华为桌面云解决方案技术建议书模板E9000.docx

1、华为桌面云解决方案技术建议书模板E9000 城建集团桌面云解决方案华为技术有限公司2014年7月1 项目概述1.1 项目需求1.1.1 项目背景上海城建（集团）公司作为一家中国500强企业、上海百强企业第26位并进入全球225家国际承包商行列的大型企业集团，始终走在IT领域的前列。在这个行业都开始步入云计算时代之际，华为公司为城建集团提供了行业领先的云计算解决方案，旨在和同城建集团一起创建出城市建设领域的最佳IT解决方案。在此次合作中，华为公司为城建集团量身定做了“桌面云计算解决方案”。1.1.2 华为桌面云计算解决方案的优势业务终端一直使用功能全面的传统PC。在大多数情况下，PC 提供了价格

2、、性能与功能的最佳组合。但同时，在实际应用过程中，需要在每台PC上安装业务所需的软件程序及客户端；同时所有数据分散在各PC上，对PC无法方便地进行统一集中维护与管理，对数据无法进行集中存储与备份。主要体现在以下几方面：难以保证非法接入： PC本地有 USB口、串口、并口都可以外接设备，没有有效的管理手段，禁止非法设备的接入，存在数据泄密的风险。难以保证数据的安全： PC通常是应用系统的客户端，可接收、处理、存储应用系统的数据，若这些数据是企业的关键信息资产，容易使企业关键信息泄露。另一方面，PC工作环境下，PC上保存着员工的智力数据，也是企业资产的一部分。这些数据如何能在PC出现故障或文件丢失

3、时恢复，是一个当前IT系统的一个巨大的挑战。难以管理：面对广泛分布的 PC 硬件，用户日益要求能在任何地方访问其桌面环境，因此集中式 PC 管理极难实现。此外，众所周知，由于 PC 硬件种类繁多，用户修改桌面环境的需求各有不同，因此 PC 桌面标准化也是一个难题。高能耗、高排放： 一台PC的能耗在200瓦左右，每台PC个人电脑平均运行12小时以上，一台PC一年耗电800-1000度电左右，对于企业上万台规模的PC工作环境，一年的耗电量是一个非常惊人的数字。这当今提倡绿色环保、低碳经济的大环境下，确实是一个巨大的挑战。资源未能充分利用：PC的分布式特性使人们难以通过集中资源的方式提高利用率和降低

4、成本。结果，PC的资源利用率通常低于5%，远程办公室需要重复的桌面基础架构，移动工作人员可能需要使用复杂的远程桌面解决方案。总体拥有成本高(TCO)：PC硬件相对较低的成本优势，通常无法抵消PC管理和支持工作的高昂成本。目前，PC管理工作包括部署软件、更新和修补程序等，由于这些工作需要对多种PC配置的部署进行测试和验证，因而会耗费大量的人力。同时，由于标准化程度不高，支持人员经常需要亲临现场解决问题，这就进一步增加了支持成本。针对上述问题，建议使用桌面云技术取代传统PC。具体而言，采用在服务器系统上承载桌面映像的方法，以集中资源并提高其桌面计算基础架构的可管理性。1.1.3 项目需求桌面云主要

5、应用场景有：OA办公、普通软硬研发、会议室。应用场景主要需求办公规模200系统要求Windows 7操作系统。支持PC机、瘦客户机访问虚拟机桌面平台；虚机规格vCPU=4U,Memory=4GB, 硬盘空间=200GB软件要求根据用户需求安装软件（原则上由用户提供安装程序和安装许可）外设要求支持USB打印机、USB键盘鼠标。身份认证域帐号+域密码1.1.4 功能需求除了用户体验与PC一致外，桌面云系统还将实现以下功能目标。1）限制安装软件。根据需求定制用户权限，限制用户的使用规范。2）数据统一存储。所有桌面的数据将统一保存和管理，确保数据的安全性、可用性。3）系统可还原。保证系统的快速恢复和还

6、原。4）系统支持安全架构设计，具有完善的安全防护能力。5）系统支持高可用性、动态迁移等可靠性设计。6）系统支持通过扩容存储与计算资源实现用户平滑扩容。2 华为FusionAccess桌面云介绍2.1 华为桌面云总体架构图2-1 华为桌面云总体架构 FusionAccess桌面虚拟化以服务器虚拟化为基础，允许多个用户桌面以虚拟机的形式独立运行，同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来，同时可以实现精确的资源分配，并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。FusionAccess采用业界最优的高清保真HDP桌面协议，并可将

7、授权用户安全连接至集中式虚拟桌面。它与 FusionSphere协同工作，可提供一个完整的端到端桌面虚拟化解决方案，此解决方案不仅能增强控制能力和可管理性，还可以提供与PC一致的桌面体验，FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面，升级和修补工作都从单个控制台集中进行，因此可以有效地管理数百甚至数千个桌面，从而节约时间和资源。数据、信息和知识财产将保留在数据中心内，而且永远不外流。FusionAccess各部件简要介绍如下：瘦终端TC/SC为用户提供用户桌面的显示输出，以及键盘鼠标输入，TC/SC通过桌面接入网关代理访

8、问对应的桌面，同桌面接入网关之间采用SSL加密的HDP协议进行信息传递，可以通过策略开放或者禁止TC/SC USB等外设至虚拟机的重新定向；用户通过在TC/SC上输入域用户名和密码访问对应桌面。负载均衡&接入网关主要提供两个功能，一是对WI节点提供负载均衡；另一个是对虚拟桌面提供接入网关与HDP Over SSL加密功能。桌面软件FusionAccessFusionAccess是华为提供的桌面管理与投送软件。Web Interface：WI为用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息（加密后的用户名和密码）转发给HDC，WI将HDC提供的虚拟机列表呈现给用户，为用户访问虚拟

9、机提供入口。在桌面云解决方案，可通过SVN为多台WI实现负载均衡。通过在WI上配置多个HDC的IP地址，WI可实现对HDC的负载均衡。HDC (Huawei Desktop Controller)：华为桌面控制器(HDC)是桌面云管理系统的核心组件，完成虚拟桌面业务发放，虚拟桌面管理，虚拟桌面登录管理，虚拟机的策略管理功能。GaussDB：GaussDB为ITA、HDC提供数据库，用于存储数据信息，例如，虚拟机与用户的关联、桌面组、虚拟机命名规则、定时任务信息。ITA节点：ITA为用户管理虚拟IT资产提供接口与Portal功能，实现虚拟机创建与分配、虚拟机状态管理、虚拟机镜像管理、虚拟桌面系统

10、操作维护等功能。License节点：桌面云License的管理与发放系统，License服务器用于控制器接入桌面云的用户数。TC管理（TCM）: 对瘦终端进行集中管理，包括版本升级、状态管理、信息监控、日志管理等。AD/DNS/DHCP：AD域控用于用户登录鉴权，DHCP用于域内IP分配，DNS用于域内计算机名、桌面云登录域名的解析。3 城建集团桌面云设计方案3.1 总体技术方案3.1.1 总体方案介绍图3-1 总体方案示意图 本项目为了实现高安全、高可靠、高性能、易远程集中运维、平滑扩容的目标，采用业界主流成熟的虚拟化技术，实现虚拟桌面、服务器虚拟化等要求。本项目方案主要以下方面考虑：资源池

11、设计：根据本项目的需求，服务器上安装华为的虚拟化软件，将服务器池化。池化后VDI桌面、服务器虚拟化的服务器分别组成集群。池化后服务器上运行虚拟机便于管理、监控。虚拟机在集群里可以实现定制策略迁移、手动热迁移、故障热迁移。资源池的设计具有高可靠、平滑扩容特性。华为云平台FusionSphere主要有虚拟化基础引擎FusionCompute、云管理FusionManager两个节点组成。一套云平台部署一对FusionManager主备节点，FusionManager通过自动发现功能发现其管辖下的物理设备资源（包括机框、服务器、刀片、存储设备、交换机）以及他们的组网关系；提供虚拟资源与物理资源管理功

12、能（统一拓扑、统一告警、统一监控、容量管理、用量计费、性能报表、关联分析，生命周期），并且对外提供统一的管理Portal。FusionManager还包括统一硬件管理UHM（Unified Hardware Management）功能，UHM提供对硬件自动发现，硬件自动配置、统一监控（带内和带外）、硬件统一告警、硬件拓扑、异构硬件支持。FusionCompute提供基础的虚拟化功能，提供服务器、存储、网络的虚拟化功能，并向上对FusionCompute提供接口。每套FusionCompute主要由一对主备管理节点VRM组成。一对VRM对应一个物理集群(或者叫站点)。一个物理集群中可以把多台服务

13、器划分成一个资源集群（又叫HA资源池），一个计算资源池有相同的调度策略，为了使用热迁移相关的调度策略要求资源池主机CPU同制。计算资源池不包括网络资源与存储资源。一个物理集群中可以包含多个资源集群。多个物理集群（此时对应多对VRM）可以级联，由FusionManager统一管理。本项目采用华为FusionSphere虚拟化计算技术作为基础，使整个系统具有以下优势：通过云平台HA、热迁移功能，能够有效减少设备故障时间，确保核心业务的连续性，避免传统IT，单点故障导致的业务不可用。易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。便于业务的快速发放, 缩短业务上线周期，高度灵活

14、性与可扩充性、提高管理维护效率。利用云计算技术可自动化并简化资源调配，实现分布式动态资源优化，智能地根据应用负载进行资源的弹性伸缩，从而大大提升系统的运作效率，使 IT 资源与业务优先事务能够更好地协调。桌面虚拟化：华为虚拟桌面管理软件FusionAccess，提供高性能且可靠的桌面投送。FusionAccess桌面虚拟化以服务器虚拟化为基础，允许多个用户桌面以虚拟机的形式独立运行，同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来，同时可以实现精确的资源分配，并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。FusionAccess采

15、用业界领先的高清保真HDP桌面协议，并可将授权用户安全连接至集中式虚拟桌面。它与 FusionSphere协同工作，可提供一个完整的端到端桌面虚拟化解决方案，此解决方案不仅能增强控制能力和可管理性，还可以提供与PC一致的桌面体验，FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面，升级和修补工作都从单个控制台集中进行，因此可以有效地管理数百甚至数千个桌面，从而节约时间和资源。配备FusionAccess桌面虚拟化方案具备下列优势：集控制能力和可管理性于一身：由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护

16、。桌面云把数据、信息和知识财产将保留在数据中心内，而且永远不外流。与PC一致的体验：用户可以灵活访问与普通 PC 桌面功能相同的个性化虚拟桌面。降低总体拥有成本 (TCO)：桌面虚拟化可以减低其管理和资源成本。统一软硬件管理：为了便于硬件设备（服务器、存储、交换机）、虚拟资源的集中管理，采用华为的虚拟化管理软件FusionSphere。FusionSphere采用B/S架构，可以远程统一管理本项目中VDI桌面、服务器虚拟化三个资源池。FusionSphere可管理、监控硬件资源、虚拟资源；支持虚拟机的快速部署、定制化策略调度。计算资源池计算资源池为用户提供CPU、内存计算资源。在服务器上安装华

17、为的虚拟化软件，可以在一台服务器上虚拟出多个台虚拟机，提供弹性规格的虚拟桌面。这几个资源池归属同一朵桌面云管理系统。存储资源存储资源主要为虚拟桌面提供系统空间和数据空间、还有桌面云管理系统所需要的空间。这些存储都在主用存储上。主存储根据数据类型的不同，划分不同的数据LUN。这里的数据类型主要包括 管理数据、Windows系统数据、用户数据。3.2 典型应用场景方案3.2.1 OA办公场景方案图3-1 OA办公应用场景OA办公桌面云方案特点：OA办公桌面云是指企业使用桌面云来进行正常的办公活动。用户的虚拟机运行Windows XP、Windows 7系统，运行各种文字办公软件，如Office编辑

18、文档、Project、Visio、Internet Explorer浏览网页、Outlook处理邮件、金山词霸等。桌面云可对接入USB通道、打印设备、存储设备进行映射管理；虚拟机里可安装监控软件，提供多种安全方案，保证办公环境的信息安全。华为桌面云利用虚拟化技术与远程桌面投送技术。在桌面云中心，利用虚拟化技术把服务器与存储虚拟成一台台弹性的虚拟主机，基于虚拟机级别的隔离，每个桌面都有单独的系统盘，安全性高；个性化强；外设支持类型丰富；用户体验与传统PC一致。每个用户都有一个独立的虚拟机，虚拟机系统盘采用服务器的本地存储，高度集成。用户如果需要扩展存储空间，可弹性增加SAN或NAS存储。用户通过

19、本地瘦终端，或软终端，采用AD域帐号+域密码方式登录虚拟机。虚拟机采用业界性能最优、高清保真的HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端的无本地存储、USB可管控，功耗低。办公环境相对PC环境更简洁，无噪音。3.3 网络设计方案3.3.1 桌面云逻辑组网图每个桌面云用户可以在办公位上使用TC、或者PC接入到桌面云中心。瘦终端放在每个用户的办公位，每个位子提供百兆或千兆GE网口就可以。桌面云部署在客户的数据中心机房中；需要与客户的核心交换机对接。考虑后续扩展性，建议采用2*10GE上行到客户核心交换机。桌面云网络通信平面划分为业务网、存储网和管理网。三个网络之间是隔离的，保证最终用户不能

20、破坏基础平台。存储网络：存储网络通过多路径确保链路冗余，服务器与存储设备通过存储网络二层直接互通。存储设备为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台转化。业务网络：为用户提供业务通道，为虚拟机虚拟网卡的通信平面，对外提供业务应用。HDP协议与虚拟机访问外部应用系统都是经过这个网络。各业务部门可以细分VLAN进行访问隔离。管理网络：负责整个云计算系统的管理、业务部署、系统加载等流量的通信。BMC平面主要负责服务器的管理，BMC平面可以和管理平面隔离，也可以不进行隔离。整体网络划分为两层，分别为接入层、核心层。接入层：为了收敛服务器、存储设备的网口，一般在机柜里放置接入交换机，在

21、接入交换机划分VLAN，将管理、业务、存储三个平面逻辑隔离。接入交换机再上行汇聚到核心交换机。核心层：华为云桌面通过内部的接入交换机汇聚后，接到客户核心交换机。核心交换机配置VRRP协议，为管理网络和业务网络提供冗余网关。3.3.2 网络带宽需求桌面云的网络带宽与用户行为，与应用户类型强相关。几种典型应用带宽需求情况如下：操作场景 HDP 静默场景（关闭所有应用，显示桌面，用户无操作） 8kbps 英文word打字（word文档100%比例打开，5号字体输入，每秒输入字符数=10个） 187kbps Word静默 15kbps 全屏浏览图片（每秒下翻一副图片，分辨率1650*1080） 110

22、kbps ppt播放（每秒下翻一页ppt，不含动画效果） 80kbps ppt播放（回翻5页内ppt，不含动画效果） 19kbps ppt播放（含动画） 748kbps pdf滚轮翻页 2500kbps Internet /WWW浏览（纯文字）: 50K150Kbps；150kbps呼叫中心客服应用(旁路/分离方案)：100150 Kbps；150kbps打印：500800Kbps；800kbps窗口拖动（窗口大小=800*600，背景为桌面，拖动时窗口内容跟随，桌面范围内掠过桌面图标） 141kbps 窗口拖动（窗口大小=800*600，背景为桌面，拖动时窗口内容跟随，桌面范围内不掠过桌面图

23、标） 56kbps 双击打开文件夹（文件夹窗口大小=800*600， 平均每秒打开一个文件夹） 342kbps 480P按照640*480尺寸播放（QQ影音） =6Mbps 480P按照1280*720尺寸播放（QQ影音） =9Mbps 480P全屏播放（1680*1050分辨率）（QQ影音） =12Mbps 720P按照640*480尺寸播放（QQ影音） =7Mbps 720P按照1280*720尺寸播放（QQ影音） =10Mbps 720P全屏播放（1680*1050分辨率）（QQ影音） =13Mbps 1080P按照640*480尺寸播放（QQ影音） =8Mbps 1080P按照1280

24、*720尺寸播放（QQ影音） =12Mbps 1080P全屏播放（1680*1050分辨率）（QQ影音） =15Mbps GPU虚拟桌面(CPU压缩): 550Mbps=30Mbps根据客户业务需求、以及业务模型带宽经验值分析，带宽需求分析如下参数带宽需求(kbps)值备注空闲1520%表示同时有20的用户空闲。互联网浏览15019%表示同时有29的用户都会进行互联网浏览操作。文档编辑15040%表示同时有70的用户在进行文档编辑。PPT/图片浏览40020表示同时有20的用户在进行PPT/图片浏览。视频浏览50001%表示1的用户都在进行视频播放需求。带宽利用率-80%-根据上面的带宽，可得

25、出各种应用场景的带宽要求。OA办公每用户平均带宽需求（15kbps*20%(空闲) 150kbps*19%(互联网浏览)150kbps*40%（文档编辑）400kbps*20%（PPT/图片浏览）5000kbps*1%（视频浏览）/70%316kbps。3.4 高可靠性方案桌面云平台通过在系统的各个层面采用相应的可靠性技术来保障业务提供的可用性，具体来说，包括：3.4.1 服务器可靠性设计服务器可靠性包括内存、硬盘、电源等多个层面的内容。提供BIOS内存自检和ECC纠错技术。 支持硬盘热插拔和RAID功能，提供硬盘在线故障检测和预警。支持电源1+1冗余和热插拔。支持对CPU，内存，风扇，电源，

26、硬盘等热关键器件的温度实时监控，设备故障时会产生告警，可以灵活对支持热插拔设备进行在线更换，不支持热插拔设备提前安排好业务后进行下电更换。配合智能的风扇调速和监控，确保系统运行的可靠性。多台服务器组成计算资源池，支持虚拟机的热迁移、HA功能。3.4.2 存储可靠性设计存储多路径每个计算节点与存储集群之间，至少配置两个完全冗余的路径，从而提供存储的多路径访问功能。多条路径间的故障切换由软件自动提供，从而避免单点故障带来的存储访问问题。存储数据的冗余备份采用SAN作为存储设备，在SAN高可靠性的基础之上，配置热备盘做冗余备份，保证数据不丢失和故障快速恢复。存储冷迁移在虚拟机关机情况下，通过管理员手

27、动操作，将虚拟机的卷迁移至其他的存储单元中，可以在同一个VRM管理下的同一个存储设备内，不同存储设备间，块设备和存储虚拟化之间进行迁移。存储热迁移在虚拟机正常运行时，通过管理员手动操作，将虚拟机的卷迁移至其他存储单元中，可以在VRM管理下的同一个存储设备内、不同存储设备间，块设备和存储虚拟化之间进行迁移。存储动态资源调度(DRS：Dynamic Resource Scheduler)在存储热迁移的基础上，可以进一步提供存储DRS功能。虚拟化平台通过相关的数据采集（数据存储的空间使用率和IO延时）, 并制定采集的数据制定相应的存储自动调度计划，以保证业务连续性的情况下根据设置的参数来实现存储资源

28、的合理调度，使得集群下的存储资源在使用率和IO性能上达到一定的均衡优化效果。3.4.3 网络可靠性设计网络路径全冗余核心层交换设备通过使用交换机集群技术，保证对外与防火墙/NAT和对内汇聚交换机连接的冗余。汇聚层交换设备通过使用交换机集群技术，保证对外与核心层交换设备和数据中心内接入层交换机连接的冗余。接入交换机通过使用交换机堆叠技术，保证对外与汇聚层交换设备和对内虚拟网络层连接的冗余。虚拟网络层通过采用多网卡绑定等技术避免单个网卡故障引发的业务中断。网络分平面通信系统通信平面划分为业务平面、存储平面和管理平面。为了保证各种网络平面数据的可靠性，不同平面间采用VLAN等技术进行隔离，单个平面故

29、障不影响其余两个平面的正常工作。业务平面：主要为虚拟机虚拟网卡的通信平面，对外提供业务应用。存储平面：主要为iSCSI存储提供通信平面，并为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台转换。管理平面：负责整个云计算系统的管理、业务部署、系统加载等流量的通信。网卡负荷分担对于各通信平面（业务、存储、管理）均采用双网卡，双网卡采用了Bonding模式，两网卡被绑定成逻辑上的“一块网卡”后，同步一起工作。既能对服务器的访问流量进行负荷分担，又能保证其中一块发生故障的时候，另外的网卡立刻接管全部负载，过程是无缝的，服务不会中断。3.4.4 虚拟化可靠性虚拟机热迁移提供虚拟机的自动迁移和手

30、动迁移方案，当前计算节点出现故障或者计算节点负载过高时，可以把虚拟机迁移到正常的计算节点或者负载相对较低的计算节点上，保证虚拟机的正常运行。虚拟机HA虚拟机高可用性（HA）是虚拟机的一个特性，当虚拟机所在的物理服务器故障（如宕机、掉电等）或重启后，虚拟机可以自动在其他物理服务器上运行，保证虚拟机能够快速恢复，它可以保护用户的业务程序对外提供不间断的服务，把因软件/硬件/人为造成的故障对业务的影响降低到最小程度。快照系统提供虚拟机、卷快照功能，系统正常状态下，可以触发一个系统快照，用于在系统出现故障的时候还原系统。图3-1 快照图示3.4.5 管理可靠性配置数据自动备份桌面云提供管理系统配置数据

31、自动备份机制，在系统配置数据意外损坏或丢失时，可快速恢复备份的系统配置数据，尽快恢复桌面云系统的正常运行。计算和存储集群分离通过采用计算集群和存储集群相分离的架构，提升系统的可靠性。计算集群完成虚拟机的按需分配以及集群内的热迁移，存储集群完成虚拟机的系统卷和用户卷的按需分配以及跨磁盘的存放。管理节点HA管理软件均采用1+1备份或负载均衡的方式运行。当一个管理节点的软件出现故障的时候，系统自动切换到备用节点，保证整个系统不间断运行。故障检测华为虚拟桌面系统提供了一个故障信息收集和存储集群节点可用性度量的功能，同时它包括了在Web浏览器中显示这些数据的工具，一旦集群进入正常状态，系统提供使用数据可视化工具观察集群管理和分配负载的功能，这可以帮助用户确定是否有负载均衡问题、失控进程或硬件性能下降的趋势，将对合理调整、分配系统资源，提高系统整体性能起到重要作用。历史记录允许你查看集群每日的、每周的，甚至是每年消耗的