财政厅云桌面技术方案

2024年3月 11.1.建设背景 11.2.现状与问题分析 21.3.项目需求 3 62.1.设计目标 62.2.设计原则 72.3.功能设计 8 3.1.方案详细设计 3.2.安全登录设计 3.3.一键更新 3.4.个人数据盘加密 3.5.联动关机 3.6.数据安全控制设计 3.7.安全合规设计 3.8.扩容方案 3.9.完善的售后服务体系 计算、存储、网络资源的集中共享、统一调度和灵活扩展，2云项目的建设力求解决当前办公环境面临以下困境和难题：个人对外网办公PC机拥有管理员权限，可以随意上网310-20W区间内，传统PC机功率在200-300W区间内，所需电费差距在10倍左右。4桌面云系统实现整个系统的统一管理，包括资源管理，●高安全性5配套桌面云服务器和瘦终端既可满足日常办公使用需一致等原因导致的办公桌面难于真正实现合规化、标准化。62)深入的系统及信息安全；3)统一IT管理维护；5)统一的系统及应用交付，支持用户个性化配6)良好的稳定性、兼容性及可扩展性；7)良好的用户体验；8)系统维护、管理监控简易、便捷、成本低；厅运维人员的需求，采用XX台瘦终端替代传统的PC机，同时后端桌面云服务器具备一定范围内的纵向和横向扩展能7●实现对多场景下办公终端信息系统的安全和有效管理89桌面云系统实现整个系统的统一管理，包括资源管理，功能说明资源管理集群内部的计算、存储、网络、安全资源的分配，回收，维护等管理。监控管理告警管理告警，系统发生故障时，监控单元将视故障情况给出告警信号，所有故障均有告警及文字提示。告警时，主页面的右上角告警信息有消息提示，发出报警，并可以通过设置的邮箱向远端发出告警信息邮日志管理日志收集，通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息可以更好帮助运维来分析问题，定位问题的根源，快速解决问题。可对集群所有主机日志和集群进行收集，支持导出及批量下载。并支持把审计日志通过角色权限设置，可以控制用户对页面各功能模块硬件管理对硬件服务器进行监控与管理，IPMI管理功能(宿主机IPMI地址，品牌，状态、温度、负责人、操作等信息，支持开关机、重启、更新BMC信息操作，定时开关机策略)用户管理支持用户，用户组，针对用户进行资源分配与计费。云管管理支持查看各云管节点健康状态信息，并支持增加、减少云管服务节点，以及集群选举情况。功能说明计算管理参数和PCI资源等查看集群内的存储资源，添加删除存储资源，设置存储的重建策略，磁盘阈值，缓存策略和网盘网络设置，也支持添加一个存储云桌面作为共享卷的高可用理可添加删除SDN网络云桌面和迁移SDN网络云桌面，支持对SDN网络云桌面健康状态监控，CPU、内存使支持对虚拟路由器、交换机、虚拟出口、网络服务状一键检测系统自动对云管平台巡检，检测整个集群的健康状况集群巡检通过任务计划方式设置集群巡检，自动检测整个集群发信邮箱配置可直接在界面上配置用于邮件推送告警给管理员的邮箱服务器设置登录策略可对用户的登录失败重试次数设置、设置登录失败禁止登录时间和用户登录超时时间设置，保证云管平台密码策略可对用户的登录密码进行复杂度设置，登录设置，过期设置等提高平台安全升级可通过版本升级包对集群内某台主机或服务进行升级，降低升级影响IP访问控制支持控制访问云管平台的白名单，黑名单，安全更灵活。SNMP管理站将云管平台告警信息上报给第三方系统，使第三方系统能够管理云管平台的告警。1.保证关键设备及虚拟化设备的业务处理能力具备冗7.采用技术手段防止桌面用户修改虚拟网卡的IP地址、MAC地址；10.消除部分虚拟桌面对虚拟桌面网络资源的过度占用13.支持对入侵行为进行检测，并在发生入侵事件时提设备类型单位数量CPU:2路Hygon7285(32c2.0GHz)内存：32G*16系统盘：2*960GSSD1DWPD;数据盘2:4*8TB7.2KSATAHDD;业务盘RAID卡：940-8i4G(含电池)*1;网卡：RP100010G2P(含模块)*2;交流双电源；上架套装台瘦终端配置CPU:KX-U6780A8核2.7GHz;内存：8GB;硬盘：256GBSSD,显卡：2G独显台万兆接入交换机交换容量≥1.6Tbps;包转发率≥800Mpps|≥48端口万兆光口(含48个万兆光模块)+6端口40GQSFP+(含6*40GE多模模块)台交换容量≥500Gbps;包转发率≥200Mpps|兆SFP+接口(含4个万兆光模块)台显示器台屏幕比例16:9屏幕尺寸21.5英寸最佳分辨率1920*1080对比度3000:1亮度250cd/m²屏幕响应时间6.5msOD加速4ms可视角178/178度(宽视角)接口，信号线VGA+HDMI,标配1.5米HDMI线待机功耗<0.5W(待机模式)功率20W(工作模式)能效二级显示器机械臂基本参数品牌Brateck型号E350适用品牌通用适用型号-通用套国产操作系统授权正版授权套流式软件正版授权套版式软件正版授权套杀毒软件正版授权套联通云桌面数据中心方案建设采用联通云企业版解决充分考虑IT应用与管理现状，在降低成本的同时有效降低整体数据中心方案构建包含基础硬件设施(如服务器、存储、瘦终端等)、云桌面操作系统、联通云终端、联通云联通企业版解决方案联通自主开发的云技术整体解决负载均街主服务器负载均街主服务器软件平台：联通云基座(6.1.8以上)、联通云管平台 (7.0.3以上)、联通分布式云服务(3.6.0以上)、联通云桌面管理平台(7.0以上);本次提供桌面操作系统全面适配安全可靠测评结果公告(2023年第1号)、本次拟上传麒存储网络通过管理平台管理员能够实时监测所有设备的运行状户组分配对应的计算机和用户策略以实现对用户桌面和应1)本期项目规模为XX点用户，其中XX台配置8vCPU,16GB内存，硬盘200GB(需用SSD);XX台配服务器，采用HygonDhyana7285(2.0GHz/32C),基于这款CPU进行测算，单台服务器可提供的vCPU=2*32*2*2=256,扣去底层vCPU资源开销，可提供虚所以设计XX台服务器承载XX台云桌面系统，4C8G最大桌面数为XX台，8C16G最大桌面数量为XX台。根据联通超融合系统最佳配比来看，推荐单集群规模不超过16节点主机，故推荐采用3节点部署方式，如果考虑每节点的高可用性，可增加配置1台服务器，总共配置4比，故单服务器内存为460GB。2)云应用资源计算(本次未考虑)针对云应用配置，推荐采用共享的建设模式，即一台支持的云应用服务器的规模为4个，推荐单云应用服务器支持25个用户并发接入，故单物理服务器可支持100个用户登入，按照最优的70%并发规模进行计算，需要的云应2)故总体服务器资源需求：根据以上计算，需要的服务器总量为3台，考虑高可用性的化，推荐配置4台服务器。身份认证身份认证可以将桌面系统恢复到初始化的状态而不丢失用户的个人克隆的时候，需要通过对桌面池模板进行软件安装等操作，并且只要更新模板操作之后，该桌面池下面的所有云桌共享桌面池部门按需选择启用。(包含天擎+DLP设备)数据中心级安全防护·等保2.0三级M4键信息进行智能识别排查，管理员预先设置过滤规则及过滤操作换流程中自动触发“审批规则”进行判断，从而实现自动审于代码重用、组件重用、业务逻辑重用、组装重用的理念，●流程建模(即流程定义)支持图形化设计工具，优化串签并签相相指定退回不规则并签求进行建立，如：“绝密、机密、秘密、自定义密级”等。的文档为“机密级”,授权公司领导对“机密级”文档有访水印包括阅读水印和打印水印2种，加密或不加密的文档均可以显示阅读水印、打印水印。水印可配置文字水印，日志、登录日志、配置日志。并且为减少不必要的日志，记 天融信)主流的安全防护软件实现全面的外发渠道监控能力。用户再次选择：提醒用户再次确认是此行为是否继续；Syslog日志告警：可通过sysl通过网络平面隔离、引入防火墙、部署安全接入网关、●数据安全数据中心平台中每集群内主机支持的节点数最多可扩展至16台服务器，当集群内服务器超过16个节点后，需要台系统最大可以支持到800个主机服务器节点，轻松可以满单虚拟机(业务系统服务器/云桌面)可扩展性设计：单虚拟机支持vCPU个数最大可以扩展到32个，内存可以扩展到512GB,支持的虚拟网卡数最多可以支持8个。完全可大支持3万个桌面用户，当超过3万用户容量后，需要新增将协调各专业组成员找到事件的原因，编制应急处理方案，在事件未完全定位前，现场人员按照处理流程的要求，无法修复立即响应24小时以内无法解决，免费提供备机远程支持现场支持重大立即响应24小时以内一般立即响应6小时以内体判定标准为优先级为1的事件。2重大网络事件障处理时限内解决故障，确保用户的服务尽可能不受影响。3重大数据库事件影响范围：全部服务终止，未及时写入磁盘数据丢失，4重大核心交换机事件硬件问题，则进行备机更换，同时立刻报修，并通知用户。后应立即作出回应，当设备出现故障时，我公司承诺在1小情况下，确保2小时之内到现场对故障进行处理，不影响的正常业务工作，一般故障6小时内解决，重大故障24小时内解决。24小时内不能排除故障时，免费提供相应的备机。5负载均衡故障后应立即作出回应，当设备出现故障时，我公司承诺在1小情况下，确保2小时之内到现场对故障进行处理，不影响的正常业务工作，一般故障6小时内解决，重大故障24小时内解决。24小时内不能排除故障时，免费提供相应的备机。6核心交换故障7网线故障后应立即作出回应，当设备出现故障时，我公司承诺在1小情况下，确保2小时之内到现场对故障进行处理，不影响的正常业务