桌面云系统建设方案
概述
任务背景及需求
随着企业和部门员工队伍日益增大和移动化,IT部门需要改变对业务部门的支持方式,推进一个新兴的协作性环境。银河麒麟云桌面解决方案,支持员工随时随地通过不同的设备访问数据,同时有效保护数据中心内用户信息的安全。
任务定位
虚拟桌面管理系统构建于KVM虚拟化技术之上,允许多个用户桌面以虚拟机的形式独立运行,同时共享CPU、内存、显卡、网络连接和存储器等底层物理硬件资源。这种架构将用户彼此隔离开来,使每位用户都拥有自己的操作系统,同时可以实现精确的资源分配,并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。
所有服务器均部署虚拟桌面管理系统,每台服务器平均能够承载一定数量的用户,具体负荷视应用的性能而定。本项目中,将针对XX下属各业务局和直附属单位的业务需求的不同,对数据安全性的要求提供不同层次的保障。
建设目标
银河麒麟云桌面(或称桌面云),依托云计算技术,将数据中心的物理服务器进行虚拟化,使用户可以通过多种设备,在任何时间,任意地点,通过网络访问数据中心的系统,用户可以创建自己的桌面系统,同时存储数据到个人桌面系统中。这种方式增大了桌面使用的安全性和灵活性,降低了企业或单位对前端终端设备的硬件需求。
基于虚拟化技术,构建银河麒麟云平台解决方案,对项目进行整体交付,具体内容包括:
- 部署并交付云桌面软硬一体化应用交付设备环境;
- 建立统一的虚拟桌面管理系统,同种业务需求的用户享有相同的桌面及应用环境,便于统一管理;
- 建立集中的应用管理系统,集中部署、运行和管理所有的业务应用系统,便于维护;
建设结果
需求分析
云桌面系统主要用来解决用户关心的以下几点主要问题:
- 移动办公,用户能通过多种终端,随时随地访问统一的应用和数据,提高工作效率。
- 云桌面高分辨率显示支持。
- 支持多种操作系统,兼容国产主流操作系统。
- 数据集中存储,隔离保护。
- 多网隔离,增强网络安全。
方案设计
体系结构
提供一站式、高性价比桌面云方案,整套方案只需要云终端、云桌面云一体机(VDS)(即包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台)两种硬件,即可完成桌面云的快速搭建。
系统组成
硬件平台
- 云桌面云一体机(VDS)
桌面云一体机是一款专为“云桌面”量身定制的软硬件一体化服务器(包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台),其中服务器可用国产化飞腾芯片FT2000+/64。
高性价比:桌面云方案无需购置独立存储,通过虚拟存储技术提供高性能、低成本的存储方案,效果与独立存储一样,但可以节省存储成本。
高性能:传统方案采用纯机械硬盘设计,多桌面并发使用时容易卡顿。云桌面系统采用SSD+HDD混合设计方式,同时利用高效缓存技术可以提升多倍IO性能,保障云桌面流畅体验。
易扩容:普通服务器方案,扩容时需要停机做复杂配置。桌面云一体机在扩容时无需停机,只需在线加入集群,即可自动实现资源平衡,扩容非常轻松方便。
高可靠:桌面云一体机采用全集群架构设计,主机和磁盘硬盘均有冗余设计机制,能够实现故障自动迁移,确保桌面业务稳定运行。
- 云终端(多种智能终端)
云终端(瘦客户机芯片用飞腾FT1500A/4):云终端的优势在于一体化的设计,系统运行效率更高,寿命更长,而且长期使用更为稳定,平均功耗仅10W,相对PC可节省10倍电力成本,并且无风扇运行,全程无噪音。。
其他移动终端(国产设备)接入:可通过传统PC及笔记本等智能终端接入(国产化系统需要经过Firefox浏览器接入),并可流畅稳定的使用虚拟桌面,实现旧资源的盘活及灵活办公。
软件平台
-
服务器虚拟化:祼金属架构,可为云桌面提供高性能负载平台和先进管理功能,包括虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能。
-
存储虚拟化:将服务器直连硬盘形成分布式共享数据存储,通过内置冗余机制可透明存储多个数据副本,以确保磁盘和服务器故障时,数据不会丢失,并且依然可用。
如上图所示,服务器虚拟化、存储虚拟化以及网络虚拟化的功能都通过“虚拟化管理平台VMP”实现。在VMP可为虚拟机分配和灵活调配资源,可弹性调度的服务器集群环境,通过虚拟机可承载桌面环境,最终实现对物理资源的完全控制、统一桌面资源池管理和性能监控等。
存储虚拟化将所有服务器的数据盘统一资源池化,按需分配,可设置数据平衡等高级设置,如下图所示。
虚拟桌面管理系统可安装在麒麟操作系统上。虚拟桌面管理系统依据“集中计算,分布显示”的虚拟化原则,基于自主安全操作系统,提供扩展性好、运行稳定的虚拟化服务器操作系统。虚拟桌面管理系统提供统一、高效的虚拟化资源管理、配置和监控的管理维护平台。
云终端与云桌面云一体机(VDS)中间通过安全高效桌面传输协议将云桌面/应用的图像、声音压缩加密,从VDS推送到云终端;同时将用户在云终端的鼠标、键盘事件的机械码加密发送回云中心,是用户与资源交互的桥梁。
虚拟桌面管理系统可提供一种端到端的桌面云解决方案。可动态按需产生云桌面,用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。
3.虚拟桌面控制系统
提供用户认证管理、细粒度策略控制、桌面/云终端统一监控及管理等功能,实现更安全、更可靠地交付云桌面。
系统实现和部署
本系统方案逻辑拓扑图如下:
拓扑中显示屏及键鼠支持利旧,接上新购的瘦终端即可使用虚拟桌面。
拓扑中布线无需重新设计,还是复用原来的网络架构,仅需在桌面云服务器区域新增交换机并组网即可,核心交换机接口类型及数量待下一步确认。
拓扑中桌面云服务器、集群交换机、虚拟桌面控制器、瘦终端均为新购设备。
如拓扑图所示,本方案在服务器区域部署桌面云服务器集群,各部门员工的桌面云瘦终端通过局域网接入服务器集群进行办公。服务器集群组网共需三张网:存储私网、业务网和管理网。服务器集群内的数据交互通过存储私网交换机实现,本方案为保证数据读写性能及使用效果采用了万兆交换机。业务网作为用户端接入服务器使用虚拟桌面的通道,管理网向外发布桌面云管理平台。所有集群交换机采用双交换机链路聚合的方式部署来保障冗余。
部署时,每用户配备一台瘦终端,通过单网口连接到桌面云平台,后端服务器为每用户分发两个虚拟机(划分到不同集群或VLAN),分别用于访问办公网和互联网。因为两个桌面系统划分到不同VLAN,可以通过网关设备和ACL策略限制双网互访,从而实现逻辑隔离。
本方案基于逻辑隔离,每用户一次只使用一个桌面,因此只需按实际用户数授权即可,不需要额外多配授权和服务器。日常办公过程中如果需要双网切换,用户只需要在VDI资源页面上分别点击不同桌面资源,便可完成两个桌面的无缝切换。
物理架构:
- 硬件说明
详细配置见配置推荐表
| 设备 | 参数 | 数目 | 单价 | |
| 硬件设备 | 服务器 | FT2000+ CPU
8G*16内存 2000G*12磁盘 1000Mbps*4网卡 SAS/RAID5/冗电 |
4台 | |
| 交换机 | 企业级三层交换机
千兆以太网口48个 WLAN特性 |
1台 | ||
| 交换机
*(办公室可直连机房不需要) |
企业级三层交换机
千兆以太网口48个 WLAN特性 |
2台 | ||
| 瘦客户机 | FT1500A CPU
4G mem 16G SSD USB 2.0*4 VGA 10/100/1000Mbps*1 |
60台 | ||
| 其它 | 千兆网线/维修工具 | |||
| 软件 | 云平台管理软件 | 1套 | ||
| 云桌面客户端软件 | 60套 |
应用场景
安全办公、研发开发测试、呼叫中心、第三方外包、培训室、广域网场景、显卡虚拟化场景。
客户只能使用云终端及国产化系统的Firefox浏览器接入,不支持其他接入方式。
关键技术及解决方法
桌面云服务器配置
考虑到单位办公要求较高,并涉及加密及杀毒软件,因此建议每台虚拟机的性能须达到【CPU双核 2.1GHz,内存不小于4G,磁盘空间>100G】。
用户终端配置
终端虚机的平均性能为CPU双核 2.1GHz,4G内存,100G磁盘空间。
桌面操作系统
目前可兼容银河麒麟。正版操作系统需额外购买授权。如果之前已经购买过正版操作系统,那么在虚拟桌面中复用以前的序列号即可。
云桌面登录界面:
主要功能指标
技术性指标
1)每个用户平均分配的个人虚拟桌面性能为:CPU双核 2.1GHz,4G内存,100G磁盘空间. 每位用户的具体性能可以在平均值附近上下波动分配,但总体占用不能超过服务器所拥有的资源。
2)单用户普通办公占用带宽小于1Mb/S,普通网页浏览及高清视频占用带宽小于4Mb/S。
3)系统整体运行无明显延迟,操作响应时间低于50毫秒。
安全性、可靠性指标
| 1、安全功能特性 | 1.usb映射 | 支持USB映射 |
| 2.光驱映射 | 仅支持USB光驱支持 | |
| 3.企业云盘 | 支持私有云盘和公有云盘 | |
| 4.限制用户可访问时段 | 支持用户只能在指定时间段访问 | |
| 5.用户有效时间 | 支持用户在xx天后禁用 | |
| 6.主认证 | 支持用户名密码认证 | |
| 7.防暴力破解 | 支持暴力破解选项(连续错误多次启用图形验证码;连续错误多次锁定用户xx秒;连续错误多次拒绝同ip登录) | |
| 2、运维特性 | 1.客户机管理 | 支持VDC客户端管理显示国产化客户端用户的登录注销记录、支持获取客户端日志 |
| 2.导航条USB设备管理 | 支持导航条USB设备管理 | |
| 3.导航条从备份中还原 | 支持导航条从备份中还原 | |
| 4.导航条重启或关闭虚拟机电源 | 支持导航条重启或关闭虚拟机电源 | |
| 5.导航条终端网络状态 | 支持导航条终端网络状态 | |
| 6.导航条支持菜单栏发送快捷键 | 支持发送ctrl+alt+del | |
| 7.导航条切换桌面 | 支持导航条切换桌面 | |
| 8.切换至窗口化,切换至最小化 | 支持切换至窗口化,切换至最小化 | |
| 9.关闭会话 | 支持关闭会话 | |
| 3、功能特性 | 1.发布国产化虚拟机类型 | 支持发布银河麒麟Kylin-4.0.2-desktop-sp2(64位)操作系统 |
| 支持图形化桌面、命令行桌面 | ||
| 2.agent免IP接入 | 支持agent免IP接入虚拟机。 | |
| 3.支持USB存储器权限控制功能 | 支持USB存储器映射至Linux虚拟机实现可读权限、读写权限控制。 | |
| 4.支持国产化虚拟机用户权限 | 用户虚拟机内支持使用root权限和user权限。 | |
| 5.VNC接入虚拟机 | 支持VMP控制台使用VNC接入虚拟机。 | |
| 6.支持VDC设置Linux虚拟机IP | 支持VDC控制台设置虚拟机IP。支持界面设置IP和表格导入设置IP。 | |
| 7.仅支持独享桌面 | 仅支持发布独享桌面 | |
| 8.支持软件场景 | 支持用户可以在国产化虚拟机内正常使用office、火狐浏览器常规办公软件 | |
| 4、用户体验 | 1.国产化系统agent升级 | 自动更新系统agent,自动适应分辨率 |
| 2.基本体验 | 用户通过终端接入,音频(声音、录音)正常使用,圆孔耳机和USB耳机接入都能正常使用音频。 | |
| 3.导航条功能 | 用户可以在导航条设置USB设备映射、可以从备份中还原、可以重启和关闭虚拟机电源。 |
建设周期及进度安排
经费概算
可行性分析及风险分析
效能评估
集中管理、高效运维
将用户的办公桌面和数据全部集中到数据中心,提供集中式、单一化的运维模式,实现对桌面的可视化集中安装和部署,用户终端的系统实现了批量安排、批量升级,极大的降低了安装和部署的复杂度。同时,云交付平台提供的资源监控功能,能够帮助管理人员及时准确的定位故障,Web式的管理界面能够满足随时随地的访问,使管理工作更加高效。
更全面的安全保障机制
- 数据集中存放到服务端统一管理,避免了由于终端硬盘损坏或丢失造成的安全隐患。
- 种不同的认证方式和针对外设的细粒度管控保障了用户的接入安全。
- 自主研发的传输协议,采用全方位的加密算法确保数据的传输安全。
优化办公环境
云终端体积小,外形时尚,能耗低,通常只有10W,噪音只有10分贝,且散热更少,绿色环保。通过使用云终端来替代传统 PC机,节省办公空间,绿色环保,令办公环境更加整洁优雅。