云终端架构可行性报告

1、精品云终端架构可行性报告一：前言近几年随着互联网的深化发展，以互联网应用为基础的云计算正在变得无处不在。云终端构成的系统与 PC系统相比，更适合于单机计算量小的常规系统,如教育、呼叫中心、政府机构、证券金融等等。在使用常用办公软件、一般的网络业务系统、教育软件、邮件及上网冲浪时，与传统 PC并无区别。本例于一一清华同方云终端VD1000网络计算机为样榜详细分析云终端的使用与扩展功能。云终端产品是一种精巧别致的网络计算机，既可以作为迷你PC单独运行，进行网页浏览，又可以构架共享计算网络，以创新的成本优势开展业务运营网络。清华同方云终端 VD1000网络计算机二：产品介绍welcome云终端的价格

2、仅相当于传统个人计算机10%到20% ,并且采用软硬件一体化设计这些使云终端的综合使用成本具有无可比拟的优势可以轻松拥有。桌面终端无需Windows许可大幅减少硬件投资和软件许可证开销。仅需在中心主机安装云终端附带的免费软件，您做的仅仅是接上网线显示器及鼠标键笠，轻轻按下电源开关,云终端用户即可进行业务操作，亦可畅游网络，实施非常方便。服务端统一管理终端，升级维护工作都在服务端进行，真正做到终端接近零维护。 终端数据不在本机存储，而是存储在中心主机（服务器），数据存储更安全可靠,同时云终端主机无病毒感染的可能性，具备完美的防病毒特性。1 ：接口说明提及云终端VD1000的接口，也是值得向大家介

3、绍的，别看它的体积小，相比我们常用的PC机来说兼容的接口也很多，足以满足日常需求。比如云终端VD1000的一边提供1虹源开关a Rttttu4 VGAKn了 1个耳机接口， 1个话筒接口和3个USB接口。5麦克风输人造口5任寄制，出:7 USg接口3个清华同方云终端 VD1000网络计算机的接口面版正对电源指示灯的另一侧包含了 1个电源开关按钮，1个5V直流电源接口，1个RJ 45接口，并且网络接口自带 2个黄绿指示灯，另外，对于体积不大的产品，散热方面是一个瓶颈，不过云终端 VD1000产品厂家自己宣称的功耗不到 5W,靠这么小的功率驱动 USB VGA网络真的不知道系统本身还能占多少功率，

4、如果是真的话，我们现在用的PC就太耗电了。另外散热设计也恰到好处，位于机身一边和机身底部都提供了散热风口， 保证了产品 运行过程中不因温度过高而烧坏内部组件。2:部署架构云终端与上网本都是网络计算机,但云终端比上网本在应用模式上更为彻底。它必须完全依托于网络，并在网络环境下全面提升企业信息系统。强安全性，避免信息损失：信息化社会中，信息是企业最重要的资产与核心竞争力。企业各个环节，无论是技术资料还是营销动态，无论是产品方案还是物流库存，企业的命脉在掌握在信息系统之中。pc网络系统在安全性上存在诸多漏洞，且不说使用者主动泄密造成的风险，就算在被 动攻击状态下，多一台 PC就增加了一倍的风险。而在

5、云终端系统中，通过独有的终端协议 提供最大程度的安全保障，同时也没有FDD/HDD/CD/USB接口，所以主机不存在重要数据的外泄，破坏及感染病毒等。只要加强服务器端的安全防范,客户端攻击的几率为零，资料泄密也没有机会。节省采购及运营成本：如果说上网本依托2/3于传统笔记本的成本即能横扫天下的话,它的经济性与云终端相比可谓小巫见大巫。据统计，实现同样功能的商用网络系统，云终端系统与传统PC系统相比：在采购环节将省下70%的投入；在系统运维环节，将减轻 90%的成本负担；在使用成本上，云终端只需5W的超低功耗，50台云终端才相当于一台普通PC机的功耗，电费节省即相当可观。，此葡廿清华同方云终端V

6、D1000网络计算机云终端部署三：云服务安装与卸载注意：云终端服务器硬件要求：硬件平台CPU在p4 2.0G以上，内存1G以上，硬盘容量在40G以上，包含以太网卡云终端服务器系统可以安装在windows XP/2003 操作系统上，我们选择window2003 。请不要试图在其它操作系统上安装本软件。1 ：安装云服务程序自检和系统检查，安装前程序会检查安装机器是否满意足安装要求，云服务准备安 装如图1-1所示，如有异常，系统会自动提醒用户增加安装条件并停止安装，选择“取消 “则退出安装。WDF Server Iiut ollShield Fixard稚春安装工mt口】§h3IA Vi

7、raid睢备安道程序时，话等待.7DP Server其余四室序正工彦备二口“近1*】eld它可指导伤完成安睡过径的riJcIIShicbI取消云服务准备安装界面安装程序自检后出现欢迎安装界面，安装向导将指引用户进行系统安装，如图1-2所示，选择“下一步”继续安装操作，选择“取消”则退出安装图1-2欢迎安装界面安装文件拷贝结束后，系统会提示您是否添加用户，如图 1-3所示，提示添加帐号，选择是将进入 window2003添加用户界面，进行帐户的创建和管理。这里我们选择“否”在云服务软件安装完成后，利用 window操作系统本身的用户帐户管理工具添加帐号。有关帐户的设置及管理请参考第五章相关内容。

8、安装完后云终端需要对系统和服务进行一系列的配置和更改，因此会提示用户重新启动计算机，重启后云终端服务才可以正常工作。云服务安装好后默认情况下，VDP Service 对外服务端口是 TCP 53779 。2:卸载云服务如果用户需要从系统中删除云服务，打开控制面版中的添加删除程序，从软件列表中选才i VDP Server，并对其进行删除操作.删除完成后提示用户重启计算机。四：云终端 MiniPC 模式应用了解云终端部署之后，我们看一下具体如何应用。首先，根据 VD1000提供的接口选择不同的设备来进行相应的连接。然后启动云终端机，初始默认情况下， 云终端会进入到共享计算模式，也就是连接到远程云服

9、务计算机。如下图：清华同方云终端VD1000网络计算机共享模式环境下不过这对于初识该产品的用户在具体应用时，不知道如何操作，我们这里可以进入MiniPC （传统的系统操作桌面）模式。选择 minipc模式进入云终端自带桌面系统。=» Ji清华同方云终端VD1000网络计算机切换到 MiniPC模式下对于MiniPC模式，给用户提供了很多方便，因为我们可以从界面上看出它与传统意义上我们应用的操作系统一样,具备常用的办公软件、 即时通讯工具等。用户可以利用云终端机办公、上网等。M3由 EEI“串 Ihl n UW，由t-L队RAKinMVl。”同工2盯咖* 口/才!4 ，【：/匚费I疾千

10、t1耳用扁1 V生Tt* , UR心ntLI .Etm，K-r里R 风霓由更r*HE rftTT £ ri*M 一 中毛上?£«?和日3W*国）中目1U R r# 1-dWtfTWlfl，如 * 0 , QKiHJl.1 良GhRFM'Gr士 F.口 EIiVLircr-ein ）ULJBSSMMHB jVf-«U4 IM . UMMUJ 席T娈rR/Wfl 0331*，巾曰曰I口） T要孙0 oa t 'JHDWIJ清华同方云终端 VD1000网络计算机浏览网页清华同方云终端 VD1000网络计算机影音娱乐云终端VD1000提供了 叵浏

11、览、影音媒体播放、即使聊天( Messenger )等功能，另 外在PDF浏览、PPT文档预览、Word预览方面表现也很到位。四：云终端共享模式应用远程连接也是云终端 VD1000的重要应用，用户设置好网络连接之后可以轻松实现远程 连接操控等工作。也是我们架构云网络的重要特性。要连接到云服务计算机使用共享模式我们首先要在云终端做好设置，开机界面显示之后云终端开机界面选择系统配置中的网络设置根据实际网络环境配置云终端的网络连接。网络设置界清华同方云终端VD1000网络计算机共享模式下连接连接后出现window2003 登陆界面：输入正确的用户名密码即可登陆到远程云服务。登录到V/indowsI

12、Windows Server 2003f. Enterprise EditionCapyrifjh t O 19E5 u 003 Mioasall Cnrpa nrtiofi空码用尸名;确定 I 取消 I选项©）力目前看来，云终端 VD1000作为 Windows 主机的终端，用共享桌面的方式工作，几 天用下来的感觉是， 办公应用已经绰绰有余， 而多媒体功能稍显薄弱。 但管理起来简单，启 动也很迅速!接下来我们针对云终端 VD1000使用同方安全独有的 VDP （虚拟桌面协议）技术进行测试。由于服务器端支持的云终端数量多少，与服务器配置及用户所使用的应用软件有关，因而对于不同的应用环

13、境其使用效果可能不尽相同。我们采用了 一台普通配置的电脑模拟服务器端并选取了办公、 娱乐及上网所需要的几十款有代表性的常用软件进行测试工，试图展示该产品在一般工作环境下的性能表现。测试平台：一台服务器(云服务器/主机)：处理器：Intel (R) p 4 2.0GHz ,内存：1GB DDR2 667 ,网卡：Realtek RTL8160/8111 PCI-E Gigabit Ethernet NIC操作系统： Windows 2003 server enterprise终端：云终端VD1000测试软件：(1)常用软件： OFFICE、Adobe Reader 、WinRAR ;(2)邮件系

14、统： Outlook、Express ;(3)浏览器：IE、遨游 Maxthon ;(4)防毒工具：瑞星、金山；(5)聊天工具：QQ、MSN、飞信；(6)中文输入：智能 ABC,搜狗输入法；(7)下载软件：迅雷；（10）视频播放： MediePlayer 、暴风影音；（11 ） MP3工具：千千静听。服务器：在服务器端逐一安装上述软件。通过网线将服务器中间设备（交换机/路由器/Hub ）相连。客户端：通过网线将中间设备（交换机/路由器/Hub ）与云终端VD1000的RJ45 口连接，使得云终端与服务器组成一个小型局域网，云终端自动获取DHCP服务器所分配IP地址或手动分配IP五：云服务器设置

15、如何使云终端用户登陆远程服务器操作简单方便且不破坏服务器的安全及设置是云终 端使用的重中之重。从以下几点考虑并给出可行性方案（以下功能点在window2003 server版测试通过）1 ：用户组设置要让云终端能使用这个用户进入系统还要将这个用户加入相应的组，administrators 组或者Remote desktop users 组。这里从安全角度出发我们选择Remote desktop users该组拥有远程登陆服务器的权限。比如我们新建一个net用户。属组Remote desktopusers。十篁脑理住地）鼠系获工旦+1的事件查看翳丹豆共享文件夹 等本+也用F和俎用户- _| 组4

16、阐性能日抑瞎JR 黑设备管理器g存储斗颌可移动存糖B磁盘碎片整理程序全名Adm ini str.ASF. WET Majc,jjljuast重工usRjm-.Inti&rne t 来.启劭IIS ifinet_test常觐条属于意:4（性nttlCMicrosofvr眄卷gy塞nHl t®SUPP0RT3 更w叫弼承属于I配置文件I掇入Uzr；net用户属性2:目录权限设置同样的为了使用户之间的操作（比如下载保存文件等）不互相干扰，我们对 每个用户创建一个属于自己的目录。Window2003可通过目录安全设置来完成。前提是该磁盘或分区必须是 NTFS格式。以net用户为例在5

17、盆（NTFS格式）新建一个目录server ,并将其加入Remote desktop users。权限，除administrator 外其它用户权限清空。将 server目录组力口入Remote desktop users 组主要是为了统一管理。闻止|F:安至l%b共享I自定义I用或用户名称短；Admi nistr ator s 01廿，一46 16F白EDC3EVAdmi nistr ator s) gj CBEkTOR OMR常规jRwm巾tq Desktop Um = 5 OflfTfW-4816F9BDC3E'kBew01e0 STSHMgj Users肝W始后匹斯匕er s)

18、忝加如I 删除® IEmotR Desktop Users 的板限矍)允洋拒?6完全控制修改读版和运行列出文件演目录读服骂人UcLDilAAi+nPHH 口 【 向回回回厂Server目录的安全设置卜面将会在server目录下建立各个用户的目录实现对用户访问权限的管理。G后退， * TL拽素 文件英国，neiL常掘 安全|W2共享|自定义组或用F名称黑)：(J3 Aim ini strators (WW_4616FBBC3Edmi ni e tritors)net test 由 W 中一4 白 iGFOBDCSElne 七)nfet_test的权限O靠加期除名）北讲拒绝完金拄制愉诲取

19、和运行期出女件夹目录询写入Hiifrvh-+nPFI一 _± 【回00回回！：net 目录安全属性这样我们就完成了 一个基本的目录权限控制。用户有了自己的访问目录但云服务器的空间有限，所以对每个用户要做空间的限制。使用 NTFS的磁盘配额功能可以解决此问题。以 F盘为例设置磁盘配额空间，启用事件日志这样方便管理员查看管理。磁盘配额属性3:服务器管理功能限制一机多用最重要的是互不干拢，那么在我们设置了目录权限之后最重要的就是管理权限了。防止一个用户的操作影响到其它用户的正常使用。所以应做如下限制。（虽然Remotedesktop users 组的用户没有管理权限，但我们依然不愿意用户看

20、到这些功能而无法使用造成不必要的误解。）以下限制都是基于 NT本身自带的权限控制功能不使用第三方软件。3: 1关闭任务管理器位置：组策略用户配置管理模板系统Ctrl+Alt+Del选项-> 删除“任务管理器”因为Remote desktop users的权限我们设置为最低用户只有使用权限。无法删除由系统或管理员启动的进程。这也是我们为什么只把云终端的客户添加为Remote desktopusers组成员的原因。理论上我们可以不做任何的操作只要限制用户访问的目录。那么云终端用户将无权更改任何影响到系统的设置。当然为了安全起见我们还是要做如下设定。3: 2关闭控制面版控制面面板有很多的权限控

21、制及更改所以如果是云终端做为使用用户来讲这些设置完全没有必要。而且远程用户组的成员也没有权限更改这些所以我们统一将接口关闭。避免给用户造成困惑。同理我们可以只关闭控制面版的具体功能项。位置：组策略 用户配置管理模板控制面版一禁止访问控制面版。3: 3关闭运行命令删除“开始”菜单中的“运行”菜单项，在“开始”菜单中有“运行”菜单项，可以输入程序名称来启动程序。我们可以将“运行”菜单项从“开始”菜单中删除。位置：组策略 用户配置 管理模板 任务栏和“开始”菜单-> 从开始菜单中删除“运行”菜单。如果启用该设置，发生如下更改：（i）“运行”命令从“开始”菜单中删除。(2) 新建任务(运行)命令

22、从任务管理器删除。(3) 阻止用户在IE 地址栏中输入下列项：UNC 路径： server > < share >。访问本地驱动器：例如，C:。访问本地文件夹：例如，temp >。同时，使用WIN+R 组合键将无法显示“运行”对话框。如果禁用或不配置此设置，用户可以访问“开始”菜单和任务管理器的“运行”命令，以及使用 IE 地址栏。注意：这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。完成上述配置之后用户将无法通过路径名称来访问驱动器。下面我们将通过隐藏驱动器。锁定用户主目录(我的文档)做到用户登陆后只能看到及访问自己的目录。这样做到真正的独立性。用户的操作

23、完不会干扰到别人同样也不会被别人干扰。这样配置以后作为管理员要怎么进行管理呢。我们采用导入注册表数据开启运行菜单。这样就可以管理并开启相应的功能。将以下脚本保存为.reg 文件 双击即可导入。"NoRun"=dword:00000000 改为"NoRun"=dword:00000001 为禁用运行。Windows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer"NoRun"=dword

24、:000000003: 4隐藏驱动器访问虽然我们对用户的访问权限做了控制，用户只能访问属于自己的文件空间。但是显然我们不想用户一个个的在找他们白目录。当用户数超过30个以上时。我们发现用户将很难找到自己的文件（以是我们将用户的访问目录设成为 “我的文档”的访问目录并且禁止更改主目 录。这样用户就可以很方便的找到属于自己的储存空间。）所以我们将隐藏相应的驱动器。通过上面禁用运行之后。用户也无法通过搜索路径来访问或看到这些文件。这就是我们隐藏驱动器的原因，虽然它不是必要的。位置：组策略用户配置 管理模板windows 组件windows 资源管理器-> 隐藏“我 的电脑”中的这些指定的驱动器

25、。4: 5锁定用户目录使用net用户登陆，更改“我的文档"的路径为f:servernet （net用户）这样用户访问“我的文档”即访问属于用户自己的目录。并且为了访止用户更改路径我们应该禁改我的文档路径位置：组策略 用户配置 管理模板 桌面一禁止用户更改我的文档路径。5: 6桌面禁用项1：桌面可以禁止显示我的电脑，等一切不想让用户知道或可更改的项目，我们只需把程序访问的快捷方式放在桌面即可。位置：组策略 用户配置 管理模板 桌面2：不要将已删除的文件移到“回收站”当 Windows资源管理器中的一个文件或文件夹被删除时，该文件或文件夹的副本会被放在“回收站”里。显然如果用户删除的东西都扔到回收站里。空间很快就会被塞满。使用此策略，你能改变此行为。如果启用此设置，使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里，因此被永久删除。如果禁用或不配置此设置，使用Windows 资源管理器删除的文件或文件夹会被放在“回收站”里。位置：用户配置管理模板Windows