FusionCloud石化行业桌面云方案

1、FusionCloud石化行业桌面云方案Content2石化行业桌面云解决方案1行业趋势分析3客户成功案例石油&天然气行业ICT未来发展趋势 融合通信无线宽带信息安全云计算大数据数据来源：IDC Vertical IT & Communications Survey 2014石油&天然气行业数字化应用-信息安全问题亟待解决炼化厂原油存储海上油田小型油田加油站零售成品批发化工产业大型油田上游探测 & 生产中游传输 & 炼化办公自动化网络协作办公下游销售中游下游上游 即时通讯、在线联络系统个人办公& Email桌面云办公系统 销售&配送系统 网络销售终端数据存储探测&开采控制系统数据库地质分析系统

2、数据库存储&传输数据库项目管理数据库数据中心专业应用数据库数字化原油传输管道 智能管道传输 SCADA，DCS&PLC 数据处理系统 数字化探测&生产系统 工程控制系统安全信息安全-石油&天然气行业数字化应用亟待解决的问题办公终端的安全要求降低办公运维成本，提升办公电脑的维护效率快速满足员工对办公资源增加的要求移动办公同公司内部办公无缝切换敏感数据保护：有效预防和控制泄密事件的发生审计：采用有效审计手段，行为可追溯安全管理：策略集中管理，数据和设备集中管理遵循监管机构系统等级保护、和保密制度等要求满足这些法律法规对操作审计提出的不同程度要求1.2.3.降低办公维护成本，满足办公便捷性完善信息安

3、全技术体系，降低业务风险增强相关的法律法规遵从度桌面云技术带来办公终端的转型：云端办公，更加安全和高效价值优势本地无数据，安全可控移动办公随时随地接入简单运维一人维护1500个桌面故障快速恢复减少业务中断时间本地存储、计算和应用程序全部迁移到云数据中心PC变成瘦客户机手机瘦客户机PCPad桌面转型Content2石化行业桌面云解决方案1行业趋势分析3客户成功案例石化行业桌面云解决方案逻辑架构端到端解决方案，整合优化，确保综合性能和用户体验瘦终端CT3100CT5100CT6100虚拟机虚拟机图形处理虚拟机云操作系统FusionSphere云平台软件硬件业务管理ITA虚拟资源管理VRM统一硬件管

4、理UHM统一管理系统FusionManagerRH2288HE9000S5500T（可选）桌面管理软件FusionAccess登录界面WI连接控制HDC用户信息DB用户侧数据中心侧网络侧桌面云网关接入交换机防火墙AD/DHCP/DNSIT基础设施其他终端石化行业桌面云典型应用场景普通OA办公卓越体验敏捷高效（运维管理、高效交付、资源高效使用）系统全方位可靠性勘测设计制图高清制图全媒体编辑安全办公接入安全系统安全网络安全管理安全安全上网专区建设加油站/分支机构分支机构方案统一管理就近接入安全办公场景接入安全，传输安全，数据安全，管理安全安全需求：安全隔离、数据集中、统一运维通过内网的PC机访问部

5、署在外网的虚拟机用户只能通过虚拟桌面或虚拟应用访问互联网用户物理桌面终端只能访问业务系统互联网访问流量与业务网访问流量隔离降低和屏蔽威胁来源，避免通过互联网访问所带来的隐患逐步实现集中的统一的标准化的权限管理保障业务应用系统架构的整体性、安全性、高可用性和可扩展性。统一部署和管理用户的工作环境及数据集中管理应用权限，数据的访问权限统一的软件升级及维护，统一数据存放及备份虚拟机里的数据可单项传输到PC机，PC机无法拷贝到虚拟机，通过单向传输控制保证数据安全能通过网络传输协议实现终端剪贴板、本地磁盘的数据访问，实现文本、文件、图像的拷贝粘贴的管控，实现对外设的管控安全隔离数据安全集中管理屏蔽威胁来

6、源安全可靠办公高效统一管理华为安全框架 构筑端-管-云的立体安全防护体系桌面云客户端软件网络应用桌面应用终端安全多种用户接入认证（密码/Ukey/指纹/动态口令/身份认证集成）特定TC接入传输通道SSL加密桌面协议外设端口控制接入控制/传输安全防火墙安全接入网关平面隔离入侵检测防护网络安全数据容灾备份虚拟机终端安全管理系统剩余数据彻底删除（磁盘/内存）磁盘加密可信云平台数据安全操作系统/数据库加固虚拟化防病毒安全补丁虚拟化隔离Web安全云平台安全统一账户管理及认证日志审计分权分域三员分立运维管理安全TC网络接入802.1X认证TC系统只读（重启系统复原）红黑电源防辐射泄漏补丁和升级管理高度的系

7、统裁剪和加固桌面终端接入、网络平台、数据管理用户验证信息用户个人数据企业办公数据运维人员User AUser BColor ThemeCombination of three colors, main theme: company red内外网数据访问管控：桌面协议安全及策略控制HDP/SSL.安全接入网关虚拟桌面数据HDP用户接入控制、数据加密传输应用虚拟化外网数据集中控制：终端与信息分离，桌面和数据在后台集中存储和处理，传输到终端的仅是屏幕的刷新；外设虚拟通道可控：每个虚拟通道都支持可以单独打开或关闭，如：打印控制、USB端口映射管理；数据流向单向控制：只能虚拟机单向导入物理机，不能从物理

8、机向虚拟机写入；协议传输加密：桌面协议传输默认采用AES128算法进行加密保护互联网内网终端接入安全固定TC接入固定TC接入：通过在TC MAC地址/MAC地址组与域用户/域用户组之间建立绑定关系，实现指定域用户/域用户组成员从固定TC/TC组接入桌面。固定TC接入可以和WI任何一种认证方式同时使用。应用场景：在信息安全要求高的场合，只允许特定用户从固定地点的TC登录包含敏感信息的虚拟桌面，以避免敏感信息在其它地方被查看。方式一：手工录入方式二：批量导入桌面云管理员可以通过在ITA界面开启TC绑定功能，并录入TC MAC和用户的绑定关系支持如下两种录入方式：登录体验桌面用户绑定给该用户的TC+

9、桌面用户未绑定给该用户的TC+X被绑定到固定TC的桌面用户，只能从被绑定的TC登录WI，而无法使用其他TC登录桌面。1.登录WI时，TC会将用户名，域名，MAC地址发送桌面云系统，检查TC是否与此用户绑定2.与ITA的预存绑定信息相匹配，则允许去AD鉴权，继续登录过程，否则不允许继续登录3.成功登录进入VM可信终端可信接入安全审计可信计算环境Color ThemeCombination of three colors, main theme: company red桌面协议安全及策略控制HDP/SSL.安全接入网关虚拟桌面数据HDP输出屏幕刷新和盘鼠标指令用户接入控制、数据加密传输应用虚拟化E

10、RP & Other DBEnterprise App Server终端/外设桌面数据中心数据集中控制：终端与信息分离，桌面和数据在后台集中存储和处理，传输到终端的仅是屏幕的刷新；外设虚拟通道可控：每个虚拟通道都支持可以单独打开或关闭，如：打印控制、USB端口映射管理；数据流向单向控制：U盘只读，只能单向导入虚拟机，不能从虚拟机向U盘写入；协议传输加密：桌面协议传输默认采用AES128算法进行加密保护可信终端可信接入安全审计可信计算环境虚拟化安全隔离基础设施隔离：管理平面、存储平面、业务平面物理网络隔离。虚拟化边界隔离：通过虚拟化防火墙实现数据中心的边界隔离和访问控制。提供ACL、Anti-D

11、oS、IPsec VPN等功能。虚拟化资源隔离：虚拟机之间通过VLAN实现二层隔离，通过安全组实现三层隔离和访问控制。VM IP和MAC绑定，防止ARP欺骗攻击。Guest OS虚拟硬件虚拟机1虚拟机2计算资源统一分配模块121112221OSAppOSAppvcpu1vcpu1vcpu2vSwitchVMVMVMVMVMVMVMVMVMVMVMVM安全组1安全组2安全组3网络隔离：vSwitch支持VLAN隔离，层次化QoS控制访问控制：基于安全组配置安全策略，自动应用到各成员VM。安全策略随虚拟机动态迁移。0资源隔离：CPU、内存、磁盘IO基于虚拟机进行隔离vNic安全：禁止混杂模式；MA

12、C、IP地址禁止修改；避免欺骗攻击提供虚拟机级别的访问控制手段，避免病毒、威胁在不同租户间扩散，防止威胁蔓延智能、弹性安全防护，VM漂移、扩容无需人工配置安全策略特点：层次化的安全防护价值可信终端可信接入安全审计可信计算环境虚拟化防病毒和入侵防御Guest VMDriverGuest VMDriver安全 VMDriverAV APPHypervisor无代理集中防病毒处理模块Guest VMDriver网络包智能引流IDS/IPS安全API( 引流)安全API (管理)安全产品管理FusionSphere1.“省心”：每个用户虚拟机中无需部署威胁防护软件，防病毒扫描工作offload到集中的

13、扫描服务器上，客户端无扫描引擎，不会出现特征库更新的场景，减少了威胁防护的消耗，实现性能优化，可以提升用户体验10%以上。2.“省事”：用户虚拟机创建后，就自动实现了最新的防护能力。3.“网络安全下沉”：随着网络规模扩大，集中部署防火墙等安全设备将成为数据中心网络的瓶颈，网络安全功能下沉可以缓解核心的压力，就近防护，分布式部署，弹性扩展。瑞星趋势科技可信终端可信接入安全审计可信计算环境管理分权分域和三员分立分权分域：支持设备和业务 “分权分域管理模式”，使得管理员不能越权管理；管理支持集群和跨集群授权，粒度可具体到虚拟机。三员分立: 1.系统安装时，生成系统管理员、安全管理员、安全审计员；2.

14、系统中的不同用户相互监督、相互制约，每个管理员各司其职；举例：系统管理员创建管理员账号，此时账号处于非激活状态，需由安全管理员授与相应的操作权限，并审批后才能生效。安全管理员安全审计员系统管理员日志审计安全管理用户管理权限管理安全策略管理.系统管理虚拟机管理存储管理网络管理.超级管理员可信终端可信接入安全审计可信计算环境石化行业桌面云解决方案相关安全认证国家信息安全测评中心云计算安全测评报告公安部销售许可证公安三所安全检测报告华为云计算软件著作证书华为桌面云是国内唯一一家获得JFJ安全测评中心B级认证资格的云计算产品JFJ测评中心安全认证普通OA办公场景卓越体验，敏捷高效，系统可靠从终端到云端

15、的用户办公体验感受保障显示声音&视频高清制图友好界面 虚拟化性能业界最佳 虚拟桌面的密度和规模 办公体验保障 安全和效率保障高性能虚拟化平台桌面控制协议关键技术HDPMedia高保真Music压缩算法：人声优化：低延时：高采样率：关键技术 GPU硬件虚拟化32路云图形工作站/显卡百兆码率高清视频，图像智能识别技术HDP协议硬件加速压缩图像至毫秒级关键技术HDPMedia视频场景智能识别：帧率动态调整：视频数据动态自适应多媒体重定向：Flash重定向：关键技术HDPDisplay非自然图像采用无损压缩：重复图像数据不传输：支持多种图像压缩算法：系统可靠敏捷高效卓越体验自动化运维管理工具资源高效利

16、用简易安装统一运维高效办公，高效运维，高效资源利用物理、虚拟资源统一管理桌面云业务及统一故障管理简化安装包，优化安装流程一体机形态支持预安装 及快速交付软件/外设兼容性测试工具健康检查及日志收集工具连接检修工具用户体验优化工具一键式恢复工具性能收集和分析工具用户自助维护工具决策者.成本管理员.高效用户.体验管理员.高效资源复用存储精简配置移动办公虚拟桌面企业总部异地出差在家办公系统可靠敏捷高效卓越体验管理平台内容终端虚机业务可靠性虚机管理可靠性平台可靠性客户端连接保障全方位可靠性保障网络网络闪断自动重连网络状态自动侦测关键部件HA资源预留应对物理故障虚拟机快照应对VM故障分支站点本地接入应对网

17、络中断桌面协议端口协商自动切换应对应用软件冲突桌面代理软件防误删桌面代理软件防误杀VM蓝屏自动重启管理节点内存，CPU，硬盘状态自动监控业务层状态监测故障自动恢复 & 故障自动隔离分布式数据一致性检查业务容灾时钟自动同步系统可靠敏捷高效卓越体验全内存桌面方案，提供极致用户体验NAS或SANVMHypervisor存储资源系统母盘(共用只读)差分盘用户盘VM用户盘VM计算资源系统母盘(压缩去重)差分盘差分盘内存资源方案优势说明全内存极速桌面除了具链接克隆桌面的优势，还有极高的读写性能。启动，重启虚拟机都非常快 管理员支持统一虚拟机模板部署、统一完成模板更新和还原全内存桌面云创建速度快；支持快速批

18、量创建和发放虚拟机方案原理说明采用内存去重压缩和复用技术，将桌面虚拟机的系统盘全部放到内存中，使得桌面虚拟机的磁盘读写操作，转化为内存操作，大幅提升用户的使用体验，超越本地物理机支持链接克隆类型/场景的虚拟机，不提供系统盘上个性化数据能力；非常适用于公用上网机(网吧)、电教室、学校上机室、电子阅览室等无状态桌面场景技术特点相同OS多个客户虚拟机共享同一母镜像，母镜像可统一升级、维护。每个客户虚拟机保存虚拟化镜像差异化部分可以实现关机自动还原降低存储成本60% 创建单个链接克隆虚拟机仅需12秒适用场景任务型桌面，或只有个性化数据、但没有个性化程序的场景（可以拥有临时性个性化程序，但母镜像更新后会

19、丢失）显著提升管理效率， 大幅降低存储成本母镜像标识盘差分盘虚拟机虚拟机虚拟机虚拟机系统盘链接克隆虚拟桌面移动办公接入网关虚拟应用或VDI接入网络WIFIHSPA/LTE技术特点兼容性好软终端兼容Android/IOS智能终端触摸终端优化放大镜、本地拍照嵌入、自动弹出输出键盘、手势滚动等Windows应用软件“0”开发智能终端只负责输入输出和屏幕显示，Windows应用软件无需针对Pad进行开发安全性好支撑VPN加密通道传输，避免信息被截取模式灵活支持SBC应用虚拟化（Beta）和VDI两种模式适用场景固定办公的补充：移动审批、移动文档查阅等，简单高效加油站/分支机构场景统一管控，业务连续性加

20、油站：集中部署，多加油站远程接入加油站特点和客户要求外设数量多：加油站业务种类繁多，涉及各种信息系统，需要支持多种专业外设。稳定性要求高：加油站生产业务时间长，不允许长时间中断，对桌面稳定性有很高的要求。华为桌面云建议方案管控系统不建议上直接连接多台加油机，对性能和传输速率要求较高，不建议切换到桌面云中控系统与税控系统可以上中控系统与税控系统有依赖性，需要合并在一台桌面上。税控系统通过USB转串口连接桌面。零售店系统与发卡系统可以上零售店系统可以与发卡系统合并在一台桌面上，业务之间无相互影响。对于大型加油站，出于业务量考虑，也可以将两个系统分开到单独的桌面。网络带宽需求便利店系统，按照普通办公

21、标准来制定，上行20-100kbps；下行200kbps中控系统，峰值为：上行600-800kbps；下行100-200kbps综合建议：每个加油站给桌面云单独规划出4Mbps以上带宽。集团总部云数据中心加油站 A加油站 B加油站 C加油站 DFusionAccess分支机构：集中管控，分布式部署FusionAccess总部站点分支机构分支机构分支机构业务系统本地资源本地资源本地资源广域网分支站点支持多达255个灵活统一的管理维护：总部管理员可以集中运维，减少分支机构运维负担。安全策略、软件应用补丁等由总部管理员统一发布和维护。两级管理，分权分域：支持设备和业务分权分域管理，管理员不能越权管理

22、；管理支持集群和跨集群授权，粒度可具体到虚拟机。虚拟机资源本地获取：分支机构与总部间仅交换管理数据，用户的业务默认由本地分支机构提供，无需远程连接到总部，降低了网络延时对业务的影响。高安全性：各分支机构与管理中心通过SVPN连接，并能做到各分支机构之间互相隔离，组网成本低但数据安全性比较高。分支机构解决方案优势勘探设计制图场景高清制图 限制：GPU虚拟机不支持HA不支持双显示器每刀片（基于E9000）最多支持4块Q2000或2块Q4000 GPU卡；2块K2000或2块K4000 GPU卡；块1或块2普通VMGPU VM GPU VM普通VMHDPGPU直通TC瘦客户端PC软客户端Fusion

23、Compute直通原理服务器的GPU以直通方式分配给虚拟机，这样虚拟机就可以使用GPU获取3D加速能力该方案优势是兼容性好，性能高，但成本高，推荐场景：1、全媒体编辑中高清视频渲染合成处理或是多轨120M高清视频编辑的场景2、高清制图中复杂图纸编辑、图纸总装或者体验要求苛刻的用户场景多GPU直通技术满足用户图形处理需求服务器技术原理1、虚拟化平台将一块物理显卡虚拟化多个虚拟显卡，每个GPU虚拟机可以绑定一个vGPU，满足3D应用的图形渲染需求2、GPU硬件虚拟化虚拟机和GPU直通虚拟机一样，可以通过NVIDIA显卡驱动可以直接访问GPU硬件资源，具有与PC一样的性能和兼容性GPU硬件虚拟化技术

24、满足用户图形处理需求限制1、目前只有Nvidia K1和K2显卡支持GPU硬件虚拟化；每CH221刀片或是RH2288 V2服务器支持一块K1或是K2显卡2、 RH2288H V2一体机不支持GPU硬件虚拟化3、GPU硬件虚拟化虚拟机不支持HA优势1、GPU硬件虚拟化是在硬件显卡上实现的虚拟化，性能更高，具有具有与PC一样的性能和兼容性2、高密度并发，降低GPU用户成本，一块K1显卡最多可以支持32中低端用户。对于中低端的3D应用及标清视频编辑需求，建议首推荐GPU硬件虚拟化方案普通VMGPU VM GPU VM普通VMHDPGPU虚拟化TCPC软客户端FusionCompute服务器vGPU

25、vGPUPhysical GPUContent2石化行业桌面云解决方案1行业趋势分析3客户成功案例华为桌面云服务于石油化工领域的办公信息化建设2014年华为服务全国30家能源化工企业中石化总部办公桌面云中石化山东桌面云项目上海高桥石化。桌面云主要项目情况中石油天津大港油田一期中石油天津大港油田二期中石油廊坊管道局乌鲁木齐西部管道公司川庆钻探远程培训教室项目西南油气田培训教室青海油田长庆油田通信处虚拟化项目。中国石化主要威胁来源于终端，为了解决信息安全问题，提升信息服务水平，需要对终端进行统一规范、统一部署、统一管理、统一维护、统一监控。需要降低整体信息技术平台的运营、维护成本，保障业务连续性，

26、实现绿色安全的接入环境。业务挑战华为桌面云助力中国石化两网隔离桌面虚拟化项目中国石化两网隔离项目，内网继续使用PC访问内部业务系统，访问外网数据，采用华为FusionAccess的链接克隆桌面，重启后系统还原，可有效避免外部病毒感染。采用HDP协议的单项传输控制，保证外网数据安全的传输到内网，但内网数据对外传输被禁止，有效的保障了两网的数据安全。解决方案实现中石化内网安全办公和外网安全访问的统一管理和维护两网隔离、数据集中、统一运维隔离外网来的安全风险客户收益华为桌面云部署中石化总部朝阳门大楼3000办公用户高桥石化是我国第一个跨行业、跨部门的特大型经济联合体，隶属于中国石油化工集团公司。伴随其信息化规