中国石化桌面云建设及应用方案2012.docx

中国石化桌面云项目建设及应用方案2012年4月1 概述（厂商）21.1 桌面云“定位”（为什么）21.1.1 更灵活的访问和使用31.1.2 更广泛与简化的终端设备支持41.1.3 终端设备采购、维护成本大大降低51.1.4 集中管理、统一配置，使用安全51.1.5 降低耗电、节能减排61.2 桌面云发展趋势、演变过程61. 3国际桌面云应用状况及成功案例101.3 .1国外桌面云应用状况101.3.2国外桌面云在石油行业内的应用（效益效果）111.4 国内政府、企业对于桌面云的应对策略及应用情况121.4.1 国内桌面云发展现状及发展趋势131.4.2 国内企业桌面云应用状况（效益效果）132需求分析152.1终端应用现状（桌面组、厂商提需求提纲）152. 1.1桌面终端152. 1.2信息安全152.3 企业探索性工作152.4 需求分析（厂商）182.3.1总部182.3.2企业182.4桌面云的机遇和挑战（厂商）193 建设目标（所有人）214 建设方案（厂商）224.1 1总体架构224.2 技术构架224.2.1 管理架构224.2.2 远程访问架构234.2.3 安全防范技术架构244.3 标准规范264.4 后PC时代的终端用户解决方案远景285 总部桌面云方案（厂商）305.1 1方案设计305.1.1 方案体系架构315.1.2 高可用性保证345.1.3 安全审计功能345.2 系统配置355.2.1 服务器配置355.2.2 存储配置365.2.3 网络配置365.3 投资预算及效益预估375.3.1 投资预算375.3.2 效益预估385.4 项目组织及实施计划385.4.1 实施目的385.4.2 实施人员395.4.3 责任划分395.4.4 实施进度405.5 风险与风险控制415.5.1 规划风险415.5.2 实施风险415.5.3 运维风险411 概述（厂商）随着“云计算”的升温，基于云的应用交付逐步成为IT行业发展的必然趋势。对企业来说,在预算不变的前提下提升IT效率的最好方法也是搭建私有“云”架构。而最先流行的私有“云”必然是桌面云。此时用户并不需要了解后台采用了什么技术，采用了什么软硬件平台，用户也不需要为系统的安全和数据保护而分心，用户可以安心使用桌面虚拟化所提供功能和服务。这就是云计算所提供的功能。企业桌面标准化一直是企业级IT终端管理的核心和难点，传统终端桌面标准化解决方案，一般由终端统一部署解决方案、终端统一管理解决方案及相应的资产管理、补丁管理、应用程序控制等管理模块、安全模块构成。随着虚拟化及云计算技术的发展，企业的桌面管理又迎来一个新的解决方案虚拟桌面基础架构（VirtUalDesktopInfrastructure,简称VDI）。VDl致力于解决终端桌面信息安全、集中计算、集中管理、移动办公、远程办公的理想解决方案，是企业私有云的一种体现。它采用远程桌面技术；支持前端各种访问设备如瘦客户机PC手机平板等、前端桌面后移到数据中心，实现集中计算的新型桌面云模式。1.1 桌面云“定位”（为什么）桌面云的出现并非偶然，随着企业信息化技术的普及，越来越多的业务都依赖于个人计算机，个人计算机以及计算机承载的操作系统，应用程序以及数据的稳定性，可靠性，安全性以及可管理性等就成为了企业对计算机使用的基本要求。1.1.1 更灵活的访问和使用从IT技术诞生到推广，就伴随着一对矛盾：即用户使用与IT管理的矛盾：最终用户需求以最低的成本提供最高 水平的服务-个性化桌面支持多种端点设备-访问丰富的内容轻松地管理操作系统 映像和应用程序从各种位置和设备 灵活地访问操作系统和应用程序 支持提供对桌面和应用程序 持续的安全访问IT要求如何解决桌面困境,同时以最低的成本提供最佳解决方案?早期的大机时代，用户的使用与管理工作都位于机房内，用户使用不方便，但是管理员管理相对简单；PC的出现，用户无须去机房工作，可以更方便的使用IT技术，但是管理员的管理工作复杂化了，管理工作随着PC的分散，管理工作量也分散化了，即使网络出现使得管理工作一定程度地可以通过网络完成，但是成功率依然比较低，管理能力有限；今天，当网络访问不再是瓶颈，虚拟桌面技术的出现解决了这对矛盾：用户可以远程访问桌面系统，获得和PC完全一致的体验；管理员也只需要在数据中心就可以轻松完成所有的管理工作所以桌面虚拟化技术实质上是将用户使用与系统管理进行了有效的分离O这样带来的直接好处，就是用户对桌面的访问就不需要被限制在具体设备、具体地点和具体时间了。我们可以通过任何一种满足接入要求的设备，就可以访问我们的桌面。这样，员工就可以不必在公司加班，而可以回家通过家里的设备，访问公司的桌面，继续工作，并同时能够保证数据安全（因为只有图像传输到家里的设备上）。出差同样可以不必带电脑，而只要找到一个能上网的设备就可以使用自己的桌面。办公人员甚至可以通过手机以及平板电脑访问自己的桌面。1.1.2 更广泛与简化的终端设备支持作为云计算的一种方式，由于所有的计算都放在服务器上，终端设备的要求将大大降低，不需要传统的台式机，笔记本；在虚拟桌面的推动下，未来的企业IT可能会更像一个电视网络，变得更加灵活，易用：我们可以使用各种设备，电脑，瘦客户端，手机，电视以及键盘，鼠标或者其他外设（比如打印机，扫描仪），像看电视和选台一样去访问桌面或者应用；移动设备iPadiPhoneArdroid而这些应用与桌面都是在服务商或者数据中心运行和管理的，他们得角色就好比发送信号的电视台，信号通过网络发送到各个“电视屏幕”上（当然网络目前是互联网，未来中国能够三网融合的时候，那么这个网络将可能是任何一个网络）而各种应用，桌面，就好像我们今天看到的各种电视节目或者频道一样。作为内容被专业的提供商提供出来。由于计算全发生在计算中心，所以客户端的压力大大降低，更简化的客户端可以得到广泛使用，终端设备的可选择性更广泛，可以满足不同的应用需求。1.1.3 终端设备采购、维护成本大大降低这种IT架构的简化，带来的直接好处就是终端设备的采购成本降低。以瘦客户端为例，一个瘦客户端的采购成本为2000左右，而PC目前价格在4000左右，则每台客户端的能够节省2000元，投资到物理服务器，按照1：1的压缩比（所有人都同时使用虚拟桌面），则10万元的服务器只要能够负载50个虚拟桌面，硬件投资成本就相等。但是一般压缩比不会为1：1,更重要的是，瘦客户端的报废周期一般6-8年，比PC长一倍，则终端投资二期就直接减少。另外，现有的PC系统也可以大大延长使用周期，只要外设可用，就可以转化为普通终端。间接降低了电子垃圾的产生数量。1.1.4 集中管理、统一配置，使用安全由于计算发生在数据中心，所有桌面的管理和配置都在数据中心进行，管理员可以在数据中心进行对所有桌面和应用进行统一配置和管理。例如系统升级、应用安装，等等。避免了传统由于终端分布造成的管理困难和成本高昂。尤其对于学校机房、教学中心等大规模的，多变需求的应用场景（频繁更换操作系统），非常适合。由于传递的只是最终运行图像，所有的数据和计算都发生在数据中心，则机密数据和信息不需要通过网络传递，增加了安全性，另外这些数据也可以通过配置不允许下载到客户端，保证用户不会带走、传播机密信息。1.1.5 降低耗电、节能减排传统PC一般在20OW以上，而瘦客户端在25w左右，耗电量接近十分之一，而服务器的计算压力会带来一定程度的耗电量的上升，但是与客户端的大数量相比，可以忽略。所以一年的电费也会降低90%左右。而耗电的减少，也意味这碳排放的减少，适应了低碳时代的要求。需要强调的是，桌面虚拟化的优势，是典型具有规模效应的，终端数量越多，上述的收益和优势越突出。1.2 桌面云发展趋势、演变过程要了解桌面虚拟化的技术，我们就要了解桌面虚拟化的发展过程。桌面虚拟化的技术并不是凭空出世的，其发展经历了以下几个阶段:字母终蟠图形终端虚拟桌面架构但是真正影响到今天广泛流行的虚拟桌面发展的技术，主要分为以下二个阶段：桌面虚拟化技术的雏形：在我们还不知道什么叫桌面虚拟化的时代，这种技术的前身从不同的领域产生，发展直至成熟，使得现在的桌面虚拟化技术成为现实。这主要包括了2种技术：A.远程桌面访问技术远程桌面访问技术，几乎所有从事IT技术的人都使用过。内置在WindoWSXP中的远程桌面使用了RDP（RemoteDesktopProtocol）协议，使得用户可以从其他的电脑上远程登录、访问与使用目标桌面。RDP协议最早微软用于WindOWSSerVer上的TenninalSerViCe（终端服务）的访问协议，实现了WindowsServer上的多用户模式，使得用户能够在本地并不安装任何应用的条件下，远程使用服务器上的各种应用。这种技术是将目标机上运行界面传输到用户实际的操作机屏幕上，并将键盘，鼠标等一系列的外设输入，传输到目标机，实现交互。终端服务与远程桌面的不同是，前者只使用服务器操作系统的一个会话，而后者将拥有整个桌面系统的控制权（一般来说，桌面操作系统并不是一个多用户操作）。不管名称如何称呼，但可以看出桌面虚拟化技术的前身一一远程桌面，是与现在的桌面虚拟化技术具有相同渊源的。这也是今天桌面虚拟化技术的核心部分，正是有了这种技术，使得我们远程访问自己的桌面成为可能，也将用户使用与后台管理两个以前难以协调的矛盾进行了有机的分离，解决了目前用户使用灵活性与IT统一安全管理的冲突。b.桌面操作系统虚拟化这里的这个题目是为了区分服务器虚拟化技术，特别强调桌面操作系统被虚拟。其实这个概念基本可以被等同与VMWareWorkStatiOn的方式实现的桌面级的操作系统。当然这种应用模式，主要开发人员和测试人员经常使用的。在大型数据中心中，一般都使用服务器虚拟化技术，如VMWareVSPhere产品。在这个角度定义的所谓桌面虚拟化，基本上可以被认为是用于PC上的桌面系统之上的虚拟化解决方案，只是与服务器虚拟化简单的区别与对应。其本身解决的仍然是操作系统的安装环境与运行环境的分离，不依赖于特定的硬件。但是不可否认的是，而且当服务器虚拟化技术成熟之后，真正得虚拟桌面技术才开始出现。笫一代桌面虚拟化技术：第一代桌面虚拟化技术，真正意义上将远程桌面的远程访问能力与虚拟操作系统结合了起来，使得桌面虚拟化的企业应用也成为可能。首先，服务器虚拟化技术的成熟，以及服务器计算能力的增强，使得服务器可以提供多台桌面操作系统的计算能力，以当前4核双CPU的至强处理器32G内存服务器举例，如果用户的XP系统分配512M内存，平均水平下，一台服务器可以支撑50-60个桌面运行，则可以看到，如果将传统物理桌面集中到使用虚拟桌面提供，那么50-60台的传统物理桌面采购成本将高于服务器的成本，而管理成本，安全管理成本，还未被计算在内，所以服务器虚拟化技术的出现，使得桌面虚拟化技术的企业大规模应用真正成为了可能。当然，如果只是把台式机上运行操作系统转变成为服务器上运行的虚拟机，而用户无法访问，当然是不会被任何人接受的。所以虚拟桌面的核心与关键，不但包括后台服务器虚拟化技术，还需要让用户能够通过各种手段，任何时间，任何地点，通过任何可联网设备都能够访问到自己的桌面，即远程网络访问的能力。第二代桌面虚拟化技术第一代技术实现了远程操作和虚拟技术的结合，降低的成本使得虚拟桌面技术的普及称为可能，但是影响普及的并不仅仅是采购成本，管理成本和效率在这个过程中也是非常重要的一环。纵观IT技术应用历史，架构的变化和历史发展的趋势一样：分久必合，合久必分。从最早主机-哑终端集中模式，到PC分布模式，到今天的虚拟桌面模式，其实是一个计算使用权与管理权的博弈发展。开始主机模式，集中管理，但是应用困难，必须到机房去使用；PC时代来临，所有计算都在PC上发生，但是IT的管理也变成分布式的，这也是为什么IT部门的桌面管理员压力最大，需要分布式的管理所有用户的PC,管理的成本也大幅度上升。桌面虚拟化将用户操作环境与系统实际运行环境拆分，不必同时在一个位置，这样即满足了用户的灵活使用，同时帮助IT部门实现了集中的控制，从而解决了这一问题。但是如果只是将100O个员工的PC变成IOoO个虚拟机，那么IT管理员的管理压力可能并没有降低，反而上升了。那么虚拟桌面对IT人员来说并没有什么特别的意义。为了提高管理性，第二代桌面虚拟化技术进一步将桌面系统的运行环境与安装环境拆分、应用与桌面的拆分、配置文件的拆分，从而大大降低了管理复杂度与成本，提高了管理效率。如下图所示：我们简单来计算一下：如果一个企业有200个用户，如果不进行拆分,IT管理员需要管理200个镜像（包含其中安装的应用与配置文件）o而如果进行操作系统安装与应用还有配置文件的拆分，假设有20个应用，则使用应用虚拟化技术，不用在桌面安装应用，动态将应用组装到桌面上，则管理员只需要管理20个应用；而配置文件也可以使用Windows内置的功能，和文件数据都保存在文件服务器上，这些信息不需要管理员管理，管理员只需要管理一个文件服务器;而应用和配置文件的拆离，使得200个人用的操作系统都是没有差别的WindOWSXP,则管理员只需要管理一个镜像（用这一个镜像生成200个运行的虚拟的操作系统，简单来讲可以理解成类似于无盘工作站的模式）。所以总的来说，IT管理员只需要管理20个应用，1个文件服务器，和1个镜像。管理复杂性大大下降。这种拆分也大大降低了对存储的需求量（减少了199个XP的存储），降低了采购和维护成本。更重要的是从管理效率上，管理员只需要对一个镜像或者一个应用进行打补丁，或者更新升级，所有的用户都会获得最新更新后的结果,从而IT管理员的工作量也大大下降，随着系统标准化程度的提同，虚拟化后的桌面系统的安全性和稳定性也得到了稳步提升。1.3 国际桌面云应用状况及成功案例1.3.1 国外桌面云应用状况桌面云目前在一些发达国家中已经成为替代PC的主要技术实现方式，在一些对数据敏感或者对数据安全有法案要求的行业（如美国医疗对HlPAA法案要求对数据进行安全保护）中已经占有超过65%的市场份额。而一些权威的分析机构表示，桌面虚拟化将领跑整个信息技术行业，成为最热门的企业IT投资方向。美国高盛公司对于桌面虚拟化市场的预测另外一方面，PC的销量将逐渐减少，这也为虚拟桌面带来了新的机遇。最近，全球顶级IT研究公司Gartner也针对这个问题发布了一份新的报告，该报告预测2014年个人云服务将会取代传统PC电脑，成为企业市场中的主要计算形式。尽管这样的预测看起来有些草率，因为企业IT方面出现较大规模的变化通常需要花费很长的时间，但是Gartner公司的分析师预计，包含技术的消费化、虚拟化和大幅增加的用户流动性等在内的五大趋势，将会促使企业迅速采用云服务。“客户端计算的主要发展趋势已让市场从专注于PC电脑转向更宽广的设备，包括智能手机、平板电脑和其他消赛产品。''Gartner公司的研究副总裁史蒂夫-克莱因汉斯（SteveKleynhans）说，“用户在日常生活中会使用到不同的设备，方兴未艾的云服务将会成为连接这些设备的粘合剂。”1.3.2 国外桌面云在石油行业内的应用（效益效果）越来越多的企业开始在桌面虚拟化方面进行投入，来建立企业自有的桌面云平台。VMware作为云计算的领导厂商，已经占据了云计算及虚拟化的大半个市场,为全球的客户提供云计算及虚拟化服务。客户们信赖VMWare财富全球5C0强客户 25大商北和僻蓄银行中的全部 大航空航天粕国防企北中的g家 全球7大航空公司中的全部 5大化工企业中的全都 4大绿台金融企北中的全部 5大奏源企业中的4东 5大娱乐企业中的全部 12大制药企北中的全部 5大证券企业中的全部全世界量大的企业都在使用VMware： 财”1）0强中的全部 财K550强中的97%（500家中的486家） 财富I）OO强中的95%（IOoo家中的950次） 财K钊100强中的95% 财翎j500强中的87%（500家中的435家 英国看HvoO指数公司中的90% 潮BW100指数公司中的81% 法国CAC40指数公司中的全部100% 意大利M旧30指数公句中的80% 西班牙旧EX35指数公司中的94% 白大他僦西兰ASXlo。指数公司中的州 日本国225指数公司中的81%另外，VMWare软件深耕耘石油石化行业，并为石油石化的应用进行了性能优化。其支持的应用和场景包括但不限于:日常OA,办公自动化系统生产运行系统人力资源管理系统源头数据采集系统地质资料管理系统开发决策支持系统勘探决策支持系统采油工艺决策支持系统生产指挥管理系统作业措施管理系统开发动态分析系统地面工程管理系统后勤服务相关的系统专业软件地震处理解释软件地质建模软件油藏模拟软件采油工艺专业软件地面工程设计软件1.4国内政府、企业对于桌面云的应对策略及应用情况桌面虚拟化技术近年来在国内快速发展，短短的数年内已经有数千家企业开始在使用桌面虚拟化方案。分析桌面云快速在国内发展的原因，主要原因包括几下几点：一、企业开始意识到虚拟桌面化对自身企业发展的意义，因此加大了在虚拟桌面方面的投入，一些对于新技术比较谨慎的企业也开始从之前的桌面虚拟化试用阶段快速的过度到规模应用阶段。二，政府部门开始在全国范围内投资建议云计算中心，而桌面云在其中也占据了相当的部分，如无锡云计算中心就有规模部署桌面云为客户提供服务。三、政府单位信息中心为政府部门业务及员工办公使用了桌面云，如南京政府信息中心在政府行政中心部署了桌面云方案，这也为桌面云在同行业及企业建立了信心及示范作用。四、新型的移动设备出现，如智能手机，平台电脑，上网本的快速普及以降价为桌面虚拟化的发展加快了脚步。用户可以通过任何的设备进行虚拟桌面的访问必将为企业的业务灵活性带来帮助。1.4.1 国内桌面云发展现状及发展趋势桌面云在国内的发展势头，得益于多方面的因素，越来越多的企业开始应用桌面虚拟化，而另外一方面，越来越多的IT企业也开始研究桌面虚拟化技术或开发相关的产品。VMware致力于在虚拟化及云计算技术的发展，目前在国内已经有大量的云计算中心及IT厂商与VMware进行了深层次的合作。合作伙伴们可以通过VMware提供的产品及服务进行针对中国行业特色进行二次开发和包装，然后推广到不同的行业客户中去。有数据表明，桌面虚拟化在中国正在以超过IT行业平均发展速度的N倍进行放量发展，分析机构预测，桌面虚拟化每年的发展速度将超过60%,从过去三年的发展情况来看，实现发展速度比分析机构的预测还要高。单位:亿元人民币1.4.2 国内企业桌面云应用状况（效益效果）目前，桌面云已经在国内数千家企业中进行了应用。国内的桌面云主要客户行业包括：电信行业，企事业单位，金融行业，医疗行业，制造业等。VMWare在石油石化行业中，也已经积累了数十家客户，这些用户已经开始使用桌面云来做为其生产业务的云计算平台。客户名称用途用户数中石化燕山石化办公3,000中石化国勘办公300中石油辽河油田办公600中原油田办公、教学300大庆油田勘探院办公、科研300川庆钻探办公、科研200中石油销售公司办公200辽河石油装备制造总公司办公200其中，燕山石化的桌面云项目具有行业代表性，我们将在企业探索性工作部分对燕山石化的案例进行分析。2 需求分析2.1 终端应用现状（桌面组、厂商提需求提纲）1 .1.1桌面终端总部：总部目前拥有四大类计3000余台传统终端，主要应用场景为日常办公，OA专用，应用系统专机和办公厅业务专网。其中OA专用机和办公厅业务专网两种应用场景终端数量较少，目前急待解决的是日常办公（约2300余台）和应用系统专机（约1670余台）。日常办公所采用的终端类型多种多样，包括台式机，笔记本，iPad和APPIeNotebook等，应用系统专机则主要采用国光专用终端。企业：中国石化桌面安全管理系统于2007年底建设完成。2012年2月统计报表显示，共有89家一级单位部署管理服务器，安装的终端总数为179556台，活跃终端总数为161890台。根据调查，目前已部署该系统的企业尚有约6.5万终端未纳入管理；至今未部署该系统的企业有25家，终端数约为1.5万。终端应用的主要场景包括业务办公、信息保密、生产调度、工程设计、加油站等。2 .1.2信息安全当前中石化终端采用分散部署，集中管理的策略，因为终端数量巨大（全集团终端数量在20万台以上），地理分布非常广泛（上百家下级单位分部在全国各地）终端类型多（包括台式机、笔记本、智能终端、平板电脑和手机等），终端管理工作难度巨大，从而导致信息安全工作面对巨大挑战：1,数据遍布在集团内部，从数据中心到各种终端，数据的安全性与可用性难以保障；2,终端管理难度大，需要防病毒，准入控制和终端管理等多套解决方案，仍不能全面覆盖集团终端管理。2.2 企业探索性工作目前燕山石化已经在全部的厂区的3000台桌面进行了桌面云的部署。主要的桌面云场景包括:燕山石化桌面云应用统一托管桌面生产调度监控指挥统一运维和管理（桌面数据）原来分散在各厂区的桌面运维统 一到了数据中心管理.运维量大 幅度下降，支持更快捷，用户数 一 人据通过AVARMA进行统一有效的I备份受监控的专用上网共享池对于特定用户访问与厂区应用无 关的互联网的需求.可以通过访 问t；用策略和受控的共享池桌面 获得。G工拥有自己的。届办公环境桌 面，可以通过瘦终端访问，也可 以在外灵活安全的访问，个性化 数据,点面环境均有效保留在后 端。和软件漏洞有效控制。终的标准化理桌面环境按照员工性质统一清 晰的定义,做到了软件许可. 安装软件，IP地址.终端资产 全员标准化;病毒、木马、系统燕山石化的厂区监控从原来的 PC管理全部集中到“桌面云”环 境，各种炼化设备，厂区实时状 态，ERP等全部通过瘦终端而问 .完美实现监控RGB矩阵4屏切 换控制。领导和移动员工事面访问员工跨厂区办公，领导出差移 动办公.平板电脑无缱访问燕 化现有应用燕山石化桌面云项目部署，经历了三个阶段，近半年试点测试，从最早的30点在监控指挥中心的应用，到300点办公用户的试用，到3000点的大规模使用。为桌面云项目的成功奠定了基础。项目进度软件坪估1 ,试全面了解和*«直拟桌面软件，松念ItS阶段生产调度指挥中小桌面云”叫整客性成完成，实现了生产度推算中 心40余种应用的JK容性及HRGB矩阵.4屏星示Il箕 OlPACHMft,华为UC电 话,试通过第分厂区300点qBl体IL MC IwWMfVCE方案及第一构W «« （分用户.*3Ht）士部和方案试300点上嫉井½VCE部IMuB构,十八个厂区,2780AKAHSTWL律然而由极讦乐力*鼠lts±tt*里程碑现在共3000个以上虚祭桌面已经被蚓%80%的禀面已般投入生产而在3000点项目实施完后成，燕山石化的相当领导组织专家对桌面云项目进行了评审，并给出了很高的评价，并将桌面云项目相关介绍刊登到了中国石化集团网站上。SINOPEC中国石化美干发flWll中心1>A*RBffIIX*户8与务HttMS人力,，石化钓tB.公>帝闻俱立>企IUW惠山石化云计算¥台试运I1成功Wj石化力舌计”m*tr设日-*r<Ht云,修己Q*公费/生声t。&二（M馆宝户口*£幡护人%m*个月*MG仃MHUW7WfltMVir金可，0伊，I,*MiffSM*m9j-M<d<V）.B三*fldJfU2it三R*l三ryB.dlW-Wiw«7«.玄伴InkHMI计"分>tItmewaEhiKtmfr>号力“卜人计m%*UtMKIKIaB用IImlltwwt三IM三1,581班1.MrRtttoMMWd-MX-te-MJUtWPMlwam方式代mn停方式,冷又了W会一人TUnw个人NI机球碗工盅m黛口倭一段夕.知可林5«*<«1>*山石山tMMMUn（介蛤-B三*mRFeWflrtF三HM7W.ffmffiv.。PTffMMvhfi<K入得*Z4*XH叁之机UHGWW-WflU用户利文MRtI<三L三-<寿IHy附京人员*Xt3里wr*前N*心Qmrtr»mt月确常?号*glQ!0XmU*ttRPHvMfKmM*nMtMP4Jfil<MMMraMHS9三Ktt¾M*Rfi>HBRttiwf*fM0nH6iBa0mc<m-nmM-iiBruoM（twnt.nw<¢urt11三ctZl石化tvEtcH4”>iraqR.immsA.wFpee三rurMmt.三awM<好开wx%在公0内梓*Mie3b-hbw.Mtt-ntt<smvR4hwp4nr-5nM00>tKiamw也事山石抬至复声ecu度。W英一eMwngj-mM>xa匹使IlHR31笠化电a他Ma国位壬，负雷主声手茨ft计几个主声W7WTRB5三.da个系iw&m不IMawsi码.不危陆、2工事Hree.w-a*三-a7*RMmt*m三.M员只凭个人IMml户名由HtAtMePMmLK*MlMt9ftM上更方flMI1lAflMe三<7JW>IR三tMewttQU不*li-4角户*BW11>*HWMIRBSTtt三.*HfM00人KM入<-OTOJIxSSMC2m-）Bd>WeJMB三三ll9htvntIweci4ModeOn，燕山石化作为国内较早进行桌面云部署的企业之一，在桌面云方面已经积累了相当的日常运维经验，VMWare作为燕山石化桌面云方案及产品的供应商，在燕山石化的项目中，也积累了相当宝贵的行业经验，保证了VMware在石油石化行业中进行方案设计，实施及项目的成功率。2.3 需求分析（厂商）2 .3.1总部日常办公日常办公场景是最适合迁移到桌面云的，OA终端的数据较大，地理分布相对集中，用户对计算环境没有特别的需求，只要能运行日常工作所需的办公软件即可，现有条件非常适合应用桌面云。桌面云可以很好地解决办公终端的管理与安全性需求。应用系统专机这一部分目前已经采用了终端设备，但终端设备采用的是嵌入式WindoWS系统，仍然需要完成一定的管理任务，建议将此部分设备改用瘦客户机代替，从而统一集团总部的终端环境为桌面云。3 .3.2企业勘探开发这一部分终端数量较大，分布较广，很难对终端实施管理，建议采用易移动，免维护的瘦客户机或平板电脑等，远程连接到就近的办公场点。除了解决终端维护的难题，还可以有效的保证数据的安全性。生产控制生产控制系统的计算环境比较单一，对资源的需求相对较低，采用桌面云+瘦终端的形式，可以简化终端管理，提高计算环境的可用性。监控中心监控中心的计算环境比较单一，对资源的需求相对较低，采用桌面云+瘦终端的形式，可以简化终端管理，提高计算环境的可用性，桌面虚拟化支持多屏显示，可以有效节省监控中心的硬件资源需求。办公系统日常办公场景是最适合迁移到桌面云的，OA终端的数据较大，地理分布相对集中，用户对计算环境没有特别的需求，只要能运行日常工作所需的办公软件即可，现有条件非常适合应用桌面云。桌面云可以很好地解决办公终端的管理与安全性需求。2.4 桌面云的机遇和挑战(厂商)机遇(1)桌面云计算技术的应用现在是云计算迅猛发展时期，利用云计算整合IT资源，优化信息系统架构是各行业信息系统建设的大方向，越早采用云计算架构，企业获得的收益也就越大；桌面云是云计算的具体表现形式之一，是终端用户计算环境的发展方向。(2)信息安全桌面云对信息安全具有划时代的意义，大集中的战略可以有效地解决诸多信息安全问题，使桌面系统的可管理性得到提升，生产数据的安全性与可用性得到保证。(3)运行维护桌面云可以有效解决大规模企业在终端管理方面的困扰，通过将实际执行计算任务的环境虚拟化并集中部署，可以极大地简化桌面管理，终端设备则采用免维护的瘦客户机和平板电脑等智能设备。(4)管理创新云计算可以提高资源利用率和业务系统的敏捷度，降低单位产品的能耗，实现绿色环保的IT产业革新，符合国家十二五期间的总体战略。桌面云的应用为中国石化带来了机遇，同时也面临着一系列的挑战，主要表现在：（I）安全挑战员工需要适应新的应用形式，采用集中式部署以后，网络与存储的可用性将直接影响到桌面系统的可用性，因此，在网络系统和存储系统的设计中，要采用必要的负载平衡和高可用性技术来保证用户体验。（2）标准挑战引入桌面云以后，用户计算环境的申请，部署，维护，变更等工作将发生较大变化，相应的标准和流程需要进行调整。（3）系统建设与运维管理模式系统建设与运维将更加趋于集中，所有的资源将由区域数据中心集中进行管理和调配，在各企业内部将形成一种新的服务模式。3 建设目标(所有人)(1)采用基于VDl架构的桌面云来集中部署用户计算环境；(2)提高数据的安全性，将业务数据集中存储于数据中心的桌面云平台，防止数据泄漏；(3)采用统一的模板来部署云桌面，用户则通过瘦客户机等终端设备访问云桌面，简化桌面管理；(4)办公环境的可用性提升，改变单机工作环境在可用性上的不足，可根据用户环境的重要程度提供包括高可用，数据保护及容灾等连续性保护；(5)集中监控用户访问应用和数据的行为，增强操作审计功能；4 建设方案（厂商）4.1 总体架构中石化已经将云计算作为IT系统的发展方向，因此建议将桌面云作为整个云计算的一部分来规划，但作为一个单独的子系统来设计，实施和维护。从资源池的角度来看，桌面云所使用的硬件资源是资源池的一部分，并可以与服务器虚拟化所需的资源进行调配，从管理的角度看，桌面云所采用的管理工具与其它的云应用有所不同，应该自成体系。桌面云需要动态的资源调度，高可用性，数据保护以及容灾备份等服务的支撑，而这一部分服务可以通过云计算平台来统一规划。4.2技术构架4.2.1 管理架构ViewManager包括下列组件： VMwareViewConnectionServer一管理对虚拟桌面的安全访问，与VMWarevCenterSerVer配合提供高级管理功能 VMwareViewAgent梃供会话音理和单点登录功能 VMwareViewClient一支持PC和瘦客户端上的最终用户通过VMWareVieWConnectionServer连接到虚拟桌面使用。 ViewClientwithLocalMode即使网络发生中断也可以访问虚拟桌面，不会影响IT策略的实施。 VMwareViewAdministrator一允许管理员进行配置设置、管理虚拟桌面和设置桌面的权限以及分配应用程序VMwareView角色管理一角色管理可动态地将用户角色与无状态流动桌面相关联。管理员可轻松部署低成本、无状态流动桌面池，让用户能够在不同会话之间保持其指定设置。4.2.2 远程访问架构为了将桌面云服务发布到互联网，需要使用安全服务器，它不仅可以保护桌面云基础架构和数据的安全，也可以简化远程连接的相关设置，节省所需公网IP地址的数量。安全服务器是一个运行部分ViewConnectionServer功能的特殊VieWCOnneCtionSerVer实例。您可以使用安全服务器在Internet和内部网络之间提供额外的安全保护层。安全服务器位于DMZ内，充当受信任网络中的连接代理主机。每台安全服务器均与一个ViewConnectionServer实例配对，并将所有流隹:转发给i实例。您可以珞多个安全服务器与一个连接服务器进行配对。这样的设计能保护ViewConnectionServer实例免受公共Internet的威胁，并强制所有无保护的会话请求经过安全服务器传输，从而提供额外的安全保护层。为了保证远程连接服务的可靠性，可以采用双安全服务器的设计来提高可靠性。容M 负较平荷 机制图5-4双原防火墙拓扑结构View ClientViewCIientDMZJU羯' !收火用1内部网络View Connection Server4.2.3 安全防范技术架构建议采用无代理防病毒对许多虚拟环境来说，防病毒当然是VMWareVieW安全的一个重要组件。但是防病毒是少有的不能使用VMWareThinAPP这类产品进行虚拟化的应用之一，因此防病毒软件必须使用基础镜像安装。对于基于VieWComPoSer的资源池来说，你可以很轻松地使用最新的防病毒程序对虚拟机进行更新，然后重组整个资源池。对于单个虚拟桌面来说，你通常可以采用与物理桌面相同的方式对虚拟桌面进行防病毒管理。为减少对内存、CPU和磁盘的使用，一些管理员在虚拟桌面中放弃了防病毒。如果你在基础设施中其他的所有环节实施了恰当的VDl安全，那么这一风险可以接受。确保VDl安全的其他措施包括了过滤潜在的恶意网站，对文件服务器和邮件服务器进行防病毒扫描，恰当的边界安全等等。不用安装防病毒软件仍能够提升VMwareView安全的更好方式是使用VMware提供的vShieldEndpoint,它卸载了虚拟机和虚拟设备上的防病毒进程。使用VShieIdEndpoint,单一的定义更新会自动保护所有的虚拟桌面，不必对整个资源池进行重组。VShieIdEndpoint同样将用于提供防病毒功能的系统资源进行了集中化，减少了对系统资源的使用。*VMware vShield EndpointIntrospectionVMwarevSphere防火墙VDI的安全性原则实际上并不要求管理员在每个本地桌面上运行防火墙，但是引入VMwareView后可能需要对网络防火墙规则进行改变。在VMWare知识库文章中对VMwareView不同组件之间可能必需的一些防火墙规则进行了概括。你必须