1、广州市公安局天河区分局桌面虚拟化建设项目用户需求2018 年 6 月一、项目概述(一)项目现状天河区面积 137 平方公里,下辖 22 条行政街道,天河区公安分局共有 45 个在编机构,其中包括 23 个派出所(包括两个治安所),民警 2218 人,辅警 1131 人。台式电脑共 2800 台,分布使用在各单位,使用年限和数量如下图:年限 2017 年 2016年2015年2014年2013年2012年2011年2010年2009年2008年数量 250 202 422 376 481 281 392 110 194 92合计 2800目前 PC 使用状况存在以下问题:1. 管理难度大(1)桌
2、面系统缺乏标准化的管理,软件部署、更新以及打补丁频繁,管理不集中、不统一;(2)设备比较分散,人工维护任务繁重,技术人员疲于应付;(3)大部分 PC 比较陈旧,使用时间长(24 小时使用) ,故障率高,故障原因复杂,排查难度高。2. 服务能力不足(1)内部使用的系统多,插件多,系统环境复杂,容易产生系统兼容性问题,导致软件冲突,需要较长时间进行排查处理,导致办公办案处理时间延长;(2)病毒防护能力差,中毒频繁,影响了 PC 的正常运行,普遍反映 PC 运行慢;(3)PC 出现故障时难以快速修复,服务能力不足。3. 运维成本高(1)电脑终端设备的维护成本不断上升,IT 运维人员不仅要进行PC 机
3、进行维护,还要对操作系统环境、应用的安装配置和更新进行桌面管理和维护,随着应用的增多,维护工作量呈上升增长趋势;(2)PC 故障多,需要采购大量零配件进行维修,维修成本高;(3)每隔 5 年 PC 因老化需要更新换代,采购成本较高;使用者众多,维护管理较难;缺乏统一的运维管理软件,难以实时监测 PC运维状况。(二)建设目标随着应用场景越来越复杂,对业务系统的功能性、方便性、安全性要求越来越高,继续延用传统的单机模式无法达到系统高效、节能运行的管理要求。本项目应用当前市场上成熟的桌面云技术来解决目前存在的问题,减轻单机模式对管理工作造成的负担,实现对前端的统一发布、统一更新、统一监控和统一管理,
4、统一分配IT 资源,维护人员需要做的只是管理好后台,为用户提供一个洁净的操作环境,从而极大的提高工作效率与管理效能。本项目采用桌面虚拟化套件提供虚拟桌面管控发布,Hypervisor 虚拟化软件作为后端虚拟化支撑软件,全闪存存储作为用户系统盘,统一存储作为用户数据盘以及刀片服务器作为支撑硬件,为天河公安构筑桌面云整体解决方案,实现天河公安分局45 个单位(考虑先行第一期建设,按 1000 个终端计算)的桌面云建设工作。序号 项目名称 建设内容1 桌面云建设利用现有网络设备,通过租赁服务器等设备建设 1000 个天河分局桌面云服务平台,实现办公桌面的统一管理和维护升级等。通过本项目,计划实现以下
5、目标:(1)提高业务系统的工作效率以及桌面管理的便捷性,加强保密信息的安全性。(2)减少维护成本,降低故障率,延长设备使用寿命。(3)提高设备运行速度,增强应用终端抗病毒能力,提升服务水平。(4)在 IT 环境不断升级更新中确保软硬件设备的可持续服务。(5)大幅减少使用功耗,实现强效节能。二、建设要求(一)建设原则1. 流畅体验应提供与 PC 一致的用户体验,保证流畅的桌面操作,并且良好兼容手写板、身份证读卡器、U 盘、鼠标、键盘、打印机、耳机、麦克风、投影仪、公安数字证书等各类外设。2. 高可靠性应提供主机和磁盘的冗余部署机制(比如 HA 技术、虚拟存储技术等) ,确保桌面及业务的可靠运行,
6、同时要求桌面架构具备平滑扩容能力。3. 易于使用应提供简单易用的管理平台,从而实现简单高效的安装调试及运维管理,提升运行效率。4. 高安全性应提供前端、传输端、后端等更全面、多层次的安全功能,包括多种认证方式、传输层加密、数据盘加密等,从而有效保护平台及用户安全。5. 与现有系统结合必须具有良好的兼容性和易用性,不改变业务系统的主要结构,也不过多的改变业务系统用户的使用习惯。(二)总体方案概述本方案采用桌面虚拟化套件提供虚拟桌面管控发布,Hypervisor 虚拟化软件作为后端虚拟化支撑软件,全闪存存储作为用户系统盘,统一存储作为用户数据盘以及刀片服务器作为支撑硬件,为天河公安构筑桌面云整体解
7、决方案。方案拓扑如下所示:在本方案中,部署 17 台两路刀片高密度服务器,搭配虚拟化软件和桌面云软件,闪存和融合存储分别作为用户系统盘和数据盘,运行虚拟桌面客户机;部署 2 台两路刀片服务器,搭配桌面虚拟化套件,提供虚拟桌面的分发,认证登录等功能;在分局、派出所、各大队的办公区域部署瘦终端及基础 IO 设备,替换旧有 PC 机,利用分局原有的内部交换网,构筑完整的桌面云解决方案。分局内部正在部署一个 IaaS 层的私有云管理平台,作为 IT应用环境的一部分,桌面云应保持与私有云管理平台的管控兼容性,以便天河分局日后构建统一的云计算系统。(三)办公桌面资源需求根据对现有的桌面使用情况进行分析,在
8、本项目部署的 1000个办公桌面中,约有 700 个办公点只需进行日常的办公,主要操作包括基本文档操作、数据查询、OA 办公、警务平台等系统操作。该桌面信息总结如下表:虚拟桌面办公类(700)操作系统 Windows 7安装软件 WPS 2016Adobe ReaderWinzip 等常用办公软件虚拟机配置 2 VCPU4G 内存50G 系统盘80G 用户盘工作网络带宽要求 500kbps1mbps另外 300 个办公点除了上述操作外,还需进行一定的监控视频浏览(如查阅监控录像等) ,其信息总结如下表:虚拟桌面视频类(300)操作系统 Windows 7安装软件 WPS 2016Adobe R
9、eaderWinzip 等常用办公软件视频查看软件推荐虚拟机配置 4 VCPU8G 内存80G 系统盘100G 用户盘工作网络带宽要求 20mbps30mbps(四)方案架构本方案的虚拟桌面云的基本架构如下图所示:办公桌面:办公桌面即为部署在每个办公点的虚拟桌面接入设备,可为专用的瘦桌面终端,利旧的 PC 机等(包含基本的输入/输出设备如显示器,鼠标,键盘,网口,USB 口等) 。接入设备运行一个用于登录,认证,编解码等输入/输出功能的客户端软件。数据传输:数据传输层即为客户原有的办公网络架构,用于传送办公桌面与虚拟桌面服务器的数据交互。虚拟桌面控制器:用于提供办公桌面与虚拟桌面服务器之间的资
10、源匹配对应,登录认证管理,以及移动登录等。虚拟桌面服务器:虚拟桌面服务器上运行虚拟化软件,通过虚拟机提供办公桌面真正运行的位置,以及提供支撑的 CPU,内存,磁盘,网络和编解码资源。(五) “一机两用”软件兼容接入公安内网的办公桌面需按照公安部的统一部署,安装“一机两用”软件,因此,需考虑虚拟桌面如何与“一机两用”软件兼容的问题。公安内网的工作软件需进行数字证书认证,以及 USB-KEY 认证,因此,需保持与原有 PC 一致的总线映射,消除对接问题。(六)功能需求1. 集中分类管理通过系统映像“只读副本”机制,管理员只需管理虚拟桌面模版,大大减少运维管理的工作量和难度,提高运维管理效率。可以为
11、不同的用户设计不同的桌面模版,统一通过桌面云中央管理平台发布给终端用户,提供用户专享桌面。2. 桌面环境保护防止数据泄漏,通过专属协议通道将桌面显示传输到前端用户。数据均存储在后台存储,大大降低了用户数据泄露的可能。3. 监测控制管理基于 Web 的监测控制台,提供实时可视能力,可观察所有运行在虚拟桌面集群服务器上的虚拟桌面会话;管理员可以灵活的浏览虚拟桌面会话;控制台还提供实时服务器使用情况。4. 支持现有设备可以通过技术手段将符合要求的终端改造成云终端。在使用过程中,可让原有的独立 PC 变成可管理的云终端,方便统一管理以及部署。不仅可以大大减少投入成本,而且还能真正的让管理员以桌面云的方
12、式来管理,让运维更方便。5. 共享数据访问控制(1)瘦客户机和传统 PC 与桌面云数据隔离:用户通过桌面云协议连接虚拟桌面,用户通过设置桌面云会话策略,可以防止文件共享、瘦客户机和传统 PC 与虚拟桌面间数据拷贝等,从而实现物理终端与桌面云数据隔离;(2)桌面云个人数据隔离,实现每用户间个人数据隔离。6. 外设管理支持目前所使用的 USB 外设,包括摄像头、公安数字证书、打印机、验证通,投影仪等。虚拟桌面内使用 U 盘、光驱等 USB 外部设备,都是由用户接入端(瘦客户机或利旧 PC 主机)通过网络将接入端上识别的设备重定向到服务器端内用户桌面内,保证用户在虚拟桌面内使用外设与在 PC 主机上的使用方式一致,同时,为了提高系统的安全性,系统支持在重定向层进行设备过滤,实现未经授权的设备禁止重定向到用户桌面,从而实现对外部设备的管理功能。7. 日志审计系统提供实时的系统运行日志、用户日志,支持管理员自定义查询功能,并可导出相关日志。三、设备配置及技术参数(一) 项目方案总体配置清单序号产品名称 功能/规格数量单位备注一、桌面云系统1桌面云管理软件平台具有分别支持瘦客户机和传统 PC 机的虚拟桌面管理能力。具有至少可支持4000 台以上虚拟桌面的管理能力。1 套技术参数见“桌面云软件
