马凤霞 杨祥来 张晶华 刘晓曦 张昕源
国网技术学院 山东 济南 250002
随着企业信息化的发展,计算机终端数量快速增加,信息运维人员面对大量电脑软硬件维护、用户使用管理、信息安全管理、能耗管理等繁杂的工作,计算机运维精益化管理面临较大挑战。近年来云计算技术发展不断成熟,云终端系统在企业和社会中正逐步推广应用[1]。云终端系统采用桌面虚拟化技术和管理平台,将桌面操作系统、应用和数据向数据中心集中,能实现终端用户资源的统一管理、统一存储和统一计算,通过网络为用户交付虚拟桌面应用的云服务,从而可实现高效安全的终端管理,有效降低企业信息系统运营维护成本。
国家电网公司为深入推进 “两个转变”,实现“一强三优”现代公司的战略目标,组织公司相关单位深入研究云计算及虚拟化技术,提出了云终端系统建设要求。某单位结合移动办公特点,及培训教学网络教室、图书馆数字资源学习中心等应用需求,启动了云终端系统建设项目。本文云终端系统基于XenServer虚拟化平台,综合利用了服务器虚拟化、桌面虚拟化及存储虚拟化等云计算技术,有效解决了办公计算机使用地点分散、网络培训机房系统部署重复、缺乏集中电子阅览区等问题。
1.1.1 资源池技术
资源池技术通过虚拟化方式将服务器、存储、网络等集中构建成一个资源池,通过分布式算法实现资源动态分配,从而消除物理边界,提升信息通信资源利用率[2]。
云终端系统采用资源池技术把设备资源虚拟池化,将数据中心的计算资源、存储资源转化成员工办公所需要的硬件资源,为员工提供可动态管理的办公软硬件资源。
1.1.2 桌面虚拟化技术
桌面虚拟化技术是将个人的桌面软件环境与个人计算机的物理硬件相分离的一种技术。在服务器端为每个用户个性化创建专用虚拟机以及办公所需的操作系统和软件应用,通过网络将完整的虚拟机桌面交付给远端用户,用户通过和服务器建立的会话对相关桌面及应用进行访问和操作,实现不同用户之间会话的完全隔离。
云终端系统采用桌面虚拟化技术,自主设计桌面服务管控模块,为用户提供个性桌面服务。桌面服务管控模块由传输协议、资源配置、服务站点、接入许可等部分组成,根据不同应用场景,设计资源型、标准型、作业型三种不同交付模式,实现办公资源的按需交付和统一调度。
1.1.3 身份认证技术
云终端系统采用微软活动目录技术,使用Kerberos网络认证协议,通过密钥加密系统提供安全可控的认证服务[3]。通过有效组织和管理身份、资源等信息,对用户账户、密钥和计算机信息等条件进行验证,实现统一身份认证和资源的统一管理访问,最终实现云终端域账户管理、域服务器管理、策略配置管理等多种安全管理功能。
1.1.4 分布式存储技术
传统的网络存储系统采用集中的存储服务器存放所有数据,存储服务器成为系统性能的瓶颈,不能满足大规模存储应用需要。分布式存储技术采用可扩展的系统结构,利用多台存储服务器分担存储负荷,利用位置服务器定位存储信息,将分散的存储资源构成一个虚拟的存储设备。
云终端系统采用分布式存储技术、可扩展的系统结构,利用多台存储服务器分担存储负荷,提供海量文件存储能力,实现数据存储、数据备份、数据同步、文件传递、数据加密、权限控制等功能,为用户提供个人数据存储服务。
1.1.5 录屏审计技术
录屏审计技术通过捕获本地和远程操作会话,对用户操作时的屏幕进行整体录制,并可按条件对录制信息进行检索定位。录屏审计技术在系统底层直接开发,通用性强,支持本地登录和所有远程会话协议的审计,而且能够按照用户、服务器、应用、文件名、目录名、Windows窗口信息等检索,迅速找到审计录像。
云终端系统采用录屏审计技术,优化了开发操作行为管控模块,按需对用户的办公操作进行审计管控,加密压缩保存操作行为记录,实现审计管理、审计报表、快速搜索定位及录像回放等功能,提高了计算机终端使用安全性。
1.2.1 集成性原则
文中云终端系统通过集成平台建设,统一应用访问的接入规范,实现整体应用架构的虚拟化,提高应用访问接入的安全性,降低运营成本,提升应用交付效率,根本上解决传统计算机终端应用模式带来的分散部署、管理和运维等问题。
1.2.2 标准化原则
通过制定适应不同类型应用访问的桌面统一规范,支持业务及信息的拓展和集成管理功能要求,构建标准化平台架构,实现平台建设、应用接入和用户访问的标准化。
1.2.3 安全性原则
根据应用访问的不同安全等级要求和公司信息内网网络访问的安全要求[4],制定平台的安全性规范,提供可靠的平台安全管理模式,实现平台自身和用户行为的审计监控。
1.2.4 高可用性原则
云终端系统需充分考虑系统的安全性和可靠性,实现自适应故障转移。架构设计需避免出现单点故障的可能性,网络访问需保障负载均衡和可靠,系统运行后需提供平台应急方案,保障用户体验的连续性。
1.2.5 可扩展性原则
考虑到应用场景和用户规模的扩展,系统架构和桌面云的设计应满足横向和纵向扩展需求,降低各功能模块和组件的耦合度。
文中云终端系统建设范围涵盖员工日常办公、网络培训教室和图书馆电子阅览区。系统客户端包括日常办公终端(覆盖两地三校区)、图书馆电子阅览区终端、网络培训教室终端,应用需求分析如下:
(1)职工日常办公
职工日常办公需求:传统计算机终端应用模式下用户需个性化安装不同的业务软件,数据信息保存在本地磁盘,信息软硬件运维工作量较大。
(2)图书馆电子阅览
主要用户群体是公司新员工培训、短期班等培训学员,功能为查询、浏览、下载数字图书资源。原分散管理模式需定期开展大量重复的桌面运维。
(3)网络培训
主要用户群体是单位内部培训及外部各类培训班学员,用于电力仿真系统及其它业务系统培训。根据培训内容不同,每次培训开展前需在终端中安装不同的应用软件,传统的计算机终端应用模式需耗费大量运维及管控资源。
本文设计云终端系统架构如图1所示。系统设计基于XenServer服务器虚拟化平台,综合采用服务器虚拟化、桌面虚拟化及共享存储等云计算相关技术。虚拟桌面集中部署在平台的虚拟服务器上;用户使用云终端客户端软件通过ADP协议建立对虚拟桌面的操作访问。
2.3.1 用户配置
员工日常办公:采用专有桌面模式发布桌面为员工提供办公服务,支持Windows XP和Windows 7两种操作系统,使用瘦终端设备替代传统PC机,对于部分在两个校区都有办公需求的员工解决了原来随身携带存储设备的不便,实现了异地跨校区同步办公的需求,提高了工作效率。
图书馆电子阅览:图书馆电子阅览桌面需求统一标准,选择池模式(MCS Pool模式)的只读桌面进行发布,用户每次登录桌面,后台都会从资源池中随机分配空闲桌面,后台更新模版后可统一推送至所有桌面,实现桌面更新。通过相应组策略设置,限制外接设备使用,降低安全风险,为用户营造绿色、快捷的云阅读体验方式。
网络培训教室:每次培训内容不同,应用软件的要求也不相同,采用共享桌面模式发布,实现多个用户共用同一桌面、用户信息的完全隔离,并通过组策略统一管理用户操作权限,避免培训过程中误操作。较传统部署方式,节约了物理资源,培训桌面便于维护、更新快捷。
2.3.2 服务器资源配置
主要包括用户资源服务器和基础架构服务器。其中用户资源服务器部署用户虚拟桌面,可实现虚拟桌面在物理间热迁移;基础架构服务器部署云终端系统基础架构,大部分应用服务器以虚拟机的形式存在,并以主备方式实现系统冗余。
2.3.3 存储资源配置
存储主要分为SAN存储和NAS存储。其中SAN主要存储虚拟机的镜像文件(C盘),为用户预留10%的磁盘空间用作冗余;NAS主要存储用户的桌面重定向配置文件,每个用户分配10GB空间,预留10%用作冗余。
2.4.1 资源交付传输协议
图1 某单位云终端系统架构
传输协议用于连接虚拟桌面和用户客户端设备,实现用户和虚拟机之间的数据交互,是影响虚拟桌面用户体验的关键。为保障客户端与虚拟机之间的通信安全,需在虚拟桌面通信协议基础上进行加密传输,同时考虑加密传输带来的网络负荷增加和终端机处理能力要求。
云终端基于细粒虚拟通道管理技术,融合数据压缩、加密和连接优化方法,实现虚拟桌面客户端与虚拟机之间的安全通信,满足低网络带宽需求和各外设应用。
2.4.1 资源并发启动风暴
云终端系统多台虚拟机运行于少量物理服务器,属于多对一的映射关系,即单台物理服务器的I/O通道将被多台虚拟机共享。当虚拟机同时启动时,大量的系统初始化操作将堵塞物理服务器的I/O总线,发生启动风暴。桌面用户将会感觉到虚拟桌面极度缓慢,以至于几乎无法使用。
云终端系统通过存储优化设计和电源管理技术应对启动风暴问题。存储优化设计是通过内存、固态硬盘和SAS盘根据数据冷热程度进行多级存储分层优化,并通过链接克隆技术将模板放在IOPS高的固态硬盘中加速虚拟机启动;系统的电源管理技术,根据时间点分批启动虚拟机避免启动风暴。
2.4.3 资源分配灵活按需
通过利用大规模集群计算以及虚拟化技术,云终端系统能够根据用户需求的动态调整,迅速更新虚拟桌面运行的实例数目,从而实现IT架构的弹性伸缩。在利用集群、虚拟化、服务器热添加、存储动态扩展等技术的基础上,将服务器CPU、内存及存储资源根据不同用户负载情况进行动态调配,提高硬件资源的整体利用率。
某单位员工常在济南和泰安两地之间往返,每次需要携带移动存储设备,十分不便。云终端系统上线后,在济南、泰安两地三校区均安装瘦终端设备,用户可以登录到专属桌面,使用个人的桌面、文件资料、应用程序等,做到随身携带属于个人的桌面和文件,摆脱了传统办公的束缚,解决了员工异地移动办公需求,提高了工作效率。
针对某单位培训教学业务,建设网络培训云终端机房。培训机房每次使用需求单一,但不同培训场景对系统环境要求不同,采用共享桌面部署模式,针对不同专业,系统培训设有不同模板,独立维护,并可方便切换使用。从培训终端发布、部署、使用、运维、管理等方面全面提升培训环境的准备效率和管控力度,打造全新、安全的智能培训教室。
云终端系统桌面实现端到端的安全监控,对培训学员的培训时间、培训操作进行统一化、标准化管理,全面提高培训效率。采用先进的云存储技术,改变传统的培训课件准备方式,将分散存储在培训教室个人办公终端或移动设备中的培训资料,在后台集中、快速更新发布,避免培训资料携带、分发过程中带来的丢失、泄密等安全隐患。
云终端系统上线后,通过配置相应管理控制策略,对未受信的设备(如智能手机、3G上网卡)进行实时动态过滤,实现了桌面标准化管理,通过监管桌面行为[5],有效避免违规外联、数据外泄等信息安全隐患。
云终端系统可减少各终端操作系统、软件、安全策略的安装步骤,统一桌面标准化配置,每台终端设备的安装时间缩短至5分钟左右,运维从现场运维升级到远程运维,优化了运维模式,缩短了故障处理周期,提高信息化运维效率。通过云终端系统实现资源的集约化管理,防止数据外泄。用户存储空间可动态扩容,突破了传统存储方式的局限性,满足了日常办公数据存储需要。
传统培训模式下,计算机平均能耗为300W到350W电能[6],而瘦终端平均能耗10W 电能,服务器平均能耗为800W电能。较之传统办公培训模式,每年可节约耗电量在70%以上,实现了培训环境下的低碳节能。
文中云终端系统架构设计合理、应用场景丰富,最大程度上满足了某单位“两地三校区”办公、网络培训教学、图书馆数字资源阅览等方面应用需求,提高了信息通信资源的利用效益,降低了信息运维人员工作量,为云终端系统在电力培训领域的推广应用奠定了坚实的技术储备和实践基础。下一步,将进一步巩固云终端系统建设成果,不断优化系统架构、规范业务流程、提升用户体验,为一流企业大学建设提供高效信息化支撑。
[1] 李乔,郑啸.云计算研究现状综述[J].计算机科学,2011,(4):32-37.
[2]唐佩.云终端管理系统关键技术研究与实现[D].北京:北京邮电大学,2015.
[3]叶竞,叶水勇,陈清萍,陈晏,程前,夏轶炜.云终端技术研究与系统建设[J].电力信息与通信技术,2015,(5):77-82.
[4]何永远,徐新智,李枫,王蕊.桌面云终端系统在电力行业中的典型应用[J].电力信息与通信技术,2014,(8):97-101.
[5]钟志琛,邹海彬.云终端提升电力企业桌面终端安全技术探讨[J].电力信息与通信技术,2013,(9):106-109.
[6]叶可江,吴朝晖,姜晓红,何钦铭.虚拟化云计算平台的能耗管理[J].计算机学报,2012,(6):1262-1285.