虚拟化解决方案

...v.虚拟化解决方案XX市深信服科技XX2014年11月第一章需求分析1.1高昂的运维和支持本钱PC故障往往需要IT管理员亲临现场解决，在PC生命周期当中，主板故障、硬盘损坏、内存没插紧等硬件问题将不断发生，而系统更新、补丁升级、软件部署等软件问题也非常多，对于IT管理员来说，其维护的工作量将是非常大的。同时，桌面运维工作是非常消耗时间的，而这段时间内将无法正常进展网上工作，所以也会影响到工作效率。最后，从耗电量方面来讲，传统PC+显示器为250W，那么一台电脑将产生高达352元/年【0.25〔功耗〕*8〔每天8小时工作〕*0.8〔电费，元/千瓦时〕*240〔工作日〕】本机能耗本钱，而电脑发热量也比拟大，在空间密集的情况下，散热的本钱也在逐步上升。因此，IDC预测，在PC硬件上投资10元，后续的运营开销将高达30元，而这些投资并不能为学校带来业务方面的价值，也即投入越大，浪费越多。1.2不便于进展移动办公传统的PC模式将办公地点固定化，只能在办公室、微机房等固定区域进展办公，大大降低了工作的效率和灵活性，无法适应移动化办公的需求。1.3数据丧失和泄密风险大信息化时代，其数据存储和信息平安非常重要，在信息系统中存储着大量的与工作相关的重要信息。但是传统PC将数据分散存储于本地硬盘，PC硬盘故障率较高，系统问题也很多，这使得当出现问题时数据易丧失，同时由于数据的分散化存储，导致数据的备份及恢复工作非常难以展开，这些都是棘手的问题。另外，PC/笔记本上的资料可以自由拷贝，没有任何平安策略的管控，存在严重的数据泄密风险。综上所述，桌面云解决方案是业界IT创新技术，目前已在众多行业机构得到广泛应用。通过基于效劳器计算模式，将操作系统、应用程序和用户数据集中于数据中心，实现统一管控。此方案可通过革新的桌面交付模式，解决当前桌面管理模式中存在的运维难、不平安、灵活性差等问题，实现高效、便捷、防泄密的经济效益。第二章深信服aDesk桌面云方案介绍2.1一站式方案概述深信服桌面云产品最重要的一个特点就是“一站式〞，由深信服向客户提供包含效劳器虚拟化软件〔VMS〕、桌面云虚拟化〔VDC〕以及瘦终端〔aDesk〕在内的整体解决方案，从而可以帮助用户降低投资和运维本钱，更快速的实现虚拟桌面的部署。瘦终端aDesk：外观小巧精致，采用ARM架构〔A9芯片〕和Android系统，性能强劲，处理速度快。相比于X86架构的瘦终端，其能耗更低、长期运行稳定性更高〔无需散热〕、且操作系统精简化，可实现零维护。同时，利用外设重定向技术，可兼容桌面应用中的各类外设。虚拟桌面控制器VDC：主要实现用户接入认证、细粒度策略控制、虚拟桌面及瘦终端的统一监控、管理等，以更低本钱、更平安、更可靠地交付Windows桌面，支持硬件VDC和软件VDC〔部署于虚拟机〕两种部署模式。效劳器虚拟化软件〔VMS〕：祼金属架构，直接安装于物理效劳器上，提供性能强劲、高可靠性的虚拟化计算平台，实现虚拟机快速部署、资源管理和监控、动态在线迁移、数据备份及恢复等，可为云桌面工作负载提供先进功能，支持大规模部署且易于操作。2.2主要功能列表功能名称详细描述终端设备和操作系统支持支持PC、笔记本、瘦终端、iPad、iPhone、Android手机或智能终端等设备接入访问虚拟桌面；支持Windows7〔32位和64位〕、WindowsXP〔32位〕、Windows8〔32位和64位〕、WindowsXPE、iOS、Android等客户端操作系统。桌面交付协议支持SRAP高效传输协议，通过高效流式压缩算法、有损压缩、图像缓存匹配、动态内容识别过滤、文字图像识别智能压缩等优化技术提升6倍以上的传输效率；支持多媒体重定向技术，采用先进的编码和流媒体技术，在效劳器将经过压缩和编码的流媒体发送至终端，通过基于软件和硬件的处理能力实现本地播放，提升多媒体播放性能，可流畅播放1080P的高清视频。外设支持支持USB总线映射〔包括扫描枪、扫描仪、摄像头、密码小键盘、二代XX读卡器、手写板、打印机映射、USB-key等常见总线办公设备〕，并保持会话间隔离；支持虚拟打印功能，通过在效劳端选择Sangfor虚拟打印机，在客户端本地打印机即可打印文件，且终端效劳器无需安装本地打印机驱动；支持音频映射，可远程进展音频的输入输出，支持串口设备总线映射、磁盘映射。虚拟桌面类型共享桌面：利用效劳器操作系统的多用户会话共享功能，允许多个用户同时远程连接到同一个操作系统，并为每个用户提供不同的桌面，用户可拥有自己的桌面配置和个人数据，并共享同一套完整的桌面系统；远程应用：利用效劳器操作系统的用户会话共享和应用程序多实例功能，允许多个用户同时远程连接到同一个应用程序，用户可拥有自己的应用配置和个人数据，并共享同一套应用程序；独享桌面：基于效劳器虚拟化提供的可远程访问的桌面，即效劳器可以根据模板自动为每用户分配一个虚拟机〔安装WindowsXP、Windows7等桌面操作系统，并且每个独享桌面相互隔离〕，用户远程访问自己的虚拟机，并可拥有独立、完全的桌面使用和控制权限。独享桌面发布模式复原模式：独享桌面资源下，用户使用的虚拟机从模板产生。该模式下，除了指定的一些目录外，用户所做的操作都会在重启后被复原。模板升级后，用户重新翻开的虚拟机包含模板升级的内容；专用模式：独享桌面资源下，用户使用基于模板自动生成的专用虚拟机实例。该模式下，对用户所做的操作，包括安装软件，建立、修改文件，配置修改等操作的结果都予以保存，重新启动和升级模板都不会影响这些修改。VDC部署模式虚拟桌面控制器VDC支持以物理设备或虚拟机的形式部署，如果客户端在内网访问，经VDC认证后，客户端可直连用户桌面；如果客户端在外网访问，经VDC认证后，客户端依然需要通过VDC代理才能访问用户桌面；VDC支持在物理设备和虚拟机形式中进展集群部署，以提升可用性；VDC支持非对称集群部署方式，不同级别配置的硬件设备也可以基于权重参数设置，组成非对称集群。平安策略支持本地认证、短信认证、动态令牌、数字证书、第三方认证、硬件特征码等多种认证方式，并且可以自由组合以提升接入平安性；支持BS和CS类型的远程应用和Windows虚拟桌面的单点登录功能，实现多系统整合，防止用户重复输入账号或口令的繁琐操作；密码管理：支持多重密码平安策略，可设置密码不能包含用户名、新密码不能与旧密码一样、首次登录强制修改密码、强制要求定时修改密码、密码强度验证；支持图形校验码、软键盘；支持账号防暴力破解；基于策略的访问控制：可以根据用户、网络、效劳、设备、系统等，通过关联的策略为他们分配适宜的访问权限；流量加密：支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持扩展国密办SCB2〔SM1〕等其他加密算法，确保通信的平安性；支持客户端平安检查功能，可以根据客户接入终端的系统版本、接入IP，接入时间，杀毒软件的安装更新情况等，指定用户的访问控制策略；支持设置应用程序白功能，控制用户在共享桌面、远程应用或独享桌面中主动或被动地运行非法应用；支持效劳端访问控制策略，可以基于策略控制用户在远程应用、共享桌面或独享桌面中能够访问的网络；支持个人盘加密技术，可对存储个人数据的磁盘文件进展加密，保障个人稳私平安。桌面会话管理支持多个桌面会话的快照管理和会话保持；支持终端迁移功能，在多个终端间切换，不会影响原先的桌面操作行为；支持桌面会话连接远程诊断功能，管理员可在控制台上对桌面会话连接进展远程协助，帮助用户在线诊断问题；支持查询具体会话的根本信息和性能信息，可以管理当前所有桌面会话，如断开某个会话操作或访问某个会话等操作；支持网络中断后的桌面会话自动重连功能，临时性的网络中断不会影响原先的桌面操作行为；支持自动注销当前会话连接。会话隔离控制共享桌面支持效劳器磁盘空间和存储路径的会话级别隔离；共享桌面支持客户端外设映射和总线映射的会话级别隔离；虚拟打印机支持会话级别隔离。会话资源管理可允许或阻止用户将访问终端的USB设备重定向到虚拟桌面，可允许或阻止用户将访问终端上的文件重定向到虚拟桌面，还可以设置单向传输策略〔比方仅允许访问终端从往虚拟桌面拷贝数据〕；支持基于用户或用户组对会话资源进展管理和策略控制，比方是否允许用户使用打印机、是否允许用户使用U盘等。VMS配置管理支持新增、删除、编辑VMS效劳器虚拟化平台，并测试连接状态；支持查看VMS运行状态的详细情况，包括CPU、内存、存储、模板、运行主机、运行虚拟机等详细情况。虚拟桌面资源管理支持使用虚拟机模板自动生成虚拟桌面实例，且可以对虚拟机指定命名规那么，以更好地区分每个用户的虚拟桌面；支持新建虚拟桌面资源时可以指定虚拟机运行位置、存储位置、虚拟交换机、虚拟机数量等，支持为用户设置虚拟机的开关机方案；支持为用户虚拟桌面分配或不分配个人数据磁盘，支持指定磁盘容量大小；支持删除用户时，可选择是否删除关联的虚拟桌面资源，但如果选择删除虚拟桌面资源，那么会自动所关联的虚拟机实例；支持在控制台查看资源所关联的虚拟机详细信息，包括运行状态、资源利用率、创立或启动失败原因等。虚拟机实例管理支持在控制台对用户虚拟机开机、关机、挂起、重启等电源级别操作；支持管理员在实例管理页面按虚拟机名、虚拟化平台、所属资源、IP、关联用户的项的组合条件搜索相关虚拟机〔搜索为模糊搜索〕；支持在控制台查看用户虚拟机的CPU、内存、磁盘的详细情况，且CPU、内存支持正反排序，磁盘支持按比率的大小进展正序和反序排序。平台运维管理支持分级管理权限，包括上级管理员有权操作下级管理员的配置行为，相反那么无权；支持上级管理员将虚拟桌面资源授权给下级管理员；支持自动将配置文件备份到FTP效劳器；支持在VDC连接VMS效劳器虚拟化平台失败时、用户访问虚拟机失败时进展告警并记录故障日志；支持基于SNMP协议，与第三方监控系统对接；支持基于syslog日志与第三方监控系统对接。客户端管理功能支持在VDC控制台上对瘦客户机可以直接完成监控及配置，无需独立的管理器；支持配置瘦客户机ROM，包括上传下载ROM，是否启用自动更新，显示设备当前ROM、软件的版本信息；支持在VDC控制台显示上报的信息，可搜索瘦客户机信息；支持客户端在虚拟桌面中关机、重启机、销定屏幕、注销用户等操作；可配置瘦客户机能否切换到桌面及是否可以安装软件；在瘦客户机连接虚拟桌面资源出现问题时，支持进入维护模式。用户可以在维护模式中对远程计算机进展简单的维护，如按F8进入虚拟计算机的平安模式等。虚拟机管理功能支持多用户共享同一套虚拟机模板，用户数据保存在个人数据盘，管理员进展软件更新和维护，并自动更新到个人用户虚拟机，不会影响个人的数据；支持利用效劳器的内存或缓存卡进展重复数据IO加速，能够消除一样OS类型的桌面同时启动时的重复IO，以提升虚拟桌面启动速度；支持内存页合并技术，能够消除内存页中的重复只读数据，例如OS执行代码，以节省内存使用；支持将承载用户虚拟机的多台效劳器组成群集系统，利用VMSHA机制和热迁移技术保障群集内效劳器的高可用性。2.3多种桌面交付类型独享式桌面：基于效劳器虚拟化技术在效劳器为每个用户分配独立的虚拟机〔安装WindowsXP、Windows7等桌面操作系统〕，每用户桌面都拥有独立、完全的桌面使用和控制权限，用户可远程访问属于自己的虚拟机〔桌面〕。适用场景：对于允许自主安装软件、应用环境相对复杂的用户，独享桌面可以提供个性化Windows桌面体验，通过为用户单独设置一个虚拟操作系统，满足日常个性化办公需求。共享式桌面：多个用户会话共享效劳器上运行的WindowsServer桌面环境，每用户桌面都是被锁定的、标准化的，可以访问预安装的一组核心应用程序，但无法自主安装软件或更改桌面配置。适用场景：对于需要使用桌面、不允许自主安装软件〔例如：柜台业务、数据录入、流程操作等〕的用户，共享桌面可以提供标准化办公桌面，满足标准型办公需求。虚拟化应用：基于效劳器操作系统〔如WindowsServer2003，WindowsServer2008，WindowsServer2012〕的用户会话共享和应用程序多实例功能，允许多个用户同时远程连接到同一个应用程序，用户可拥有个人应用数据，并共享使用同一套互相隔离的应用程序。适用场景：对于不需要使用桌面、应用数量较少的用户〔例如：公共查询机等〕，虚拟应用技术可以把所需要的应用直接交付给用户，通过各类设备访问以满足任务型办公需求。2.4方案价值总结运维本钱大幅降低桌面云的应用将极大的减少后期的运维本钱，采用模板化的部署方式后，一个新的桌面用户可以在10分钟左右就完成交付使用，而故障的排查和修复时间更是大幅度减少，原来只能管理100台终端的IT管理员现在可以轻松的管理上千台的虚拟桌面。保守估计，算上设备更替和运维的本钱，5年的IT总本钱可以节省40%以上。节能降噪，绿色办公传统PC每小时耗电量大概在190W左右，而瘦终端的能耗只有10W。以1000台的部署规模为例，按一天开机10小时、每年240个工作日、每度电按0.75元的工商业用电价格来折算，即使算上数据中心新增效劳器的电力本钱，把1000台PC换成瘦终端每年至少可节省25万元电费。能耗/台部署规模开机时间/天工作日/年总能耗/年电费/千瓦时总电费/年传统PC190W1,000台10小时240天456,000千瓦时0.75元*342,000元瘦终端10W1,000台10小时240天24,000千瓦时0.75元*18,000元数据中心新增效劳器〔1000台瘦终端的承载量〕的电力本钱70,000元每年可节省电费254,000元*中国工商业用电平均费用以0.75元/千瓦时计算。保护信息资产平安桌面云将所有的数据集中存储在数据中心，笔记本、瘦终端等前端设备只接收图像，整个业务过程里数据不落地，确保平安。而集中化的部署方式也更有利于IT部门对信息资产进展统一管理。不仅如此，桌面云还能够轻易的在组织内部建立起相互逻辑隔离的多X网络、来满足不同类型业务的使用需求。桌面随身行办公模式适应移动信息化建立趋势，在策略许可的情况下，用户可以实现在任意时间、任意地点、通过任意终端访问自己的个人桌面，真正做到桌面随身行，在任一终端上的桌面操作可以在另一个终端中继续开展，工作不会因为场所变化而中断，从而提升工作效率。2.5方案优势介绍完善的全系列云方案：涵盖瘦终端、虚拟桌面控制器VDC、虚拟机管理软件VMS三大环节，业界方案最全面，兼容性最好，性价比最高，为IT提供了一种更加精简和平安的方法来管理用户和提供可按需访问的敏捷桌面效劳。卓越的用户体验：针对各种应用场景进展性能调优，高效传输协议SRAP提升6倍以上的速度，将访问带宽降至最低，到达与传统PC一致的访问体验。并且利用瘦终端ARM架构内置的高清视频协议处理器可流畅播放1080P高清视频。更全面的平安保护机制：高达8种身份认证方式自由组合以保障用户接入平安，全方位的加密算法保障传输平安，灵活访问控制进展集中鉴权，数据存储加密保障个人数据平安，最终实现端到端桌面云平安保护。集中式WEB管理模式：整套方案的搭建仅需两大组件〔VDC和VMS〕，相对业界其他厂商其部署组件最少，并可提供集中式、单一化的远程运维模式，提高了虚拟桌面部署的易用性和可维护性。专业的本地化效劳模式：国内唯一具备自主研发整套虚拟化产品体系的厂商，在中国拥有大规模的开发团队，可快速响应用户的需求；全国40多个办事处提供本地化技术支持，售后效劳体系完善。第三章桌面云整体构架设计3.1深信服桌面云整体架构效劳端部署多台桌面效劳器〔X86效劳器〕，考虎到HA和迁移等高级特性，需要使用独立的磁盘阵列来存储虚拟机和数据〔支持iSCSI、FC、NAS〕，另外需要1台或多台虚拟桌面控制器VDC〔支持非对称集群部署〕，当然VDC还支持软件化部署，在桌面效劳器上创立虚拟机进展部署使用〔将软件VDC镜像导入即可使用〕，VDC以单臂模式部署于交换机中〔如下图〕。同时，在根底架构中，还需AD域控制器和DHCP效劳器〔如果已有现成域控制器DC/DNS/DHCP，可以利用现有效劳器〕，AD域控主要作联动认证之用，也可以采用本地认证〔在VDC上直接添加用户名密码〕，而DHCP效劳器主要为瘦终端和虚拟桌面自动化分配IP地址。3.2组件及模块介绍AD/DHCP效劳器活动目录〔AD〕效劳器提供标准的LDAP目录效劳，VDC支持与AD联动，负责用户的身份认证和权限自动导入。DHCP是DynamicHostConfigurationProtocol〔动态主机配置协议〕的缩写，它的作用是给瘦终端和虚拟桌面用户自动分配IP地址。桌面效劳器和磁盘阵列〔VMS〕在每台桌面效劳器上安装效劳器虚拟化软件〔VMS〕，VMS为祼金属架构，无需宿主操作系统，向导式安装过程、操作简单。可为云桌面方案构建一个功能强大、高可靠性、高可扩展性的虚拟机运行和管理平台，实现物理资源动态调配、虚拟机快速部署、监控及管理等。由于后端部署了独立存储设备，虚拟机和用户数据存储于磁盘阵列上，可以通过HA和迁移技术保障效劳端的高可用性。3.2.3虚拟桌面控制VDC硬件VDC〔如VDC-2500〕以单臂模式部署于网络中，或软件VDC〔镜像导入虚拟机〕部署于VMS虚拟机平台上。主要提供用户创立和认证、资源访问控制、桌面监控和管理等功能，VDC能简化云桌面的管理、调配和部署，用户能够通过VDC平安而方便地访问云桌面，IT管理员能有效地管理数百甚至数千个桌面，从而节约时间和资源。终端设备支持PC、笔记本、瘦终端、iPad、iPhone、Android手机或智能终端等设备接入访问虚拟桌面；支持Windows7〔32位和64位〕、WindowsXP〔32位〕、Windows8〔32位和64位〕、WindowsXPE、iOS、Android等客户端操作系统。第四章产品亮点4.1良好用户体验4.1.1高清视频体验深信服桌面云方案允许在虚拟桌面中查看或编辑图像和多媒体信息，且可以支持1980*1200分辨率和32位彩色桌面显示。另外，传统桌面虚拟化方案在播放高清视频时主要采用效劳器解码和播放，然后将变化中的图像按帧传输给前端显示设备，但这种方式对效劳器性能要求高，且非常占用带宽资源，往往效果不好。而深信服提出音视频重定向技术，将1080P高清视频流在效劳器上进展编码和压缩，然后直接传输到前端设备，利用基于高清视频处理器和本地解码技术流畅地播放高清视频，给客户带来极佳的视频观看体验。4.1.2高效SRAP协议云桌面需要通过网络交付给前端设备，其中最重要的组成局部就是桌面交付协议。SANGFORSRAP协议开展于2011年，是专门为虚拟桌面或远程应用程序的高效交付而设计的，能够满足低带宽的传输需求，同时具有最正确的外设兼容性。SRAP协议主要通过高效流式压缩算法、有损压缩、图像缓存匹配、动态内容识别过滤、文字图像识别智能压缩等优化技术提升6倍以上的传输效率。最低带宽要求仅需20~30K/s，在丢包和延迟都比拟高的网络环境下依然能够正常使用，最大程度保障用户桌面体验。4.1.3单点登录技术客户有可能使用多个虚拟应用程序或Windows虚拟桌面，而每套应用系统或桌面系统都会有单独的身份认证措施，一般情况下是需要屡次认证才能正常办公，这种工作非常繁琐且容易出错，影响工作效率。为了提升终端用户的满意度，深信服引入单点登录技术，在通过VDC严格认证之后，无需再次进展虚拟应用和虚拟桌面的认证，采用“一键化〞模式开启桌面和应用的操作界面。目前支持BS和CS类型的远程应用和Windows虚拟桌面的单点登录功能，实现多系统和多桌面整合，防止用户重复输入账号或口令的繁琐操作，提升员工工作效率和操作满意度。同时，对已经开启了单点登录的虚拟应用程序，用户可在登录成功后在个人设置中对这些应用进展单点登录XX、密码自设定，所设置的数据将以加密的方式进展传递，并对管理员不可见，保证用户XX的平安性。4.1.4自动化桌面部署在DHCP环境下，用户使用瘦终端，可在无人指导的情况下，快速接入云桌面，实现即插即用的终端操作体验。另外，相对传统PC上线前需要经过硬件采购、系统安装、桌面运维等一系列的繁琐、复杂的过程，在部署好桌面云平台之后，管理员可以通过虚拟机模板来快速、自动地为新用户派生虚拟桌面，同时管理员不仅可在控制台查看用户虚拟机的CPU、内存、磁盘的详细情况，还可以对用户虚拟机进展开机、关机、挂起、重启等电源级别操作。当用户虚拟机出现故障后，管理员既可以通过新的虚拟机模板进展快速替换，也可以在控制台远程接入用户虚拟桌面，协助处理系统故障问题。4.2最优的灵活性4.2.1广泛终端支持用户可以通过任意终端设备来访问属于自己的个人虚拟桌面，而且可以实现终端迁移功能，在多个终端间切换，不会影响原先的桌面操作行为，真正做到桌面随身行。目前支持PC、笔记本、瘦终端、iPad、iPhone、Android手机或智能终端等设备接入访问虚拟桌面；支持Windows7〔32位和64位〕、WindowsXP〔32位〕、Windows8〔32位和64位〕、WindowsXPE、iOS、Android等客户端操作系统。4.2.2丰富的桌面类型不同的场景、不同的岗位上的员工需要不同类型的桌面，深信服通过SRAP交付技术提供多种不同类型的虚拟桌面，来满足用户多样化的桌面需求，具体如下：共享桌面：利用效劳器操作系统的多用户会话共享功能，允许多个用户同时远程连接到同一个操作系统，并为每个用户提供不同的桌面，用户可拥有自己的桌面配置和个人数据，并共享同一套完整的桌面系统；标准化的桌面办公环境，可以提供一组核心应用，适用于不需要〔不允许〕个性化安装软件或无自主桌面控制权限的任务型员工，比方办事大厅、职能办公、生产线、培训中心等。远程应用：利用效劳器操作系统的用户会话共享和应用程序多实例功能，允许多个用户同时远程连接到同一个应用程序，用户可拥有自己的应用配置和个人数据，并共享同一套应用程序；特定的应用程序交付，适合于应用数量较少，日常办公时仅需操作某几类软件，或需要移动办公的员工，如营业厅、生产线、销售部门及管理层移动办公等。独享桌面：基于效劳器虚拟化提供的可远程访问的桌面，即效劳器可以根据模板自动为每用户分配一个虚拟机〔安装WindowsXP、Windows7等桌面操作系统，并且每个独享桌面相互隔离〕，用户远程访问自己的虚拟机，并可拥有独立、完全的桌面使用和控制权限。适用于有系统个性化需求、对性能要求高的桌面用户，当然部署独享桌面对效劳器和存储资源的要求比拟高。无论学校内的各种用户应用场景以及用户的需求如何多样化，通过SRAP交付技术，总能找出一种适合的技术来满足各种场景和用户的需求。IT部门能够交付各种虚拟桌面–每种桌面都经过专门定制，可满足每位用户的性能、平安性和灵活性要求。4.2.3外设的总线映射技术深信服桌面云方案允许将外设连接到终端上，外设驱动安装于效劳器上，然后可以如本地桌面一样使用各种外设，尽管虚拟桌面是在效劳器上运行的。通过总线映射技术在终端连接外设的接口如USB或串口与效劳器上的虚拟桌面构建一条专有的隧道，用于传输各种外设的控制指令，可以支持包括扫描枪、扫描仪、摄像头、密码小键盘、二代XX读卡器、手写板、打印机映射、USB-key等常见总线办公设备，并且保持会话间的隔离。另外，深信服推出专有的虚拟打印技术，通过在效劳端选择SANGFOR虚拟打印机，在客户端本地打印机即可打印文件，且效劳器端的虚拟机上无需安装本地打印机驱动。4.2.4智能开关机智能开关机能够真正实现对用户虚拟桌面开、关机进展自动控制。即使瘦终端已经关闭，用户可能会忘记关闭位于效劳器上的虚拟机，此时便可以实现对虚拟机的自动关闭功能，从而可以节省效劳器的硬件资源。同时，通过软件内置的定时开机功能，可以指定在任意时间开启个人的虚拟机，且开机时可将用户虚拟机自动调度至资源充足的效劳器上，一方面通过此技术可以防止IO风暴，加快系统登录时间，另一方面，通过自动化技术来简化用户访问虚拟桌面的操作步骤，让用户体验到简约、便捷的桌面操作。4.3端到端平安设计虚拟桌面从防范非法用户和恶意系统管理员的角度进展全方位的平安防范，保证接入虚拟桌面的用户和数据高度平安性，深信服aDesk桌面云方案集成了丰富的VPN平安特性，针对各分层采用平安措施具体如下：4.3.1终端平安采用精简加固基于AndroidOS，瘦客户机无本地存储，可以说数据总是存放在最平安的地方。用户接入虚拟桌面资源时通过合法性认证、USB灵活可控策略、应用策略化控制、复原模式等方式保证终端平安。集本钱地认证、短信认证、动态令牌、数字证书、第三方认证等身份认证机制，而且多种身份认证方式可以自由组合，以确保接入用户的身份唯一性；基于灵活策略设置USB端口使用权限，比方是否允许使用USB设备〔包括打印机、扫描仪等〕，还可以灵活控制USB硬盘的单向使用权限〔比方仅允许访问终端往虚拟桌面拷贝数据，而不允许桌面到终端的数据拷贝〕；基于策略的访问控制：可以根据用户、网络、效劳、设备、系统等，通过关联的策略为他们分配适宜的访问权限。支持客户端平安检查功能，可以根据客户接入终端的系统版本、接入IP，接入时间，杀毒软件的安装更新情况等，指定用户的访问控制策略；桌面注销时复原至原始状态，该模式下，除了指定的一些目录外，用户所做的操作都会在重启后被复原。模板升级后，用户重新翻开的虚拟机包含模板升级的内容，可以降低终端中毒风险。4.3.2传输平安通过VLAN隔离，并内置企业级防火墙模块进展状态化ACL访问控制，管理员登录时采用HTTPS加密传输、用户访问虚拟桌面采用传输加密等手段，保证业务运行和维护平安。终端到虚拟桌面之间仅传输图像变化和指令信息，不直接传输实际数据，也即是说，“瘦终端+云桌面〞让数据不落地，保障传输平安性；可对传输加密通道进展基于IP、效劳的访问控制策略，减少异常流量的传输，且支持同一传输通道不同会话的隔离控制，包括存储会话、虚拟打印会话、总线映射会话等等，从而提升传输通道的灵活度；通过对终端到虚拟桌面进展全程流量加密，杜绝中间人攻击行为，目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持扩展国密办SCB2〔SM1〕等其他加密算法，确保通信的平安性；在桌面云接入平台上内置了企业级防火墙模块，通过灵活的ACL访问控制策略和DDoS设置，为整个平台提供状态包过滤和根本平安保护。4.3.3平台平安虚拟化根底架构〔VMS〕的平安性关系到整个虚拟桌面访问的稳定性和数据平安性，本方案首先通过高可用性设计满足业务稳定性需求，然后再通过虚拟机隔离、数据盘加密控制、管理员权限细化等平安机制保证用户数据的平安。在独享桌面的情况下，每用户独占一个虚拟机，通过VMS底层机制实现CPU调度、内存、网络访问、磁盘IO、存储空间的隔离，用户虚拟机的故障和平安问题不会影响到其他用户，保证虚拟机之间的隔离平安；每用户都会分配个人数据盘来存放文档，当用户迁移至虚拟桌面的使用模式后，所有数据都集中存储于数据中心。因此，通过为个人数据盘进展加密存储，让其他用户包括管理员都无法访问，可以保证用户个人稳私平安；不同管理员角色，授予适宜的管辖权限范围，并保存操作日志。支持分级管理权限，包括上级管理员有权操作下级管理员的配置行为，相反那么无权；支持上级管理员将虚拟桌面资源授权给下级管