桌面云建设项目方案建议书.docx

1、桌面云建设项目方案建议书1项目概述1.1方案背景株洲所在终端计算机上安装有文档加密、终端准入、防病毒等软件。随着公司的发展，安全与效率矛盾日益突出，两者效果均不理想；研发终端配置要求日益增高，但高端资源（图站、仿真计算等）无法共享，利用率低；终端安全管控策略严格，导致终端使用体验与配置不匹配，希望通过建设桌面云项目，有效管理和动态调配资源，解决效率与安全问题。1.2项目建设目标株洲所桌面云平台旨在搭建一个以应用、业务为导向，以桌面虚拟化技术为核心，保证终端稳定、安全运行的平台，用于满足株洲所各业务场景的使用需求，同时适合目前公司员工及相关用户的使用习惯，实现数据集中、安全可控，管理灵活、体验良

2、好的标准化的办公、设计开发环境。具体目标如下：1)增强安全：云桌面和应用全部运行在数据中心机房，在数据中心进行集中的部署、维护和管理，保证所有人员的管理涉密数据的安全性，通过安全管控策略及其它技术手段，可以严格禁止涉密数据下载或保存到本地的客户端设备，防止由于各种原因导致终端设备丢失而导致数据流失或泄密。2)提升效率：随处办公，计算资源动态调配；提高设备利用率，标准化办公、开发设计环境，实现迅速部署最新的操作系统和应用软件，实现版本化、简约化管理。3)改善体验：标准化系统，桌面纯净，零等待进入，绿化办公环境；优化运维：桌面标准化，终端标准化；减少故障处理时间，综合成本降低。2需求分析桌面云整体

3、框架原则：“整体规划、分步建设”株洲所桌面云按照15000人进行规划，然后分期分步进行部署、实施。本期共采购1500个用户桌面虚拟化软件许可（2015年度完成800用户的部署、实施，在2016年度完成700用户的部署、实施工作），完成桌面虚拟化及应用虚拟化平台搭建，后续按照公司规划逐年、逐步完成建设工作，建立株洲所统一的桌面云平台，为公司发展提供有力支撑。2.1使用需求a)所采用的桌面虚拟化技术，需要保证用户在桌面云中与目前的本机工作无差别，可以支持目前株洲所7类应用场景（办公室、会议室、实验室、生产车间、特殊核心涉密、出差、移动访问）和株洲所目前的430余款办公、设计、研发类软件的正常使用；

4、b)一般情况下，为用户提供有办公/设计、互联网两种桌面类型；当工作需要时，根据管理和流程，可随时增加、去除相关桌面类型。c)支持异地子公司低带宽、高延迟访问桌面云平台。请在方案中说明对支持异地子公司低带宽、高延迟访问桌面云平台的网络要求和技术原理。d)在桌面云中，每个工作人员都有自己的独立工作空间，设计人员与设计人员之间不能互相访问（物理上隔离），有各自的认证口令验证。e)在桌面云中，对桌面云软件可进行可控管理，可在线升级、安装等。2.2功能需求桌面虚拟化平台需支持用户单点登陆访问、管理多个虚拟桌面，且可做到桌面之间数据随用户加载。虚拟化操作系统支持虚拟化桌面支持多种操作系统版本每用户虚拟化系

5、统容量需求办公桌面：2vCPU、4G内存、200G存储空间。研发设计桌面：48 vCPU、8-16G内存、300G存储空间。互联网桌面：要求采用统一平台提供独享+共享桌面形式交付。以上部分特殊用户需要特殊处理虚拟化桌面软件需求保证株洲所相关办公、设计、研发软件正常运行虚拟化接口需求虚拟化客户端考虑支持硬件设备接入调试接口2.3性能需求并发启动需求支持平台内虚拟桌面在30分钟内完成启动 并发访问需求支持平台内所有用户并发访问各类虚拟桌面，在虚拟桌面中做办公、软件开发、EDA设计、二维设计、三维设计等工作不能有卡顿、中断等现象。虚拟桌面扩容需求支持株洲所“总体规划、分步实施”原则，未来桌面云需扩展

6、至15000用户，扩容后无并发性能影响改变。用户感知度性能需求用户对虚拟桌面使用感知度性能不能低于原有同配置PC机。单点性能需求确保平台的虚拟桌面能流畅的访问，无卡顿现象。网络性能供方需提交桌面云后端网络规划,确保用户大规模访问时无容量、性能瓶颈(提供详细网络规划图)。2.4系统安全需求a)桌面云和公司现有株洲所AD域集成，使用现有AD域用户进行帐户和口令认证。b)需要实现部份人员可从互联网登陆株洲所桌面云系统访问个人虚拟桌面，其余人员只能在公司内网环境中使用,同时需支持株洲所动态口令系统双因子认证以提高安全性。c)需支持某个用户的虚拟桌面只能在固定一台授权的终端上登陆，不能在其余终端上登陆，

7、解决特殊核心资料的定点授权、编辑、查阅功能。d)提供其它可增强的系统安全管控功能。2.5平台防病毒需求提供防病毒和防恶意软件解决方案对桌面虚拟化平台进行整体防护，无需在虚拟机内安装代理或防病毒客户端即可保护虚桌面，实现虚拟化环境下的安全防范。并提供整体解决方案。2.6系统可靠性需求1、各系统角色需有冗余机制，系统需支持7*24小时不间断运行； 系统可靠性需达到99.999%。2、提供桌面虚拟化平台的容灾备份方案。2.7软件运行需求需满足株洲所目前430余款办公、设计、研发软件的正常运行，与物理本机运行、使用无差异。2.8数据备份需求对桌面云中的操作系统、用户数据备份，提供详细的备份方案和灾难恢

8、复策略，保证在故障发生后数据无损恢复。2.9故障处理需求要求虚拟桌面系统维护具有以下故障处理能力：1.单台虚拟桌面发生故障时，故障恢复时间不超过1小时；2.低于20%虚拟桌面同时发生故障时，故障恢复时间不超过2小时；3.超过20%虚拟桌面同时发生故障时，故障恢复时间不超过4小时；3VMware Horizon View产品介绍VMware Horizon是集合了桌面云解决方案、桌面云环境运维监控解决方案、物理PC桌面系统管理、多种设备管理、用户数据存储与分享的一体化解决方案，致力于构建统一IT生态结构，在此结构之上划分应用管理、桌面管理、数据管理，通过一致化的界面向终端用户进行交付。如下图显示

9、了VMware Horizon核心组件所完成的功能。图2-1：VMware Horizon组件功能划分通过VMware Horizon可以实现如下解决方案：安全的移动空间实现通过各种设备对桌面、应用和数据的安全移动访问，支持漫游及跨多种设备（包括自带设备）进行安全访问，在达到了使用便利性要求的同时，做到个性化且一致的终端用户体验。借助VMware Horizon View实现DaaS（桌面既服务模式），摆脱笔记本电脑和移动设备硬件业务，从而大幅度提高工作空间生产效率，降低整体桌面TCO。业务流程桌面从数据中心集中向外部工作人员交付集成虚拟桌面和统一通信，通过向分支机构及海外部门交付集中桌面，确

10、保内部及外部第三方人员安全地访问系统，降低成本并保护旧有投资，实现数据集中化，从而更好的保护公司和客户利益。分支机构桌面针对小型和远程分支机构的低接触式IT，满足各种带宽需求和未连接网络的员工，VMware Horizon解决方案能够比旧环境更稳定、更易于管理。永不停机的桌面确保为更关键的服务交付高可用性桌面，确保关键应用全天候可用性，零停机，同时简化桌面管理，降低TCO。Windows迁移和映像管理 Horizon Mirage提供了适合大多数常见Windows 7迁移方法的两个选项：将现有Windows XP设备就地升级到Windows 7；或将用户的配置文件和文件从之前的Windows

11、XP设备迁移到新的Windows 7硬件（在利用硬件更新周期来协助进行Windows 7迁移时）。除此之外，Horizon Mirage在尝试迁移之前会制作Windows XP系统的完整系统快照，如下图所示。这样，在出现错误时，IT管理员就可以快速地为终端用户恢复到之前的系统。图2-2：Mirage系统迁移和快照图例 通过对Windows 7迁移项目的这些增强功能，一个拥有10000人的组织可以利用Horizon Mirage加速Windows 7迁移，轻松IT节省时间成本和用户工作效率成本。多设备工作空间通过软件定义的安全工作空间提供在任何移动设备或计算机上访问应用和数据的能力提高终端用户的

12、工作效率简化IT人员的多设备管理加强安全性、合规性和审核力度内部及外部文件协同图2-3：多设备工作空间示意3.1VMware 虚拟桌面架构优化的云计算基础架构平台作为虚拟桌面底层架构Horizon View产品后台采用的是vSphere for Desktop即vSphere最高版本支持。vSphere 提供强大的服务器虚拟化功能，并有着众多的成功案例。作为虚拟桌面后端的支持，vSphere提供了：可扩展性 每个管理单元可以支持10000个虚拟机，可以适合大型虚拟桌面的部署。通过用vMotion 更加快速和高效，可缩短虚拟机的迁移时间。可以根据需要和优先级压缩和增加桌面，通过动态资源分配有利用

13、服务器资源动态调配。高性能 vSphere高性能，可以为虚拟桌面提供快速、稳定的平台，并通过其监控系统平台，掌握物理服务器、虚拟机的性能情况。最佳密度 增大了桌面虚拟机密度达 8-10 个虚拟机/核，大大提高了每台服务器虚拟机的支持数量。高可用和业务连接性 vSphere针对桌面工作负载进行优化，例：由于内存交换减少导致性能提高。灾难快速恢复 Data Protect以及Storage vMotion技术能充分保证虚拟桌面平台的安全。无需硬件加速的3D图形支持 vSphere无需专业显卡即可提供基本 3D 图形功能（包括Direct-X, OpenGL, Google Earth, Windo

14、ws 7 Aero, Office 2010等）， 操作系统支持的多样性 VMware View桌面支持主流的操作系统：WindowsXP、Windows7、Windows8以及Linux桌面。支持多种远程协议 VMware View桌面可以支持RDP、PCoIP以及Web方式访问虚拟桌面VMware Horizon View Manager虚拟桌面交付中心VMware Horizon View Manager 是企业级虚拟桌面管理器，是 VMware Horizon View的关键组件。IT 管理员使用Horizon View Manager作为中心控制点，支持最终用户安全灵活地访问其虚拟桌

15、面和应用程序，并利用与 VMware vSphere 之间的紧密集成，说明客户以安全托管服务形式交付桌面。VMware Horizon View Manager具有极强的可扩展性和可靠性，它使用基于 Web 的直观管理界面创建和更新桌面映像、管理用户数据、实施全球策略等，从而同时代理和监控数以万计的虚拟桌面。Horizon View包括下列组件：Horizon View Connection Server管理对虚拟桌面和应用的安全访问，与VMware vCenter Server 配合提供高级管理功能Horizon View RDS Session Host 承载用户访问应用程序的会话，在应用

16、发布模式下，应用程序客户端集中安装于此Horizon View Agent 接受会话连接和管控功能Horizon View Client 支持 PC 、瘦客户端、移动设备上的用户连接到虚拟桌面使用Horizon View Administrator 允许管理员进行配置设置、管理虚拟桌面和设置桌面的权限以及分配应用程序Horizon View Composer 管理员可通过单一Windows XP /7 /8 模板来批量部署和维护虚拟桌面，极大简化管理员的部署和运维工作量Horizon View Security Server 作为安全网关组件，可使用户通过广域网访问虚拟桌面，同时保障数据安全客

17、户端设备在最新的Horizon View产品中，支持各类移动设备、PC、Mac电脑以及专用的瘦客户机设备来接入到虚拟化的环境里，通过Horizon View客户端，用户可以在任何地方、任何时间，通过任何的设备进行安全的虚拟桌面和应用的访问。所有的Horizon View客户端均可以在VMware官方网站上下载，用户不需要对客户端软件进行付费。另外，通过Horizon 提供的HTML5 Blast技术，用户不需要在设备上安装任何的程序就可以访问到Horizon View的虚拟化环境。这无论是在安全性、还是在易用性上都给企业提供了便利。Microsoft Active Directory在桌面虚拟

18、化环境中，AD域控制器负责用户帐户信息的存储与验证。当一个用户通过客户端连接到安全服务器或连接服务器时，首先需要与AD域控制器进行验证。另外，虚拟桌面与用户的OU设计、组策略对象管理均需要在域控制器中完成。View连接服务器（View Connection Server）该软件服务充当客户端连接的控制器。View 连接服务器通过 Windows Active Directory 对用户进行身份验 证，并将请求定向到相应的虚拟机、物理 PC 或 Windows RDS 主机上。View连接服务器提供：用户身份验证 授权用户访问特定的桌面和池 将通过 VMware ThinApp 打包的应用程序分

19、配给特定桌面和池 管理远程桌面和应用程序会话 在用户和远程桌面及应用程序之间建立安全连接 支持单点登录 设置和应用策略在企业防火墙外部，也可以在DMZ中安装View连接服务器并将其配置为安全服务器。DMZ中的安全服务器可与企业防火墙内的View连接服务器进行通信。View安全服务器（View Security Server）安全服务器可确保唯一能够访问企业数据中心的远程桌面和应用程序流量是通过严格验证的用户产生的流量。用户只能访问被授权访问的资源。安全服务器也可以单独作为组件的方式进行安装，且无需加入Active Directory域中。需要将View连接服务器和安全服务器安装在Windows

20、 Server 2008、Windows Server 2012或Windows Server 2012 R2服务器中，根据VMware官方的最佳实战，建议将它们安装在 VMware 虚拟机中，以得到最佳的可靠性与用户体验。View Administrator通过浏览器即可访问View连接服务器，并对服务器进行配置、部署管理应用、发布虚拟桌面和虚拟应用池，进行策略控制，排队用户连接故障等。View Administrator组件不需要额外安装，它会随View连接服务器安装自动完成。通过浏览器，管理员可以在任何设备上访问并进行设置。View Composer是一个用于系统镜像管理的组件，通过Co

21、mposer可以将一个父虚拟机的快照中创建链接克隆桌面池，通过这种技术可以大副提高存储的利用率，减少存储空间上的消耗 。另外，因为所有的链接克隆桌面共享同一个基础映像，因此，只需要在父虚拟机上更新应用、系统，就可以实现对应的链接克隆桌面也进行更新。而用户的数据、设置、应用都不会受到影响，原理图如图2-5所示。View Composer可以与vCenter安装在同一台机器上，也可以独立安装。因为Composer只提供Windows服务器系统的安装支持，因为，如果用户使用的是vCenter Linux Appliance，那么就需要单独在一台Windows服务器上进行独立安装。图2-5：View

22、Composer示意图vCenter Server 它是数据中心端所有的VMware ESXi服务器的中心管理员。vCenter Server提供了在数据中心内配置、置备和管理虚拟机的中心点。除了将这些虚拟机作为虚拟机桌面池的源，还可以使用虚拟机来承载View的服务器组件，包括View连接服务器实例、Active Directory服务器、Microsoft RDS主机和vCenter Server实例。可以将View Composer和vCenter Server安装在相同的服务器上或不同的服务器上。vCenter Server会管理向物理服务器和存储分配虚拟机的情况，以及向虚拟机分配CPU

23、和内存资源的情况。Horizon View支持VMware Linux Appliance以及Windows操作系统之上进行安装的vCenter。与其他的Horizon组件一样，VMware建议vCenter也安装在VMware的虚拟化平台上。View Agent如果一个客户端要连接到数据中心端的虚拟桌面或虚拟应用，我们就需要在这些目标设备中安装View Agent软件，通过View Agent可以为客户端提供连接监视、虚拟打印、View Persona Management和访问本地连接的USB设备等功能。在安装View Agent时，管理员可以选择是否安装相应的功能组件，如虚拟打印功能，智

24、能卡功能等。RD会话主机（也称RDS主机）用于托管要远程访问的应用程序和桌面的服务器计算机。在 View 部署中，RDS 主机是已安装 Microsoft 远程桌面服务角色、Microsoft 远程桌面会话主机服务及 View Agent 的 Windows 服务器。Horizon 6 for Linux在这个以 Windows 为主导的大环境下，对 Linux 桌面的使用正变得越来越普及。企业依赖 Linux 出于多种原因 :支持使用许多仅能在基于 Linux 的操作系统上运行的设计应用和工程开发应用告别 Windows，降低成本确保安全性并促进更大程度的自定义但是，在物理环境中支持 Lin

25、ux 桌面也会带来自身的一系列挑战。Linux 桌面可能会非常复杂且难以管理。Linux 桌面提供很少或不提供知识产权保护，涉及到远程、外包或海外员工时更是如此。运行 Linux 所需的端点通常过于昂贵，这将抬高成本。为了克服这些挑战，许多组织已经将目光投向桌面和应用虚拟化。但这种解决方案一直 主要供 Windows 用户采用。从现在起一切都会改变。从现在起，您可以通过 Horizon 6 for Linux 交付、管理和访问 Linux 虚拟桌面，无需再为商用操作系统提供许可。获取面向 Linux 桌面的全面支持，并能对办公应用、3D 图形应用和开发人员应用进行顺畅访问。Horizon 6

26、for Linux 非常适合软件开发人员、CAD/CAM 开发人员、希望降低软件许可成本的部署人员，以及其他任何需要获得 Linux 所提供的成本节约、安全性和自定义特性的人员。借助 Horizon 6 for Linux，组织现在可以将桌面和应用虚拟化的优势延展到 Linux 用户。 Horizon for Linux 可集中管理桌面并保护数据中心内数据的安全，同时支持终端用户跨 不同设备、位置、介质和连接无缝访问 Linux 服务。此外，该解决方案还能够让组织摆 脱成本高昂的 Windows 许可，并采纳低成本的端点以实现最佳总体拥有成本。简化桌面管理Horizon 6 for Linux

27、 使 IT 管理员可以利用单一平台来为用户授权并针对 Linux 和 Windows 桌面设置策略。 借助这种直观的管理界面，IT 部门只需单击几下即可轻松调配和管理桌面。支持更高的工作效率Horizon for Linux 支 持 广 泛 的 Linux 选 项， 包 括 Ubuntu、Red Hat Enterprise Linux (RHEL)、CentOS 和中标麒麟操作系统NeoKylin，可确保终端用户能够轻松访问所需的一切 Linux 办公应用，以尽可能保持较高的工作效率。此外， 通过与 NVIDIA 配合使用，Horizon for Linux 还可以为开发人员和设计师提供丰富

28、的 3D 图形支持，甚至可以支持最强大和最密集的使用情形。提供轻松快捷的访问采用 Linux 操作系统在本质上更加安全，而且通过集中管理 Linux 映像、应用和文件，Horizon for Linux 可确 保组织能够更好地保护数据和管理用户跨不同设备和位置的访问。借助 Horizon for Linux，终端用户可快速 且轻松地登录其虚拟会话，始终可以享受一致的卓越体验。Linux 可节省成本通过让组织脱离 Windows 并转向 Horizon for Linux，客户能够将资金开销和运维开销降低多达 60%。客户不 仅可以由昂贵的笔记本电脑或工作站转为利用瘦客户端和零客户端，还可以摆脱

29、 Microsoft 许可费用，因而 可降低成本。他们还可以在日常运维中节省成本。转向 Linux成千上万的组织正在实现 Linux VDI 在管理、安全性和成本方面的优势。Horizon for Linux 促进了向虚拟桌面和应用的转变，并为客户提供了安全、易于使用且成本优化的解决方案。向 Linux 用户交付虚拟桌面基础架构 (VDI)。主要特性全面的Windows虚拟桌面支持，通过以虚拟桌面的形式交付Windows，最大限度地减少迁移过程中的用户中断。避免桌面硬件更新，重新调整 PC用途以访问Windows， 更快地实现投资回报，使操作系统迁移更经济高效并提供卓越的最终用户体验。还可以支

30、持PVS类型桌面，在Windows中实现应用的虚拟化池提供给终端用户。利用高性能 PCoIP 显示协议保持稳定的访问，从而支持最广泛的使用情形和部署选项，即使通过低带宽连接也是如此。虚拟桌面可根据连接客户端的分辨率动态调整虚拟桌面分辨率，虚拟桌面支持1600X 1400分辨率，支持32位真彩色显示；支持双向音频重定向、支持视频多媒体及Flash重定向功能；图像、文本处理显示效果流畅清晰。 高清视频和Flash的播放支持服务器端解码播放，也支持客户端解码播放，系统能够根据虚拟桌面环境自动选择播放方式，也可由管理员通过策略来控制。为最终使用者提供独立于特定设备的应用程序和数据访问。在任意数目的监视

31、器配置上提供富媒体内容，并为用户提供对本地打印机、扫描仪和其他本地外围设备的无缝访问。利用 VMware Horizon View Composer 持久磁盘永久保存最终用户数据和设置。用户可以灵活地使用公司或非公司的任何 PC、笔记本电脑或瘦客户端。使用 View Client with Local Mode，最终用户即使在断开连接时也可以访问其虚拟桌面。简化的虚拟桌面和应用程序管理 管理用户或用户组的虚拟机权限管理向桌面或桌面池分配虚拟应用程序从单个位置在数分钟内部署和更新多个虚拟桌面和应用程序 使用基于角色的管理来委派管理权限，从而扩展 IT 资源 利用和扩展现有目录服务工具和基础架构自动桌面部署 采用细化策略实施部署新的桌面或桌面组 使用虚拟机模板对特定桌面池或桌面组进行自定义高级虚拟桌面映像管理 利用连结克隆技术快速创建或更新桌面映射 安装更新、补丁程序和新应用程序，而不会对最终用户造成任何中断虚拟打印 从虚拟桌面自动发现和连接本地打印机并进行打印，既没有兼容性问题和带宽限制，也不需要进行复杂的使用者设置本地客户端机器和虚拟桌面之间进行复制和粘贴剪贴板支持，支持单向或双向复制和粘贴高效地保留用户设置和数据，通过支持更多的无状态流动桌面使用情形来降低桌面 TCO收集会话状