云桌面解决方案建议书模板.docx

《云桌面解决方案建议书模板.docx》由会员分享，可在线阅读，更多相关《云桌面解决方案建议书模板.docx（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、云桌面解决方案建议书-模板云桌面解决方案建议书模板名目1 工程概述 (1)2 工程需求分析 (1)2.1 治理运维效率低 (1)2.2 难以保护数据的安全 (1)2.3 扩展性与灵敏性缺乏 (2) 3 云桌面设计方案 (2)3.1 网络设计方案 (2)3.2 双网隔离设计方案 (3)3.2.1 物理隔离方案一 (3)3.2.2 物理隔离方案二 (4) 4 云桌面具体设计方案 (5)4.1 网络设计 (5)4.1.1 网络划分 (5)4.1.2 网络部署建议 (6)4.2 资源配置 (7)4.2.1 计算资源配置 (7)4.3 存储资源配置 (8)4.3.1 关键指标 IOPS (8)4.3.2

2、 虚拟桌面空间占用 (8)4.4 治理中心设计 (9)4.5 安全设计 (9)4.5.1 终端准入把握 (9) 第i 页4.5.2 多样化的用户认证方式 (10)4.5.3 集中的网络策略治理 (10)4.5.4 三权分立，防止越权治理 (11)4.5.5 虚拟化杀毒保障桌面安全 (11)4.5.6 数据备份与恢复 (12)4.6 高体验设计 (12)4.6.1 灵敏的终端选择 (12)4.6.2 视频重定向效果 (13)4.6.3 Flash 视频重定向 (13)4.6.4 USB 外设重定向 (14)4.6.5 TWAIN 设备重定向 (14)4.7 扩展性设计 (15)4.7.1 灵敏扩

3、展 (15)4.7.2 分步云化 (15)4.8 运维治理规划 (16)4.8.1 虚拟桌面与桌面池 (16)4.8.2 快速部署和统一升级 (16)4.8.3 应用快速分发 (16)4.8.4 桌面自效劳 (17)4.8.5 个人数据盘 (17)4.9 数据安全备份 (17)4.9.1 用户自助备份及恢复 (17)4.9.2 虚拟桌面备份恢复 (17) 5 工程建设成效 (17)5.1 降低总拥有本钱 (17) 第 ii 页5.2 提高运维效率和降低碳排放量 (18)5.3 更高的资源利用率 (18)5.4 更高的稳定可用性 (18)5.5 更高的系统可治理性和桌面部署速度 (18)5.6

4、更强的按需动态扩展力气 (18) 第 iii 页1 工程概述以虚拟桌面为交付形态，基于效劳器虚拟化构建 IaaS 平台根底支撑环境，云计算技术在安全层面需要解决传统 IT 根底架构面临的问题， 实现统一治理、系统稳定性等需求，充分发挥后PC 时代虚拟桌面带来的优势。传统桌面使用 PC 终端难以实现标准和治理，安全漏洞多，易患病病毒/木马攻击，从而影响办公网络及办公终端的安全性。在大型企业中承受的物理隔离和规律隔离方法，会造成投资本钱高，工作效率下 降。承受集中管控方式，按需自由交付虚拟桌面，实现绿色IT，打造智能弹性架构。2 工程需求分析始终以来，在 IT 建设中，桌面计算普遍使用的是功能全面

5、的“胖客户端”PC。在很多状况下，此类 PC 供给了价格、性能与功能的最正确组合。但是，在“安全办公”的战略方针下，胖客户端 PC 并不是抱负的解决方案。主要在于型信息化进展的路线上，传统架构表现出 了一些缺乏：2.1 治理运维效率低面对广泛分布的 PC 硬件，用户日益要求能在任何地方访问其桌面环境，因此集中式 PC 治理极难实现。此外，众所周知，由于 PC 硬件种类繁多，特别是分批次选购，导致在资产治理方面对于种类繁多的 终端维护和治理机器困难，用户修改桌面环境的需求各有不同，因此PC 桌面标准化也是一个难题。每名工作人员都有 23 台 PC、多套操作系统、多种业务软件，IT 人员需要逐个终

6、端去维护、安装和调试，导致市、区、派驻检察室等 各级检察机关的桌面部署及治理工作量格外大，但由于技术处 IT 人员有限，往往无法准时响应全部运维任务，所以可能会影响工作人员的 工作效率。除此之外，传统 PC 硬件构造简洁，故障率较高，所以硬件维保费用将逐年递增，同时还会带来更多的电力、空间等资源占用或 经费开支。2.2 难以保护数据的安全全国各级检察机关的内网涉密网/非涉密网与互联网物理隔离，在数据安全方面，已经拥有较为完善的数据保护机制，所以网络攻击大事发生的概率格外小，但内网终端由于缺乏必要的安全防护措施， 反第 1 页而存在较大的失、泄密隐患，检务工作人员可以将涉密信息下载 到本地硬盘上

7、，然后通过非法拷贝或刻录等方式，把涉密信息泄露出 去。为确保涉密安全，检察机关在桌面 PC 上运行各类安全防护软件， 但是假设桌面PC 使用光盘、USB 等设备引导启动，或者把硬盘挂接于另一计算机上，作为从盘启动，就能轻松绕过位于PC 硬盘上的防护体系，此时非法人员可以不留痕迹地猎取涉密信息和植入病毒木马，影 响检察涉密专线网的运行安全。当前局部工作人员对于信息安全的专业学问和技能有限，比方杀 毒软件没有安装或没有升级病毒库、操作系统补丁升级不准时、内外 网混用、任凭使用移动存储介质等，难以防范泄密问题，对于每个人PC 中的机密信息，主要通过制度来约束和治理，而一旦消灭故障，IT 治理员要从各

8、节点排查，工作量巨大且本钱昂扬，保证安全的同时降 低了工作效率，安全和效率无法兼顾。2.3 扩展性与灵敏性缺乏现有 PC 设备在扩展先和灵敏性上存在缺乏，特别对于临时性和短期性的扩展需求，如：员工入职，需要申请和部署的 PC，传统模式需要投入大量的部署工作，缺乏良好的扩展性和准时性。在后 PC 时代，将来的桌面进展也朝着移动化、异地化、多应用场景等的桌面挑战。在“科技强检”进展的战略下，传统PC 机已经远远无法匹配日益先进的现代化、信息化治理水平。所以，云桌面作为一种的技术理念或行业趋势，可以部署在检务网络中，加强对涉密终端的治理，从源头上、根本上保障检察涉密网的信息安全。3 云桌面总设计方案

9、3.1 网络设计方案依据现状和需求分析，结合华三虚拟桌面解决方案，制定如下模块化、易扩展、安全性高的桌面云总体架构，如以以下图第 2 页如上图，本方案承受扁平化方式部署，即云端的 VDI 资源集中部署在的中心机房，端的客户机部署在各办公室，局域网来实现云与端 的带宽保障。效劳器系统以集群方式部署，受CVM 集中管控，即一个虚拟数据中心下面直观呈现全部虚拟资源，包括虚拟机、宿主机、网 络硬件设备等。并能直观生成数据中心拓扑图，便利对外统一呈现与 治理。桌面虚拟化依托共享存储架构，可以支持分布式存储或者共享存 储，保障数据安全性的同时，提升 IO 性能；借助底层高牢靠设置，保障办公业务连续性，任何

10、一台物理主机宕机均可快速恢复。3.2 双网隔离设计方案有安全隔离需求单位通常承受多台 PC 或硬盘隔离卡方式来实现多网隔离。其中，多 PC 部署本钱高，终端治理运维极其繁杂、应用软件更的工作量大；而硬盘隔离卡多桌面切换慢，且稳定性差、易蓝屏 死机，影响办公效率。基于工作网办公整体设计方案，针对华三特 供给两种双网隔离补充方案。3.2.1 物理隔离方案一第 3 页架构说明：给每个检务工作人员配发 2 台云终端或者一般 PC可利旧、一套 KVM 切换器、1 套键盘鼠标及显示器。后端分别部署两套物理隔离的云桌面效劳器集群承载检察院专网办公桌面和外网桌 面，两个集群之间通过网闸设备隔离。使用内网云终端

11、或PC 访问内网云桌面，外网云终端或 PC 访问外网云桌面，通过 KVM 切换器特定按键一键无缝切换。优势说明：内外网瘦终端之间完全物理隔离，很多据交互。终端、网络和云桌面数据完全物理隔离，内外网完全分开，文件只存放在数 据中心的云桌面效劳器上，且云桌面统一在后台治理，可以加大对桌 面的管控力度。这种方式切换格外简洁，可以做到 5 秒切换。办公桌上只需要 1 套显示器和键鼠，节约了办公空间，用户体验格外好。3.2.2 物理隔离方案二第 4 页架构说明：此方案为每名检务工作人员配发 1 台瘦终端和 1 个双网切换器如上图所示，后端分别部署两套物理隔离的云桌面效劳 器集群承载检察院专网办公桌面和外

12、网桌面，两个集群之间通过网 闸设备隔离，前端通过双网切换器实现一机连多网，分别给每台瘦 终端安排两个独立的云桌面，一套用于访问内网，一套用于访问外网。同一时间只能连通一套网络，所以能够满足内外网物理隔离要求涉密网与互联网、或非涉密网与互联网、或涉密网与非涉密网，视具体状况定方案。优势说明：该方案在执行切换时，只需按下双网切换器的按钮， 10-15 秒即可完成内外网桌面的无缝切换，使用便捷，能够有效提升办公效率。实现一机多用，并且可以同时访问内外网桌面，可以做到无缝切换。且切换过程中，整个操作系统不会关闭或重启动，当再次切换回涉密网或侦查信息网非涉密网时界面照旧是切换前的界面，不用重翻开各类程序

13、。网络切换器切换速度快，使用灵敏，体验度好。4 云桌面具体设计方案具体设计方案以局域网办公为主，双网隔离数据中心建设设计标准内外网全都，仅接入端设计不同。4.1 网络设计网络设计遵循用户体验性能优先保障方案，承受分别式架构设计， 保障不用网络流量互不干扰，并且结合虚拟交换机的 QoS、vLan、Mirror 等技术，具备更强的适应力气和扩展力气。千兆以太网业务分三个子网，分别连接虚拟桌面治理及集群通信， 虚拟桌面业务，存储网络。4.1.1 网络划分依据华三桌面云最正确实践和以往工程阅历，建议将生产系统所 在生产转发网络和虚拟机主机治理端口以及治理效劳器使用的治理网 络隔离开来，防止生产和治理网

14、络混淆带来的风险，并降低网络播送 风暴。方案中通过在生产网络之外为治理网络单独划分 VLAN 的方式实现网络分段。治理网络：实现数据中心治理网络，建议独立，至少千兆。业务网络：通过虚拟交换机方式实现，如以以下图，虚拟交换机支持 绑定多块网络网卡，用以保障业务通信的安全及流畅。每一个虚拟交 换机 vSwitch 可以配置两个上行链路物理网络端口。对于多网口的冗余配置应当遵循配置在不同 PCI 插槽间的物理网卡口之间。对于吞吐量和高并发网络带宽使用要求的，可以考虑承受 10GbE，不过承受万兆网络在适配器和交换机上的投入本钱也会相应增加。简洁的方法是通过在虚第 5 页拟机网络 vSwitch 上通

15、过对多块 1GbE 端口捆绑负载均衡实现。存储网络：建议应用单独的存储网络降低存储数据对生产网络的压力。存依据存储类型进展选择，分布式存储推举万兆网卡，共享阵列存储则推举 HBA 卡。4.1.2 网络部署建议1. 网络带宽需求虚拟桌面的网络带宽与用户应用强相关，列举某大型客户几种典型应用带宽需求状况如下：小总：一般办公桌面带宽占用约为 1.52MB，考虑外设备等开支， 建议办公桌面带宽占用 34MB 左右，最终带宽值需依据客户的实际网络环境与业务环境测试为准。2. 网络 QoS 设计要求假设涉及专线访问云桌面，需要通过运营商供给专线网络来承载VDI，实现市县的云与端的互联，则需要第 6 页承载

16、网供给带宽与 Qos 的保障。常见端到云的网络质量分如下级别：4.2 资源配置4.2.1 计算资源配置承受 XX 云计算操作系统软件，将多台 XX 机架效劳器组建 HA 集群，在虚拟机上部署企业业务应用，并协作HA 和动态负载均衡等高级功能，实现业务的连续性，削减打算内宕机时间，提高资源利用率。在一般办公场景主要使用 Office 系列软件、OA、web 端治理系统等中，视频并发不超过 10%，第 7 页效劳器 CPU 和虚拟桌面数量的换算关系可以为：1 物理 CPU 核 2 个虚拟桌面。在中高办公负载场景涉及网页或者本地视频、非编软件等中， 视频并发不超过 50%，效劳器 CPU 和虚拟桌面

17、数量的换算关系可以为： 1 物理 CPU 核1 个虚拟桌面。涉及图形化办公场景中，推举承受GPU 效劳器。华三 VGPU 方案供给多种授权方式，满足日常图形化办公或者有图形渲染办公需求 场景。一般办公建议：V4 的 CPU 主频要求必需在 2.4GHz 以上。V5 的CPU 要求必需 2.1GHz 及以上。VGPU 办公建议： CPU 要求必需 3.0GHz 及以上。4.3 存储资源配置4.3.1 关键指标 IOPS虚拟桌面工程中评估存储的一个关键性能指标就是 IOPS，桌面系统启动时读取镜像系统并加载用户配置文件，所以IOPS 消耗较高，保守估量在日常工作中每个虚拟桌面所需的 IOPS 平均

18、为 40 个，我们通常为每个虚拟桌面以 40 个 IOPS 计算。单个 VDI 桌面各节段 IOPS 数量调用状况理论值：小总：一般办公桌面 IOPS 建议依据平均 40 计算，最终 IOPS 需依据客户的实际业务环境测试为准。4.3.2 虚拟桌面空间占用桌面系统容量占用虚拟桌面数量 x单台桌面操作系统占用+单台桌面数据占用，第 8 页虚拟机承受完整克隆模式：数据盘使用后置备模式，初始占据所需空间。系统盘承受链接克隆模式：数据盘使用量精简配置，随时间增加。4.4 治理中心设计桌面治理效劳器负责计算资源的调配、用户认证、策略把握等工 作，为了保证系统稳定运行，建议承受 2 块 10k 300G

19、SAS 硬盘做RAID1，对 CPU 和内存的要求不高。无高牢靠性要求： 200 个虚拟桌面时，建议配置1 台虚拟机作为 VDIM 桌面治理效劳器即可，或者从计算效劳器上预留出局部资源留出 1 个物理核，32G 内存。 200 个虚拟桌面时，建议配置 1 台物理效劳器单独做治理同时安装 CVM 和 VDIM。高牢靠性要求：建议将 2 台 VDIM 桌面治理效劳器分别安装在 2 台治理效劳器上，另外再加 1 台特地运行AD/DNS/DHCP 等组件可选件，也就是需要 3 台物理效劳器跑治理组件。桌面治理效劳器推举配置规格：2 路 6 核、4*16GB、P440ar 卡自带 2GB 缓存、2*30

20、0GB10K SAS 、4*GE 网卡、冗余电源 4.5 安全设计4.5.1 终端准入把握指定终端接入：通过在接入终端的MAC 地址/MAC 地址组与域用户/域用户组之间建立绑定关系，实现指定域用户 /域用户组成员从指定终端/终端组接入桌面。用户和设备黑白名单把握：通过治理平台可添加非法用户和非法终端设置，限制非法接入；在信息安全要求高的场合，只允许特定用户从固定地点的终端登录到包含敏感信息的虚拟桌面中，以避开敏感信息遭到泄露第 9 页1、用户登录时，客户端会将用户名、域名以及 MAC 地址发送桌面云治理平台Broker，检查 TC是否与此用户绑定。2、与 Broker 的预存绑定信息相匹配，

21、则允许去 AD 鉴权，连续登录过程，否则不允许连续登录。3、成功登录进入虚拟桌面中。4.5.2 多样化的用户认证方式AD 认证：账号系统统一由 AD 维护，具备密码重置、虚拟桌面权限配置等 AD 系统支持的功能。本地认证：无需 AD 系统，虚拟机不参与AD 域，使用方式类似于物理 PC 不参与域，但是无法集中设置虚拟桌面的组策略。终端 MAC 认证：虚拟桌面可以指定给某一特定的终端，首次翻开客户端，显示注册页面，点击“注册网卡”。其次次翻开客户端时， 即可直接进入云桌面。4.5.3 集中的网络策略治理针对单个虚拟机和桌面池集中设置策略，策略下发后自动生效； 虚拟桌面访问把握：允许为虚拟桌面流量

22、指定具体的安全访问规则二层、三层、四层把握，双向把握，基于时间段把握。分布式虚拟交换机 DVS：虚拟桌面在效劳器主机间迁移时， 相应的网络策略配置ACL、QoS、VLAN、端口绑定等文件也同步迁移，确保业务不中断的同时，访问把握策略保持不变。第 10 页4.5.4 三权分立，防止越权治理治理系统中的账号所属角色对应的操作权限进展分别，独立的账号治理功能模块，治理员依据实际状况安排权限，实现系统治理员、桌面治理员、审计治理员的多级治理；基于集群、主机和桌面池的细粒度权限治理；满足国内涉密安全应用场景。等保标准BMB17 中明确规定，系统要支持三员分立的治理。即实现系统治理员、安全治理员、安全审计

23、 员的权限制衡4.5.5 虚拟化杀毒保障桌面安全DeepSecurity for XX 是亚信安全为 XX 和 VDI 定制开发的无代理安全软件，支持 AV 防病毒及 DPI 深度包检测；XX 底层直接集成 DeepSecurity 安全引擎，无需在虚拟桌面中安装额外的代理软件，防病毒扫描工作offload 到集中的底层效劳器上， 客户端无扫描引擎，不会消灭特征库更的场景，削减了威逼防护的 消耗，实现性能优化，可以提升用户体验 10%以上；第 11 页分布式安全防护机制，每台物理主机有独立的安全引擎，且虚拟桌面迁移安全防护策略同步跟随；4.5.6 数据备份与恢复基于磁盘的备份与恢复，避开虚拟桌

24、面系统消灭不行恢复故障， 为虚拟机供给快速、简洁的数据保护。支持全自动的定时备份和手工干预的即时备份，满足不同的应用要求。支持全量、增量和差异备份及治理与恢复力气4.6 高体验设计4.6.1 灵敏的终端选择第 12 页第 13 页4.6.2 视频重定向效果桌面中，利用钩子技术抓取 DShow 的视音频数据，传到客户端。动作简洁，不占用 CPU 资源。瘦客户机，接收并同步音视频数据，建立虚拟源，并播放音视频。播放时承受 ffdshow 硬件解码, 大大降低瘦客户机的 CPU 消耗。播放 1080p 高清视频 CPU 都在 5%以内。1080p/4K 本地视频清楚流畅、CPU 内存消耗极低，2*8

25、 核支持35 路并发播放效劳器解码*2 以上。支持多种播放器，支持跳转、缩放、全屏等操作；单虚拟机支持多路视频同时播放，视频负载的推断依据：区分率：720p 、1080p 、4K 。帧数：24fps 、30fps 、60fps 。码率：5Mbps 、10Mbps 、15Mps 。 4.6.3 Flash 视频重定向在进展网页视频扫瞄的时候常常会消灭网页视频卡顿，播放不流畅等问题。XX VDI 承受业界领先压缩算法，兼顾高清画质效果与低带宽；优化 Windows 多线程支持；支持单桌面、多窗口并发播放视频； 实时捕获虚拟机中播放的视频区域，再转换为 H.264 编码在客户端解码重现。解读项说明

26、重定向两种方式及差异 ? 把视频流传送到客户端，客户端调用 FlashPlayer 解码视频流。瘦客户机要求安装 FlashPlayer ，但不要求联网。4.6.4 USB 外设重定向XX 云桌面治理平台可对外设通道独立把握，可灵敏实现信息安全， 可以通过云桌面治理平台实现外设治理策略的设置、下发到客户端，把握外设的重定向规章，针对非标外设也可以设置具体的黑白名单。针对 USB 存储设备，可以把握设备只读。一些非典型的外设，客户端只是简洁地将端口数据完整地重定向 到对应的虚拟桌面中，由虚拟桌面的驱动程序去识别具体的设备类型。通过外设重定向技术可以让外设走单独的协议通道，可以支持很多类 型的外设

27、。如非标外设，比方：加密狗、电子白板、 Ukey、智能卡、SIM 卡读卡器、扫描枪、身份证读卡器等。4.6.5 TWAIN 设备重定向把终端上的TWAIN 接口高拍仪、摄像头、高速扫描仪等的外设重定向到VM 中，全部对重定向的TWAIN 虚拟设备的操作，都能通过 VDP 协议传输到终端侧的物理设备中。遇到的问题：摄像头承受一般的外设重定向，带宽占用格外高，画面效果较差， 几乎不行用。解决方案： 第 14 页第 15 页终端承受领先技术对摄像头视频进展高效截取，然后对视频进展压缩。虚拟机对摄像头视频进展解压缩画质复原，并上送给TWAIN 软件呈现。架构优势：TWAIN 重定向工作于应用层，保证了

28、对时延不敏感，工作于应用层更加稳定牢靠，并且比 USB 重定向效率更高数量级提升；支持多种级别的数据压缩传输(无损、低压缩、中压缩、高压缩)；4.7 扩展性设计4.7.1 灵敏扩展业务扩展：在 HA 根底上，预留 40%弹性计算资源，进展业务扩展。一是应用压力系统内部扩展，即虚拟计算资源紧急状况下进展动 态调整，如调频虚拟 CPU 、虚拟内存、虚拟磁盘和虚拟网卡等。二是应用数量系统外部扩展，即通过增加虚拟机或物理效劳器的方式实现， 添加虚拟机可通过添加虚拟机模板或建方式部署，添加物理机 可融入原有集群环境，参与虚拟数据中心实现升级。4.7.2 分步云化第一步：交付实现阶段。稳步实现、逐步过渡。利用效劳器、存储等硬件资源，整合数据中心环境，进展虚拟桌面部署，打造平稳根底平台，顺当接收桌面办公环境。其次步：稳定服役阶段。在用户体验和治理运维上接收原有物理 资源，并且集中管控、智能化运维，可依据应用特征进展功能优化和 配置优化，并且利用虚拟化一系列高可用技术，如 HA 、分布式存储等技术，保障桌面环境高效流畅使用。第三步：云扩展阶段。以虚拟化为根底构建按需张力的 IT 资源， 可灵敏扩展 IT 根底资源，无需重构。并支持现有虚拟化管控中心，平稳对接华三 CloudOS 云平台。使 IT具备自适应力气和更好的效劳力气，