深信服aDesk桌面云技術(shù)白皮書V3.0.doc

深信服一站式aDesk桌面云方案技術(shù)白皮書V3.0深信服科技有限公司 深信服aDesk桌面云技術(shù)白皮書V3.0 文檔密級：公開目 錄第1章背景介紹1第2章傳統(tǒng)桌面辦公面臨的挑戰(zhàn)12.1桌面運(yùn)維復(fù)雜化12.2總體擁有成本高22.3數(shù)據(jù)安全難以保障22.4辦公地點(diǎn)固定化3第3章深信服一站式aDesk桌面云方案33.1虛擬化領(lǐng)域的技術(shù)積累33.2體系架構(gòu)概述33.3方案組件說明43.4桌面交付模式介紹53.5桌面云方案價值體現(xiàn)6第4章產(chǎn)品精彩亮點(diǎn)解析74.1良好用戶體驗(yàn)74.1.1高清視頻體驗(yàn)74.1.2高效SRAP協(xié)議74.1.3單點(diǎn)登錄技術(shù)74.1.4自動化桌面部署84.2最優(yōu)的靈活性94.2.1廣泛終端支持94.2.2豐富的桌面類型94.2.3外設(shè)的總線映射技術(shù)104.2.4智能開關(guān)機(jī)114.3端到端安全設(shè)計(jì)114.3.1終端安全114.3.2傳輸安全124.3.3平臺安全124.4最低的IT總體成本134.4.1高效率、低能耗瘦終端134.4.2內(nèi)存頁合并技術(shù)144.4.3鏡像分離和IO加速144.4.4桌面服務(wù)器群集設(shè)計(jì)15第5章深信服方案優(yōu)勢15第6章瘦客戶機(jī)規(guī)格說明16ii深信服科技版權(quán)所有 第1章 背景介紹企業(yè)信息化建設(shè)過程中，到目前為止國內(nèi)客戶幾乎還是采用傳統(tǒng)PC的辦公模式，越來越多的企業(yè)在PC的生命周期中出現(xiàn)了諸如運(yùn)維工作量大、數(shù)據(jù)安全無法保障等一系列問題。據(jù)IDC的統(tǒng)計(jì)，企業(yè)在PC硬件上每投資10元，就需要為后續(xù)的運(yùn)維支出30元（整整3倍），而從業(yè)務(wù)價值的角度來說，桌面運(yùn)維對組織業(yè)務(wù)發(fā)展并不創(chuàng)造直接的價值，沒有帶來生產(chǎn)力的提升，在這方面的投入越大、浪費(fèi)就越多?！笆萁K端+云桌面”是快速興起的技術(shù)潮流，通過將用戶桌面在數(shù)據(jù)中心集中化運(yùn)行和管理，極大地降低了運(yùn)維難度并提高了數(shù)據(jù)的安全性，同時實(shí)現(xiàn)了用戶桌面在各種終端上的任意切換。根據(jù)2012年中國虛擬化市場研究報(bào)告，以往客戶對虛擬化的采購比例為“服務(wù)器虛擬化占比73%，桌面虛擬化占比18%”；而未來客戶對虛擬化的采購比例將變成“服務(wù)器虛擬化20%，桌面虛擬化70%”。也即是說，在整個虛擬化市場領(lǐng)域里，客戶對服務(wù)器虛擬化的投資占比在逐漸降低，而對桌面虛擬化的投資占比在快速提升。另外，Gartner也預(yù)測未來30%以上的大中型企業(yè)將部署“瘦終端+云桌面”方案。因此，順應(yīng)市場潮流，深信服推出aDesk桌面云解決方案，對IT桌面基礎(chǔ)架構(gòu)進(jìn)行變革，通過豐富、完善的云桌面技術(shù)，提升企業(yè)在數(shù)據(jù)安全建設(shè)、終端用戶體驗(yàn)、業(yè)務(wù)連續(xù)性等方面的價值，讓企業(yè)充分享受虛擬化技術(shù)所帶來的優(yōu)質(zhì)體驗(yàn)。第2章 傳統(tǒng)桌面辦公面臨的挑戰(zhàn)2.1 桌面運(yùn)維復(fù)雜化傳統(tǒng)辦公模式將員工的工作環(huán)境綁定于PC上，當(dāng)個人電腦出現(xiàn)故障后，需要IT維護(hù)人員親臨現(xiàn)場，對電腦進(jìn)行系統(tǒng)修復(fù)和重新配置，而在整個PC生命周期中，如此繁瑣的工作是非常多的，使得IT管理員的工作量巨大；加上復(fù)雜的桌面運(yùn)維工作比較消耗時間，往往導(dǎo)致響應(yīng)能力不足，影響員工的工作效率。同時，企業(yè)中PC一般每3到4年就需要更新替換，也即是說，復(fù)雜的桌面運(yùn)維工作，每過三四年時間，這樣的過程還要繼續(xù)重復(fù)。因此，在IT應(yīng)用環(huán)境日益復(fù)雜、人員有限的情況下，如何保證服務(wù)質(zhì)量，如何擺脫“救火隊(duì)”的角色，而給各部門提供高效的IT服務(wù)以及良好體驗(yàn)已然成為IT部門致力于發(fā)展的目標(biāo)。2.2 總體擁有成本高雖然PC采購成本相對較低，但是無法抵消高昂的管理和支持成本。目前，PC的管理工作主要包括對操作系統(tǒng)環(huán)境、應(yīng)用的安裝配置和更新、桌面日常維護(hù)等，且隨著應(yīng)用的增多，維護(hù)成本呈不斷上升增長趨勢。另外，隨著企業(yè)中傳統(tǒng)PC的不斷增加，耗電量、制冷、空間等問題已經(jīng)逐漸凸顯出來。以耗電量為例，假設(shè)員工使用的是一臺普通PC，一般工作狀態(tài)下功率為200W左右，液晶顯示器大概50瓦左右，按照一天開機(jī)時間為9小時，一年工作時間為264天，那么該普通PC一年的耗電量大概是250W9h264 = 594KW。如果算上空調(diào)、空間等因素，運(yùn)營成本是非常高昂的。2.3 數(shù)據(jù)安全難以保障傳統(tǒng)PC模式下，PC數(shù)量眾多并且核心數(shù)據(jù)都存儲于本地，隨著系統(tǒng)安全隱患日益增多，PC往往成為數(shù)據(jù)安全風(fēng)險(xiǎn)集中爆發(fā)的地方。再者，傳統(tǒng)PC模式難以對移動存儲等進(jìn)行限制，難以防止數(shù)據(jù)外泄。加上近年來主動及被動的安全泄漏事件日益上升，而這種安全事件對企業(yè)形象和核心競爭力的影響是巨大的，如何有效解決終端主動及被動數(shù)據(jù)泄漏事件等安全問題一直困擾著IT部門。企業(yè)中的開發(fā)部門由于其業(yè)務(wù)特殊性，對開發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。為了支撐業(yè)務(wù)的飛速拓展，在開發(fā)項(xiàng)目中往往還會牽涉到很多第三方公司和外包項(xiàng)目，甚至于開發(fā)人員需要在任意地點(diǎn)進(jìn)行辦公，這對開發(fā)系統(tǒng)的安全構(gòu)成了極大的挑戰(zhàn)。因此，需要有一套安全的桌面開發(fā)環(huán)境，能夠讓開發(fā)項(xiàng)目的員工及外包員工在受控的辦公桌面環(huán)境下，進(jìn)行相關(guān)應(yīng)用的開發(fā)和調(diào)試，同時能有效保護(hù)應(yīng)用代碼及企業(yè)數(shù)據(jù)的安全。2.4 辦公地點(diǎn)固定化隨著移動互聯(lián)網(wǎng)的技術(shù)潮流，企業(yè)的辦公環(huán)境也不再局限于固定工位，而是需要能夠隨時隨地訪問統(tǒng)一的桌面、應(yīng)用和數(shù)據(jù)，通過為員工打造桌面隨身行的辦公平臺，可以更好地提升工作效率。但是，傳統(tǒng)PC辦公方式將辦公位置固定化，無法實(shí)現(xiàn)桌面環(huán)境與用戶綁定（隨身桌面），影響用戶體驗(yàn)和工作效率。因此，如何滿足隨時隨地桌面、應(yīng)用的接入，并兼容各類終端設(shè)備，從而實(shí)現(xiàn)移動化價值，是信息化建設(shè)的趨勢?？偠灾滦娃k公模式衍生出“簡化管理、數(shù)據(jù)安全、移動辦公”三大需求，為了應(yīng)對桌面運(yùn)維的挑戰(zhàn)，并更好滿足客戶需求，“瘦終端+云桌面”替換傳統(tǒng)PC勢在必行。第3章 深信服一站式aDesk桌面云方案3.1 虛擬化領(lǐng)域的技術(shù)積累深信服多年前已全面分析了虛擬化的市場趨勢，并預(yù)估了虛擬化發(fā)展的大體方向，所以在多年前便開始投入虛擬化產(chǎn)品研發(fā)和進(jìn)行技術(shù)儲備。首先于2011年發(fā)布EasyConnect應(yīng)用虛擬化產(chǎn)品，經(jīng)過市場及客戶的全面驗(yàn)證而極大增強(qiáng)了對應(yīng)用、桌面虛擬化技術(shù)的深入理解，同時自主研發(fā)了核心SRAP高效傳輸協(xié)議，顯著提升了用戶的訪問體驗(yàn)；然后又陸續(xù)推出虛擬安全桌面平臺VSP、上網(wǎng)安全桌面SD等不同產(chǎn)品的虛擬化版本，最終對虛擬化相關(guān)技術(shù)有了更深厚的積累，也對資源優(yōu)化、虛擬機(jī)架構(gòu)、操作系統(tǒng)底層、安全隔離技術(shù)等有了更深刻的認(rèn)識。因此，深信服在當(dāng)前的市場環(huán)境下順勢而發(fā)，推出涵蓋服務(wù)器虛擬化+桌面虛擬化+瘦客戶機(jī)一站式aDesk桌面云方案。本文主要講述此方案的和技術(shù)架構(gòu)和產(chǎn)品亮點(diǎn)，通過展示深信服桌面云方案的特點(diǎn)與優(yōu)勢，您將了解到性價比最高、管理最簡化、用戶體驗(yàn)最佳的虛擬桌面方案，為后期的桌面交付環(huán)境建設(shè)提供一種全新的方案思路。3.2 體系架構(gòu)概述企事業(yè)單位中，不同員工對桌面的需求是不一樣的，有些需要簡易、標(biāo)準(zhǔn)化的桌面，有些需要高性能、個性化的桌面，有些可能僅需通過訪問個別應(yīng)用程序進(jìn)行移動辦公。利用深信服SRAP桌面交付技術(shù)可以滿足多種類型的桌面，實(shí)現(xiàn)具備靈活性、安全性、可擴(kuò)展性的一站式桌面云解決方案。 虛擬機(jī)管理軟件VMS：將服務(wù)器的CPU、內(nèi)存、磁盤、I/O等硬件資源轉(zhuǎn)換成可以動態(tài)管理的“資源池”，讓一臺服務(wù)器變成幾臺甚至上百臺虛擬服務(wù)器（虛擬機(jī)），從而提升服務(wù)器資源利用率，并實(shí)現(xiàn)具有透明負(fù)載均衡、動態(tài)遷移、故障自動隔離、系統(tǒng)自動重構(gòu)的高可靠服務(wù)器集群環(huán)境。 虛擬桌面控制器VDC：提供桌面用戶認(rèn)證管理、桌面/應(yīng)用資源訪問控制、虛擬桌面創(chuàng)建及啟動、桌面監(jiān)控等功能，實(shí)現(xiàn)以更低成本、更安全、更可靠地交付Windows桌面；需與VMS協(xié)同工作，并提供軟件和硬件兩種類型。 瘦終端aDesk：外觀小巧精致，采用ARM架構(gòu)和A9芯片，性能強(qiáng)勁，處理速度快。3.3 方案組件說明SANGFOR aDesk桌面云方案以桌面托管的方式實(shí)現(xiàn)統(tǒng)一的云桌面平臺，可將任何桌面/應(yīng)用交付給用戶，并提供最佳的性能、最高的安全性、最低的成本和最強(qiáng)的靈活性。具體需要的方案組件如下：組件名稱具體描述虛擬機(jī)管理軟件VMS構(gòu)建一個功能強(qiáng)大、高可靠性、高可擴(kuò)展性的桌面云基礎(chǔ)技術(shù)平臺，實(shí)現(xiàn)對物理資源的完全控制及性能監(jiān)控，實(shí)現(xiàn)虛擬機(jī)的快速部署、統(tǒng)一桌面資源池管理。并且結(jié)合故障自動遷移、數(shù)據(jù)自動化備份、資源負(fù)載均衡等特性實(shí)現(xiàn)桌面及數(shù)據(jù)的可用性和高性能，從而構(gòu)建最簡捷、最有效的桌面交付中心。虛擬桌面控制器VDC與VMS協(xié)同工作，提供桌面用戶認(rèn)證管理、桌面/應(yīng)用資源訪問控制、虛擬桌面創(chuàng)建及啟動、桌面監(jiān)控等功能，實(shí)現(xiàn)以更低成本、更安全、更可靠地交付Windows桌面。不僅能增強(qiáng)控制能力和可管理性，還可以提供與PC一致的桌面體驗(yàn)，虛擬桌面控制器VDC能簡化虛擬桌面的管理、調(diào)配和部署。用戶能夠通過虛擬桌面控制器VDC安全而方便地訪問虛擬桌面，升級和修補(bǔ)工作都可以集中進(jìn)行，因此可以有效地管理數(shù)百甚至數(shù)千個桌面，從而節(jié)約時間和資源。瘦客戶機(jī)aDeskaDesk瘦客戶機(jī)是一種理想的替換傳統(tǒng)桌面PC的設(shè)備，它外形小巧，無噪音運(yùn)行，日常耗電量僅需10瓦，是真正意義上的經(jīng)濟(jì)環(huán)保型電腦。aDesk允許隨時隨地連接深信服桌面云平臺，不僅可獲得與傳統(tǒng)PC一致的訪問體驗(yàn)，而且提供了額外的安全性和廣泛的可擴(kuò)展性；同時通過虛擬桌面控制器VDC進(jìn)行中央管控，極大簡化aDesk瘦客戶機(jī)管理工作。VDC與VMS的功能區(qū)別VMS主要提供桌面云方案的基礎(chǔ)架構(gòu)，著重于網(wǎng)絡(luò)基礎(chǔ)設(shè)備、主機(jī)、存儲、模板的管理；VDC提供用戶角色、權(quán)限、虛擬機(jī)實(shí)例、瘦客戶機(jī)的管理，主要包括常用的，或具備批量操作特性的用戶相關(guān)功能的管理。3.4 桌面交付模式介紹交付說明： 首先用戶啟動終端設(shè)備上的客戶端應(yīng)用程序或打開瀏覽器，輸入虛擬桌面控制器VDC的地址/域名跳轉(zhuǎn)至登錄界面，然后在界面上輸入正確的用戶名和密碼進(jìn)行登錄。 一旦登錄成功，用戶可通過提前分配好的桌面、應(yīng)用資源自動創(chuàng)建可用的桌面或應(yīng)用實(shí)例，然后將此實(shí)例在虛擬化基礎(chǔ)架構(gòu)（VMS）上進(jìn)行啟動。 最后，虛擬化基礎(chǔ)架構(gòu)（VMS）能夠通過高效傳輸協(xié)議SRAP將桌面/應(yīng)用界面直接交付給用戶（如圖所示），減少對虛擬桌面控制器VDC的性能壓力；如果是在互聯(lián)網(wǎng)環(huán)境中進(jìn)行桌面/應(yīng)用資源交付，則依然需要通過虛擬桌面控制器VDC進(jìn)行中轉(zhuǎn)，以保證傳輸安全性。3.5 桌面云方案價值體現(xiàn) 運(yùn)維成本大幅降低桌面云的應(yīng)用將極大的減少后期的運(yùn)維成本，采用模板化的部署方式后，一個新的桌面用戶可以在10分鐘左右就完成交付使用，而故障的排查和修復(fù)時間更是大幅度減少，原來只能管理100臺終端的管理員，現(xiàn)在可以輕松的管理上千臺的虛擬桌面。保守估計(jì)，算上設(shè)備更替和運(yùn)維的成本，5年的IT總成本可以節(jié)省40%以上。 節(jié)能降噪，綠色辦公傳統(tǒng)PC每小時耗電量大概在190W左右，而瘦終端的能耗只有10W。以1000臺的部署規(guī)模為例，按一天開機(jī)10小時、每年240個工作日、每度電按0.75元的工商業(yè)用電價格來折算，即使算上數(shù)據(jù)中心新增服務(wù)器的電力成本，把1000臺PC換成瘦終端每年至少可節(jié)省25萬元電費(fèi)。 保護(hù)信息資產(chǎn)安全桌面云將所有的數(shù)據(jù)集中存儲在數(shù)據(jù)中心，筆記本、瘦終端等前端設(shè)備只接收圖像，整個業(yè)務(wù)過程里數(shù)據(jù)不落地，確保安全。而集中化的部署方式也更有利于IT部門對信息資產(chǎn)進(jìn)行統(tǒng)一管理。不僅如此，桌面云還能夠輕易的在組織內(nèi)部建立起相互邏輯隔離的多張網(wǎng)絡(luò)、來滿足不同類型業(yè)務(wù)的使用需求。 桌面隨身行辦公模式適應(yīng)移動信息化建設(shè)趨勢，在策略許可的情況下，用戶可以實(shí)現(xiàn)在任意時間、任意地點(diǎn)、通過任意終端訪問自己的個人桌面，真正做到桌面隨身行，在任一終端上的桌面操作可以在另一個終端中繼續(xù)開展，從而提升員工的工作效率。第4章 產(chǎn)品精彩亮點(diǎn)解析4.1 良好用戶體驗(yàn)4.1.1 高清視頻體驗(yàn)深信服桌面云方案允許在虛擬桌面中查看或編輯圖像和多媒體信息，且可以支持1980*1200分辨率和32位彩色桌面顯示。另外，傳統(tǒng)桌面虛擬化方案在播放高清視頻時主要采用服務(wù)器解碼和播放，然后將變化中的圖像按幀傳輸給前端顯示設(shè)備，但這種方式對服務(wù)器性能要求高，且非常占用帶寬資源，往往效果不好。而深信服提出音視頻重定向技術(shù)，將1080P高清視頻流在服務(wù)器上進(jìn)行編碼和壓縮，然后直接傳輸?shù)角岸嗽O(shè)備，利用基于高清視頻處理器和本地解碼技術(shù)流暢地播放高清視頻，給客戶帶來極佳的視頻觀看體驗(yàn)。4.1.2 高效SRAP協(xié)議云桌面需要通過網(wǎng)絡(luò)交付給前端設(shè)備，其中最重要的組成部分就是桌面交付協(xié)議。SANGFOR SRAP協(xié)議發(fā)展于2011年，是專門為虛擬桌面或遠(yuǎn)程應(yīng)用程序的高效交付而設(shè)計(jì)的，能夠滿足低帶寬的傳輸需求，同時具有最佳的外設(shè)兼容性。SRAP協(xié)議主要通過高效流式壓縮算法、有損壓縮、圖像緩存匹配、動態(tài)內(nèi)容識別過濾、文字圖像識別智能壓縮等優(yōu)化技術(shù)提升6倍以上的傳輸效率。最低帶寬要求僅需2030K/s，在丟包和延遲都比較高的網(wǎng)絡(luò)環(huán)境下依然能夠正常使用，最大程度保障用戶桌面體驗(yàn)。4.1.3 單點(diǎn)登錄技術(shù)客戶有可能使用多個虛擬應(yīng)用程序或Windows虛擬桌面，而每套應(yīng)用系統(tǒng)或桌面系統(tǒng)都會有單獨(dú)的身份認(rèn)證措施，一般情況下是需要多次認(rèn)證才能正常辦公，這種工作非常繁瑣且容易出錯，影響工作效率。為了提升終端用戶的滿意度，深信服引入單點(diǎn)登錄技術(shù)，在通過VDC嚴(yán)格認(rèn)證之后，無需再次進(jìn)行虛擬應(yīng)用和虛擬桌面的認(rèn)證，采用“一鍵化”模式開啟桌面和應(yīng)用的操作界面。目前支持BS和CS類型的遠(yuǎn)程應(yīng)用和Windows虛擬桌面的單點(diǎn)登錄功能，實(shí)現(xiàn)多系統(tǒng)和多桌面整合，避免用戶重復(fù)輸入賬號或口令的繁瑣操作，提升員工工作效率和操作滿意度。同時，對已經(jīng)開啟了單點(diǎn)登錄的虛擬應(yīng)用程序，用戶可在登錄成功后在個人設(shè)置中對這些應(yīng)用進(jìn)行單點(diǎn)登錄帳號、密碼自設(shè)定，所設(shè)置的數(shù)據(jù)將以加密的方式進(jìn)行傳遞，并對管理員不可見，保證用戶帳號的安全性。4.1.4 自動化桌面部署在DHCP環(huán)境下，用戶使用瘦終端，可在無人指導(dǎo)的情況下，快速接入云桌面，實(shí)現(xiàn)即插即用的終端操作體驗(yàn)。另外，相對傳統(tǒng)PC上線前需要經(jīng)過硬件采購、系統(tǒng)安裝、桌面運(yùn)維等一系列的繁瑣、復(fù)雜的過程，在部署好桌面云平臺之后，管理員可以通過虛擬機(jī)模板來快速、自動地為新用戶派生虛擬桌面，同時管理員不僅可在控制臺查看用戶虛擬機(jī)的CPU、內(nèi)存、磁盤的詳細(xì)情況，還可以對用戶虛擬機(jī)進(jìn)行開機(jī)、關(guān)機(jī)、掛起、重啟等電源級別操作。當(dāng)用戶虛擬機(jī)出現(xiàn)故障后，管理員既可以通過新的虛擬機(jī)模板進(jìn)行快速替換，也可以在控制臺遠(yuǎn)程接入用戶虛擬桌面，協(xié)助處理系統(tǒng)故障問題。4.2 最優(yōu)的靈活性4.2.1 廣泛終端支持用戶可以通過任意終端設(shè)備來訪問屬于自己的個人虛擬桌面，而且可以實(shí)現(xiàn)終端遷移功能，在多個終端間切換，不會影響原先的桌面操作行為，真正做到桌面隨身行。目前支持PC、筆記本、瘦終端、iPad、iPhone、Android手機(jī)或智能終端等設(shè)備接入訪問虛擬桌面；支持Windows 7（32位和64位）、Windows XP（32位）、Windows 8（32位和64位）、Windows XPE、iOS、Android等客戶端操作系統(tǒng)。4.2.2 豐富的桌面類型不同的場景、不同的崗位上的員工需要不同類型的桌面，深信服通過SRAP交付技術(shù)提供多種不同類型的虛擬桌面，來滿足用戶多樣化的桌面需求，具體如下：共享桌面：利用服務(wù)器操作系統(tǒng)的多用戶會話共享功能，允許多個用戶同時遠(yuǎn)程連接到同一個操作系統(tǒng)，并為每個用戶提供不同的桌面，用戶可擁有自己的桌面配置和個人數(shù)據(jù)，并共享同一套完整的桌面系統(tǒng)；標(biāo)準(zhǔn)化的桌面辦公環(huán)境，可以提供一組核心應(yīng)用，適用于不需要（不允許）個性化安裝軟件或無自主桌面控制權(quán)限的任務(wù)型員工，比如辦事大廳、職能辦公、生產(chǎn)線、培訓(xùn)中心等。遠(yuǎn)程應(yīng)用：利用服務(wù)器操作系統(tǒng)的用戶會話共享和應(yīng)用程序多實(shí)例功能，允許多個用戶同時遠(yuǎn)程連接到同一個應(yīng)用程序，用戶可擁有自己的應(yīng)用配置和個人數(shù)據(jù)，并共享同一套應(yīng)用程序；特定的應(yīng)用程序交付，適合于應(yīng)用數(shù)量較少，日常辦公時僅需操作某幾類軟件，或需要移動辦公的員工，如營業(yè)廳、生產(chǎn)線、銷售部門及管理層移動辦公等。獨(dú)享桌面：基于服務(wù)器虛擬化提供的可遠(yuǎn)程訪問的桌面，即服務(wù)器可以根據(jù)模板自動為每用戶分配一個虛擬機(jī)（安裝Windows XP、Windows 7等桌面操作系統(tǒng)，并且每個獨(dú)享桌面相互隔離），用戶遠(yuǎn)程訪問自己的虛擬機(jī)，并可擁有獨(dú)立、完全的桌面使用和控制權(quán)限。適用于有系統(tǒng)個性化需求、對性能要求高的桌面用戶，當(dāng)然部署獨(dú)享桌面對服務(wù)器和存儲資源的要求比較高。無論企業(yè)內(nèi)的各種用戶應(yīng)用場景以及用戶的需求如何多樣化，通過SRAP交付技術(shù)，總能找出一種適合的技術(shù)來滿足各種場景和用戶的需求。IT部門能夠交付各種虛擬桌面 每種桌面都經(jīng)過專門定制，可滿足每位用戶的性能、安全性和靈活性要求。4.2.3 外設(shè)的總線映射技術(shù)深信服桌面云方案允許將外設(shè)連接到終端上，外設(shè)驅(qū)動安裝于服務(wù)器上，然后可以如本地桌面一樣使用各種外設(shè)，盡管虛擬桌面是在服務(wù)器上運(yùn)行的。通過總線映射技術(shù)在終端連接外設(shè)的接口如USB或串口與服務(wù)器上的虛擬桌面構(gòu)建一條專有的隧道，用于傳輸各種外設(shè)的控制指令，可以支持包括掃描槍、掃描儀、攝像頭、密碼小鍵盤、二代身份證讀卡器、手寫板、打印機(jī)映射、USB-key等常見總線辦公設(shè)備，并且保持會話間的隔離。另外，深信服推出專有的虛擬打印技術(shù)，通過在服務(wù)端選擇SANGFOR虛擬打印機(jī)，在客戶端本地打印機(jī)即可打印文件，且服務(wù)器端的虛擬機(jī)上無需安裝本地打印機(jī)驅(qū)動。4.2.4 智能開關(guān)機(jī)智能開關(guān)機(jī)能夠真正實(shí)現(xiàn)對用戶虛擬桌面開、關(guān)機(jī)進(jìn)行自動控制。即使瘦終端已經(jīng)關(guān)閉，用戶可能會忘記關(guān)閉位于服務(wù)器上的虛擬機(jī)，此時便可以實(shí)現(xiàn)對虛擬機(jī)的自動關(guān)閉功能，從而可以節(jié)省服務(wù)器的硬件資源。同時，通過軟件內(nèi)置的定時開機(jī)功能，可以指定在任意時間開啟個人的虛擬機(jī)，且開機(jī)時可將用戶虛擬機(jī)自動調(diào)度至資源充足的服務(wù)器上，一方面通過此技術(shù)可以避免IO風(fēng)暴，加快系統(tǒng)登錄時間，另一方面，通過自動化技術(shù)來簡化用戶訪問虛擬桌面的操作步驟，讓用戶體驗(yàn)到簡約、便捷的桌面操作。4.3 端到端安全設(shè)計(jì)虛擬桌面從防范非法用戶和惡意系統(tǒng)管理員的角度進(jìn)行全方位的安全防范，保證接入虛擬桌面的用戶和數(shù)據(jù)高度安全性，深信服aDesk桌面云方案集成了豐富的VPN安全特性，針對各分層采用安全措施具體如下：4.3.1 終端安全采用精簡加固基于Android OS，瘦客戶機(jī)無本地存儲，可以說數(shù)據(jù)總是存放在最安全的地方。用戶接入虛擬桌面資源時通過合法性認(rèn)證、USB靈活可控策略、應(yīng)用策略化控制、還原模式等方式保證終端安全。 集成本地認(rèn)證、短信認(rèn)證、動態(tài)令牌、數(shù)字證書、第三方認(rèn)證等身份認(rèn)證機(jī)制，而且多種身份認(rèn)證方式可以自由組合，以確保接入用戶的身份唯一性； 基于靈活策略設(shè)置USB端口使用權(quán)限，比如是否允許使用USB設(shè)備（包括打印機(jī)、掃描儀等），還可以靈活控制USB硬盤的單向使用權(quán)限（比如僅允許訪問終端往虛擬桌面拷貝數(shù)據(jù)，而不允許桌面到終端的數(shù)據(jù)拷貝）； 基于策略的訪問控制：可以根據(jù)用戶、網(wǎng)絡(luò)、服務(wù)、設(shè)備、系統(tǒng)等，通過關(guān)聯(lián)的策略為他們分配合適的訪問權(quán)限。支持客戶端安全檢查功能，可以根據(jù)客戶接入終端的系統(tǒng)版本、接入IP，接入時間，殺毒軟件的安裝更新情況等，指定用戶的訪問控制策略； 桌面注銷時還原至原始狀態(tài)，該模式下，除了指定的一些目錄外，用戶所做的操作都會在重啟后被還原。模板升級后，用戶重新打開的虛擬機(jī)包含模板升級的內(nèi)容，可以降低終端中毒風(fēng)險(xiǎn)。4.3.2 傳輸安全通過VLAN隔離，并內(nèi)置企業(yè)級防火墻模塊進(jìn)行狀態(tài)化ACL訪問控制，管理員登錄時采用HTTPS加密傳輸、用戶訪問虛擬桌面采用傳輸加密等手段，保證業(yè)務(wù)運(yùn)行和維護(hù)安全。 終端到虛擬桌面之間僅傳輸圖像變化和指令信息，不直接傳輸實(shí)際數(shù)據(jù)，也即是說，“瘦終端+云桌面”讓數(shù)據(jù)不落地，保障傳輸安全性； 可對傳輸加密通道進(jìn)行基于IP、服務(wù)的訪問控制策略，減少異常流量的傳輸，且支持同一傳輸通道不同會話的隔離控制，包括存儲會話、虛擬打印會話、總線映射會話等等，從而提升傳輸通道的靈活度； 通過對終端到虛擬桌面進(jìn)行全程流量加密，杜絕中間人攻擊行為，目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持?jǐn)U展國密辦SCB2（SM1）等其他加密算法，確保通信的安全性； 在桌面云接入平臺上內(nèi)置了企業(yè)級防火墻模塊，通過靈活的ACL訪問控制策略和DDoS設(shè)置，為整個平臺提供狀態(tài)包過濾和基本安全保護(hù)。4.3.3 平臺安全虛擬化基礎(chǔ)架構(gòu)（VMS）的安全性關(guān)系到整個虛擬桌面訪問的穩(wěn)定性和數(shù)據(jù)安全性，本方案首先通過高可用性設(shè)計(jì)滿足業(yè)務(wù)穩(wěn)定性需求，然后再通過虛擬機(jī)隔離、數(shù)據(jù)盤加密控制、管理員權(quán)限細(xì)化等安全機(jī)制保證用戶數(shù)據(jù)的安全。 在獨(dú)享桌面的情況下，每用戶獨(dú)占一個虛擬機(jī)，通過VMS底層機(jī)制實(shí)現(xiàn)CPU調(diào)度、內(nèi)存、網(wǎng)絡(luò)訪問、磁盤IO、存儲空間的隔離，用戶虛擬機(jī)的故障和安全問題不會影響到其他用戶，保證虛擬機(jī)之間的隔離安全； 每用戶都會分配個人數(shù)據(jù)盤來存放文檔，當(dāng)用戶遷移至虛擬桌面的使用模式后，所有數(shù)據(jù)都集中存儲于數(shù)據(jù)中心。因此，通過為個人數(shù)據(jù)盤進(jìn)行加密存儲，讓其他用戶包括管理員都無法訪問，可以保證用戶個人穩(wěn)私安全； 不同管理員角色，授予合適的管轄權(quán)限范圍，并保存操作日志。支持分級管理權(quán)限，包括上級管理員有權(quán)操作下級管理員的配置行為，相反則無權(quán)；支持上級管理員將虛擬桌面資源授權(quán)給下級管理員。通過終端安全、傳輸安全、平臺安全三大層次的端到端、多方位安全機(jī)制，可以完善保障用戶接入安全、數(shù)據(jù)安全、管理安全、虛擬化安全、基礎(chǔ)設(shè)施安全等多個建設(shè)環(huán)節(jié)，輕松應(yīng)對虛擬桌面在建設(shè)過程中所面臨的安全威脅及挑戰(zhàn)。4.4 最低的IT總體成本4.4.1 高效率、低能耗瘦終端深信服aDesk瘦終端是一種理想的桌面設(shè)備，它外形小巧，無噪音運(yùn)行，日常耗電量僅需10瓦，經(jīng)濟(jì)環(huán)保。aDesk允許隨時隨地連接SANGFOR虛擬桌面平臺，不僅可獲得與傳統(tǒng)PC一致的訪問體驗(yàn)，而且提供了可靠的安全性；同時通過虛擬桌面控制器VDC進(jìn)行中央管控，極大簡化aDesk瘦終端管理工作。深信服aDesk瘦終端適用于金融、運(yùn)營商、企業(yè)、政府、教育、醫(yī)療等行業(yè)的多種辦公場景，故障排除、軟件安裝和系統(tǒng)升級都在服務(wù)器端完成，提高了安全性和管理的便捷性，并為企業(yè)節(jié)約了大量的IT 投資。4.4.2 內(nèi)存頁合并技術(shù)在桌面云的建設(shè)方案中，服務(wù)器的投資占較大比例，硬件資源的節(jié)省可降低整套方案的投資成本，更好地推動云桌面應(yīng)用模式的落地。因此，深信服創(chuàng)新性地提出內(nèi)存頁合并技術(shù)，因?yàn)槲覀儼l(fā)現(xiàn)，一臺服務(wù)器承載了幾十臺甚至上百臺用戶虛擬機(jī)，但這些虛擬機(jī)都有相同的只讀內(nèi)存頁面，比如操作系統(tǒng)執(zhí)行代碼等，針對相同的頁面，深信服內(nèi)存頁合并技術(shù)實(shí)現(xiàn)內(nèi)存區(qū)域的共享，從而發(fā)揮內(nèi)存的最大效率，節(jié)省服務(wù)器的物理內(nèi)存空間，提升用戶虛擬機(jī)的部署密度。通過實(shí)際測試數(shù)據(jù)表明，此技術(shù)至少可以節(jié)省20%服務(wù)端成本。4.4.3 鏡像分離和IO加速一般情況下，每個用戶的虛擬桌面和個人數(shù)據(jù)都是獨(dú)占一份存儲空間，其實(shí)大家都可能使用的是同一套Windows操作系統(tǒng)，無非就是應(yīng)用程序和個人數(shù)據(jù)不同而已。因此，深信服aDesk桌面云方案將操作系統(tǒng)鏡像和個人數(shù)據(jù)（包含應(yīng)用程序）進(jìn)行分離，通過模板化系統(tǒng)鏡像技術(shù)實(shí)現(xiàn)集中化、快速的桌面交付，此技術(shù)不僅可節(jié)省存儲空間，而且管理員只需維護(hù)同一操作系統(tǒng)鏡像，日常系統(tǒng)升級、軟件更新將會非常高效，工作量較少。另外，由于多用戶共享同一套模板鏡像，可以利用服務(wù)器的內(nèi)存或緩存卡進(jìn)行重復(fù)數(shù)據(jù)IO加速，能夠消除相同OS類型的桌面同時啟動時的重復(fù)IO，以提升虛擬桌面啟動速度和運(yùn)行效率。4.4.4 桌面服務(wù)器群集設(shè)計(jì)如上圖所示，在每臺X86服務(wù)器上安裝虛擬機(jī)管理軟件VMS，通過VMS軟件可為虛擬桌面平