方物财政桌面虚拟化解决方案V1.0

　方物 财政桌面虚拟化解决方案

　北京 方物软件有限公司

　4 2014 年 年 7 7 月

　~ 2 ~ 目录 1. 前言 ........................................................................................................................................................................ 4 2. 财政行业桌面云概述 ............................................................................................................................................ 5 2.1. 传统信息化面临众多挑战 ..................................................................................................................... 5

　2.1.1. 传统桌面系统架构的安全风险 ...................................................................................................... 5

　2.1.2. 传统 IT 运维管理面临的挑战 ......................................................................................................... 5

　2.1.3. 资源利用率低，能耗巨大 .............................................................................................................. 6

　2.2. 桌面云的概念 ......................................................................................................................................... 7

　2.3. 桌面云技术实现简介 ............................................................................................................................. 7

　3. 财政行业需求与挑战 ............................................................................................................................................ 9 3.1. IT 安全问题 .............................................................................................................................................. 9

　3.2. 运维监控问题 ......................................................................................................................................... 9

　3.3. 终端安全问题 ......................................................................................................................................... 9

　4. 总体设计 .............................................................................................................................................................. 10 4.1. 移动办公场景 ....................................................................................................................................... 10

　4.2. 企业内网办公场景 ............................................................................................................................... 11

　5. 详细设计 .............................................................................................................................................................. 13 5.1. 高利用率的桌面架构 ........................................................................................................................... 13

　5.2. 高安全性的功能设计 ........................................................................................................................... 14

　5.2.1. 终端设备 ........................................................................................................................................ 14

　5.2.2. 传输安全 ........................................................................................................................................ 15

　5.2.3. 网络安全 ........................................................................................................................................ 16

　5.2.4. 访问控制 ........................................................................................................................................ 17

　5.2.5. VDI 数据安全 .................................................................................................................................. 20

　5.3. 高可靠性的运维管理 ........................................................................................................................... 21

　5.3.1. 桌面池可控变更 ............................................................................................................................ 21

　5.3.2. 虚拟机备份 .................................................................................................................................... 22

　6. 财政桌面云建设方案 .......................................................................................................................................... 24 6.1. 建设步骤 ............................................................................................................................................... 24

　6.1.1. 建立虚拟桌面与桌面池 ................................................................................................................ 24

　6.1.2. 桌面池分类 .................................................................................................................................... 24

　6.1.3. 桌面发布 ........................................................................................................................................ 25

　6.1.4. 链接桌面 ........................................................................................................................................ 26

　6.1.5. 快速部署和统一升级 .................................................................................................................... 26

　~ 3 ~ 6.1.6. 使用桌面负载均衡 ........................................................................................................................ 27

　6.1.7. 创建个人数据盘 ............................................................................................................................ 28

　6.2. 运维管理 ............................................................................................................................................... 28

　6.2.1. 数据泄密管理 ................................................................................................................................ 28

　6.2.2. 管理与维护 .................................................................................................................................... 29

　6.2.3. 日志与事件管理 ............................................................................................................................ 30

　6.3. 方案特点 ............................................................................................................................................... 30

　6.3.1. 终端支持 ........................................................................................................................................ 30

　6.3.2. 外设支持 ........................................................................................................................................ 31

　6.3.3. 图像和多媒体支持 ........................................................................................................................ 32

　6.3.4. 单点登录 ........................................................................................................................................ 33

　6.3.5. IP 和时间段访问控制 ..................................................................................................................... 33

　7. 方案价值 .............................................................................................................................................................. 36 7.1. 降低运营成本 ....................................................................................................................................... 36

　7.2. 提升数据安全 ....................................................................................................................................... 36

　7.3. 保障信息安全 ....................................................................................................................................... 36

　7.3.1. 高安全性 ........................................................................................................................................ 36

　7.3.2. 高可用性保护机制 ........................................................................................................................ 36

　7.4. 提高运维效率 ....................................................................................................................................... 37

　7.4.1. 易推广部署 .................................................................................................................................... 37

　7.4.2. 便捷的运维管理 ............................................................................................................................ 37

　7.4.3. 卓越的安全云桌面用户体验 ........................................................................................................ 37

　8. 产品服务和增值功能 .......................................................................................................................................... 38

　~ 4 ~ 1. 前言 财政是维护国家的统治，实现国家的职能的物质基础。国家通过财政可以有效地调节资源配置，促进经济的发展，促进科学、教育、文化、卫生事业的发展，有利于促进人民生活水平的提高。

　随着政府信息化建设进程的不断发展，在各级财政单位推行电子政务逐渐成为国家信息化工作的重点，虚拟化技术在财政行业的应用是深化行政管理体制改革的重要措施，是支持政府其它部门履行职能的有效手段。

　从总体上看，我国财政行业桌面虚拟化建设仍处于初步发展阶段，还存在一些亟待解决的问题，主要是：

　 信息资源共享机制尚未建立，传统桌面架构存在弊端；  建设和应用发展不平衡，应用系统的潜能没有得到充分发挥，公共服务效率低；  法律法规和标准化工作滞后，安全保障能力有待进一步提高；  电子政务建设、管理、运行体制不完善，创新能力不强，无法适应当下移动办公等环境。

　~ 5 ~ 2. 财政 行业 桌面云 概述 2.1. 传统信息化面临众多挑战 2.1.1. 传统桌面系统架构的安全风险   安全边界难以防护：

　终端数量众多分散在各处，并且由终端用户自行维护，用户的使用习惯、IT 水平参差不齐，往往让终端成为安全风险集中爆发的场所，所谓牵一发而动全身，进而直接影响财政企业现有网络环境的安全；没有统一的网络存储，重要数据都存储在本地计算机，一旦出现磁盘故障会造成不可估量的损失；随着 IT 技术的发展，移动存储应用越来越广泛，U 盘病毒发展有愈来愈广的趋势，企业无法对移动存储设备进行管理，移动存储设备可以在任意终端使用，极易造成病毒泛滥，对企业网络安全造成较大影响；由于无法管理桌面终端，企业内部管理制度无法得到准确的落实，如代理上网、无线上网、安装加密软件、安装防病毒软件等。

　  数据泄漏难以防范：

　由于终端分散在各处，加之没有很好的管理手段，终端数据安全隐患日益增加，近年来由于数据泄密导致的安全事件比例日益上升，这种事件的出现对于企业形象以及企业核心竞争力的影响往往是毁灭性的，如何有效的解决数据防泄漏的问题日益困扰着企业的管理层。根据美国 CSI/FBI 的调查显示，80%的安全威胁来自企业内部，将近 60%的离职者或被辞退者在离开时会携带企业数据。内部泄密已经成为企业数据外泄的头号原因，而黑客入侵仅位列第五。

　  安全漏洞层出不穷：

　由于 PC 机的安全漏洞较多，无法即时获得系统补丁和软件补丁；随意安装软件，增加了病毒感染的几率；如果系统不能得到及时的修复，一旦被蠕虫和木马等恶意软件加以利用，会给企业网络环境的安全带来巨大威胁，并且用户的业务工作环境也有受攻击和被破坏的危险，严重影响企业服务运营。

　2.1.2. 传统 IT 运维管理面临的挑战

　~ 6 ~ 如今，IT 运维已经成为企业的必需品，企业最关注的是如何提高 IT 运维的效率，从而实现 IT 资源利用率的最大化。国际知名调查机构 Gartner 调查发现，在 IT 运维成本中，源自技术或产品(包括硬件、软件、网络等)成本其实只占 20%，而流程维护成本占 40%，运维人员成本占 40%。流程维护成本包括日常维护、变更管理、测试成本等；人员成本包括训练、教育、人员流失、招聘成本等。因此，如何提高 IT 运维管理效率，降低运维成本是时下 IT 界和 CIO最热门的话题之一。

　而传统被动的、孤立的、半自动式的 IT 运维管理模式经常让 IT 部门疲惫不堪，IT 运维管理效率极其低下。主要有以下几个方面：

　 IT 运维人员被动低效率手工救火：

　在 IT 运维过程中，IT 员工被动低效率手工救火，只有当事件已经发生并已造成业务影响时才能发现和着手处理。这种被动“救火”不但使 IT 运维人员终日忙碌，也使 IT 运维本身质量很难提高，导致 IT 部门和业务部门对 IT 运维的服务满意度都不高。

　 缺乏高效的 IT 运维机制支撑：

　目前许多企业现有的 IT 运维机制存在如下问题：IT 运维管理过程中缺少自动化的运维管理模式，也没有明确的角色定义和责任划分，使到问题出现后很难快速、准确地找到根本原因，并及时地找到相应的人员进行修复和处理；或者是在问题找到后缺乏流程化的故障处理机制，而在处理问题时不但欠缺规范化的解决方案，也缺乏全面的跟踪记录。

　 缺乏高效的 IT 运维技术工具：

　随着信息化建设的深入，企业 IT 系统日趋复杂，林林总总的网络设备、服务器、中间件、业务系统等让 IT 运维人员难以从容应对，即使加班加点地维护、部署、管理也经常会因设备出现故障而导致业务的中断，严重影响企业的正常运转。部分原因是企业缺乏事件监控和诊断工具等 IT 运维技术工具，因为在没有高效的技术工具的支持下故障事件很难得到主动、快速处理。

　2.1.3. 资源利用率低，能耗巨大 在传统办公环境中，除了如开发人员编译代码、视频处理等少数场景之外，大多数场景下PC 的平均资源利用率小于 5%。摩尔定律指出，每 18 个月 CPU 性能将提升 1 倍，所以 CPU 的发展是非常迅速的，而大多数应用场景是无法充分利用 CPU 资源的，造成了资源浪费。见图 1：

　~ 7 ~

　图 1 传统办公环境资源占用情况 传统台式机功耗：

　主流 CPU：80W～100W 左右

　 主板：30W 左右 硬盘：一块 25W

　 光驱：25W 左右（转动时）

　单显卡：70~100W（不同档次功耗各有不同）

　 内存：15W/条 加上键盘鼠标风扇，机箱功耗大概是 230w～350W 左右，以 230W 计算，每台正常办公的PC 运转 3 年的能源消耗与 PC 的采购价格相当。以每天开机 10 小时计算，300 瓦（含显示器）*10 小时*300 天*3 年=2700 千瓦。

　2.2. 桌面 云 的概念 桌面云是一种远程桌面应用，通过瘦客户端或者其他任何与网络相连的设备来访问跨平台的应用程序，以及整个客户桌面，数据中心使用云架构，用户体验和使用传统个人电脑是一样的。桌面云改变了过去分散、独立的桌面系统环境，通过集中部署，IT 运维人员在数据中心就可以完成所有的管理维护工作。桌面云的用户桌面环境都是托管在企业的数据中心，本地终端只是一个显示设备而已。在桌面云的环境下，当灾难发生的时候，可以迅速恢复所有托管桌面，保证完全恢复业务的处理能力。

　2.3. 桌面云技术实现简介 桌面云正在成为被广泛使用的技术，虚拟化技术是当前实现桌面云核心技术支撑。桌面虚拟化是指将计算机的桌面进行虚拟化，并集中到数据中心运行与管控，以达到桌面使用的安全性和灵活性的目的；我们可以通过任何设备，在任何地点，任何时间访问在网络上的属于我们个人的桌面系统。通过它帮助企业以更低成本，实现更灵活、稳定和高效的 IT 系统。如图 2所示：

　~ 8 ~

　图 2 桌面虚拟化技术实现 虚拟桌面是一个企业级的，通过一定手段实现的可远程访问、调度和管理的桌面的操作系统，其可以是运行在服务器上的虚拟操作系统，也可以是直接安装、运行在数据中心内的物理PC（工作站，刀片 PC）上的操作系统。目前桌面虚拟化技术融合了应用虚拟化技术，在虚拟桌面模式下，每个人独享的远程操作系统，并利用内含的应用虚拟化技术，实现更灵活，高效的管理和应用。将桌面操作系统虚拟化带来很多好处，包括：

　 数据更安全，通过策略配置，用户无法将机密数据保存在本地设备上，只能在数据中心进行存储，备份，保证数据的安全性和可用性；  提高网络安全，由于只使用需要开放有限几个端口，所以可以实现网络的逻辑隔离和严格控制，在不影响应用的前提下，全面提升网络安全性；  用户可以随时随地，通过网络，访问到被授权的桌面与应用；  终端设备支持更广泛，可以通过 PC 瘦客户端、甚至是手机来访问传统 PC 上才能使用到的各种 windows 应用；  在数据中心对所有的桌面进行统一的高效维护，无需特定的补丁与应用的分发软件，统一进行安装和升级，维护桌面的费用大大降低；  应用管理更简单，管理员在服务器端进行统一管理，就可以将最新更新交付给所有用户；  桌面的性能能够得到提升，因为它和应用后端的服务器都运行在数据中心；  桌面可以分享最新最强大的服务器硬件，配置资源可以按照用户需求动态调整。

　~ 9 ~ 3. 财政 行业 需求与挑战 近年来，随着财政改革的不断深化，“金”字工程建设取得了较大进展，初步形成了以应用支撑平台为核心，以预算管理为源头，以国库收支管理为预算执行主线的系统框架。在该框架体系中，涉及到了部门预算管理、指标管理、国库集中支付、非税执收、资产管理、工资管理、财税库横联、财政补贴、OA 办公等 10 多套管理系统。传统 IT 基础架构下的财政行业 IDC面临着如下问题：

　3.1. IT 安全问题 传统桌面使用 PC 终端难以实现规范和管理，造成安全漏洞多，易遭受病毒/木马攻击，从而影响财政办公网络及办公终端的安全性。在各级财政单位中采用的物理隔离和逻辑隔离方法，会造成投资成本高，工作效率下降。

　3.2. 运维监控问题 传统桌面运维复杂，在部署，支持，安全性上，针对终端 PC 难于做到标准化管理，PC 硬件型号和型式多种多样，更新周期也千差万别，增加了管理的复杂度。系统打补丁，更新和迁移问题复杂，很多时候需要到现场解决。对终端 PC 的控制力度不够。支持桌面随着桌面环境复杂度的提高而提高。备份、恢复、远程访问的服务成本也越来越高。

　3.3. 终端安全问题 各级财政单位内部泄密隐患日益明显，终端可以在本地保存数据，这就使得可以将内部重要数据和商业机密保存到本地，被拷贝走或者直接被带走，使得商业机密泄露。终端对核心业务数据进行单独访问，传统方式主要是采用网络安全隔离卡、安全隔离网闸、无盘系统的隔离、双网络系统等物理隔离的办法，采取物理隔离的方式有较高的安全性，但是数据的传输与处理仍是以明文的方式来进行，客观上还是有一定的风险存在。物理隔离在实际使用中，还存在着不足：易用性和可扩展性差。

　~ 10 ~ 4. 总体设计 方物虚拟桌面安全体系提供端到端的整体解决方案，终端用户到服务器端全面构建立体防线。首先应根据本级具体的基本要求设计本级系统的保护环境模型，保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计，内容涵盖基本要求的 5 个方面。同时结合管理要求，形成如下图所示的保护环境模型：

　图 3 桌面虚拟化安全模型 本方案采用虚拟桌面架构（VDI）实现，裸金属方式服务器端部署桌面系统，用户客户端可随时随地接入，按需访问自己的操作系统桌面。业务应用部署在数据中心，管理方式从分散变为集中、严格，避免了核心业务数据泄露的风险，最大化保障信息安全。

　4.1. 移动办公场景 移动办公应用场景中，突出的特点是：

　 地域分布广泛；  终端种类不一；  网络不稳定；  应用相对简单。

　~ 11 ~ 对于移动办公场景，我们首先确定是使用虚拟桌面还是虚拟应用。虚拟应用有部署快，带宽要求低，用户体验好的特点。桌面虚拟化灵活，兼容性强，不但能够提供应用，也可以提供完整的桌面环境。所以建议采用交桌面和应用两种方式。当用户只需要访问个别应用并且网络非常差的时候，可以使用虚拟应用。从而降低带宽要求，又可以增强用户体验。当用户需要使用完整的桌面环境或需要访问自己的企业桌面的时候使用虚拟桌面。

　另外对于桌面虚拟化，我们先了解单一镜像和一对多虚拟桌面的区别。单一镜像意味着每个用户都有一个独立的虚拟磁盘。一对多是多个用户共享一个虚拟磁盘，适合比较标准的办公环境。

　针对移动办公人员，首先要对 2 用户进行分类，分为对个性化要求高的用户以及标准办公环境用户，根据不同情况选择镜像模式。

　4.2. 企业内网办公场景 企业内网办公桌面，最突出的特点是：

　 用户集中办公  应用单一  带宽充足 对于该场景，由于带宽非常充足，完全可以通过使用虚拟桌面的方式实现集中办公。

　而对于办公场景，又分为两种类型，一种是标准化环境的桌面，一种是个性化需求的桌面。其特点分别是：

　标准桌面：

　 用户集中办公  应用统一，标准  带宽充足  无个性化需求 个性化桌面：

　~ 12 ~  用户不一定集中办公  应用多种多样，不同用户不一样  带宽充足  个性化需求 所以对于个性化桌面，我们选择专属桌面，也就是 1:1 的部署方式。对于标准化桌面，我们可以采用池模式桌面。

　~ 13 ~ 5. 详细 设计 5.1. 高 高 利用率 的 桌面 架构 根据前面关于现状和需求分析，结合方物的桌面应用解决方案，制定如下模块化、易扩展、安全性高的桌面云总体架构，如下图：

　图 4 方物桌面虚拟化解决方案架构图 如上图，分为 3 个部分，虚拟化平台层、控制网关层以及终端层。终端处于互联网和内部办公网两个网络中。从目的上说我们需要实现的是，用户在互联网区可以方便的访问控制网关层发布的 OA 办公系统，又可以接入企业桌面。控制网关层负责桌面池的构建分发以及应用的发布。虚拟化平台层使用方物服务器虚拟化软件构建集群，整合成计算、存储的资源池，提供桌面操作系统的主镜像以及通过链接克隆或其它方式生成的桌面镜像。新型桌面云架构有效地规避了传统桌面系统架构的安全风险问题，解决了资源利用率低的问题，同时为未来数据中心的扩容提供了极大的便利。

　~ 14 ~ 5.2. 高 高 安全性 的 功能 设计 5.2.1. 终端 设备 安全桌面按照不同的虚拟桌面进行权限的控制。允许用户将外设连接到终端上，达到本地桌面相同的体验效果，尽管所有的计算仍然在服务器端进行。云桌面终端支持的外设类型包括USB 外设，智能卡和加密狗，打印机，串口和并口设备。

　精细外设管控：多种外设访问权限类型：只读/完全/禁止/只写，外设白名单，限定只有少数 USB 设备才能用于访问机密数据，多种剪贴板访问权限控制：安全云桌面可以按照不同的安全桌面进行权限的控制。允许用户将外设连接到终端上，然后像在本地桌面使用外设一样使用这些连接在终端上的外设，尽管所有的计算仍然在服务器端进行。

　既包括常见的USB光驱，也包括各种专业的USB外设，如USB身份证扫描设备、USB转Modem、USB POS 机、USB 扫描仪等。除了对主流 USB 外设提供支持外，还可以根据客户的业务需要，对特殊外设进行定制化开发和支持。

　图 5 多终端设备支持示意图 5.2.1.1. 外设黑白名单 安全桌面支持各种类型的 USB 移动磁盘，包括 U 盘、移动硬盘等，无需另装驱动，即插即用。还提供了对 USB 设备的精细化管理，用户需要使用 USB 移动磁盘设备时，必须先将 USB设备的 VID 和 PID 提交给管理员，由管理员做授权许可后，才能使用 USB 设备。

　~ 15 ~ 5.2.1.2. 剪贴板策略 USB 磁盘与虚拟桌面之间的剪贴板拷贝功能也是由管理员控制的，管理员可以根据需要提供 USB 磁盘与虚拟桌面之间的上行传输、下行传输、双向传输权限，或完全禁止使用剪贴板拷贝功能。

　5.2.1.3. 串口和并口设备 安全桌面可以支持各种串口和并口设备，包括打印机、扫描仪、POS 机等，只需要把设备连接到终端，就可以通过独有的 FAP 协议远程携带到虚拟桌面使用。

　5.2.2. 传输安全 5.2.2.1. 链路加密 云桌面针对传输安全，特供 SSL 协议对网络连接进行加密。将明文数据转换为密文数据，再进行传输。采用方物软件 FAP 传输协议，虚拟桌面远程访问，支持 SSL 加密。用户通过加密的连接访问到桌面，且只传输指令与显示图片，有效保障数据安全。

　不依赖于任何的专用传输层协议可以分成多个虚拟通道：

　 主通道  显示通道  输入通道  光标通道  音频通道和录音通道 5.2.2.2. V A CCESS 代理网关 代理 vAccess 的主要功能就是降低单个 vAccess的并发访问压力，提高 vAccess响应速度，提高用户体验。其主要目的是实现简单、高速、有效的访问。形象的说：我们可以将单个 vAccess看做一个用户连接桌面的中转站，代理 vAccess 就是中转站组。在一般情况下我们通过一个vAccess 去访问虚拟桌面，vAccess 接到用户连接的请求后，会将虚拟桌面的端口信息返回给用户，实现一个有效的连接。当用户并发请求数量较大时，一个 vAccess 性能根本无法满足用户需求，此时代理 vAccess 通过桌面连接负载方式均衡单个 vAccess 的连接压力。

　方物 vAccess 服务器分为三种角色：主控服务器，单机服务器，从属服务器。

　~ 16 ~ 主控服务器：主要负责任务调度功能，桌面链接调度分配。可以有两种实现方式，既充当主控的同时也充当单机，也可以只充当主控。

　从属服务器：被调度对象，失去独立链接桌面的能力，需要通过主控服务器统一调度连接。

　单机服务器：具有调度及连接的功能，并发用户较少的情况下，单机 vAccess 即可满足。

　代理 vAccess 的主要实现过程是，首先设置一台主控服务器，主控服务器包含所有用户角色及虚拟桌面信息。在主控端添加多个从属服务器，从属服务器不包含任何信息，只是实现连接的功能，具体连接过程如下：

　图 6 vAccess 工作流程图 通过 vAccess 代理网关的使用，帮助用户均衡虚拟桌面访问压力，达到链路更高可靠性，提供企业级虚拟化整体解决方案的优质选择。

　5.2.3. 网络安全 5.2.3.1. 域间安全 云桌面系统服务端内嵌标准交换机，虚拟桌面域间可进行流量控制和网卡绑定。

　~ 17 ~

　图 7 网卡虚拟交换机设置 5.2.3.2. 域内安全 控制桌面域内桌面虚拟机之间的安全访问，采用虚拟端口组划分广播域，不同虚拟端口组分配不同的标签。进行带宽峰值、突发大小等流量控制。

　图 8 域内安全 switch0 属性设置 5.2.4. 访问控制 5.2.4.1. AD 域配置 安全桌面可以与 AD 域身份认证以及动态令牌认证有机结合，与现有的认证机制配合以完成用户身份验证。

　~ 18 ~

　图 9 AD 域设置 5.2.4.2. 电子令牌 身份认证 可以采用传统的用户名密码方式，也可以采用动态令牌的方式，并且可选与微软的域控制器结合使用

　图 10 电子令牌身份认证流程图 5.2.4.3. 云桌面授权 针对不用的用户组分配不同的使用权限，包括桌面类型、连接协议、设备映射等等。

　5.2.4.4. 灵活的控制管理

　~ 19 ~ 可限定用户在指定时间或 IP 地址段只能使用指定桌面，避免用户做与工作、学习无关的事情，支持个人数据盘，无论用户登录哪个桌面，都能自动加载自己的个人数据盘。

　桌面虚拟化方案提供了基于 IP 的访问控制功能，能够管理用户的登录区域和 IP 范围，从而提供了强大的网络约束能力，灵活而又方便的管理用户的登录。

　图 11 IP 访问控制功能界面

　管理员可以根据需要，配置包括访问时间在内的详细的访问策略，控制桌面虚拟机的访问。

　图 12 新建访问控制策略

　~ 20 ~ 5.2.5. VDI 数据安全 可以从存储中的数据和处理中的数据两个维度进行考虑。

　5.2.5.1. 存储中的数据 数据集中于数据中心，避免由于 PC 磁盘损坏而导致的数据遗失，如本地硬盘的 RAID 功能或存储设备的专业备份功能，保障数据安全。

　用户终端只接受传输图像，业务数据与终端完全分离 支持个人数据盘，用户可以将自己的数据存放在个人数据盘，与其他用户安全隔离 方物桌面虚拟化方案提供了强大的数据泄密管理能力，从终端无关性、访问权限管理等多个角度防止了可能的数据泄密渠道：

　图 13 数据泄密渠道控制 完善的备份与恢复：手工备份、定时备份、完整备份、增量备份、快照等功能。

　5.2.5.2. 处理中的数据 记录用户登录/退出日志，记录配置管理日志 详尽而又精细分类整理的日志，帮助管理员快速查询和定位

　~ 21 ~

　图 14 动作任务列表 集中监控安全桌面的状态以及事件,基于虚拟机唯一 ID 对安全桌面进行管控。

　5.2.5.3. 数据 存储 加密 软加密方式或硬加密方式，软加密消耗 CPU 资源，硬加密外接 PCI-E 加密卡形式，密钥管理需要结合用户需求做定制化开发，保证存储中的数据以密文形式。

　5.3. 高可靠 性 的 运维管理 5.3.1. 桌面池可控变更 5.3.1.1. 桌面克隆 浮动桌面池和专用桌面池都可以采用模板克隆的方式创建，即先在后台创建一个虚拟机模板，在该模板中完成所有操作系统、应用系统的安装和相关配置。然后在创建桌面池时，以该模板为母体，批量克隆出多个完全相同的桌面，从而实现快速大规模部署。

　当对桌面池的虚拟机模板进行修改时，由于桌面池内的其他虚拟机和该虚拟机共用主镜像文件，因此当其他虚拟机重新启动时，就会自动获取更新后的虚拟机模板，从而提供给用户更新后的桌面环境。这样，管理员只需要修改桌面池的模板，就可简单实现该桌面池内的所有桌面的统一升级。

　~ 22 ~

　图 15 桌面克隆示意图 5.3.1.2. 系统升级 补丁杀毒：采用链接克隆技术通过替换模板功能完成批量部署与升级，减轻管理维护压力。

　5.3.2. 虚拟机备份 旨在为虚拟化及其关联的数据存储提供经济高效的数据保护整体解决方案。

　图 16 虚拟机备份示意图 5.3.2.1. 高效可靠 与虚拟化紧密结合，Hypervisor无需任何代理程序，支持LAN-free备份，同时多个vBackup系统进行分布式处理，多副本机制有效避免备份文件损坏丢失。

　~ 23 ~ 5.3.2.2. 易于扩展 -备份容量在线扩容：可选以太网或 FC 存储网增加 vBackup 结点，服务不中断状态下进行备份介质动态扩容 -备份性能弹性增长：分布式文件系统性能随 vBackup 节点数动态增 5.3.2.3. 管理便捷 -在 vCenter 界面统一管控虚拟化功能与备份功能 -策略性批量备份 -图形化操作界面，更易于操作

　~ 24 ~ 6. 财政 桌面 云 建设 方案 方物基于财政行业的特点与需求，提供了统一的桌面云平台，并提供了两大类虚拟化方式，分别是应用虚拟化和桌面虚拟化，桌面虚拟化又分为共享服务器桌面、一对一绑定虚拟桌面和单一镜像管理的一对多虚拟桌面。

　在面对财政用户的使用场景时，选择的出发点如下：

　 用户的个性化需求。对用户个性化需求的支持从弱到强排序是：纯应用虚拟化<共享服务器桌面<单一镜像管理一对多虚拟桌面<一对一绑定虚拟桌面；  应用的兼容性。对应用兼容性的支持从弱到强排序是：纯应用虚拟化=共享服务器桌面<单一镜像管理一对多虚拟桌面<一对一绑定虚拟桌面；  外设的兼容性。对外设兼容性的支持从弱到强排序是：纯应用虚拟化=共享服务器桌面<单一镜像管理一对多虚拟桌面=一对一绑定虚拟桌面； 6.1. 建设步骤 6.1.1. 建立池 虚拟桌面与桌面池 桌面云系统管理员将虚拟桌面环境发布给用户远程使用。用户可以用终端通过网络连接到虚拟桌面环境上，像使用本地桌面一样使用虚拟桌面，但实际上虚拟桌面的所有计算处理都是在服务器端完成，终端与服务器之间的交互仅仅是输入指令和输出显示图片，不存在实际数据的交互。

　由于桌面虚拟化将所有的桌面环境和计算集中于服务器端，因而必须在服务器端进行集中的虚拟桌面管理。虚拟桌面主要来源于服务器上运行的虚拟机，但也可以来自物理机。所有的桌面都以桌面池的形式管理起来。

　6.1.2. 桌面池分类 方物桌面虚拟化方案提供了三种不同类型的桌面池：浮动桌面池、专用桌面池和固定桌面池。

　~ 25 ~ 浮动桌面池：池中所有桌面的操作系统、应用系统都完全一样。用户每次登陆时，都从池中随机获得一个全新的桌面，用户退出时该桌面不会保存任何用户修改，并且会返回到桌面池中以供下一次分配给新的用户。用户如果想保存自己的数据，则必须通过 AD 域配置漫游将数据保存到共享存储上，或者直接用移动磁盘将数据拷贝出来。浮动桌面池主要适合于机房、办公大厅等简单任务场景。

　专用桌面池：初始时池中所有桌面的操作系统、应用系统都完全一样，但用户第一次登陆并获取一个桌面后，该用户与该桌面之间就产生了绑定关系，该用户以后每次登陆都将使用该桌面，该用户退出时该桌面也不再会被分配给其他用户。用户在桌面中的所有修改都将被保存下来。

　固定桌面池：池中桌面与用户之间由管理员手工指定绑定关系，用户每次登陆时，直接根据管理员的配置进入到指定的桌面环境中。用户在桌面中的所有修改都将被保存下来。

　图 17 三种类型的桌面池对比 6.1.3. 桌面发布 对于浮动桌面池和专业桌面池，管理员可以将其直接发布给一个或多个用户组，其中的用户与虚拟桌面的匹配由系统自动完成或用户自行手工选择。

　~ 26 ~ 对于固定桌面池，管理员必须将其中的每个虚拟桌面与可使用该桌面的用户进行明确指定，不允许系统自动分配或用户自行选择。一个虚拟桌面可以分配给多个用户，一个用户也可以分配获得多个虚拟桌面的使用权。

　只有在桌面发布给用户后，用户才有权限登录使用该桌面。如果一个用户同时获得权限访问多个桌面，则在用户登录成功后会向用户提示可访问的所有桌面的列表，由用户选择其中一个桌面使用。

　图 18 方物 vAccess 产品桌面发布 6.1.4. 链接桌面 当多个桌面具有相同操作系统和应用软件的时候，如果把这些桌面的公共部分采用同一份磁盘文件进行存储，则一方面可以减少对宝贵的存储空间的占用，另一方面可以针对公共部分的 I/O 读写等进行性能优化，或针对公共部分进行统一的系统补丁和应用系统升级，从而对提升用户体验、提高工作效率具有很大的帮助。

　方物虚拟化方案支持链接桌面功能，允许具有相同操作系统和应用软件的多个桌面共享同一个公共模板，同一份公共磁盘镜像，只有各虚拟桌面之间的差异部分才由各自的虚拟机文件部分保存，在保持了每个虚拟桌面都拥有完全功能的同时，大大减少了对存储磁盘空间的占用，并为公共部分的统一升级提供了良好的基础。

　6.1.5. 快速部署和统一升级

　~ 27 ~ 浮动桌面池和专用桌面池都可以采用模板克隆的方式创建，即先在后台创建一个虚拟机模板，在该模板中完成所有操作系统、应用系统的安装和相关配置。然后在创建桌面池时，以该模板为母体，批量克隆出多个完全相同的桌面，从而实现快速大规模部署。

　当对桌面池的虚拟机模板进行修改时，由于桌面池内的其他虚拟机和该虚拟机共用主镜像文件，因此当其他虚拟机重新启动时，就会自动获取更新后的虚拟机模板，从而提供给用户更新后的桌面环境。这样，管理员只需要修改桌面池的模板，就可简单实现该桌面池内的所有桌面的统一升级。

　图 19 快速部署和统一升级 6.1.6. 使用衡 桌面负载均衡 当桌面池中的虚拟机分布于多台服务器上时，可以对桌面的分配进行负载均衡。负载均衡可以根据服务器的连接数、CPU 负载和内存负载来进行。以连接数负载为例，当第一个用户来申请桌面时，系统从服务器 A 上为其分配一个桌面；而当下个用户来申请同一桌面池上的桌面时，系统发现服务器 B 上的连接数少于 A，因而从服务器 B 上为其分配一个桌面。

　图 20 桌面负载均衡 LANvAccess– …– …

　~ 28 ~ 6.1.7. 创建 个人数据盘 方物桌面虚拟化方案允许为用户创建个人数据盘，这样用户可以把自己的文文档、数据和个性化配置都保存在个人数据盘中，即便虚拟机损坏甚至被删除，用户的文档和数据等重要信息依然保存，且可以在登录另一桌面时重新关联上自己的个人数据盘，继续正常使用文档和数据。

　方物桌面虚拟化方案同时允许为多个用户和用户组批量创建个人数据盘，从而大大提升管理员配置效率。

　图 21 个人硬盘管理 6.2. 运维 管理 6.2.1. 数据泄密管理 方物桌面虚拟化方案提供了强大的数据泄密管理能力，从终端无关性、访问权限管理等多个角度防止了可能的数据泄密渠道：

　1. 终端无关性：数据集中存储于服务器端，终端被盗不会造成数据泄密； 2. 可以针对剪贴板拷贝、打印机等常见泄密渠道进行访问权限管理，防止非授权引发的泄密；

　~ 29 ~ 3. 可以根据 USB 设备的 VID 和 PID 进行非常精细的访问权限管理，既保证正常 USB 设备的使用，又可防止 USB 移动设备引起的泄密。

　图 22 数据泄密渠道控制 6.2.2. 管理与维护 方物桌面虚拟化方案提供了全中文的 Web 管理界面，管理员可以从任何地点通过 Web 登录访问桌面虚拟化的 web 管理界面，方便地进行配置和管理。

　图 23 全中文 Web 界面

　~ 30 ~ 6.2.3. 日志与事件管理 方物桌面虚拟化方案支持日志与事件管理，记录用户登录、推出、启动桌面会话等最终用户操作行为，同时能够及时报告系统故障和错误的警告，从而为管理员的日常维护和故障排查工作提供可靠的支持。

　6.3. 方案特点 6.3.1. 终端支持 C PC 电脑

　部署方物桌面虚拟化方案时，可以对现有的 PC 电脑进行利旧。由于桌面虚拟化方案对终端的处理能力要求不高，即便是已经使用了 4-5 年的旧 PC 电脑也可以作为终端设备使用，不会出现性能不足的问题。

　方物提供了 vClient 客户端，可以在 windows XP、windows 7 等各种桌面操作系统上运行，用户在 vClient 上输入用户名和密码后，即可看到自己权限内可以进入的虚拟桌面列表，选择合适的虚拟桌面进入即可。所有的数据和计算都在服务器端执行，终端上只需要进行指令输入和屏幕显示即可。

　无线云终端/ / 瘦客户机

　云终端和瘦客户机具有硬件成本低、能耗低、生命周期长等特点，特别适合于作为桌面虚拟化方案中的终端设备使用。

　方物桌面虚拟化方案支持云终端和瘦客户机方案，并提供内嵌式的 vClient 客户端，只需将云终端的系统升级为方物内嵌 vClient，即可以作为终端正常访问虚拟桌面。

　方物同时还提供无线云终端设备 FronView2000，用户无需为每个云终端拉一条网线，可以几十个云终端共用一个无线路由器，从而减少了对布线的要求，部署更加灵活。

　移动终端：平板电脑、智能手机

　~ 31 ~ 方物桌面虚拟化也可以采用移动终端接入，vClient 支持包括 iOS、Android 等主流移动设备操作系统，无论是苹果的 iPad、iPhone，还是其他公司的 Android 平板电脑，都可以正常使用 vClient，且用户体验与在 PC 电脑、云终端上使用几乎没有差异。

　6.3.2. 外设支持 方物桌面虚拟化方案允许用户将外设连接到终端上，然后像在本地桌面使用外设一样使用这些连接在终端上的外设，尽管所有的计算仍然在服务器端进行。

　图 24 外设支持示意图 B USB 移动磁盘

　方物桌面虚拟化方案支持各种类型的 USB 移动磁盘，包括 U 盘、移动硬盘等，无需另装驱动，即插即用。方物桌面虚拟化还提供了对 USB 设备的精细化管理，用户需要使用 USB 移动磁盘设备时，必须先将 USB 设备的 VID 和 PID 提交给管理员，由管理员做授权许可后，才能使用USB 设备。

　USB 磁盘与虚拟桌面之间的剪贴板拷贝功能也是由管理员控制的，管理员可以根据需要提供 USB 磁盘与虚拟桌面之间的上行传输、下行传输、双向传输权限，或完全禁止使用剪贴板拷贝功能。

　智能卡与加密狗

　~ 32 ~ 方物桌面虚拟化提供了智能卡携带功能，可以把各种主流的智能卡或加密狗从终端携带到虚拟桌面，虚拟桌面内的业务系统可以识别智能卡并正常运行业务，从而使得智能卡的安全方案在虚拟桌面上可以同样实现。

　B USB 外设

　方物虚拟化方案提供了广泛的 USB 外设支持，既包括常见的 USB 光驱，也包括各种专业的USB 外设，如 USB 身份证扫描设备、USB 转 Modem、USB POS 机、USB 扫描仪等。方物除了对主流 USB 外设提供支持外，还可以根据客户的业务需要，对特殊外设进行定制化开发和支持。

　打印机

　方物虚拟化方案可以支持 HP、Canon 等各种主流打印机，既支持网络打印机，也支持连接到终端设备的本地打印机；同时支持串口、并口和 USB 接口打印机。

　串口和并口设备

　方物虚拟化方案可以支持各种串口和并口设备，包括打印机、扫描仪、POS 机等，只需要把设备连接到终端，就可以通过方物独有的 FAP 协议远程携带到虚拟桌面使用。

　6.3.3. 图像和多媒体支持 方物桌面虚拟化方案允许用户在虚拟桌面上像在本地桌面一样查看和编辑图像、多媒体信息。在虚拟桌面环境下，可以支持 1920*1200 分辨率的桌面显示，支持 32 位真彩色图像显示，能够使用 windows Media Player 等常用多媒体工具播放 1080P 高清视频。

　用户身份验证 AD 域身份验证 方物桌面虚拟化方案可以与 AD 域身份认证有机结合，与现有的 AD 域机制配合已完成用户身份验证。

　~...

推荐访问:化解 桌面 财政