统版本、接入IP和时间、软件安装情况等指定访问策略,如客户端不满足安全检测要求则不允许接入,有效保障接入安全性。4) 支持用户终端与云桌面平台之间采用VPN隧道传输,实现数据加密,保障外网接入安全。5) 支持个人盘加密技术,对云桌面个人数据进行加密保存,保障个人隐私安全。u 运维管理1) 支持为云桌面设置还原模式,在操作系统重启后,除个人数据之外其他内容均还原为初始状态,始终为用户呈现干净可用的桌面环境,降低系统故障率。2) 支持统一完成云桌面的开机、关机、挂起、重启等操作,并支持为云桌面设置开关机计划,实现上班前自动开机、下班后自动关机
35、,节省资源占用。3) 支持集中分配个人磁盘,并可以指定磁盘空间大小,在空间不足时还可以为用户新增个人磁盘,以满足用户文档存储需求.4) 支持云桌面分组管理,同时支持批量设置IP,为用户云桌面快速分配IP地址,提升IT人员桌面维护效率。5.4 服务器设计方案5.4.1 部署说明本项目采用深信服桌面云一体机服务器,每台服务器预装深信服服务器虚拟化和存储虚拟化软件,实现开机即用,不需要复杂的安装调试。部署时,将所有主机加入集群,形成统一资源池,方便资源分配及调用, 以及实现集群主机的集中化管理、监控。5.4.2 集群设计如图所示,IT人员只需要将主机选中并加入集群,即可快速完成HA架构配置,非常简单
36、。这样,无论是计划外停机或者服务器出现故障,此架构都能提供最高级别的桌面服务可用性。服务器集群架构无需第三方软件,通过服务器虚拟化平台内置的HA功能特性实现集群主机互为监控,一旦检测到服务器故障之后,自动在集群内的其他正常主机重启虚拟机,保证桌面业务正常运行。另外,如果某台桌面服务器需要维护,在无需中断服务的情况下,可将服务器之上的虚拟机迁移至其他服务器,管理员可以快速、完整地执行运维工作.l 工作原理1) HA技术可以持续监控集群内的桌面服务器和虚拟机,一旦出现故障可快速恢复。恢复时,还会自动选择资源池中最佳的服务器来激活虚拟机,实现资源负载均衡。2) 只要将主机加入集群,HA技术会时刻监控
37、各主机是否有足够可用的资源以及服务器、虚拟机的状态,以便在发生故障时能快速在正常服务器上进行激活。由于所有的虚拟机镜像文件统一存放在共享存储或虚拟存储中,所以使得虚拟机在其他服务器能够快速重启.5.4.3 功能概览u 统一资源管理1) 无需部署集中管理平台,通过Web方式接入集群控制台,实现对所有主机统一管理。2) 支持虚拟机远程运维,无需安装任何插件,即可接入虚拟机操作系统界面,实现桌面管理。3) 支持模板克隆技术,IT管理员只需创建标准桌面模板,即可快速派生出N多个云桌面系统,极大缩短桌面系统上线周期。u 性化优化1) 支持内存或SSD缓存技术,能够对重复硬盘数据进行IO加速,提升云桌面启
38、动速度和运行效率。2) 支持内存页合并技术,能够有效消除多个虚拟机运行过程中重复只读内存数据,以节省内存使用,提升服务器部署密度。u 备份与恢复1) 支持快照技术,当系统故障时可实现故障回滚;同时支持增量保存快照数据,以节省存储空间。2) 支持虚拟机集中备份与恢复,可按需选择多个虚拟机或全部虚拟机备份至外置服务器,并可设置备份策略,实现自动化备份。5.5 虚拟存储设计方案5.5.1 部署说明本项目采用分布式虚拟存储架构,通过它可以将服务器直连硬盘整合起来,形成存储资源池(相当于一台独立存储设备),从而为云桌面平台提供经济高效的存储服务,并且效果与独立存储一样。分布式虚拟存储主要通过磁盘管理、缓
39、存技术、存储网络、冗余副本等技术,管理集群内所有硬盘资源,最终提供统一存储空间用于虚拟机的保存、管理和读写。这样,在无需共享存储的情况下,依然可以实现虚机迁移及故障切换,不仅节省存储购买成本,而且利用分布式技术架构进一步确保数据的高可用性。5.5.2 磁盘设计u 多副本数据存储机制分布式虚拟存储架构采用多副本数据存储机制,以避免数据丢失风险。副本技术通过在多主机或多磁盘同时存储数据(即同一虚机文件在多台服务器并存),当主机或磁盘故障后,可以从其他磁盘的副本信息快速恢复数据.目前支持13份副本(跨主机存储),1副本,数据只保存1份,不具有容错能力;2副本,数据保存2份,能够容忍1个磁盘或者1台主
40、机故障而桌面业务不受影响;3副本,数据保存3份,可以容忍2个磁盘或者2台主机故障而桌面业务不受影响。当采用2副本或者3副本时,如果某主机发生了故障,运行在该主机上的虚拟机会自动在其他主机上重启,这样可以保证用户桌面继续正常使用。 由于副本数会影响到实际可用的硬盘空间,为了确保数据不丢失,并最大化可利用的空间,本项目采用双副本机制,即同一虚机文件在2台服务器有副本信息(相当于跨主机RAID1),这样可以确保集群内其中一台服务器宕机后,数据不丢失,桌面业务可以迁移到其他主机上继续使用。u SSD+HDD磁盘混合设计本项目采用SSD+HDD磁盘混合方案,包括1块SSD硬盘和多块SATA/SAS硬盘,
41、其中SSD的IO性能较高,作为缓存盘,用于缓存用户经常访问的热点数据;机械硬盘的IO性能较低,作为数据盘,用于存储用户虚拟机和个人数据。目前,深信服桌面云一体化服务器的缓存命中率高于60%,这样就可以实现以较低成本获得非常高的IO性能,保障云桌面用户体验.5.5.3 功能概览1) 基于高度可用的设计架构,其冗余机制可存储多个数据副本,从而确保磁盘、服务器的故障,不会影响桌面和数据可用性。2) 支持SSD+机械硬盘混合设计模式,SSD用于缓存云桌面热点数据,机械硬盘用于存储个人数据,为了保证使用效果,要求SSD缓存命中率不低于60,以提升云桌面IO性能,让用户获得最优用户体验。3) 为满足云桌面
42、扩容需求,要求支持无缝扩展技术,当工作负载变化或性能扩展时,只需将服务器加入集群,即可动态调整资源以实现负载均衡,让扩容更为轻松方便。5.6 桌面云网络设计方案5.6.1 业务网本项目建议采用2块千兆网口进行链路聚合以提升带宽及可靠性。业务网的流量主要包含以下3种:1) 桌面图像变化产生的流量:鼠标移动、界面切换、页面翻滚等只要存在图像变化的地方都会产生流量.2) 视频重定向:本地视频和Flash视频,传输速率与音视频码率一致(流量与在PC看网上电影差不多)。3) 外设重定向:打印机、扫描仪、U盘、摄像头等外设,其流量大小取决于拷贝/打印文件的大小、图像分辨率的大小。5.6.2 存储网存储网络
43、的流量主要包括:桌面IO操作、副本信息、迁移数据等。由于分布式虚拟存储架构会按照算法将虚机文件分布保存在不同服务器上,云桌面运行过程中产生的IO操作或副本信息需要通过网络传输.因此,存储网络是否稳定非常关键,建议将存储网络与业务网络分离,单独构建一套存储网络来支撑虚拟存储通信,每台服务器保留2块千兆网口用于存储通信,并且采用链路聚合的方案来提升通信带宽,以及保障存储网络稳定性。u 方案一:单交换机链路聚合本方案分别将服务器的2个网口连接到交换机(如图所示),可以提升存储网络的容错性,单网口或链路发生故障不会影响存储正常通信。u 方案二:双交换机链路聚合本方案采用双交换机链路聚合方案,每台服务器
44、分别连接到两台交换机,并配置链路聚合。这种方式,需要2台交换机,增加了成本,但是具有更好的容错性,可以保证网口、网线和交换机的故障,都不会影响虚拟存储的通信,并且也进一步扩大了不同服务器之间的存储带宽.5.7 桌面云安全设计方案IT系统对安全性要求越来越高,云桌面平台各环节要求体现安全控制的理念。因此,需要通过良好的安全控制手段,来保证正常桌面业务运行,并规避安全风险。本项目采用的安全措施包括:传输协议安全加密、身份认证权限管理、区域安全隔离、业务数据加密存储。5.7.1 传输协议安全加密员工利用云桌面平台进行日常办公,瘦终端通过专有虚拟交付协议连接到数据中心,传输协议承载了图像传输、身份认证
45、等关键信息,本方案采用SRAP通信协议,此协议仅传输客户端图像变化和鼠标、键盘等操作数据,本身并不直接传输应用数据,避免了数据在终端驻留泄露的可能性.另外,为进一步提升传输安全性,传输协议采用SSL加密手段,保证所有信息都在安全通道内传输.5.7.2 身份认证权限管理 为了建立针对用户的访问权限,实现细粒度的管理平台策略,需要建立用户身份认证平台,建立统一的用户身份认证将给云桌面平台的统一管理提供更高的安全性和便捷性。 深信服云桌面平台可以通过本地数据库或基于LDAP实现平台的统一身份认证、权限分配和策略发布.并且具备良好的密码管理策略,可强制密码长度、密码生存期、密码更改最短有效期、密码复杂性要求、帐号锁定等各种密码安全策略,确保用户密码的安全性。 此外,如果需要更高安全性,平台可同时支持使用U-key认证、短信认证、动态令牌、硬件特征码等多因子身份认证技术实现更加安全的身份认证.活动目录的规划与管理需考虑用户的组织架构和