基于云桌面的自治區微波傳輸總站辦公電腦升級方案設計

孫志堅 劉春齡

1.2.內蒙古自治區廣播電視微波傳輸總站 內蒙古 呼和浩特市 010050

引 言

內蒙古自治區廣播電視局微波傳輸總站是內蒙古廣播電視局下屬重要的事業單位，承擔對自治區微波線路的傳輸及業務指導、調度工作，微波網絡的規劃和運營。由于工作需要，微波傳輸總站需要對業務用個人電腦及辦公個人電腦進行系統性的替換升級。因為單位人數較多，現有個人電腦保有量也較大，同時因為存在較多的專業技術系統，對個人電腦的需求差異化也比較大，整體替換升級任務有不小的難度。制定替換升級方案需要充分考慮成本及管理兩大因素，本文通過研究用云桌面的方式完成本次任務。

云計算技術因其可靠性高、通用性強、計算資源池化、虛擬化等技術特點，在各行各業中有了越來越多的應用。云桌面是云計算的一個重要的應用分支，通過虛擬化技術把分散的計算、存儲、程序和數據等軟硬件資源轉為集中的虛擬資源，然后通過一定的策略實現個人用戶的計算機資源按需分配并通過網絡實現資源的利用。相對于傳統的個人電腦主機系統，云桌面不僅能夠提高計算機資源利用率和共享度，還具有成本低廉、靈活部署、易于管理、安全性更高的優勢。

1 需求分析

總站共有在職員工65人，在電子化辦公要求較高的現代，首先應滿足這部分的基礎需要，即每人一臺個人電腦完成其日常的辦公需要，其中應至少包括辦公軟件的使用、辦公相關數據的存儲、相關安全防護軟件等的使用。同時總站仍有25臺相關業務系統需要用到個人電腦，這部分個人電腦因業務需要都對操作系統等有著特異化的需求。

1.1 員工電腦使用情況

總站工作人員現主要分為兩大類，值班人員和行政人員。其中值班人員和行政人員大約各占一半，由于值班人員上班為輪班制，每個特定時間點均會有2名值班人員在崗且24小時不間斷，因此值班人員的個人電腦計算資源使用率極其低，但是仍必須要保障值班工作人員使用計算機的權益；行政人員為正常上班時間上班，處理日常行政工作等的常規性事務，電腦的使用率在30%，但是由于各個科室的工作性質不同，多數工作人員僅存儲和處理一般性的文件，因此計算機的計算資源、存儲資源同樣存在著極大的浪費，存儲資源占硬盤存儲量一般在10%左右，但是這部分數據又極其珍貴，一旦遭到破壞對單位工作常常會產生較大影響，通過個人管理個人電腦也很難安全的存儲這部分數據。

1.2 業務電腦使用情況

業務電腦主要是涉及到人事、財務、設計規劃、倉庫存儲、設備網管、值班記錄、監測監控等應用，大部分都要求配套相應的客戶端軟件。這些客戶端對電腦操作系統均有著極大的差異化需求，比如有的設備網管等專業性軟件因采購時間較早仍需要運行在Windows XP的環境中，有的則需要運行在Windows server環境下，也有需要運行在Linux系統下的。

1.3 電腦管理情況

1.3.1 設施安全

在生產實踐中單純的使用某一家產品供應商提供技術會對單位的計算機系統使用造成潛在的威脅，單位會直接承擔某一家公司的產品風險即“所有雞蛋裝在同一個籃子里”，通過虛擬化技術可以將不同硬件廠家的設備進行統一的虛擬化，消除其特異性。

1.3.2 網絡安全

現在針對政府行政事業單位的網絡安全事件、惡意滲透事件逐年發生，而各個單位在處置網絡安全事件上仍處于較低水平。單位中的個人電腦均為一個獨立的孤島，很難對所有的電腦實現網絡安全管理，而個人電腦的使用者也很難對網絡技術有較好的認識，因此一旦突發網絡安全事件，每個人都可能成為破壞者的突破點而實現對全單位系統的破壞，而事后也很難做到網絡安全事件的后續處理。

1.3.3 日常維護

由于個人電腦的孤島模式，且每臺電腦的系統環境千差萬別，大多數工作人員缺乏計算機系統維護的基本技能，在新系統部署、舊系統排障、系統恢復、軟件恢復、軟件部署等方面效率會十分的低下，由于計算機管理人員很難掌握每臺個人電腦的狀態，個人電腦使用者在應對較常見的數據丟失問題往往很難在第一時間認識到問題的嚴重性，進而產生災難性的后果。

2 云桌面構建

2.1 云桌面體系結構

云桌面是云計算的一個重要使用分支，其絕大多數使用邏輯與一般的云計算使用方式較為一致，但因主要面向個人用戶，在使用終端、數據接入、用戶認證、資源動態分配、個人防護、系統維護管理方面有著更多的特點，具體來說云桌面分為：虛擬化層、數據安全層、桌面管理層、接入控制層、上網行為控制層、網絡接入層等6層體系結構，具體如圖1所示。

圖1 云桌面系統體系結構

虛擬化層是云桌面系統的最底層，是基礎的資源供應層，主要負責存儲資源、計算資源、網絡資源的整合、管理和調度。該層通過虛擬化技術，將硬件資源池化并重新分配給用戶，是云桌面系統的基礎和核心。由于高度的虛擬化，可以采購多家國產公司的服務器及網絡設備，達到不會受制于人的目的。

桌面管理層面是云桌面的管理平臺，主要負責用戶、接口界面、桌面模板、數據、軟硬件資源、系統參數、安全策略的配置和管理，主要便于相關工作人員的使用、管理和維護。

數據安全層、接入控制層和上網行為控制層構成了云桌面的安全體系由。數據安全層主要通過加密、數字指紋、病毒防護和數據備份等措施以確保數據存儲和傳輸的可靠性、完整性、正確性和抗否認性。接入控制層，通過防火墻對網絡存取和訪問進行監控和審計，可有效抵擋攻擊者對云服務器的非法訪問、探測和攻擊等行為；借助安全接入網關對出入數據流的過濾和控制，可以為云桌面的使用提供協議、鏈路和應用級保護；運用動態負載均衡功能，對云桌面系統的網絡和軟硬件資源進行動態調配，能夠有效加強網絡數據的處理能力、提高云資源的利用率、增強網絡運行的穩定性。上網行為控制層通過實名認證和上網行為審計的方式，規范云桌面的使用行為，確保網絡和數據資源合理利用和合法使用。

網絡接入層則通過標準的互聯網協議，個人用戶可以使用諸如瘦客戶機、PC機、筆記本、掌上電腦和手機等客戶端，以及搭載Windows、iOS和Android等多種操作系統的方式使用云桌面，大大降低云桌面對軟硬件平臺的依賴性。

2.2 瘦客戶機

瘦客戶機（Thin-Client）是小型商用的計算機，采用嵌入式技術的小型處理器，內存使用本地小型閃存，搭載精簡版的標準操作系統，其中處理器通過專業的設計具有高速的運算能力和功耗低等特點。由于瘦客戶機通過專業設計沒有多余的部件，使用環境比一般的計算機更加可靠安全，并且功耗更低。瘦客戶機通過標準協議和服務器進行通信，服務器端安裝有服務于瘦客戶機的多用戶虛擬化應用程序，用戶不能在瘦客戶機上安裝軟件，只能在登錄后的虛擬機環境下安裝軟件。瘦客戶機更適合現在云理念，方便集中管理，可以實現與普通計算機同樣的用戶體驗，并且更加方便維護。瘦客戶機由于結構簡單、配置精簡可以極大的降低個人使用成本，進而降低整體項目成本，同時不影響個人使用。

3 系統構建

3.1 整體結構

系統核心部件為服務器集群，服務器集群是核心的資源池，是整個系統可以正常運轉的基礎。每位工作人員通過瘦客戶機訪問服務器集群提供的個人電腦鏡像完成個人電腦使用，業務系統則通過瘦客戶機使用原生系統復制的鏡像，其他如USB、RS232、RS485等特殊接口設備則通過相應的協議轉換服務器均轉換為IP信號進入系統，系統在公網出口處設置網絡安全相關設施保障系統安全，具體如圖2所示。

圖2 云桌面整體結構圖

3.2 應用訪問

3.2.1 一般性訪問

每位工作人員通過瘦客戶機實現云桌面的訪問，瘦客戶機通過外圍網絡設備實現對服務器集群計算資源的訪問，在特殊情況下可以用pad等終端實現認證后的安全訪問。每個科室的訪問模式擁有較大的自主性，可以是有線方式也可以是無線wifi方式依具體情況而定。

3.2.2 專業設備的訪問

各類專業設備網管，主要的難點是一些串口設備和USB接口設備或者其他總線設備的網管接入問題，方案采用安全網關和協議轉換服務器的方式，將不同類型的接口歸一化到IP方式，送入網絡集群，通過vlan的劃分實現相對的隔離。專業系統服務器數據也通過專業的網絡設備實現與其他系統的隔離。

3.2.3 桌面操作系統

對于一般個人的使用，出于實施安全及軟件正版的需要以國產操作系統為主要應用，根據工作實際需要配置其他的操作系統。對于專業性要求較高的客戶端設備等，則通過鏡像拷貝的技術手段，實現客戶端環境的永久保存和不間斷使用。

3.3 云桌面的隔離組網

為保障整體系統的穩定性及安全防護性，云桌面系統內部分為內聯網、外聯控制、外部區域等三部分，在防火墻DMZ區建設云桌面用于內外網互訪。為避免單點故障，云桌面服務器可與兩臺防火墻DMZ區接口連接，配置相應網絡地址。這樣物理終端可以根據需要自行配置網絡地址，防火墻根據外部區域、外聯服務區、內聯網的網絡地址規范進行地址轉換。云桌面隔離組網邏輯架構如圖3所示。

圖3 云桌面網絡邏輯架構

4 系統優勢

建設后的系統將不同于之前的每臺個人電腦獨立的使用模式和分散的管理維護模式。

4.1 維護科學高效

系統維護變得簡單高效。管理員在完成硬件部署之后，只需要通過后臺批量創建虛擬桌面、綁定用戶，即完成了系統的部署。部署完成后，用戶登錄即可進入自己的虛擬桌面。管理員可根據不同需要，在管理后臺為單用戶創建多個對應虛擬桌面，以滿足實際應用需要。管理員可以方便地對所有的受控終端進行批量分配桌面、批量修改虛擬機資源、批量關機、遠程協助等作業，管理人員可以在極短的時間內完成系統升級更新、現場故障修復等操作，成倍地提高了IT管理效率。由于個人使用桌面與瘦客戶機的分離，當用戶終端出現故障后，用戶只需向管理員申請新的終端便可輕松訪問原有桌面，可以在最短的時間內應對硬件故障恢復工作。

4.2 成本降低

瘦客戶機的成本大約在普通計算機成本的10%-20%之間，通過瘦客戶機的大量使用拉低系統總成本；同時云桌面系統打造了一個近乎免維護的系統環境，后期的管理維護成本得到了大幅降低；此外，瘦客戶機的低功耗，結合“桌面池”“虛擬機動態啟動”“內存復用”“鏡像自增長”等技術，可以將系統的計算資源和能源的消耗降到極低的水平，實現總成本的降低。

由于普通的計算機每臺安裝合法版權軟件會耗費很大成本，在服務器上安裝合法版權軟件，瘦客戶機可以從服務器上獲取云桌面，無需在每一臺設備上安裝軟件。每個用戶都可以使用正版軟件，避免不必要的知識產權糾紛。

結束語

云桌面的使用可以很好地完成單位個人電腦替換升級任務，同時可以為單位的計算機系統維護模式帶來質的飛躍，集約化的計算機維護管理模式也能使單位在應對諸如網絡安全挑戰等新興挑戰方面更能發揮出作用。