軍工企業(yè)桌面云技術(shù)研究與應(yīng)用

◆靳淑娟 高小渭 趙堃

軍工企業(yè)桌面云技術(shù)研究與應(yīng)用

◆靳淑娟 高小渭 趙堃

（中國直升機設(shè)計研究所 天津 300000）

本文在桌面云技術(shù)發(fā)展和軍工企業(yè)應(yīng)用現(xiàn)狀的基礎(chǔ)上，結(jié)合軍工企業(yè)對信息系統(tǒng)的保密要求，分析了桌面云的技術(shù)架構(gòu)，采用云技術(shù)改造傳統(tǒng)的PC辦公桌面，通過組建資源池，提供業(yè)務(wù)用戶終端接入，打造全新、安全、高效、便捷的辦公方式，運用桌面云技術(shù)來提升工作效率。

桌面云；企業(yè)

1 引言

隨著信息化技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)極大地改變了我們的生活，尤其是虛擬化、云計算、大數(shù)據(jù)等新技術(shù)開始頻繁地應(yīng)用在企業(yè)的設(shè)計、生產(chǎn)、制造過程中，進一步改寫了企業(yè)的生產(chǎn)模式。虛擬化的技術(shù)發(fā)展經(jīng)歷了從服務(wù)器的虛擬化發(fā)展到辦公桌面虛擬化，再發(fā)展到現(xiàn)代應(yīng)用虛擬化幾個階段，并已走向成熟。國內(nèi)的虛擬化技術(shù)雖然在國際上起步較晚，但是經(jīng)過多年的科學技術(shù)發(fā)展和積累，各種桌面云產(chǎn)品也已經(jīng)嶄露頭角，并且被廣泛應(yīng)用于越來越多的企業(yè)、政府、學校等機構(gòu)。桌面虛擬化技術(shù)的廣泛普及大大地改善了企業(yè)的工作系統(tǒng)，降低了運行成本，是一種發(fā)展最迅速、有應(yīng)用前景的全新技術(shù)。

2 企業(yè)應(yīng)用現(xiàn)狀

軍工企業(yè)由于對保密性和安全測評等技術(shù)要求較高，一直以來，在對信息系統(tǒng)建設(shè)和應(yīng)用的過程中，桌面式計算通常被廣泛地使用，其中性能相對較為穩(wěn)定且具有功能全面的“胖客戶端”PC作為主要的業(yè)務(wù)終端。然而隨著行業(yè)的進步，PC在使用中出現(xiàn)的各類問題已經(jīng)顯現(xiàn)，而安全辦公、綠色辦公的戰(zhàn)略方針，也對業(yè)務(wù)終端的解決方案提出了更高的要求。因此，在新型軍工企業(yè)信息化技術(shù)發(fā)展的道路上，同樣地，傳統(tǒng)PC架構(gòu)已經(jīng)顯示出了一些缺陷，主要體現(xiàn)在以下幾方面。

2.1 數(shù)據(jù)安全風險

由于傳統(tǒng)的PC桌面分散在各處，無法完全統(tǒng)一管理。其操作系統(tǒng)中所安裝的各種安全軟件只能事后進行監(jiān)控，不能有效地對事前進行預防，因此目前我們還是缺乏有效的安全管理方式和技術(shù)手段去主動監(jiān)測和管控串口或USB等各種類型的違規(guī)無證設(shè)備接入，存在著大量數(shù)據(jù)被盜或者泄露的風險。

2.2 數(shù)據(jù)可靠性低

時間和效率是企業(yè)生產(chǎn)力高低的決定因素之一，企業(yè)的辦公環(huán)境要求具有高可靠性和高可用性。在我們傳統(tǒng)的PC桌面式辦公模式中，員工在進行辦公活動過程中所能夠產(chǎn)生的大量智力資產(chǎn)和對于企業(yè)的關(guān)鍵數(shù)據(jù)信息，都是存放到PC終端本地，而PC作為單點故障的高發(fā)點，一旦突然發(fā)生，輕則重新啟動，重則更換配件，給企業(yè)和員工都帶來巨大的時間損失和效率影響。

2.3 運維管理復雜

傳統(tǒng)辦公模式中，所有員工的工作環(huán)境完全依賴于本地PC，若電腦故障，員工只能被動等待IT運維人員親臨現(xiàn)場，對電腦進行維修。而且，隨著企業(yè)規(guī)模的發(fā)展，IT基礎(chǔ)設(shè)施的種類越來越多，累積的操作系統(tǒng)和軟硬件版本也越來越多，IT運維人員排除故障的難度越來越大。

2.4 高能耗、高排放

近幾年來，節(jié)能減排已經(jīng)上升到了國家戰(zhàn)略高度。國務(wù)院聯(lián)合制定了關(guān)于我國的節(jié)能低碳減排工作的詳細計劃，以及為了應(yīng)對世界性的氣候變化，提出建設(shè)一個資源節(jié)約型、環(huán)境友好的新時代社會的要求，促進經(jīng)濟發(fā)展方式轉(zhuǎn)換。在傳統(tǒng)的基于PC機的辦公環(huán)境中，每一個PC桌面開機運行后都是一個能耗點和碳排放點。上千臺的PC機同時運行起來，其功率和能耗非常大，按照1000臺PC桌面的功率來計算，平均功耗200w，每臺PC每天最少運行8小時，每年250個小時的工作日，一年的平均耗電量約40萬度。按照平均碳排放系數(shù)0.43的比例進行換算，每年大氣中的二氧化碳總排放量高達172噸，不符合當今綠色環(huán)保、低碳經(jīng)濟的大趨勢。軍工企業(yè)作為社會重要的組織單元，更要以身作則，積極響應(yīng)國家節(jié)能減排號召。

上述這些問題的出現(xiàn)，一定程度上嚴重地制約了我國軍工企業(yè)業(yè)務(wù)的開展和員工辦公效率的改善，迫切地需要一套完整的解決辦法，用來代替?zhèn)鹘y(tǒng)PC并有效地解決以上這些問題。

3 系統(tǒng)方案及實現(xiàn)

3.1 系統(tǒng)目標

本文提出采用云技術(shù)來改造終端用戶的辦公桌面，將所有終端用戶的桌面都集中到了后臺的一個數(shù)據(jù)中心，通過虛擬化的技術(shù)來構(gòu)建一個資源池，使得終端用戶PC或者瘦客戶端接入。云桌面最終必須是為了能夠有效地保證其業(yè)務(wù)運行的連貫性，安全程度及其高可用性，提供更大的桌面容量與良好的使用者體驗，具體如下。

（1）通過對數(shù)據(jù)與使用者進行隔離來提升系統(tǒng)的安全性：將使用者從原本被分散在各個PC上的所有用戶桌面數(shù)據(jù)都集中并存放到了數(shù)據(jù)中心，實現(xiàn)了統(tǒng)一的安全監(jiān)測和管控，使得用戶能夠直接訪問的只是桌面上圖像的變化數(shù)量，而且這些數(shù)據(jù)不能被帶出來作為數(shù)據(jù)中心。

（2）通過整個軟硬件資源的大規(guī)模集中而有效地及時提升了運維的基本工作效率：從完全分散式網(wǎng)狀運維再到完全集中自動化的運維，管理人員只需要通過一個服務(wù)器管理后臺便已經(jīng)能夠有效地及時解決終端用戶的大多數(shù)網(wǎng)站問題，降低了運維的基本工作量和成本，提高了維護的工作效率。

（3）通過互聯(lián)網(wǎng)接入大大提升了辦公的靈活性：使得用戶能夠在任意時間、任意地點或者是任意一臺設(shè)備上即時地接入到自己的個人桌面上進行辦公。

（4）采用先進的架構(gòu)支持未來的演進：建立一個高效和簡單可靠管理的桌面云架構(gòu)，同時未來也將更加便捷和容易被人使用。

3.2 系統(tǒng)總體設(shè)計方案

如圖1所示，本解決方案是采用了扁平化的方式進行部署，即將云端的虛擬機和網(wǎng)絡(luò)資源集中地部署到企業(yè)外網(wǎng)機房，端的客戶機分別部署到企業(yè)外網(wǎng)辦事處，以局域網(wǎng)的方式來實現(xiàn)企業(yè)云與端之間的帶寬安全保障。后端云管理平臺服務(wù)器以集群的方式進行部署，由基于虛擬化的管理軟件進行集中和管控，即位于虛擬化的數(shù)據(jù)中心下面可以直觀地展示全部虛擬資源，其中包括虛擬機、宿主計算機、網(wǎng)絡(luò)和軟硬件設(shè)施等，并能夠直觀地生成一張數(shù)據(jù)中心的拓撲圖，方便于對外進行統(tǒng)一的呈現(xiàn)和管理。

圖1 桌面云總體架構(gòu)

桌面虛擬化依托于共享存儲的架構(gòu)，可以是支持分布式存儲或者共享存儲，此種解決方案中可以選擇采用服務(wù)器集群中的本地硬盤作為數(shù)據(jù)存儲介質(zhì)，在保證數(shù)據(jù)安全性的前提下，也將大大提升io系統(tǒng)的性能；借助于底層高可靠的設(shè)置，及集群模式，保證了辦公業(yè)務(wù)的連續(xù)性，任意一臺物理主機的宕機都可快速進行恢復。

3.3 管理中心設(shè)計方案

整個網(wǎng)絡(luò)桌面云系統(tǒng)的管理由兩臺高端服務(wù)器共同組成的一個集群及其虛擬化軟件來完成，服務(wù)器上安裝了虛擬化桌面管理軟件，主要是負責桌面資源、存儲資源、用戶訪問等的合理調(diào)配、用戶身份認證、策略控制等操作。為了有效地保證整個系統(tǒng)穩(wěn)定地運行，我們采用了2塊0k 300G sas硬盤來組成raid1，保證單臺服務(wù)器本地硬盤的故障冗余。桌面云系統(tǒng)是通過分布式虛擬數(shù)據(jù)存儲技術(shù)，將服務(wù)器網(wǎng)絡(luò)集群中的多個物理硬盤進行整合，并把它們虛擬化成一個數(shù)據(jù)存儲的資源池，再為一個桌面云系統(tǒng)提供數(shù)據(jù)存儲和管理。

管理員還可以集中在管理平臺創(chuàng)建一臺模板機和裸虛擬機，使得虛擬機系統(tǒng)盤、用戶盤數(shù)據(jù)分離，并執(zhí)行不同的安全策略，保障用戶數(shù)據(jù)安全保留的同時，系統(tǒng)盤不做變更。同一個虛擬機可以提供給一個用戶使用，也可以同時提供多個用戶同時登錄，采用共享資源的訪問控制策略，保障用戶正常使用的同時數(shù)據(jù)不發(fā)生沖突。

3.4 網(wǎng)絡(luò)設(shè)計方案

桌面云系統(tǒng)的服務(wù)器部署在網(wǎng)絡(luò)間中，考慮到該系統(tǒng)的未來可持續(xù)擴展性，采用2*10ge的方式上行至一臺核心的交換機。桌面云的網(wǎng)絡(luò)通訊平面可以被劃分成三個網(wǎng)絡(luò)，即業(yè)務(wù)、存儲、管理服務(wù)，三個網(wǎng)絡(luò)彼此獨立、相互隔離，具體如下：

業(yè)務(wù)虛擬網(wǎng)絡(luò)：它主要是一種基于業(yè)務(wù)虛擬機和基于虛擬網(wǎng)卡的一個主要網(wǎng)絡(luò)通訊平面，主要功能是通過用戶網(wǎng)絡(luò)提供各種類型業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用的一種主要訪問網(wǎng)絡(luò)方式。

存儲網(wǎng)絡(luò)：這種存儲網(wǎng)絡(luò)是采用了一種多路徑的鏈路和冗余，提供了服務(wù)器和存儲設(shè)備之間的交換和互聯(lián)、通訊。存儲設(shè)備是通過一個虛擬化的平臺，為所有虛擬機桌面提供用戶數(shù)據(jù)和系統(tǒng)數(shù)據(jù)的存儲和分析的資源，但不直接使用虛擬機進行通信。

管理網(wǎng)絡(luò)：負責整個桌面云系統(tǒng)的管理，系統(tǒng)加載，業(yè)務(wù)部署等所有管理流量的通訊。服務(wù)器網(wǎng)絡(luò)主要是負責對服務(wù)器的管理，它們既可以與管理平面相互隔離，也可以共享。

3.5 資源管理

在桌面云解決方案中，所有桌面環(huán)境和計算都集中在后臺服務(wù)器集群中，終端和服務(wù)器之間的交互只能簡單地輸入命令和簡單地輸出顯示的圖片，不能夠進行實時數(shù)據(jù)傳輸。管理員可以在一臺服務(wù)器上自動創(chuàng)建一個虛擬的桌面并將這種環(huán)境自動發(fā)布給終端用戶，使其可在遠程操作中使用，用戶則隨時可以利用終端直接通過網(wǎng)絡(luò)連接到其具有訪問權(quán)限的虛擬桌面，然后像本地PC一樣進行辦公。同時，管理員還可以將創(chuàng)建的虛擬機和某一個或某幾個終端用戶之間建立永久或臨時綁定的聯(lián)系，綁定之后，用戶與自己的虛擬機一一進行響應(yīng)，其他用戶無法再申請并使用這臺虛擬機，直到用戶在本次使用完畢后，直接通過云桌面管理系統(tǒng)的釋放功能將其綁定的關(guān)系進行解除，此時其他用戶可以申請并繼續(xù)使用這臺虛擬機。

3.6 權(quán)限管理

桌面云系統(tǒng)顛覆了我們傳統(tǒng)PC終端辦公的模式，實現(xiàn)了數(shù)據(jù)集中、瘦客戶端接入，但是軍工企業(yè)在生產(chǎn)過程中涉及到國家秘密，因此系統(tǒng)的保密性要求極高，需要把管理系統(tǒng)的系統(tǒng)管理員、安全保密員和審計員賬號和操作權(quán)限都進行分離，使其相互制約。系統(tǒng)管理員可以按實際需要創(chuàng)建相應(yīng)的角色，查看并管理系統(tǒng)狀態(tài)。安全管理員負責用戶權(quán)限的分配，密碼策略，訪問策略的配置。安全審計部門人員主要負責對另外兩員的行為情況進行詳細的安全審計，以確保另外兩員的操作正確并合規(guī)。

3.7 數(shù)據(jù)管理

在桌面云系統(tǒng)中，用戶可以根據(jù)個人需要創(chuàng)建個人數(shù)據(jù)盤，將個人產(chǎn)生的文件、數(shù)據(jù)和其他個性化的配置都直接保存到個人數(shù)據(jù)盤中，個人的數(shù)據(jù)盤并不是依賴單個的虛擬機，即使是虛擬機發(fā)生了故障或被服務(wù)器刪除，用戶的數(shù)據(jù)仍會直接存在于服務(wù)器的存儲中，且用戶只需要登錄到另一臺具有一定權(quán)限的虛擬桌面后再重新與其關(guān)聯(lián)，就可以繼續(xù)正常地使用文件和數(shù)據(jù)。

對于所有用戶和服務(wù)器產(chǎn)生的數(shù)據(jù)，桌面云系統(tǒng)都可以進行備份和恢復。系統(tǒng)所有數(shù)據(jù)采用的都是基于硬盤而進行的數(shù)據(jù)備份與恢復，為所有虛擬桌面提供快速、簡單的數(shù)據(jù)保護，避免了在虛擬桌面系統(tǒng)中出現(xiàn)的不可及時恢復的故障，支持全自動定時備份和定制的即時備份，滿足不同場景下的數(shù)據(jù)應(yīng)用需求，同時也支持數(shù)據(jù)的全量、增量和差別性備份及管理。

4 結(jié)束語

鑒于我國軍工企業(yè)內(nèi)部信息化建設(shè)的過程中對于保密性的要求相對較高，采用云技術(shù)來改造其他辦公室的桌面，通過云及虛擬化的技術(shù)來重新組建自己的資源池，對辦公桌面進行集中管理、集中運維，保障企業(yè)數(shù)據(jù)安全，通過桌面云系統(tǒng)軟硬件的冗余建設(shè)，提高業(yè)務(wù)連續(xù)性，同時達到節(jié)能減排成效，增強可持續(xù)發(fā)展能力。

[1]劉志國，梁劍斌，鄭直.基于虛擬桌面建設(shè)云數(shù)據(jù)中心[J].醫(yī)療衛(wèi)生裝備，2013（3）.

[2]龐建鏗，林陽洸.探討電力行業(yè)中桌面虛擬化的試用性測試[J].大眾科技，2016，18（10）：18-20.

[3]李晨光.虛擬化與云計算平臺構(gòu)建[M].人民郵電出版社，2018.1.