深信服aDesk桌面云解决方案建议书

桌面云解决方案建议书
2015年12月
深信服科技有限公司
目录
第1章项目概述
1.1项目背景
当前，内网办公、培训室等不同场景的桌面终端普遍采用功能全面的PC 设备，而传统PC属于独立计算模式，操作系统、应用程序及数据都与每台硬件设备紧密关联，即各组件绑定于每台用户PC上，只要其中一个环节出现问题，桌面将无法正常使用。

所以长期以来，新桌面上线、软件的安装与管理、安全补丁的复杂部署、系统升级的版本冲突等问题已然成为桌面PC面临的最大挑战。

同时随着PC需求量不断增加，桌面管理复杂度将呈指数级增长，还会引发更多的终端安全隐患，这就需要投入巨大的精力及成本加以解决。

在此背景下，如何提升信息化运行效率、以及如何实现精细化管理等新IT 需求是信息化建设发展过程中的战略方向。

因此，本项目建议采用“以服务器为中心的云桌面技术”，它被誉为“下一代PC”，可以降低运营成本，提高管理效率及安全性，为满足上述需求提供了一套切实可行的解决方案。

1.2PC现状与问题
1.2.1数据易丢失、易泄密
传统PC模式，信息数据及办公文档分散存储于每台终端上，当硬盘故障将导致重要文件丢失，随着PC数量越多，其数据丢失风险越大，而面对广泛分布在每台电脑上的硬盘数据，IT人员也难以实现统一的数据备份及恢复。

再者，不同办公场景均有大量的办公PC，PC与服务器之间传输的是实际业务数据，该数据会缓存在用户本地或在传输过程中被截获，同时用户还可以
通过PC拷贝机密数据并随意外发。

所以在这种情况下，PC将成为网络中的一个安全缺口，如果不加以管控，则信息泄密风险极大。

1.2.2高昂的PC运营成本
每台PC都有主板、CPU、内存和硬盘等众多零部件，在长达3~5年的生命周期中，平均每台PC报修次数高达3次以上，每次维修周期需要1到2个工作日不等，因此在硬件故障维护及更换方面需要投入巨大的人力与经费。

除此之外，PC桌面管理复杂，包括系统升级、补丁更新、安装软件、网络配置等维护工作均需逐台完成，消耗大量的人力。

同时，IT人员往往需要亲临现场解决问题，进一步增加了支持成本。

最后，传统PC+显示器为250W，那么一台电脑将产生高达352元/年的电力成本，而电脑发热量也比较大，在办公空间密集的情况下，散热成本也逐步上升。

因此，IDC预测，用户在PC硬件上投资10元，后续的运营开销将高达30元，而这些投资并不能产生业务价值，也即投入越多，浪费越大。

1.2.3桌面无法移动化
越来越多的客户将办公边界进一步延伸，实现员工“移动化、随时随地”处理工作，以提高决策效率与响应速度。

但是，传统PC将办公桌面与特定计算机绑定，限制员工只能在固定工位上进行办公，使用起来非常不灵活，无法满足移动桌面办公需求。

1.3项目必要性分析
随着信息化建设逐步深入，桌面PC、笔记本、智能手机等终端设备越来越多，维护效率低、安全管理风险大、硬件更新成本高等一系列问题愈显突出，
如何有效管理各种各样的桌面环境，是目前亟需解决的问题。

桌面云（VDI）能够应用于内网办公、培训室等各种场景，并有效解决信息化过程中的成本、管理、安全等问题。

1.成本分析
以500台PC为例，采用VDI模式后，可以整合为10台服务器，硬件数量减少50倍，所以总体故障率大幅降低，每年可以节省大量硬件维修成本。

另外，如果使用5年，PC需要更新换代，按每台设备4000元计算，则原有模式需要重新投资200万。

而VDI模式只需更新或增加服务器，保守估计10多万，差距将近20倍。

2.维护效率
所有总部及分支的办公PC、培训PC都需要IT人员现场维护，效率低下、成本很高。

目前PC管理员很少，在传统PC模式下，IT管理员需要维护500台PC，每台PC安装1个操作系统、4种业务软件及5类常见办公软件，则需要完成5000次安装调试。

采用VDI模式后，IT管理员只需要维护几套模板、几台服务器和一些应用程序，大大提升管理效率。

3.安全管理
当前部分办公人员缺乏必要的信息安全知识与技能，比如杀毒软件没有安装或没有升级病毒库、操作系统补丁升级不及时、随意使用移动存储介质等，难以防范泄密问题，而且一旦出现故障，IT管理员要从各节点排查，工作量巨大且成本高昂。

采用VDI模式后，桌面和数据全部上收到服务器，瘦终端只显示图像信息，即使人为干扰也极少出故障。

并且，只要定期进行杀毒软件更新、补丁升
级等操作即可满足安全要求，既减少工作量，又保障信息安全。

还可以限制存储设备使用及数据互拷行为，进一步加强网络安全性。

VDI属于“新一代”计算模式，适合在各类办公场景广泛应用，以提升部署效率、简化桌面运维及保障信息安全。

1.4设计原则
◆简单易用
桌面云应提供软硬件一体化服务器平台及更少的管理组件、更易用的管理平中，从而实现简单高效的安装调试及运维管理，提升运行效率。

◆极致体验
桌面云应提供与PC一致的用户体验，保证流畅的桌面操作及视频播放，并且良好兼容打印机、身份证读卡器、指纹仪、摄像头、高拍仪等各类外设。

◆高安全性
桌面云应提供前端、传输端、后端等更全面、多层次的安全功能，包括多种认证方式、传输层加密、数据盘加密等，从而有效保护用户个人隐私安全。

◆高可靠性
桌面云应提供主机和磁盘的冗余部署机制（比如HA技术、虚拟存储技术等），确保桌面及业务的可靠运行，同时要求桌面具有平滑扩容能力。

第2章深信服aDesk桌面云技术方案
传统PC的众多弊端是由“终端分散化”所引起的，为了降低综合维护成本，提升信息安全管理水平，“云端集中化”模式应运而生，通过云桌面技术将办公桌面集中部署在服务器上，使得不同设备可以随意访问，并且实现桌面维
护简单化、业务数据集中化。

2.1桌面云产品架构图
深信服提供一站式、高性价比桌面云方案，整套方案只需要云终端、桌面云一体机（包括桌面虚拟化、服务器虚拟化、存储虚拟化等软件平台）两种硬件，即可完成桌面云的快速搭建。

其中，桌面云一体机VDS是一款专为云桌面设计的软硬件一体化服务器，集成了服务器虚拟化、存储虚拟化、桌面虚拟化（控制器）等软件平台，用户无需复杂的安装调试过程，将VDS开机之后，只需要按照向导式配置界面执行几个操作步骤，即可完成桌面云部署上线，非常方便快速。

2.2关键组件介绍
硬件平台
1.新一代云终端（aDesk）
•ARM架构：硬件架构采用ARM A9芯片，其优势在于系统运行效率更高，而且长期使用更为稳定。

•一体化设计：设备采用集成化设计模式，无多余零部件，并且运行过程中发热少，所以寿命更长，高达5~8年。

•绿色环保：平均功耗仅10W，相对PC可节省10倍电力成本，并且无风扇运行，全程无噪音。

2.桌面云一体机（VDS）
桌面云一体机是一款专为“云桌面”量身定制的软硬件一体化服务器（包括桌面虚拟化、服务器虚拟化、存储虚拟化等软件平台），通过提供简单、一站式交付方案，极大降低部署难度，从而帮助用户加快桌面云项目进度。

•高性价比：深信服桌面云方案无需购置独立存储，通过虚拟存储技术提供高性能、低成本的存储方案，效果与独立存储一样，但可以节省存储成
本。

•极致体验：传统方案采用纯机械硬盘设计，多桌面并发使用时容易卡顿。

深信服采用SSD+HDD混合设计方式，同时利用高效缓存技术可以提升多倍IO性能，保障云桌面流畅体验。

•良好扩展：普通服务器方案，扩容时需要停机做复杂配置。

桌面云一体机在扩容时无需停机，只需在线加入集群，即可自动实现资源平衡，扩容非常轻松方便。

•高稳定性：深信服桌面云一体机采用全集群架构设计，主机和磁盘硬盘均有冗余部署机制，能够实现故障自动迁移，确保桌面业务稳定运行。

软件平台
1)桌面虚拟化（VDC）：提供用户认证管理、细粒度策略控制、桌面/云终端统
一监控及管理等功能，实现更安全、更可靠地交付云桌面。

2)服务器虚拟化（VMS）：祼金属架构，可为云桌面提供高性能负载平台和先
进管理功能，包括虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能。

3)存储虚拟化（VS）：将服务器直连硬盘形成分布式共享数据存储，通过内置
冗余机制可透明存储多个数据副本，以确保磁盘和服务器故障时，数据不会丢失，并且依然可用。

2.3业务价值与效益分析
1)桌面及数据安全可靠：工作桌面及核心数据集中于数据中心，网络中传输
的只是图像信息，所有的数据计算与业务交付都在后台完成，则机密信息数据不需要通过网络传递，增强信息安全性。

另外这些数据可以统一备份及恢复，也可以设置策略限制其下载至客户端，保证数据不丢失、不泄
密。

2)IT管理轻松高效：当单位新进员工，可以快速交付所需的“新桌面”，部
署时间缩短至几分种。

同时应用程序安装、系统补丁、软件升级及病毒更新等只需集中安装设置1次，即可批量发布到所有用户桌面，节省工作
量。

3)节省运营成本：通过将大量PC整合到几台服务器上，可以明显降低硬件
故障率及每年硬件更换成本，而用户使用云终端进行办公，能耗仅
10~20W，相对PC还可以节省80%电力成本。

4)实现移动桌面：云终端、PC、笔记本、Pad等设备均可访问专属工作桌面，
随需调用业务资料，提升办公效率。

总体来说，部署云桌面需要购买瘦终端、服务器、存储及桌面云软件授权等软硬件设备，所以前期投资不会低于传统PC，但长期下来所带来的就是运维工作量及成本的降低（每年可以节省不少的硬件成本、维护成本和电力成本）。

所以，随着年份增长，部署云桌面的收益将越来越大。

2.4深信服方案优势
•体验更好：IO与缓存加速技术、SRAP高效交付协议，让云桌面启动和运
行速度大幅提升，提供极致办公体验。

多媒体重定向技术、云终端硬件芯片解码技术，不仅可流畅播放高清视频，而且可以避免服务端资源占用，提升虚拟机性能。

•简单部署：深信服提供端到端一站式云桌面方案，业界组件最少，部署过程极其简单，1位IT人员仅需1天时间即可构建全套云桌面平台，上线效率可提升50%以上。

•管理方便：深信服桌面云方案采用单一WEB图形化控制台，模板制作、更新、还原等日常操作，只需点击几个按钮即可完成，提供更高效的桌面运维方式，效率相对PC模式提升10倍以上。

•安全可控：深信服桌面云方案集成了全方位安全策略，包括多种接入认证方式、全面的传输加密算法、灵活的安全控制策略、独创的个人盘加密技术等，实现端到端的安全保护。

第3章桌面云体系架构设计方案
3.1桌面云体系架构图
本项目涉及到的产品组件包括用户终端、虚拟桌面控制器VDC、虚拟化软件、服务器及存储设备，用户采用不同终端设备访问虚拟桌面控制器地址，登录成功后，VDC会根据需要从后端虚拟化平台中分配和启动云桌面，然后以图像的方式传送桌面，这样用户就可以看到属于自己的办公桌面。

3.2用户终端类型
3.2.1云终端设备访问
新增人员，可以采用云终端设备，实现集中部署与管理，提升运行效率，同时降低IT运行的总体碳排放量，符合国家整体能源战略。

3.2.2采用现有PC
可以有效利用现有PC，通过在PC上安装桌面云客户端软件，实现对云桌面和业务系统的访问。

最大程度利旧，节约PC更换成本。

两种使用模式：
1)PC本地桌面和云桌面共用，比如本地桌面用于上网业务、云桌面用于
办公业务，实现业务安全隔离；
2)开机直接跳转到云桌面使用界面，不进入本地桌面，上网及办公业务
都在云桌面上完成，IT人员只需要集中管控云桌面即可，本地桌面无
需管理，节省工作量。

3.2.3PAD/智能手机随时接入
可以采用基于ios和Android系统的平板电脑、智能手机，通过在appstore或安卓商城下载easyconnect客户端，即可实现对云桌面的访问，实现移动化业务办公。

3.3虚拟桌面控制器设计方案
3.3.1部署方案
虚拟桌面控制器（VDC）主要负责账号及资源管理、用户认证、新桌面注册分配、传输优化、控制桌面状态、瘦终端集中管理等。

目前支持两种部署模式：软件VDC和硬件VDC，其中软件VDC只适用于300用户以下应用规模，硬件VDC适用于任意应用规模。

本项目并发规模为500用户，因此采用硬件VDC方式，并且为了保证桌面业务高可用性，建议选购两台VDC-2600做集群部署。

软件方式：直接在虚拟化平台上创建软件VDC，不需要依赖windows server操作系统，它会以虚拟机的方式运行于服务器上，安装部署非常方便。

硬件方式：提供经过优化与改进的1U或2U的专业硬件设备，有多种型号可供选择，可以实现更好的稳定性及高性能，满足更多用户并发接入。

3.3.2VDC集群设计方案
本方案采用两台独立VDC设备（软件或硬件）组成集群模式，提供更可靠的桌面接入服务，并且可以提高接入容量及性能。

每台VDC设备为1个集群节点，用户通过集群IP连接云桌面时，集群软件将动态分配桌面连接到各个正常运行的VDC节点，以充分利用每个VDC节
点的资源。

如果集群中其中一台VDC节点发生软硬件故障，用户会重新连接到正常的VDC节点，所以只要集群中有一台VDC设备是正常的，桌面业务将不断中断。

如果有新的VDC设备加入集群，它会自动下载所有配置信息，与其他VDC节点保持一致，可以节省配置工作量。

VDC集群支持会话同步，当其中一台VDC设备出现异常时，可以无缝迁移到其他正常的VDC设备上，用户无需再重新登录认证即可使用。

3.3.3功能概览
◆桌面发布及访问
1)可以发布Windows XP、Windows7等桌面操作系统，开关机过程可
见，提供与PC一样的用户体验。

2)支持多终端访问，用户可以使用智能终端（ios/android）、PAD或笔记
本，随时随地接入云桌面，实现移动办公。

3)通过安装VDI客户端可以将旧PC变身“瘦终端”，实现PC开机后直
达VDI登录界面，并且当网络中断时，可切换到PC本地桌面，满足应
急办公需求。

◆易用性改进
1)可以实现单点登录，实现VDI认证和桌面系统认证一体化，用户只需
1次认证即可接入云桌面。

2)可以联动关机，用户只需点击云桌面“关机”按钮，云桌面和瘦终端将
一体化关闭，提升操作便捷性。

◆用户体验优化
1)可以兼容文档处理、浏览器、即时通讯工具等各类办公软件，并支持打
印机、高拍仪、摄像头、网银key等常用外设，以满足正常办公需求。

2)支持上网缓存加速，可以将用户上网过程中产生的cookies、网页等数
据，自动使用内存实现高效加速，有效提升网页浏览速度，并降低硬盘
IO消耗。

3)支持视频重定向，以提升播放流畅度及性能，播放1080P高清视频，
虚拟机CPU利用率低于15%，从而降低服务器资源消耗，提升虚拟机
部署密度。

◆安全策略
1)支持6种身份认证方式随需组合，包括本地认证、短信认证、动态令牌、
硬件特征码绑定等，以满足不同级别的安全接入需求，同时要求能够与
AD域/Radius等第三方认证平台完美结合，实现用户认证。

2)支持设置首次登录强制修改密码、定时修改密码、图形校验码和软键盘
等密码安全策略，以保障认证密码安全性，避免越权访问行为。

3)支持客户端安全检测，可根据用户接入的终端类型、操作系统版本、接
入IP和时间、软件安装情况等指定访问策略，如客户端不满足安全检
测要求则不允许接入，有效保障接入安全性。

4)支持用户终端与云桌面平台之间采用VPN隧道传输，实现数据加密，
保障外网接入安全。

5)支持个人盘加密技术，对云桌面个人数据进行加密保存，保障个人隐
私安全。

◆运维管理
1)支持为云桌面设置还原模式，在操作系统重启后，除个人数据之外其他
内容均还原为初始状态，始终为用户呈现干净可用的桌面环境，降低系
统故障率。

2)支持统一完成云桌面的开机、关机、挂起、重启等操作，并支持为云桌
面设置开关机计划，实现上班前自动开机、下班后自动关机，节省资源
占用。

3)支持集中分配个人磁盘，并可以指定磁盘空间大小，在空间不足时还可
以为用户新增个人磁盘，以满足用户文档存储需求。

4)支持云桌面分组管理，同时支持批量设置IP，为用户云桌面快速分配IP
地址，提升IT人员桌面维护效率。

3.4服务器架构设计方案
3.4.1部署方案
本项目采用深信服桌面云一体机服务器，每台服务器预装深信服服务器虚拟化和存储虚拟化软件，实现开机即用，不需要复杂的安装调试。

部署时，将所有主机加入集群，形成统一资源池，方便资源分配及调用，以及实现集群主机的集中化管理、监控。

3.4.2服务器集群设计方案
如图所示，IT人员只需要将主机选中并加入集群，即可快速完成HA架构配置，非常简单。

这样，无论是计划外停机或者服务器出现故障，此架构都能提供最高级别的桌面服务可用性。

服务器集群架构无需第三方软件，通过服务器虚拟化平台内置的HA功能特性实现集群主机互为监控，一旦检测到服务器故障之后，自动在集群内的其他正常主机重启虚拟机，保证桌面业务正常运行。

另外，如果某台桌面服务器需要维护，在无需中断服务的情况下，可将服务器之上的虚拟机迁移至其他服务器，管理员可以快速、完整地执行运维工作。

3.4.3HA工作原理
HA技术可以持续监控集群内的桌面服务器和虚拟机，一旦出现故障可快速恢复。

恢复时，还会自动选择资源池中最佳的服务器来激活虚拟机，实现资源负载均衡。

只要将主机加入集群，HA技术会时刻监控各主机是否有足够可用的资源以及服务器、虚拟机的状态，以便在发生故障时能快速在正常服务器上进行激活。

由于所有的虚拟机镜像文件统一存放在共享存储或虚拟存储中，所以使得虚拟机在其他服务器能够快速重启。

3.4.4功能概览
◆统一资源管理
1)无需部署集中管理平台，通过Web方式接入集群控制台，实现对所有
主机统一管理。

2)支持虚拟机远程运维，无需安装任何插件，即可接入虚拟机操作系统界
面，实现桌面管理。

3)支持模板克隆技术，IT管理员只需创建标准桌面模板，即可快速派生出
N多个云桌面系统，极大缩短桌面系统上线周期。

◆性化优化
1)支持内存或SSD缓存技术，能够对重复硬盘数据进行IO加速，提升云
桌面启动速度和运行效率。

2)支持内存页合并技术，能够有效消除多个虚拟机运行过程中重复只读
内存数据，以节省内存使用，提升服务器部署密度。

备份与恢复
1)支持快照技术，当系统故障时可实现故障回滚；同时支持增量保存快照
数据，以节省存储空间。

2)支持虚拟机集中备份与恢复，可按需选择多个虚拟机或全部虚拟机备份
至外置服务器，并可设置备份策略，实现自动化备份。

3.5存储架构设计方案
3.5.1分布式虚拟存储架构
本项目采用分布式虚拟存储架构，通过它可以将服务器直连硬盘整合起来，形成存储资源池（相当于一台独立存储设备），从而为云桌面平台提供经济高效的存储服务，并且效果与独立存储一样。

分布式虚拟存储主要通过磁盘管理、缓存技术、存储网络、冗余副本等技术，管理集群内所有硬盘资源，最终提供统一存储空间用于虚拟机的保存、管理和读写。

这样，在无需共享存储的情况下，依然可以实现虚机迁移及故障切换，不仅节省存储购买成本，而且利用分布式技术架构进一步确保数据的高可用性。

3.5.2磁盘设计方案
多副本数据存储机制
分布式虚拟存储架构采用多副本数据存储机制，以避免数据丢失风险。

副本技术通过在多主机或多磁盘同时存储数据（即同一虚机文件在多台服务器并存），当主机或磁盘故障后，可以从其他磁盘的副本信息快速恢复数据。

目前支持1~3份副本（跨主机存储），1副本，数据只保存1份，不具有容错能力；2副本，数据保存2份，能够容忍1个磁盘或者1台主机故障而桌面业务不受影响；3副本，数据保存3份，可以容忍2个磁盘或者2台主机故障而桌面业务不受影响。

当采用2副本或者3副本时，如果某主机发生了故障，运行在该主机上的虚拟机会自动在其他主机上重启，这样可以保证用户桌面继续正常使用。

由于副本数会影响到实际可用的硬盘空间，为了确保数据不丢失，并最大化可利用的空间，本项目采用双副本机制，即同一虚机文件在2台服务器有副
本信息（相当于跨主机RAID1），这样可以确保集群内其中一台服务器宕机后，数据不丢失，桌面业务可以迁移到其他主机上继续使用。

SSD+HDD磁盘混合设计
本项目采用SSD+HDD磁盘混合方案，包括1块SSD硬盘和多块SATA/SAS硬盘，其中SSD的IO性能较高，作为缓存盘，用于缓存用户经常访问的热点数据；机械硬盘的IO性能较低，作为数据盘，用于存储用户虚拟机和个人数据。

目前，深信服桌面云一体化服务器的缓存命中率高于60%，这样就可以实现以较低成本获得非常高的IO性能，保障云桌面用户体验。

3.5.3存储网络聚合方案
由于分布式虚拟存储架构会按照算法将虚机文件分布保存在不同服务器上，云桌面运行过程中产生的IO操作或副本信息需要通过网络传输。

因此，存储网络是否稳定非常关键，本项目将存储网络与业务网络分离，单独构建一套
存储网络来支撑虚拟存储通信，并且采用链路聚合方案来保障性能及高可用性。

●单交换机链路聚合方案（推荐）
本方案分别将服务器的2个网口连接到交换机（如图所示），可以提升存储网络的容错性，单网口或链路发生故障不会影响存储正常通信。

●双交换机链路聚合方案
本方案采用双交换机链路聚合方案，每台服务器分别连接到两台交换机，。