桌面云解決方案報告書技術(shù)建議書

STYLEREF"1"項目概述DOCPROPERTY"Product&ProjectName"iCache互聯(lián)網(wǎng)緩存解決方案DOCPROPERTYDocumentName技術(shù)建議書項目概述項目背景公安，法院等單位一直采用傳統(tǒng)PC作為業(yè)務(wù)終端。隨著業(yè)務(wù)的發(fā)展，PC使用過程中的各種問題也逐漸凸顯，主要體現(xiàn)在以下幾方面：端口管控困難缺乏有效的管理手段來控制USB口、串口、并口的非法設(shè)備的接入，存在數(shù)據(jù)泄密的風(fēng)險；數(shù)據(jù)可靠性低員工的智力資產(chǎn)和企業(yè)關(guān)鍵信息存放在本地，PC一旦出現(xiàn)故障將無法辦公，如果硬盤故障造成文件丟失，將對企業(yè)造成巨大損失；運維管理復(fù)雜PC通常是分布在各個辦公地點，難以實現(xiàn)集中式管理，另外由于PC硬件種類繁多，用戶修改桌面環(huán)境的需求各有不同，其桌面標準化一直是一個難題；高能耗、高排放：一臺PC的能耗在200瓦左右，一年耗電800-1000度電左右，不符合當(dāng)今綠色環(huán)保、低碳經(jīng)濟的大趨勢；靈活性差隨著移動辦公理念的興起，人們希望能在任和時間、任何地點、任何設(shè)備都能登陸自己的桌面進行辦公，而PC的靈活性無法滿足要求；上述問題的存在，一定程度上制約了業(yè)務(wù)的發(fā)展和工作效率的提升，迫切需要一套全新的解決方案，替換傳統(tǒng)PC并解決以上的問題。項目目標目前業(yè)界主流趨勢是采用云技技術(shù)改造辦公桌面，即將用戶桌面集中在數(shù)據(jù)中心，通過虛擬化技術(shù)組建資源池，提供業(yè)務(wù)用戶使用瘦終端、軟終端、智能終端等移動接入，打造一種全新的、安全、便捷、高效的工作方式。通過數(shù)據(jù)與用戶隔離提升安全性：將原本分散在各PC上的用戶桌面數(shù)據(jù)集中到數(shù)據(jù)中心，實現(xiàn)統(tǒng)一的安全管控，用戶可訪問的僅僅是桌面圖像變化量，數(shù)據(jù)無法帶出數(shù)據(jù)中心；通過資源大集中提升運維效率：從分散的運維向集中化運維過渡，管理員通過后臺便可處理用戶的大多數(shù)問題，降低運維工作量并提升維護效率；通過網(wǎng)絡(luò)接入提升辦公靈活性：用戶在任何時間、任何地點通過任何設(shè)備都可以接入自己的桌面辦公；采用先進架構(gòu)支撐未來演進：建立一個高效優(yōu)化的、易管理的桌面云架構(gòu)，同時未來能方便地擴展為企業(yè)私有云架構(gòu)。需求分析本次桌面云建設(shè)共有XX用戶，分以下幾類應(yīng)用場景：OA辦公、軟件研發(fā)、會議室，各場景的需求如下：應(yīng)用場景主要需求OA辦公規(guī)模60（內(nèi)外網(wǎng)各30）系統(tǒng)要求Windows7/Windows8.1操作系統(tǒng)。支持PC機、瘦客戶機訪問虛擬機桌面。虛機規(guī)格vCPU=4U,Memory=4GB,系統(tǒng)盤=40GB,數(shù)據(jù)盤=120GB軟件要求MSOFFICE，Outlook，Project，VISIO；InternetExplorer,AcrobatReader,視頻播放軟件,企業(yè)通訊軟件,常用輸入法，微星閱讀器，金山詞霸；外設(shè)要求支持USB打印機、USB鍵盤鼠標等。身份認證域帳號+域密碼除以上桌面用戶的基本功能需求外，系統(tǒng)還應(yīng)支持以下能力：支持集中管理能力，如：對操作系統(tǒng)鏡像統(tǒng)一管理、軟件補丁統(tǒng)一分發(fā)、TC終端統(tǒng)一管理等。支持對重要用戶的虛擬機進行備份和恢復(fù)；系統(tǒng)要支持互聯(lián)網(wǎng)終端接入桌面云需求。系統(tǒng)要具有完善的安全防護能力。系統(tǒng)支持高可用性、動態(tài)遷移等可靠性設(shè)計。系統(tǒng)支持通過擴容存儲與計算資源實現(xiàn)用戶平滑擴容。建設(shè)原則為使本建設(shè)方案合理、科學(xué)達到上述目標，必須遵循以下原則：系統(tǒng)的標準化堅持標準化的建設(shè)模式，貫徹國家和行業(yè)相關(guān)業(yè)務(wù)、管理和技術(shù)規(guī)范標準，并積極制訂項目相關(guān)標準規(guī)范。硬件的選用應(yīng)遵從國家和行業(yè)技術(shù)標準。技術(shù)的先進性采用成熟、先進的技術(shù)，確保系統(tǒng)技術(shù)的先進性和前瞻性，盡可能采用先進的軟件體系結(jié)構(gòu)和應(yīng)用平臺，建設(shè)符合信息技術(shù)的最新發(fā)展潮流的應(yīng)用基礎(chǔ)架構(gòu)和應(yīng)用系統(tǒng)，保證投資的有效性和延續(xù)性。系統(tǒng)的安全性充分考慮用戶、系統(tǒng)、網(wǎng)絡(luò)方面的安全性要求，防止來自外部非法的訪問。系統(tǒng)具有用戶的身份認證和權(quán)限管理，對應(yīng)不同的應(yīng)用層次。既能保證不同用戶高效、快速地訪問控制授權(quán)范圍內(nèi)的系統(tǒng)資源，也能有效地阻止用戶之間的非法侵入、非授權(quán)訪問。系統(tǒng)可維護性系統(tǒng)應(yīng)能使管理員通過集中控制中心方便地配置、監(jiān)視、控制、診斷整個系統(tǒng)，并且能夠監(jiān)視和控制用戶情況、提高效率、消除隱患。管理人員可通過系統(tǒng)管理功能和權(quán)限管理方便地維護和管理該系統(tǒng)。系統(tǒng)可擴展性系統(tǒng)技術(shù)平臺設(shè)計時要分析現(xiàn)有需求并預(yù)測未來的增長，既滿足目前的要求，又要適當(dāng)前瞻。技術(shù)平臺的結(jié)構(gòu)要合理，應(yīng)具有良好的擴展能力，以利于今后的擴展。對于未來的發(fā)展，要立足在現(xiàn)有的基礎(chǔ)上升級改造，保護現(xiàn)有投資。桌面云解決方案及優(yōu)勢FusionAccess桌面云總體架構(gòu)桌面云總體架構(gòu)FusionAccess桌面虛擬化以服務(wù)器虛擬化為基礎(chǔ)，允許多個用戶桌面以虛擬機的形式獨立運行，同時共享CPU、內(nèi)存、網(wǎng)絡(luò)連接和存儲器等底層物理硬件資源。這種架構(gòu)將虛機彼此隔離開來，同時可以實現(xiàn)精確的資源分配，并能保護用戶免受由其他用戶活動所造成的應(yīng)用程序崩潰和操作系統(tǒng)故障所帶來的影響。FusionAccess采用業(yè)界領(lǐng)先的高清保真HDP桌面協(xié)議，并可將授權(quán)用戶安全連接至集中式虛擬桌面。它與FusionSphere協(xié)同工作，可提供一個完整的端到端桌面虛擬化解決方案，此解決方案不僅能增強控制能力和可管理性，還可以提供與PC一致的桌面體驗，F(xiàn)usionAccess能簡化虛擬桌面的管理、調(diào)配和部署。用戶能夠通過FusionAccess安全而方便地訪問虛擬桌面，升級和修補工作都從單個控制臺集中進行，因此可以有效地管理數(shù)百甚至數(shù)千個桌面，從而節(jié)約時間和資源。數(shù)據(jù)、信息和知識財產(chǎn)將保留在數(shù)據(jù)中心內(nèi)，而且永遠不外流。配備FusionAccess桌面虛擬化方案具備下列優(yōu)勢：集控制能力和可管理性于一身：由于桌面在數(shù)據(jù)中心運行，因此管理員可以更輕松地對其進行部署、管理和維護。與PC一致的體驗：用戶可以靈活訪問與普通PC桌面功能相同的個性化虛擬桌面。降低總體擁有成本(TCO)：桌面虛擬化可以減低其管理和資源成本。FusionAccess支持GPU直通、GPU硬件虛擬化，使用戶遠程使用圖形桌面成為可能，降低了圖形桌面的TCO。FusionAccess各部件簡要介紹如下：云終端為用戶提供用戶桌面的顯示輸出，以及鍵盤鼠標輸入。瘦終端TC、或軟終端SC通過桌面接入網(wǎng)關(guān)代理訪問對應(yīng)的桌面，同桌面接入網(wǎng)關(guān)之間采用SSL加密的HDP協(xié)議進行信息傳遞，可以通過策略開放或者禁止TC/SCUSB等外設(shè)至虛擬機的重新定向；用戶通過在TC/SC上輸入域用戶名和密碼訪問對應(yīng)桌面。用戶在外時，可采用iOS/AndroidPad、筆記本通過3G/4G，WiFI網(wǎng)絡(luò)接入，進行移動辦公。負載均衡&接入網(wǎng)關(guān)主要提供兩個功能，一個是對WI節(jié)點提供負載均衡；另一個是對虛擬桌面提供接入網(wǎng)關(guān)與HDPOverSSL加密功能。負載均衡&接入網(wǎng)關(guān)提供硬件與軟件兩種形式。桌面軟件FusionAccessFusionAccess是提供的桌面管理與投送軟件。WebInterface：WI為用戶提供Web登錄界面，在用戶發(fā)起登錄請求時，將用戶的登錄信息（加密后的用戶名和密碼）轉(zhuǎn)發(fā)給HDC，WI將HDC提供的虛擬機列表呈現(xiàn)給用戶，為用戶訪問虛擬機提供入口。在桌面云解決方案，多臺WI可實現(xiàn)負載均衡。通過在WI上配置多個HDC的IP地址，WI可實現(xiàn)對HDC的負載均衡功能。HDC(HuaweiDesktopController)：桌面控制器(HDC)是桌面云管理系統(tǒng)的核心組件，完成虛擬桌面業(yè)務(wù)發(fā)放，虛擬桌面管理，虛擬桌面登錄管理，虛擬機的策略管理等功能。DB：GaussDB為ITA、HDC提供數(shù)據(jù)庫，用于存儲數(shù)據(jù)信息，例如，虛擬機與用戶的關(guān)聯(lián)、桌面組、虛擬機命名規(guī)則、定時任務(wù)信息。ITA節(jié)點：ITA為用戶管理虛擬IT資產(chǎn)提供接口與Portal功能，實現(xiàn)虛擬機創(chuàng)建與分配、虛擬機狀態(tài)管理、虛擬機鏡像管理、虛擬桌面系統(tǒng)操作維護等功能。License節(jié)點：桌面云License的管理與發(fā)放系統(tǒng)，License服務(wù)器用于控制器接入桌面云的用戶數(shù)。TC管理（TCM）:對瘦終端進行集中管理，包括版本升級、狀態(tài)管理、信息監(jiān)控、日志管理等。AD/DNS/DHCP：AD域控用于用戶登錄鑒權(quán)，DHCP用于域內(nèi)IP分配，DNS用于域內(nèi)計算機名、桌面云登錄域名的解析。FusionSphere云平臺總體架構(gòu)FusionSphere云平臺架構(gòu)示意圖云平臺FusionSphere主要有虛擬化基礎(chǔ)引擎FusionCompute、云管理FusionManager兩個節(jié)點組成。一套云平臺部署一對FusionManager主備節(jié)點，F(xiàn)usionManager通過自動發(fā)現(xiàn)功能發(fā)現(xiàn)其管轄下的物理設(shè)備資源（包括機框、服務(wù)器、刀片、存儲設(shè)備、交換機）以及他們的組網(wǎng)關(guān)系，提供虛擬資源與物理資源管理功能（統(tǒng)一拓撲、統(tǒng)一告警、統(tǒng)一監(jiān)控、容量管理、用量計費、性能報表、關(guān)聯(lián)分析，生命周期），并且對外提供統(tǒng)一的管理Portal。FusionManager還包括統(tǒng)一硬件管理功能，提供對硬件自動發(fā)現(xiàn)，硬件自動配置、統(tǒng)一監(jiān)控（帶內(nèi)和帶外）、硬件統(tǒng)一告警、硬件拓撲、異構(gòu)硬件支持。FusionCompute提供基礎(chǔ)計算、存儲、網(wǎng)絡(luò)的虛擬化功能，并向上對FusionManager提供管理接口。每套FusionCompute主要由一對主備管理節(jié)點VRM組成。一對VRM對應(yīng)一個物理集群。一個物理集群中可以把多臺服務(wù)器劃分成一個資源集群（又叫HA資源池）。計算資源池不包括網(wǎng)絡(luò)資源與存儲資源。一個物理集群中可以包含多個資源集群。多個物理集群（此時對應(yīng)多對VRM）可以級聯(lián)，由FusionManager統(tǒng)一管理。本項目采用華為FusionSphere虛擬化計算技術(shù)作為基礎(chǔ)，使整個系統(tǒng)具有以下優(yōu)勢：通過云平臺HA、熱遷移功能，能夠有效減少設(shè)備故障時間，確保核心業(yè)務(wù)的連續(xù)性，避免傳統(tǒng)IT上經(jīng)常出現(xiàn)的單點故障導(dǎo)致的業(yè)務(wù)不可用。易實現(xiàn)物理設(shè)備、虛擬設(shè)備、應(yīng)用系統(tǒng)的集中監(jiān)控、管理維護自動化與動態(tài)化。便于業(yè)務(wù)的快速發(fā)放,縮短業(yè)務(wù)上線周期，高度靈活性與可擴充性、提高管理維護效率。利用云計算技術(shù)可自動化并簡化資源調(diào)配，實現(xiàn)分布式動態(tài)資源優(yōu)化，智能地根據(jù)應(yīng)用負載進行資源的彈性伸縮，從而大大提升系統(tǒng)的運作效率，使IT資源與業(yè)務(wù)優(yōu)先事務(wù)能夠更好地協(xié)調(diào)。FusionAccess桌面云優(yōu)勢領(lǐng)先的HDP協(xié)議自研HDP桌面協(xié)議HDP是自研的新一代云接入桌面協(xié)議，是華為在電信行業(yè)的語音、視頻、圖像處理等領(lǐng)域20年的技術(shù)積累之作。相對傳統(tǒng)的桌面協(xié)議，它的先進性體現(xiàn)在：多虛擬通道靈活控制：支持32個虛擬通道，每個虛擬通道可承載不同的上層應(yīng)用協(xié)議?？赏ㄟ^單獨的策略設(shè)置保證每個通道的通訊安全以及最佳用戶體驗。高保真顯示技術(shù)：采用動態(tài)壓縮算法，對非自然圖像采用無損壓縮，對自然圖像采用有損壓縮，在帶寬和顯示效果之間取得最佳均衡。自動識別圖像中的未變化部分，只有變化的部分數(shù)據(jù)會傳輸，極大降低帶寬。高保真音頻技術(shù)：自動識別VOIP場景和音樂場景，采用不同的編解碼算法，提升用戶體驗。外設(shè)快速適配：支持多種協(xié)議的外設(shè)，主要包括USB、TWAIN、串口、并口、打印機外設(shè)等。利用本地化研發(fā)的優(yōu)勢，可快速響應(yīng)客戶新增外設(shè)的適配兼容需求。高性能3D圖形桌面：為了滿足日常客戶3D圖形處理的桌面需求,華為自研虛擬桌面推出GPU直通虛擬桌面與GPU硬件虛擬化桌面，可提供nVidia的K1，K2，K2000，K4000的3D圖形處理虛擬桌面。靈活桌面部署方式包括完整復(fù)制桌面云，鏈接克隆桌面云，全內(nèi)存極速桌面、應(yīng)用虛擬化。桌面云可以有靈活的發(fā)放方式，可提供1對1、1對多，多對1，多對多方式的多種發(fā)放方式。完整復(fù)制桌面云方案完整復(fù)制桌面云方案完整復(fù)制桌面云桌面利用虛擬化技術(shù)與遠程桌面投送技術(shù)。在桌面云中心，利用虛擬化技術(shù)把服務(wù)器與存儲虛擬成一臺臺彈性的虛擬主機。完整復(fù)制虛擬桌面在創(chuàng)建時，系統(tǒng)會給這個虛擬桌面分配一份獨立系統(tǒng)盤空間，并將虛擬機模板完整復(fù)制到系統(tǒng)盤上。這樣每個完整復(fù)制虛擬桌面都有單獨的系統(tǒng)盤與用戶數(shù)據(jù)盤。基于虛擬機級別的隔離;安全性高；個性化強；外設(shè)支持類型豐富；用戶體驗與傳統(tǒng)PC一致，可以按照用戶的工作負荷彈性修改虛擬機規(guī)格。每個用戶都有一個獨立的虛擬機，虛擬機系統(tǒng)盤和數(shù)據(jù)盤都通過集中的存儲設(shè)備加載。存儲設(shè)備支持SAN與NAS設(shè)備。用戶通過本地瘦終端，或軟終端可以遠程登錄虛擬機。虛擬機采用業(yè)界性能領(lǐng)先、帶寬要求低的HDP協(xié)議將虛擬機桌面顯示投送到用戶終端上。瘦終端的無本地存儲、USB可管控，功耗低。辦公環(huán)境相對PC環(huán)境更簡潔，無噪音。人性化使用設(shè)計為了提升用戶的使用體驗，提高用戶自助運維能力，減輕管理員的運維負擔(dān)。桌面云在設(shè)計時充分考慮了人性化的設(shè)計，并推出了一系列輔助運維工具。自助維護臺，桌面云健康檢查工具，桌面云連接檢修工具，桌面云體驗優(yōu)化工具，基礎(chǔ)架構(gòu)虛擬機一鍵式恢復(fù)工具，日志收集工具，自動數(shù)據(jù)遷移工具，性能與兼容性收集和分析工具。特別適合于IT人員較少，規(guī)劃、運維壓力較大的機構(gòu)使用?？啥ㄖ频慕缑骘L(fēng)格登陸界面：用戶登錄界面可由管理員自定義，如Logo和背景圖片；每日提醒：登陸界面下方可顯示圖片，管理員可以自定義修改，用于發(fā)布通知，如節(jié)日祝福、會議提醒、升級通知、操作指導(dǎo)等；自定義背景：用戶登陸成功后，在虛擬機列表頁面，可自行修改背景、設(shè)置語言、修改密碼等。登陸界面及每日提醒用戶自助維護通道通過用戶自助維護通道，員工可以自己解決由于誤操作或應(yīng)用程序?qū)е绿摂M機網(wǎng)卡禁用，桌面Agent服務(wù)被停止所導(dǎo)致無法正常登錄問題，也可以解決操作系統(tǒng)啟動過程中的異常。而其他廠家遇到同樣的問題，員工只能通知管理員來解決。員工通過自助維護通道僅可訪問屬于自已的虛擬機，不會帶來額外的信息安全風(fēng)險。自助維護網(wǎng)絡(luò)狀態(tài)指示燈支持虛擬機與終端網(wǎng)絡(luò)狀態(tài)指示燈，桌面處于連接狀態(tài)時，指示燈有紅、黃、綠三種顏色，分別對應(yīng)網(wǎng)絡(luò)極差、網(wǎng)絡(luò)不佳和網(wǎng)絡(luò)良好三種狀態(tài)。當(dāng)虛擬機關(guān)機或網(wǎng)絡(luò)故障時，指示燈變灰。網(wǎng)絡(luò)狀態(tài)指示自助電源管理支持用戶靈活設(shè)定虛擬機電源策略管理，用戶可以通過電源管理界面，對虛擬機電源策略進行設(shè)置。支持如下電源策略管理：禁止自動關(guān)機/重啟/休眠允許自動關(guān)機/重啟/休眠允許自動休眠允許自動關(guān)機/重啟自助在線指南桌面云登錄界面提供在線指南鏈接，在線指南包括：桌面云常見問題處理方法、常用設(shè)置、常見禁用操作、常見問題的快速處理方法、常見問題處理案例等。華為桌面管家推出桌面管家工具套裝，包括一系列桌面云工具，如連接修復(fù)工具、桌面云體驗優(yōu)化工具、日志收集工具等。通過這些華為在多年桌面云研發(fā)、部署與運維中積累的經(jīng)驗工具，讓用戶在使用華為桌面云更方便、速度更快、故障更少。華為桌面管家/優(yōu)化工具桌面代理批量更新虛擬機里有桌面代理用戶發(fā)送和解析桌面協(xié)議，當(dāng)桌面系統(tǒng)的版本進行升級時，原有虛擬機里的代理軟件也需要更新。華為可以通過虛擬化平臺實現(xiàn)自動化批量推送，提升升級效率。端到端安全設(shè)計為保障數(shù)據(jù)中心安全，云計算采用了完整的安全架構(gòu)，避免出現(xiàn)安全真空，強化了網(wǎng)絡(luò)隔離和虛擬化隔離，安全架構(gòu)層面主要采用了分層和縱深防御的思想。桌面云高安全全景圖從防范非法用戶和惡意系統(tǒng)管理員的角度進行系統(tǒng)的防范，保證存放桌面云數(shù)據(jù)中心的數(shù)據(jù)做到非法用戶“進不來”，即使進入系統(tǒng)數(shù)據(jù)也“拿不走”，即使進入系統(tǒng)機密敏感數(shù)據(jù)也“打不開”，非法人員作案后“賴不掉”，機密數(shù)據(jù)“丟不了”。各分層采用安全措施介紹如下：終端安全桌面云支持對終端進行合法性認證，如終端與用戶或用戶組綁定、802.1X認證（密碼方式或證書方式）、CA認證等方式，防止非法終端接入保證終端安全。接入安全提供豐富的安全用戶身份認證，包括域賬戶、USBKEY、動態(tài)口令、動態(tài)短信、指紋等單一認證和雙因子認證，確保接入用戶的合法性，同時華為桌面云還支持無AD認證（華為獨有）。傳輸安全客戶端用戶通過HDP協(xié)議連接虛擬桌面時，桌面訪問采用傳輸加密（HDPoverSSL）等手段，保證業(yè)務(wù)運行和維護安全。業(yè)務(wù)系統(tǒng)各個組件間通信（WI、HDC、ITA、License、VNCGate、HDA等），均采用HTTPS方式，傳送通道采用SSL加密。系統(tǒng)安全根據(jù)虛擬化機制，做到CPU調(diào)度、內(nèi)存、網(wǎng)絡(luò)訪問、磁盤IO、存儲空間的隔離，保證虛擬機隔離安全。虛擬化平臺從數(shù)據(jù)完整性、身份認證、數(shù)據(jù)訪問隔離控制、數(shù)據(jù)機密性等方面保證用戶數(shù)據(jù)的安全。系統(tǒng)進行資源回收時，剩余數(shù)據(jù)清零。網(wǎng)絡(luò)通信平面劃分為業(yè)務(wù)平面、存儲平面和管理平面，且三個平面之間是隔離的。管理安全桌面云所有管理系統(tǒng)都提供完善的日志，保證所有管理員的操作都有日志記錄，供事后審計。桌面云系統(tǒng)支持三員分立的管理，實現(xiàn)系統(tǒng)管理員、安全管理員、安全審計員的權(quán)限制衡（華為獨有）。用戶安全桌面云提供防病毒接口，支持趨勢等業(yè)界主流無代理防病毒產(chǎn)品，保障用戶虛擬機安全的同時，解決桌面云大規(guī)模應(yīng)用時傳統(tǒng)殺毒方案造成的殺毒風(fēng)暴問題。高可靠性解決方案桌面云從管理節(jié)點、桌面連接、服務(wù)器、存儲、網(wǎng)絡(luò)端到端地保障桌面云高可靠性。管理節(jié)點高可靠FusionAccess桌面云管理節(jié)點采用負載均衡或熱備設(shè)計，保障業(yè)務(wù)的連續(xù)性。管理節(jié)點提供故障自恢復(fù)，故障節(jié)點自動隔離功能。管理節(jié)點提供CPU/內(nèi)存/磁盤占有率狀態(tài)檢控，超過閾值時，也會觸發(fā)告警。桌面云全系統(tǒng)時鐘同步，管理數(shù)據(jù)自動備份。故障信息收集和存儲集群節(jié)點可用性度量的功能，這可以幫助用戶確定是否有負載均衡問題、失控進程或硬件性能下降的趨勢，該功能將對合理調(diào)整、分配系統(tǒng)資源，提高系統(tǒng)整體性能起到重要作用。通過在每個被監(jiān)控的節(jié)點上運行探針程序，華為虛擬桌面系統(tǒng)可以收集它運行的機器的核心指標如CPU使用情況、基礎(chǔ)網(wǎng)絡(luò)流量和內(nèi)存數(shù)據(jù)等，檢測到諸如進程崩潰、管理和存儲鏈路異常，節(jié)點宕機、系統(tǒng)資源過載等各種異常，使系統(tǒng)具備完善的故障檢測能力。管理節(jié)點和計算節(jié)點引入電信領(lǐng)域“黑匣子”技術(shù)：在系統(tǒng)出現(xiàn)異常時自動存儲內(nèi)核日志、系統(tǒng)快照、內(nèi)核診斷信息及臨終遺言，并保存至非易失性存儲設(shè)備（計算節(jié)點）或自動傳送至網(wǎng)絡(luò)服務(wù)器（例如日志服務(wù)器），以便系統(tǒng)故障后，導(dǎo)出分析定位。FusionAccess系統(tǒng)提供數(shù)據(jù)一致性審計功能：定時審計VM及其卷文件的相關(guān)數(shù)據(jù)和狀態(tài)的一致性。用戶連接可靠性桌面服務(wù)多端口偵聽,自動變換偵聽端口,避免了端口沖突。桌面代理軟件防誤操作刪除，虛擬桌面會把安裝目錄下的文件夾進行鎖定，所有刪除該文件夾下任何文件的行為被禁止。桌面協(xié)議軟件進程異?；蛘哒`殺可以自動恢復(fù)。網(wǎng)絡(luò)閃斷或者其它原因連接短暫中斷后，桌面云會自動重連。虛擬化可靠性桌面云FusionAccess配合FusionSphere虛擬化平臺，提供虛擬化熱遷移、虛擬機HA、虛擬機快照備份功能來保障虛擬桌面的可靠性。服務(wù)器可靠性設(shè)計服務(wù)器可靠性包括內(nèi)存、硬盤、電源等多個層面的內(nèi)容，如：提供BIOS內(nèi)存自檢和ECC糾錯技術(shù)。支持硬盤熱插拔和RAID功能，提供硬盤在線故障檢測和預(yù)警。支持電源1+1冗余和熱插拔。支持對CPU，內(nèi)存，風(fēng)扇，電源，硬盤等熱關(guān)鍵器件的溫度實時監(jiān)控，設(shè)備故障時會產(chǎn)生告警，可以靈活對支持熱插拔設(shè)備進行在線更換，不支持熱插拔設(shè)備提前安排好業(yè)務(wù)后進行下電更換。配合智能的風(fēng)扇調(diào)速和監(jiān)控，確保系統(tǒng)運行的可靠性。多臺服務(wù)器組成計算資源池，支持虛擬機的熱遷移、HA功能。存儲可靠性設(shè)計桌面云系統(tǒng)存儲提供多路徑，存儲冷遷移，存儲熱遷移等功能，保障存儲的可靠性。桌面云采用SAN作為存儲設(shè)備，在SAN高可靠性的基礎(chǔ)之上，采用RAID機制，配置熱備盤做冗余備份，保證數(shù)據(jù)不丟失和故障快速恢復(fù)。網(wǎng)絡(luò)可靠性設(shè)計網(wǎng)絡(luò)路徑全冗余核心層交換設(shè)備通過使用交換機集群技術(shù)，保證對外與防火墻/NAT和對內(nèi)匯聚交換機連接的冗余。匯聚層交換設(shè)備通過使用交換機集群技術(shù)，保證對外與核心層交換設(shè)備和數(shù)據(jù)中心內(nèi)接入層交換機連接的冗余。接入交換機通過使用交換機堆疊技術(shù)，保證對外與匯聚層交換設(shè)備和對內(nèi)虛擬網(wǎng)絡(luò)層連接的冗余。虛擬網(wǎng)絡(luò)層通過采用多網(wǎng)卡綁定等技術(shù)避免單個網(wǎng)卡故障引發(fā)的業(yè)務(wù)中斷。網(wǎng)絡(luò)分平面通信系統(tǒng)通信平面劃分為業(yè)務(wù)平面、存儲平面和管理平面。為了保證各種網(wǎng)絡(luò)平面數(shù)據(jù)的可靠性，不同平面間采用VLAN等技術(shù)進行隔離，單個平面故障不影響其余兩個平面的正常工作。網(wǎng)卡負荷分擔(dān)對于各通信平面（業(yè)務(wù)、存儲、管理）均采用雙網(wǎng)卡，雙網(wǎng)卡采用了Bonding模式，兩網(wǎng)卡被綁定成邏輯上的“一塊網(wǎng)卡”后，同步一起工作。既能對服務(wù)器的訪問流量進行負荷分擔(dān)，又能保證其中一塊發(fā)生故障的時候，另外的網(wǎng)卡立刻接管全部負載，過程是無縫的，服務(wù)不會中斷。端到端解決方案IT產(chǎn)業(yè)全球布局，在美國、德國、深圳、西安、北京、杭州、成都等地構(gòu)筑交付能力中心，不斷增強創(chuàng)新能力和核心競爭力。目前，華為在IT領(lǐng)域投入為10000人，在云計算領(lǐng)域投入超過2000人。桌面云解決方案中，提供從終端、服務(wù)器、存儲、網(wǎng)絡(luò)、安全、軟件等端到端全方位的產(chǎn)品，通過交付端到端的解決方案，提供最佳的用戶體驗與軟硬件兼容性。端到端解決方案自主可控的云軟件在信息安全形勢日益嚴峻的今天，越來越多的客戶逐漸意識到掌握信息化主權(quán)的重要意義，尤其是在安全應(yīng)用場景，需要具有自主知識產(chǎn)權(quán)的國產(chǎn)解決方案。FusionAccess虛擬桌面基于成熟的FusionSphere虛擬化平臺，二者都是華為歷時多年完成的自研、自主可控的軟件系統(tǒng)，在終端準入、接入安全、管理安全和用戶數(shù)據(jù)保護等方面提供多重保護，且通過了國家信息安全評測中心、公安部、解放軍等行業(yè)的安全測評。大規(guī)模交付與實施云計算解決方案，部署了全球最大規(guī)模的桌面云（10萬用戶），總結(jié)了豐富的工程交付與系統(tǒng)運維經(jīng)驗。整體方案包括云軟件、服務(wù)器、存儲、交換機、終端等關(guān)鍵部件經(jīng)受了大規(guī)模的商用驗證，確保其應(yīng)用到其他任何一家企業(yè)的可能。同時，桌面云已經(jīng)與42個國家的上千客戶開展了商用合作，實現(xiàn)多個重點行業(yè)突破，如中國農(nóng)業(yè)銀行、中國石化、國家電網(wǎng)、華中科技大學(xué)、深圳證券交易所、CCTV等。桌面云設(shè)計方案總體設(shè)計方案?？傮w方案示意圖本項目為了實現(xiàn)高安全、高可靠、高性能、易遠程集中運維、平滑擴容的目標，采用業(yè)界主流成熟的虛擬化技術(shù)，實現(xiàn)虛擬桌面、服務(wù)器虛擬化等要求。本項目方案主要以下方面考慮：資源池設(shè)計：根據(jù)本項目的需求，服務(wù)器上安裝華為的虛擬化軟件，將服務(wù)器池化。池化后VDI桌面、應(yīng)用虛擬化、服務(wù)器虛擬化的服務(wù)器分別組成集群。池化后服務(wù)器上運行虛擬機便于管理、監(jiān)控。虛擬機在集群里可以實現(xiàn)定制策略遷移、手動熱遷移、故障熱遷移。資源池的設(shè)計具有高可靠、平滑擴容特性。桌面虛擬化：虛擬桌面管理軟件FusionAccess能夠提供高性能且可靠的桌面投送。FusionAccess桌面虛擬化以服務(wù)器虛擬化為基礎(chǔ)，允許多個用戶桌面以虛擬機的形式獨立運行，同時共享CPU、內(nèi)存、網(wǎng)絡(luò)連接和存儲器等底層物理硬件資源。這種架構(gòu)將虛機彼此隔離開來，同時可以實現(xiàn)精確的資源分配，并能保護用戶免受由其他用戶活動所造成的應(yīng)用程序崩潰和操作系統(tǒng)故障的影響。FusionAccess采用業(yè)界領(lǐng)先的高清保真HDP桌面協(xié)議，并可將授權(quán)用戶安全連接至集中式虛擬桌面。它與FusionSphere協(xié)同工作，可提供一個完整的端到端桌面虛擬化解決方案，此解決方案不僅能增強控制能力和可管理性，還可以提供與PC一致的桌面體驗，F(xiàn)usionAccess能簡化虛擬桌面的管理、調(diào)配和部署。用戶能夠通過FusionAccess安全而方便地訪問虛擬桌面，升級和修補工作都從單個控制臺集中進行，因此可以有效地管理數(shù)百甚至數(shù)千個桌面，從而節(jié)約時間和資源。配備FusionAccess桌面虛擬化方案具備下列優(yōu)勢：集控制能力和可管理性于一身：由于桌面在數(shù)據(jù)中心運行，因此管理員可以更輕松地對其進行部署、管理和維護。桌面云把數(shù)據(jù)、信息和知識財產(chǎn)將保留在數(shù)據(jù)中心內(nèi)，而且永遠不外流。與PC一致的體驗：用戶可以靈活訪問與普通PC桌面功能相同的個性化虛擬桌面。降低總體擁有成本(TCO)：桌面虛擬化可以減低其管理和資源成本。統(tǒng)一軟硬件管理：為了便于硬件設(shè)備（服務(wù)器、存儲、交換機）、虛擬資源的集中管理，采用華為的虛擬化管理軟件FusionSphere。FusionSphere采用B/S架構(gòu)，可以遠程統(tǒng)一管理本項目中VDI桌面、服務(wù)器虛擬化三個資源池。FusionSphere可管理、監(jiān)控硬件資源、虛擬資源；支持虛擬機的快速部署、定制化策略調(diào)度。計算資源池計算資源池為用戶提供CPU、內(nèi)存計算資源。在服務(wù)器上安裝華為的虛擬化軟件，可以在一臺服務(wù)器上虛擬出多個臺虛擬機，提供彈性規(guī)格的虛擬桌面。這幾個資源池歸屬同一朵桌面云管理系統(tǒng)。存儲資源存儲資源主要為虛擬桌面提供系統(tǒng)空間和數(shù)據(jù)空間、還有桌面云管理系統(tǒng)所需要的空間。這些存儲都在主存儲上。主存儲根據(jù)數(shù)據(jù)類型的不同，劃分不同的數(shù)據(jù)LUN。這里的數(shù)據(jù)類型主要包括:管理數(shù)據(jù)、Windows系統(tǒng)數(shù)據(jù)、用戶數(shù)據(jù)。應(yīng)用場景方案設(shè)計OA辦公桌面云解決方案OA辦公應(yīng)用場景OA辦公桌面云應(yīng)用場景特點：OA辦公桌面云是指企業(yè)使用桌面云來進行正常的辦公活動。用戶的虛擬機運行WindowsXP、Windows7、Windows8.1系統(tǒng)，運行各種文字辦公軟件，如Office編輯文檔、Project、Visio、InternetExplorer瀏覽網(wǎng)頁、Outlook處理郵件、金山詞霸等。桌面云可對接入USB設(shè)備、打印設(shè)備、存儲設(shè)備進行映射管理；虛擬機里可安裝監(jiān)控軟件，提供多種安全方案，保證辦公環(huán)境的信息安全。桌面云支持與企業(yè)已有的IT系統(tǒng)對接，充分利用已有的IT應(yīng)用。比如利用已有的AD系統(tǒng)進行桌面云用戶鑒權(quán)；在桌面云上使用已有的IT工作流；通過DHCP給虛擬桌面分配IP地址；通過企業(yè)的DNS來進行桌面云的域名解析等。OA辦公用戶采用完整復(fù)制桌面云。完整復(fù)制桌面云基于虛擬機級別的隔離，每個桌面都有單獨的系統(tǒng)盤，安全性高；個性化強；外設(shè)支持類型豐富；用戶體驗與傳統(tǒng)PC一致。每個用戶都有一個獨立的虛擬機，虛擬機系統(tǒng)盤采用服務(wù)器的本地存儲，高度集成。用戶如果需要擴展存儲空間，可增加SAN存儲。OA辦公的用戶與虛擬機采用1：1配置，每個人獨占一臺虛擬機。用戶通過本地瘦終端，或軟終端可以遠程登錄虛擬機。虛擬機采用業(yè)界高保真的HDP協(xié)議將虛擬機桌面顯示投送到用戶終端上。瘦終端的無本地存儲，不涉密?？晒芸兀牡?。辦公環(huán)境相對PC環(huán)境更簡潔，無噪音。會議室桌面云解決方案會議室桌面云應(yīng)用場景會議室桌面的特點：典型用戶：所有使用會議室電腦資源的用戶場景描述：會議開始前的共享資料準備，會議中的材料共享和演示投影，會議結(jié)束后清除本地會議材料。場景特點：應(yīng)用場景單一，主要是資料共享和投影。使用時間短，一般是2~4個小時。本地員工一般有自已的私有辦公桌面，自己辦公點和會議室存在一定的物理距離。異地性，出差員工沒有辦公桌面，臨時使用，使用人頻繁，需要保證其使用的桌面不保留前一個使用者的數(shù)據(jù)信息。對于本地員工在會議室開會，通過會議室的本地TC可以直接登錄自已的私有桌面；開完會直接注銷后即可。對于出差員工使用的桌面，采用普通鏈接克隆桌面，建立一個會議室虛擬桌面資池，以動態(tài)多用戶方式（動態(tài)池）分配給用戶。只需要會議室用戶組與會議室虛擬桌面池綁定。出差員工每次使用登錄時，系統(tǒng)隨機分配一個可用的虛擬機，用戶注銷后，虛擬機被資源池回收，清除會議使用時殘留數(shù)據(jù)。內(nèi)外部網(wǎng)絡(luò)隔離安全上網(wǎng)場景內(nèi)外網(wǎng)隔離安全上網(wǎng)應(yīng)用場景通過新建專用上網(wǎng)桌面云解決企業(yè)安全上網(wǎng)的問題，內(nèi)部網(wǎng)絡(luò)與桌面云通過網(wǎng)絡(luò)設(shè)備相互隔離，內(nèi)部網(wǎng)絡(luò)用戶桌面的PC不能直接訪問互聯(lián)網(wǎng)，所有的互聯(lián)網(wǎng)訪問都必須通過桌面云實現(xiàn)，管理員可以根據(jù)用戶的帳號來決定是否給用戶發(fā)放上網(wǎng)桌面云。內(nèi)網(wǎng)辦公與互聯(lián)網(wǎng)訪問采用兩網(wǎng)隔離方式，辦公及研發(fā)使用原有PC，在訪問互聯(lián)網(wǎng)時通過虛擬桌面實現(xiàn)，虛擬桌面不會與本地內(nèi)網(wǎng)進行數(shù)據(jù)交互。外網(wǎng)數(shù)據(jù)通過HDP協(xié)議的文件發(fā)送功能，將外網(wǎng)文件發(fā)送到內(nèi)部網(wǎng)絡(luò)，無需審批。管理員需要關(guān)閉桌面云的其他重定向功能，避免用戶通過usb重定向、文件重定向或剪貼板重定向等功能獲取數(shù)據(jù)。內(nèi)網(wǎng)數(shù)據(jù)傳出必需通過安全數(shù)傳系統(tǒng)，并經(jīng)過審批和文件安全掃描后才能傳遞到外網(wǎng)。外網(wǎng)數(shù)據(jù)傳到內(nèi)網(wǎng)無需進行審批和安全掃描。通過全內(nèi)存虛擬桌面或鏈接克隆桌面發(fā)放虛擬機，多個桌面共用一個只讀的系統(tǒng)母盤，這個母盤中安裝上網(wǎng)所需要應(yīng)用軟件，是只讀的。這個母盤就不會感染病毒、木馬。系統(tǒng)母盤在虛擬機啟動后，會完全復(fù)制到內(nèi)存中進行讀寫。用戶登錄使用時，上網(wǎng)、瀏覽產(chǎn)生的臨時數(shù)據(jù)保存在內(nèi)存中，即使內(nèi)存中了病毒木馬。只需要對虛擬機進行重啟，內(nèi)存數(shù)據(jù)即可清除，還原到系統(tǒng)的初始狀態(tài)。管理員要對虛擬機進行升級、打補丁，只要更新存儲里系統(tǒng)母盤即可。使用動態(tài)多用戶方式（動態(tài)池）分配安全上網(wǎng)桌面給用戶，提高資源復(fù)用效率。移動辦公桌面云解決方案移動辦公應(yīng)用場景隨著無線網(wǎng)絡(luò)發(fā)展，智能移動終端的普及，BYOD(BringYourOwnDevice)也成為企業(yè)員工提高辦公效率的一大利器。辦公人員可在任何時間（Anytime）、任何地點（Anywhere）使用移動終端設(shè)備安全快捷地處理與業(yè)務(wù)相關(guān)的任何事情（Anything）。辦公人員擺脫了時間和空間的束縛，可以隨時隨地的進行工作處理，使得工作更加輕松有效，整體運作更加協(xié)調(diào)，有效提高管理效率，推動企業(yè)效益增長。傳統(tǒng)移動辦公方案只是把客戶原有應(yīng)用系統(tǒng)經(jīng)過中間件轉(zhuǎn)化適配到移動終端上，保證移動終端與客戶原有系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)功能保持一致。信息安全差：關(guān)鍵信息容易外泄，信息流在公網(wǎng)傳送，容易被截獲，對用戶行為監(jiān)控難。終端差異化大：辦公系統(tǒng)往往基于PC機windows系統(tǒng)開發(fā)，終端種類繁多，移植費時費力，成本高。移動終端處理能力較弱：由于移動終端著重于便攜性強、續(xù)航性長，以電池供電，相對較弱的數(shù)據(jù)處理能力。帶寬占用較大：查詢信息系統(tǒng)需要大量數(shù)據(jù)，3G環(huán)境查詢信息緩慢?；谧烂嬖频囊苿愚k公方案，桌面云與移動終端結(jié)合，可以完美解決這些問題。用戶可以在家或非辦公室時通過3G/4G網(wǎng)絡(luò)，或通過WIFI網(wǎng)絡(luò)接入桌面云。用戶不僅可遠程登陸虛擬機，同時也可以通過發(fā)布的應(yīng)用程序如Word、Powerpoint，進行移動辦公，此時用戶無需登陸虛擬機直接使用應(yīng)用，對帶寬的要求更低。為保證桌面云接入的安全性，增加一個接入網(wǎng)關(guān)。華為桌面云支持各種移動筆記本電腦、Pad、手機終端接入，可以實現(xiàn)無縫的隨時隨地接入進行遠程辦公，提升效率。手持終端支持的系統(tǒng)如下：Android系統(tǒng)、蘋果iOS系統(tǒng)?；谧烂嬖频囊苿愚k公具有以下優(yōu)勢：低成本：對已有OA系統(tǒng)無影響，不用進行二次開發(fā)或適配。固定辦公和移動辦公共用一套OA系統(tǒng)，節(jié)省資源。管理高效：桌面/應(yīng)用集中部署、集中授權(quán)、集中交付、集中監(jiān)控。信息安全：網(wǎng)絡(luò)安全，數(shù)據(jù)安全，應(yīng)用集中管控最佳體驗：高速的應(yīng)用響應(yīng)，不依賴于終端的處理能力，可利用桌面云中心的主性能處理，提高處理速度與用戶體驗。Internet訪問桌面云設(shè)計方案Internet訪問桌面云網(wǎng)絡(luò)示意圖用戶利用手提電腦、Pad等移動終端通過Internet、WiFi、移動網(wǎng)絡(luò)登錄虛擬桌面，最大的要求就是保障傳輸?shù)陌踩?。為了增強訪問桌面云的安全，建議增加一個AG接入網(wǎng)關(guān)來保障傳輸安全，增加防火墻來防范網(wǎng)絡(luò)攻擊。接入網(wǎng)關(guān)可以使用SVN/vAG(軟件接入網(wǎng)關(guān))來實現(xiàn)。TC通過廣域網(wǎng)接入訪問VM說明：防火墻上增加兩個公網(wǎng)IP（或采用一個公網(wǎng)IP，兩個不同端口）。在防火墻上配置NAT，映射到負載均衡的LB_MIP與接入網(wǎng)關(guān)的AG_MIP。登錄控制流TC——Firewall（VirtualIP：LB_VIP）——AG（MappedIP:LB_MIP）——WI——HDC。云終端登錄時經(jīng)過防火墻映射為接入網(wǎng)關(guān)上的LB_MIP，經(jīng)過負載均衡分發(fā)給WI。VPN網(wǎng)關(guān)的登陸和用戶登錄WI的身份認證是一次性完成的。用戶登錄認證成功后，云終端收到返回的用戶票據(jù)信息。HDP業(yè)務(wù)流（SVN做AG功能）TC——Firewall（AGVIP）——AG（MappedIP:AG_MIP）——用戶VMTC在登錄的身份認證成功后，會收到返回的用戶認證票據(jù)。瘦終端攜帶用戶認證票據(jù)訪問AG的公網(wǎng)IP。經(jīng)過Firewall映射到AG內(nèi)網(wǎng)IP。AG使用用戶票據(jù)向HDC查詢到用戶真實內(nèi)網(wǎng)IP，用戶就可以訪問虛擬機了。為了保障桌面云中心的安全，在防火墻上進一步劃分安全域進行隔離。桌面云的管理節(jié)點、用戶虛擬機統(tǒng)一劃分到VDI域；SVN劃分進DMZ區(qū)；WAN用戶都算在Unstrust域中。幾個區(qū)域按照開放端口在防火墻中配置相應(yīng)的訪問控制策略。雙網(wǎng)物理隔離桌面云方案雙網(wǎng)物理隔離桌面云方案由于內(nèi)網(wǎng)桌面云與外網(wǎng)桌面云是物理隔離。用戶要同時接入這兩朵桌面云，就需要使用雙網(wǎng)口的瘦終端，這種場景可采用CT6100。CT6100是單系統(tǒng)的瘦終端，帶2個千兆網(wǎng)卡有效滿足雙網(wǎng)連接需求，DVI-I接口支持雙屏擴展顯示。用戶可同時登錄操作兩個虛擬桌面。CT6100接一個顯示器時，兩個虛擬桌面可以使用最小化/最大化按鈕切換。CT6100接兩個顯示器時，每個顯示器可以顯示一個虛擬桌面，兩個顯示可同時操作。網(wǎng)絡(luò)設(shè)計方案桌面云邏輯組網(wǎng)圖桌面云邏輯組圖每個桌面云用戶可以在辦公位上使用TC、或者PC接入到桌面云中心。瘦終端放在每個用戶的辦公位，每個位子提供百兆或千兆GE網(wǎng)口就可以。桌面云部署在客戶的數(shù)據(jù)中心機房中；需要與客戶的核心交換機對接?？紤]后續(xù)擴展性，建議采用2*1GE/2*10GE(請實際項目選擇)上行到客戶核心交換機。桌面云網(wǎng)絡(luò)通信平面劃分為業(yè)務(wù)網(wǎng)、存儲網(wǎng)和管理網(wǎng)。三個網(wǎng)絡(luò)之間是隔離的，保證最終用戶不能破壞基礎(chǔ)平臺。存儲網(wǎng)絡(luò)：存儲網(wǎng)絡(luò)通過多路徑確保鏈路冗余，服務(wù)器與存儲設(shè)備通過存儲網(wǎng)絡(luò)二層直接互通。存儲設(shè)備為虛擬機提供存儲資源，但不直接與虛擬機通信，而通過虛擬化平臺轉(zhuǎn)化。業(yè)務(wù)網(wǎng)絡(luò)：為用戶提供業(yè)務(wù)通道，為虛擬機虛擬網(wǎng)卡的通信平面，對外提供業(yè)務(wù)應(yīng)用。HDP協(xié)議與虛擬機訪問外部應(yīng)用系統(tǒng)都是經(jīng)過這個網(wǎng)絡(luò)。各業(yè)務(wù)部門可以細分VLAN進行訪問隔離。管理網(wǎng)絡(luò)：負責(zé)整個云計算系統(tǒng)的管理、業(yè)務(wù)部署、系統(tǒng)加載等流量的通信。BMC平面主要負責(zé)服務(wù)器的管理，BMC平面可以和管理平面隔離，也可以不進行隔離。服務(wù)器采用GE組網(wǎng)，每服務(wù)器采用2個業(yè)務(wù)與管理網(wǎng)口+2個存儲網(wǎng)口方式進行組網(wǎng)，業(yè)務(wù)、管理平面通過兩網(wǎng)口聚合確保鏈路冗余。整體網(wǎng)絡(luò)劃分為兩層，分別為接入層、核心層。接入層：為了收斂服務(wù)器、存儲設(shè)備的網(wǎng)口，一般在機柜里放置接入交換機，在接入交換機劃分VLAN，將管理、業(yè)務(wù)、存儲三個平面邏輯隔離。接入交換機再上行匯聚到核心交換機。核心層：華為云桌面通過內(nèi)部的接入交換機匯聚后，接到客戶核心交換機。核心交換機配置VRRP協(xié)議，為管理網(wǎng)絡(luò)和業(yè)務(wù)網(wǎng)絡(luò)提供冗余網(wǎng)關(guān)。網(wǎng)絡(luò)帶寬需求桌面云的網(wǎng)絡(luò)帶寬與用戶行為強相關(guān)，下面幾種典型應(yīng)用帶寬需求情況如下：場景類別場景帶寬參考值場景百分比（可變）靜默無應(yīng)用靜默4Kbps30%Office打開靜默20Kbps25%Office應(yīng)用Word45Kbps20%PPT589Kbps4%視頻播放標清(480P)6.85Mbps0.8%高清(1080P)13.7Mbps0.2%GPU圖形桌面GPU圖形桌面20Mbps0%其它應(yīng)用PDF265Kbps5%IE150Kbps10%圖片瀏覽123Kbps5%注：無應(yīng)用靜默30%表示統(tǒng)計平均同時有30％的用戶無應(yīng)用靜默。網(wǎng)絡(luò)帶寬利用率按照80%計算，可得出各種應(yīng)用場景的帶寬要求。舉例：1、假設(shè)有100個用戶，為普通OA辦公場景，則每用戶平均帶寬計算如下：每用戶平均帶寬需求＝（4kbps*30%(無應(yīng)用靜默)＋20kbps*25%(Office打開靜默)＋45kbps*20%（Word）＋589kbps*4%（PPT）＋6.850Mbps*1024*0.8%（標清視頻）＋13.7Mbps*1024*0.2%（高清視頻）＋265kbps*5%（PDF）＋150kbps*10%（IE）＋123kbps*5%（圖片瀏覽））/80%＝197kbps。2、假設(shè)有100個用戶，為研發(fā)辦公場景，則每用戶平均帶寬計算如下：每用戶平均帶寬需求＝（4kbps*15%(無應(yīng)用靜默)＋20kbps*5%(Office打開靜默)＋45kbps*30%（Word）＋589kbps*20%（PPT）＋6.850Mbps*1024*0.5%（標清視頻）＋265kbps*15%（PDF）＋150kbps*10%（IE）＋123kbps*4.5%（圖片瀏覽））/80%＝285kbps。/****備注***/1、上述帶寬都是平均值，實際上桌面云帶寬跟用戶操作關(guān)系很大，比如用戶縮放窗口，打開文件，會突然出現(xiàn)一些帶寬鋒值，所以為了保障桌面云使用流暢度，100用戶以上才能使用該算法求得總帶寬需求，即總帶寬=該場景下平均帶寬*用戶數(shù)。2、如果用戶數(shù)小于100，并且為普通OA辦公場景，則按照如下規(guī)則進行計算：規(guī)模1~5個用戶（營業(yè)廳、分支機構(gòu)、普通OA辦公），總帶寬需求：至少2Mb規(guī)模5~20個用戶（分支機構(gòu)，普通OA辦公），平均帶寬需求：350kb規(guī)格20~50個用戶（普通OA辦公），平均帶寬需求：300kb規(guī)模50~100個用戶（普通OA辦公），平均帶寬需求：250kb規(guī)模100用戶以上（普通OA辦公），平均帶寬需求：200kb網(wǎng)絡(luò)QoS設(shè)計要求本項目的虛擬化平臺方案設(shè)計需要承載網(wǎng)絡(luò)有一定的帶寬保證和基本的QoS保證，確保虛擬桌面OA辦公業(yè)務(wù)的正常使用，虛擬桌面TC—VM之間的網(wǎng)絡(luò)質(zhì)量可以分為以下級別:網(wǎng)絡(luò)質(zhì)量等級QoS指標用戶體驗優(yōu)丟包率≤0.01%往返時延≤30ms抖動≤10ms用戶基本辦公體驗好，無遲滯感覺；在線高清視頻全屏播放效果好，可達22fps左右；720P本地視頻原始窗口播放效果好，可達26fps左右；外設(shè)支持好，U盤等存儲設(shè)備使用、操作流暢；適用場景：日常辦公，少量多媒體娛樂需求；良丟包率≤0.1%往返時延≤50ms抖動≤10ms用戶基本辦公體驗良好，快速拖動滾動條略有鼠標漂移現(xiàn)象；高清視頻播放卡頓明顯；480P視頻可窗口化流暢播放；外設(shè)支持一般，存在識別緩慢，U盤等存儲設(shè)備操作卡頓的現(xiàn)象，U盤拷貝速度較慢；適用場景：日常基本辦公（無大量頻繁外設(shè)使用），不適合娛樂場景；差丟包率≤0.3%往返時延≤100ms抖動≤40ms用戶基本辦公體驗較差，鼠標和鍵盤操作有較明顯時延，翻屏、滾動頁面有明顯卡頓；視頻播放卡頓明顯，基本不可用；外設(shè)識別困難，操作卡頓，基本不可用；適用場景：臨時互聯(lián)網(wǎng)和移動辦公接入場景，不適用于日常辦公場景。惡劣丟包率>0.3%往返時延>100ms抖動>40ms不適用于桌面云使用場景根據(jù)上述表格：桌面云網(wǎng)絡(luò)QoS的要求達到往返時延<30ms，抖動<10ms，丟包<0.01%。桌面云數(shù)據(jù)中心內(nèi)部通過以下方式保證QoS：二層網(wǎng)絡(luò)啟用802.1P，進行流分類，標識出HDP流量；啟用PQ隊列調(diào)度，避免擁塞，優(yōu)先轉(zhuǎn)發(fā)HDP流量；傳輸網(wǎng)絡(luò)需要啟用區(qū)分服務(wù)保證QoS：根據(jù)RDP/HDP的優(yōu)先級表示，進行不同的DSCP標記，設(shè)置為EF或者AF級別，進行優(yōu)先轉(zhuǎn)發(fā)，保證網(wǎng)絡(luò)擁塞后的RDP/HDP流量優(yōu)先轉(zhuǎn)發(fā)；對于TC接入網(wǎng)絡(luò)，做類似處理，保證接入側(cè)優(yōu)先級；二層網(wǎng)絡(luò)啟用802.1P和PQ隊列；三層接入部分采用DSCP區(qū)分服務(wù)；IP資源需求管理網(wǎng)IP地址需求云管理節(jié)點FusionManager（主備）、VRM（主備）、FusionStorageManager(主備)、服務(wù)器的的BMC、服務(wù)器底層虛擬化各需要一個管理IP。對于做HA可靠性的兩個節(jié)點需要多一個浮動IP。桌面管理虛機：ITA+DB+HDC（主備）各需要一個IP其它硬件設(shè)備、存儲（雙控制器）、交換機，每節(jié)點都需要一個IP。業(yè)務(wù)網(wǎng)IP地址需求每臺虛擬機需要分配數(shù)據(jù)中心側(cè)的IP網(wǎng)段一個IP，每個瘦終端需要分配用戶接入?yún)^(qū)的一個IP。桌面管理虛機：WI（負荷分擔(dān)）+ITA+DB+HDC（主備）、License+TCM、AD+DNS+DHCP各需要一個數(shù)據(jù)中心側(cè)的IP。存儲IP地址需求存儲設(shè)備的每個網(wǎng)口、服務(wù)器的接口都需要存儲網(wǎng)絡(luò)的IP。路由核心交換機為每一個子網(wǎng)啟用一個VLANIF接口，并將VLANIF地址作為網(wǎng)關(guān)地址。機柜內(nèi)的虛擬機之間通過柜內(nèi)接入交換機進行二層互通。機柜間虛擬機通過核心交換機實現(xiàn)三層互通，將網(wǎng)關(guān)地址為VLANIF地址。瘦終端訪問虛擬桌面通過核心交換機三層路由轉(zhuǎn)發(fā)。安全設(shè)計方案//請根據(jù)實際項目選用相應(yīng)認證方案，其它不需要的場景刪除。用戶名+域密碼認證方案桌面云采用AD域帳號+域密碼方式進行身份認證。用戶輸入AD域帳號與密碼，登錄時到AD服務(wù)器進行認證。認證成功即可以進入用戶虛擬桌面。在虛擬機里Ctrl+Alt+Del就可以鎖屏，輸入域密碼解鎖。USBKEY雙因子認證方案USBKey屬于智能卡的一種，每個USBKey都具有硬件和PIN碼保護，硬件和PIN碼構(gòu)成了兩個必要因素（雙因子認證）。用戶只有同時取得USBKey和PIN碼，才能登錄系統(tǒng)。即使用戶PIN碼泄漏，只要用戶持有的USBKey不被盜，合法用戶的身份就不會被仿冒。如果用戶USBKey遺失，拾到者因不知道用戶PIN碼，也無法仿冒合法用戶身份。本項目提高用戶接入認證的安全，用戶身份認證采用USBKEY雙因子認證的方案。用戶登錄時，先插入USBKEY，再輸入PIN碼，就可以登錄用戶的虛擬機。這樣既能保證用戶的良好體驗，又能最大限度地提高用戶身份認證的安全。用戶登錄桌面時插入USBKEY，即可以登錄進入用戶的WindowsXP與Win7虛擬機。用戶在使用USBKEY過程中，只要撥出USBKEY就可以鎖屏，再插入USBKEY，輸入PIN即可解鎖。用戶使用Windows系統(tǒng)TC與Linux系統(tǒng)TC都可以支持單點登錄。USBKEY的認證方案登錄流程實現(xiàn)如下圖所示：//USBKey登錄虛擬桌面特性主要包括以下幾個方面的應(yīng)用約束：1、本特性支持的虛擬桌面操作系統(tǒng)版本為Windows7(32bit、64Bit)、WindowsXP(32bit)。2、本特性支持的客戶端操作系統(tǒng)如下：PC機操作系統(tǒng)：Windows系統(tǒng)（只要USBKey的驅(qū)動能支持在Windows系統(tǒng)上使用即可），且配套IE8及以上的瀏覽器。TC瘦客戶機操作系統(tǒng)：CT5100和CT6100的WESTC和LinuxTC。3、桌面云僅測試兩個廠家的USBKey兼容性，為飛天誠信的ePass3000（該款Key通過國家信息外網(wǎng)驗證，政企采購該款Key比較多）和SafeNet的eTokenPRO72k，保證這兩款USBKey的Windows下的驅(qū)動能夠在WESTC上支持USBKey登錄虛擬桌面。其他USBKey廠家設(shè)備不保證一定能夠在虛擬桌面中使用，請?zhí)嵝枨笞黾嫒菪则炞C。域密碼+指紋雙因子認證方案在高安全桌面云中，要求提供用戶名/密碼和指紋認證的雙重認證才能進入用戶桌面。在虛擬機中安裝指紋驅(qū)動時，先進行指紋注冊。注冊成功指紋就與虛擬機的綁定了。用戶登錄WI時，用戶輸入用戶名密碼之后，可看到用戶虛擬列表，再進入虛擬機，需要刷指紋，指紋驗證成功后方可進入虛擬機，從而實現(xiàn)用戶名/密碼和指紋方式的雙重認證，提高用戶桌面的安全性。//指紋登錄虛擬桌面特性主要包括以下幾個方面的應(yīng)用約束：1、已驗證指紋儀：奔凱TCR4,奔凱TCR4K，TCR4KC，其它指紋儀需要測試確認是否支持；2、動態(tài)資源池中的虛擬機，不適合用指紋登陸，因登陸時VM隨機分配，而指紋數(shù)據(jù)保存在VM中；3、目前僅支持WindowsXP32位下的域和指紋雙因素登錄認證。動態(tài)口令雙因子認證方案桌面云支持動態(tài)口令認證。令牌認證使用動態(tài)密碼技術(shù)，每隔一段時間，令牌上的密碼就會變化，避免了靜態(tài)密碼被攝像、偷窺的風(fēng)險。令牌認證再結(jié)合AD域密碼就可以實現(xiàn)雙因子認證，增強安全性。令牌認證需要在桌面云系統(tǒng)增加令牌認證服務(wù)器。用戶認證時需要輸入用戶域帳號、域密碼、動態(tài)密碼。FusionAccess先到令牌認證服務(wù)器上認證，再到AD上認證，兩者都認證通過，用戶就可以進入桌面云，看到熟悉的Windows系統(tǒng)界面。//指紋登錄虛擬桌面特性主要包括以下約束：1、目前通過對接聯(lián)調(diào)的動態(tài)口令認證服務(wù)器廠商為上海動聯(lián)和飛天誠信。USB端口管控方案對于研發(fā)場景，只要求接鼠標/鍵盤、其余存儲、打印機都不允許接入。這種場景配置安全版的瘦終端即可。另外FusionAccess中HDC具有豐富的外設(shè)映射策略，可以提供USB設(shè)備管理，能夠區(qū)分USB鼠標/鍵盤和USB存儲設(shè)備，針對USB存儲設(shè)備，提供允許/禁止/只讀控制能力。同時外設(shè)映射策略可以基于AD用戶賬號、用戶組、虛擬機組進行配置。固定TC/TC組認證為了進一步保證合法用戶登錄虛擬機，滿足追溯到人的安全要求，可以限制用戶只能在指定的TC/TC組上登錄虛擬機。桌面云管理員可以在ITAPortal將TC/TC組的MAC與用戶/用戶組的域帳號綁定。這樣用戶只能在固定的辦公、或辦公區(qū)域進行訪問桌面云。如果用戶更換辦公位、或更換瘦終端，需要通知管理員在ITAPortal重新更新MAC地址綁定關(guān)系。類別參數(shù)取值樣例TC和用戶信息用戶帳戶Alice域TC/PCMAC地址70-F3-95-0B-7E-F8描述A樓3層803802.1X網(wǎng)絡(luò)接入認證在每個辦公座位上，都有網(wǎng)口，為了禁止非法用戶通過網(wǎng)口接入網(wǎng)絡(luò)，使用網(wǎng)口需要802.1X認證。華為的瘦客戶機集成802.1X認證客戶端，用戶打開TC后，輸入802.1X認證的用戶名、密碼，TC先進行802.1X認證，認證通過后，才允許使用網(wǎng)絡(luò)。TC自動彈出用戶登錄WI的界面。桌面云安全殺毒方案桌面云的虛擬機主要包括虛擬化管理節(jié)點虛擬機，桌面管理虛擬機與用戶虛擬機。管理節(jié)點采用加固的Linux操作系統(tǒng)；但管理節(jié)點提供外部操作平臺與外界存在B/S交互操作，不存在病毒感染。可不安裝殺毒軟件。桌面管理虛擬機采用WindowsServer2008R2系統(tǒng)，用戶虛擬機采用Windows8.1、Windows7或WindowsXP系統(tǒng)，都部署必須統(tǒng)一網(wǎng)絡(luò)版防病毒軟件，為基礎(chǔ)架構(gòu)虛擬機提供防病毒軟件功能。防病毒軟件通過設(shè)置定期任務(wù)，定期查殺病毒，防止基礎(chǔ)架構(gòu)虛擬機遭受病毒入侵。為減小防病毒任務(wù)在虛擬化環(huán)境中執(zhí)行時對共享資源的占用量，并且避免多臺虛擬機同時運行全盤掃描、病毒特征碼更新等任務(wù)，防止資源消耗沖突，建議用戶安裝為虛擬化環(huán)境提供了性能優(yōu)化功能的網(wǎng)絡(luò)版防病毒軟件；防病毒管理服務(wù)器可以設(shè)置統(tǒng)一分時的掃描、更新策略，從而避免眾多虛擬機同時發(fā)起掃描；通過虛擬化環(huán)境感知智能調(diào)度、基礎(chǔ)鏡像白名單、虛擬機之間病毒掃描結(jié)果共享等優(yōu)化功能，可以減少防病毒掃描工作量，避免高資源占用任務(wù)的并發(fā)執(zhí)行。系統(tǒng)可擴展性方案集群內(nèi)主機可擴展性桌面云平臺中每個FusionManager最大支持256個VRM集群，4096個主機服務(wù)器、80000個虛擬機支持。每VRM集群支持的服務(wù)器數(shù)量最大可達到256臺，每VRM集群支持32個HA資源池。每HA資源池內(nèi)支持的服務(wù)器數(shù)量最多可擴展至128臺服務(wù)器，可輕松滿足未來桌面的平滑擴容需求。單虛擬機可擴展性設(shè)計：單虛擬機支持vCPU個數(shù)最大可以擴展到64個，內(nèi)存可以擴展到1024GB，支持的虛擬網(wǎng)卡數(shù)最多可以支持12個，可充分滿足虛擬機規(guī)格的彈性伸縮。虛擬桌面管理節(jié)點可擴展性虛擬桌面管理節(jié)點可分布式平滑擴展。一套虛擬桌面最大支持20000桌面用戶，當(dāng)超過20000用戶容量后，需要新增加一套虛擬桌面管理節(jié)點，虛擬桌面管理節(jié)點之間屬于分布式，相互之間完全獨立。存儲擴展性根據(jù)存儲需求增長，可以實現(xiàn)存儲在線平滑擴容，根據(jù)規(guī)劃可以在線擴展磁盤、磁盤框、控制框。華為FusionSphere支持存儲冷熱遷移，支持將虛擬機的存儲卷在同一套存儲中的不同LUN，或者兩套不同存儲之間進行遷移；滿足客戶存儲進行平滑擴容的需求。運維管理方案總體架構(gòu)桌面云運維服務(wù)管理，基于B/S架構(gòu)，提供遠程集中運維管理，全中文界面。華為運維管理參考ITIL標準，基于統(tǒng)一維護，可運營、可管理的理念，設(shè)計了符合虛擬化產(chǎn)品特點，易運維的管理系統(tǒng)。支持友好的WebUI維護界面，統(tǒng)一管理所有硬件資源與虛擬化資源，VDI桌面，提供基于定制化策略的自動化運維系統(tǒng)。運維系統(tǒng)架構(gòu)如下：用戶可通過IE、Firefox瀏覽器訪問桌面云系統(tǒng)運維系統(tǒng)，無需安裝本地客戶端。虛擬桌面維護系統(tǒng)登陸頁虛擬桌面維護系統(tǒng)主頁運維解決方案特點FusionAccess的統(tǒng)一資源發(fā)放WEBPORTAL，業(yè)務(wù)發(fā)放更靈活、更高效。強大的OM運維能力，支持用戶三員分立、分權(quán)分域管理，安全性高。管理員可通過Portal快速地進行業(yè)務(wù)發(fā)放、桌面管理、模板管理、權(quán)限管理、資源管理、監(jiān)控管理、告警管理、拓撲管理、日志管理、任務(wù)管理、統(tǒng)計管理。虛擬桌面快速發(fā)放，添加用戶賬號無需手工操作。支持有AD域或無AD域桌面，不依賴于AD系統(tǒng)，簡化桌面云系統(tǒng)的部署。管理員登錄支持SSL、數(shù)據(jù)加密、用戶密碼加密保存，確保用戶數(shù)據(jù)安全。桌面管理支持虛擬桌面生命周期管理、快照、使用快照創(chuàng)建虛擬機和恢復(fù)虛擬機。為用戶數(shù)據(jù)提供備份功能。拓撲管理能讓管理員非常直觀地看到系統(tǒng)的部署情況、運行情況。告警管理支持告警轉(zhuǎn)E-Mail、短信的即時通知，使用戶及時了解系統(tǒng)。日志管理支持操作日志、運行日志記錄，便于審計和故障處理。FusionAccess支持集中日志，用戶桌面日志、管理日志進行集中收集和分析；統(tǒng)計管理支持靈活配置、報表統(tǒng)計分析。獨立任務(wù)中心：支持創(chuàng)建任務(wù)，任務(wù)支持批量創(chuàng)建、啟動、關(guān)閉、重啟、喚醒、休眠操作虛擬機，任務(wù)支持立即執(zhí)行、指定時間、周期性觸發(fā)、按天、周、月設(shè)定定時任務(wù)，支持任務(wù)執(zhí)行結(jié)果記錄查詢。桌面云系統(tǒng)支持軟件HA，高可靠性，減少故障對系統(tǒng)和業(yè)務(wù)的影響。支持系統(tǒng)配置自動備份，避免系統(tǒng)數(shù)據(jù)丟失。支持動態(tài)節(jié)能，例如：虛擬機長時間未用則自動休眠、用戶再次使用時自動恢復(fù)虛擬機使用；虛擬機自動調(diào)度包括定時遷移關(guān)閉啟動虛擬機、將虛擬機集中運行在某些服務(wù)器并下電其他服務(wù)器。管理員可遠程連接用戶虛擬機，通過共享桌面遠程維護。虛擬桌面管理虛擬桌面運營管理由FusionAccess提供，該系統(tǒng)基于Web架構(gòu)，用戶可通過IE、Firefox瀏覽器訪問，無需安裝本地客戶端。并且支持管理員分級分域管理。虛擬機發(fā)放管理員可以Portal發(fā)放裸虛擬機，完整復(fù)制，鏈接克隆虛擬機。支持虛擬機的單個發(fā)放或批量發(fā)放。批量發(fā)放可以發(fā)放給一批人，批量創(chuàng)建后的虛擬機有系統(tǒng)盤、用戶盤，關(guān)聯(lián)到AD域帳號。如下圖是批量發(fā)放虛擬機截圖。虛擬桌面快速發(fā)放虛擬機發(fā)放給用戶即綁定用戶，只有綁定用戶才能訪問虛擬機。支持發(fā)放時自動綁定、手動綁定。一個虛擬機可以綁定給一個用戶，也可以綁定給多個用戶。多個虛擬機組成的資源池，可以共享綁定給多個用戶。適用于多種用戶場景，例如個人辦公虛擬機則一一綁定，公用虛擬機則一對多或多對多綁定。桌面管理應(yīng)用于用戶進行虛擬桌面的發(fā)放和維護場景。用戶通過桌面管理主要完成以下三大維護管理模塊：虛擬機管理該模塊可完成虛擬機的啟動/喚醒、重啟、休眠、關(guān)閉、刪除、解分配、以及高級功能（強制重啟、強制關(guān)閉、追加用戶、刪除用戶、虛擬機配置調(diào)整、鏈接克隆虛擬機一鍵還原、安全刪除）等操作。創(chuàng)建虛擬機可指定IP創(chuàng)建虛擬機，同時也能兼容DHCP獲取IP的虛擬機。修改虛擬機可以修改虛擬機的業(yè)務(wù)類型、CPU、內(nèi)存以及描述。一鍵式還原針對鏈接克隆虛擬機，強制還原虛擬桌面系統(tǒng)到初始狀態(tài)。安全刪除功能把虛擬機刪除后，但磁盤空間不會立即可用，會在后臺進行磁盤空間的清“0”處理，磁盤空間清“0”后會自動加入可用的存儲資源池。虛擬機模板和鏡像管理支持虛擬機模板的創(chuàng)建、修改、刪除、查看。虛擬機模板參數(shù)包括：虛擬機規(guī)格（CPU、內(nèi)存、系統(tǒng)磁盤大?。?、鏡像、虛擬機QoS（是否HA、服務(wù)質(zhì)量級別）等。虛擬機組管理每個虛擬機都必須歸屬于某個虛擬機組。該模塊可完成虛擬機組的創(chuàng)建、編輯、刪除、添加虛擬機、更新鏈接克隆組軟件以及一鍵式還原。桌面組管理每個虛擬桌面都必須歸屬于某個桌面組，該模塊可完成桌面組的創(chuàng)建、編輯、刪除、分配虛擬機、批量分配虛擬機以及一鍵式還原。權(quán)限管理權(quán)限管理可以創(chuàng)建和管理FusionAccess系統(tǒng)中管理員帳號、管理員所承擔(dān)的角色和管理員管理區(qū)域，實現(xiàn)FusionAccess系統(tǒng)的分權(quán)分域的功能。FusionAccess系統(tǒng)支持對用戶進行訪問控制，提供分權(quán)分域模式與三權(quán)分立模式的管理，可對支持用戶組、密碼進行管理，便于維護團隊內(nèi)分職責(zé)共同有序地維護系統(tǒng)。帳號管理創(chuàng)建、修改、刪除管理員帳號；修改管理密碼。管理員分權(quán)分域配置角色管理角色指具有相同分權(quán)功能的管理員分組。管理員可以按實際需要創(chuàng)建相應(yīng)的角色。并分配給角色相應(yīng)的權(quán)限。一個“角色”可擁有一個或多個不同的“操作權(quán)限”。如果一個“用戶”擁有多個“角色”，其擁有的“操作權(quán)限”是多個“角色”擁有的“操作權(quán)限”的并集。支持靈活的設(shè)置角色，并靈活賦予角色擁有的權(quán)限。缺省的角色包括：超級管理員：具有全部操作維護權(quán)限和管理其他用戶的權(quán)限。操作維護管理員：具有超級管理員授予的操作和查看權(quán)限。只讀管理員：具有超級管理員授予的查看權(quán)限。分域管理監(jiān)控功能支持對操作維護管理員和只讀管理員用戶進行分集群域的授權(quán)管理。用戶分域管理：授予用戶各自的集群權(quán)限。集群可對應(yīng)不同部門（如營業(yè)廳、客服中心）、不同地區(qū)（如東城區(qū)、西城區(qū)）的虛擬桌面。分域管理員僅對屬于自己管理范圍的虛擬桌面具有管理權(quán)限，包括虛擬機的查看、分配、回收、登錄、關(guān)閉、重啟等。密碼管理支持設(shè)置密碼策略，確保密碼的保密性。密碼策略包括：密碼長度、密碼是否含特殊字符、密碼有效時長、密碼到期提前多長時間提醒用戶、修改密碼時不允許使用最近幾次的密碼、是否強制用戶第一次登錄時修改密碼等。虛擬機用戶賬號管理采用AD的方式管理，包括創(chuàng)建域用戶賬號、域組用戶賬號、用戶漫游及強制配置文件等。三權(quán)分立桌面云管理提供三權(quán)分立模式的管理。這種模式下包括系統(tǒng)管理員、安全管理員、安全審計員三個角色。其中系統(tǒng)管理員負責(zé)業(yè)務(wù)下發(fā)/操作，系統(tǒng)配置；安全管理員負責(zé)分權(quán)分域的配置管理，密碼策略的配置；安全審計員專項負責(zé)操作日志的審計工作。并且此模式下的所有新建角色，必須按照原始安全標準對這3種角色進行權(quán)限繼承，且不允許權(quán)限交叉。策略管理通過外設(shè)資源映射功能，桌面云用戶能在虛擬機使用連接在客戶端外設(shè)端口上的外設(shè)設(shè)備，管理員能通過策略控制外設(shè)映射的權(quán)限。實現(xiàn)客戶端資源在虛擬桌面上的靈活使用，同時確保管理員對外設(shè)使用的安全控制。通過策略管理的配置如下：USB端口重定向管理(驅(qū)動安裝在VM側(cè)，推薦使用)包括圖像設(shè)備（如：掃描儀）,視頻設(shè)備（如：攝像頭）,打印設(shè)備（如：打印機）,存儲設(shè)備（如：U盤）,存儲設(shè)備只讀,智能卡設(shè)備（如：Ukey）,移除智能卡斷開用戶會話,其他USB設(shè)備自定義策略。設(shè)備重定向(驅(qū)動安裝在TC側(cè)）包括打印機重定向，攝像頭重定向，TWAIN設(shè)備重定向，圖像壓縮級別，PC/SC（智能卡）重定向，移除智能卡斷開用戶會話。串口重定向(驅(qū)動安裝在VM側(cè)，推薦使用)包括串口重定向，自動重連客戶端串口。其他還包括音頻策略，F(xiàn)lash重定向策略，多媒體重定向策略，顯示策略，客戶端連續(xù)策略，vGPU策略配置。虛擬桌面策略配置軟件與補丁管理軟件系統(tǒng)包括：云平臺系統(tǒng)軟件、桌面接入系統(tǒng)軟件、用戶虛擬機軟件、操作系統(tǒng)補丁。為了方便客戶管理軟件，軟件系統(tǒng)具有如下特點：軟件自動化批量安裝云平臺軟件：支持統(tǒng)一安裝界面，一次性導(dǎo)入所有服務(wù)器的信息，多節(jié)點同時加載安裝，安裝效率高。桌面接入軟件：支持統(tǒng)一安裝界面，便于安裝管理。桌面云系統(tǒng)提供了桌面代理軟件自動化升級功能，便于維護人員對軟件統(tǒng)一管理。用戶虛擬機軟件：通過虛擬機模板方式，創(chuàng)建虛擬機并安裝應(yīng)用軟件，且支持批量創(chuàng)建虛擬機，大大減少了用戶操作和操作難度。升級、打補丁及回退自動化云平臺軟件支持升級、打補丁有工具支撐，實現(xiàn)了自動化健康檢查、分發(fā)軟件、升級/打補丁、校驗、回退。且支持靜默升級，即升級/打補丁不影響業(yè)務(wù)。用戶虛擬機軟件管理集中化支持使用工具快速將用戶數(shù)據(jù)從原來的物理機遷移到虛擬機、虛擬機間數(shù)據(jù)遷移。用戶虛擬機操作系統(tǒng)，通過補丁服務(wù)器打補丁，方便安全。通過AD域控管理用戶虛擬機的應(yīng)用軟件，具有準入控制、安全策略管理、員工行為管理、軟件分發(fā)功能。操作系統(tǒng)補丁更新目前桌面云典型部署中操作系統(tǒng)有虛擬桌面（Windows）、應(yīng)用發(fā)布的WindowsServer虛擬機以及Windows2008R2管理節(jié)點的虛擬機。這么多虛擬機如果讓管理員手動打補丁需要自行登錄到每臺虛擬機上進行操作，操作比較繁瑣，費時費力。本項目采用WSUS服務(wù)器統(tǒng)一管理自動補丁更新。使用自動打補丁后，無需人工干預(yù)，只要WSUS服務(wù)器統(tǒng)一管理補丁就可以了。打補丁方法是微軟傳統(tǒng)的方法，與傳統(tǒng)打補丁方案一致。資源管理FusionManager統(tǒng)一管理系統(tǒng)，統(tǒng)一的桌面云、虛擬平臺、硬件系統(tǒng)管理系統(tǒng)，避免在不同的管理界面間來回切換，簡化管理工作，提升管理效率。同時，避免多個管理賬號帶來的麻煩。FusionManager云管理平臺通過對各種物理資源、虛擬化資源數(shù)據(jù)統(tǒng)一建模，將資源以用戶可見的資源池形式提供給上層應(yīng)用。統(tǒng)一資源管理模型圖統(tǒng)一資源管理，支持發(fā)現(xiàn)其管轄范圍內(nèi)的物理設(shè)備（包括機框、服務(wù)器、存儲設(shè)備、交換機）以及它們的組網(wǎng)關(guān)系。支持將這些物理設(shè)備進行池化管理，提供給應(yīng)用管理模塊使用。對于虛擬化一體機場景支持自動發(fā)現(xiàn)物理設(shè)備，基礎(chǔ)設(shè)施虛擬化場景需要手工導(dǎo)入物理設(shè)備，對服務(wù)器、存儲設(shè)備和交換機進行集中管理，對物理資源進行池化管理，給上層的業(yè)務(wù)發(fā)放屏蔽物理設(shè)備的差異。虛擬化資源管理可以統(tǒng)一管理不同系統(tǒng)提供的不同的虛擬資源，包括虛擬機資源、虛擬網(wǎng)絡(luò)資源、虛擬存儲資源的管理等。通過資源池管理，提高基礎(chǔ)設(shè)施資源的利用率和靈活性，提供統(tǒng)一的虛擬化資源管理能力，對上層應(yīng)用發(fā)放屏蔽差異；實現(xiàn)虛擬資源集中管理提升管理效率，降低運維成本。采用南向插件機制，使FusionManager可以快速、便捷、可定制的實現(xiàn)不同硬件和虛擬化系統(tǒng)的對接。物理資源管理對于華為自研的物理設(shè)備可自動發(fā)現(xiàn)；第三方廠家設(shè)備支持單條設(shè)備接入或批量設(shè)備接入。服務(wù)器資源管理能夠發(fā)現(xiàn)服務(wù)器的配置信息，可以實現(xiàn)服務(wù)器的監(jiān)控，監(jiān)控信息包括CPU占用率，內(nèi)存占用率，網(wǎng)絡(luò)流出、流入，磁盤I/O寫入、讀出，可以按周、月、年及自定義時段查詢性能監(jiān)控結(jié)果。服務(wù)器設(shè)備的維護能力：上電，下電，安全重啟，安全下電，強制下電，進入維護模式，退出維護模式，一鍵式上電、下電所有服務(wù)器；網(wǎng)絡(luò)設(shè)備管理能夠發(fā)現(xiàn)交換機的配置信息，顯示交換機端口的連接狀態(tài)，狀態(tài)信息包括連接與否、發(fā)送、接收速率，發(fā)送、接收丟包率，發(fā)送、接收錯誤率。另外還可以對本系統(tǒng)的網(wǎng)絡(luò)模式及網(wǎng)絡(luò)配置進行管理。存儲設(shè)備管理能夠發(fā)現(xiàn)存儲設(shè)備，查看存儲設(shè)備的配置信息，信息包括存儲設(shè)備位置，產(chǎn)品型號，狀態(tài)，管理IP地址，磁盤數(shù)量?？梢圆樵兇鎯υO(shè)備的總?cè)萘亢涂捎萌萘?，以便用戶知道是否要擴容存儲設(shè)備。支持IPSAN、FCSAN、NAS、服務(wù)器本地存儲。資源集群管理，集群的創(chuàng)建、刪除、擴容、減容，對集群進行性能監(jiān)控，配置集群的資源調(diào)度策略，調(diào)度策略可以設(shè)置為手動和自動，實現(xiàn)虛擬機根據(jù)系統(tǒng)負荷在不同服務(wù)器上遷移。物理設(shè)備資源管理虛擬資源管理虛擬化資源管理支持對計算虛擬化、網(wǎng)絡(luò)虛擬化、存儲虛擬化的管理。虛擬機生命周期管理：業(yè)務(wù)管理員通過應(yīng)用對虛擬機進行創(chuàng)建、銷毀操作，對虛擬機的日常維護包括：啟動、重啟、遷移、關(guān)閉、修復(fù)、快照、虛擬機資源調(diào)整和監(jiān)控；虛擬化網(wǎng)絡(luò)管理：虛擬網(wǎng)絡(luò)管理負責(zé)管理系統(tǒng)的虛擬交換機及虛擬交換機分配的子網(wǎng)。虛擬網(wǎng)絡(luò)對應(yīng)的是DVS(分布式虛擬交換機)和PortGroup（端口組）。分布式虛擬交換機支持系統(tǒng)管理員對一至多臺主機上的虛擬交換機的上行鏈路和虛擬端口進行配置與維護。對子網(wǎng)、VLAN、VxLAN和端口組的管理；可對端口組進行限速設(shè)置、上限帶寬、優(yōu)先級和DHCP隔離配置。虛擬化存儲管理：可以管理IPSAN、FusionStorage、FCSAN、NAS上的存儲資源，以數(shù)據(jù)存儲為單位分配給資源集群使用。數(shù)據(jù)存儲是虛擬機卷所在的存儲空間，其對應(yīng)的物理概念是：SAN的存儲資源池、FusionStorage的內(nèi)部資源池?？梢韵虼鎯Y源池中增加、刪除數(shù)據(jù)存儲，已經(jīng)存在的數(shù)據(jù)存儲可以進行擴容。支持多級存儲虛擬化資源管理監(jiān)控管理監(jiān)控管理監(jiān)控提供針對云平臺、計算集群、計算服務(wù)器、虛擬機、存儲、交換機等進行監(jiān)控。云平臺的監(jiān)控信息包括：云的整體CPU平均占用率、內(nèi)存平均占用率、存儲平均占用率、故障服務(wù)器數(shù)量、虛擬機CPU分配情況、虛擬內(nèi)存分配情況、存儲資源分配情況等。計算集群的監(jiān)控信息包括：計算集群的CPU平均占用率、內(nèi)存平均占用率、故障服務(wù)器數(shù)量、虛擬機CPU分配情況、虛擬內(nèi)存分配情況等。計算服務(wù)器的監(jiān)控信息包括：服務(wù)器的CPU占用率、內(nèi)存占用率、虛擬機數(shù)量、服務(wù)器基本信息、虛擬機CPU分配情況、虛擬內(nèi)存分配情況等。虛擬機的監(jiān)控信息包括：虛擬機的CPU占用率、內(nèi)存占用率、磁盤讀寫次數(shù)、網(wǎng)絡(luò)流入流出流量、狀態(tài)等。網(wǎng)絡(luò)交換機監(jiān)控：監(jiān)控信息包括流入流出速率、端口信息狀態(tài)、端口數(shù)據(jù)流量等信息。存儲監(jiān)控：監(jiān)控信息包括存儲的總?cè)萘俊⒁逊峙淙萘?、實際可用容量等信息?？傊O(jiān)控主要分為：硬件部分和軟件部分。1、硬件部分監(jiān)控服務(wù)器（狀態(tài)、CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)連接）存儲（磁盤狀態(tài)、網(wǎng)絡(luò)連接）交換機（端口狀態(tài)、流量）接入網(wǎng)關(guān)（端口、流量）接入終端（TC狀態(tài)、CPU、內(nèi)存、磁盤、文件系統(tǒng)）2、軟件部分FusionSphere系統(tǒng)軟件（軟件進程狀態(tài)、性能）FusionAcess系統(tǒng)軟件（軟件進程狀態(tài)、性能）接入網(wǎng)關(guān)軟件（軟件進程狀態(tài)、性能）TC終端軟件（軟件進程狀態(tài)、性能）虛擬機（狀態(tài)、CPU、內(nèi)存、磁盤、文件系統(tǒng)）3、系統(tǒng)提供的對外監(jiān)控接口包括：SNMP:網(wǎng)絡(luò)、存儲等硬件設(shè)備SOAP協(xié)議接口：虛擬機。告警管理告警管理操作界面“FusionManager故障管理”模塊，提供了統(tǒng)一的故障監(jiān)控告警管理系統(tǒng)，能夠做到對硬件（服務(wù)器、存儲、交換機）、軟件（虛擬化平臺、桌面云管理系統(tǒng)、虛擬機）的各類告警信息統(tǒng)一呈現(xiàn)，并支持告警轉(zhuǎn)郵件發(fā)送?！癋usionAccess系統(tǒng)告警”模塊，提供了桌面云系統(tǒng)管理功能，便于運維人員進行故障定位，保證系統(tǒng)穩(wěn)定運行。故障管理是確保系統(tǒng)正常運行的重要活動，包括：系統(tǒng)故障預(yù)防設(shè)計、故障檢測和處理。告警管理是故障管理的重要部分。系統(tǒng)故障預(yù)防設(shè)計系統(tǒng)設(shè)計時，考慮到部件故障時的系統(tǒng)自動處理，確保故障不影響系統(tǒng)正常運行和業(yè)務(wù)正常使用，降低了故障危害。包括：硬件RAID、硬件HA和軟件HA。系統(tǒng)數(shù)據(jù)自動備份、用戶數(shù)據(jù)備份容災(zāi)方案。虛擬機HA、虛擬機快照、虛擬機遷移、存儲遷移。故障處理時，支持對故障服務(wù)器進行隔離，避免業(yè)務(wù)消息發(fā)到故障服務(wù)器。故障檢測和處理系統(tǒng)支持故障的自動檢測，及時上報告警。告警管理具體如下：告警對象：硬件、虛擬桌面軟件、虛擬機。告警級別：支持四種告警級別，標識不同嚴重程度的告警。告警的聲光顯示：根據(jù)用戶的設(shè)置，云管理可通過不同的聲音、顏色標識不同級別的告警，呈現(xiàn)給維護人員。告警查看：支持活動告警瀏覽和歷史告警查詢。通過設(shè)置瀏覽參數(shù)，管理員可以實時監(jiān)控自己關(guān)注的活動告警，例如查看“重要”級別的實時告警。Email和短信通知告警功能：告警產(chǎn)生和恢復(fù)時，系統(tǒng)會自動給運維人員發(fā)Email和短信，及時告知。通過訂閱重要的告警，實現(xiàn)在無人值守的環(huán)境下，仍能實時掌握全網(wǎng)節(jié)點的運行狀態(tài)。告警閾值可配：管理員可根據(jù)實際情況，配置告警閾值。告警北向接口：云管理提供標準的告警北向接口能力，供上層網(wǎng)管對接。支持第三方設(shè)備告警接入到云平臺管理系統(tǒng)。拓撲管理拓撲管理提供一個可視化界面，呈現(xiàn)全系統(tǒng)的所有資源信息，無需管理員手動干預(yù)。拓撲圖整體上分為三個層次：物理資源視圖、集群視圖和應(yīng)用視圖以及層間關(guān)聯(lián)關(guān)系。拓撲管理呈現(xiàn)通過拓撲視圖可以查看物理硬件資源視圖，應(yīng)用部署以及虛擬機資源視圖，即通過拓撲視圖可以了解計算、存儲、網(wǎng)絡(luò)以及虛擬資源的邏輯視圖。獲取硬件資源（計算硬件、存儲硬件、網(wǎng)絡(luò)硬件）、應(yīng)用部署情況（例如，數(shù)據(jù)庫服務(wù)器部署在哪臺虛擬機上，虛擬機位于哪臺主機上）、虛擬機屬性。拓撲節(jié)點會和告警中心關(guān)聯(lián)，即使呈現(xiàn)對象當(dāng)前的監(jiān)控狀態(tài)。拓撲管理呈現(xiàn)選中的集群資源占用和監(jiān)控狀態(tài)。配置管理配置管理包括組策略配置、系統(tǒng)配置管理。配置管理用戶組策略配置管理采用windowsServer的組策略管理控制臺實現(xiàn)可視化的組策略管理，在AD(活動目錄）提供組策略管理，實現(xiàn)組策略的一站式管理。組策略管理以組對象（GPO）為基本操作單元，實現(xiàn)組策略的導(dǎo)入/導(dǎo)出；實現(xiàn)組策略的建模/部署、備份/恢復(fù)、拷貝/粘貼等操作以及生成GPO設(shè)置與策略結(jié)果集（RSoP）數(shù)據(jù)的HTML報表。組策略管理以組對象（GPO）為基本操作單元。系統(tǒng)配置管理系統(tǒng)配置支持初始配置和配置調(diào)整，支持系統(tǒng)配置的保存和備份，具體配置如下表所示。配置項說明AD域服務(wù)器當(dāng)AD服務(wù)器中的以下域信息發(fā)生了變化，需要在FusionAccess中同步修改域信息，以確保發(fā)放虛擬機時，F(xiàn)usionAccess能夠重新獲取AD服務(wù)器的域信息。Deskt