桌面虚拟化项目实施方案(修改版)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
桌面虚拟化项目实施方案
一、目前办公PC使用现状
1、网络病毒
由于外网开放,且员工自带U盘随意使用,使得目前办公局域网内病毒泛滥,关键数据得不到有效隔离和保护,等到系统崩溃后想恢复全部数据困难重重。
2、权限管理
目前所有部门的网络都是可以相互访问的,所有用户权限都是放开状态,缺乏管控,同时,USB接口可以随意使用,为内部机密资料外泄提供可能。
3、企业关键数据无法完全受到保护
目前数据资料主要存储在台式机或者笔记本中,这种个人PC设备的硬件安全性无法得到足够保障,同时,病毒随时可以破坏操作系统及数据文件完整性。
¥
4、PC需要更新换代,维护成本高
目前信息化时代高速发展,主流PC电脑3-4年一个淘汰周期,被淘汰的电脑由于性能上的问题无法再被利用,而可以继续使用的主板、硬盘、及电源部件被白白浪费。PC 硬件故障点很多,且系统需要经常升级维护,而实际上目前的办公环境需要多人维护才能使每个员工的电脑达到最佳使用状态。
二、虚拟桌面相比传统桌面优势
桌面虚拟化技术是所有虚拟化技术中,当前发展最快、最具应用前景的技术。桌面虚拟化依赖于服务器虚拟化,在数据中心的服务器上进行服务器虚拟化,生成大量的独立的桌面操作系统形成虚拟桌面池,同时根据专有的虚拟桌面协议发送给终端设备。用户只需要记住用户名和密码及相关信息,即可随时随地的通过网络访问虚拟桌面池中自己的桌面系统。相比传统桌面,虚拟桌面有如下优点:
1、更灵活的访问和使用
桌面虚拟化技术实质上是将用户使用与系统管理进行了有效的分离。用户对桌面的访问就不需要被限制在具体设备、具体地点和具体时间。我们可以通过任何一种满足接入要求的设备,访问我们的windows桌面。
2、更广泛与简化的终端设备支持
作为云计算的一种方式,由于所有的计算都发生服务器上,对终端设备的性能要求大大降低,即使是过时的台式机,笔记本都可以使用虚拟桌面,并且性能不受老式设备影响,延长设备使用周期,节约企业成本。
%
3、终端设备采购、维护成本大大降低
这种IT架构的简化,带来的直接好处就是终端设备的采购成本降低。云终端相比PC可以节省更多硬件采购成本。并且终端的维护相对简单,故障点相对PC也少了很多,节约空间。
4、集中管理、统一配置
管理员可以在服务器端对所有桌面进行统一配置和管理,每个用户桌面的配置都可以随时调配,包括虚拟cpu、内存、磁盘容量等等。如果虚拟桌面点数需要少量增加,也只是几分钟的事情而已。以上所有维护工作都可以在服务器端进行,偶尔才需要对终端进行简单的维护。同时,虚拟桌面对用户权限的管控大大加强,员工无法将企业关键信息数据通过U盘、网盘等方式带到企业办公以外的地方。
5、桌面数据快速恢复
每个虚拟桌面其实都是一台虚拟机,每台虚拟机均支持快照功能,通过快照可以在1分钟内恢复虚拟机备份时间点的全部数据,保证数据安全。
6、桌面快速登录
由于操作系统全都部署在服务器上,用户从终端开机到登录到自己的桌面最快仅需要20秒,对比传统PC动辄1-2分钟的登录时间大幅缩短,也不会出现软件装的越多启动时间越慢的情况,大大提高使用者的工作效率。
'
7、降低耗电、节能减排
传统PC一般在200W左右,而云终端只有5w-15w的耗电量,是传统PC耗电量的十几分之一,虽然增加服务器会带来一定程度的耗电量的上升,但是我们可以计算,长久来看,桌面的点数越多,就可以节省越多的电量。耗电的减少,也意味着碳排放的减少,适应了低碳时代的要求。
三、项目实施方案
1.@
2.软硬件推荐配置
《
3. 网络拓扑设计
拓扑说明
x3850x5虚拟化
服务器SOUL UA2216存储x3850x5虚拟化服务器
方案中1台新采购的IBM 服务器与机房1台现有IBM 服务器组成虚拟化群集,群集通过SAN 光纤交换机连接存储,利于以后虚拟化群集服务器扩展。新增服务器配置2颗8核E7-4820处理器,256GB 内存,在150个用户状态下可以保证服务器一台宕机同时另外一台接管所有虚拟机;本机配置2块硬盘,通过做
镜像保证本地虚拟化操作系统文件安全性,所有数据文件存储在SOUL共享存储中。SOUL存储采用8Gb光纤通道与主机相连,双控制器,保证数据安全性和高速率。
Cloud VMs
PC
PC PC
PC
PC PC
PC
PC PC
PC
PC PC
;
本方案所有配置包含总厂和其他分厂,除有部分制图任务的电脑不使用桌面虚拟化外,总厂和分厂其他电脑全部通过VPN外网访问总厂的虚拟桌面。
网络安全
内外网分离的设计确保虚拟化平台的安全性,以及避免网络风暴造成的业务影响,虚拟化网络中开通部分外网权限,所有虚拟化电脑中不允许安装游戏、娱乐之类软件。技术部门全部关闭外网,防止资料外泄。技术部门使用公共电脑进入外网,公共电脑不连入虚拟网,但虚拟网可以访问公共电脑,可以将文件复制进虚拟化网络,但不可以将文件复制进公共电脑。
目前加密软件由于兼容性和各种限制问题有时无法正常使用,可以考虑更换加密软件,推荐使用互普威盾,目前我们在使用它们的行为管理软件,可以另购其加密模块,这样软件稳定性有一定保证。
要严格把守加解密流程,杜绝泄密状况发生。所有从虚拟化网络出来的文件都必须经过加密流程,由于笔记本可以外带,所以要保证笔记本的文件全部都是
加密的,笔记本文件归档时放入公共资料区的归档文件,由加密管理人员统一解密后放入虚拟化桌面内(每天或每周一次)。即如需发送CAD 或office 文件给外部客户时需要经过解密流程,经过解密后才能发给客户。
如下图所示:
FTP 共享服务器
域服务器虚拟化服务器邮件服务器3.4 策略管理
虚拟化所使用的瘦客户机、台式电脑、笔记本都关闭USB 储存设备的映射,所有资料无法经USB 设备导入导出。
每个部门都是域中一个单独工作组,组与组之间做权限隔离,相互之间无法访问。开放一个公共资料区,每个工作组都可以访问,做内部资料交换。
另外,如有新员工入职,其桌面所需安装软件由人事指定。
4. 软件部署
1、目前建议三个分厂的虚拟桌面通过外网访问总厂虚拟化系统,分厂不再单独部署虚拟化系统。
2、使用虚拟化的员工数量,约102个点(建议购买150点)。详见附件1