深信服桌面云方案建议书32433.pdf

《深信服桌面云方案建议书32433.pdf》由会员分享，可在线阅读，更多相关《深信服桌面云方案建议书32433.pdf（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、.深信服桌面云方案建议书 201X 年 X 月 深信服科技*.目录 第 1 章 IT 发展趋势分析 1 第 2 章桌面云方案概述1 2.1 业务挑战与需求1 信息安全风险大1 高昂的运营成本1 桌面无法移动化2 2.2 桌面云：云计算之旅第一步2 第 3 章深信服桌面云解决方案2 3.1 方案设计原则 2 3.2 桌面云产品架构图3 3.3 关键组件介绍 3 硬件平台 3 软件平台 4 3.4 方案价值总结 4 云安全：全面保护业务数据 4 云管理：提升 IT 运营效率 5 云灾备：确保桌面连续性 5 云办公：实现工作自由高效 5 3.5 投资回报比分析 5 3.6 产品技术优势 6 第 4

2、章项目配置清单及说明 7 4.1 应用场景需求说明 7 4.2 用户桌面配置方案 8 云终端配置方案 8 虚拟机配置方案 8 4.3 服务器存储配置方案 8 服务器配置方案 8 存储配置方案 9.4.4 网络设备配置方案 9 网络带宽需求说明 9 交换机配置方案 10 4.5 桌面云方案整体配置清单 10 第 5 章桌面云详细架构设计方案 11 5.1 详细架构示意图 11 5.2 用户终端设计方案 11 桌面云终端访问 11 采用现有 PC.11 移动终端接入 12 5.3 桌面控制器设计方案 12 部署说明 12 集群设计 13 功能概览 13 5.4 服务器设计方案 14 部署说明 14

3、 集群设计 15 功能概览 15 5.5 虚拟存储设计方案 16 部署说明 16 磁盘设计 16 功能概览 17 5.6 桌面云网络设计方案 17 业务网 17 存储网 17 5.7 桌面云安全设计方案 18 传输协议安全加密 18 身份认证权限管理 19 区域安全隔离 19.业务数据加密存储 19 第 6 章深信服桌面云产品理念及技术优势 20 6.1 流畅 20 云终端硬件加速 20 高效桌面交付协议 20 外设兼容性保障 20 SSD 缓存加速 21 6.2 稳定 21 多层面 HA 机制 21 多副本数据存储 22 宕机极速恢复 22 6.3 高效 22 融合一体化架构 22 简约风格

4、控制台 22 IOM 智能诊断平台 23 桌面性能基准评测 23 6.4 安全 24 多重身份认证系统 24 端到端云防护设计 24 云安全杀毒方案 24 第 7 章深信服桌面云典型应用案例 25 7.1 典型案例介绍 25 中国文化部 25*省*国税 25 北方联合电力 26*爱屋吉屋 27*南明区教育局 28 7.2 各行业案例表28.第1章 IT 发展趋势分析 1946 年,世界上诞生了第一台电子数字计算机,标志了人类进入新式计算机时代,并对社会发展产生了巨大的推动作用.继此之后,计算机科学技术不断发展,特别是以集成电路、微电子等技术的重大突破,促使计算机朝着更便捷、更人性化的方向发展,

5、几乎每十年便会有一次彻底颠覆.当前,我们已经进入了互联网+时代,在此时代,IT 系统及信息资产是核心竞争力,所以提升 IT 效率与安全性是各行业的关键战略方向.然而,面对新时代、新 IT 诉求,传统 PC 却存在管理效率低下、数据安全缺失等众多弊端,这再次推动了新技术的研究与变革,现在及未来几年,计算机会从本地模式转变为云化模式,从而解决传统 PC 运维效率低、数据安全性差等多种难题.第2章 桌面云方案概述 2.1 业务挑战与需求 2.1.1 信息安全风险大 传统 PC 模式,信息数据及办公文档分散存储于每台终端上,当硬盘故障将导致重要文件丢失,随着 PC 数量越多,其数据丢失风险越大,而面对

6、广泛分布在每台电脑上的硬盘数据,IT 人员也难以实现统一的数据备份及恢复.再者,不同办公场景均有大量的办公 PC,PC 与服务器之间传输的是实际业务数据,该数据会缓存在用户本地或在传输过程中被截获,同时用户还可以通过 PC拷贝*数据并随意外发.所以在这种情况下,PC将成为网络中的一个安全缺口,如果不加以管控,则信息泄密风险极大.2.1.2 高昂的运营成本 每台 PC 都有主板、CPU、内存和硬盘等众多零部件,在长达 35 年的生命周期中,平均每台 PC 报修次数高达 3 次以上,每次维修周期需要 1 到 2 个工作日不等,因此在硬件故障维护及更换方面需要投入巨大的人力与经费.除此之外,PC 桌

7、面管理复杂,包括系统升级、补丁更新、安装软件、网络配置.等维护工作均需逐台完成,消耗大量的人力,而且 IT 人员往往需要亲临现场解决问题,进一步增加了支持成本.同时,传统 PC+显示器为 250W,那么一台电脑将产生高达 352 元/年的电力成本,且电脑发热量也比较大,在办公空间密集的情况下,散热成本也逐步上升.因此,IDC 预测,用户在 PC 硬件上投资 10 元,后续的运营开销将高达 30 元,而这些投资并不能产生业务价值,也即投入越多,浪费越大.2.1.3 桌面无法移动化 在当今竞争激烈的业务环境中,用户需求不断变化,工作不再局限于某个场所,而是采用一种移动化、随时随地的工作方式,员工希

8、望通过任意设备随时随地访问数据和应用程序,从而提高工作效率与响应速度.但是,传统 PC 将办公桌面与特定计算机绑定,限制员工只能在固定工位上进行办公,使用起来非常不灵活,无法满足移动桌面办公需求.为了满足移动化战略需求,办公桌面需要从以 PC 为中心的模式向以用户为中心的模式发展,即摆脱将用户桌面、应用程序和数据绑定至单个硬件的束缚,使得用户能够自由连接熟悉的个人桌面系统.2.2 桌面云：云计算之旅第一步 迈向云计算之旅的第一步就是利用桌面云切断硬件设备的依赖性,将原先运行在 PC 上的桌面、应用和数据统一迁移到数据中心的服务器,这样不仅可以有效解决桌面部署和管理的难题,而且还可为用户提供工作

9、所需的桌面灵活性和可访问性,实现随时随地的访问.第3章 深信服桌面云解决方案 3.1 方案设计原则 流畅体验 桌面云应提供与 PC 一致的用户体验,保证流畅的桌面操作及视频播放,并且良好兼容打印机、*读卡器、指纹仪、摄像头、高拍仪等各类外设.高可靠性 桌面云应提供主机和磁盘的冗余部署机制,确保桌面及业务的可靠运行,同时要求桌面架构具备平滑扩容能力.易于使用 桌面云应提供软硬件一体化服务器平台及更少的管理组件、更易用的管理平中,从而实现简单高效的安装调试及运维管理,提升运行效率.高安全性 桌面云应提供前端、传输端、后端等更全面、多层次的安全功能,包括多种认证方式、传输层加密、数据盘加密等,从而有

10、效保护平台及用户安全.3.2 桌面云产品架构图 深信服提供一站式、高性价比桌面云方案,整套方案只需要云终端、桌面云一体机两种硬件,即可完成桌面云的快速搭建.其中,桌面云一体机VDS是一款专为云桌面设计的软硬件一体化服务器,集成了服务器虚拟化、存储虚拟化、虚拟桌面控制器等软件平台,用户无需复杂的安装调试过程,将 VDS 开机之后,只需要按照向导式配置界面执行几个操作步骤,即可完成桌面云部署上线,非常方便快速.3.3 关键组件介绍 3.3.1 硬件平台 1.云终端 ARM 架构：硬件架构采用 ARM A9 芯片,其优势在于系统运行效率更高,而且长期使用更为稳定.一体化设计：设备采用集成化设计模式,

11、无多余零部件,并且运行过程中发热少,所以寿命更长,高达 58 年.绿色环保：平均功耗仅 10W,相对 PC 可节省 10 倍电力成本,并且无风扇运行,全程无噪音.2.桌面云一体机.桌面云一体机是一款专为云桌面量身定制的软硬件一体化服务器,通过提供简单、一站式交付方案,极大降低部署难度,从而帮助用户加快桌面云项目进度.高性价比：深信服桌面云方案无需购置独立存储,通过虚拟存储技术提供高性能、低成本的存储方案,效果与独立存储一样,但可以节省存储成本.极致体验：传统方案采用纯机械硬盘设计,多桌面并发使用时容易卡顿.深信服采用SSD+HDD混合设计方式,同时利用高效缓存技术可以提升多倍IO性能,保障云桌

12、面流畅体验.良好扩展：普通服务器方案,扩容时需要停机做复杂配置.桌面云一体机在扩容时无需停机,只需在线加入集群,即可自动实现资源平衡,扩容非常轻松方便.高稳定性：深信服桌面云一体机采用全集群架构设计,主机和磁盘硬盘均有冗余设计机制,能够实现故障自动迁移,确保桌面业务稳定运行.3.3.2 软件平台 1.虚拟桌面控制器：提供用户认证管理、细粒度策略控制、桌面/云终端统一监控及管理等功能,实现更安全、更可靠地交付云桌面.2.服务器虚拟化：祼金属架构,可为云桌面提供高性能负载平台和先进管理功能,包括虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能.3.存储虚拟化：将服务器直连

13、硬盘形成分布式共享数据存储,通过内置冗余机制可透明存储多个数据副本,以确保磁盘和服务器故障时,数据不会丢失,并且依然可用.3.4 方案价值总结 3.4.1 云安全：全面保护业务数据 过去,数据放置在每台终端上,面临数据丢失和外泄的风险.现在,通过桌面云将数据从 PC 本地迁移到数据中心,便于集中备份,而且集中化模式使得所有的数据计算与业务交付都在后台完成,敏感数据不再需要离开数据中心,从根本上降低数据安全风险.另外,借助桌面云 IT 部门可以通过设置集中化策略控制用户对数据的访问权限,例如控制用户是否能将文件从数据中心的桌面拷贝到本地设备或 U 盘.3.4.2 云管理：提升 IT 运营效率 过

14、去,桌面支持与管理成为IT部门大负担之一,随着桌面数量增多,这种情况变得越来越严重.现在,借助模板部署、派生及更新技术,IT 人员可以轻松、快速地创建多个桌面,并在几分钟内将应用程序和配置文件推送到上千个虚拟桌面.在日常维护方面,IT 人员也只需要维护几台服务器、几套模板和一些应用程序,提升 IT 管理效率,节省支持成本.3.4.3 云灾备：确保桌面连续性 桌面云构建了一套高可用的桌面架构,借助自动化备份和集中式运维,可以简化终端硬件管理,使故障恢复从传统 PC 的几小时缩短至几分钟,提升用户办公体验,员工不需要担心因客户端丢失或故障而造成工作中断,因为用户的数据和应用程序均存储在数据中心,即

15、便设备丢失或发生故障,用户可以从其他设备登录,并快速衔接中断的工作.3.4.4 云办公：实现工作自由高效 借助桌面云,员工只需要记住 1 套账号密码,不管是在办公室、在家还是在出差,只要网络是可达的,用户就可以使用云终端、笔记本、智能终端等不同设备随时访问桌面,而且可以获得一致的办公桌面体验.这种模式,实现办公的无边界,工作不会因为场所的变化而中断,有效提升员工的工作效率.3.5 投资回报比分析 分析项目 500 台云终端 500 台传统 PC 投资成本 500 套 10 台服务器 500 台 PC 管理成本 需要 1 人 工资支出：4 万 需要 2 人 工资支出：8 万 运维成本 运维成本节

16、省 75%硬件更换费用降低 50%云终端寿命 58 年 维护难度大、效率低 硬件更替成本高 PC 寿命 35 年 能源成本 总功率：10W*500+10*1200W=17000W 总功率：.电费：2.5 万/年 200w*500=100000W 电费：15 万/年 费用节省 1 年总支出：6.5 万 5 年总支出：32.5 万 1 年总支出：23 万 5 年总支出：115 万 每年节省 16.5 万,5 年节省 82.5 万 总体来说,部署云桌面需要购买云终端、服务器、存储及桌面云软件授权等软硬件设备,所以前期投资并不会低于传统PC,但长期下来所带来的就是运维工作量及成本的降低.所以,随着年份

17、增长,部署云桌面的收益将越来越大.3.6 产品技术优势 卓越体验 视频重定向+硬件芯片解码：让用户获得与 PC 一致的播放流畅度,同时节省服务器资源占用,在多并发播放时,CPU 利用率可控制在 10%以内.SSD 缓存加速：热点/重复数据自动利用 SSD 进行 IO 提速,深信服已将缓存命中率突破至 60%以上,提升桌面启动速度和操作流畅度.除此之外,深信服借助总线映射、虚拟摄像头、U-Key 直通识别等多项核心技术,可以完美兼容 U 盘、打印机、读卡器、扫描仪、摄像头、高拍仪、U-key 等上千种主流外设.高度稳定 多层面 HA 设计机制：借助服务器集群、动态迁移、虚拟存储、端口汇聚等多项

18、HA 机制,构建一套高可用桌面架构,提升容错能力.多副本数据存储：一份数据在 2-3 台主机进行实时备份存储,实现最大程度的冗余互备,无需担心主机或磁盘的故障而造成数据丢失.极其精简 融合一体化架构：桌面云一体机为管理员提供一套极其精简的架构,避免安装的复杂性；单点登录和联动关机为用户提供易于上手、操作便捷的桌面云.简约风格控制台：UI 设计方面遵循少即是多的设计理念,我们尽量去除复杂操作,更多地使用一键式、向导式的配置界面,实现精简管理.全面安全.多重身份认证系统：提供高达 6 种身份认证方式,可按需自由组合,满足不同级别用户的安全接入需求.端到端云防护设计：提供面向桌面云的安全保障体系,包

19、括客户端准入、软件防火墙、传输加密、安全存储等端到端技术,提升安全性.第4章 项目配置清单及说明 4.1 应用场景需求说明 应用场景 操作系统、应用程序、磁盘空间、外设等需求 规模 办税大厅 终端用户：柜台人员 操作系统：Windows7 磁盘空间：系统盘20G,数据盘 20G 应用程序：CTAIS/税控系统/退税系统/车购税系统/执法系统等业务系统、IE/Office/PDF等日常办公软件 外设：金税盘、金税读卡器、普通打印机、针式打印机、高拍仪、扫描仪 300 本项目主要将桌面云部署在办税大厅,替换柜台业务人员的办公 PC,不仅可以完美兼容各项涉税应用和外设,而且能够实现统一化、标准化的桌

20、面运维,以及提升税务*安全.另外,为了最大程度节省维护工作量,建议将桌面设置为还原模式,这样即便产生中毒或软硬件等故障,只需将虚拟机桌面系统重启,便可快速恢复正常业务.4.2 用户桌面配置方案 4.2.1 云终端配置方案 适用人员 终端型号 详细配置参数 规模 柜台业务 STD-200H ARM 四核/1G 内存/4G 存储/6*USB/1VGA或 1HDMI 300 考虑到办税大厅涉及外设较多,本项目建议部署STD-200H云终端,具备 6 个USB 接口,满足连接外设所需.接口如不足,推荐增加 USB 分线器,最高支持 15 个外设并发使用.4.2.2 虚拟机配置方案 适用人员 虚拟机配置

21、参数 规模 柜台业务 2vCPU/2G内存/系统盘 20G+数据盘 40G/20IOPS 300 基于办税大厅应用场景的需求描述,可以判定该场景为中载模型,因此推荐每用户虚拟机的性能参数为：2vCPU/2G内存/系统盘 20G+数据盘 40G/20IOPS.每用户系统盘分配20G,虚拟机模板及快照建议保留4T 存储空间,所以需要20G*300+2T=8T系统盘；而每用户数据盘分配40G,所以需要 40G*300=12T.因此,最终总共所需的硬盘可用空间为20T.4.3 服务器存储配置方案 4.3.1 服务器配置方案 桌面云一体机型号 主要配置 数量 VDS-5050 E5-2630v3*2/1

22、28G内存/存储：1 块 64G-SSD、1块 240G-SSD、6 块 1T-SATA/6千兆网口 9 为了提供最佳用户体验,VDS-5050单机推荐承载37用户,所以.建议配备 9 台服务器,总共可以支撑 333 用户,当其中一台服务器出现故障,剩余8 台服务器依然可以支撑近 300 用户,实现了冗余部署,保证桌面云平台的高可用性.4.3.2 存储配置方案 系统盘 缓存盘 数据盘 数量 1*64G-SSD 1*240G-SSD 6*1T-SATA 9 本项目采用分布式虚拟存储方案,直接利用服务器自带硬盘组成统一存储资源池,并且数据存储采用双副本机制,确保数据可用性.具体配备原则如下：每台服

23、务器配备 1 块 64G-SSD 硬盘,用于安装桌面云软件系统；配置 1 块240G-SSD 硬盘,用于热点/重复数据缓存加速,提升桌面 IO 性能.每台服务器配备 6 块 1T-SATA 硬盘,用于存储虚拟机模板、操作系统及用户个人数据.实践证明,按 SSD+HDD 的硬盘配置方式,每台服务器可提供 1000IOPS 以上,平均每用户高于 20IOPS.另外,本项目有 9 台服务器,总共 54 块 1T-SATA 硬盘,由于采用双副本机制,最终可分配空间为54*0.93T/2=25T,可以满足本项目所有用户的系统盘+数据盘空间分配需求,并保留 5T 的扩容空间.4.4 网络设备配置方案 4.

24、4.1 网络带宽需求说明 应用场景 带宽/bps 延时/ms 丢包率 说明 办税大厅 xxMb 50 0%由于办税大厅涉及较多外设、且日常使用很频繁,所以本项目建议为每用户保留 xxMps 网络带宽.另外,如果需要通过广域网交付桌面云,要求网络延时50ms、以及无丢包,这样才能保证用户体验.4.4.2 交换机配置方案 交换机型号 配置信息 数量 xxxx 三层交换机,背板带宽 15Gpbs,16*千兆端口 2 xxxx 二层交换机,背板带宽 2Gbps,2*千兆端口、24*百兆端口 5 按每用户平均消耗xxMbps,则业务网总带宽为xxGbps；另外,每服务器还需消耗1Gbps 用于多主机数据

25、同步,则存储网总带宽为9Gbps,因此建议核心/汇聚交换机背板带宽为xxGbps或以上.接入交换机每台连接40 台桌面云终端,按每用户xxMpbs,则每台接入二层交换机背板带宽为 xxGbps 或以上,采用 2 个千兆端口汇聚分别上联到两台核心/汇聚交换机.同时,由于核心/汇聚交换机既用于业务网桌面交付,又用于存储网数据同步,其高可用性非常重要,因此本项目推荐部署2 台实现冗余.4.5 桌面云方案整体配置清单 设备名称及型号 详细描述 数量 价格预估 硬件部分 STD-200H 桌面云终端,ARM 四核平台 300 VDS-5050 桌面云服务器 9 VDC-xxxx 虚拟桌面控制器 0 交换

26、机 xxxx 三层以太网交换机 2 交换机 xxxx 二层以太网交换机 5 显示器 300 键鼠套装 300 软件部分.桌面云用户授权 按并发用户数计算 300 虚拟存储模块VS-5050 适用于 VDS-5050,每服务器配备 1 个 9 备注：虚拟桌面控制器 VDC,单个集群高于 300 并发用户必选,低于 300 并发用户可选软件 VDC,本项目并发用户数为 100,故采用软件 VDC.第5章 桌面云详细架构设计方案 5.1 详细架构示意图 5.2 用户终端设计方案 5.2.1 桌面云终端访问 新增人员,每人部署一台桌面云终端,实现集中部署与管理,提升运行效率,同时降低 IT 运行的总体

27、碳排放量,符合国家整体能源战略.型号 适用场景 配置参数 STD-100 普通办公、生产线、计算机室 A9 双核,1G 内存,4G 存储,4*USB 口,1*VGA STD-200H 平面设计、视频监控、大屏显示 A9 四核,1G 内存,4G 存储,6*USB 口,1*VGA STD-500 双屏办公人员 X86 双核,6*USB 口,2G 内存,8G 存储,1*VGA,1*HDMI 5.2.2 采用现有 PC 可以有效利用现有 PC,通过在 PC 上安装桌面云客户端软件,实现对云桌面和业务系统的访问.最大程度利旧,节约 PC 更换成本.支持两种模式：.1)PC 本地桌面和云桌面共用,比如本地

28、桌面用于上网业务、云桌面用于办公业务,实现业务安全隔离；2)开机直接跳转到云桌面使用界面,不进入本地桌面,上网及办公业务都在云桌面上完成,IT人员只需要集中管控云桌面即可,本地桌面无需管理,节省工作量.5.2.3 移动终端接入 可以采用基于 ios 和 Android 系统的平板电脑、智能手机,通过在 appstore或安卓商城下载 easyconnect 客户端,即可实现对云桌面的访问,实现移动化业务办公.5.3 桌面控制器设计方案 5.3.1 部署说明 虚拟桌面控制器主要负责账号及资源管理、用户认证、新桌面注册分配、传输优化、控制桌面状态、瘦终端集中管理等.目前支持两种部署模式：软件 VD

29、C 和硬件 VDC,其中软件 VDC 只适用于 300用户以下应用规模,硬件 VDC 适用于任意应用规模.本项目并发规模为 300 用户,因此采用软件 VDC 方式.软件方式：直接在虚拟化平台上创建软件 VDC,不需要依赖 windows server操作系统,它会以虚拟机的方式运行于服务器上,安装部署非常方便.支撑软件 VDC 所需的虚拟机配置信息 CPU 2vCPU 内存 4G 磁盘 10G 网络接口 1vNIC 硬件方式：提供经过优化与改进的 1U 或 2U 的专业硬件设备,有多种型号可供选择,可以实现更好的稳定性及高性能,满足更多用户并发接入.建议选购两台设备做集群部署,保证桌面业务高

30、可用性.型号 支持并发用户数 大小.VDC-2500 500 1U VDC-2600 1000 1U VDC-4500 2000 2U VDC-4600 5000 2U VDC-8500 16000 2U 5.3.2 集群设计 本方案采用两台独立 VDC 设备组成集群模式,提供更可靠的桌面接入服务,并且可以提高接入容量及性能.每台VDC设备为1个集群节点,用户通过集群 IP 连接云桌面时,集群软件将动态分配桌面连接到各个正常运行的 VDC节点,以充分利用每个 VDC 节点的资源.如果集群中其中一台VDC节点发生软硬件故障,用户会重新连接到正常的VDC节点,所以只要集群中有一台 VDC 设备是正

31、常的,桌面业务将不会中断.如果有新的 VDC 设备加入集群,它会自动下载所有配置信息,与其他 VDC 节点保持一致,可以节省配置工作量.VDC 集群支持会话同步,当其中一台 VDC 设备出现异常时,可以无缝迁移到其他正常的 VDC 设备上,用户无需再重新登录认证即可使用.5.3.3 功能概览 桌面发布及访问 1)可以发布 Windows XP、Windows7 等桌面操作系统,开关机过程可见,提供与 PC 一样的用户体验.2)支持多终端访问,用户可以使用智能终端、PAD 或笔记本,随时随地接入云桌面,实现移动办公.3)通过安装 VDI 客户端可以将旧 PC 变身瘦终端,实现 PC 开机后直达

32、VDI登录界面,并且当网络中断时,可切换到 PC 本地桌面,满足应急办公需求.易用性改进 1)可以实现单点登录,实现VDI认证和桌面系统认证一体化,用户只需1次认证即可接入云桌面.2)可以联动关机,用户只需点击云桌面关机按钮,云桌面和瘦终端将一体.化关闭,提升操作便捷性.用户体验优化 1)可以兼容文档处理、浏览器、即时通讯工具等各类办公软件,并支持打印机、高拍仪、摄像头、网银 key 等常用外设,以满足正常办公需求.2)支持上网缓存加速,可以将用户上网过程中产生的cookies、网页等数据,自动使用内存实现高效加速,有效提升网页浏览速度,并降低硬盘 IO 消耗.3)支持视频重定向,以提升播放流

33、畅度及性能,播放 1080P 高清视频,虚拟机 CPU 利用率低于 15%,从而降低服务器资源消耗,提升虚拟机部署密度.安全策略 1)支持 6 种身份认证方式随需组合,包括本地认证、短信认证、动态令牌、硬件特征码绑定等,以满足不同级别的安全接入需求,同时要求能够与AD 域/Radius等第三方认证平台完美结合,实现用户认证.2)支持设置首次登录强制修改密码、定时修改密码、图形校验码和软键盘等密码安全策略,以保障认证密码安全性,避免越权访问行为.3)支持客户端安全检测,可根据用户接入的终端类型、操作系统版本、接入IP 和时间、软件安装情况等指定访问策略,如客户端不满足安全检测要求则不允许接入,有

34、效保障接入安全性.4)支持用户终端与云桌面平台之间采用 VPN 隧道传输,实现数据加密,保障外网接入安全.5)支持个人盘加密技术,对云桌面个人数据进行加密保存,保障个人隐私安全.运维管理 1)支持为云桌面设置还原模式,在操作系统重启后,除个人数据之外其他内容均还原为初始状态,始终为用户呈现干净可用的桌面环境,降低系统故障率.2)支持统一完成云桌面的开机、关机、挂起、重启等操作,并支持为云桌面设置开关机计划,实现上班前自动开机、下班后自动关机,节省资源占用.3)支持集中分配个人磁盘,并可以指定磁盘空间大小,在空间不足时还可以为用户新增个人磁盘,以满足用户文档存储需求.4)支持云桌面分组管理,同时

35、支持批量设置 IP,为用户云桌面快速分配 IP地址,提升 IT 人员桌面维护效率.5.4 服务器设计方案 5.4.1 部署说明 本项目采用深信服桌面云一体机服务器,每台服务器预装深信服服务器虚拟化和存储虚拟化软件,实现开机即用,不需要复杂的安装调试.部署时,将所有主机加入集群,形成统一资源池,方便资源分配及调用,以及实现集群主机的集中化管理、监控.5.4.2 集群设计 如图所示,IT人员只需要将主机选中并加入集群,即可快速完成HA架构配置,非常简单.这样,无论是计划外停机或者服务器出现故障,此架构都能提供最高级别的桌面服务可用性.服务器集群架构无需第三方软件,通过服务器虚拟化平台内置的HA功能

36、特性实现集群主机互为监控,一旦检测到服务器故障之后,自动在集群内的其他正常主机重启虚拟机,保证桌面业务正常运行.另外,如果某台桌面服务器需要维护,在无需中断服务的情况下,可将服务器之上的虚拟机迁移至其他服务器,管理员可以快速、完整地执行运维工作.工作原理 1)HA 技术可以持续监控集群内的桌面服务器和虚拟机,一旦出现故障可快速恢复.恢复时,还会自动选择资源池中最佳的服务器来激活虚拟机,实现资源负载均衡.2)只要将主机加入集群,HA 技术会时刻监控各主机是否有足够可用的资源以及服务器、虚拟机的状态,以便在发生故障时能快速在正常服务器上进行激活.由于所有的虚拟机镜像文件统一存放在共享存储或虚拟存储

37、中,所以使得虚拟机在其他服务器能够快速重启.5.4.3 功能概览 统一资源管理 1)无需部署集中管理平台,通过 Web 方式接入集群控制台,实现对所有主机统一管理.2)支持虚拟机远程运维,无需安装任何插件,即可接入虚拟机操作系统界面,实现桌面管理.3)支持模板克隆技术,IT 管理员只需创建标准桌面模板,即可快速派生出 N多个云桌面系统,极大缩短桌面系统上线周期.性化优化 1)支持内存或SSD缓存技术,能够对重复硬盘数据进行IO加速,提升云桌面启动速度和运行效率.2)支持内存页合并技术,能够有效消除多个虚拟机运行过程中重复只读内.存数据,以节省内存使用,提升服务器部署密度.备份与恢复 1)支持快

38、照技术,当系统故障时可实现故障回滚；同时支持增量保存快照数据,以节省存储空间.2)支持虚拟机集中备份与恢复,可按需选择多个虚拟机或全部虚拟机备份至外置服务器,并可设置备份策略,实现自动化备份.5.5 虚拟存储设计方案 5.5.1 部署说明 本项目采用分布式虚拟存储架构,通过它可以将服务器直连硬盘整合起来,形成存储资源池,从而为云桌面平台提供经济高效的存储服务,并且效果与独立存储一样.分布式虚拟存储主要通过磁盘管理、缓存技术、存储网络、冗余副本等技术,管理集群内所有硬盘资源,最终提供统一存储空间用于虚拟机的保存、管理和读写.这样,在无需共享存储的情况下,依然可以实现虚机迁移及故障切换,不仅节省存

39、储购买成本,而且利用分布式技术架构进一步确保数据的高可用性.5.5.2 磁盘设计 多副本数据存储机制 分布式虚拟存储架构采用多副本数据存储机制,以避免数据丢失风险.副本技术通过在多主机或多磁盘同时存储数据,当主机或磁盘故障后,可以从其他磁盘的副本信息快速恢复数据.目前支持 13 份副本,1 副本,数据只保存 1 份,不具有容错能力；2 副本,数据保存 2 份,能够容忍 1 个磁盘或者 1 台主机故障而桌面业务不受影响；3 副本,数据保存 3 份,可以容忍 2 个磁盘或者 2 台主机故障而桌面业务不受影响.当采用 2 副本或者 3 副本时,如果某主机发生了故障,运行在该主机上的虚拟机会自动在其他

40、主机上重启,这样可以保证用户桌面继续正常使用.由于副本数会影响到实际可用的硬盘空间,为了确保数据不丢失,并最大化可利用的空间,本项目采用双副本机制,即同一虚机文件在 2 台服务器有副本信息,这样可以确保集群内其中一台服务器宕机后,数据不丢.失,桌面业务可以迁移到其他主机上继续使用.SSD+HDD 磁盘混合设计 本项目采用SSD+HDD磁盘混合方案,包括1块SSD硬盘和多块SATA/SAS硬盘,其中 SSD 的 IO 性能较高,作为缓存盘,用于缓存用户经常访问的热点数据；机械硬盘的 IO 性能较低,作为数据盘,用于存储用户虚拟机和个人数据.目前,深信服桌面云一体化服务器的缓存命中率高于 60%,

41、这样就可以实现以较低成本获得非常高的 IO 性能,保障云桌面用户体验.5.5.3 功能概览 1)基于高度可用的设计架构,其冗余机制可存储多个数据副本,从而确保磁盘、服务器的故障,不会影响桌面和数据可用性.2)支持 SSD+机械硬盘混合设计模式,SSD 用于缓存云桌面热点数据,机械硬盘用于存储个人数据,为了保证使用效果,要求 SSD 缓存命中率不低于60%,以提升云桌面 IO 性能,让用户获得最优用户体验.3)为满足云桌面扩容需求,要求支持无缝扩展技术,当工作负载变化或性能扩展时,只需将服务器加入集群,即可动态调整资源以实现负载均衡,让扩容更为轻松方便.5.6 桌面云网络设计方案 5.6.1 业

42、务网 本项目建议采用 2 块千兆网口进行链路聚合以提升带宽及可靠性.业务网的流量主要包含以下3 种：1)桌面图像变化产生的流量：鼠标移动、界面切换、页面翻滚等只要存在图像变化的地方都会产生流量.2)视频重定向：本地视频和 Flash 视频,传输速率与音视频码率一致.3)外设重定向：打印机、扫描仪、U 盘、摄像头等外设,其流量大小取决于拷贝/打印文件的大小、图像分辨率的大小.5.6.2 存储网 存储网络的流量主要包括：桌面IO 操作、副本信息、迁移数据等.由于分布式虚拟存储架构会按照算法将虚机文件分布保存在不同服务器上,云桌面运行过程中产生的 IO 操作或副本信息需要通过网络传输.因此,存储网络

43、是否稳定非常关键,建议将存储网络与业务网络分离,单独构建一套存储网络来支撑虚拟存储通信,每台服务器保留 2 块千兆网口用于存储通信,并且采用链路聚合的方案来提升通信带宽,以及保障存储网络稳定性.方案一：单交换机链路聚合 本方案分别将服务器的 2 个网口连接到交换机,可以提升存储网络的容错性,单网口或链路发生故障不会影响存储正常通信.方案二：双交换机链路聚合 本方案采用双交换机链路聚合方案,每台服务器分别连接到两台交换机,并配置链路聚合.这种方式,需要 2 台交换机,增加了成本,但是具有更好的容错性,可以保证网口、网线和交换机的故障,都不会影响虚拟存储的通信,并且也进一步扩大了不同服务器之间的存

44、储带宽.5.7 桌面云安全设计方案 IT 系统对安全性要求越来越高,云桌面平台各环节要求体现安全控制的理念.因此,需要通过良好的安全控制手段,来保证正常桌面业务运行,并规避安全风险.本项目采用的安全措施包括：传输协议安全加密、身份认证权限管理、区域安全隔离、业务数据加密存储.5.7.1 传输协议安全加密 员工利用云桌面平台进行日常办公,瘦终端通过专有虚拟交付协议连接到数据中心,传输协议承载了图像传输、身份认证等关键信息,本方案采用 SRAP 通信协议,此协议仅传输客户端图像变化和鼠标、键盘等操作数据,本身并不直接传输应用数据,避免了数据在终端驻留泄露的可能性.另外,为进一步提升传输安全性,传输

45、协议采用 SSL 加密手段,保证所有信息都在安全通道内传输.5.7.2 身份认证权限管理 为了建立针对用户的访问权限,实现细粒度的管理平台策略,需要建立用户身份认证平台,建立统一的用户身份认证将给云桌面平台的统一管理提供更高的安全性和便捷性.深信服云桌面平台可以通过本地数据库或基于 LDAP 实现平台的统一身份认证、权限分配和策略发布.并且具备良好的密码管理策略,可强制密码长度、密码生存期、密码更改最短有效期、密码复杂性要求、*锁定等各种密码安全策略,确保用户密码的安全性.此外,如果需要更高安全性,平台可同时支持使用 U-key 认证、短信认证、动态令牌、硬件特征码等多因子身份认证技术实现更加

46、安全的身份认证.活动目录的规划与管理需考虑用户的组织架构和平台的管理需要,因此有必要针对平台的需求,统一规划活动目录的结构,创建不同的对象满足用户管理和平台授权维护的需要,并实现分级的策略化管理.5.7.3 区域安全隔离 各部门都存在各自的业务系统、应用软件,而云桌面平台将为会不同的业务部门提供服务,部门之间的业务信息以及数据信息都需要隔离保护,因此采用区域隔离技术,不同部门的业务应用可以根据不同的 VLAN 进行虚拟环境的网络逻辑隔离,保证员工访问的安全性.5.7.4 业务数据加密存储 桌面上存放着各种业务数据,云桌面平台将数据集中化存储,一旦平台受攻击,或者被恶意破坏,则面临较大的数据丢失

47、和泄密风险.因此,需要对个人盘业务数据采用加密存储手段,以确保数据安全性.第6章 深信服桌面云产品理念及技术优势 6.1 流畅 6.1.1 云终端硬件加速 桌面云将计算和存储资源都集中到服务器上,终端主要处理图像和指令信息,而 CPU 在图像处理方面比较一般、GPU 芯片在这方面更专业,所以我们通过软件算法改进充分发挥了云终端GPU 硬件芯片的效能,一方面推出了多媒体重定向技术,通过这项技术、不管是本地视频还是在线视频,都不需要在服务器上解码,我们会将视频文件直接传送到云终端,利用视频专用芯片进行解码和播放,这样不仅有效提高了视频播放的流畅度,还节省了大量的服务器资源占用,能够满足高并发视频播

48、放需求.另一方面,我们能够自动感知平面设计类软件,比如 PS、CAD,然后通过图形硬件加速技术,进一步提升这些软件的操作体验,包括图像缩放、拖动、画图等等操作.总体来说,因为充分利用了GPU 芯片效能,所以效率更高,体验更好.6.1.2 高效桌面交付协议 由于桌面云是采用将桌面从远端交付给客户端的模式,所以传输协议的好坏直接影响到用户体验,深信服在优化领域有了很多年的技术积累,11 年的时候我们自主研发了 SRAP 高效交付协议,采用了多项优化技术,比如高效流压缩,即对流量进行边传输边压缩,既可以保证传输效率,又可以节省带宽,还有数据缓存及优化,可以实现对多余或者重复的传输流量进行削减,进一步

49、降低带宽占用,所以深信服的传输协议比我们传统的 RDP 协议可以提升 6 倍传输效率,从而获得与 PC一致的云桌面用户体验,在使用过程中可以始终保证流畅不卡顿.6.1.3 外设兼容性保障 对于外设来说,我们会在终端与服务器之间打通一条专用通道,采用总线映射和底层直通技术,兼容各种办公外设,即使是网银 key 这种特殊的安全外设我们依然可以完美支持.而对于摄像头和高拍仪这两种业界普遍支持并不好的外设,.深信服也有办法解决,我们开发了虚拟摄像头技术,将摄像头、高拍仪的流量进行高度压缩、压缩比超过 10 倍,让我们的产品可以很流畅地支持摄像头、高拍仪的使用.所以,部署深信服的桌面云,大家不用担心外设

50、的支持问题,只要将外设插在终端上,然后在虚拟机上装好驱动程序,我们就可以像 PC 一样去使用外设,除此之外,还能够实现比 PC 更好的外设管理,包括管控 U 盘和打印机等.6.1.4 SSD 缓存加速 我们知道,传统的 sas 盘、sata 盘最高只有 1w 多转,每块硬盘一般只有 100多个 IOPS,即使是多块硬盘累加也达不到桌面云的IO 性能要求,所以我们在硬件架构上做了一些改变,我们采用 SSD 缓存方式,在每台桌面云服务器上都有1 块SSD硬盘,通过热点数据精准抓取技术和冗余数据快速淘汰技术,可以让用户以较低的成本获得非常高的 IO 性能.实践证明,通过我们的缓存算法优化,桌面云所请