惠州市公安局桌面云解决方案技术建议书.docx

华为桌面云解决方案技术建议书华为机密惠州市公安局桌面云解决方案技术建议书华为技术有限公司2015年1月目 录惠州市公安局桌面云解决方案1技术建议书11 项目概述41.1 公安信息化建设之路41.2 公安主要业务信息介绍51.3 项目需求81.3.1 项目背景81.3.2 项目需求91.3.3 功能需求101.4 设计原则102 华为FUSIONACCESS桌面云介绍112.1 FusionAccess桌面云总体架构112.2 华为桌面云解决方案优势133 惠州市公安局桌面云设计方案163.1 总体技术方案163.1.1 总体方案介绍163.2 典型应用场景解决方案183.2.1 警务室桌面云方案183.2.2 公安办事大厅桌面云方案203.2.3 流动警务室移动办公桌面云方案213.2.4 派出所/小分局桌面云方案(集中部署)233.3 网络设计方案243.3.1 桌面云网络物理隔离方案（CT6000）243.3.2 桌面云网络物理隔离方案（网络切换器）253.3.3 桌面云网络逻辑隔离方案263.3.4 桌面云逻辑组网图273.3.5 IP资源需求283.4 配置方案293.4.1 桌面数量规划293.4.2 瘦终端293.4.3 服务器293.4.4 网络设备303.4.5 配置清单303.5 实施计划313.5.1 项目进度与计划安排312019-12-30华为机密1-3华为桌面云解决方案技术建议书华为机密1 项目概述1.1 公安信息化建设之路在经济全球化、社会信息化的时代背景下，社会面貌发生了深刻的变化，影响国家安全和社会稳定的因素明显增多，维护稳定工作面临的形势呈现出许多新变化、新特点。同时，信息化的发展，提高了社会生产力，也为进一步加强和改进公安工作提供了强大的动力。多年以来，我国公安机关在大力提高队伍的整体素质和战斗力，有效维护国家安全和社会稳定的斗争中，始终坚定不移地走“科技强警”之路，坚持向信息化要警力、要战斗力。孟建柱部长向全国公安机关和广大民警提出的“三项建设”中，第一项就是“推进公安信息化建设”。他强调，要深入推进公安信息化建设，切实提高公安机关在动态环境下驾驭社会治安局势的能力。要加强和改进执法工作，进一步细化执法标准、严密执法程序，切实提高执法精细化水平。要深入推进社会矛盾化解工作，创新社会管理，更加积极地开展矛盾纠纷排查，更加积极地运用调解手段化解矛盾。要坚持公安信息化建设与群众路线相结合，不断完善群众工作机制、创新群众工作方法，构建和谐警民关系。要进一步加强公安队伍建设，提高队伍管理科学化水平，努力打造一支素质过硬、作风优良、公正廉洁的钢铁队伍。前不久，公安部副部长张新枫在全国公安信息化建设与应用推进会上指出，各地公安机关要明确目标，强力推进，坚决打赢信息化建设应用的攻坚战。他说，全国公安信息平台建设和应用已经在平台框架、研判体系、实战应用等方面取得了重大阶段性成果，在维护国家安全和社会稳定方面，已经发挥出了越来越大的作用。围绕深入推进信息平台的建设与应用，他强调，随着信息主导警务战略的深入推进，各地公安机关要紧紧抓住有利时机，进一步加大工作力度：首先要以平台功能完善为抓手，进一步理顺信息化应用总体架构；第二，要以分析研判为重点，进一步落实人员动态管控措施；第三，要以基础信息采集维护为着力点，建设一支高水平的信息采集维护专门队伍；第四，要以研判队伍专业化建设为载体，进一步提高析研判的能力和水平。公安信息化建设的主要任务是，加快完善网络、安全和信息中心等信息化基础设施。根据实际需求，进一步调整、优化网络结构，增加基层所队接入网带宽。在地市级以上公安机关开展涉密应用的部门，完善密码设备配备，加大涉密安全保障系统的覆盖范围。对公安身份认证和访问控制系统，进一步进行扩容，并建设、完善公安信息网边界接入平台。增强信息中心数据处理能力，提高服务保障水平。通过对网络基础设施、安全技术设施和信息中心技术系统的优化与增强，进一步满足和保障应用普及深化的需要。加快构建以“情报信息平台”为龙头的高端应用系统建设。在整合各部门、各警种信息资源的基础上，加快构建以信息化应用为支撑、以情报信息研判为主要内容、以服务于警务决策为目标的公安“大情报”系统，坚持以情报信息主导警务。积极推动地理信息技术与公安信息系统的应用结合。目前公安信息化建设已开始进入到高端应用阶段，在“金盾工程”二期中，以构建公安“情报信息”系统为龙头，以平台建设、资源整合、信息共享为主线，全力推动应用普及和深化，妥善解决发展不平衡问题，全面提高公安信息化应用的整体水平。各地的建设不断的出现新成果、新经验进展顺利并正在体现出强大的战斗力和生命力。1.2 公安主要业务信息介绍公安有很多的业务应用系统，基础数据数百亿条。主要的系统有：全国人口基本信息资源库、全国出入境人员资源库、全国机动车/驾驶人信息资源库、全国警员基本信息资源库、全国在逃人员信息资源库、全国违法犯罪人员信息资源库、全国被盗抢汽车信息资源库、全国安全重点单位信息资源库，PGIS系统，视频图像平台等。1) 人口信息管理系统（人口基本信息库）人口信息管理系统的改造升级目标是实现人口管理业务的网络化，为各级公安机关广大民警提供人口信息快速查询查证，帮助政府机关提高管理和服务水平。2) 警务信息综合应用系统警务综合应用平台是公安主体业务网上办理、网上流转和警务信息资源大集中、高共享的信息化工作平台，警综平台主要是在充分保护原有投资的基础上，研究开发一个新系统，突破信息应用的障碍和边界，创造“信息贯通”、“业务关联”、“随需而变”的技术应用环境，实现公安业务系统整合为目的，以公安业务协同办理为方式，最终实现公安业务信息最大化共享的目标整合了公安机关已建、在建和待建的信息系统。警务综合平台建设目标如下：1) 公安业务系统整合，完成统一登录和页面级整合目标。 2) 公安信息库进行整合，形成数据仓库，消除部门间的信息孤岛。 3) 整合基础上进行各类应用：比对报警，智能搜索，网上布控等，实现公安信息资源的最大化利用。减少业务交叉重复录入，提高基层民警工作效率。 4) 情报研判部门产生的各类分析和指令指导基层民警工作，地理信息系统提供对业务信息和各类监控设备在地图上的定位和查询，全面实现了公安机关指挥系统的统一。 5) 公安各类标准的统一，实现公安信息化建设的统一规划和统一建设。 6) 深层次采集和挖掘公安各类信息，实现情报研判和领导决策的自动化。3) 警用综合地理信息系统警用综合地理信息系统是金盾工程的重要组成部分,并被列入金盾工程二期重点项目。它是利用空间地理信息技术，以电子地图为基础，以公安宽带网络为依托，以信息共享和综合利用为目标，实现公安基础信息基于空间电子地图的可视化查询和分析，提高在指挥决策、快速反映、反恐等方面的综合能力，为治安管理、警力部署、巡逻布控、安全警卫等公安业务提供行之有效的管理手段。警用地理信息系统由三部分组成：1) 警用地理信息数据库：采用Oracle大型数据库和ArcSDE空间数据库引擎进行海量地理信息的存储，满足TB级数据管理要求。包括四类数据：基础地理数据、警用公共地理数据、业务专用地理数据、标准地址数据，实现集中建库、统一管理、数据共享。2) 警用地理信息共享与服务平台：实现对警用地理信息数据的管理、采集与更新及对平台的管理；同时为上层的业务应用提供地理信息服务（地图服务、要素服务、专题图服务、定位服务、路径搜索服务、地址匹配服务等）。3) 基于平台的业务应用：实现为市公安局业务部门服务的GIS应用功能。4) 大情报综合应用系统公安情报信息综合应用平台是“大情报”系统的基础平台，大情报系统的建设是完全基于省级综合信息资源库的，是金盾工程二期的重点建设项目之一，是面向多警种的，以公安情报应用为目的的综合性应用平台，其目标在于利用综合信息资源库中的各类信息，进行分析和挖掘，发现各类情报并协通各警种和条线部门。各级公安机关综合情报部门和专业情报部门负责提出业务需求和研判分析模型，研究建立相应的情报工作机制，开展情报信息分析研判工作。“大情报”系统建设中，信息通信部门主要负责制定系统建设方案，协调综合情报部门及专业情报部门做好功能需求分析，组织系统开发，整合汇集各类信息资源并为系统应用提供技术和硬件支撑。5) 部门间信息共享平台公安除需要政法信息外仍需要获取大量的外部社会单位数据。具体来说国保、经侦、刑侦、禁毒、反邪教、反恐等许多业务部门对外部单位都有广泛的信息需求，主要涉及银行、电信、民航、邮政、证券、保险、社保、民政、城建等部门的信息。建设“部门间信息共享与服务平台”满足各级公安机关与政府部门和社会机构间的信息共享与服务工作，此系统属于金盾工程二期的建设任务，可实现社会信息资源统一接入，丰富公安社会信息资源。同时，通过该平台建立公安数据对外统一安全交互和共享，实现公安数据信息的社会化服务，提高公安信息社会化服务水平。6) “三台合一”指挥中心指挥中心的核心系统是110、122、119“三台合一”接处警系统，它不仅仅是呼叫中心，还是指挥调度中心。除此之外，指挥中心系统又是个信息分析和决策中心，系统中有大量的接处警数据和公安应用数据需要维护，需要查询，需要进行统计分析，形成各种报表，供领导分析决策使用。7) 网监（涉密）互联网舆情监控系统对互联网信息（新闻、论坛、博客、贴吧、手机报、微博客等）实时采集、内容提取，为舆情研判提供时间趋势、传播路径、话题演化等工具，统计舆情信息，生成舆情报告等。8) 技侦（涉密）电子围栏系统电子围栏是通过对电话与短信监控、过滤、审计、线索关联为各类案件侦破提供信息查询、比对、分析的平台，建设目的是为了加强对信息掌握，有效监控各种违法犯罪行为。以密集高并发写业务为主，海量数据检索响应要求快而且数据具有生命周期特征。9) 视频图像信息共享平台2012年2月公安部下发了视频信息整合与共享工作任务书要求争取到2013-2015年以前完成部全国90%以上县市级以上视频监控图像管理平台的建设，实现各级视频图像联网，全面支持情报研判，指挥和侦查破案。建设主要任务是：第一、部、省两级平台功能侧重于视频图像信息整合，突出指挥调度功能，以图像信息支撑扁平化指挥工作。市、县两级平台侧重于源头图像信息接入管理，服务国保、治安、刑侦等警种部门维护社会治安、侦查破案等实战运用。第二、整合公安机关内外部图像信息资源，在确保信息传输安全的前提下，将与维护社会治安稳定关系紧密的重点单位自建图像资源接入至平台。第三、各级公安机关分级建立视频图像信息数据库，采取图像信息集中存储管理和分级分散管理相结合的方式，对各部门、警种关注的视频图像信息进行整理、分类存储，并建立索引摘要。数据库应当具备完善的查询、比对、归档和存储功能，并采取动态管理方式，确保信息的及时、准确、有效。1.3 项目需求1.3.1 项目背景随着惠州市公安局业务的不断发展和信息化建设的深入应用，公安信息种类、数量不断激增，对公安信息系统的信息处理能力提出了巨大的挑战。另一方面，由于缺乏统一的标准、规范，各类专业系统之间的兼容性不容乐观，导致“信息孤岛”现象长期存在，影响了各类公安信息的共享交换，难以有效提升各部门协同办公的效率。惠州市公安局业务终端一直使用功能全面的传统PC。在大多数情况下，PC 提供了价格、性能与功能的最佳组合。但同时，在实际应用过程中， PC也存在各种弊端和诸多不便，主要体现在以下几方面： 难以保证数据的安全：传统警务室PC使用分散，数据存放分散信息安全难以管控 。重要数据存放在警务室PC硬盘中，关键数据不受控，设备被盗或维修易造成信息泄密。另一方面，PC工作环境下，PC上保存着员工的智力数据，也是企业资产的一部分。这些数据如何能在PC出现故障或文件丢失时恢复，是一个当前IT系统的一个巨大的挑战。 难以保证非法接入： PC本地有 USB口、串口、并口都可以外接设备，没有有效的管理手段，禁止非法设备的接入，存在数据泄密的风险。 PC分布广泛，运维效率低下：PC如果发生故障需要维护人员现场开机箱维修，这期间无法进行正常办公，耽误了大量的宝贵时间，影响工作开展，局领导和IT技术负责人一直在苦于寻求解决方案。此外，众所周知，由于 PC 硬件种类繁多，用户修改桌面环境的需求各有不同，因此 PC 桌面标准化也是一个难题。 高能耗、高排放： 一台PC的能耗在200瓦左右，每台PC个人电脑平均运行12小时以上，一台PC一年耗电800-1000度电左右，对于企业上万台规模的PC工作环境，一年的耗电量是一个非常惊人的数字。这当今提倡绿色环保、不符合国家节能减排的政策。 资源未能充分利用：PC的分布式特性使人们难以通过集中资源的方式提高利用率和降低成本。结果，PC的资源利用率通常低于5%，远程办公室需要重复的桌面基础架构，移动工作人员可能需要使用复杂的远程桌面解决方案。 总体拥有成本高(TCO)：PC硬件相对较低的成本优势，通常无法抵消PC管理和支持工作的高昂成本。目前，PC管理工作包括部署软件、更新和修补程序等，由于这些工作需要对多种PC配置的部署进行测试和验证，因而会耗费大量的人力。同时，由于标准化程度不高，支持人员经常需要亲临现场解决问题，这就进一步增加了支持成本。针对上述问题，建议使用桌面云技术取代传统PC。具体而言，采用在服务器系统上承载桌面映像的方法，以集中资源并提高其桌面计算基础架构的可管理性。1.3.2 项目需求惠州市公安局桌面云主要应用场景有警务OA办公、办事大厅。应用场景主要需求警务办公规模200用户系统要求WINDOWS XP/Windows 7操作系统。支持PC机、瘦客户机访问虚拟机桌面平台；虚机规格vCPU=4U,Memory=4GB, 系统盘=30GB,数据盘=70GB软件要求B/S软件：公安警务综合应用平台，公安警用地埋信息系统，公安行政业务办公平台；C/S软件：公安即时通讯平台客户端；虚拟桌面要求可以流畅使用这些公安的应用系统。其他常用办公软件：MS OFFICE，Outlook，Project，VISIO； Internet Explorer,Acrobat Reader,常用输入法，金山词霸；外设要求公安网安全U盘，数字证书UKEY，USB打印机、USB键盘鼠标。 身份认证公安三所USB KEY身份认证域帐号+域密码1.3.3 功能需求桌面云系统应实现以下功能目标。1） 虚拟桌面站点需接入互联网，允许进行互联网的浏览、文件上下载等常见操作。2） 系统要支持集中管理能力，如：对操作系统镜像统一管理、软件补丁统一分发、TC终端统一管理，本地不涉密，不留密。可以控制对USB存储的访问。3） 系统要支持互联网终端接入桌面云需求。4） 系统要支持安全架构设计，具有完善的安全防护能力。5） 系统支持高可用性、动态迁移等可靠性设计。6） 系统支持通过扩容存储与计算资源实现用户平滑扩容。1.4 设计原则根据本项目需求及具体技术指标的分析，本项目要求系统具备以下设计原则： 高安全性安全接入，分权分域，集中管控：桌面云提供一体化的安全准入控制，集成现有的安全规程，依据相应的权限策略实现对不同安全域，不同接入类型用户的集中管控，保障核心数据，以及对不同业务资源的灵活分配、分权管理与审计。 高效体验桌面云系统提供最佳的访问体验，用户不再受PC、Windows系统的频繁故障的影响。实现不同网络环境的一致访问体验，提升桌面的可用性与连续性。桌面云系统简单，易用，并提供友好用户界面与自助维护界面。 高可靠性采用先进虚拟化技术，资源池化，所有设备均应经过大规模组网运行验证。系统的业务、管理、存储功能应该由独立的平面承载，所有设备、模块节点具备冗余部署能力，确保系统及业务的可靠运行，并且系统应具有平滑扩容的能力。 高可服务性降低运维成本，提高工作效率，减轻管理维护人员的工作强度与不必要的的重复劳动。桌面云系统将应用、桌面的升级、变更、维护等工作交由后台统一管理与运行；具备良好的综合定位分析及故障恢复能力，从而降低对业务的影响。供应商具备为项目长期服务和保障的能力。2 华为FusionAccess桌面云介绍2.1 FusionAccess桌面云总体架构图2-1 华为桌面云总体架构 FusionAccess桌面虚拟化以服务器虚拟化为基础，允许多个用户桌面以虚拟机的形式独立运行，同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来，同时可以实现精确的资源分配，并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。FusionAccess采用业界领先的高清保真HDP桌面协议，并可将授权用户安全连接至集中式虚拟桌面。它与 FusionSphere协同工作，可提供一个完整的端到端桌面虚拟化解决方案，此解决方案不仅能增强控制能力和可管理性，还可以提供与PC一致的桌面体验，FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面，升级和修补工作都从单个控制台集中进行，因此可以有效地管理数百甚至数千个桌面，从而节约时间和资源。数据、信息和知识财产将保留在数据中心内，而且永远不外流。配备FusionAccess桌面虚拟化方案具备下列优势： 集控制能力和可管理性于一身：由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护。 与PC一致的体验：用户可以灵活访问与普通 PC 桌面功能相同的个性化虚拟桌面。 降低总体拥有成本 (TCO)：桌面虚拟化可以减低其管理和资源成本。 FusionAccess支持GPU直通、GPU共享虚拟机，使用户远程使用图形桌面成为可能，降低了图形桌面的TCO。FusionAccess各部件简要介绍如下： 瘦终端TC/SC为用户提供用户桌面的显示输出，以及键盘鼠标输入，TC/SC通过桌面接入网关代理访问对应的桌面，同桌面接入网关之间采用SSL加密的HDP协议进行信息传递，可以通过策略开放或者禁止TC/SC USB等外设至虚拟机的重新定向；用户通过在TC/SC上输入域用户名和密码访问对应桌面。 负载均衡&接入网关主要提供两个功能，一是对WI节点提供负载均衡；另一个是对虚拟桌面提供接入网关与HDP Over SSL加密功能。负载均衡&接入网关提供硬件与软件两种形式。 桌面软件FusionAccessFusionAccess是华为提供的桌面管理与投送软件。Web Interface：WI为用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息（加密后的用户名和密码）转发给HDC，WI将HDC提供的虚拟机列表呈现给用户，为用户访问虚拟机提供入口。在桌面云解决方案，可通过SVN为多台WI实现负载均衡。通过在WI上配置多个HDC的IP地址，WI可实现对HDC的负载均衡。HDC (Huawei Desktop Controller)：华为桌面控制器(HDC)是桌面云管理系统的核心组件，完成虚拟桌面业务发放，虚拟桌面管理，虚拟桌面登录管理，虚拟机的策略管理功能。GaussDB：GaussDB为ITA、HDC提供数据库，用于存储数据信息，例如，虚拟机与用户的关联、桌面组、虚拟机命名规则、定时任务信息。ITA节点：ITA为用户管理虚拟IT资产提供接口与Portal功能，实现虚拟机创建与分配、虚拟机状态管理、虚拟机镜像管理、虚拟桌面系统操作维护等功能。License节点：桌面云License的管理与发放系统，License服务器用于控制器接入桌面云的用户数。TC管理（TCM）: 对瘦终端进行集中管理，包括版本升级、状态管理、信息监控、日志管理等。AD/DNS/DHCP：AD域控用于用户登录鉴权，DHCP用于域内IP分配，DNS用于域内计算机名、桌面云登录域名的解析。2.2 华为桌面云解决方案优势华为以云计算为契机，提供包括存储、安全、云计算、桌面云、数据中心解决方案四大领域，可为客户提供丰富的以云计算为核心的ICT业务。同时秉承开放合作的理念,提供覆盖全行业的端到端IT解决方案。帮助客户构筑先进、高效的IT平台，提高客户内部运作效率和业务效率。华为提供端到端的云计算解决方案，提供完全自研的虚拟化软件FusionSphere，桌面云软件FusionAccess。FusionSphere整体竞争力追齐友商，虚拟化性能实现业界第一。FusionAccess零偏差交付，在桌面协议、高清制图、安全领域构筑差异化竞争力。华为服务器经过12年的发展，产品形态已经覆盖机架服务器、刀片服务器、高密度服务器，同时针对业务应用开发出相应加速部件，满足各种市场业务应用。2013年上半年，在中国区，华为服务器发货量11.1万台，跃居第二名，超越IBM和HP；全球发货量排名第六。华为存储依托存以智用、融以致远的创新理念，坚持自主研发创新，以及积极的市场表现，全国出货量第一，成功从Others阵营跳居主流厂家阵营，让这份存储界最具分量的报告因为迎来首位中国厂家而翻开新的一页，也再度增强了全球关键客户的购买信心。 在标准和专利方面，华为是云计算主流标准组织DMTF董事会的第一家中国公司，担任DMTF的教育VP，IETF云计算/数据中心领域的ARMD工作组的主席，OpenStack的金牌会员，SNIA的董事会成员（Board Member）。华为广泛参与了ISO/IEC、IEEE、ITU-T、CSA、ETSI、CSCC等国际云计算标准相关组织；同时华为还积极参加了国内CCSA、CESI等云计算标准化活动。华为积极参与开源社区并推动云平台标准化，并向开源社区积极回馈自己的贡献。在Hadoop重要贡献公司名单内，华为排在Google和Cisco的前面，体现了华为的创新能力。华为IT产业全球布局，在深圳、西安、北京、杭州、成都等地构筑交付能力中心，不断增强创新能力和核心竞争力。目前，华为在IT领域投入为10000人，在云计算领域投入为6000人。华为公司针对本项目提供了端到端的桌面虚拟化解决方案。方案涉及的主要部件均可提供华为自研产品，兼容性好，高性能，高可靠，整体交付，专业维护团队支撑；华为桌面云解决方案主要优势如下：1. 自研自主可控的桌面云软件华为虚拟桌面基于成熟的FusionSphere虚拟化平台与FusionAccess桌面管理系统。FusionAccess是历时多年，完全自研，自主可控的桌面云软件，采用自研的高清保真的HDP(High-definition Desktop Protocal/Huawei Desktop Protocal)协议。针对虚拟桌面的的远程显示、应用场景OA办公软件、VoIP语音进行性能调优，外设专项进行调优，图像指标PSNR指标达到50000dB以上， SSIM指标达到0.999955接近无损的表现；声音PESQ超过3.4，准确还原声音细节。使用虚拟桌面可以达到PC桌面的体验效果。2. 以客户为中心的安全管控FusionAccess桌面云软件针对客户的特定应用场景的软件、硬件进行过很好的适配开发。针对特有安全需求针对性进行开发，提供特定厂家的USB KEY、指纹、动态口令、802.1X认证；安全三合一设备；针对管理员三员分立管理；提供无AD域部署，固定IP自动化部署。华为自研的桌面云软件，可提供以为客户为中心的定制化能力，保障客户的核心智力资产。3. 高可靠性华为所有硬件、软件部署都采用冗余部署，故障自动恢复；虚拟化产品平台管理理节点冗余部署, 通过管理节点自动感知为双机热备，避免通常虚拟化方案没有单独的物理管理节点导致的在线倒换较慢，甚至是业务中断的问题，确保了业务运行的可靠性。华为提供与虚拟桌面配套的安全管理平台，对瘦终端硬件及用户虚机系统提供安全监控，提供对用户行为的监控，提供统一的软件、补丁分发，资产管理等功能。4. 简化运维，提高效率华为虚拟化产品FusionSphere、FusionAcess以B/S架构为基础，提供WEB方式的远程集中运维管理。运维管理形成以服务为导向、基于策略且能够实现自动控制的管理模式。华为虚拟化管理平台可以实现单一的管理运维界面，统一管理物理及虚拟资源，避免在不同的管理界面间来回切换，简化管理工作，提升管理效率，提供全中文管理界面，并提供8大工具：自助维护台，桌面云健康检查工具，桌面云连接检修工具，桌面云体验优化工具，基础架构虚拟机一键式恢复工具，日志收集工具，自动数据迁移工具，性能与兼容性收集和分析工具。特别适合于IT人员较少，规划、运维压力较大的机构使用。5. 广泛突破，成熟应用华为虚拟桌面产品经历了内部1万人5分钟内并发登陆场景的真实业务测试及系统可靠性测试（如故障恢复、IP QoS测试等）。华为整体方案及云软件、服务器、存储、交换机、终端等关键部件经受了内部2万用户的压力测试验证。华为虚拟化产品在国内外已经成熟广泛的应用，特别是在国内的三大电信运营商，可靠性满足电信级要求。华为云计算解决方案，部署了全球最大规模的桌面云（截至2013年6月份，已达约10万终端），总结了丰富的运维流程与运维经验。截至2013年6月份，在云计算领域，已经与42个国家的200多个客户开展了云计算商用合作。实现重点行业突破，突破深交所、中国银行；凤凰卫视北京传媒中心，广东广电；上海商飞集团、沈飞（沈阳飞机集团）；天津大港油田，武汉东风汽车公司；黑龙江电力；牛栏山第一中学；河北迁安人民医院；金税三期、金华地税、云南国税；中国移动，中国联通，中国电信；法国INSA，西班牙BME，俄罗斯RTI等单位。6. 原厂服务，保驾护航华为公司虚拟化产品的服务由华为原厂提供，华为公司有专业的本地化交付与售后支持团队，以及超过6000名从事虚拟化技术的研发团队，可快速解决后期问题，以及接纳客户的定制化需求。基于华为全套自有产品的售后支持经验，避免了虚拟化产品通常的由于涉及部件多、定位复杂、厂家互相推诿扯皮、解决问题缓慢的情况。3 惠州市公安局桌面云设计方案3.1 总体技术方案3.1.1 总体方案介绍图3-1 总体方案示意图惠州市公安局为了实现高安全、高可靠、高性能、易集中运维、平滑扩容的办公桌面，采用业界主流成熟的虚拟化技术，实现虚拟桌面、服务器虚拟化等要求。本项目方案主要以下方面考虑：资源池设计：根据本项目的需求，服务器上安装华为的虚拟化软件，将服务器池化。池化后VDI桌面、应用虚拟化、服务器虚拟化的服务器分别组成集群。池化后服务器上运行虚拟机便于管理、监控。虚拟机在集群里可以实现定制策略迁移、手动热迁移、故障热迁移。资源池的设计具有高可靠、平滑扩容特性。桌面虚拟化：华为虚拟桌面管理软件FusionAccess，提供高性能且可靠的桌面投送。FusionAccess桌面虚拟化以服务器虚拟化为基础，允许多个用户桌面以虚拟机的形式独立运行，同时共享 CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来，同时可以实现精确的资源分配，并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。FusionAccess采用业界领先高清保真的HDP桌面协议，有效降低桌面接入带宽要求，并可将授权用户安全连接至集中式虚拟桌面。它与 FusionSphere协同工作，可提供一个完整的端到端桌面虚拟化解决方案，此解决方案不仅能增强控制能力和可管理性，还可以提供与PC一致的桌面体验，FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面，升级和修补工作都从单个控制台集中进行，因此可以有效地管理数百甚至数千个桌面，从而节约时间和资源。配备FusionAccess桌面虚拟化方案具备下列优势： 集控制能力和可管理性于一身：由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护。 桌面云把数据、信息和知识财产将保留在数据中心内，而且永远不外流。 与PC一致的体验：用户可以灵活访问与普通 PC 桌面功能相同的个性化虚拟桌面。 降低总体拥有成本 (TCO)：桌面虚拟化可以减低其管理和资源成本。统一软硬件管理：为了便于硬件设备（服务器、存储、交换机）、虚拟资源的集中管理，采用华为的虚拟化管理软件FusionSphere。FusionSphere采用B/S架构，可以远程统一管理本项目中VDI桌面、服务器虚拟化三个资源池。FusionSphere可管理、监控硬件资源、虚拟资源；支持虚拟机的快速部署、定制化策略调度。 计算资源池计算资源池为用户提供CPU、内存计算资源。在服务器上安装华为的虚拟化软件，可以在一台服务器上虚拟出多个台虚拟机，提供弹性规格的虚拟桌面。这几个资源池归属同一朵桌面云管理系统。 存储资源存储资源主要为虚拟桌面提供系统空间和数据空间、还有桌面云管理系统所需要的空间。这些存储都在主用存储上。主存储根据数据类型的不同，划分不同的数据LUN。这里的数据类型主要包括 管理数据、Windows系统数据、用户数据。3.2 典型应用场景解决方案3.2.1 警务室桌面云方案图3-2 警务室OA办公应用场景警务室OA办公桌面云应用场景特点：公安行业OA办公涉及部门众多，主要办公人员有治安、交通管理、出入境、消防、刑侦、技侦、网监、经侦、国保等各部门人员。这些部门的办公特点有：个性化强：办公人员个性化强，办公桌面有一些独立的办公软件，办公系统，有较多的数据存储。安全要求高：公安警务办对安全保密要求很高，特别有一些涉密办公，比如网监、刑侦等办公人员。这些办公桌面要求与其他办公桌面隔离，至少需要逻辑隔离。流畅访问信息系统：公安建立了很多信息系统，比如人口信息管理系统，警务信息综合应用系统，大情报平台等。警务办公桌面除了上述特点外，用户的虚拟机运行Windows XP、Windows 7系统，运行各种文字办公软件，如Office编辑文档、Project、Visio、Internet Explorer浏览网页、Outlook处理邮件、金山词霸等。桌面云可对接入USB通道、打印设备、存储设备进行映射管理；虚拟机里可安装监控软件，提供多种安全方案，保证办公环境的信息安全。华为桌面云支持与公安行业已有的各种应用系统对接，在桌面云上使用已有的公安信息系统工作流。由于桌面云设备都已部署到数据中心，数据中心有更高的访问带宽，桌面云主机与公安警务系统交互路径更短，QoS更有保障，用户体验更好。警务办公用户的个性化强，虚拟机建议采用1：1配置，每个人独占一台虚拟机。用户通过本地瘦终端，或软终端可以远程登录虚拟机。虚拟机采用业界性能领先的HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端的无本地存储，不涉密，可管控，功耗低。所有数据保存在数据中心，保障了数据安全。办公环境相对PC环境更简洁，无噪音。3.2.2 公安办事大厅桌面云方案图3-3 公安办事大厅应用场景公安办事大厅应用场景的特点：为了对社会人口、交通、治安、消防、出入境提供有效管理。公安提供各种办事大厅，如户籍办事大厅，出入境办事大厅，交通管理办事大厅。这些公安办事大厅桌面特点有：n 前台终端：为操作型岗位，大部分时间使用公安的几个信息系统应用进行业务处理，比如人口信息管理系统，户籍管理系统，综合查询系统，出入境管理系统，交管系统等。有简单的数据存储、交换需求。n 管理座席：为知识型岗位，除营业系统管理应用外，还有Office办公软件、多媒体播放有一定需求。n 所需外设多：终端需支持各种打印机、身份证读卡器、高拍仪、护照读卡器、摄像头，摄像头等外设。公安办事大厅系统划分为服务人员使用的桌面系统、业务办理的客户使用的自助系统。公安办事大厅解决方案针对营业厅分布地域广泛，网络连接质量差异大的特点，改进了桌面云系统的调度和连接优化配置，可以有效的克服网络闪断，网络速率抖动等恶劣条件，保证公安办事大厅系统的高质量服务。公安办事大厅解决方案提供即插即用的外设终端接入方案，并通过预置的具备广泛兼容性的驱动插件支持常见的串口、并口、USB口外设；支持多种类型的打印机、扫描仪、读卡器、评价器。极大的降低了客户部署的难度。根据公安办事大厅的业务特点，桌面系统的认证方式也支持多种。对于客户自助系统的桌面还可以支持免认证登录桌面系统、即时打印服务清单等功能。华为桌面云公安办事大厅解决方案的优势：公安办事大厅解决方案是针对各种营业厅推出的解决方案，营业厅解决方案有如下优点：利旧原有IT外设：无需采购新的IT外设，兼容常见接口外设，并可对于外设驱动统一部署和管理，保证即插即用的客户体验。快速软件安装部署：运营软件通过云平台集中推送，做到大规模快速软件安装部署，便于企业统一新业务上线。支持客户自助系统：支持客户自助系统在桌面云的部署，可免认证使用企业为客户提供的系统，即时打印服务清单等功能。3.2.3 流动警务室移动办公桌面云方案图3-4 流动警务室移动办公访问桌面云网络示意图在XXX公安局，有很多辆流动的警务车，警务人员可以利用户手提电脑等移动终端通过Internet、WiFi、移动网络登录虚拟桌面，最大的要求就是保障传输的安全性。为了增强访问桌面云的安全，建议增加一个SSL VPN网关来保障传输安全，增加防火墙来防范网络攻击。SSL VPN网关可以使用SVN来实现。TC通过广域网接入访问VM说明： 登录控制流TCSVPN（Virtual IP：LB_VIP）SVPN（Mapped IP:MIP）WIHDC HDP业务流（SVN做AG功能）TCSVPN（AG VIP）SVPN（Mapped IP:MIP）用户VM访问虚拟桌面网络配置说明：防火墙上增加一个公网IP，映射为SVPN网关上的SSLVPN IP，进行SSL VPN的认证，用户与SVN网关之间先建立一个SSL VPN隧道，然后按照上面描述的控制流和业务流访问路径连接自己的虚拟机。VPN网关的登陆和用户登录WI的认证是一次性完成的。为了保障桌面云中心的安全，在防火墙上进一步划分安全域进行隔离。桌面云的管理节点、用户虚拟机统一划分到VDI域；SVN划分进DMZ区；WAN用户都算在Unstrust域中。几个区域按照开放端口在防火墙中配置相应的访问控制策略。3.2.4 派出所/小分局桌面云方案(集中部署)图3-5 派出所/小分局桌面云部署方案对于网络带宽与QoS达不到要求的派出所，小分局，建议不要切换到桌面云，仍采用原有的PC办公，以免影响用户体验。在一些人数不多的小公安分局，或者派出所，警务人员数量不多，一般只有十几个，几十个，上百个左右。这些地方分布比较零散，IT维护人员不多，为了节约维护成本，要求统一管理。华为桌面云针对这种情况集中部署方案。桌面云数据中心选址可以选在警务人员比较多的大局，有较强的IT维护人员公安局。桌面云所需要的服务器、存储、网络、桌面云软件集中部署在这个数据中心。这个数据中心同时可以给大局的警务人员提供服务。各个派出所通过专线接入到人局。为了派出所的桌面云有较好的用户体验，对网络有较高的要求。对每个警务办公桌面的带宽不小于200kbps，网络时延小于25ms，丢包小于0.1%。详细的网络要求可参见下面的“网络设计方案”章节。由于集中式的桌面云访问对网络要求较高，建议本地使用嵌入式Windows系统的瘦终端，如CT5000/CT6000的WES版本，那么用户即时在网络中断时，也可以临时使用瘦终端进行简单的办公。派出所、公安分局桌面云采用集中式部署有以下特点：灵活统一的管理维护：大局的管理员可以集中运维，简化终端管理。不需要派出所、小分局有IT维护人员。派出所只需要使用瘦终端，瘦终端出问题直接更换瘦终端即可。投资成本较低：桌面云设备集中部署，部署运维相对简单，节省了管理资源与运维资源投资成本相对较低。高安全性：各派出所与桌面云中心只传送加密的桌面协议数据流，数据保护在数据中心，保障了数据的安全。3.3 网络设计方案3.3.1 桌面云网络物理隔离方案（CT6000）公安行业既有专用的公安信息网，也有互联网办公的接入需求，这两张网一般是物理隔离的。如果警务人员需要同时在这两张网上办公，可以采用CT6000瘦终端。CT6000是单系统的瘦终端，带2个千兆网卡有效满足双网连接需求。用户可以同时访问双网的两台虚拟机。CT6000的DVI-I接口支持双屏显示，用户可接双显示器，每个显示器显示一个虚拟机界面，同时操作两个虚拟桌面。CT6000瘦终端有美丽的外观，操作方便，给用户良好的办公体验。CT6000 连接2个VM（分别对应内网和外网）的步骤：1、要在CT6000 界面上面配置静态路由信息，保证2个网卡的IP地址可以分别连通内网和外网。Linux TC配置： 开始控制中心网络路由。 Windows TC配置： route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1 METRIC 3 IF 2 destination mask gateway metric Interface2、默认情况下，TC启动后，会打开第一个VM的WI登录界面，第二VM的WI登录界面需要手工到TC控制中心选择第二个VM的登录地址，然后手动连接第二个VM 3、如果CT要连接2个显示器，分别显示不同的VM，需要在每个VM的WI地址配置分辨率，配置非全屏模式，这样就可以在TC上面移动鼠标来选择不同的VM。 3.3.2 桌面云网络物理隔离方案（网络切换器）公安行业既有专用的公安信息网，也有互联网办公的接入需求，这两张网一般是物理隔离的。通过建设两朵桌面云，确保内网桌面云的绝对安全。如果警务人员需要同时在这两张网上办公，可以使用网线切换器+单网口瘦终端，可以在公安信息网桌面云和互联网桌面云快速切换。需要切换桌面时，只需在网络切换器上轻轻一按，随意切换，在TC上选择桌面云需要访问的WI地址，即可切换桌面。3.3.3 桌面云网络逻辑隔离方案对于网络逻辑隔离的虚拟桌面，可以部署一套桌面云管理软件，作为统一的管理与登录平台。用户在瘦终端登录身份验证通过后，就可以看到拥有的两台虚拟机。用户可以任选一台登录。用户也可以同时登录两台虚拟机，通过最大/最小化按钮在两台虚拟机之间来回切换。瘦终端支持双屏显示，用户可接双显示器，每个显示器显示一个虚拟机界面，同时操作两个虚拟桌面。3.3.4 桌面云逻辑组网图每个桌面云用户可以在办公位上使用TC、或者PC接入到桌面云中心。瘦终端放在每个用户的办公位，每个位子提供百兆或千兆GE网口就可以。桌面云部署在客户的数据中心机房中；需要与客户的核心交换机对接。考虑后续扩展性，建议采用2*10GE上行到客户核心交换机。桌面云网络通信平面划分为业务网、存储网和管理网。三个网络之间是隔离的，保证最终用户不能破坏基础平台。存储网络：存储网络通过多路径确保链路冗余，服务器与存储设备通过存储网络二层直接互通。存储设备为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台转化。业务网络：为用户提供业务通道，为虚拟机虚拟网卡的通信平面，对外提供业务应用。HDP协议与虚拟机访问外部应用系统都是经过这个网络。各业务部门可以细分VLAN进行访问隔离。管理网络：负责整个云计算系统的管理、业务部署、系统加载等流量的通信。BMC平面主要负责服务器的管理，BMC平面可以和管理平面隔离，也可以不进行隔离。服务器采用户10GE组网，每刀片出一个2个10GE网口，两网口聚合确保链路冗余。整体网络划分为两层，分别为接入层、核心层。接入层：为了收敛服务器、存储设备的网口，一般在机柜里放置接入交换机，在接入交换机划分VLAN，将管理、业务、存储三个平面逻辑隔离。接入交换机再上行汇聚到核心交换机。核心层：华为云桌面通过内部的接入交换机汇聚后，接到客户核心交换机。核心交换机配置VRRP协议，为管理网络和业务网络提供冗余网关。3.3.5 IP资源需求l 管理网IP地址需求云管理节点FusionManager（主备）、VRM（主备）、FusionStorageManager(主备)、服务器的的BMC、服务器底层虚拟化 需要一个管理IP。对于做HA可靠性的两个节点需要多一个浮动IP。桌面管理虚机： ITA+DB+HDC（主备）各需要一个IP其它硬件设备、存储（双控制器）、交换机，每节点都需要一个IP。l 业务网IP地址需求每台虚拟机需要分配数据中心侧的IP网段一个IP， 每个瘦终端需要分配用户接入区的一个IP。桌面管理虚机：WI（负荷分担）+ITA+DB+HDC（主备）、License+TCM、AD+DNS+DHCP各需要一个数据中心侧的IP。l 存储IP地址需求存储设