崔新

河北省水文水資源勘測局

河北水文桌面虛擬化部署研討

崔新

河北省水文水資源勘測局

隨著水文信息化的不斷發(fā)展，單位的服務器數(shù)量不斷增加，水文工作對辦公網絡的要求也在逐步提高，傳統(tǒng)計算機部署模式已經無法滿足目前的辦公需求，如何提高辦公效率、減少投入成本、增加數(shù)據(jù)安全性、降低管理復雜度等問題己經變得日益突出，桌面虛擬化技術成為解決這些問題的方法之一。文章首先介紹了本單位的辦公網絡現(xiàn)狀，提出了傳統(tǒng)解決辦法以及其缺點，接下來對桌面虛擬化技術及其優(yōu)點進行了簡單說明，然后闡述單位桌面虛擬化的部署以及遇到的問題。通過桌面虛擬化的部署，辦公網絡實現(xiàn)了更高效、更節(jié)約、更安全的目的。

桌面虛擬化；水文；辦公網絡；安全性

1.建設背景及需求

1.1 建設背景

隨著國家對水利行業(yè)信息化建設投入的加大，水文信息化建設近幾年有了突飛猛進的發(fā)展，辦公內網（以下簡稱內網）和辦公外網（以下簡稱外網）的服務器數(shù)量也在不斷增加：水文數(shù)據(jù)庫、水利普查系統(tǒng)、水文站網監(jiān)測平臺、水資源能力建設系統(tǒng)、水情綜合業(yè)務系統(tǒng)、辦公自動化系統(tǒng)部署、單位視頻監(jiān)控平臺、財務臺賬系統(tǒng)等。這對辦公網絡環(huán)境和水文數(shù)據(jù)安全性也有了更高的要求，原有辦公網絡環(huán)境已經無法滿足現(xiàn)代化水文的辦公需求。

河北省水文局原有辦公網絡如圖1所示，虛線右側為接入互聯(lián)網的辦公外網，虛線左側為防汛以及水文業(yè)務內部專用的辦公內網，二者之間通過網閘進行物理隔離。每個辦公室均配有內外網接口，職工需要切換網絡進行辦公時，需要手動拔插網線并更改IP地址實現(xiàn)切換。缺點：操作繁瑣，長期操作容易造成物理損壞，內網IP地址隨意輸入可能導致沖突而無法正常使用，如果出現(xiàn)需要內外網同時辦公的情況，只能臨時增加額外計算機。

注：虛線左側為內網，右側為外網。

圖1 河北省水文局原有網絡拓撲圖

1.2 建設需求

考慮到目前水文工作的辦公具體需求：原有辦公網絡的傳統(tǒng)桌面的生命周期尚未結束，可以繼續(xù)使用，部分工作需要互聯(lián)網進行數(shù)據(jù)傳輸或業(yè)務溝通，內外網均部署有工作需要訪問的服務器，因此在現(xiàn)有局域網及辦公網絡保留的前提下，需要實現(xiàn)更快捷的內外網訪問功能，并且盡可能的提高內網數(shù)據(jù)存儲和傳輸?shù)陌踩浴?/p>

2.傳統(tǒng)解決方案及其缺點

2.1 傳統(tǒng)解決方案的提出

2.1.1 添置新計算機

為每位職工添置新計算機，考慮到購置和運維成本以及使用便捷性，新計算機可以省去鍵盤、鼠標、顯示器，改用雙接口KVM切換器實現(xiàn)用一套鍵盤鼠標顯示器達到內外網切換的目的。新主機和原主機分別接入內網和外網并與KVM相連，可以滿足現(xiàn)階段的辦公需求。

2.1.2 加裝物理隔離卡

為每臺計算機加裝物理隔離卡和一塊硬盤，通過隔離卡分別接入內外網。通過隔離卡開關切換內外網，由于隔離卡自身特性，在切換內外網時，會強制請求重啟并切換硬盤，實現(xiàn)內外網物理隔離。

2.2 傳統(tǒng)方案的缺點

上述兩種傳統(tǒng)方案有很多缺點，其中共同的缺點如下：

2.2.1 數(shù)據(jù)安全性差

辦公的重要數(shù)據(jù)都在本地計算機硬盤中保存。如果因為硬件老化故障或者被盜，而導致數(shù)據(jù)丟失，將會給單位造成巨大損失。[1]

2.2.2 管理維護繁瑣

IT人員添置計算機之后，就要安裝操作系統(tǒng)，還要為其部署相關的業(yè)務軟件和殺毒軟件等，并對每個用戶的桌面進行備份以備恢復使用。在后續(xù)使用過程中，還會不定期發(fā)生軟硬件的問題或故障，需要IT人員到現(xiàn)場解決或維護；同樣，給每個辦公機加裝物理隔離卡也同樣會給管理人員帶來很大的工作量。

2.2.3 性能越來越差

計算機桌面因為安裝很多的程序而變得越來越臃腫，應用程序之間也會出現(xiàn)沖突的現(xiàn)象，硬件也在逐步老化，與剛購買的時候相比，性能下降很多。因此，使用人的工作狀態(tài)和效率將大打折扣。

2.3 兩種方案又有著各自的缺點，下面進行簡要說明。

2.3.1 添置新計算機方案

（1）投入成本較高。在一個傳統(tǒng)桌面的生命周期內，計算機的投入所占的比例并不大，后續(xù)的故障配件的維修、更換、功耗方面也不容忽視。按照如下方式進行粗略計算：一臺計算機功耗約200W，每天開機6小時，每月運行20天，單位約有120臺，一年的功耗達到200×6×20×12×120=34560KW。在當前計算機無法應對新的工作需要或者過于陳舊時，單位只能重新購置。

（2）每個辦公位增加一臺計算機主機，會導致辦公空間更加緊張。

2.3.2 加裝物理隔離卡方案

（1）筆記本電腦無法安裝隔離卡。

（2）內外網切換需要重啟計算機，等待時間較長，影響工作效率。

（3）無法滿足內外網同時辦公的需求。

從上面分析可以看出，為了避免上述問題，需要尋求其他辦法，以適應單位的需求。目前逐步興起的桌面虛擬化技術為解決單位面臨的各種問題提供了一個新的解決方案。

3.桌面虛擬化概述

桌面虛擬化屬于虛擬化技術的一個分支，迄今為止，虛擬化已然成為了世界各種規(guī)模單位提高IT效率的核心技術。國外虛擬化技術比較成熟的廠商有Citrix（思杰）、VMware、微軟等。[2]隨著國內虛擬化市場的逐步興起，涉足虛擬化領域的國內廠商也越來越多，如國內的華為、深信服等，雖然在技術實力上與國外廠商尚有差距，但是在性價比和易用性方面展現(xiàn)了更大的優(yōu)勢。

3.1 桌面虛擬化的定義

桌面虛擬化借用虛擬機技術將用戶桌面的鏡像文件存放在桌面虛擬化服務器（以下簡稱服務器）中。每個桌面鏡像就是一個帶有應用程序的操作系統(tǒng)，使用人通過一種虛擬顯示協(xié)議來接入他們的桌面系統(tǒng)，接入方式可分為兩種，一種是通過桌面虛擬化終端（以下簡稱終端）接入，另一種是通過網頁瀏覽器直接頁面接入。這樣做的目的就是使用戶的使用體驗同他們使用桌面上的PC一樣，當用戶關閉系統(tǒng)的時候，通過服務器管理工具，可以做到用戶個性化定制及用戶的任何設置都將被保留。[3]

3.2 桌面虛擬化的優(yōu)點

桌面虛擬化市場在國內是一個新興發(fā)展的市場，還沒有被人們更好的認識和理解，下面幾個方面能夠說明桌面虛擬化能夠帶來什么樣的提升：

3.2.1 桌面更新成本方面。因為新的桌面硬件需求，每年大部分單位都會替換掉一批桌面硬件設備，由此帶來更新的費用。而在桌面虛擬化環(huán)境下，使用人桌面的終端只負責跟服務器的通信和視頻信號的轉換，對硬件配置要求并不高，生命周期比普通計算機要長，服務器端如果因工作量增加導致負荷過高，只要擴展服務器資源即可，兩個方面加起來的費用遠低于傳統(tǒng)桌面更新模式。

3.2.2 數(shù)據(jù)存儲安全方面。終端不負責數(shù)據(jù)存儲，使用人的所有數(shù)據(jù)全部存儲在服務器硬盤當中，還可將服務器設置為鏡像存儲模式，數(shù)據(jù)存儲安全性進一步增強，不用擔心本地計算機硬盤損壞或筆記本電腦被盜導致的數(shù)據(jù)丟失問題。

3.2.3 管理便捷性方面。單位可以降低桌面管理維護的成本，傳統(tǒng)模式下分散的復雜客戶端環(huán)境在新模式下得以集中管理，資源得以最優(yōu)調配，管理更加輕松簡單?？焖俑乱慌_虛擬桌面模版并發(fā)布，就可以讓所有客戶端桌面得到更新，管理員不用每天疲于奔命于各個物理桌面之間。

3.2.4 業(yè)務連續(xù)性方面。使用人可以在任何時間、任何地點通過可行方式登錄自己的辦公桌面，只要不關閉桌面程序，在其他地點登錄，可以繼續(xù)之前未完成的操作。無論訪問什么樣的桌面環(huán)境，跟物理位置或設備沒有關系。

3.2.5 節(jié)能方面。傳統(tǒng)計算機功耗一般在200W以上，而終端僅為其十分之一20W，服務器端的計算壓力會帶來一定程度的耗電量提升，但是與傳統(tǒng)模式相比，總體耗電量的減少顯而易見。

3.3 桌面虛擬化模式

桌面虛擬化可以通過三種模式實現(xiàn)，分別是基于客戶機模式、基于服務器模式和基于云計算模式。[4]在這三種模式中，它們的主要差別在于三種主要桌面虛擬機的使用或管理方面。若遠端用戶經常漫游和脫機工作，則可選用不會依靠網絡連接的基于客戶機虛擬模式；若用戶是固定的局域網用戶時，則可能選擇服務器模式，本單位采用的桌面虛擬化部署模式就是該模式；若用戶有適合的云計算的服務提供商的話，則云計算模式為是最佳選擇模式，但該方式在國內尚未普及。

4.桌面虛擬化部署

4.1 服務器及終端所需配置及功能

本單位采用深信服虛擬化設備進行部署。首先對服務器進行選型，該服務器負責虛擬桌面實例的配置、存儲及運行，需要考慮所部署的操作系統(tǒng)類型，CPU、內存和存儲空間的使用量（顯示性能由終端提供，在此不做考慮），進行合理規(guī)劃。[5]

4.1.1 服務器所需配置及功能

根據(jù)目前本單位職工在內網辦公的實際需求和工作量來看，內網同時在線辦公用戶不超過80個并發(fā)數(shù)量，考慮到以后內網擴展和辦公工作量增加的可能性，可適當增加冗余，將并發(fā)數(shù)量擴展至120個。為每個用戶分配CPU主頻1.5GHz、內存4GB、硬盤100GB，部署Windows 7操作系統(tǒng)，計算服務器的配置總需求：

從CPU角度考慮，共需要主頻1.5GHz×120=180GHz；

從內存角度考慮，共需要內存4GB×120=480GB；

從硬盤角度考慮，共需要硬盤100GB×120=12TB。

上述三項僅為桌面虛擬化實例運轉所需配置，還要加上服務器自身運行及運行后臺管理工具所需要的資源，考慮到數(shù)據(jù)存儲的安全性，服務器存儲方式為鏡像存儲模式，硬盤容量需要×2。經過大致計算，可部署5臺服務器滿足本單位桌面虛擬化需求，每臺服務器配置如下：

CPU：2顆8核主頻≥2.5GHz（2.5GHz×2×8×5=200GHz）；

內存：128GB（128GB×5=640GB）；

硬盤：6塊1TB（6TB×5=30TB），一塊256GB固態(tài)硬盤（用做服務器緩存，提升數(shù)據(jù)存取速度）。

與此同時，服務器需要具有如下功能：

（1）不依托于集中管理工具，直接通過WEB方式登錄到集群主服務器即可管理；

（2）支持虛擬機模板技術，多用戶可共享一套模板，然后用戶數(shù)據(jù)保存在個人數(shù)據(jù)盤，管理員進行軟件更新和維護，并自動更新到個人用戶虛擬機，不會影響個人的數(shù)據(jù)；

（3）支持虛擬機之間的安全隔離，單個虛擬機的故障不會影響到其他用戶的虛擬機；

（4）支持將多臺服務器組成HA群集環(huán)境，以保障整個平臺的高可用性，支撐持續(xù)的用戶服務；

（5）支持虛擬機熱遷移技術，在不中斷服務的情況下，可以在不同服務器進行自動或手動遷移；

（6）支持虛擬交換機和虛擬機之間的VLAN隔離；

（7）支持利用服務器的內存或緩存卡進行重復數(shù)據(jù)IO加速，能夠消除相同OS類型的桌面同時啟動時的重復IO，以提升虛擬桌面啟動速度；

（8）支持內存頁合并技術，能夠消除內存頁中的重復只讀數(shù)據(jù)，以節(jié)省內存使用；

（9）能保證每個用戶數(shù)據(jù)的安全和個人數(shù)據(jù)隱私，具有個人磁盤加密功能，防止數(shù)據(jù)泄密。

4.1.2 終端所需配置及功能

桌面虛擬化終端應具有如下功能：

（1）支持USB、COM接口外設、移動存儲、剪貼板等重定向；

（2）支持串口設備映射，支持雙向語音；

（3）支持共享式桌面發(fā)布，支持獨享式桌面發(fā)布，支持采用應用虛擬化的技術發(fā)布遠程應用；

（4）支持遠程管理，全中文配置界面；

（5）支持最大1920×1080的分辨率，支持1080P高清視頻。

4.2 確定服務器和終端參數(shù)

通過對服務器和終端的功能分析，確定設備參數(shù)，詳見表1。

表1 服務器和終端參數(shù)

4.3 虛擬桌面系統(tǒng)的網絡設計

虛擬桌面系統(tǒng)的網絡可細分為業(yè)務網絡和存儲網絡。

業(yè)務網絡：承載服務器和虛擬桌面實例到前端用戶終端之間的外部業(yè)務通信。為保障本單位業(yè)務服務的網絡高可用性，每臺服務器提供雙網卡接入內網核心交換機，通過服務器管理工具可實現(xiàn)端口匯聚功能，提高服務器的網絡通信性能。

存儲網絡：承載桌面虛擬化服務器到數(shù)據(jù)存儲服務器之間的后臺數(shù)據(jù)的存儲和讀取。結合本單位內網辦公的實際狀況，將桌面虛擬化服務器和數(shù)據(jù)存儲服務器合二為一，每臺服務器加裝多個高性能硬盤，并提供雙網卡接入存儲網絡交換機，實現(xiàn)多臺服務器之間的高速通信和硬盤資源的負載均衡。

4.4 安全性實現(xiàn)

虛擬桌面系統(tǒng)的安全機制，將從如下方面進行細化設計：

4.4.1 服務器安全

僅安裝與虛擬化有關的組件和服務，減小安全受攻擊面；

定期對服務器進行安全掃描，停止與虛擬化沒關聯(lián)的服務和組件，關閉不需要的網絡端口；

需要針對存放虛擬實例的文件夾設置訪問權限，以避免未經授權的訪問；

定期對服務器進行系統(tǒng)補丁的升級；

通過管理工具將服務器存儲方式設置為鏡像存儲模式，一份數(shù)據(jù)會同時寫入兩塊服務器硬盤中，以保證數(shù)據(jù)存儲的安全性。

4.4.2 虛擬機間的相互隔離

對虛擬桌面系統(tǒng)的虛擬桌面實例之間的安全隔離，將通過以下方式實現(xiàn)：

在服務器層面，可通過內部虛擬交換機和虛擬網絡配置，實現(xiàn)虛擬桌面實例之間的網絡安全隔離。通過虛擬桌面底層虛擬化軟件的內存隔離技術，可確保虛擬桌面實例在運行過程中的內存數(shù)據(jù)安全隔離。

4.4.3 虛擬機使用權限控制

對虛擬桌面系統(tǒng)的管理操作角色進行統(tǒng)一定義，并實現(xiàn)基于角色的用戶操作權限控制。具體可考慮按照如下的角色分配方案：

管理員權限：可以全面管理和配置服務器和終端。

虛擬桌面用戶：使用和配置為其所配置的虛擬桌面。

為減輕終端管理的工作量，管理員權限可以適當下放，即由管理員將部分虛擬桌面資源的管理權限在受限條件下委托給各部門負責人。[6]

4.5 具體實施

4.5.1 服務器部署

根據(jù)以上闡述對服務器進行部署，每臺服務器4個網口，其中2個網口接入存儲網絡交換機，2個網口接入內網核心交換機。5臺服務器采用相同部署模式，同時在內網接入服務器控制臺，用于對服務器群進行配置管理維護。通過對服務器群的配置，將服務器群虛擬為一個整體。

4.5.2 終端部署

為每位職工購置KVM和終端，終端和原有主機分別接入內網和外網，并與KVM相連，如圖2所示。通過KVM實現(xiàn)內外網的切換，如圖5所示。使用內網時，終端通過網絡調取服務器為自己分配的資源，在使用過程中，從使用人角度來看與普通PC毫無區(qū)別。

圖2 終端部署示意圖

5.總結與展望

綜上所述，隨著硬件的快速更新?lián)Q代、應用軟件的增加和分布、工作環(huán)境的分散，管理和維護終端設備的工作變得越來越困難，與原有的傳統(tǒng)分布式PC桌面部署相比，采用桌面虛擬化的部署模式可為單位減少硬件與軟件的采購開銷，并降低單位的內部管理成本與風險。[7]通過部署桌面虛擬化，河北省水文局極大提高了辦公效率，也減輕了IT管理員的工作負擔，同時降低了購買和維護的成本，達到了節(jié)能減排的目的。

目前，在單位的外網中仍然使用傳統(tǒng)桌面方式進行辦公，考慮到已經購置的計算機尚處于生命周期內，等到傳統(tǒng)桌面方式生命周期結束后，可以考慮用桌面虛擬化方式重新部署辦公外網，讓單位的辦公網絡更加高效節(jié)能的運轉。

[1]謝峰.數(shù)字化校園—桌面虛擬化系統(tǒng)的設計與實現(xiàn)[D].華南理工大學,2012.

[2]白偉.淺談桌面虛擬化技術發(fā)展與應用現(xiàn)狀[EB∕OL].http:∕∕www.xzbu.com∕4∕view-5433232.htm,2014-05-21.

[3]潘松柏,張云勇,陳清金,賈寶軍.桌面虛擬化研究及應用[J].電信網技術,2011,05:5-8.

[4]中國論文網.桌面虛擬化技術研究[EB∕OL].http:∕www.xzbu. com∕9∕view-5970759.htm,2014-07-18.

[5]徐燕雯.基于KVM的桌面虛擬化架構設計與實現(xiàn)[D].上海交通大學,2012.

[6]李穎.基于VDI技術的虛擬桌面的設計及實現(xiàn)[D].上海交通大學,2014.

[7]馬錫坤,于京杰,吳艷君,劉方斌.桌面虛擬化技術及其解決方案探討[J].中國醫(yī)療設備,2013,07:86-87.