孫志堅(jiān) 劉春齡

1.2.內(nèi)蒙古自治區(qū)廣播電視微波傳輸總站 內(nèi)蒙古 呼和浩特市 010050

引 言

內(nèi)蒙古自治區(qū)廣播電視局微波傳輸總站是內(nèi)蒙古廣播電視局下屬重要的事業(yè)單位，承擔(dān)對(duì)自治區(qū)微波線路的傳輸及業(yè)務(wù)指導(dǎo)、調(diào)度工作，微波網(wǎng)絡(luò)的規(guī)劃和運(yùn)營。由于工作需要，微波傳輸總站需要對(duì)業(yè)務(wù)用個(gè)人電腦及辦公個(gè)人電腦進(jìn)行系統(tǒng)性的替換升級(jí)。因?yàn)閱挝蝗藬?shù)較多，現(xiàn)有個(gè)人電腦保有量也較大，同時(shí)因?yàn)榇嬖谳^多的專業(yè)技術(shù)系統(tǒng)，對(duì)個(gè)人電腦的需求差異化也比較大，整體替換升級(jí)任務(wù)有不小的難度。制定替換升級(jí)方案需要充分考慮成本及管理兩大因素，本文通過研究用云桌面的方式完成本次任務(wù)。

云計(jì)算技術(shù)因其可靠性高、通用性強(qiáng)、計(jì)算資源池化、虛擬化等技術(shù)特點(diǎn)，在各行各業(yè)中有了越來越多的應(yīng)用。云桌面是云計(jì)算的一個(gè)重要的應(yīng)用分支，通過虛擬化技術(shù)把分散的計(jì)算、存儲(chǔ)、程序和數(shù)據(jù)等軟硬件資源轉(zhuǎn)為集中的虛擬資源，然后通過一定的策略實(shí)現(xiàn)個(gè)人用戶的計(jì)算機(jī)資源按需分配并通過網(wǎng)絡(luò)實(shí)現(xiàn)資源的利用。相對(duì)于傳統(tǒng)的個(gè)人電腦主機(jī)系統(tǒng)，云桌面不僅能夠提高計(jì)算機(jī)資源利用率和共享度，還具有成本低廉、靈活部署、易于管理、安全性更高的優(yōu)勢(shì)。

1 需求分析

總站共有在職員工65人，在電子化辦公要求較高的現(xiàn)代，首先應(yīng)滿足這部分的基礎(chǔ)需要，即每人一臺(tái)個(gè)人電腦完成其日常的辦公需要，其中應(yīng)至少包括辦公軟件的使用、辦公相關(guān)數(shù)據(jù)的存儲(chǔ)、相關(guān)安全防護(hù)軟件等的使用。同時(shí)總站仍有25臺(tái)相關(guān)業(yè)務(wù)系統(tǒng)需要用到個(gè)人電腦，這部分個(gè)人電腦因業(yè)務(wù)需要都對(duì)操作系統(tǒng)等有著特異化的需求。

1.1 員工電腦使用情況

總站工作人員現(xiàn)主要分為兩大類，值班人員和行政人員。其中值班人員和行政人員大約各占一半，由于值班人員上班為輪班制，每個(gè)特定時(shí)間點(diǎn)均會(huì)有2名值班人員在崗且24小時(shí)不間斷，因此值班人員的個(gè)人電腦計(jì)算資源使用率極其低，但是仍必須要保障值班工作人員使用計(jì)算機(jī)的權(quán)益；行政人員為正常上班時(shí)間上班，處理日常行政工作等的常規(guī)性事務(wù)，電腦的使用率在30%，但是由于各個(gè)科室的工作性質(zhì)不同，多數(shù)工作人員僅存儲(chǔ)和處理一般性的文件，因此計(jì)算機(jī)的計(jì)算資源、存儲(chǔ)資源同樣存在著極大的浪費(fèi)，存儲(chǔ)資源占硬盤存儲(chǔ)量一般在10%左右，但是這部分?jǐn)?shù)據(jù)又極其珍貴，一旦遭到破壞對(duì)單位工作常常會(huì)產(chǎn)生較大影響，通過個(gè)人管理個(gè)人電腦也很難安全的存儲(chǔ)這部分?jǐn)?shù)據(jù)。

1.2 業(yè)務(wù)電腦使用情況

業(yè)務(wù)電腦主要是涉及到人事、財(cái)務(wù)、設(shè)計(jì)規(guī)劃、倉庫存儲(chǔ)、設(shè)備網(wǎng)管、值班記錄、監(jiān)測(cè)監(jiān)控等應(yīng)用，大部分都要求配套相應(yīng)的客戶端軟件。這些客戶端對(duì)電腦操作系統(tǒng)均有著極大的差異化需求，比如有的設(shè)備網(wǎng)管等專業(yè)性軟件因采購時(shí)間較早仍需要運(yùn)行在Windows XP的環(huán)境中，有的則需要運(yùn)行在Windows server環(huán)境下，也有需要運(yùn)行在Linux系統(tǒng)下的。

1.3 電腦管理情況

1.3.1 設(shè)施安全

在生產(chǎn)實(shí)踐中單純的使用某一家產(chǎn)品供應(yīng)商提供技術(shù)會(huì)對(duì)單位的計(jì)算機(jī)系統(tǒng)使用造成潛在的威脅，單位會(huì)直接承擔(dān)某一家公司的產(chǎn)品風(fēng)險(xiǎn)即“所有雞蛋裝在同一個(gè)籃子里”，通過虛擬化技術(shù)可以將不同硬件廠家的設(shè)備進(jìn)行統(tǒng)一的虛擬化，消除其特異性。

1.3.2 網(wǎng)絡(luò)安全

現(xiàn)在針對(duì)政府行政事業(yè)單位的網(wǎng)絡(luò)安全事件、惡意滲透事件逐年發(fā)生，而各個(gè)單位在處置網(wǎng)絡(luò)安全事件上仍處于較低水平。單位中的個(gè)人電腦均為一個(gè)獨(dú)立的孤島，很難對(duì)所有的電腦實(shí)現(xiàn)網(wǎng)絡(luò)安全管理，而個(gè)人電腦的使用者也很難對(duì)網(wǎng)絡(luò)技術(shù)有較好的認(rèn)識(shí)，因此一旦突發(fā)網(wǎng)絡(luò)安全事件，每個(gè)人都可能成為破壞者的突破點(diǎn)而實(shí)現(xiàn)對(duì)全單位系統(tǒng)的破壞，而事后也很難做到網(wǎng)絡(luò)安全事件的后續(xù)處理。

1.3.3 日常維護(hù)

由于個(gè)人電腦的孤島模式，且每臺(tái)電腦的系統(tǒng)環(huán)境千差萬別，大多數(shù)工作人員缺乏計(jì)算機(jī)系統(tǒng)維護(hù)的基本技能，在新系統(tǒng)部署、舊系統(tǒng)排障、系統(tǒng)恢復(fù)、軟件恢復(fù)、軟件部署等方面效率會(huì)十分的低下，由于計(jì)算機(jī)管理人員很難掌握每臺(tái)個(gè)人電腦的狀態(tài)，個(gè)人電腦使用者在應(yīng)對(duì)較常見的數(shù)據(jù)丟失問題往往很難在第一時(shí)間認(rèn)識(shí)到問題的嚴(yán)重性，進(jìn)而產(chǎn)生災(zāi)難性的后果。

2 云桌面構(gòu)建

2.1 云桌面體系結(jié)構(gòu)

云桌面是云計(jì)算的一個(gè)重要使用分支，其絕大多數(shù)使用邏輯與一般的云計(jì)算使用方式較為一致，但因主要面向個(gè)人用戶，在使用終端、數(shù)據(jù)接入、用戶認(rèn)證、資源動(dòng)態(tài)分配、個(gè)人防護(hù)、系統(tǒng)維護(hù)管理方面有著更多的特點(diǎn)，具體來說云桌面分為：虛擬化層、數(shù)據(jù)安全層、桌面管理層、接入控制層、上網(wǎng)行為控制層、網(wǎng)絡(luò)接入層等6層體系結(jié)構(gòu)，具體如圖1所示。

圖1 云桌面系統(tǒng)體系結(jié)構(gòu)

虛擬化層是云桌面系統(tǒng)的最底層，是基礎(chǔ)的資源供應(yīng)層，主要負(fù)責(zé)存儲(chǔ)資源、計(jì)算資源、網(wǎng)絡(luò)資源的整合、管理和調(diào)度。該層通過虛擬化技術(shù)，將硬件資源池化并重新分配給用戶，是云桌面系統(tǒng)的基礎(chǔ)和核心。由于高度的虛擬化，可以采購多家國產(chǎn)公司的服務(wù)器及網(wǎng)絡(luò)設(shè)備，達(dá)到不會(huì)受制于人的目的。

桌面管理層面是云桌面的管理平臺(tái)，主要負(fù)責(zé)用戶、接口界面、桌面模板、數(shù)據(jù)、軟硬件資源、系統(tǒng)參數(shù)、安全策略的配置和管理，主要便于相關(guān)工作人員的使用、管理和維護(hù)。

數(shù)據(jù)安全層、接入控制層和上網(wǎng)行為控制層構(gòu)成了云桌面的安全體系由。數(shù)據(jù)安全層主要通過加密、數(shù)字指紋、病毒防護(hù)和數(shù)據(jù)備份等措施以確保數(shù)據(jù)存儲(chǔ)和傳輸?shù)目煽啃?、完整性、正確性和抗否認(rèn)性。接入控制層，通過防火墻對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控和審計(jì)，可有效抵擋攻擊者對(duì)云服務(wù)器的非法訪問、探測(cè)和攻擊等行為；借助安全接入網(wǎng)關(guān)對(duì)出入數(shù)據(jù)流的過濾和控制，可以為云桌面的使用提供協(xié)議、鏈路和應(yīng)用級(jí)保護(hù)；運(yùn)用動(dòng)態(tài)負(fù)載均衡功能，對(duì)云桌面系統(tǒng)的網(wǎng)絡(luò)和軟硬件資源進(jìn)行動(dòng)態(tài)調(diào)配，能夠有效加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)的處理能力、提高云資源的利用率、增強(qiáng)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性。上網(wǎng)行為控制層通過實(shí)名認(rèn)證和上網(wǎng)行為審計(jì)的方式，規(guī)范云桌面的使用行為，確保網(wǎng)絡(luò)和數(shù)據(jù)資源合理利用和合法使用。

網(wǎng)絡(luò)接入層則通過標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議，個(gè)人用戶可以使用諸如瘦客戶機(jī)、PC機(jī)、筆記本、掌上電腦和手機(jī)等客戶端，以及搭載Windows、iOS和Android等多種操作系統(tǒng)的方式使用云桌面，大大降低云桌面對(duì)軟硬件平臺(tái)的依賴性。

2.2 瘦客戶機(jī)

瘦客戶機(jī)（Thin-Client）是小型商用的計(jì)算機(jī)，采用嵌入式技術(shù)的小型處理器，內(nèi)存使用本地小型閃存，搭載精簡版的標(biāo)準(zhǔn)操作系統(tǒng)，其中處理器通過專業(yè)的設(shè)計(jì)具有高速的運(yùn)算能力和功耗低等特點(diǎn)。由于瘦客戶機(jī)通過專業(yè)設(shè)計(jì)沒有多余的部件，使用環(huán)境比一般的計(jì)算機(jī)更加可靠安全，并且功耗更低。瘦客戶機(jī)通過標(biāo)準(zhǔn)協(xié)議和服務(wù)器進(jìn)行通信，服務(wù)器端安裝有服務(wù)于瘦客戶機(jī)的多用戶虛擬化應(yīng)用程序，用戶不能在瘦客戶機(jī)上安裝軟件，只能在登錄后的虛擬機(jī)環(huán)境下安裝軟件。瘦客戶機(jī)更適合現(xiàn)在云理念，方便集中管理，可以實(shí)現(xiàn)與普通計(jì)算機(jī)同樣的用戶體驗(yàn)，并且更加方便維護(hù)。瘦客戶機(jī)由于結(jié)構(gòu)簡單、配置精簡可以極大的降低個(gè)人使用成本，進(jìn)而降低整體項(xiàng)目成本，同時(shí)不影響個(gè)人使用。

3 系統(tǒng)構(gòu)建

3.1 整體結(jié)構(gòu)

系統(tǒng)核心部件為服務(wù)器集群，服務(wù)器集群是核心的資源池，是整個(gè)系統(tǒng)可以正常運(yùn)轉(zhuǎn)的基礎(chǔ)。每位工作人員通過瘦客戶機(jī)訪問服務(wù)器集群提供的個(gè)人電腦鏡像完成個(gè)人電腦使用，業(yè)務(wù)系統(tǒng)則通過瘦客戶機(jī)使用原生系統(tǒng)復(fù)制的鏡像，其他如USB、RS232、RS485等特殊接口設(shè)備則通過相應(yīng)的協(xié)議轉(zhuǎn)換服務(wù)器均轉(zhuǎn)換為IP信號(hào)進(jìn)入系統(tǒng)，系統(tǒng)在公網(wǎng)出口處設(shè)置網(wǎng)絡(luò)安全相關(guān)設(shè)施保障系統(tǒng)安全，具體如圖2所示。

圖2 云桌面整體結(jié)構(gòu)圖

3.2 應(yīng)用訪問

3.2.1 一般性訪問

每位工作人員通過瘦客戶機(jī)實(shí)現(xiàn)云桌面的訪問，瘦客戶機(jī)通過外圍網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)對(duì)服務(wù)器集群計(jì)算資源的訪問，在特殊情況下可以用pad等終端實(shí)現(xiàn)認(rèn)證后的安全訪問。每個(gè)科室的訪問模式擁有較大的自主性，可以是有線方式也可以是無線wifi方式依具體情況而定。

3.2.2 專業(yè)設(shè)備的訪問

各類專業(yè)設(shè)備網(wǎng)管，主要的難點(diǎn)是一些串口設(shè)備和USB接口設(shè)備或者其他總線設(shè)備的網(wǎng)管接入問題，方案采用安全網(wǎng)關(guān)和協(xié)議轉(zhuǎn)換服務(wù)器的方式，將不同類型的接口歸一化到IP方式，送入網(wǎng)絡(luò)集群，通過vlan的劃分實(shí)現(xiàn)相對(duì)的隔離。專業(yè)系統(tǒng)服務(wù)器數(shù)據(jù)也通過專業(yè)的網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)與其他系統(tǒng)的隔離。

3.2.3 桌面操作系統(tǒng)

對(duì)于一般個(gè)人的使用，出于實(shí)施安全及軟件正版的需要以國產(chǎn)操作系統(tǒng)為主要應(yīng)用，根據(jù)工作實(shí)際需要配置其他的操作系統(tǒng)。對(duì)于專業(yè)性要求較高的客戶端設(shè)備等，則通過鏡像拷貝的技術(shù)手段，實(shí)現(xiàn)客戶端環(huán)境的永久保存和不間斷使用。

3.3 云桌面的隔離組網(wǎng)

為保障整體系統(tǒng)的穩(wěn)定性及安全防護(hù)性，云桌面系統(tǒng)內(nèi)部分為內(nèi)聯(lián)網(wǎng)、外聯(lián)控制、外部區(qū)域等三部分，在防火墻DMZ區(qū)建設(shè)云桌面用于內(nèi)外網(wǎng)互訪。為避免單點(diǎn)故障，云桌面服務(wù)器可與兩臺(tái)防火墻DMZ區(qū)接口連接，配置相應(yīng)網(wǎng)絡(luò)地址。這樣物理終端可以根據(jù)需要自行配置網(wǎng)絡(luò)地址，防火墻根據(jù)外部區(qū)域、外聯(lián)服務(wù)區(qū)、內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)地址規(guī)范進(jìn)行地址轉(zhuǎn)換。云桌面隔離組網(wǎng)邏輯架構(gòu)如圖3所示。

圖3 云桌面網(wǎng)絡(luò)邏輯架構(gòu)

4 系統(tǒng)優(yōu)勢(shì)

建設(shè)后的系統(tǒng)將不同于之前的每臺(tái)個(gè)人電腦獨(dú)立的使用模式和分散的管理維護(hù)模式。

4.1 維護(hù)科學(xué)高效

系統(tǒng)維護(hù)變得簡單高效。管理員在完成硬件部署之后，只需要通過后臺(tái)批量創(chuàng)建虛擬桌面、綁定用戶，即完成了系統(tǒng)的部署。部署完成后，用戶登錄即可進(jìn)入自己的虛擬桌面。管理員可根據(jù)不同需要，在管理后臺(tái)為單用戶創(chuàng)建多個(gè)對(duì)應(yīng)虛擬桌面，以滿足實(shí)際應(yīng)用需要。管理員可以方便地對(duì)所有的受控終端進(jìn)行批量分配桌面、批量修改虛擬機(jī)資源、批量關(guān)機(jī)、遠(yuǎn)程協(xié)助等作業(yè)，管理人員可以在極短的時(shí)間內(nèi)完成系統(tǒng)升級(jí)更新、現(xiàn)場(chǎng)故障修復(fù)等操作，成倍地提高了IT管理效率。由于個(gè)人使用桌面與瘦客戶機(jī)的分離，當(dāng)用戶終端出現(xiàn)故障后，用戶只需向管理員申請(qǐng)新的終端便可輕松訪問原有桌面，可以在最短的時(shí)間內(nèi)應(yīng)對(duì)硬件故障恢復(fù)工作。

4.2 成本降低

瘦客戶機(jī)的成本大約在普通計(jì)算機(jī)成本的10%-20%之間，通過瘦客戶機(jī)的大量使用拉低系統(tǒng)總成本；同時(shí)云桌面系統(tǒng)打造了一個(gè)近乎免維護(hù)的系統(tǒng)環(huán)境，后期的管理維護(hù)成本得到了大幅降低；此外，瘦客戶機(jī)的低功耗，結(jié)合“桌面池”“虛擬機(jī)動(dòng)態(tài)啟動(dòng)”“內(nèi)存復(fù)用”“鏡像自增長”等技術(shù)，可以將系統(tǒng)的計(jì)算資源和能源的消耗降到極低的水平，實(shí)現(xiàn)總成本的降低。

由于普通的計(jì)算機(jī)每臺(tái)安裝合法版權(quán)軟件會(huì)耗費(fèi)很大成本，在服務(wù)器上安裝合法版權(quán)軟件，瘦客戶機(jī)可以從服務(wù)器上獲取云桌面，無需在每一臺(tái)設(shè)備上安裝軟件。每個(gè)用戶都可以使用正版軟件，避免不必要的知識(shí)產(chǎn)權(quán)糾紛。

結(jié)束語

云桌面的使用可以很好地完成單位個(gè)人電腦替換升級(jí)任務(wù)，同時(shí)可以為單位的計(jì)算機(jī)系統(tǒng)維護(hù)模式帶來質(zhì)的飛躍，集約化的計(jì)算機(jī)維護(hù)管理模式也能使單位在應(yīng)對(duì)諸如網(wǎng)絡(luò)安全挑戰(zhàn)等新興挑戰(zhàn)方面更能發(fā)揮出作用。