云桌面建设方案.docx
《云桌面建设方案.docx》由会员分享,可在线阅读,更多相关《云桌面建设方案.docx(15页珍藏版)》请在冰豆网上搜索。
桌面云建设
桌面云建设
1.1、项目背景
当前,内网办公、会议室等不同场景的桌面终端普遍采用功能全面的PC设备,而传统PC属于独立计算模式,操作系统、应用程序及数据都与每台硬件设备紧密关联,即各组件绑定于每台用户PC上,只要其中一个环节出现问题,桌面将无法正常使用。
所以长期以来,新桌面上线、软件的安装与管理、安全补丁的复杂部署、系统升级的版本冲突等问题已然成为桌面PC面临的最大挑战。
同时随着PC需求量不断增加,桌面管理复杂度将呈指数级增长,还会引发更多的终端安全隐患,这就需要投入巨大的精力及成本加以解决。
在此背景下,如何提升信息化运行效率、以及如何实现精细化管理等新IT需求是信息化建设发展过程中的战略方向。
因此,本项目建议采用“以服务器为中心的云桌面技术”,它被誉为“下一代PC”,可以降低运营成本,提高管理效率及安全性,为满足上述需求提供了一套切实可行的解决方案。
1.2、现状与问题
1.2.1、数据易丢失、易泄密
传统PC模式,信息数据及办公文档分散存储于每台终端上,当硬盘故障将导致重要文件丢失,随着PC数量越多,其数据丢失风险越大,而面对广泛分布在每台电脑上的硬盘数据,IT人员也难以实现统一的数据备份及恢复。
再者,不同办公场景均有大量的办公PC,PC与服务器之间传输的是实际业务数据,该数据会缓存在用户本地或在传输过程中被截获,同时用户还可以通过PC拷贝机密数据并随意外发。
所以在这种情况下,PC将成为网络中的一个安全缺口,如果不加以管控,则信息泄密风险极大。
1.2.2、高昂的PC运营成本
每台PC都有主板、CPU、内存和硬盘等众多零部件,在长达3~5年的生命周期中,平均每台PC报修次数高达3次以上,每次维修周期需要1到2个工作日不等,因此在硬件故障维护及更换方面需要投入巨大的人力与经费。
除此之外,PC桌面管理复杂,包括系统升级、补丁更新、安装软件、网络配置等维护工作均需逐台完成,消耗大量的人力。
同时,IT人员往往需要亲临现场解决问题,进一步增加了支持成本。
最后,传统PC+显示器为250W,那么一台电脑将产生高达352元/年的电力成本,而电脑发热量也比较大,在办公空间密集的情况下,散热成本也逐步上升。
因此,IDC预测,用户在PC硬件上投资10元,后续的运营开销将高达30元,而这些投资并不能产生业务价值,也即投入越多,浪费越大。
1.2.3、桌面无法移动化
越来越多的客户将办公边界进一步延伸,实现员工“移动化、随时随地”处理工作,以提高决策效率与响应速度。
但是,传统PC将办公桌面与特定计算机绑定,限制员工只能在固定工位上进行办公,使用起来非常不灵活,无法满足移动桌面办公需求。
1.3、建设目标
随着信息化建设逐步深入,桌面PC、笔记本、智能手机等终端设备越来越多,维护效率低、安全管理风险大、硬件更新成本高等一系列问题愈显突出,如何有效管理各种各样的桌面环境,是目前亟需解决的问题。
桌面云能够应用于内网办公、会议室、培训试等各种场景,并有效解决信息化过程中的成本、管理、安全等问题。
1.3.1、优势介绍
1)安全及可靠性:
工作桌面及核心数据集中于数据中心,网络中传输的只是图像信息,所有的数据计算与业务交付都在后台完成,则机密信息数据不需要通过网络传递,增强信息安全性。
另外这些数据可以统一备份及恢复,也可以设置策略限制其下载至客户端,保证数据不丢失、不泄密。
2)可管理性:
当单位新进员工,可以快速交付所需的“新桌面”,部署时间缩短至几分种。
同时应用程序安装、系统补丁、软件升级及病毒更新等只需集中安装设置1次,即可批量发布到所有用户桌面,节省工作量。
3)资源高可用性:
通过将大量PC整合到几台服务器上,可以明显降低硬件故障率及每年硬件更换成本,而用户使用云终端进行办公,能耗仅10~20W,相对PC还可以节省80%电力成本。
4)最终用户体验:
云终端、PC、笔记本、Pad等设备均可访问专属工作桌面,随需调用业务资料,提升办公效率。
1.4、设计原则
u简单易用
桌面云应提供软硬件一体化服务器平台及更少的管理组件、更易用的管理平中,从而实现简单高效的安装调试及运维管理,提升运行效率。
u极致体验
桌面云应提供与PC一致的用户体验,保证流畅的桌面操作及视频播放,并且良好兼容打印机、身份证读卡器、指纹仪、摄像头、高拍仪等各类外设。
u高安全性
桌面云应提供前端、传输端、后端等更全面、多层次的安全功能,包括多种认证方式、传输层加密、数据盘加密等,从而有效保护用户个人隐私安全。
u高可靠性
桌面云应提供主机和磁盘的冗余部署机制(比如HA技术、虚拟存储技术等),确保桌面及业务的可靠运行,同时要求桌面具有平滑扩容能力。
1.5、桌面云架构设计方案
1.5.1、桌面云体系架构图
本项目涉及到的产品组件包括用户终端、虚拟桌面控制器VDC、虚拟化软件、服务器及存储设备,用户采用不同终端设备访问虚拟桌面控制器地址,登录成功后,VDC会根据需要从后端虚拟化平台中分配和启动云桌面,然后以图像的方式传送桌面,这样用户就可以看到属于自己的办公桌面。
1.5.2、用户终端类型
云终端设备访问
新增人员,可以采用云终端设备,实现集中部署与管理,提升运行效率,同时降低IT运行的总体碳排放量,符合国家整体能源战略。
采用现有PC
可以有效利用现有PC,通过在PC上安装桌面云客户端软件,实现对云桌面和业务系统的访问。
最大程度利旧,节约PC更换成本。
两种使用模式:
1)PC本地桌面和云桌面共用,比如本地桌面用于上网业务、云桌面用于办公业务,实现业务安全隔离;
2)开机直接跳转到云桌面使用界面,不进入本地桌面,上网及办公业务都在云桌面上完成,IT人员只需要集中管控云桌面即可,本地桌面无需管理,节省工作量。
PAD/智能手机随时接入
可以采用基于ios和Android系统的平板电脑、智能手机,通过在appstore或安卓商城下载easyconnect客户端,即可实现对云桌面的访问,实现移动化业务办公。
1.5.3、服务器架构设计方案
部署方案
项目可采用桌面云一体机服务器,每台服务器预装服务器虚拟化和存储虚拟化软件,实现开机即用,不需要复杂的安装调试。
部署时,将所有主机加入集群,形成统一资源池,方便资源分配及调用,以及实现集群主机的集中化管理、监控。
服务器集群设计方案
如图所示,IT人员只需要将主机选中并加入集群,即可快速完成HA架构配置,非常简单。
这样,无论是计划外停机或者服务器出现故障,此架构都能提供最高级别的桌面服务可用性。
服务器集群架构无需第三方软件,通过服务器虚拟化平台内置的HA功能特性实现集群主机互为监控,一旦检测到服务器故障之后,自动在集群内的其他正常主机重启虚拟机,保证桌面业务正常运行。
另外,如果某台桌面服务器需要维护,在无需中断服务的情况下,可将服务器之上的虚拟机迁移至其他服务器,管理员可以快速、完整地执行运维工作。
HA工作原理
HA技术可以持续监控集群内的桌面服务器和虚拟机,一旦出现故障可快速恢复。
恢复时,还会自动选择资源池中最佳的服务器来激活虚拟机,实现资源负载均衡。
只要将主机加入集群,HA技术会时刻监控各主机是否有足够可用的资源以及服务器、虚拟机的状态,以便在发生故障时能快速在正常服务器上进行激活。
由于所有的虚拟机镜像文件统一存放在共享存储或虚拟存储中,所以使得虚拟机在其他服务器能够快速重启。
功能概览
u统一资源管理
1)无需部署集中管理平台,通过Web方式接入集群控制台,实现对所有主机统一管理。
2)支持虚拟机远程运维,无需安装任何插件,即可接入虚拟机操作系统界面,实现桌面管理。
3)支持模板克隆技术,IT管理员只需创建标准桌面模板,即可快速派生出N多个云桌面系统,极大缩短桌面系统上线周期。
u性化优化
1)支持内存或SSD缓存技术,能够对重复硬盘数据进行IO加速,提升云桌面启动速度和运行效率。
2)支持内存页合并技术,能够有效消除多个虚拟机运行过程中重复只读内存数据,以节省内存使用,提升服务器部署密度。
u备份与恢复
1)支持快照技术,当系统故障时可实现故障回滚;同时支持增量保存快照数据,以节省存储空间。
2)支持虚拟机集中备份与恢复,可按需选择多个虚拟机或全部虚拟机备份至外置服务器,并可设置备份策略,实现自动化备份。
1.5.4、存储架构设计方案
分布式虚拟存储架构
本项目采用分布式虚拟存储架构,通过它可以将服务器直连硬盘整合起来,形成存储资源池(相当于一台独立存储设备),从而为云桌面平台提供经济高效的存储服务,并且效果与独立存储一样。
分布式虚拟存储主要通过磁盘管理、缓存技术、存储网络、冗余副本等技术,管理集群内所有硬盘资源,最终提供统一存储空间用于虚拟机的保存、管理和读写。
这样,在无需共享存储的情况下,依然可以实现虚机迁移及故障切换,不仅节省存储购买成本,而且利用分布式技术架构进一步确保数据的高可用性。
磁盘设计方案
l多副本数据存储机制
分布式虚拟存储架构采用多副本数据存储机制,以避免数据丢失风险。
副本技术通过在多主机或多磁盘同时存储数据(即同一虚机文件在多台服务器并存),当主机或磁盘故障后,可以从其他磁盘的副本信息快速恢复数据。
目前支持1~3份副本(跨主机存储),1副本,数据只保存1份,不具有容错能力;2副本,数据保存2份,能够容忍1个磁盘或者1台主机故障而桌面业务不受影响;3副本,数据保存3份,可以容忍2个磁盘或者2台主机故障而桌面业务不受影响。
当采用2副本或者3副本时,如果某主机发生了故障,运行在该主机上的虚拟机会自动在其他主机上重启,这样可以保证用户桌面继续正常使用。
由于副本数会影响到实际可用的硬盘空间,为了确保数据不丢失,并最大化可利用的空间,本项目采用双副本机制,即同一虚机文件在2台服务器有副本信息(相当于跨主机RAID1),这样可以确保集群内其中一台服务器宕机后,数据不丢失,桌面业务可以迁移到其他主机上继续使用。
lSSD+HDD磁盘混合设计
项目采用SSD+HDD磁盘混合方案,包括1块SSD硬盘和多块SATA/SAS硬盘,其中SSD的IO性能较高,作为缓存盘,用于缓存用户经常访问的热点数据;机械硬盘的IO性能较低,作为数据盘,用于存储用户虚拟机和个人数据。
目前,桌面云一体化服务器的缓存命中率高于60%,这样就可以实现以较低成本获得非常高的IO性能,保障云桌面用户体验。
存储网络聚合方案
由于分布式虚拟存储架构会按照算法将虚机文件分布保存在不同服务器上,云桌面运行过程中产生的IO操作或副本信息需要通过网络传输。
因此,存储网络是否稳定非常关键,本项目将存储网络与业务网络分离,单独构建一套存储网络来支撑虚拟存储通信,并且采用链路聚合方案来保障性能及高可用性。
l单交换机链路聚合方案(推荐)
本方案分别将服务器的2个网口连接到交换机(如图所示),可以提升存储网络的容错性,单网口或链路发生故障不会影响存储正常通信。
l双交换机链路聚合方案
本方案采用双交换机链路聚合方案,每台服务器分别连接到两台交换机,并配置链路聚合。
这种方式,需要2台交换机,增加了成本,但是具有更好的容错性,可以保证网口、网线和交换机的故障,都不会影响虚拟存储的通信,并且也进一步扩大了不同服务器之间的存储带宽。
功能概览
1)基于高度可用的设计架构,其冗余机制可存储多个数据副本,从而确保磁盘、服务器的故障,不会影响桌面和数据可用性。
2)支持SSD+机械硬盘混合设计模式,SSD用于缓存云桌面热点数据,机械硬盘用于存储个人数据,为了保证使用效果,要求SSD缓存命中率不低于60%,以提升云桌面IO性能,让用户获得最优用户体验。
3)为满足云桌面扩容需求,要求支持无缝扩展技术,当工作负载变化或性能扩展时,只需将服务器加入集群,即可动态调整资源以实现负载均衡,让扩容更为轻松方便。
1.5.5、网络资源规划
将业务网络与存储网络分离,其中业务网络即终端和服务器连接的网络,存储网络用于虚拟存储的通信。
业务网络
业务网络的流量主要包含以下3种:
1)桌面图像变化产生的流量:
鼠标移动、界面切换、页面翻滚等只要存在图像变化的地方都会产生流量
2)视频重定向:
本地视频和Flash视频,传输速率与音视频码率一致(流量与在PC看网上电影差不多)
3)外设重定向:
打印机、扫描仪、U盘、摄像头等外设,其流量大小取决于拷贝/打印文件的大小、图像分辨率的大小
如果按照每用户峰值流量为10Mbps、每台服务器承载50用户来计算的话,则每台服务器总流量为500Mbps,所以每台服务器至少需要1块千兆网口,这里建议采用2块千兆网口进行链路聚合以提升带宽及可靠性。
服务器汇聚交换机,背板带宽/500Mbps得出的数值应不小于服务器总体数量,这里建议每5台服务器连接一台千兆/万兆交换机,每台交换机背板带宽不低于3000Mbps。
终端接入交换机,必须为千兆交换机(接口可以为百兆),其背板带宽至少为1000Mbps。
存储网络
存储网络的流量主要包括:
桌面IO操作、副本信息、迁移数据等。
本项目建议每台服务器保留2块千兆网口用于存储通信,并且采用链路聚合的方案来提升通信带宽,以及保障存储网络稳定性。
1.5.6、平台安全性设计
IT系统对安全性要求越来越高,云桌面平台各环节要求体现安全控制的理念。
因此,需要通过良好的安全控制手段,来保证正常桌面业务运行,并规避安全风险。
本项目采用的安全措施包括:
传输协议安全加密、身份认证权限管理、区域安全隔离、业务数据加密存储。
传输协议安全加密
员工利用云桌面平台进行日常办公,瘦终端通过专有虚拟交付协议连接到数据中心,传输协议承载了图像传输、身份认证等关键信息,本方案采用SRAP通信协议,此协议仅传输客户端图像变化和鼠标、键盘等操作数据,本身并不直接传输应用数据,避免了数据在终端驻留泄露的可能性。
另外,为进一步提升传输安全性,传输协议采用SSL加密手段,保证所有信息都在安全通道内传输。
身份认证权限管理
为了建立针对用户的访问权限,实现细粒度的管理平台策略,需要建立用户身份认证平台,建立统一的用户身份认证将给云桌面平台的统一管理提供更高的安全性和便捷性。
云桌面平台可以通过本地数据库或基于LDAP实现平台的统一身份认证、权限分配和策略发布。
并且具备良好的密码管理策略,可强制密码长度、密码生存期、密码更改最短有效期、密码复杂性要求、帐号锁定等各种密码安全策略,确保用户密码的安全性。
此外,如果需要更高安全性,平台可同时支持使用U-key认证、短信认证、动态令牌、硬件特征码等多因子身份认证技术实现更加安全的身份认证。
活动目录的规划与管理需考虑用户的组织架构和平台的管理需要,因此有必要针对平台的需求,统一规划活动目录的结构,创建不同的对象满足用户管理和平台授权维护的需要,并实现分级的策略化管理。
区域安全隔离
各部门都存在各自的业务系统、应用软件,而云桌面平台将为会不同的业务部门提供服务,部门之间的业务信息以及数据信息都需要隔离保护,因此采用区域隔离技术,不同部门的业务应用可以根据不同的VLAN进行虚拟环境的网络逻辑隔离,保证员工访问的安全性。
业务数据加密存储
桌面上存放着各种业务数据,云桌面平台将数据集中化存储,一旦平台受攻击,或者被恶意破坏,则面临较大的数据丢失和泄密风险。
因此,需要对个人盘业务数据采用加密存储手段,以确保数据安全性。
15
升级会员 