李远胜+蔡翔宇
摘 要: 云终端相比较传统的PC,具有运维高效、避免非法外联、用户行为取证方便、数据安全保障高以及绿色节能环保等优势。其中,在桌面安全管理方面的优势尤为突出。做为省公司云终端系统试点单位,信阳公司在云终端项目实施的过程中,将云终端分布在多个单位,涵盖各种工作场景,收集测试云终端在不同场所中出现不同问题进行修改优化。通过持续改进,云终端的使用日益趋于实用化。
关键词: 云终端;优势;项目实施;优化修改;实用化
云终端系统利用显示器和云接入端设备,采用“集中计算,分布显示”的架构,通过虚拟化技术,由网络接入云服务端提供的远程桌面,在服务器在进行集中处理,将所有PC的运算合为一体。员工采用云终端设备,仅负责输入输出与界面显示,不参与任何计算和应用。系统管理员通过桌面远程运维管理系统提供远程协助、即时通讯、文件传输、运维审计等基本功能,实现终端远程运维.利用云终端系统,可以加强计算机使用的保密安全性,防范计算机使用时在身份认证、数据备份、信息销毁、设备携带以及安全审计、保密安全等方面的安全问题,有效为桌面标准运维服务提供支撑。
1 背景
随着SG186工程的建成投运和SG-ERP建设的启动,生产、经营和管理业务活动对信息系统愈加依赖,信阳供电公司办公终端的规模随之不断扩大,现有内网办公终端已达2000多台,在终端管理、运维成本、能耗以及信息安全等方面的问题明显增多,仅终端的安全管理,就涉及到内外网物理隔离、准入系统认证、桌面管理系统注册、防病毒软件的安装和版本更新、补丁安装和版本更新、涉密信息检查、以及终端弱口令等多个方面的具体管理。如何在满足员工各项业务系统正常应用的同时,还要在故障发生时保障公司业务数据的安全,降低和规避日常运营的风险.同时提升桌面终端计算机运维效率,使运维工作远程化、集中化,同时提高对终端的管控手段,是信息化工作面临的一个重要问题。虚拟化应用技术的出现,为解决这些问题提供了一套切实可行的解决方案。
2 架构设计
随着云计算技术的不断发展,基于虚拟化技术的云终端系统已经逐步发展日趋成熟,开发建设之初,决定采用”集中计算,分布显示”的架构,通过虚拟化技术,将所有办公PC的运算合为一体,在服务器端进行集中处理。
云终端系统采用”集中处理,分布显示”的架构,通过虚拟化技术,由网络接入云服务端提供的远程桌面,在服务器端进行集中处理,将所有PC的运算合为一体。用户采用云终端设备,仅负责输入输出与界面显示,不参与任何计算和应用。
3 试点实施
为有效测试云终端在不同环境的运作状况,信阳供电公司将200台云终端的试点分布在六类单位,分别涵盖了办公、营业所、变电站、城区单位、县公司等各种工作场景,收集云终端在不同场所中出现的各类问题,逐一进行测试、修改优化和验证。经过半年多的使用和不断优化,云终端的使用日臻成熟。
实施初期,用户普遍反映在压缩和解压文件时,目录浏览和文件传输速度很慢,即使在网络条件很好,速度也只有200kb/s左右。这明显不能满足用户的需要。而云终端服务器和客户端的配置都不算低。因此,必须在加强系统稳定性和可靠性的基础上,对客户端及平台进行优化,提高云硬盘性能,使数据的传输速度达到实用化的水平。
通过分析统计系统的后台日志发现,用户在操作云硬盘时,会进行频繁的目录切换和文件浏览,而每次切换都会向服务端发现list请求,一些文件浏览还会向后台发起Download请求。用户即使没有实际操作,也会对系统产生很大的访问量,从而降低用户浏览速度;用户登录后一旦访问过某目录,客户端就将这些目录和文件的信息缓存起来,包括子目录的名称、标识、访问权限、文件的名称、标识、大小、访问权限、文件类型等。
云硬盘的读写接口也就是上传下载接口,原来的文件操作是顺序读取和写入,在网络带宽充足的情况下无法充分利用网络带宽。而信阳公司的网络带宽至少是百兆。为充分利用网络带宽,我们将数据传输方式改为多线程并发传输:将文件按顺序分成32MB的数据块进行传输,一次发起4个线程并行传输。传输信息包括文件的起始位置、大小、校验信息等,由服务端对上传的数据块进行完整性校验。
原机制下,传输服务器接收到文件之后先暂存到本地,文件完整接收并校验通过之后再一次性提交到云存储,提交成功才通知客户端上传完成。该方式的服务器资源调用是被事件随机触发的。如果某一时间段多个事件大量集中使用资源,系统处理速度就会变慢,甚至出现卡机、死机现象。所以,将文件提交方式由同步改为异步,在文件完整提交、校验通过后立即通知客户端上传,然后系统后台异步将文件提交到云存储。这样能够合理分配服务器的资源调用,避免因事件占用资源出现平均耗时由原来的10毫秒提升到2毫秒。异步传输机制缩短了总的文件上传时间,尤其在上传大文件时的效果更加明显。
4 系统应用效果
经过一年多的试运行,云终端在信阳公司的运行状况已趋于稳定。作为内网办公重要支撑终端,云终端系统除能满足各类员工在系统应用方面的需求外,还具有普通PC不具备的优点:
云终端系统采用瘦客户机代替了传统的PC,云终端系统和用户数据采用了集中存储,全部存放在服务器的磁盘阵列,数据安全性很高、数据备份也很方便。瘦客户机上只保留了简单的配置信息,一旦用户出现丢失、即使在客户端发生突然断电的极端情况,也不会危及到用户数据安全,用户更换一台云终端重新登录后,所有的数据都能得以保存;通过逻辑错误行为审计,能实现桌面用户的行为取证,有效通过行为审计取证问责,避免数据恶意泄露。
瘦客户机上只保留简单的配置信息,只能连接到内网云服务器。即使用户误插网线,也无法连通外网,从而有效杜绝了非法外联行为,保证了信息安全。
通过使用云终端系统,云终端大部分的维护工作都可以远程进行,改变了以往信息运维人员现场维护的工作模式,缩短了业务系统故障率和故障恢复时间,提高了系统的运维效率。
普通PC机功率在260瓦左右,而云终端瘦客户机的功率仅10瓦,按每台终端每天开机10小时计算,每年每台云终端能节约用电1000千瓦时,如果信阳公司2000多PC机全部更换成云终端,每年直接节约电量200多万度,直接经济效益显著。另外,瘦客户机的功率小,散热低,碳排放量也相应减少,其环保意义也是显而易见的。
5 存在的问题和建议
部分特殊外设如抄表机、POS机、IC卡读卡器等还不能正常使用,需尽快解决云终端与其兼容性问题,使云终端能适用于所有场景。
网络打印机存在打印延迟现象严重,还需优化程序,提高云终端对网络打印机打印响应速度。
虽然云硬盘解压、压缩文件和网络传输速度经不断优化调整,较起初有了很大提高,目前传输速度大约在每秒700k至900k左右,但仍需在加强系统的稳定性和可靠性的基础上进一步提高速度。
6 结束语
云终端在信阳公司已运行半年多,取得了良好的应用效果。下一步,信阳供电公司按照省公司2017年云平台建设和应用计划,逐步扩大终端的部署规模,强化桌面终端运维管理,最终在公司内网完全实现云终端绿色办公,为电力信息系统安全保驾护航。
作者简介:李遠胜(1985年12月),男,河南信阳人,硕士研究生,工程师,国网河南省电力公司信阳供电公司职工,主要从事网络与信息安全工作。
蔡翔宇(1984年3月),男,河南信阳人,本科,工程师,国网河南省电力公司信阳供电公司职工,主要从事网络与信息安全工作。endprint