桌面云技术在桂林电信的研究与应用

阳熙

（桂林电子科技大学计算机与信息安全学院，广西桂林541004）

桌面云技术在桂林电信的研究与应用

阳熙

（桂林电子科技大学计算机与信息安全学院，广西桂林541004）

如何提高企业的生产运营效率，降低运营风险，降低经营成本，从而增加企业获利和持续经营的能力是目前企业最关心的问题。文章对桂林电信信息化建设过程中存在的问题进行剖析，以桂林电信搭建桌面云平台进行信息化改造为切入点，通过需求调研、组网结构、应用场景对桌面云平台在本地的个性化部署过程进行详细阐述，解决了在这过程中带来的问题，展示了为桂林电信带来的价值。

桌面云；电信；信息安全

随着目前虚拟化技术的飞速进展，当今信息建设的关注点已由原来的传统PC转向到桌面云。根据美国CSI/FBI的调查显示，80%的安全威胁来自企业内部，60%的离职者或被辞退者在离开时会携带企业数据，因此如何解决内部泄密已经成为企业面临的头号安全问题。故具有简化运维管理工作、保障办公数据安全、实现办公移动化、打造绿色办公环境等优点的桌面云技术的出现，弥补了传统PC办公存在的缺陷，对于企业的信息管理、安全建设的帮助不可忽视。

一、桌面云技术

桌面云是指利用虚拟化技术实现基础设施、桌面、应用等资源的共享，并对其进行集中部署和管理，在数据中心统一托管以服务方式交付桌面的云系统。基于桌面云平台，能实现通过任何设备，在任何地点，任何时间访问网络上的个人桌面系统。实际上是PC计算环境的松耦合化，通过共享实现集中管理和低成本。［1］

桌面云将传统的分布式桌面虚拟化到云端服务器，通过瘦终端进行访问。台式PC、笔记本、智能手机、PAD等设备也能作为接入终端使用。因此桌面云比传统PC桌面具有以下优势：（一）桌面云更易于管理操作系统、应用程序；（二）减少传统PC桌面在空闲时的能源消耗；（三）移动用户可随时随地访问位于云端的应用程序及数据；（四）由于数据存放于云端，因此用户数据的安全性得以提升。［2］

桌面云的实现方式主要有VDI（Virtual Desktop Infrastructure虚拟桌面架构）和SBC（Server-Based Computer基于服务器的计算机）两种。

VDI有VDI 1：1、VDI 1：N两种方案。VDI 1：1，一个虚拟机对应一个用户。用户可以安装自己的应用程序，保存自己的数据，是最接近个人PC的一种模式，广泛适用于各种场景，尤其是办公场景。VDI 1：N，每个用户都有自己的虚拟机，共享同一个镜像，不能安装自己的程序，但是可以保存自己的数据，即用户每次开机都是读取一个公共镜像，利于木马病毒的预防，适用于营业厅等公共场所。

SBC基于RDP（Remote Desktop Protocol远程桌面协议），SBC提供会话桌面及会话应用。SBC会话桌面可以发布给多个用户同时访问。用户不能安装自己的程序，但是自己的数据可以保存。SBC会话应用，可以将在应用服务器中安装的应用发布给多个用户同时访问。用户看到的只有一个应用，不可安装自己的应用，用户数据可以保存。以上均适用于运维场景。

目前已有一些科研人员开展了桌面云技术与电信行业相结合的研究，比如胡俊豪研究了桌面云及虚拟化技术在电信行业的应用展望，［3］龚德志研究了云桌面在上海电信应用的可行性及带来的价值，［4］史奇则具体论述了桌面云技术在深圳电信IDC呼叫中心场景的应用实践，［5］高时超对上海电信NOC中心的云计算环境建设规划进行了阐述。［6］这些研究对桌面云技术应用在电信行业的可行性进行了探索，但是，对桌面云在广西本地化部署的实践、桂林电信的特殊场景的应用（如培训教室）及出现问题的解决办法却没有提及，对于西部地区的研究还很少。因此，探讨桌面云技术在桂林电信中的实际应用问题具有重要的现实意义，对各个分公司部署桌面云平台起到指导作用。

二、桂林电信在信息化过程中存在的问题

目前桂林电信企业信息管理面临着运维任务重、电脑及外设设备管理难的问题，尤其对县级分公司、区域分公司的设备管控更是存在盲区。

（一）运维任务重

目前桂林电信企业内部系统繁多，有办公OA、客户关系维护系统、财务系统、工程建设管理系统、综合运营系统、资源查询录入系统和华为烽火网管系统等多个办公运维系统。由于有些办公系统开发较早，渐渐已经不适应目前的win7甚至是win10操作系统，每次操作系统的更新都会出现不少系统兼容问题，造成办公系统使用异常的情况，这需要系统管理员到现场进行故障排查，或协调工程师对系统进行软件升级打补丁。因此办公系统的维护任务日益加重，提高了企业人工成本。

（二）电脑及外设设备管理难

目前桂林电信本地网整体业务规模为：业务终端约1900台，其中市区内终端约为1000台，县分公司终端约为900台。电脑均采用X86架构的个人PC机，操作系统有Windows7、Windows XP、Linux、Unix等。企业内部的计算机维护部门不仅有大量的电脑需要进行杀毒、打补丁、安装办公应用程序、安装外设驱动、排查办公网故障等维护操作，而且个人电脑的碎片化使管理部门在管控企业办公电脑的信息安全费时费力，特别是电脑外设设备、电脑内部应用程序（QQ、微信、邮件等）的管理缺失，使企业的信息安全埋下了隐患。而县分公司及区域分公司的办公电脑信息安全则完全交由当地部门自行维护，上述的管理方式对于企业的安全建设造成了更大的威胁。

三、桌面云在桂林电信的探索与应用

针对目前桂林电信信息化建设过程中存在的运维任务重、电脑及外设设备管理难等问题，桂林电信搭建桌面云平台进行信息化改造，实现计算资源、存储资源及网络资源整合及动态调度，建设一个统一管理的共享基础资源系统，以体现桌面云虚拟化的价值。

（一）需求调研

桂林电信桌面云建设将需求简化为4个层次：终端接入层、接入网络传输层、桌面管理层、资源池层。（如图1）

图1　桂林电信桌面云架构

1.终端接入层

终端接入层可以是瘦终端、台式机和智能手机。目前采用基于arm架构的瘦终端替换大部分x86电脑。arm瘦终端是一种小体积、低功耗的接入终端设备，具备输入输出接口及网络通讯能力，安装嵌入式操作系统，通过加密协议与服务器端进行通信。所有接入终端均采用全虚拟化技术实现外设映射。对于无法应用瘦终端的场景，则采用VPN方式接入。

2.接入网络层

通过部署安全网关设备，并对主要网络设备进行主备负载均衡，冗余链路主备，实现用户的安全接入以及桌面云资源提供服务的负载均衡。

3.桌面管理层

桌面会话管理软件层，负责整个虚拟桌面系统的调度，对用户进行身份认证及资源池中虚拟桌面的授权，提供统一的登陆界面及与资源池层的通信。

4.资源池层

资源池层将基础硬件资源云化，负责计算资源池、存储资源池、网络资源池的统一调度管理，实现资源的按需分配、动态调度，整合碎片化硬件资源，建立统一的共享资源池。

（二）组网结构

本次建设的桌面云项目覆盖桂林电信本地网业务部门及部分办公部门，按照平稳过渡、高效稳定、安全防护的原则。以下列方法组网（如图2）：

图2　桂林电信桌面云组网拓扑

1.核心交换机选用中兴5252交换机，采用主备双冗余方式部署，预留冗余链路，应用二层链路冗余技术STP（Spanning Tree Protocol生成树协议）与业务管理中心设备互联，实现多条链路之间的备份，保证了访问企业内业务系统的可靠性。

2.虚拟机子网划小，细分地址段。将不同的虚拟机划分至不同的网段，使用交换机以及云服务器内部的acl规则，限制不同子网对业务系统的访问权限，从基础网络方面提升安全防护。

3.设备间互联线路采用链路聚合技术如静态Trunk、动态LACP（Link Aggregation Control Protocol链路聚合控制协议），将多个链路捆绑为一个逻辑链路，逻辑链路带宽为多个物理链路带宽的总和。链路聚合提高了网络的可靠性，多个链路互为备份，当链路聚合中一条链路出现故障，流量会自动在其他链路重新分配。本次组网在桌面云区域的中兴5252与业务管理中心的S9306之间应用链路聚合技术，保证电信内部业务系统的稳定。

4.接入防火墙使用VRRP（Virtual Router Redundancy Protocol虚拟路由冗余协议）实现网关级冗余以及业务分离，分担了设备负载和网络流量，保证外部用户通过VPN接入企业网络的可靠连接。

5.SAN（Storage Area Network存储区域网络）与桌面管理层设备通过光纤连接，部署负载均衡器及预留冗余链路，确保数据稳定、高效传输。SAN支持磁盘镜像技术（disk mirroring）、备份与恢复（backup and restore）、档案数据的存档和检索、存储设备间的数据迁移以及网络中不同服务器间的数据共享等功能。

6.在接入网络层部署防火墙。防火墙终结外部用户的接入请求，对IPSEC、L2TP等VPN隧道请求进行认证授权，确保接入网络是安全可信的。

（三）应用场景及解决方案

经过前期的调研分析，在以下场景使用桌面云可以体现虚拟化的价值。

1.营业厅

桂林电信营业厅分为自主营业厅与合作营业厅两种。自主营业厅营业员通过浏览器访问电信内部的CRM客户关系管理系统，并且需要操作终端支持以下外设：USB打印、USB存储、USB key数字证书、USB接口的IC卡读卡器、USB接口的SIM卡写卡器、串口打印机、USB键盘鼠标、USB摄像头、指纹识别仪。合作营业厅的业务访问方式与自主营业厅基本一致，采用ADSL/MPLSVPN方式接入电信内部业务承载网络。

桂林电信营业厅点位比较分散，人流大多集中在自主营业厅，PC故障率高，硬件、应用程序维护工作量大，每次维护大概需2小时左右。营业厅业务场景相对单一。

针对上述问题，桂林电信选用中兴CT620云盒子进行营业厅终端改造，替换营业厅传统PC。该设备为一种ARM架构的瘦终端，本身自带4个USB接口、1个串口、1个并口，对外设具有最好的兼容性，能满足业务的平稳过渡。营业厅原有的旧显示器作为桌面云的输出设备，部分低端电脑也可以作为桌面云终端继续使用。桌面云在营业厅场景采用VDI1：N的方案进行实施。

改造本次营业厅后，解决了以下几个问题：

第一，减少PC系统的维护量、故障系统的处理时长。所有操作系统均在局端服务器，管理系统后台定时备份。当云终端出现问题后，桌面云管理员可通过后台管理界面对云终端镜像进行灾备恢复。

第二，有效管控USB设备。系统管理员可通过后台管理界面对USB的虚拟化进行授权，有效管控未知USB设备接入电信业务网，助力企业信息安全。

第三，快速软件安装部署。桌面云管理员可在后台对云终端批量安装软件、打补丁，降低运维成本。

第四，减少营业厅设备的能源消耗。瘦终端是arm架构的设备，功率为60w，相比传统X86架构的PC，实现了最大化的节能减排。

2.办公区

桂林电信办公区员工需要使用电脑进行一些日常的办公操作，如处理文档、收发邮件等，每月员工需使用电脑访问集团内部的在线学习网站进行培训，在家或出差员工办公需向管理员申请VPN接入企业内部网络。办公区员工工作持续性长，要求系统稳定。办公区终端处于防火墙内部，属于内部可信网络，使用电信内部IT系统进行大部分公文流转及业务办理。

针对上述问题，桂林电信选用中兴CT321设备进行终端改造。该设备为瘦终端，相比营业厅使用的瘦终端功能较强，可满足员工的办公及多媒体需求。原有部分低端PC采用安装桌面云客户端方式改造。桌面云在办公区场景采用VDI 1：1的方案进行部署。

通过本次办公区采用桌面云虚拟化，实现了以下价值：

第一，弹性分配计算资源、存储资源。所有的云终端来自于物理设备的虚拟化，在单台PC上不存在瓶颈，对于一些电脑性能要求高的部门，可以弹性分配资源，使资源最大化利用。

第二，提高系统稳定性。所有的云终端均运行于局端的云服务器，不仅可以有效避免由于设备断电、硬盘损坏等情况造成的资料丢失情况，而且可以通过定期对存储单元进行备份，保证数据的完整性。

第三，提高企业信息安全。管理员可以对USB设备接入进行管控，只对特定的云终端USB存储设备虚拟化。桌面云支持用户权限划分，只对特定用户开放保密等级更高的文件。

第四，有效利用内部网络资源。通过对RAP协议的网页视频解码进行压缩优化，降低了在线视频等大流量数据并发对企业内部网络的冲击，节约了50%码率，提升了云终端的并发量，使员工流畅播放1080P的在线视频。桌面云管理员可监控每一个虚拟机的网络情况，及时发现出现网络异常的主机。

第五，弹性登陆，异地办公。桌面云提供瘦终端、手机、平板等多种虚拟方式。外出出差员工可以通过SSL、IPSEC方式访问桌面云的单点登录认证页面，继续访问原有云虚拟机进行办公。

3.培训室

目前桂林电信培训室处于桂林电信本部，有41台传统PC机，分别为一台教师机与40台学生机。由于平时有不同的部门会申请培训室进行业务培训，存在u盘管理不善、电脑容易中木马的现象，而且需要接入企业内网来访问业务系统，因此存在较大的安全隐患。

针对上述问题，桌面云改造将教师机和学生机均更换为瘦终端。教师机采用性能较强的CT340，学生机采用CT320。培训室原有显示器及其他外设利旧，不做更换。桌面云在培训室场景采用VDI 1：1的方案进行部署。

通过本次培训室采用桌面云虚拟化，存在以下价值：

第一，采用UDP组播方式，对网络压力小。培训室要求教师机画面能同步传输至学生机上，因此选用无连接的UDP组播方式，提高传输效率。

第二，教师虚拟化桌面直接到学生终端，无需数据包中转。由于企业内部网络环境复杂，从云服务器到瘦终端之间至少经历了4个网络设备，如果组播报文从教师用终端发至服务器，然后再由服务器转发至其他学生终端，会出现组播风暴，对企业内网络存在较大的冲击，因此组播报文存在被丢弃的情况。针对以上情况，本次改造对瘦终端系统及云服务器进行优化，局域网教学采用组播下沉技术，将组播报文通过教师用瘦终端直接转发到局域网内学生瘦终端，解决了组播丢弃的问题。

第三，学生机采用瘦客户端，无法进行其他操作。由于虚拟机存放在云端，便于管控，有效地避免了学生接入U盘或其他不安全的操作对企业信息安全带来的隐患。

第四，桌面云用户与终端的MAC地址进行绑定，防止用户随便更换座位。这样防止在培训过程出现利用他人登陆云终端代考的情况。

4.其他商业用户

目前桂林电信为其他企业用户提供桌面云的商业化解决方案。桂林电信通过对原有桌面云进行权限细化、区域划分，建立起桌面云应用远程交付能力，为小微企业快速部署桌面云服务。桂林电信通过在核心交换机建立MPLSVPN通道，建立与小微企业等商业用户之间的安全通道，保证网络稳定、数据安全。

四、结语

近年来，在虚拟化技术的飞速发展下，企业领导的重视下，桂林电信的信息化建设日趋完善。桂林电信在企业内部大力推动终端虚拟化，不仅为广西电信其他分公司起到示范典型的作用，而且使企业的办公效率显著提高，建立了标准化的运维体系，提升企业内部的信息安全水平，响应了中央节能减排的号召，为企业的健康稳定发展提供了强有力的后盾。

［1］中国联通公司.中国联通公司企业标准：QB/CU045-2012［S/ OL］.［2012-01-06］.http：//www.doc88.com/p-6746102011999. html.

［2］A.Berryman，P.Calyam，A.Lai，M.Honigford.VD Bench：A Benchmarking Toolkit for Thin-client based Virtual desktop Environments［C］.Proc.of IEEE CloudCom，2010.

［3］胡俊豪.云桌面技术及其在电信行业的应用［J］.信息与电脑（理论版），2011（8）：137-138。

［4］龚德志，石屹嵘.云桌面技术在上海电信的应用模式与研究［C］//中国通信学会.信息通信网络技术委员会年会论文集：2013年卷.北京：人民邮电出版社，2013：435-438.

［5］史奇，李源，何洪，吴小钢.基于中国电信IDC的呼叫中心云桌面服务模式研究［J］.云技术与应用，2013（S2）：77-80.

［6］高时超.上海电信NOC统一资源池和云桌面的规划与建设［D］.上海：上海交通大学，2012.

Study and Application of Desktop Cloud Technology to Guilin Telecom

Yang Xi
（School of Computer Science and Information Security，Guilin University of Electronic Technology，Guilin，Guangxi 541000，China）

The most concerned issue of today's enterprises is their capacity for profit and sustainable management，and their development through improvement in productivity，reduction of operation risks and costs.From the information reconstruction through desktop cloud platform established by Guilin Telecom，and the explanation of desktop cloud platform establishment with local individuation through demand research，network structure and application scenarios，this paper makes an analysis of the problems in the present informatization construction of Guilin Telecom，brings forward corresponding solutions，and presents the value of Desktop Cloud for Guilin Telecom

desktop cloud；Telecom；information security

F626

A

1001-7070（2016）04-0118－05

（责任编辑:杨建香）

2016-04-20

阳熙（1988-），男，广西桂林人，桂林电子科技大学硕士研究生，主要从事云计算、信息安全工作。