管理信息系统桌面虚拟化技术要求.docx
《管理信息系统桌面虚拟化技术要求.docx》由会员分享,可在线阅读,更多相关《管理信息系统桌面虚拟化技术要求.docx(13页珍藏版)》请在冰豆网上搜索。
管理信息系统桌面虚拟化技术要求
管理信息系统桌面虚拟化技术要求
V1.0
管理信息系统部
2010年5月
目录
1概述
1.1背景
随着信息化技术的不断发展,计算机终端已经成为员工办公不可缺少的办公工具之一。
目前,接入中国移动管理信息系统网络的终端主要包括:
个人办公终端、混用终端、涉密终端以及代维终端等,具体情况如下:
⏹个人办公终端主要指配备给公司员工用于日常办公的个人电脑。
总部已于07年开始,组织开展了全国终端管理平台的项目建设,以实现对所有个人办公终端的管理;
⏹混用终端主要指配备给公司社会用工日常使用的终端。
由于中国移动社会用工人数众多(公司现有员工41.2万,其中社会用工29.6万),流动性大,工作时间、地点不固定,同时,由于公司办公场地紧张、成本控制等方面的限制,很难做到为每位社会用工配置个人计算机终端(据初步统计,约有80%的社会用工没有个人终端),混用终端现象普遍,所带来的问题是:
✓社会用工混用办公电脑,没有个人办公桌面,办公效率不高,同时,在混用电脑上保存数据,缺乏安全保障,且难以保证随时随地访问;
✓混用终端的使用、维护混乱,安全漏洞多,易遭受病毒/木马攻击,从而影响办公网络及办公终端的安全性;
✓混用终端故障几率高,维修周期较长(据统计,平均每次维护约需1天时间),影响社会用工工作。
⏹涉密终端主要指存储公司相关秘密信息,并可以接入公司局域网络的终端。
目前对涉密终端的管理缺乏相应的技术手段,对其中所存储重要文档信息的安全保障有待加强;
⏹代维终端主要指管理信息系统相关厂家的开发、维护人员在我公司内部使用的电脑。
代维终端随意接入移动局域网,易引发病毒、木马的传播,同时,代维人员日常工作涉及对后台系统大量的访问,易发生操作失误、公司重要信息泄密等事件。
针对上述问题,可以采用桌面虚拟化技术建设虚拟桌面平台,为社会用工、代维人员、涉密人员等提供个人虚拟桌面,达到加强桌面管控,简化维护管理,提高办公网络及桌面的安全性等目标,并和终端管理平台相结合,构建管理信息系统所有办公终端管理的统一支撑体系:
⏹为社会用工提供个人虚拟桌面及个人数据存储空间,解决桌面混用问题,方便其日常办公,并为基层班组建设信息化平台的建设和推广使用提供基础条件:
✓国务院国资委高度重视班组建设,国资委副主任、党委委员黄丹华指出:
“加强班组建设是中央企业实现发展战略,提高核心竞争力的需要;是中央企业夯实基础,提高企业管理水平的需要;是中央企业应对危机,实现调整优化上水平的需要;是中央企业坚持以人为本,建设和谐企业的需要”;
✓中国移动一贯重视班组建设,并已取得卓越成绩。
09年11月,集团还专门下发了《关于印发《中国移动通信集团公司班组建设指导意见(试行)》的通知》。
为更好的支撑班组建设工作的开展,集团还采用信息化手段,搭建班组建设信息化平台(包括:
工作动态、班组博客、网上学院、知识社区等功能),来进一步推动班组建设工作,因此,迫切需要为广大一线员工提供个人办公环境。
⏹为代维人员、涉密人员提供虚拟桌面,在支持其日常工作的基础上,确保公司信息安全。
1.2各省现状
从目前来看,已有广东、江苏等个别公司,对桌面虚拟化技术进行了应用,在加强维护管理、提高安全性、提升工作效率、降低成本等方面取得了很好的效果。
然而,各省公司的桌面虚拟化实践主要集中在某些特定领域,且没有统一的标准和流程,缺乏后续在数据中心体系下的综合演进路线,整体效果难以全面体现。
1.3编写目的
通过研究国内外桌面虚拟化方面的相关技术以及成功经验,并考虑了各公司桌面虚拟化的需求,以此为基础详细描述了桌面虚拟化的功能要求、安全要求、性能要求、接口要求等,为省公司的方案制定、系统建设工作提供依据。
本技术要求的目标读者为中国移动各省管理信息系统责任部门的相关人员。
1.4文档结构
本技术要求主体文档结构如下所示:
⏹第一章,桌面虚拟化整体背景描述
⏹第二章,桌面虚拟化的总体要求
⏹第三章,桌面虚拟化在功能方面的要求
⏹第四章,桌面虚拟化在安全方面的要求
⏹第五章,桌面虚拟化在性能方面的要求
⏹第六章,桌面虚拟化在接口方面的要求
2桌面虚拟化总体要求
虚拟化是以某种用户和应用程序都可以很容易从中获益的方式来表示计算机资源的过程,而不是根据这些资源的实现、地理位置或物理包装的专有方式来表示它们。
换句话说,它为数据、计算能力、存储资源以及其他资源提供了一个逻辑视图,而不是物理视图。
桌面虚拟化是一种仅将操作系统桌面呈现在用户面前的技术,由服务器端完成运算,一般会结合服务器虚拟化和应用虚拟化进行。
服务器虚拟化技术指将一台服务器模拟出多台服务器,分配给不同用户使用;应用虚拟化指仅将应用程序界面呈现在用户面前的技术,也是由服务器端完成运算。
桌面虚拟化是在物理服务器上安装虚拟主机系统,由虚拟主机系统模拟出操作系统运行所需要的硬件资源,如:
CPU、内存、网卡、存储等。
操作系统运行在这些虚拟的硬件资源之上,可以达到多个操作系统共享物理服务器的硬件资源,从而提高资源利用率。
虚拟桌面的存储和执行(包括操作系统、应用程序和用户数据)都集中在数据中心,用户使用终端设备通过远程协议(如:
RDP、ICA)进行访问。
桌面虚拟化必须具备以下能力:
⏹具备物理PC终端的桌面特性;
⏹满足高性能要求,提供强大的处理能力,保证用户使用的良好感知;
⏹具备高可靠的自身安全性,保证网络、自身设备的高可用性;
⏹提供方便灵活的部署方式、丰富的系统管理能力、便捷的维护管理方式等。
桌面虚拟化应带来如下收益:
⏹快速、灵活部署:
按需申请、快速发放、无需搬运沉重的PC主机,统一接入、随时随地访问;
⏹提高资源利用率:
统一管理后台数据中心资源,并统一进行调度管理,将资源的利用率最大化;
⏹数据存放安全可靠:
数据存放在后台数据中心,安全可靠。
且访问虚拟桌面时在网络上传输的都是图片信息,不易被他人通过网络窃取信息;
⏹维护便利:
瘦终端无须软件维护;虚拟桌面维护工作可在后台统一进行,非常便利;
⏹节能减排:
采用桌面虚拟化系统,因瘦终端功耗很低,同时,数据中心的资源利用率又较高,因此,可达到节省成本、节能减排的目标。
3桌面虚拟化功能要求
桌面虚拟化的功能要求主要包括基本功能、用户使用便利要求、应用虚拟化、维护管理和可靠性等方面。
其中,基本功能包括多种方式接入、支持无差别的多应用访问、支持多虚拟机、支持主流操作系统、支持主流存储技术;用户便利使用要求包括系统可随时随地访问且支持个性化桌面,支持SSO,支持网络存储空间的动态分配,支持音频输入输出等;应用虚拟化指将应用程序从底层操作系统分离出来,支持虚拟桌面与应用软件虚拟化间的无缝集成。
此外,桌面虚拟化还需支持多种部署、维护方式,能提供丰富的管理维护手段,同时具备电信级兼容性和可靠性。
具体如下:
⏹基本功能
✓桌面虚拟化系统支持以瘦终端、物理PC(台式机、笔记本)、软终端(浏览器方式)等方式接入;
✓桌面虚拟化系统支持对办公系统(如:
统一信息平台、ERP、IMS等)、生产系统(如:
BOSS、OSS等)、应用软件(如:
Office、WinZip等标准化软件)等的访问使用,且用户对虚拟桌面的体验同单台物理PC的体验没有区别;
✓桌面虚拟化系统需要支持将物理主机虚拟为多个虚拟机,虚拟桌面支持WINDOWSXP、WINDOWSVISTA、WINDOWS7等操作系统,并支持多个虚拟机共用同一系统盘;
✓桌面虚拟化系统支持ISCSI、IP-SAN、FC-SAN、NFS多种方式的网络存储,为员工提供虚拟桌面以及个人存储空间;
⏹员工使用方便,感知良好
✓员工可通过任意本地终端(如:
瘦终端、物理PC等)访问虚拟桌面,但要求同一本地终端在同一时间只允许一个员工登录访问;
✓员工从一个本地终端转移到另一个本地终端,可调出原有进度继续工作;
✓系统支持对用户各自profile文件的管理,不同用户登录虚拟桌面时,调用用户各自的profile文件,从而实现用户个性化虚拟桌面的展示;
✓系统支持SSO(SingleSignON),方便员工对虚拟桌面相关资源的访问;
✓员工虚拟桌面的网络存储支持空间动态分配,且在用户的空间配额范围内,只分配给用户实际占用的存储空间;
✓桌面虚拟化系统支持24位真彩,最高支持1920*1440分辨率,16:
9宽屏显示支持1440*900分辨率;
✓桌面虚拟化系统支持将瘦终端音频输入输出接口重定向到虚拟桌面,以实现音频输入输出功能,并支持USB音频接口。
⏹应用软件虚拟化
✓系统支持虚拟桌面通过网络访问应用软件的方式:
虚拟化后的应用软件在数据中心集中管理,无需在虚拟桌面安装,并能作为一种服务按需提供给不同的用户使用;
✓系统支持采用应用程序虚拟化的方式将应用程序从底层操作系统分离出来,应用程序在虚拟应用服务器端打包,虚拟桌面用户仅需要安装虚拟应用客户端软件,即可从应用服务器端下载应用程序包并在虚拟桌面上运行,而无需安装,同时支持服务器端对应用程序版本、使用授权以及补丁更新等的集中控制;
✓系统支持虚拟桌面与应用软件虚拟化间的无缝集成,方便用户按其权限灵活使用;
⏹支持多种部署、维护方式
✓支持大规模批量部署虚拟桌面承载服务器,可采用光盘和网络安装方式;
✓虚拟桌面支持光盘安装、PXE网络安装、网络ISO安装等方式;
✓虚拟桌面的模板支持离线制作方式,同时,虚拟桌面支持通过模板的批量部署。
⏹提供丰富的管理维护手段
✓提供虚拟桌面的自动化管理功能,包括创建、附加和解除用户关系、修改、注销、查看、资源计算等功能:
◆创建:
根据用户属性创建虚拟桌面,用户属性包括用户身份信息、虚拟机规格(CPU,内存,硬盘等)、操作系统和应用软件(如:
Office)等属性;
◆附加和解除用户关系:
管理员可以把一台虚拟桌面和一个用户绑定起来,也可以解除虚拟桌面和用户间的关系;
◆修改:
管理员可修改虚拟桌面的规格,包括但不限于增加内存,增加硬盘,增加CPU核数等;
◆注销:
管理员可删除废弃的虚拟桌面,释放系统资源;
◆查看:
用户可查看具有访问权限的虚拟桌面列表,并能查看相应的属性和状态;
◆资源计算:
管理员输入特定的硬件规格(CPU,内存和硬盘等),系统可返回现有服务器资源可以虚拟出这种硬件规格的虚拟桌面数量;
✓提供虚拟桌面集中补丁管理功能,包括对虚拟机模板的补丁升级,对虚拟桌面的补丁升级等;
✓支持管理员对虚拟桌面的集中管控,包括虚拟机的启动、停止、重启、控制台接入、快照、恢复快照等;
✓提供对各虚拟桌面的性能分析和报表输出等功能;
⏹支持和终端管理平台相结合
✓支持以终端管理平台的用户管理为基础,首先实现虚拟桌面的身份及权限管理,之后,逐步实现对所有虚拟桌面的资产、软件、补丁、外设、策略等的统一管理;
⏹具备电信级兼容性和可靠性
✓支持虚拟桌面发生故障时的自动热迁移,实现业务体验无中断;
✓桌面虚拟化系统需采用模块化架构,具有良好的性能和可扩展性,当系统容量不足时,能实现无缝平滑扩容;
✓桌面虚拟化系统可靠性要求99.99%,单个虚拟机的可靠性要求99.9%,存储系统数据可靠性要求99.999%;
4桌面虚拟化安全要求
桌面虚拟化的安全要求主要包括基础可靠性、软件可靠性、用户接入与使用的信息安全、系统备份、日志管理及系统维护管理的信息安全等。
⏹基础可靠性
✓服务器硬件可靠性:
服务器和存储系统均需具备电信级的可靠性;
✓业务网络和管理网络的可靠性:
通过网络架构和路由协议,保证系统的网络可靠性,包括:
无单点故障、有丰富的路由、有相应安全技术保障等;
⏹软件可靠性
✓所有软件系统均需采用负载均衡、主/备份等方式实现,单个部件故障对业务无影响;
✓虚拟桌面以资源池的方式进行管理,单个主机/部件发生故障时,在其上使用的用户只需重新登录,即可重新进行资源分配,实现用户的迁移;
✓系统管理软件运行在虚拟机上,并实现HA功能,虚拟机发生故障时可自动进行迁移。
⏹用户接入的信息安全,需支持丰富的认证、鉴权模式
✓桌面虚拟化系统支持采用NovellED、集团统一建设的SMAP平台以及其它LDAP实现用户身份认证,并支持和上网行为管理系统相结合,实现基于用户、用户组、IP、IP段等的用户访问公网行为的控制;
✓桌面虚拟化系统支持用户通过瘦终端、物理PC等,采用外接智能卡方式,实现用户身份认证;
⏹通过多种虚拟化技术手段,保证使用过程中的信息安全
✓任何人员(包括各类系统管理员)无法访问他人虚拟桌面镜像文件中的用户数据信息;
✓虚拟桌面系统盘支持差分模式和独立运行模式,差分模式允许用户在共享系统盘的基础上,保留自己的私有数据,包括应用和系统数据;独立运行模式不允许用户修改系统盘,所有的修改在虚拟桌面重启后均会丢失;
✓桌面虚拟化系统支持对USB接口的管控,包括禁用、只读、读写等;
✓桌面虚拟化系统支持用户访问虚拟桌面后,不在本地物理终端上保留任何用户登录、使用信息;
✓桌面虚拟化系统支持对虚拟桌面用户打印权限控制、对打印数据加密、打印日志审计等功能;
⏹系统备份
✓桌面虚拟化系统支持虚拟桌面的手工热迁移(迁移时间<2分钟);
✓当虚拟桌面承载服务器发生故障时,系统支持所承载虚拟桌面的迁移,用户只需重新登录,即可继续使用;
✓系统支持虚拟桌面系统盘、员工个人存储空间的离线、在线增量、全量备份。
⏹日志管理
✓桌面虚拟化系统支持对用户、各类管理员使用虚拟桌面的日志记录功能;
✓桌面虚拟化系统支持对虚拟桌面使用的性能监控、日志记录功能;
⏹维护管理的信息安全
✓桌面虚拟化系统支持两类系统管理员的管理,一类是系统业务维护管理员,负责进行创建虚拟桌面,附加和解除用户关系,修改、注销、查看虚拟桌面,桌面桌面资源计算等工作;另一类是系统日志管理员,负责对用户和系统业务维护管理员使用桌面虚拟化系统的日志记录的查看、审计等工作;
✓要求两类管理员严格独立,系统业务维护管理员的任何操作均需产生日志,并由系统日志管理员统一管理。
5桌面虚拟化性能要求
桌面虚拟化系统的建设需充分考虑系统的性能以及其可扩展性。
建议各公司对部分现有典型办公电脑工作负载进行采集,以此为依据测算出桌面虚拟化平台硬件环境所需要的各项指标(如:
CPU、内存、网络带宽、磁盘IOPS等),并根据各公司桌面虚拟化的建设规模,设计出桌面虚拟化平台的系统架构、软/硬件配置等。
具体要求如下:
⏹桌面虚拟化系统所提供的虚拟桌面需支持多个虚拟CPU、512M及以上独享内存、20GB及以上独享个人数据存储、1个及以上虚拟千兆网卡等;
⏹桌面虚拟化系统所提供的虚拟桌面需具备良好的性能,确保用户使用体验同单台物理PC没有区别,如:
使用瘦终端登陆时,虚拟桌面显示无拖尾现象,播放视频流媒体或使用虚拟桌面拨打电话时,没有声音及图像的中断/抖动或延时现象;
⏹桌面虚拟化系统需支持对每个虚拟桌面的性能限制,以避免同一台虚拟桌面承载服务器上的多个虚拟桌面间的相互影响;
⏹桌面虚拟化系统需支持大用户量的并发使用,并具备良好的可扩展性,便于日后平滑扩容。
6桌面虚拟化接口要求
虚拟桌面可采用瘦终端、物理PC等方式进行访问。
对于瘦终端,需要具备良好的可靠性、广泛的软件兼容性和硬件兼容性,并支持多种安全认证方式等。
瘦终端接口要求具体如下:
⏹支持智能卡或安全令牌等认证方式;
⏹支持微软RDP协议5.2版本、RDP6.0及以上;
⏹支持CtrixICA10.x协议及以上;
⏹支持CtrixXenDesktopDDCBroker;
⏹支持虚拟机VMwareVDMBroker;0
⏹兼容不同厂家的鼠标、键盘、显示器等设备。
升级会员 