锐捷网络云办公解决方案-建议书-20190121

锐捷云办公闪电版解决方案建议书锐捷网络云办公闪电版解决方案建议书锐捷网络2017年7月目录1 概述 11.1 开发背景 11.2 产品定位 12 锐捷云办公闪电版原理与架构 32.1 IDV技术与VDI技术 32.1.1 VDI技术简介 32.1.2 IDV技术简介 42.2 云办公产品架构 52.3 智能终端实现原理 63 主要功能 73.1 离线使用 73.2 用户桌面个性化定制 73.3 支持多种复杂应用 83.4 用户终端管理 93.5 镜像管理与更新 93.6 个人数据存储 103.7 个人宕机恢复 103.8 终端绑定 103.9 个人桌面数据漫游 103.10 策略管理 103.11 镜像预下载更新 113.12 镜像下载加速技术 113.13 终端外设管理 113.14 服务端设备告警管理 123.15 终端用户操作行为审计 123.16 终端利旧（暂缓推出） 133.17 终端设备丢失锁定 134 产品特性 144.1 性能打造极限–无限接近本地的用机体验 144.2 细节成就无限–个人桌面，独立空间 154.3 稳定再创极限–集群部署，资源高可用 154.4 SAAS模式魅力初显——集中部署，分级管理不再遥远 16PAGE16概述开发背景在信息化和数字化的时代，电脑在各行业已深入到我们的学习和日常工作当中，已经成为办公不可或缺的工具之一。在企业办公场景下电脑部署越来越分散，数量也越来越多。物理空间分散，硬件故障率高，系统软件更新频繁都导致了针对电脑管理和运维的效率低下。然而，绝大部分的使用者并不具备电脑维护方面的专业知识，而是只关注各自的业务操作。因此当电脑出现问题时，企业管理运维人员将面临巨大的工作压力，电脑的维护工作俨然已成为IT部门工作的繁琐而艰巨的工作。据IDC统计，购买桌面的硬件和软件费用开销通常占设备总拥有成本的20%-30%，而其余70%-80%则主要是IT运维成本。从80年代个人电脑问世直到现在，电脑一直占据终端市场最大的比重，但随云计算技术的成熟和教育行业用户现代化办公需求日益增多，云终端等新型信息化工具无论技术先进性还是易用性都已逐渐超越传统电脑，电脑已经不是教育行业办公用机最理想的解决方案。云办公闪电版方案设计基于桌面虚拟化技术，桌面虚拟化是指将个人的桌面软件环境与个人计算机的物理硬件相分离，便于客户基于不同的使用场景和用户角色去定制用户的操作系统和下发针对性的安全策略，锐捷云办公闪电版用桌面虚拟化的技术整合和优化日益增多的信息资源，有效提升管理效率，帮助办公人员利用信息化技术获得全面提升的办公体验。产品定位锐捷网络立足于桌面虚拟化的技术优势，应用先进的虚拟化架构技术，从集中管理、简化部署、保障安全等用户需求方面深入研究与探讨，扎根行业场景，深入用户的实际体验，自主研发出桌面虚拟化解决方案产品“锐捷云办公闪电版”，旨在为企业客户需要部署维护相当数量的桌面的部门提供完善的虚拟化解决方案，提升企业办公效率。通过部署云办公产品，主要可以实现以下功能和要求：简化桌面管理：桌面IT管理不再需要点对点、面对面的、重复的手动维护工作即可实现终端的统一管理，从工具上解放IT运维人员的双手，解放生产力，提高维护人机比，弱化因地域造成额外配置运维人员的尴尬。提高数据安全性：提供本地数据云端备份功能，云端数据做Raid1设计，有效降低那些因本地硬盘损坏造成数据丢失的情况。通过终端认证管理，实现像iphone锁定那样锁定指定设备，避免设备因丢失而造成数据外泄的威胁。更好的本地用户体验：采用分布式计算，拥有更强的本地运算能力，加强型的应用体验，接近本地物理计算性能的极致用户体验。满足个性化需求：满足一些机密单位或部门对不同用户权限的限制，如外设接入限制，登录认证设置、应用安装权限管理、操作系统还原等需求。稳定可靠：集中管理分布式运行，无需实时传输图像，更低带宽要求，满足离线可用，保障正常教学和办公。管理端双机高可用设计，组成高可用集群。教学软件、外设全兼容：软件本地运行，外设驱动本地安装，无需重定向到服务器端，电子大屏、打印机等外设全兼容。锐捷云办公闪电版原理与架构IDV技术与VDI技术VDI技术简介VDI，英文全称VirtualDesktopInfrastructure，即虚拟桌面基础架构。它不是给每个用户都配置一台运行操作系统的桌面PC，而是通过在远端的服务器通过桌面虚拟化技术生成多个虚拟机，用户通过来自客户端设备（客户机或是家用PC）的客户计算协议与虚拟桌面进行连接，用户访问他们的桌面就像是访问传统的本地安装桌面一样。让终端用户使用他们想使用的任何设备。他们可以从任何地方连接到他们的桌面，IT人员可以更易于管理桌面，因为它位于数据中心之内。实施VDI的优点：通过网络，可以迅速部署一个通用的、支持性桌面环境。创建一个Windows7桌面镜像并使用该镜像来部署服务器虚拟机监控程序上的虚拟机。一台服务器可以支持许多虚拟桌面。这些桌面的每个反应作为一个独立Windows7桌面。不同的是使用网络协议传输服务，连接到某个虚拟桌面的用户不会影响其他虚拟桌面或主机，服务器有该VM所有功能的完全访问权限。用户也可以使用远程桌面客户端连接到他们的虚拟桌面。可以集中管理和部署更新。只需更新用户的Windows7桌面镜像即可实现管理部署。在下次登录的时，就会有更新后的图像与他们保持的所有设置。可以迅速恢复到以前设定的稳定版本桌面镜像。在执行更新之前保存上一个镜像的快照副本。这将有助于部署后的镜像回滚。可以实现桌面漫游。当用户使用客户机A登录账号后，打开word文档进行编辑。然后到另一个客户机B通过账号登录，可以立即获取之前桌面的状态，实现在不同的位置连接同一个个人桌面，同时保持业务操作连续性。虚拟桌面基础架构（VDI，VirtualDesktopInfrastructure）是许多机构目前正在评估的全新模式。VDI旨在为智能分布式计算带来出色的响应能力和定制化的用户体验，并通过基于服务器的模式提供管理和安全优势。它能够为整个桌面镜像提供集中化的管理。VDI需要持久的网络连接，因此不适于要求离线移动性的场合。所有客户端计算、图形和内存资源必须置于数据中心内，存储系统必须满足每位用户的操作系统、应用和数据要求。在可管理性方面，需要考虑可能节省的TCO和部署基础设施所用成本的对比情况。IDV技术简介IDV智能桌面虚拟化(IntelligentDesktopVirtualization)是英特尔公司提出了一种革新性的框架，它将使得管理用户计算的整个系统变得更加智能。而且能够最大化用户体验的同时给IT人士提供所需的管理功能。智能桌面虚拟化是一种相当新颖的技术观念，在未来很有可能彻底颠覆整个桌面虚拟化游戏规则。英特尔定义的IDV这种全新智能桌面虚拟化概念，描述了可使IT人员和终端用户双赢的计算和桌面管理态。IDV解决方案在确保用户尽享高性能、移动性和灵活性的同时，提供IT人员控制和保护桌面镜像和设备的能力。IDV具备如下三大特点：1)集中管理和本地执行，将数据中心新构建量降至最低，同时使用智能客户端的处理能力，优化用户体验。即使对于服务器托管的VDI，通过多媒体重定向的本地执行也能提供更好的用户体验，提高服务器上的VM密度。更高级别的本地执行可提供更佳性能，并能降低成本。2)智能提供层镜像，从而提高更新和补丁操作、简化存储并避免镜像漂移。当IT人员将桌面镜像分成逻辑层时，可独立管理每一层，并能最大程度地减少镜像数量。智能传输要求在电脑上运行的本地镜像与中央镜像同步。这样可确保终端用户和IT人员随时使用黄金镜像。使用去重复技术增强这些镜像的同步和存储，以最大程度地减少存储和网络带宽需要。3)使用带外模式(OutOfBand)访问设备，提供独立于操作系统的管理性，并强化安全性。云办公产品架构锐捷云办公闪电版方案是基于IDV架构的桌面虚拟化解决方案。它采用集中管控、分布运行的架构，集传统PC桌面及VDI虚拟桌面的优势于一身，同时又有效克服了传统桌面难以集中管理以及VDI桌面体验效果差等瓶颈问题，是云桌面部署的首选方案。云办公闪电版解决方案主要由两部分组成：云管理平台（RCM1000-Office）、智能终端接入（Rain300W系列、Rain400W系列）智能云管理控制器（RCM1000-OFFICE）：RCM1000-OFFICE1000是锐捷云办公闪电版方案的一体化云管理服务器，是整个系统的管理中心，承担着统一下发标准镜像（黄金镜像）、用户认证、个人数据存储、管理镜像更新的重任。同时，通过完备的策略体系，对不同用户的使用权限进行个性化定制，从而保证客户端数据的安全性。智能访问终端（Rain300W系列、Rain400W系列）：使用指定的智能云终端（Rain300W系列、Rain400W系列），能够为用户带来接近本地处理能力的完美体验。同时，支持离线登录使用，为网络中断但业务不中断的实现提供可能。再者，支持安装多个操作系统镜像，实现内外网环境的便捷切换。最后，支持个人数据漂移，以及带外模式，为多变的业务场景提供有力支持。智能终端实现原理锐捷云办公闪电版方案是基于业内领先的IDV架构的桌面虚拟化解决方案，云终端具有本地存储、显卡以及不弱于PC的计算处理能力，在终端硬件层上安装虚拟化软件实现硬件资源池化，以保证云管理端RCM1000-OFFICE下发的镜像能够在本地高效的运行。在保证性能和安全策略的前提下，为用户提供更为便捷的本地云工作体验。根据个人数据安全要求的实际情况，可以选择性的使用个人云盘备份与本地存储相结合的方式，保障用户数据的存储安全，远离电脑丢失或硬盘损坏造成数据丢失的烦恼。主要功能离线使用用户在绑定的终端上成功登录之后，该用户在离线安全策略允许的时间范围内可在不连接网络的条件下，使用个人账号登录操作系统办公，在此过程中产生的个人数据会在网络连接后自动上传至个人云盘备份（如若已设置自动备份策略）。云办公的离线使用功能，突破了VDI模式在网络条件差、甚至没有网络的情况下无法离线使用虚拟桌面的局限性。同时，也由于离线安全策略的设置，弥补了PC机离线不可控和数据本地存储无备份的限制。离线访问：在网络连接状态下登录账号，下载黄金镜像、安全策略、本地加密存储登录信息。网络断开时，本地认证登录信息，通过后离线使用操作系统镜像和应用。网络连接后，同步备份个人数据增量至云端【策略配置】。为了加强云端对离线设备的管控力度，避免“僵尸机”的运行，可通过策略配置设置离线使用的安全时间，设定用户在上一次在线认证之后的一定天数内可离线登录终端，当超过此安全天数后，将无法离线登录，必须连接网络再次认证后方可使用。用户桌面个性化定制用户在终端登录后，系统自动下载管理员预先设置好的操作系统镜像（黄金镜像）到本地，若操作系统镜像安全策略为自定义模式【策略设置】，则用户可在该镜像基础上根据个人需求，安装或卸载应用程序。如：根据工作需要安装autoCAD、photoshop、QQ、视频播放器等软件和应用。IT管理员只需维护标准镜像即可。支持多种复杂应用采用本地虚拟化技术，充分利用本地计算资源，为应用运转提供本地计算支持、多操作系统同步运行等复杂应用需求。应用本地显卡透传技术，支持图形设计、高清视频播放等高性能要求体验场景，从根本上提升用户体验。利用外设重定向技术，完美解决自主品牌外设兼容问题，将外设兼容范围提升至极致。用户终端管理管理员在云管理平台RCM1000-OFFICE上创建桌面用户，为用户分配镜像、安全策略、绑定终端。用户可凭用户名、密码在终端登录访问自己的桌面。管理员可通过云管理平台管理用户的镜像、策略、主机、重置密码、重置镜像还原点等功能，简化系统运维部署管理操作、降低维护成本。镜像管理与更新管理员只需在云管理平台将配置好的操作系统镜像分配给相应的用户或用户组，不需要花费大量的时间去为每个用户安装操作系统，在使用的过程中，管理员只需维护镜像，有效节省时间和人力。管理员在云管理平台发布标准镜像（黄金镜像）根据需求将标准镜像分配给用户或用户组。用户在终端凭用户名、密码登录，终端自动下载镜像并运行。管理员在云管理端创建镜像版本，进行镜像更新维护，完成后指定镜像生效时间并发布。用户登录时自动下载镜像更新版本进行更新。个人数据存储管理员可以在管理端为每个用户分配一定规格的本地个人数据盘以及个人云盘【用户策略】，本地个人数据盘用于存放个人数据，该数据可在网络通畅时与个人云盘进行数据同步，以保障数据安全备份。个人云盘可在用户使用任意非绑定终端登录时进行数据漂移。个人宕机恢复若管理员在用户策略中允许用户在本地设置还原点，那么当用户系统宕机或崩溃后，用户可自主选择还原点进行还原。系统还原时不会影响个人存储数据和云端数据。若管理员未允许用户设置本地还原点或用户未设置还原点。管理员可在云管理端远程初始化用户终端系统，将用户系统恢复至黄金镜像状态。终端绑定对于个人数据安全要求较高的组织或部门，可针对不同部门或用户的不同的安全限制和要求进行绑定设置，可将终端与用户或用户组进行绑定，如某些终端只允许财务部门的员工凭用户名、密码登录，财务部门外人员无法使用。某台终端仅指定某员工可登录使用等。个人桌面数据漫游当用户在个性化模式的非绑定终端或还原模式下的任意终端使用账号密码登录后，终端会启动本地存储的黄金镜像，并挂载云盘数据，实现个人桌面及数据漫游。当用户注销或关闭虚拟机后，终端会删除漫游用户的使用痕迹，保障个人数据安全。策略管理云管理平台对镜像、用户、用户组、终端进行相应的策略定义，管理员可将其分配给相应的用户、用户组和镜像，极大的方便管理员的管理和设置需求，主要策略如下：用户策略：允许客户修改镜像显示名称、设置用户为组管理员管理组内资源与人员、允许创建本地还原点、设置用户本地磁盘大小、设置用户个人云盘大小、设置CCR资源账号。用户组策略：允许客户修改镜像显示名称、设置用户为组管理员管理组内资源与人员、允许创建本地还原点、设置用户本地磁盘大小、设置用户个人云盘大小、设置CCR资源账号、设置用户组用户上限。终端策略：设置用户端外设安全策略（允许或禁用外设，如U盘、U盾、打印机、扫描仪、大屏、高拍仪等外设）；设置终端离线登录安全策略（设置用户在线登录注销后，在定义的安全时间内可离线登录，超过时限则必须连接网络在线登录）。启用或禁用离线登录模式。镜像策略：设置镜像是个性化镜像还是还原镜像；设置镜像虚拟机使用的IP地址策略。镜像预下载更新当管理员发布更新镜像后，终端在开机登录后，自动检测镜像版本，当发现更新时，后台自动预下载更新补丁。完成后提示用户是否更新，用户可根据实际情况选择更新时间。在镜像更新下载过程中，不会影响当前版本镜像使用，保障业务连续性。镜像下载加速技术在用户集中下载镜像时，可以实现分级下载与断点续传。也就是不仅仅局限于从管理服务器下载镜像，终端会自动检测拥有相同镜像的客户端，并从该客户端下载镜像，这样避免了大量用户从服务器下载镜像造成网络堵塞，影响下载速度及个人数据存取变慢的现象。当用户关闭终端时，暂停下载更新任务，当终端再次启动时，应用断点续传技术，继续下载未完成的更新任务。终端外设管理在对数据安全较高的环境中，如开发设计、生产产线、企业/组织内网、涉密网，往往针对不同部门或用户的设置不同的外设访问权限。如U盘、打印机、U-key、加密狗、扫描枪等。管理员可在云管理平台设置使用策略，禁止或允许某些用户对特定外设的使用，从一定程度上保证数据的安全性，避免数据泄漏或病毒入侵。服务端设备告警管理作为运维管理人员需要保障应用服务的正常运转，当应用服务器出现故障或异常时需要第一时间知晓，并能及时定位问题所在。为此RCM1000-OFFICE云管理平台为运维管理人员提供高效的故障告警与提醒机制，可预先设置的不同的告警规则与通知方式及联系人。终端用户操作行为审计在终端用户使用操作系统进行工作过程中，不可避免的会涉及文件的外拷、外网访问内网系统、远程接入操作、敏感业务操作等行为，对于这些行为通过用户行为审计模块做到分级审计，如对普通操作，只记录“元数据”，敏感或可疑操作，记录“元数据”及“录像”，IT运维或数据库管理员的敏感操作行为，记录“元数据”+“录像”+“运行命令”。有效做到事中控制、事后审计，保障行为合规安全。终端设备丢失锁定当终端设备遗失、被盗时，管理员可在云端将设备锁定，禁止该设备继续使用与操作，从底层上保障数据安全，避免因设备遗失或不法分子的恶意行为造成机密信息外泄。当设备找回后，管理员可将设备解锁，恢复使用。产品特性性能打造极限–无限接近本地的用机体验极速体验锐捷IDV终端（Rain300，Rain300C）采用先进的IDV架构，将虚拟化软件部署在终端上，通过服务端推送虚拟机镜像，在本地运行。由本地的硬件资源提供计算支撑，可以充分发挥终端强大的计算能力，使其无限接近于本地用机。影音播放、图形设计采用本地虚拟化技术，充分利用本地计算资源，为应用运转提供本地计算支持、多操作系统同步运行等复杂应用需求。应用本地显卡透传技术，支持图形设计、高清视频播放等高性能要求体验场景，根本上提升用户体验。细节成就无限–个人桌面，独立空间桌面量身而定RG-RCM1000-OFFICE1000中的创新技术IIM（IntelligentImageManagement），可根据用户的不同应用软件要求重新组合封装在不同的桌面镜像中,并根据用户或用户组分配。彻底解决以往PC中常见大量软件安装导致系统臃肿、软件冲突，运行慢等难题。同时，虚拟机的系统磁盘会被隐藏起来，在关机时自动还原，做过的修改不会被保存，防止病毒对主机破坏的同时，省去Ghost或还原卡的繁杂设置【还原模式策略】。有了IIM，每个镜像都是一幅色彩斑斓的画卷，用有限的资源创造无限的价值！管理简单管理员角色被赋予不同的操作界面。用户会获得与物理机体验一致的云桌面。而管理员可使用web浏览器随时监控检查RCM1000-OFFICE设备，Rain终端，CPU、内存、磁盘和网络负载通过可视化图形动态表现，一目了然。数据独立保存每个用户的桌面都分配了独立的个人数据盘（默认盘符D）,且桌面和收藏夹等需要保存个人数据的路径也都会完整保存下来，实现数据随人走从而达到“桌面漫游”的目的。用户无论从任何终端登录，都能获得最为熟悉的个人桌面，再不需要为软件版本不同而打不开文件等问题而困扰。稳定再创极限–集群部署，资源高可用设计领先RG-RCM1000-OFFICE1000云办公管理主机堪称一场革命式的创新：超凡的一体化设计，将处理器、工业级存储设备、内存和强大的云桌面虚拟化软件功能整合到一个简洁、坚固的外壳之中。全新的制造工艺及非凡的想象力，在更小的空间内创造了更大的可能，令您见到它时不免惊叹。高可用集群2台RG-RCM1000-OFFICE1000云办公管理主机可组成办公环境管理集群，不但为整个集群提供负载均衡的管理功能，同时可通过双机数据备份让用户的个人数据永不丢失。投资保护（暂缓推出）支持服务器利旧，保证高性能应用的同时还减少资源浪费。SAAS模式魅力初显——集中部署，分级管理不再遥远锐捷云