成 星
(深圳图书馆,广东 深圳 518026)
云时代的来临为数字图书馆的建设提供了强大技术支持,为读者提供了全新的随时随地的服务模式。然而机会与挑战并存,云完全开放的理念也使网络安全成为云建设的关键问题。终端设备作为云层的接入点,承担着业务与安全双重职责,因此建设方便管理、高效使用、安全防范的终端系统,是云建设过程中重要的环节。
虚拟化技术让应用与硬件真正分离开来。应用镜像可以根据读者请求在云中快速迁移,为用户提供就近服务,实现快速响应;系统通过虚拟化平台对镜像数据统一管理,并监控读者数据请求、流向及传输协议,从数据层面杜绝非法访问,保证接入安全。因此通过虚拟化技术来管理终端,将是云时代读者服务的趋势。桌面虚拟化的应用,可以使用户方便安全地接入网络并获取资源,是云计算的基础应用。
在云技术的大力支持下,公共图书馆的服务模式得以蓬勃发展,读者数量大幅增加,因此IT规模也在不断膨胀,其中尤以桌面应用设备增加最快。深圳图书馆目前正大规模更新并扩张桌面设备的使用,一期已采购60台终端和60台PC机,并按需分批更换或增加员工用机和读者查询终端。但在部署桌面应用的过程中,暴露出诸多问题,如应用形式多样化、无法移动办公、维护更新困难、安全手段缺乏以及桌面应用不统一等。
(1)网络安全问题严重。桌面应用包括读者终端、员工用机、查询终端和阅览区公共用机。读者通过终端访问内网数据,但由于第三方软件存在漏洞,可轻松访问到网络中心其他服务器并植入木马;员工用机由于桌面应用不统一,安全级别低,往往成为病毒侵袭的入口;而阅览区公共用机更没有设置访问权限,裸接中心数据库,存在严重安全隐患。整体桌面接入方式,无法保障云系统的应用安全。
(2)无法为读者提供“个人云”服务。云为读者提供IaaS计算资源、PaaS开发平台以及SaaS应用软件,相当于一整套虚拟PC,但系统无法将这些资源整合成为一台“传统PC”,并按需交付给读者使用。这种应用,必须通过桌面虚拟化、服务器虚拟化和Web应用交付三方面的配合才得以实现。
(3)桌面设备部署维护成本高。由于设备分布广,应用不统一,在发生故障时,IT人员必须亲临现场,经常需要反复在不同设备上处理同样的问题,耗费大量人力、物力。
利用现有硬件资源,建设一个简单、易用、安全的统一云接入平台,以有效进行桌面应用的管理,保障云系统入口安全,从而提高云系统为读者服务的质量。通过桌面虚拟化,系统将达到如下目标:1)桌面应用安全性增强,有效防止病毒、木马入侵,保障云服务的安全;2)及时交付高效云桌面,为云时代的读者提供“个人云”服务;3)在云中为员工灵活交付所需桌面,从而提高业务运作效率;4)集中管理、统一配置桌面和应用数据,从而增强可管理性;5)系统部署维护方便,管理轻松。
图1 桌面虚拟化原理结构图
虚拟化桌面是云计算的必然产物。在IaaS层建设的基础上,VMware View Manager系统将虚拟资源根据用户的个性化需求重新组合,生成新的“虚拟PC”,并通过云层将桌面交付给用户。数据的计算与传输全部发生在IaaS层,用户只接收并显示计算结果,这样实现了桌面与设备的分离(图1)。虚拟化桌面的技术核心是采用了VMware公司专利技术PCoIP协议,PCoIP协议连接运行在VM-ware View服务器上的应用进程和远端客户端设备,在客户端与服务器之间只传输键盘、鼠标指令以及屏幕的变化信息,没有实际的数据传输。运行在中心服务器上的应用进程的输入/输出数据,被重新定向到终端的输入'输出设备上,因此虽然桌面与设备分离,但用户使用起来和在客户端运行相比,没有感觉任何操作上的改变。其基础设施包含如下几个重要组成部分。
3.1.1 数据层。该层是虚拟桌面的基础层,虚拟化后的服务器、存储和网络被“按需分配”生成个性化虚拟桌面,利用云系统应用范围广且资源动态性高的特点,将桌面随时随地就近交付给用户。
3.1.2 数据控制平台。该平台是管理层的重要组成部分,其功能是对数据使用策略进行集中管理,内容包括信息资源管理、可用性管理、部署管理、备份管理、性能监控、程序运行管理、网络安全管理等。
3.1.3 桌面组合系统。从IaaS层中,提取相应的虚拟资源组合成特定的“主虚拟机”。由于虚拟桌面配置基本相同,因此采用VMware的View Composer技术,只存储与“主虚拟机”间的差异部分,从而减少存储空间。
3.1.4 桌面分配。当用户通过身份与权限认证后,桌面交付控制器(VDC)就可识别用户身份,然后通过PCoIP或者RDP协议为其交付桌面环境。用户的个性化配置文件将被添加到标准桌面操作系统中,并利用VMware View Manager的应用交付技术为用户提供关联桌面。图1为桌面虚拟化原理图,图2为云桌面发布原理图。
图2 桌面云发布原理图
(1)可实现云系统的高安全性。来自终端的数据请求全部由PaaS层进行统一监控、分析并许可,完全改变信息请求流程,堵截恶意代码,保障云系统的安全。
(2)可提高业务数据的高安全性。在虚拟化结构中,数据被集中存储,并由PaaS层直接对数据做安全监控,所有对数据的操作都将被严格解析记录,确保数据的使用安全。同时采用异地容灾系统,确保数据的高安全性。
(3)能够为读者提供全新的服务模式。读者可通过多种终端设备随时随地调用自己的个性化桌面。云层将按照读者的请求,调用离读者最近的计算资源,并将运算结果反馈给读者。
(4)可实现桌面系统的集中管理。主镜像与个性化增量存储配合使用,提高了桌面的统一管理性和IT部门对设备管理维护的效率。
在云的建设过程中,深圳图书馆已通过VMware vSphere5.0进行了IaaS层基础设施的虚拟化,在此基础上我们采用VMware View系统来进行桌面虚拟化建设,系统环境配置由三部分组成。
由于桌面与硬件分离,所有的运算都集中在服务器,且为保证桌面交付迅速,所以基础设施层必须拥有强大的运算能力。在虚拟资源池中,深圳图书馆采用VMware vSphere建立3台虚拟机,每台配备6核3.0GHz CPU、64G内存、6TB存储和8G出口带宽,同时利用Vmotion功能,动态调整资源使用上限。这样基本可以并发运行200个虚拟桌面。同时启用网络负载均衡模式,以保证数据交换的流畅性。
利用VMware vSphere5.0企业级虚拟化计算资源后,在虚拟机上按照VMware的部署方法进行如下安装步骤。
(1)部署VMware vSphere5.0企业版,创建虚拟桌面池。首先创建一个虚拟机作为主镜像,然后VMware View将通过主镜像生成若干虚拟桌面,最后View Composer从主虚拟机生成关联克隆池。每个关联克隆都是一个独立桌面,携带唯一主机名和IP地址,不同的是关联克隆与主虚拟机共享一个基础映像,可减少存储空间。利用Composer我们可以创建读者统一业务应用桌面,实现集中管理。
(2)部署VMware Connect Server。其功能是用来接受读者View Client的连接,通过AD活动目录的验证后,将读者请求关联到对应的虚拟桌面并交付。
(3)部署VMware View Manager。其为虚拟桌面管理器,主要是和AD配合,按照制定的不同策略为AD用户建立个性化虚拟桌面。如对深圳图书馆中文采编部、自助部、读者服务部、办公室等不同部门采用组策略工具分别设定特定的系统环境,并通过Connect Server交付。
终端用户安装VMware View Client程序。该程序支持各种类型终端,因此读者可以随时随地通过各种终端接入云中使用自己的个性化桌面,并通过云资源调度就近使用打印机、USB外设或其他外围设备。
(1)快捷的“个人云”服务。新媒体时代,数字图书馆的服务方向将是多元化的服务,通过虚拟桌面的建设,读者可以随时随地调用“虚拟PC”,访问自己的“个人云”,而大部分数据计算与交换发生在云中离读者最近的服务器和网络上,提供给读者的只是经过运算后的结果数据,保障读者快速获取所需的资源。这些全新的读者服务模式,将是未来智慧图书馆的服务方向。
(2)增强云层安全性。云服务的开放式,为云安全提出了挑战。终端的安全接入非常重要。虚拟桌面的应用,实现桌面系统完全隔离,与终端之间仅传输屏幕增量变化信息和鼠标键盘变化信息以及读者请求运算的结果,终端仅作为与读者的交互界面。读者的请求直接发送PaaS层集中监控,减少流通环节,从请求模式上大大减少恶意代码的扩散与攻击。
(3)简化IT管理。虚拟化桌面系统可同时集中管理数千台终端桌面,这些都为IT环境提供了操作自动化、资源优化以及高可用性等功能。
(4)提高IT维护能力。对统一桌面系统可快速部署,大幅度缩减传统桌面系统部署的时间和人力,只需对主镜像做维护即可,同时可实现在零宕机桌面应用系统的前提下维护用户数据。
建设完毕的虚拟化桌面在使用过程中,还需逐渐完善以提高其运作的安全和效率。具体可从如下四个方面完善系统。
(1)建立个性化访问控制列表。结合网络地址规划,严格控制资源访问权限,使不同读者的虚拟桌面可以访问不同的应用程序,同时关联不同的虚拟桌面。
(2)虚拟桌面服务器的热备。虚拟化后的应用服务器和用户个性化桌面数据全部采用异地热备份,确保故障时能够及时接管主服务,为读者提供不间断的个人云服务。
(3)多系统配置的一致性。由于虚拟桌面系统是基于云IaaS层,而读者请求监控在PaaS层,且与AD密切配合,因此在部署时需严格按照网络虚拟化策略和AD用户策略原则实施,保证多系统合作的统一。
(4)提高存储I/O能力。成百上千个虚拟桌面部署在同一台存储阵列上,这对存储阵列接口的数量、多样性和性能等都提出了更高的要求。因此在选配存储系统时,尽可能选用高速接口和固态硬盘来加速I/O,同时选择具有最短路径算法和I/O负载均衡功能的多路径模块,以此来确保桌面虚拟化应用的高可用性。
(5)终端设备的兼容性。云时代,各种类型的终端都有可能申请接入,因此在桌面交付的网络协议和形式上,尽可能采用开源产品。
VMware虚拟化桌面是云层到读者的“最后一公里”,真正为读者打开了信息资源大门。通过虚拟桌面的使用,读者拥有了自己的“虚拟PC”和“个人云”,实现了资源随人走,同时为IT环境的管理和维护带来了极大的方便。可以说,VMware虚拟化桌面为深圳图书馆读者业务持续安全的开展,为建立高效优质的读者服务机制,为在新媒体时代建设智慧图书馆打下了坚实的基础。
[1]胡嘉玺.智慧VMware vSphere运维实录[M].北京:清华大学出版社,2011:31—53.
[2]吴朱华.云计算核心技术剖析[M].人民邮电出版社,2011:16—30.
[3]闫龙川,刘志永.桌面虚拟化技术研究与应用[J].电力信息化,2011(7):55—57.
[4]董兆殷.基于ESXI Server的校园数据中心虚拟化技术的研究[J].电脑知识与技术,2010,6(12):3140—3141.
[5]孙 昱,李小勇,管海兵.虚拟机实时迁移技术研究[J].微型电脑应用,2008,24(7):1—2.
[6]Wikipedia.Desktop Virtualization[EB/OL].[2012 -04 -01].http://en.wikipedia.org/wiki/Desktop_virtualization.
[7]ADRIAN D.Storage Virtualization[M].Wiley Publishing Australia Pty Ltd,2009:80—98.