vTop 技術(shù)白皮書v5.2

1、 紅山桌面虛擬化vTop技術(shù)白皮書(Version 5.2)北京紅山世紀(jì)科技有限公司2014年3月紅山桌面虛擬化vTop技術(shù)白皮書 版本號：V 5.2版權(quán)所有 © 2014北京紅山世紀(jì)科技有限公司。保留所有權(quán)利。 Halsign、紅山、vTop和徽標(biāo)是北京紅山世紀(jì)科技有限公司在中國和/或其他國家/地區(qū)的注冊商標(biāo)或商標(biāo)。其他公司名稱或產(chǎn)品名稱僅作提供信息之用，可能是其各自所有者的商標(biāo)。目 錄1概述11.1開發(fā)背景11.2產(chǎn)品定位12vTop原理及架構(gòu)32.1IDV技術(shù)與VDI技術(shù)32.2vTop的實現(xiàn)63vTop主要功能83.1離線使用83.2終端漫游83.3用戶權(quán)限管理83.4備份與

2、容災(zāi)83.5虛擬防火墻93.6主機(jī)綁定93.7策略管理93.8用戶數(shù)據(jù)集中管理103.9外設(shè)管理104vTop優(yōu)勢114.1簡單易用114.2用戶完美體驗124.3保證數(shù)據(jù)安全135紅山公司簡介141 概述1.1 開發(fā)背景在數(shù)字化、信息化的時代，幾乎所有的工作都離不開計算機(jī)的輔助，一個單位的終端桌面數(shù)量往往達(dá)到數(shù)百臺，甚至幾千臺。目前桌面管理采用的最普遍方式是為用戶提供一臺硬件設(shè)備， IT 部門在這些設(shè)備上安裝一套“標(biāo)準(zhǔn)的”鏡象。然而，絕大部分使用者并不具備電腦維護(hù)方面的專業(yè)知識，而是只關(guān)注各自的業(yè)務(wù)操作，因此對企業(yè)單位內(nèi)電腦的維護(hù)工作成為一項十分艱巨的任務(wù)。據(jù)估計，購買桌面硬件和軟件的費用通

3、常占設(shè)備總成本的20% - 30 % ，而其余70% - 80% 則主要是IT 維護(hù)成本。此外，如果本地設(shè)備出現(xiàn)損壞、丟失或被盜，企業(yè)或政府的敏感數(shù)據(jù)將隨計算機(jī)而消失，對企業(yè)及各機(jī)關(guān)單位的數(shù)據(jù)造成極大的安全隱患。桌面虛擬化技術(shù)就在這種強(qiáng)大的市場需求下應(yīng)用而生。桌面虛擬化是指將個人的桌面軟件環(huán)境與個人計算機(jī)的物理硬件相分離，允許用戶通過任何可上網(wǎng)的計算機(jī)訪問自己的個人桌面。雖然這仍然是一個相對較新的市場，但是大多數(shù)企業(yè)都存在快速實現(xiàn)桌面虛擬化的潛能。當(dāng)前市場的全球化、員工移動性等特點分散了企業(yè)的各種流程。但是，對桌面簡化管理、集中部署、保障信息安全的需求仍是企業(yè)亟待解決的重要問題，也是桌面虛擬化

4、的主要驅(qū)動因素。1.2 產(chǎn)品定位 紅山公司立足于服務(wù)器虛擬化的技術(shù)優(yōu)勢，應(yīng)用較為先進(jìn)的IDV技術(shù)架構(gòu)，從集中管理、簡化部署、保障安全等方面深入探索研究，自主研制開發(fā)的桌面虛擬化解決方案vTop，旨在為中小型企業(yè)、高校、醫(yī)院、呼叫中心、政府職能部門等需要部署維護(hù)相當(dāng)數(shù)量桌面的單位以及研究中心、設(shè)計院等需要對數(shù)據(jù)高度保密的部門提供完善的虛擬化解決方案。通過部署vTop，主要主要可以實現(xiàn)以下功能和要求： 提高數(shù)據(jù)安全性：對于那些由于員工移動強(qiáng)而必須努力保護(hù)敏感數(shù)據(jù)的大型企業(yè)來說，這是一項必須達(dá)到的管理目標(biāo)。 簡化對所有桌面的管理：桌面IT操作不再需要重復(fù)的手工工作就能確保企業(yè)內(nèi)所有桌面都安裝了最新的

5、補(bǔ)丁和更新，并進(jìn)行了最新的升級和刷新，以保證桌面的性能。 提高操作系統(tǒng)的性能：即使Windows注冊表因安裝了若干更新和新軟件而出現(xiàn)混亂，虛擬化桌面的性能也不會隨時間的推移而衰退和下降。最新的虛擬桌面和應(yīng)用在數(shù)據(jù)中心更新后便可由用戶選擇性的下載到本地，安裝運行。· 滿足個性化需求：vTop滿足一些機(jī)密單位或部門對不同用戶權(quán)限的限制，如：外設(shè)使用權(quán)限、主機(jī)訪問權(quán)限等。2 vTop原理及架構(gòu)目前市場上存在的桌面虛擬化技術(shù)主要有VDI和IDV兩種技術(shù)架構(gòu)。2.1 IDV技術(shù)與VDI技術(shù)l VDI技術(shù)架構(gòu)VDI架構(gòu)的特點是集中管理、集中運行。該方案將操作系統(tǒng)及應(yīng)用程序統(tǒng)一存放在數(shù)據(jù)中心的服務(wù)

6、器及存儲設(shè)備中，虛擬桌面與數(shù)據(jù)中心通過網(wǎng)絡(luò)連接，所有的桌面計算資源高度集中在數(shù)據(jù)中心，只是將界面發(fā)送至終端設(shè)備，其架構(gòu)如下圖所示。圖 1 VDI架構(gòu)圖VDI架構(gòu)桌面虛擬化給IT建設(shè)帶來的顯著挑戰(zhàn)：· 高成本要實現(xiàn)VDI環(huán)境，企業(yè)需要在核心基礎(chǔ)設(shè)施上增加投入，包括面向VDI的高可靠性存儲、服務(wù)器和新的終端設(shè)備，同時還需要支付VDI軟件授權(quán)的費用，實施起來比傳統(tǒng)IT基礎(chǔ)架構(gòu)的成本還要高。· 存儲性能瓶頸由于桌面和應(yīng)用以集中化的方式存儲，強(qiáng)大的數(shù)據(jù)吞吐量給存儲系統(tǒng)帶來了巨大的壓力，VDI的性能也受到存儲系統(tǒng)能夠支持的IOPS的影響。因而，存儲性能的好壞直接影響終端用戶的體驗。對V

7、DI系統(tǒng)來說，當(dāng)大量的Windows系統(tǒng)同時啟動或登錄時，還會產(chǎn)生所謂的“啟動風(fēng)暴”或“登錄風(fēng)暴”。· 軟件授權(quán)企業(yè)在實施VDI之前，必須要搞清楚軟件廠商是否提供了產(chǎn)品的VDI授權(quán)，很多軟件授權(quán)都明文禁止在虛擬環(huán)境中使用，或者會要求企業(yè)另外購買專門的虛擬化授權(quán)供VDI環(huán)境使用。· 用戶體驗高效的遠(yuǎn)程顯示協(xié)議也無法完全消除低帶寬、高延時網(wǎng)絡(luò)連接對用戶體驗的影響。對網(wǎng)絡(luò)帶寬、延時的要求，使得VDI無法真正突破多媒體、3D影像設(shè)計應(yīng)用的瓶頸。· 網(wǎng)絡(luò)依賴VDI要求具有始終能連接到數(shù)據(jù)中心的網(wǎng)絡(luò)，虛擬桌面與數(shù)據(jù)中心通過網(wǎng)絡(luò)連接，所有的計算都發(fā)生在虛擬的宿主機(jī)端。對網(wǎng)絡(luò)的依

8、賴，使得脫機(jī)使用變得十分困難，給用戶的移動性也帶來挑戰(zhàn)。· 集中風(fēng)險VDI采用集中運算的機(jī)構(gòu)，當(dāng)網(wǎng)絡(luò)、數(shù)據(jù)中心、服務(wù)器、存儲等出現(xiàn)故障時，將引發(fā)大面積的桌面故障。· 外圍設(shè)備支持VDI對各種可用外圍設(shè)備存在限制，對很多外設(shè)的兼容存在問題。l IDV技術(shù)架構(gòu)紅山vTop采用的是智能桌面虛擬化(Intelligent Desktop Virtualization,IDV)架構(gòu)，它是一種新穎的技術(shù)觀念，采取的是集中管理、分布式運行方式來滿足運營技術(shù)需求，其技術(shù)架構(gòu)如下圖所示。圖 2 桌面虛擬化IDV架構(gòu)圖紅山vTop直接安裝在客戶端上，多個操作系統(tǒng)可作為虛擬機(jī)并排安裝，所有商務(wù)應(yīng)

9、用與計算都在本地運行，vTop可以全面隔離每個虛擬機(jī)，確保最高的安全性；數(shù)據(jù)中心用于保存桌面鏡像及用戶數(shù)據(jù)，并對整個系統(tǒng)進(jìn)行集中管理。相對于VDI架構(gòu)而言，IDV架構(gòu)的桌面虛擬化解決方案具有以下特點及優(yōu)勢：n 成本低借助IDV，各機(jī)構(gòu)無需基礎(chǔ)設(shè)施的投入便可快速而方便地開展桌面虛擬化。n 降低存儲和網(wǎng)絡(luò)帶寬需求由于存儲設(shè)備只用于存放鏡像及用戶同步的數(shù)據(jù)，所有的應(yīng)用和運算都在客戶端本地運行，因而大大降低對存儲性能的要求；對于下載鏡像和同步數(shù)據(jù)時對網(wǎng)絡(luò)帶寬的需求也遠(yuǎn)遠(yuǎn)低于VDI技術(shù)架構(gòu)。n 用戶體驗流暢集中管理和本地執(zhí)行，將數(shù)據(jù)中心構(gòu)建量降至最低，同時使用智能客戶端的處理能力，優(yōu)化用戶體驗?？赏昝乐?/p>

10、持多媒體、3D影像設(shè)計、視頻交互等應(yīng)用。n 支持離線模式IDV提供了離線模式，當(dāng)網(wǎng)絡(luò)斷開時，可直接在本地硬件設(shè)備運行虛擬桌面，讓用戶能夠在任何時間、任何地點使用虛擬桌面，實現(xiàn)更大的移動性。n 支持外設(shè)IDV本地虛擬化實現(xiàn)方式，能夠兼容幾乎所有的外設(shè)，打印機(jī)、U-Key、加密狗等等，不再受虛擬化限制，在策略允許的情況下，可隨意使用。n 安全性高IDV采用分布式計算方式，網(wǎng)絡(luò)、數(shù)據(jù)中心、服務(wù)器、存儲任何一點的故障，都不會引起大規(guī)模桌面失效，從而保證了業(yè)務(wù)的可靠運行。2.2 vTop的實現(xiàn)vTop桌面虛擬化解決方案主要由幾部分組成：安全中心Halsign Manager、備份與同步服務(wù)器vStora

11、ge、桌面虛擬化軟件vTop及存儲。圖 3紅山vTop原理圖² Halsign Manager：安裝在一臺PC機(jī)（或虛擬機(jī)）上，是桌面虛擬化解決方案的管理中心，用于客戶端性能監(jiān)控以及防火墻設(shè)置和QoS保證等。² vStorage：安裝在一臺PC機(jī)（或虛擬機(jī)）上，進(jìn)行虛擬機(jī)標(biāo)準(zhǔn)鏡像存放與維護(hù)更新；對客戶端本地數(shù)據(jù)進(jìn)行增量備份，將用戶本地虛擬桌面同步到數(shù)據(jù)中心；對用戶、虛擬桌面和主機(jī)進(jìn)行集中管理和控制。² vTop：安裝在客戶端裸機(jī)上，可在本地客戶端直接運行桌面和應(yīng)用軟件，能夠?qū)崿F(xiàn)離線虛擬桌面，為用戶帶來體驗流暢、完全網(wǎng)外移動的完美體驗。作為一個企業(yè)級的桌面虛擬化解決

12、方案，紅山vTop桌面虛擬化采用集中管控、分布運行的架構(gòu)?？蛻舳说奶摂M桌面可以通過vStorage進(jìn)行同步，可以統(tǒng)一下發(fā)標(biāo)準(zhǔn)虛擬機(jī)鏡像，也可以定時備份客戶端上的本地數(shù)據(jù)，同時過集中的策略管理，可以限制被管理的虛擬桌面對外設(shè)的訪問，在設(shè)備丟失后進(jìn)行遠(yuǎn)程鏡像關(guān)閉、遠(yuǎn)程擦除，從而保證客戶端數(shù)據(jù)的安全性。同時，通過Halsign Manager可以設(shè)置虛擬防火墻和QoS。3 vTop主要功能3.1 離線使用只要是在當(dāng)前主機(jī)上已經(jīng)下載過的桌面鏡像，用戶都可以在沒有網(wǎng)絡(luò)的情況下離線登錄使用，當(dāng)網(wǎng)絡(luò)條件允許時，再將使用過程中產(chǎn)生的數(shù)據(jù)同步至數(shù)據(jù)中心。vTop的可離線使用功能，突破了在網(wǎng)絡(luò)條件差、甚至沒有網(wǎng)絡(luò)

13、的情況下，虛擬桌面使用的局限性，網(wǎng)絡(luò)中斷或網(wǎng)絡(luò)故障不會帶來桌面失效。3.2 終端漫游憑用戶名、密碼vTop用戶可在任意客戶端訪問自己的桌面，本次操作結(jié)束時，用戶根據(jù)需要將需要保留的數(shù)據(jù)上傳至vStorage；注銷登錄后，系統(tǒng)可以根據(jù)策略清除該用戶本次登錄時在本地產(chǎn)生的所有數(shù)據(jù)信息，確保用戶信息的安全性；任意客戶端在某一用戶登錄注銷后，其它用戶可無障礙登錄繼續(xù)訪問自己的桌面，實現(xiàn)了真正的終端漫游功能，為用戶帶來更高的移動性和安全性。3.3 用戶權(quán)限管理管理員在vStorage上創(chuàng)建桌面用戶，每個用戶擁有獨立的虛擬桌面，各用戶虛擬桌面之間完全隔離。用戶憑用戶名、密碼可在vStorage管理下的任意

14、客戶端訪問自己的桌面； 管理員可以通過vStorage為用戶分配鏡像、分配策略、綁定主機(jī)，以及管理用戶周期。大大簡化了系統(tǒng)部署管理的過程、降低了成本。3.4 備份與容災(zāi)vStorage可實現(xiàn)鏡像的集中管理和本地虛擬桌面的數(shù)據(jù)同步管理，按照一定的備份策略，可對用戶數(shù)據(jù)進(jìn)行周期備份；當(dāng)用戶數(shù)據(jù)損壞時，vStorage可將用戶數(shù)據(jù)恢復(fù)到損壞之前的某一時間點的狀態(tài)。3.5 虛擬防火墻虛擬防火墻是針對虛擬化的安全防護(hù)功能，專為虛擬網(wǎng)絡(luò)設(shè)計的ACL控制、強(qiáng)大的分層式防護(hù)設(shè)計與自動化安全功能，為用戶提供更嚴(yán)密的安全防護(hù)。用戶訪問控制（ACL）可對虛擬機(jī)之間進(jìn)行進(jìn)一步隔離，為虛擬機(jī)之間的數(shù)據(jù)安全增加了一層保護(hù)

15、。3.6 主機(jī)綁定個人桌面應(yīng)用、測試或開發(fā)、演示、高度保密環(huán)境等等，針對不同部門或用戶的不同的安全權(quán)限和要求，可對主機(jī)和用戶（或用戶組） 強(qiáng)制綁定，如：某些客戶端主機(jī)只能由研發(fā)部門員工憑用戶名、密碼登錄使用，其它用戶無相應(yīng)權(quán)限，無法登錄；某臺客戶端主機(jī)專門用于高保密環(huán)境，只供指定員工一人使用。3.7 策略管理vStorage對虛擬桌面、主機(jī)客戶端、用戶、用戶組進(jìn)行相應(yīng)的策略定義，并將其分配給相應(yīng)的用戶和用戶組。該功能體現(xiàn)vTop管理的便捷性和可操作性。主要包括以下策略： 1、 設(shè)備策略允許或者禁止訪問光驅(qū)、USB、打印機(jī)、U-key、無線接口等外設(shè)。2、 安全策略 在一段時間離線或未登錄的情況

16、下，禁止該用戶的使用。3、 用戶策略允許或禁止用戶修改密碼、允許或禁止用戶配置桌面網(wǎng)絡(luò)、自動/手動上傳數(shù)據(jù)、自動清除數(shù)據(jù)、多點同時登錄等。4、 備份策略定義備份的時間、周期、類型。5、 數(shù)據(jù)合并策略將某一備份點或備份時間之前的增量數(shù)據(jù)進(jìn)行合并，以減少其占用的存儲空間，合并后的數(shù)據(jù)不能再按備份點進(jìn)行恢復(fù)。6、 網(wǎng)絡(luò)規(guī)則為用戶下的鏡像或虛擬機(jī)分配特定的網(wǎng)絡(luò)配置，當(dāng)用戶在不同的終端漫游時可以自己決定使用相同或不同的網(wǎng)絡(luò)配置。3.8 用戶數(shù)據(jù)集中管理用戶在本地產(chǎn)生的數(shù)據(jù)文件可以同步到vStorage服務(wù)器中進(jìn)行統(tǒng)一管理；退出登錄后，在本地產(chǎn)生的數(shù)據(jù)將自動清除。應(yīng)用程序在本地設(shè)備啟動，對性能影響非常小，

17、保證各項應(yīng)用使用的流暢性，同時保證了用戶數(shù)據(jù)的安全性。3.9 外設(shè)管理vTop桌面虛擬化解決方案可兼容幾乎所有的外設(shè)，如：U盤、打印機(jī)、U-Key、加密狗等等。管理員還可以通過策略配置，禁止或允許某些用戶對特定外設(shè)的使用，從一定程度上保證了機(jī)密數(shù)據(jù)的安全性，避免數(shù)據(jù)泄露或外來病毒入侵。4 vTop優(yōu)勢4.1 簡單易用數(shù)分鐘安裝部署完成，無需改變用戶習(xí)慣即可使用虛擬桌面。Ø 創(chuàng)建標(biāo)準(zhǔn)鏡像具有發(fā)布權(quán)限的用戶創(chuàng)建企業(yè)標(biāo)準(zhǔn)鏡像，發(fā)布到管理服務(wù)器vStorage。Ø 為用戶分配部署鏡像vStorage管理員將標(biāo)準(zhǔn)鏡像下發(fā)到各個用戶，用戶下載標(biāo)準(zhǔn)鏡像到本地，形成用戶虛擬桌面。虛擬桌面在

18、本地運行，因此可提供良好的性能體驗，且可運行用戶離線脫機(jī)使用。Ø 用戶桌面?zhèn)€性化定制虛擬桌面采用分層架構(gòu)：用戶數(shù)據(jù)與設(shè)置、用戶自行安裝的應(yīng)用程序、包含操作系統(tǒng)及程序的標(biāo)準(zhǔn)鏡像，共三層設(shè)計。通過分層設(shè)計，用戶可在本地對鏡像進(jìn)行個性化定制，IT管理員只需維護(hù)標(biāo)準(zhǔn)鏡像。既保證了用戶使用的靈活性，又簡化了管理。Ø 用戶自行恢復(fù)桌面如果用戶桌面出現(xiàn)系統(tǒng)崩潰、藍(lán)屏死機(jī)、惡意攻擊等問題，用戶可自行將虛擬桌面恢復(fù)到原始的干凈狀態(tài)或備份過的某一時間點狀態(tài)，用戶數(shù)據(jù)與設(shè)置不受任何影響。Ø 集中更新鏡像vTop只需將鏡像的更新增量部分分發(fā)給用戶，更新速度快，成功率高。更新過程中如果遇到

19、問題，還可回退到上一版本。Ø 完備的策略管理虛擬桌面vTop可通過 vStorage查看所有虛擬桌面的使用情況，并且有多種策略對客戶端本地桌面進(jìn)行控制。4.2 用戶完美體驗Ø 支持離線模式，降低網(wǎng)絡(luò)依賴vTop可支持離線使用功能，在網(wǎng)絡(luò)條件差、甚至沒有網(wǎng)絡(luò)的情況下，用戶仍然可以訪問桌面和應(yīng)用，不必?fù)?dān)心網(wǎng)絡(luò)中斷或網(wǎng)絡(luò)故障帶來的桌面失效。Ø 利用本地資源，支持復(fù)雜應(yīng)用vTop采用本地虛擬化技術(shù)，可充分利用本地計算資源，圖形設(shè)計、高清視頻、多任務(wù)等VDI桌面虛擬化無法解決的瓶頸問題，vTop均可輕松解決。用戶可在vTop上運行復(fù)雜、高性能的應(yīng)用，體驗流暢，本地化運行方式，無需改變用戶習(xí)慣，用戶適應(yīng)成本為零。Ø 兼容本地外設(shè)，消除使用禁錮vTop可以兼容幾乎所有的外設(shè)，U盤、打印機(jī)、U-Key、加密狗等等，不再受虛擬化限制，可隨意使用。Ø 用戶權(quán)限管理，訪問安全便捷vTop數(shù)據(jù)同步方案，可按照一定的策略將用戶數(shù)據(jù)同步到數(shù)據(jù)中心，之后用戶即可憑用戶名、密碼在任意本地設(shè)備上訪問這些數(shù)據(jù)，各用戶桌面完全隔離，保證訪問的安全性。4.3 保證數(shù)據(jù)安全1、 虛擬桌面封裝隔離vTop