乔司监狱桌面云与在线教育门户综合解决方案-分布式
乔司监狱桌面云与在线教育门户综合解决方案
目录
第一章项目概述 (4)
第二章整体建设方案 (4)
2.1整体部署拓扑图 (4)
2.2部署方案说明 (5)
2.2.1深信服一站式桌面云部署 (5)
2.2.2在线教育门户系统部署 (5)
第三章深信服一站式桌面云解决方案 (6)
3.1深信服桌面云整体架构 (6)
3.2多种桌面交付类型 (7)
3.3模块介绍 (8)
3.3.1 AD/DHCP服务器 (8)
3.3.2桌面服务器和磁盘阵列(VMS) (8)
3.3.3虚拟桌面控制VDC (8)
3.3.4终端设备 (9)
3.4服务器群集设计思路 (9)
3.5深信服SRAP协议技术详解 (10)
3.6如何实际应用aDesk方案 (12)
3.8深信服一站式方案优势总结 (12)
3.8.1方案价值总结 (12)
3.9产品精彩亮点解析 (14)
3.9.1良好用户体验 (14)
3.9.2最优的灵活性 (16)
3.9.3端到端安全设计 (18)
3.9.4最低的IT总体成本 (20)
第四章在线教育门户系统 (23)
4.1门户子系统 (24)
4.1.1信息发布 (24)
4.1.2狱务公开 (24)
4.1.3在线服务 (24)
4.1.4信息检索 (25)
4.1.5交流互动 (25)
4.2在线教育子系统 (25)
4.2.1学习任务 (26)
4.2.2 课件管理(管理员功能) (27)
4.2.3用户管理(管理员功能) (28)
4.2.4. 消息推送 (29)
4.2.5 个人资料 (29)
4.3内容管理子系统 (30)
4.3.1 内容管理 (30)
4.3.2 编排管理 (31)
4.3.3 转码管理 (31)
4.3.3 系统管理 (32)
4.4转码子系统 (32)
4.4.1系统功能 (32)
4.4.2支持的源文件视频格式 (33)
4.4.3支持的源文件音频格式 (33)
4.4.4 转码时效性保证 (33)
4.4.5转码成功率保证 (34)
4.5流媒体子系统 (35)
4.5.1流媒体子系统功能 (35)
4.5.2 点播工作流程 (36)
4.5.3系统特征及优势 (36)
第五章设备配置清单 (38)
5.1 桌面虚拟化部分 (38)
5.1.2单监区 (38)
5.1.3中心机房配置 (39)
5.2 在线教育门户系统部分 (40)
第一章项目概述
浙江省乔司监狱位于浙江省杭州市经济技术开发区,由1950年成立的乔司农场改为现名是新中国第一批成立的监狱之一,2008年5月被司法部授予“现代化文明监狱”称号,是杭州市绿色蔬菜生产基地。
为实现数字点播、狱务公开、电化教育、视频会见、远程医疗等教育子网功能;确保监狱对罪犯上网行为的安全可控,实时监控掌握罪犯动向;减少各类因软硬件问题产生的维护工作,降低运维和支持成本;降低硬件、系统等故障和安全策略等问题导致数据丢失和自由拷贝等风险,提高数据安全和业务安全;提高终端的集成度,减少连接线缆,实现设备的统一管理、统一维护、统一调度,保障教育活动的有序进行和监管安全,结合教育改造需求,依托监狱综合布线和教育改造专网部署应用,采用虚拟化技术,建设教育平台,乔司监狱现计划根据《教育专网及计算机终端配置建设指导意见》建设电算化教室与视频点播系统。
第二章整体建设方案
2.1整体部署拓扑图
2.2部署方案说明
2.2.1深信服一站式桌面云部署
中心机房部署说明:
此方案采用分布式部署,中心机房只需部署一套桌面虚拟化服务器与控制器(为两个监区的量级,用于灾备接入)。
此外,中心机房部署基础架构,AD域控制器和DHCP服务器(如果已有现成域控制器DC/DNS/DHCP,可以利用现有服务器),AD域控主要作联动认证之用,也可以采用本地认证(在VDC上直接添加用户名密码),而DHCP服务器主要为瘦终端和虚拟桌面自动化分配IP 地址。
各监区部署:
各监区通过裸光纤直接接入到中心机房,并分别部署桌面虚拟化系统。
各监区服务端各集群部署2台独享桌面服务器(X86服务器),同时各部署1台虚拟桌面控制器VDC,VDC以单臂模式部署于交换机中(如图所示),各监区电算化教室需部署相应数量瘦客户机adesk,经过认证后,虚拟机以图像方式将对应桌面发布到瘦终端。
2.2.2在线教育门户系统部署
在线教育门户系统包括门户子系统、在线教育子系统、内容管理子系统、流媒体子系统和视频转码子系统组成,五个子系统集中部署到中心机房,另外需要部署一套存储用于媒体资产的存储使用。
另外,由于门户子系统、在线教育子系统、流媒体子系统是对外服务功能部件,考虑冗余备份,采用服务器集群的部署模式,需部署负载均衡设备做服务器负载(如图所示)。运用多台服务器集群的机制,深信服负载均衡AD设备能将所有真实服务器配置成虚拟服务来实现负载均衡,对外直接发布一个虚拟服务IP。当用户请求到达应用交付设备的时候,根据预先设定的基于多重四、七层负载均衡算法的调度策略,能够合理的将每个连接快速的分配到相应的服务器,从而合理利用服务器资源。不仅在减少硬件投资成本情况下解决单台服务器性能瓶颈,同时方便后续扩容,为大并发访问量的系统提供性能保障。
通过对服务器健康状况的全面监控,深信服负载均衡AD设备能实时地发现故障服务器,并及时将用户的访问请求切换到其他正常服务器之上,实现多台服务器之间冗余。从而保证关键应用系统的稳定性,不会由于某台服务器故障,造成应用系统的局部访问中断。
第三章深信服一站式桌面云解决方案
3.1深信服桌面云整体架构
深信服桌面云产品最重要的一个特点就是“一站式”,由深信服向客户提供包含服务器虚拟化软件(VMS)、桌面云虚拟化(VDC)以及瘦终端(aDesk)在内的整体解决方案,从而可以帮助用户降低投资和运维成本,更快速的实现虚拟桌面的部署。
瘦终端aDesk:外观小巧精致,采用ARM架构(A9芯片)和Android系统,性能强劲,处理速度快。相比于X86架构的瘦终端,其能耗更低、长期运行稳定性更高(无需散热)、且操作系统精简化,可实现零维护。同时,利用外设重定向技术,可兼容桌面应用中的各类外设。
虚拟桌面控制器VDC:主要实现用户接入认证、细粒度策略控制、虚拟桌面及瘦终端的统一监控、管理等,以更低成本、更安全、更可靠地交付Windows桌面,支持硬件VDC和软件VDC(部署于虚拟机)两种部署模式。
服务器虚拟化软件(VMS):祼金属架构,直接安装于物理服务器上,提供性能强劲、高可靠性的虚拟化计算平台,实现虚拟机快速部署、资源管理和监控、动态在线迁移、数据备份及恢复等,可为云桌面工作负载提供先进功能,支持大规模部署且易于操作。
3.2多种桌面交付类型
独享式桌面:基于服务器虚拟化技术在服务器为每个用户分配独立的虚拟机(安装Windows XP、Windows 7等桌面操作系统),每用户桌面都拥有独立、完全的桌面使用和控制权限,用户可远程访问属于自己的虚拟机(桌面)。
适用场景:对于允许自主安装软件、应用环境相对复杂的用户(例如:研发、销售、营销、领导层等),独享桌面可以提供个性化Windows桌面体验,通过为用户单独设置一个虚拟操作系统,满足日常个性化办公需求。
共享式桌面:多个用户会话共享服务器上运行的Windows Server桌面环境,每用户桌面都是被锁定的、标准化的,可以访问预安装的一组核心应用程序,但无法自主安装软件或更改桌面配置。
适用场景:对于需要使用桌面、不允许自主安装软件(例如:柜台业务、数据录入、流程操作、生产线等)的用户,共享桌面可以提供标准化办公桌面,满足标准型办公需求。
虚拟化应用:基于服务器操作系统(如Windows Server 2003,Windows Server 2008,Windows Server 2012 )的用户会话共享和应用程序多实例功能,允许多个用户同时远程连接到同一个应用程序,用户可拥有个人应用数据,并共享使用同一套互相隔离的应用程序。
适用场景:对于不需要使用桌面、应用数量较少的用户(例如:公共查询机等),虚拟应用技术可以把所需要的应用直接交付给用户,通过各类设备访问以满足任务型办公需求。
3.3模块介绍
3.3.1 AD/DHCP服务器
活动目录(AD)服务器提供标准的LDAP目录服务,VDC支持与AD联动,负责用户的身份认证和权限自动导入。
DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写,它的作用是给瘦终端和虚拟桌面用户自动分配IP地址。
3.3.2桌面服务器和磁盘阵列(VMS)
在每台桌面服务器上安装服务器虚拟化软件(VMS),VMS为祼金属架构,无需宿主操作系统,向导式安装过程、操作简单。可为云桌面方案构建一个功能强大、高可靠性、高可扩展性的虚拟机运行和管理平台,实现物理资源动态调配、虚拟机快速部署、监控及管理等。由于后端部署了独立存储设备,虚拟机和用户数据存储于磁盘阵列上,可以通过HA和迁移技术保障服务端的高可用性。
3.3.3虚拟桌面控制VDC
硬件VDC(如VDC-2500)以单臂模式部署于网络中,或软件VDC(镜像导入虚拟机)部署于VMS虚拟机平台上。主要提供用户创建和认证、资源访问控制、桌面监控和管理等功能,VDC能简化云桌面的管理、调配和部署,用户能够通过VDC安全而方便地访问云桌面,IT管理员能有效地管理数百甚至数千个桌面,从而节约时间和资源。
3.3.4终端设备
支持PC、笔记本、瘦终端、iPad、iPhone、Android手机或智能终端等设备接入访问虚拟桌面;
支持Windows 7(32位和64位)、Windows XP(32位)、Windows 8(32位和64位)、Windows XPE、iOS、Android等客户端操作系统。
3.4服务器群集设计思路
如上图所示,在每台X86服务器上安装服务器虚拟化软件(VMS),通过VMS软件可为云桌面平台提供最高的可用性,不仅配置方法简单,也无需采用第三方集群软件,所以成本更低。VMS的HA配置采用一键化模式,在控制台界面中快速开启HA功能后,便可以将所有或部分服务器组成高可用性架构,无论是计划外停机或者服务器出现故障,此架构都能提供最高级别的服务可用性。
VMS HA机制通过以下方式保障服务的可用性:
●持续监控虚拟机和服务器的运行状态,无需在虚拟机内安装其他软件;
●检测到故障后,通过在集群内的其他正常主机重启虚拟机,防止服务器故障;
●结合VMS资源自动调度功能以防止出现故障,以及在群集内的主机之间提供负载
平衡。
当然,如果某台物理服务器需要维护,在无需中断服务的情况下,可将服务器之上的虚拟机动态迁移至其他服务器,管理员可以快速、完整地执行透明的运维工作。
3.5深信服SRAP协议技术详解
深信服推出针对aDesk桌面云方案设计的SRAP高效交付协议,向用户快速提供“高清桌面体验”,SRAP(Sangfor Remote Access Protocol)即Sangfor远程接入协议,是专为虚拟桌面而开发的虚拟化技术协议框架,相对传统RDP协议可提升6倍以上传输效率。SRAP采用自适应调节、高效算法、智能优化等技术手段,可实时动态优化端到端的交付性能,以适应各种应用场景,不管是普通办公应用还是语音、视频等多媒体应用,通过深信服自主研发的创新技术都能够全面改善用户体验。
SRAP作为全新的虚拟交付协议,其实质是在服务端增加SRAP模块实现协议代理,SRAP 客户端与其交付过程中进行各项速度、体验方面的优化。深信服SRAP协议面向多种虚拟桌面和应用类型,通过数据转发控制,数据压缩、缓存与过滤等方式提供可以与传统PC软件相媲美甚至更卓越的使用体验,并且针对不同用户环境、不同使用场景的独特情况,都可以采用最佳优化手段来适应环境变化,进一步改善用户体验。
●高效、智能的优化手段
SRAP虚拟协议技术框架主要通过高效流压缩、智能缓存优化、动态图像过滤、多媒体重定向总共4种优化手段协同工作,此4类技术点分别涵盖丰富的优化特性,且通过相互之间的融合,在各种用户场景进行手动和自动化适应以提供最佳的桌面使用体验,可支持1080P高清视频流畅播放。
●普通办公效果对比
对于营业厅、内网办公、外派分支、生产车间等普通办公环境,用户通过桌面云需要访问各种OA、ERP等应用,打开PDF、Office等文档。
通过在不同的办公环境(局域网和互联网)下进行实际测试,我们发现未采用优化手段时,在虚拟桌面进行PPT切换的操作会存在显示速度慢、图像不全等问题。
(PPT切换效果对比图)
开启SRAP协议优化功能之后,在网络延迟较高、丢包较为严重的情况下,依然能够保障较为流畅的桌面操作体验,用户基本感觉不出有卡顿的现象,且对带宽占用极低,让用户在局域网环境和互联网环境下都可以高效办公。
(SRAP优化数据分析)
注:1.流量单位Byte;2. 压缩倍数=数据总量/SRAP优化后的数据量。
高清视频播放效果对比
除了普通的办公场景外,对于呼叫中心、多媒体培训室/教室、上网浏览等应用场景,用户还需桌面云能够提供语音、高清视频的流畅体验。
(视频播放效果对比图)
传统采用服务端解码的播放方式如上图优化前的效果,会存在视频模糊、视频帧缺失、音视频不同步、带宽占用高等问题,基本无法正常观看视频。深信服创新性地提出多媒体重定向技术,采用先进的编码和流媒体技术,在服务器将经过压缩和编码的流媒体发送至终端,通过基于软件和硬件的处理能力实现本地播放,提升多媒体播放性能,可流畅播放
1080P的高清视频。
总体来说,深信服自主设计的SRAP框架以智能、自适应模式持续为用户提供高清桌面体验,我们也将不断优化SRAP协议,以全面强化与云桌面技术的结合,确保能够创造丰富、高清的桌面操作体验,满足终端用户的访问要求,推动桌面云技术方案在企业级用户中实际落地。
3.6如何实际应用aDesk方案
电算化教室多用途化:传统PC如果要满足不同业务教学需求,需要安装N多种教学软件或进行复杂的桌面更换。当采用了aDesk方案之后,可以根据授课内容、团队培训目的等实际需求,利用桌面模板化技术快速满足多种教学用途,随时随地完成教学桌面切换,提升了教学质量。
个性化教学:所有教学环境虚拟化后,桌面环境可以随需选择,比如实现单一化业务培训时,则可以选择仅发布标准化、涵盖所需软件的桌面系统,让他们只能接触到和教学相关的软件,精力集中,实现高效培训或教学,且节省硬件资源。或者为学员发布个性化上机桌面,保证学生可以自由实验,实现个性化学习,提供了一个完全开放式的教学实验新平台。
教学桌面高效管理:强大的桌面还原模式让操作系统重启即可恢复正常,无需担忧软故障或故意破坏行为对系统造成的影响,实现对分散化IT的集中式管理和安全控制能力,无论是重装系统、更新软件、甚至是灾难恢复,都能在不影响教学的前提下,在办公室里远程、在线轻松地完成。
3.8深信服一站式方案优势总结
3.8.1方案价值总结
1. 运维成本大幅降低
桌面云的应用将极大的减少后期的运维成本,采用模板化的部署方式后,一个新的桌面用户可以在10分钟左右就完成交付使用,而故障的排查和修复时间更是大幅度减少,原来只能管理100台终端的IT管理员现在可以轻松的管理上千台的虚拟桌面。保守估计,算上设备更替和运维的成本,5年的IT总成本可以节省40%以上。
2. 节能降噪,绿色办公
传统PC每小时耗电量大概在190W左右,而瘦终端的能耗只有10W。以1000台的部署规模为例,按一天开机10小时、每年240个工作日、每度电按0.75元的工商业用电价格来折算,即使算上数据中心新增服务器的电力成本,把1000台PC换成瘦终端每年至少可节省25万元电费。
*中国工商业用电平均费用以0.75元/千瓦时计算。
3. 保护信息资产安全
桌面云将所有的数据集中存储在数据中心,笔记本、瘦终端等前端设备只接收图像,整个业务过程里数据不落地,确保安全。而集中化的部署方式也更有利于IT部门对信息资产进行统一管理。不仅如此,桌面云还能够轻易的在组织内部建立起相互逻辑隔离的多张网络、来满足不同类型业务的使用需求。
4. 桌面随身行办公模式
适应移动信息化建设趋势,在策略许可的情况下,用户可以实现在任意时间、任意地点、通过任意终端访问自己的个人桌面,真正做到桌面随身行,在任一终端上的桌面操作可以在另一个终端中继续开展,工作不会因为场所变化而中断,从而提升员工的工作效率。
3.2 方案优势介绍
●完善的全系列云方案:涵盖瘦终端、虚拟桌面控制器VDC、虚拟机管理软件VMS
三大环节,业界方案最全面,兼容性最好,性价比最高,为IT 提供了一种更加精
简和安全的方法来管理用户和提供可按需访问的敏捷桌面服务。
●卓越的用户体验:针对各种应用场景进行性能调优,高效传输协议SRAP提升6倍
以上的速度,将访问带宽降至最低,达到与传统PC一致的访问体验。并且利用瘦
终端ARM架构内置的高清视频协议处理器可流畅播放1080P高清视频。
●更全面的安全保护机制:高达8种身份认证方式自由组合以保障用户接入安全,全
方位的加密算法保障传输安全,灵活访问控制进行集中鉴权,数据存储加密保障个
人数据安全,最终实现端到端桌面云安全保护。
●集中式WEB管理模式:整套方案的搭建仅需两大组件(VDC和VMS),相对业界其
他厂商其部署组件最少,并可提供集中式、单一化的远程运维模式,提高了虚拟桌
面部署的易用性和可维护性。
●专业的本地化服务模式:国内唯一具备自主研发整套虚拟化产品体系的厂商,在中
国拥有大规模的开发团队,可快速响应用户的需求;全国40多个办事处提供本地
化技术支持,售后服务体系完善。
3.9产品精彩亮点解析
3.9.1良好用户体验
3.9.1.1 高清视频体验
深信服桌面云方案允许在虚拟桌面中查看或编辑图像和多媒体信息,且可以支持1980*1200分辨率和32位彩色桌面显示。另外,传统桌面虚拟化方案在播放高清视频时主要采用服务器解码和播放,然后将变化中的图像按帧传输给前端显示设备,但这种方式对服务器性能要求高,且非常占用带宽资源,往往效果不好。而深信服提出音视频重定向技术,将1080P高清视频流在服务器上进行编码和压缩,然后直接传输到前端设备,利用基于高清视频处理器和本地解码技术流畅地播放高清视频,给客户带来极佳的视频观看体验。
3.9.1.1高效SRAP协议
云桌面需要通过网络交付给前端设备,其中最重要的组成部分就是桌面交付协议。SANGFOR SRAP协议发展于2011年,是专门为虚拟桌面或远程应用程序的高效交付而设计的,能够满足低带宽的传输需求,同时具有最佳的外设兼容性。SRAP协议主要通过高效流式压缩算法、有损压缩、图像缓存匹配、动态内容识别过滤、文字图像识别智能压缩等优化技术提升6倍以上的传输效率。最低带宽要求仅需20~30K/s,在丢包和延迟都比较高的网络环境下依然能够正常使用,最大程度保障用户桌面体验。
3.9.1.3 单点登录技术
客户有可能使用多个虚拟应用程序或Windows虚拟桌面,而每套应用系统或桌面系统都会有单独的身份认证措施,一般情况下是需要多次认证才能正常办公,这种工作非常繁琐且容易出错,影响工作效率。为了提升终端用户的满意度,深信服引入单点登录技术,在通过VDC严格认证之后,无需再次进行虚拟应用和虚拟桌面的认证,采用“一键化”模式开启桌面和应用的操作界面。目前支持BS和CS类型的远程应用和Windows虚拟桌面的单点登录功能,实现多系统和多桌面整合,避免用户重复输入账号或口令的繁琐操作,提升员工工作效率和操作满意度。同时,对已经开启了单点登录的虚拟应用程序,用户可在登录成功后在个人设置中对这些应用进行单点登录帐号、密码自设定,所设置的数据将以加密的方式进行传递,并对管理员不可见,保证用户帐号的安全性。
3.9.1.4自动化桌面部署
在DHCP环境下,用户使用瘦终端,可在无人指导的情况下,快速接入云桌面,实现即插即用的终端操作体验。另外,相对传统PC上线前需要经过硬件采购、系统安装、桌面运维等一系列的繁琐、复杂的过程,在部署好桌面云平台之后,管理员可以通过虚拟机模板来快速、自动地为新用户派生虚拟桌面,同时管理员不仅可在控制台查看用户虚拟机的CPU、内存、磁盘的详细情况,还可以对用户虚拟机进行开机、关机、挂起、重启等电源级别操作。当用户虚拟机出现故障后,管理员既可以通过新的虚拟机模板进行快速替换,也可以在控制台远程接入用户虚拟桌面,协助处理系统故障问题。
3.9.2最优的灵活性
3.9.2.1广泛终端支持
用户可以通过任意终端设备来访问属于自己的个人虚拟桌面,而且可以实现终端迁移功能,在多个终端间切换,不会影响原先的桌面操作行为,真正做到桌面随身行。目前支持PC、笔记本、瘦终端、iPad、iPhone、Android手机或智能终端等设备接入访问虚拟桌面;支持Windows 7(32位和64位)、Windows XP(32位)、Windows 8(32位和64位)、Windows XPE、iOS、Android等客户端操作系统。
3.9.2.2丰富的桌面类型
不同的场景、不同的岗位上的员工需要不同类型的桌面,深信服通过SRAP交付技术提供多种不同类型的虚拟桌面,来满足用户多样化的桌面需求,具体如下:
共享桌面:利用服务器操作系统的多用户会话共享功能,允许多个用户同时远程连接到同一个操作系统,并为每个用户提供不同的桌面,用户可拥有自己的桌面配置和个人数据,并共享同一套完整的桌面系统;标准化的桌面办公环境,可以提供一组核心应用,适用于不
需要(不允许)个性化安装软件或无自主桌面控制权限的任务型员工,比如办事大厅、职能办公、生产线、培训中心等。
远程应用:利用服务器操作系统的用户会话共享和应用程序多实例功能,允许多个用户同时远程连接到同一个应用程序,用户可拥有自己的应用配置和个人数据,并共享同一套应用程序;特定的应用程序交付,适合于应用数量较少,日常办公时仅需操作某几类软件,或需要移动办公的员工,如营业厅、生产线、销售部门及管理层移动办公等。
独享桌面:基于服务器虚拟化提供的可远程访问的桌面,即服务器可以根据模板自动为每用户分配一个虚拟机(安装Windows XP、Windows 7等桌面操作系统,并且每个独享桌面相互隔离),用户远程访问自己的虚拟机,并可拥有独立、完全的桌面使用和控制权限。适用于有系统个性化需求、对性能要求高的桌面用户,当然部署独享桌面对服务器和存储资源的要求比较高。
无论企业内的各种用户应用场景以及用户的需求如何多样化,通过SRAP交付技术,总能找出一种适合的技术来满足各种场景和用户的需求。IT部门能够交付各种虚拟桌面–每种桌面都经过专门定制,可满足每位用户的性能、安全性和灵活性要求。
3.9.2.4外设的总线映射技术
深信服桌面云方案允许将外设连接到终端上,外设驱动安装于服务器上,然后可以如本地桌面一样使用各种外设,尽管虚拟桌面是在服务器上运行的。通过总线映射技术在终端连接外设的接口如USB或串口与服务器上的虚拟桌面构建一条专有的隧道,用于传输各种外设的控制指令,可以支持包括扫描枪、扫描仪、摄像头、密码小键盘、二代身份证读卡器、手写板、打印机映射、USB-key等常见总线办公设备,并且保持会话间的隔离。另外,深信服推出专有的虚拟打印技术,通过在服务端选择SANGFOR虚拟打印机,在客户端本地
打印机即可打印文件,且服务器端的虚拟机上无需安装本地打印机驱动。
3.9.2.5智能开关机
智能开关机能够真正实现对用户虚拟桌面开、关机进行自动控制。即使瘦终端已经关闭,用户可能会忘记关闭位于服务器上的虚拟机,此时便可以实现对虚拟机的自动关闭功能,从而可以节省服务器的硬件资源。同时,通过软件内置的定时开机功能,可以指定在任意时间开启个人的虚拟机,且开机时可将用户虚拟机自动调度至资源充足的服务器上,一方面通过此技术可以避免IO风暴,加快系统登录时间,另一方面,通过自动化技术来简化用户访问虚拟桌面的操作步骤,让用户体验到简约、便捷的桌面操作。
3.9.3端到端安全设计
虚拟桌面从防范非法用户和恶意系统管理员的角度进行全方位的安全防范,保证接入虚拟桌面的用户和数据高度安全性,深信服aDesk桌面云方案集成了丰富的VPN安全特性,针对各分层采用安全措施具体如下:
3.9.3.1终端安全
采用精简加固基于Android OS,瘦客户机无本地存储,可以说数据总是存放在最安全的地方。用户接入虚拟桌面资源时通过合法性认证、USB灵活可控策略、应用策略化控制、还原模式等方式保证终端安全。
?集成本地认证、短信认证、动态令牌、数字证书、第三方认证等身份认证机制,而且多种身份认证方式可以自由组合,以确保接入用户的身份唯一性;
?基于灵活策略设置USB端口使用权限,比如是否允许使用USB设备(包括打印机、扫描仪等),还可以灵活控制USB硬盘的单向使用权限(比如仅允许访问终端往虚拟桌面拷贝数据,而不允许桌面到终端的数据拷贝);
?基于策略的访问控制:可以根据用户、网络、服务、设备、系统等,通过关联的策略为他们分配合适的访问权限。支持客户端安全检查功能,可以根据客户接入终端的系统版本、接入IP,接入时间,杀毒软件的安装更新情况等,指定用户的访问控制策略;
?桌面注销时还原至原始状态,该模式下,除了指定的一些目录外,用户所做的操作都会在重启后被还原。模板升级后,用户重新打开的虚拟机包含模板升级的内容,可以降低终端中毒风险。
3.9.3.2传输安全
通过VLAN隔离,并内置企业级防火墙模块进行状态化ACL访问控制,管理员登录时采用HTTPS加密传输、用户访问虚拟桌面采用传输加密等手段,保证业务运行和维护安全。
●终端到虚拟桌面之间仅传输图像变化和指令信息,不直接传输实际数据,也即是说,
“瘦终端+云桌面”让数据不落地,保障传输安全性;
●可对传输加密通道进行基于IP、服务的访问控制策略,减少异常流量的传输,且支
持同一传输通道不同会话的隔离控制,包括存储会话、虚拟打印会话、总线映射会
话等等,从而提升传输通道的灵活度;
●通过对终端到虚拟桌面进行全程流量加密,杜绝中间人攻击行为,目前支持AES、
DES、3DES、MD5、SHA、DH、RSA等算法,并且支持扩展国密办SCB2(SM1)等
其他加密算法,确保通信的安全性;
●在桌面云接入平台上内置了企业级防火墙模块,通过灵活的ACL访问控制策略和
DDoS设置,为整个平台提供状态包过滤和基本安全保护。
3.9.3.3平台安全
虚拟化基础架构(VMS)的安全性关系到整个虚拟桌面访问的稳定性和数据安全性,本方案首先通过高可用性设计满足业务稳定性需求,然后再通过虚拟机隔离、数据盘加密控制、管理员权限细化等安全机制保证用户数据的安全。
●在独享桌面的情况下,每用户独占一个虚拟机,通过VMS底层机制实现CPU调度、
内存、网络访问、磁盘IO、存储空间的隔离,用户虚拟机的故障和安全问题不会
影响到其他用户,保证虚拟机之间的隔离安全;
●每用户都会分配个人数据盘来存放文档,当用户迁移至虚拟桌面的使用模式后,所
有数据都集中存储于数据中心。因此,通过为个人数据盘进行加密存储,让其他用
户包括管理员都无法访问,可以保证用户个人稳私安全;
●不同管理员角色,授予合适的管辖权限范围,并保存操作日志。支持分级管理权限,
包括上级管理员有权操作下级管理员的配置行为,相反则无权;支持上级管理员将
虚拟桌面资源授权给下级管理员。
通过终端安全、传输安全、平台安全三大层次的端到端、多方位安全机制,可以完善保障用户接入安全、数据安全、管理安全、虚拟化安全、基础设施安全等多个建设环节,轻松应对虚拟桌面在建设过程中所面临的安全威胁及挑战。
3.9.4最低的IT总体成本
3.9.
4.1 高效率、低能耗瘦终端
深信服aDesk瘦终端是一种理想的桌面设备,它外形小巧,无噪音运行,日常耗电量仅需10瓦,经济环保。aDesk允许随时随地连接SANGFOR虚拟桌面平台,不仅可获得与传统PC一致的访问体验,而且提供了可靠的安全性;同时通过虚拟桌面控制器VDC进行中央管控,极大简化aDesk瘦终端管理工作。
深信服aDesk瘦终端适用于金融、运营商、企业、政府、教育、医疗等行业的多种办公场景,故障排除、软件安装和系统升级都在服务器端完成,提高了安全性和管理的便捷性,