虛擬化解決方案

...v.虛擬化解決方案XX市深信服科技XX2014年11月第一章需求分析1.1高昂的運維和支持本錢PC故障往往需要IT管理員親臨現場解決，在PC生命周期當中，主板故障、硬盤損壞、內存沒插緊等硬件問題將不斷發(fā)生，而系統更新、補丁升級、軟件部署等軟件問題也非常多，對于IT管理員來說，其維護的工作量將是非常大的。同時，桌面運維工作是非常消耗時間的，而這段時間內將無法正常進展網上工作，所以也會影響到工作效率。最后，從耗電量方面來講，傳統PC+顯示器為250W，那么一臺電腦將產生高達352元/年【0.25〔功耗〕*8〔每天8小時工作〕*0.8〔電費，元/千瓦時〕*240〔工作日〕】本機能耗本錢，而電腦發(fā)熱量也比擬大，在空間密集的情況下，散熱的本錢也在逐步上升。因此，IDC預測，在PC硬件上投資10元，后續(xù)的運營開銷將高達30元，而這些投資并不能為學校帶來業(yè)務方面的價值，也即投入越大，浪費越多。1.2不便于進展移動辦公傳統的PC模式將辦公地點固定化，只能在辦公室、微機房等固定區(qū)域進展辦公，大大降低了工作的效率和靈活性，無法適應移動化辦公的需求。1.3數據喪失和泄密風險大信息化時代，其數據存儲和信息平安非常重要，在信息系統中存儲著大量的與工作相關的重要信息。但是傳統PC將數據分散存儲于本地硬盤，PC硬盤故障率較高，系統問題也很多，這使得當出現問題時數據易喪失，同時由于數據的分散化存儲，導致數據的備份及恢復工作非常難以展開，這些都是棘手的問題。另外，PC/筆記本上的資料可以自由拷貝，沒有任何平安策略的管控，存在嚴重的數據泄密風險。綜上所述，桌面云解決方案是業(yè)界IT創(chuàng)新技術，目前已在眾多行業(yè)機構得到廣泛應用。通過基于效勞器計算模式，將操作系統、應用程序和用戶數據集中于數據中心，實現統一管控。此方案可通過革新的桌面交付模式，解決當前桌面管理模式中存在的運維難、不平安、靈活性差等問題，實現高效、便捷、防泄密的經濟效益。第二章深信服aDesk桌面云方案介紹2.1一站式方案概述深信服桌面云產品最重要的一個特點就是“一站式〞，由深信服向客戶提供包含效勞器虛擬化軟件〔VMS〕、桌面云虛擬化〔VDC〕以及瘦終端〔aDesk〕在內的整體解決方案，從而可以幫助用戶降低投資和運維本錢，更快速的實現虛擬桌面的部署。瘦終端aDesk：外觀小巧精致，采用ARM架構〔A9芯片〕和Android系統，性能強勁，處理速度快。相比于X86架構的瘦終端，其能耗更低、長期運行穩(wěn)定性更高〔無需散熱〕、且操作系統精簡化，可實現零維護。同時，利用外設重定向技術，可兼容桌面應用中的各類外設。虛擬桌面控制器VDC：主要實現用戶接入認證、細粒度策略控制、虛擬桌面及瘦終端的統一監(jiān)控、管理等，以更低本錢、更平安、更可靠地交付Windows桌面，支持硬件VDC和軟件VDC〔部署于虛擬機〕兩種部署模式。效勞器虛擬化軟件〔VMS〕：祼金屬架構，直接安裝于物理效勞器上，提供性能強勁、高可靠性的虛擬化計算平臺，實現虛擬機快速部署、資源管理和監(jiān)控、動態(tài)在線遷移、數據備份及恢復等，可為云桌面工作負載提供先進功能，支持大規(guī)模部署且易于操作。2.2主要功能列表功能名稱詳細描述終端設備和操作系統支持支持PC、筆記本、瘦終端、iPad、iPhone、Android手機或智能終端等設備接入訪問虛擬桌面；支持Windows7〔32位和64位〕、WindowsXP〔32位〕、Windows8〔32位和64位〕、WindowsXPE、iOS、Android等客戶端操作系統。桌面交付協議支持SRAP高效傳輸協議，通過高效流式壓縮算法、有損壓縮、圖像緩存匹配、動態(tài)內容識別過濾、文字圖像識別智能壓縮等優(yōu)化技術提升6倍以上的傳輸效率；支持多媒體重定向技術，采用先進的編碼和流媒體技術，在效勞器將經過壓縮和編碼的流媒體發(fā)送至終端，通過基于軟件和硬件的處理能力實現本地播放，提升多媒體播放性能，可流暢播放1080P的高清視頻。外設支持支持USB總線映射〔包括掃描槍、掃描儀、攝像頭、密碼小鍵盤、二代XX讀卡器、手寫板、打印機映射、USB-key等常見總線辦公設備〕，并保持會話間隔離；支持虛擬打印功能，通過在效勞端選擇Sangfor虛擬打印機，在客戶端本地打印機即可打印文件，且終端效勞器無需安裝本地打印機驅動；支持音頻映射，可遠程進展音頻的輸入輸出，支持串口設備總線映射、磁盤映射。虛擬桌面類型共享桌面：利用效勞器操作系統的多用戶會話共享功能，允許多個用戶同時遠程連接到同一個操作系統，并為每個用戶提供不同的桌面，用戶可擁有自己的桌面配置和個人數據，并共享同一套完整的桌面系統；遠程應用：利用效勞器操作系統的用戶會話共享和應用程序多實例功能，允許多個用戶同時遠程連接到同一個應用程序，用戶可擁有自己的應用配置和個人數據，并共享同一套應用程序；獨享桌面：基于效勞器虛擬化提供的可遠程訪問的桌面，即效勞器可以根據模板自動為每用戶分配一個虛擬機〔安裝WindowsXP、Windows7等桌面操作系統，并且每個獨享桌面相互隔離〕，用戶遠程訪問自己的虛擬機，并可擁有獨立、完全的桌面使用和控制權限。獨享桌面發(fā)布模式復原模式：獨享桌面資源下，用戶使用的虛擬機從模板產生。該模式下，除了指定的一些目錄外，用戶所做的操作都會在重啟后被復原。模板升級后，用戶重新翻開的虛擬機包含模板升級的內容；專用模式：獨享桌面資源下，用戶使用基于模板自動生成的專用虛擬機實例。該模式下，對用戶所做的操作，包括安裝軟件，建立、修改文件，配置修改等操作的結果都予以保存，重新啟動和升級模板都不會影響這些修改。VDC部署模式虛擬桌面控制器VDC支持以物理設備或虛擬機的形式部署，如果客戶端在內網訪問，經VDC認證后，客戶端可直連用戶桌面；如果客戶端在外網訪問，經VDC認證后，客戶端依然需要通過VDC代理才能訪問用戶桌面；VDC支持在物理設備和虛擬機形式中進展集群部署，以提升可用性；VDC支持非對稱集群部署方式，不同級別配置的硬件設備也可以基于權重參數設置，組成非對稱集群。平安策略支持本地認證、短信認證、動態(tài)令牌、數字證書、第三方認證、硬件特征碼等多種認證方式，并且可以自由組合以提升接入平安性；支持BS和CS類型的遠程應用和Windows虛擬桌面的單點登錄功能，實現多系統整合，防止用戶重復輸入賬號或口令的繁瑣操作；密碼管理：支持多重密碼平安策略，可設置密碼不能包含用戶名、新密碼不能與舊密碼一樣、首次登錄強制修改密碼、強制要求定時修改密碼、密碼強度驗證；支持圖形校驗碼、軟鍵盤；支持賬號防暴力破解；基于策略的訪問控制：可以根據用戶、網絡、效勞、設備、系統等，通過關聯的策略為他們分配適宜的訪問權限；流量加密：支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持擴展國密辦SCB2〔SM1〕等其他加密算法，確保通信的平安性；支持客戶端平安檢查功能，可以根據客戶接入終端的系統版本、接入IP，接入時間，殺毒軟件的安裝更新情況等，指定用戶的訪問控制策略；支持設置應用程序白功能，控制用戶在共享桌面、遠程應用或獨享桌面中主動或被動地運行非法應用；支持效勞端訪問控制策略，可以基于策略控制用戶在遠程應用、共享桌面或獨享桌面中能夠訪問的網絡；支持個人盤加密技術，可對存儲個人數據的磁盤文件進展加密，保障個人穩(wěn)私平安。桌面會話管理支持多個桌面會話的快照管理和會話保持；支持終端遷移功能，在多個終端間切換，不會影響原先的桌面操作行為；支持桌面會話連接遠程診斷功能，管理員可在控制臺上對桌面會話連接進展遠程協助，幫助用戶在線診斷問題；支持查詢具體會話的根本信息和性能信息，可以管理當前所有桌面會話，如斷開某個會話操作或訪問某個會話等操作；支持網絡中斷后的桌面會話自動重連功能，臨時性的網絡中斷不會影響原先的桌面操作行為；支持自動注銷當前會話連接。會話隔離控制共享桌面支持效勞器磁盤空間和存儲路徑的會話級別隔離；共享桌面支持客戶端外設映射和總線映射的會話級別隔離；虛擬打印機支持會話級別隔離。會話資源管理可允許或阻止用戶將訪問終端的USB設備重定向到虛擬桌面，可允許或阻止用戶將訪問終端上的文件重定向到虛擬桌面，還可以設置單向傳輸策略〔比方僅允許訪問終端從往虛擬桌面拷貝數據〕；支持基于用戶或用戶組對會話資源進展管理和策略控制，比方是否允許用戶使用打印機、是否允許用戶使用U盤等。VMS配置管理支持新增、刪除、編輯VMS效勞器虛擬化平臺，并測試連接狀態(tài)；支持查看VMS運行狀態(tài)的詳細情況，包括CPU、內存、存儲、模板、運行主機、運行虛擬機等詳細情況。虛擬桌面資源管理支持使用虛擬機模板自動生成虛擬桌面實例，且可以對虛擬機指定命名規(guī)那么，以更好地區(qū)分每個用戶的虛擬桌面；支持新建虛擬桌面資源時可以指定虛擬機運行位置、存儲位置、虛擬交換機、虛擬機數量等，支持為用戶設置虛擬機的開關機方案；支持為用戶虛擬桌面分配或不分配個人數據磁盤，支持指定磁盤容量大??；支持刪除用戶時，可選擇是否刪除關聯的虛擬桌面資源，但如果選擇刪除虛擬桌面資源，那么會自動所關聯的虛擬機實例；支持在控制臺查看資源所關聯的虛擬機詳細信息，包括運行狀態(tài)、資源利用率、創(chuàng)立或啟動失敗原因等。虛擬機實例管理支持在控制臺對用戶虛擬機開機、關機、掛起、重啟等電源級別操作；支持管理員在實例管理頁面按虛擬機名、虛擬化平臺、所屬資源、IP、關聯用戶的項的組合條件搜索相關虛擬機〔搜索為模糊搜索〕；支持在控制臺查看用戶虛擬機的CPU、內存、磁盤的詳細情況，且CPU、內存支持正反排序，磁盤支持按比率的大小進展正序和反序排序。平臺運維管理支持分級管理權限，包括上級管理員有權操作下級管理員的配置行為，相反那么無權；支持上級管理員將虛擬桌面資源授權給下級管理員；支持自動將配置文件備份到FTP效勞器；支持在VDC連接VMS效勞器虛擬化平臺失敗時、用戶訪問虛擬機失敗時進展告警并記錄故障日志；支持基于SNMP協議，與第三方監(jiān)控系統對接；支持基于syslog日志與第三方監(jiān)控系統對接?？蛻舳斯芾砉δ苤С衷赩DC控制臺上對瘦客戶機可以直接完成監(jiān)控及配置，無需獨立的管理器；支持配置瘦客戶機ROM，包括上傳下載ROM，是否啟用自動更新，顯示設備當前ROM、軟件的版本信息；支持在VDC控制臺顯示上報的信息，可搜索瘦客戶機信息；支持客戶端在虛擬桌面中關機、重啟機、銷定屏幕、注銷用戶等操作；可配置瘦客戶機能否切換到桌面及是否可以安裝軟件；在瘦客戶機連接虛擬桌面資源出現問題時，支持進入維護模式。用戶可以在維護模式中對遠程計算機進展簡單的維護，如按F8進入虛擬計算機的平安模式等。虛擬機管理功能支持多用戶共享同一套虛擬機模板，用戶數據保存在個人數據盤，管理員進展軟件更新和維護，并自動更新到個人用戶虛擬機，不會影響個人的數據；支持利用效勞器的內存或緩存卡進展重復數據IO加速，能夠消除一樣OS類型的桌面同時啟動時的重復IO，以提升虛擬桌面啟動速度；支持內存頁合并技術，能夠消除內存頁中的重復只讀數據，例如OS執(zhí)行代碼，以節(jié)省內存使用；支持將承載用戶虛擬機的多臺效勞器組成群集系統，利用VMSHA機制和熱遷移技術保障群集內效勞器的高可用性。2.3多種桌面交付類型獨享式桌面：基于效勞器虛擬化技術在效勞器為每個用戶分配獨立的虛擬機〔安裝WindowsXP、Windows7等桌面操作系統〕，每用戶桌面都擁有獨立、完全的桌面使用和控制權限，用戶可遠程訪問屬于自己的虛擬機〔桌面〕。適用場景：對于允許自主安裝軟件、應用環(huán)境相對復雜的用戶，獨享桌面可以提供個性化Windows桌面體驗，通過為用戶單獨設置一個虛擬操作系統，滿足日常個性化辦公需求。共享式桌面：多個用戶會話共享效勞器上運行的WindowsServer桌面環(huán)境，每用戶桌面都是被鎖定的、標準化的，可以訪問預安裝的一組核心應用程序，但無法自主安裝軟件或更改桌面配置。適用場景：對于需要使用桌面、不允許自主安裝軟件〔例如：柜臺業(yè)務、數據錄入、流程操作等〕的用戶，共享桌面可以提供標準化辦公桌面，滿足標準型辦公需求。虛擬化應用：基于效勞器操作系統〔如WindowsServer2003，WindowsServer2008，WindowsServer2012〕的用戶會話共享和應用程序多實例功能，允許多個用戶同時遠程連接到同一個應用程序，用戶可擁有個人應用數據，并共享使用同一套互相隔離的應用程序。適用場景：對于不需要使用桌面、應用數量較少的用戶〔例如：公共查詢機等〕，虛擬應用技術可以把所需要的應用直接交付給用戶，通過各類設備訪問以滿足任務型辦公需求。2.4方案價值總結運維本錢大幅降低桌面云的應用將極大的減少后期的運維本錢，采用模板化的部署方式后，一個新的桌面用戶可以在10分鐘左右就完成交付使用，而故障的排查和修復時間更是大幅度減少，原來只能管理100臺終端的IT管理員現在可以輕松的管理上千臺的虛擬桌面。保守估計，算上設備更替和運維的本錢，5年的IT總本錢可以節(jié)省40%以上。節(jié)能降噪，綠色辦公傳統PC每小時耗電量大概在190W左右，而瘦終端的能耗只有10W。以1000臺的部署規(guī)模為例，按一天開機10小時、每年240個工作日、每度電按0.75元的工商業(yè)用電價格來折算，即使算上數據中心新增效勞器的電力本錢，把1000臺PC換成瘦終端每年至少可節(jié)省25萬元電費。能耗/臺部署規(guī)模開機時間/天工作日/年總能耗/年電費/千瓦時總電費/年傳統PC190W1,000臺10小時240天456,000千瓦時0.75元*342,000元瘦終端10W1,000臺10小時240天24,000千瓦時0.75元*18,000元數據中心新增效勞器〔1000臺瘦終端的承載量〕的電力本錢70,000元每年可節(jié)省電費254,000元*中國工商業(yè)用電平均費用以0.75元/千瓦時計算。保護信息資產平安桌面云將所有的數據集中存儲在數據中心，筆記本、瘦終端等前端設備只接收圖像，整個業(yè)務過程里數據不落地，確保平安。而集中化的部署方式也更有利于IT部門對信息資產進展統一管理。不僅如此，桌面云還能夠輕易的在組織內部建立起相互邏輯隔離的多X網絡、來滿足不同類型業(yè)務的使用需求。桌面隨身行辦公模式適應移動信息化建立趨勢，在策略許可的情況下，用戶可以實現在任意時間、任意地點、通過任意終端訪問自己的個人桌面，真正做到桌面隨身行，在任一終端上的桌面操作可以在另一個終端中繼續(xù)開展，工作不會因為場所變化而中斷，從而提升工作效率。2.5方案優(yōu)勢介紹完善的全系列云方案：涵蓋瘦終端、虛擬桌面控制器VDC、虛擬機管理軟件VMS三大環(huán)節(jié)，業(yè)界方案最全面，兼容性最好，性價比最高，為IT提供了一種更加精簡和平安的方法來管理用戶和提供可按需訪問的敏捷桌面效勞。卓越的用戶體驗：針對各種應用場景進展性能調優(yōu)，高效傳輸協議SRAP提升6倍以上的速度，將訪問帶寬降至最低，到達與傳統PC一致的訪問體驗。并且利用瘦終端ARM架構內置的高清視頻協議處理器可流暢播放1080P高清視頻。更全面的平安保護機制：高達8種身份認證方式自由組合以保障用戶接入平安，全方位的加密算法保障傳輸平安，靈活訪問控制進展集中鑒權，數據存儲加密保障個人數據平安，最終實現端到端桌面云平安保護。集中式WEB管理模式：整套方案的搭建僅需兩大組件〔VDC和VMS〕，相對業(yè)界其他廠商其部署組件最少，并可提供集中式、單一化的遠程運維模式，提高了虛擬桌面部署的易用性和可維護性。專業(yè)的本地化效勞模式：國內唯一具備自主研發(fā)整套虛擬化產品體系的廠商，在中國擁有大規(guī)模的開發(fā)團隊，可快速響應用戶的需求；全國40多個辦事處提供本地化技術支持，售后效勞體系完善。第三章桌面云整體構架設計3.1深信服桌面云整體架構效勞端部署多臺桌面效勞器〔X86效勞器〕，考虎到HA和遷移等高級特性，需要使用獨立的磁盤陣列來存儲虛擬機和數據〔支持iSCSI、FC、NAS〕，另外需要1臺或多臺虛擬桌面控制器VDC〔支持非對稱集群部署〕，當然VDC還支持軟件化部署，在桌面效勞器上創(chuàng)立虛擬機進展部署使用〔將軟件VDC鏡像導入即可使用〕，VDC以單臂模式部署于交換機中〔如下圖〕。同時，在根底架構中，還需AD域控制器和DHCP效勞器〔如果已有現成域控制器DC/DNS/DHCP，可以利用現有效勞器〕，AD域控主要作聯動認證之用，也可以采用本地認證〔在VDC上直接添加用戶名密碼〕，而DHCP效勞器主要為瘦終端和虛擬桌面自動化分配IP地址。3.2組件及模塊介紹AD/DHCP效勞器活動目錄〔AD〕效勞器提供標準的LDAP目錄效勞，VDC支持與AD聯動，負責用戶的身份認證和權限自動導入。DHCP是DynamicHostConfigurationProtocol〔動態(tài)主機配置協議〕的縮寫，它的作用是給瘦終端和虛擬桌面用戶自動分配IP地址。桌面效勞器和磁盤陣列〔VMS〕在每臺桌面效勞器上安裝效勞器虛擬化軟件〔VMS〕，VMS為祼金屬架構，無需宿主操作系統，向導式安裝過程、操作簡單。可為云桌面方案構建一個功能強大、高可靠性、高可擴展性的虛擬機運行和管理平臺，實現物理資源動態(tài)調配、虛擬機快速部署、監(jiān)控及管理等。由于后端部署了獨立存儲設備，虛擬機和用戶數據存儲于磁盤陣列上，可以通過HA和遷移技術保障效勞端的高可用性。3.2.3虛擬桌面控制VDC硬件VDC〔如VDC-2500〕以單臂模式部署于網絡中，或軟件VDC〔鏡像導入虛擬機〕部署于VMS虛擬機平臺上。主要提供用戶創(chuàng)立和認證、資源訪問控制、桌面監(jiān)控和管理等功能，VDC能簡化云桌面的管理、調配和部署，用戶能夠通過VDC平安而方便地訪問云桌面，IT管理員能有效地管理數百甚至數千個桌面，從而節(jié)約時間和資源。終端設備支持PC、筆記本、瘦終端、iPad、iPhone、Android手機或智能終端等設備接入訪問虛擬桌面；支持Windows7〔32位和64位〕、WindowsXP〔32位〕、Windows8〔32位和64位〕、WindowsXPE、iOS、Android等客戶端操作系統。第四章產品亮點4.1良好用戶體驗4.1.1高清視頻體驗深信服桌面云方案允許在虛擬桌面中查看或編輯圖像和多媒體信息，且可以支持1980*1200分辨率和32位彩色桌面顯示。另外，傳統桌面虛擬化方案在播放高清視頻時主要采用效勞器解碼和播放，然后將變化中的圖像按幀傳輸給前端顯示設備，但這種方式對效勞器性能要求高，且非常占用帶寬資源，往往效果不好。而深信服提出音視頻重定向技術，將1080P高清視頻流在效勞器上進展編碼和壓縮，然后直接傳輸到前端設備，利用基于高清視頻處理器和本地解碼技術流暢地播放高清視頻，給客戶帶來極佳的視頻觀看體驗。4.1.2高效SRAP協議云桌面需要通過網絡交付給前端設備，其中最重要的組成局部就是桌面交付協議。SANGFORSRAP協議開展于2011年，是專門為虛擬桌面或遠程應用程序的高效交付而設計的，能夠滿足低帶寬的傳輸需求，同時具有最正確的外設兼容性。SRAP協議主要通過高效流式壓縮算法、有損壓縮、圖像緩存匹配、動態(tài)內容識別過濾、文字圖像識別智能壓縮等優(yōu)化技術提升6倍以上的傳輸效率。最低帶寬要求僅需20~30K/s，在丟包和延遲都比擬高的網絡環(huán)境下依然能夠正常使用，最大程度保障用戶桌面體驗。4.1.3單點登錄技術客戶有可能使用多個虛擬應用程序或Windows虛擬桌面，而每套應用系統或桌面系統都會有單獨的身份認證措施，一般情況下是需要屢次認證才能正常辦公，這種工作非常繁瑣且容易出錯，影響工作效率。為了提升終端用戶的滿意度，深信服引入單點登錄技術，在通過VDC嚴格認證之后，無需再次進展虛擬應用和虛擬桌面的認證，采用“一鍵化〞模式開啟桌面和應用的操作界面。目前支持BS和CS類型的遠程應用和Windows虛擬桌面的單點登錄功能，實現多系統和多桌面整合，防止用戶重復輸入賬號或口令的繁瑣操作，提升員工工作效率和操作滿意度。同時，對已經開啟了單點登錄的虛擬應用程序，用戶可在登錄成功后在個人設置中對這些應用進展單點登錄XX、密碼自設定，所設置的數據將以加密的方式進展傳遞，并對管理員不可見，保證用戶XX的平安性。4.1.4自動化桌面部署在DHCP環(huán)境下，用戶使用瘦終端，可在無人指導的情況下，快速接入云桌面，實現即插即用的終端操作體驗。另外，相對傳統PC上線前需要經過硬件采購、系統安裝、桌面運維等一系列的繁瑣、復雜的過程，在部署好桌面云平臺之后，管理員可以通過虛擬機模板來快速、自動地為新用戶派生虛擬桌面，同時管理員不僅可在控制臺查看用戶虛擬機的CPU、內存、磁盤的詳細情況，還可以對用戶虛擬機進展開機、關機、掛起、重啟等電源級別操作。當用戶虛擬機出現故障后，管理員既可以通過新的虛擬機模板進展快速替換，也可以在控制臺遠程接入用戶虛擬桌面，協助處理系統故障問題。4.2最優(yōu)的靈活性4.2.1廣泛終端支持用戶可以通過任意終端設備來訪問屬于自己的個人虛擬桌面，而且可以實現終端遷移功能，在多個終端間切換，不會影響原先的桌面操作行為，真正做到桌面隨身行。目前支持PC、筆記本、瘦終端、iPad、iPhone、Android手機或智能終端等設備接入訪問虛擬桌面；支持Windows7〔32位和64位〕、WindowsXP〔32位〕、Windows8〔32位和64位〕、WindowsXPE、iOS、Android等客戶端操作系統。4.2.2豐富的桌面類型不同的場景、不同的崗位上的員工需要不同類型的桌面，深信服通過SRAP交付技術提供多種不同類型的虛擬桌面，來滿足用戶多樣化的桌面需求，具體如下：共享桌面：利用效勞器操作系統的多用戶會話共享功能，允許多個用戶同時遠程連接到同一個操作系統，并為每個用戶提供不同的桌面，用戶可擁有自己的桌面配置和個人數據，并共享同一套完整的桌面系統；標準化的桌面辦公環(huán)境，可以提供一組核心應用，適用于不需要〔不允許〕個性化安裝軟件或無自主桌面控制權限的任務型員工，比方辦事大廳、職能辦公、生產線、培訓中心等。遠程應用：利用效勞器操作系統的用戶會話共享和應用程序多實例功能，允許多個用戶同時遠程連接到同一個應用程序，用戶可擁有自己的應用配置和個人數據，并共享同一套應用程序；特定的應用程序交付，適合于應用數量較少，日常辦公時僅需操作某幾類軟件，或需要移動辦公的員工，如營業(yè)廳、生產線、銷售部門及管理層移動辦公等。獨享桌面：基于效勞器虛擬化提供的可遠程訪問的桌面，即效勞器可以根據模板自動為每用戶分配一個虛擬機〔安裝WindowsXP、Windows7等桌面操作系統，并且每個獨享桌面相互隔離〕，用戶遠程訪問自己的虛擬機，并可擁有獨立、完全的桌面使用和控制權限。適用于有系統個性化需求、對性能要求高的桌面用戶，當然部署獨享桌面對效勞器和存儲資源的要求比擬高。無論學校內的各種用戶應用場景以及用戶的需求如何多樣化，通過SRAP交付技術，總能找出一種適合的技術來滿足各種場景和用戶的需求。IT部門能夠交付各種虛擬桌面–每種桌面都經過專門定制，可滿足每位用戶的性能、平安性和靈活性要求。4.2.3外設的總線映射技術深信服桌面云方案允許將外設連接到終端上，外設驅動安裝于效勞器上，然后可以如本地桌面一樣使用各種外設，盡管虛擬桌面是在效勞器上運行的。通過總線映射技術在終端連接外設的接口如USB或串口與效勞器上的虛擬桌面構建一條專有的隧道，用于傳輸各種外設的控制指令，可以支持包括掃描槍、掃描儀、攝像頭、密碼小鍵盤、二代XX讀卡器、手寫板、打印機映射、USB-key等常見總線辦公設備，并且保持會話間的隔離。另外，深信服推出專有的虛擬打印技術，通過在效勞端選擇SANGFOR虛擬打印機，在客戶端本地打印機即可打印文件，且效勞器端的虛擬機上無需安裝本地打印機驅動。4.2.4智能開關機智能開關機能夠真正實現對用戶虛擬桌面開、關機進展自動控制。即使瘦終端已經關閉，用戶可能會忘記關閉位于效勞器上的虛擬機，此時便可以實現對虛擬機的自動關閉功能，從而可以節(jié)省效勞器的硬件資源。同時，通過軟件內置的定時開機功能，可以指定在任意時間開啟個人的虛擬機，且開機時可將用戶虛擬機自動調度至資源充足的效勞器上，一方面通過此技術可以防止IO風暴，加快系統登錄時間，另一方面，通過自動化技術來簡化用戶訪問虛擬桌面的操作步驟，讓用戶體驗到簡約、便捷的桌面操作。4.3端到端平安設計虛擬桌面從防范非法用戶和惡意系統管理員的角度進展全方位的平安防范，保證接入虛擬桌面的用戶和數據高度平安性，深信服aDesk桌面云方案集成了豐富的VPN平安特性，針對各分層采用平安措施具體如下：4.3.1終端平安采用精簡加固基于AndroidOS，瘦客戶機無本地存儲，可以說數據總是存放在最平安的地方。用戶接入虛擬桌面資源時通過合法性認證、USB靈活可控策略、應用策略化控制、復原模式等方式保證終端平安。集本錢地認證、短信認證、動態(tài)令牌、數字證書、第三方認證等身份認證機制，而且多種身份認證方式可以自由組合，以確保接入用戶的身份唯一性；基于靈活策略設置USB端口使用權限，比方是否允許使用USB設備〔包括打印機、掃描儀等〕，還可以靈活控制USB硬盤的單向使用權限〔比方僅允許訪問終端往虛擬桌面拷貝數據，而不允許桌面到終端的數據拷貝〕；基于策略的訪問控制：可以根據用戶、網絡、效勞、設備、系統等，通過關聯的策略為他們分配適宜的訪問權限。支持客戶端平安檢查功能，可以根據客戶接入終端的系統版本、接入IP，接入時間，殺毒軟件的安裝更新情況等，指定用戶的訪問控制策略；桌面注銷時復原至原始狀態(tài)，該模式下，除了指定的一些目錄外，用戶所做的操作都會在重啟后被復原。模板升級后，用戶重新翻開的虛擬機包含模板升級的內容，可以降低終端中毒風險。4.3.2傳輸平安通過VLAN隔離，并內置企業(yè)級防火墻模塊進展狀態(tài)化ACL訪問控制，管理員登錄時采用HTTPS加密傳輸、用戶訪問虛擬桌面采用傳輸加密等手段，保證業(yè)務運行和維護平安。終端到虛擬桌面之間僅傳輸圖像變化和指令信息，不直接傳輸實際數據，也即是說，“瘦終端+云桌面〞讓數據不落地，保障傳輸平安性；可對傳輸加密通道進展基于IP、效勞的訪問控制策略，減少異常流量的傳輸，且支持同一傳輸通道不同會話的隔離控制，包括存儲會話、虛擬打印會話、總線映射會話等等，從而提升傳輸通道的靈活度；通過對終端到虛擬桌面進展全程流量加密，杜絕中間人攻擊行為，目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持擴展國密辦SCB2〔SM1〕等其他加密算法，確保通信的平安性；在桌面云接入平臺上內置了企業(yè)級防火墻模塊，通過靈活的ACL訪問控制策略和DDoS設置，為整個平臺提供狀態(tài)包過濾和根本平安保護。4.3.3平臺平安虛擬化根底架構〔VMS〕的平安性關系到整個虛擬桌面訪問的穩(wěn)定性和數據平安性，本方案首先通過高可用性設計滿足業(yè)務穩(wěn)定性需求，然后再通過虛擬機隔離、數據盤加密控制、管理員權限細化等平安機制保證用戶數據的平安。在獨享桌面的情況下，每用戶獨占一個虛擬機，通過VMS底層機制實現CPU調度、內存、網絡訪問、磁盤IO、存儲空間的隔離，用戶虛擬機的故障和平安問題不會影響到其他用戶，保證虛擬機之間的隔離平安；每用戶都會分配個人數據盤來存放文檔，當用戶遷移至虛擬桌面的使用模式后，所有數據都集中存儲于數據中心。因此，通過為個人數據盤進展加密存儲，讓其他用戶包括管理員都無法訪問，可以保證用戶個人穩(wěn)私平安；不同管理員角色，授予適宜的管轄權限范圍，并保存操作日志。支持分級管理權限，包括上級管理員有權操作下級管理員的配置行為，相反那么無權；支持上級管理員將虛擬桌面資源授權給下級管