1、第 1 页 共 14 页1 方案概述通过智能桌面虚拟化技术,终端电脑的操作系统镜像以及应用(包括集成开发环境)集中部署在虚拟桌面服务器中,服务器根据不同的工作环境下发所需的虚拟桌面镜像给终端用户使用。直接在终端客户机上部署基于裸金属架构的虚拟桌面软件,多个操作系统可作为虚拟机并排安装,允许用户同时运行多个操作系统实例,并保持不同操作系统间的完全隔离,确保最高的安全性;同时用户可以直接访问图形硬件,获得最佳的用户体验。本项目产品的技术原理架构如下图所示。所有终端用户均可通过虚拟桌面系统访问和使用自己的虚拟桌面环境。通过桌面虚拟系统在数据中心的存储设备,为每用户划分独立的存储空间,终第 2 页 共
2、 14 页端 PC 机中不再保存相关数据文件。2 建设方案2.1 方案设计原则遵循现有的 IT 网络架构,以及网络建设管理规范;符合安全管理规定,并兼容现行的安全防护体系;在保证数据安全的前提下,实现教学人员在电教室、实验室中使用任一终端 PC电脑即可登录自己的桌面,并访问教学数据。在确保安全的前提下,实现教学数据、桌面的集中存储与管理。2.2 建设方案采用 IDV 智能桌面虚拟化技术。IDV,英文全称 Intelligent Desktop Virtualization,即智能桌面虚拟化。IDV 架构集中管理,分布运行桌面虚拟化 IDV 架构图智能桌面虚拟化(Intelligent Desk
3、top Virtualization,简称 IDV)是一种新颖的技术观念,IDV 采取的是分布式运行方式来满足运营技术需求,同时对桌面、应用与数据进行集中管理与存储。 本方案具备 IDV 架构的所有技术优点,通过对创建标准镜像对研发、实验桌面进行集中管理,同时利用客户端本地资源运行各种桌面环境与应用程序,为用户提供更安全、更简单、更灵活、更流畅的桌面体验,在保证数据安全的前提下,实现第 3 页 共 14 页用户真正地随时随地、在任何设备上安全访问桌面和应用。中科同向公司智能桌面虚拟化系统,简称 CDCC。 CDCC 采用当前最新的 IDV桌面虚拟化技术,具备 IDV 架构的所有技术优点,通过对
4、企业标准镜像进行集中管理,同时利用客户端本地资源运行各种应用,能够为用户提供更简单、更灵活、更安全、更流畅的桌面体验,实现用户真正地随时随地、在任何设备上安全访问桌面和应用。2.3 CDCC 系统架构中科同向 CDCC 是直接安装在客户端上的裸金属架构,多个操作系统可作为虚拟机并排安装,CDCC 可以全面隔离每个虚拟机,确保最高的安全性;同时用户可以直接访问图形硬件,获得最佳的用户体验。中科同向 CDCC 是一种高性能裸机系统管理程序,允许用户同时运行多个操作系统实例,同时保持不同操作系统间的完全隔离。CDCC 本项目产品使用当前市场上最快速最安全的虚拟化架构,基于 Intel vPro 硬件
5、虚拟化技术,可支持全面的 3D图形和高清视频。中科同向 CDCC 架构说明如下:2.3.1 裸机系统管理程序允许用户同时运行多个操作系统实例,同时保持不同操作系统间的完全隔离。CDCC 使用当前市场上最快速最安全的虚拟化架构,基于 Intel vPro 硬件虚拟化技术,利用英特尔虚拟化技术,是一种新的裸机客户端管理程序,使每一个虚拟机都能够在硬件上直接运行,而不是在已安装的操作系统内进行托管。IT 部门可以提供高度安全的封闭式企业环境,用户能够灵活地在一个单独的虚拟机中安装个人应用,而不会降低任何一个桌面的安全性,同时还能提供高清用户体验。2.3.2 CDvM 网络安全控制系统基于 CDCC
6、的终端电脑设备可以连接到 CDvM 上,进行虚拟防火墙设置、Qos策略设置、虚拟化审计。虚拟防火墙是针对虚拟化的安全防护功能,专为虚拟网络设计的 ACL(Access Control List,访问控制策略)控制、强大的分层式防护设计与自动化安全功能,为用户提供更严密的安全防护,用户访问控制(ACL)可对虚拟机之间进行进一步隔第 4 页 共 14 页离,为虚拟机之间的数据安全增加了一层保护。可控制到网络三层协议,通过虚拟化环境中目的端口和源端口之间的协议控制来控制访问增强安全性,可限制某一方向、或某一接口上的通信流量,能有效阻止信息被访问的程度,降低信息泄露的风险。CDvM 支持细粒度的 Qo
7、S 设置,通过设置最大限制速率和最大突发值既保证和整个网络的畅通,又最大程度保证核心业务的高效运行。虚拟审计主要分为三部分,包括报表统计、一小时内流量排行榜 Top10(流入) 、一小时内流量排行榜 Top10(流出) 。其中报表统计部分以列表形式显示,流量排行榜部分以更为直观的饼图加列表的形式显示,可以准确的查看到虚拟网络环境中数据发送的状况,包括协议、字节数、包数、源端口、目的端口,并可以导出为 Excel以备存档使用。2.3.3 备份存储 CDvR作为备份与同步服务器,CDvR 在中科同向虚拟化软件和桌面虚拟化软件CDCC 中都占有举足轻重的地位,虚拟化环境下上传/ 下载引擎 vtran
8、s,独特的去重、压缩、增量算法,大大降低了网络和磁盘的负载。CDvR 是中科同向虚拟化软件虚拟机的备份中心,所有备份、复制的虚拟机文件都会存储在 CDvR 上。当虚拟机故障时,用户可以选择某一时间点的备份文件进行快速恢复,有效降低了由于系统故障而导致数据丢失的风险。在 CDCC 的使用中,CDvR 不但是用户数据的同步与备份中心,同时也是用户和桌面的管理中心,是整个桌面虚拟化系统的神经中枢。CDCC 集中管理、分布运行的优势与特点都需要通过 CDvR 来体现,例如:用户创建与管理、策略的定义与分配、桌面镜像及主机的管理与控制、消息的定义与发布等,并且支持分布式镜像分发架构,大大提高了镜像分发速
9、度。2.3.4 用户数据管理CDCC 用户数据集中存储是 CDCC 的增值模块,用于用户文档数据管理,是企业级产品,为党政、教育、企业、医卫、金融、制造业等各行各业的业务改善与管理提供文档管理服务。开放式的系统架构,可无缝结合已有业务应用、安全部署、简便操作等需求,更快更好地融入到组织单位的业务和管理中去,为用户提供全面的文档管理服务。第 5 页 共 14 页文档数据管理系统开放系统架构应用IT 环境用户身份等API 接口AnyShare 同步器无缝兼容身份认证数据、验证、兼容数据、验证、兼容支持多种身份认证方式,包括本地认证、异地认证、本地或异地认证,可以无缝统一或者融入到用户身份认证系统中
10、。默认支持 Windows 域,基于 LDAP 协议,对 Windows 域深度兼容,支持域、域树、域林以及域对外信任的用户验证。大大保障了用户数据的安全性。桌面安全软件兼容,文档数据管理系统除了本身强大的安全保障(如 ACS 访问控制系统等) ,还可以完全支持无缝兼容桌面安全软件。安全数据防止泄密,有效控制桌面本地数据泄密,有效控制同步数据中心数据泄密,并可设置为类似网盘模式,保证在桌面终端本地不会存放用户数据。 员工A员工B员工C部门内部 核心层 总监经理 总工普通员工加密文档禁止流转 解密授权流转解密授权流转 加密文档禁止流转 加密文档禁止流转防泄密服务器EISOO AnyShare F
11、amily3.0 V2安全文档云安全文档云文档防泄密提供高效有序的文档管理解决方案。兼容用户已部署防泄密系统。第 6 页 共 14 页2.4 CDCC 系统主要功能CDCC 桌面虚拟化主要由三部分组成:管理中心 CDvM、备份与同步服务器CDvR、桌面虚拟化软件 CDCC。CDvM 安装在一台 PC 机(或中科同向虚拟化软件虚拟机)上,是桌面虚拟化解决方案的管理中心,用于镜像管理,用户(组)管理、虚拟桌面集中控制,客户端性能监控、策略管理以及防火墙设置和 QoS 保证等。CDvR 安装在一台 PC 机(或中科同向虚拟化软件虚拟机)上,进行虚拟机标准镜像存放与维护更新;对客户端本地数据进行增量备
12、份,将用户本地虚拟桌面同步到数据中心。图 2-2 中科同向 CDCC 系统部署示意图CDCC 是基于本地虚拟化 IDV 架构的桌面虚拟化平台,本质是把服务器虚拟化技术中广泛采用的超虚拟化移植到客户端,同时加入了对各种多样的客户端设备及外设的支持、电源管理等特性支持。CDCC 可在本地客户端直接运行桌面和应用软件,能够实现离线虚拟桌面,为用户带来体验流畅、完全网外移动的完美体验。第 7 页 共 14 页作为一个企业级的桌面虚拟化解决方案,中科同向 CDCC 桌面虚拟化采用集中管控、分布运行的架构。客户端的虚拟桌面可以通过 CDvR 进行同步,可以统一下发标准虚拟机镜像,也可以定时备份客户端上的本
13、地数据。同时 CDvM 通过集中的策略管理,可以限制被管理的虚拟桌面对外设和网络的访问、加密本地存储的数据、设置 QoS、在设备丢失后进行远程镜像关闭、远程擦除,从而保证客户端数据的安全性。中科同向 CDCC 系统主要功能包括:2.4.1 数据漫游用户凭用户名、密码可在任意客户端访问自己的数据;任意客户端在某一用户登录注销后,其它用户可无障碍登录继续访问自己的数据,实现了真正的数据漫游功能,为用户带来更高的移动性。2.4.2 用户桌面个性化定制用户可将企业标准镜像下载到本地,同时也可以在本地对镜像进行个性化定制,IT 管理员只需维护标准镜像。2.4.3 支持离线使用可支持离线使用功能,在网络条
14、件差、甚至没有网络的情况下,用户仍然可以访问桌面和应用,网络中断或网络故障不会带来桌面失效。2.4.4 支持高清视频、3D 设计等复杂应用采用本地虚拟化技术,充分利用本地计算资源,图形设计、高清视频、多任务等复杂应用,用户体验流畅。2.4.5 兼容外设可兼容 U 盘、打印机、UKey、加密狗等外设。2.4.6 外设权限可管理管理服务器根据设置的策略,选择对用户开启或者禁止访问光驱、USB、打印机、COM 等外设,避免数据泄露或外来病毒入侵。2.4.7 用户数据集中管理本地客户端只保存操作系统、应用程序等系统文件,用户数据文件集中到存储服务器端进行统一管理,应用程序在本地设备启动,对性能影响非常
15、小。第 8 页 共 14 页2.4.8 用户权限管理CDvM 创建桌面用户,每个用户拥有独立的虚拟桌面,各用户虚拟桌面之间完全隔离,可保证用户的信息安全。用户凭用户名、密码可在 CDvM 管理下的任意客户端访问自己的桌面;CDvM 管理下的任意客户端,某一用户登录注销后,其它用户可无障碍登录继续访问自己的桌面。CDCC 实现了真正终端漫游功能,为用户带来更高的移动性,用户可随时随地访问自己的桌面。2.4.9 虚拟桌面的容灾与备份:CDvR 可实现镜像的集中管理和本地虚拟桌面的数据同步管理,每次用户连接到网络时,根据预先设置的备份策略将本地数据增量备份到数据中心。CDvM 进行虚拟机快照策略管理
16、,按照一定的快照策略,创建虚拟机快照;当用户数据损坏时,CDvR 可将用户数据恢复到损坏之前的状态。若客户端设备丢失或被盗, CDvM 可对用户本地虚拟桌面进行远程关闭和远程擦除,确保用户数据不会泄露出去。2.4.10 虚拟防火墙虚拟防火墙是针对虚拟化的安全防护功能,专为虚拟网络设计的 ACL 控制、强大的分层式防护设计与自动化安全功能,为用户提供更严密的安全防护。用户访问控制(ACL)可对虚拟机之间进行进一步隔离,为虚拟机之间的数据安全增加了一层保护。2.4.11 主机绑定个人桌面应用、测试或开发、演示、高度保密环境等等,针对不同部门或用户的不同的安全权限和要求,可对主机和用户(或用户组)
17、强制绑定,如:某些客户端主机只能由研发部门员工凭用户名、密码登录使用,其它用户无相应权限,无法登录;某台客户端主机专门用于高保密环境,只供指定员工一人使用。2.4.12 策略管理CDvM 对虚拟桌面、主机客户端、用户、用户组进行相应的策略管理。主要包括以下策略:2.4.12.1 同步策略设置用户本地虚拟桌面与数据中心的同步策略,如:开机时同步、关机时同步、按照一定周期同步、安装设定时间同步等等。第 9 页 共 14 页2.4.12.2 快照策略设置用户恢复虚拟桌面的还原点,多长时间创建一次虚拟桌面的快照,如:开机时创建、关机时创建、按照一定周期创建、按照设定时间创建等等。2.4.12.3 访问
18、控制策略支持细化的访问控制策略,严格控制流入、流出每一个虚拟桌面的流量。详细展示网络环境中虚拟桌面所有通信的行为和性能。2.4.12.4 QoS 策略支持细粒度的 QoS 设置,既保证和整个网络的畅通,又最大程度保证核心业务的高效运行。2.4.12.5 外设使用策略选择允许或者禁止访问光驱、USB、打印机等外设。3 方案优势3.1 先进性中科同向 CDCC 采用当前最新的 IDV 桌面虚拟化技术,具备 IDV 架构的所有技术优点,通过对企业标准镜像进行集中管理,同时利用客户端本地资源运行各种应用,能够为用户提供更简单、更灵活、更安全、更流畅的桌面体验,实现用户真正地随时随地、在任何设备上安全访
19、问桌面和应用。中科同向 CDCC 主要解决当前 VDI 架构桌面虚拟化给 IT 建设带来的显著挑战。VDI 架构桌面具备的显著挑战如下: 高成本要实现 VDI 环境,企业需要在核心基础设施上增加投入,包括面向 VDI 的高可靠性存储、服务器和新的终端设备,同时还需要支付 VDI 软件授权的费用,实施起来比传统 IT 基础架构的成本还要高。 存储性能瓶颈VDI 环境对存储管理员提出了前所未有的挑战,系统的性能较容量而言变得更第 10 页 共 14 页为重要。由于桌面和应用以集中化的方式存储,而非分散在本地驱动器上,对于存储系统的需求较以往呈指数增长。成百上千的虚拟桌面的数据吞吐量给存储系统带来了
20、巨大的压力,VDI 的性能也受到存储系统能够支持的 IOPS 的影响。一方面,VDI 的存储容量必需能够满足所有应用程序和用户数据的需求;另一方面,存储性能直接影响终端用户的用户体验。对 VDI 系统来说,当大量的 Windows 系统同时启动或登录时,会产生所谓的“启动风暴”或“ 登录风暴”。 用户体验差高效的远程显示协议也无法完全消除低带宽、高延时网络连接对用户体验的影响。对网络带宽、延时的要求,使得 VDI 无法真正突破多媒体、3D 影像设计应用的瓶颈。另外,VDI 要求具有始终能连接到数据中心的网络,给用户的移动性也带来挑战。 网络依赖虚拟桌面与数据中心网络连接,所有的计算都发生在虚拟的宿主机端。对网络的依赖,使得脱机使用变得十分困难。 外围设备兼容性问题VDI 对各种可用外围设备存在限制,对很多外设的兼容存在问题。3.2 产品优势3.2.1 简单易用数分钟安装部署完成,无需改变用户习惯即可使用虚拟桌面。 创建标准镜像管理员创建企业标准镜像,发布到管理服务器 CDvR。 为用户分配部署镜像用户下载标准镜像到本地,形成用户虚拟桌面。虚拟桌面在本地运行,因此可提供良好的性能体验,且可运行用户离线脱机使用。
