云终端架构可行性报告

云终端架构可行性报告一：前言近几年随着互联网的深化发展，以互联网应用为基础的云计算正在变得无处不在。云终端构成的系统与PC系统相比，更适合于单机计算量小的常规系统，如教育、呼叫中心、政府机构、证券金融等等。在使用常用办公软件、一般的网络业务系统、教育软件、邮件及上网冲浪时，与传统PC并无区别。本例于清华同方云终端VD1000网络计算机为样榜详细分析云终端的使用与扩展功能。云终端产品是一种精巧别致的网络计算机，既可以作为迷你PC单独运行，进行网页浏览，又可以构架共享计算网络，以创新的成本优势开展业务运营网络。 清华同方云终端VD1000网络计算机二：产品介绍云终端的价格仅相当于传统个人计算机10%到20%，并且采用软硬件一体化设计这些使云终端的综合使用成本具有无可比拟的优势可以轻松拥有。桌面终端无需Windows许可大幅减少硬件投资和软件许可证开销。 仅需在中心主机安装云终端附带的免费软件，您做的仅仅是接上网线显示器及鼠标键盘，轻轻按下电源开关，云终端用户即可进行业务操作，亦可畅游网络，实施非常方便。服务端统一管理终端，升级维护工作都在服务端进行，真正做到终端接近零维护。终端数据不在本机存储，而是存储在中心主机（服务器），数据存储更安全可靠，同时云终端主机无病毒感染的可能性，具备完美的防病毒特性。1：接口说明提及云终端VD1000的接口，也是值得向大家介绍的，别看它的体积小，相比我们常用的PC机来说兼容的接口也很多，足以满足日常需求。比如云终端VD1000的一边提供了1个耳机接口，1个话筒接口和3个USB接口。清华同方云终端VD1000网络计算机的接口面版正对电源指示灯的另一侧包含了1个电源开关按钮，1个5V直流电源接口，1个RJ 45接口，并且网络接口自带2个黄绿指示灯，另外，对于体积不大的产品，散热方面是一个瓶颈，不过云终端VD1000产品厂家自己宣称的功耗不到5W，靠这么小的功率驱动USB VGA 网络真的不知道系统本身还能占多少功率，如果是真的话，我们现在用的PC就太耗电了。另外散热设计也恰到好处，位于机身一边和机身底部都提供了散热风口，保证了产品运行过程中不因温度过高而烧坏内部组件。2：部署架构云终端与上网本都是网络计算机，但云终端比上网本在应用模式上更为彻底。它必须完全依托于网络，并在网络环境下全面提升企业信息系统。 强安全性，避免信息损失：信息化社会中，信息是企业最重要的资产与核心竞争力。企业各个环节，无论是技术资料还是营销动态，无论是产品方案还是物流库存，企业的命脉在掌握在信息系统之中。 PC网络系统在安全性上存在诸多漏洞，且不说使用者主动泄密造成的风险，就算在被动攻击状态下，多一台PC就增加了一倍的风险。而在云终端系统中，通过独有的终端协议提供最大程度的安全保障，同时也没有 FDDHDDCDUSB 接口，所以主机不存在重要数据的外泄，破坏及感染病毒等。只要加强服务器端的安全防范，客户端攻击的几率为零，资料泄密也没有机会。 节省采购及运营成本：如果说上网本依托2/3于传统笔记本的成本即能横扫天下的话，它的经济性与云终端相比可谓小巫见大巫。据统计，实现同样功能的商用网络系统，云终端系统与传统PC系统相比：在采购环节将省下70%的投入；在系统运维环节，将减轻90%的成本负担；在使用成本上，云终端只需5W的超低功耗，50台云终端才相当于一台普通PC机的功耗，电费节省即相当可观。 清华同方云终端VD1000网络计算机云终端部署三：云服务安装与卸载 注意：云终端服务器硬件要求：硬件平台CPU在p4 2.0G 以上，内存1G以上，硬盘容量在40G以上，包含以太网卡 云终端服务器系统可以安装在windows XP/2003 操作系统上，我们选择window2003。请不要试图在其它操作系统上安装本软件。1：安装云服务 程序自检和系统检查，安装前程序会检查安装机器是否满意足安装要求，云服务准备安装如图1-1所示，如有异常，系统会自动提醒用户增加安装条件并停止安装，选择“取消“则退出安装。 云服务准备安装界面安装程序自检后出现欢迎安装界面，安装向导将指引用户进行系统安装，如图1-2所示，选择“下一步”继续安装操作，选择“取消”则退出安装。 图1-2 欢迎安装界面安装文件拷贝结束后，系统会提示您是否添加用户，如图1-3所示，提示添加帐号，选择是将进入window2003添加用户界面，进行帐户的创建和管理。这里我们选择“否”在云服务软件安装完成后，利用window操作系统本身的用户帐户管理工具添加帐号。有关帐户的设置及管理请参考第五章相关内容。安装完后云终端需要对系统和服务进行一系列的配置和更改，因此会提示用户重新启动计算机，重启后云终端服务才可以正常工作。云服务安装好后默认情况下，VDP Service 对外服务端口是 TCP 53779。2：卸载云服务 如果用户需要从系统中删除云服务，打开控制面版中的添加删除程序，从软件列表中选择VDP Server，并对其进行删除操作.删除完成后提示用户重启计算机。 四：云终端MiniPC模式应用了解云终端部署之后，我们看一下具体如何应用。首先，根据VD1000提供的接口选择不同的设备来进行相应的连接。然后启动云终端机，初始默认情况下，云终端会进入到共享计算模式，也就是连接到远程云服务计算机。如下图：清华同方云终端VD1000网络计算机共享模式环境下不过这对于初识该产品的用户在具体应用时，不知道如何操作，我们这里可以进入MiniPC（传统的系统操作桌面）模式。选择minipc 模式进入云终端自带桌面系统。清华同方云终端VD1000网络计算机切换到MiniPC模式下对于MiniPC模式，给用户提供了很多方便，因为我们可以从界面上看出它与传统意义上我们应用的操作系统一样，具备常用的办公软件、即时通讯工具等。用户可以利用云终端机办公、上网等。清华同方云终端VD1000网络计算机浏览网页清华同方云终端VD1000网络计算机影音娱乐云终端VD1000提供了IE浏览、影音媒体播放、即使聊天（Messenger）等功能，另外在PDF浏览、PPT文档预览、Word预览方面表现也很到位。四：云终端共享模式应用远程连接也是云终端VD1000的重要应用，用户设置好网络连接之后可以轻松实现远程连接操控等工作。也是我们架构云网络的重要特性。要连接到云服务计算机使用共享模式我们首先要在云终端做好设置，开机界面显示之后 云终端开机界面选择系统配置中的网络设置根据实际网络环境配置云终端的网络连接。 网络设置界 清华同方云终端VD1000网络计算机共享模式下连接 连接后出现window2003登陆界面：输入正确的用户名密码即可登陆到远程云服务。 目前看来，云终端VD1000作为Windows主机的终端，用共享桌面的方式工作，几天用下来的感觉是，办公应用已经绰绰有余，而多媒体功能稍显薄弱。但管理起来简单，启动也很迅速！ 接下来我们针对云终端VD1000使用同方安全独有的VDP（虚拟桌面协议）技术进行测试。由于服务器端支持的云终端数量多少，与服务器配置及用户所使用的应用软件有关，因而对于不同的应用环境其使用效果可能不尽相同。我们采用了一台普通配置的电脑模拟服务器端并选取了办公、娱乐及上网所需要的几十款有代表性的常用软件进行测试工，试图展示该产品在一般工作环境下的性能表现。测试平台：一台服务器（云服务器/主机）：处理器：Intel（R） p 4 2.0GHz，内存：1GB DDR2 667，网卡：Realtek RTL8160/8111 PCI-E Gigabit Ethernet NIC。操作系统：Windows 2003 server enterprise终端：云终端VD1000测试软件：（1）常用软件：OFFICE、Adobe Reader、WinRAR；（2）邮件系统：Outlook、Express；（3）浏览器：IE、遨游Maxthon；（4）防毒工具：瑞星、金山；（5）聊天工具：QQ、MSN、飞信；（6）中文输入：智能ABC，搜狗输入法；（7）下载软件：迅雷；（10）视频播放：MediePlayer、暴风影音；（11）MP3工具：千千静听。服务器：在服务器端逐一安装上述软件。通过网线将服务器中间设备（交换机/路由器/Hub）相连。 客户端：通过网线将中间设备（交换机/路由器/Hub）与云终端VD1000的RJ45口连接，使得云终端与服务器组成一个小型局域网，云终端自动获取DHCP服务器所分配IP地址或手动分配IP五：云服务器设置如何使云终端用户登陆远程服务器操作简单方便且不破坏服务器的安全及设置是云终端使用的重中之重。从以下几点考虑并给出可行性方案（以下功能点在window2003 server版测试通过）1：用户组设置要让云终端能使用这个用户进入系统还要将这个用户加入相应的组，administrators 组或者Remote desktop users 组。这里从安全角度出发我们选择Remote desktop users 该组拥有远程登陆服务器的权限。比如我们新建一个net用户。属组 Remote desktop users。 net用户属性2：目录权限设置 同样的为了使用户之间的操作（比如下载保存文件等）不互相干扰，我们对每个用户创建一个属于自己的目录。Window2003 可通过目录安全设置来完成。前提是该磁盘或分区必须是NTFS格式。以net用户为例 在F:盘（NTFS格式）新建一个目录server，并将其加入Remote desktop users。权限，除administrator外其它用户权限清空。将server目录组加入Remote desktop users组主要是为了统一管理。 Server目录的安全设置 下面将会在server目录下建立各个用户的目录实现对用户访问权限的管理。 net目录安全属性 这样我们就完成了一个基本的目录权限控制。用户有了自己的访问目录但云服务器的空间有限，所以对每个用户要做空间的限制。使用NTFS的磁盘配额功能可以解决此问题。以F盘为例设置磁盘配额空间，启用事件日志这样方便管理员查看管理。 磁盘配额属性3：服务器管理功能限制 一机多用最重要的是互不干拢，那么在我们设置了目录权限之后最重要的就是管理权限了。防止一个用户的操作影响到其它用户的正常使用。所以应做如下限制。（虽然Remote desktop users组的用户没有管理权限，但我们依然不愿意用户看到这些功能而无法使用造成不必要的误解。） 以下限制都是基于NT本身自带的权限控制功能不使用第三方软件。3：1 关闭任务管理器位置：组策略用户配置管理模板系统Ctrl+Alt+Del选项-删除“任务管理器”。 因为 Remote desktop users的权限我们设置为最低用户只有使用权限。无法删除由系统或管理员启动的进程。这也是我们为什么只把云终端的客户添加为Remote desktop users组成员的原因。理论上我们可以不做任何的操作只要限制用户访问的目录。那么云终端用户将无权更改任何影响到系统的设置。当然为了安全起见我们还是要做如下设定。3：2 关闭控制面版 控制面面板有很多的权限控制及更改所以如果是云终端做为使用用户来讲这些设置完全没有必要。而且远程用户组的成员也没有权限更改这些所以我们统一将接口关闭。避免给用户造成困惑。同理我们可以只关闭控制面版的具体功能项。 位置：组策略用户配置管理模板控制面版-禁止访问控制面版。 3：3 关闭运行命令 删除“开始”菜单中的“运行”菜单项，在“开始”菜单中有“运行”菜单项，可以输入程序名称来启动程序。我们可以将“运行”菜单项从“开始”菜单中删除。位置：组策略用户配置管理模板任务栏和“开始”菜单-从开始菜单中删除“运行”菜单。如果启用该设置，发生如下更改：(1)“运行”命令从“开始”菜单中删除。(2)新建任务(运行)命令从任务管理器删除。(3)阻止用户在IE地址栏中输入下列项：UNC路径：servershare。访问本地驱动器：例如，C:。访问本地文件夹：例如，temp。同时，使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设置，用户可以访问“开始”菜单和任务管理器的“运行”命令，以及使用IE地址栏。注意：这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。完成上述配置之后用户将无法通过路径名称来访问驱动器。下面我们将通过隐藏驱动器。锁定用户主目录（我的文档）做到用户登陆后只能看到及访问自己的目录。这样做到真正的独立性。用户的操作完不会干扰到别人同样也不会被别人干扰。 这样配置以后作为管理员要怎么进行管理呢。我们采用导入注册表数据开启运行菜单。这样就可以管理并开启相应的功能。 将以下脚本保存为.reg文件 双击即可导入。NoRun=dword:改为NoRun=dword: 为禁用运行。 Windows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoRun=dword:3：4 隐藏驱动器访问 虽然我们对用户的访问权限做了控制，用户只能访问属于自己的文件空间。但是显然我们不想用户一个个的在找他们的目录。当用户数超过30个以上时。我们发现用户将很难找到自己的文件（以是我们将用户的访问目录设成为“我的文档”的访问目录并且禁止更改主目录。这样用户就可以很方便的找到属于自己的储存空间。） 所以我们将隐藏相应的驱动器。通过上面禁用运行之后。用户也无法通过搜索路径来访问或看到这些文件。这就是我们隐藏驱动器的原因，虽然它不是必要的。 位置：组策略用户配置管理模板windows组件windows资源管理器-隐藏“我的电脑”中的这些指定的驱动器。3：5 锁定用户目录 使用net用户登陆，更改“我的文档”的路径为f:servernet （net用户）这样用户访问“我的文档”即访问属于用户自己的目录。并且为了访止用户更改路径我们应该禁改我的文档路径位置：组策略用户配置管理模板桌面-禁止用户更改我的文档路径。 3：6 桌面禁用项 1：桌面可以禁止显示我的电脑，等一切不想让用户知道或可更改的项目，我们只需把程序访问的快捷方式放在桌面即可。 位置：组策略用户配置管理模板桌面 2：不要将已删除的文件移到“回收站”当Windows资源管理器中的一个文件或文件夹被删除时，该文件或文件夹的副本会被放在“回收站”里。显然如果用户删除的东西都扔到回收站里。空间很快就会被塞满。使用此策略，你能改变此行为。如果启用此设置，使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里，因此被永久删除。如果禁用或不配置此设置，使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里。位置：用户配置管理模板Windows组件Windows资源管理器-不要将已删除的文件移动回收站。3：从安全方面来讲我们还有更好的方法。即设置用户能使用回收站的比例（回收站所在分区的大小）这样即能很好的保持未被彻底删除的文件同时保护了磁盘空间。位置：用户配置管理模板Windows组件Win