基于Clouddesktop的桌面虚拟化方案技术方案.doc

《基于Clouddesktop的桌面虚拟化方案技术方案.doc》由会员分享，可在线阅读，更多相关《基于Clouddesktop的桌面虚拟化方案技术方案.doc（32页珍藏版）》请在三一办公上搜索。

1、曙光桌面虚拟化项目技术方案北京曙光软件有限公司二零一三年三月目 录1项目概述31.1传统桌面面临的挑战31.2如何应对挑战42桌面云方案设计分析42.1设计原则42.2实现目标分析52.3曙光方案简介63曙光桌面云建设解决方案63.1系统总体设计63.1.1建设思路探讨63.2曙光桌面虚拟化总体架构93.3方案建设详细设计103.3.1网络设计103.3.2服务器设计113.3.3存储设计133.3.4安全设计163.4曙光各功能模块设计173.4.1虚拟桌面与桌面池183.4.2虚拟应用223.4.3个人数据盘233.4.4终端支持243.4.5外设支持253.4.6图像和多媒体支持273.

2、4.7用户身份验证283.4.8IP和时间段访问控制293.4.9数据安全性保障303.4.10管理与维护311 项目概述IT 组织目前仍在设法解决过去十年里 IT 急速发展所造成的不良后果：基础架构成本高昂、响应速度缓慢以及管理不一致等，这些都让许多 IT 组织饱受其苦。如今，IT 组织若要让自己的企业具备可持续的竞争优势，就需要： l提高资源的利用率，从而降低基础架构的成本。l提高对业务需求的响应速度，以便更迅速地部署项目。 l提高运营的一致性和可预测性1.1 传统桌面面临的挑战一直以来，桌面计算普遍使用的是功能全面的“胖客户端”PC。在许多情况下，此类 PC 提供了价格、性能与功能的最佳

3、组合。但是，在不少使用案例中，胖客户端 PC 并不是理想的解决方案。其缺点包括： 难以管理：面对广泛分布的 PC 硬件，用户日益要求能在任何地方访问其桌面环境，因此集中式 PC 管理极难实现。此外，众所周知，由于 PC 硬件种类繁多，用户修改桌面环境的需求各有不同，因此 PC 桌面标准化也是一个难题。 总体拥有成本高：PC 硬件相对较低的成本优势，通常无法抵消 PC 管理和支持工作的高昂成本。目前，PC 管理工作包括部署软件、更新和修补程序等，由于这些工作需要对多种 PC 配置的部署进行测试和验证，因而会耗费大量的人力。同时，由于标准化程度不高，支持人员经常需要亲临现场解决问题，这就进一步增加

4、了支持成本。 难以保护数据的安全：确保 PC 上的数据能成功备份并能在 PC 出现故障或文件丢失时恢复，是一个巨大的挑战。即使数据能成功备份，PC 失窃的风险也威胁着重要数据的安全。 资源未充分利用：PC 的分布式特性使人们难以通过集中资源的方式提高利用率和降低成本。结果，PC 的利用率通常低于 5%，远程办公室需要重复的桌面基础架构，移动工作人员可能需要使用复杂的远程桌面解决方案。1.2 如何应对挑战曙光推出的曙光虚拟化解决方案是立足于公司虚拟化技术积累的基础之上，基于客户需求的服务器及桌面/应用虚拟化一体化解决方案, 帮助企业IT部门将应用系统与数据集中部署在数据中心，通过统一的管理将这些

5、应用作为一种服务按需发布、交付给身处各地、使用各种设备的用户，实现了桌面和应用使用方式的革新，不但提高了工作效率，也大大提高了可用性及安全性，大大降低IT 总体拥有成本。 终端用户无论是在办公室还是在路途中，都能使用任何适用设备获得丰富、一致的高性能应用与桌面体验。2 桌面云方案设计分析2.1 设计原则基于多业务统一访问系统的规划以及建设要求，统一访问系统应按照以下原则进行建设：l 统一规划、逐步建设实施原则在多业务访问系统在统一规划的前提下，根据系统的实际需求，进行逐步实施，充分考虑作为初次部署情况。l 集成性原则通过统一集成的规划，实现基于统一应用访问的针对系统接入的规范，从而逐步实现对业

6、务系统用户接入的全面统一集成。l 安全性原则根据应用访问的不同安全等级要求，和网络访问的安全规范，制定系统的安全性规范，完善信息安全策略和信息安全标准，满足数据安全和访问安全的要求，提供可靠的系统安全管理模式。l 可扩展性原则系统的设计要考虑到业务未来发展的需要，架构应满足横向和纵向扩展的需求，在架构简明的基础上，降低各功能模块和组件的耦合度，并充分考虑到兼容性，实现快速高效的扩展方案。l 适应性原则系统需充分考虑到已有的IT资源投入，适应网络、系统和应用架构，避免在构建过程中的大范围系统改造，降低系统复杂度和建设成本。2.2 实现目标分析实现随时随地的访问方式当领导和对移动办公要求高的员工导

7、出差在外，或者不在办公室内，则没有办法进行公文处理和随时了解需要的信息。在广域网下，存在无线上网、拨号、ADSL、宽带等多种网络连接，直接影响到访问的效率；若要提高访问效果，则需要增加带宽、添置设备，重新搭建IT架构，才有可能解决网络性能问题。客户端设备的多样性以及服务器端的跨平台性也影响着我们快速的访问办公系统、邮件系统。我们建设移动办公系统就是为了解决以上问题，实现对内部网络随时随地的访问方式。保障业务系统和数据的安全性在用户进行办公时对文件进行处理的时候，数据、系统的安全性会受到来自外部网络的各种威胁，为了防止黑客、病毒的攻击，我们需要提供一个安全接入平台，充分保证数据应用系统的安全，同

8、时要实现在多种网络条件下，彻底解决对用户身份的识别、对数据和系统的安全性和可靠性的保障措施。保证应用系统及外围设备的兼容性如何保证我们的系统在3-5年时间内兼容现有甘肃烟草系统，并且能够支持新的信息化项目。要实现最高效的应用系统的集中管理、充分考虑合理的运维费用和较小的运维服务难度，最大限度地降低综合的维护成本。兼顾到不同时期的各项应用，利用较小的代价改造这些系统。兼顾到与已有的各种身份认证系统（域认证）的兼容性。兼顾不同终端设备，包括个人电脑， IPad，瘦客户机等。2.3 曙光方案简介曙光在分析技术发展趋势和客户针对桌面的需求上，提出曙光桌面云解决方案。曙光桌面云解决方案由客户端层、虚拟化

9、层和应用层组成，贯彻这些层面的是接入控制和安全。在客户端层，针对不同桌面环境，分别对应移动办公人员、办公环境，支持的终端类型包括传统的PC机、廋终端、3G移动设备等。在虚拟化层，主要通过应用虚拟化和桌面虚拟化来为客户端层提供接入。之所以在该层提供两种接入手段，主要是不同的客户端有不同的适用范围：桌面虚拟化能提供更多丰富特性，但桌面虚拟化需要更多资源，投资成本也较高；应用虚拟化提供的特性不如桌面虚拟化丰富，但投入成本低，部署速度快。 应用层为客户现有应用，主要是在网络上能够与当前应用能够连通，在连接过程中确保安全。贯穿虚拟化管理方面还包括安全，安全涵盖范围较广，主要包括用户管理、权限管理和安全审

10、计等方面内容。在本次项目中，我们根据完全根据用户现状来制定适合本次项目的桌面云方案。3 曙光桌面云建设解决方案3.1 系统总体设计3.1.1 建设思路探讨统一桌面云平台提供了两大类虚拟化方式，分别是应用虚拟化和桌面虚拟化，桌面虚拟化又分为共享服务器桌面、一对一绑定虚拟桌面和单一镜像管理的一对多虚拟桌面。在面对用户的使用场景时，选择的出发点如下：l 用户的个性化需求。对用户个性化需求的支持从弱到强排序是：纯应用虚拟化共享服务器桌面单一镜像管理一对多虚拟桌面一对一绑定虚拟桌面；l 应用的兼容性。对应用兼容性的支持从弱到强排序是：纯应用虚拟化=共享服务器桌面单一镜像管理一对多虚拟桌面一对一绑定虚拟桌

11、面；l 外设的兼容性。对外设兼容性的支持从弱到强排序是：纯应用虚拟化=共享服务器桌面单一镜像管理一对多虚拟桌面=一对一绑定虚拟桌面；因为纯应用虚拟化和共享服务器桌面的方式比后两种占用的资源有数量级上的差别，所以在满足用户需求的前提下，建议尽量采用前两种虚拟化方案。下文中将分析目前的重要使用场景，并提出推荐和备选的解决方案。3.1.1.1. 移动办公场景移动办公应用场景中，突出的特点是：l 地域分布广泛；l 终端种类不一；l 网络不稳定；l 应用相对简单。对于移动用户，我们首先确定是使用虚拟桌面还是虚拟应用。虚拟应用有部署快，带宽要求低，用户体验好的特点。桌面虚拟化灵活，兼容性强，不但能够提供应

12、用，也可以提供完整的桌面环境。所以建议采用交桌面和应用两种方式。当用户只需要访问个别应用并且网络非常差的时候，可以使用虚拟应用。从而降低带宽要求，又可以增强用户体验。当用户需要使用完整的桌面环境或需要访问自己的企业桌面的时候使用虚拟桌面。另外对于桌面虚拟化，我们先了解单一镜像和一对多虚拟桌面的区别。单一镜像意味着每个用户都有一个独立的虚拟磁盘。一对多是多个用户共享一个虚拟磁盘，适合比较标准的办公环境。针对移动办公人员，首先要对2用户进行分类，分为对个性化要求高的用户以及标准办公环境用户，根据不同情况选择镜像模式。3.1.1.2. 企业内网办公场景企业内网办公桌面，最突出的特点是：l 用户集中办

13、公l 应用单一l 带宽充足对于该场景，由于带宽非常充足，完全可以通过使用虚拟桌面的方式实现集中办公。而对于办公场景，又分为两种类型，一种是标准化环境的桌面，一种是个性化需求的桌面。其特点分别是标准桌面：l 用户集中办公l 应用统一，标准l 带宽充足l 无个性化需求个性化桌面：l 用户不一定集中办公l 应用多种多样，不同用户不一样l 带宽充足l 个性化需求所以对于个性化桌面，我们选择专属桌面，也就是1:1的部署方式。对于标准化桌面，我们可以采用池模式桌面。3.2 曙光桌面虚拟化总体架构根据前面关于现状和需求分析，结合曙光在桌面应用解决方案，制定如下模块化、易扩展、安全性高的桌面云总体架构，如下图

14、如上图，从网络入手，分为4个部分，互联网区、DMZ区、虚拟服务器区后台应用层。终端出于互联网和内部办公网两个网络中。从目的上说我们需要实现的是，用户在互联网区可以方便的访问后台应用层的OA办公系统，又可以接入企业桌面。第一步，移动办公人员首先从互联网区发起请求，连接vpn网关，这样可以保证安全性，对数据进行加密，为了保证高可用，我们启用2台vpn做冗余设计。 第二步，当拨入vpn的同时进行用户验证，通过vaccess，AD等集成认证来认证用户。当用户得到授权后，就会分配给用户一台虚拟机作为虚拟桌面或者一个应用线程，这样移动用户就相当于在虚拟服务器区进行办公。第三步，员工得到虚拟机桌面或者应用以

15、后，直接使用企业虚拟机或者应用访问办公网系统。这里只需在防火墙上开放办公虚拟机区到办公区的访问即可。以下将详细描述典型整体架构中的各个组成模块。3.3 方案建设详细设计3.3.1 网络设计3.3.1.1. 端口开放曙光系统默认需要开放端口如下,但可根据实际情况修改80, 3389,33063.3.1.2. 带宽设计由于本次项目客户端分布和网络布局尚未详细了解，故在此给出网络带宽设计规则：根据起名星辰在虚拟桌面上的实施经验。下面是参考的一些关键指标：采用RDP协议时的带宽需求：50kbps轻量级用户100kbps普通用户150kbps重量级用户采用FAP协议时的带宽需求：25kbps轻量级用户5

16、0kbps普通用户75kbps重量级用户RDP协议是在虚拟桌面中常用的连接协议，它对带宽要求稍高，适合于在LAN的环境中使用；FAP是曙光独有的虚拟桌面连接协议，提供了更好的性能和用户体验。对于广域用户建议采用FAP协议，对于局域网且要求有较好用户体验，同样建议采用FAP协议。我们在选择服务器配置时都按照上述方式来初步选择服务器网络接口带宽，相应交换机也按照上述方式选择。3.3.2 服务器设计根据用户500用户访问现状：l 使用VDI方式中的1：n部署方式，服务器集中部署在数据中心。l 虚拟机基础构架服务器典型配置多为2路6核CPU、32G或64G内存的PC服务器。l 虚拟桌面操作系统虚拟机采

17、用32位Windows XP操作系统，每个VM配置2G内存。l 考虑到用户客户端自身安装配置的存储空间需求以及缓存的用户个性化配置及数据对存储空间的需求，初步按照每个VM系统盘30GB存储空间来估算。未来可针对应用安装配置模式的优化及用户使用场景进行进一步详细测算和调整。目前考虑需要使用虚拟桌面及虚拟应用的用户为500个，虚拟基础架构使用vServer提供。根据目前了解的信息，需要创建虚拟机如下类型虚拟机数量CPU内存(GB)硬盘(GB)备注服务器Vaccess228100虚拟桌面服务器Vcenter124100虚拟服务器管理AD22450域控服务器桌面Windows XP或win750012

18、30虚拟桌面总计505506101615400注：用户配置文件和数据文件独立在文件服务器上进行存储，未在本表列出根据以上统计结果，考虑硬件高可用性，计算硬件需求如下：硬件CPU内存网卡HBA卡数量vserver服务器2路6核,主频2.2G或更高644块或更多千兆2块8G20硬件部署配置方案依据曙光产品实施经验进行估算。500用户的VDI方式虚拟桌面部署设计如下图所示：3.3.3 存储设计3.3.3.1. 数据保护方案设计同时采用三种方式实现虚拟桌面服务的数据保护。1 建议采用中端的存储阵列，并采用RAID 1+0模式提高存储可用性2 采用存储阵列的 snapshot快照技术，定时对虚拟桌面服务

19、的数据进行快照，保持每天一次快照的频率3 采用虚机快照技术，将虚拟桌面服务虚机备份到备份服务器上3.3.3.2. 存储容量和IO设计在为本项目计算存储需求时，要注意两个问题:l 系统占用容量； l 虚拟化桌面与磁盘阵列之间的IO匹配；系统容量计算，是虚拟化平台之上所有系统的空间占用总合；且该空间大小受制于磁盘存储中的硬盘的IO性能与Raid实现方式；3.3.3.2.1 存储空间设计系统空间占用大小=虚拟桌面占用空间+角色服务器系统占用空间；该部分的计算分为两部分：u 虚拟桌面使用空间；u 角色服务器使用空间；1.虚拟桌面空间占用桌面系统容量占用虚拟桌面数量X单台桌面操作系统占用；桌面系统Win

20、dows xp容量大小30GB基于本次项目中，我们针对客户应用的了解，我们使用Windows xp操作系统，并且该系统模版控制在50GB以内。在该次项目中，桌面系统空间:500(桌面个数) X 30GB =15000GB=15TB由于本次项目大部分设备使用1对n的镜像模式，所以实际使用的数据远小于15TB2.角色服务器:在虚拟化结构中涉及到的角色服务器空间大小如下表所示：类型角色服务器容量GB数量磁盘容量小计GB虚拟服务器vAccess桌面交付控制器502Error! No bookmark name given.Error! No bookmark name given.100Error!

21、No bookmark name given.Vcenter1001100DC/DHCP/DNS服务器100250总计400GB所有安装虚拟化平台之上的空间需求为0.4TB。3.系统空间占用综合桌面系统和角色服务器的计算结果，该次项目系统空间需求为(15TB+0.4TB)= 15.4TB。 虽然有很多虚拟机采用PVS镜像部署，但是考虑到未来扩容或者备份需求，建议采购15TB存储空间。（注：15TB为数据空间）3.3.3.3. 磁盘IOPS设计虚拟桌面区别于传统桌面主要在I/O方面，所以要计算存储中使用的磁盘的I/O性能能否满足桌面系统的需要。而磁盘存储所能提供的I/O性能，还要受到磁盘本身，以

22、及Raid实现方式的影响。1. 桌面业务所需I/O根据以往经验及用户习惯分析，一般终端用户对IO性能要求在15 IOPS左右，以500个用户计算，共需要7500IOPS。2硬盘所能提供的IOPS值目前,主流存储厂商的磁盘存储均使用SAS硬盘,SAS硬盘的IOPS值如下:硬盘型号IOPS值2,5英寸15.000 rpm SAS1563,5英寸15.000 rpm SAS146这两种硬盘能提供IOPS平均值为 151；3.磁盘存储Raid方式在本次项目中，建议使用Raid1+0作为Raid实现方式。由前面计算可知，虚拟桌面业务的iops是7500；读cache命中率设置在30%，读iops占20%

23、，写iops占80%，单块SAS磁盘IOPS为151，那么raid10的情况下，需要多少块硬盘满足虚拟桌面的I/O要求？所需硬盘数量 = (7500*(1-0.3)*0.2 + 2 * (7500*0.8)/151= (1050 +12000)/151 86块这里的7500*(1-0.3)*0.2表示是读的iops，比例是20%，刨去cache命中(30%命中)，实际只有1050个iops；而2 * (7500*0.8)表示写的iops，因为每一个写，在raid10中，实际发生了2个io，所以写的iops为12000个；所以，需要86块硬盘满足桌面系统的I/O要求。而就目前来说，SAS硬盘最小

24、容量为300GB，所以最终配置裸容量为86X300GB=25800GB=25T; 做raid10后为12.5T。但是12.5T要低于用户对数据空间15T的需求，所以需要采购最终配置使用容量为15000*2/300约等于100块300G容量的磁盘。3.3.4 安全设计曙光集中部署架构，通过曙光隔离了用户对后台服务器的直接访问，同时通过虚拟化技术，将所有的数据都隔离在数据中心保存，大大提高了系统整体的安全性。用户访问的安全性：首先用户需要通过企业的活动目录进行身份认证，当用户通过认证后，会通过加密链路经过防火墙和隔离区访问vaccess后，然后才允许用户连接vaccess 应用和桌面虚拟化服务器集

25、群。进一步增强了整体系统的安全性。传输协议的安全性：用户操作访问虚拟桌面或虚拟应用时，通过FAP协议建立用户会话，采用了开放的标准安全协议和公用密钥架构来确保安全。仅传输应用客户端的图像变化和鼠标、键盘等的操作数据，本身并不直接传输应用的数据，避免了数据在终端驻留泄露的可能性。策略化的控制：系统的提供集中的细粒度的策略控制用户的授权访问，针对用户、网络位置、终端环境、应用、服务器等属性决定用户是否能够获得应用的访问。曙光系统允许访问者进行有限制的访问，而不能随意的更改、拷贝信息，更不能将信息带走。3.3.4.1. 安全方案设计用户目前使用内网PC，在访问互联网时通过代理的方式进行。但是这种模式

26、造成了一些安全隐患，比如数据丢失，病毒引入等。下面我们通过桌面云的方案来解决上述问题。设计原则： 内外网数据隔离：保证数据的安全性，数据不能不加任何限制的在内外环境传输。 可访问性：保证良好的用户体验，对于内网员工如果要访问互联网，不能有非常繁琐的步骤。方案思路：每人两台桌面，一台内网，一台外网（外网虚拟桌面可以使用共享模式，让多用户使用一台虚拟桌面，但是每个用户的数据还是隔离的，这样可以节省资源）。用户如果上互联网，则需要切换到外网桌面，如果数据需要同步到内网虚拟机。则可以通过网络磁盘映射的方式进行。3.3.4.2. 与智能卡结合 用户可选择使用曙光现有的智能卡认证系统进行用户授权和登陆，智

27、能卡为非接触电子令牌，支持RSA，动联等品牌产品。3.4 曙光各功能模块设计3.4.1 虚拟桌面与桌面池曙光桌面虚拟化方案允许管理员将虚拟桌面环境发布给用户远程使用。用户可以用终端通过网络连接到虚拟桌面环境上，像使用本地桌面一样使用虚拟桌面，但实际上虚拟桌面的所有计算处理都是在服务器端完成，终端与服务器之间的交互仅仅是输入指令和输出显示图片，不存在实际数据的交互。由于桌面虚拟化将所有的桌面环境和计算集中于服务器端，因而必须在服务器端进行集中的虚拟桌面管理。虚拟桌面主要来源于服务器上运行的虚拟机，但也可以来自物理机。所有的桌面都以桌面池的形式管理起来。3.4.1.1. 桌面池分类曙光桌面虚拟化方

28、案提供了三种不同类型的桌面池：浮动桌面池、专用桌面池和固定桌面池。浮动桌面池：池中所有桌面的操作系统、应用系统都完全一样。用户每次登陆时，都从池中随机获得一个全新的桌面，用户退出时该桌面不会保存任何用户修改，并且会返回到桌面池中以供下一次分配给新的用户。用户如果想保存自己的数据，则必须通过AD域配置漫游将数据保存到共享存储上，或者直接用移动磁盘将数据拷贝出来。浮动桌面池主要适合于培训教室、机房、呼叫中心、营业厅等简单任务场景。专用桌面池：初始时池中所有桌面的操作系统、应用系统都完全一样，但用户第一次登陆并获取一个桌面后，该用户与该桌面之间就产生了绑定关系，该用户以后每次登陆都将使用该桌面，该用

29、户退出时该桌面也不再会被分配给其他用户。用户在桌面中的所有修改都将被保存下来。固定桌面池：池中桌面与用户之间由管理员手工指定绑定关系，用户每次登陆时，直接根据管理员的配置进入到指定的桌面环境中。用户在桌面中的所有修改都将被保存下来。图3 三种类型的桌面池对比3.4.1.2. 桌面发布对于浮动桌面池和专业桌面池，管理员可以将其直接发布给一个或多个用户组，其中的用户与虚拟桌面的匹配由系统自动完成或用户自行手工选择。对于固定桌面池，管理员必须将其中的每个虚拟桌面与可使用该桌面的用户进行明确指定，不允许系统自动分配或用户自行选择。一个虚拟桌面可以分配给多个用户，一个用户也可以分配获得多个虚拟桌面的使用

30、权。只有在桌面发布给用户后，用户才有权限登录使用该桌面。如果一个用户同时获得权限访问多个桌面，则在用户登录成功后会向用户提示可访问的所有桌面的列表，由用户选择其中一个桌面使用。图4 曙光vAccess产品桌面发布3.4.1.3. 链接桌面当多个桌面具有相同操作系统和应用软件的时候，如果把这些桌面的公共部分采用同一份磁盘文件进行存储，则一方面可以减少对宝贵的存储空间的占用，另一方面可以针对公共部分的I/O读写等进行性能优化，或针对公共部分进行统一的系统补丁和应用系统升级，从而对提升用户体验、提高工作效率具有很大的帮助。曙光虚拟化方案支持链接桌面功能，允许具有相同操作系统和应用软件的多个桌面共享同

31、一个公共模板，同一份公共磁盘镜像，只有各虚拟桌面之间的差异部分才由各自的虚拟机文件部分保存，在保持了每个虚拟桌面都拥有完全功能的同时，大大减少了对存储磁盘空间的占用，并为公共部分的统一升级提供了良好的基础。3.4.1.4. 快速部署和统一升级浮动桌面池和专用桌面池都可以采用模板克隆的方式创建，即先在后台创建一个虚拟机模板，在该模板中完成所有操作系统、应用系统的安装和相关配置。然后在创建桌面池时，以该模板为母体，批量克隆出多个完全相同的桌面，从而实现快速大规模部署。当对桌面池的虚拟机模板进行修改时，由于桌面池内的其他虚拟机和该虚拟机共用主镜像文件，因此当其他虚拟机重新启动时，就会自动获取更新后的

32、虚拟机模板，从而提供给用户更新后的桌面环境。这样，管理员只需要修改桌面池的模板，就可简单实现该桌面池内的所有桌面的统一升级。图5 快速部署和统一升级3.4.1.5. 桌面负载均衡当桌面池中的虚拟机分布于多台服务器上时，可以对桌面的分配进行负载均衡。负载均衡可以根据服务器的连接数、CPU负载和内存负载来进行。以连接数负载为例，当第一个用户来申请桌面时，系统从服务器A上为其分配一个桌面；而当下个用户来申请同一桌面池上的桌面时，系统发现服务器B上的连接数少于A，因而从服务器B上为其分配一个桌面。图6 桌面负载均衡3.4.2 虚拟应用除了桌面以外，曙光vAccess产品还允许将服务器应用以虚拟应用的形

33、式发布给指定用户。用户可以像使用虚拟桌面一样，用终端通过网络连接到虚拟应用，并像使用本地应用一样使用虚拟应用；但实际上虚拟应用完全在服务器端运行，终端与服务器之间的交互仅仅是输入指令和输出显示图片，不存在实际数据的交互。3.4.2.1. 获取应用服务器上的应用列表曙光提供了AppServer插件，用于从应用服务器上获取完整的应用列表，并将该列表传输到vAccess上。vAccess可以将从多台应用服务器上获取的应用列表整合在一起，由管理员配置以向外发布虚拟应用。3.4.2.2. 应用发布管理员必须将其中的每个虚拟应用与可使用该应用的用户进行明确指定。一个虚拟应用可以分配给多个用户，一个用户也可

34、以分配获得多个虚拟应用的使用权。只有在虚拟应用发布给用户后，用户才有权限登录使用该应用。图7 应用列表和发布3.4.2.3. 应用负载均衡当在多台应用服务器上都能提供同一虚拟应用时，vAccess可以对虚拟应用的分配进行负载均衡。负载均衡可以根据服务器的连接数、CPU负载和内存负载来进行。以连接数负载为例，当第一个用户来申请虚拟应用时，系统从服务器A上为其分配资源；而当下个用户来申请同一虚拟应用时，系统发现服务器B上的连接数少于A，因而从服务器B上为其分配资源。图8 应用负载均衡3.4.3 个人数据盘曙光桌面虚拟化方案允许为用户创建个人数据盘，这样用户可以把自己的文文档、数据和个性化配置都保存

35、在个人数据盘中，即便虚拟机损坏甚至被删除，用户的文档和数据等重要信息依然保存，且可以在登录另一桌面时重新关联上自己的个人数据盘，继续正常使用文档和数据。曙光桌面虚拟化方案同时允许为多个用户和用户组批量创建个人数据盘，从而大大提升管理员配置效率。3.4.4 终端支持3.4.4.1. PC电脑部署曙光桌面虚拟化方案时，可以对现有的PC电脑进行利旧。由于桌面虚拟化方案对终端的处理能力要求不高，即便是已经使用了4-5年的旧PC电脑也可以作为终端设备使用，不会出现性能不足的问题。曙光提供了vClient客户端，可以在windows XP、windows 7等各种桌面操作系统上运行，用户在vClient上

36、输入用户名和密码后，即可看到自己权限内可以进入的虚拟桌面列表，选择合适的虚拟桌面进入即可。所有的数据和计算都在服务器端执行，终端上只需要进行指令输入和屏幕显示即可。3.4.4.2. 无线云终端/瘦客户机云终端和瘦客户机具有硬件成本低、能耗低、生命周期长等特点，特别适合于作为桌面虚拟化方案中的终端设备使用。曙光桌面虚拟化方案支持云终端和瘦客户机方案，并提供内嵌式的vClient客户端，只需将云终端的系统升级为曙光内嵌vClient，即可以作为终端正常访问虚拟桌面。曙光同时还提供无线云终端设备FronView2000，用户无需为每个云终端拉一条网线，可以几十个云终端共用一个无线路由器，从而减少了对

37、布线的要求，部署更加灵活。3.4.4.3. 移动终端：平板电脑、智能手机曙光桌面虚拟化也可以采用移动终端接入，vClient支持包括iOS、Android等主流移动设备操作系统，无论是苹果的iPad、iPhone，还是其他公司的Android平板电脑，都可以正常使用vClient，且用户体验与在PC电脑、云终端上使用几乎没有差异。3.4.5 外设支持曙光桌面虚拟化方案允许用户将外设连接到终端上，然后像在本地桌面使用外设一样使用这些连接在终端上的外设，尽管所有的计算仍然在服务器端进行。3.4.5.1. USB移动磁盘曙光桌面虚拟化方案支持各种类型的USB移动磁盘，包括U盘、移动硬盘等，无需另装驱

38、动，即插即用。曙光桌面虚拟化还提供了对USB设备的精细化管理，用户需要使用USB移动磁盘设备时，必须先将USB设备的VID和PID提交给管理员，由管理员做授权许可后，才能使用USB设备。USB磁盘与虚拟桌面之间的剪贴板拷贝功能也是由管理员控制的，管理员可以根据需要提供USB磁盘与虚拟桌面之间的上行传输、下行传输、双向传输权限，或完全禁止使用剪贴板拷贝功能。3.4.5.2. 智能卡与加密狗曙光桌面虚拟化提供了智能卡携带功能，可以把各种主流的智能卡或加密狗从终端携带到虚拟桌面，虚拟桌面内的业务系统可以识别智能卡并正常运行业务，从而使得智能卡的安全方案在虚拟桌面上可以同样实现。3.4.5.3. US

39、B外设曙光虚拟化方案提供了广泛的USB外设支持，既包括常见的USB光驱，也包括各种专业的USB外设，如USB身份证扫描设备、USB转Modem、USB POS机、USB扫描仪等。曙光除了对主流USB外设提供支持外，还可以根据客户的业务需要，对特殊外设进行定制化开发和支持。3.4.5.4. 打印机曙光虚拟化方案可以支持HP、Canon等各种主流打印机，既支持网络打印机，也支持连接到终端设备的本地打印机；同时支持串口、并口和USB接口打印机。3.4.5.5. 串口和并口设备曙光虚拟化方案可以支持各种串口和并口设备，包括打印机、扫描仪、POS机等，只需要把设备连接到终端，就可以通过曙光独有的FAP协

40、议远程携带到虚拟桌面使用。3.4.6 图像和多媒体支持曙光桌面虚拟化方案允许用户在虚拟桌面上像在本地桌面一样查看和编辑图像、多媒体信息。在虚拟桌面环境下，可以支持1920*1200分辨率的桌面显示，支持32位真彩色图像显示，能够使用windows Media Player等常用多媒体工具播放1080P高清视频。3.4.7 用户身份验证3.4.7.1. AD域身份验证曙光桌面虚拟化方案可以与AD域身份认证有机结合，与现有的AD域机制配合已完成用户身份验证。图10 AD域认证配置3.4.7.2. 单点登录曙光桌面虚拟化方案可以实现单点登录，只需要输入一次用户名和密码，即可完成View登录、AD域登

41、录，直接进入虚拟桌面。图11 单点登录配置3.4.8 IP和时间段访问控制曙光桌面虚拟化方案提供了基于 IP的访问控制功能，能够管理用户的登录区域和IP范围，从而提供了强大的网络约束能力，灵活而又方便的管理用户的登录。图12 IP访问控制管理员可以根据需要，配置包括访问时间在内的详细的访问策略，控制桌面虚拟机的访问。图13时间段访问控制3.4.9 数据安全性保障数据安全性体现在两个方面：数据本身的可靠性程度，以及如何防止数据泄密。曙光桌面虚拟化方案一方面从机制上提升了数据的可靠性，另一方面为防止数据泄密提供了丰富的管理和控制手段。3.4.9.1. 数据可靠性 曙光桌面虚拟化方案使得所有业务的计

42、算、业务数据的存储都集中在了服务器端，管理员不用再担心终端的故障或被盗所导致的数据丢失；另一方面，服务器及存储等专业设备具有非常高的可靠性保障，而且还得到各厂家的HA热备、灾备恢复等各种高可用性软件的加强，因而在采用曙光桌面虚拟化方案后，业务系统故障和业务数据丢失的概率被降低到了极低的水平。3.4.9.2. 数据泄密管理曙光桌面虚拟化方案提供了强大的数据泄密管理能力，从终端无关性、访问权限管理等多个角度防止了可能的数据泄密渠道：1 终端无关性：数据集中存储于服务器端，终端被盗不会造成数据泄密；2 可以针对剪贴板拷贝、打印机等常见泄密渠道进行访问权限管理，防止非授权引发的泄密；3 可以根据USB设备的VID和PID进行非常精细的访问权限管理，既保证正常USB设备的使用，又可防止USB移动设备引起的泄密；图14 数据泄密渠道控制3.4.10 管理与维护3.4.10.1. 全中文Web管理界面曙光桌面虚拟化方案提供了全中文的Web管理界面，管理员可以从任何地点通过Web登录访问桌面虚拟化的web管理界面，方便地进行配置和管理。图15 全中文Web界面3.4.10.2. 日志与事件管理曙光桌面虚拟化方案支持日志与事件管理，记录用户登录、推出、启动桌面会话等最终用户操作行为，同时能够及时报告系统故障和错误的警告，从而为管理员的日常维护和故障排查工作提供可靠的支持。