云思维CCE虚拟桌面技术白皮书.doc

云思维云思维 CCE(Common Computing Environment)虚虚 拟桌面软件技术白皮书拟桌面软件技术白皮书 (Version 3.2) 南京云思维软件科技有限公司 2014 年 4 月 云思维 CCE 虚拟桌面软件技术白皮书 版本号：V 3.2 版权所有 2013 南京云思维软件科技有限公司。保留所有权利。 目 录 第一节第一节 概述概述.5 1.1 概述5 1.2 传统信息架构下 PC 设备存在的弊端5 1.3 桌面虚拟化的解决方案7 第二节第二节 系统构架及网络拓扑系统构架及网络拓扑.10 2.1 系统架构10 2.1.1 架构描述10 2.1.2 架构优势11 2.2 网络拓扑12 2.2.1 描述12 2.2.2 拓扑优势13 2.3 系统体系结构14 第三节第三节 系统的技术功能系统的技术功能.16 3.1 HA(高可用性) 16 3.2 负载均衡16 3.3 热迁移16 3.4 多存储支持17 3.5 分布式虚拟交换机（Distributed Virtual Switch)17 3.6 备份与容灾（Backup & Disaster Recovery)17 3.7 安全与监控17 3.8 动态资源交付18 3.9 外围设备支持18 3.10 还原卡功能18 3.11 用户独立存储功能19 3.12 C/S 和 B/S 两种服务模式19 3.13 主流操作系统支持19 3.14 权限管理19 第四节第四节 收益分析收益分析.21 4.1 降低 TCO.21 4.2 分支机构22 4.3 移动化办公23 4.4 系统升级、切换24 第五节第五节 售后服务承诺售后服务承诺.25 第一节第一节 概述概述 1.1 概述概述 随着服务器虚拟化和网络技术的飞速发展，为了提高服务质量，降低成本，拓展 增值业务，各种公司、机构、企业也都愈发注重自身信息架构的简便易用性、安全性、 可管理性和总体拥有成本。对桌面虚拟化的需求与日俱增，CCE(Common Computing Environment)虚拟桌面软件可提供整体的技术解决方案。基于对虚拟技术的多年研发， 系统突出了易管理性，安全性，高效性和可扩展性，同时可以灵活的提供各种针对性 的定制服务。 1.2 传统信息架构下传统信息架构下 PCPC 设备存在的弊端设备存在的弊端 硬件采购部署成本高昂 传统信息架构下，一般是根据使用者的情况单独为其配置一台或多台的个人电脑 或笔记本。这种配置，在组建时由于要一次性采购大量个人电脑和笔记本，初期投入 巨大；并且随着硬件要求的提升速度越来越快，电脑升级换代和维护的频率越来越高， 因此而导致大量升级与替换成本非常高昂，个人桌面的总体拥有成本并没有随着硬件 设备单价的下降而下降，反而有愈加高昂的趋势。 管理维护困难 从目前的情况来看，现有办公桌见使用者的日常维护和排除故障能力一般不高， 这让管理人员为了保证业务的正常开展经常陷于繁琐的终端维护和故障排除任务中， 无暇顾及整体架构与业务流程的优化等更关键的任务；此外，随着信息化建设的逐步 深入，对软件、环境、操作系统平台进行日常性和经常性的部署安装和更新，都需要 庞大的处理工作，不可避免地增加了系统的维护工作量和开销。 安全性差 PC 使用中使用者拥有其资源的的全部处置权力，可以随意安装各类软件，更改系 统设置，硬件设置。管理人员无法及时进行监控和管理，只有在出现问题时才能在事 后通过对个人桌面的漏洞、木马、病毒进行清理。 业务弹性差 在业务开展与信息化平台支持越来越紧密的今天，增加一项业务往往就要伴随着 增强大量的 PC 为之服务。同时，软件、服务对于硬件提升的要求越来越高，这也无形 中要求 PC 的升级换代越来越快。而 PC 的升级和采购往往需要一个周期，这就导致业 务的开展速度和广度受制与 PC 部署的速度，限制了的业务弹性。 部署新系统困难 随着信息化的深入，必然伴随着新的软件系统的部署。这些系统对于硬件平台， 网络，服务端的要求与之前的环境并不兼容。在上马一个新系统前，往往需要做大量 的诸如更新硬件平台，更换网络设备，安装新的服务器及操作系统前期准备和调试工 作。需要投入了大量的精力与资源，时间周期还往往比较漫长。 单点故障多， 服务保障水平较低 当前数据管理信息中心的应用采用单独的服务器部署，一旦服务器出现问题就会 导致应用瘫痪。而且每台服务器的利用率都不高，服务器数量较多，因此故障节点比 较多，管理员疲于安装、检修等机械管理工作，但依然无法避免宕机时间的不断加长。 较低的服务保障水平严重影响了公司日常工作的正常开展。 1.3 桌面虚拟化的解决方案桌面虚拟化的解决方案 通过虚拟化技术将一台物理服务器分割成多个相互隔离独立的虚拟机，确保各用 户间的应用及数据完全隔离，增强了服务器的利用率，改善了各系统间的整体安全性， 提升了服务保障水平，降低了管理成本和工作量。 利用虚拟化技术进行服务器整合， 全面提高服务保障水平。利用虚拟化技术进行 统一管理维护，极大降低管理工作量。服务器整合改变了基础设施复杂的现状，允许 管理人员使用强大的集中管理控制台对多台服务器进行集中管理。同时各部门也可以 利用对单个服务器池或服务进行管理维护，进行诸如启动、停止、重启、备份、恢复 等各种管理操作。虚拟化技术强大、灵活的集中管理模式将使管理员从简单机械的重 复操作(如重装系统)中解脱出来， 极大地降低了管理工作量。 降低单点故障， 提高服务保障水平 虚拟化后降低了所需要管理的物理服务器数目，极大地降低了单点故障率，与对 应的是管理、维护工作量的极大下降，信息中心的管理人员可以有更多的时间管理有 限的几台服务器，确保所有应用服务全天候正常运转，从而提高了服务保障水平。 提高资源利用率，改善资源分配 利用虚拟化技术， 信息中心可以按照不同部门所需资源的不同， 动态地对物理 服务器进行虚拟分区，提供最合适的虚拟环境，极大地提高了每台服务器的利用率， 也使得资源分配更加合理。虚拟环境的大量使用，改变了以往在单台服务器上只能部 署单个应用的弊病， 而利用虚拟环境的安全隔离特性，完全实现了应用程序隔离的目 的，最大程度的保障了多用户环境下的数据安全。 低成本备份/恢复方案 利用虚拟化技术，所有的应用全部运行在虚拟机中，完全实现了软硬件的隔离。 真正实现了零宕机迁移技术，可将迁移工作对业务的影响降低为零。无须使用昂贵的 专用存储设备，仅采用备份现有虚拟机或进行虚拟机迁移， 就可以实现高质量备份/ 恢复方案。 系统升级和系统维护 当新的操作系统或应用发布时，现有情况下，面对成百上千台电脑的升级和维护 是一个非常头疼和费时的工作，同时会对业务产生极大的影响。虚拟化技术后，管理 人员只需在后台调整基于新系统的虚拟环境，然后可以快速部署。 对于平时的使用，如果有终端使用者无法处理的的应用或者故障，系统管理人员 也无需每次都到现场进行排查、维护、帮助，只需在后台操作一下该用户的虚拟桌面 即可。这样的前台集中管理模式给系统的升级、维护和迁移都带来极大的便利。 第二节第二节 系统构架及网络拓扑系统构架及网络拓扑 2.1 系统架构系统架构 2.1.1 架构描述架构描述 通过虚拟化程序集中部署和发布应用客户端软件，整个的后台应用服务器 架构没有变化，客户端可以通过我们提供的虚拟终端中心来访问远程的虚拟机。 其整体构架如下图所示： 通过虚拟终端软件，用户可以访问经过授权的虚拟机。多用户同时访问时， 由虚拟机管理客户端管理和运行虚拟机。 管理员可以通过管理服务器对不同用 户的虚拟机进行配置和维护。同时在局域网之外的用户可以经过 VPN 或者专线 远程接入。 对于其他网段访问虚拟化桌面的部署，可以通过在相应的网段部署虚拟机 服务器来实现。 使用多个网卡，可以轻易地实现把不同网端的服务器部署到同 一台服务器或同一个服务器池。 2.1.2 架构优势架构优势 架构具有以下的优势： 集中管理 虚拟化的集中部署模式将应用程序和业务软件的服务器端部署在后台中心， 而所有用户的接入服务器端的虚拟机都位于一个或几个服务器池内，性能和安 全性得到了提升，用户可以通过任意终端和任意网络进行访问授权的虚拟机， 非常方便；而管理员只需对后台服务器和虚拟机进行管理，实现了管理维护的 简化。而安装及配置变化，则都在服务器端集中进行，大大简化了环境的配置 和部署。 应用发布 虚拟机为用户提供了基于后台的的软件运行模式，实现了应用和软件的虚 拟化。应用和软件其实都是在虚拟机服务器上计算和执行的，为用户提供了多 个输入输出虚拟通道（包括鼠标、键盘、图像、声音、端口、打印等等） ，用户 通过本地输入设备输入，软件和应用在虚拟机上运算和执行，最终返回用户的 只是最终的显示结果。 虚拟机隔离 系统的虚拟机对用户来说，和本地的物理机是一样的，可以给每个用户定 制专用的虚拟机，则专用的虚拟机可以方便地备份，迁移，克隆等。对于用户 来说，由于实际的存储在机房，数据的安全性得到保障，个人私有数据的安全 性甚至优于物理机器。 灵活完备的备份方案 虚拟机的备份机制很灵活，可以对所有的和选定的虚拟机进行备份，由于 存储是集中的，周期性的备份成为可能，这在员工使用物理机的情况下是不可 想象的。这样就防止了用户数据因突发事件而丢失造成的损失。 应用访问控制 系统支持多种方式的身份验证，可以和活动目录，数据库等不同的验证方 式。还可以通过系统提供的 SDK,实现预定义的接口，提供自定义的或更高级别 的安全访问控制。管理员可以使用客户端方便地设置用户或用户组的访问权限。 2.2 网络拓扑网络拓扑 2.2.1 描述描述 虚拟化方案中，整个虚拟机服务器组群（包含管理服务器，虚拟机服务 器，存储服务器等）都集中在一个局域网中。对外提供服务的只是管理服务器。 只要保证虚拟机管理服务器组群内部通信的正常的同时，只需要将虚拟机管理 服务器加入到现有网络中即可。整个网络拓扑图如下： 2.2.2 拓扑优势拓扑优势 现有的服务器，无论是数据库，应用还是活动目录服务器，都不需要变 更网络结构。只需要为虚拟机服务器组群额外划分一个网络出来就可以了。 虚拟机服务器组群对外提供服务的其实只有管理/虚拟机服务器，因此一 个组群只需要为其划分一个可以供其他网段访问的 IP 即可。现有的用户无论 是外部用户还是内部办公和营业厅用户，只要原本可以访问到应用服务器的， 不需要对网络进行重新规划都可以访问到服务器组群。唯一与之前不同的就 是，原本用户是直接访问后台的应用，不仅不安全，而且网络还需要负责传 输大量的运算数据。现在用户通过访问 VM 组群的虚拟桌面来访问后台应用， 所有的客户端服务器端的运算和数据传输都是在后台进行的，和用户的交互 仅仅是输入/输出信号。不仅降低了网络的负载，也提高了数据和应用的安全 性。 2.3 系统体系结构系统体系结构 CCE 虚拟桌面软件系统的体系结构由几个关键的子系统组成： 门户服务 虚拟机管理服务可以管理多台服务器和服务器池，虚拟机管理器把数据存在一个 分布式数据库中，同时，提供了用于管理的 Web Services。 门户服务提供管理客户端和 CCE 客户端的接入服务。在一个部署的集群中，每个 结点都可以提供门户服务，用户可以选择其中的一台进行接入，系统会自动更新 所有的可用结点。当其中的某些服务宕机的时候，客户端会切换到其他结点的门 户服务。 门户服务提供多种用户权限验证和虚拟机授权管理，可以保证每台虚拟机都能够 按照管理员的意愿进行访问控制。 集群服务 集群服务提供服务器池的管理和集群的 HA 及负载均衡。整个 CCE 集群可以包含 多个服务器池或单点服务器，但是每个服务器只能是单点服务器或从属于一个服 务器池。每个服务器池中有一个服务器被指定为服务器池的主控服务器，也是服 务器池的资源协调者。例如：当实现负载均衡需要启动一个虚拟机时，主控服务 器将根据用户指定的算法找到相应的服务器并启动虚拟机。 结点服务 结点服务提供对本地服务器的虚拟机，网络，存储等的管理功能，同时提供对虚 拟机的远程接入服务。 备份和导入服务 备份和导入服务对系统备份，导入导出，远程拷贝等提供服务。 CCE Manager 虚拟机管理客户端 虚拟机管理中心是管理员用来管理服务器，服务器池，存储，虚拟机，用户权限 等的客户端。管理中心通过和虚拟机管理服务通讯，可以一次管理多台服务器和 服务器池。 CCE 客户端 CCE 客户端安装在云终端或物理机上，通过高效的 CCE 协议连接虚拟机，是普通 用户用来登录经过授权的虚拟机的终端。CCE 客户端包括 linux 版本(云终端 定制),Windows 版本和浏览器版本。 第三节第三节 系统的技术功能系统的技术功能 3.1 HA(高可用性高可用性) 平台内的服务器出现故障，故障服务器上的虚拟主机就会迅速迁移到其 他服务器上，不会影响到用户的使用。故障服务器维护好之后，又可以自动 迁移回来，整个的云计算平台比每个用户使用一台计算机的架构更加稳定和 安全。 3.2 负载均衡负载均衡 当某台服务器的 CPU 占有率持续达到高值，而池内其他服务器有空闲，系统 会自动分配 CPU 资源，将虚拟机迁移到空闲的服务器上计算，在此过程中， 业务不会中断，从而达到均衡服务器的负载，提高云平台的可靠性。同样某 台服务器的网络流速达到峰值，系统会做同样的调配，均衡网络流量的负载。 3.3 热迁移热迁移 虚拟机迁移是从一台服务器迁移到另外一台服务器上，包括运行的虚拟机 和存储。迁移运行的虚拟机称为动态迁移，当系统服务器需要维护，出现故障 或者负载太重的时候，原来在上面运行的虚拟机可以动态迁移到其他的服务器 上，保证正在使用虚拟机的用户不会因此发生服务中断的情况。 动态迁移可以实时地通过系统自动调整，系统会周期性地监控服务器的负 载，如果负载过重，则进行调整。也可以通过手工进行迁移。 3.4 多存储支持多存储支持 虚拟化桌面系统除了支持服务器的本地存储以外，还支持大部分主流远程 存储介质。用户可以将重要的数据及虚拟机状态、映像实时存储在远程存储介 质上，保证其可用性及安全性。 CCE 支持主流的存储，包括 iSCSI SAN,光纤 SAN，Infiniband, 分布式集群 存储，Windows CIFS，本地或共享的文件夹，本地的存储，本地光驱以及移动 存储等。 3.5 分布式虚拟交换机（分布式虚拟交换机（Distributed Virtual Switch) 通过分布式虚拟交换机技术为虚拟机提供网络接入支持，包括 VLAN 的划 分和 QoS 设置，对网络流量进行监控和限制。 3.6 备份与容灾（备份与容灾（Backup & Disaster Recovery) 提供高效可靠的备份与容灾功能，可对业务数据进行完善的保护，在故障 发生时，进行尽快的数据恢复。提供可定制化的自动备份机制，快速备份， 增量备份，压缩备份等多种方式。 3.7 安全与监控安全与监控 CCE 虚拟桌面可以实时监控系统的运行状态，包括系统运行或服务的状态。 平台监控到服务因各种原因停止的时候，可以自动启动服务，也可以通知管 理员。 云服务平台可以实时监控系统的屏幕，并通过大屏显示出来。 CCE 支持多种安全登陆措施，包括短信验证登陆及登陆短信通知，限定 IP 登陆，限定用户登陆，U 宝登陆等。 3.8 动态资源交付动态资源交付 针对通用的虚拟桌面使用环境，如呼叫中心、证券交易大厅、服务性窗口 等。这种应用环境下不需要个人专属的 PC，系统只为需要使用的用户临时分 配一台虚拟桌面，当用户使用完毕关机后，资源即被收回，等待重新分配。 这种动态的虚拟桌面分配模式，可以使计算资源的利用效率最大化，交付更 快速，维护更便捷。 3.9 外围设备支持外围设备支持 支持外围设备（U 盘，U 宝，打印机，IC 卡读写器等）通过 USB 重定向方 式连入虚拟机，可以对设备按照类别甚至厂家 ID 进行权限控制，提供单向或 双向的访问。 支持串口，并口设备。 3.10 还原卡功能还原卡功能 在电子教室、呼叫中心等多人公用计算机的环境下，CCE 可以打开还原卡 功能，即虚拟桌面关闭重启后，系统自动恢复到初始状态，可以降低维护人 员的工作量。 3.11 用户独立存储功能用户独立存储功能 在一个资源池里，可以为用户划分独立的存储空间，作为用户的个人存储。 这个存储可以由该用户授权挂载在任意的虚拟桌面上作为一块硬盘使用，读 写其中个人存储的数据。 3.12 C/S 和和 B/S 两种服务模式两种服务模式 用户可以通过多种终端设备远程接入云中心，具备宽松的接入使用条件。 目前可以使用各种运行 IE 的设备，包括瘦终端、PC、笔记本电脑等等通过 B/S 的方式接入。也可以使用上述各类设备安装 CCE 客户端来接入使用。 3.13 主流操作系统支持主流操作系统支持 系统支持各种系统，包括 Windows XP，2003，Windows7， Windows 2008，Windows 2008R2 ， 各种 Linux Redhat, Ubuntu，Debian 等，甚至 Solaris,BSD 等可以在 Intel 架构上运行的系统。 3.14 权限管理权限管理 权限的控制是基于用户和用户组的。用户组是管理员自定义的一组用户， 处于该用户组的用户拥有同样的权限。用户可以属于多个用户组，只要有一个 用户组或者该用户被确定拥有某个权限，则该用户可以实施对应的动作。 系统支持 4 种用户和组织机构的设置，可以通过属性的设置来指定： 使用数据库和系统预先定义的表 系统默认的选项，在该选项下，系统可以允许增添，修改和删除用户 和组织结构。 使用数据库和自定义的表 如果已经存在用户和组织结构表，可以在配置文件中指定，使用已有 的表做用户权限管理和用户认证。 使用 Windows 活动目录的 LDAP 协议 系统可以和已有的 Windows 活动目录的 LDAP 进行整合，通过配置文件 指定，使用 LDAP 协议进行用户认证。 使用 SDK 接口 用户可以通过实现 SDK 定义的几个接口，然后通过配置文件指定，使 用自实现的用户，部门，分公司的管理和用户认证。 第四节第四节 收益分析收益分析 4.1 降低降低 TCO 降低成本：我们以拥有 50 台 PC 的中等办公环境为例，计算如下 硬件成本： 折旧成本： 以 12 年为周期计算，瘦终端采购 2 次，PC 采购 3 次 瘦终端需要采购费用为 7 万2=14 万 PC 采购费用为 15 万3=45 万 节省 31 万，折旧成本降低 69% 能耗成本： 一年 200 个工作日，每日开机 8 小时，电费 1 元/度 每台 PC 每年电费 20080.2=320 元 每台瘦终端每年电费 3202.5%=8 元 将 50 台 PC 替换为瘦终端后，每年节约电费 15600 元 4.2 分支机构分支机构 移动分支机构的数量和个体规模都一直在保持增长。如果为每一个分支机 构都架设个人电脑、计算中心和网络中心，不仅耗费巨大而且耗时长久，严重 影响了业务的迅速开展和扩大。虚拟化系统可帮助移动加快分支机构的扩张步 伐，优化费用高昂的网络带宽，同时简化分支机构基础架构的管理工作。IT 主 管和他们的团队能够为更多客户提供更好的服务，帮助企业加速发展，并且能 够经济、高效地完成分支机构以及大型数据中心的现代化建设。 通过虚拟化系统，IT 部门能够： 只需要预先根据用户需求安装好作为模板的虚拟机，通过复制虚拟机的操作 只需要极短的时间（几分钟）就可以将办公桌面交付到用户手中。 所有用户的数据均在安全的计算中心运行并保存，用户只需要能够通过局域 网、VPN、数据专线等手段能够访问到计算中心就可以随时随地使用自己的 虚拟机。 用户到计算中心之间只传输显示信号，不再有传统的 B/S 或 C/S 架构下的大 量数据交互。在不修改任何网络组件的情况下优化分支机构与数据中心间的 宽带连接，以更快的速度通过 WAN 从任何数据中心交付应用，摆脱地域限制。 所有操作系统、软件、应用的更新、升级均由 IT 部门管理的服务器上集中 部署不需要单独在用户的个人电脑上进行任何操作，节省了部署时间，节约 了部署费用。 系统管理员能够随时随地监控任意虚拟机的运行状态，即时提供技术帮助。 4.3 移动化办公移动化办公 通过虚拟化方案，用户任何可用的网络（无论是无线或有线网络、专用或 公共网络、还是专线或拨号连接。 ） ，随时随地使用任何设备(PC,笔记本，PDA)， 只需要能够接入到计算中心，即可获取到与在本地办公同样的桌面体验。 虚拟化桌面对于移动化办公的优势： 数据全部保存在计算中心，任何外部接入实际上传输的都是显示信号，没有 任何安全隐患。 兼容各种终端设备 PDA，PC，笔记本，瘦客户端等，只需要这些终端能 够安装虚拟化系统的客户端。 无论员工在哪里办公，系统管理员无需离开办公室便能从了解在外办公用户 的虚拟机的应用性能和可用性。 外出办公的用户与计算中心直接只存在图像显示数据的传输，对于很多机构 已经不堪重负的 VPN 拨入系统来说不啻是一大福音。 可以随时根据用户的需求提供