华为:交换机、云平台、存储、服务器、瘦客户机
西咸新区沣西新城产业园业务终端一直使用功能全面的传统PC。在大多数情况下,PC 提供了价格、性能与功能的最佳组合。但同时,在实际应用过程中, PC也存在各种弊端和诸多不便,主要体现在以下几方面:
针对上述问题,建议使用桌面云技术取代传统PC。具体而言,采用在服务器系统上承载桌面映像的方法,以集中资源并提高其桌面计算基础架构的可管理性。
西咸新区沣西新城产业园产业园桌面云主要应用场景有:OA办公。
应用场景 |
主要需求 |
|
OA办公 |
规模 |
230 |
系统要求 |
WINDOWS XP/Windows 7操作系统。 支持PC机、瘦客户机访问虚拟机桌面平台; |
|
虚机规格 |
vCPU=4U,Memory=4GB, 系统盘=100GB,数据盘=200GB |
|
软件要求 |
MS OFFICE,Outlook,Project,VISIO; Internet Explorer,Acrobat Reader,视频播放软件,企业通讯软件,常用输入法,微星阅读器,金山词霸; |
|
外设要求 |
支持USB打印机、USB键盘鼠标。 |
|
身份认证 |
域帐号+域密码 |
桌面云系统应实现以下功能目标。
根据本项目需求及具体技术指标的分析,本项目要求系统具备以下设计原则:
安全接入,分权分域,集中管控:桌面云提供一体化的安全准入控制,集成现有的安全规程,依据相应的权限策略实现对不同安全域,不同接入类型用户的集中管控,保障核心数据,以及对不同业务资源的灵活分配、分权管理与审计。
桌面云系统提供最佳的访问体验,用户不再受PC、Windows系统的频繁故障的影响。实现不同网络环境的一致访问体验,提升桌面的可用性与连续性。桌面云系统简单,易用,并提供友好用户界面与自助维护界面。
采用先进虚拟化技术,资源池化,提供热迁移,存储热迁移。所有设备均应经过大规模组网运行验证。系统的业务、管理、存储功能应该由独立的平面承载,所有设备、模块节点具备冗余部署能力,确保系统及业务的可靠运行,并且系统应具有平滑扩容的能力。
降低运维成本,提高工作效率,减轻管理维护人员的工作强度与不必要的的重复劳动。桌面云系统将应用、桌面的升级、变更、维护等工作交由后台统一管理与运行;具备良好的综合定位分析及故障恢复能力,从而降低对业务的影响。供应商具备为项目长期服务和保障的能力。
FusionAccess桌面虚拟化以服务器虚拟化为基础,允许多个用户桌面以虚拟机的形式独立运行,同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来,同时可以实现精确的资源分配,并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。
FusionAccess采用业界领先的高清保真HDP桌面协议,并可将授权用户安全连接至集中式虚拟桌面。它与 FusionSphere协同工作,可提供一个完整的端到端桌面虚拟化解决方案,此解决方案不仅能增强控制能力和可管理性,还可以提供与PC一致的桌面体验,FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面,升级和修补工作都从单个控制台集中进行,因此可以有效地管理数百甚至数千个桌面,从而节约时间和资源。数据、信息和知识财产将保留在数据中心内,而且永远不外流。配备FusionAccess桌面虚拟化方案具备下列优势:
FusionAccess各部件简要介绍如下:
为用户提供用户桌面的显示输出,以及键盘鼠标输入,TC/SC通过桌面接入网关代理访问对应的桌面,同桌面接入网关之间采用SSL加密的HDP协议进行信息传递,可以通过策略开放或者禁止TC/SC USB等外设至虚拟机的重新定向;用户通过在TC/SC上输入域用户名和密码访问对应桌面。
主要提供两个功能,一是对WI节点提供负载均衡;另一个是对虚拟桌面提供接入网关与HDP Over SSL加密功能。负载均衡&接入网关提供硬件与软件两种形式。
FusionAccess是华为提供的桌面管理与投送软件。
Web Interface:WI为用户提供Web登录界面,在用户发起登录请求时,将用户的登录信息(加密后的用户名和密码)转发给HDC,WI将HDC提供的虚拟机列表呈现给用户,为用户访问虚拟机提供入口。在桌面云解决方案,可通过SVN为多台WI实现负载均衡。通过在WI上配置多个HDC的IP地址,WI可实现对HDC的负载均衡。
HDC (Huawei Desktop Controller):华为桌面控制器(HDC)是桌面云管理系统的核心组件,完成虚拟桌面业务发放,虚拟桌面管理,虚拟桌面登录管理,虚拟机的策略管理功能。
GaussDB:GaussDB为ITA、HDC提供数据库,用于存储数据信息,例如,虚拟机与用户的关联、桌面组、虚拟机命名规则、定时任务信息。
ITA节点:ITA为用户管理虚拟IT资产提供接口与Portal功能,实现虚拟机创建与分配、虚拟机状态管理、虚拟机镜像管理、虚拟桌面系统操作维护等功能。
License节点:桌面云License的管理与发放系统,License服务器用于控制器接入桌面云的用户数。
TC管理(TCM): 对瘦终端进行集中管理,包括版本升级、状态管理、信息监控、日志管理等。
AD/DNS/DHCP:AD域控用于用户登录鉴权,DHCP用于域内IP分配,DNS用于域内计算机名、桌面云登录域名的解析。
华为云平台FusionSphere主要有虚拟化基础引擎FusionCompute、云管理FusionManager两个节点组成。一套云平台部署一对FusionManager主备节点,FusionManager通过自动发现功能发现其管辖下的物理设备资源(包括机框、服务器、刀片、存储设备、交换机)以及他们的组网关系;提供虚拟资源与物理资源管理功能(统一拓扑、统一告警、统一监控、容量管理、用量计费、性能报表、关联分析,生命周期),并且对外提供统一的管理Portal。
FusionManager还包括统一硬件管理UHM(Unified Hardware Management)功能,UHM提供对硬件自动发现,硬件自动配置、统一监控(带内和带外)、硬件统一告警、硬件拓扑、异构硬件支持。
FusionCompute提供基础的虚拟化功能,提供服务器、存储、网络的虚拟化功能,并向上对FusionCompute提供接口。每套FusionCompute主要由一对主备管理节点VRM组成。一对VRM对应一个物理集群(或者叫站点)。一个物理集群中可以把多台服务器划分成一个资源集群(又叫HA资源池),一个计算资源池有相同的调度策略,为了使用热迁移相关的调度策略要求资源池主机CPU同制。计算资源池不包括网络资源与存储资源。一个物理集群中可以包含多个资源集群。
多个物理集群(此时对应多对VRM)可以级联,由FusionManager统一管理。友商的虚拟化集群(如:VMware Vsphere集群),也可以交由FusionManager统一管理。
为保障数据中心安全,云计算采用了完整的安全架构,避免出现安全真空,强化了网络隔离和虚拟化隔离。此安全架构层面主要采用了分层和纵深防御的思想。
分层防御(Layered Defense):分层防御旨在采用多种方法,在网络中多个区域执行安全性策略,从而确保网络中没有单点安全故障发生。
纵深防御(Defense in Depth):纵深防御思想使用多重防御策略来管理风险,以便在一层防御不够时,另一层防御将会阻止完全的破坏。
云数据中心安全框架从分层、纵深防御思想出发,根据网络层次分为物理、主机/虚拟化、网络、业务和数据、管理维护等几个层面,同时整体上考虑满足合规性等需求,用来指导数据中心安全解决方案的部署。
为桌面云从防范非法用户和恶意系统管理员角度进行系统的防范,保证存放桌面云数据中心的数据做到非法用户“进不来”,即使进入系统数据也“拿不走”,即使进入系统机密敏感数据也“打不开”,非法人员作案后“赖不掉”,机密数据“丢不了”。各分层采用安全措施介绍如下:
瘦终端对内置的存储进行了硬件级别的转码,转码算法与硬件的唯一信息绑定。TC系统采用精简加固Linux嵌入OS或Windows嵌入OS,TC无本地存储。
TC接入桌面云系经时对TC进行合法性认证、TC/TC组绑定用户/用户组、USB读写禁用可控、802.1X认证(密码方式或证书方式)防止非法终端接入等方式保证终端安全。
提供丰富的安全用户身份认证,包括用户名/密码、USB KEY、动态口令、动态短信、指纹,指纹+密码,确保接入用户的合法性。支持无AD认证。
HDP协议多通道,可灵活控制开关。USB存储可控制禁用、只读、读写。
客户端用户通过WI登录虚拟桌面时,认证数据采用HTTPS加密传输;
客户端用户通过HDP协议连接虚拟桌面时,桌面访问采用传输加密(HDPover SSL)等手段,保证业务运行和维护安全;
管理员使用Web管理系统时,客户端数据采用HTTPS加密传输。
业务系统各个组件间通信(WI、HDC、ITA、License、VNCGate、HDA等),均采用HTTPS方式,传送通道采用SSL加密。
通过VLAN隔离;引入防火墙做ACL访问控制;
根据虚拟化机制,做到CPU调度、内存、网络访问、磁盘IO、存储空间的隔离,保证虚拟机隔离安全;避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响。
华为虚拟化平台提供DHCP隔离、DHCP Snooping、网络隔离功能。
虚拟化平台从数据完整性、身份认证、数据访问隔离控制、数据机密性等方面保证用户数据的安全。系统进行资源回收时,剩余数据清零。
桌面云网络通信平面划分为业务平面、存储平面和管理平面,且三个平面之间是隔离的。保证最终用户不能破坏基础平台。
华为桌面云解决方案各Web服务经过加固来保障安全,主要包括:自动将客户请求转换成HTTPS,防止跨站点脚本攻击、防止SQL注入式攻击、防止跨站请求伪造、隐藏敏感信息、限制上传和下载文件、防止URL越权、登录页面支持图片验证码、帐号密码符合一定规则和复杂度安全。
华为桌面云解决方案通过操作系统加固(关闭不必要的服务、控制文件和目录的访问权限)、数据库加固、安装安全补丁、防病毒等手段保证管理组件虚拟机的安全。主要加固措施:关闭不必要的通信端口、服务进程、限制系统访问权限、各账号严格控制访问权限、开启安全日志审计功能、避免黑客通过漏洞攻击系统、Web服务平台能够自动把客户的请求转向到HTTPS连接。
用户接入桌面云,在桌面云的接入网关、认证系统和VM都有完善的日志记录,便于追查责任事故。
从帐号、密码、管理员和用户权限、日志等方面日常管理方面安全措施。管理员采用HTTPS加密保证管理访问安全,通过分权分域管理,确认管事员的权限制得制约。
桌面云管理业务Portal、虚拟化平台与Portal,操作系统、硬件设备都提供完善的日志,保证所有管理员的操作都有日志记录,供事后审计;用户接入桌面云,在桌面云的接入网关、认证系统和VM都有完善的日志记录,便于追查。
桌面云系统要支持三员分立的管理,实现系统管理员、安全管理员、安全审计员的权限制衡。系统管理员负责业务下发/操作,系统配置以及日志审视方面的操作;安全管理员负责分权分域的配置管理,密码策略的配置以及日志的审视;安全审计员专项负责操作日志的审计工作。
管理员分权分域,回收超级管理员权限,通过设置不同权限、不同管理范围的管理员,实现分权分域管理。
在用户虚拟机上部署防病毒软件,防止用户虚拟桌面遭受病毒攻击。虚拟机可配置固定IP,便于审计。
虚拟机运行时,可采用TSM安全系统提供网络访问控制、USB读写加密与管控、员工行为监控、补丁管理、软件分发等功能,保证用户虚拟机运行安全。
FusionAccess桌面云管理节点采用负载均衡或热备设计,保障业务的连续性。
FusionAccess管理节点提供故障自恢复,故障节点自动隔离功能。
FusionAccess管理节点的CPU/内存/磁盘占有率状态检控,超过阈值时,也会触发告警。
桌面云全系统时钟同步,管理数据自动备份。
华为虚拟桌面系统提供故障检测功能,故障信息收集和存储集群节点可用性度量的功能,这可以帮助用户确定是否有负载均衡问题、失控进程或硬件性能下降的趋势,将对合理调整、分配系统资源,提高系统整体性能起到重要作用。通过在每个被监控的节点上运行探针程序,华为虚拟桌面系统可以收集它运行的机器的核心指标如CPU使用情况、基础网络流量和内存数据等,检测到诸如进程崩溃、管理和存储链路异常,节点宕机、系统资源过载等各种异常,使系统具备完善的故障检测能力。
管理节点和计算节点引入电信领域“黑匣子”技术:在系统出现异常时自动存储内核日志、系统快照、内核诊断信息及临终遗言,并保存至非易失性存储设备(计算节点)或自动传送至网络服务器(例如日志服务器),以便系统故障后,导出分析定位。
FusionAccess系统提供数据一致性审计功能:定时审计VM及其卷文件的相关数据和状态的一致性。
桌面服务多端口侦听, 自动变换侦听端口,避免了端口冲突。
桌面代理软件防误操作删除,虚拟桌面会把安装目录下的文件夹进行锁定,所有删除该文件夹下任何文件的行为被禁止。
桌面协议软件进程异常或者误杀可以自动恢复。
网络闪断或者其它原因连接短暂中断后,桌面云会自动重连。
服务器可靠性包括内存、硬盘、电源等多个层面的内容。包括:
提供BIOS内存自检和ECC纠错技术。
支持硬盘热插拔和RAID功能,提供硬盘在线故障检测和预警。
支持电源1+1冗余和热插拔。
支持对CPU,内存,风扇,电源,硬盘等热关键器件的温度实时监控,设备故障时会产生告警,可以灵活对支持热插拔设备进行在线更换,不支持热插拔设备提前安排好业务后进行下电更换。配合智能的风扇调速和监控,确保系统运行的可靠性。
多台服务器组成计算资源池,支持虚拟机的热迁移、HA功能。
华为桌面云系统存储提供多路径,存储冷迁移,存储热迁移功能,保障存储的可靠性。
桌面云采用SAN作为存储设备,在SAN高可靠性的基础之上,采用RAID机制,配置热备盘做冗余备份,保证数据不丢失和故障快速恢复。
核心层交换设备通过使用交换机集群技术,保证对外与防火墙/NAT和对内汇聚交换机连接的冗余。
汇聚层交换设备通过使用交换机集群技术,保证对外与核心层交换设备和数据中心内接入层交换机连接的冗余。
接入交换机通过使用交换机堆叠技术,保证对外与汇聚层交换设备和对内虚拟网络层连接的冗余。
虚拟网络层通过采用多网卡绑定等技术避免单个网卡故障引发的业务中断。
系统通信平面划分为业务平面、存储平面和管理平面。为了保证各种网络平面数据的可靠性,不同平面间采用VLAN等技术进行隔离,单个平面故障不影响其余两个平面的正常工作。
对于各通信平面(业务、存储、管理)均采用双网卡,双网卡采用了Bonding模式,两网卡被绑定成逻辑上的“一块网卡”后,同步一起工作。既能对服务器的访问流量进行负荷分担,又能保证其中一块发生故障的时候,另外的网卡立刻接管全部负载,过程是无缝的,服务不会中断。
华为桌面云FusionAccess配合FusionSphere虚拟化平台,提供虚拟化热迁移、虚拟机HA、虚拟机快照功能来保障虚拟桌面的可靠性。
华为桌面云可以提供灵活的桌面形态,包括完整复制桌面云,链接克隆桌面云,应用虚拟化。桌面云可以有灵活的发放方式,可提供1对1、1对多,多对1,多对多方式的多种发放方式。
完整复制桌面云桌面利用虚拟化技术与远程桌面投送技术。在桌面云中心,利用虚拟化技术把服务器与存储虚拟成一台台弹性的虚拟主机。完完整复制虚拟桌面在创建时,系统会给这个虚拟桌面分配一份独立系统盘空间,并将虚拟机模板完整复制到系统盘上。这样每个完整复制虚拟桌面都有单独的系统盘与用户数据盘。基于虚拟机级别的隔离;安全性高;个性化强;外设支持类型丰富;用户体验与传统PC一致,可以按照用户的工作负荷弹性修改虚拟机规格。每个用户都有一个独立的虚拟机,虚拟机系统盘和数据盘都通过集中的存储设备加载。存储设备支持SAN与NAS设备。
用户通过本地瘦终端,或软终端可以远程登录虚拟机。虚拟机采用业界性能领先、带宽要求低的HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端的无本地存储、USB可管控,功耗低。办公环境相对PC环境更简洁,无噪音。
普通链接克隆桌面与完整复制桌面的区别主要在于系统盘的存储上。链接克隆桌面的虚机共享一个相同的系统母盘,每台虚拟机系统盘的不同部分(如工作临时缓存数据、个性化配置(C:\User(在Windows 7中)或C:\Documents and Settings(在Windows XP中))、临时安装的个性化应用程序(C:\Program Files)等)都保存在差分盘中。并且通过将母盘和差分盘组合映射为一个链接克隆盘作为虚拟机的整个系统盘(即C盘),提供给虚拟机使用。对于虚拟机的差分盘,可以配置更新还原策略,还原策略可配置为手动还原与重启还原。每次更新系统母卷时,差分盘也会自动清除。
由于系统母盘是很多桌面共用,所以对于系统母盘需要很高的读性能。华为虚拟化平台对于链接克隆母盘提供iCache加速功能。可以将系统母盘的热点数据缓存到服务器本地磁盘、或本地内存中。 这样就减小了对共享存储的性能冲击。
FusionAccess支持个人配置数据漫游和统一用户数据存储。支持用户登录到不同的服务器上可使用相同的用户配置文件。链接克隆桌面可以与Windows个人配置数据漫游结合使用,来实现用户配置信息的漫游设置。
使用普通链接克隆桌面的每个用户仍可以挂载不同的用户数据盘,用来保存数据。普通链接克隆桌面除拥有完整复制桌面云的安全隔离、外设兼容性、工作体验外,还有以下优势。
普通链接克隆桌面的优势:
员工针对特定应用的办公需求,可以使用FusionAccess应用虚拟化系统提供。FusionAccess 应用虚拟化可以将在Windows Server 2008R2系统上的安装的应用软件与Windows Server 桌面发布出来。这些Windows的应用软件可以在服务器侧集中管理和发布。所有FusionAccess应用虚拟化服务器及其他配套组件服务器均部署在FusionSphere云平台上,可进行弹性调度、热迁移、故障迁移,大大地提高了可靠性。
FusionAccess发布的用户访问界面如下图所示;用户在终端(Pad/手机)用户不需要在本地安装这些应用软件,可通过RDP协议访问后台的这些应用软件与应用系统,充分利用后台的计算资源。用户可以通过IE、Outlook直接访问后台各种应用系统,进行公文审批、邮件浏览。应用系统的访问客户端不用经过任何改造。用户就可以获得类似PC的办公体验。用户终端与虚拟机之间采用加密FusionAccess协议,保障了访问的安全,有效减小访问带宽。
客户现有IT系统中,大量传统的B/S、C/S业务系统软件无需任何修改或移植,即可通过FusionAccess应用虚拟化平台,在各种移动终端上流畅使用。客户无需投入资金改造现有业务系统并在各种移动终端开发业务系统客户端。加速系统上线时间,降低上线成本。
FusionAccess应用虚拟化平台通过对移动终端设备提供键盘鼠标的支持,在移动终端PAD(Windows)上提供无差异的Windows体验,在移动和固定场景随意切换,替代笔记本电脑。在PC/TC固定终端设备上,还可以通过固定终端的客户端接入实现固定办公。由于数据和应用都集中运行和保存在数据中心,用户可以不中断应用运行,实现无缝切换办公地点。
将应用和数据从个人设备转移到数据中心,FusionAccess将应用程序集中在数据中心,可以降低管理成本,提高IT向分散用户交付应用的响应速度,加强应用和数据的安全性。分散用户不再需要投入应用维护、数据备份、应用和数据的管理。
FusionAccess支持个人配置数据漫游和统一用户数据存储。支持用户登录到不同的服务器上可使用相同的用户配置文件。使用Windows Terminal Service Roaming Profile技术,来实现用户配置信息的漫游设置。
本项目中用户个性化配置文件通过在AD上配置重定向统一存储在文件服务器上。并在AD上设置组策略的方法禁止用户访问FusionAccess应用虚拟化服务器磁盘。如果用户还有需要数据存储,可增加一个NAS网盘。
FusionAccess应用虚拟化可发布Windows Server桌面与应用,两种方式介绍如下:
将Windows Server的桌面,发布给用户,完成共享操作系统的功能。
将安装在Windows Server上应用软件发布给用户,完成共享应用的功能。如果用户Windows 系统访问FusionAccess应用虚拟化,发布的应用程序图标可集成到Windows系统本地“开始“菜单中。
|
虚拟桌面VDI |
FusionAccess 应用虚拟化 |
|
发布桌面 |
发布应用 |
||
系统类型 |
Windows7或WindowsXP |
Windows Server 2008 R2 |
Windows Server 2008 R2 |
用户体验 |
用户具有独立的操作系统。基于Win7或WinXP的桌面 |
每用户具有基于同一个Windows Server操作系统的不同桌面 |
仅看到应用,与运行本地应用体验几乎完全一致 |
硬件资源占用 |
很高,为每用户提供虚拟机、每个虚拟机都需要占用较多的CPU、内存、存储和IO资源 |
较低,多用户共用虚拟机,每用户仅占用桌面所需资源 |
最低,每用户仅占用其运行的应用所需资源。 |
软件需求 |
高 |
低,RDS CAL License总体相比VDA License更低 |
低,RDS CAL License总体相比VDA License更低 |
建设成本 |
高,对服务器硬件和存储性能/容量要求高 |
低,应用虚拟化用户一般不需要配置存储,减少了存储消耗,服务器数量相对VDI较低。 |
低,应用虚拟化用户一般不需要配置存储,减少了存储消耗,服务器数量相对VDI较低。 |
安全性 |
高。用户桌面之间基于虚拟机的隔离。 |
较高。 用户之间其于Session会话隔离。 |
较高。 用户之间其于Session会话隔离。 |
总结 |
适用于人性化办公,研发办公。 |
适用于需使用Windows Server桌面场景。 |
应用虚拟化适用于针对特性应用的、无个性化配置和数据的、移动办公的用户场景。 |
为了充分发用用户的主观能动性,提高用户自助运维能力,减轻管理员的运维负担。华为桌面云推出一系列运维工具,如自助维护台,桌面管家,体验优化工具等。
默认情况下,桌面云整个登录界面是华为风格。用户登录界面背景可由管理员自定义,将右上角的华为Logo以及整个背景图片更换为客户的风格。
在登录界面下方,有一个每日提醒,管理员可以自定义修改,包括节日祝福、温馨提示、会议提醒等等。也可及时发布升级通知、操作指导、宣传信息等,员工感到温馨、IT维护人员减轻压力。
用户登录后,可以看到自己拥有权限的虚拟机列表,并可以选择背景、设置语言、修改密码等。
为了充分发用用户的主观能动性,提高用户自助运维能力。华为桌面云提供VNC自助维护通道,员工可以自己解决由于误操作、或应用程序导致虚拟机网卡禁用,VDA服务被停止导致无法正常登录问题。也可以解决操作系统启动过程中的异常。而其他厂家的方案,在上述异常情况下,员工只能通知管理员来解决,非常麻烦。
员工通过VNC通道也仅可访问属于自已的虚拟机,不会带来额外的信息安全风险。
支持虚拟机与终端TC网络状态指示灯,当网络状态不佳/极差时,指示灯变黄/变红
虚拟机关机或网络故障时,指示灯变灰。
支持用户灵活设定虚拟机电源策略管理,在用户Portal中,可以通过电源管理界面,对虚拟机电源策略进行设置。支持如下电源策略管理:
禁止自动关机/重启/休眠
允许自动关机/重启/休眠
允许自动休眠
允许自动关机/重启
用户可自助修改登录界面,包括:语言切换,背景切换,密码修改,用户注销。
桌面云登录界面在接入门户上提供自助在线指南,在线指南包括:桌面云常见问题处理方法,支持TC的常用设置,桌面云常见禁用操作,常见问题的快速处理方法,常见问题处理案例。
为了让华为桌面云使用更方便,速度更快,故障更少,华为配合桌面云推出桌面管家工具,包括一系列桌面云工具,如 连接修复工具,桌面云体验优化工具,日志收集工具等。
健康检查工具是虚拟桌面平台为技术支持工程师和维护工程师提供的一套日常检查工具,并能输出各部件健康检查报告。方便技术支持工程师和维护工程师快速了解系统的健康状况。通过检查系统当前信息和运行状态,反映系统健康或亚健康状态,在开局、巡检、升级等维护场景中使用。
目前健康检查工具可以检测整机PDU健康状态,交换机健康状态,IPSAN健康状态:FusionSphere健康状态,FusionAccess健康状态。
华为以云计算为契机,提供包括存储、安全、云计算、桌面云、数据中心解决方案四大领域,可为客户提供丰富的以云计算为核心的ICT业务。同时秉承开放合作的理念,提供覆盖全行业的端到端IT解决方案。帮助客户构筑先进、高效的IT平台,提高客户内部运作效率和业务效率。华为提供端到端的云计算解决方案,提供完全自研的虚拟化软件FusionSphere,桌面云软件FusionAccess。FusionSphere整体竞争力追齐友商,虚拟化性能实现业界第一。FusionAccess零偏差交付,在桌面协议、高清制图、安全领域构筑差异化竞争力。
华为服务器经过12年的发展,产品形态已经覆盖机架服务器、刀片服务器、高密度服务器,同时针对业务应用开发出相应加速部件,满足各种市场业务应用。2013年上半年,在中国区,华为服务器发货量11.1万台,跃居第二名,超越IBM和HP;全球发货量排名第六。
华为存储依托‘存以智用、融以致远’的创新理念,坚持自主研发创新,以及积极的市场表现,全国出货量第一,成功从Others阵营跳居主流厂家阵营,让这份存储界最具分量的报告因为迎来首位中国厂家而翻开新的一页,也再度增强了全球关键客户的购买信心。
在标准和专利方面,华为是云计算主流标准组织DMTF董事会的第一家中国公司,担任DMTF的教育VP,IETF云计算/数据中心领域的ARMD工作组的主席,OpenStack的金牌会员,SNIA的董事会成员(Board Member)。华为广泛参与了ISO/IEC、IEEE、ITU-T、CSA、ETSI、CSCC等国际云计算标准相关组织;同时华为还积极参加了国内CCSA、CESI等云计算标准化活动。
华为积极参与开源社区并推动云平台标准化,并向开源社区积极回馈自己的贡献。在Hadoop重要贡献公司名单内,华为排在Google和Cisco的前面,体现了华为的创新能力。
华为IT产业全球布局,在深圳、西安、北京、杭州、成都等地构筑交付能力中心,不断增强创新能力和核心竞争力。目前,华为在IT领域投入为10000人,在云计算领域投入为6000人。
华为公司针对本项目提供了端到端的桌面虚拟化解决方案。方案涉及的主要部件均可提供华为自研产品,兼容性好,高性能,高可靠,整体交付,专业维护团队支撑;华为桌面云解决方案主要优势如下:
华为虚拟桌面基于成熟的FusionSphere虚拟化平台与FusionAccess桌面管理系统。FusionAccess是历时多年,完全自研,自主可控的桌面云软件,采用自研的高清保真的HDP(High-definition Desktop Protocal/Huawei Desktop Protocal)协议。针对虚拟桌面的的远程显示、应用场景OA办公软件、VoIP语音进行性能调优,外设专项进行调优,图像指标PSNR指标达到50000dB以上, SSIM指标达到0.999955接近无损的表现;声音PESQ超过3.4,准确还原声音细节。使用虚拟桌面可以达到PC桌面的体验效果。
FusionAccess桌面云软件针对客户的特定应用场景的软件、硬件进行过很好的适配开发。针对特有安全需求针对性进行开发,提供特定厂家的USB KEY、指纹、动态口令、802.1X认证;安全三合一设备;针对管理员三员分立管理;提供无AD域部署,固定IP自动化部署。华为自研的桌面云软件,可提供以为客户为中心的定制化能力,保障客户的核心智力资产。
华为所有硬件、软件部署都采用冗余部署,故障自动恢复;虚拟化产品平台管理理节点冗余部署, 通过管理节点自动感知为双机热备,避免通常虚拟化方案没有单独的物理管理节点导致的在线倒换较慢,甚至是业务中断的问题,确保了业务运行的可靠性。
华为提供与虚拟桌面配套的安全管理平台,对瘦终端硬件及用户虚机系统提供安全监控,提供对用户行为的监控,提供统一的软件、补丁分发,资产管理等功能。
华为虚拟化产品FusionSphere、FusionAcess以B/S架构为基础,提供WEB方式的远程集中运维管理。运维管理形成以服务为导向、基于策略且能够实现自动控制的管理模式。华为虚拟化管理平台可以实现单一的管理运维界面,统一管理物理及虚拟资源,避免在不同的管理界面间来回切换,简化管理工作,提升管理效率,提供全中文管理界面,并提供8大工具:自助维护台,桌面云健康检查工具,桌面云连接检修工具,桌面云体验优化工具,基础架构虚拟机一键式恢复工具,日志收集工具,自动数据迁移工具,性能与兼容性收集和分析工具。特别适合于IT人员较少,规划、运维压力较大的机构使用。
华为虚拟桌面产品经历了内部1万人5分钟内并发登陆场景的真实业务测试及系统可靠性测试(如故障恢复、IP QoS测试等)。华为整体方案及云软件、服务器、存储、交换机、终端等关键部件经受了内部2万用户的压力测试验证。华为虚拟化产品在国内外已经成熟广泛的应用,特别是在国内的三大电信运营商,可靠性满足电信级要求。华为云计算解决方案,部署了全球最大规模的桌面云(截至2013年6月份,已达约10万终端),总结了丰富的运维流程与运维经验。
截至2013年6月份,在云计算领域,已经与42个国家的200多个客户开展了云计算商用合作。实现重点行业突破,突破深交所、中国银行;凤凰卫视北京传媒中心,广东广电;上海商飞集团、沈飞(沈阳飞机集团);天津大港油田,武汉东风汽车公司;黑龙江电力;牛栏山第一中学;河北迁安人民医院;金税三期、金华地税、云南国税;中国移动,中国联通,中国电信;法国INSA,西班牙BME,俄罗斯RTI等单位。
华为公司虚拟化产品的服务由华为原厂提供,华为公司有专业的本地化交付与售后支持团队,以及超过6000名从事虚拟化技术的研发团队,可快速解决后期问题,以及接纳客户的定制化需求。基于华为全套自有产品的售后支持经验,避免了虚拟化产品通常的由于涉及部件多、定位复杂、厂家互相推诿扯皮、解决问题缓慢的情况。
本项目为了实现高安全、高可靠、高性能、易远程集中运维、平滑扩容的目标,采用业界主流成熟的虚拟化技术,实现虚拟桌面、服务器虚拟化等要求。本项目方案主要以下方面考虑:
资源池设计:根据本项目的需求,服务器上安装华为的虚拟化软件,将服务器池化。池化后VDI桌面、应用虚拟化、服务器虚拟化的服务器分别组成集群。池化后服务器上运行虚拟机便于管理、监控。虚拟机在集群里可以实现定制策略迁移、手动热迁移、故障热迁移。资源池的设计具有高可靠、平滑扩容特性。
桌面虚拟化:华为虚拟桌面管理软件FusionAccess,提供高性能且可靠的桌面投送。FusionAccess桌面虚拟化以服务器虚拟化为基础,允许多个用户桌面以虚拟机的形式独立运行,同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来,同时可以实现精确的资源分配,并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。
FusionAccess采用业界领先的高清保真HDP桌面协议,并可将授权用户安全连接至集中式虚拟桌面。它与 FusionSphere协同工作,可提供一个完整的端到端桌面虚拟化解决方案,此解决方案不仅能增强控制能力和可管理性,还可以提供与PC一致的桌面体验,FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面,升级和修补工作都从单个控制台集中进行,因此可以有效地管理数百甚至数千个桌面,从而节约时间和资源。配备FusionAccess桌面虚拟化方案具备下列优势:
统一软硬件管理:为了便于硬件设备(服务器、存储、交换机)、虚拟资源的集中管理,采用华为的虚拟化管理软件FusionSphere。FusionSphere采用B/S架构,可以远程统一管理本项目中VDI桌面、服务器虚拟化三个资源池。FusionSphere可管理、监控硬件资源、虚拟资源;支持虚拟机的快速部署、定制化策略调度。
计算资源池为用户提供CPU、内存计算资源。在服务器上安装华为的虚拟化软件,可以在一台服务器上虚拟出多个台虚拟机,提供弹性规格的虚拟桌面。这几个资源池归属同一朵桌面云管理系统。
存储资源主要为虚拟桌面提供系统空间和数据空间、还有桌面云管理系统所需要的空间。这些存储都在主用存储上。主存储根据数据类型的不同,划分不同的数据LUN。这里的数据类型主要包括 管理数据、Windows系统数据、用户数据。
每个桌面云用户可以在办公位上使用TC、或者PC接入到桌面云中心。瘦终端放在每个用户的办公位,每个位子提供百兆或千兆GE网口就可以。
桌面云部署在客户的数据中心机房中;需要与客户的核心交换机对接。考虑后续扩展性,建议采用4*1GE上行到客户核心交换机。桌面云网络通信平面划分为业务网、存储网和管理网。三个网络之间是隔离的,保证最终用户不能破坏基础平台。
存储网络:存储网络通过多路径确保链路冗余,服务器与存储设备通过存储FC网络二层直接互通。存储设备为虚拟机提供存储资源,但不直接与虚拟机通信,而通过虚拟化平台转化。
业务网络:为用户提供业务通道,为虚拟机虚拟网卡的通信平面,对外提供业务应用。HDP协议与虚拟机访问外部应用系统都是经过这个网络。各业务部门可以细分VLAN进行访问隔离。
管理网络:负责整个云计算系统的管理、业务部署、系统加载等流量的通信。BMC平面主要负责服务器的管理,BMC平面可以和管理平面隔离,也可以不进行隔离。
整体网络划分为两层,分别为接入层、核心层。
接入层:
为了收敛服务器、存储设备的网口,一般在机柜里放置接入交换机,在接入交换机划分VLAN,将管理、业务、存储三个平面逻辑隔离。接入交换机再上行汇聚到核心交换机。
核心层:
华为云桌面通过内部的接入交换机汇聚后,接到客户核心交换机。核心交换机配置VRRP协议,为管理网络和业务网络提供冗余网关。
桌面云的网络带宽与用户行为强相关。几种典型应用带宽需求情况如下:
操作场景 |
HDP |
静默场景(关闭所有应用,显示桌面,用户无操作) |
8kbps |
英文word打字(word文档100%比例打开,5号字体输入,每秒输入字符数<=10个) |
187kbps |
Word静默 |
15kbps |
全屏浏览图片(每秒下翻一副图片,分辨率1650*1080) |
110kbps |
ppt播放(每秒下翻一页ppt,不含动画效果) |
80kbps |
ppt播放(回翻5页内ppt,不含动画效果) |
19kbps |
ppt播放(含动画) |
748kbps |
pdf滚轮翻页 |
2500kbps |
Internet /WWW浏览(纯文字) |
150kbps |
呼叫中心客服应用(旁路/分离方案):100~150 Kbps; |
150kbps |
打印:500~800Kbps; |
800kbps |
窗口拖动(窗口大小<=800*600,背景为桌面,拖动时窗口内容跟随,桌面范围内掠过桌面图标) |
141kbps |
窗口拖动(窗口大小<=800*600,背景为桌面,拖动时窗口内容跟随,桌面范围内不掠过桌面图标) |
56kbps |
双击打开文件夹(文件夹窗口大小<=800*600, 平均每秒打开一个文件夹) |
342kbps |
480P按照640*480尺寸播放(QQ影音) |
<=6Mbps |
480P按照1280*720尺寸播放(QQ影音) |
<=9Mbps |
480P全屏播放(1680*1050分辨率)(QQ影音) |
<=12Mbps |
720P按照640*480尺寸播放(QQ影音) |
<=7Mbps |
720P按照1280*720尺寸播放(QQ影音) |
<=10Mbps |
720P全屏播放(1680*1050分辨率)(QQ影音) |
<=13Mbps |
1080P按照640*480尺寸播放(QQ影音) |
<=8Mbps |
1080P按照1280*720尺寸播放(QQ影音) |
<=12Mbps |
1080P全屏播放(1680*1050分辨率)(QQ影音) |
<=15Mbps |
GPU虚拟桌面(CPU压缩): 5~50Mbps |
<=30Mbps |
根据客户业务需求、以及业务模型带宽经验值分析,带宽需求分析如下
参数 |
带宽需求(kbps) |
值 |
备注 |
空闲 |
15 |
20% |
表示同时有20%的用户空闲。 |
互联网浏览 |
150 |
19% |
表示同时有19%的用户都会进行互联网浏览操作。 |
文档编辑 |
150 |
40% |
表示同时有40%的用户在进行文档编辑。 |
PPT/图片浏览 |
400 |
20 |
表示同时有20%的用户在进行PPT/图片浏览。 |
视频浏览 |
5000 |
1% |
表示1%的用户都在进行视频播放需求。 |
GPU虚拟桌面 |
30000 |
25% |
表示25%的用户都在进行GPU虚拟化3D图形编辑需求 |
带宽利用率 |
- |
70% |
- |
根据上面的带宽,可得出各种应用场景的带宽要求。
OA办公每用户平均带宽需求=(15kbps*20%(空闲) +150kbps*19%(互联网浏览)+150kbps*40%(文档编辑)+400kbps*20%(PPT/图片浏览)+5000kbps*1%(视频浏览))/70%=316kbps。
3D设计每用户平均带宽需求=(15kbps*20%(空闲) +150kbps*19%(互联网浏览)+150kbps*40%(文档编辑)+400kbps*20%(PPT/图片浏览)+30000*25%(GPU虚拟化)/70%=11Mps
本项目的虚拟化平台方案设计需要承载网络有一定的带宽保证和基本的QoS保证,确保虚拟桌面OA办公业务和3D设计业务的正常使用,虚拟桌面TC—VM之间的网络质量可以分为以下级别:
网络质量等级 |
QoS指标 |
用户体验 |
优 |
丢包率≤ 0.01% 往返时延≤ 30 ms 抖动≤ 10 ms |
用户基本办公体验好,无迟滞感觉; 在线高清视频全屏播放效果好,可达22fps左右; 720P本地视频播放效果好,可达26fps左右; 外设支持好,U盘等存储设备使用、操作流畅; 适用场景:日常办公,少量多媒体娱乐需求; |
良 |
丢包率≤ 0.1% 往返时延≤ 50 ms 抖动≤ 10 ms |
用户基本办公体验良好,快速拖动滚动条略有鼠标漂移现象; 高清视频播放卡顿明显;480P视频可窗口化流畅播放; 外设支持一般,存在识别缓慢,U盘等存储设备操作卡顿的现象,U盘拷贝速度较慢; 适用场景:日常基本办公(无大量频繁外设使用),不适合娱乐场景; |
差 |
丢包率≤ 0.3% 往返时延≤ 100 ms 抖动≤ 40 ms |
用户基本办公体验较差,鼠标和键盘操作有较明显时延,翻屏、滚动页面有明显卡顿; 视频播放卡顿明显,基本不可用; 外设识别困难,操作卡顿,基本不可用; 适用场景:临时互联网和移动办公接入场景,不适用于日常办公场景。 |
恶劣 |
丢包率> 0.3% 往返时延> 100 ms 抖动> 40 ms |
不适用于桌面云使用场景 |
根据上述表格:
1、OA办公桌面的网络QoS的要求达到往返时延<30ms,抖动<10ms,丢包<0.01%。
2、在VoIP语音的场景下,网络QoS要求丢包<0.1%、时延<10ms,语音质量PESQ>3.0 语音延时<800ms(TC到TC)。
二层网络启用802.1P,进行流分类,标识出HDP流量;
启用PQ队列调度,避免拥塞,优先转发HDP流量;
根据RDP/HDP的优先级表示,进行不同的DSCP标记,设置为EF或者AF级别,进行优先转发,保证网络拥塞后的RDP/HDP流量优先转发;
二层网络启用802.1P和PQ队列;
三层接入部分采用DSCP区分服务;
云管理节点FusionManager(主备)、VRM(主备)、FusionStorageManager(主备)、服务器的的BMC、服务器底层虚拟化 需要一个管理IP。对于做HA可靠性的两个节点需要多一个浮动IP。
桌面管理虚机: ITA+DB+HDC(主备)各需要一个IP
其它硬件设备、存储(双控制器)、交换机,每节点都需要一个IP。
每台虚拟机需要分配数据中心侧的IP网段一个IP, 每个瘦终端需要分配用户接入区的一个IP。
桌面管理虚机:WI(负荷分担)+ITA+DB+HDC(主备)、License+TCM、AD+DNS+DHCP各需要一个数据中心侧的IP。
存储设备的每个网口、服务器的接口都需要存储网络的IP。
核心交换机为每一个子网启用一个VLAN IF接口,并将VLAN IF地址作为网关地址。
机柜内的虚拟机之间通过柜内接入交换机进行二层互通。机柜间虚拟机通过核心交换机实现三层互通,将网关地址为VLAN IF地址。瘦终端访问虚拟桌面通过核心交换机三层路由转发。
桌面云采用AD域帐号+域密码方式进行身份认证。用户输入AD域帐号与密码,登录时到AD服务器进行认证。认证成功即可以进入用户虚拟桌面。在虚拟机里Ctrl+Alt+Del就可以锁屏,输入域密码解锁。
对于安全场景,只要求接鼠标/键盘、其余存储、打印机都不允许接入。这种场景配置安全版的瘦终端即可。
另外FusionAccess中HDC具有丰富的外设映射策略,可以提供USB设备管理,能够区分USB鼠标/键盘和USB存储设备,针对USB存储设备,提供允许/禁止/只读控制能力。同时外设映射策略可以基于AD用户账号、用户组、虚拟机组进行配置。
桌面云的虚拟机主要包括虚拟化管理节点虚拟机,桌面管理虚拟机与用户虚拟机。管理节点采用加固的Linux操作系统;但管理节点提供外部操作平台与外界存在B/S交互操作,不存储病毒感染。可不安装杀毒软件。
桌面管理虚拟机采用Windows Server 2008 R2系统,用户虚拟机采用Windows7 或Windows XP系统,都部署必须统一防病毒软件。支持在Windows Server虚拟机上部署趋势的防病毒服务器,为基础架构虚拟机提供防病毒软件功能,通过设置定期任务,定期查杀病毒,防止基础架构虚拟机遭受病毒入侵。
为减小防病毒任务在虚拟化环境中执行时对共享资源的占用量,并且避免多台虚拟机同时运行全盘扫描、病毒特征码更新等任务,防止资源消耗冲突,建议用户安装为虚拟化环境提供了性能优化功能的防病毒软件。通过虚拟化环境感知智能调度、基础镜像白名单、扫描结果共享等优化功能,可以减少防病毒扫描工作量,避免高资源占用任务的并发执行。
桌面云平台中每个FusionManager最大支持256个VRM集群,4096个主机服务器、8000个虚拟机支持。每VRM集群支持的服务器数量最大可达到256台,每VRM集群支持32个HA资源池。每HA资源池内支持的服务器数量最多可扩展至128台服务器,可轻松满足未来桌面的平滑扩容需求。
单用户可扩展性设计:单用户支持vCPU个数最大可以扩展到64个,内存可以扩展到1024GB,支持的虚拟网卡数最多可以支持8个,可充分满足虚拟机规格的弹性伸缩。
虚拟桌面管理节点可分布式平滑扩展。一套虚拟桌面最大支持20000桌面用户,当超过20000用户容量后,需要新增加一套虚拟桌面管理节点,虚拟桌面管理节点之间属于分布式,相互之间完全独立。
根据存储需求增长,可以实现存储在线平滑扩容,根据规划可以在线扩展磁盘、磁盘框、控制框。
服务器编号 |
逻辑节点 |
集群信息 |
VM功能 |
备注 |
H01-Server-01 |
MCNA |
管理集群 |
FusionManager (主) |
云管理节点 |
VRM(主)(FusionCompute) |
虚拟化集群管理节点 |
|||
ITA(主) |
|
|||
GaussDB\WI\HDC\License(主) |
|
|||
Loggetter\TCM\Patch |
日志、TC管理、License |
|||
VNCGate/vLB/vAG |
(可选) |
|||
AD+DNS+DHCP(主) |
|
|||
用户桌面VM |
|
|||
H01-Server V2-02 |
CNA |
FusionManager (备) |
|
|
VRM(备)(FusionCompute) |
|
|||
ITA(备) |
|
|||
GaussDB\WI\HDC(备) |
|
|||
VNCGate/vLB/vAG |
(可选) |
|||
AD+DNS+DHCP(备) |
|
|||
用户桌面VM |
|
|||
H01- Server V2-03 |
CNA |
桌面云集群 |
用户桌面VM |
|
H01-Server V2-04 |
用户桌面VM |
|
||
…… |
用户桌面VM |
|
||
H02-Server V2-17 |
用户桌面VM |
|
逻辑节点部署说明:
服务器资源分配如上表所示。两台服务器做管理集群,用于部署管理节点FusionManager/FusionCompute/FusionAccess。
其它服务器组成一个集群,用于部署用户桌面虚拟机。虚拟化管理软件(FusionSphere)与桌面云管理软件,各个组件部署规格如下表所示:
FusionManager/FusionCompute/FusionAccess的管理节点部署方式、虚拟机规格见下表描述。负载均衡与热备部署的节点都不要部署在同一台服务器上,提高可靠性。
组件 |
细项 |
说明 |
FusionManager |
部署数量 |
2台虚拟机 |
工作方式 |
热备 |
|
功能描述 |
FusionManager节点:弹性服务控制器主要完成整个虚拟桌面的资源管理与调度,它不涉及集群内的资源管理,只负责集群间的资源管理与调度。 |
|
规格描述 |
CPU:4VCPU 内存:16G 磁盘:280G系统 网卡:1个 操作系统: Linux |
|
FusionCompute(VRM) |
部署数量 |
2台虚拟机 |
工作方式 |
热备 |
|
功能描述 |
VRM节点:计算资源管理器主要完成对本集群内物理计算资源的管理,负责为每个虚拟机分配相应的虚拟计算资源,在一个计算集群内,计算资源是共享的,虚拟机可以从一个物理计算节点迁移到另一个物理计算节点。 |
|
规格描述 |
CPU:4VCPU 内存:8G 磁盘:50G系统 网卡:1个 操作系统: Linux |
部署组件 |
操作系统 |
虚拟机规格 |
部署数量和部署方式 |
部署组件 |
操作系统 |
虚拟机规格 |
部署数量和部署方式 |
AD/DNS/DHCP |
Windows Server 2008 R2 Standard SP1 64bit |
2VCPU/2GB内存/30GB系统盘/20GB用户盘/1块网卡 |
两台。基础架构域AD、DNS和DHCP组件合一部署: 第一台VM:根域控制器、主用DNS、DHCP。 第二台VM:额外域控制器、备用DNS、DHCP。 |
GaussDB/WI/ HDC/License |
Novell SUSE Linux Enterprise Server 11 SP1 64bit |
4VCPU/8GB内存/30GB系统盘/1块网卡 |
一台。此台VM中,GaussDB/WI/HDC均为主用。 |
GaussDB/WI/HDC |
Novell SUSE Linux Enterprise Server 11 SP1 64bit |
4VCPU/8GB内存/30GB系统盘/1块网卡 |
一台。此台VM中,GaussDB/WI/HDC均为备用。 |
ITA |
Windows Server 2008 R2 Standard SP1 64bit |
4VCPU/4GB内存/30GB系统盘/2块网卡 |
两台。一台为主用,一台为备用。两台VM必须部署在不同CNA节点上。 |
Loggetter (可选)TCM/AntiVirus/Patch |
Windows Server 2008 R2 Standard SP1 64bit |
2VCPU/2GB内存/30GB系统盘/50GB用户盘/1块网卡 |
一台。TCM/AntiVirus/Patch为可选组件,与Loggetter组件合一部署;TCM默认采用免费的MySQL数据库,该数据库与TCM合一部署。 |
VNCGate/vAG/vLB |
Novell SUSE Linux Enterprise Server 11 SP1 64bit |
4VCPU/4GB内存/30GB系统盘/2块网卡 |
两台。VNCGate/vAG/vLB组件合一部署。 |
当前企业在对办公人员的管理主要是基于传统的桌面进行管理,主要采用微软组策略或者第三方的管理软件或硬件对终端桌面进行控制,例如:
但是这些手段并不能很好地解决当前问题,仍然存在以下风险:
而这些手段实施也存在以下的问题和局限:
使用虚拟桌面解决方案可以很好地解决上述问题:
当然虚拟桌面解决方案本身实施中也有一些需要克服的障碍:
从整体对比来看,虚拟桌面解决方案从数据安全的角度,相对于传统本地桌面,从成本,管理,安全和环保层面,都有很大优势,而且已经成为了未来趋势。
以下对桌面解决方案的集中交付模式与传统的用户访问模式做以比较:
传统方式 |
集中交付模式 |
|
数据安全 |
业务数据直接在网络上传输 |
网络上仅传输键盘鼠标信号及远程屏幕图片,不传输业务数据 |
业务数据可存储在终端上 |
所有数据存放在后台,终端上不存储业务数据 |
|
终端管理 |
对终端缺少集中控制手段,特别是外包人员终端 |
集中对终端用户权限进行控制,例如禁止上传下载、禁止访问特定应用等 |
应用部署 |
部署成本高,尤其是对客户端软件版本存在特殊要求的时候 |
应用软件安装配置集中化、减少管理和支持成本;灵活支持应用对客户端软件版本的特殊要求 |
终端选型与应用设计密切相关 |
支持常见的终端设备和操作系统,Windows、Linux |
|
带宽占用 |
所有应用所需带宽之和 |
每个终端占用较少带宽,与应用数据传输无关 |
监管审计 |
缺少用户行为监控手段 |
对用户的操作进行录像监控 |
下表是华为在国内某大型IT企业的数据对比分析,仅供参考:
传统方式 |
基于云计算的NC |
预期效果 |
|
资源利用率 |
<5% |
>52%(NC+CI) |
提升10倍 |
24小时功耗(w) |
78283260 |
22622750 |
节省71% |
业务服务器准备周期 |
>3个月 |
<3天 |
减少97% |
维护效率 |
<100台/人 |
>1000台/人 |
提高9倍 |
以上数据图示如下:
通过实施桌面云,改进业务用户工作效率,提升整体信息安全管理水平和抗风险能力,实现保护公司信息资产和无形价值:
传统桌面环境下,由于用户数据都保存在本地PC,因此,内部泄密途径众多,且容易受到各种网络攻击,从而导致数据丢失。桌面云环境下,终端与数据分离,本地终端只是显示设备,无本地存储,所有的桌面数据都是集中存储在企业数据中心,无需担心企业的智力资产泄露。
因为桌面虚拟化带来的数据集中,可以快速、方便地集中备份/恢复用户数据;
用户可以在任何时间、任何地点,高效地访问个人桌面,获得最大的灵活性。用户不仅可远程登陆虚拟机,支持各种移动笔记本电脑、Pad(Windows)接入,可以实现无缝的随时随地接入进行远程办公,提升办公效率。而且由于数据和桌面都集中运行和保存在数据中心,用户可以不中断应用运行,实现无缝切换办公地点。
当桌面硬件被其他“瘦设备”代替时,所有外设都通过瘦终端映射到虚拟机;外设是否映射可以桌面云管理控制台上配置合适的策略进行管控。比如:它可以通过禁止使用如USB等可移动存储设备,降低使用者偷取信息和导入计算机病毒的可能。
传统桌面系统故障率高,据统计,平均每100台PC机就需要一名专职IT人员进行管理维护,且每台PC维护流程(故障申报—>安排人员维护—>故障定位—>进行维护)需要2~4个小时。
桌面云环境下,资源自动管控,维护方便简单,节省IT投资。桌面云不需要前端维护,新员工入职可以快速从后台管理Portal发放虚拟机;Windows系统补丁可以在Windows映像统一进行安装、也可以通过桌面云管控统一推送;强大的一键式维护工具让自助维护更加方便,提高了企业运营效率。使用桌面云后,每位IT人员可管理超过5000台虚拟桌面,维护效率提高10倍以上。
简化桌面设备的更新流程,由于桌面虚拟化改造后桌面操作系统集中运行在后台服务器上,只需要简单更换设备即可完成更新流程;
IT人员可以从繁琐的传统桌面管理工作中解脱出来,促进业务创新;
应用程序从操作系统中剥离后,整个生命周期管理都能够实现集中化,研发、测试、部署、配置、更新以及淘汰过程都在数据中心操作,非常高效;
配合瘦客户机(Thin Client)使用时,可以真正实现客户端零管理,病毒、误操作都不会对系统产生太大影响。
节能、无噪的TC部署,有效解决密集办公环境的温度和噪音问题。TC让办公室噪音从50分贝降低到10分贝,办公环境变得更加安静。TC和液晶显示器的总功耗大约70W左右,相比传统PC机,能有效减少70%的电费,低能耗可以有效减少降温费用。
桌面云环境下,所有资源都集中在数据中心,可实现资源的集中管控,弹性调度。
资源的集中共享,提高了资源利用率。传统PC的CPU平均利用率不足5%,桌面云环境下,云数据中心的CPU利用率可控制在60%左右,整体资源利用率提升。
公司在发展过程中,创造或积累的各种知识、阅历,如专业技能、项目经验、产品知识、发展规划、客户档案等文件,散落在员工大脑、移动硬盘、电脑等当中。企业基于核心资产和知识产权的保护需要将这些隐形知识显性化、电子化,并且对知识进行企业的收集、分类、沉淀、授权、分享、学习和持续创新。这依赖于知识管理作为新型OA系统软件中的应用实现和安全运用。
桌面云办公体系首先是将员工的核心资产(包含过程件)进行资源的统一的汇集管理,为公司建立基于知识管理的OA系统软件的推广和安全运用提供可靠的保障。
公司已经部署了较多的安全设备,但是安全事件还是频发,未能防范与为然。究其原因,还是缺少信息安全体系,导致未能有效防御关键资产的高风险,对新兴威胁不可感知,信息安全防御态势属于静态。
建立信息安全体系,构建有效的信息安全组织体系,可以指导公司信息安全工作的开展,对公司的全业务进行风险管理,保护组织信息,在与合作伙伴的业务交往中提供可靠的信赖。
建立全员的KPI绩效评定指标,纳入信息安全考核和知识沉淀指标,促进公司信息安全水平提升和内部知识分享。
随着技术与应用的发展,对服务器的可靠性、性能、可维护性、成本等方面都提出了更高的要求,糟糕的可靠性、落后的性能、极低的利用率、高昂的管理成本都成为用户业务开展的绊脚石。Tecal RH5885 V3机架服务器(以下简称RH5885 V3)是华为基于英特尔最新处理器技术,结合多年的服务器经验而推出的高可靠、高性能企业级服务器。
RH5885 V3可以提供比以往服务器更好的可靠性、灵活性和可扩展能力,提供更为强大的性能,通过选择不同的处理能力、内存容量和IO能力等,满足数据库、虚拟化、内存计算等各种应用需求。
可靠性、可用性和可服务性特点
RH5885 V3提供多个特性来保证服务器的稳定运行,简化可服务性并且延长系统的正常运行时间:
增强型故障诊断和恢复机制eMCA,对可恢复性错误自动纠正,保证系统正常运行;BIOS优先处理内存的可纠正错误,并准确定位到物理内存单元。
芯片级的高级容错特性(CPU、芯片、链路硬件错误的自动修复和恢复功能),最大程度的规避硬件错误造成的系统当机。
内存支持SDDC(内存单颗粒错误纠正)及DDDC(内存双颗粒错误纠正),修复内存软错误和保证系统正常运行。
服务器提供内存镜像和内存模组备用功能,避免不可纠正的内存硬故障导致系统停机。
支持内存离线故障指示,专用板载LED指示故障内存位置。
关键部件(电源、风扇、硬盘)全冗余和免开箱热插拔设计,可在系统正常运行的情况下快速更换故障部件,保证系统的高可靠性。
支持IO故障切断功能,当RH5885 V3检测到IO设备致命错误时,自动进入病毒模式,断开系统和IO设备之间的链路,防止错误扩散到其它设备。
服务器提供热插拔驱动器,以便通过RAID冗余来提供数据保护支持并且延长系统的正常运行时间。
固有的集成管理模块(iMana)能够持续监控系统参数、触发报警,并且在故障真正发生时采取恢复措施,最大限度地避免停机。
通过带外和带内故障管理软件来实现PFA和故障管理,对系统的部件进行跟踪,然后在部件达到导致系统中断点之前进行预告警,同时运行自诊断自纠正、自我修复或者进行计划维护(包括在线、下线,用好的部件代替正在出问题的部件),故障PFA的部件包括CPU、DIMM、FAN、PSU、HDD等。
支持LED诊断面板,现场快速准确定位,极大缩短故障修复时间。
优化的散热系统,支持环温40度长期稳定运行(不配大功耗SSD卡时,配置SSD可长期稳定工作在35度)。
高级容错、故障恢复、关键部件冗余等,保证系统可用度达到99.999%。
性能及可扩展特点
RH5885 V3提供大量特性来提高性能及可扩展性并且降TCO(Total Cost of Ownership):
Intel® Xeon® E7-4800 V2系列处理器支持高达15核、37.5MB L3缓存及最多3条8.0 GT/s QPI互连链路,提供卓越的系统性能。
最多4个处理器、60个内核及120个线程能够最大限度地提高多线程应用的并发执行能力。
Intel睿频加速技术(Turbo Boost Technology)提供智能的自适应系统性能,允许CPU内核在工作负载高峰期临时超越处理器TDP(Thermal Design Power)以最大速度运行。
Intel超线程技术允许每个处理器内核中并发运行多个线程(每个内核最多2个线程),从而提高多线程应用的性能。
Intel虚拟化技术集成了硬件级虚拟化功能,允许操作系统供应商更好地利用硬件来处理虚拟化工作负载。
最多48根内存,支持高达1.5TB的内存容量
支持7个标准PCIE扩展槽,服务器通过不占用标准PICe插槽提供1个网卡插卡,满足4*GE或2*10GE灵活选配。
与上一代的PCI Express 2.0相比,PCI Express 3.0 I/O扩展功能允许服务器将理论最大带宽提高60%(8 GT/s/链路)。
可用性和可服务性特点
RH5885 V3提供多个特性来简化可服务性并且延长系统的正常运行时间:
芯片级的高级容错特性(CPU、芯片、链路硬件错误的自动修复和恢复功能),最大程度的规避硬件错误造成的系统宕机。
内存支持SDDC(内存单颗粒错误纠正)及DDDC(内存双颗粒错误纠正),修复内存软错误和保证系统正常运行。
服务器提供内存镜像和内存模组备用功能,避免不可纠正的内存硬故障导致系统宕机。
关键部件(电源、风扇、硬盘)全冗余和免开箱热插拔设计,可在系统正常运行的情况下快速更换故障部件,保证系统的高可靠性。
服务器提供热插拔驱动器,以便通过RAID冗余来提供数据保护支持并且延长系统的正常运行时间。
固有的集成管理模块(iMana)能够持续监控系统参数、触发报警,并且在故障真正发生时采取恢复措施,最大限度地避免停机。
支持LED诊断面板,现场快速准确定位,极大缩短故障修复时间。
可管理性及安全性特点
强大的系统管理特性能够简化RH5885 V3的本地及远程管理工作:
服务器中包含集成管理模块(iMana)来监控服务器的可用性并且开展远程管理,支持IPMI2.0标准接口。
集成了业界标准的统一可扩展固件接口(UEFI),因此能够提高设置、配置和更新效率并且简化错误处理流程。
业界标准的AES NI能够实现更快速、更强大的加密。
Intel执行禁位(Execute Disable Bit)功能若与其支持的操作系统联合使用的话,可帮助防止某些类型的恶意缓冲溢流攻击。
Intel可信执行技术(Trusted Execution Technology)可基于硬件抵御恶意软件攻击,允许应用运行在自己的独立空间中,保护它们不受到系统中运行的所有其他软件的影响,从而增强安全性。
能源效率
RH5885 V3提供以下能效特性来节省能源、降低运营成本、提高能源可用性、并且为创建绿色环境贡献力量:
与上一代产品相比,Intel® Xeon® E7-4800 V2系列处理器大大提高了性能,但热设计功率(TDP)限度却与上一代产品相同。
Intel智能电源管理功能(Intelligent Power Capability)可根据需要为单个处理器单元通电或断电,从而降低功耗。
低电压的Intel® Xeon®处理器能耗更低,能够满足电力和热力受到限制的数据中心与电信环境的需求。
低电压1.35 V DDR3内存RDIMM的能耗比1.5 V DDR3 RDIMM低15%。
固态驱动器(SSD)的功耗低于传统的2.5英寸硬盘80%。
RH5885 V3集成了新一代的iMana 200智能管理系统,iMana 200智能管理系统是华为自主开发的具有完全自主知识产权的服务器远程管理系统。它兼容服务器业界管理标准IPMI2.0规范,具有高可靠的硬件监控和管理功能。同时iMana 200智能管理系统和机框管理模块可以无缝通讯,通过机框管理系统模块同样也可以管理框内计算节点。
iMana 200智能管理系统的主要特性有:
支持键盘、鼠标、视频和文本控制台的重定向。
支持远程虚拟媒体。
支持智能平台管理接口(IPMI)V2.0版本。
支持简单网络管理协议(SNMP)V3版本。
支持通用信息模型(CIM)。
支持通过Web浏览器登录。
iMana 200智能管理系统的主要规格如表5-1所示。
iMana 200智能管理系统规格
规格 |
描述 |
管理接口 |
支持多种管理接口,满足各种方式的系统集成,可与任何标准管理系统集成,支持的接口如下所示: IPMI V2.0 CLI HTTPS SNMP V3 |
故障检测 |
提供丰富的故障检测功能,精确定位硬件故障。 |
系统看门狗 |
支持BIOS POST、OS看门狗以及故障超时自动复位系统功能,可配置各功能是否启动。 |
启动设备配置 |
启动设备可带外配置。 |
告警管理 |
支持告警管理及SNMP Trap、SMTP、syslog服务多种格式告警上报,保障设备7*24小时高可靠运行。 |
集成KVM |
提供方便的远程维护手段,支持KVM以及KVM over IP,在系统故障时也无需现场操作。最大支持1280*1024分辨率。 |
集成虚拟媒体 |
支持将本地媒体设备或镜像虚拟为远程计算节点的媒体设备,简化操作系统安装的复杂度。虚拟光驱最大支持8MB/s。 |
基于web的用户界面 |
支持可视化的图像界面,可以通过简单的界面点击快速完成设置和查询任务。 兼容的浏览器如下所示: IE 7.0/8.0 Firefox 9.0 CHROME 13.0 SAFARI |
故障现场还原 |
还原故障现场信息,让分析系统崩溃原因不再无处下手。 |
屏幕快照和屏幕录像 |
无需登录即可查看屏幕快照,让定时巡检变得如此简单。 |
DNS/LDAP |
支持域管理和目录服务,大大简化服务器管理网络和配置复杂度。 |
软件双镜像备份 |
当前运行的软件完全崩溃时,可以从备份镜像启动。 |
设备资产管理 |
智能的资产管理,让资产盘点不再困难。 |
支持智能电源管理 |
功率封顶技术助您轻松提高部署密度,动态节能技术助您有效降低运营费用。 |
IPv6 |
支持IPv6功能,方便构建全IPv6环境,不用再为IP地址枯竭而烦恼。 |
NCSI功能 |
支持NCSI(Network Controller Sideband Interface)功能,助您通过业务网口访问iMana系统。 |
组件 |
规格 |
形态/高度 |
机架式/4U,支持抱轨和理线架。 |
处理器 |
最多4颗Intel® Xeon® E7-4800 V2(Ivy Bridge-EX),单CPU最大37.5M L3 Cache/15核。 |
芯片组 |
Intel Patsburg PCH。 |
内存插槽 |
48个DIMM插槽。 |
最大内存 |
1.5TB(使用32GB内存)。 |
磁盘驱动器托架 |
支持8个或23个2.5英寸热插拔SAS/SATA/SSD HDD。 |
最大内部存储容量 |
最大7/23 TB(使用1TB 2.5" SATA/NL SAS HDD) 最大20TB(使用900GB 2.5" SAS HDD) 说明 RH5885 V3支持8硬盘及23硬盘两种不同配置。 |
RAID支持 |
RAID采用扣卡形式,支持选配。 支持RAID 0、1、10、1E。 支持RAID 0、1、10、5、50、6、60,支持最大2GB Cache,支持超级电容保护模块。 |
网络接口 |
板载网卡采用网卡插卡的方式,支持灵活选配: 4个千兆以太网1000BASE-T网口 2个10GE光口或者电口 |
PCIe扩展插槽 |
总共支持7个标准PCIe扩展槽: 1个PCIE x16 3.0 3个PCIE x8 3.0 2个PCIE x4 3.0 1个PCIE x4 2.0 |
外部端口 |
前面板:2个USB2.0、1个开机按钮、1个UID按钮、1个VGA、1个LED诊断面板。 后面板:2个USB2.0、1个VGA、1个串口、1个100M管理网口、1个UID指示灯、2个GE网口(板载网卡可选配)。 |
光驱 |
1个光驱 |
系统电源 |
可选配的电源模块配置方式有: 2个1+1/2+2冗余1200W AC电源模块(支持240V高压直流) 2个1+1/2+2冗余750W AC电源模块(支持240V高压直流) 2个1+1/2+2冗余800W DC电源模块 |
系统管理 |
IPMI2.0 |
安全特性 |
加电密码、管理员密码 |
支持的操作系统 |
请查看最新兼容性列表 |
尺寸(高×宽×深) |
175mm×447mm×790mm |
重量 |
最高配置:45kg |
物理环境 |
运行环境: 环境温度:10℃ ~ 35℃(不配置SSD卡时可支持到40度),海拔每300米降一度,最高海拔3000米。 环境湿度:8% RH ~ 80% RH(twmax = 29℃)。 存储环境: 环境温度:-40℃ ~ 65℃。 环境湿度:5% RH ~ 95% RH(twmax = 38℃)。 |
OceanStor SNS V1R2 系列交换机是华为技术有限公司生产的 SNS 系列光纤交换机。包 括 OceanStor SNS 2124, OceanStor SNS 2224, OceanStor SNS 2248, OceanStor SNS 3096, OceanStor SNS 5192,OceanStor SNS5384 共 6 种型号。
SNS V1R2 系列光纤交换机是一种自适应光纤交换机,具有最新的适用于光纤 SAN 的 SNS 单芯片构造。SNS 系列光纤交换机属于高中小型商务类交换机,能够满足各种类型 SAN 组网要求。
OceanStor SNS V1R2 系列光纤交换机集 RAS(Reliability, Availability, and Serviceability) 性能于一体,符合企业级交换机的可扩展要求,具有互操作性,易于使用。
强大的管理软件
AG(Access Gateway)模式
OceanStor SNS V1R2 系列光纤交换机的 AG(Access Gateway)模式通过 NPIV 技术(N_Port ID Virtualization)实现。不同厂家生产的交换机不能通过 E_Port 级联,这正是 AG 模式产生的前提。SNS V1R2 交换机通过 AG 模式连接其他交换机,从技术上避免 了 E_Port 级联的障碍。AG 模式保证了 SAN 存储网络连接的灵活性。
Trunking
OceanStor SNS V1R2 系列交换机的 Trunking 功能,通过将一组链路合并成单一的逻辑 链路,实现优化带宽使用。流量在链路组中动态有序地分配,依靠较少的链路实现较高 的性能,如图所示。在 Trunking 组中,若干个物理端口被视为单一的端口,从而简 化了管理。Trunking 通过有序传输数据和规避某条链路中断后的 IO 重试来保证系统的 可靠性。Trunking 技术基于帧,所以 SNS V1R2 系列交换机的 Trunking 技术比基于交换 机的 Trunking 更加精确和均衡。
OceanStor SNS V1R2 系列交换机的 Trunking 包括以下几种:ISL Trunking(E_Port Trunking)、EX_Port Trunking、F_Port Trunking 和 N_Port Trunking。所有类型的 Trunking 均需要 Trunking License 许可。
长距离传输
根据 FC 协议标准定义,为了支持在远距离上传输光纤通道信号,任何一端的扩展连接 上的光纤通道端口必须支持高等级的缓冲信用量(Buffer Credit)。
一个信用点缓存让发送端有权发送一个数据帧,当数据帧到达远端时,并获取到远端发 回来的确认信息时,发送端才能再发送下一个数据帧,传输的过程中有一个等待确认的 时间,如果距离过长等待确认的时间就会相应增加,用户能够得到的有效带宽就会降低。 因此,在较长的距离上传输光纤通道的关键是为发送端提供大量的缓冲信用量。这种方 法让发送端可以在等待返回确认信息的过程中,继续不断地向光纤通道发送若干个数据帧。
缓冲信用量的最佳数量根据距离(帧的传输时延),帧的发送时延,链路信号频率和帧 大小来确定。当链路速率提高时,帧的传输时延减小,缓冲信用量的值必须增加以保证 链路充分利用。但缓冲信用量太多也容易造成接收端数据帧阻塞。缓冲信用量从一个共 同的缓冲池中分配到交换机的一组端口上,可以根据实际应用或业务场景进行配置。
参数 |
SNS2124 |
端口数 |
共24个端口,以8端口的增量增加为8、16和24个通用端口 |
端口类型 |
FL_Port、F_Port、M_Port、E_Port、U_Port、N_Port |
端口速率 |
1、2、4和8 Gbit/sec |
最大延时 |
本地交换端口延时为700 ns |
总带宽 |
|
介质类型 |
SFP、SFP+、LC接头、短波(SWL)、长波(LWL)、超长波(ELWL) |
最大帧大小 |
2112 字节净负荷 |
缓冲帧 |
可动态分配700帧,每端口最多为484帧 |
可扩展性 |
功能全面的 Fabric 架构,最多可有 239 台交换机 |
服务等级 |
Class 2、Class 3、Class F(交换机间帧) |
USB |
1 个 USB 口,用于系统日志文件下载或微码升级 |
华为瘦终端支持虚拟化桌面,设备精巧,让办公环境更加简洁。
USB映射、双向语音映射、位图加速,专利技术带给您独有的用户体验。
结构紧凑、精致灵巧的产品形态,加上行业领先的无风扇设计,把视觉压力、听觉压力远远地抛在脑后;双屏双显的绝美应用,让工作更加得心应手。
产品拥有超强的环境适应、协调能力:可背挂于显示器后,支持VESA国际标准背挂方式;可立于桌面上。让您动动手指,就能随心所欲改变办公环境。
CT3100:普通TC,普通办公
技术规格如下:
参数 |
CT3000 |
备注 |
尺寸 |
105mm * 105mm *29mm |
|
功耗 |
5.4W |
|
处理器 |
ARM Cortex A9 1.0GHz |
|
内存 |
DDR3:1G |
|
存储 |
1G Nand Flash |
|
系统类型 |
ARM架构, Linux自由版 Linux安全版 |
|
显示特性 |
本地支持24位真彩色显示 |
|
显示接口 |
两路(DVI&VGA)同源输出最大分辨率:1920x1200@60Hz |
|
USB端口数量 |
4个USB 2.0标准接口 |
|
PS2 |
无 |
|
串口 |
无 |
|
并口 |
无 |
|
网口 |
1个千兆(RJ-45) |
|
音频IO端口 |
输出:3.5mm小型接口 输入:3.5mm小型接口 |
|