運用云桌面技術提高網絡維護能力的方案探討

趙晴+秦長征

【摘 要】為了提高電信運營商網絡維護支撐能力，提升網絡維護管理水平，運用云桌面技術與VPN接入安全認證技術，探討電信運營商云桌面系統建設方案。山東聯通建設實踐表明，通過部署云桌面系統，網絡維護人員借助任一臺終端可以隨時隨地監控網絡運行情況、處理網絡故障，網絡維護能力得到切實提高。

【關鍵詞】虛擬桌面 網絡維護 VPN接入

Discussion on Solution to the Network Maintenance Capability Enhancement Based on the Cloud Desktop Technique

[Abstract] In order to enhance the maintenance support capability of telecommunication operators networks and improve the network maintenance management， the cloud desktop and VPN access security certificate techniques were used to discuss the solution to the cloud desktop system construction for telecommunication operators. The construction practice of Shandong Unicom shows that network maintenance personnel can monitor the network operation and deal with the network fault by means of a terminal based on the cloud desktop system. The network maintenance capability is really enhanced.

[Key words]virtual desktop network maintenance VPN access

1引言

網絡維護是電信運營商生命力的根本，如何提高網絡維護質量、保障網路的平穩運行一直是運營商在重點探討、希望不斷提升的課題。目前電信運營商正在積極實踐集約化維護管理體系，借助集中化的支撐系統實現對網絡的實時監控與故障派單。這種方式相較于傳統的專業網管監控模式應用效果顯著，不僅能整合大量的人力物力資源，節約了企業成本，而且還規范了告警與故障處理流程，提升了網絡監控與故障處理效率。

盡管集約化維護管理體系在網絡監控方面效果顯著，但要處理網絡故障、完成數據制作，還必須借助專業網管監控終端。目前，在電信運營商監控機房中保留了大量的監控終端，覆蓋各個專業、各個廠家、各種網絡形式，存在監控終端維護工作量大、訪問受網絡與終端限制的問題。為了克服這些弊端，借助云桌面虛擬技術，將專業網管客戶端程序統一部署在云端，維護人員只需要一個客戶端設備，通過瀏覽器或者專用程序，就可以訪問駐留在云端的客戶端程序，這個系統被稱為云桌面系統。

2 云桌面

2.1 桌面虛擬化技術原理

從技術層面講，云桌面運用了桌面虛擬化技術[1]。桌面虛擬化技術是一種將用戶桌面與實際終端設備相分離的應用模式，將原本運行在用戶終端上的桌面和應用程序托管到服務器端，并由終端通過網絡遠程訪問，用戶終端本身僅實現輸入輸出與界面顯示功能。用戶終端和后臺數據中心連通采用遠程訪問和調用的方式[2]。

通常，由服務器、桌面虛擬化軟件、用戶終端、存儲和網絡資源組成的系統統稱為桌面虛擬化系統。

由于桌面虛擬化不需要在用戶側處理復雜的計算任務，因此對用戶終端的要求較低。為了利用現有機房PC資源以節約成本，接入終端可以利舊。

2.2 桌面虛擬化應用原理

在虛擬桌面系統構架中，用戶在終端設備上安裝虛擬桌面客戶端訪問插件，然后可通過Web瀏覽器或者客戶端方式訪問接入服務器，接入服務器將用戶的身份信息提供給桌面管理服務器，桌面管理服務器通過認證服務器對用戶身份進行驗證，驗證成功后在數據庫服務器上找出具有該用戶訪問權限的虛擬桌面，然后接入服務器將這些虛擬桌面在Web頁面或客戶端界面上展現給用戶供其進行選擇，最后將用戶選擇的桌面通過連接協議直接返回給用戶[3]。

3 建設方案

云桌面系統建設內容主要包含硬件資源部署、虛擬軟件部署、網絡環境調測、VPN（Virtual Private Network，

虛擬專用網絡）接入安全認證技術部署四個方面。

山東聯通云桌面系統于2015年5月上線運行，下面以山東聯通項目實施過程為例，探討云桌面系統建設方案與實施效果。

3.1 硬件資源部署

硬件資源部署主要包含服務器和存儲資源部署。服務器建議采用刀片服務器，相較于傳統的機架式服務器，“刀片+虛擬化”的部署可以更靈活地利用服務器資源，實現更方便及統一的管理，并且能降低服務器對電力、溫控、空間方面的需求[4]。目前，主流的刀片服務器是華為E9000系列。華為E9000服務器深度融合了計算、存儲、網絡和管理模塊，定位于企業私有云等IT應用場景。服務器建議采用八核甚至更多核心的CPU配置，從整體戰略角度上看可提供高效的性能[5]。存儲建議采用磁盤陣列，以便保證云桌面系統的數據安全性及數據存取速度。常用的磁盤陣列模式是RAID10和RAID5，兩種模式都具有容錯性、冗余性及較好的讀性能[6]。為了提高容量可用率，建議采用RAID5模式。

山東聯通云桌面系統建設規模為250個虛擬桌面，單個虛擬機配置2vCPU、3 GB內存、50 GB硬盤容量。

華為E9000采用Intel Xeon Processor E5-4640（8core，2.40 GHz）型號CPU，256 GB內存。

服務器數量測算

1）單個虛擬機的CPU利用率一般為60%～80%[7]，這里按照最高值80%來計算；

2）云桌面用戶并發量不高于70%；

3）單臺E9000配置4路，32核，64個邏輯處理器；

4）內存使用率不超過物理主機的70%。

實際CPU內核需求=（250×2vCPU）×80%×70%

=280vCPU

實際4路8核服務器需求=280vCPU/64邏輯處理器（單臺）=4.38≈5（臺）

單臺主機的內存大小=（250×3 GB）/70%/5臺=214 GB，考慮集群內允許1臺宕機冗余，建議單臺配置256 GB，恰好與E9000實際配置吻合。

存儲容量測算

1）Raid5模式的存儲有效容量為裸容量的75%左右；

2）總磁盤容量不宜超過80%，避免頻繁告警。

虛擬化后的存儲容量=250×50 GB=12.5 TB

磁盤裸容量需求為=12.5 TB/80%/75%≈20 TB

另外，為了提升存儲性能，要求單盤為不大于600 GB的SAS磁盤，存儲CACHE不小于32 GB。

綜上所述，山東聯通云桌面系統共部署5臺華為E9000刀片服務器，20 TB存儲容量。采用5臺服務器部署桌面虛擬化組件，搭建服務器集群平臺，建立高效的資源池，實現對資源的動態分配與調整。

3.2 虛擬軟件部署

目前典型的虛擬化產品包括VMware vSphere、Citrix Xen Server、Microsoft Hyper-V與Linux KVM[8]。山東聯通云桌面系統采用業界領先的VMware vSphere。VMware vSphere是VMware公司推出的一套服務器虛擬化平臺，主要包括VMware ESXi、VMware vCenter Server、View Connection Server、View Composer等核心組件。

VMware ESXi Server是一款可以獨立安裝和運行在裸機上的企業級虛擬機管理系統。在ESXi Server上可以創建多臺虛擬機系統，每臺虛擬機系統擁有自己的虛擬內存、虛擬CPU及其它虛擬資源，相互之間無任何影響[8]。

VMware vCenter Server用于管理VMware vSphere環境，允許IT管理員簡化和自動化控制虛擬環境，使其能夠充滿信心地交付基礎架構[8-9]。通過vCenter Server的界面可以進行多項管理與配置操作，如管理物理刀片服務器、創建虛擬機、創建高可用集群保護策略，監控各類資源使用情況等。View Connection Server用于負責虛擬桌面的連接分配。View Composer用于負責虛擬桌面的批量生成和虛擬桌面的模板管理。

山東聯通云桌面系統5臺刀片服務器分別部署安裝ESXi組件，使每臺服務器具備建立虛擬化資源池的基礎。之后，創建多個虛擬機分別部署AD預控/DHCP、vCenter-DB、vCenter Server組件，實現對賬號的創建、桌面IP地址的分配、虛擬機的創建、集群保護等功能。創建虛擬機部署Win2008操作系統，基于Win2008操作系統分別部署Composer、Connetion Server等桌面系統組件，進行虛擬機安裝、聯調，并利用桌面模塊快速創建、分配虛擬桌面。

在創建好的虛擬桌面上安裝專業網管客戶端程序，包括移動核心網、IMS、傳輸、IP承載網、無線等，實現對專業網管客戶端程序的集中管理。用戶在終端設備上通過Web瀏覽器或者客戶端方式，實現對相關虛擬桌面的鑒權訪問。

3.3 網絡接入調測

電信運營商各專業網管服務器主要部署在公司辦公網和專業私網中。網絡環境不同，與云桌面系統網絡互通的方式也會不同。山東聯通云桌面系統部署在企業私有云平臺中。

山東聯通私有云平臺采用一對S9306交換機作為匯聚核心交換機，承擔到DCN辦公網接口的路由。S9306旁掛一對防火墻作為整個資源池的安全隔離并對外提供NAT地址。

山東聯通云桌面系統虛擬機的管理和業務地址均使用現有云平臺私網網段地址，此種方式要求云桌面網管客戶端軟件訪問DCN服務端都必須做NAT，且DCN網絡監控終端連接云桌面時也須使用NAT以后的DCN地址。具體方案如下：

（1）DCN網管服務端接入

防火墻對云桌面管理及業務地址配置靜態NAT，使用靜態路由指向DCN網絡。

（2）私網網管服務端接入

目前現有云平臺至各私網服務端網絡并無連接，新加一臺接入匯聚交換機H3C7603及一臺防火墻H3C F1000-E，從各私網服務端網絡的網關交換機上增加專線至匯聚交換機H3C 7603，H3C 7603透傳各互聯VLAN至H3C F1000，并透傳云平臺互聯VLAN至核心交換機華為S9306，華為S9306透傳互聯VLAN至云平臺防火墻。

各專業虛擬機網關部署在云平臺兩臺核心防火墻上，訪問專業服務器時，通過路由方式指向H3C F1000防火墻，H3C F1000防火墻進行NAT后，將云平臺私網地址映射為各專業提供的互聯IP地址，實現與服務器的互聯互通。

3.4 VPN接入安全認證技術

云桌面系統的訪問環境是公司辦公網。當維護人員出差或在家時，由于不在辦公網環境而無法登錄專業網管進行緊急故障處理。為了解決這個不足，山東聯通云桌面系統擴展部署了SSL（Secure Sockets Layer，安全套接層）VPN接入功能，可實現公網環境對虛擬機業務應用的實時訪問，進而實現對網絡故障的實時處理。

SSL VPN接入功能同步部署短信認證與行為審計模塊。短信認證模塊用來加強對用戶身份的合法性驗證，確保用戶的合法接入；行為審計模塊用來實現用戶辦公網網頁操作記錄、用戶電子郵件行為記錄以及FTP上傳下載的行為審計[10]，為日后取證提供依據。

用戶在Portal頁面中輸入用戶名和密碼，SSL VPN網關將收到的用戶名、密碼發送到賬號管理iMC（intelligent Management Center，智能管理中心）服務器進行第一次驗證，驗證成功后發送短信驗證碼至用戶手機，用戶在Portal頁面輸入驗證碼，二次校驗成功后為用戶分配辦公網IP地址實現DCN業務訪問。接入用戶訪問流量經過DCN接入交換機后將上網行為鏡像到ACG1000-M中進行審計；ACG1000-M按照設置好的審計策略將相關日志信息發送到ACG服務器進行保存；ACG服務器與iMC服務建立聯動策略，實現用戶行為與用戶賬號信息的關聯、保存。

4 部署效果

（1）實現移動辦公，提升網絡維護效率

打破現有專業網管訪問受網絡與監控終端限制的局限性，實現維護人員無論是在家還是在外出差，只要有網絡，借助一臺PC終端均可以實現對虛擬桌面的訪問，滿足了對網絡運行情況的實時監控與故障處理需求。根據統計，70%以上的故障通過專業網管遠程操作可快速解決，網絡維護效率得到切實提高。

（2）提升桌面集中管理能力與業務應用持續性

專業網管客戶端程序由原來部署在分散的PC終端上，改為集中部署在云端服務器，減少了大量的PC終端維護工作量，且避免了由于PC終端升級、故障等帶來的業務應用被迫中斷的問題，提高了業務應用的持續性。

（3）提高硬件使用率與硬件性能實時監控能力

通過部署虛擬化軟件，建立高效的服務器資源池，實現對CPU、內存、存儲等資源的動態分配，不僅提高了硬件使用率，還提高了業務應用部署的靈活性。另外，山東聯通云桌面系統部署在私有云平臺中，有云平臺專業人員與監控軟件對云桌面硬件資源進行實時監控，有利于及時的故障預警與排障。

（4）有效節約資金投入

部署云桌面系統可減少對機房監控終端的使用。原來每一套專業網管程序分別部署在不同的終端上，數量近百臺。進行云桌面系統部署后，僅使用幾臺終端，借助賬號密碼控制，即可實現對全專業客戶端網管的便捷訪問。以單臺終端功耗200 W計算，每年僅終端一項，可節約電費近11萬余元，如果加上因機房散熱減少空調所節省的電力消耗，節約的電費更多。

5 結束語

云計算時代的到來為電信運營商帶來了新的切入點以提高網絡維護能力。山東聯通云桌面系統通過虛擬桌面技術與VPN接入技術部署，提供了靈活便捷的網絡維護支撐手段，應用實踐證明，維護人員無論是在家還是外出，借助任何一臺PC，都可以隨時隨地登錄專業網管進行故障處理，大大了提高了網絡維護能力。下一步，山東聯通將積極探索手機終端虛擬化軟件與VPN接入技術的部署與應用，實現從手機終端直接訪問云桌面系統，進一步提升網絡實時維護能力。

參考文獻：

[1] 孔智鵬. 虛擬云桌面云接入關鍵系統的設計與實現[D]. 廣州： 中山大學， 2013.

[2] 張鵬. 桌面虛擬化系統集中部署方案研究[J]. 信息通信， 2013（9）： 217-218.

[3] 金鈺，朱華. 基于云計算的星級酒店信息化建設的探索和思考[J]. 移動通信， 2015，39（17）： 72-77.

[4] 孫紅恩，常海防，唐旭東，等. 電信運營商桌面云建設方案探討[J]. 互聯網天地， 2013（9）： 33-37.

[5] 楊歡. 云數據中心構建實戰：核心技術、運維管理、安全與高可用[M]. 北京： 機械工業出版社， 2014： 4-5.

[6] 張東. 大話存儲II——存儲系統架構與底層原理極限剖析[M]. 北京： 清華大學出版社， 2011： 75-77， 119-120.

[7] 葉水勇，孫曉燕. 利用虛擬化技術對服務器和應用系統進行整合[J]. ELECTRIC POWER IT， 2009（7）： 32-35.

[8] 張魁. 基于VMWARE VSPHERE的虛擬機管理平臺設計與實現[D]. 蘇州： 蘇州大學， 2013： 13-16.

[9] 孫寶華. 基于VMware技術的虛擬服務器技術構建與分析[D]. 長春： 吉林大學， 2010.

[10] 伍建國. 計算機網絡系統在深圳大運中心的應用[J]. 智能建筑電氣技術， 2014（3）： 74.