基于超融合存储的云桌面平台建设

张晓光

（广东省能源集团天生桥一级水电开发有限责任公司水力发电厂，贵州 兴义 562400）

1 厂站现状分析

（1）厂站现有设备为旧的分散式虚拟化存储计算，需要服务器、服务器光纤卡、存储光纤交换机、存储系统、存储硬盘阵列、虚拟化系统。系统为传统硬件分离IT架构，整合度不够高，存在诸多不便，工作人员运维管理复杂，同时传统的“IOE架构”存储扩展难度过高，存在IO瓶颈。

（2）厂站业务终端一直使用的是传统PC终端，传统PC终端面临的挑战有：①非法接入：PC终端本地有 USB口、串口或并口等都可以外接设备，暂时难以有效的禁止非法设备的接入，存在数据泄密的风险。②数据恢复：PC工作环境下，PC上保存着员工的日常工作数据，也是企业资产的一部分。这些数据如何能在PC出现故障或文件丢失时恢复，是当前IT系统的一个巨大挑战。③难以管理：厂站目前主要分为两地办公，加上员工出差、居家值班等零散的办公场所，终端分布离散；同时员工日益要求能在任何地方访问其个人终端，这在传统PC终端上极难实现。

（3）厂站PC终端总体成本高：PC终端采购时有较低的成本优势，但是其使用周期相对较短，厂站每5年左右就需要批次更新，并且无法抵消日常的PC管理和维护工作所带来的成本。目前，PC管理工作包括终端电脑系统安装、软件部署、查杀病毒、漏洞修复、以及控件安装设置等，由于这些PC终端分散管理，系统不一、配置也不尽相同，需要对不同的PC终端单独配置维护，因而会耗费大量的人力。同时，由于标准化程度不高，支持人员经常需要亲临现场解决问题，这就进一步增加了支持成本。

综合上述实际现状，结合现有的日益成熟的桌面云技术和厂站现有的网络部署情况，厂站确定部署基于超融合存储的云桌面系统，从而逐步解决传统存储、PC终端及人工运维中已存在的各种问题。

2 超融合平台设计

建立一个集计算、存储、网络、管理超融合的基础设施平台。平台可实现性能监控（历史KPI、TOP统计等）、告警监控、健康状态检查以及可视化展示等功能。帮助运维人员分析和预测资源使用情况，能够有效评估资源利用率等。实际运维中，可以定期优化设备性能、优化配置等，提高超融合系统的使用价值，提升厂站经济效益。化繁为简的性能监控，协助运维人员提前有序地规避系统故障，使其无需花费大量的时间和精力在设备故障的排查上，提供统计分析，提升维护效率。平台具有可视化曲线图表界面，满足用户不同数据查看和统计需求。平台能够监控服务器全面的、精细的硬件告警信息以及管理系统自身的告警信息。这些告警信息包括但不限于：CPU硬件故障、超温故障、主板电压故障、散热风扇故障、系统电源故障、总线故障、内存故障、硬盘故障、系统运行故障、设备管理板故障、交换板部分故障、设备离线告警、性能阈值告警、网管性能告警等。基础设施管理提供了统一快速的告警管理机制，实现快速定位故障、解决和恢复故障，降低设备异常概率，提高设备的可靠性，告警集中监控，支持以界面实时刷新、短信、邮件、声音等远程通知方式，及时通知到设备维护人员，恢复网络正常运行。以“无人值班、少人值守”为目标。最大限度实现电厂的安全、经济、高效、环保运行。

3 桌面云系统设计

桌面云系统支持集中管理能力，系统能够利用现有PC终端作为桌面云瘦终端硬件设备，在Windows系统下或重装Linux系统运行桌面云软件。当PC作为瘦终端时，能实现原PC硬盘和桌面云内的存储空间数据之间直接拷贝。软件平台能够支持内外网隔离架构。结合厂站内已部署的AD域服务器，桌面云系统与现有AD域集成，从而实现帐户密码的统一性。桌面云系统能提供更好的用户体验，厂站员工不再受两地办公，配置多台PC终端，软件重复安装，数据存储不同步等困扰。桌面云系统提供自助维护界面，可以发现并优化潜在影响桌面云正常使用的隐患，结合最佳性能提升桌面云用户体验感，减少了常规PC终端、操作系统频繁故障带来的影响。系统能够降低运维成本，提高工作效率，减轻管理维护人员的工作强度与不必要的重复劳动。桌面云系统将终端日常运维工作交由后台统一管理与运行；具备良好的综合定位分析及故障恢复能力，从而降低对业务的影响。

4 实施总体方案

4.1 整体架构

厂站信息网的网络架构均是按照功能模块进行划分，分为服务器区、后方办公区、工地办公区、端部楼无线接入区、工地服务器区。按照厂站信息网络的规划，超融合管理平台新增一个独立分区进行部署，如图1所示。

图1 网络架构图

4.2 实施方案

本次超融合平台建设项目依托华为技术，通过部署FusionCupe存储、FusionAccess桌面云软件等来实现厂站云桌面平台建设。按照图1网络架构图所示：

超融合业务平台交换机采用两台S5720交换机通过堆叠实现冗余，超融合存储交换机采用两台CE6881交换机通过堆叠实现冗余。

各计算存储节点通过两端口千兆以太网与业务平台交换机互联，实现超融合平台的管理与业务VM的通信使用。

各计算存储节点通过两端口万兆以太网光纤与存储平台交换机互联，实现超融合平台中各存储之间数据的同步与传输使用。

超融合平台与工地核心交换机之间采用三层路由互联。

业务与管理交换机：所有计算存储池服务器配置两张千兆以太网电口与业务管理交换机互联，实现各节点之间的管理以及业务VM的数据。所有计算存储池服务器的iBMC端口接入业务/管理交换机，通过iBMC可对物理服务器进行远程管理（开机、关机、安装操作系统等）。

存储交换机：超融合采用分布式软件将各服务器的硬盘组成一个大的存储资源池，由于各服务器之间硬盘数据同步原因，各服务器之间带宽要求较高，因此各服务器采用两张万兆光端口与存储交换机互联。

4.3 网络平面规划

（1）在超融合平台中共有三个网络平台：业务平面、管理平面、存储平面。针对不同系统存在不同的网络平面。

（2）FusionSphere：业务平面、管理平面、存储平面。

图2 FusionSphere网络平面图

表1 Fusionsphere平面与作用

（3）FusionAccess：业务平面、管理平面。

图3 FusionAccess网络平面图

表2 FusionAccess平面与作用

（4）FusionStorage：业务平面、管理平面、存储平面。

表3 FusionStorage平面与作用

图4 FusionStorage网络平面图

虽然每个网络均存了3个相同的网络平面，但是每个网络平面之间各组件之间通信与应用均不同。

（5）FusionCube：管理平面、业务平面、存储平面、BMC平面。

图5 FusionCube网络平面图

表4 FusionCube平面与作用

4.4 服务器连线规划

图6描述了各服务器与交换机之间、交换机与交换机之间互联的端口图。

图6 端口图

4.5 安全规划

桌面云安全规划需从两方面进行考虑：网络安全、传输安全。

（1）网络层面：在存储管理平台网络设备前端增加防火墙，通过防火墙过滤来自内外网的安全威胁。

图7 网络拓扑图

（2）传输安全：数据在传输过程中可能遇到被中断、复制、篡改、伪造、窃听和监视等威胁，需要保证信息在网络传输过程中的完整性、机密性和有效性。传输安全由以下几个方面保证：

1）系统管理员访问管理系统时，对含有敏感数据的页面采用HTTPS方式，传输通道采用SSL加密。

2）用户访问虚拟机，采用HTTPS方式，传输通道采用SSL加密。

HTTPS可进行加密传输、身份认证，安全性高。HTTPS的安全基础是SSL，通过SSL实现加密

4.6 认证方式规划

厂站内部有AD域，大部分系统也采用的是域帐户进行认证。因此在新建桌面云系统中将选用AD域方式进行认证。

4.7 桌面部署规划

厂站采购FusionAccess用户数100个的虚拟桌面，根据厂站应用场景的需求，桌面云部署方式选用完整复制桌面。

4.8 终端接入规划

FusionAccess支持多种终端接入：瘦客户机、PC软终端、移动终端。

（1）瘦客户机：主要功能是“上接云、下接外设”。与PC机的主要差异：硬件配置较低，针对桌面云场景开发，弱化本地功能（不支持本地应用或仅兼容非常有限的本地应用）。默认推荐使用TC终端来登录使用虚拟桌面。

（2）PC软终端：支持终端用户使用普通PC或者笔记本电脑，以Web方式登录虚拟机。用户可以下载安装客户端软件，按照系统提示完成客户端软件在本地的安装。当客户端软件需要升级时，系统也会提示下载最新的客户端软件。

（3）移动终端：支持通过iOS、Android移动智能终端接入虚拟桌面。用户可在app.vmall.com或AppStore上搜索FusionAccess下载安装华为桌面云客户端，正确配置云服务器地址后，使用分配的虚拟桌面。

根据电厂的现状，目前所有用户均配置有PC终端，从节约成本考虑，本次将老旧电脑的操作系统重装为Linux，并安装对应版本的FusionAccess Client，用户可直接通过FusionAccess Client来访问虚拟桌面。

5 结语

由于桌面云在整个使用周期里的管理、维护等方面的成本大大低于传统PC电脑，具有更高的性价比。运维人员可以在可视化运维界面里快速下发、生成账户，同时通过界面可以查看系统监控、告警事件和存储池状态等，操作维护更简单，提高了运维管理效率，同时，也减少了在终端PC电脑上的软硬件配置成本以及人员运维的人工成本。厂站员工使用过程中，也减少了不同终端电脑数据无法同步的问题，提高了厂站员工的办公效率。