长春一汽-方案设计

一汽大众方案设计CentermInformation东北区销售部·技术支持中心一一汽大众云桌面方案设计福建升腾资讯有限公司东北区销售部东北区技术支持中心福建升腾资讯有限公司东北区销售部东北区技术支持中心针对一汽大众复杂的外设及不同环境的用户需求，设计桌面虚拟化，实现集中管理，统一维护。1. 背景叙述 22. 需求分析 22.1. 集中管理 22.2. 高可用性 32.3. 安全性 32.4. 耐用性 32.5. 业务需求 42.6. 现有复杂外设的兼容 42.7. 完全等同PC的用户体验 43. 挑战 43.1 桌面应用环境复杂 43.2 协同能力还需提高 53.3 企业桌面管理面临许多挑战 54. 建议方案 64.1. 升腾CTVision桌面虚拟化解决方案 64.1.1. 概述 64.1.2. 技术方案 84.2. 升腾瘦客户机 144.3. 升腾曦帆管理系统 165. 总结 17一汽大众方案设计背景叙述长春一汽，中国最大的汽车企业集团之一，拥有员工12万人，资产总额1725亿元，跻身世界五百强前列。随着企业信息化建设的开展，信息化在企业中占据越来越重要的地位，为加强企业信息化建设，决定采用升腾CTVision桌面虚拟化方案，将前端PC替换为坚固耐用、节能易管理的瘦客户机，在后台服务器上统一部署桌面虚拟化软件，提高企业统一管理、数据安全性，推动企业信息化发展。需求分析长春一汽在信息化的建设中累计了大量实践及管理经验，对信息化方面的需求也有很多独到之处，通过其提出的需求，我司总结出以下几点，具体需求分析如下：集中管理管理员权限分级通过分级制度，对各级管理员的权限范围及大小进行制约，使相应区域、相应级别的管理员仅能够有权限处理相应区域、相应级别的事务。限制管理员权限，防止越权事件发生。虚拟桌面管理状态监控虚拟平台系统要有完整的系统监控方案，能够对操作系统的状态、用户连接状态以及性能进行实时的监控。模板定制管理员可以对虚拟桌面的操作系统进行模板定制，为不同工作不同需求的员工定制不同硬件配置（CPU、内存、硬盘）、不同操作系统、不同应用灵活组合的模板，在需要时候快速发布，供终端用户使用。桌面管理用户仅拥有使用虚拟桌面的权限，不能更改虚拟桌面上的任何配置；虚拟桌面有独立可用的IP地址，IP地址能够与虚拟桌面名称有一定对应关系。备份恢复虚拟平台系统要有完整的系统备份方案，能够实现定时备份，并在需要时候还原系统，在虚拟桌面故障或数据丢失后有恢复关键数据的能力；虚拟平台系统要有完整的系统恢复方案，结合备份方案，在虚拟桌面故障或数据丢失后能够在一定时间内恢复所需数据。终端管理管理员可以对所有瘦客户端进行状态监控；管理员可以对所有瘦客户端进行远程管理；所有终端设备有独立可用的IP地址，IP地址能够与虚拟桌面名称有一定的对应关系。高可用性要求虚拟平台系统具备多应用服务器、多数据服务器、多参数服务器架构，保证系统出现故障时可自动切换，达到高可用性标准；要求虚拟桌面在出现故障后，能够自动恢复；要求虚拟平台系统物理服务器中任一服务器故障或单独升级不影响系统使用。安全性对于外设的控制，要求用户不能通过本地USB接口向服务器发送文件；用户使用完虚拟桌面后，需重启虚拟桌面，重启后能够完成初始化，再次登录后获得全新一个全新的系统。耐用性终端设备需满足如下标准需求：设备小，重量轻；设备具备一个ＶＧＡ接口设备具备一个并行打印口设备具备三个ＵＳＢ接口设备具备一个串口设备为工业级设计，具备一定抗干扰（温度、湿度、灰尘）能力，符合相应防护级别，适应车间稳定使用；终端设备的操作系统简单稳定，最好为Linux系统。业务需求因其业务需求，车间设备需要连接扫描枪进行作业，为串口设备，虚拟桌面需支持扫描枪映射；虚拟桌面能够使用终端所连接的打印机；虚拟桌面系统支持DOS系统。现有复杂外设的兼容扫描枪、触摸屏、usb存储等诸多外设在虚拟机中能否正常使用。完全等同PC的用户体验由于具体使用人员已经多年使用PC，较为习惯，则该设计能否影响使用人员的工作习惯，甚至是是否会影响到他的生产作业，也至关重要。挑战桌面应用环境复杂改革开放以来，我国造行业不断发展，制造企业规模快速扩大，许多企业还在各地建设分支机构，随着企业规模的不断扩大，桌面终端数量和类型迅速增加，另外，制造型企业的桌面应用涉及企业领导、财务、开发设计、生产管理、采购、仓管、办公室、生产线等不同部门，每个部门的应用需求与应用环境存在较大的差异，如生产线就对产线终端的可靠性、适用性等提出了更高的要求，因此应用环境变得更加复杂。协同能力还需提高随着企业规模的扩大及分支机构数量的增加，统一管理、协同办公变得更加重要，然而也相应地存在一些问题，如企业的分支机构和派出人员无法远程访问总部的ERP，导致信息孤岛的形成和各自为政；另外在企业扩容时，需要IT提供快速支撑，而现有的IT建设方案确不能快速响应和满足要求。企业桌面管理面临许多挑战许多企业的桌面应用以传统PC应用模式为主，随着企业信息化的不断深入，这种模式在桌面管理方面也正面临着越来越多的的挑战：难于管理：PC机硬件和用户分布广泛，而且用户在访问桌面环境时的位置无关性要求越来越高。在这种情况下，PC机管理极其困难，而且很难形成标准化的管理，原因在于PC机硬件多样化且用户常需个性化自已的桌面环境。总体拥有成本高：虽然PC机硬件成本相对较低，但却抵不过高昂的PC机管理与支持成本。软件部署、更新以及补丁更新都是随时要进行的PC机管理工作，由于要针对各种各样的PC机配置进行部署测试与审核，切又不能标准化，且需要支持人员到现场解决故障，这使得支持成本居高不下。难于实现数据保护与保密：研发作为制造业创新的源泉，许多企业都非常重视在研发方面的投入，如何建立安全的研发中心是每个制造型企业关心的话题，如何确保PC机上的数据能够成功得到备份？如何在PC机故障或者文件丢失时能够对这些数据进行恢复？这些都是棘手的问题。然而即使数据成功备份，但用户可以自由拷贝PC/笔记本上的资料以及PC/笔记本的失窃风险仍然会威胁到重要数据的安全性，许多企业为了保护自身的核心技术不泄漏已经采取了多种手段，但效果还是不尽人意。资源利用效率不高：PC机本质上具有分布性，难于通过资源归集共享的办法来提高利用率和降低成本。据调查，PC机的资源利用率一般都不到百分之五，但切消耗了大量的能耗。虚拟化与云计算技术是近几年来业界最具创新的IT技术，完全可以解决上述问题，数据中心资源整合与桌面虚拟化技术已经在制造行业得到了广泛的应用。据统计，2009年国内制造行业对虚拟化产品的需求较2008年增长85.5%，销售额达到2.7亿元人民币，预计至2012年，制造业虚拟化产品销售额将保持稳定增长的态势，到2012年，虚拟化产品市场规模将达到16.27亿元。本文将从数据中心与桌面应用建设两个方面来阐述方案。建议方案在此针对用户所提出的需求进行方案建议。总体上采用升腾CTVision桌面虚拟化解决方案，采用升腾瘦客户机，结合升腾曦帆管理系统，满足用户对终端设备及虚拟桌面集中管控以及各项需求。升腾CTVision桌面虚拟化解决方案概述升腾CTVision桌面虚拟化解决方案，是我司与全球虚拟化基础架构领导厂商VMware联合发布业内首款专为中国客户量身定制的桌面虚拟化解决方案，全面满足本土市场虚拟化桌面终端管理需求，也是目前业内外设支持最好的桌面虚拟化产品。CTVision完全基VMware最新推出的View5.0研发形成，在此基础之上，增加更适应中国本土市场的功能组件。如USB、串口、并口映射组件，以适应中国客户丰富的外设需求，尤其解决了金融、电信等行业客户在使用桌面虚拟化解决方案时的外设困扰；增加了语音重定向映射组件，使升腾的桌面云解决方案完美应用于呼叫中心、视频会议等特殊场景；多媒体重定向MMR，让多种视频格式在虚拟桌面环境下得到更好用户体验。升腾超过9年的桌面端问题解决经验，为客户在使用桌面虚拟化解决方案时带来更好的体验。桌面虚拟化方案基础架构如上图所示，前端用户使用升腾瘦客户机，连接ViewManager，通过统一身份验证获得虚拟化平台上的虚拟桌面；管理员则可以通过ViewManager以及vCenter来管理整个虚拟化系统。统一前端桌面发布平台——ViewManagerViewManager是统一管理用户与后台虚拟桌面相互关系的门户。用户连接ViewManager，通过统一的身份验证后，使用相应的显示协议获得ViewManager为其分配的虚拟桌面。虚拟桌面的连接状态都会在ViewManager上体现，并且管理员能够在必要时候中断用户连接以及控制设备的接入。策略配置灵活并能够对用户与虚拟桌面连接做出相应管理。统一后台虚拟化管理平台——vCentervCenter是后台虚拟化平台的管理软件。管理员通过vSphere客户端登陆vCenter，可以查看整个虚拟化基础架构平台的所有信息。可以将多台物理服务器（以下简称“主机”）进行群集管理，可使用如下功能：DRS分布式资源调度功能，自动平衡主机之间的负载，并可以在非工作时段自动关闭无负载主机以达到节约能耗目的；HA高可用性功能，主机在非计划停机时，群集会将该主机上的虚拟桌面分布到其他主机上并重新启动，实现自动恢复；FT容错功能，主机或虚拟机在非计划停机状况下，系统会自动将连接转向其备份设备，实现实时切换、0停机时间。对于虚拟桌面，管理员还能够查看包括每台虚拟桌面的状态信息、性能监控信息等，并能够对虚拟桌面进行完全的控制（开机、关机及登录操作系统进行操作）。接入设备控制——CTVisionServerCTVisionServer可以对终端设备接入的设备进行详细的策略管理，控制用户接入设备的权限，并能够对接入的USB设备类别进行判定，对不同类型设备实现不同的管理办法。技术方案以下阐述升腾CTVision桌面虚拟化方案能够解决用户具体需求方面的问题：集中管理升腾CTVision桌面虚拟化方案，将企业的桌面使用模式从原来简单的使用PC转换为使用瘦客户机+虚拟桌面的模式，原先的用户管理很大的程度上是对终端的管理，管理员需常常关注PC的情况，而今管理员仅需统一管理虚拟化环境就可以保证用户使用，前端的瘦客户机为安全稳定的Linux系统，仅仅作为一个连接虚拟桌面的工具，无需维护。数据完全存放在后台存储上，计算资源由服务器提供，借助桌面虚拟化方案，企业IT的运营方式实现后台集中管理。管理员分级后台集中化的管理就带来了管理员权限的问题，通过权限分级可以很好的解决管理员越权的状况出现，严格规范管理员行为，规范化企业IT管理。在此，建议对以下三部分权限进行详细划分：ActiveDirectory活动目录（以下简称AD）。虚拟化基础平台（vCenter）；虚拟桌面管理发布平台（ViewManager）；管理员权限划分建议如下：AD权限划分建议：活动目录是域中用户权限制定的基础，其中用户类型划分众多、细致，在此建议仅使用如下两个用户组：DomainAdmins（域管理员组）DomainUsers（域用户组）vCenter及ViewManager管理员账户分配建议依赖于AD来做统一管理，即vCenter与ViewManager中管理员账户为域中账户。vCenter权限划分建议：数据中心管理员群集管理员资源池管理员ViewManager权限划分建议：ViewManager管理员桌面池管理员具体划分建议如下表：AD用户组管理员角色权限DomainAdmins域控制器管理员管理AD中账户、计算机、策略等vCenter数据中心管理员管理整个vCentervCenter群集管理员管理vCenter中相应群集，对资源池进行资源分配ViewManager管理员&

CTVisionServer管理员管理整个ViewManager&

CTVision授权、策略组件DomainUsersvCenter资源池管理员管理vCenter中相应资源池ViewManager桌面池管理员管理ViewManager中相应桌面池，模板制作域中普通用户普通用户虚拟桌面状态监控虚拟桌面状态监控分为两部分：桌面连接状态监控、桌面性能状况监控。连接状态监控ViewManager可以监控虚拟桌面的连接状态：桌面未被连接时，状态信息为“可用”；桌面连接断开后，状态信息为“已断开”；桌面被连接中，状态信息为“已连接”；管理员可以在ViewManager上方便快捷的查看到桌面的状态信息，对其实时监控。在必要时候管理员可通过策略或手动断开用户连接，实现有效的控制。性能状况监控vCenter可以全面的监控虚拟桌面性能状况，对CPU、内存、硬盘、网络等各项资源进行细致的监控，并能够调整时间，输出一段时间的性能监控数据，方便报表制作等。另外，通过vCenter，管理员还可以打开虚拟桌面控制台，对用户的虚拟桌面进行管理，登陆进其操作系统进行操作等。虚拟桌面模板定制通过vCenter，管理员可以创建虚拟机，修改虚拟机硬件配置，安装操作系统，并对系统进行定制化配置，将虚拟机定制为适合一部分最终用户所需要的虚拟桌面，通过小规模测试后，管理员可将此虚拟机转换为模板，作为日后用户的虚拟桌面模板，完成模板定制。通过定制好的模板，ViewManager管理员可使用该模板发布虚拟桌面，通过自动池，自动生成所需数量的虚拟桌面，结合AD中的用户账户，实现用户分配，之后用户可登陆使用。虚拟桌面桌面管理虚拟桌面的管理可分为两方面：一是对虚拟桌面与用户关系之间的管理，通过ViewManager来实现，另一方面是对虚拟桌面自身的管理，通过vCenter实现。用户连接状态管理在ViewManager中，可以搜索、管理和删除虚拟桌面，还可以管理桌面会话。在虚拟桌面的清单列表中，可以直观的查看到虚拟桌面的连接状态，并可以将用户从其桌面断开，强制用户注销以及重新启动会话。断开会话：用户将从桌面断开，但会话仍会保持活动；注销会话：将用户从桌面断开，该会话将注销；重置：在没有正常注销和断开的情况下关闭桌面并重新启动会话；发送消息：允许管理员键入一条显示在用户桌面上的消息；桌面池策略：可以配置用户断开连接即注销或关机的时间，用户在断开规定的时间后，虚拟桌面将会按照策略配置进行活动。用户策略管理使用AD对用户进行统一管理的好处之一就是可以通过域控制器进行统一的策略分发，使用域控制器中的组策略管理，可以对域中的计算机与用户进行细致的管理，如：域用户登陆虚拟桌面挂载共享文件夹；限制域用户对操作系统中部分组件的可见，及其修改权限；域用户密码复杂度限定；……Composer批量部署使用Composer技术批量部署用户桌面，新生成的用户桌面共同使用黄金镜像硬盘，仅占用极少量空间。通过ViewManager，可以对模板快速的进行全自动批量部署，短时间内完成上百台虚拟机的创建及部署，实现统一管理的便利。虚拟桌面备份恢复在虚拟化环境中，备份方式与在PC或服务器上的直接备份的方式不同，虚拟化环境中可以使用快照的功能，对磁盘进行定时备份，且不影响虚拟机使用。CTVision方案中采用VMwarevSphere方案中的VDR数据还原，利用虚拟机快照功能，将磁盘快照，而后备份这个时间点的磁盘，在用户数据丢失或其他需要的情况下选择所需磁盘进行恢复。在本方案中，并不建议对用户桌面进行备份方案：所有桌面全部基于黄金镜像生成，关机还原，无用户数据，无需担心数据丢失；虚拟桌面被破坏后可以通过ViewManager快速部署生成；虚拟服务器实行主、备负载均衡，提高可用性的同时，能够确保数据及配置正常运行，无需担心故障损坏导致的服务中断；基于上述几点，建议无需对虚拟化环境实行备份方案。VDR组件可以用来对有特殊需求的虚拟机进行定制备份、恢复。高可用性利用vMotion及StoragevMotion技术大幅减少计划内停机计划内停机包括硬件维护、服务器迁移和固件更新，通常占停机时间的80%以上。本方案允许您通过vMotion技术将工作负载动态移动到其他物理服务器上，因此无需停机或中断服务就能进行服务器维护。可随时执行维护，而无需中断用户和服务，并且消除了日常维护操作所需的计划内停机。利用FT等容错技术防止计划外停机本方案采用对虚拟机中运行的操作系统和应用程序透明的方式，将重要的容错功能内置于IT基础架构中。您可以将这些功能配置为所有虚拟机使用，从而降低提高可用性的成本和复杂性。本方案内置的关键容错功能包括：网络接口分组冗余技术，可对单网卡故障容错；存储多路径冗余技术，可对存储路径故障容错；VMwareFaultTolerance，可在发生基础服务器硬件级别的故障时，为虚拟机中运行的任何应用程序提供零停机、零数据丢失的持续可用性利用HA技术确保从停机中快速恢复虚拟机独立于硬件并且可以共享物理资源，因此无需相同的专用备用硬件即可部署故障切换，并且消除了维护相同配置所导致的附加复杂性。在服务器发生故障时，VMwareHighAvailability(HA)可确保虚拟机快速、自动重启。VMwareHA可在其他生产服务器上自动并智能地重启受影响的虚拟机。可通过将基础物理机与其他基础物理机组成群集，或利用第三方群集软件将虚拟机和其他虚拟机组成群集。使用VMwarevSphere组成群集具有下列好处：降低其它群集方案中使用相同服务器时产生的成本；避免物理硬件更改时重建群集带来的复杂性；排除了与测试物理系统群集相关的困难。安全性每日定时桌面还原重启后的桌面恢复需要结合多方面进行，在ViewManager及vCenter中进行相对应的配置即可实现：ViewManager上设置策略：用户断开连接60分钟后立即关闭虚拟机（在下班情况下才会有此情况发生）；在虚拟机生成完毕后对虚拟机编辑设置，在硬盘选项中选择“独立”——“非永久”。这样设置完之后，就可以实现每个桌面在用户下班后恢复系统。USB设备管理通过CTVision组件，控制终端用户的USB设备映射，不仅可以达到区分不同类型的硬件设备，还可以对其是否允许用户使用该类设备进行设置。业务需求打印机使用打印服务在企业中是必不可少的一个基础服务。对于U口、串口、并口打印机，本方案建议将打印机连接在一台windows终端（加入域），将终端IP地址公开，需要打印的用户可以通过“\\IP地址”的方式访问该计算机，而后打开其上打印机（打印机为默认共享），打印所需材料；对于网络打印机，可以直接接入网络，用户即可简单的获取打印服务。扫描枪使用对于车间中的扫描枪应用，需要使用CTVision中的串口映射功能，将连接在Linux终端设备上的扫描枪设备映射到虚拟桌面中，用户如同使用本地桌面一样使用基于服务器上的虚拟桌面。支持DOS系统对于需要有DOS系统支持的用户，建议其虚拟桌面采用windowsxp操作系统，能够较好的支持DOS系统。其他需求显示协议非绑定升腾CTVision桌面虚拟化方案支持的多种显示协议：微软RDP协议VMwarePCoIP协议双显示协议支持，使企业在虚拟桌面的应用中不会受制于一家企业，能够灵活的选择自己所需。如本地一般使用虚拟桌面升腾CTVision桌面虚拟化方案在音频、高清视频方面有较多提升，能够很好的支持用户应用及体验。多方面测试及资料已经很好的证明，虚拟桌面的应用并不会使用户感到不适，反而这种使用方式使得管理员可以更快的响应用户需求，解决用户问题，使用户获得更好的体验。升腾瘦客户机升腾瘦客户机GA690-2(X2)，云终端与桌面图形终端两位一体，采用AMDFusion平台处理器，集成AMD的GPU技术，配合Hudson-M1南桥芯片，提供高性能的多媒体、图形处理能力，保证您快捷的业务处理速度。

●

产品简介升腾瘦客户机GA690-2(X2)，云终端与桌面图形终端两位一体，采用AMDFusion平台处理器，集成AMD的GPU技术，配合Hudson-M1南桥芯片，提供高性能的多媒体、图形处理能力，保证您快捷的业务处理速度。灵动小巧的外观设计，超强环境适应能力，尽显简约时尚品味；一机双显，只要超低功耗就能为您呈现视觉盛宴。广泛应用于中小企业、呼叫中心、高级OA办公、软件研发和测试等行业。

●

产品特点■高性能，更强大

采用AMDFusion平台处理器，集成AMD的GPU技术，搭载RadeonHD6200series显卡，实现本地硬解码功能、1080P高清视频播放，满足您更高的多媒体应用需求。■更适用，更安全，更集中一机两用，既支持云端应用，又支持本地图形桌面应用。采用自主研发的云操作系统，可定制、更安全。采用集中管理，更低维护量，更低成本。■集专利于一身，更专业USB映射、双向语音映射、位图加速，升腾专利技术带给您独有的用户体验。■集成度高，更灵巧结构紧凑、精致灵巧的产品形态，加上行业领先的无风扇设计，把视觉压力、听觉压力远远地抛在脑后；双屏双显的绝美应用，让工作更加得心应手。■随心摆放，更自如产品拥有超强的环境适应、协调能力：可背挂于显示器后，支持VESA国际标准背挂方式；可立于桌面上。让您动动手指头，就能随心所欲改变办公环境。

●

产品参数

产品GA690-2(X2)操作系统标配Linux

系统（中文、英文）支持Windows

XP

embedded（中文、英文）处理器AMD

Fusion

T40N

1.0