云终端架构可行性报告

云终端架构可行性报告云终端架构可行性报告 一 前言一 前言 近几年随着互联网的深化发展 以互联网应用为基础的云计算正在变得无处不在 云 终端构成的系统与 PC 系统相比 更适合于单机计算量小的常规系统 如教育 呼叫中心 政府机构 证券金融等等 在使用常用办公软件 一般的网络业务系统 教育软件 邮件 及上网冲浪时 与传统 PC 并无区别 本例于 清华同方云终端 VD1000 网络计算机为样 榜详细分析云终端的使用与扩展功能 云终端产品是一种精巧别致的网络计算机 既可以作为迷你 PC 单独运行 进行网页浏 览 又可以构架共享计算网络 以创新的成本优势开展业务运营网络 清华同方云终端 VD1000 网络计算机 二 产品介绍二 产品介绍 云终端的价格仅相当于传统个人计算机 10 到 20 并且采用软硬件一体化设计这些使 云终端的综合使用成本具有无可比拟的优势可以轻松拥有 桌面终端无需 Windows 许可大 幅减少硬件投资和软件许可证开销 仅需在中心主机安装云终端附带的免费软件 您做的仅仅是接上网线显示器及鼠标键 盘 轻轻按下电源开关 云终端用户即可进行业务操作 亦可畅游网络 实施非常方便 服务端统一管理终端 升级维护工作都在服务端进行 真正做到终端接近 零 维护 终 端数据不在本机存储 而是存储在中心主机 服务器 数据存储更安全可靠 同时云终 端主机无病毒感染的可能性 具备完美的防病毒特性 1 接口说明 提及云终端 VD1000 的接口 也是值得向大家介绍的 别看它的体积小 相比我们常用 的 PC 机来说兼容的接口也很多 足以满足日常需求 比如云终端 VD1000 的一边提供了 1 个耳机接口 1 个话筒接口和 3 个 USB 接口 清华同方云终端 VD1000 网络计算机的接口面版 正对电源指示灯的另一侧包含了 1 个电源开关按钮 1 个 5V 直流电源接口 1 个 RJ 45 接口 并且网络接口自带 2 个黄绿指示灯 另外 对于体积不大的产品 散热方面是一 个瓶颈 不过云终端 VD1000 产品厂家自己宣称的功耗不到 5W 靠这么小的功率驱动 USB VGA 网络真的不知道系统本身还能占多少功率 如果是真的话 我们现在用的 PC 就太耗电 了 另外散热设计也恰到好处 位于机身一边和机身底部都提供了散热风口 保证了产品 运行过程中不因温度过高而烧坏内部组件 2 部署架构 云终端与上网本都是网络计算机 但云终端比上网本在应用模式上更为彻底 它必须 完全依托于网络 并在网络环境下全面提升企业信息系统 强安全性 避免信息损失 信息化社会中 信息是企业最重要的资产与核心竞争力 企业各个环节 无论是技术资料还是营销动态 无论是产品方案还是物流库存 企业的命 脉在掌握在信息系统之中 PC 网络系统在安全性上存在诸多漏洞 且不说使用者主动泄密造成的风险 就算在被 动攻击状态下 多一台 PC 就增加了一倍的风险 而在云终端系统中 通过独有的终端协议 提供最大程度的安全保障 同时也没有 FDD HDD CD USB 接口 所以主机不存在重要数 据的外泄 破坏及感染病毒等 只要加强服务器端的安全防范 客户端攻击的几率为零 资料泄密也没有机会 节省采购及运营成本 如果说上网本依托 2 3 于传统笔记本的成本即能横扫天下的话 它的经济性与云终端相比可谓小巫见大巫 据统计 实现同样功能的商用网络系统 云终 端系统与传统 PC 系统相比 在采购环节将省下 70 的投入 在系统运维环节 将减轻 90 的成本负担 在使用成本上 云终端只需 5W 的超低功耗 50 台云终端才相当于一台普通 PC 机的功耗 电费节省即相当可观 清华同方云终端 VD1000 网络计算机云终端部署 三 云服务安装与卸载三 云服务安装与卸载 注意 云终端服务器硬件要求 硬件平台 CPU 在 p4 2 0G 以上 内存 1G 以上 硬盘容量在 40G 以上 包含以太网卡 云终端服务器系统可以安装在 windows XP 2003 操作系统上 我们选择 window2003 请不要试图在其它操作系统上安装本软件 1 安装云服务 程序自检和系统检查 安装前程序会检查安装机器是否满意足安装要求 云服务准备安 装如图 1 1 所示 如有异常 系统会自动提醒用户增加安装条件并停止安装 选择 取消 则退出安装 云服务准备安装界面 安装程序自检后出现欢迎安装界面 安装向导将指引用户进行系统安装 如图 1 2 所示 选择 下一步 继续安装操作 选择 取消 则退出安装 图 1 2 欢迎安装界面 安装文件拷贝结束后 系统会提示您是否添加用户 如图 1 3 所示 提示添加帐号 选择是将进入 window2003 添加用户界面 进行帐户的创建和管理 这里我们选择 否 在 云服务软件安装完成后 利用 window 操作系统本身的用户帐户管理工具添加帐号 有关帐 户的设置及管理请参考第五章相关内容 安装完后云终端需要对系统和服务进行一系列的 配置和更改 因此会提示用户重新启动计算机 重启后云终端服务才可以正常工作 云服 务安装好后默认情况下 VDP Service 对外服务端口是 TCP 53779 2 卸载云服务 卸载云服务 如果用户需要从系统中删除云服务 打开控制面版中的添加删除程序 从软件列表中 选择 VDP Server 并对其进行删除操作 删除完成后提示用户重启计算机 四 云终端四 云终端 MiniPCMiniPC 模式应用模式应用 了解云终端部署之后 我们看一下具体如何应用 首先 根据 VD1000 提供的接口选择 不同的设备来进行相应的连接 然后启动云终端机 初始默认情况下 云终端会进入到共 享计算模式 也就是连接到远程云服务计算机 如下图 清华同方云终端 VD1000 网络计算机共享模式环境下 不过这对于初识该产品的用户在具体应用时 不知道如何操作 我们这里可以进入 MiniPC 传统的系统操作桌面 模式 选择 minipc 模式进入云终端自带桌面系统 清华同方云终端 VD1000 网络计算机切换到 MiniPC 模式下 对于 MiniPC 模式 给用户提供了很多方便 因为我们可以从界面上看出它与传统意义 上我们应用的操作系统一样 具备常用的办公软件 即时通讯工具等 用户可以利用云终 端机办公 上网等 清华同方云终端 VD1000 网络计算机浏览网页 清华同方云终端 VD1000 网络计算机影音娱乐 云终端 VD1000 提供了 IE 浏览 影音媒体播放 即使聊天 Messenger 等功能 另外 在 PDF 浏览 PPT 文档预览 Word 预览方面表现也很到位 四 云终端共享模式应用四 云终端共享模式应用 远程连接也是云终端 VD1000 的重要应用 用户设置好网络连接之后可以轻松实现远程 连接操控等工作 也是我们架构云网络的重要特性 要连接到云服务计算机使用共享模式我们首先要在云终端做好设置 开机界面显示之后 云终端开机界面 选择系统配置中的网络设置根据实际网络环境配置云终端的网络连接 网络设置界 清华同方云终端 VD1000 网络计算机共享模式下连接 连接后出现 window2003 登陆界面 输入正确的用户名密码即可登陆到远程云服务 目前看来 云终端 VD1000 作为 Windows 主机的终端 用共享桌面的方式工作 几天用 下来的感觉是 办公应用已经绰绰有余 而多媒体功能稍显薄弱 但管理起来简单 启动 也很迅速 接下来我们针对云终端 VD1000 使用同方安全独有的 VDP 虚拟桌面协议 技术进行测 试 由于服务器端支持的云终端数量多少 与服务器配置及用户所使用的应用软件有关 因而对于不同的应用环境其使用效果可能不尽相同 我们采用了一台普通配置的电脑模拟 服务器端并选取了办公 娱乐及上网所需要的几十款有代表性的常用软件进行测试工 试 图展示该产品在一般工作环境下的性能表现 测试平台 测试平台 一台服务器 云服务器 主机 处理器 Intel R p 4 2 0GHz 内存 1GB DDR2 667 网卡 Realtek RTL8160 8111 PCI E Gigabit Ethernet NIC 操作系统 Windows 2003 server enterprise 终端 终端 云终端 VD1000 测试软件 测试软件 1 常用软件 OFFICE Adobe Reader WinRAR 2 邮件系统 Outlook Express 3 浏览器 IE 遨游 Maxthon 4 防毒工具 瑞星 金山 5 聊天工具 QQ MSN 飞信 6 中文输入 智能 ABC 搜狗输入法 7 下载软件 迅雷 10 视频播放 MediePlayer 暴风影音 11 MP3 工具 千千静听 服务器 在服务器端逐一安装上述软件 通过网线将服务器中间设备 交换机 路由器 Hub 相连 客户端 通过网线将中间设备 交换机 路由器 Hub 与云终端 VD1000 的 RJ45 口连接 使得云终端与服务器组成一个小型局域网 云终端自动获取 DHCP 服务器所分配 IP 地址或 手动分配 IP 五 云服务器设置五 云服务器设置 如何使云终端用户登陆远程服务器操作简单方便且不破坏服务器的安全及设置是云终如何使云终端用户登陆远程服务器操作简单方便且不破坏服务器的安全及设置是云终 端使用的重中之重 端使用的重中之重 从以下几点考虑并给出可行性方案 以下功能点在从以下几点考虑并给出可行性方案 以下功能点在 window2003window2003 serverserver 版测试通过 版测试通过 1 用户组设置 要让云终端能使用这个用户进入系统还要将这个用户加入相应的组 administrators 组 或者Remote desktop users 组 这里从安全角度出发我们选择Remote desktop users 该组拥 有远程登陆服务器的权限 比如我们新建一个net用户 属组 Remote desktop users net用户属性 2 目录权限设置 同样的为了使用户之间的操作 比如下载保存文件等 不互相干扰 我们对 每个用户创建一个属于自己的目录 Window2003 可通过目录安全设置来完成 前提是该磁盘或分区必须是NTFS格式 以net用户为例 在F 盘 NTFS格式 新建一个目录server 并将其加入Remote desktop users 权限 除administrator外其它用户权限清空 将server目录组加入Remote desktop users组主要是为了统一管理 Server 目录的安全设置 下面将会在server目录下建立各个用户的目录实现对用户访问权限的管理 net 目录安全属性 这样我们就完成了一个基本的目录权限控制 用户有了自己的访问目录但云服务器的空 间有限 所以对每个用户要做空间的限制 使用 NTFS 的磁盘配额功能可以解决此问题 以 F 盘为例设置磁盘配额空间 启用事件日志这样方便管理员查看管理 磁盘配额属性 3 服务器管理功能限制 一机多用最重要的是互不干拢 那么在我们设置了目录权限之后最重要的就是管理权 限了 防止一个用户的操作影响到其它用户的正常使用 所以应做如下限制 虽然 Remote desktop users 组的用户没有管理权限 但我们依然不愿意用户看到这些功能而无法 使用造成不必要的误解 以下限制都是基于 NT 本身自带的权限控制功能不使用第三方 软件 3 1 关闭任务管理器关闭任务管理器 位置 组策略位置 组策略 用户配置用户配置 管理模板管理模板 系统系统 Ctrl Alt Del 选项选项 删除删除 任务管理器任务管理器 因为 Remote desktop users 的权限我们设置为最低用户只有使用权限 无法删除由系统或 管理员启动的进程 这也是我们为什么只把云终端的客户添加为 Remote desktop users 组成 员的原因 理论上我们可以不做任何的操作只要限制用户访问的目录 那么云终端用户将 无权更改任何影响到系统的设置 当然为了安全起见我们还是要做如下设定 3 2 关闭控制面版关闭控制面版 控制面面板有很多的权限控制及更改所以如果是云终端做为使用用户来讲这些设置完全 没有必要 而且远程用户组的成员也没有权限更改这些所以我们统一将接口关闭 避免给 用户造成困惑 同理我们可以只关闭控制面版的具体功能项 位置 组策略位置 组策略 用户配置用户配置 管理模板管理模板 控制面版控制面版 禁止访问控制面版禁止访问控制面版 3 3 关闭运行命令关闭运行命令 删除 开始 菜单中的 运行 菜单项 在 开始 菜单中有 运行 菜单项 可以输 入程序名称来启动程序 我们可以将 运行 菜单项从 开始 菜单中删除 位置 组策略位置 组策略 用户配置用户配置 管理模板管理模板 任务栏和任务栏和 开始开始 菜单菜单 从从 开始开始 菜单中删除菜单中删除 运行运行 菜单 菜单 如果启用该设置 发生如下更改 1 运行 命令从 开始 菜单中删除 2 新建任务 运行 命令从任务管理器删除 3 阻止用户在 IE 地址栏中输入下列项 UNC 路径 server share 访问本地驱动器 例如 C 访问本地文件夹 例如 temp 同时 使用 WIN R 组合键将无法显示 运行 对话框 如果禁用或不配置此设置 用户可 以访问 开始 菜单和任务管理器的 运行 命令 以及使用 IE 地址栏 注意 这个策略只影响指定的界面 不会防止用户使用其他方法运行程序 完成上述配置之后用户将无法通过路径名称来访问驱动器 下面我们将通过隐藏驱动器 锁定用户主目录 我的文档 做到用户登陆后只能看到及访问自己的目录 这样做到真正 的独立性 用户的操作完不会干扰到别人同样也不会被别人干扰 这样配置以后作为管理员要怎么进行管理呢 我们采用导入注册表数据开启运行菜单 这样就可以管理并开启相应的功能 将以下脚本保存为 reg 文件 双击即可导入 NoRun dword 改为 NoRun dword 为 禁用运行 Windows Registry Editor Version 5 00 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies Explorer NoRun dword 3 4 隐藏驱动器访问隐藏驱动器访问 虽然我们对用户的访问权限做了控制 用户只能访问属于自己的文件空间 但是显然我 们不想用户一个个的在找他们的目录 当用户数超过 30 个以上时 我们发现用户将很难找 到自己的文件 以是我们将用户的访问目录设成为 我的文档 的访问目录并且禁止更改 主目录 这样用户就可以很方便的找到属于自己的储存空间 所以我们将隐藏相应的驱动器 通过上面禁用运行之后 用户也无法通过搜索路径来访 问或看到这些文件 这就是我们隐藏驱动器的原因 虽然它不是必要的 位置 组策略位置 组策略 用户配置用户配置 管理模板管理模板 windows 组件组件 windows 资源管理器资源管理器 隐藏隐藏 我的我的 电脑电脑 中的这些指定的驱动器 中的这些指定的驱动器 3 5 锁定用户目录锁定用户目录 使用 net 用户登陆 更改 我的文档 的路径为 f server net net 用户 这样用户 访问 我的文档 即访问属于用户自己的目录 并且为了访止用户更改路径我们应该禁改 我的文档路径 位置 组策略位置 组策略 用户配置用户配置 管理模板管理模板 桌面桌面 禁止用户更改我的文档路径 禁止用户更改我的文档路径 3 6 桌面禁用项桌面禁用项 1 桌面可以禁止显示我的电脑 等一切不想让用户知道或可更改的项目 我们只需把 程序访问的快捷方式放在桌面即可 位置 组策略位置 组策略 用户配置用户配置 管理模板管理模板 桌面桌面 2 不要将已删除的文件移到 回收站 当 Windows 资源管理器中的一个文件或文件夹被 删除时 该文件或文件夹的副本会被放在 回收站 里 显然如果用户删除的东西都扔到回 收站里 空间很快就会被塞满 使用此策略 你能改变此行为 如果启用此设置 使用 Windows 资源管理器删除的文件或文件夹不会被放在 回收站 里 因此被永久删除 如果 禁用或不配置此设置 使用 Windows 资源管理器删除的文件或文件夹会被放在 回收站 里 位置 位置 用户配置用户配置 管理模板管理模板 Windows 组件组件 Windows 资源管理器资源管理器 不要将已删除的文不要将已删除的文 件移动回收站 件移动回收站 3 从安全方面来讲我们还有更好的方法 即设置用户能使用回收站的比例 回收站所 在分区的大小 这样即能很好的保持未被彻底删除的文件同时保护了磁盘空间 位置 位置 用户配置用户配置 管理模板管理模板 Windows 组件组件 Win