IDV设方案分析.docx
《IDV设方案分析.docx》由会员分享,可在线阅读,更多相关《IDV设方案分析.docx(11页珍藏版)》请在冰豆网上搜索。
IDV设方案分析
1方案概述
通过智能桌面虚拟化技术,终端电脑的操作系统镜像以及应用(包括集成开发环境)集中部署在虚拟桌面服务器中,服务器根据不同的工作环境下发所需的虚拟桌面镜像给终端用户使用。
直接在终端客户机上部署基于裸金属架构的虚拟桌面软件,多个操作系统可作为虚拟机并排安装,允许用户同时运行多个操作系统实例,并保持不同操作系统间的完全隔离,确保最高的安全性;同时用户可以直接访问图形硬件,获得最佳的用户体验。
本项目产品的技术原理架构如下图所示。
所有终端用户均可通过虚拟桌面系统访问和使用自己的虚拟桌面环境。
通过桌面虚拟系统在数据中心的存储设备,为每用户划分独立的存储空间,终端PC机中不再保存相关数据文件。
2建设方案
2.1方案设计原则
遵循现有的IT网络架构,以及网络建设管理规范;
符合安全管理规定,并兼容现行的安全防护体系;
在保证数据安全的前提下,实现教学人员在电教室、实验室中使用任一终端PC电脑即可登录自己的桌面,并访问教学数据。
在确保安全的前提下,实现教学数据、桌面的集中存储与管理。
2.2建设方案
采用IDV智能桌面虚拟化技术。
IDV,英文全称IntelligentDesktopVirtualization,即智能桌面虚拟化。
IDV架构
集中管理,分布运行
桌面虚拟化IDV架构图
智能桌面虚拟化(IntelligentDesktopVirtualization,简称IDV)是一种新颖的技术观念,IDV采取的是分布式运行方式来满足运营技术需求,同时对桌面、应用与数据进行集中管理与存储。
本方案具备IDV架构的所有技术优点,通过对创建标准镜像对研发、实验桌面进行集中管理,同时利用客户端本地资源运行各种桌面环境与应用程序,为用户提供更安全、更简单、更灵活、更流畅的桌面体验,在保证数据安全的前提下,实现用户真正地随时随地、在任何设备上安全访问桌面和应用。
中科同向公司智能桌面虚拟化系统,简称CDCC。
CDCC采用当前最新的IDV桌面虚拟化技术,具备IDV架构的所有技术优点,通过对企业标准镜像进行集中管理,同时利用客户端本地资源运行各种应用,能够为用户提供更简单、更灵活、更安全、更流畅的桌面体验,实现用户真正地随时随地、在任何设备上安全访问桌面和应用。
2.3CDCC系统架构
中科同向CDCC是直接安装在客户端上的裸金属架构,多个操作系统可作为虚拟机并排安装,CDCC可以全面隔离每个虚拟机,确保最高的安全性;同时用户可以直接访问图形硬件,获得最佳的用户体验。
中科同向CDCC是一种高性能裸机系统管理程序,允许用户同时运行多个操作系统实例,同时保持不同操作系统间的完全隔离。
CDCC本项目产品使用当前市场上最快速最安全的虚拟化架构,基于Intel®vPro硬件虚拟化技术,可支持全面的3D图形和高清视频。
中科同向CDCC架构说明如下:
裸机系统管理程序
允许用户同时运行多个操作系统实例,同时保持不同操作系统间的完全隔离。
CDCC使用当前市场上最快速最安全的虚拟化架构,基于Intel®vPro硬件虚拟化技术,利用英特尔虚拟化技术,是一种新的裸机客户端管理程序,使每一个虚拟机都能够在硬件上直接运行,而不是在已安装的操作系统内进行托管。
IT部门可以提供高度安全的封闭式企业环境,用户能够灵活地在一个单独的虚拟机中安装个人应用,而不会降低任何一个桌面的安全性,同时还能提供高清用户体验。
CDvM网络安全控制系统
基于CDCC的终端电脑设备可以连接到CDvM上,进行虚拟防火墙设置、Qos策略设置、虚拟化审计。
虚拟防火墙是针对虚拟化的安全防护功能,专为虚拟网络设计的ACL(AccessControlList,访问控制策略)控制、强大的分层式防护设计与自动化安全功能,为用户提供更严密的安全防护,用户访问控制(ACL)可对虚拟机之间进行进一步隔离,为虚拟机之间的数据安全增加了一层保护。
可控制到网络三层协议,通过虚拟化环境中目的端口和源端口之间的协议控制来控制访问增强安全性,可限制某一方向、或某一接口上的通信流量,能有效阻止信息被访问的程度,降低信息泄露的风险。
CDvM支持细粒度的QoS设置,通过设置最大限制速率和最大突发值既保证和整个网络的畅通,又最大程度保证核心业务的高效运行。
虚拟审计主要分为三部分,包括报表统计、一小时内流量排行榜Top10(流入)、一小时内流量排行榜Top10(流出)。
其中报表统计部分以列表形式显示,流量排行榜部分以更为直观的饼图加列表的形式显示,可以准确的查看到虚拟网络环境中数据发送的状况,包括协议、字节数、包数、源端口、目的端口,并可以导出为Excel以备存档使用。
备份存储CDvR
作为备份与同步服务器,CDvR在中科同向虚拟化软件和桌面虚拟化软件CDCC中都占有举足轻重的地位,虚拟化环境下上传/下载引擎vtrans,独特的去重、压缩、增量算法,大大降低了网络和磁盘的负载。
CDvR是中科同向虚拟化软件虚拟机的备份中心,所有备份、复制的虚拟机文件都会存储在CDvR上。
当虚拟机故障时,用户可以选择某一时间点的备份文件进行快速恢复,有效降低了由于系统故障而导致数据丢失的风险。
在CDCC的使用中,CDvR不但是用户数据的同步与备份中心,同时也是用户和桌面的管理中心,是整个桌面虚拟化系统的神经中枢。
CDCC集中管理、分布运行的优势与特点都需要通过CDvR来体现,例如:
用户创建与管理、策略的定义与分配、桌面镜像及主机的管理与控制、消息的定义与发布等,并且支持分布式镜像分发架构,大大提高了镜像分发速度。
用户数据管理
CDCC用户数据集中存储是CDCC的增值模块,用于用户文档数据管理,是企业级产品,为党政、教育、企业、医卫、金融、制造业等各行各业的业务改善与管理提供文档管理服务。
开放式的系统架构,可无缝结合已有业务应用、安全部署、简便操作等需求,更快更好地融入到组织单位的业务和管理中去,为用户提供全面的文档管理服务。
文档数据管理系统
开放系统架构
应用
IT环境
用户身份等
API接口
AnyShare同步器
无缝兼容
身份认证
数据、验证、兼容
数据、验证、兼容
支持多种身份认证方式,包括本地认证、异地认证、本地或异地认证,可以无缝统一或者融入到用户身份认证系统中。
默认支持Windows域,基于LDAP协议,对Windows域深度兼容,支持域、域树、域林以及域对外信任的用户验证。
大大保障了用户数据的安全性。
桌面安全软件兼容,文档数据管理系统除了本身强大的安全保障(如ACS访问控制系统等),还可以完全支持无缝兼容桌面安全软件。
安全数据防止泄密,有效控制桌面本地数据泄密,有效控制同步数据中心数据泄密,并可设置为类似网盘模式,保证在桌面终端本地不会存放用户数据。
安全文档云
文档防泄密
提供高效有序的文档管理解决方案。
兼容用户已部署防泄密系统。
2.4CDCC系统主要功能
CDCC桌面虚拟化主要由三部分组成:
管理中心CDvM、备份与同步服务器CDvR、桌面虚拟化软件CDCC。
CDvM安装在一台PC机(或中科同向虚拟化软件虚拟机)上,是桌面虚拟化解决方案的管理中心,用于镜像管理,用户(组)管理、虚拟桌面集中控制,客户端性能监控、策略管理以及防火墙设置和QoS保证等。
CDvR安装在一台PC机(或中科同向虚拟化软件虚拟机)上,进行虚拟机标准镜像存放与维护更新;对客户端本地数据进行增量备份,将用户本地虚拟桌面同步到数据中心。
图2-2中科同向CDCC系统部署示意图
CDCC是基于本地虚拟化IDV架构的桌面虚拟化平台,本质是把服务器虚拟化技术中广泛采用的超虚拟化移植到客户端,同时加入了对各种多样的客户端设备及外设的支持、电源管理等特性支持。
CDCC可在本地客户端直接运行桌面和应用软件,能够实现离线虚拟桌面,为用户带来体验流畅、完全网外移动的完美体验。
作为一个企业级的桌面虚拟化解决方案,中科同向CDCC桌面虚拟化采用集中管控、分布运行的架构。
客户端的虚拟桌面可以通过CDvR进行同步,可以统一下发标准虚拟机镜像,也可以定时备份客户端上的本地数据。
同时CDvM通过集中的策略管理,可以限制被管理的虚拟桌面对外设和网络的访问、加密本地存储的数据、设置QoS、在设备丢失后进行远程镜像关闭、远程擦除,从而保证客户端数据的安全性。
中科同向CDCC系统主要功能包括:
数据漫游
用户凭用户名、密码可在任意客户端访问自己的数据;任意客户端在某一用户登录注销后,其它用户可无障碍登录继续访问自己的数据,实现了真正的数据漫游功能,为用户带来更高的移动性。
用户桌面个性化定制
用户可将企业标准镜像下载到本地,同时也可以在本地对镜像进行个性化定制,IT管理员只需维护标准镜像。
支持离线使用
可支持离线使用功能,在网络条件差、甚至没有网络的情况下,用户仍然可以访问桌面和应用,网络中断或网络故障不会带来桌面失效。
支持高清视频、3D设计等复杂应用
采用本地虚拟化技术,充分利用本地计算资源,图形设计、高清视频、多任务等复杂应用,用户体验流畅。
兼容外设
可兼容U盘、打印机、UKey、加密狗等外设。
外设权限可管理
管理服务器根据设置的策略,选择对用户开启或者禁止访问光驱、USB、打印机、COM等外设,避免数据泄露或外来病毒入侵。
用户数据集中管理
本地客户端只保存操作系统、应用程序等系统文件,用户数据文件集中到存储服务器端进行统一管理,应用程序在本地设备启动,对性能影响非常小。
用户权限管理
CDvM创建桌面用户,每个用户拥有独立的虚拟桌面,各用户虚拟桌面之间完全隔离,可保证用户的信息安全。
用户凭用户名、密码可在CDvM管理下的任意客户端访问自己的桌面;CDvM管理下的任意客户端,某一用户登录注销后,其它用户可无障碍登录继续访问自己的桌面。
CDCC实现了真正终端漫游功能,为用户带来更高的移动性,用户可随时随地访问自己的桌面。
虚拟桌面的容灾与备份:
CDvR可实现镜像的集中管理和本地虚拟桌面的数据同步管理,每次用户连接到网络时,根据预先设置的备份策略将本地数据增量备份到数据中心。
CDvM进行虚拟机快照策略管理,按照一定的快照策略,创建虚拟机快照;当用户数据损坏时,CDvR可将用户数据恢复到损坏之前的状态。
若客户端设备丢失或被盗,CDvM可对用户本地虚拟桌面进行远程关闭和远程擦除,确保用户数据不会泄露出去。
虚拟防火墙
虚拟防火墙是针对虚拟化的安全防护功能,专为虚拟网络设计的ACL控制、强大的分层式防护设计与自动化安全功能,为用户提供更严密的安全防护。
用户访问控制(ACL)可对虚拟机之间进行进一步隔离,为虚拟机之间的数据安全增加了一层保护。
主机绑定
个人桌面应用、测试或开发、演示、高度保密环境等等,针对不同部门或用户的不同的安全权限和要求,可对主机和用户(或用户组)强制绑定,如:
某些客户端主机只能由研发部门员工凭用户名、密码登录使用,其它用户无相应权限,无法登录;某台客户端主机专门用于高保密环境,只供指定员工一人使用。
策略管理
CDvM对虚拟桌面、主机客户端、用户、用户组进行相应的策略管理。
主要包括以下策略:
同步策略
设置用户本地虚拟桌面与数据中心的同步策略,如:
开机时同步、关机时同步、按照一定周期同步、安装设定时间同步等等。
快照策略
设置用户恢复虚拟桌面的还原点,多长时间创建一次虚拟桌面的快照,如:
开机时创建、关机时创建、按照一定周期创建、按照设定时间创建等等。
访问控制策略
支持细化的访问控制策略,严格控制流入、流出每一个虚拟桌面的流量。
详细展示网络环境中虚拟桌面所有通信的行为和性能。
QoS策略
支持细粒度的QoS设置,既保证和整个网络的畅通,又最大程度保证核心业务的高效运行。
外设使用策略
选择允许或者禁止访问光驱、USB、打印机等外设。
3方案优势
3.1先进性
中科同向CDCC采用当前最新的IDV桌面虚拟化技术,具备IDV架构的所有技术优点,通过对企业标准镜像进行集中管理,同时利用客户端本地资源运行各种应用,能够为用户提供更简单、更灵活、更安全、更流畅的桌面体验,实现用户真正地随时随地、在任何设备上安全访问桌面和应用。
中科同向CDCC主要解决当前VDI架构桌面虚拟化给IT建设带来的显著挑战。
VDI架构桌面具备的显著挑战如下:
●高成本
要实现VDI环境,企业需要在核心基础设施上增加投入,包括面向VDI的高可靠性存储、服务器和新的终端设备,同时还需要支付VDI软件授权的费用,实施起来比传统IT基础架构的成本还要高。
●存储性能瓶颈
VDI环境对存储管理员提出了前所未有的挑战,系统的性能较容量而言变得更为重要。
由于桌面和应用以集中化的方式存储,而非分散在本地驱动器上,对于存储系统的需求较以往呈指数增长。
成百上千的虚拟桌面的数据吞吐量给存储系统带来了巨大的压力,VDI的性能也受到存储系统能够支持的IOPS的影响。
一方面,VDI的存储容量必需能够满足所有应用程序和用户数据的需求;另一方面,存储性能直接影响终端用户的用户体验。
对VDI系统来说,当大量的Windows系统同时启动或登录时,会产生所谓的“启动风暴”或“登录风暴”。
●用户体验差
高效的远程显示协议也无法完全消除低带宽、高延时网络连接对用户体验的影响。
对网络带宽、延时的要求,使得VDI无法真正突破多媒体、3D影像设计应用的瓶颈。
另外,VDI要求具有始终能连接到数据中心的网络,给用户的移动性也带来挑战。
●网络依赖
虚拟桌面与数据中心网络连接,所有的计算都发生在虚拟的宿主机端。
对网络的依赖,使得脱机使用变得十分困难。
●外围设备兼容性问题
VDI对各种可用外围设备存在限制,对很多外设的兼容存在问题。
3.2产品优势
简单易用
数分钟安装部署完成,无需改变用户习惯即可使用虚拟桌面。
⏹创建标准镜像
管理员创建企业标准镜像,发布到管理服务器CDvR。
⏹为用户分配部署镜像
用户下载标准镜像到本地,形成用户虚拟桌面。
虚拟桌面在本地运行,因此可提供良好的性能体验,且可运行用户离线脱机使用。
⏹用户桌面个性化定制
虚拟桌面采用分层架构:
用户数据与设置、用户自行安装的应用程序、包含操作系统及程序的标准镜像,共三层设计。
通过分层设计,用户可在本地对镜像进行个性化定制,IT管理员只需维护标准镜像。
既保证了用户使用的灵活性,又简化了管理。
⏹用户自行恢复桌面
如果用户桌面出现系统崩溃、蓝屏死机、恶意攻击等问题,用户可自行将虚拟桌面恢复到原始的干净状态,用户数据与设置不受任何影响。
⏹集中更新镜像
CDCC只需将镜像的更新增量部分分发给用户,更新速度快,成功率高。
更新过程中如果遇到问题,还可回退到上一版本。
⏹完备的策略管理虚拟桌面
CDCC可通过管理服务器CDvM查看所有虚拟桌面的使用情况,并且有多种策略对客户端本地桌面进行控制。
用户完美体验
⏹支持离线模式,降低网络依赖
CDCC可支持离线使用功能,在网络条件差、甚至没有网络的情况下,用户仍然可以访问桌面和应用,不必担心网络中断或网络故障带来的桌面失效。
⏹利用本地资源,支持复杂应用
CDCC采用本地虚拟化技术,可充分利用本地计算资源,图形设计、高清视频、多任务等DVI桌面虚拟化无法解决的瓶颈问题,CDCC均可轻松解决。
用户可在CDCC上运行复杂、高性能的应用,体验流畅,本地化运行方式,无需改变用户习惯,用户适应成本为零。
⏹兼容本地外设,消除使用禁锢
CDCC可以兼容几乎所有的外设,U盘、打印机、密钥、加密狗等等,不再受虚拟化限制,可随意使用。
⏹用户权限管理,访问安全便捷
CDCC数据同步方案,可按照一定的策略将用户数据同步到数据中心,之后用户即可凭用户名、密码在任意本地设备上访问这些数据,各用户桌面完全隔离,保证访问的安全性。
保证数据安全
⏹AES加密
CDCC可提供对用户数据进行加密的功能,使用128或256位AES对虚拟桌面进行加密,未授权用户即使获取了虚拟机文件,也无法解密数据。
⏹虚拟桌面封装隔离
CDCC虚拟桌面对包括操作系统在内的企业用户桌面进行了完整封装,各虚拟桌面被彻底隔离,并完全独立于底层主机硬件。
⏹PKI身份验证
用户使用CDCC虚拟桌面之前,必须通过身份验证,目前CDCC主要采用PKI身份验证。
CDCC设置了允许用户登录失败的最大次数;超过此阈值,则将该用户桌面锁定,在一定的时间之内不允许该用户在任何客户端登录。
⏹远程禁止
如果客户端主机离线使用超过一定时间,管理服务器锁定该客户端,用户无法通过其访问自己的桌面。
⏹远程擦除
管理服务器设置一定的时间阈值,如果客户端长时间不联系管理服务器,一旦时间超过管理服务器设置的阈值,则客户端主机将自动删除所有本地数据,确保脱网设备可控。
⏹外设禁用
管理服务器可以根据一定的策略,选择禁止访问光驱、USB、打印机等外设,以避免数据泄露或外来病毒入侵。
⏹用户数据集中管理
本地客户端只保存操作系统、应用程序等系统文件,用户数据文件集中到存储服务器端进行统一管理。
由于应用程序是在本地启动,对性能影响非常小,同时又能避免本地数据泄露。
⏹完整的策略管理
CDCC提供了多种策略,为用户提供安全保护,可以针对整个企业制定统一的策略,也可以对每个用户进行个性化策略定制。
3.3CDCC方案带来的效益
更灵活的访问
中科同向CDCC产品将用户使用与系统管理进行了有效分离,使得用户访问桌面不受时间、地点与设备类型的限制。
设备采购、维护成本降低
使用中科同向CDCC产品,不需要进行大量资金投入,不需要改变用户使用习惯,即可获得安全可靠的虚拟化桌面。
集中管理
管理中心CDvM对企业标准镜像进行统一管理、更新,通过分层设计,用户可在本地对镜像进行个性化定制,IT管理员只需维护标准镜像。
既保证了用户使用的灵活性,又简化了管理。
数据更安全
中科同向CDCC产品采用了AES加密、虚拟桌面封装隔离、PKI身份验证等技术,同时采取远程禁止、远程擦除、外设禁用等管理策略,可防止用户本地数据泄露。
同时,按一定策略将本地虚拟桌面进行备份与恢复,保证了用户数据免受损坏或丢失的风险。
国产化保障信息安全
中科同向CDCC是完全自主知识产权的国产化软件,可有效防止软件后门等带来的信息安全威胁。
升级会员 