云桌面解决方案目录1 现状与需求分析 (2)1.1 现状分析 (2)1.2 用户需求分析 (2)1.3 方案目标与收益 (2)2 概述 (4)2.1 交付架构总体介绍 (4)2.2 云桌面交付技术介绍 (6)2.3 云桌面交付产品介绍 (7)3 云桌面 (8)3.1 逻辑架构设计 (8)3.2 详细架构设计 (9)3.3 网络架构设计 (12)1 现状与需求分析1.1 现状分析维护现状技术部门为所有的业务部门提供PC机、安装操作系统和公用的软件(比如Office)。
业务部门分到PC机后,自行安装个性化软件。
PC遇到问题之后,技术部门提供支持。
因为装的软件特别杂,而且要求更新公用软件的需求很旺盛,技术部门支持工作量很大。
1.2 用户需求分析(1)互联网部分,因为涉及领导且点数少,不进行云计算建设。
(2)引入云计算技术,提高维护效率,降低维护工作量。
(3)做好安全性工作,包括前端的USB安全和后端数据中心的数据安全。
(4)计划新建1000个云桌面终端解决。
1.3 方案目标与收益●实现安全高效的办公,提升用户工作效率和便捷性通过建设,实现用户在办公网或犯人网中使用PC、笔记本、瘦终端都可以灵活进行办公。
●实现用户访问的数据安全保障通过建设,在满足用户访问办公网或犯人网资源的前提下,实现数据安全有效隔离。
通过虚拟化技术,用户看到的仅是云桌面以及应用程序执行结果的画面(图片),而并非真实的数据,用户不能够将数据复制到本地(由策略控制,也可以开放该权限),但又能够操作和使用数据,保证了企业数据安全的同时满足用户的使用需求。
●细粒度的安全接入管控交付平台可根据用户终端的位置(安全或非安全区域)、终端的合规情况、用户的部门属性等条件,灵活定义用户终端访问企业资源的权限,阻断从非安全区域访问的终端设备把各种安全威胁带进企业内网的可能性。
●提升桌面运维效率项目建设后,所有桌面、数据均运行于数据中心,客户端设备弱化为访问终端,管理员仅需在数据中心内即可实现对桌面以及桌面中的应用进行统一运维,这包括日常的故障排查、补丁更新、软件安装、系统升级等各项操作,简化了客户端的运维管理工作,实现集中化、高效、统一的桌面IT运维。
●降低信息化总体拥有成本通过建设,客户端设备能够得到最大化的投资保护,未来系统的升级、更新等操作能够最大程度的减少终端设备的更新,保护既有桌面终端的投资!同时,对于新增或淘汰设备可以逐步更换为能耗更低、生命周期更长且软硬件免维护的瘦客户机,最大化度减少客户端的维护管理工作,并有效节省运营成本。
2 概述2.1 交付架构总体介绍为了实现桌面、数据的统一的管理,虚拟化及交付基础架构提供了用户到桌面的端到端解决方案,可将任何桌面、数据交付给任何用户,并提供最佳的性能、最高的安全性、最低的成本及最强的灵活性。
本次项目主要一套云桌面,本次规划为1000个桌面点,整体云桌面解决方案,其组成架构如下图所示:办公网云桌面解决方案关键组件解释如下:云桌面承载服务器:用户使用的云桌面,其中安装了Windows操作系统、基础应用和云桌面特有的控制调度Agent。
●云桌面管理服务器:管理云桌面的服务器,用于创建、维护云桌面,保障用户可以正常使用云桌面。
同时对云桌面进行权限控制,保障不同用户之间的云桌面隔离。
●存储:用于存放用户的个人数据。
用户个人数据之间隔离,互相之前无法访问。
保证了数据的私密性。
存储采用先进的数据,保证在部分存储损坏时,用户的数据不丢失,保证了用户数据的安全性。
●业务交换机:用户访问云桌面的网关。
业务交换机上可以配置各种策略,控制用户的访问权限,保证适当的人可以访问适当的桌面和数据。
●管理交换机:管理服务器管理云桌面时,流量都经过管理交换机。
●存储交换机:连接云桌面和存储的交换机,云桌面通过该交换机读取个人数据。
●终端:用户前端使用的设备,终端可以是瘦客户机、台式机、笔记本等,其中都预装了客户端,用于连接云桌面。
云桌面解决方案是以安全为出发点设计的,是提供安全接入的基础,而非事后的弥补。
桌面、数据都集中运行在数据中心的物理服务器和存储上,数据不落地,用户可以使用原有的操作习惯和使用方式来使用这些应用。
基于策略的控制让IT部门能轻松地限制什么人能接入哪些信息以及什么时候接入等细粒度的安全管控。
所有的信息都是虚拟化的并且是以加密的方式进行传输的,使用户能安全利用非信任网络。
这种安全手段为那些希望扩展接入的机构提供了恰当的保护等级,而没有泄密安全。
采用云桌面方案,管理员可以设置端到端的接入策略,指定每种特定接入情境下可接入哪些桌面。
接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。
通过创建接入策略,管理员能更轻松地控制对敏感数据的接入。
这些策略还需考虑三种不同的接入因素:谁正在接入应用;他们使用的是哪种类型的客户端设备,如台式机、笔记本电脑、瘦终端或自助查询终端;以及他们所处的位置,比如在他们通常的工作地点,在其它办公室。
这都意味着一种更复杂的接入控制判定,包括选择性信任,要求有比简单的Yes/No更多的控制内容,因为这些因素控制着用户如何接入桌面,而不仅仅是用户是否接入桌面。
用户可能被授权接入不同的桌面。
举例来说,用户在会议室接入的就是办公桌面,而非其他业务桌面。
2.2 云桌面交付技术介绍不同岗位上的员工需要不同类型的桌面。
有些员工要求简洁实用和标准化的桌面,有的员工则看重卓越性能和个性化。
云桌面方案可以通过同一套管理系统满足上述各种要求。
IT部门交付的各种云桌面都是经过定制,每一种云桌面都能满足至少一类员工的使用场景,同时也满足每一个员工对云桌面的性能和安全性要求。
云桌面的两种主流交付技术:链接克隆桌面和独占桌面。
链接克隆桌面基于链接克隆技术的桌面利用富客户端的本地计算能力,同时集中管理桌面的统一镜像。
这种方法很简便而且成本低廉,能够利用现有PC资源并最大限度降低数据中心开销,帮助客户实施桌面虚拟化。
链接克隆桌面采用克隆技术通过网络将单一标准桌面镜像,包括操作系统和软件按需交付给物理/云桌面。
一方面可以配合第二个场景实现VDI单一镜像管理;另一方面适用于三维图形要求更高的环境,除了硬盘之外,内存、CPU、GPU都调用本地的计算资源,所以性能基本和传统桌面没有区别。
独占桌面提供个性化Windows桌面体验,通常适用于办公工作人员,能够通过任何网络安全地交付给任何设备。
这种方案结合了集中管理和全面用户个性化定制的优点,每台服务器一般能支持30到40个桌面。
基于虚拟机的集中管理桌面实质是传统意义上狭义的桌面虚拟化VDI,把WindowsXP/Vista/7/8的桌面运行在后台的服务器上,例如一台物理服务器通过服务器虚拟化技术可以同时运行30个Windows XP,再通过ICA协议把XP的桌面远程传输到30个用户的终端设备上,用户在面前的设备上看到的其实是个虚拟的影子,真正的桌面运行在数据中心。
适用于应用相对复杂,用户个性化要求高的场景。
这种桌面虚拟化场景又可以细分为保存状态和无状态两种。
保存状态是指用户和后台虚拟机一对一绑定,用户对云桌面的修改会保存在虚拟机中;无状态是指从一个磁盘镜像中启动多个用户的虚拟机,这些虚拟机保持只读状态,用户对云桌面的任何修改会在注销后消失。
前者用户拥有更大的自主权限,但管理复杂、存储资源占用很大;后者用户不能对操作系统进行修改,权限受控,但一对多的理念使管理简单,同时不会占用大量的存储资源。
2.3 云桌面交付产品介绍本方案由如下两个产品组件组成,分别介绍如下:桌面虚拟化(VDI)桌面虚拟化可提供一种端到端的桌面交付解决方案。
可动态按需产生云桌面,用户每次登录时都能获得一个干净的、个性化的全新桌面—从而确保性能不会下降。
此外,桌面虚拟化采用的云桌面交付协议还可在任何网络条件下提供无与伦比的桌面响应速度。
对于IT机构而言,桌面虚拟化可通过分别交付桌面操作系统、应用和用户设置,大大简化桌面生命周期管理并显著降低拥有成本。
桌面虚拟化可为任意地点的用户按需交付桌面,同时显著简化生命周期管理。
它可提供一种端到端的桌面交付解决方案,为最终用户加速交付桌面,提供更强大的数据保护和监控,并降低高达40%的拥有成本。
采用桌面虚拟化技术可以在数据中心集中化管理桌面,还可轻松实现桌面安全防护,并有效减少桌面终端的运维管理工作。
服务器虚拟化(KVM或其他技术)服务器虚拟化KVM是基于开源KVM系统管理程序创建的,作为一种企业级的产品,KVM 底层管理程序的高效性降低了总开销,并使得其上运行的虚拟机接近于本地物理计算性能。
KVM充分利用Intel® VT和AMD®虚拟化(AMD-V™)硬件辅助虚拟化技术,提供更快速、更高效的虚拟化计算能力。
与其它基于封闭式专用系统构建的虚拟化产品不同,KVM的开放API 让客户可以通过现有的服务器和存储硬件来访问和控制先进的功能。
KVM为关键工作负载提供了所需的先进功能,同时提供了大规模部署必需的简易操作能力。
利用独特的应用储备技术,KVM可通过虚拟或物理服务器快速交付工作负载,成为企业每台服务器的理想虚拟化平台。
3 云桌面本次云桌面设计适用于办公等多种应用云桌面需求。
3.1 逻辑架构设计方案在逻辑上由两部分组成:➢数据中心➢用户接入数据中心逻辑架构设计向用户提供桌面、数据资源的交付,所有用户桌面、数据都放置于数据中心中,用户的执行操作均在数据中心内部完成,最终将用户执行的结果传输给用户,此部分包括三个层次模块:➢核心应用层此层为现有各项办公、业务系统,未来可将这些业务逐步迁移到服务器虚拟化平台上运行,以提高服务器利用率,提升数据中心运营效率。
➢桌面交付层此层为用户提供云桌面服务,承载了用户所需要的各项桌面、数据,通过此层,实现了用户的桌面、数据的集中化管理和按需交付,用户的各项操作均在此层完成,并将执行的结果以屏幕变化量的方式传输给用户,向用户交付的并非真实数据,保证了数据始终不会离开数据中心,保障数据管控的安全性。
➢接入层此层主要完成将虚拟化层所提供的执行结果向用户交付的工作。
用户向数据中心请求的操作会通过接入层的负载均衡功能实现自动分配,而用户在数据中心的执行结果也会通过此层传输给用户,因此,此层完成了用户到数据中心的双向交互,并具备有效的安全控制策略来保障合法用户的身份登录及后端系统的单点登录功能。
用户接入逻辑架构设计对于办公网、犯人网的用户,为这些用户提供桌面服务,用户可以在内网任意终端设备(笔记本、台式机、瘦客户机)上通过自己的账号访问自己的办公资源。
3.2 详细架构设计整个系统平台通过安全网关作为数据中心总入口,接入层的对外防火墙上只需开放特定端口(TCP 443/8443)即可供用户访问,较少的端口提高了系统访问的安全性。