云思维CCE虚拟桌面技术白皮书

云思维CCE(commonComputingEnvironment)虚拟桌面软件技术白皮书(Version3.2)南京云思维软件科技有限公司2014年4月云思维CCE虚拟桌面软件技术白皮书版本号：V3.2版权所有©2013南京云思维软件科技有限公司。保留所有权利。目录TOC\o"1-5"\h\z\o"CurrentDocument"第一节概述 5\o"CurrentDocument"1.1概述 5\o"CurrentDocument"1.2传统信息架构下PC设备存在的弊端 5\o"CurrentDocument"1.3桌面虚拟化的解决方案 7\o"CurrentDocument"第二节系统构架及网络拓扑 10\o"CurrentDocument"2.1系统架构 10\o"CurrentDocument"2.1.1架构描述 10\o"CurrentDocument"2.1.2架构优势 11\o"CurrentDocument"2.2网络拓扑 12\o"CurrentDocument"描述 .12\o"CurrentDocument"2.2.2拓扑优势 13\o"CurrentDocument"2.3系统体系结构 14\o"CurrentDocument"第三节系统的技术功能 16\o"CurrentDocument"HA(高可用性) 16\o"CurrentDocument"3.2负载均衡 16\o"CurrentDocument"3.3热迁移 16\o"CurrentDocument"3.4多存储支持 17\o"CurrentDocument"分布式虚拟交换机(DistributedVirtualSwitch) 17\o"CurrentDocument"备份与容灾(Backup&DisasterRecovery) 17\o"CurrentDocument"3.7安全与监控 17\o"CurrentDocument"3.8动态资源交付 18\o"CurrentDocument"3.9外围设备支持 18\o"CurrentDocument"3.10还原卡功能 18\o"CurrentDocument"3.11用户独立存储功能 19\o"CurrentDocument"3.12C/S和B/S两种服务模式 19\o"CurrentDocument"3.13主流操作系统支持 19\o"CurrentDocument"3.14权限管理 19\o"CurrentDocument"第四节收益分析 21\o"CurrentDocument"降低TCO 21\o"CurrentDocument"4.2分支机构 22\o"CurrentDocument"4.3移动化办公 23\o"CurrentDocument"4.4系统升级、切换 24\o"CurrentDocument"第五节售后服务承诺 25第一节概述1.1概述随着服务器虚拟化和网络技术的飞速发展，为了提高服务质量，降低成本，拓展增值业务，各种公司、机构、企业也都愈发注重自身信息架构的简便易用性、安全性、可管理性和总体拥有成本。对桌面虚拟化的需求与日俱增， CCE(CommonComputingEnvironment)虚拟桌面软件可提供整体的技术解决方案。基于对虚拟技术的多年研发，系统突出了易管理性，安全性，高效性和可扩展性，同时可以灵活的提供各种针对性的定制服务。1.2传统信息架构下PC设备存在的弊端＞硬件采购部署成本高昂传统信息架构下，一般是根据使用者的情况单独为其配置一台或多台的个人电脑或笔记本。这种配置，在组建时由于要一次性采购大量个人电脑和笔记本，初期投入巨大；并且随着硬件要求的提升速度越来越快，电脑升级换代和维护的频率越来越高，因此而导致大量升级与替换成本非常高昂，个人桌面的总体拥有成本并没有随着硬件设备单价的下降而下降，反而有愈加高昂的趋势。＞管理维护困难从目前的情况来看，现有办公桌见使用者的日常维护和排除故障能力一般不高，这让管理人员为了保证业务的正常开展经常陷于繁琐的终端维护和故障排除任务中，无暇顾及整体架构与业务流程的优化等更关键的任务；此外，随着信息化建设的逐步深入,对软件、环境、操作系统平台进行日常性和经常性的部署安装和更新，都需要庞大的处理工作，不可避免地增加了系统的维护工作量和开销。＞安全性差PC使用中使用者拥有其资源的的全部处置权力，可以随意安装各类软件，更改系统设置，硬件设置。管理人员无法及时进行监控和管理，只有在出现问题时才能在事后通过对个人桌面的漏洞、木马、病毒进行清理。＞业务弹性差在业务开展与信息化平台支持越来越紧密的今天，增加一项业务往往就要伴随着增强大量的PC为之服务。同时，软件、服务对于硬件提升的要求越来越高，这也无形中要求PC的升级换代越来越快。而PC的升级和采购往往需要一个周期，这就导致业务的开展速度和广度受制与PC部署的速度，限制了的业务弹性。＞部署新系统困难随着信息化的深入，必然伴随着新的软件系统的部署。这些系统对于硬件平台，网络，服务端的要求与之前的环境并不兼容。在上马一个新系统前，往往需要做大量的诸如更新硬件平台，更换网络设备，安装新的服务器及操作系统前期准备和调试工作。需要投入了大量的精力与资源，时间周期还往往比较漫长。＞单点故障多，服务保障水平较低当前数据管理信息中心的应用采用单独的服务器部署，一旦服务器出现问题就会导致应用瘫痪。而且每台服务器的利用率都不高，服务器数量较多，因此故障节点比较多，管理员疲于安装、检修等机械管理工作，但依然无法避免宕机时间的不断加长。较低的服务保障水平严重影响了公司日常工作的正常开展。1.3桌面虚拟化的解决方案通过虚拟化技术将一台物理服务器分割成多个相互隔离独立的虚拟机，确保各用户间的应用及数据完全隔离，增强了服务器的利用率，改善了各系统间的整体安全性，提升了服务保障水平，降低了管理成本和工作量。利用虚拟化技术进行服务器整合，全面提高服务保障水平。利用虚拟化技术进行统一管理维护，极大降低管理工作量。服务器整合改变了基础设施复杂的现状，允许管理人员使用强大的集中管理控制台对多台服务器进行集中管理。同时各部门也可以利用对单个服务器池或服务进行管理维护，进行诸如启动、停止、重启、备份、恢复等各种管理操作。虚拟化技术强大、灵活的集中管理模式将使管理员从简单机械的重复操作（如重装系统）中解脱出来，极大地降低了管理工作量。＞降低单点故障，提高服务保障水平虚拟化后降低了所需要管理的物理服务器数目，极大地降低了单点故障率，与对应的是管理、维护工作量的极大下降，信息中心的管理人员可以有更多的时间管理有限的几台服务器，确保所有应用服务全天候正常运转，从而提高了服务保障水平。＞提高资源利用率，改善资源分配利用虚拟化技术，信息中心可以按照不同部门所需资源的不同，动态地对物理服务器进行虚拟分区，提供最合适的虚拟环境，极大地提高了每台服务器的利用率，也使得资源分配更加合理。虚拟环境的大量使用，改变了以往在单台服务器上只能部署单个应用的弊病，而利用虚拟环境的安全隔离特性，完全实现了应用程序隔离的目的，最大程度的保障了多用户环境下的数据安全。＞低成本备份/恢复方案利用虚拟化技术，所有的应用全部运行在虚拟机中，完全实现了软硬件的隔离。真正实现了零宕机迁移技术，可将迁移工作对业务的影响降低为零。无须使用昂贵的专用存储设备，仅采用备份现有虚拟机或进行虚拟机迁移，就可以实现高质量备份/恢复方案。系统升级和系统维护当新的操作系统或应用发布时，现有情况下，面对成百上千台电脑的升级和维护是一个非常头疼和费时的工作，同时会对业务产生极大的影响。虚拟化技术后，管理人员只需在后台调整基于新系统的虚拟环境，然后可以快速部署。对于平时的使用，如果有终端使用者无法处理的的应用或者故障，系统管理人员也无需每次都到现场进行排查、维护、帮助，只需在后台操作一下该用户的虚拟桌面即可。这样的前台集中管理模式给系统的升级、维护和迁移都带来极大的便利。第二节系统构架及网络拓扑2.1系统架构2.1.1架构描述通过虚拟化程序集中部署和发布应用客户端软件，整个的后台应用服务器架构没有变化，客户端可以通过我们提供的虚拟终端中心来访问远程的虚拟机。其整体构架如下图所示：通过虚拟终端软件，用户可以访问经过授权的虚拟机。多用户同时访问时，由虚拟机管理客户端管理和运行虚拟机。管理员可以通过管理服务器对不同用户的虚拟机进行配置和维护。同时在局域网之外的用户可以经过VPN或者专线远程接入。对于其他网段访问虚拟化桌面的部署，可以通过在相应的网段部署虚拟机服务器来实现。使用多个网卡，可以轻易地实现把不同网端的服务器部署到同一台服务器或同一个服务器池。2.1.2架构优势架构具有以下的优势：◊集中管理虚拟化的集中部署模式将应用程序和业务软件的服务器端部署在后台中心，而所有用户的接入服务器端的虚拟机都位于一个或几个服务器池内，性能和安全性得到了提升，用户可以通过任意终端和任意网络进行访问授权的虚拟机，非常方便；而管理员只需对后台服务器和虚拟机进行管理，实现了管理维护的简化。而安装及配置变化，则都在服务器端集中进行，大大简化了环境的配置和部署。◊应用发布虚拟机为用户提供了基于后台的的软件运行模式，实现了应用和软件的虚拟化。应用和软件其实都是在虚拟机服务器上计算和执行的，为用户提供了多个输入输出虚拟通道（包括鼠标、键盘、图像、声音、端口、打印等等），用户通过本地输入设备输入，软件和应用在虚拟机上运算和执行，最终返回用户的只是最终的显示结果。◊虚拟机隔离系统的虚拟机对用户来说，和本地的物理机是一样的，可以给每个用户定制专用的虚拟机，则专用的虚拟机可以方便地备份，迁移，克隆等。对于用户来说，由于实际的存储在机房，数据的安全性得到保障，个人私有数据的安全性甚全优于物理机器。◊灵活完备的备份方案虚拟机的备份机制很灵活，可以对所有的和选定的虚拟机进行备份，由于存储是集中的，周期性的备份成为可能，这在员工使用物理机的情况下是不可想象的。这样就防止了用户数据因突发事件而丢失造成的损失。◊应用访问控制系统支持多种方式的身份验证，可以和活动目录，数据库等不同的验证方式。还可以通过系统提供的SDK,实现预定义的接口，提供自定义的或更高级别的安全访问控制。管理员可以使用客户端方便地设置用户或用户组的访问权限。2.2网络拓扑2.2.1描述虚拟化方案中，整个虚拟机服务器组群（包含管理服务器，虚拟机服务器，存储服务器等）都集中在一个局域网中。对外提供服务的只是管理服务器。只要保证虚拟机管理服务器组群内部通信的正常的同时，只需要将虚拟机管理服务器加入到现有网络中即可。整个网络拓扑图如下:2.2.2拓扑优势现有的服务器，无论是数据库，应用还是活动目录服务器，都不需要变更网络结构。只需要为虚拟机服务器组群额外划分一个网络出来就可以了。虚拟机服务器组群对外提供服务的其实只有管理/虚拟机服务器，因此一个组群只需要为其划分一个可以供其他网段访问的ip即可。现有的用户无论是外部用户还是内部办公和营业厅用户，只要原本可以访问到应用服务器的，不需要对网络进行重新规划都可以访问到服务器组群。唯一与之前不同的就是，原本用户是直接访问后台的应用，不仅不安全，而且网络还需要负责传输大量的运算数据。现在用户通过访问VM组群的虚拟桌面来访问后台应用，所有的客户端'服务器端的运算和数据传输都是在后台进行的，和用户的交互仅仅是输入/输出信号。不仅降低了网络的负载，也提高了数据和应用的安全性。2.3系统体系结构CCE虚拟桌面软件系统的体系结构由几个关键的子系统组成：门户服务虚拟机管理服务可以管理多台服务器和服务器池，虚拟机管理器把数据存在一个分布式数据库中，同时，提供了用于管理的WebServiceso门户服务提供管理客户端和CCE客户端的接入服务。在一个部署的集群中，每个结点都可以提供门户服务，用户可以选择其中的一台进行接入，系统会自动更新所有的可用结点。当其中的某些服务宕机的时候，客户端会切换到其他结点的门户服务。门户服务提供多种用户权限验证和虚拟机授权管理，可以保证每台虚拟机都能够按照管理员的意愿进行访问控制。＞集群服务集群服务提供服务器池的管理和集群的HA及负载均衡。整个CCE集群可以包含多个服务器池或单点服务器，但是每个服务器只能是单点服务器或从属于一个服务器池。每个服务器池中有一个服务器被指定为服务器池的主控服务器，也是服务器池的资源协调者。例如：当实现负载均衡需要启动一个虚拟机时，主控服务器将根据用户指定的算法找到相应的服务器并启动虚拟机。＞结点服务结点服务提供对本地服务器的虚拟机，网络，存储等的管理功能，同时提供对虚拟机的远程接入服务。＞备份和导入服务备份和导入服务对系统备份，导入导出，远程拷贝等提供服务。＞CCEManager虚拟机管理客户端虚拟机管理中心是管理员用来管理服务器，服务器池，存储，虚拟机，用户权限等的客户端。管理中心通过和虚拟机管理服务通讯，可以一次管理多台服务器和服务器池。＞CCE客户端CCE客户端安装在云终端或物理机上，通过高效的CCE协议连接虚拟机，是普通用户用来登录经过授权的虚拟机的终端。CCE客户端包括linux版本（云终端定制），Windows版本和浏览器版本。云思维CCE虚拟桌面软件技术白第三节系统的技术功能HA（高可用性）平台内的服务器出现故障，故障服务器上的虚拟主机就会迅速迁移到其他服务器上，不会影响到用户的使用。故障服务器维护好之后，又可以自动迁移回来，整个的云计算平台比每个用户使用一台计算机的架构更加稳定和安全。3.2负载均衡当某台服务器的CPU占有率持续达到高值，而池内其他服务器有空闲，系统会自动分配CPU资源，将虚拟机迁移到空闲的服务器上计算，在此过程中，业务不会中断，从而达到均衡服务器的负载，提高云平台的可靠性。同样某台服务器的网络流速达到峰值，系统会做同样的调配，均衡网络流量的负载。3.3热迁移虚拟机迁移是从一台服务器迁移到另外一台服务器上，包括运行的虚拟机和存储。迁移运行的虚拟机称为动态迁移，当系统服务器需要维护，出现故障或者负载太重的时候，原来在上面运行的虚拟机可以动态迁移到其他的服务器上，保证正在使用虚拟机的用户不会因此发生服务中断的情况。动态迁移可以实时地通过系统自动调整，系统会周期性地监控服务器的负载，如果负载过重，则进行调整。也可以通过手工进行迁移。3.4多存储支持3.4多存储支持虚拟化桌面系统除了支持服务器的本地存储以外，还支持大部分主流远程存储介质。用户可以将重要的数据及虚拟机状态、映像实时存储在远程存储介质上，保证其可用性及安全性。CCE支持主流的存储，包括iSCSISAN，光纤SAN，Infiniband,分布式集群存储，WindowsCIFS，本地或共享的文件夹，本地的存储，本地光驱以及移动存储等。分布式虚拟交换机(DistributedVirtualSwitch)通过分布式虚拟交换机技术为虚拟机提供网络接入支持，包括VLAN的划分和QoS设置，对网络流量进行监控和限制。备份与容灾(Backup&DisasterRecovery)提供高效可靠的备份与容灾功能，可对业务数据进行完善的保护，在故障发生时，进行尽快的数据恢复。提供可定制化的自动备份机制，快速备份，增量备份，压缩备份等多种方式。3.7安全与监控CCE虚拟桌面可以实时监控系统的运行状态，包括系统运行或服务的状态。平台监控到服务因各种原因停止的时候，可以自动启动服务，也可以通知管理员。云服务平台可以实时监控系统的屏幕，并通过大屏显示出来。CCE支持多种安全登陆措施，包括短信验证登陆及登陆短信通知，限定IP登陆，限定用户登陆，U宝登陆等。3.8动态资源交付针对通用的虚拟桌面使用环境，如呼叫中心、证券交易大厅、服务性窗口等。这种应用环境下不需要个人专属的pc，系统只为需要使用的用户临时分配一台虚拟桌面，当用户使用完毕关机后，资源即被收回，等待重新分配。这种动态的虚拟桌面分配模式，可以使计算资源的利用效率最大化，交付更快速，维护更便捷。3.9外围设备支持支持外围设备（U盘，U宝，打印机，IC卡读写器等）通过USB重定向方式连入虚拟机，可以对设备按照类别甚至厂家ID进行权限控制，提供单向或双向的访问。支持串口，并口设备。3.10还原卡功能在电子教室、呼叫中心等多人公用计算机的环境下，CCE可以打开还原卡功能，即虚拟桌面关闭重启后，系统自动恢复到初始状态，可以降低维护人员的工作量。3.11用户独立存储功能在一个资源池里，可以为用户划分独立的存储空间，作为用户的个人存储。这个存储可以由该用户授权挂载在任意的虚拟桌面上作为一块硬盘使用，读写其中个人存储的数据。3.12C/S和B/S两种服务模式用户可以通过多种终端设备远程接入云中心，具备宽松的接入使用条件。目前可以使用各种运行IE的设备，包括瘦终端、PC、笔记本电脑等等通过B/S的方式接入。也可以使用上述各类设备安装CCE客户端来接入使用。3.13主流操作系统支持系统支持各种系统，包括WindowsXP，2003,Windows?，Windows2008,Windows2008R2，各种LinuxRedhat,Ubuntu，Debian等，甚至Solaris,BSD等可以在Intel架构上运行的系统。3.14权限管理权限的控制是基于用户和用户组的。用户组是管理员自定义的一组用户，处于该用户组的用户拥有同样的权限。用户可以属于多个用户组，只要有一个用户组或者该用户被确定拥有某个权限，则该用户可以实施对应的动作。系统支持4种用户和组织机构的设置，可以通过属性的设置来指定：使用数据库和系统预先定义的表系统默认的选项，在该选项下，系统可以允许增添，修改和删除用户和组织结构。＞使用数据库和自定义的表如果已经存在用户和组织结构表，可以在配置文件中指定，使用已有的表做用户权限管理和用户认证。＞使用Windows活动目录的LDAP协议系统可以和已有的Windows活动目录的LDAP进行整合，通过配置文件指定，使用LDAP协议进行用户认证。＞使用SDK接口用户可以通过实现SDK定义的几个接口，然后通过配置文件指定，使用自实现的用户，部门，分公司的管理和用户认证。第四节收益分析4.1降低TCO降低成本：我们以拥有50台PC的中等办公环境为例，计算如下硬件成本:折旧成本：-以12年为周期计算，瘦终端采购2次，PC采购3次-瘦终端需要采购费用为7万X2=14万-PC采购费用为15万X3=45万-节省31万，折旧成本降低69%能耗成本：-一年200个工作日，每日开机8小时，电费1元/度-每台PC每年电费200X8X0.2=320元-每台瘦终端每年电费320X2.5%=8元-将50台PC替换为瘦终端后，每年节约电费15600元4.2分支机构移动分支机构的数量和个体规模都一直在保持增长。如果为每一个分支机构都架设个人电脑、计算中心和网络中心，不仅耗费巨大而且耗时长久，严重影响了业务的迅速开展和扩大。虚拟化系统可帮助移动加快分支机构的扩张步伐，优化费用高昂的网络带宽，同时简化分支机构基础架构的管理工作。IT主管和他们的团队能够为更多客户提供更好的服务，帮助企业加速发展，并且能够经济、高效地完成分支机构以及大型数据中心的现代化建设。通过虚拟化系统，IT部门能够：◊只需要预先根据用户需求安装好作为模板的虚拟机，通过复制虚拟机的操作只需要极短的时间（几分钟）就可以将办公桌面交付到用户手中。◊所有用户的数据均在安全的计算中心运行并保存，用户只需要能够通过局域网、VPN、数据专线等手段能够访问到计算中心就可以随时随地使用自己的虚拟机。◊用户到计算中心之间只传输显示信号，不再有传统的B/S或C/S架构下的大量数据交互。在不修改任何网络组件的情况下优化分支机构与数据中心间的宽带连接，以更快的速度通过WAN从任何数据中心交付应用，摆脱地域限制。◊所有操作系统、软件、应用的更新、升级均由IT部门管理的服务器上集中部署不需要单独在用户的个人电脑上进行任何操作，节省了部署时间，节约了部署费用。◊系统管理员能够随时随地监控任意虚拟机的运行状态，即时提供技术帮助。4.3移动化办公通过虚拟化方案，用户任何可用的网络（无论是无线或有线网络、专用或公共网络、还是专线或拨号连接。），随时随地使用任何设备（PC，笔记本，PDA），只需要能够接入到计算中心，即可获取到与在本地办公同样的桌面体验。虚拟化桌面对于移动化办公的优势：◊数据全部保存在计算中心，任何外部接入实际上传输的都是显示信号，没有任何安全隐患。◊兼容各种终端设备一PDA，PC，笔记本，瘦客户端等，只需要这些终端能够安装虚拟化系统的客户端。◊无论员工在哪里办公，系统管理员无需离开办公室便能从了解在外办公用户的虚拟机的应用性能和可用性。◊外出办公的用户与计算中心直接只存在图像显示数据的传输，对于很多机构已经