资源描述
海航集团金山私有云存储项目建设方案建议书
正本
数据安全共享与存储管理云平台项目
项目设计方案说明书
北京金山云网络技术有限公司
2014-5
目 录
1. 项目需求概述 7
1.1. 项目概述 7
1.2. 用户需求概述 7
1.2.1. 软件需求及关注要点 7
1.2.2. 硬件设备 9
2. 针对海航集团安全与存储管理云平台的建设解决方案 9
2.1. 利用金山私有云集群技术实现数万用户海量文档存储需求 10
2.1.1. 金山集群存储平台的性能概述 10
2.1.2. 金山集群存储优秀性能满足海航长期存储应用需求 10
2.1.3. 利用金山集群存储能满足海航统一存储管理需求 11
2.1.4. 金山集群存储系统建设海航云平台实现方案 12
2.1.5. 关于金山集群存储私有云系统的系统软件说明 15
2.2. 利用金山虚拟磁盘实现海航终端用户数据回收及数据集中 16
2.2.1. 金山私有云数据集中回收应用模式 16
2.2.2. 金山私有云虚拟磁盘应用及优势概述 16
2.2.3. 使用虚拟磁盘带来工作方式及相应管理对策 18
2.3. 利用金山私有云文件夹授权机制实现统一文档管理架构 18
2.3.1. 利用群组文件夹共享实现海航文档协同共享应用 18
2.3.2. 金山私有云群组文件夹支持多层嵌套授权管理机制 20
2.3.3. 利用金山私有云能满足海量文档的多类文档管理服务 21
2.4. 利用金山私有云安全特性解决海航集团统一安全访问架构 22
2.4.1. 金山私有云采用密文存储方案杜绝服务器数据泄密 22
2.4.2. 结合Windows组策略实现客户端数据安全管控 23
2.4.3. 提供文档的全生命周期安全审计功能 25
2.4.4. 金山私有云提供三员管理模式后台管控安全有效 26
2.5. 金山私有云针对海航复杂内部网络环境的适应性说明 26
2.5.1. 针对网络环境良好的内网用户推荐无缓存客户端方式 26
2.5.2. 同时提供有缓存和无缓存两种虚拟磁盘支持 26
2.6. 金山私有云提供安全、丰富的协同应用功能 27
2.6.1. 终端协作应用功能丰富 27
2.6.2. 提供Web在线形式下的Office、PDF文件的在线预览 28
2.6.3. 针对CAD类在线预览的实现方案 28
2.7. 用户关心的私有云其他相关应用问题说明 29
2.7.1. 私有云与桌面虚拟化融合实现虚拟资源互补 29
2.7.2. 金山私有云的异地备份功能 30
2.7.3. 针对海航未来异地多IDC规划的实现方案思考 30
2.8. 金山建设私有云项目的优势 30
3. 金山大规模集群存储的技术架构介绍 32
3.1. 当前存储背景 32
3.2. 金山公司开发了分布式的集群存储技术 35
3.3. 金山集群存储系统组件介绍 37
3.3.1. 系统概述 37
3.3.2. 分布式文件系统 38
3.3.3. 负载均衡软件 39
3.3.4. 灵活冗余软件 39
3.3.5. 故障自动恢复软件 40
3.3.6. 大目录支持软件 40
3.4. 金山集群存储系统功能及特点 41
3.4.1. 海量数据高效管理 41
3.4.2. 数据读写性能 42
3.4.3. 数据全局共享 42
3.4.4. 数据安全性 43
3.4.5. 系统可扩展性 44
3.4.6. 与现有环境无缝兼容 44
3.4.7. 系统的整体拥有成本 45
3.5. 使用金山集群存储系统提高投资回报率 45
3.5.1. 超高性价比 45
3.5.2. 降低管理及运行成本——简易存储 46
3.5.3. 提高用户应用的生产力 47
4. 金山私有云产品的应用价值 47
4.1. 应用价值概述 48
4.2. 金山私有云应用的好处 50
4.2.1. 集中存储汇聚企业桌面端文件 50
4.2.2. 群组机制解决企业日常文档协作应用 51
4.2.3. 安全特性保障敏感文件放心存储 53
4.2.4. 多终端应用实现随时随地访问工作文件 53
4.2.5. 利用文件加密解决方案实现重要文件防扩散应用 54
5. 用户关心的技术问题应答 54
5.1. 对海航安全共享私有云功能应答 54
5.2. 金山私有云系统的功能点总结列表说明 58
5.3. 与互联网形态的云存储产品对比 63
6. 关于金山私有云与第三方应用整合的API方案 64
6.1. 金山私有云提供的一些基础API介绍 64
6.1.1. 鉴权(auth) 64
6.1.2. 登陆(login) 65
6.1.3. 获取列表(dir) 65
6.1.4. 下载文件(download) 67
6.1.5. 查看文档(viewdoc) 67
6.1.6. 上传文档(upload) 68
6.1.7. 文件名关键字查询(find) 69
6.2. 采用单一大账号的方式整合介绍 69
6.3. 利用金山私有云为应用系统提供存储服务能带来的好处 70
7. 海航私有云建设二期规划——终端文档安全防护方案 71
7.1. 海航私有云应用文档安全防护需求 71
7.2. 金山私有云文档防外泄解决方案 71
7.2.1. 技术综述 71
7.2.2. 设计思路 73
7.2.3. 应用方案 73
7.2.4. 功能实现说明 76
7.3. 金山私有云模式下文档防外泄DLP应用效果 76
7.3.1. 安全管理视角 77
7.3.2. 用户视角 77
7.3.3. 系统维护视角 77
7.4. 金山私有云模式主机监控安全审计方案 77
7.4.1. 安全需求分析 78
7.4.2. 方案说明 78
7.4.3. 技术方案 78
8. 金山私有云体系结构及部署环境 85
8.1. 产品体系结构介绍 85
8.1.1. 总体框架图 85
8.1.2. 系统技术路线 87
8.1.3. 系统部署设计 92
8.1.4. 系统安全设计 93
8.1.5. 金山私有云差分编码技术记录文件格式的历史版本 94
8.2. 系统环境部署方案 94
8.2.1. 系统配置目标 94
8.2.2. 系统拓扑图 95
8.2.3. 服务器配置——A型:网盘服务器 95
8.2.4. 服务器配置——B型:数据库服务器 96
8.2.5. 服务器配置——C型:元数据服务器 97
8.2.6. 服务器配置——D型:集群存储服务器 97
8.3. 关于金山私有云集群的部署软件整体打包安装说明 98
8.4. 系统兼容及适应能力介绍 98
8.4.1. 访问性能 99
8.4.2. 系统扩展 99
8.4.3. 兼容性 99
8.4.4. 高可用性 99
9. 产品应用目标及产品特色 100
9.1. 产品功能 101
9.1.1. 存储与安全相关功能 101
9.1.2. 便捷应用相关功能 101
9.2. 应用建议 102
9.2.1. 群组应用 103
9.2.2. 扩展存储空间 104
9.2.3. 外链分享 104
9.2.4. 移动办公 104
9.3. 产品特色介绍 105
9.3.1. 强大的文件夹授权功能 105
9.3.2. 用户组织结构灵活管理 105
9.3.3. 较低的学习成本 105
9.3.4. 方便快捷的移动办公 106
9.3.5. 可以不再占用本地空间的虚拟盘 107
9.3.6. 其他特色 107
10. 金山私有云网盘产品功能 108
10.1. 客户端软件概述 108
10.1.1. 概述 108
10.1.2. 客户端硬件环境要求 108
10.2. 产品功能列表 109
10.3. PC客户端功能介绍 111
10.3.1. 系统登录 111
10.3.2. 文件自动同步 111
10.3.3. 文件的删除及找回 111
10.3.4. 历史版本 112
10.3.5. 共享空间功能 112
10.4. Web访问功能 112
10.4.1. 个人文件与群组文件操作 113
10.4.2. 文件相关管理 117
10.5. 安卓及IOS客户端功能 120
10.5.1. 个人空间功能 120
10.5.2. 群组文件夹 120
10.5.3. 移动端文件操作 121
10.6. 管理端功能介绍 128
10.6.1. 文件统计功能 129
10.6.2. 部门管理 129
10.6.3. 用户管理 131
10.6.4. 群组管理 135
10.6.5. 外链管理 138
10.6.6. 锁定管理 138
10.6.7. 审计管理 139
11. 金山集群存储系统相关管理功能介绍 140
11.1. 集群存储登录 140
11.2. 存储系统管理配置功能 141
11.3. 存储系统管理 144
11.4. 存储系统监控 146
11.5. 金山集群存储的高级管理功能 148
11.6. 金山集群存储的实际部署流程 149
11.6.1. 初始化流程 149
11.6.2. 存储服务器宕机处理流程 149
11.6.3. 元数据服务器宕机处理流程 151
11.6.4. 替换坏掉的元数据服务器处理流程 151
11.6.5. 替换坏掉的磁盘设备 152
12. 金山私有云项目推广相关事项 152
12.1. 海航集团启动私有云共享文档分类管理调研 152
12.2. 对共享文档的相关管理岗位权限设计参考 153
12.3. 系统运维制度和流程参考 153
12.4. 文档分类权限设计参考 155
13. 项目实施方案 156
13.1. 项目实施目标 156
13.2. 项目实施内容 157
13.3. 项目总体进度计划 157
13.3.1. 项目启动阶段 157
13.3.2. 设备采购阶段 158
13.3.3. 项目系统设计阶段 159
13.3.4. 系统开发阶段 159
13.3.5. 项目集成阶段 160
13.3.6. 系统联调及初验阶段 160
13.3.7. 项目试运行及终验阶段 161
13.4. 项目组织结构管理 161
13.4.1. 项目组织机构 161
13.4.2. 职责分工 162
14. 产品培训方案 165
14.1. 培训目标 165
14.2. 培训标准 165
14.3. 培训条件 166
14.4. 培训流程 166
14.5. 培训对象及特点分析 167
1. 项目需求概述
1.1. 项目概述
为了提升企业业务管理水平,增强企业竞争力,海航集团信息化建设正持续跟随最新技术潮流发展。
考虑到最新的“云计算”模式带来的巨大效能提升、大幅节约成本等技术优势,海航集团信息化领导希望逐步建立海航集团内部的“云应用”平台,依靠“云”技术手段,整合企业内部各类资源、有效节约管理成本。
就企业文档管理应用建设方面,为进一步有序管理企业内部各类工作文档、提升文件管理和访问效率、降低文档总体管理成本、并增强文档的安全防护能力,海航集团内部拟围绕“云存储”技术规范,建设集中化的、便捷的、安全的云文档应用管理平台。
1.2. 用户需求概述
1.2.1. 软件需求及关注要点
1、建设规模概述
青岛海航集团总员工有数万规模,分部在多个不同的办公地点。
为解决企业内部文档的集中化和安全性管理问题,海航集团希望能通过建设“私有云”存储的方式。
海航集团内部“私有云”的建设,希望具有平滑扩展的能力,首期建设考虑3000-5000用户规模,系统平稳运行后,将扩充至3万以上用户规模。要求系统扩充时,原有云数据及应用能无需长时间“停机”改造,能直接平滑扩容。
2、客户端“虚拟盘”的应用形式访问云存储
系统管理员可以针对每个用户自由分配存储空间。所分配的空间并不是即刻占据实际存储空间,而是虚拟的预分配,等用户实际存储了文件,才占据实际物理空间。
每个客户端用户部署一个云存储客户端软件,利用这个客户端软件将“云存储”服务端的分配空间映射到客户端的某一个磁盘盘符上。
用户端使用这个盘符进行文件存储和访问,要与普通磁盘操作体验一致。
3、 关于“云存储”的存储特性要求
“云存储”服务端数据,从存储形式上要求具备分散、切块、压缩、加密等特性,服务器的系统管理人员不能从登陆操作系统后,直接看到这些文件的明文文件。
“云存储”数据,要求支持“数据去重”功能,两个相同的文件要求在服务器端物理存储上去重。
“云存储”要支持多机服务器平滑扩展,要支持数据的多重冗余备份能力。
“云存储”要支持远程备份的能力,能将重要数据备份到远程楼宇备份中心。
4、 关于“云存储”用户端的共享应用要求
用户通过云存储客户端软件,打开云端虚拟映射磁盘,虚拟磁盘应该可以保留个人数据和部门间的共享数据。
对需要部门间共享的数据,可通过对不同文件夹进行共享授权,能对不同的用户进行分类授权,如可编辑、可删除、可管理等。
能将共享文件夹以文档外链的形式共享。
对虚拟的云端磁盘中操作的文件,要求能保留文件的编辑版本历史,并能回滚到指定的版本历史文件。
要求提供云端文档的防“误删除”功能。
5、 关于用户的文档安全防外泄要求
用户使用虚拟云端磁盘作为工作数据盘,即要求用户的所有工作文档必须要强制保存到该盘上,不能让用户通过“另存为”或文件复制粘贴等方式将数据(或明文文件)拷贝到其他盘上。
用户的Office等相关应用程序保存在系统盘上,整个解决方案要能限制用户不能将工作数据保存到数据盘之外的其他盘上。
6、 关于系统效能等要求
使用云存储的用户,在多用户并发访问云存储的虚拟粗盘数据时,要具备高效的访问效能。要避免多用户同时访问云端数据导致系统阻赛无响应或宕机的情况。
7、 关于云存储数据的操作审计功能
“云存储”系统要能审计到所有用户对云端文档的所有相关操作。
即要能审计到文档的创建、编辑、移动、共享、取消共享、删除等全生命周期的过程。
审计数据至少保留3年。
8、 关于统一存储服务以及统一身份认证整合
“云存储”系统将作为海航集团内部应用存储的统一存储服务平台,要求能满足其他应用系统将文档数据存储进入“云存储”平台。
“云存储”系统要能和海航统一身份认证系统(Novell IdentityManager简称(IDM))整合,实现单一登陆、集中身份认证。
9、 关于跨平台、移动端、Web端
要求支持安卓、iOS移动端云存储终端访问功能,要求提供Web端文档访问界面,并具有一致的文档访问功能。
1.2.2. 硬件设备
需要针对上述需求提供相应服务器、负载均衡、存储等硬件支持的选型。
2. 针对海航集团安全与存储管理云平台的建设解决方案
2.1. 利用金山私有云集群技术实现数万用户海量文档存储需求
2.1.1. 金山集群存储平台的性能概述
海航集团数据安全与存储管理项目的一个重要指标就是满足海航数万用户的海量文档的并发承载以及平滑扩容支持能力。海航集团目前已经有数万规模的办公用户,并且随着业务的发展,今后仍可能继续增大办公用户规模。因此海航云平台的建设需要的是能集中建设统一管理的、满足分布式部署、能线性提高承载能力及扩容需求的、安全可靠的存储支撑平台。
金山公司所具有的的云存储技术,完全具有满足海航上述存储需求要求的支撑平台——金山集群存储软件系统。金山的集群存储软件技术,相比传统NAS等存储方案来说,具有承载超高密集读写、超高吞吐能力、以及超大文件数量的处理优势特点。金山集群存储成功应用在金山公司面向互联网用户提供的“金山快盘”公有云存储运营服务的实际案例,证明该金山集群存储系统在互联网复杂网络环境下,能承载超过6000万活跃并发用户访问、数据容量超过20PB存储容量,文件数量超百亿。这个承载能力以及系统成本考量方面是NAS、SAN等传统存储解决方案所无法承受的。
金山集群存储系统是针对海量数据存储应用而设计的大规模通用集群存储系统,采用通用硬件设备(无需昂贵的专业存储设备)作为基本的构建单元,为应用提供全局统一的文件系统映像和完全与本地磁盘兼容的访问接口(POSIX兼容)。
2.1.2. 金山集群存储优秀性能满足海航长期存储应用需求
金山集群存储系统能够支持超过100PB级的存储容量,并根据用户应用发展的趋势,适时按需进行在线动态扩展。通过适当增加应用和存储服务器的数量,能以接近线性的方式聚合访问带宽和服务承载能力,完全能满足海航集团十数万用户的并发访问需求;
金山集群存储的世界领先的元数据服务器集群技术消除了现有存储系统中所存在的单目录下文件数量、小文件处理速度等种种限制,提供了近乎无限的文件存储数量和极高的文件检索速度,是业界唯一一款能够高效支持千万级大目录的存储系统(单目录下可轻松创建千万数量级的文件,并能对文件进行高速随机检索)。利用这个特性能完全满足海航集团内部所有非结构化文件的存储和快速检索要求。
同时金山集群存储系统采用了自主研发的全系统规模数据高可用技术,彻底消除存储系统中的单点故障,结合特有的自动故障探测和快速故障恢复技术,确保用户的应用持续稳定地运行。利用该特性能为海航集团云平台建设提供高可靠、高稳定的系统运维环境,能以几乎零维护的方式极大的方便海航后台的运维管理工作。
金山集群存储系统彩用了数据路径(读、写)和控制路径(元数据)分离的架构,这种存储系统带外架构让数据通过以太交换网络直接在应用服务器和后端存储服务器之间进行传输,消除了性能瓶颈,提高了数据吞吐能力。同时金山集群存储只需要普通的运算设备实现高聚合带宽能力。利用该特性,金山集群存储可利用普通的PC服务器实现高承载能力的集群存储,能有效的解约海航海量存储平台的建设费用,并且能满足海航长期对存储平台的按需访问、即时扩容等要求。
2.1.3. 利用金山集群存储能满足海航统一存储管理需求
金山集群存储能接管海航内部的现有存储设备以及新购的各类存储设备,能实现对异构存储设备的统一管理,并能针对不同的企业应用进行按需分配。
如上图所示,如果部署金山私有云集群存储系统,能以集群的方式对企业的各类应用提供存储服务,包括对应用提供NAS协议的或iSCSI协议的存储服务。既能满足Windows服务端的系统空间存储需求,也能满足Linux应用环境的存储需求。存储的划分分配管理提供统一的管理界面,使用操作运维管理非常方便。
2.1.4. 金山集群存储系统建设海航云平台实现方案
我们推荐采用多台PC存储服务器,组成应用+存储集群的方式,实现海航集团安全与存储云平台项目本期建设,所要求的10000并发用户的建设需求。
利用金山集群存储平台上的网盘应用结构,系统的总体网络拓扑结构如下:
实现海航支撑1万并发用户访问提供1PB有效存储网络结构
如上图所示,利用金山集群存储系统的金山私有云解决方案,在满足1万并发用户可靠支撑、同时提供1PB有效存储能力,需要4类服务器,分别是应用服务器负载均衡集群、数据库热备集群、分布式存储服务器集群、元数据库冗余集群。
所需服务器数量的估算参考:
1、 应用服务器:
承载网盘的各种APP应用服务。例如文件列表显示、共享协作、文件查询、在线预览等。应用服务器相互组成负载均衡方式,共同承载所有用户的访问。
按我方的实际运行承载经验值评估,一台符合要求的标准应用服务器,大致能承载500-1000用户(视文件的并发访问频繁程度)的并发访问。
理论估算:
万兆网卡(结合SSD硬盘)承载实际带宽≈1248MB/s*90%(除损耗)≈1MB/s*1000用户
千兆网环境下≈ 0.125MB*1000用户
由于金山私有云方案,能满足并发1万用户的访问流量均分到每台应用服务器上,因此,按上述理论评估,20台应用服务器:
Ø 在万兆网环境能平稳支撑每用户约2MB的访问带宽。
Ø 在千兆网环境下能满足平稳提供接近平均0.25M访问带宽。
2、 存储服务器:
金山集群存储平台提供灵活的自定义冗余策略的能力。冗余数越高、抗设备灾难的可靠性越高,但是建设成本也会翻倍提高。按通常的选择看,Raid5(或Raid6)是最基础的冗余技术,带来的冗余设备增加不大,但是冗余数据恢复慢,对重要数据来说,其安全可靠性较差。
通常面向互联网运营的公有云存储服务(如亚马逊云、Google云服务等)才会采用3倍冗余,目前看安全性是最高的,但是需要的硬件存储设备要3倍,建设成本太高。
在海航本期项目中,主要是面向企业内部的各类文档存储,属于典型的企业存储需求。我方建议从应用重要性及价格成本因素两方面考虑,选择2倍数据冗余方案。
我方推荐的存储服务器的配置参考为:
金山私有云选配PC存储服务器配置参考
CPU:e5-2620*2
内存:64GB-ECC
固态系统盘:120GB-SSD
Raid卡:Lsi-9271-8i
磁盘:3TB-7200-SAS*36块
单台物理裸空间108TB ,2倍冗余后的可用空间54TB
如果按2倍冗余方式估算,从实际有效空间1PB存储空间需求计算,则实际存储空间需要2PB。按我方的推荐PC存储设备看,1台专门用于存储的PC服务器可带36块3T的存储盘,总容量可达108T,2冗余后,则达到54T有效存储空间。实现1PB实际有效空间(物理2PB存储空间),则需要20台设备。
n 金山集群存储的数据去重增值优势:
由于金山集群存储采用的是分块存储机制,其一个典型的优势是能轻松实现文件的自动去重功能,即不同用户上传的相同文件(或文件存在大量相同数据块的情况),文件都会被自动排重,会极大的节约实际存储空间。
根据用户实际使用文件的情况看估算排重的应用比率,通常办公类型的排重率通常可达到50%以上。这样20台上述标准的存储服务器,可大约能提供2PB以上的用户端存储服务能力。
3、 数据库服务器:
金山私有云的数据库,采用MySQL数据库,主要是用来存储用户账户信息、文件管理权限信息、外链发布等应用信息、用户审计日志记录等等。
针对海航的访问规模,我方见建议部署8台,组成高热备的MySQL高可用集群模式。
4、 元数据服务器:
用于存储文件的属性信息。
在文件数量低于数十亿规模的情况下,建议部署2台,组成冗余集群模式。
2.1.5. 关于金山集群存储私有云系统的系统软件说明
在我方为海航提供的金山集群存储系统的私有云平台建设方案中,我方提供的是整套的软硬件建设方案,包含所有软件系统+应用、存储服务器等硬件配置参考(网络设备除外)。该方案适合部署在海航集团现有的青岛数据中心机房中。
从系统软件角度看,我方提供的建设方案,是一次打包安装部署的方式,即服务器只需要提供符合要求的裸硬件设备,私有云建设所需要的所有操作系统、数据库、应用层软件等,均为我方在承建本项目中一次性提供,无需系统使用方另外提供任何基础平台软件。
从系统软件的使用上看,我方在服务器端均采用免费的Linux操作系统(CentOS 6.2以上),数据均采用Linux环境下的MySQL集群版本,这些平台软件也均经过金山公司定制处理,针对海航项目的环境进行特定配置。金山私有云所需要的所有应用层软件均是金山公司自主研发,我方的项目建设报价也为整体软件环境的一体化打包报价,不会在本项目建设中,为用户带来第三方软件采购成本。
2.2. 利用金山虚拟磁盘实现海航终端用户数据回收及数据集中
2.2.1. 金山私有云数据集中回收应用模式
金山私有云从整体上看,是属于客户端+云端应用模式。每个用户的办公终端上需要通过部署专有客户端,实现对客户端文件数据向云端存储空间的回收管理。金山私有云客户端同时支持PC端、Web端、安卓、iOS四类客户端,能满足企业内部几乎所有文件终端进行文件回收的应用需求。
在最为传统的PC电脑客户端上,金山提供专门的虚拟磁盘客户端软件,模拟了本地的普通磁盘盘符。在移动客户端上,金山提供了云端文件列表和各类操作功能,类似与功能全面地Web文件管理客户端。整体上看,金山私有云的整体文件回收模式说明如下:
2.2.2. 金山私有云虚拟磁盘应用及优势概述
金山私有云系统,使用了金山自主研发的网络虚拟磁盘驱动程序,这个客户端程序能将云端所分配的空间,影射成为PC端的Windows操作系统下的一个普通磁盘盘符,这样用户通过登录自己的账号,就可以打开自己的云端空间,并且所有的文件操作习惯和应用方式均和Windows本地的磁盘文件操作完全一致。
利用上述方式,由于采用金山专有的虚拟磁盘驱动程序,文件数据从云端到终端应用程序的过程,是即传输即使用的,无需完整下载后再打开。这样多用户并发使用的情况下,也不会占用太大的网络资源。例如:利用金山磁盘虚拟终端访问云端视频文件,可以即时快进快退等操作,无需等待,访问体验效果好。
作为日常办公工作来说,在千兆内网环境下,1台上述服务器带动500用户进行较频繁的工作文件访问,能确保无显著的效率影响。
利用金山虚拟磁盘驱动程序的应用方式
采用这种方式,具有如下几个好处:
Ø 用户平时的工作,只要存入这个虚拟工作盘,数据可直接存入云服务器,采用的是即时的存储过程。
Ø 用户打开虚拟磁盘,系统只是刷新文件列表,而不是同步所有文件。只有打开需要的文件时,才从云端打开访问,避免了金山早前同步所有文件的方式带来的网络带宽占用大的问题。
Ø 由于采用了金山自主的网络虚拟磁盘驱动程序,客户端访问云端磁盘的网络速度非常高效,在普通的千兆网环境下,用户下载大文件的稳定速率是26M(大B字节)左右,想比金山快盘早前同步模式下5-6M(大B字节)速度有显著的提升。
Ø 另外,从安全性角度看,客户端应用关闭后,本地将关闭所有缓存数据,因此客户端不会遗留任何文件,安全等级要更好。
对海航集团整体文件管理来看,通过虚拟磁盘盘符,能将终端用户的日常工作文件统一化的集中收集到云端存储,统一保存,这些数据将享受到云端的安全性、可靠性保障,数据几乎永不丢失,最终形成海航统一的数据资产。
2.2.3. 使用虚拟磁盘带来工作方式及相应管理对策
使用上述的金山虚拟磁盘技术工作方式后,针对海航集团现在的传统PC端存储文件的方式来说,传统的操作习惯没太大变化,但是工作方式可能会带来一些变化。
例如:用户原先存储的
2.3. 利用金山私有云文件夹授权机制实现统一文档管理架构
2.3.1. 利用群组文件夹共享实现海航文档协同共享应用
金山私有云作为面向企业的云存储产品,与个人云存储产品的最大区别就是具有与企业“组织机构”集成,提供群组文件夹共享机制,金山私有云系统能有效地替代企业现有的FTP、Window共享文件夹,能解决文档集中存储后的安全管理问题,能有效地提升企业内部员工文档协作的工作效率。
金山私有云的“群组文件夹”功能具有如下一些特点:
Ø 群组文件夹的访问权限即可授权给某些用户,也可以授权给某个部门。
n 群组文件夹的授权访问用户,可授予可编辑、只读、可删除、可再管理等组合权限,可满足企业员工对文档的日常共享需求
n 同一群组文件夹可设置多个管理人员,以便在单个管理者外出时的状况
Ø 群组文件夹的创建者不必是企业IT管理人员,任何用户都可以创建群组文件夹,方便企业实际工作的空间授权管理。
n 群组文件夹的创建者通常就是企业各部门的业务管理者,无需IT管理部门参与,可节省部门间沟通的环节。
n 利用群组文件夹共享机制,可将原先IT部门对企业文档共享的集中管理权限,下放到各业务部门,即减轻了IT部门文档管理的压力,也增大了业务部门管理文档的灵活性。
n 群组文件夹的创建者可根据当前业务的需要随时创建,无需预先制定长远的目录规划。可即刻开始工作,并可以随时修改目录结构。
n 群组创建者可确定群组文档的生命周期,对于到期的群组文档可通过归档操作将群组转入云端访问,每个群组授权用户的桌面端将自动删除,不会长期占用用户的桌面存储空间
Ø 群组文件夹直接就是云端文件的影像,能对所有授权访问者提供一致最新版本
n 用户可以在群组文件夹中直接编辑文档,编辑结束后的文档即时显示到群组文件夹共享的所有用户终端,大家保持一致的最新版本
n 群组文件夹中的用户可以对文件进行“锁定”处理,被锁定的文件不会被其他用户窜改,因此能实现文档的统一维护更新。并且也可以防止文档多人编辑时的冲突问题。
n 群组文件夹中的每一个用户,在每次编辑完成后,都会自动形成一份历史版本文件,群组的每个用户都可以追溯到该文档之前的所有历史版本,即能查看到文档形成历史过程
n 群组文件夹中的文档,支持Excel电子表格文件的“共享工作簿”编辑应用,直接支持在虚拟磁盘上进行多人协同表格工作。
n 文档的历史版本记录功能满足各类文档,与文档格式无关。
2.3.2. 金山私有云群组文件夹支持多层嵌套授权管理机制
利用“群组文件夹”上述的一些特点,能帮助海航集团快速实现全集团统一文档共享及协同工作规范,具体举例如下:
² 实现企业公共文件快速分发到桌面。
n 企业管理者可将“企业制度”、“工作规范”等公共类型的文档通过公共访问授权的群组,直接下发到员工桌面端。
n 企业部门的主管可将“工作模板”等规范化模板文档下发给部门人员
² 对同一任务多个人分工进行的情况下,保持统一的、最新的工作版本
n 一个企业项目,需要5、6个人分工协作,每人负责一部分,大家实时保持最新的、一致的版本
n 企业管理者利用群组收集分散用户终端的资料,形成有序的文档集合
n 企业部门管理者利用群组监督员工的工作进度
利用金山私有云文件共享实现的一种典型实现应用案例如下说明:
Ø 总经理可以监管所有项目组织、人员安排、工作进度的情况
Ø 复杂项目可以分级管理(“项目X”分解为相互独立的X1、X2)
Ø 一个员工可以参加多个项目(“员工C”同时参与项目X2、项目Y)
Ø 一个经理可以管理多个项目(“李经理”同时管理项目X2、项目Y)
Ø 一个员工可以同时作为项目普通成员和项目管理者(“牛博士”参与项目Y,同时管理项目Z)
2.3.3. 利用金山私有云能满足海量文档的多类文档管理服务
l 企业所有人员都可以共享、分布式、并行使用的海量文件资源管理系统
Ø 用户账户数目可动态扩展
Ø 存储空间可动态扩展
Ø 存储管理的文件类型、数量不限
l 使用金山私有云能实现文件服务基础功能统一(更专业、更可靠、更低成本)
Ø 所有文件数据在物理上集中、统一存储和安全备份
Ø 完善的安全管理机制(身份安全控制、访问权限控制、传输安全控制、操作行为审计)
Ø 统一的访问接口(Client端)和使用模式(读、写)
l 应用功能按需配置(通过文件夹的授权管理保持与业务流程一致)
Ø 按用户角色配置应用功能(权限)
Ø 按业务流程配置文件存储模式(域目录)
Ø 按组织架构配置用户账户
l 使用过程采用网络服务方式(部署和使用更为灵活)
Ø 可以部署在海航内部网络的DMZ网络区段上(为分支机构、移动办公、客户、合作伙伴服务)
Ø 可以完全部署在海航内网中(内部数据文件管理)
2.4. 利用金山私有云安全特性解决海航集团统一安全访问架构
2.4.1. 金山私有云采用密文存储方案杜绝服务器数据泄密
金山私有云系统采用块数据存储机制,每个文件按分块原则分成等尺寸的多个数据块,每个数据块采用加密后,在分散形式的存储在服务器端的磁盘空间中,因此磁盘中的文件存储形式不同普通操作系统看到的明文文件存储方式。
金山私有云同时支持无缓存和有缓存两类客户端数据应用方案,后台均采用上述数据分块存储的安全过程。
采用这种数据分块存储的方式,能杜绝Server端泄密(包括系统管理员主动复制文件外发泄密、黑客攻击服务器泄密、管理人员拆卸硬盘导致数据泄密等等)的问题。
数据在网络上传输的过程,支持HTTP和HTTPS两种形式,能满足重要数据不被非法窃取的安全技术手段。
用户将文件传输到金山私有云端后,近具有自己以及共享授权范围内的用户能合法访问,其他用户均无法通过黑客手段获取用户数据。即后台的管理人员也无法查看到其他用户上传的资料,因此系统安全性非常高。能解决传统明文存储应用模式下的服务端文件安全管控问题。
2.4.2. 结合Windows组策略实现客户端数据安全管控
海航集团用户当前的终端办公环境基本已经实现了统一管理的方式,即所有个人用户的办公软件环境均由海航信息管理部门,按统一的管理规范进行管理。个人PC端只能安装具有规范许可的软件环境。
为了配合海航集团私有云项目的推广应用,在私有云系统部署后,云端数据已经通过密文存储方式很好的实现了安全管控,客户端也应该部署相应的数据安全管控方案,防止用户将云端的数据泄露到PC管控环境之外。
一个管控的思路是通过Windows的客户端组策略设置方案,可以实现对用户本地磁盘的隐藏和禁止操作。对金山私有云虚拟磁盘所虚拟的盘符开放所有操作。这种好处是在客户端无缓存方式下,通过金山私有云客户端可直接打开远程服务器段的虚拟磁盘空间,映射成为本地一个临时盘符,虚拟磁盘的操作与本地的磁盘操作完全一致。用户关闭客户端时,本地完全没有任何缓存数据。
关于隐藏和禁止本地磁盘驱动的设置实现方案,利用“Windows组策略”设置可实现。操作方式如下:
在打开的“组策略”对话框的左侧窗格中依次单击“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”,然后到右边的窗格中双击“防止从„我的电脑‟访问驱动器”项,接着在打开的“防止从„我的电脑‟访问驱动器的属性”设置窗口中选择 “已启用”,选择“已启用”后,在下面会出现选择驱动器的下拉列表,选择我们希望限制的驱动器后点“确定”即可。
实现对某些指定磁盘驱动器限制的组策略
结合海航集团的AD域控制管理,将上述手段规定制作好的客户端磁盘驱动器限定好的磁盘空间策略下发到对应的客户端Windows环境中,可实现隐藏和禁止本地磁盘驱动器,只允许访问私有云端驱动器的效果。
2.4.3. 提供文档的全生命周期安全审计功能
金山私有云系统后台提供文档从创建、编辑、共享、归档、删除等所有操作的审计记录管理功能。并且能记录文档行为的相关IP地址、操作者、操作时间等相关属性。
系统提供专门的审计管理界面,能为海航集团的管理员提供各种文档操作的审计数据报告,从而能对重要事故文档进行事后追责审计管理。
金山私有云的审计管理界面
2.4.4. 金山私有云提供三员管理模式后台管控安全有效
金山私有云在系统管理方面,除了统一管理员的版本,还有支持三员标准的版本,分为系统管理员、安全员和审计员,各成员独立账号密码。管理员可以重置其他用户的密码,系统会有记录,可审计。但是通过三员分离的管控模式,更帖近大型企业的安全管理需求。
2.5. 金山私有云针对海航复杂内部网络环境的适应性说明
2.5.1. 针对网络环境良好的内网用户推荐无缓存客户端方式
金山私有云提供的无缓存虚拟磁盘客户端应用方案,在进行云端文档访问操作时,平时近显示文件列表,网络流量极小,其实测的数据流量,比Web客户端访问方式还小。因此如果用户平时对办公文件的请求访问,都是小于几M尺寸的情况下,即使外地机构用户,使用无缓存磁盘访问,所占据的文件流量也不大(通常几十至数百KB的流量即可满足)。
因
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
