◆胡箐妍

“中央廚房”桌面云技術實踐

◆胡箐妍

（河南日報報業(yè)集團 河南 450000）

IT技術如何幫助我們快速響應新聞的動態(tài)需求，如何提升傳媒工作者的生產(chǎn)效率，如何在滿足移動化、BYOD辦公需求的同時保護好核心數(shù)據(jù)及知識產(chǎn)權，已經(jīng)成為我們最為關注的問題。利用桌面云解決方案，可實現(xiàn)自由靈活辦公，確保將信息和IT資源交付到最理想的能夠順利完成任務的員工和地點，在實際使用中能夠獲得多方面的優(yōu)勢。

桌面云；移動辦公；虛擬化

隨著IT技術的不斷發(fā)展，其在現(xiàn)代傳媒行業(yè)中得到越來越廣泛的應用。IT技術如何幫助我們快速響應新聞的動態(tài)需求，如何提升傳媒工作者的生產(chǎn)效率，如何在滿足移動化、BYOD（Bring Your Own Device）辦公需求的同時保護好核心數(shù)據(jù)及知識產(chǎn)權，已經(jīng)成為我們最為關注的熱點問題。媒體的“中央廚房”，通過融合移動互聯(lián)網(wǎng)[1]、大數(shù)據(jù)和云計算[2]等新一代信息技術，實現(xiàn)了對文字、圖像、音頻和視頻等多媒體信息的數(shù)字化、網(wǎng)絡化傳遞，為信息發(fā)布和綜合利用提供便利，一站式解決了新聞行業(yè)全流程融合發(fā)展中的技術難題。

“中央廚房”的工作流程可分為采集和編輯兩個階段。在采集階段，共享利用整個集團的可用資源；在編輯階段，針對不同部門的實際需求生成相應的定制產(chǎn)品?！爸醒霃N房”加工輸出的產(chǎn)品，既可以是能直接使用的成品，也可以是供二次加工的半成品。“中央廚房”是新聞行業(yè)實現(xiàn)信息共享和協(xié)同辦公的高效平臺。

1 不斷變化的企業(yè)和員工需求

客戶端是“中央廚房”的一個重要組成部分，主要為采編、分析處理、圖像制作、新聞編輯和新聞發(fā)表等用戶需求提供終端支持。對于媒體從業(yè)者而言，“移動”是最重要訴求，也是行業(yè)性質最重要的需求；我們的愿景是工作不再是“我們要去的地方”，而是“我們要做的事情”，辦公，不再由傳統(tǒng)工作日和辦公地點等傳統(tǒng)標準定義，可以預見，越來越多的人將不再依賴于傳統(tǒng)的以辦公室為中心的工作空間。BYOD、IT消費化、移動辦公、云計算，開始喚醒人們對于新一代自由靈活辦公場所的需求，更多的企業(yè)開始允許員工選擇理想的時間、地點和終端設備實現(xiàn)移動辦公，“移動化”已經(jīng)成為新時代辦公需求。同時，年輕員工要求更大的靈活性，要求更靈活地在任意時間和任意地點，通過任意設備接入完成工作。

在這種新環(huán)境下，強行將所有員工固定到辦公桌前的做法變得不再可行。企業(yè)越來越多地依賴于地理上分散的員工、顧問和外聘人員，并希望更緊密地實現(xiàn)與不同行業(yè)合作伙伴的整合，更密切暢通地進行交互。自由靈活辦公是確保將信息和IT資源交付到最理想的能夠順利完成任務的員工和地點的一種策略?！白烂妗弊鳛樾侣勂脚_的終端設備，對資料的敏感性和出報的安全性要求很高。對于IT部門來說，這些需求是非常大的挑戰(zhàn)。

利用桌面云解決方案，不僅可實現(xiàn)自由靈活辦公，而且在實際使用中可以獲得多方面的優(yōu)勢，主要包括：

（1）強化了內部數(shù)據(jù)安全性，使數(shù)據(jù)在一個可控的安全區(qū)域內傳播；

（2）通過遠程辦公來降低固定辦公空間要求，提供響應更快速的服務，從而節(jié)約辦公設施成本；

（3）更靈活的辦公選項，可以支持遠程工作者；

（4）業(yè)務連續(xù)性，可在需要時隨時隨地辦公；

（5）支持地理上分散的團隊、辦事處和個人；

（6）任何固定或移動終端的安全性和應用置備，而不需要將應用遷移到每個不同的平臺。

2 “移動”與“安全”的抉擇

除了傳統(tǒng)意義的固定工位辦公人員外，其他新聞采編和制作人員工作時間不固定，有時候需要外出采集素材，有時候需要回來后期制作。通過“桌面云”方案，我們梳理了幾個典型的用戶工作場景，并針對不同的場景制定相應的安全接入解決方案。

2.1 辦公室內辦公

在我們的設計中，辦公室是一個大的安全域，或者是一個安全“沙盒”，所有桌面云用戶在辦公室內將不再使用傳統(tǒng)意義上的電腦，取而代之的是一個桌面云賬戶。在辦公室這個安全域中，任意一個云終端使用自己的賬號完成身份認證后即可訪問桌面云。用戶使用瀏覽器即可登錄自己的桌面云，而無須安裝任何插件。如果需要團隊協(xié)作、會議演示，無須攜帶任何設備，通過協(xié)作區(qū)或會議室的云終端直接訪問桌面云便可以立即展開工作。

2.2 在家辦公

在數(shù)據(jù)中心部署一套安全網(wǎng)關，通過安全網(wǎng)關代理所有桌面云的網(wǎng)絡數(shù)據(jù)流量，同時安全網(wǎng)關對桌面云的數(shù)據(jù)流量進行優(yōu)化加速，對傳輸?shù)膬热葸M行實時的SSL（Secure Sockets Layer）加密。用戶可以通過家中的任意可以連接互聯(lián)網(wǎng)且有顯示屏幕的設備（如筆記本電腦、Mac、智能手機、平板電腦、甚至電視機）連接到桌面云，且用戶體檢與在辦公室內部使用時保持統(tǒng)一。

2.3 移動設備登錄

與場景二相同。

通過上面三大使用場景，解決了用戶在任意地點、任意時間使用任意設備通過桌面云辦公的訴求，但在脫離公司內部“安全域”后，如何保證數(shù)據(jù)的安全性呢？

基于上面梳理的安全場景，我們再次針對性地設計了桌面云數(shù)據(jù)交互的安全策略模型。

企業(yè)內數(shù)據(jù)共享、拷貝、團隊協(xié)作：桌面云用戶通過桌面云內部網(wǎng)盤進行文件傳輸或共享，非桌面云用戶通過網(wǎng)盤客戶端來接收或發(fā)送桌面云用戶數(shù)據(jù)，桌面云網(wǎng)盤系統(tǒng)與互聯(lián)網(wǎng)不直接進行信息交互。

U盤數(shù)據(jù)傳輸：通過桌面云安全策略將U盤數(shù)據(jù)傳輸配置為單向模式，即數(shù)據(jù)只可以通過U盤拷貝到桌面云內，桌面云中的數(shù)據(jù)無法通過U盤進行拷出。

采用筆記本電腦或手機等移動設備登錄桌面云的數(shù)據(jù)交互：通過桌面云安全策略將筆記本電腦或手機本地的數(shù)據(jù)傳輸配置為單向模式，即數(shù)據(jù)只可以拷貝到桌面云內，桌面云中的數(shù)據(jù)無法拷出。

3 如何保證桌面云的穩(wěn)定運行

新聞采編處理對于機器的穩(wěn)定性和性能要求比較高，如果硬件宕機，勢必會對使用者的數(shù)據(jù)和新聞發(fā)布的時效性產(chǎn)生很大影響，且影響范圍從幾個人到所有人不等。從服務器、存儲、網(wǎng)絡、云終端硬件設備，到安全解決方案，再到軟件，桌面虛擬化方案等都需要考慮到方方面面的技術決策點，曾有工程師統(tǒng)計，一個桌面云項目需要面臨大約244個關鍵決策點，桌面云項目的交付復雜性由此可見一斑。

桌面云采用基于PaaS[3]模式為用戶提供服務，提供具備完整操作系統(tǒng)的個人桌面環(huán)境。下面從功能組件、部署架構和物理及網(wǎng)絡架構這三個維度來說明融媒中心高可用架構的構建方案。

3.1 功能組件

桌面云運行在基于服務器虛擬化的高可用平臺之上，為了避免出現(xiàn)共享存儲系統(tǒng)單點故障，選用一套基于雙活技術的存儲為平臺提供集中式存儲服務。

個人桌面環(huán)境的功能組件包括如下四個部分。

（1）桌面云管理組件集合：包括Desktop Delivery Controller、VDA、StoreFront、許可證服務器、數(shù)據(jù)庫服務器、Studio、Director等。各管理組件如圖1所示，其中最為關鍵的是Delivery Controller和StoreFront組件。Delivery Controller是桌面中心管理組件，負責管理用戶訪問和代理連接，此外還提供虛擬機創(chuàng)建桌面時需要的Machine Creation Services服務。StoreFront可被認為是一個Web站點，負責對桌面用戶進行身份驗證，并可管理用戶訪問的桌面和應用程序的存儲。NetScaler是一套安全網(wǎng)關，用戶桌面云流量代理、流量加密和流量優(yōu)化。

圖1 桌面云管理組件

（2）桌面認證組件：Windows Active Directory服務器，桌面用戶通過AD服務器進行認證。

（3）防病毒服務器：負責管理病毒庫及掃描策略等。

（4）文件服務器：存放用戶數(shù)據(jù)，提供網(wǎng)盤服務。

圖2 功能組件部署架構

3.2 部署架構

功能組件部署架構如圖2所示，所有重要的管理組件都采用高度可用的部署。其中StoreFront（01-03）同時配置綁定至Windows負載均衡VIP，DDC（01-03）同時均衡負載全部桌面連接會話，AD（01-02）采用Windows AD建立域控，SQL Server（01-03）采用Microsoft SQL Server滿足可伸縮性和可靠性需求。

3.3 物理及網(wǎng)絡架構

桌面云的物理集群及網(wǎng)絡架構如圖3所示：

圖3 桌面云的物理集群及網(wǎng)絡架構

（4）集群：一個集群就是一個桌面環(huán)境，使用一套管理組件對資源進行統(tǒng)一管理。

（5）站點：使用站點方式將位于不同地理位置、組織機構的桌面資源進行統(tǒng)一管理，多個站點構成一個集群，每個集群包括幾十甚至上百臺物理服務器，不同站點均通過集群統(tǒng)一管理。

（6）資源池：一個站點內的所有物理服務器可劃分成多個資源池，每個資源池包含多臺服務器，一個資源池內的多臺服務器共享所有的集中式存儲的LUN（Logical Unit Number）以及邏輯網(wǎng)絡配置，管理桌面維度為資源池（Pool），桌面可以在資源池內進行動態(tài)遷移、彈性伸縮。資源池內每臺服務配置4個網(wǎng)卡，其中管理網(wǎng)為網(wǎng)卡0+2配置Bond，采用主備模式連接兩個網(wǎng)絡交換機，而業(yè)務網(wǎng)為網(wǎng)卡1+3作Bond連接網(wǎng)絡交換機。在一個資源池中，根據(jù)承載桌面數(shù)目的不同，可以配置一至多個VLAN業(yè)務邏輯網(wǎng)絡，在物理交換機配置為Trunk接入。

通過上述三個維度，將管理和服務角色分散化，物理設備冗余化，通過統(tǒng)一的管理入口降低運維的復雜性，保證在任意關鍵服務出現(xiàn)問題時桌面云BYOD業(yè)務永不停機。

4 結束語

實現(xiàn)桌面云環(huán)境交付上線只是桌面云建設的一個縮影，后續(xù)我們還將在桌面云的自動化運維、桌面資源的分析優(yōu)化等方面作進一步的探索和研究?，F(xiàn)階段，桌面云是以個人桌面環(huán)境模式為主，而個人桌面對資源的占用遠超過應用交付模式，為進一步提高資源投入產(chǎn)出效能，我們將加快應用交付模式的研究、完善應用場景和部署推廣。桌面云將在業(yè)務移動化、終端與業(yè)務系統(tǒng)解耦合等方面提供助力，提高業(yè)務部署、推廣的效率；同時它在統(tǒng)一訪問入口、簡化訪問策略、實現(xiàn)高效精確的權限管理等方面具有很大潛力，是一種提升企業(yè)信息安全防控水平的有效措施。

[1]劉祥馳. 基于移動互聯(lián)網(wǎng)的辦公自動化系統(tǒng)設計[J]. 信息技術，2019，000（005）：125-129.

[2]陶志勇，張錦，陽王東，等. 基于云計算的虛擬化技術在企業(yè)網(wǎng)絡中的應用[J]. 計算機系統(tǒng)應用，2018，27（07）：86-91.

[3]王偉，常進達，郭棟. 一種基于云端軟件的PaaS平臺管理系統(tǒng)設計與實現(xiàn)[J]. 信息網(wǎng)絡安全，2018.