XX桌面云解决方案建议书模板

1项目概述 61.1项目背景 61.2项目目标 61.3需求分析 71.4建设原则 82XX桌面云解决方案及优势 92.1XX桌面云总体架构 92.2XX桌面云优势 2.2.1领先的HDP协议 2.2.2灵活桌面部署方式 2.2.3人性化使用设计 2.2.4端到端安全设计 2.2.5高可靠性解决方案 2.2.6端到端解决方案 2.2.8大规模交付与实施 2.2.9原厂服务保驾护航 3桌面云设计方案 3.1总体设计方案 3.2应用场景方案设计 3.2.1OA办公桌面云解决方案 3.2.2研发安全办公桌面云方案 3.2.3营业厅桌面云解决方案 3.2.4会议室桌面云解决方案 3.2.8内外部网络隔离安全上网场景 3.2.9分支机构桌面云解决方案 3.2.10移动办公桌面云解决方案 3.2.11Internet访问桌面云设计方案 3.2.12PC利旧改造方案 3.2.13双网物理隔离桌面云方案 3.2.16全媒体编辑桌面云方案 3.2.17呼叫中心桌面云解决方案 3.3网络设计方案 3.3.1桌面云逻辑组网图 3.3.2网络带宽需求 3.3.4IP资源需求 3.4安全设计方案 3.4.1用户名+域密码认证方案 3.4.2USBKEY双因子认证方案 3.4.3域密码+指纹双因子认证方案 3.4.4动态口令双因子认证方案 3.4.5USB端口管控方案 3.4.7802.1X网络接入认证 3.4.8多安全域隔离 3.4.9桌面云安全杀毒方案 3.5数据迁移设计方案 3.5.1直接迁移方案 3.6系统可扩展性方案 3.6.1集群内主机可扩展性 3.6.2虚拟桌面管理节点可扩展性 3.6.3存储扩展性 3.7运维管理方案 3.7.1总体架构 3.7.2运维解决方案特点 3.7.3虚拟桌面管理 3.7.4权限管理 3.7.5策略管理 3.7.6软件与补丁管理 3.7.7资源管理 3.7.8监控管理 3.7.9告警管理 3.7.10拓扑管理 3.7.11配置管理 3.7.13统计管理 3.7.14开放接口 3.7.15TC统一管理 3.8虚拟机备份设计方案 3.8.1备份需求分析 3.8.2虚拟机备份方案介绍 3.8.3备份窗口设计 3.8.4备份策略设计 3.8.5备份服务器设计 3.8.6备份存储设计 3.8.7备份系统恢复设计 3.8.8备份系统方案设计 3.8.9方案优势 3.9业务容灾方案 3.9.1方案概述 3.9.2瘦终端自主容灾 3.9.3方案特点 3.10配置方案 3.10.1桌面数量规划 3.10.2瘦终端 3.10.3服务器 3.10.7网络设备 3.10.8接入网关 3.10.9配置清单 3.11部署方案 3.11.1机柜物理部署方案 3.11.2管理软件及虚拟机部署方案 4XXX桌面云项目收益分析 4.2项目价值 XXXX多年来一直采用传统PC作为业务终端，截止目前累计有XX台。缺乏有效的管理手段来控制USB口、串口、并口的非法设备的接入，存在数据泄密风故障造成文件丢失，将对企业造成巨大损失。用户修改桌面环境的需求各有不同，其桌面标准化一直是一个难题。低碳经济的大趋势。随着移动办公理念的兴起，人们希望能在任任时间、任何地点、任何设备都能登录自一套全新的解决方案，替换传统PC并解决以上的问题。出数据中心。来能方便地扩展为企业私有云架构。1000人（根据项目实际情况填写）Eclipse/MENTOR/ALTUIM/VC/MATLAB/等软件除以上桌面用户的基本功能需求外，系统还应支持以下能力：一管理等。为使本建设方案合理、科学达到上述目标，必须遵循以下原则：坚持标准化的建设模式，贯彻国家和行业相关业务、管理和技术规范标准，并积极制订项目相关标准规范。硬件的选用应遵从国家和行业技术标准。采用成熟、先进的技术，确保系统技术的先进性和前瞻性，尽可能采用先进的软件体系结构和应用平台，建设符合信息技术的最新发展潮流的应用基础架构和应用系统，保证投资的有效性和延续性。用户的身份认证和权限管理，对应不同的应用层次。既能保证不同用户高效、快速地访问系统应能使管理员通过集中控制中心方便地配置、监视、控制、诊断整个系统，并且能够监视和控制用户情况、提高效率、消除隐患。管理人员可通过系统管理功能和权限管理方便地维护和管理该系统。系统技术平台设计时要分析现有需求并预测未来的增长，既满足目前的要求，又要适的发展，要立足在现有的基础上升级改造，保护现有投资。2XX桌面云解决方案及优势XX桌面虚拟化以服务器虚拟化为基础，允许多个用户桌面以虚拟机的形式独立运行，同时共享CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来，同时可以实现精确的资源分配，并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障所带来的影响。XX采用业界领先的高清保真HDP桌面协议，并可将授权用户安全连接至集中式虚拟桌面。它与FusionSphere协同工作，可提供一个完整的端到端桌面虚拟化解决方案，此解决方案不仅能增强控制能力和可管理性，还可以提供与PC一致的桌面体验，XX能简化虚地对其进行部署、管理和维护。XX各部件简要介绍如下：为用户提供用户桌面的显示输出，以及键盘鼠标输入。瘦终端TC、或软终端SC通过桌面接入网关代理访问对应的桌面，同桌面接入网关之间采用SSL加密的HDP协议进行信息传递，可以通过策略开放或者禁止TC/SCUSB等外设至虚拟机的重新定向；用户通过XX是XX提供的桌面管理与投送软件。XX桌面云为用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息（加密后的用户名和密码）转发给身份认证系统（如微软AD），认证通过后将提供的虚拟机列表呈现给用户，为用户访问虚拟机提供入口。XX还提供虚拟桌面管理功能，提供B/S模式管理Portal，实现虚拟机镜像管理，虚拟桌面业务发放，虚拟桌面生命周期管理，虚拟桌面登录管理，虚拟机的策略管理等功能。提供桌面云License的管理，用于控制器接入桌面云的用户数。XX可发放虚拟桌面与应用虚拟化。AD/DNS/DHCP：AD域控用于用户登录鉴权，DHCP用于域内IP内计算机名、桌面云登录域名的解析。TC管理（TCM）：对瘦终端进行集中管理，XX虚拟化软件提供虚拟资源与物理资源管理功能（统一拓扑、统一告警、统一监管理功能，硬件配置、统一监控（带内和带外）、硬件统一告警、硬件拓扑、异构硬件支主备管理节点VRM组成。一对VRM对应一个物理集群。一个物理集群中可以把多台服务器划分成一个资源集群（又叫HA资源池）。计算资源池不包括网络资源与存储资源。一个物理集群中可以包含多个资源集群。多个物理集群（此时对应多对VRM）可以级联。计算技术作为基础，使整个系统具有以下优势：通过云平台HA、热迁移功能，能够有效减少设备故障时间，确保核心业务的连续性，避免传统IT上经常出现的单点故障导致的业务不可用。易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。便于业务的快速发放，缩短业务上线周期，高度灵活性与可扩充性、提高管理维利用云计算技术可自动化并简化资源调配，实现分布式动态资源优化，智能地根据应用负载进行资源的弹性伸缩，从而大大提升系统的运作效率，使IT资源与业务优先事务能够更好地协调。大领域，可为客户提供丰富的以云计算为核心的ICT业务。同时秉承开放合作的理念，提供覆盖全行业的端到端IT解决方案。帮助客户构筑先进、高效的IT平台，提高客户内部运作效率和业务效率。XX提供端到端的云计算解决方案，提供完全自研的虚拟化软件第一。XX在桌面协议、高清制图、安全领域构筑差异化竞争力。XX服务器经过12年的发展，产品形态已经覆盖机架服务器、刀片服务器、高密度服务器，同时针对业务应用开发出相应加速部件，满足各种市场业务应用。XX存储依托‘存以智用、融以致远’的创新理念，坚持自主研发创新，以及报告因为迎来首位中国厂家而翻开新的一页，也再度增强了全球关键客户的购买信心。在标准和专利方面，XX是云计算主流标准组织DMTF董事会的第一家中国公司，担金牌会员，SNIA的董事会成员（BoardMember）。XX广泛参与XXIT产业全球布局，在深圳、西安、北京、杭州、成都等地构筑交付能力中心，不断增强创新能力和核心竞争力。XX公司针对本项目提供了端到端的桌面虚拟化解决方案。方案涉及的主要部件均可云解决方案主要优势如下：2.2.1领先的HDP协议HDP是XX自研的新一代云接入桌面协议，是XX在电信行业的语音、视频、图像处理等领域20年的技术积累之作。相对传统的桌面协议，它的先进性体现在：协议。可通过单独的策略设置保证每个通道的通讯安全以及最佳用户体验。只有变化的部分数据会传输，极大降低带宽。HDP协议还提供广域网优化功能，2.2.2灵活桌面部署方式存极速桌面，高性能图形桌面。桌面云可以有灵活的发放方式，可提供1对1、1对多，多对1，多对多方式的多种发放方式。完整复制桌面完整复制桌面云（支持Windows和Linux）桌面利用虚拟化技术与远程桌面投送技术。在桌面云中心，利用虚拟化技术把服务器与存储虚拟成一台台弹性的虚拟主机。完整复制虚拟桌面在创建时，系统会给这个虚拟桌面分配一份独立系统盘空间，并将虚拟机模板完整复制到系统盘上。这样每个完整复制虚拟桌面都有单独的系统盘与用户数据盘。基于虚拟机级别的隔离；安全性高；个性化强；外设支持类型丰富；用户体验与传统PC一致，可以按照用户的工作负荷弹性修改虚拟机规格。每个用户都有一个独立的虚拟机，虚拟机系统盘和数据盘都通过集中的存储设备加载。用户通过本地瘦终端，或软终端可以远程登录虚拟机。虚拟机采用业界性能领先、带宽要求低的HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端的无本地存储、USB可管控，功耗低。办公环境相对PC环境更简洁，无噪音。链接克隆桌面链接克隆桌面与完整复制桌面的区别主要在于系统盘的存储上。链接克隆桌面的虚机共享一个相同的系统母盘，每台虚拟机系统盘的不同部分（如工作临时缓存数据、个性化安装的个性化应用程序（C:\ProgramFil分盘组合映射为一个链接克隆盘作为虚拟机的整个系统盘（即C盘），提供给虚拟机使用。对于虚拟机的差分盘，可以配置更新还原策略，还原策略可配置为手动还原与重启还原。每次更新系统母卷时，差分盘也会自动清除。台对于链接克隆母盘提供iCache加速功能。可以将系统母盘的热点数据缓存到服务器本地磁盘、或本地内存中。这样就减小了对共享存储的性能冲击。XX支持在不依赖于微软的AD策略，能够对用户的U理，以及个人网盘的挂载。接克隆桌面除拥有完整复制桌面云的安全隔离、外设兼容性、工作体验外，还有以下优系统运维和安全带来极大便利，对IT系统稳定性提供较好保障。者中了木马，只要把虚拟机重启，差分盘就可以自动清除，保障了系统的安全。这时候链接克隆桌面就像沙箱桌面，非常适用于公用上网机(网吧)、电教室、学校上机室、电子阅览室等场景。高性能图形处理桌面由于虚拟机的虚拟显卡处理能力有限，图形软件在虚拟机上运行受到限为解决这一问题，XX推出了GPU硬件直通与GPU硬件虚拟化技术，借助于此技术，虚拟桌面可以直接访问服务器上显卡，从而支持高性能图形软件。可提供nVidia的图2-5GPU直通与虚拟化高性能图形桌面2.2.3人性化使用设计为了提升用户的使用体验，提高用户自助运维能力，减轻管理员的运维负担。XX桌面云在设计时充分考虑了人性化的设计，并推出了一系列辅助运维工具。自助维护台，桌面云健康检查工具，桌面云连接检修工具，桌面云体验优化工具，基础架构虚拟机一键式恢复工具，日志收集工具，自动数据迁移工具，性能与兼容性收集和分析工具。特别适合于IT人员较少，规划、运维压力较大的机构使用。节日祝福、会议提醒、升级通知、操作指导等；通过用户自助维护通道，员工可以自己解决由于误操作或应用程序导致虚拟机网卡禁用，桌面Agent服务被停止所导致无法正常登录问题，也可以解决操作系统启动过程中的异常。而其他厂家遇到同样的问题，员工只能通知管理员来解决。支持虚拟机与终端网络状态指示灯，桌面处于连接状态时，指示灯有红、黄、绿三种颜色，分别对应网络极差、网络不佳和网络良好三种状态。当虚拟机关机或网络故障时，指示灯变灰。支持用户灵活设定虚拟机电源策略管理，用户可以通过电源管理界面，对虚拟机电源策略进行设置。支持如下电源策略管理：桌面云登录界面提供在线指南链接，在线指南包括：桌面云常见问题处理方法、常用设置、常见禁用操作、常见问题的快速处理方法、常见问题处理案例等。XX推出桌面管家工具套装（vDesk&vTools），包括一系列桌面云工具，如连接修复工具、桌面云体验优化工具、日志收集工具等。通过这些XX在多年桌面云研发、部署与运维中积累的经验工具，让用户在使用XX桌面云更方便、速度更快、故障更少。虚拟机里有桌面代理用户发送和解析桌面协议，当桌面系统的版本进行升级时，原有虚拟机里的代理软件也需要更新。XX可以通过虚拟化平台实现自动化批量推送，提升升2.2.4端到端安全设计为保障数据中心安全，云计算采用了完整的安全架构，避免出现安全真空，强化了网络隔离和虚拟化隔离，安全架构层面主要采用了分层和纵深防御的思想。从防范非法用户和恶意系统管理员的角度进行系统的防范，保证存放桌面云数据中心的数据做到非法用户“进不来”，即使进入系统数据也“拿不走”，即使进入系统机密敏感数据也“打不开”，非法人员作案后“赖不掉”，机密数据“丢不了”。等单一认证和双因子认证，确保接入用户的合法性，同时XX桌面云还支持LiteAD认证（非微软AD，XX独有）。等手段，保证业务运行和维护安全。证虚拟机隔离安全。虚拟化平台从数据完整性、身份认证、数据访问隔离控制、数据机密性等方面保证用桌面云所有管理系统都提供完善的日志，保证所有管理员的操作都有日志记录，供事桌面云系统支持三员分立的管理，实现系统管理员、安全管理员、安全审计员的权限制衡（XX独有）。XX桌面云提供防病毒接口，支持趋势等业界主流无代理防病毒产品，保障用户虚拟机安全的同时，解决桌面云大规模应用时传统杀毒方案造成的杀毒风暴问题。2.2.5高可靠性解决方案XX桌面云从管理节点、桌面连接、服务器、存储、网络端到端地保障桌面云高可靠XX桌面云管理节点采用负载均衡或热备设计，保障业务的连续性。管理节点提供故障自恢复，故障节点自动隔离功能。管理节点提供CPU/内存/磁盘占有率状态检控，超过桌面云全系统时钟同步，管理数据自动备份。XX虚拟桌面系统提供故障检测功能，故障信息收集和存储集群节点可用性度量的功将对合理调整、分配系统资源，提高系统整体性能起到重要作用。通过在每个被监控的节点上运行探针程序，XX虚拟桌面系统可以收集它运行的机器的核心指标如CPU使用情况、基础网络流量和内存数据等，检测到诸如进程崩溃、管理和存储链路异常，节点宕机、系统资源过载等各种异常，使系统具备完善的故障检测能力。管理节点和计算节点引入电信领域“黑匣子”技术：在系统出现异常时自动存储内核日志、系统快照、内核诊断信息及临终遗言，并保存至非易失性存储设备（计算节点）或XX系统提供数据一致性审计功能：定时审计VM及其卷文件的相关数据和状态的一桌面代理软件防误操作删除，虚拟桌面会把安装目录下的文件夹进行锁定，所有删除该文件夹下任何文件的行为被禁止。桌面协议软件进程异常或者误杀可以自动恢复。网络闪断或者其它原因连接短暂中断后，桌面云会自动重连。XX桌面云XX配合FusionSphere虚拟化平台，提供虚拟化热迁移、虚拟机HA、虚拟机快照备份功能来保障虚拟桌面的可靠性。4.服务器可靠性设计服务器可靠性包括内存、硬盘、电源等多个层面的内容，如：支持硬盘热插拔和RAID功能，提供硬盘在线故障检测和预警。排好业务后进行下电更换。配合智能的风扇调速和监控，确保系统运行的可靠性。XX桌面云系统存储提供多路径，存储冷迁移，存储热迁移等功能，保障存储的可靠桌面云采用SAN作为存储设备，在SAN高可靠性的基础之上，采用RAID机制，配置热备盘做冗余备份，保证数据不丢失和故障快速恢复。网络路径全冗余核心层交换设备通过使用交换机集群技术，保证对外与防火墙/NAT和对内汇聚交换汇聚层交换设备通过使用交换机集群技术，保证对外与核心层交换设备和数据中心内接入层交换机连接的冗余。接入交换机通过使用交换机堆叠技术，保证对外与汇聚层交换设备和对内虚拟网络层虚拟网络层通过采用多网卡绑定等技术避免单个网卡故障引发的业务中断。网络分平面通信系统通信平面划分为业务平面、存储平面和管理平面。为了保证各种网络平面数据的可靠性，不同平面间采用VLAN等技术进行隔离，单个平面故障不影响其余两个平面的正对于各通信平面（业务、存储、管理）均采用双网卡，双网卡采用了Bonding模式，两网卡被绑定成逻辑上的“一块网卡”后，同步一起工作。既能对服务器的访问流量进行负荷分担，又能保证其中一块发生故障的时候，另外的网卡立刻接管全部负载，过程是无缝2.2.6端到端解决方案XXIT产业全球布局，在美国、德国、深圳、西安、北京、杭州、成都等地构筑交付能力中心，不断增强创新能力和核心竞争力。面云软件等端到端全方位的产品，通过交付端到端的解决方案，提供最佳的用户体验与软硬件兼容性。2.2.7自主可控的云软件在信息安全形势日益严峻的今天，越来越多的客户逐渐意识到掌握信息化主权的重要意义，尤其是在安全应用场景，需要具有自主知识产权的国产解决方案。XXXX虚拟桌面基于成熟的FusionSphere虚拟化平台，二者都是XX历时多年完成的自研、自主可控的软件系统，在终端准入、接入安全、管理安全和用户数据保护等方面提供多重保护，且通过了国家信息安全评测中心、公安部、解放军等行业的安全测评。2.2.8大规模交付与实施XX云计算解决方案，部署了全球最大规模的桌面云（10万用户），总结了丰富的工程交付与系统运维经验。整体方案包括云软件、服务器、存储、交换机、终端等关键部件经受了大规模的商用验证，确保其应用到其他任何一家企业的可能。业突破，如中国农业银行、中国石化、国家电网、华中科技大学、深圳证券交易所、2.2.9原厂服务保驾护航队，可快速解决后期问题，以及接纳客户的定制化需求。基于XX全套自有产品的售后支持题缓慢的情况。3桌面云设计方案本项目为了实现高安全、高可靠、高性能、易远程集中运维、平滑扩容的目标，采用业界主流成熟的虚拟化技术，实现虚拟桌面、服务器虚拟化等要求。本项目方案主要以下池化后VDI桌面、应用虚拟化、服务器虚拟化的服务器分别组成集群。池化后服务器上运行虚拟机便于管理、监控。虚拟机在集群里可以实现定制策略迁移、手动热迁移、故障热迁移。资源池的设计具有高可靠、平滑扩容特性。虚拟化以服务器虚拟化为基础，允许多个用户桌面以虚拟机的形式独立运行，同时共享时可以实现精确的资源分配，并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。XX采用业界领先的高清保真HDP桌面协议，并可将授权用户安全连接至集中式虚拟决方案不仅能增强控制能力和可管理性，还可以集控制能力和可管理性于一身：由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护。与PC一致的体验：用户可以灵活访问与普通PC桌面功能相同的个性化虚拟桌降低总体拥有成本(TCO)：桌面虚拟化可以减低其管理和资源成本。统一软硬件管理：为了便于硬件设备（服务器、存储、交换机）、虚拟资源的集中管理，采用XX的虚拟化管理软件FusionSphere。FusionSphere采用B/S架构，可以远程统一管理本项目中VDI桌面、服务器虚拟化三源、虚拟资源；支持虚拟机的快速部署、定制化策略调度。计算资源池计算资源池为用户提供CPU、内存计算资源。在服务器上安装XX的虚拟化软件，可一朵桌面云管理系统。存储资源存储资源主要为虚拟桌面提供系统空间和数据空间、还有桌面云管理系统所需要的空间。这些存储都在主存储上。主存储根据数据类型的不同，划分不同的数据LUN。这里的//请根据实际项目选用相应的场景，其它不需要的场景3.2.1OA办公桌面云解决方案OA办公桌面云应用场景特点：OA办公桌面云是指企业使用桌面云来进行正常的办公活动。用户的虚拟机运行等。桌面云可对接入USB设备、打印设备、存储设备进行映射管理；虚拟机里可安装监控软件，提供多种安全方案，保证办公环境的信息安全。XX桌面云支持与企业已有的IT系统对接，充分利用已有的IT应用。比如利用已有面分配IP地址；通过企业的DNS来进行桌面云的域名解析等。OA办公用户采用完整复制桌面云。完整复制桌面云基于虚拟机级别的隔离，每个桌面都有单独的系统盘，安全性高；个性化强；外设支持类型丰富；用户体验与传统PC一致。每个用户都有一个独立的虚拟机，虚拟机系统盘采用服务器的本地存储，高度集成。置，每个人独占一台虚拟机。用户通过本地瘦终端，或软终端可以远程登录虚拟机。虚拟机采用业界高保真的HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端的无本地存储，不涉密。可管控，功耗低。办公环境相对PC环境更简洁，无噪音。3.2.2研发安全办公桌面云方案研发办公桌面云场景特点：企业研发环境对于信息资产的共享和安全存在不同的控制要求，受控数据传输系统需要满足企业信息安全管控的需求。法，微星阅读器，用户虚拟桌面颜色至少32位，保证图像显示质量；研发桌面云还有常用研发办公采用用户与虚拟机1：1配置，每个用户都独占一台虚拟机。研发办公桌面云采用瘦终端，只允许连接虚拟桌面，所有USB端口可禁用U盘，本地安全不留密。虚拟机的规格可以按照办公软件的负荷调整。安全基于虚拟机级别的隔离，每个桌面都有单独的系统盘，安全性高；个性化桌面；外设支持类型丰富；用户体验与传统PC一致。XX研发桌面云解决方案的优势：支持安全级别定制化设置：安全分区级别支持定制化分级控制机制，支持企业定制以满足差异的信息安全管理需求，单一安全分区内部支持指定桌面实例的安全组设置，满足方案成熟，部署规模弹性可扩展：部署规模从数百台终端可以灵活扩展到万台规模，3.2.3营业厅桌面云解决方案营业厅应用场景的特点：数据存储、交换需求。营业厅终端：所需外设多，需支持各种打印机、扫描仪外，还需支持SIM卡读写器、密码小键盘、摄像头、手写板等外设。企业营业厅系统划分为服务人员使用的桌面系统、业务办理的客户使用的自助系统。营业厅解决方案针对营业厅分布地域广泛，网络连接质量差异大的特点，改进了桌面云系统的调度和连接优化配置，可以有效的克服网络闪断，网络速率抖动等恶劣条件，保证企业营业厅系统的高质量服务。营业厅解决方案提供即插即用的外设终端接入方案，并通过预置的具备广泛兼容性的驱动插件支持常见的串口、并口、USB口外设；支持多种类型的打印机、扫描仪、读卡根据企业营业厅的业务特点，桌面系统的认证方式也支持多种。对于客户自助系统的桌面还可以支持免认证登录桌面系统、即时打印服务清单等功能。XX桌面云营业厅解决方案的优势：营业厅解决方案是针对各种营业厅推出的解决方案，营业厅解决方案有如下优点：统一部署和管理，保证即插即用的客户体验。便于企业统一新业务上线。提供的系统，即时打印服务清单等功能。3.2.4会议室桌面云解决方案2.本地员工一般有自已的私有办公桌面，自己办公点和会议室存在一定的物理距离。3.异地性，出差员工没有办公桌面，临时使用，使用人频繁，需要保证其使用的桌面不保留前一个使用者的数据信息。对于本地员工在会议室开会，通过会议室的本地TC可以直接登录自已的私有桌面；对于出差员工使用的桌面，采用普通链接克隆桌面，建立一个会议室虚拟桌面资池，以动态多用户方式（动态池）分配给用户。只需要会议室用户组与会议室虚拟桌面池绑资源池回收，清除会议使用时残留数据。3.2.5员工轮班桌面云解决方案（并发License方案）使用同一个TC办公，各自需要使用独立的办公环境，用于知识的积累和邮件的处对于这种分时轮班的使用场景，虚拟桌面一对一的分配使用，可以保证虚拟机级别的隔离；安全性高；用户使用户个性化。在配置方案时，需要关注并发用户与总用户的差别。TC、服务器数量、虚拟桌面的License都按并发用户数来配置；存储资源按总用户来动当前上班用户虚拟桌面。3.2.6公共上网区/阅览室桌面云解决方案（全内存极速桌电子阅览室场景中，用户只需要登录和使用虚拟机，阅览所需要的软件提前安装在镜像中，业务比较简单。电子阅览室主要有如下特点：此场景对存储的要求不高，考虑到存在安全威胁，非常适用全内存虚拟桌面。多个全内存桌面共用一个只读的系统母盘，这个母盘中安装电子阅览所需要应用软件，是只读的。这个母盘就不会感染病毒、木马。系统母盘在虚拟机启动后，会完全复制到内存中进木马。只需要对虚拟机进行重启，内存数据即可清除，还原到系统的初始状态。管理员要对虚拟机进行升级、打补丁，只要更新存储里系统母盘即可。为提高资源复用率，可使用动态多用户方式（动态池）分配给用户。定的虚拟机账户，开机即可登录使用。流动的用户不用再输入帐户与密码，使用起来非常3.2.7电教室桌面云解决方案（采用全内存极速桌面方案）各科教师均使用电教室的同一个虚拟桌面为学生演示教学课件，可以使用U盘。每个学生1台虚拟机，教师可以监控学生操作虚拟机的画面，虚拟机里安装教学软件，下课后教师统一重启所有虚拟机。学生机房主要有如下特点：XX全内存极速桌面可快速满足电教室的桌面应用需求。全内存虚拟机是运用IOTailor技术，将虚拟机的系统母盘数据，进行在线实时去重压缩后，全量放入内存；以此获得极高的读写存储IO性能。用户对系统盘的读写会临时分配一部分内存作为差分盘。每个用户的系统盘（即C：盘）就是共用系统母盘与差分盘合并。放入内存的数据不进行实时持久化，虚拟机关机或者服务器主机重启，虚拟机将恢复到初始状态。将内存作为用户虚拟机的系统盘介质，极大的提高了操作系统对系统盘IO性能；同时运用了基于内存的在线重删和实时压缩技术（简称IOtailor技术），将多个用户虚拟机的系统盘进行去重，大大缩减了数据占用存储空间。为提高资源复用率，可使用动态池方式（Pool）分配给用户。链接克隆桌面除拥有完全复制VDI的安全隔离、外设兼容性、工作体验外，还有以下优势。管理员需要发布或升级软件、系统升级与打补丁，只要更新系统母卷就可以，对IT系统运维和安全带来极大便利，对IT系统稳定性提供较好保障。由于共用系统母盘，创建虚拟桌面减少系统盘的复制过程，具有桌面云具体创建速度快，占用户空间小的优势；支持快速批量创建和发放虚拟机。全内存桌面采用内存保存用户工作的临时系统数据。内存就像一个沙箱，任何不安全的程序、软件都可以在这个沙箱里充分演示，即使虚拟机中了病毒、或者木马，只要把虚拟机重启，内存数据就可以自动清除，病毒与木马与随之清除，保障了系3.2.8内外部网络隔离安全上网场景通过新建专用上网桌面云解决企业安全上网的问题，内部网络与桌面云通过网络设备相互隔离，内部网络用户桌面的PC不能直接访问互联网，所有的互联网访问都必须通过桌面云实现，管理员可以根据用户的帐号来决定是否给用户发放上网桌面云。网时通过虚拟桌面实现，虚拟桌面不会与本地内网进行数据交互。外网数据通过HDP协议的文件发送功能，将外网文件发送到内部网络，无需审批。管理员需要关闭桌面云的其他重定向功能，避免用户通过USB重定向、文件重定向或剪贴板重定向等功能获取数据。内网数据传出必需通过安全数传系统，并经过审批和文件安全扫描后才能传递到外网。外网数据传到内网无需进行审批和安全扫描。通过全内存虚拟桌面或链接克隆桌面发放虚拟机，多个桌面共用一个只读的系统母盘，这个母盘中安装上网所需要应用软件，是只读的。这个母盘就不会感染病毒、木马。系统母盘在虚拟机启动后，会完全复制到内存中进行读写。用户登录使用时，上网、浏览产生的临时数据保存在内存中，即使内存中了病毒木马。只需要对虚拟机进行重启，内存数据即可清除，还原到系统的初始状态。管理员要对虚拟机进行升级、打补丁，只要更新存储里系统母盘即可。使用动态多用户方式（动态池）分配安全上网桌面给用户，提高资源复用效率。3.2.9分支机构桌面云解决方案随着企业市场的扩大，企业在各地的分支机构也会越来越多。而且这些分支机构一般人数较少，为了节约维护成本，要求统一管理。XX推出了分支机构桌面云解决方案，通过降低系统复杂性、提高分布式部署能力，极大地提升了系统的灵活性。总部与各分支机构根据用户数部署虚拟桌面需要的物理资源（包含管理软件、计算、存储和网络节点）。总部人数较多，选择标准的服务器+存储设备。分支机构用户数少，也按相应用户数部署服务器+存储设备，或桌面云一体机。为了总部的统一管理，总部需要部署全套的桌面云软件XX、虚拟化管理软件以接受总部的管理；部署全套的桌面云软件XX、云运维管理Portal，支持多个分支机构的快速业务发放、桌面管理、资源统计。为了总部管理分支机构的操作流畅，分支机构与总部之间的带宽最好不小于2M。为了保障总部与分支机构的安全。分支机构与总部各部署一套SVPN设备，通过SVPN建立安全隧道，实现分支机构与总部在同一内部网络中的网络互通，然后把各分支机构的数据（服务器、存储、网络）导入到总部管理节点，完成整个方案系统的环境部署。桌面管理系统统一部署在总部，与分支机构会产生管理流量的交换，用户就近登录本地分支机构的远端模块使用虚拟机，业务流只在本地产生。运维负担。安全策略，软件应用/补丁等，由总部管理员统一发布、管理、维护。总部管理员也可为分支机构的本地管理员分配桌面云相关操作权限，进行分权分域管理。虚拟机资源本地获取：分支机构与总部间仅交换管理数据，用户的业务默认由本地分支机构提供，无需远程连接到总部，降低了网高安全性：各分支机构与管理中心通过SVPN连接，并能做到各分支机构之间互相隔离，组网成本低但数据安全性比较高。3.2.10移动办公桌面云解决方案子流审批场景，不适合客户长久的网络接入办公场景商用。员工提高办公效率的一大利器。办公人员可在任何时间（Anytime）、任何地点（Anywhere）使用移动终端设备安全快捷地处理与业务相关的任何事情（Anything）。办公人员摆脱了时间和空间的束缚，可以随时随地的进行工作处理，使得工作更加轻松有效，整体运作更加协调，有效提高管理效率，推动企业效益增长。传统移动办公方案只是把客户原有应用系统经过中间件转化适配到移动终端上，保证移动终端与客户原有系统业务应用系统功能保持一致。信息安全差：关键信息容易外泄，信息流在公网传送，容易被截获，对用户行为监控难。终端差异化大：办公系统往往基于PC机windows系统开发，终端种类繁多，移植移动终端处理能力较弱：由于移动终端着重于便携性强、续航性长，以电池供电，相对较弱的数据处理能力。可以在家或非办公室时通过3G/4G网络，或通过WIFI网络接入桌面云。用户不仅可远程登录虚拟机，同时也可以通过发布的应用程序用户无需登录虚拟机直接使用应用，对带宽的要求更低。脑、Pad、手机终端接入，可以实现无缝的随时随地接入进行远基于桌面云的移动办公具有以下优势：管理高效：桌面/应用集中部署、集中授权、集中交付、集中监控。能处理，提高处理速度与用户体验。3.2.11Internet访问桌面云设计方案一个AG接入网关来保障传输安全，增加防火墙来防范网络攻击。接入网关可以使用SVN/vAG(软件接入网关)来实现。TC通过广域网接入访问VM说明：防火墙上增加两个公网IP（或采用一个公网IP，两个不同端口）。在防火墙上配置NAT，映射到负载均衡的LB_MIP与接入网关的AG_MIP。登录控制流TC——Firewall（VirtualIP：LB_VIP）——AG（MappedIP：LB_MIP）—云终端登录时经过防火墙映射为接入网关上的LB_MIP，经过负载均衡分发给WI。VPN网关的登录和用户登录WI的身份认证是一次性完成的。用户登录认证成功后，云终端收到返回的用户票据信息。HDP业务流（SVN做AG功能）TC——Firewall（AGVIP）——AG（MappedTC在登录的身份认证成功后，会收到返回的用户认证票据。瘦终端携带用户认证票据户真实内网IP，用户就可以访问虚拟机了。为了保障桌面云中心的安全，在防火墙上进一步划分安全域进行隔离。桌面云的管理域中。几个区域按照开放端口在防火墙中配置相应的访问控制策略。3.2.12PC利旧改造方案本项目中现网办公中还有部分PC，为了充分利用现有资源，节省资金。桌面云客户端改造成只能运行桌面云客户端，能做类似于瘦终端功能使用，不能再访问PC的本地程户像使用本地桌面一样使用虚拟桌面。用户需以管理员帐户在Windows的PC操作系统上跳转到WI登录界面并锁定。用户不能切换到PC本地界面。用户登录桌面云，也只能操作3.2.13双网物理隔离桌面云方案方案一：双网口TC方案由于内网桌面云与外网桌面云是物理隔离。用户要同时接入这卡有效满足双网连接需求，DVI-I接口支持双屏扩展显示。用户可同时登录操作两个虚拟接两个显示器时，每个显示器可以显示一个虚拟桌面，两个显示可同时操作。方案二：切换器切换方案制瘦客户机连接内网还是外网桌面。但是因为是通过切换器进行切换，因此同时只能显示一个虚拟机的虚拟桌面，增加用户使用难度。该方式适合于不需要同时使用内外网办公的场景。3.2.14高性能图形桌面云方案—GPU直通方案由于虚拟机的虚拟显卡处理能力有限，图形软件在虚拟机上运行受到限制，容易出现各种问题，比如3D软件安装不上，运行出错，或者渲染过程中卡屏。为了解决图形软件是显卡的图形处理单元。虚拟机由于运行在虚拟环境中，不能直接访问硬件。我们登录到虚拟机的设备管理器上看到形形色色的硬件，其实都是虚拟化平台模拟的。如果虚拟机要直接访问硬件，需要CPU能够提供一种虚拟化技术才能够支持。在Intel芯片中，这种技术叫VT-d技术，在AMD芯片中，叫做IOMMU技术。借助于这种技术，虚拟机可以访问服务器上的显卡。由于服务器的PCIe接口数量、空间、功率限制，只能插入少数显卡，每台服务器可以有少数几台虚拟机可以直通GPU。其他虚拟机仍是普通虚拟机。这可以满足显卡视频缓冲区。为了将缓冲区内容实时无损地投送到TC侧，虚拟机采用CPU压缩后，有效降低了传输带宽。TC侧再解码将图像内容清晰地呈现给用户。为了让更多的人可以使用GPU直通的虚拟机，可以将所有GPU直通虚拟机放在一个资源池桌面组里。资源池桌面组是一种业务发放方式，这种业务方式中，用户数大于虚拟机的数目，这样，相同的资源可以让更多的人使用。只有真正有需要时，才通过动态池方3.2.15高性能图形桌面云方案—GPU硬件虚拟化由于虚拟显卡处能力有限，图形软件在虚拟机上运行受到限制，出现各种问题，比如3D软件安装不上，运行出错，或者渲染过程卡屏。为了解决图形软件（如Catia、（NvidiaGRIDK1/K2）可虚拟成不同类型的多个vGPU。每个图形加速虚拟桌面绑定一个GPU硬件虚拟化采用的GRIDK1/K2针对数据中心级的功率效率的要求来设计，采用vGPU的虚拟机都可以通过NVIDIA的显卡驱动直接访问GPU硬XX的HDP使用专用的低延迟的远程显示技术使用显卡硬件抓取虚拟桌面图像减少延迟，并且使用图像识别技术对桌面图像进行识别后采用不同的压缩算法，将虚拟桌面高效压缩编码后发送到TC，使用户与虚拟机进行交互时大大提高用户体验。3.2.16全媒体编辑桌面云方案XX桌面云通过GPU直通方案，配合高效的XX桌面协议，支持电视台全媒体编辑场视频渲染合成编辑采用专业图形工作站方式进行后台业务处理，常用于电视台编辑等多媒体领域专业设1.使用集剪辑、特效、合成于一体的集成化后期制作平台，对多轨2.高清渲染合成编辑场景的视频文件编辑内容复杂，合成、渲染计算需求量较大，硬25Mbps标清编辑本场景具有如下特点，用户使用编辑软件进行业务处理，如标清视频的编辑及视频审查，除基本的2D功能外，用户具有3D硬件加速要求，对视频进行计算、渲染有一定性能当前国内大部分省市电视台都是以标清为主，此类场景可以通过GPU硬件虚拟化中低采用专业图形工作站方式进行桌面业务处理，常用于多媒体领域专业设计人员，此类1.高清编辑场景的视频文件编辑内容复杂，需要同时处理多轨高清视频、多轨音频、多轨字幕、画中画特性等，渲染计算需求量较大，需要高处理能力CPU，配置中高端系列2.具有较高显示分辨率要求，通常使用高分辨率显示器如1920*1用场景对于计算、渲染能力要求较强。度约为4000像素（pixel）。对于主流的视频厂商而言，更倾向于制造在此分辨率下，观众将可以看清画面中的每一个细节，每一个特写。影院如果采用惊人的4K像素，因此无论在影院的哪个位置，观众都可以清楚的看到画面的每一个细节，影片色彩鲜艳、文字清晰锐丽，再配合超真实音效，这种感觉真的是一种难以言传的享XXHDP桌面协议采用智能视频识别算法，能实时识别桌面协议对桌面实时传输的视频区域，针对视频采用专门的高效压缩算法，支持视频流畅播放，降低带宽占用。XXHDP桌面协议采用智能图像识别算法，针对文字等体验要求高的区域采用无损压缩算法，针对自然图像采用有损压缩算法，这种方式能够在不降低用户体验的情况下，降低带宽，减轻网络压力。结合XX桌面云GPU直通技术，在VM（虚拟机）中取消mirrordriver，释放了mirrordriver对GPU性能的损耗，VM侧采用基于NVIDIA的TeslaM60提供的硬件抓图、压缩接口，减轻了CPU的压力，提升VM的性能。基于以上技术，XX桌面云率先在业界推出了4K码率超高清视频编辑解决方案。）：3.2.17呼叫中心桌面云解决方案多数企业用户部署的呼叫中心越来越多的由TDM方式的语音解决方案演进到采用IP语音解决方案。XX呼叫中心桌面云解决方案将采用低时延、大带宽的网络基础设施，采用扁平化的网络组网方案，与桌面云系统端到端的配合，确保语音质量达到传统呼叫中心XX呼叫中心桌面云解决方案的优势：支持平滑迁移：完善的呼叫中心平台和桌面云的集成方案，平滑迁移客户原有呼叫中快速应用，优质语音：XX桌面云系统整合XX数据通信、电信设备设计制造的优方案一：软电话嵌入瘦客户端的云坐席方案(媒体旁桌面云VM：提供座席桌面，桌面采用Windows系列操作系统以及坐席软件(IE浏览器以及CRM系统相关插件)。CRM系统包含客服人员常用的业务web界面和话务前台的web界面，用来查询计费，知识库，开始呼叫排队，对客户发起点瘦终端使用HDP协议连接至座席桌面，通过HDP协议完成键盘/鼠标/以及显示信息的传递，使得座席操作人员可以进行座席桌面的远程访问进行业务处理并获得在本方案中语音流路径与呼叫信令路径都是瘦终端(语音软终端语)、呼叫中心服务器及通信网络，到达客户手机或固话。本方案由于语音不再经过虚拟机，减少了语音时延，所以语音体验较好。需要切换到瘦终端界面。为了避免用户虚机界面与瘦终端界面之间的来回切换。XX桌面云将软终端界面合并到了虚机界面中。用户在虚机界面中也就可以直接操作软终端了。这样就省去了界面切换的麻烦，提高了工作效率。间。PC终端要求是Windows7SP132/64bit，Windows1032/64bit。方案二：基于硬电话方式的客服桌面云方案座席话机：作为座席话机终端提供语音通讯功能，采用SIP/RTP同UAP对接。客服人员直接在话机上接听和拨打电话，没有VoIP软终端。桌面云VM：提供座席桌面，桌面采用Windows系列操作系统以及坐席软件(IE浏览器以及CRM系统相关插件)。瘦终端：瘦终端使用HDP协议连接至座席桌面，通过HDP协议完成键鼠和显示本方案仍采用传统的POTS电话，只是将PC切换成虚拟桌面。用户在虚拟机里完成呼叫中心的业务处理。电话呼叫接听仍使用传统POTS硬电话或VoIP硬终端。3.2.18公共终端桌面云解决方案（LazyDesk）公共终端桌面云方案（LazyDesk）是一个为了简化桌面云登录使用而推出的一套功能TC与虚拟机绑定隐藏TC的开始菜单、控制面板和所有应用，仅允许HDP客户端开机启动隐藏TC的CS客户端的状态栏，不允许对登录的URL进行更改TC保存登录的用户名与密码LazyDesk的应用场景在于简易登录使用，提升效率，主要用于如下场景：会议室其它需要简单登录，高效使用场景//采用标准桌面云时，请保留本章节。采用桌面云一体机的方案时，删除本章节。3.3.1桌面云逻辑组网图瘦终端防火墙客户数通网络业务网络管理网络存储网络桌面云服务器资源池柜内接入交换机桌面管理资源池存储资源池核心交换机软终端每个桌面云用户可以在办公位上使用TC、或者PC接入到桌面云中心。瘦终端放在每个用户的办公位，每个位子提供百兆或千兆GE网口就可以。桌面云部署在客户的数据中心机房中；需要与客户的核心交换机对接。考虑后续扩展面划分为业务网、存储网和管理网。三个网络之间是隔离的，保证最终用户不能破坏基础存储网络：存储网络通过多路径确保链路冗余，服务器与存储设备通过存储网络二层直接互通。存储设备为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台业务网络：为用户提供业务通道，为虚拟机虚拟网卡的通信平面，对外提供业务应用。HDP协议与虚拟机访问外部应用系统都是经过这个网络。各业务部门可以细分VLAN整体网络划分为两层，分别为接入层、核心层。分VLAN，将管理、业务、存储三个平面逻辑隔离。接入交换机再上行汇聚到核心交换XX云桌面通过内部的接入交换机汇聚后，接到客户核心交换机。核心交换机配置VRRP协议，为管理网络和业务网络提供冗余网关。3.3.1组网图(2288HV5一体机)客户数通网络万兆以太核心交换机每个桌面云用户可以在办公位上使用TC、或者PC接入到桌面云中心。瘦终端放在每个用户的办公位，每个位子提供百兆或千兆GE网口就可以。4*10GE直接上行到客户核心交换机。桌面云一体机融合计算、存储、网络资源，提供虚拟化资源。每台2288HV5服务器出2*10GE以太网口。这两个万兆以太网口通过万兆以太网交换机高速互连。桌面云网络通信平面划分为业务网、管理网、存储网。三个网络之间通过VLAN逻辑上是隔离的，保证最终用户不能破坏基础平台。每台2288HV5服务器两台万兆口需要承载桌面云业务、管存储网络：桌面云一体机采用2288HV5服务器上的本地存储。本地存储通过SAS口直存储资源池。虚拟机通过存储网络访问为虚拟机提供存储资源。由于存储网络跨服务器之业务网络：为用户提供业务通道，为虚拟机虚拟网卡的通信平面，对外提供业务应用。HDP协议与虚拟机访问外部应用系统都是经过这个网络。各业务部门可以细分VLAN管理网络：负责整个云计算系统的管理、业务部署、系统加载等流量的通信。每台服平面隔离，也可以不进行隔离。BMC设备管理口通过电交换机交换机，便于远程统一管理。3.3.2网络带宽需求桌面云的网络带宽与用户行为强相关，下面几种典型应用带宽需求情况如下：注：无应用静默30%表示统计平均同时有30％的用户无应用静默。网络带宽利用率按照80%计算，可得出各种应用场景的带宽要求。1、假设有100个用户，为普通OA办公每用户平均带宽需求＝（4kbps*30%(无应用静默)＋20kbps*25%(Office打开静默)+2、假设有100个用户，为研发办公场景，则每用户平均带宽计算如下：每用户平均带宽需求＝（4kbps*15%(无应用静默)＋20kbps*5%(Office打开静默)+/****备注***/1、上述带宽都是平均值，实际上桌面云带宽跟用户操作关系很大，比如用户缩放窗3.3.3网络QoS设计要求本项目的虚拟化平台方案设计需要承载网络有一定的带宽保证和基本的QoS保证，确保虚拟桌面OA办公业务的正常使用，虚拟桌面TC—VM之间的网络质量可以分为以下级1、桌面云网络QoS的要求达到往返时延<200ms，抖动<40ms，丢包<3%。2、桌面云数据中心内部通过以下方式保证QoS：二层网络启用802.1P，进行流分类，标识3、传输网络需要启用区分服务保证QoS：根据HDP的优先级表示，进行不同的DSCP标记，设置为EF或者AF级别，进行优先转发，保证网络拥塞后的HDP流量优先转发。3.3.4IP资源需求服务器的的BMC、服务器底层虚拟化各需要一个管理IP。对于做HA可靠性的两个节点需桌面管理虚机：ITA+DB+HDC（主备）各需要一个IP每台虚拟机需分配数据中心侧的IP网段一个IP，每个瘦终端需分配用户接入区的一个存储设备的每个网口、服务器的接口都需要存储网络的IP。核心交换机为每一个子网启用一个VLANIF接口，并将VLANIF地址作为网关地机柜内的虚拟机之间通过柜内接入交换机进行二层互通。机柜间虚拟机通过核心交换机实现三层互通，将网关地址为VLANIF地址。瘦终端访问虚拟桌面通过核心交换机三层//请根据实际项目选用相应认证方案，其它不需要的场景3.4.1用户名+域密码认证方案XXX项目桌面云采用AD域帐号+域密码方式进行身份认证。用户输入AD域帐号与密码，登录时到AD服务器进行认证。认证成功即可以进入用户虚拟桌面。在虚拟机里Ctrl+Alt+Del就可以锁屏，输入域密码解锁。3.4.2USBKEY双因子认证方案USBKey属于智能卡的一种，每个USBKey都具有硬件和PIN码码构成了两个必要因素（双因子认证）。用户只有同时取得USBKey和PIN码，才能登录系统。即使用户PIN码泄漏，只要用户持有的USBKey不被盗，合法用户的身份就不会被仿冒。如果用户USBKey遗失，拾到者因不知道用户PIN码，也无法仿冒合法用户身份。本项目提高用户接入认证的安全，用户身份认证采用USBKEY双因子认证的方案。用户登录时，先插入USBKEY，再输入PIN码，就可以登录用户的虚拟机。这样既能保证用户的良好体验，又能最大限度地提高用户身份认证的安全。用户登录桌面时插入USBKEY，即可以登录进入用户的WindowsXP与Win7虚拟机。用户在使用USBKEY过程中，只要拨出USBKEY就可以锁屏，再插入USBKEY，输入PIN即可解锁。用户使用XP(32bit)。设备不保证一定能够在虚拟桌面中使用，请提需求做兼容性验证。3.4.3域密码+指纹双因子认证方案在高安全桌面云中，要求提供用户名/密码和指纹认证的双重认证才能进入用户桌面。在虚拟机中安装指纹驱动时，先进行指纹注册。注册成功指纹就与虚拟机的绑定了。用户登录WI时，用户输入用户名密码之后，可看到用户虚拟列表，再进入虚拟机，需要刷指3.4.4动态口令双因子认证方案桌面云支持动态口令认证。令牌认证使用动态密码技术，每隔一段时间，令牌上的密码就会变化，避免了静态密码被摄像、偷窥的风险。令牌认证再结合AD域密码就可以实现双因子认证，增强安全性。令牌认证需要在桌面云系统增加令牌认证服务器。用户认证时需要输入用户域帐号、域密码、动态密码。XX先到令牌认证服务器上认证，再到AD上认证，两者都认证通过，用户就可以进入桌面云，看到熟悉的Windows系统界面。//指纹登录虚拟桌面特性主要包括以下约束：1、目前通过对接联调的动态口令认证服务器厂商为上海动联和飞天诚信。3.4.5USB端口管控方案对于研发场景，只要求接鼠标/键盘、其余存储、打印机都不允许接入。这种场景配置安全版的瘦终端即可。另外XX中HDC具有丰富的外设映射策略，可以提供USB设备管理，能够区分USB鼠标/键盘和USB存储设备，针对USB存储设备，提供允许/禁止/只读控制能力。同时外设映射策略可以基于AD用户账号、用户组、虚拟机组进行配置。3.4.6固定TC/TC组认证为了进一步保证合法用户登录虚拟机，满足追溯到人的安全要求，可以限制用户只能在指定的TC/TC组上登录虚拟机。桌面云管理员可在ITAPortal将TC/TC组的MAC与用户/用户组的域帐号绑定。这样用户只能在固定的办公、或办公区域进行访问桌面云。如果用户更换办公位、或更换瘦终端，需要通知管理员在ITAPortal重新更新MAC地址绑定域3.4.7802.1X网络接入认证在每个办公座位上，都有网口，为了禁止非法用户通过网口接入网络，使用网口需要3.4.8多安全域隔离//桌面云系统需要在防火墙上做安全域隔离时选用，请根据实际项目选用，不需要时非信任域瘦终端桌面管理虚机桌面管理虚机AD/DNS/DHCP管理GaussDB\WI\HDC\FusionComputeLoggetter\TCM\Patch用户虚拟机VMVMVMVM硬件...用户虚拟机VMVMVMVM虚拟化管理虚机FusionManager用户虚拟机VMVMVMVM平台域DMZ域SVNvAG在本项目的桌面虚拟化解决方案中，采用防火墙设置了不同的安全域，通过配置防火墙的域间包过滤功能，设置不同安全域之间的访问策略。防火墙提供域间包过滤功能主要功能，支持设置ACL（AccessControlList，访问控制策略）。通过设置ACL策略，制某一方向、或某一接口上的通信流量，能有效阻止信息被访问的程度，降低信息泄露的非信任域：虚拟化终端所处的区域，该区域接入用户多，且用户类型难以控制，安全DMZ域：隔离区域，该区域主要部署安全接入网关SVN。部门1~部门N的用户域：各部门的用户虚拟机，每个部门的用户虚拟机划分一个安全//有代理式防毒建议采用网络版软件，便于做统一的病毒扫描、特征码更新的策略。//无代理式防毒现在仅支持趋势软件。无代理防病毒现在阶段还没有大规模使用，主要问题在于无代理防病毒扫描在后台进行扫描，扫描到病毒后会直接清除文件，而桌面云用户却无感知，可能误删文件；无代理防病毒还不支持查杀虚拟机内存病毒；无代理防病毒不支持桌面云用户手动发起对某个文件（如用户取得一些新文件）的查杀。3.4.9桌面云安全杀毒方案用户虚拟机用户虚拟机基础架构虚拟机VM1VM2VM3VM1VM2VM3VM4AppAppAppWIHOSOSOSOSOSOSOS计算集群存储集群桌面云的虚拟机主要包括虚拟化管理节点虚拟机，桌面管理虚拟机与用户虚拟机。管理节点采用加固的Linux操作系统；但管理节点提供外部操作平台与外界存在B/S交互操作，不存在病毒感染。可不安装杀毒软件。供防病毒软件功能。防病毒软件通过设置定期任务，定期查杀病毒，防止基础架构虚拟机遭受病毒入侵。为减小防病毒任务在虚拟化环境中执行时对共享资源的占用量，并且避免多台虚拟机同时运行全盘扫描、病毒特征码更新等任务，防止资源消耗冲突，建议用户安装为虚拟化环境提供了性能优化功能的网络版防病毒软件；防病毒管理服务器可以设置统一分时的扫镜像白名单、虚拟机之间病毒扫描结果共享等优化功能，可以减少防病毒扫描工作量，避免高资源占用任务的并发执行。3.5.1直接迁移方案业务数据迁移采取直接迁移的方案，在同一网段下可以直接访问，跨网段需要在路由器上路由，及开放netbios协议端口139和445。网络条件具备后，用户就可以自己进行数据文件的迁移拷贝了，详细步骤如下：在PC机上通过IE登录虚拟机，点击虚拟机开始菜单—>点击运行(输入cmd)—>弹出的DOS窗口中输入ipconfig，即可看到虚拟机IP地址登录虚拟机，查看虚拟回车，打开虚拟机上的对应磁盘，如果提示输入密码，请输入域账户和密码：将PC机上需要拷贝的文件复制（拖动）到虚拟机对应的盘符即可。3.6.1集群内主机可扩展性80000个虚拟机支持。每VRM集群支持的服务器数量最大可达到256台，每VRM集持32个HA资源池。每HA资源池内支持的服务器数量最多可扩展至128台服务器，可轻松满足未来桌面的平滑扩容需求。单虚拟机可扩展性设计：单虚拟机支持vCPU个数最大可以扩展到64个，内存可以扩3.6.2虚拟桌面管理节点可扩展性过20000用户容量后，需要新增加一套虚拟桌面管理节点，虚拟桌面管理节点之间属于分布式，相互之间完全独立。3.6.3存储扩展性根据存储需求增长，可以实现存储在线平滑扩容，根据规划可以在线扩展磁盘、磁盘的不同LUN，或者两套不同存储之间进行迁移；满足客户存储进行平滑扩容的需求。3.7.1总体架构XX桌面云运维服务管理，基于B/S架构，提供远程集中运维管理，全中文界面。XX运维管理参考ITIL标准，基于统一维护，可运营、可管理的理念，设计了符合虚拟化产品资源，VDI桌面，提供基于定制化策略的自动化运维系统。运维系统架构如下：用户可通过IE、Firefox浏览器访问桌面云系统运维系统，无需安装本地客户端。3.7.2运维解决方案特点XXXX的统一资源发放WEBPORTAL，业务发放更灵活、更高效。强大的OM运维能力，支持用户三员分立、分权分域管理，安全性高。管理员可通过Portal快速地进行业务发放、桌面管理、模板管理、权限管理、资源管理、监控管理、告警管理、拓扑管理、虚拟桌面快速发放，添加用户账号无需手工操作。支持有AD域或无AD域桌面，不依赖于AD系统，简化桌面云系统的部署。管理员登录支持SSL、数据加密、用户密码加密保存，确保用户数据安全。桌面管理支持虚拟桌面生命周期管理、快照、使用快照创建虚拟机和恢复虚拟机。为拓扑管理能让管理员非常直观地看到系统的部署情况、运行情况。告警管理支持告警转E-Mail、短信的即时通知，使用户及时了解系统。用户桌面日志、管理日志进行集中收集和分析。统计管理支持灵活配置、报表统计分析。独立任务中心：支持创建任务，任务支持批量创建、启动、关闭、重启、唤醒、休眠操作虚拟机，任务支持立即执行、指定时间、周期性触发、按天、周、月设定定时任务，支持任务执行结果记录查询。桌面云系统支持软件HA，高可靠性，减少故障对系统和业务的影响。支持系统配置自动备份，避免系统数据丢失。支持动态节能，例如：虚拟机长时间未用则自动休眠、用户再次使用时自动恢复虚拟机使用；虚拟机自动调度包括定时迁移关闭启动虚拟机、将虚拟机集中运行在某些服务器并下电其他服务器。3.7.3虚拟桌面管理虚拟桌面运营管理由XX提供，该系统基于Web架构，用户可通过IE、Firefox浏览器访问，无需安装本地客户端。并且支持管理员分级分域管理。虚拟机发放支持虚拟机的单个发放或批量发放。批量发放可以发放给一批人，批量创建后的虚拟机有系统盘、用户盘，关联到AD域帐号。如下图是批量发放虚拟机截图。虚拟机发放给用户即绑定用户，只有绑定用户才能访问虚拟机。支持发放时自动绑一个虚拟机可以绑定给一个用户，也可以绑定给多个用户。多个虚拟机组成的资源池，可以共享绑定给多个用户。适用于多种用户场景，例如个人办公虚拟机则一一绑定，公用虚拟机则一对多或多对多绑定。桌面管理应用于用户进行虚拟桌面的发放和维护场景。用户通过桌面管理主要完成以虚拟机管理该模块可完成虚拟机的启动/唤醒、重启、休眠、关闭、删除、解分配、以及高级功能（强制重启、强制关闭、追加用户、删除用户、虚拟机配置调整、链接克隆虚拟机一键还一键式还原针对链接克隆虚拟机，强制还原虚拟桌面系统到初始状态。安全删除功能把虚拟机删除后，但磁盘空间不会立即可用，会在后台进行磁盘空间的虚拟机模板和镜像管理支持虚拟机模板的创建、修改、删除、查看。虚拟机模板参数包括：虚拟机规格虚拟机组管理每个虚拟机都必须归属于某个虚拟机组。该模块可完成虚拟机组的创建、编辑、删除、添加虚拟机、更新链接克隆组软件以及一键式还原。桌面组管理每个虚拟桌面都必须归属于某个桌面组，该模块可完成桌面组的创建、编辑、删除、分配虚拟机、批量分配虚拟机以及一键式还原。3.7.4权限管理权限管理可以创建和管理XX系统中管理员帐号、管理员所承担的角色和管理员管理区域，实现XX系统的分权分域的功能。XX系统支持对用户进行访问控制，提供分权分域模式与三权分立模式的管理，可对支持用户组、密码进行管理，便于维护团队内分职责创建、修改、删除管理员帐号；修改管理密码。角色管理角色指具有相同分权功能的管理员分组。管理员可以按实际需要创建相应的角色。并分配给角色相应的权限。一个“角色”可拥有一个或多个不同的“操作权限”“用户”拥有多个“角色”，其拥有的“操作权限”是多个“角色”拥有的“操作权限”的并集。支持灵活的设置角色，并灵活赋予角色拥有的权限。缺省的角色包括：超级管理员：具有全部操作维护权限和管理其他用户的权限。操作维护管理员：具有超级管理员授予的操作和查看权限。只读管理员：具有超级管理员授予的查看权限。分域管理监控功能支持对操作维护管理员和只读管理员用户进行分集群域的授权管理。用户分域管理：授予用户各自的集群权限。集群可对应不同部门（如营业厅、客服中心）、不同地区（如东城区、西城区）的虚拟桌面。分域管理员仅对属于自己管理范围的虚拟桌面具有管理权限，包括虚拟机的查看、分配、回收、登录、关闭、重启等。密码管理支持设置密码策略，确保密码的保密性。密码策略包括：密码长度、密码是否含特殊字符、密码有效时长、密码到期提前多长时间提醒用户、修改密码时不允许使用最近几次的密码、是否强制用户第一次登录时修改密码等。虚拟机用户账号管理采用AD的方式管理，包括创建域用户账号、域组用户账号、用户漫游及强制配置文件等。三权分立全审计员三个角色。其中系统管理员负责业务下发/操作，系统配置；安全管理员负责分权分域的配置管理，密码策略的配置；安全审计员专项负责操作日志的审计工作。并且此模式下的所有新建角色，必须按照原始安全标准对这3种角色进行权限继承，且不允许权限3.7.5策略管理通过外设资源映射功能，桌面云用户能在虚拟机使用连接在客户端外设端口上的外设用，同时确保管理员对外设使用的安全控制。通过策略管USB端口重定向管理(驱动安装在VM侧，推荐使用)包括图像设备（如：扫描仪），视频设备（如：摄像头），打印设备（如：打印设备重定向(驱动安装在TC侧）能卡）重定向，移除智能卡断开用户会话。串口重定向(驱动安装在VM侧，推荐使用)包括串口重定向，自动重连客户端串口。3.7.6软件与补丁管理软件系统包括：云平台系统软件、桌面接入系统软件、用户虚拟机软件、操作系统补丁。为了方便客户管理软件，软件系统具有如下特点：软件自动化批量安装装，安装效率高。桌面接入软件：支持统一安装界面，便于安装管理。桌面云系统提供了桌面代理软件自动化升级功能，便于维护人员对软件统一管理。用户虚拟机软件：通过虚拟机模板方式，创建虚拟机并安装应用软件，且支持批量创建虚拟机，大大减少了用户操作和操作难度。升级、打补丁及回退自动化云平台软件支持升级、打补丁有工具支撑，实现了自动化健康检查、分发软件、升级/打补丁、校验、回退。且支持静默升级，即升级/打补丁不影响业务。用户虚拟机软件管理集中化支持使用工具快速将用户数据从原来的物理机迁移到虚拟机、虚拟机间数据迁移。用户虚拟机操作系统，通过补丁服务器打补丁，方便安全。通过AD域控管理用户虚拟机的应用软件，具有准入控制、安全策略管理、员工行为操作系统补丁更新打补丁需要自行登录到每台虚拟机上进行操作，操作比较繁琐，费时费力。本项目采用使用自动打补丁后，无需人工干预，只要WSUS服务器统一管理补丁就可以了。打补丁方法是微软传统的方法，与传统打补丁方案一致。3.7.7资源管理免在不同的管理界面间来回切换，简化管理工作，提升管理效率。同时，避免多个管理账模，将资源以用户可见的资源池形式提供给上层应用。统一资源管理，支持发现其管辖范围内的物理设备（包括机框、服务器、存储设备、交换机）以及它们的组网关系。支持将这些物理设备进行池化管理，提供给应用管理模块使用。对于虚拟化一体机场景支持自动发现物理设备，基础设施虚拟化场景需要手工导入物理设备，对服务器、存储设备和交换机进行集中管理，对物理资源进行池化管理，给上层的业务发放屏蔽物理设备的差异。虚拟化资源管理可以统一管理不同系统提供的不同的虚拟资源，包括虚拟机资源、虚拟网络资源、虚拟存储资源的管理等。通过资源池管理，提高基础设施资源的利用率和灵活性，提供统一的虚拟化资源管理能力，对上层应用发放屏蔽差异；实现虚拟资源集中管理提升管理效率，降低运维成本。采用南向插件机制，使FusionManager可以快速、便捷、可定制的实现不同硬件和虚物理资源管理对于XX自研的物理设备可自动发现；第三方厂家设备支持单条设备接入或批量设备服务器资源管理能够发现服务器的配置信息，可以实现服务器的监控，监控信息包括自定义时段查询性能监控结果。服务器设备的维护能力：上