云桌面解决方案建议书模板Word格式.docx
《云桌面解决方案建议书模板Word格式.docx》由会员分享,可在线阅读,更多相关《云桌面解决方案建议书模板Word格式.docx(21页珍藏版)》请在冰点文库上搜索。
并能直观生成数据中心拓扑图,方便对外统一呈现与管理。
桌面虚拟化依托共享存储架构,可以支持分布式存储或者共享存储,保障数据安全性的同时,提升IO性能;
借助底层高可靠设置,保障办公业务连续性,任何一台物理主机宕机均可快速恢复。
3.2双网隔离设计方案
有安全隔离需求单位通常采用多台PC或硬盘隔离卡方式来实现多网隔离。
其中,多PC部署成本高,终端管理运维极其繁杂、应用软件更新的工作量大;
而硬盘隔离卡多桌面切换慢,且稳定性差、易蓝屏死机,影响办公效率。
基于工作网办公整体设计方案,针对新华三特提供两种双网隔离补充方案。
3.2.1物理隔离方案一
架构说明:
给每个检务工作人员配发2台云终端或者普通PC(可利旧)、一套KVM切换器、1套键盘鼠标及显示器。
后端分别部署两套物理隔离的云桌面服务器集群(承载检察院专网办公桌面和外网桌面,两个集群之间通过网闸设备隔离)。
使用内网云终端或PC访问内网云桌面,外网云终端或PC访问外网云桌面,通过KVM切换器特定按键一键无缝切换。
优势说明:
内外网瘦终端之间完全物理隔离,无数据交互。
终端、网络和云桌面数据完全物理隔离,内外网完全分开,文件只存放在数据中心的云桌面服务器上,且云桌面统一在后台管理,可以加大对桌面的管控力度。
这种方式切换非常简单,可以做到5秒切换。
办公桌上只需要1套显示器和键鼠,节省了办公空间,用户体验非常好。
3.2.2物理隔离方案二
此方案为每名检务工作人员配发1台瘦终端和1个双网切换器(如上图所示),后端分别部署两套物理隔离的云桌面服务器集群(承载检察院专网办公桌面和外网桌面,两个集群之间通过网闸设备隔离),前端通过双网切换器实现一机连多网,分别给每台瘦终端分配两个独立的云桌面,一套用于访问内网,一套用于访问外网。
同一时间只能连通一套网络,所以能够满足内外网物理隔离要求(涉密网与互联网、或非涉密网与互联网、或涉密网与非涉密网,视具体情况定方案)。
该方案在执行切换时,只需按下双网切换器的按钮,10-15秒即可完成内外网桌面的无缝切换,使用便捷,能够有效提升办公效率。
实现一机多用,并且可以同时访问内外网桌面,可以做到无缝切换。
且切换过程中,整个操作系统不会关闭或重新启动,当再次切换回涉密网或侦查信息网(非涉密网)时界面依然是切换前的界面,不用重新打开各类程序。
网络切换器切换速度快,使用灵活,体验度好。
4云桌面详细设计方案
详细设计方案以局域网办公为主,双网隔离数据中心建设设计标准内外网一致,仅接入端设计不同。
4.1网络设计
网络设计遵循用户体验性能优先保障方案,采用分离式架构设计,保障不用网络流量互不干扰,并且结合虚拟交换机的QoS、vLan、Mirror等技术,具备更强的适应能力和扩展能力。
千兆以太网业务分三个子网,分别连接虚拟桌面管理及集群通信,虚拟桌面业务,存储网络。
4.1.1网络划分
根据新华三桌面云最佳实践和以往项目经验,建议将生产系统所在生产转发网络和虚拟机主机管理端口以及管理服务器使用的管理网络隔离开来,防止生产和管理网络混淆带来的风险,并降低网络广播风暴。
方案中通过在生产网络之外为管理网络单独划分VLAN的方式实现网络分段。
管理网络:
实现数据中心管理网络,建议独立,至少千兆。
业务网络:
通过虚拟交换机方式实现,如下图,虚拟交换机支持绑定多块网络网卡,用以保障业务通信的安全及流畅。
每一个虚拟交换机vSwitch可以配置两个上行链路物理网络端口。
对于多网口的冗余配置应该遵循配置在不同PCI插槽间的物理网卡口之间。
对于吞吐量和高并发网络带宽使用要求的,可以考虑采用10GbE,不过采用万兆网络在适配器和交换机上的投入成本也会相应增加。
简单的方法是通过在虚拟机网络vSwitch上通过对多块1GbE端口捆绑负载均衡实现。
存储网络:
建议应用单独的存储网络降低存储数据对生产网络的压力。
存根据存储类型进行选择,分布式存储推荐万兆网卡,共享阵列存储则推荐HBA卡。
4.1.2网络部署建议
1.网络带宽需求
虚拟桌面的网络带宽与用户应用强相关,列举某大型客户几种典型应用带宽需求情况如下:
场景
有效带宽(kb/s)
门户登录
372.9
OA办公访问
36.4
Word和Excel文档编辑
26.0
PPT编制
46.7
PDF浏览
38.9
视频播放
450.2
小总:
普通办公桌面带宽占用约为1.5^2MB,考虑外设备等开支,建议办公桌面带宽占用3^4MB左右,最终带宽值需根据客户的实际网络环境与业务环境测试为准。
2.网络QoS设计要求
如果涉及专线访问云桌面,需要通过运营商提供专线网络来承载VDI,实现市县的云与端的互联,则需要承载网提供带宽与Qos的保障。
常见端到云的网络质量分如下级别:
网络质量等级
QoS指标
用户体验
优
丢包率≤0.01%
往返时延≤30ms
抖动≤10ms
用户基本办公体验好,无迟滞感觉;
在线高清视频全屏播放效果好,可达22fps左右;
720P本地视频原始窗口播放效果好,可达26fps左右;
外设支持好,U盘等存储设备使用、操作流畅;
适用场景:
日常办公,少量多媒体娱乐需求。
良
丢包率≤0.1%
往返时延≤50ms
用户基本办公体验良好,快速拖动滚动条略有鼠标漂移现象
高清视频播放卡顿明显;
480P视频可窗口化流畅播放;
外设支持一般,存在识别缓慢,U盘等存储设备操作卡顿的现象,U盘拷贝速度较慢;
日常基本办公(无大量频繁外设使用),不适合娱乐场景。
差
丢包率≤0.3%
往返时延≤100ms
抖动≤40ms
用户基本办公体验较差,鼠标和键盘操作有较明显时延,翻屏、滚动页面有明显卡顿;
视频播放卡顿明显,基本不可用;
外设识别困难,操作卡顿,基本不可用;
临时互联网和移动办公接入场景,不适用于日常办公场景。
恶劣
丢包率>
0.3%
往返时延>
100ms
抖动>
40ms
不适用于桌面云使用场景
4.2资源配置
4.2.1计算资源配置
采用XX云计算操作系统软件,将多台XX机架服务器组建HA集群,在虚拟机上部署企业业务应用,并配合HA和动态负载均衡等高级功能,实现业务的连续性,减少计划内宕机时间,提高资源利用率。
在普通办公场景(主要使用Office系列软件、OA、web端管理系统等)中,视频并发不超过10%,服务器CPU和虚拟桌面数量的换算关系可以为:
1物理CPU核≈2个虚拟桌面。
在中高办公负载场景(涉及网页或者本地视频、非编软件等)中,视频并发不超过50%,服务器CPU和虚拟桌面数量的换算关系可以为:
1物理CPU核≈1个虚拟桌面。
涉及图形化办公场景中,推荐采用GPU服务器。
新华三VGPU方案提供多种授权方式,满足日常图形化办公或者有图形渲染办公需求场景。
普通办公建议:
V4的CPU主频要求必须在2.4GHz以上。
V5的CPU要求必须2.1GHz及以上。
VGPU办公建议:
CPU要求必须3.0GHz及以上。
4.3存储资源配置
4.3.1关键指标IOPS
虚拟桌面项目中评估存储的一个关键性能指标就是IOPS,桌面系统启动时读取镜像系统并加载用户配置文件,所以IOPS消耗较高,保守估计在日常工作中每个虚拟桌面所需的IOPS平均为40个,我们通常为每个虚拟桌面以40个IOPS计算。
单个VDI桌面各节段IOPS数量调用情况(理论值):
VDI桌面各节段
IOPS数量(个)
启动
200
登录
15
工作:
轻量
15-30
普通
35-45
重载
80左右
空闲
4
退出
12
普通办公桌面IOPS建议按照平均40计算,最终IOPS需根据客户的实际业务环境测试为准。
4.3.2虚拟桌面空间占用
桌面系统容量占用=虚拟桌面数量x(单台桌面操作系统占用+单台桌面数据占用),
桌面系统
WindowsXP、7、10
系统盘容量
32位系统:
30GB
64位系统:
50GB
数据盘容量
根据用户需求确定
虚拟机采用完整克隆模式:
数据盘使用后置备模式,初始占据所需空间。
系统盘采用链接克隆模式:
数据盘使用量精简配置,随时间增加。
4.4管理中心设计
桌面管理服务器负责计算资源的调配、用户认证、策略控制等工作,为了保证系统稳定运行,建议采用2块10k300GSAS硬盘做RAID1,对CPU和内存的要求不高。
无高可靠性要求:
●≤200个虚拟桌面时,建议配置1台虚拟机作为VDIM桌面管理服务器即可,或者从计算服务器上预留出部分资源(留出1个物理核,32G内存)。
●≥200个虚拟桌面时,建议配置1台物理服务器单独做管理(同时安装CVM和VDIM)。
高可靠性要求:
●建议将2台VDIM桌面管理服务器分别安装在2台管理服务器上,另外再加1台专门运行AD/DNS/DHCP等组件(可选件),也就是需要3台物理服务器跑管理组件。
桌面管理服务器推荐配置规格:
2路6核、4*16GB、P440ar卡(自带2GB缓存)、2*300GB10KSAS、4*GE网卡、冗余电源
4.5安全设计
4.5.1终端准入控制
指定终端接入:
通过在接入终端的MAC地址/MAC地址组与域用户/域用户组之间建立绑定关系,实现指定域用户/域用户组成员从指定终端/终端组接入桌面。
用户和设备黑白名单控制:
通过管理平台可添加非法用户和非法终端设置,限制非法接入;
在信息安全要求高的场合,只允许特定用户从固定地点的终端登录到包含敏感信息的虚拟桌面中,以避免敏感信息遭到泄露
1、用户登录时,客户端会将用户名、域名以及MAC地址发送桌面云管理平台(Broker),检查TC是否与此用户绑定。
2、与Broker的预存绑定信息相匹配,则允许去AD鉴权,继续登录过程,否则不允许继续登录。
3、成功登录进入虚拟桌面中。
4.5.2多样化的用户认证方式
AD认证:
账号系统统一由AD维护,具备密码重置、虚拟桌面权限配置等AD系统支持的功能。
本地认证:
无需AD系统,虚拟机不加入AD域,使用方式类似于物理PC不加入域,但是无法集中设置虚拟桌面的组策略。
终端MAC认证:
虚拟桌面可以指定给某一特定的终端,首次打开客户端,显示注册页面,点击“注册网卡”。
第二次打开客户端时,即可直接进入云桌面。
4.5.3集中的网络策略管理
针对单个虚拟机和桌面池集中设置策略,策略下发后自动生效;
虚拟桌面访问控制:
允许为虚拟桌面流量指定详细的安全访问规则(二层、三层、四层控制,双向控制,基于时间段控制)。
分布式虚拟交换机(DVS):
虚拟桌面在服务器主机间迁移时,相应的网络策略配置(ACL、QoS、VLAN、端口绑定等)文件也同步迁移,确保业务不中断的同时,访问控制策略保持不变。
4.5.4三权分立,防止越权管理
管理系统中的账号所属角色对应的操作权限进行分离,独立的账号管理功能模块,管理员根据实际情况分配权限,实现系统管理员、桌面管理员、审计管理员的多级管理;
基于集群、主机和桌面池的细粒度权限管理;
满足国内涉密安全应用场景。
等保标准BMB17中明确规定,系统要支持三员分立的管理。
即实现系统管理员、安全管理员、安全审计员的权限制衡
4.5.5虚拟化杀毒保障桌面安全
DeepSecurityforXX是亚信安全为XX和VDI定制开发的无代理安全软件,支持AV防病毒及DPI深度包检测;
XX底层直接集成DeepSecurity安全引擎,无需在虚拟桌面中安装额外的代理软件,防病毒扫描工作offload到集中的底层服务器上,客户端无扫描引擎,不会出现特征库更新的场景,减少了威胁防护的消耗,实现性能优化,可以提升用户体验10%以上;
分布式安全防护机制,每台物理主机有独立的安全引擎,且虚拟桌面迁移安全防护策略同步跟随;
4.5.6数据备份与恢复
基于磁盘的备份与恢复,避免虚拟桌面系统出现不可恢复故障,为虚拟机提供快速、简单的数据保护。
支持全自动的定时备份和手工干预的即时备份,满足不同的应用要求。
支持全量、增量和差异备份及管理与恢复能力
4.6高体验设计
4.6.1灵活的终端选择
价值点
详细说明
使用场景
Arm分体机
Arm架构,满足日常办公需求,支持高清视频播放。
普通办公场景,没有复杂外设需求。
X86分体机
接口丰富,设兼容性好,性能好,有备援系统。
如:
C100S
普通办公场景、有复杂外设和视频需求
利旧PC
建议使用年限不要超过4年,主频2.41以上。
4.6.2视频重定向效果
桌面中,利用钩子技术抓取DShow的视音频数据,传到客户端。
动作简单,不占用CPU资源。
瘦客户机,接收并同步音视频数据,建立虚拟源,并播放音视频。
播放时采用ffdshow硬件解码,大大降低瘦客户机的CPU消耗。
播放1080p高清视频CPU都在5%以内。
1080p/4K本地视频清晰流畅、CPU内存消耗极低,2*8核支持35路并发播放(服务器解码*2以上)。
支持多种播放器,支持跳转、缩放、全屏等操作;
单虚拟机支持多路视频同时播放,
视频负载的判断依据:
✧分辨率:
720p、1080p、4K。
✧帧数:
24fps、30fps、60fps。
✧码率:
5Mbps、10Mbps、15Mps。
4.6.3Flash视频重定向
在进行网页视频浏览的时候经常会出现网页视频卡顿,播放不流畅等问题。
XXVDI采用业界领先压缩算法,兼顾高清画质效果与低带宽;
优化Windows多线程支持;
支持单桌面、多窗口并发播放视频;
实时捕获虚拟机中播放的视频区域,再转换为H.264编码在客户端解码重现。
解读项
说明
重定向两种方式及差别
Ø
把视频流传送到客户端,客户端调用FlashPlayer解码视频流。
瘦客户机要求安装FlashPlayer,但不要求联网。
把网址传送到客户端,客户端调用FlashPlayer访问网址并播放视频。
瘦客户机要求安装FlashPlayer,并联网。
互联网和内网的区别
✓互联网:
Flash插件接口通用,网页JS/HTML实现大体一致。
✓内网:
Flash接口不规范,网页JS/HTML辖搞。
杭州拱墅区法院,通用方法播放,视频和外窗对不齐。
✓解决方法:
定制。
核心卖点
播放1080p网页视频,清晰流畅。
并发播放密度高,2*8核支持35路并发播放(服务器解码*2以上)。
4.6.4USB外设重定向
XX云桌面管理平台可对外设通道独立控制,可灵活实现信息安全,可以通过云桌面管理平台实现外设管理策略的设置、下发到客户端,控制外设的重定向规则,针对非标外设也可以设置详细的黑白名单。
针对USB存储设备,可以控制设备只读。
一些非典型的外设,客户端只是简单地将端口数据完整地重定向到对应的虚拟桌面中,由虚拟桌面的驱动程序去识别具体的设备类型。
通过外设重定向技术可以让外设走单独的协议通道,可以支持很多类型的外设。
如非标外设,比如:
加密狗、电子白板、Ukey、智能卡、SIM卡读卡器、扫描枪、身份证读卡器等。
4.6.5TWAIN设备重定向
把终端上的TWAIN接口(高拍仪、摄像头、高速扫描仪等)的外设重定向到VM中,所有对重定向的TWAIN虚拟设备的操作,都能通过VDP协议传输到终端侧的物理设备中。
✧遇到的问题:
摄像头采用普通的外设重定向,带宽占用非常高,画面效果较差,几乎不可用。
✧解决方案:
终端采用领先技术对摄像头视频进行高效截取,然后对视频进行压缩。
虚拟机对摄像头视频进行解压缩画质还原,并上送给TWAIN软件呈现。
✧架构优势:
TWAIN重定向工作于应用层,保证了对时延不敏感,工作于应用层更加稳定可靠,并且比USB重定向效率更高(数量级提升);
支持多种级别的数据压缩传输(无损、低压缩、中压缩、高压缩);
4.7扩展性设计
4.7.1灵活扩展
业务扩展:
在HA基础上,预留40%弹性计算资源,进行业务扩展。
一是应用压力系统内部扩展,即虚拟计算资源紧张情况下进行动态调整,如调频虚拟CPU、虚拟内存、虚拟磁盘和虚拟网卡等。
二是应用数量系统外部扩展,即通过增加虚拟机或物理服务器的方式实现,添加虚拟机可通过添加虚拟机(模板或新建)方式部署,添加物理机可融入原有集群环境,加入虚拟数据中心实现升级。
4.7.2分步云化
第一步:
交付实现阶段。
稳步实现、逐步过渡。
利用服务器、存储等硬件资源,整合数据中心环境,进行虚拟桌面部署,打造平稳基础平台,顺利接管桌面办公环境。
第二步:
稳定服役阶段。
在用户体验和管理运维上接管原有物理资源,并且集中管控、智能化运维,可根据应用特征进行功能优化和配置优化,并且利用虚拟化一系列高可用技术,如HA、分布式存储等技术,保障桌面环境高效流畅使用。
第三步:
云扩展阶段。
以虚拟化为基础构建按需张力的IT资源,可灵活扩展IT基础资源,无需重构。
并支持现有虚拟化管控中心,平稳对接新华三CloudOS云平台。
使IT具备自适应能力和更好的服务能力,如资源报表展现,组织管理策略,部门间与用户权限隔离,云安全技术架构升级等。
4.8运维管理规划
4.8.1虚拟桌面与桌面池
新华三桌面虚拟化方案允许管理员将虚拟桌面环境发布给用户远程使用。
用户可以用终端通过网络连接到虚拟桌面环境上,像使用本地桌面一样使用虚拟桌面,但实际上虚拟桌面的所有计算处理都是在服务器端完成,终端与服务器之间的交互仅仅是输入指令和输出显示图片,不存在实际数据的交互。
由于桌面虚拟化将所有的桌面环境和计算集中于服务器端,因而必须在服务器端进行集中的虚拟桌面管理。
虚拟桌面主要来源于服务器上运行的虚拟机,但也可以来自物理机。
为便于管理,所有的桌面都以桌面池的形式管理起来。
新华三桌面虚拟化方案提供了三种不同类型的桌面池:
静态桌面池、动态桌面池及手工桌面池。
•对于静态桌面池来说,预授权列表中的用户一旦使用池中的虚拟机或物理机,即会与虚拟机或物理机建立绑定关系,除预授权列表外还支持直接将虚拟机或物理机直接授权给用户使用。
用户与虚拟机或物理机一一对应,建立绑定关系后其他用户不能再使用。
•动态或手工桌面池只支持预授权列表,预授权列表中的用户使用池中虚拟机或物理机仅会建立临时的绑定关系,支持通过释放功能解除临时绑定关系或当用户使用完退出登录后,其他用户仍可以使用。
4.8.2快速部署和统一升级
静态桌面池和动态桌面池支持采用模板克隆的方式创建,即先在后台创建一个虚拟机模板,在该模板中完成所有操作系统、应用系统的安装和相关配置。
然后在创建桌面池时,以该模板为母体,批量克隆出多个完全相同的桌面,从而实现快速大规模部署。
当对桌面池的虚拟机模板进行修改时,由于桌面池内的其他虚拟机和该虚拟机共用主镜像文件,因此当其他虚拟机重新启动时,就会自动获取更新后的虚拟机模板,从而提供给用户更新后的桌面环境。
这样,管理员只需要修改桌面池的模板,就可简单实现该桌面池内的所有桌面的统一升级。
4.8.3应用快速分发
在桌面池中,用户使用的虚拟机一般由虚拟机模板部署而来,如果要在虚拟机中安装或更新软件,只能通过重新部署或用户自行在虚拟机中安装更新。
如果重新部署,则用户原虚拟机中的数据必然丢失,如果用户自行安装更新,则更新量大且不方便管理。
所以系统提供了软件库用于为桌面池中的虚拟机动态批量安装或更新软件。
新华三软件库功能实现用户虚拟机系统盘数据不丢失的前提下,软件批量部署或者升级,无需用户手动安装,真正做到无感知应用快
升级会员 