桌面云建设项目方案建议书.docx
《桌面云建设项目方案建议书.docx》由会员分享,可在线阅读,更多相关《桌面云建设项目方案建议书.docx(78页珍藏版)》请在冰豆网上搜索。
桌面云建设项目方案建议书
1项目概述
1.1方案背景
株洲所在终端计算机上安装有文档加密、终端准入、防病毒等软件。
随着公司的发展,安全与效率矛盾日益突出,两者效果均不理想;研发终端配置要求日益增高,但高端资源(图站、仿真计算等)无法共享,利用率低;终端安全管控策略严格,导致终端使用体验与配置不匹配,希望通过建设桌面云项目,有效管理和动态调配资源,解决效率与安全问题。
1.2项目建设目标
株洲所桌面云平台旨在搭建一个以应用、业务为导向,以桌面虚拟化技术为核心,保证终端稳定、安全运行的平台,用于满足株洲所各业务场景的使用需求,同时适合目前公司员工及相关用户的使用习惯,实现数据集中、安全可控,管理灵活、体验良好的标准化的办公、设计开发环境。
具体目标如下:
1)增强安全:
云桌面和应用全部运行在数据中心机房,在数据中心进行集中的部署、维护和管理,保证所有人员的管理涉密数据的安全性,通过安全管控策略及其它技术手段,可以严格禁止涉密数据下载或保存到本地的客户端设备,防止由于各种原因导致终端设备丢失而导致数据流失或泄密。
2)提升效率:
随处办公,计算资源动态调配;提高设备利用率,标准化办公、开发设计环境,实现迅速部署最新的操作系统和应用软件,实现版本化、简约化管理。
3)改善体验:
标准化系统,桌面纯净,零等待进入,绿化办公环境;
优化运维:
桌面标准化,终端标准化;减少故障处理时间,综合成本降低。
2需求分析
桌面云整体框架原则:
“整体规划、分步建设”
株洲所桌面云按照15000人进行规划,然后分期分步进行部署、实施。
本期共采购1500个用户桌面虚拟化软件许可(2015年度完成800用户的部署、实施,在2016年度完成700用户的部署、实施工作),完成桌面虚拟化及应用虚拟化平台搭建,后续按照公司规划逐年、逐步完成建设工作,建立株洲所统一的桌面云平台,为公司发展提供有力支撑。
2.1使用需求
a)所采用的桌面虚拟化技术,需要保证用户在桌面云中与目前的本机工作无差别,可以支持目前株洲所7类应用场景(办公室、会议室、实验室、生产车间、特殊核心涉密、出差、移动访问)和株洲所目前的430余款办公、设计、研发类软件的正常使用;
b)一般情况下,为用户提供有办公/设计、互联网两种桌面类型;当工作需要时,根据管理和流程,可随时增加、去除相关桌面类型。
c)支持异地子公司低带宽、高延迟访问桌面云平台。
请在方案中说明对支持异地子公司低带宽、高延迟访问桌面云平台的网络要求和技术原理。
d)在桌面云中,每个工作人员都有自己的独立工作空间,设计人员与设计人员之间不能互相访问(物理上隔离),有各自的认证口令验证。
e)在桌面云中,对桌面云软件可进行可控管理,可在线升级、安装等。
2.2功能需求
桌面虚拟化平台需支持用户单点登陆访问、管理多个虚拟桌面,且可做到桌面之间数据随用户加载。
虚拟化操作系统支持
虚拟化桌面支持多种操作系统版本
每用户虚拟化系统容量需求
办公桌面:
2vCPU、4G内存、200G存储空间。
研发设计桌面:
4~8vCPU、8-16G内存、300G存储空间。
互联网桌面:
要求采用统一平台提供独享+共享桌面形式交付。
以上部分特殊用户需要特殊处理
虚拟化桌面软件需求
保证株洲所相关办公、设计、研发软件正常运行
虚拟化接口需求
虚拟化客户端考虑支持硬件设备接入调试接口
2.3性能需求
并发启动需求
支持平台内虚拟桌面在30分钟内完成启动
并发访问需求
支持平台内所有用户并发访问各类虚拟桌面,在虚拟桌面中做办公、软件开发、EDA设计、二维设计、三维设计等工作不能有卡顿、中断等现象。
虚拟桌面扩容需求
支持株洲所“总体规划、分步实施”原则,未来桌面云需扩展至15000用户,扩容后无并发性能影响改变。
用户感知度性能需求
用户对虚拟桌面使用感知度性能不能低于原有同配置PC机。
单点性能需求
确保平台的虚拟桌面能流畅的访问,无卡顿现象。
网络性能
供方需提交桌面云后端网络规划,确保用户大规模访问时无容量、性能瓶颈(提供详细网络规划图)。
2.4系统安全需求
a)桌面云和公司现有株洲所AD域集成,使用现有AD域用户进行帐户和口令认证。
b)需要实现部份人员可从互联网登陆株洲所桌面云系统访问个人虚拟桌面,其余人员只能在公司内网环境中使用,同时需支持株洲所动态口令系统双因子认证以提高安全性。
c)需支持某个用户的虚拟桌面只能在固定一台授权的终端上登陆,不能在其余终端上登陆,解决特殊核心资料的定点授权、编辑、查阅功能。
d)提供其它可增强的系统安全管控功能。
2.5平台防病毒需求
提供防病毒和防恶意软件解决方案对桌面虚拟化平台进行整体防护,无需在虚拟机内安装代理或防病毒客户端即可保护虚桌面,实现虚拟化环境下的安全防范。
并提供整体解决方案。
2.6系统可靠性需求
1、各系统角色需有冗余机制,系统需支持7*24小时不间断运行;系统可靠性需达到99.999%。
2、提供桌面虚拟化平台的容灾备份方案。
2.7软件运行需求
需满足株洲所目前430余款办公、设计、研发软件的正常运行,与物理本机运行、使用无差异。
2.8数据备份需求
对桌面云中的操作系统、用户数据备份,提供详细的备份方案和灾难恢复策略,保证在故障发生后数据无损恢复。
2.9故障处理需求
要求虚拟桌面系统维护具有以下故障处理能力:
1.单台虚拟桌面发生故障时,故障恢复时间不超过1小时;
2.低于20%虚拟桌面同时发生故障时,故障恢复时间不超过2小时;
3.超过20%虚拟桌面同时发生故障时,故障恢复时间不超过4小时;
3VMwareHorizonView产品介绍
VMwareHorizon是集合了桌面云解决方案、桌面云环境运维监控解决方案、物理PC桌面系统管理、多种设备管理、用户数据存储与分享的一体化解决方案,致力于构建统一IT生态结构,在此结构之上划分应用管理、桌面管理、数据管理,通过一致化的界面向终端用户进行交付。
如下图显示了VMwareHorizon核心组件所完成的功能。
图2-1:
VMwareHorizon组件功能划分
通过VMwareHorizon可以实现如下解决方案:
安全的移动空间
实现通过各种设备对桌面、应用和数据的安全移动访问,支持漫游及跨多种设备(包括自带设备)进行安全访问,在达到了使用便利性要求的同时,做到个性化且一致的终端用户体验。
借助VMwareHorizonView实现DaaS(桌面既服务模式),摆脱笔记本电脑和移动设备硬件业务,从而大幅度提高工作空间生产效率,降低整体桌面TCO。
业务流程桌面
从数据中心集中向外部工作人员交付集成虚拟桌面和统一通信,通过向分支机构及海外部门交付集中桌面,确保内部及外部第三方人员安全地访问系统,降低成本并保护旧有投资,实现数据集中化,从而更好的保护公司和客户利益。
分支机构桌面
针对小型和远程分支机构的低接触式IT,满足各种带宽需求和未连接网络的员工,VMwareHorizon解决方案能够比旧环境更稳定、更易于管理。
永不停机的桌面
确保为更关键的服务交付高可用性桌面,确保关键应用全天候可用性,零停机,同时简化桌面管理,降低TCO。
Windows迁移和映像管理
HorizonMirage提供了适合大多数常见Windows7迁移方法的两个选项:
将现有WindowsXP设备就地升级到Windows7;或将用户的配置文件和文件从之前的WindowsXP设备迁移到新的Windows7硬件(在利用硬件更新周期来协助进行Windows7迁移时)。
除此之外,HorizonMirage在尝试迁移之前会制作WindowsXP系统的完整系统快照,如下图所示。
这样,在出现错误时,IT管理员就可以快速地为终端用户恢复到之前的系统。
图2-2:
Mirage系统迁移和快照图例
通过对Windows7迁移项目的这些增强功能,一个拥有10000人的组织可以利用HorizonMirage加速Windows7迁移,轻松IT节省时间成本和用户工作效率成本。
多设备工作空间
通过软件定义的安全工作空间提供在任何移动设备或计算机上访问应用和数据的能力
提高终端用户的工作效率
简化IT人员的多设备管理
加强安全性、合规性和审核力度
内部及外部文件协同
图2-3:
多设备工作空间示意
3.1VMware虚拟桌面架构
优化的云计算基础架构平台作为虚拟桌面底层架构
HorizonView产品后台采用的是vSphereforDesktop即vSphere最高版本支持。
vSphere提供强大的服务器虚拟化功能,并有着众多的成功案例。
作为虚拟桌面后端的支持,vSphere提供了:
可扩展性
每个管理单元可以支持10000个虚拟机,可以适合大型虚拟桌面的部署。
通过用vMotion更加快速和高效,可缩短虚拟机的迁移时间。
可以根据需要和优先级压缩和增加桌面,通过动态资源分配有利用服务器资源动态调配。
高性能
vSphere高性能,可以为虚拟桌面提供快速、稳定的平台,并通过其监控系统平台,掌握物理服务器、虚拟机的性能情况。
最佳密度
增大了桌面虚拟机密度达8-10个虚拟机/核,大大提高了每台服务器虚拟机的支持数量。
高可用和业务连接性
vSphere针对桌面工作负载进行优化,例:
由于内存交换减少导致性能提高。
灾难快速恢复
DataProtect以及StoragevMotion技术能充分保证虚拟桌面平台的安全。
无需硬件加速的3D图形支持
vSphere无需专业显卡即可提供基本3D图形功能(包括Direct-X,OpenGL,GoogleEarth,Windows7Aero,Office2010等),
操作系统支持的多样性
VMwareView桌面支持主流的操作系统:
WindowsXP、Windows7、Windows8以及Linux桌面。
支持多种远程协议
VMwareView桌面可以支持RDP、PCoIP以及Web方式访问虚拟桌面
VMwareHorizonViewManager虚拟桌面交付中心
VMwareHorizonViewManager是企业级虚拟桌面管理器,是VMwareHorizonView的关键组件。
IT管理员使用HorizonViewManager作为中心控制点,支持最终用户安全灵活地访问其虚拟桌面和应用程序,并利用与VMwarevSphere™之间的紧密集成,说明客户以安全托管服务形式交付桌面。
VMwareHorizonViewManager具有极强的可扩展性和可靠性,它使用基于Web的直观管理界面创建和更新桌面映像、管理用户数据、实施全球策略等,从而同时代理和监控数以万计的虚拟桌面。
HorizonView包括下列组件:
∙HorizonViewConnectionServer——管理对虚拟桌面和应用的安全访问,与VMwarevCenterServer配合提供高级管理功能
∙HorizonViewRDSSessionHost——承载用户访问应用程序的会话,在应用发布模式下,应用程序客户端集中安装于此
∙HorizonViewAgent——接受会话连接和管控功能
∙HorizonViewClient——支持PC、瘦客户端、移动设备上的用户连接到虚拟桌面使用
∙HorizonViewAdministrator——允许管理员进行配置设置、管理虚拟桌面和设置桌面的权限以及分配应用程序
∙HorizonViewComposer——管理员可通过单一WindowsXP/7/8模板来批量部署和维护虚拟桌面,极大简化管理员的部署和运维工作量
∙HorizonViewSecurityServer——作为安全网关组件,可使用户通过广域网访问虚拟桌面,同时保障数据安全
客户端设备
在最新的HorizonView产品中,支持各类移动设备、PC、Mac电脑以及专用的瘦客户机设备来接入到虚拟化的环境里,通过HorizonView客户端,用户可以在任何地方、任何时间,通过任何的设备进行安全的虚拟桌面和应用的访问。
所有的HorizonView客户端均可以在VMware官方网站上下载,用户不需要对客户端软件进行付费。
另外,通过Horizon提供的HTML5Blast技术,用户不需要在设备上安装任何的程序就可以访问到HorizonView的虚拟化环境。
这无论是在安全性、还是在易用性上都给企业提供了便利。
MicrosoftActiveDirectory
在桌面虚拟化环境中,AD域控制器负责用户帐户信息的存储与验证。
当一个用户通过客户端连接到安全服务器或连接服务器时,首先需要与AD域控制器进行验证。
另外,虚拟桌面与用户的OU设计、组策略对象管理均需要在域控制器中完成。
View连接服务器(ViewConnectionServer)
该软件服务充当客户端连接的控制器。
View连接服务器通过WindowsActiveDirectory对用户进行身份验证,并将请求定向到相应的虚拟机、物理PC或WindowsRDS主机上。
View连接服务器提供:
∙用户身份验证
∙授权用户访问特定的桌面和池
∙将通过VMwareThinApp打包的应用程序分配给特定桌面和池
∙管理远程桌面和应用程序会话
∙在用户和远程桌面及应用程序之间建立安全连接
∙支持单点登录
∙设置和应用策略
在企业防火墙外部,也可以在DMZ中安装View连接服务器并将其配置为安全服务器。
DMZ中的安全服务器可与企业防火墙内的View连接服务器进行通信。
View安全服务器(ViewSecurityServer)
安全服务器可确保唯一能够访问企业数据中心的远程桌面和应用程序流量是通过严格验证的用户产生的流量。
用户只能访问被授权访问的资源。
安全服务器也可以单独作为组件的方式进行安装,且无需加入ActiveDirectory域中。
需要将View连接服务器和安全服务器安装在WindowsServer2008、WindowsServer2012或WindowsServer2012R2服务器中,根据VMware官方的最佳实战,建议将它们安装在VMware虚拟机中,以得到最佳的可靠性与用户体验。
ViewAdministrator
通过浏览器即可访问View连接服务器,并对服务器进行配置、部署管理应用、发布虚拟桌面和虚拟应用池,进行策略控制,排队用户连接故障等。
ViewAdministrator组件不需要额外安装,它会随View连接服务器安装自动完成。
通过浏览器,管理员可以在任何设备上访问并进行设置。
ViewComposer
是一个用于系统镜像管理的组件,通过Composer可以将一个父虚拟机的快照中创建链接克隆桌面池,通过这种技术可以大副提高存储的利用率,减少存储空间上的消耗。
另外,因为所有的链接克隆桌面共享同一个基础映像,因此,只需要在父虚拟机上更新应用、系统,就可以实现对应的链接克隆桌面也进行更新。
而用户的数据、设置、应用都不会受到影响,原理图如图2-5所示。
ViewComposer可以与vCenter安装在同一台机器上,也可以独立安装。
因为Composer只提供Windows服务器系统的安装支持,因为,如果用户使用的是vCenterLinuxAppliance,那么就需要单独在一台Windows服务器上进行独立安装。
图2-5:
ViewComposer示意图
vCenterServer
它是数据中心端所有的VMwareESXi服务器的中心管理员。
vCenterServer提供了在数据中心内配置、置备和管理虚拟机的中心点。
除了将这些虚拟机作为虚拟机桌面池的源,还可以使用虚拟机来承载View的服务器组件,包括View连接服务器实例、ActiveDirectory服务器、MicrosoftRDS主机和vCenterServer实例。
可以将ViewComposer和vCenterServer安装在相同的服务器上或不同的服务器上。
vCenterServer会管理向物理服务器和存储分配虚拟机的情况,以及向虚拟机分配CPU和内存资源的情况。
HorizonView支持VMwareLinuxAppliance以及Windows操作系统之上进行安装的vCenter。
与其他的Horizon组件一样,VMware建议vCenter也安装在VMware的虚拟化平台上。
ViewAgent
如果一个客户端要连接到数据中心端的虚拟桌面或虚拟应用,我们就需要在这些目标设备中安装ViewAgent软件,通过ViewAgent可以为客户端提供连接监视、虚拟打印、ViewPersonaManagement和访问本地连接的USB设备等功能。
在安装ViewAgent时,管理员可以选择是否安装相应的功能组件,如虚拟打印功能,智能卡功能等。
RD会话主机(也称RDS主机)
用于托管要远程访问的应用程序和桌面的服务器计算机。
在View部署中,RDS主机是已安装Microsoft远程桌面服务角色、Microsoft远程桌面会话主机服务及ViewAgent的Windows服务器。
Horizon6forLinux
在这个以Windows为主导的大环境下,对Linux桌面的使用正变得越来越普及。
企业依赖Linux出于多种原因:
∙支持使用许多仅能在基于Linux的操作系统上运行的设计应用和工程开发应用
∙告别Windows,降低成本
∙确保安全性并促进更大程度的自定义
但是,在物理环境中支持Linux桌面也会带来自身的一系列挑战。
Linux桌面可能会非常复杂且难以管理。
Linux桌面提供很少或不提供知识产权保护,涉及到远程、外包或海外员工时更是如此。
运行Linux所需的端点通常过于昂贵,这将抬高成本。
为了克服这些挑战,许多组织已经将目光投向桌面和应用虚拟化。
但这种解决方案一直主要供Windows用户采用。
从现在起一切都会改变。
从现在起,您可以通过Horizon6forLinux交付、管理和访问Linux虚拟桌面,无需再为商用操作系统提供许可。
获取面向Linux桌面的全面支持,并能对办公应用、3D图形应用和开发人员应用进行顺畅访问。
Horizon6forLinux非常适合软件开发人员、CAD/CAM开发人员、希望降低软件许可成本的部署人员,以及其他任何需要获得Linux所提供的成本节约、安全性和自定义特性的人员。
借助Horizon6forLinux,组织现在可以将桌面和应用虚拟化的优势延展到Linux用户。
HorizonforLinux可集中管理桌面并保护数据中心内数据的安全,同时支持终端用户跨不同设备、位置、介质和连接无缝访问Linux服务。
此外,该解决方案还能够让组织摆脱成本高昂的Windows许可,并采纳低成本的端点以实现最佳总体拥有成本。
Ø简化桌面管理
Horizon6forLinux使IT管理员可以利用单一平台来为用户授权并针对Linux和Windows桌面设置策略。
借助这种直观的管理界面,IT部门只需单击几下即可轻松调配和管理桌面。
Ø支持更高的工作效率
HorizonforLinux支持广泛的Linux选项,包括Ubuntu、RedHatEnterpriseLinux(RHEL)、CentOS和中标麒麟操作系统NeoKylin,可确保终端用户能够轻松访问所需的一切Linux办公应用,以尽可能保持较高的工作效率。
此外,通过与NVIDIA配合使用,HorizonforLinux还可以为开发人员和设计师提供丰富的3D图形支持,甚至可以支持最强大和最密集的使用情形。
Ø提供轻松快捷的访问
采用Linux操作系统在本质上更加安全,而且通过集中管理Linux映像、应用和文件,HorizonforLinux可确保组织能够更好地保护数据和管理用户跨不同设备和位置的访问。
借助HorizonforLinux,终端用户可快速且轻松地登录其虚拟会话,始终可以享受一致的卓越体验。
ØLinux可节省成本
通过让组织脱离Windows并转向HorizonforLinux,客户能够将资金开销和运维开销降低多达60%。
客户不仅可以由昂贵的笔记本电脑或工作站转为利用瘦客户端和零客户端,还可以摆脱Microsoft许可费用,因而可降低成本。
他们还可以在日常运维中节省成本。
转向Linux
成千上万的组织正在实现LinuxVDI在管理、安全性和成本方面的优势。
HorizonforLinux促进了向虚拟桌面
和应用的转变,并为客户提供了安全、易于使用且成本优化的解决方案。
向Linux用户交付虚拟桌面基础架构(VDI)。
主要特性
∙全面的Windows虚拟桌面支持,通过以虚拟桌面的形式交付Windows,最大限度地减少迁移过程中的用户中断。
避免桌面硬件更新,重新调整PC用途以访问Windows,更快地实现投资回报,使操作系统迁移更经济高效并提供卓越的最终用户体验。
还可以支持PVS类型桌面,在Windows中实现应用的虚拟化池提供给终端用户。
∙利用高性能PCoIP显示协议保持稳定的访问,从而支持最广泛的使用情形和部署选项,即使通过低带宽连接也是如此。
虚拟桌面可根据连接客户端的分辨率动态调整虚拟桌面分辨率,虚拟桌面支持1600X1400分辨率,支持32位真彩色显示;支持双向音频重定向、支持视频多媒体及Flash重定向功能;图像、文本处理显示效果流畅清晰。
高清视频和Flash的播放支持服务器端解码播放,也支持客户端解码播放,系统能够根据虚拟桌面环境自动选择播放方式,也可由管理员通过策略来控制。
∙为最终使用者提供独立于特定设备的应用程序和数据访问。
在任意数目的监视器配置上提供富媒体内容,并为用户提供对本地打印机、扫描仪和其他本地外围设备的无缝访问。
∙利用VMwareHorizonViewComposer持久磁盘永久保存最终用户数据和设置。
用户可以灵活地使用公司或非公司的任何PC、笔记本电脑或瘦客户端。
使用ViewClientwithLocalMode,最终用户即使在断开连接时也可以访问其虚拟桌面。
简化的虚拟桌面和应用程序管理
∙管理用户或用户组的虚拟机权限
∙管理向桌面或桌面池分配虚拟应用程序
∙从单个位置在数分钟内部署和更新多个虚拟桌面和应用程序
∙使用基于角色的管理来委派管理权限,从而扩展IT资源
∙利用和扩展现有目录服务工具和基础架构自动桌面部署
∙采用细化策略实施部署新的桌面或桌面组
∙使用虚拟机模板对特定桌面池或桌面组进行自定义高级虚拟桌面映像管理
∙利用连结克隆技术快速创建或更新桌面映射
∙安装更新、补丁程序和新应用程序,而不会对最终用户造成任何中断虚拟打印
∙从虚拟桌面自动发现和连接本地打印机并进行打印,既没有兼容性问题和带宽限制,也不需要进行复杂的使用者设置
∙本地客户端机器和虚拟桌面之间进行复制和粘贴剪贴板支持,支持单向或双向复制和粘贴
∙高效地保留用户设置和数据,通过支持更多的无状态流动桌面使用
情形来降低桌面TCO
∙收集会话状
升级会员 