河北水文桌面虚拟化部署研讨

崔新

河北省水文水资源勘测局

河北水文桌面虚拟化部署研讨

崔新

河北省水文水资源勘测局

随着水文信息化的不断发展，单位的服务器数量不断增加，水文工作对办公网络的要求也在逐步提高，传统计算机部署模式已经无法满足目前的办公需求，如何提高办公效率、减少投入成本、增加数据安全性、降低管理复杂度等问题己经变得日益突出，桌面虚拟化技术成为解决这些问题的方法之一。文章首先介绍了本单位的办公网络现状，提出了传统解决办法以及其缺点，接下来对桌面虚拟化技术及其优点进行了简单说明，然后阐述单位桌面虚拟化的部署以及遇到的问题。通过桌面虚拟化的部署，办公网络实现了更高效、更节约、更安全的目的。

桌面虚拟化；水文；办公网络；安全性

1.建设背景及需求

1.1 建设背景

随着国家对水利行业信息化建设投入的加大，水文信息化建设近几年有了突飞猛进的发展，办公内网（以下简称内网）和办公外网（以下简称外网）的服务器数量也在不断增加：水文数据库、水利普查系统、水文站网监测平台、水资源能力建设系统、水情综合业务系统、办公自动化系统部署、单位视频监控平台、财务台账系统等。这对办公网络环境和水文数据安全性也有了更高的要求，原有办公网络环境已经无法满足现代化水文的办公需求。

河北省水文局原有办公网络如图1所示，虚线右侧为接入互联网的办公外网，虚线左侧为防汛以及水文业务内部专用的办公内网，二者之间通过网闸进行物理隔离。每个办公室均配有内外网接口，职工需要切换网络进行办公时，需要手动拔插网线并更改IP地址实现切换。缺点：操作繁琐，长期操作容易造成物理损坏，内网IP地址随意输入可能导致冲突而无法正常使用，如果出现需要内外网同时办公的情况，只能临时增加额外计算机。

注：虚线左侧为内网，右侧为外网。

图1 河北省水文局原有网络拓扑图

1.2 建设需求

考虑到目前水文工作的办公具体需求：原有办公网络的传统桌面的生命周期尚未结束，可以继续使用，部分工作需要互联网进行数据传输或业务沟通，内外网均部署有工作需要访问的服务器，因此在现有局域网及办公网络保留的前提下，需要实现更快捷的内外网访问功能，并且尽可能的提高内网数据存储和传输的安全性。

2.传统解决方案及其缺点

2.1 传统解决方案的提出

2.1.1 添置新计算机

为每位职工添置新计算机，考虑到购置和运维成本以及使用便捷性，新计算机可以省去键盘、鼠标、显示器，改用双接口KVM切换器实现用一套键盘鼠标显示器达到内外网切换的目的。新主机和原主机分别接入内网和外网并与KVM相连，可以满足现阶段的办公需求。

2.1.2 加装物理隔离卡

为每台计算机加装物理隔离卡和一块硬盘，通过隔离卡分别接入内外网。通过隔离卡开关切换内外网，由于隔离卡自身特性，在切换内外网时，会强制请求重启并切换硬盘，实现内外网物理隔离。

2.2 传统方案的缺点

上述两种传统方案有很多缺点，其中共同的缺点如下：

2.2.1 数据安全性差

办公的重要数据都在本地计算机硬盘中保存。如果因为硬件老化故障或者被盗，而导致数据丢失，将会给单位造成巨大损失。[1]

2.2.2 管理维护繁琐

IT人员添置计算机之后，就要安装操作系统，还要为其部署相关的业务软件和杀毒软件等，并对每个用户的桌面进行备份以备恢复使用。在后续使用过程中，还会不定期发生软硬件的问题或故障，需要IT人员到现场解决或维护；同样，给每个办公机加装物理隔离卡也同样会给管理人员带来很大的工作量。

2.2.3 性能越来越差

计算机桌面因为安装很多的程序而变得越来越臃肿，应用程序之间也会出现冲突的现象，硬件也在逐步老化，与刚购买的时候相比，性能下降很多。因此，使用人的工作状态和效率将大打折扣。

2.3 两种方案又有着各自的缺点，下面进行简要说明。

2.3.1 添置新计算机方案

（1）投入成本较高。在一个传统桌面的生命周期内，计算机的投入所占的比例并不大，后续的故障配件的维修、更换、功耗方面也不容忽视。按照如下方式进行粗略计算：一台计算机功耗约200W，每天开机6小时，每月运行20天，单位约有120台，一年的功耗达到200×6×20×12×120=34560KW。在当前计算机无法应对新的工作需要或者过于陈旧时，单位只能重新购置。

（2）每个办公位增加一台计算机主机，会导致办公空间更加紧张。

2.3.2 加装物理隔离卡方案

（1）笔记本电脑无法安装隔离卡。

（2）内外网切换需要重启计算机，等待时间较长，影响工作效率。

（3）无法满足内外网同时办公的需求。

从上面分析可以看出，为了避免上述问题，需要寻求其他办法，以适应单位的需求。目前逐步兴起的桌面虚拟化技术为解决单位面临的各种问题提供了一个新的解决方案。

3.桌面虚拟化概述

桌面虚拟化属于虚拟化技术的一个分支，迄今为止，虚拟化已然成为了世界各种规模单位提高IT效率的核心技术。国外虚拟化技术比较成熟的厂商有Citrix（思杰）、VMware、微软等。[2]随着国内虚拟化市场的逐步兴起，涉足虚拟化领域的国内厂商也越来越多，如国内的华为、深信服等，虽然在技术实力上与国外厂商尚有差距，但是在性价比和易用性方面展现了更大的优势。

3.1 桌面虚拟化的定义

桌面虚拟化借用虚拟机技术将用户桌面的镜像文件存放在桌面虚拟化服务器（以下简称服务器）中。每个桌面镜像就是一个带有应用程序的操作系统，使用人通过一种虚拟显示协议来接入他们的桌面系统，接入方式可分为两种，一种是通过桌面虚拟化终端（以下简称终端）接入，另一种是通过网页浏览器直接页面接入。这样做的目的就是使用户的使用体验同他们使用桌面上的PC一样，当用户关闭系统的时候，通过服务器管理工具，可以做到用户个性化定制及用户的任何设置都将被保留。[3]

3.2 桌面虚拟化的优点

桌面虚拟化市场在国内是一个新兴发展的市场，还没有被人们更好的认识和理解，下面几个方面能够说明桌面虚拟化能够带来什么样的提升：

3.2.1 桌面更新成本方面。因为新的桌面硬件需求，每年大部分单位都会替换掉一批桌面硬件设备，由此带来更新的费用。而在桌面虚拟化环境下，使用人桌面的终端只负责跟服务器的通信和视频信号的转换，对硬件配置要求并不高，生命周期比普通计算机要长，服务器端如果因工作量增加导致负荷过高，只要扩展服务器资源即可，两个方面加起来的费用远低于传统桌面更新模式。

3.2.2 数据存储安全方面。终端不负责数据存储，使用人的所有数据全部存储在服务器硬盘当中，还可将服务器设置为镜像存储模式，数据存储安全性进一步增强，不用担心本地计算机硬盘损坏或笔记本电脑被盗导致的数据丢失问题。

3.2.3 管理便捷性方面。单位可以降低桌面管理维护的成本，传统模式下分散的复杂客户端环境在新模式下得以集中管理，资源得以最优调配，管理更加轻松简单。快速更新一台虚拟桌面模版并发布，就可以让所有客户端桌面得到更新，管理员不用每天疲于奔命于各个物理桌面之间。

3.2.4 业务连续性方面。使用人可以在任何时间、任何地点通过可行方式登录自己的办公桌面，只要不关闭桌面程序，在其他地点登录，可以继续之前未完成的操作。无论访问什么样的桌面环境，跟物理位置或设备没有关系。

3.2.5 节能方面。传统计算机功耗一般在200W以上，而终端仅为其十分之一20W，服务器端的计算压力会带来一定程度的耗电量提升，但是与传统模式相比，总体耗电量的减少显而易见。

3.3 桌面虚拟化模式

桌面虚拟化可以通过三种模式实现，分别是基于客户机模式、基于服务器模式和基于云计算模式。[4]在这三种模式中，它们的主要差别在于三种主要桌面虚拟机的使用或管理方面。若远端用户经常漫游和脱机工作，则可选用不会依靠网络连接的基于客户机虚拟模式；若用户是固定的局域网用户时，则可能选择服务器模式，本单位采用的桌面虚拟化部署模式就是该模式；若用户有适合的云计算的服务提供商的话，则云计算模式为是最佳选择模式，但该方式在国内尚未普及。

4.桌面虚拟化部署

4.1 服务器及终端所需配置及功能

本单位采用深信服虚拟化设备进行部署。首先对服务器进行选型，该服务器负责虚拟桌面实例的配置、存储及运行，需要考虑所部署的操作系统类型，CPU、内存和存储空间的使用量（显示性能由终端提供，在此不做考虑），进行合理规划。[5]

4.1.1 服务器所需配置及功能

根据目前本单位职工在内网办公的实际需求和工作量来看，内网同时在线办公用户不超过80个并发数量，考虑到以后内网扩展和办公工作量增加的可能性，可适当增加冗余，将并发数量扩展至120个。为每个用户分配CPU主频1.5GHz、内存4GB、硬盘100GB，部署Windows 7操作系统，计算服务器的配置总需求：

从CPU角度考虑，共需要主频1.5GHz×120=180GHz；

从内存角度考虑，共需要内存4GB×120=480GB；

从硬盘角度考虑，共需要硬盘100GB×120=12TB。

上述三项仅为桌面虚拟化实例运转所需配置，还要加上服务器自身运行及运行后台管理工具所需要的资源，考虑到数据存储的安全性，服务器存储方式为镜像存储模式，硬盘容量需要×2。经过大致计算，可部署5台服务器满足本单位桌面虚拟化需求，每台服务器配置如下：

CPU：2颗8核主频≥2.5GHz（2.5GHz×2×8×5=200GHz）；

内存：128GB（128GB×5=640GB）；

硬盘：6块1TB（6TB×5=30TB），一块256GB固态硬盘（用做服务器缓存，提升数据存取速度）。

与此同时，服务器需要具有如下功能：

（1）不依托于集中管理工具，直接通过WEB方式登录到集群主服务器即可管理；

（2）支持虚拟机模板技术，多用户可共享一套模板，然后用户数据保存在个人数据盘，管理员进行软件更新和维护，并自动更新到个人用户虚拟机，不会影响个人的数据；

（3）支持虚拟机之间的安全隔离，单个虚拟机的故障不会影响到其他用户的虚拟机；

（4）支持将多台服务器组成HA群集环境，以保障整个平台的高可用性，支撑持续的用户服务；

（5）支持虚拟机热迁移技术，在不中断服务的情况下，可以在不同服务器进行自动或手动迁移；

（6）支持虚拟交换机和虚拟机之间的VLAN隔离；

（7）支持利用服务器的内存或缓存卡进行重复数据IO加速，能够消除相同OS类型的桌面同时启动时的重复IO，以提升虚拟桌面启动速度；

（8）支持内存页合并技术，能够消除内存页中的重复只读数据，以节省内存使用；

（9）能保证每个用户数据的安全和个人数据隐私，具有个人磁盘加密功能，防止数据泄密。

4.1.2 终端所需配置及功能

桌面虚拟化终端应具有如下功能：

（1）支持USB、COM接口外设、移动存储、剪贴板等重定向；

（2）支持串口设备映射，支持双向语音；

（3）支持共享式桌面发布，支持独享式桌面发布，支持采用应用虚拟化的技术发布远程应用；

（4）支持远程管理，全中文配置界面；

（5）支持最大1920×1080的分辨率，支持1080P高清视频。

4.2 确定服务器和终端参数

通过对服务器和终端的功能分析，确定设备参数，详见表1。

表1 服务器和终端参数

4.3 虚拟桌面系统的网络设计

虚拟桌面系统的网络可细分为业务网络和存储网络。

业务网络：承载服务器和虚拟桌面实例到前端用户终端之间的外部业务通信。为保障本单位业务服务的网络高可用性，每台服务器提供双网卡接入内网核心交换机，通过服务器管理工具可实现端口汇聚功能，提高服务器的网络通信性能。

存储网络：承载桌面虚拟化服务器到数据存储服务器之间的后台数据的存储和读取。结合本单位内网办公的实际状况，将桌面虚拟化服务器和数据存储服务器合二为一，每台服务器加装多个高性能硬盘，并提供双网卡接入存储网络交换机，实现多台服务器之间的高速通信和硬盘资源的负载均衡。

4.4 安全性实现

虚拟桌面系统的安全机制，将从如下方面进行细化设计：

4.4.1 服务器安全

仅安装与虚拟化有关的组件和服务，减小安全受攻击面；

定期对服务器进行安全扫描，停止与虚拟化没关联的服务和组件，关闭不需要的网络端口；

需要针对存放虚拟实例的文件夹设置访问权限，以避免未经授权的访问；

定期对服务器进行系统补丁的升级；

通过管理工具将服务器存储方式设置为镜像存储模式，一份数据会同时写入两块服务器硬盘中，以保证数据存储的安全性。

4.4.2 虚拟机间的相互隔离

对虚拟桌面系统的虚拟桌面实例之间的安全隔离，将通过以下方式实现：

在服务器层面，可通过内部虚拟交换机和虚拟网络配置，实现虚拟桌面实例之间的网络安全隔离。通过虚拟桌面底层虚拟化软件的内存隔离技术，可确保虚拟桌面实例在运行过程中的内存数据安全隔离。

4.4.3 虚拟机使用权限控制

对虚拟桌面系统的管理操作角色进行统一定义，并实现基于角色的用户操作权限控制。具体可考虑按照如下的角色分配方案：

管理员权限：可以全面管理和配置服务器和终端。

虚拟桌面用户：使用和配置为其所配置的虚拟桌面。

为减轻终端管理的工作量，管理员权限可以适当下放，即由管理员将部分虚拟桌面资源的管理权限在受限条件下委托给各部门负责人。[6]

4.5 具体实施

4.5.1 服务器部署

根据以上阐述对服务器进行部署，每台服务器4个网口，其中2个网口接入存储网络交换机，2个网口接入内网核心交换机。5台服务器采用相同部署模式，同时在内网接入服务器控制台，用于对服务器群进行配置管理维护。通过对服务器群的配置，将服务器群虚拟为一个整体。

4.5.2 终端部署

为每位职工购置KVM和终端，终端和原有主机分别接入内网和外网，并与KVM相连，如图2所示。通过KVM实现内外网的切换，如图5所示。使用内网时，终端通过网络调取服务器为自己分配的资源，在使用过程中，从使用人角度来看与普通PC毫无区别。

图2 终端部署示意图

5.总结与展望

综上所述，随着硬件的快速更新换代、应用软件的增加和分布、工作环境的分散，管理和维护终端设备的工作变得越来越困难，与原有的传统分布式PC桌面部署相比，采用桌面虚拟化的部署模式可为单位减少硬件与软件的采购开销，并降低单位的内部管理成本与风险。[7]通过部署桌面虚拟化，河北省水文局极大提高了办公效率，也减轻了IT管理员的工作负担，同时降低了购买和维护的成本，达到了节能减排的目的。

目前，在单位的外网中仍然使用传统桌面方式进行办公，考虑到已经购置的计算机尚处于生命周期内，等到传统桌面方式生命周期结束后，可以考虑用桌面虚拟化方式重新部署办公外网，让单位的办公网络更加高效节能的运转。

[1]谢峰.数字化校园—桌面虚拟化系统的设计与实现[D].华南理工大学,2012.

[2]白伟.浅谈桌面虚拟化技术发展与应用现状[EB∕OL].http:∕∕www.xzbu.com∕4∕view-5433232.htm,2014-05-21.

[3]潘松柏,张云勇,陈清金,贾宝军.桌面虚拟化研究及应用[J].电信网技术,2011,05:5-8.

[4]中国论文网.桌面虚拟化技术研究[EB∕OL].http:∕www.xzbu. com∕9∕view-5970759.htm,2014-07-18.

[5]徐燕雯.基于KVM的桌面虚拟化架构设计与实现[D].上海交通大学,2012.

[6]李颖.基于VDI技术的虚拟桌面的设计及实现[D].上海交通大学,2014.

[7]马锡坤,于京杰,吴艳君,刘方斌.桌面虚拟化技术及其解决方案探讨[J].中国医疗设备,2013,07:86-87.