基于云桌面的机房建设与研究

1、基于云桌面的机房建设和研究摘要：虚拟化技术已经广泛应用于社会各个行业，在教育教学上，各种基于虚拟化技术普通PC终端的虚拟实验平台更是数不胜数，随着虚拟化技术的不断演进，简化对资源以及对资源管理的访问，不受物理限制的约束，IT虚拟化，扩大硬件的容量，简化软件的重新配置过程；如今，云计算技术已经非常成熟，云桌面代替传统PC教学，不仅为学生和老师带来全新的桌面体验，同时降低了IT运维的难度的工作量。本文以华为云桌面为例，介绍了基于云桌面的教学机房的应用及原理。关键词：云计算；虚拟化；云桌面；1关键技术简介虚拟化技术简介虚拟化技术分为平台虚拟化（PlatformVirtualization）、资源虚拟

2、化（ResourceVirtualization）、应用程序虚拟化（ApplicationVirtualization），平台虚拟化针对计算机和操作系统的虚拟化，资源虚拟化针对特定的系统资源的虚拟化，比如内存、存储、网络资源等，应用程序虚拟化包括仿真、模拟、解释技术等。我们通常所说的虚拟化主要是指平台虚拟化技术，通过使用控制程序（ControlProgram，也被称为VirtualMachineMonitor或Hypervisor），隐藏特定计算平台的实际物理特性,为用户提供抽象的、统一的、模拟的计算环境（称为虚拟机）。虚拟机中运行的操作系统被称为客户机操作系统（GuestOS），运行虚拟机监

3、控器的操作系统被称为主机操作系统（HostOS）。1.2云计算简介云计算（CloudComputing）,是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需求提供给计算机和其他设备。云计算的典型应用模式可分为3类:IaaS（基础架构即服务）、PaaS（平台即服务）、SaaS（软件即服务）。其中，基于远程桌面视图交付的SaaS层云桌面技术是将数据计算由传统终端（台式机等）转移到后端服务器，终端侧仅负责图形显示及鼠标键盘操作的桌面虚拟化技术云桌面的实施可显著提高数据安全管理水平、降低软硬件管理和维护成本、降低终端能源消耗，是目前云计算产业链的重要发展方向。2云桌面概述云桌面简

4、介在计算机中的桌面是指打开个人计算机并登录到操作系统后看到的主屏幕区域，这就是我们工作的桌面。云桌面也是一个显示在我们屏幕上的桌面，但它的后面不是一个真实的计算机，而是通过网络连接远端服务器上。也就是说，云桌面是由服务器提供的，所有的数据计算运行在服务器上，云桌面仅仅显示桌面图像，并接受键盘、鼠标等外设的输入操作。服务器能同时为多人提供不同桌面，如Windows桌面、Linux桌面等。我们只需要一个客户端设备，或者其他任何可以连接网络的移动设备，通过浏览器或者专用程序，就可以访问驻留在服务器的个人桌面。用户体验和我们使用传统的个人电脑是基本一样的。云桌面的接入终端一般是瘦终端或者普通PC（个人

5、计算机）。部分云桌面系统也支持智能手机、Pad等终端接入设备。接入终端用以处理与服务器间的远程连接协议、输入输出设备、外围设备驱动等，并将终端连接设备映射到服务器会话中，用户可以执行保存、打印、输出操作。云桌面架构一个云桌面系统的典型架构可分为终端接入、云桌面系统和访问的业务系统3个层次，见图1。接入控制FusionManageiFusionComputeXenApp应用虚拟化桌面云资源池云终端1服务器虚拟化瘦终端用户DB(SQL)Web-ServerMailServer桌面会话管理(FusionAcces)接入网关|ebInterfaceUserDatainlign云资源管理及调度Fusio

6、nSph资源池User_Data“.osGPU直通虚拟机-UserData管理员Licensf/TCMDDCXenAPPUserData丄VD丄丄VD丄II,Blerating-System-!CNAljj基础服务图1云桌面系统典型架构云桌面工作流程：用户通过各种终端通过桌面显示协议访问云桌面接入地址或门户，该访问地址或接入门户一般前置负载均衡设备。由用户管理服务器，通过用户管理系统，通常是微软的AD(活动目录)验证用户身份，认证通过后请求被定向到随机或定制的云桌面。用户登录云桌面后，如同登录本地桌面一样访问业务系统进行操作。2.3云桌面的两种主流技术根据云桌面不同的实现机制，目前主流云桌面技

7、术可分为两类：虚拟桌面基础架构的VDI（虚拟桌面基础设施）方式和基于服务器计算模式的SBC（基于服务器计算）方式。VDI方式：在数据中心通过虚拟化技术为用户准备好安装Windows或其他操作系统和应用程序的虚拟机。用户从客户端设备使用桌面显示协议与远程虚拟机进行连接，每个用户独享一个远程虚机。这种技术也可称为桌面虚拟化。SBC方式：用户通过与服务器建立不同的连接session（对话）对服务器上的应用进行访问。通过不同的会话区分和隔离用户，使多个用户同时共享同一个操作系统。可通过策略配置为每个用户提供不同的桌面简而言之，VDI是连接到一个独享的虚拟机，而SBC是连接到共享的终端服务器的sessi

8、on。华为运作面采用的是VDI方式。2.4云桌面优势与传统桌面工作方式比较，云桌面具有明显优势。工作桌面集中维护和部署，提高桌面服务能力和工作效率。云桌面改变了过去分散、独立的桌面系统环境。通过集中部署，IT人员在服务器侧完成所有的桌面管理维护二作，包括操作系统安装、软件更新、操作系统补丁升级、安装防病毒软件等等。最终使用用户不需要对个人工作桌面自行维护，连接云桌面后可运行的程序“所见即所得”，减少了企业大量的桌面维护工作，也提高了企业桌面维护支持的服务水平。数据远程隔离，有效保护数据的信息安全。云桌面的用户桌面环境、业务数据都是托管在远程服务器上，本地终端只是一个显示设备。终端不处理和存储业

9、务数据，通过云桌面系统的策略控制，业务数据无法下载到本地，有效保障了数据的安全。维护人员甚至通过设置不同的本地终端控制策略，禁止用户对本地USB等设备的访问，通过这样的数据隔离措施，企业能够有效的保证数据不被违规带出企业可有效防范数据的非法窃取和传播。多终端多操作系统的接人能力。云桌面是由服务器提供的，用户可随时随地通过移动或固定网络访问。部分云桌面平台还支持多种终端的接入，如瘦客户端、PC机、上网本、手机、平板电脑等，支持苹果iOS（操作系统）、安卓等多种系统平台。具体部署方式根据实际需要决定。3云桌面系统架构3.1云桌面资源分类计算资源池计算资源池为用户提供CPU、内存计算资源。在服务器上

10、安装华为的虚拟化软件，可以在一台服务器上虚拟出多个台虚拟机，提供弹性规格的虚拟桌面。这几个资源池归属同一朵桌面云管理系统。3.1.2存储资源存储资源主要为虚拟桌面提供系统空间和数据空间、还有桌面云管理系统所需要的空间。这些存储都在主用存储上。主存储根据数据类型的不同，划分不同的数据LUN。这里的数据类型主要包括:管理数据、Windows系统数据、用户数据。3.2标准桌面云体系架构逻辑架构逻辑架构图如下：虛拟机集面管理层7;池端按kuLjlll梓制煨崔计算菲础平台虛拟化基础平什WIW服豕頼存鬲两蛻1区订维护竹理系统现冇1T系统硬件资源提供部署桌面云系统相关的硬件基础设施，包括服务器、存储设备、交

11、换设备、机柜、安全设备、配电设备等。虚拟化基础平台根据虚拟桌面对资源的需求，把桌面云中各种物理资源虚拟化成多种虚拟资源的过程。云计算基础平台云计算基础平台包含资源管理和资源调度两部分：云资源管理指桌面云系统对用户虚拟桌面资源的管理。可管理的资源包括计算、存储和网络资源等。云资源调度指桌面云系统根据运行情况，将虚拟桌面从高负载物理资源迁移到低负载物理资源的过程。虚拟桌面管理层负责对虚拟桌面使用者的权限进行认证，保证虚拟桌面的使用安全，并对系统中所有虚拟桌面的会话进行管理。接入和访问控制层用于对终端的接入访问进行有效控制，包括接入网关、防火墙、负载均衡器等设备。运营维护管理系统运营维护管理系统可由

12、一套或多套软件系统组成，主要包含桌面管理和OM管理两部分：桌面管理完成桌面云的开户、销户等业务办理过程。OM管理完成对桌面云系统各种资源的操作维护功能。云终端用于访问虚拟桌面的特定的终端设备，包括瘦客户端、软终端、移动终端等。现有IT系统指已部署在现有网络中(也可部署在虚拟化平台之上)，且与桌面云有集成需求的企业IT系统，包括AD(ActiveDirectory)、DHCP(DynamicHostConfigurationProtocol)、DN(SDomainNameServer)等。硬件组成物理拓扑，各物理组件，包括服务器、存储系统和各种网络设备，物理拓扑如图所示。Ih聚交I换机IHbse

13、A.qsI务骼俎出口路由器孩心交换机防火墻业务网关主机柜从机柜从机柜从机柜服务器计算服务器：用于提供虚拟机资源。管理服务器：用于负责整个云端的资源管理和调度。存储设备：为虚拟机提供存储资源。交换设备接入层交换机：负责本机柜内部的服务器接入。汇聚层交换机：完成云端内各接入层交换机的流量汇聚，与核心层交换机通过三层互通，对接入层交换机提供二层接入功能。核心层交换机（按需配置）：完成云外的通信连接，同时提供对外网络出口。负载均衡器：可选部件，为用户接入提供负载均衡，用于管理用户流量、均衡负载。终端：TC：瘦客户端，用于登录虚拟桌面。SC：软终端，用于登录虚拟桌面。软件组成软件由FusionCompu

14、te、FusionManager和FusionAccess三部分组成。FusionCompute:虚拟化基础平台软件，在服务器、存储设备、网络上构建了一个统一的虚拟化层，实现了资源的整合，使得资源能够被池化的共享和动态分配。提高硬件资源的利用率，简化了对物理资源的管理。主要包括虚拟计算、虚拟存储、虚拟网络以及对这些虚拟资源进行集中调度和管理功能oFusionCompute降低了业务的运行成本，保证系统的安全性和可靠性，协助运营商和企业构筑安全、绿色、节能的云数据中心能力。FusionManager:云管理软件，主要提供资源管理、监控管理，资源发放等功能。在FusionCloud桌面云中，该软件

15、还将集成FusionAccess提供的虚拟桌面管理界面，为用户提供统一的管理入口。FusionAccess：桌面管理软件，主要由接入和访问控制层、虚拟应用层、虚拟桌面云管理层和业务运营平台组成。FusionAccess提供图形化的界面，运营商或企业的管理员通过界面可快速为用户发放、维护、回收虚拟桌面，实现虚拟资源的弹性管理，提高资源利用率，降低运营成本。FusionCompute、FusionManager和FusionAccess软件均通过Portal界面进行操作，在标准桌面云场景下，各软件的操作界面及操作界面对应的主要业务操作如下：FusionAccess桌面云的业务配置与发放桌面云虚拟机

16、的主要日常管理维护FusionCompute基础设施资源管理（主机/集群/存储/网络）用户虚拟机模板制作桌面云虚拟机的部分维护操作（VNC登录、手工迁移、磁盘管理、快照备份）FusionManager所有硬件的资源状态监控3.2.4桌面云各主要组件功能简介TCMFusionManager*济件內交兀y制件Id殳耳FusionCompute上的节点：CNA计算节点代理(ComputingNodeAgent)：功能：提供虚拟计算功能。管理计算节点上的虚拟机。管理计算节点上的计算、存储、网络资源。虚拟资源管理VRM(VirtualResourceManagement)功能：管理集群内的块存储资源。通

17、过DHCP(DynamicHostConfigurationProtocol)为虚拟机分配私有IP地址。管理集群内的计算节点，将物理的计算资源映射成虚拟的计算资源。管理集群内的网络资源(IP/VLAN/安全组/DHCP)，为非VPC虚拟机分配私有IP地址。管理集群内虚拟机的生命周期以及虚拟机在计算节点上的分布和迁移。管理集群内资源的动态调整。通过对虚拟资源、用户数据的统一管理，对外提供弹性计算、存储、IP等服务。通过提供统一的操作维护管理接口，操作维护人员通过WebUI远程访问FusionCompute对整个系统进行操作维护，包含资源管理、资源监控、资源报表等。FusionManager上的节

18、点：集成资源管理IRM(IntegratedResourceManagement)：通过连接器实现与其它管理系统的对接和信息采集功能，是资源数据提供的主体统一硬件接入和管理UHM(UnifiedHardwareManagement)：提供统一硬件接入和管理。统一PortalUPortal(UnifiedPortal)：提供整个系统的UI框架，包括界面的框架风格和布局等。FusionAccess上的节点：GaussDB数据库DB(Database)：GaussDB为ITA、HDC提供数据库，用于存储数据信息。华为桌面代理HDA(HuaweiDesktopAgent)：运行于桌面操作系统内的协议代

19、理。桌面方案控制器HDC(HuaweiDesktopController)：HDC是虚拟桌面管理软件的核心组件，根据ITA发送的请求进行桌面组的管理、用户和虚拟桌面的关联管理、虚拟机登录的相关处理等。T适配器ITA(ITAdaptor)：IITA为用户管理虚拟IT资产提供接口，实现虚拟机创建与分配、虚拟机状态管理、虚拟机模板管理、虚拟桌面系统操作维护等功能。License服务器LIC(License)：提供软件License控制功能。瘦终端管理服务器TCM(ThinClientManagement)：TCM为升腾曦帆桌面管理系统，管理员通过TCM对TC进行日常管理。虚拟接入网关vAG(Virt

20、ualAccessGateway)：vAG的主要功能是桌面接入网关和自助维护台网关。当用户虚拟机出现故障时，用户无法通过桌面协议登录到虚拟机，需要通过VNC自助维护台登录虚拟机进行自助维护。虚拟负载均衡器vLB(VirtualLoadBalance)：功能的主要作用是在用户访问WI(WebInterface)时，进行负载均衡，避免大量用户访问到同一个WI。Web接口WI(WebInterface)：WI为最终用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息(加密后的用户名和密码)转发到AD上进行用户身份验证；用户通过身份验证后，WI将HDC提供的虚拟机列表呈现给用户，为用户访问虚

21、拟机提供入口。单一名称服务UNS(UnifiedNameService)：UNS支持通过统一的域名访问具有不同WI域名的多套FusionAccess系统。减少用户在不同的WI域名间进行的切换和跳转。3.2.5桌面云各组件接口桌面云解决方案接口接口位置作用协议遵循标准虚拟桌面访问接口TC/SC-虚拟桌面终端用户通过该接口访问虚拟桌面。HDP桌面传输协议IT适配接口IT系统FusionAccess企业已有IT系统通过该接口实现对桌面云的管理。REST一IT用户认证接口AD系统FusionAccess用户登录虚拟桌面时，通过该接口对用户进行认证鉴权，保证系统的安全性。LDAPRFC4511RFC45

22、19,RFC1823TC/SGHOPADLDAPRE$TIT兼统RESTREST/HTTP5FusionConpuieFusionManager326桌面云的网络带宽需求桌面云的网络带宽与用户行为，与应用户类型强相关。几种典型应用带宽需求情况如下:空闲：5K20Kbps；Office（Word/Excel）办公应用：20K120Kbps；Internet/WWW浏览（纯文字）：50K150Kbps；呼叫中心客服应用（旁路/分离方案）：100150Kbps；PPT/图片应用：200300Kbps；打印：500800Kbps；标清视频（320P，原始窗口）：15Mbps；带宽至少按4M算；高清视频

23、（480P.720P.1080P原始窗口）：215Mbps；带宽至少按10M算；GPU直通虚拟桌面（CPU压缩）:540Mbps,带宽至少按20Mbps算；GPU直通虚拟桌面（无压缩）:5100Mbps，带宽至少按50Mbp33桌面云安全体系3.3.1虚拟化安全虚拟计算安全虚拟平台(Hypervisor)统一调度管理CPU计算资源，保证每个虚拟机都能获得可用的独立计算资源，确保各虚拟机的虚拟计算资源相互独立安全。故障物理资源被虚拟平台自动屏蔽。若某个虚拟机系统崩溃，不会影响虚拟平台(Hypervisor)及其他虚拟机的正常运行。虚拟内存安全虚拟机的内存由华为虚拟化平台统一管理，每个虚拟化之间内

24、存完全物理分开，相互之间不存在内存的复用，安全性高。计算机的内存一般在未掉电或重新刷新的情况下会保留上个阶段运算的信息。在云计算环境下，内存的动态分配对虚拟机的安全有极大威胁，许多高等级的攻击可能利用剩余信息通过极其复杂的技术来获得用户的敏感信息。通过适当的技术可以有效地消除这种风险：在云操作系统将内存重新分配给用户时，云操作系统对分配的内存作写“零”处理，从而保障在新启动的虚拟机中恶意内存检测软件无法检测到有用信息。虚拟磁盘安全当系统管理员操作“失误”，可能存在将用户磁盘“误挂接”到其他虚拟机的风险，从而导致用户的数据泄露。采用对每个用户虚拟机设置某种与用户关联的标记的方式(在操作系统挂接磁

25、盘时，自动检测虚拟机的属主与标记之间的对应关系)，可防止磁盘“误”挂接。当用户的虚拟机被删除时（如退租），在将磁盘空间（逻辑卷）重新分配给其他租户前，若原用户虚拟机中有敏感或重要数据，系统会将磁盘数据彻底删除。防止恶意用户（或租户）使用数据恢复软件恢复出原来磁盘的数据，导致原用户的数据泄漏。虚拟网络安全安全组是具有同等安全要求的一组虚拟机。安全组可以由一个或多个VM,也可以由一个或多个VLAN所组成。安全组的策略可以细化到VLAN甚至每台VM。安全组隔离相当于APP应用防火墙。不同安全组之间的访问控制由EVS和iNIC来实现。其中EVS相当与IPtable，这是一种内嵌在云操作系统中的一种流量

26、访问控制（ACL）管控软件。iNIC是由支持iNIC技术的网卡及其驱动来完成，由云操作系统的策略管理软件下发相关的策略，iNIC来执行。系统采用EVS还是iNIC来作ACL由云操作系统的自动检测机制来完成，当系统检测到有iNIC的硬件时，采用iNIC，否则自动采用EVS。无论是EVS还是iNIC都支持多达200条/VM的ACL访问控制策略，而且支持状态防火墙。虚拟防火墙由两种形态存在，一种是由硬件虚拟化组成的虚拟防火墙在这种部署下，若干个虚拟防火墙共用一个物理防火墙资源，但是彼此完全独立，也不因一个防火墙的功能影响另一个防火墙功能。硬件的虚拟防火墙规格：支持4096个，支持虚拟IPS，虚拟IPsecVPN。另一种是由软件实现的虚拟防火墙，这种防火墙可以部署在某个VM上，此时虚拟交换机把相关的流量引到虚拟防火墙上，从而实施上述功能。虚拟化防火墙提供REST管理接口，管理员可以在云安全管理平台中配置安全策略，通过REST接口下发到虚拟化防火墙上。管理员也可以在云安全管理平台中登录虚拟化防火墙，进行系统管理和维护工