基于云桌面的机房建设与研究

基于云桌面的机房建设和研究
摘要：虚拟化技术已经广泛应用于社会各个行业，在教育教学上，各种基于虚拟化技术普通PC终端的虚拟实验平台更是数不胜数，随着虚拟化技术的不断演进，简化对资源以及对资源管理的访问，不受物理限制的约束，IT虚拟化，扩大硬件的容量，简化软件的重新配置过程；如今，云计算技术已经非常成熟，云桌面代替传统PC教学，不仅为学生和老师带来全新的桌面体验，同时降低了IT运维的难度的工作量。

本文以华为云桌面为例，介绍了基于云桌面的教学机房的应用及原理。

关键词：云计算；虚拟化；云桌面；
1关键技术简介
1.1虚拟化技术简介
虚拟化技术分为平台虚拟化（Platform Virtualization）、资源虚拟化（Resource Virtualization）、应用程序虚拟化（Application Virtualization），平台虚拟化针对计算机和操作系统的虚拟化，资源虚拟化针对特定的系统资源的虚拟化，比如内存、存储、网络资源等，应用程序虚拟化包括仿真、模拟、解释技术等。

我们通常所说的虚拟化主要是指平台虚拟化技术，通过使用控制程序（Control Program，也被称为Virtual Machine Monitor 或Hypervisor），隐藏特定计算平台的实际物理特性，为用户提供抽象的、统一的、模拟的计算环境（称为虚拟机）。

虚拟机中运行的操作系统被称为客户机操作系统（Guest OS），运行虚拟机监控器的操作系统被称为主机操作系统（Host OS）。

1.2云计算简介
云计算（Cloud Computing），是一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需求提供给计算机和其他设备。

云计算的典型应用模式可分为3类：IaaS(基础架构即服务)、PaaS(平台即服务)、SaaS(软件即服务)。

其中，基于远程桌面视图交付的SaaS层云桌面技术是将数据计算由传统终端(台式机等)转移到后端服务器，终端侧仅负责图形显示及鼠标键盘操作的桌面虚拟化技术。

云桌面的实施可显著提高数据安全管理水平、降低软硬件管理和维护成本、降低终端能源消耗，是目前云计算产业链的重要发展方向。

2云桌面概述
2.1 云桌面简介
在计算机中的桌面是指打开个人计算机并登录到操作系统后看到的主屏幕区域，这就是我们工作的桌面。

云桌面也是一个显示在我们屏幕上的桌面，但它的后面不是一个真实的计算机，而是通过网络连接远端服务器上。

也就是说，云桌面是由服务器提供的，所有的数据计算运行在服务器上，云桌面仅仅显示桌面图像，并接受键盘、鼠标等外设的输入操作。

服务器能同时为多人提供不同桌面，如Windows 桌面、Linux桌面等。

我们只需要一个客户端设备，或者其他任何可以连接网络的移动设备，通过浏览器或者专用程序，就可以访问驻留在服务器的个人桌面。

用户体验和我们使用传统的个人电脑是基本一样的。

云桌面的接入终端一般是瘦终端或者普通PC(个人计算机)。

部分云桌
面系统也支持智能手机、Pad 等终端接入设备。

接入终端用以处理与服务器间的远程连接协议、输入输出设备、外围设备驱动等，并将终端连接设备映射到服务器会话中，用户可以执行保存、打印、输出操作。

2.2 云桌面架构
一个云桌面系统的典型架构可分为终端接入、云桌面系统和访问的业务系统3个层次，见图1。

图1 云桌面系统典型架构
云桌面工作流程：用户通过各种终端通过桌面显示协议访问云桌面接入地址或门户，该访问地址或接入门户一般前置负载均衡设备。

由用户管理服务器，通过用户管理系统，通常是微软的AD(活动目录)验证用户身份，认证通过后请求被定向到随机或定制的云桌面。

用户登录云桌面后，如同登录本地桌面一样访问业务系统进行操作。

Web Interface 接入网关云终端瘦终端用户
License/TCM DB(SQL)ITA OS GPU 直通虚拟FusionManager
DDC XenAPP
存储资源池
FusionSphere
CNA
FusionCompute OS
CNA Operating System
CNA
AD
DNS DHCP
2.3云桌面的两种主流技术
根据云桌面不同的实现机制，目前主流云桌面技术可分为两类：虚拟桌面基础架构的VDI(虚拟桌面基础设施)方式和基于服务器计算模式的SBC(基于服务器计算)方式。

VDI方式：在数据中心通过虚拟化技术为用户准备好安装Windows或其他操作系统和应用程序的虚拟机。

用户从客户端设备使用桌面显示协议与远程虚拟机进行连接，每个用户独享一个远程虚机。

这种技术也可称为桌面虚拟化。

SBC方式：用户通过与服务器建立不同的连接session(对话)对服务器上的应用进行访问。

通过不同的会话区分和隔离用户，使多个用户同时共享同一个操作系统。

可通过策略配置为每个用户提供不同的桌面。

简而言之，VDI是连接到一个独享的虚拟机，而SBC是连接到共享的终端服务器的session。

华为运作面采用的是VDI方式。

2.4云桌面优势
与传统桌面工作方式比较，云桌面具有明显优势。

2.4.1工作桌面集中维护和部署，提高桌面服务能力和工作效率。

云桌面改变了过去分散、独立的桌面系统环境。

通过集中部署，IT人员在服务器侧完成所有的桌面管理维护]二作，包括操作系统安装、软件更新、操作系统补丁升级、安装防病毒软件等等。

最终使用用户不需要对个人工作桌面自行维护，连接云桌面后可运行的程序“所见即所得”，减少了企业大量的桌面维护工作，也提高了企业桌面维护支持的服务水平。

2.4.2数据远程隔离，有效保护数据的信息安全。

云桌面的用户桌面环境、业务数据都是托管在远程服务器上，本地终端只是一个显示设备。

终端不处理和存储业务数据，通过云桌面系统的策略控制，业务数据无法下载到本地，有效保障了数据的安全。

维护人员甚至通过设置不同的本地终端控制策略，禁止用户对本地USB等设备的访问，通过这样的数据隔离措施，企业能够有效的保证数据不被违规带出企业，可有效防范数据的非法窃取和传播。

2.4.3多终端多操作系统的接人能力。

云桌面是由服务器提供的，用户可随时随地通过移动或固定网络访问。

部分云桌面平台还支持多种终端的接入，如瘦客户端、PC机、上网本、手机、平板电脑等，支持苹果iOS(操作系统)、安卓等多种系统平台。

具体部署方式根据实际需要决定。

3云桌面系统架构
3.1云桌面资源分类
3.1.1计算资源池
计算资源池为用户提供CPU、内存计算资源。

在服务器上安装华为的虚拟化软件，可以在一台服务器上虚拟出多个台虚拟机，提供弹性规格的虚拟桌面。

这几个资源池归属同一朵桌面云管理系统。

3.1.2存储资源
存储资源主要为虚拟桌面提供系统空间和数据空间、还有桌面云管理系统所需要的空间。

这些存储都在主用存储上。

主存储根据数据类型的不同，划分不同的数据LUN。

这里的数据类型主要包括：管理数据、
Windows系统数据、用户数据。

3.2标准桌面云体系架构
3.2.1逻辑架构
逻辑架构图如下：
硬件资源
提供部署桌面云系统相关的硬件基础设施，包括服务器、存储设备、交换设备、机柜、安全设备、配电设备等。

虚拟化基础平台
根据虚拟桌面对资源的需求，把桌面云中各种物理资源虚拟化成多种虚拟资源的过程。

云计算基础平台
云计算基础平台包含资源管理和资源调度两部分：
•云资源管理指桌面云系统对用户虚拟桌面资源的管理。

可管理的资源包括计算、存储和网络资源等。

•云资源调度指桌面云系统根据运行情况，将虚拟桌面从高负载物理资源迁移到低负载物理资源的过程。

虚拟桌面管理层
负责对虚拟桌面使用者的权限进行认证，保证虚拟桌面的使用安全，并对系统中所有虚拟桌面的会话进行管理。

接入和访问控制层
用于对终端的接入访问进行有效控制，包括接入网关、防火墙、负载均衡器等设备。

运营维护管理系统
运营维护管理系统可由一套或多套软件系统组成，主要包含桌面管理和OM管理两部分：
•桌面管理完成桌面云的开户、销户等业务办理过程。

•OM管理完成对桌面云系统各种资源的操作维护功能。

云终端
用于访问虚拟桌面的特定的终端设备，包括瘦客户端、软终端、移动终端等。

现有IT系统指已部署在现有网络中（也可部署在虚拟化平台之上），且与桌面云有集成需求的企业IT系统，包括AD（Active Directory）、DHCP（Dynamic Host Configuration Protocol）、DNS（Domain Name Server）等。

3.2.2硬件组成
物理拓扑，各物理组件，包括服务器、存储系统和各种网络设备，物理拓扑如图所示。

服务器
计算服务器：用于提供虚拟机资源。

管理服务器：用于负责整个云端的资源管理和调度。

存储设备：为虚拟机提供存储资源。

交换设备
接入层交换机：负责本机柜内部的服务器接入。

汇聚层交换机：完成云端内各接入层交换机的流量汇聚，与核心层交换机通过三层互通，对接入层交换机提供二层接入功能。

核心层交换机（按需配置）：完成云外的通信连接，同时提供对外网络出口。

负载均衡器：可选部件，为用户接入提供负载均衡，用于管理用户流量、均衡负载。

终端：
TC：瘦客户端，用于登录虚拟桌面。

SC：软终端，用于登录虚拟桌面。

3.2.3软件组成
软件由FusionCompute、FusionManager和FusionAccess三部分组成。

FusionCompute：虚拟化基础平台软件，在服务器、存储设备、网络上构建了一个统一的虚拟化层，实现了资源的整合，使得资源能够被池化的共享和动态分配。

提高硬件资源的利用率，简化了对物理资源的管理。

主要包括虚拟计算、虚拟存储、虚拟网络以及对这些虚拟资源进行集中调度和管理功能。

FusionCompute降低了业务的运行成本，保证系统的安全性和可靠性，协助运营商和企业构筑安全、绿色、节能的云数据中心能力。

FusionManager：云管理软件，主要提供资源管理、监控管理，资源发放等功能。

在FusionCloud桌面云中，该软件还将集成FusionAccess 提供的虚拟桌面管理界面，为用户提供统一的管理入口。

FusionAccess：桌面管理软件，主要由接入和访问控制层、虚拟应用层、虚拟桌面云管理层和业务运营平台组成。

FusionAccess提供图形化的界面，运营商或企业的管理员通过界面可快速为用户发放、维护、
回收虚拟桌面，实现虚拟资源的弹性管理，提高资源利用率，降低运营成本。

FusionCompute、FusionManager和FusionAccess软件均通过Portal界面进行操作，在标准桌面云场景下，各软件的操作界面及操作界面对应的主要业务操作如下：
FusionAccess
•桌面云的业务配置与发放
•桌面云虚拟机的主要日常管理维护
FusionCompute
•基础设施资源管理（主机/集群/存储/网络）
•用户虚拟机模板制作
•桌面云虚拟机的部分维护操作（VNC登录、手工迁移、磁盘管理、快照备份）
FusionManager
所有硬件的资源状态监控
3.2.4桌面云各主要组件功能简介
FusionCompute上的节点：
CNA计算节点代理（Computing Node Agent）：功能：
•提供虚拟计算功能。

•管理计算节点上的虚拟机。

•管理计算节点上的计算、存储、网络资源。

虚拟资源管理VRM（Virtual Resource Management）功能：
•管理集群内的块存储资源。

•通过DHCP（Dynamic Host Configuration Protocol）为虚拟机分配私有IP 地址。

•管理集群内的计算节点，将物理的计算资源映射成虚拟的计算资源。

•管理集群内的网络资源(IP/VLAN/安全组/DHCP)，为非VPC虚拟机分配私有IP地址。

•管理集群内虚拟机的生命周期以及虚拟机在计算节点上的分布和迁移。

•管理集群内资源的动态调整。

•通过对虚拟资源、用户数据的统一管理，对外提供弹性计算、存储、IP等服务。

•通过提供统一的操作维护管理接口，操作维护人员通过WebUI远程访问FusionCompute对整个系统进行操作维护，包含资源管理、资源监控、资源报表等。

FusionManager上的节点：
集成资源管理IRM（Integrated Resource Management）：
通过连接器实现与其它管理系统的对接和信息采集功能，是资源数据提供的主体。

统一硬件接入和管理UHM（Unified Hardware Management）：
提供统一硬件接入和管理。

统一Portal UPortal（Unified Portal）：
提供整个系统的UI框架，包括界面的框架风格和布局等。

FusionAccess上的节点：
GaussDB数据库DB（Database）：
GaussDB为ITA、HDC提供数据库，用于存储数据信息。

华为桌面代理HDA（Huawei Desktop Agent）：
运行于桌面操作系统内的协议代理。

桌面方案控制器HDC（Huawei Desktop Controller）：
HDC是虚拟桌面管理软件的核心组件，根据ITA发送的请求进行桌面组的管理、用户和虚拟桌面的关联管理、虚拟机登录的相关处理等。

T适配器ITA（IT Adaptor）：I
ITA为用户管理虚拟IT资产提供接口，实现虚拟机创建与分配、虚拟机状态管理、虚拟机模板管理、虚拟桌面系统操作维护等功能。

License服务器LIC（License）：
提供软件License控制功能。

瘦终端管理服务器TCM（Thin Client Management）：
TCM为升腾曦帆桌面管理系统，管理员通过TCM对TC进行日常管理。

虚拟接入网关vAG（Virtual Access Gateway）：
vAG的主要功能是桌面接入网关和自助维护台网关。

当用户虚拟机出现故障时，用户无法通过桌面协议登录到虚拟机，需要通过VNC自助维护台登录虚拟机进行自助维护。

虚拟负载均衡器vLB（Virtual Load Balance）：
功能的主要作用是在用户访问WI（Web Interface）时，进行负载均衡，避免大量用户访问到同一个WI。

Web接口WI（Web Interface）：
WI为最终用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息（加密后的用户名和密码）转发到AD上进行用户身份验证；用户通过身份验证后，WI将HDC提供的虚拟机列表呈现给用户，为用户访问虚拟机提供入口。

单一名称服务UNS（Unified Name Service）：
UNS支持通过统一的域名访问具有不同WI域名的多套FusionAccess系统。

减少用户在不同的WI域名间进行的切换和跳转。

3.2.5桌面云各组件接口
桌面云解决方案接口
接口位置作用协议
遵循标准
虚拟桌面访问接
口TC/SC-虚
拟桌面
终端用户通过该接
口访问虚拟桌面。

HDP 桌面传输协议
IT适配接口
IT系统
-FusionAc
cess
企业已有IT系统
通过该接口实现对
桌面云的管理。

REST ﹣
IT用户认证接口
AD系统
-FusionAc
cess
用户登录虚拟桌面
时，通过该接口对
用户进行认证鉴
权，保证系统的安
全性。

LDAP
RFC4511～
RFC4519，RFC1823
3.2.6桌面云的网络带宽需求
桌面云的网络带宽与用户行为，与应用户类型强相关。

几种典型应用带宽需求情况如下：空闲：5K～20Kbps；
Office(Word/Excel)办公应用：20K～120Kbps；
Internet /WWW浏览（纯文字）: 50K～150Kbps；
呼叫中心客服应用(旁路/分离方案)：100~150 Kbps；
PPT/图片应用：200~300Kbps；
打印：500~800Kbps；
标清视频(320P，原始窗口)：1~5Mbps；带宽至少按4M算；
高清视频(480P,720P,1080P原始窗口)：2~15Mbps；带宽至少按10M算；
GPU直通虚拟桌面(CPU压缩): 5~40Mbps，带宽至少按20Mbps算；
GPU直通虚拟桌面(无压缩): 5~100Mbps，带宽至少按50Mbp
3.3桌面云安全体系
3.3.1虚拟化安全
虚拟计算安全
虚拟平台（Hypervisor）统一调度管理CPU计算资源，保证每个虚拟机都能获得可用的独立计算资源，确保各虚拟机的虚拟计算资源相互独立安全。

故障物理资源被虚拟平台自动屏蔽。

若某个虚拟机系统崩溃，不会影响虚拟平台(Hypervisor)及其他虚拟机的正常运行。

虚拟内存安全
虚拟机的内存由华为虚拟化平台统一管理，每个虚拟化之间内存完全物理分开，相互之间不存在内存的复用，安全性高。

计算机的内存一般在未掉电或重新刷新的情况下会保留上个阶段运算的信息。

在云计算环境下，内存的动态分配对虚拟机的安全有极大威胁，许多高等级的攻击可能利用剩余信息通过极其复杂的技术来获得用户的敏感信息。

通过适当的技术可以有效地消除这种风险：在云操作系统将内存重新分配给用户时，云操作系统对分配的内存作写“零”处理，从而保障在新启动的虚拟机中恶意内存检测软件无法检测到有用信息。

虚拟磁盘安全
当系统管理员操作“失误”，可能存在将用户磁盘“误挂接”到其他虚拟机的风险，从而导致用户的数据泄露。

采用对每个用户虚拟机设置某种与用户关联的标记的方式（在操作系统挂接磁盘时，自动检测虚拟机的属主与标记之间的对应关系），可防止磁盘“误”挂接。

当用户的虚拟机被删除时（如退租），在将磁盘空间（逻辑卷）重新分配给其他租户前，若原用户虚拟机中有敏感或重要数据，系统会将磁盘数据彻底删除。

防止恶意用户（或租户）使用数据恢复软件恢复出原来磁盘的数据，导致原用户的数据泄漏。

虚拟网络安全
安全组是具有同等安全要求的一组虚拟机。

安全组可以由一个或多个VM，也可以由一个或多个VLAN所组成。

安全组的策略可以细化到VLAN甚至每台VM。

安全组隔离相当于APP应用防火墙。

不同安全组之间的访问控制由EVS和iNIC来实现。

其中EVS相当与IPtable，这是一种内嵌在云操作系统中的一种流量访问控制（ACL）管控软件。

iNIC是由支持iNIC技术的网卡及其驱动来完成，由云操作系统的策略管理软件下发相关的策略，iNIC来执行。

系统采用EVS还是iNIC来作ACL由云操作系统的自动检测机制来完成，当系统检测到有iNIC的硬件时，采用iNIC，否则自动采用EVS。

无论是EVS还是iNIC都支持多达200条/VM的ACL访问控制策略，而且支持状态防火墙。

虚拟防火墙由两种形态存在，一种是由硬件虚拟化组成的虚拟防火墙，在这种部署下，若干个虚拟防火墙共用一个物理防火墙资源，但是彼此完全独立，也不因一个防火墙的功能影响另一个防火墙功能。

硬件的虚拟防火墙规格：支持4096个，支持虚拟IPS，虚拟IPsec VPN。

另一种是由软件实现的虚拟防火墙，这种防火墙可以部署在某个VM 上，此时虚拟交换机把相关的流量引到虚拟防火墙上，从而实施上述
功能。

虚拟化防火墙提供REST 管理接口，管理员可以在云安全管理平台中配置安全策略，通过REST 接口下发到虚拟化防火墙上。

管理员也可以在云安全管理平台中登录虚拟化防火墙，进行系统管理和维护工作。

3.3.2桌面管理安全
3.3.3终端安全
4云桌面系统规划
案列引入：实训机房改造
4.1现状以及需求分析：
原有机房均为传统PC+局域网运行模式，其网络拓扑结构如图所示:
改造需求：
1、 桌面云桌面的升级、变更、维护等工作交由后台统一管理和运
行，在系统上而不是在用户在终端上进行集中发布、配置和更新，终端用户无需任何变动即可获得最新应用和服务，减少终PC 终端 机房二 交换机 服务器 PC 终端 机房
一 交换
机
服务
器 PC 终端
机房三 交换机 服务器
原机房网络拓扑图 intranet
端所需的运维支持力度。

2、依据相应的权限策略实现对不同安全域、不同接入类型用户的
集中管控，保障核心数据、应用数据部流失，以及对不同业务
资源的灵活分配和使用状况审计
3、客户端在经过验证后，可以即安全、高效地方便地跨安全分区
访问后台各种不同的应用。

访问规则可以根据策略制定，无需
频繁更改设定。

即使通过带宽有限的网络连接，也可以得到较
好的用户体验；
4、降低维护成本、提高工作效率：减轻管理人员的工作强度和不
必要的重复劳动，提高业务系统和办公环境的安全性和稳定性。

真正实现人尽其责，物尽其用。

5、三个机房的软件版本统一，并可进行统一升级；
6、三个机房的PC工位内存、硬盘资源统一分配，根据需求可自
由分配；
7、三个机房的工位根据需要，后期可进行简单的扩容和自由分配；
8、延续原有的功能需求。

4.2方案设计
根据以上现状与需求改造方案如下：
说明：本次桌面云平台采用华为桌面虚拟化方案，网络环境划分成三个部分：终端层、网络层、虚拟化桌面层和后台应用层，各部分之间按照网络要求使用可要用交换技术隔离，三个机房业务独立，管理统
一。

可只开放访问必须的端口。

将用户终端隔离后可以对后台应用服务器起到很好的保护作用，用户所有的个人桌面、应用和文档被集中控制在虚拟桌面层。

4.3配置规划
根据以上方案桌面云规划如下：
5云桌面系统部署
根据以上需求，给出如下部署方案：
6云桌面系统安装
根据以上部署方案
7云桌面系统维护
结语 远程准备教学课件
与实训室管理 …… …… …… 机房
一 机房三 机房二 汇聚层
交换机 接入层
交换机
接入层交换机 接入层交换机 TC TC TC
建成后的网络拓扑图
Teacher Office 虚拟服务器与存储云平台
参考资料。