运用云桌面技术提高网络维护能力的方案探讨

赵晴+秦长征

【摘 要】为了提高电信运营商网络维护支撑能力，提升网络维护管理水平，运用云桌面技术与VPN接入安全认证技术，探讨电信运营商云桌面系统建设方案。山东联通建设实践表明，通过部署云桌面系统，网络维护人员借助任一台终端可以随时随地监控网络运行情况、处理网络故障，网络维护能力得到切实提高。

【关键词】虚拟桌面 网络维护 VPN接入

Discussion on Solution to the Network Maintenance Capability Enhancement Based on the Cloud Desktop Technique

[Abstract] In order to enhance the maintenance support capability of telecommunication operators networks and improve the network maintenance management， the cloud desktop and VPN access security certificate techniques were used to discuss the solution to the cloud desktop system construction for telecommunication operators. The construction practice of Shandong Unicom shows that network maintenance personnel can monitor the network operation and deal with the network fault by means of a terminal based on the cloud desktop system. The network maintenance capability is really enhanced.

[Key words]virtual desktop network maintenance VPN access

1引言

網络维护是电信运营商生命力的根本，如何提高网络维护质量、保障网路的平稳运行一直是运营商在重点探讨、希望不断提升的课题。目前电信运营商正在积极实践集约化维护管理体系，借助集中化的支撑系统实现对网络的实时监控与故障派单。这种方式相较于传统的专业网管监控模式应用效果显著，不仅能整合大量的人力物力资源，节约了企业成本，而且还规范了告警与故障处理流程，提升了网络监控与故障处理效率。

尽管集约化维护管理体系在网络监控方面效果显著，但要处理网络故障、完成数据制作，还必须借助专业网管监控终端。目前，在电信运营商监控机房中保留了大量的监控终端，覆盖各个专业、各个厂家、各种网络形式，存在监控终端维护工作量大、访问受网络与终端限制的问题。为了克服这些弊端，借助云桌面虚拟技术，将专业网管客户端程序统一部署在云端，维护人员只需要一个客户端设备，通过浏览器或者专用程序，就可以访问驻留在云端的客户端程序，这个系统被称为云桌面系统。

2 云桌面

2.1 桌面虚拟化技术原理

从技术层面讲，云桌面运用了桌面虚拟化技术[1]。桌面虚拟化技术是一种将用户桌面与实际终端设备相分离的应用模式，将原本运行在用户终端上的桌面和应用程序托管到服务器端，并由终端通过网络远程访问，用户终端本身仅实现输入输出与界面显示功能。用户终端和后台数据中心连通采用远程访问和调用的方式[2]。

通常，由服务器、桌面虚拟化软件、用户终端、存储和网络资源组成的系统统称为桌面虚拟化系统。

由于桌面虚拟化不需要在用户侧处理复杂的计算任务，因此对用户终端的要求较低。为了利用现有机房PC资源以节约成本，接入终端可以利旧。

2.2 桌面虚拟化应用原理

在虚拟桌面系统构架中，用户在终端设备上安装虚拟桌面客户端访问插件，然后可通过Web浏览器或者客户端方式访问接入服务器，接入服务器将用户的身份信息提供给桌面管理服务器，桌面管理服务器通过认证服务器对用户身份进行验证，验证成功后在数据库服务器上找出具有该用户访问权限的虚拟桌面，然后接入服务器将这些虚拟桌面在Web页面或客户端界面上展现给用户供其进行选择，最后将用户选择的桌面通过连接协议直接返回给用户[3]。

3 建设方案

云桌面系统建设内容主要包含硬件资源部署、虚拟软件部署、网络环境调测、VPN（Virtual Private Network，

虚拟专用网络）接入安全认证技术部署四个方面。

山东联通云桌面系统于2015年5月上线运行，下面以山东联通项目实施过程为例，探讨云桌面系统建设方案与实施效果。

3.1 硬件资源部署

硬件资源部署主要包含服务器和存储资源部署。服务器建议采用刀片服务器，相较于传统的机架式服务器，“刀片+虚拟化”的部署可以更灵活地利用服务器资源，实现更方便及统一的管理，并且能降低服务器对电力、温控、空间方面的需求[4]。目前，主流的刀片服务器是华为E9000系列。华为E9000服务器深度融合了计算、存储、网络和管理模块，定位于企业私有云等IT应用场景。服务器建议采用八核甚至更多核心的CPU配置，从整体战略角度上看可提供高效的性能[5]。存储建议采用磁盘阵列，以便保证云桌面系统的数据安全性及数据存取速度。常用的磁盘阵列模式是RAID10和RAID5，两种模式都具有容错性、冗余性及较好的读性能[6]。为了提高容量可用率，建议采用RAID5模式。

山东联通云桌面系统建设规模为250个虚拟桌面，单个虚拟机配置2vCPU、3 GB内存、50 GB硬盘容量。

华为E9000采用Intel Xeon Processor E5-4640（8core，2.40 GHz）型号CPU，256 GB内存。

服务器数量测算

1）单个虚拟机的CPU利用率一般为60%～80%[7]，这里按照最高值80%来计算；

2）云桌面用户并发量不高于70%；

3）单台E9000配置4路，32核，64个逻辑处理器；

4）内存使用率不超过物理主机的70%。

实际CPU内核需求=（250×2vCPU）×80%×70%

=280vCPU

实际4路8核服务器需求=280vCPU/64逻辑处理器（单台）=4.38≈5（台）

单台主机的内存大小=（250×3 GB）/70%/5台=214 GB，考虑集群内允许1台宕机冗余，建议单台配置256 GB，恰好与E9000实际配置吻合。

存储容量测算

1）Raid5模式的存储有效容量为裸容量的75%左右；

2）总磁盘容量不宜超过80%，避免频繁告警。

虚拟化后的存储容量=250×50 GB=12.5 TB

磁盘裸容量需求为=12.5 TB/80%/75%≈20 TB

另外，为了提升存储性能，要求单盘为不大于600 GB的SAS磁盘，存储CACHE不小于32 GB。

综上所述，山东联通云桌面系统共部署5台华为E9000刀片服务器，20 TB存储容量。采用5台服务器部署桌面虚拟化组件，搭建服务器集群平台，建立高效的资源池，实现对资源的动态分配与调整。

3.2 虚拟软件部署

目前典型的虚拟化产品包括VMware vSphere、Citrix Xen Server、Microsoft Hyper-V与Linux KVM[8]。山东联通云桌面系统采用业界领先的VMware vSphere。VMware vSphere是VMware公司推出的一套服务器虚拟化平台，主要包括VMware ESXi、VMware vCenter Server、View Connection Server、View Composer等核心组件。

VMware ESXi Server是一款可以独立安装和运行在裸机上的企业级虚拟机管理系统。在ESXi Server上可以创建多台虚拟机系统，每台虚拟机系统拥有自己的虚拟内存、虚拟CPU及其它虚拟资源，相互之间无任何影响[8]。

VMware vCenter Server用于管理VMware vSphere环境，允许IT管理员简化和自动化控制虚拟环境，使其能够充满信心地交付基础架构[8-9]。通过vCenter Server的界面可以进行多项管理与配置操作，如管理物理刀片服务器、创建虚拟机、创建高可用集群保护策略，监控各类资源使用情况等。View Connection Server用于负责虚拟桌面的连接分配。View Composer用于负责虚拟桌面的批量生成和虚拟桌面的模板管理。

山东联通云桌面系统5台刀片服务器分别部署安装ESXi组件，使每台服务器具备建立虚拟化资源池的基础。之后，创建多个虚拟机分别部署AD预控/DHCP、vCenter-DB、vCenter Server组件，实现对账号的创建、桌面IP地址的分配、虚拟机的创建、集群保护等功能。创建虚拟机部署Win2008操作系统，基于Win2008操作系统分别部署Composer、Connetion Server等桌面系统组件，进行虚拟机安装、联调，并利用桌面模块快速创建、分配虚拟桌面。

在创建好的虚拟桌面上安装专业网管客户端程序，包括移动核心网、IMS、传输、IP承载网、无线等，实现对专业网管客户端程序的集中管理。用户在终端设备上通过Web浏览器或者客户端方式，实现对相关虚拟桌面的鉴权访问。

3.3 网络接入调测

电信运营商各专业网管服务器主要部署在公司办公网和专业私网中。网络环境不同，与云桌面系统网络互通的方式也会不同。山东联通云桌面系统部署在企业私有云平台中。

山东联通私有云平台采用一对S9306交换机作为汇聚核心交换机，承担到DCN办公网接口的路由。S9306旁挂一对防火墙作为整个资源池的安全隔离并对外提供NAT地址。

山东联通云桌面系统虚拟机的管理和业务地址均使用现有云平台私网网段地址，此种方式要求云桌面网管客户端软件访问DCN服务端都必须做NAT，且DCN网络监控终端连接云桌面时也须使用NAT以后的DCN地址。具体方案如下：

（1）DCN网管服务端接入

防火墙对云桌面管理及业务地址配置静态NAT，使用静态路由指向DCN网络。

（2）私网网管服务端接入

目前现有云平台至各私网服务端网络并无连接，新加一台接入汇聚交换机H3C7603及一台防火墻H3C F1000-E，从各私网服务端网络的网关交换机上增加专线至汇聚交换机H3C 7603，H3C 7603透传各互联VLAN至H3C F1000，并透传云平台互联VLAN至核心交换机华为S9306，华为S9306透传互联VLAN至云平台防火墙。

各专业虚拟机网关部署在云平台两台核心防火墙上，访问专业服务器时，通过路由方式指向H3C F1000防火墙，H3C F1000防火墙进行NAT后，将云平台私网地址映射为各专业提供的互联IP地址，实现与服务器的互联互通。

3.4 VPN接入安全认证技术

云桌面系统的访问环境是公司办公网。当维护人员出差或在家时，由于不在办公网环境而无法登录专业网管进行紧急故障处理。为了解决这个不足，山东联通云桌面系统扩展部署了SSL（Secure Sockets Layer，安全套接层）VPN接入功能，可实现公网环境对虚拟机业务应用的实时访问，进而实现对网络故障的实时处理。

SSL VPN接入功能同步部署短信认证与行为审计模块。短信认证模块用来加强对用户身份的合法性验证，确保用户的合法接入；行为审计模块用来实现用户办公网网页操作记录、用户电子邮件行为记录以及FTP上传下载的行为审计[10]，为日后取证提供依据。

用户在Portal页面中输入用户名和密码，SSL VPN网关将收到的用户名、密码发送到账号管理iMC（intelligent Management Center，智能管理中心）服务器进行第一次验证，验证成功后发送短信验证码至用户手机，用户在Portal页面输入验证码，二次校验成功后为用户分配办公网IP地址实现DCN业务访问。接入用户访问流量经过DCN接入交换机后将上网行为镜像到ACG1000-M中进行审计；ACG1000-M按照设置好的审计策略将相关日志信息发送到ACG服务器进行保存；ACG服务器与iMC服务建立联动策略，实现用户行为与用户账号信息的关联、保存。

4 部署效果

（1）实现移动办公，提升网络维护效率

打破现有专业网管访问受网络与监控终端限制的局限性，实现维护人员无论是在家还是在外出差，只要有网络，借助一台PC终端均可以实现对虚拟桌面的访问，满足了对网络运行情况的实时监控与故障处理需求。根据统计，70%以上的故障通过专业网管远程操作可快速解决，网络维护效率得到切实提高。

（2）提升桌面集中管理能力与业务应用持续性

专业网管客户端程序由原来部署在分散的PC终端上，改为集中部署在云端服务器，减少了大量的PC终端维护工作量，且避免了由于PC终端升级、故障等带来的业务应用被迫中断的问题，提高了业务应用的持续性。

（3）提高硬件使用率与硬件性能实时监控能力

通过部署虚拟化软件，建立高效的服务器资源池，实现对CPU、内存、存储等资源的动态分配，不仅提高了硬件使用率，还提高了业务应用部署的灵活性。另外，山东联通云桌面系统部署在私有云平台中，有云平台专业人员与监控软件对云桌面硬件资源进行实时监控，有利于及时的故障预警与排障。

（4）有效节约资金投入

部署云桌面系统可减少对机房监控终端的使用。原来每一套专业网管程序分别部署在不同的终端上，数量近百台。进行云桌面系统部署后，仅使用几台终端，借助账号密码控制，即可实现对全专业客户端网管的便捷访问。以单台终端功耗200 W计算，每年仅终端一项，可节约电费近11万余元，如果加上因机房散热减少空调所节省的电力消耗，节约的电费更多。

5 结束语

云计算时代的到来为电信运营商带来了新的切入点以提高网络维护能力。山东联通云桌面系统通过虚拟桌面技术与VPN接入技术部署，提供了灵活便捷的网络维护支撑手段，应用实践证明，维护人员无论是在家还是外出，借助任何一台PC，都可以随时随地登录专业网管进行故障处理，大大了提高了网络维护能力。下一步，山东联通将积极探索手机终端虚拟化软件与VPN接入技术的部署与应用，实现从手机终端直接访问云桌面系统，进一步提升网络实时维护能力。

参考文献：

[1] 孔智鹏. 虚拟云桌面云接入关键系统的设计与实现[D]. 广州： 中山大学， 2013.

[2] 张鹏. 桌面虚拟化系统集中部署方案研究[J]. 信息通信， 2013（9）： 217-218.

[3] 金钰，朱华. 基于云计算的星级酒店信息化建设的探索和思考[J]. 移动通信， 2015，39（17）： 72-77.

[4] 孙红恩，常海防，唐旭东，等. 电信运营商桌面云建设方案探讨[J]. 互联网天地， 2013（9）： 33-37.

[5] 杨欢. 云数据中心构建实战：核心技术、运维管理、安全与高可用[M]. 北京： 机械工业出版社， 2014： 4-5.

[6] 张东. 大话存儲II——存储系统架构与底层原理极限剖析[M]. 北京： 清华大学出版社， 2011： 75-77， 119-120.

[7] 叶水勇，孙晓燕. 利用虚拟化技术对服务器和应用系统进行整合[J]. ELECTRIC POWER IT， 2009（7）： 32-35.

[8] 张魁. 基于VMWARE VSPHERE的虚拟机管理平台设计与实现[D]. 苏州： 苏州大学， 2013： 13-16.

[9] 孙宝华. 基于VMware技术的虚拟服务器技术构建与分析[D]. 长春： 吉林大学， 2010.

[10] 伍建国. 计算机网络系统在深圳大运中心的应用[J]. 智能建筑电气技术， 2014（3）： 74.