湖北武汉新一代终端云桌面解决方案瘦客户机桌面云

第1章 新一代终端建设思路

1.1   桌面云：云计算之旅第一步

迈向云计算之旅的第一步就是利用桌面云切断硬件设备的依赖性，将原先运行在PC上的桌面、应用和数据统一迁移到数据中心的服务器，这样不仅可以有效解决桌面统一上线管理和数据安全的难题，而且还可为用户提供工作所需的桌面灵活性和可访问性，实现随时随地的访问。

第2章  桌面云解决方案

2.1       方案设计原则

l      流畅体验

桌面云应提供与PC一致的用户体验，保证流畅的桌面操作及视频播放，并且良好兼容打印机、身份证读卡器、指纹仪、摄像头、高拍仪等各类外设。并能确保桌面及业务的可靠运行，同时要求桌面架构具备平滑扩容能力。

l    高效运维管理

桌面云应提供软硬件一体化服务器平台及更少的管理组件、更易用的管理平中，从而实现简单高效的安装调试及运维管理，提升运行效率。

l    数据高安全性

桌面云应提供前端、传输端、后端等更全面、多层次的安全功能，包括多种认证方式、传输层加密、数据盘加密等，从而有效保护数据不泄露。并通过多种可靠性机制，来保障软硬件故障都不会造成数据丢失。

2.2      桌面云产品架构图

提供一站式、高性价比桌面云方案，整套方案只需要云终端、桌面云一体机（包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台）两种硬件，即可完成桌面云的快速搭建。

其中，桌面云一体机VDS是一款专为云桌面设计的软硬件一体化服务器，集成了服务器虚拟化、存储虚拟化、虚拟桌面控制器等软件平台，用户无需复杂的安装调试过程， 将VDS开机之后，只需要按照向导式配置界面执行几个操作步骤，即可完成桌面云部署上线，非常方便快速。

2.3     关键组件介绍

2.3.1    硬件平台

1.    云：桌面云一体机（VDS）

桌面云一体机是一款专为“云桌面”量身定制的软硬件一体化服务器（包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台），通过提供简单、一站式交付方案，极大降低部署难度，从而帮助用户加快桌面云项目进度。

ü       高性价比：桌面云方案无需购置独立存储，通过虚拟存储技术提供高性能、低成本的存储方案，效果与独立存储一样，但可以节省存储成本。

ü        高性能：传统方案采用纯机械硬盘设计，多桌面并发使用时容易卡顿。采用SSD+HDD混合设计方式，同时利用高效缓存技术可以提升多倍IO性能，保障云桌面流畅体验。

ü       易扩容：普通服务器方案，扩容时需要停机做复杂配置。桌面云一体机在扩容时无需停机，只需在线加入集群，即可自动实现资源平衡，扩容非常轻松方便。

ü       高可靠：桌面云一体机采用全集群架构设计，主机和磁盘硬盘均有冗余设计机制，能够实现故障自动迁移，确保桌面业务稳定运行。

2.     网：自研安全高效桌面传输协议（SRAP）

云桌面需要通过网络交付给前端设备，其中最重要的组成部分就是桌面交付协议。为实现云桌面的高效交付，专门为虚拟桌面及远程应用程序设计并研制了SRAP协议。自研的SRAP高效交付协议，采用高效流压缩、智能数据缓存、动态图像优化等多项优化技术，相对RDP协议提升6倍传输效率，最大程度保障用户桌面体验。

 

3.    端：云终端（ARM）/多种智能终端

云终端：云终端的优势在于一体化的设计，系统运行效率更高，寿命更长，而且长期使用更为稳定，平均功耗仅10W，相对PC可节省10倍电力成本，并且无风扇运行，全程无噪音。。

其他移动终端：可通过传统PC及笔记本、手机、平板等智能终端接入，并可流畅稳定的使用虚拟桌面，实现旧资源的盘活及灵活办公。

2.3.2   软件平台

1.     虚拟桌面控制器：提供用户认证管理、细粒度策略控制、桌面/云终端统一监控及管理等功能，实现更安全、更可靠地交付云桌面。

2.      服务器虚拟化：祼金属架构，可为云桌面提供高性能负载平台和先进管理功能，包括虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能。

3.      存储虚拟化：将服务器直连硬盘形成分布式共享数据存储，通过内置冗余机制可透明存储多个数据副本，以确保磁盘和服务器故障时，数据不会丢失，并且依然可用。

4.      GPU虚拟化:负责将物理显卡切分成多个虚拟GPU，使得多个虚拟机共享使用同一块或多块GPU，让每台虚拟桌面都能像物理桌面一样利用GPU提升使用体验和整体性能。

 

2.4    方案价值总结

2.4.1  云安全：全面保护核心数据

过去，数据放置在每台终端上，面临数据丢失和外泄的风险。现在，通过桌面云将数据从PC本地迁移到数据中心，便于集中备份，而且集中化模式使得所有的数据计算与业务交付都在后台完成，敏感数据不再需要离开数据中心，从根本上降低数据安全风险。另外，借助桌面云IT部门可以通过设置集中化策略控制用户对数据的访问权限，例如控制用户是否能将文件从数据中心的桌面拷贝到本地设备或U盘，并可根据不同桌面的安全系数及接入桌面的环境匹配不同安全级别的策略，真正实现全面安全又提高了桌面生产力。

并且，桌面云构建了一套高可用的桌面架构，借助自动化备份和集中式运维，可以简化终端硬件管理，使故障恢复从传统PC的几小时缩短至几分钟，提升用户办公体验，员工不需要担心因客户端丢失或故障而造成工作中断，因为用户的数据和应用程序均存储在数据中心，即便设备丢失或发生故障，用户可以从其他设备登录，并快速衔接中断的工作。

2.4.2    云管理：提升办公效率

过去，桌面的上线、维护过程减低了使用桌面的效率，也造成了IT部门的负担。而现在，借助桌面云的模板部署、派生及更新技术，IT人员可以轻松、快速地创建多个桌面，并在几分钟内将应用程序和配置文件推送到上千个虚拟桌面。在日常维护方面，IT人员也只需要维护几台服务器、几套模板和一些应用程序，提升桌面使用的效率及IT管理效率。并且只要网络可达，员工可以通过云终端、笔记本、智能终端等不同设备随时访问桌面，而且可以获得一致的办公桌面体验。这种模式，实现办公的无边界，工作不会因为场所的变化而中断，有效提升员工的工作效率。

2.4.3   云办公：提高投资回报比

1)     投资回报比分析

分析项目	500台云终端	500台传统PC
投资成本	500套（云终端+用户授权） 10台服务器	500台PC
管理成本（年薪4万/人）	需要1人 工资支出：4万	需要2人 工资支出：8万
运维成本	运维成本节省75% 硬件更换费用降低50% 云终端寿命5~8年	维护难度大、效率低 硬件更替成本高 PC寿命3~5年
能源成本	总功率：10W*500+10*1200W=17000W 电费（按0.7元/度）：2.5万/年	总功率： 200w*500=100000W 电费（按0.7元/度）：15万/年
费用节省	1年总支出：6.5万 5年总支出：32.5万	1年总支出：23万 5年总支出：115万
	每年节省16.5万，5年节省82.5万

总体来说，部署云桌面需要购买云终端、服务器、存储及桌面云软件授权等软硬件设备，所以前期投资并不会低于传统PC，但长期下来所带来的就是运维工作量及成本的降低（每年可以节省不少的硬件成本、维护成本和电力成本）。所以，随着年份增长，部署云桌面的收益将越来越大。

2.5    方案技术优势

2.5.1   卓越体验

2)   视频重定向+硬件芯片解码：让用户获得与PC一致的播放流畅度，同时节省服务器资源占用，在多并发播放时，CPU利用率可控制在10%以内。

3)    SSD缓存加速：热点/重复数据自动利用SSD进行IO提速，已将缓存命中率突破至60%以上，提升桌面启动速度和操作流畅度。

4)     高效能桌面编码协议：自研高效能桌面编码协议技术，极大削减广域网带宽占用，并支持带宽动态调整，使用体验可媲美局域网。

5)     广泛的外设兼容性：借助零总线外设映射通道技术，可以完美兼容U盘、打印机、读卡器、扫描仪、摄像头、高拍仪、U-key等外设，并打造外设实验室，构建桌面云外设生态圈，目前可支持上千种主流外设。

6)      广泛的终端支持：只要网络是可达的，用户可以通过瘦终端、PC、笔记本、PAD、智能手机等终端设备来访问属于自己的个人桌面，实现随时随地地办公。同时，桌面云可以实现终端迁移功能，用户在多个终端间任意切换，不会影响原先的桌面操作行为，真正做到桌面随身行，满足移动办公需求。

7)      vGPU虚拟化：国内首款基于KVM技术的vGPU虚拟桌面解决方案，提升图像设计的渲染效果效果，更好的设计体验，性能可媲美图形工作站。

2.5.2    数据安全

8)   多层面HA设计机制：借助服务器集群、动态迁移、虚拟存储、端口汇聚等多项HA机制，构建一套高可用桌面架构，提升容错能力。

9)   多副本数据存储：一份数据在2-3台主机进行实时备份存储，实现最大程度的冗余互备，无需担心主机或磁盘的故障而造成数据丢失。

10)  端到端云防护设计：提供面向桌面云的安全保障体系，包括客户端准入、传输加密、桌面本身的外设管控、安全水印、应用管控、防截图、安全存储等端到端技术，提升安全性。

ü       终端安全与接入安全

l   接入终端操作系统安全、接入终端合法性校验。

l  通过用户名密码认证、U-Key认证、硬件特征码认证、第三方认证服务（LDAP、Radius、CAS）认证、动

态口令等多种认证方式、组合认证方式对接入桌面云的用户进行认证。

l    通过外设精细化控制，限制可用的外设品类、型号。

ü       网络&隔离安全

l   通过物理网络隔离、数据中心防火墙、传输加密、边界安全网关联动等手段，防范网络安全威胁。

l   内置VPN数据传输加密技术。

l   通过分布式防火墙限制东西向数据流动。

ü       虚拟化安全

l   引入Hypervisor层WAF，提高Hypervisor抗攻击能力。

l    依据平台分层机制，保证虚拟化各层隔离安全。

ü     虚拟机及桌面安全

l    通过引入杀毒软件、应用控制、网络访问控制、虚拟机行为监控、软件分发、映射控制等保证虚拟机运行

安全。

l    当一个用户有多个虚拟机时，可根据虚拟机所匹配的安全级别关联对应的安全策略。

l   可根据用户接入的环境不同使用不同的策略。如外网接入就匹配高安全级别的策略，内网接入则匹配低安全级别策略。

ü       数据安全

l   引入分布式虚拟存储技术，使用双副本方式实现数据安全存储。

l   通过桌面安全水印防止用户拍照导致数据外泄。

l   提供个人数据加密、数据访问控制、虚拟机数据传输控制保证用户数据安全。

ü       管理安全

l    从管理员账号、密码、权限、日志等方面提供日常运维管理的安全措施。

l     管理员在管理过程中的操作都会在数据中心记录存储，并且可以实现多级管理员的分级分权，加强管理员在管理过程中的规范性及管理的效率。

 

2.5.3    极简运维

11)  融合一体化架构：桌面云一体机为管理员提供一套极其精简的架构，避免安装的复杂性；单点登录和联动关机为用户提供易于上手、操作便捷的桌面云。

12)  简约风格控制台： UI设计方面遵循少即是多的设计理念，我们尽量去除复杂操作，更多地使用一键式、向导式的配置界面，实现精简管理。

13)  虚拟机克隆：提供业界领先的虚拟机克隆技术，可实现数分钟内发布100个桌面，让桌面资源“唾手可得”。

14)   软件分发：利用独创的软件分发技术，数秒钟即可完成软件和驱动的部署、更新，让时间缩短数倍，极大提高了应用维护效率。

15)   一键检测：利用【一键检测】功能，可实现快速对集群环境完成各项基本检查，包含集群状态与服务、主机硬件、虚拟机、虚拟存储、序列号、空闲虚拟机的数量及对象等，以期及时发现问题并提供相应异常检测项的恢复指导建议，并可讲检测报告导出到本地。

 

2.6     第三方结合方案

2.6.1    云安全杀毒方案

  

   最后，对于桌面虚拟机本身，我们与业界主流病毒厂商合作提供了云杀毒方案，这套方案采用分布式部署架构，在每台虚机先部署杀毒客户端，然后在后台有一个云杀毒中心，负责整体调度和病毒库更新。通过这种基于虚拟机的杀毒方案，可以处理隐藏在内存、文件、网络等所有地方病毒木马，杀毒更为彻底。另外，为了避免杀毒风暴，我们采用空闲查杀、异步处理、断点续杀等多种专为桌面云杀毒而设计的技术，既保障杀毒效果，又可以避免对资源的过度占用。

2.6.2    桌面操作行为审计

支持结合第三方的录屏审计，提供用户的所有桌面操作行为审计（录像），帮助管理人员查看内部操作人员是否符合操作规范性，以及既定的规则要求，适用于对敏感岗位进行责任认定和授权管理。（需配套专用的录屏审计软件）

桌面云部署录屏审计模块需要2步：

需要在每个虚拟机安装录屏审计插件（支持模板统一安装）。

在后台安装管理服务器，并与审计插件进行联动，实时收集屏幕录像。

管理员可通过后台进行实时监控，或者在出现泄密事件的时进行事后安全审计，通过审计查询各种日志文件确定泄密的时间，资源和责任人。