管理信息系统桌面虚拟化技术要求.doc

管理信息系统桌面虚拟化技术要求管理信息系统桌面虚拟化技术要求 V1.0V1.0 管理信息系统部管理信息系统部 2010 年年 5 月月 桌面虚拟化技术要求 i 目目 录录 1 1概述概述.1 1.1背景.1 1.2各省现状.2 1.3编写目的.3 1.4文档结构.3 2 2桌面虚拟化总体要求桌面虚拟化总体要求.3 3 3桌面虚拟化功能要求桌面虚拟化功能要求.5 4 4桌面虚拟化安全要求桌面虚拟化安全要求.8 5 5桌面虚拟化性能要求桌面虚拟化性能要求.10 6 6桌面虚拟化接口要求桌面虚拟化接口要求.11 桌面虚拟化技术要求 1 1 1概述概述 1.11.1背景背景 随着信息化技术的不断发展，计算机终端已经成为员工办公不可缺少的办公 工具之一。目前，接入中国移动管理信息系统网络的终端主要包括：个人办公终 端、混用终端、涉密终端以及代维终端等，具体情况如下： 个人办公终端主要指配备给公司员工用于日常办公的个人电脑。总部已 于 07 年开始，组织开展了全国终端管理平台的项目建设，以实现对所有 个人办公终端的管理； 混用终端主要指配备给公司社会用工日常使用的终端。由于中国移动社 会用工人数众多（公司现有员工 41.2 万，其中社会用工 29.6 万） ，流动 性大，工作时间、地点不固定，同时，由于公司办公场地紧张、成本控 制等方面的限制，很难做到为每位社会用工配置个人计算机终端（据初 步统计，约有 80%的社会用工没有个人终端） ，混用终端现象普遍，所带 来的问题是： 社会用工混用办公电脑，没有个人办公桌面，办公效率不高，同时， 在混用电脑上保存数据，缺乏安全保障，且难以保证随时随地访问； 混用终端的使用、维护混乱，安全漏洞多，易遭受病毒/木马攻击， 从而影响办公网络及办公终端的安全性； 混用终端故障几率高，维修周期较长（据统计，平均每次维护约需 1 天时间） ，影响社会用工工作。 涉密终端主要指存储公司相关秘密信息，并可以接入公司局域网络的终 端。目前对涉密终端的管理缺乏相应的技术手段，对其中所存储重要文 档信息的安全保障有待加强； 桌面虚拟化技术要求 2 代维终端主要指管理信息系统相关厂家的开发、维护人员在我公司内部 使用的电脑。代维终端随意接入移动局域网，易引发病毒、木马的传播， 同时，代维人员日常工作涉及对后台系统大量的访问，易发生操作失误、 公司重要信息泄密等事件。 针对上述问题，可以采用桌面虚拟化技术建设虚拟桌面平台，为社会用工、 代维人员、涉密人员等提供个人虚拟桌面，达到加强桌面管控，简化维护管理， 提高办公网络及桌面的安全性等目标，并和终端管理平台相结合，构建管理信息 系统所有办公终端管理的统一支撑体系： 为社会用工提供个人虚拟桌面及个人数据存储空间，解决桌面混用问题， 方便其日常办公，并为基层班组建设信息化平台的建设和推广使用提供 基础条件： 国务院国资委高度重视班组建设，国资委副主任、党委委员黄丹华 指出：“加强班组建设是中央企业实现发展战略，提高核心竞争力 的需要；是中央企业夯实基础，提高企业管理水平的需要；是中央 企业应对危机，实现调整优化上水平的需要；是中央企业坚持以人 为本，建设和谐企业的需要” ； 中国移动一贯重视班组建设，并已取得卓越成绩。09 年 11 月，集团 还专门下发了关于印发中国移动通信集团公司班组建设指导意 见（试行） 的通知 。为更好的支撑班组建设工作的开展，集团还 采用信息化手段，搭建班组建设信息化平台（包括：工作动态、班 组博客、网上学院、知识社区等功能） ，来进一步推动班组建设工作， 因此，迫切需要为广大一线员工提供个人办公环境。 为代维人员、涉密人员提供虚拟桌面，在支持其日常工作的基础上，确 保公司信息安全。 桌面虚拟化技术要求 3 1.21.2各省现状各省现状 从目前来看，已有广东、江苏等个别公司，对桌面虚拟化技术进行了应用， 在加强维护管理、提高安全性、提升工作效率、降低成本等方面取得了很好的效 果。 然而，各省公司的桌面虚拟化实践主要集中在某些特定领域，且没有统一 的标准和流程，缺乏后续在数据中心体系下的综合演进路线，整体效果难以全面 体现。 1.31.3编写目的编写目的 通过研究国内外桌面虚拟化方面的相关技术以及成功经验，并考虑了各公司 桌面虚拟化的需求，以此为基础详细描述了桌面虚拟化的功能要求、安全要求、 性能要求、接口要求等，为省公司的方案制定、系统建设工作提供依据。 本技术要求的目标读者为中国移动各省管理信息系统责任部门的相关人员。 1.41.4文档结构文档结构 本技术要求主体文档结构如下所示： 第一章，桌面虚拟化整体背景描述 第二章，桌面虚拟化的总体要求 第三章，桌面虚拟化在功能方面的要求 第四章，桌面虚拟化在安全方面的要求 第五章，桌面虚拟化在性能方面的要求 第六章，桌面虚拟化在接口方面的要求 桌面虚拟化技术要求 4 2 2桌面虚拟化总体要求桌面虚拟化总体要求 虚拟化是以某种用户和应用程序都可以很容易从中获益的方式来表示计算机 资源的过程，而不是根据这些资源的实现、地理位置或物理包装的专有方式来表 示它们。换句话说，它为数据、计算能力、存储资源以及其他资源提供了一个逻 辑视图，而不是物理视图。 桌面虚拟化是一种仅将操作系统桌面呈现在用户面前的技术，由服务器端完 成运算，一般会结合服务器虚拟化和应用虚拟化进行。服务器虚拟化技术指将一 台服务器模拟出多台服务器，分配给不同用户使用；应用虚拟化指仅将应用程序 界面呈现在用户面前的技术，也是由服务器端完成运算。 桌面虚拟化是在物理服务器上安装虚拟主机系统，由虚拟主机系统模拟出操 作系统运行所需要的硬件资源，如：CPU、内存、网卡、存储等。操作系统运行 在这些虚拟的硬件资源之上，可以达到多个操作系统共享物理服务器的硬件资源， 从而提高资源利用率。虚拟桌面的存储和执行（包括操作系统、应用程序和用户 数据）都集中在数据中心，用户使用终端设备通过远程协议（如：RDP、ICA）进 行访问。 桌面虚拟化必须具备以下能力： 具备物理 PC 终端的桌面特性； 满足高性能要求，提供强大的处理能力，保证用户使用的良好感知； 具备高可靠的自身安全性，保证网络、自身设备的高可用性； 提供方便灵活的部署方式、丰富的系统管理能力、便捷的维护管理方式 等。 桌面虚拟化应带来如下收益： 快速、灵活部署：按需申请、快速发放、无需搬运沉重的 PC 主机，统一 接入、随时随地访问； 桌面虚拟化技术要求 5 提高资源利用率：统一管理后台数据中心资源，并统一进行调度管理， 将资源的利用率最大化； 数据存放安全可靠：数据存放在后台数据中心，安全可靠。且访问虚拟 桌面时在网络上传输的都是图片信息，不易被他人通过网络窃取信息； 维护便利：瘦终端无须软件维护；虚拟桌面维护工作可在后台统一进行， 非常便利； 节能减排：采用桌面虚拟化系统，因瘦终端功耗很低，同时，数据中心 的资源利用率又较高，因此，可达到节省成本、节能减排的目标。 3 3桌面虚拟化功能要求桌面虚拟化功能要求 桌面虚拟化的功能要求主要包括基本功能、用户使用便利要求、应用虚拟化、 维护管理和可靠性等方面。其中，基本功能包括多种方式接入、支持无差别的多 应用访问、支持多虚拟机、支持主流操作系统、支持主流存储技术；用户便利使 用要求包括系统可随时随地访问且支持个性化桌面，支持 SSO，支持网络存储空 间的动态分配，支持音频输入输出等；应用虚拟化指将应用程序从底层操作系统 分离出来，支持虚拟桌面与应用软件虚拟化间的无缝集成。此外，桌面虚拟化还 需支持多种部署、维护方式，能提供丰富的管理维护手段，同时具备电信级兼容 性和可靠性。具体如下： 基本功能 桌面虚拟化系统支持以瘦终端、物理 PC（台式机、笔记本） 、软终端 （浏览器方式）等方式接入； 桌面虚拟化系统支持对办公系统（如：统一信息平台、ERP、IMS 等） 、 生产系统（如：BOSS、OSS 等） 、应用软件（如：Office、WinZip 等 标准化软件）等的访问使用，且用户对虚拟桌面的体验同单台物理 PC 的体验没有区别； 桌面虚拟化技术要求 6 桌面虚拟化系统需要支持将物理主机虚拟为多个虚拟机，虚拟桌面 支持 WINDOWS XP、WINDOWS VISTA、WINDOWS7 等操作系统，并支持 多个虚拟机共用同一系统盘； 桌面虚拟化系统支持 ISCSI、IP-SAN、FC-SAN、NFS 多种方式的网络 存储，为员工提供虚拟桌面以及个人存储空间； 员工使用方便，感知良好 员工可通过任意本地终端（如：瘦终端、物理 PC 等）访问虚拟桌面， 但要求同一本地终端在同一时间只允许一个员工登录访问； 员工从一个本地终端转移到另一个本地终端，可调出原有进度继续 工作； 系统支持对用户各自 profile 文件的管理，不同用户登录虚拟桌面 时，调用用户各自的 profile 文件，从而实现用户个性化虚拟桌面 的展示； 系统支持 SSO（Single Sign ON） ，方便员工对虚拟桌面相关资源的 访问； 员工虚拟桌面的网络存储支持空间动态分配，且在用户的空间配额 范围内，只分配给用户实际占用的存储空间； 桌面虚拟化系统支持 24 位真彩，最高支持 1920*1440 分辨率， 16：9 宽屏显示支持 1440*900 分辨率； 桌面虚拟化系统支持将瘦终端音频输入输出接口重定向到虚拟桌面， 以实现音频输入输出功能，并支持 USB 音频接口。 应用软件虚拟化 系统支持虚拟桌面通过网络访问应用软件的方式：虚拟化后的应用 软件在数据中心集中管理，无需在虚拟桌面安装，并能作为一种服 务按需提供给不同的用户使用； 桌面虚拟化技术要求 7 系统支持采用应用程序虚拟化的方式将应用程序从底层操作系统分 离出来，应用程序在虚拟应用服务器端打包，虚拟桌面用户仅需要 安装虚拟应用客户端软件，即可从应用服务器端下载应用程序包并 在虚拟桌面上运行，而无需安装，同时支持服务器端对应用程序版 本、使用授权以及补丁更新等的集中控制； 系统支持虚拟桌面与应用软件虚拟化间的无缝集成，方便用户按其 权限灵活使用； 支持多种部署、维护方式 支持大规模批量部署虚拟桌面承载服务器，可采用光盘和网络安装 方式； 虚拟桌面支持光盘安装、PXE 网络安装、网络 ISO 安装等方式； 虚拟桌面的模板支持离线制作方式，同时，虚拟桌面支持通过模板 的批量部署。 提供丰富的管理维护手段 提供虚拟桌面的自动化管理功能，包括创建、附加和解除用户关系、 修改、注销、查看、资源计算等功能： 创建：根据用户属性创建虚拟桌面，用户属性包括用户身份信息、 虚拟机规格（CPU，内存，硬盘等） 、操作系统和应用软件（如： Office）等属性； 附加和解除用户关系：管理员可以把一台虚拟桌面和一个用户绑 定起来，也可以解除虚拟桌面和用户间的关系； 修改：管理员可修改虚拟桌面的规格，包括但不限于增加内存， 增加硬盘，增加 CPU 核数等； 注销：管理员可删除废弃的虚拟桌面，释放系统资源； 桌面虚拟化技术要求 8 查看：用户可查看具有访问权限的虚拟桌面列表，并能查看相应 的属性和状态； 资源计算：管理员输入特定的硬件规格（CPU，内存和硬盘等） ， 系统可返回现有服务器资源可以虚拟出这种硬件规格的虚拟桌面 数量； 提供虚拟桌面集中补丁管理功能，包括对虚拟机模板的补丁升级， 对虚拟桌面的补丁升级等； 支持管理员对虚拟桌面的集中管控，包括虚拟机的启动、停止、重 启、控制台接入、快照、恢复快照等； 提供对各虚拟桌面的性能分析和报表输出等功能； 支持和终端管理平台相结合 支持以终端管理平台的用户管理为基础，首先实现虚拟桌面的身份 及权限管理，之后，逐步实现对所有虚拟桌面的资产、软件、补丁、 外设、策略等的统一管理； 具备电信级兼容性和可靠性 支持虚拟桌面发生故障时的自动热迁移，实现业务体验无中断； 桌面虚拟化系统需采用模块化架构，具有良好的性能和可扩展性， 当系统容量不足时，能实现无缝平滑扩容； 桌面虚拟化系统可靠性要求 99.99%，单个虚拟机的可靠性要求 99.9%， 存储系统数据可靠性要求 99.999%； 4 4桌面虚拟化安全要求桌面虚拟化安全要求 桌面虚拟化的安全要求主要包括基础可靠性、软件可靠性、用户接入与使用 的信息安全、系统备份、日志管理及系统维护管理的信息安全等。 桌面虚拟化技术要求 9 基础可靠性 服务器硬件可靠性：服务器和存储系统均需具备电信级的可靠性； 业务网络和管理网络的可靠性：通过网络架构和路由协议，保证系 统的网络可靠性，包括：无单点故障、有丰富的路由、有相应安全 技术保障等； 软件可靠性 所有软件系统均需采用负载均衡、主/备份等方式实现，单个部件故 障对业务无影响； 虚拟桌面以资源池的方式进行管理，单个主机/部件发生故障时，在 其上使用的用户只需重新登录，即可重新进行资源分配，实现用户 的迁移； 系统管理软件运行在虚拟机上，并实现 HA 功能，虚拟机发生故障时 可自动进行迁移。 用户接入的信息安全，需支持丰富的认证、鉴权模式 桌面虚拟化系统支持采用 Novell ED、集团统一建设的 SMAP 平台以 及其它 LDAP 实现用户身份认证，并支持和上网行为管理系统相结合， 实现基于用户、用户组、IP、IP 段等的用户访问公网行为的控制； 桌面虚拟化系统支持用户通过瘦终端、物理 PC 等，采用外接智能卡 方式，实现用户身份认证； 通过多种虚拟化技术手段，保证使用过程中的信息安全 任何人员（包括各类系统管理员）无法访问他人虚拟桌面镜像文件 中的用户数据信息； 虚拟桌面系统盘支持差分模式和独立运行模式，差分模式允许用户 在共享系统盘的基础上，保留自己的私有数据，包括应用和系统数 桌面虚拟化技术要求 10 据；独立运行模式不允许用户修改系统盘，所有的修改在虚拟桌面 重启后均会丢失； 桌面虚拟化系统支持对 USB 接口的管控，包括禁用、只读、读写等； 桌面虚拟化系统支持用户访问虚拟桌面后，不在本地物理终端上保 留任何用户登录、使用信息； 桌面虚拟化系统支持对虚拟桌面用户打印权限控制、对打印数据加 密、打印日志审计等功能； 系统备份 桌面虚拟化系统支持虚拟桌面的手工热迁移（迁移时间2 分钟） ； 当虚拟桌面承载服务器发生故障时，系统支持所承载虚拟桌面的迁 移，用户只需重新登录，即可继续使用； 系统支持虚拟桌面系统盘、员工个人存储空间的离线、在线增量、 全量备份。 日志管理 桌面虚拟化系统支持对用户、各类管理员使用虚拟桌面的日志记录 功能； 桌面虚拟化系统支持对虚拟桌面使用的性能监控、日志记录功能； 维护管理的信息安全 桌面虚拟化系统支持两类系统管理员的管理，一类是系统业务维护 管理员，负责进行创建虚拟桌面，附加和解除用户关系，修改、注 销、查看虚拟桌面，桌面桌面资源计算等工作；另一类是系统日志 管理员，负责对用户和系统业务维护管理员使用桌面虚拟化系统的 日志记录的查看、审计等工作； 桌面虚拟化技术要求 11 要求两类管理员严格独立，系统业务维护管理员的任何操作均需产 生日志，并由系统日志管理员统一管理。 5 5桌面虚拟化性能要求桌面虚拟化性能要求 桌面虚拟化系统的建设需充分