服務熱線:18681560651
手機:186-8156-0651
公司郵箱:jiaojian_hp@126.com
地址:深圳福田區八卦四路中浩大廈21層2123房
戴普聯華桌面云方案介紹
2.1 一站式方案概述
戴普聯華桌面云產品最重要的一個特點就是“一站式”,由戴普聯華向客戶提供包含服務器虛擬化軟件(VMS)、桌面云虛擬化(VDC)以及瘦終端(aDesk)在內的整體解決方案,從而可以幫助用戶降低投資和運維成本,更快速的實現虛擬桌面的部署。
瘦終端aDesk:外觀小巧精致,采用ARM架構(A9芯片)和Android系統,性能強勁,處理速度快。相比于X86架構的瘦終端,其能耗更低、長期運行穩定性更高(無需散熱)、且操作系統精簡化,可實現零維護。同時,利用外設重定向技術,可兼容桌面應用中的各類外設。
虛擬桌面控制器VDC:主要實現用戶接入認證、細粒度策略控制、虛擬桌面及瘦終端的統一監控、管理等,以更低成本、更安全、更可靠地交付Windows桌面,支持硬件VDC和軟件VDC(部署于虛擬機)兩種部署模式。
服務器虛擬化軟件(VMS):祼金屬架構,直接安裝于物理服務器上,提供性能強勁、高可靠性的虛擬化計算平臺,實現虛擬機快速部署、資源管理和監控、動態在線遷移、數據備份及恢復等,可為云桌面工作負載提供先進功能,支持大規模部署且易于操作。
2.2 主要功能列表
功能名稱 | 詳細描述 |
終端設備和操作系統支持 | 1. 支持PC、筆記本、瘦終端、iPad、iPhone、Android手機或智能終端等設備接入訪問虛擬桌面; |
2. 支持Windows 7(32位和64位)、Windows XP(32位)、Windows 8(32位和64位)、Windows XPE、iOS、Android等客戶端操作系統。 | |
桌面交付協議 | 1. 支持SRAP高效傳輸協議,通過高效流式壓縮算法、有損壓縮、圖像緩存匹配、動態內容識別過濾、文字圖像識別智能壓縮等優化技術提升6倍以上的傳輸效率; |
2. 支持多媒體重定向技術,采用先進的編碼和流媒體技術,在服務器將經過壓縮和編碼的流媒體發送至終端,通過基于軟件和硬件的處理能力實現本地播放,提升多媒體播放性能,可流暢播放1080P的高清視頻。 | |
外設支持 | 1. 支持USB總線映射(包括掃描槍、掃描儀、攝像頭、密碼小鍵盤、二代身份證讀卡器、手寫板、打印機映射、USB-key等常見總線辦公設備),并保持會話間隔離; |
2. 支持虛擬打印功能,通過在服務端選擇Sangfor虛擬打印機,在客戶端本地打印機即可打印文件,且終端服務器無需安裝本地打印機驅動; | |
3. 支持音頻映射,可遠程進行音頻的輸入輸出,支持串口設備總線映射、磁盤映射。 | |
虛擬桌面類型 | 1. 共享桌面:利用服務器操作系統的多用戶會話共享功能,允許多個用戶同時遠程連接到同一個操作系統,并為每個用戶提供不同的桌面,用戶可擁有自己的桌面配置和個人數據,并共享同一套完整的桌面系統; |
2. 遠程應用:利用服務器操作系統的用戶會話共享和應用程序多實例功能,允許多個用戶同時遠程連接到同一個應用程序,用戶可擁有自己的應用配置和個人數據,并共享同一套應用程序; | |
3. 獨享桌面:基于服務器虛擬化提供的可遠程訪問的桌面,即服務器可以根據模板自動為每用戶分配一個虛擬機(安裝Windows XP、Windows 7等桌面操作系統,并且每個獨享桌面相互隔離),用戶遠程訪問自己的虛擬機,并可擁有獨立、完全的桌面使用和控制權限。 | |
獨享桌面發布模式 | 1. 還原模式:獨享桌面資源下,用戶使用的虛擬機從模板產生。該模式下,除了指定的一些目錄外,用戶所做的操作都會在重啟后被還原。模板升級后,用戶重新打開的虛擬機包含模板升級的內容; |
2. 專用模式:獨享桌面資源下,用戶使用基于模板自動生成的專用虛擬機實例。該模式下,對用戶所做的操作,包括安裝軟件,建立、修改文件,配置修改等操作的結果都予以保留,重新啟動和升級模板都不會影響這些修改。 | |
VDC部署模式 | 1. 虛擬桌面控制器VDC支持以物理設備或虛擬機的形式部署,如果客戶端在內網訪問,經VDC認證后,客戶端可直連用戶桌面;如果客戶端在外網訪問,經VDC認證后,客戶端依然需要通過VDC代理才能訪問用戶桌面; |
2. VDC支持在物理設備和虛擬機形式中進行集群部署,以提升可用性; | |
3. VDC支持非對稱集群部署方式,不同級別配置的硬件設備也可以基于權重參數設置,組成非對稱集群。 | |
安全策略 | 1. 支持本地認證、短信認證、動態令牌、數字證書、第三方認證、硬件特征碼等多種認證方式,并且可以自由組合以提升接入安全性; |
2. 支持BS和CS類型的遠程應用和Windows虛擬桌面的單點登錄功能,實現多系統整合,避免用戶重復輸入賬號或口令的繁瑣操作; | |
3. 密碼管理:支持多重密碼安全策略,可設置密碼不能包含用戶名、新密碼不能與舊密碼相同、登錄強制修改密碼、強制要求定時修改密碼、密碼強度驗證;支持圖形校驗碼、軟鍵盤;支持賬號防暴力破解; | |
4. 基于策略的訪問控制:可以根據用戶、網絡、服務、設備、系統等,通過關聯的策略為他們分配合適的訪問權限; | |
5. 流量加密:支持AES、DES、3DES、MD5、SHA、DH、RSA等算法,并且支持擴展國密辦SCB2(SM1)等其他加密算法,確保通信的安全性; | |
6. 支持客戶端安全檢查功能,可以根據客戶接入終端的系統版本、接入IP,接入時間,殺毒軟件的安裝更新情況等,指定用戶的訪問控制策略; | |
7. 支持設置應用程序白名單功能,控制用戶在共享桌面、遠程應用或獨享桌面中主動或被動地運行非法應用; | |
8. 支持服務端訪問控制策略,可以基于策略控制用戶在遠程應用、共享桌面或獨享桌面中能夠訪問的網絡; | |
9. 支持個人盤加密技術,可對存儲個人數據的磁盤文件進行加密,保障個人穩私安全。 | |
桌面會話管理 | 1. 支持多個桌面會話的快照管理和會話保持;支持終端遷移功能,在多個終端間切換,不會影響原先的桌面操作行為; |
2. 支持桌面會話連接遠程診斷功能,管理員可在控制臺上對桌面會話連接進行遠程協助,幫助用戶在線診斷問題; | |
3. 支持查詢具體會話的基本信息和性能信息,可以管理當前所有桌面會話,如斷開某個會話操作或訪問某個會話等操作; | |
4. 支持網絡中斷后的桌面會話自動重連功能,臨時性的網絡中斷不會影響原先的桌面操作行為;支持自動注銷當前會話連接。 | |
會話隔離控制 | 1. 共享桌面支持服務器磁盤空間和存儲路徑的會話級別隔離; |
2. 共享桌面支持客戶端外設映射和總線映射的會話級別隔離; | |
3. 虛擬打印機支持會話級別隔離。 | |
會話資源管理 | 1. 可允許或阻止用戶將訪問終端的USB設備重定向到虛擬桌面,可允許或阻止用戶將訪問終端上的文件重定向到虛擬桌面,還可以設置單向傳輸策略(比如僅允許訪問終端從往虛擬桌面拷貝數據); |
2. 支持基于用戶或用戶組對會話資源進行管理和策略控制,比如是否允許用戶使用打印機、是否允許用戶使用U盤等。 | |
VMS配置管理 | 1. 支持新增、刪除、編輯VMS服務器虛擬化平臺,并測試連接狀態; |
2. 支持查看VMS運行狀態的詳細情況,包括CPU、內存、存儲、模板、運行主機、運行虛擬機等詳細情況。 | |
虛擬桌面資源管理 | 1. 支持使用虛擬機模板自動生成虛擬桌面實例,且可以對虛擬機指定命名規則,以更好地區分每個用戶的虛擬桌面; |
2. 支持新建虛擬桌面資源時可以指定虛擬機運行位置、存儲位置、虛擬交換機、虛擬機數量等,支持為用戶設置虛擬機的開關機計劃; | |
3. 支持為用戶虛擬桌面分配或不分配個人數據磁盤,支持指定磁盤容量大??; | |
4. 支持刪除用戶時,可選擇是否刪除關聯的虛擬桌面資源,但如果選擇刪除虛擬桌面資源,則會自動所關聯的虛擬機實例; | |
5. 支持在控制臺查看資源所關聯的虛擬機詳細信息,包括運行狀態、資源利用率、創建或啟動失敗原因等。 | |
虛擬機實例管理 | 1. 支持在控制臺對用戶虛擬機開機、關機、掛起、重啟等電源級別操作; |
2. 支持管理員在實例管理頁面按虛擬機名、虛擬化平臺、所屬資源、IP、關聯用戶的項的組合條件搜索相關虛擬機(搜索為模糊搜索); | |
3. 支持在控制臺查看用戶虛擬機的CPU、內存、磁盤的詳細情況,且CPU、內存支持正反排序,磁盤支持按比率的大小進行正序和反序排序。 | |
平臺運維管理 | 1. 支持分級管理權限,包括上級管理員有權操作下級管理員的配置行為,相反則無權;支持上級管理員將虛擬桌面資源授權給下級管理員; |
2. 支持自動將配置文件備份到FTP服務器; | |
3. 支持在VDC連接VMS服務器虛擬化平臺失敗時、用戶訪問虛擬機失敗時進行郵件告警并記錄故障日志; | |
4. 支持基于SNMP協議,與第三方監控系統對接; | |
5. 支持基于syslog日志與第三方監控系統對接。 | |
客戶端管理功能 | 1. 支持在VDC控制臺上對瘦客戶機可以直接完成監控及配置,無需獨立的管理器; |
2. 支持配置瘦客戶機ROM,包括上傳下載ROM,是否啟用自動更新,顯示設備當前ROM、軟件的版本信息; | |
3. 支持在VDC控制臺顯示上報的信息,可搜索瘦客戶機信息; | |
4. 支持客戶端在虛擬桌面中關機、重啟機、銷定屏幕、注銷用戶等操作; | |
5. 可配置瘦客戶機能否切換到桌面及是否可以安裝軟件; | |
6. 在瘦客戶機連接虛擬桌面資源出現問題時,支持進入維護模式。用戶可以在維護模式中對遠程計算機進行簡單的維護,如按F8進入虛擬計算機的安全模式等。 | |
虛擬機管理功能 | 1. 支持多用戶共享同一套虛擬機模板,用戶數據保存在個人數據盤,管理員進行軟件更新和維護,并自動更新到個人用戶虛擬機,不會影響個人的數據; |
2. 支持利用服務器的內存或緩存卡進行重復數據IO加速,能夠消除相同OS類型的桌面同時啟動時的重復IO,以提升虛擬桌面啟動速度; | |
3. 支持內存頁合并技術,能夠消除內存頁中的重復只讀數據,例如OS執行代碼,以節省內存使用; | |
4. 支持將承載用戶虛擬機的多臺服務器組成群集系統,利用VMS HA機制和熱遷移技術保障群集內服務器的高可用性。 |
2.3多種桌面交付類型
u 獨享式桌面:基于服務器虛擬化技術在服務器為每個用戶分配獨立的虛擬機(安裝Windows XP、Windows 7等桌面操作系統),每用戶桌面都擁有獨立、完全的桌面使用和控制權限,用戶可遠程訪問屬于自己的虛擬機(桌面)。
適用場景:對于允許自主安裝軟件、應用環境相對復雜的用戶(例如:研發、銷售、營銷、領導層等),獨享桌面可以提供個性化Windows桌面體驗,通過為用戶單獨設置一個虛擬操作系統,滿足日常個性化辦公需求。
u 共享式桌面:多個用戶會話共享服務器上運行的Windows Server桌面環境,每用戶桌面都是被鎖定的、標準化的,可以訪問預安裝的一組核心應用程序,但無法自主安裝軟件或更改桌面配置。
適用場景:對于需要使用桌面、不允許自主安裝軟件(例如:柜臺業務、數據錄入、流程操作、生產線等)的用戶,共享桌面可以提供標準化辦公桌面,滿足標準型辦公需求。
u 虛擬化應用:基于服務器操作系統(如Windows Server 2003,Windows Server 2008, Windows Server 2012 )的用戶會話共享和應用程序多實例功能,允許多個用戶同時遠程連接到同一個應用程序,用戶可擁有個人應用數據,并共享使用同一套互相隔離的應用程序。
適用場景:對于不需要使用桌面、應用數量較少的用戶(例如:公共查詢機等),虛擬應用技術可以把所需要的應用直接交付給用戶,通過各類設備訪問以滿足任務型辦公需求。
2.4 方案價值總結
1. 運維成本大幅降低
桌面云的應用將極大的減少后期的運維成本,采用模板化的部署方式后,一個新的桌面用戶可以在10分鐘左右就完成交付使用,而故障的排查和修復時間更是大幅度減少,原來只能管理100臺終端的IT管理員現在可以輕松的管理上千臺的虛擬桌面。保守估計,算上設備更替和運維的成本,5年的IT總成本可以節省40%以上。
2. 節能降噪,綠色辦公
傳統PC每小時耗電量大概在190W左右,而瘦終端的能耗只有10W。以1000臺的部署規模為例,按開機10小時、每年240個工作日、每度電按0.75元的工商業用電價格來折算,即使算上數據中心新增服務器的電力成本,把1000臺PC換成瘦終端每年至少可節省25萬元電費。
能耗/臺 | 部署規模 | 開機時間/天 | 工作日/年 | 總能耗/年 | 電費/千瓦時 | 總電費/年 | |
傳統PC | 190W | 1,000臺 | 10小時 | 240天 | 456,000千瓦時 | 0.75元* | 342,000元 |
瘦終端 | 10W | 1,000臺 | 10小時 | 240天 | 24,000千瓦時 | 0.75元* | 18,000元 |
數據中心新增服務器(1000臺瘦終端的承載量)的電力成本 | 70,000元 | ||||||
每年可節省電費 | 254,000元 |
*中國工商業用電平均費用以0.75元/千瓦時計算。
3.保護信息資產安全
桌面云將所有的數據集中存儲在數據中心,筆記本、瘦終端等前端設備只接收圖像,整個業務過程里數據不落地,確保安全。而集中化的部署方式也更有利于IT部門對信息資產進行統一管理。不僅如此,桌面云還能夠輕易的在組織內部建立起相互邏輯隔離的多張網絡、來滿足不同類型業務的使用需求。
4. 桌面隨身行辦公模式
適應移動信息化建設趨勢,在策略許可的情況下,用戶可以實現在任意時間、任意地點、通過任意終端訪問自己的個人桌面,真正做到桌面隨身行,在任一終端上的桌面操作可以在另一個終端中繼續開展,工作不會因為場所變化而中斷,從而提升員工的工作效率。
2.5方案優勢介紹
t 完善的全系列云方案:涵蓋瘦終端、虛擬桌面控制器VDC、虛擬機管理軟件VMS三大環節,業界方案最全面,兼容性更好,性價比更高,為 IT 提供了一種更加精簡和安全的方法來管理用戶和提供可按需訪問的敏捷桌面服務。
t 卓越的用戶體驗:針對各種應用場景進行性能調優,高效傳輸協議SRAP提升6倍以上的速度,將訪問帶寬降至更低,達到與傳統PC一致的訪問體驗。并且利用瘦終端ARM架構內置的高清視頻協議處理器可流暢播放1080P高清視頻。
t 更全面的安全保護機制:高達8種身份認證方式自由組合以保障用戶接入安全,全方位的加密算法保障傳輸安全,靈活訪問控制進行集中鑒權,數據存儲加密保障個人數據安全,最終實現端到端桌面云安全保護。
t 集中式WEB管理模式:整套方案的搭建僅需兩大組件(VDC和VMS),相對業界其他廠商其部署組件最少,并可提供集中式、單一化的遠程運維模式,提高了虛擬桌面部署的易用性和可維護性。
t 專業的本地化服務模式:國內具備自主研發整套虛擬化產品體系的廠商,在中國擁有大規模的開發團隊,可快速響應用戶的需求;全國40多個辦事處提供本地化技術支持,售后服務體系完善。
第3章 桌面云整體架構設計
3.1 戴普聯華桌面云整體架構
服務端部署多臺桌面服務器(X86服務器),考虎到HA和遷移等特性,需要使用獨立的磁盤陣列來存儲虛擬機和數據(支持iSCSI、FC、NAS),另外需要1臺或多臺虛擬桌面控制器VDC(支持非對稱集群部署),當然VDC還支持軟件化部署,在桌面服務器上創建虛擬機進行部署使用(將軟件VDC鏡像導入即可使用),VDC以單臂模式部署于交換機中(如圖所示)。同時,在基礎架構中,還需AD域控制器和DHCP服務器(如果已有現成域控制器DC/DNS/DHCP,可以利用現有服務器),AD域控主要作聯動認證之用,也可以采用本地認證(在VDC上直接添加用戶名密碼),而DHCP服務器主要為瘦終端和虛擬桌面自動化分配IP地址。
3.2組件及模塊介紹
3.2.1AD/DHCP服務器
活動目錄(AD)服務器提供標準的LDAP目錄服務,VDC支持與AD聯動,負責用戶的身份認證和權限自動導入。
DHCP是Dynamic Host Configuration Protocol(動態主機配置協議)的縮寫,它的作用是給瘦終端和虛擬桌面用戶自動分配IP地址。
3.2.2桌面服務器和磁盤陣列(VMS)
在每臺桌面服務器上安裝服務器虛擬化軟件(VMS),VMS為祼金屬架構,無需宿主操作系統,向導式安裝過程、操作簡單??蔀樵谱烂娣桨笜嫿ㄒ粋€功能強大、高可靠性、高可擴展性的虛擬機運行和管理平臺,實現物理資源動態調配、虛擬機快速部署、監控及管理等。由于后端部署了獨立存儲設備,虛擬機和用戶數據存儲于磁盤陣列上,可以通過HA和遷移技術保障服務端的高可用性。
3.2.3虛擬桌面控制VDC
硬件VDC(如VDC-2500)以單臂模式部署于網絡中,或軟件VDC(鏡像導入虛擬機)部署于VMS虛擬機平臺上。主要提供用戶創建和認證、資源訪問控制、桌面監控和管理等功能,VDC能簡化云桌面的管理、調配和部署,用戶能夠通過VDC安全而方便地訪問云桌面,IT管理員能有效地管理數百甚至數千個桌面,從而節約時間和資源。
3.2.4終端設備
支持PC、筆記本、瘦終端、iPad、iPhone、Android手機或智能終端等設備接入訪問虛擬桌面;
支持Windows 7(32位和64位)、Windows XP(32位)、Windows 8(32位和64位)、Windows XPE、iOS、Android等客戶端操作系統。
瘦終端aDesk技術規格 | |
處理器 | ARM A9 Dual-Core 1.6GHz |
內存 | 1G RAM |
操作系統 | Android |
顯示模式 | 更高分辨率1980*1200 支持1080P高清視頻 |
網絡 | 標準以太網卡 內置無線網卡(僅aDesk-AIR型號支持) |
輸入/輸出支持 | 6個USB接口 1個HDMI 1個VGA 1個串口 2個音頻接口 |
規格 | 200mm(長) 135mm(寬) 37mm(高) |
電源 | 輸入:交流100-240V,50/60Hz,0.8A |
輸出:直流12V,3A 電源適配器:26W | |
電能消耗 | 更大20W 平均6W |
3.3服務器群集設計思路
如上圖所示,在每臺X86服務器上安裝服務器虛擬化軟件(VMS),通過VMS軟件可為云桌面平臺提供更高的可用性,不僅配置方法簡單,也無需采用第三方集群軟件,所以成本更低。VMS的HA配置采用一鍵化模式,在控制臺界面中快速開啟HA功能后,便可以將所有或部分服務器組成高可用性架構,無論是計劃外停機或者服務器出現故障,此架構都能提供更別的服務可用性。
VMS HA機制通過以下方式保障服務的可用性:
ü 持續監控虛擬機和服務器的運行狀態,無需在虛擬機內安裝其他軟件;
ü 檢測到故障后,通過在集群內的其他正常主機重啟虛擬機,防止服務器故障;
ü 結合VMS資源自動調度功能以防止出現故障,以及在群集內的主機之間提供負載平衡。
當然,如果某臺物理服務器需要維護,在無需中斷服務的情況下,可將服務器之上的虛擬機動態遷移至其他服務器,管理員可以快速、完整地執行透明的運維工作。
3.4戴普聯華SRAP協議技術詳解
戴普聯華推出針對aDesk桌面云方案設計的SRAP高效交付協議,向用戶快速提供“高清桌面體驗”,SRAP(SangforRemote Access Protocol)即Sangfor遠程接入協議,是專為虛擬桌面而開發的虛擬化技術協議框架,相對傳統RDP協議可提升6倍以上傳輸效率。SRAP采用自適應調節、高效算法、智能優化等技術手段,可實時動態優化端到端的交付性能,以適應各種應用場景,不管是普通辦公應用還是語音、視頻等多媒體應用,通過戴普聯華自主研發的創新技術都能夠全面改善用戶體驗。
SRAP作為全新的虛擬交付協議,其實質是在服務端增加SRAP模塊實現協議代理,SRAP客戶端與其交付過程中進行各項速度、體驗方面的優化。戴普聯華SRAP協議面向多種虛擬桌面和應用類型,通過數據轉發控制,數據壓縮、緩存與過濾等方式提供可以與傳統PC軟件相媲美甚至更卓越的使用體驗,并且針對不同用戶環境、不同使用場景的獨特情況,都可以采用更佳優化手段來適應環境變化,進一步改善用戶體驗。
高效、智能的優化手段
SRAP虛擬協議技術框架主要通過高效流壓縮、智能緩存優化、動態圖像過濾、多媒體重定向總共4種優化手段協同工作,此4類技術點分別涵蓋豐富的優化特性,且通過相互之間的融合,在各種用戶場景進行手動和自動化適應以提供更佳的桌面使用體驗,可支持1080P高清視頻流暢播放。
普通辦公效果對比
對于營業廳、內網辦公、外派分支、生產車間等普通辦公環境,用戶通過桌面云需要訪問各種OA、ERP等應用,打開PDF、Office等文檔。
通過在不同的辦公環境(局域網和互聯網)下進行實際測試,我們發現未采用優化手段時,在虛擬桌面進行PPT切換的操作會存在顯示速度慢、圖像不全等問題。
(PPT切換效果對比圖)
開啟SRAP協議優化功能之后,在網絡延遲較高、丟包較為嚴重的情況下,依然能夠保障較為流暢的桌面操作體驗,用戶基本感覺不出有卡頓的現象,且對帶寬占用極低,讓用戶在局域網環境和互聯網環境下都可以高效辦公。
(SRAP優化數據分析)
網絡延遲 | 丟包情況 | 響應速度 |
局域網環境 | 非常流暢,接近于本地體驗 | |
50ms | 2% | 比較流暢,基本無卡頓現象 |
200ms | 5% | 一般流暢,用戶感覺可接受 |
數據總量 | SRAP優化 | 壓縮倍數 |
1733909952 | 18022910 | 96.2 |
注:1.流量單位Byte;2.壓縮倍數=數據總量/SRAP優化后的數據量。
高清視頻播放效果對比
除了普通的辦公場景外,對于呼叫中心、多媒體培訓室/教室、上網瀏覽等應用場景,用戶還需桌面云能夠提供語音、高清視頻的流暢體驗。
(視頻播放效果對比圖)
傳統采用服務端解碼的播放方式如上圖優化前的效果,會存在視頻模糊、視頻幀缺失、音視頻不同步、帶寬占用高等問題,基本無法正常觀看視頻。戴普聯華創新性地提出多媒體重定向技術,采用先進的編碼和流媒體技術,在服務器將經過壓縮和編碼的流媒體發送至終端,通過基于軟件和硬件的處理能力實現本地播放,提升多媒體播放性能,可流暢播放1080P的高清視頻。
總體來說,戴普聯華自主設計的SRAP框架以智能、自適應模式持續為用戶提供高清桌面體驗,我們也將不斷優化SRAP協議,以全面強化與云桌面技術的結合,確保能夠創造豐富、高清的桌面操作體驗,滿足終端用戶的訪問要求,推動桌面云技術方案在企業級用戶中實際落地。
第4章、桌面云方案軟硬件需求
4.1服務器存儲選型依據
桌面云硬件選型主要考慮四個因素:CPU、內存、硬盤容量、IOPS(每秒進行讀寫操作的次數),因此我們首先要確定單用戶虛擬機的資源占用(比如1.5GHz主頻的CPU、4G內存、50G硬盤空間、25個IOPS),然后將所有虛擬機的資源占用疊加起來,就可以匹配到一臺或多臺物理服務器了。
為了獲得更好的讀寫體驗,在硬盤選型時建議遵循容量小、數量多的設計原則,通過多塊硬盤可以提升IOPS;如果并發用戶規模較大,建議采用獨立存儲設備,一方面保障高可用性,另一方面,獨立存儲設備可以容納更多的硬盤,整體性能較好。另外,服務器多塊硬盤一般需要配置RAID模式,推薦RAID10,IOPS性能更好、數據可靠性高。
選型步:明確應用場景
負載模型 | 典型場景 |
超輕載 | 營業廳、辦事大廳、圖書館公共查詢機 |
輕載 | 內網辦公場景(使用office套件、內部辦公系統、OA系統、notes應用、郵件收發、無上網需求)、生產線辦公 |
中載 | 需要訪問互聯網(注:不同時下載大量附件、不多人同時下載BT、不同時進行多線程軟件下載) |
只播放flash視頻(如優酷),不播放快播、pplive等 | |
視頻教學軟件(電子教室軟件、投放教師屏幕)、有殺毒軟件的辦公環境 | |
電子閱覽室、普通教學環境、培訓中心、多媒體教室 | |
重載 | 研發環境(JAVA/c/c++) |
教學環境(涉及到軟件編譯等教學場景) | |
使用視頻編輯軟件、PS等簡單圖形處理軟件(不涉及3D渲染繪圖) | |
多人同時使用winRAR、zip等壓縮軟件 | |
大量下載本地文件 |
解析:電腦由于配置較高,所以無需區分不同應用場景,基本上都可以滿足需求。但是,建設虛擬桌面是為了資源充分利用、節省投資成本,因此選型時只要“足夠用”就好,在這個時候就需要區分不同的應用場景,普通辦公場景和研發中心場景的性能消耗是不一樣的。一些任務型的工作場所,比如服務大廳、公共查詢機,選用輕載模型就行了,但是如果是典型辦公場景,又需要上網,則需要選用中載模型,當然如果是涉及到開發類的場景,那必須選用重載模型。
選型第二步:區分不同負載模型的資源分配原則
參數 | 超輕載 | 輕載 | 中載 | 重載 |
CPU | 500~600MHZ | 600MHZ~800MHZ | 800MHZ~1200MHZ | 1200~1500MHZ |
內存 | 1G | 2GB | 2GB | 4GB |
存儲吞吐(IOPS) | 5個 | 10個 | 15~20個 | 25個 |
存儲容量(GB) | 推薦每用戶50GB | |||
(由于用戶虛擬機由模板派生而成,共享同一虛擬機模板的用戶只占用一份存儲空間,所以這里的50G容量均為個人數據盤) |
解析:不同負載模型的虛擬機對資源占用是不一樣的,上表數據是單個虛擬機在各個負載模型的推薦參數,比如典型辦公場景,建議選擇中載模型,對應的單個虛擬機參數為1200MHz主頻的CPU、2G內存、15個IOPS和50G存儲空間。當然,用戶場景可能既有中載模型又有輕載模型,那么可以將這些參數進行疊加,比如20個中載虛擬機,30個輕載虛擬機,疊加起來結果如下:
CPU:20*1200MHz+30*800MHz=48000MHz(48GHz),如果1顆8核CPU(主頻為3.0GHz),則至少需要2顆CPU(3.0Ghz*8=24GHz)
內存:20*2G+30*2G=100G,如果1條內存為16G,則至少需要7條內存(16G*7=112,注:內存條必須為雙數,即這里需要8條內存)
IOPS:20*15IOPS+30*10IOPS=600IOPS,如果1塊硬盤IOPS為80,則至少需要8塊硬盤,當然我們推薦硬盤為10塊,保持冗余性,因為用戶并發操作非常消耗IOPS,通過增加硬盤個數可提升用戶讀寫體驗
(注:以raid10 的IOPS能力計算,在讀寫比例各占50%情況下,總IOPS的3/4為實際數值,比如10塊硬盤的IOPS為800,則實際上總IOPS以600 來計算。另外,raid卡必須帶緩存,建議至少1G,無緩存對IO性能消耗是致命的。)
存儲容量:20*50G+30*50G=2500G,服務器硬盤相比電腦硬盤質量好、性能高、價格高,因此建議不要按照電腦參數那樣,給每用戶分配300G或500G硬盤,那樣整體建設成本會比較高,而且實際上滿足日常辦公文件的存儲,50G足夠。
4.2 容量估計及性能分析
物理服務器選型方面,針對XXXX公司200用戶的桌面云平臺建設項目,其中包含50個共享桌面用戶(滿足生產線辦公),150個獨享桌面用戶(滿足日常辦公,無設計類軟件)。本次方案總共設計了5臺服務器,1臺雙路4核、32G內存、4*1T硬盤,用于部署共享桌面;4臺雙路8核、128G內存、2*1T硬盤,用于部署獨享桌面(每臺服務器支撐50個XP或W7虛擬桌面,其中一臺服務器用于冗余)。另外,AD/DHCP服務器建議選擇1臺低配置服務器(單路4核,16G內存),也可以直接部署于VMS平臺的虛擬機。
存儲設備選型方面,共享桌面用戶直接使用服務器本機硬盤,獨享桌面用戶使用外置獨立存儲,每用戶分配50G數據盤,所以需要至少一臺存儲設備(雙控、4端口\控制塊、FC、10K SAS 900GB*18、4GB緩存/控制塊、陣列raid10)。
帶寬要求:在無視頻觀看的典型辦公場景中,單用戶流量大約為200Kb;如有高清視頻播放,則需要1Mb~2Mb(視碼率而定)。因此,如果在內網訪問云桌面,采用百兆或千兆交換機連接瘦終端即可滿足流量要求,但如果在互聯網訪問云桌面,則需要按照并發用戶數進行流量疊加,從而評估最終所需帶寬容量,比如本項目并發30用戶從互聯網接入訪問云桌面,建議帶寬為6Mb。
4.3 aDesk桌面云方案配置參數
4.3.1 容量規劃
虛擬機名稱 | 數量 | CPU | 內存 | 硬盤 | IOPS | 備注 |
AD/DHCP服務器 | 1 | 2.5GHz | 16G | 600G | 無 | 部署AD和DHCP服務,可部署于VMS虛擬機 |
共享桌面 | 50 | 0.4GHz | 256M | 10G | 5 | 滿足生產線辦公 |
Windows 7虛擬機 | 150 | 1.2GHz | 2G | 50G | 20 | 滿足日常典型辦公 |
注:此值為保守估算,標準參數由戴普聯華評估后輸出。
4.3.2軟硬件列表
序號 | 設備名稱及型號 | 描述 | 數量 | 說明 | 價格預估 | ||
一、硬件部分 | |||||||
1 | 物理服務器 | 雙路4核、32G內存、3*1T硬盤 | 1臺 | 部署共享桌面 | |||
2 | 物理服務器 | 2*E5-2650/128G內存/2*1T硬盤(RAID1)/4*1GB網卡/1*HBA雙端口卡(brocade825) | 4臺 | 部署獨享桌面,其中一臺用于冗余,保障高可用性 | |||
3 | 存儲服務器 | 雙控、4端口\控制塊、FC、10K SAS 900GB*18、4GB緩存/控制塊、陣列raid10 | 1臺 | 獨享桌面存儲設備 | |||
4 | 虛擬桌面控制器VDC | VDC-2500,至少滿足300用戶并發接入 | 1臺 | 桌面云用戶接入認證和策略控制 | |||
5 | 以太網交換機 | 24口以太網交換機 | 10臺 | 連接瘦終端和服務端 | |||
6 | 瘦終端aDesk | aDesk-STD-200 | 200套 | ||||
A9(1.6GHz)、1G內存、4G閃存、6個USB口 | |||||||
7 | 顯示器 | 200臺 | |||||
8 | 鍵鼠套件 | 200套 | |||||
二、軟件部分 | |||||||
1 | 戴普聯華桌面云用戶接入授權 | VDI用戶授權 | 200 | 以并發用戶計算 | |||
2 | Windows 2008企業版 | 基礎業務 | 2 | 部署共享桌面和AD/DHCP服務 | |||
3 | 終端服務授權 | 1. Windows客戶端訪問授權CAL | 50 | 部署共享桌面需購買客戶端訪問授權和終端服務授權,按并發用戶收費 | |||
2. 終端服務客戶端訪問授權CAL | |||||||
4 | Windows7操作系統 | 虛擬桌面接入授權VDA | 150 | ||||
三、總價 | |||||||
硬件 | 軟件 | 預估 | |||||
第5章、產品精彩亮點解析
5.1良好用戶體驗
5.1.1高清視頻體驗
戴普聯華桌面云方案允許在虛擬桌面中查看或編輯圖像和多媒體信息,且可以支持1980*1200分辨率和32位彩色桌面顯示。另外,傳統桌面虛擬化方案在播放高清視頻時主要采用服務器解碼和播放,然后將變化中的圖像按幀傳輸給前端顯示設備,但這種方式對服務器性能要求高,且非常占用帶寬資源,往往效果不好。而戴普聯華提出音視頻重定向技術,將1080P高清視頻流在服務器上進行編碼和壓縮,然后直接傳輸到前端設備,利用基于高清視頻處理器和本地解碼技術流暢地播放高清視頻,給客戶帶來的視頻觀看體驗。
5.1.2高效SRAP協議
云桌面需要通過網絡交付給前端設備,其中最重要的組成部分就是桌面交付協議。SANGFOR SRAP協議發展于2011年,是專門為虛擬桌面或遠程應用程序的高效交付而設計的,能夠滿足低帶寬的傳輸需求,同時具有更佳的外設兼容性。SRAP協議主要通過高效流式壓縮算法、有損壓縮、圖像緩存匹配、動態內容識別過濾、文字圖像識別智能壓縮等優化技術提升6倍以上的傳輸效率。更低帶寬要求僅需20~30K/s,在丟包和延遲都比較高的網絡環境下依然能夠正常使用,更大程度保障用戶桌面體驗。
5.1.3 單點登錄技術
客戶有可能使用多個虛擬應用程序或Windows虛擬桌面,而每套應用系統或桌面系統都會有單獨的身份認證措施,一般情況下是需要多次認證才能正常辦公,這種工作非常繁瑣且容易出錯,影響工作效率。為了提升終端用戶的滿意度,戴普聯華引入單點登錄技術,在通過VDC嚴格認證之后,無需再次進行虛擬應用和虛擬桌面的認證,采用“一鍵化”模式開啟桌面和應用的操作界面。目前支持BS和CS類型的遠程應用和Windows虛擬桌面的單點登錄功能,實現多系統和多桌面整合,避免用戶重復輸入賬號或口令的繁瑣操作,提升員工工作效率和操作滿意度。同時,對已經開啟了單點登錄的虛擬應用程序,用戶可在登錄成功后在個人設置中對這些應用進行單點登錄帳號、密碼自設定,所設置的數據將以加密的方式進行傳遞,并對管理員不可見,保證用戶帳號的安全性。
5.1.4自動化桌面部署
在DHCP環境下,用戶使用瘦終端,可在無人指導的情況下,快速接入云桌面,實現即插即用的終端操作體驗。另外,相對傳統PC上線前需要經過硬件采購、系統安裝、桌面運維等一系列的繁瑣、復雜的過程,在部署好桌面云平臺之后,管理員可以通過虛擬機模板來快速、自動地為新用戶派生虛擬桌面,同時管理員不僅可在控制臺查看用戶虛擬機的CPU、內存、磁盤的詳細情況,還可以對用戶虛擬機進行開機、關機、掛起、重啟等電源級別操作。當用戶虛擬機出現故障后,管理員既可以通過新的虛擬機模板進行快速替換,也可以在控制臺遠程接入用戶虛擬桌面,協助處理系統故障問題。
5.2更優的靈活性
5.2.1廣泛終端支持
用戶可以通過任意終端設備來訪問屬于自己的個人虛擬桌面,而且可以實現終端遷移功能,在多個終端間切換,不會影響原先的桌面操作行為,真正做到桌面隨身行。目前支持PC、筆記本、瘦終端、iPad、iPhone、Android手機或智能終端等設備接入訪問虛擬桌面;支持Windows 7(32位和64位)、Windows XP(32位)、Windows 8(32位和64位)、Windows XPE、iOS、Android等客戶端操作系統。
5.2.2豐富的桌面類型
不同的場景、不同的崗位上的員工需要不同類型的桌面,戴普聯華通過SRAP交付技術提供多種不同類型的虛擬桌面,來滿足用戶多樣化的桌面需求,具體如下:
共享桌面:利用服務器操作系統的多用戶會話共享功能,允許多個用戶同時遠程連接到同一個操作系統,并為每個用戶提供不同的桌面,用戶可擁有自己的桌面配置和個人數據,并共享同一套完整的桌面系統;標準化的桌面辦公環境,可以提供一組核心應用,適用于不需要(不允許)個性化安裝軟件或無自主桌面控制權限的任務型員工,比如辦事大廳、職能辦公、生產線、培訓中心等。
遠程應用:利用服務器操作系統的用戶會話共享和應用程序多實例功能,允許多個用戶同時遠程連接到同一個應用程序,用戶可擁有自己的應用配置和個人數據,并共享同一套應用程序;特定的應用程序交付,適合于應用數量較少,日常辦公時僅需操作某幾類軟件,或需要移動辦公的員工,如營業廳、生產線、銷售部門及管理層移動辦公等。
獨享桌面:基于服務器虛擬化提供的可遠程訪問的桌面,即服務器可以根據模板自動為每用戶分配一個虛擬機(安裝Windows XP、Windows 7等桌面操作系統,并且每個獨享桌面相互隔離),用戶遠程訪問自己的虛擬機,并可擁有獨立、完全的桌面使用和控制權限。適用于有系統個性化需求、對性能要求高的桌面用戶,當然部署獨享桌面對服務器和存儲資源的要求比較高。
無論企業內的各種用戶應用場景以及用戶的需求如何多樣化,通過SRAP交付技術,總能找出一種適合的技術來滿足各種場景和用戶的需求。IT部門能夠交付各種虛擬桌面–每種桌面都經過專門定制,可滿足每位用戶的性能、安全性和靈活性要求。
5.2.3外設的總線映射技術
戴普聯華桌面云方案允許將外設連接到終端上,外設驅動安裝于服務器上,然后可以如本地桌面一樣使用各種外設,盡管虛擬桌面是在服務器上運行的。通過總線映射技術在終端連接外設的接口如USB或串口與服務器上的虛擬桌面構建一條專有的隧道,用于傳輸各種外設的控制指令,可以支持包括掃描槍、掃描儀、攝像頭、密碼小鍵盤、二代身份證讀卡器、手寫板、打印機映射、USB-key等常見總線辦公設備,并且保持會話間的隔離。另外,戴普聯華推出專有的虛擬打印技術,通過在服務端選擇SANGFOR虛擬打印機,在客戶端本地打印機即可打印文件,且服務器端的虛擬機上無需安裝本地打印機驅動。
5.2.4智能開關機
智能開關機能夠真正實現對用戶虛擬桌面開、關機進行自動控制。即使瘦終端已經關閉,用戶可能會忘記關閉位于服務器上的虛擬機,此時便可以實現對虛擬機的自動關閉功能,從而可以節省服務器的硬件資源。同時,通過軟件內置的定時開機功能,可以指定在任意時間開啟個人的虛擬機,且開機時可將用戶虛擬機自動調度至資源充足的服務器上,一方面通過此技術可以避免IO風暴,加快系統登錄時間,另一方面,通過自動化技術來簡化用戶訪問虛擬桌面的操作步驟,讓用戶體驗到簡約、便捷的桌面操作。
5.3端到端安全設計
虛擬桌面從防范非法用戶和惡意系統管理員的角度進行全方位的安全防范,保證接入虛擬桌面的用戶和數據高度安全性,戴普聯華aDesk桌面云方案集成了豐富的VPN安全特性,針對各分層采用安全措施具體如下:
5.3.1終端安全
采用精簡加固基于Android OS,瘦客戶機無本地存儲,可以說數據總是存放在最安全的地方。用戶接入虛擬桌面資源時通過合法性認證、USB靈活可控策略、應用策略化控制、還原模式等方式保證終端安全。
? 集成本地認證、短信認證、動態令牌、數字證書、第三方認證等身份認證機制,而且多種身份認證方式可以自由組合,以確保接入用戶的身份性;
? 基于靈活策略設置USB端口使用權限,比如是否允許使用USB設備(包括打印機、掃描儀等),還可以靈活控制USB硬盤的單向使用權限(比如僅允許訪問終端往虛擬桌面拷貝數據,而不允許桌面到終端的數據拷貝);
? 基于策略的訪問控制:可以根據用戶、網絡、服務、設備、系統等,通過關聯的策略為他們分配合適的訪問權限。支持客戶端安全檢查功能,可以根據客戶接入終端的系統版本、接入IP,接入時間,殺毒軟件的安裝更新情況等,指定用戶的訪問控制策略;
? 桌面注銷時還原至原始狀態,該模式下,除了指定的一些目錄外,用戶所做的操作都會在重啟后被還原。模板升級后,用戶重新打開的虛擬機包含模板升級的內容,可以降低終端中毒風險。
5.3.2傳輸安全
通過VLAN隔離,并內置企業級防火墻模塊進行狀態化ACL訪問控制,管理員登錄時采用HTTPS加密傳輸、用戶訪問虛擬桌面采用傳輸加密等手段,保證業務運行和維護安全。
? 終端到虛擬桌面之間僅傳輸圖像變化和指令信息,不直接傳輸實際數據,也即是說,“瘦終端+云桌面”讓數據不落地,保障傳輸安全性;
? 可對傳輸加密通道進行基于IP、服務的訪問控制策略,減少異常流量的傳輸,且支持同一傳輸通道不同會話的隔離控制,包括存儲會話、虛擬打印會話、總線映射會話等等,從而提升傳輸通道的靈活度;
? 通過對終端到虛擬桌面進行全程流量加密,杜絕中間人攻擊行為,目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法,并且支持擴展國密辦SCB2(SM1)等其他加密算法,確保通信的安全性;
? 在桌面云接入平臺上內置了企業級防火墻模塊,通過靈活的ACL訪問控制策略和DDoS設置,為整個平臺提供狀態包過濾和基本安全保護。
5.3.3平臺安全
虛擬化基礎架構(VMS)的安全性關系到整個虛擬桌面訪問的穩定性和數據安全性,本方案首先通過高可用性設計滿足業務穩定性需求,然后再通過虛擬機隔離、數據盤加密控制、管理員權限細化等安全機制保證用戶數據的安全。
? 在獨享桌面的情況下,每用戶獨占一個虛擬機,通過VMS底層機制實現CPU調度、內存、網絡訪問、磁盤IO、存儲空間的隔離,用戶虛擬機的故障和安全問題不會影響到其他用戶,保證虛擬機之間的隔離安全;
? 每用戶都會分配個人數據盤來存放文檔,當用戶遷移至虛擬桌面的使用模式后,所有數據都集中存儲于數據中心。因此,通過為個人數據盤進行加密存儲,讓其他用戶包括管理員都無法訪問,可以保證用戶個人穩私安全;
? 不同管理員角色,授予合適的管轄權限范圍,并保存操作日志。支持分級管理權限,包括上級管理員有權操作下級管理員的配置行為,相反則無權;支持上級管理員將虛擬桌面資源授權給下級管理員。
通過終端安全、傳輸安全、平臺安全三大層次的端到端、多方位安全機制,可以完善保障用戶接入安全、數據安全、管理安全、虛擬化安全、基礎設施安全等多個建設環節,輕松應對虛擬桌面在建設過程中所面臨的安全威脅及挑戰。
5.4更低的IT總體成本
5.4.1高效率、低能耗瘦終端
戴普聯華aDesk瘦終端是一種理想的桌面設備,它外形小巧,無噪音運行,日常耗電量僅需10瓦,經濟環保。aDesk允許隨時隨地連接SANGFOR虛擬桌面平臺,不僅可獲得與傳統PC一致的訪問體驗,而且提供了可靠的安全性;同時通過虛擬桌面控制器VDC進行中央管控,極大簡化aDesk瘦終端管理工作。
戴普聯華aDesk瘦終端適用于金融、運營商、企業、政府、教育、醫療等行業的多種辦公場景,故障排除、軟件安裝和系統升級都在服務器端完成,提高了安全性和管理的便捷性,并為企業節約了大量的IT 投資。
5.4.2內存頁合并技術
在桌面云的建設方案中,服務器的投資占較大比例,硬件資源的節省可降低整套方案的投資成本,更好地推動云桌面應用模式的落地。因此,戴普聯華創新性地提出內存頁合并技術,因為我們發現,一臺服務器承載了幾十臺甚至上百臺用戶虛擬機,但這些虛擬機都有相同的只讀內存頁面,比如操作系統執行代碼等,針對相同的頁面,戴普聯華內存頁合并技術實現內存區域的共享,從而發揮內存的更大效率,節省服務器的物理內存空間,提升用戶虛擬機的部署密度。通過實際測試數據表明,此技術至少可以節省20%服務端成本。
5.4.3鏡像分離和IO加速
一般情況下,每個用戶的虛擬桌面和個人數據都是獨占一份存儲空間,其實大家都可能使用的是同一套Windows操作系統,無非就是應用程序和個人數據不同而已。因此,戴普聯華aDesk桌面云方案將操作系統鏡像和個人數據(包含應用程序)進行分離,通過模板化系統鏡像技術實現集中化、快速的桌面交付,此技術不僅可節省存儲空間,而且管理員只需維護同一操作系統鏡像,日常系統升級、軟件更新將會非常高效,工作量較少。另外,由于多用戶共享同一套模板鏡像,可以利用服務器的內存或緩存卡進行重復數據IO加速,能夠消除相同OS類型的桌面同時啟動時的重復IO,以提升虛擬桌面啟動速度和運行效率。
5.4.4桌面服務器群集設計
如上圖所示,在每臺X86服務器上安裝虛擬機管理軟件VMS,通過VMS軟件可為虛擬桌面平臺提供更高的可用性,不僅配置方法簡單,也無需采用第三方集群軟件,所以成本更低。VMS的HA配置采用一鍵化模式,在控制臺界面中快速開啟HA功能后,便可以將所有或部分服務器組成高可用性架構,無論是計劃外停機或者服務器出現故障,此架構都能提供更別的服務可用性。
VMS HA機制通過以下方式保障服務的可用性:
ü 持續監控虛擬機和服務器的運行狀態,無需在虛擬機內安裝其他軟件;
ü 檢測到故障后,通過在集群內的其他正常主機重啟虛擬機,防止服務器故障;
ü 結合VMS資源自動調度功能以防止出現故障,以及在群集內的主機之間提供負載平衡。
當然,如果某臺物理服務器需要維護,在無需中斷服務的情況下,可將服務器之上的虛擬機動態遷移至其他服務器,管理員可以快速、完整地執行透明的運維工作。