沈阳规划设计院桌面云解决方案

华为桌面云解决方案技术建议书华为机密STYLEREF"1"项目概述DOCPROPERTY"Product&ProjectName"iCache互联网缓存解决方案DOCPROPERTYDocumentName技术建议书华为桌面云解决方案技术建议书华为机密DATE\@"yyyy-MM-dd"2016-01-07华为机密PAGE27项目概述项目需求项目背景设计院业务终端一直使用功能全面的传统PC。在大多数情况下，PC提供了价格、性能与功能的最佳组合。但同时，在实际应用过程中，PC也存在各种弊端和诸多不便，主要体现在以下几方面：难以保证非法接入：PC本地有USB口、串口、并口都可以外接设备，没有有效的管理手段，禁止非法设备的接入，存在数据泄密的风险。难以保证数据的安全：PC通常是应用系统的客户端，可接收、处理、存储应用系统的数据，若这些数据是企业的关键信息资产，容易使企业关键信息泄露。另一方面，PC工作环境下，PC上保存着员工的智力数据，也是企业资产的一部分。这些数据如何能在PC出现故障或文件丢失时恢复，是一个当前IT系统的一个巨大的挑战。难以管理：面对广泛分布的PC硬件，用户日益要求能在任何地方访问其桌面环境，因此集中式PC管理极难实现。此外，众所周知，由于PC硬件种类繁多，用户修改桌面环境的需求各有不同，因此PC桌面标准化也是一个难题。高能耗、高排放：一台PC的能耗在200瓦左右，每台PC个人电脑平均运行12小时以上，一台PC一年耗电800-1000度电左右，对于企业上万台规模的PC工作环境，一年的耗电量是一个非常惊人的数字。这当今提倡绿色环保、低碳经济的大环境下，确实是一个巨大的挑战。资源未能充分利用：PC的分布式特性使人们难以通过集中资源的方式提高利用率和降低成本。结果，PC的资源利用率通常低于5%，远程办公室需要重复的桌面基础架构，移动工作人员可能需要使用复杂的远程桌面解决方案。总体拥有成本高(TCO)：PC硬件相对较低的成本优势，通常无法抵消PC管理和支持工作的高昂成本。目前，PC管理工作包括部署软件、更新和修补程序等，由于这些工作需要对多种PC配置的部署进行测试和验证，因而会耗费大量的人力。同时，由于标准化程度不高，支持人员经常需要亲临现场解决问题，这就进一步增加了支持成本。针对上述问题，建议使用桌面云技术取代传统PC。具体而言，采用在服务器系统上承载桌面映像的方法，以集中资源并提高其桌面计算基础架构的可管理性。项目需求。设计院单位桌面云主要应用场景有：OA办公、专业制图设计。应用场景主要需求（各项需求请根据实际项目修改）OA办公规模100系统要求WINDOWSXP/Windows7操作系统。支持PC机、瘦客户机访问虚拟机桌面平台；虚机规格vCPU=2,Memory=4GB,系统盘=10GB,数据盘=40GB软件要求MSOFFICE，Outlook，Project，VISIO；InternetExplorer,AcrobatReader,视频播放软件,企业通讯软件,常用输入法，微星阅读器，金山词霸；外设要求支持USB打印机、USB键盘鼠标。身份认证域帐号+域密码软件研发规模200系统要求与OA办公用户系统相同虚机规格vCPU=4,Memory=8GB,系统盘=20GB,数据盘=80GB软件要求除OA办公的软件外、还要能够安装使用photoshp，autocad,图形设计等软件；外设要求支持USB打印机、USB键盘鼠标身份认证域帐号+域密码功能需求//根据项目CasebyCase，分析XX桌面云项目其它功能性需求，主要描述安全要求、可靠性（如备份容灾）要求、管理运维要求、组网要求等。桌面云系统应实现以下功能目标。虚拟桌面站点需接入互联网，允许进行互联网的浏览、文件上下载等常见操作。系统要支持集中管理能力，如：对操作系统镜像统一管理、软件补丁统一分发、TC终端统一管理。系统要支持互联网终端接入桌面云需求。系统要支持安全架构设计，具有完善的安全防护能力。系统支持高可用性、动态迁移等可靠性设计。系统支持通过扩容存储与计算资源实现用户平滑扩容。设计原则根据本项目需求及具体技术指标的分析，本项目要求系统具备以下设计原则：高安全性安全接入，分权分域，集中管控：桌面云提供一体化的安全准入控制，集成现有的安全规程，依据相应的权限策略实现对不同安全域，不同接入类型用户的集中管控，保障核心数据，以及对不同业务资源的灵活分配、分权管理与审计。高效体验桌面云系统提供最佳的访问体验，用户不再受PC、Windows系统的频繁故障的影响。实现不同网络环境的一致访问体验，提升桌面的可用性与连续性。桌面云系统简单，易用，并提供友好用户界面与自助维护界面。高可靠性采用先进虚拟化技术，资源池化，提供热迁移，存储热迁移。所有设备均应经过大规模组网运行验证。系统的业务、管理、存储功能应该由独立的平面承载，所有设备、模块节点具备冗余部署能力，确保系统及业务的可靠运行，并且系统应具有平滑扩容的能力。高可服务性降低运维成本，提高工作效率，减轻管理维护人员的工作强度与不必要的的重复劳动。桌面云系统将应用、桌面的升级、变更、维护等工作交由后台统一管理与运行；具备良好的综合定位分析及故障恢复能力，从而降低对业务的影响。供应商具备为项目长期服务和保障的能力。华为桌面云解决方案及优势桌面云总体架构华为桌面云总体架构FusionAccess桌面虚拟化以服务器虚拟化为基础，允许多个用户桌面以虚拟机的形式独立运行，同时共享CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来，同时可以实现精确的资源分配，并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。FusionAccess采用业界领先的高清保真HDP桌面协议，并可将授权用户安全连接至集中式虚拟桌面。它与FusionSphere协同工作，可提供一个完整的端到端桌面虚拟化解决方案，此解决方案不仅能增强控制能力和可管理性，还可以提供与PC一致的桌面体验，FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面，升级和修补工作都从单个控制台集中进行，因此可以有效地管理数百甚至数千个桌面，从而节约时间和资源。数据、信息和知识财产将保留在数据中心内，而且永远不外流。配备FusionAccess桌面虚拟化方案具备下列优势：集控制能力和可管理性于一身：由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护。与PC一致的体验：用户可以灵活访问与普通PC桌面功能相同的个性化虚拟桌面。降低总体拥有成本(TCO)：桌面虚拟化可以减低其管理和资源成本。FusionAccess支持GPU直通、GPU共享虚拟机，使用户远程使用图形桌面成为可能，降低了图形桌面的TCO。FusionAccess各部件简要介绍如下：瘦终端TC/SC为用户提供用户桌面的显示输出，以及键盘鼠标输入，TC/SC通过桌面接入网关代理访问对应的桌面，同桌面接入网关之间采用SSL加密的HDP协议进行信息传递，可以通过策略开放或者禁止TC/SCUSB等外设至虚拟机的重新定向；用户通过在TC/SC上输入域用户名和密码访问对应桌面。负载均衡&接入网关主要提供两个功能，一是对WI节点提供负载均衡；另一个是对虚拟桌面提供接入网关与HDPOverSSL加密功能。负载均衡&接入网关提供硬件与软件两种形式。桌面软件FusionAccessFusionAccess是华为提供的桌面管理与投送软件。WebInterface：WI为用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息（加密后的用户名和密码）转发给HDC，WI将HDC提供的虚拟机列表呈现给用户，为用户访问虚拟机提供入口。在桌面云解决方案，可通过SVN为多台WI实现负载均衡。通过在WI上配置多个HDC的IP地址，WI可实现对HDC的负载均衡。HDC(HuaweiDesktopController)：华为桌面控制器(HDC)是桌面云管理系统的核心组件，完成虚拟桌面业务发放，虚拟桌面管理，虚拟桌面登录管理，虚拟机的策略管理功能。GaussDB：GaussDB为ITA、HDC提供数据库，用于存储数据信息，例如，虚拟机与用户的关联、桌面组、虚拟机命名规则、定时任务信息。ITA节点：ITA为用户管理虚拟IT资产提供接口与Portal功能，实现虚拟机创建与分配、虚拟机状态管理、虚拟机镜像管理、虚拟桌面系统操作维护等功能。License节点：桌面云License的管理与发放系统，License服务器用于控制器接入桌面云的用户数。TC管理（TCM）:对瘦终端进行集中管理，包括版本升级、状态管理、信息监控、日志管理等。AD/DNS/DHCP：AD域控用于用户登录鉴权，DHCP用于域内IP分配，DNS用于域内计算机名、桌面云登录域名的解析。华为云平台总体架构华为云平台FusionSphere主要有虚拟化基础引擎FusionCompute、云管理FusionManager两个节点组成。一套云平台部署一对FusionManager主备节点，FusionManager通过自动发现功能发现其管辖下的物理设备资源（包括机框、服务器、刀片、存储设备、交换机）以及他们的组网关系；提供虚拟资源与物理资源管理功能（统一拓扑、统一告警、统一监控、容量管理、用量计费、性能报表、关联分析，生命周期），并且对外提供统一的管理Portal。FusionManager还包括统一硬件管理UHM（UnifiedHardwareManagement）功能，UHM提供对硬件自动发现，硬件自动配置、统一监控（带内和带外）、硬件统一告警、硬件拓扑、异构硬件支持。FusionCompute提供基础的虚拟化功能，提供服务器、存储、网络的虚拟化功能，并向上对FusionCompute提供接口。每套FusionCompute主要由一对主备管理节点VRM组成。一对VRM对应一个物理集群(或者叫站点)。一个物理集群中可以把多台服务器划分成一个资源集群（又叫HA资源池），一个计算资源池有相同的调度策略，为了使用热迁移相关的调度策略要求资源池主机CPU同制。计算资源池不包括网络资源与存储资源。一个物理集群中可以包含多个资源集群。多个物理集群（此时对应多对VRM）可以级联，由FusionManager统一管理。友商的虚拟化集群（如：VMwareVsphere集群），也可以交由FusionManager统一管理。高效强大HDP协议提供卓越用户体验自研HDP桌面协议保障卓越用户体验HDP是华为自研的新一代云接入桌面协议，HDP相对传统的桌面协议，具有文字与图像显示更清晰细腻、视频播放更清晰流畅、声音音质更真实饱满、兼容性更好、带宽低等特点，具体包括：多虚拟通道，灵活控制支持最大支持32个虚拟通道，每个虚拟通道可承载不同的上层应用协议。通过虚拟通道既可以保证每个通道的通讯安全，也可以通过每个通道的优先级QoS保证用户的基础体验（比如定义键盘鼠标的虚拟通道为最高优先级）。丰富的协议管理策略，包括会话带宽、文件重定向、USB外设、端口、打印、语音、多媒体等内容，这些策略可以应用于到指定的IP、用户或用户组等类型，极大的丰富了管理手段，减少了大用户数下复杂需求的管理复杂度。可根据单个用户，用户组，设备类型进行单独的通道策略控制，充分保证每个用户的通讯安全。高保真的显示技术HDP支持多种图像压缩算法，可根据不同应用类型（普通文本、自然图像，视频，3D图形的智能检测）采用不同压缩算法。非自然图像采用无损压缩：自动识别整幅图像中的文字、windows图框、线条等非自然图像，对非自然图像采用无损压缩；相片、图片等自然图像采用合适的压缩率进行有损压缩。HDP在显示“文字、图标、OA常用办公的界面”等非自然图像的PSNR指标达到50000dB以上，SSIM指标达到0.999955，接近无损的表现。重复图像数据不传输：自动识别图像中的未变化部分，只有变化的部分数据会传输，极大降低带宽。视频播放提供服务服务器渲染与客户端渲染两种模式。根据TC能力自动选择渲染模式。HDP协议在显示时自动识别是视频数据采用高效的H.264或MPEG2进行编码，根据网络质量过行帧率自动动态调整，根据显示器的分辨率和播放视频窗口的大小自动调整视频数据流大小，大大地提高视频播放的清晰度与流畅度。TC利用华为海思芯片硬件接口进行视频解码加速，使视频播放更清晰流畅，最大支持1080P的视频播放。高保真的音频技术高保真Music压缩算法：自动识别声音场景，VOIP场景下采用针对人声优化的电信语音算法，音乐场景采用专业的高保真音乐编解码算法，极大提升音乐播放品质。通过对语音场景自动识别、嘈杂音的自动降噪、TC端语音透传、更高的声音采样率（默认采用44.1K的采样率，友商一般16K）等技术，HDP能够提供更加清晰实时的声音，准确还原声音细节，PESQ超过3.4。高效快速的外设兼容性HDP支持多种协议的外设，主要包括USB、TWAIN、串口、打印机外设和PC/SC等。华为的HDP协议是自研的，可根据客户外设需求快速适配兼容。华为桌面云提供一键式信息收集工具收集客户使用外设情况，同时根据这些信息自动生成外设兼容性评估报告。先进的3D图形处理虚拟桌面技术为了满足日常客户3D图形处理的桌面需求,华为自研虚拟桌面推出GPU直通虚拟桌面与GPU共享虚拟桌面，可提供英伟达Q2000，Q4000，K1，K2显卡、丽台K2000，K4000，的3D图形处理虚拟桌面。端到端的安全与高可靠性解决方案设计端到端安全解决方案为保障数据中心安全，云计算采用了完整的安全架构，避免出现安全真空，强化了网络隔离和虚拟化隔离。此安全架构层面主要采用了分层和纵深防御的思想。分层防御（LayeredDefense）：分层防御旨在采用多种方法，在网络中多个区域执行安全性策略，从而确保网络中没有单点安全故障发生。纵深防御（DefenseinDepth）：纵深防御思想使用多重防御策略来管理风险，以便在一层防御不够时，另一层防御将会阻止完全的破坏。云数据中心安全框架从分层、纵深防御思想出发，根据网络层次分为物理、主机/虚拟化、网络、业务和数据、管理维护等几个层面，同时整体上考虑满足合规性等需求，用来指导数据中心安全解决方案的部署。华为桌面云安全与可靠性全景图为桌面云从防范非法用户和恶意系统管理员角度进行系统的防范，保证存放桌面云数据中心的数据做到非法用户“进不来”，即使进入系统数据也“拿不走”，即使进入系统机密敏感数据也“打不开”，非法人员作案后“赖不掉”，机密数据“丢不了”。各分层采用安全措施介绍如下：终端安全瘦终端对内置的存储进行了硬件级别的转码，转码算法与硬件的唯一信息绑定。TC系统采用精简加固Linux嵌入OS或Windows嵌入OS，TC无本地存储。TC接入桌面云系经时对TC进行合法性认证、TC/TC组绑定用户/用户组、USB读写禁用可控、802.1X认证（密码方式或证书方式）防止非法终端接入等方式保证终端安全。接入与认证管理安全提供丰富的安全用户身份认证，包括用户名/密码、USBKEY、动态口令、动态短信、指纹，指纹+密码，确保接入用户的合法性。支持无AD认证。协议安全HDP协议多通道，可灵活控制开关。USB存储可控制禁用、只读、读写。客户端用户通过WI登录虚拟桌面时，认证数据采用HTTPS加密传输；客户端用户通过HDP协议连接虚拟桌面时，桌面访问采用传输加密（HDPoverSSL）等手段，保证业务运行和维护安全；管理员使用Web管理系统时，客户端数据采用HTTPS加密传输。业务系统各个组件间通信（WI、HDC、ITA、License、VNCGate、HDA等），均采用HTTPS方式，传送通道采用SSL加密。系统安全通过VLAN隔离；引入防火墙做ACL访问控制；根据虚拟化机制，做到CPU调度、内存、网络访问、磁盘IO、存储空间的隔离，保证虚拟机隔离安全；避免虚拟机之间的数据窃取或恶意攻击，保证虚拟机的资源使用不受周边虚拟机的影响。华为虚拟化平台提供DHCP隔离、DHCPSnooping、网络隔离功能。虚拟化平台从数据完整性、身份认证、数据访问隔离控制、数据机密性等方面保证用户数据的安全。系统进行资源回收时，剩余数据清零。桌面云网络通信平面划分为业务平面、存储平面和管理平面，且三个平面之间是隔离的。保证最终用户不能破坏基础平台。华为桌面云解决方案各Web服务经过加固来保障安全，主要包括：自动将客户请求转换成HTTPS，防止跨站点脚本攻击、防止SQL注入式攻击、防止跨站请求伪造、隐藏敏感信息、限制上传和下载文件、防止URL越权、登录页面支持图片验证码、帐号密码符合一定规则和复杂度安全。华为桌面云解决方案通过操作系统加固(关闭不必要的服务、控制文件和目录的访问权限)、数据库加固、安装安全补丁、防病毒等手段保证管理组件虚拟机的安全。主要加固措施：关闭不必要的通信端口、服务进程、限制系统访问权限、各账号严格控制访问权限、开启安全日志审计功能、避免黑客通过漏洞攻击系统、Web服务平台能够自动把客户的请求转向到HTTPS连接。管理安全用户接入桌面云，在桌面云的接入网关、认证系统和VM都有完善的日志记录，便于追查责任事故。从帐号、密码、管理员和用户权限、日志等方面日常管理方面安全措施。管理员采用HTTPS加密保证管理访问安全，通过分权分域管理，确认管事员的权限制得制约。桌面云管理业务Portal、虚拟化平台与Portal，操作系统、硬件设备都提供完善的日志，保证所有管理员的操作都有日志记录，供事后审计；用户接入桌面云，在桌面云的接入网关、认证系统和VM都有完善的日志记录，便于追查。桌面云系统要支持三员分立的管理，实现系统管理员、安全管理员、安全审计员的权限制衡。系统管理员负责业务下发/操作，系统配置以及日志审视方面的操作；安全管理员负责分权分域的配置管理，密码策略的配置以及日志的审视；安全审计员专项负责操作日志的审计工作。管理员分权分域，回收超级管理员权限，通过设置不同权限、不同管理范围的管理员，实现分权分域管理。用户虚拟机安全在用户虚拟机上部署防病毒软件，防止用户虚拟桌面遭受病毒攻击。虚拟机可配置固定IP，便于审计。虚拟机运行时，可采用TSM安全系统提供网络访问控制、USB读写加密与管控、员工行为监控、补丁管理、软件分发等功能，保证用户虚拟机运行安全。高可靠性解决方案管理节点高可靠FusionAccess桌面云管理节点采用负载均衡或热备设计，保障业务的连续性。FusionAccess管理节点提供故障自恢复，故障节点自动隔离功能。FusionAccess管理节点的CPU/内存/磁盘占有率状态检控，超过阈值时，也会触发告警。桌面云全系统时钟同步，管理数据自动备份。华为虚拟桌面系统提供故障检测功能，故障信息收集和存储集群节点可用性度量的功能，这可以帮助用户确定是否有负载均衡问题、失控进程或硬件性能下降的趋势，将对合理调整、分配系统资源，提高系统整体性能起到重要作用。通过在每个被监控的节点上运行探针程序，华为虚拟桌面系统可以收集它运行的机器的核心指标如CPU使用情况、基础网络流量和内存数据等，检测到诸如进程崩溃、管理和存储链路异常，节点宕机、系统资源过载等各种异常，使系统具备完善的故障检测能力。管理节点和计算节点引入电信领域“黑匣子”技术：在系统出现异常时自动存储内核日志、系统快照、内核诊断信息及临终遗言，并保存至非易失性存储设备（计算节点）或自动传送至网络服务器（例如日志服务器），以便系统故障后，导出分析定位。FusionAccess系统提供数据一致性审计功能：定时审计VM及其卷文件的相关数据和状态的一致性。用户连接可靠性桌面服务多端口侦听,自动变换侦听端口,避免了端口冲突。桌面代理软件防误操作删除，虚拟桌面会把安装目录下的文件夹进行锁定，所有删除该文件夹下任何文件的行为被禁止。桌面协议软件进程异常或者误杀可以自动恢复。网络闪断或者其它原因连接短暂中断后，桌面云会自动重连。服务器可靠性设计服务器可靠性包括内存、硬盘、电源等多个层面的内容。包括：提供BIOS内存自检和ECC纠错技术。支持硬盘热插拔和RAID功能，提供硬盘在线故障检测和预警。支持电源1+1冗余和热插拔。支持对CPU，内存，风扇，电源，硬盘等热关键器件的温度实时监控，设备故障时会产生告警，可以灵活对支持热插拔设备进行在线更换，不支持热插拔设备提前安排好业务后进行下电更换。配合智能的风扇调速和监控，确保系统运行的可靠性。多台服务器组成计算资源池，支持虚拟机的热迁移、HA功能。存储可靠性设计华为桌面云系统存储提供多路径，存储冷迁移，存储热迁移功能，保障存储的可靠性。桌面云采用SAN作为存储设备，在SAN高可靠性的基础之上，采用RAID机制，配置热备盘做冗余备份，保证数据不丢失和故障快速恢复。网络可靠性设计网络路径全冗余核心层交换设备通过使用交换机集群技术，保证对外与防火墙/NAT和对内汇聚交换机连接的冗余。汇聚层交换设备通过使用交换机集群技术，保证对外与核心层交换设备和数据中心内接入层交换机连接的冗余。接入交换机通过使用交换机堆叠技术，保证对外与汇聚层交换设备和对内虚拟网络层连接的冗余。虚拟网络层通过采用多网卡绑定等技术避免单个网卡故障引发的业务中断。网络分平面通信系统通信平面划分为业务平面、存储平面和管理平面。为了保证各种网络平面数据的可靠性，不同平面间采用VLAN等技术进行隔离，单个平面故障不影响其余两个平面的正常工作。网卡负荷分担对于各通信平面（业务、存储、管理）均采用双网卡，双网卡采用了Bonding模式，两网卡被绑定成逻辑上的“一块网卡”后，同步一起工作。既能对服务器的访问流量进行负荷分担，又能保证其中一块发生故障的时候，另外的网卡立刻接管全部负载，过程是无缝的，服务不会中断。虚拟化可靠性华为桌面云FusionAccess配合FusionSphere虚拟化平台，提供虚拟化热迁移、虚拟机HA、虚拟机快照功能来保障虚拟桌面的可靠性。高效资源利用与高效运维华为桌面云可以提供灵活的桌面形态，包括完整复制桌面云，链接克隆桌面云，应用虚拟化。桌面云可以有灵活的发放方式，可提供1对1、1对多，多对1，多对多方式的多种发放方式。完整复制桌面云方案说明完整复制桌面云方案说明完整复制桌面云桌面利用虚拟化技术与远程桌面投送技术。在桌面云中心，利用虚拟化技术把服务器与存储虚拟成一台台弹性的虚拟主机。完完整复制虚拟桌面在创建时，系统会给这个虚拟桌面分配一份独立系统盘空间，并将虚拟机模板完整复制到系统盘上。这样每个完整复制虚拟桌面都有单独的系统盘与用户数据盘。基于虚拟机级别的隔离;安全性高；个性化强；外设支持类型丰富；用户体验与传统PC一致，可以按照用户的工作负荷弹性修改虚拟机规格。每个用户都有一个独立的虚拟机，虚拟机系统盘和数据盘都通过集中的存储设备加载。存储设备支持SAN与NAS设备。用户通过本地瘦终端，或软终端可以远程登录虚拟机。虚拟机采用业界性能领先、带宽要求低的HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端的无本地存储、USB可管控，功耗低。办公环境相对PC环境更简洁，无噪音。普通链接克隆桌面云方案说明普通链接克隆桌面云方案说明普通链接克隆桌面与完整复制桌面的区别主要在于系统盘的存储上。链接克隆桌面的虚机共享一个相同的系统母盘，每台虚拟机系统盘的不同部分（如工作临时缓存数据、个性化配置（C:\User(在Windows7中)或C:\DocumentsandSettings(在WindowsXP中)）、临时安装的个性化应用程序（C:\ProgramFiles）等）都保存在差分盘中。并且通过将母盘和差分盘组合映射为一个链接克隆盘作为虚拟机的整个系统盘（即C盘），提供给虚拟机使用。对于虚拟机的差分盘，可以配置更新还原策略，还原策略可配置为手动还原与重启还原。每次更新系统母卷时，差分盘也会自动清除。由于系统母盘是很多桌面共用，所以对于系统母盘需要很高的读性能。华为虚拟化平台对于链接克隆母盘提供iCache加速功能。可以将系统母盘的热点数据缓存到服务器本地磁盘、或本地内存中。这样就减小了对共享存储的性能冲击。FusionAccess支持个人配置数据漫游和统一用户数据存储。支持用户登录到不同的服务器上可使用相同的用户配置文件。链接克隆桌面可以与Windows个人配置数据漫游结合使用，来实现用户配置信息的漫游设置。使用普通链接克隆桌面的每个用户仍可以挂载不同的用户数据盘，用来保存数据。普通链接克隆桌面除拥有完整复制桌面云的安全隔离、外设兼容性、工作体验外，还有以下优势。普通链接克隆桌面的优势：管理员需要发布或升级软件、系统升级与打补丁，只要更新系统母卷就可以，对IT系统运维和安全带来极大便利，对IT系统稳定性提供较好保障。由于共用系统母盘，创建虚拟桌面减少系统盘的复制过程，差分盘只有使用时才分配，所以链接克隆桌面云具体创建速度快，占用户空间小的优势；支持快速批量创建和发放虚拟机。对于链接克隆的差分盘，保存用户工作的临时系统数据，与临时安装的软件。这就像一个沙箱，任何不安全的程序、软件都可以在这个沙箱里充分演示，即使虚拟机中毒、或者中了木马，只要把虚拟机重启，差分盘就可以自动清除，保障了系统的安全。这时候链接克隆桌面就像沙箱桌面，非常适用于公用上网机(网吧)、电教室、学校上机室、电子阅览室等场景。应用虚拟化方案说明应用虚拟化方案说明设计院员工针对特定应用的办公需求，可以使用FusionAccess应用虚拟化系统提供。FusionAccess应用虚拟化可以将在WindowsServer2008R2系统上的安装的应用软件与WindowsServer桌面发布出来。这些Windows的应用软件可以在服务器侧集中管理和发布。所有FusionAccess应用虚拟化服务器及其他配套组件服务器均部署在FusionSphere云平台上，可进行弹性调度、热迁移、故障迁移，大大地提高了可靠性。FusionAccess发布的用户访问界面如下图所示；用户在终端（Pad/手机）用户不需要在本地安装这些应用软件，可通过RDP协议访问后台的这些应用软件与应用系统，充分利用后台的计算资源。用户可以通过IE、Outlook直接访问后台各种应用系统，进行公文审批、邮件浏览。应用系统的访问客户端不用经过任何改造。用户就可以获得类似PC的办公体验。用户终端与虚拟机之间采用加密FusionAccess协议，保障了访问的安全，有效减小访问带宽。FusionAccess应用虚拟化的优势：无需修改，快速上线客户现有IT系统中，大量传统的B/S、C/S业务系统软件无需任何修改或移植，即可通过FusionAccess应用虚拟化平台，在各种移动终端上流畅使用。客户无需投入资金改造现有业务系统并在各种移动终端开发业务系统客户端。加速系统上线时间，降低上线成本。固定移动，无缝切换FusionAccess应用虚拟化平台通过对移动终端设备提供键盘鼠标的支持，在移动终端PAD(Windows)上提供无差异的Windows体验，在移动和固定场景随意切换，替代笔记本电脑。在PC/TC固定终端设备上，还可以通过固定终端的客户端接入实现固定办公。由于数据和应用都集中运行和保存在数据中心，用户可以不中断应用运行，实现无缝切换办公地点。简化IT管理将应用和数据从个人设备转移到数据中心，FusionAccess将应用程序集中在数据中心，可以降低管理成本，提高IT向分散用户交付应用的响应速度，加强应用和数据的安全性。分散用户不再需要投入应用维护、数据备份、应用和数据的管理。应用虚拟化特点：对应用程序要求支持在Windows2008R2上运行，并且支持多实例；基于会话（Session）的隔离，用户使用之间会有影响，安全性弱于VDI；用户体验与PC有不同；对外设的支持比VDI模式的差；FusionAccess支持个人配置数据漫游和统一用户数据存储。支持用户登录到不同的服务器上可使用相同的用户配置文件。使用WindowsTerminalServiceRoamingProfile技术，来实现用户配置信息的漫游设置。本项目中用户个性化配置文件通过在AD上配置重定向统一存储在文件服务器上。并在AD上设置组策略的方法禁止用户访问FusionAccess应用虚拟化服务器磁盘。如果用户还有需要数据存储，可增加一个NAS网盘。FusionAccess应用虚拟化可发布WindowsServer桌面与应用，两种方式介绍如下：方式一：发布WindowsServer共享桌面将WindowsServer的桌面，发布给用户，完成共享操作系统的功能。方案二：发布WindowsServer服务器上安装的应用软件将安装在WindowsServer上应用软件发布给用户，完成共享应用的功能。如果用户Windows系统访问FusionAccess应用虚拟化，发布的应用程序图标可集成到Windows系统本地“开始“菜单中。虚拟桌面与应用虚拟化的区别比较虚拟桌面VDIFusionAccess应用虚拟化发布桌面发布应用系统类型Windows7或WindowsXPWindowsServer2008R2WindowsServer2008R2用户体验用户具有独立的操作系统。基于Win7或WinXP的桌面每用户具有基于同一个WindowsServer操作系统的不同桌面仅看到应用，与运行本地应用体验几乎完全一致硬件资源占用很高，为每用户提供虚拟机、每个虚拟机都需要占用较多的CPU、内存、存储和IO资源较低，多用户共用虚拟机，每用户仅占用桌面所需资源最低，每用户仅占用其运行的应用所需资源。软件需求高低，RDSCALLicense总体相比VDALicense更低低，RDSCALLicense总体相比VDALicense更低建设成本高，对服务器硬件和存储性能/容量要求高低，应用虚拟化用户一般不需要配置存储，减少了存储消耗，服务器数量相对VDI较低。低，应用虚拟化用户一般不需要配置存储，减少了存储消耗，服务器数量相对VDI较低。安全性高。用户桌面之间基于虚拟机的隔离。较高。用户之间其于Session会话隔离。较高。用户之间其于Session会话隔离。总结适用于人性化办公，研发办公。适用于需使用WindowsServer桌面场景。应用虚拟化适用于针对特性应用的、无个性化配置和数据的、移动办公的用户场景。高效运维方案为了充分发用用户的主观能动性，提高用户自助运维能力，减轻管理员的运维负担。华为桌面云推出一系列运维工具，如自助维护台，桌面管家，体验优化工具等。登录界面风格可定制默认情况下，桌面云整个登录界面是华为风格。用户登录界面背景可由管理员自定义，将右上角的华为Logo以及整个背景图片更换为客户的风格。在登录界面下方，有一个每日提醒，管理员可以自定义修改，包括节日祝福、温馨提示、会议提醒等等。也可及时发布升级通知、操作指导、宣传信息等，员工感到温馨、IT维护人员减轻压力。用户登录后，可以看到自己拥有权限的虚拟机列表，并可以选择背景、设置语言、修改密码等。自助维护台为了充分发用用户的主观能动性，提高用户自助运维能力。华为桌面云提供VNC自助维护通道，员工可以自己解决由于误操作、或应用程序导致虚拟机网卡禁用，VDA服务被停止导致无法正常登录问题。也可以解决操作系统启动过程中的异常。而其他厂家的方案，在上述异常情况下，员工只能通知管理员来解决，非常麻烦。员工通过VNC通道也仅可访问属于自已的虚拟机，不会带来额外的信息安全风险。虚拟机网络状态灯支持虚拟机与终端TC网络状态指示灯，当网络状态不佳/极差时，指示灯变黄/变红虚拟机关机或网络故障时，指示灯变灰。自助虚拟机电源策略管理支持用户灵活设定虚拟机电源策略管理，在用户Portal中，可以通过电源管理界面，对虚拟机电源策略进行设置。支持如下电源策略管理：禁止自动关机/重启/休眠允许自动关机/重启/休眠允许自动休眠允许自动关机/重启支持自助界面修改用户可自助修改登录界面，包括：语言切换，背景切换，密码修改，用户注销。自助在线指南桌面云登录界面在接入门户上提供自助在线指南，在线指南包括：桌面云常见问题处理方法，支持TC的常用设置，桌面云常见禁用操作，常见问题的快速处理方法，常见问题处理案例。华为桌面管家为了让华为桌面云使用更方便，速度更快，故障更少，华为配合桌面云推出桌面管家工具，包括一系列桌面云工具，如连接修复工具，桌面云体验优化工具，日志收集工具等。健康检查工具是虚拟桌面平台为技术支持工程师和维护工程师提供的一套日常检查工具，并能输出各部件健康检查报告。方便技术支持工程师和维护工程师快速了解系统的健康状况。通过检查系统当前信息和运行状态，反映系统健康或亚健康状态，在开局、巡检、升级等维护场景中使用。目前健康检查工具可以检测整机PDU健康状态，交换机健康状态，IPSAN健康状态：FusionSphere健康状态，FusionAccess健康状态。华为桌面云解决方案优势华为以云计算为契机，提供包括存储、安全、云计算、桌面云、数据中心解决方案四大领域，可为客户提供丰富的以云计算为核心的ICT业务。同时秉承开放合作的理念,提供覆盖全行业的端到端IT解决方案。帮助客户构筑先进、高效的IT平台，提高客户内部运作效率和业务效率。华为提供端到端的云计算解决方案，提供完全自研的虚拟化软件FusionSphere，桌面云软件FusionAccess。FusionSphere整体竞争力追齐友商，虚拟化性能实现业界第一。FusionAccess零偏差交付，在桌面协议、高清制图、安全领域构筑差异化竞争力。华为服务器经过12年的发展，产品形态已经覆盖机架服务器、刀片服务器、高密度服务器，同时针对业务应用开发出相应加速部件，满足各种市场业务应用。2013年上半年，在中国区，华为服务器发货量11.1万台，跃居第二名，超越IBM和HP；全球发货量排名第六。华为存储依托‘存以智用、融以致远’的创新理念，坚持自主研发创新，以及积极的市场表现，全国出货量第一，成功从Others阵营跳居主流厂家阵营，让这份存储界最具分量的报告因为迎来首位中国厂家而翻开新的一页，也再度增强了全球关键客户的购买信心。在标准和专利方面，华为是云计算主流标准组织DMTF董事会的第一家中国公司，担任DMTF的教育VP，IETF云计算/数据中心领域的ARMD工作组的主席，OpenStack的金牌会员，SNIA的董事会成员（BoardMember）。华为广泛参与了ISO/IEC、IEEE、ITU-T、CSA、ETSI、CSCC等国际云计算标准相关组织；同时华为还积极参加了国内CCSA、CESI等云计算标准化活动。华为积极参与开源社区并推动云平台标准化，并向开源社区积极回馈自己的贡献。在Hadoop重要贡献公司名单内，华为排在Google和Cisco的前面，体现了华为的创新能力。华为IT产业全球布局，在深圳、西安、北京、杭州、成都等地构筑交付能力中心，不断增强创新能力和核心竞争力。目前，华为在IT领域投入为10000人，在云计算领域投入为6000人。华为公司针对本项目提供了端到端的桌面虚拟化解决方案。方案涉及的主要部件均可提供华为自研产品，兼容性好，高性能，高可靠，整体交付，专业维护团队支撑；华为桌面云解决方案主要优势如下：自研自主可控的桌面云软件华为虚拟桌面基于成熟的FusionSphere虚拟化平台与FusionAccess桌面管理系统。FusionAccess是历时多年，完全自研，自主可控的桌面云软件，采用自研的高清保真的HDP(High-definitionDesktopProtocal/HuaweiDesktopProtocal)协议。针对虚拟桌面的的远程显示、应用场景OA办公软件、VoIP语音进行性能调优，外设专项进行调优，图像指标PSNR指标达到50000dB以上，SSIM指标达到0.999955接近无损的表现；声音PESQ超过3.4，准确还原声音细节。使用虚拟桌面可以达到PC桌面的体验效果。以客户为中心的安全管控FusionAccess桌面云软件针对客户的特定应用场景的软件、硬件进行过很好的适配开发。针对特有安全需求针对性进行开发，提供特定厂家的USBKEY、指纹、动态口令、802.1X认证；安全三合一设备；针对管理员三员分立管理；提供无AD域部署，固定IP自动化部署。华为自研的桌面云软件，可提供以为客户为中心的定制化能力，保障客户的核心智力资产。高可靠性华为所有硬件、软件部署都采用冗余部署，故障自动恢复；虚拟化产品平台管理理节点冗余部署,通过管理节点自动感知为双机热备，避免通常虚拟化方案没有单独的物理管理节点导致的在线倒换较慢，甚至是业务中断的问题，确保了业务运行的可靠性。华为提供与虚拟桌面配套的安全管理平台，对瘦终端硬件及用户虚机系统提供安全监控，提供对用户行为的监控，提供统一的软件、补丁分发，资产管理等功能。简化运维，提高效率华为虚拟化产品FusionSphere、FusionAcess以B/S架构为基础，提供WEB方式的远程集中运维管理。运维管理形成以服务为导向、基于策略且能够实现自动控制的管理模式。华为虚拟化管理平台可以实现单一的管理运维界面，统一管理物理及虚拟资源，避免在不同的管理界面间来回切换，简化管理工作，提升管理效率，提供全中文管理界面，并提供8大工具：自助维护台，桌面云健康检查工具，桌面云连接检修工具，桌面云体验优化工具，基础架构虚拟机一键式恢复工具，日志收集工具，自动数据迁移工具，性能与兼容性收集和分析工具。特别适合于IT人员较少，规划、运维压力较大的机构使用。广泛突破，成熟应用华为虚拟桌面产品经历了内部1万人5分钟内并发登陆场景的真实业务测试及系统可靠性测试（如故障恢复、IPQoS测试等）。华为整体方案及云软件、服务器、存储、交换机、终端等关键部件经受了内部2万用户的压力测试验证。华为虚拟化产品在国内外已经成熟广泛的应用，特别是在国内的三大电信运营商，可靠性满足电信级要求。华为云计算解决方案，部署了全球最大规模的桌面云（截至2013年6月份，已达约10万终端），总结了丰富的运维流程与运维经验。截至2013年6月份，在云计算领域，已经与42个国家的200多个客户开展了云计算商用合作。实现重点行业突破，突破深交所、中国银行；凤凰卫视北京传媒中心，广东广电；上海商飞集团、沈飞（沈阳飞机集团）；天津大港油田，武汉东风汽车公司；黑龙江电力；牛栏山第一中学；河北迁安人民医院；金税三期、金华地税、云南国税；中国移动，中国联通，中国电信；法国INSA，西班牙BME，俄罗斯RTI等单位。原厂服务，保驾护航华为公司虚拟化产品的服务由华为原厂提供，华为公司有专业的本地化交付与售后支持团队，以及超过6000名从事虚拟化技术的研发团队，可快速解决后期问题，以及接纳客户的定制化需求。基于华为全套自有产品的售后支持经验，避免了虚拟化产品通常的由于涉及部件多、定位复杂、厂家互相推诿扯皮、解决问题缓慢的情况。设计院桌面云设计方案总体设计方案总体方案示意图本项目为了实现高安全、高可靠、高性能、易远程集中运维、平滑扩容的目标，采用业界主流成熟的虚拟化技术，实现虚拟桌面、服务器虚拟化等要求。本项目方案主要以下方面考虑：资源池设计：根据本项目的需求，服务器上安装华为的虚拟化软件，将服务器池化。池化后VDI桌面、应用虚拟化、服务器虚拟化的服务器分别组成集群。池化后服务器上运行虚拟机便于管理、监控。虚拟机在集群里可以实现定制策略迁移、手动热迁移、故障热迁移。资源池的设计具有高可靠、平滑扩容特性。桌面虚拟化：华为虚拟桌面管理软件FusionAccess，提供高性能且可靠的桌面投送。FusionAccess桌面虚拟化以服务器虚拟化为基础，允许多个用户桌面以虚拟机的形式独立运行，同时共享CPU、内存、网络连接和存储器等底层物理硬件资源。这种架构将虚机彼此隔离开来，同时可以实现精确的资源分配，并能保护用户免受由其他用户活动所造成的应用程序崩溃和操作系统故障的影响。FusionAccess采用业界领先的高清保真HDP桌面协议，并可将授权用户安全连接至集中式虚拟桌面。它与FusionSphere协同工作，可提供一个完整的端到端桌面虚拟化解决方案，此解决方案不仅能增强控制能力和可管理性，还可以提供与PC一致的桌面体验，FusionAccess能简化虚拟桌面的管理、调配和部署。用户能够通过FusionAccess安全而方便地访问虚拟桌面，升级和修补工作都从单个控制台集中进行，因此可以有效地管理数百甚至数千个桌面，从而节约时间和资源。配备FusionAccess桌面虚拟化方案具备下列优势：集控制能力和可管理性于一身：由于桌面在数据中心运行，因此管理员可以更轻松地对其进行部署、管理和维护。桌面云把数据、信息和知识财产将保留在数据中心内，而且永远不外流。与PC一致的体验：用户可以灵活访问与普通PC桌面功能相同的个性化虚拟桌面。降低总体拥有成本(TCO)：桌面虚拟化可以减低其管理和资源成本。统一软硬件管理：为了便于硬件设备（服务器、存储、交换机）、虚拟资源的集中管理，采用华为的虚拟化管理软件FusionSphere。FusionSphere采用B/S架构，可以远程统一管理本项目中VDI桌面、服务器虚拟化三个资源池。FusionSphere可管理、监控硬件资源、虚拟资源；支持虚拟机的快速部署、定制化策略调度。计算资源池计算资源池为用户提供CPU、内存计算资源。在服务器上安装华为的虚拟化软件，可以在一台服务器上虚拟出多个台虚拟机，提供弹性规格的虚拟桌面。这几个资源池归属同一朵桌面云管理系统。存储资源存储资源主要为虚拟桌面提供系统空间和数据空间、还有桌面云管理系统所需要的空间。这些存储都在主用存储上。主存储根据数据类型的不同，划分不同的数据LUN。这里的数据类型主要包括管理数据、Windows系统数据、用户数据。网络设计方案（100普通用户）采用RH2288H+云桌面管理系统（200GPU用户）采用E9000+SAN方案。桌面云逻辑组网图每个桌面云用户可以在办公位上使用TC、或者PC接入到桌面云中心。瘦终端放在每个用户的办公位，每个位子提供百兆或千兆GE网口就可以。桌面云部署在客户的数据中心机房中；需要与客户的核心交换机对接。考虑后续扩展性，建议采用2*1GE/2*10GE上行到客户核心交换机。桌面云网络通信平面划分为业务网、存储网和管理网。三个网络之间是隔离的，保证最终用户不能破坏基础平台。存储网络：存储网络通过多路径确保链路冗余，服务器与存储设备通过存储网络二层直接互通。存储设备为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台转化。业务网络：为用户提供业务通道，为虚拟机虚拟网卡的通信平面，对外提供业务应用。HDP协议与虚拟机访问外部应用系统都是经过这个网络。各业务部门可以细分VLAN进行访问隔离。管理网络：负责整个云计算系统的管理、业务部署、系统加载等流量的通信。BMC平面主要负责服务器的管理，BMC平面可以和管理平面隔离，也可以不进行隔离。服务器采用户GE组网，每服务器采用2个业务与管理网口+2个存储网口方式进行组网，业务、管理平面通过两网口聚合确保链路冗余。整体网络划分为两层，分别为接入层、核心层。接入层：为了收敛服务器、存储设备的网口，一般在机柜里放置接入交换机，在接入交换机划分VLAN，将管理、业务、存储三个平面逻辑隔离。接入交换机再上行汇聚到核心交换机。核心层：华为云桌面通过内部的接入交换机汇聚后，接到客户核心交换机。核心交换机配置VRRP协议，为管理网络和业务网络提供冗余网关。网络带宽需求桌面云的网络带宽与用户行为强相关根据新的测试结果刷新。几种典型应用带宽需求情况如下：根据新的测试结果刷新操作场景HDP静默场景（关闭所有应用，显示桌面，用户无操作）8kbps英文word打字（word文档100%比例打开，5号字体输入，每秒输入字符数<=10个）187kbpsWord静默15kbps全屏浏览图片（每秒下翻一副图片，分辨率1650*1080）110kbpsppt播放（每秒下翻一页ppt，不含动画效果）80kbpsppt播放（回翻5页内ppt，不含动画效果）19kbpsppt播放（含动画）748kbpspdf滚轮翻页2500kbpsInternet/WWW浏览（纯文字）150kbps呼叫中心客服应用(旁路/分离方案)：100~150Kbps；150kbps打印：500~800Kbps；800kbps窗口拖动（窗口大小<=800*600，背景为桌面，拖动时窗口内容跟随，桌面范围内掠过桌面图标）141kbps窗口拖动（窗口大小<=800*600，背景为桌面，拖动时窗口内容跟随，桌面范围内不掠过桌面图标）56kbps双击打开文件夹（文件夹窗口大小<=800*600，平均每秒打开一个文件夹）342kbps480P按照640*480尺寸播放（QQ影音）<=6Mbps480P按照1280*720尺寸播放（QQ影音）<=9Mbps480P全屏播放（1680*1050分辨率）（QQ影音）<=12Mbps720P按照640*480尺寸播放（QQ影音）<=7Mbps720P按照1280*720尺寸播放（QQ影音）<=10Mbps720P全屏播放（1680*1050分辨率）（QQ影音）<=13Mbps1080P按照640*480尺寸播放（QQ影音）<=8Mbps1080P按照1280*720尺寸播放（QQ影音）<=12Mbps1080P全屏播放（1680*1050分辨率）（QQ影音）<=15MbpsGPU虚拟桌面(CPU压缩):5~50Mbps<=30Mbps根据客户业务需求、以及业务模型带宽经验值分析，带宽需求分析如下参数带宽需求(kbps)值备注空闲1520%表示同时有20％的用户空闲。互联网浏览15019%表示同时有29％的用户都会进行互联网浏览操作。文档编辑15040%表示同时有70％的用户在进行文档编辑。PPT/图片浏览40020表示同时有20％的用户在进行PPT/图片浏览。视频浏览50001%表示1％的用户都在进行视频播放需求。带宽利用率-80%-根据上面的带宽，可得出各种应用场景的带宽要求。OA办公每用户平均带宽需求＝（15kbps*20%(空闲)＋150kbps*19%(互联网浏览)＋150kbps*40%（文档编辑）＋400kbps*20%（PPT/图片浏览）＋5000kbps*1%（视频浏览））/70%＝316kbps。//备注，实际的桌面云带宽请根据应用场景按上面方法来计算。网络QoS设计要求本项目的虚拟化平台方案设计需要承载网络有一定的带宽保证和基本的QoS保证，确保虚拟桌面OA办公业务的正常使用，虚拟桌面TC—VM之间的网络质量可以分为以下级别:网络质量等级QoS指标用户体验优丢包率≤0.01%往返时延≤30ms抖动≤10ms用户基本办公体验好，无迟滞感觉；在线高清视频全屏播放效果好，可达22fps左右；720P本地视频播放效果好，可达26fps左右；外设支持好，U盘等存储设备使用、操作流畅；适用场景：日常办公，少量多媒体娱乐需求；良丢包率≤0.1%往返时延≤50ms抖动≤10ms用户基本办公体验良好，快速拖动滚动条略有鼠标漂移现象；高清视频播放卡顿明显；480P视频可窗口化流畅播放；外设支持一般，存在识别缓慢，U盘等存储设备操作卡顿的现象，U盘拷贝速度较慢；适用场景：日常基本办公（无大量频繁外设使用），不适合娱乐场景；差丢包率≤0.3%往返时延≤100ms抖动≤40ms用户基本办公体验较差，鼠标和键盘操作有较明显时延，翻屏、滚动页面有明显卡顿；视频播放卡顿明显，基本不可用；外设识别困难，操作卡顿，基本不可用；适用场景：临时互联网和移动办公接入场景，不适用于日常办公场景。恶劣丢包率>0.3%往返时延>100ms抖动>40ms不适用于桌面云使用场景根据上述表格：1、OA办公桌面的网络QoS的要求达到往返时延<30ms，抖动<10ms，丢包<0.01%。2、在VoIP语音的场景下,网络QoS要求丢包<0.1%、时延<10ms，语音质量PESQ>3.0语音延时<800ms（TC到TC）。桌面云数据中心内部通过以下方式保证QoS：二层网络启用802.1P，进行流分类，标识出HDP流量；启用PQ队列调度，避免拥塞，优先转发HDP流量；传输网络需要启用区分服务保证QoS：根据RDP/HDP的优先级表示，进行不同的DSCP标记，设置为EF或者AF级别，进行优先转发，保证网络拥塞后的RDP/HDP流量优先转发；对于TC接入网络，做类似处理，保证接入侧优先级；二层网络启用802.1P和PQ队列；三层接入部分采用DSCP区分服务；IP资源需求管理网IP地址需求云管理节点FusionManager（主备）、VRM（主备）、FusionStorageManager(主备)、服务器的的BMC、服务器底层虚拟化需要一个管理IP。对于做HA可靠性的两个节点需要多一个浮动IP。桌面管理虚机：ITA+DB+HDC（主备）各需要一个IP其它硬件设备、存储（双控制器）、交换机，每节点都需要一个IP。业务网IP地址需求每台虚拟机需要分配数据中心侧的IP网段一个IP，每个瘦终端需要分配用户接入区的一个IP。桌面管理虚机：WI（负荷分担）+ITA+DB+HDC（主备）、License+TCM、AD+DNS+DHCP各需要一个数据中心侧的IP。存储IP地址需求存储设备的每个网口、服务器的接口都需要存储网络的IP。路由核心交换机为每一个子网启用一个VLANIF接口，并将VLANIF地址作为网关地址。机柜内的虚拟机之间通过柜内接入交换机进行二层互通。机柜间虚拟机通过核心交换机实现三层互通，将网关地址为VLANIF地址。瘦终端访问虚拟桌面通过核心交换机三层路由转发。安全设计方案用户名+域密码认证方案设计院项目桌面云采用AD域帐号+域密码方式进行身份认证。用户输入AD域帐号与密码，登录时到AD服务器进行认证。认证成功即可以进入用户虚拟桌面。在虚拟机里Ctrl+Alt+Del就可以锁屏，输入域密码解锁。的安全性。USB端口管控方案对于研发场景，只要求接鼠标/键盘、其余存储、打印机都不允许接入。这种场景配置安全版的瘦终端即可。另外FusionAccess中HDC具有丰富的外设映射策略，可以提供USB设备管理，能够区分USB鼠标/键盘和USB存储设备，针对USB存储设备，提供允许/禁止/只读控制能力。同时外设映射策略可以基于AD用户账号、用户组、虚拟机组进行配置。固定TC/TC组认证为了进一步保证合法用户登录虚拟机，满足追溯到人的安全要求，可以限制用户只能在指定的TC/TC组上登录虚拟机。桌面云管理员可以在ITAPortal将TC/TC组的MAC与用户/用户组的域帐号绑定。这样用户只能在固定的办公、或办公区域进行访问桌面云。如果用户更换办公位、或更换瘦终端，需要通知管理员在ITAPortal重新更新MAC地址绑定关系。类别参数取值样例TC和用户信息用户帐户Alice域TC/PCMAC地址70-F3-95-0B-7E-F8描述A楼3层803802.1X网络接入认证在每个办公座位上，都有网口，为了禁止非法用户通过网口接入网络，使用网口需要802.1X认证。华为的瘦客户机集成802.1X认证客户端，用户打开TC后，输入802.1X认证的用户名、密码，TC先进行802.1X认证，认证通过后，才允许使用网络。TC自动弹出用户登录WI的界面。系统可扩展性方案集群内主机可扩展性桌面云平台中每个FusionManager最大支持256个VRM集群，4096个主机服务器、8000个虚拟机支持。每VRM集群支持的服务器数量最大可达到256台，每VRM集群支持32个HA资源池。每HA资源池内支持的服务器数量最多可扩展至128台服务器，可轻松满足未来桌面的平滑扩容需求。单用户可扩展性设计：单用户支持vCPU个数最大可以扩展到64个，内存可以扩展到1024GB，支持的虚拟网卡数最多可以支持8个，可充分满足虚拟机规格的弹性伸缩。虚拟桌面管理节点可扩展性虚拟桌面管理节点可分布式平滑扩展。一套虚拟桌面最大支持20000桌面用户，当超过20000用户容量后，需要新增加一套虚拟桌面管理节点，虚拟桌面管理节点之间属于分布式，相互之间完全独立。存储扩展性根据存储需求增长，可以实现存储在线平滑扩容，根据规划可以在线扩展磁盘、磁盘框、控制框。运维管理方案总体架构华为桌面云运维服务管理，基于B/S架构，提供远程集中运维管理，全中文界面。华为运维管理参考ITIL标准，基于统一维护，可运营、可管理的理念，设计了符合虚拟化产品特点，易运维的管理系统。支持友好的WebUI维护界面，统一管理所有硬件资源与虚拟化资源，VDI桌面，提供基于定制化策略的自动化运维系统。运维系统架构如下：运维流程优化：运维流程优化：桌面问题支持基本上不需要现场支持环节；快速解决问题：重装/驱动/硬件/升级等主要桌面问题不需要用户参与，几分钟可以解决；运维效率提高：桌面支持人员服务比由1:100到1:1000；弹性运维支持：系列运维工具，弹性调度资源，充分满足业务需要；应用和软件平台支持和优化终端管理虚拟化管理IT系统支持管理基础网络监控管理TCSC虚拟桌面服务器存储DCN域控DNS网络应用系统操作维护办公系统配置管理版本管理性能管理拓扑管理日志管理资源管理用户管理配置管理故障管理告警监控报表统计系统升级防病毒域管理DNS网络监控流量管理管理员虚拟化运维管理以及业务运维管理华为虚拟化运维管理体系发放管理策略调度桌面云系统运维和维护管理主要由“FusionSphere运维管理系统”提供，“桌面云业务维护系统”提供部分辅助功能。运维系统基于Web架构，用户可通过IE、Firefox浏览器访问，无需安装本地客户端。虚拟桌面维护系统登陆页虚拟桌面维护系统主页运维解决方案特点华为FusionAccess的统一资源发放WEBPORTAL，业务发放更灵活、更高效。强大的OM运维能力，支持用户三员分立、分权分域管理，安全性高。管理员可通过Portal快速地进行业务发放、桌面管理、模板管理、权限管理、资源管理、监控管理、告警管理、拓扑管理、日志管理、任务管理、统计管理。虚拟桌面快速发放，添加用户账号无需手工操作。支持有AD域或无AD域桌面，不依赖于AD系统，简化桌面云系统的部署。管理员登录支持SSL、数据加密、用户密码加密保存，确保用户数据安全。桌面管理支持虚拟桌面生命周期管理、快照、使用快照创建虚拟机和恢复虚拟机。为用户数据提供备份功能。拓扑管理能让管理员非常直观地看到系统的部署情况、运行情况。告警管理支持告警转E-Mail、短信的即时通知，使用户及时了解系统。日志管理支持操作日志、运行日志记录，便于审计和故障处理。FusionAccess支持集中日志，用户桌面日志、管理日志进行集中收集和分析；统计管理支持灵活配置、报表统计分析。独立任务中心：支持创建任务，任务支持批量创建、启动、关闭、重启、唤醒、休眠操作虚拟机，任务支持立即执行、指定时间、周期性触发、按天、周、月设定定时任务，支持任务执行结果记录查询。桌面云系统支持软件HA，高可靠性，减少故障对系统和业务的影响。支持系统配置自动备份，避免系统数据丢失。支持动态节能，例如：虚拟机长时间未用则自动休眠、用户再次使用时自动恢复虚拟机使用；虚拟机自动调度包括定时迁移关闭启动虚拟机、将虚拟机集中运行在某些服务器并下电其他服务器。管理员可远程连接用户虚拟机，通过共享桌面远程维护。虚拟桌面管理虚拟桌面运营管理由FusionAccess提供，该系统基于Web架构，用户可通过IE、Firefox浏览器访问，无需安装本地客户端。并且支持管理员分级分域管理。虚拟机发放管理员可以Portal发放裸虚拟机，完整复制，链接克隆虚拟机。支持虚拟机的单个发放或批量发放。批量发放可以发放给一批人，批量创建后的虚拟机有系统盘、用户盘，关联到AD域帐号。如下图是批量发放虚拟机截图。虚拟机发放给用户即绑定用户，只有绑定用户才能访问虚拟机。支持发放时自动绑定、手动绑定。一个虚拟机可以绑定给一个用户，也可以绑定给多个用户。多个虚拟机组成的资源池，可以共享绑定给多个用户。适用于多种用户场景，例如个人办公虚拟机则一一绑定，公用虚拟机则一对多或多对多绑定。桌面管理应用于用户进行虚拟桌面的发放和维护场景。用户通过桌面管理主要完成以下三大维护管理模块：虚拟机管理该模块可完成虚拟机的启动/唤醒、重启、休眠、关闭、删除、解分配、以及高级功能（强制重启、强制关闭、追加用户、删除用户、虚拟机配置调整、链接克隆虚拟机一键还原、安全删除）等操作。创建虚拟机可指定IP创建虚拟机，同时也能兼容DHCP获取IP的虚拟机。修改虚拟机可以修改虚拟机的业务类型、CPU、内存以及描述。一键式还原针对链接克隆虚拟机，强制还原虚拟桌面系统到初始状态。安全删除功能把虚拟机删除后，但磁盘空间不会立即可用，会在后台进行磁盘空间的清“0”处理，磁盘空间清“0”后会自动加入可用的存储资源池。虚拟机模板和镜像管理支持虚拟机模板的创建、修改、删除、查看。虚拟机模板参数包括：虚拟机规格（CPU、内存、系统磁盘大小）、镜像、虚拟机QoS（是否HA、服务质量级别）等。虚拟机组管理每个虚拟机都必须归属于某个虚拟机组。该模块可完成虚拟机组的创建、编辑、删除、添加虚拟机、更新链接克隆组软件以及一键式还原。桌面组管理每个虚拟桌面都必须归属于某个桌面组，该模块可完成桌面组的创建、编辑、删除、分配虚拟机、批量分配虚拟机以及一键式还原。权限管理权限管理可以创建和管理FusionAccess系统中管理员帐号、管理员所承担的角色和管理员管理区域，实现FusionAccess系统的分权分域的功能。FusionAccess系统支持对用户进行访问控制，提供分权分域模式与三权分立模式的管理，可对支持用户组、密码进行管理，便于维护团队内分职责共同有序地维护系统。帐号管理创建、修改、删除管理员帐号；修改管理密码。角色管理角色指具有相同分权功能的管理员分组。管理员可以按实际需要创建相应的角色。并分配给角色相应的权限。一个“角色”可拥有一个或多个不同的“操作权限”。如果一个“用户”拥有多个“角色”，其拥有的“操作权限”是多个“角色”拥有的“操作权限”的并集。支持灵活的设置角色，并灵活赋予角色拥有的权限。缺省的角色包括：超级管理员：具有全部操作维护权限和管理其他用户的权限。操作维护管理员：具有超级管理员授予的操作和查看权限。只读管理员：具有超级管理员授予的查看权限。分域管理监控功能支持对操作维护管理员和只读管理员用户进行分集群域的授权管理。用户分域管理：授予用户各自的集群权限。集群可对应不同部门（如营业厅、客服中心）、不同地区（如东城区、西城区）的虚拟桌面。分域管理员仅对属于自己管理范围的虚拟桌面具有管理权限，包括虚拟机的查看、分配、回收、登录、关闭、重启等。密码管理支持设置密码策略，确保密码的保密性。密码策略包括：密码长度、密码是否含特殊字符、密码有效时长、密码到期提前多长时间提醒用户、修改密码时不允许使用最近几次的密码、是否强制用户第一次登录时修改密码等。虚拟机用户账号管理采用AD的方式管理，包括创建域用户账号、域组用户账号、用户漫游及强制配置文件等。三权分立桌面云管理提供三权分立模式的管理。这种模式下包括系统管理员、安全管理员、安全审计员三个角色。其中系统管理员负责业务下发/操作，系统配置；安全管理员负责分权分域的配置管理，密码策略的配置；安全审计员专项负责操作日志的审计工作。并且此模式下的所有新建角色，必须按照原始安全标准对这3种角色进行权限继承，且不允许权限交叉。软件管理软件系统包括：云平台系统软件、桌面接入系统软件、用户虚拟机软件。为了方便客户管理软件，软件系统具有如下特点：软件预安装和预置发货前，桌面接入系统及操作系统补丁，已预置在基础服务器镜像中，在现场可直接快速创建虚拟机。用户虚拟机支持将用户应用软件预置到虚拟机模板中，使用虚拟机模板安装虚拟机。软件自动化批量安装云平台软件：支持统一安装界面，一次性导入所有服务器的信息，多节点同时加载安装，安装效率高。桌面接入系统软件：支持统一安装界面，便于安装管理。用户虚拟机软件：通过虚拟机模板方式，创建虚拟机并安装应用软件，且支持批量创建虚拟机，大大减少了用户操作和操作难度。升级、打补丁及回退自动化云平台软件支持升级、打补丁有工具支撑，实现了自动化健康检查、分发软件、升级/打补丁、校验、回退。且支持静默升级，即升级/打补丁不影响业务。用户虚拟机软件管理集中化支持使用工具快速将用户数据从原来的物理机迁移到虚拟机、虚拟机间数据迁移。用户虚拟机操作系统，通过补丁服务器打补丁，方便安全。通过AD域控管理用户虚拟机的应用软件，具有准入控制、安全策略管理、员工行为管理、软件分发功能。资源管理华为FusionManager统一管理系统，统一的桌面云、虚拟平台、硬件系统管理系统，避免在不同的管理界面间来回切换，简化管理工作，提升管理效率。同时，避免多个管理账号带来的麻烦。FusionManager云管理平台通过对各种物理资源、虚拟化资源数据统一建模，将资源以用户可见的资源池形式提供给上层应用。统一资源管理模型图如下：统一资源管理，支持发现其管辖范围内的物理设备（包括机框、服务器、存储设备、交换机）以及它们的组网关系。支持将这些物理设备进行池化管理，提供给应用管理模块使用。对于虚拟化一体机场景支持自动发现物理设备，基础设施虚拟化场景需要手工导入物理设备，对服务器、存储设备和交换机进行集中管理，对物理资源进行池化管理，给上层的业务发放屏蔽物理设备的差异。虚拟化资源管理可以统一管理不同系统提供的不同的虚拟资源，包括虚拟机资源、虚拟网络资源、虚拟存储资源的管理等。通过资源池管理，提高基础设施资源的利用率和灵活性，提供统一的虚拟化资源管理能力，对上层应用发放屏蔽差异；实现虚拟资源集中管理提升管理效率，降低运维成本。采用南向插件机制，使FusionManager可以快速、便捷、可定制的实现不同硬件和虚拟化系统的对接。物理资源管理对于华为自研的物理设备可自动发现； 第三方厂家设备支持单条设备接入或批量设备接入。服务器资源管理能够发现服务器的配置信息，可以实现服务器的监控，监控信息包括CPU占用率，内存占用率，网络流出、流入，磁盘I/O写入、读出，可以按周、月、年及自定义时段查询性能监控结果。服务器设备的维护能力：上电，下电，安全重启，安全下电，强制下电，进入维护模式，退出维护模式，一键式上电、下电所有服务器；网络设备管理能够发现交换机的配置信息，显示交换机端口的连接状态，状态信息包括连接与否、发送、接收速率，发送、接收丢包率，发送、接收错误率。另外还可以对本系统的网络模式及网络配置进行管理。存储设备管理能够发现存储设备，查看存储设备的配置信息，信息包括存储设备位置，产品型号，状态，管理IP地址，磁盘数量。可以查询存储设备的总容量和可用容量，以便用户知道是否要扩容存储设备。支持IPSAN、FCSAN、NAS、服务器本地存储。资源集群管理，集群的创建、删除、扩容、减容，对集群进行性能监控，配置集群的资源调度策略，调度策略可以设置为手动和自动，实现虚拟机根据系统负荷在不同服务器上迁移。物理设备资源管理虚拟资源管理虚拟化资源管理支持对计算虚拟化、网络虚拟化、存储虚拟化的管理。虚拟机生命周期管理：业务管理员通过应用对虚拟机进行创建、销毁操作，对虚拟机的日常维护包括：启动、重启、迁移、关闭、修复、快照、虚拟机资源调整和监控；虚拟化网络管理：虚拟网络管理负责管理系统的虚拟交换机及虚拟交换机分配的子网。虚拟网络对应的是DVS(分布式虚拟交换机)和PortGroup（端口组）。分布式虚拟交换机支持系统管理员对一至多台主机上的虚拟交换机的上行链路和虚拟端口进行配置与维护。对子网、VLAN、VxLAN和端口组的管理；可对端口组进行限速设置、上限带宽、优先级和DHCP隔离配置。虚拟化存储管理：可以管理IPSAN、FusionStorage、FCSAN、NAS上的存储资源，以数据存储为单位分配给资源集群使用。数据存储是虚拟机卷所在的存储空间，其对应的物理概念是：SAN的存储资源池、FusionStorage的内部资源池。可以向存储资源池中增加、删除数据存储，已经存在的数据存储可以进行扩容。支持多级存储虚拟化资源管理监控管理监控主要针对云平台、计算集群、计算服务器、虚拟机、存储、交换机等进行监控。云平台的监控信息包括：云的整体CPU平