深信服aDesk桌面云技術(shù)白皮書V3.0

PAGE10/NUMPAGES10深信服aDesk桌面云技術(shù)白皮書V3.0

深信服一站式aDesk桌面云方案技術(shù)白皮書V3.0

深信服科技有限公司

目錄

第1章背景介紹(1)

第2章傳統(tǒng)桌面辦公面臨的挑戰(zhàn)(1)

2.1桌面運(yùn)維復(fù)雜化(1)

2.2總體擁有成本高(2)

2.3數(shù)據(jù)安全難以保障(2)

2.4辦公地點(diǎn)固定化(3)

第3章深信服一站式aDesk桌面云方案(3)

3.1虛擬化領(lǐng)域的技術(shù)積累(3)

3.2體系架構(gòu)概述(3)

3.3方案組件說明(4)

3.4桌面交付模式介紹(5)

3.5桌面云方案價值體現(xiàn)(6)

第4章產(chǎn)品精彩亮點(diǎn)解析(7)

4.1良好用戶體驗(yàn)(7)

4.1.1高清視頻體驗(yàn)(7)

4.1.2高效SRAP協(xié)議(7)

4.1.3單點(diǎn)登錄技術(shù)(7)

4.1.4自動化桌面部署(8)

4.2最優(yōu)的靈活性(9)

4.2.1廣泛終端支持(9)

4.2.2豐富的桌面類型(9)

4.2.3外設(shè)的總線映射技術(shù)(10)

4.2.4智能開關(guān)機(jī)(11)

4.3端到端安全設(shè)計(jì)(11)

4.3.1終端安全(11)

4.3.2傳輸安全(12)

4.3.3平臺安全(12)

4.4最低的IT總體成本(13)

4.4.1高效率、低能耗瘦終端(13)

4.4.2內(nèi)存頁合并技術(shù)(14)

4.4.3鏡像分離和IO加速(14)

4.4.4桌面服務(wù)器群集設(shè)計(jì)(15)

第5章深信服方案優(yōu)勢(15)

第6章瘦客戶機(jī)規(guī)格說明(16)

第1章背景介紹

企業(yè)信息化建設(shè)過程中，到目前為止國內(nèi)客戶幾乎還是采用傳統(tǒng)PC的辦公模式，越來越多的企業(yè)在PC的生命周期中出現(xiàn)了諸如運(yùn)維工作量大、數(shù)據(jù)安全無法保障等一系列問題。據(jù)IDC的統(tǒng)計(jì)，企業(yè)在PC硬件上每投資10元，就需要為后續(xù)的運(yùn)維支出30元（整整3倍），而從業(yè)務(wù)價值的角度來說，桌面運(yùn)維對組織業(yè)務(wù)發(fā)展并不創(chuàng)造直接的價值，沒有帶來生產(chǎn)力的提升，在這方面的投入越大、浪費(fèi)就越多。

“瘦終端+云桌面”是快速興起的技術(shù)潮流，通過將用戶桌面在數(shù)據(jù)中心集中化運(yùn)行和管理，極大地降低了運(yùn)維難度并提高了數(shù)據(jù)的安全性，同時實(shí)現(xiàn)了用戶桌面在各種終端上的任意切換。根據(jù)《2012年中國虛擬化市場研究報告》，以往客戶對虛擬化的采購比例為“服務(wù)器虛擬化占比73%，桌面虛擬化占比18%”；而未來客戶對虛擬化的采購比例將變成“服務(wù)器虛擬化20%，桌面虛擬化70%”。也即是說，在整個虛擬化市場領(lǐng)域里，客戶對服務(wù)器虛擬化的投資占比在逐漸降低，而對桌面虛擬化的投資占比在快速提升。另外，Gartner也預(yù)測未來30%以上的大中型企業(yè)將部署“瘦終端+云桌面”方案。

因此，順應(yīng)市場潮流，深信服推出aDesk桌面云解決方案，對IT桌面基礎(chǔ)架構(gòu)進(jìn)行變革，通過豐富、完善的云桌面技術(shù)，提升企業(yè)在數(shù)據(jù)安全建設(shè)、終端用戶體驗(yàn)、業(yè)務(wù)連續(xù)性等方面的價值，讓企業(yè)充分享受虛擬化技術(shù)所帶來的優(yōu)質(zhì)體驗(yàn)。

第2章傳統(tǒng)桌面辦公面臨的挑戰(zhàn)

2.1桌面運(yùn)維復(fù)雜化

傳統(tǒng)辦公模式將員工的工作環(huán)境綁定于PC上，當(dāng)個人電腦出現(xiàn)故障后，需要IT維護(hù)人員親臨現(xiàn)場，對電腦進(jìn)行系統(tǒng)修復(fù)和重新配置，而在整個PC生命周期中，如此繁瑣的工作是非常多的，使得IT管理員的工作量巨大；加上復(fù)雜的桌面運(yùn)維工作比較消耗時間，往

往導(dǎo)致響應(yīng)能力不足，影響員工的工作效率。

同時，企業(yè)中PC一般每3到4年就需要更新替換，也即是說，復(fù)雜的桌面運(yùn)維工作，每過三四年時間，這樣的過程還要繼續(xù)重復(fù)。因此，在IT應(yīng)用環(huán)境日益復(fù)雜、人員有限的情況下，如何保證服務(wù)質(zhì)量，如何擺脫“救火隊(duì)”的角色，而給各部門提供高效的IT服務(wù)以及良好體驗(yàn)已然成為IT部門致力于發(fā)展的目標(biāo)。

2.2總體擁有成本高

雖然PC采購成本相對較低，但是無法抵消高昂的管理和支持成本。目前，PC的管理工作主要包括對操作系統(tǒng)環(huán)境、應(yīng)用的安裝配置和更新、桌面日常維護(hù)等，且隨著應(yīng)用的增多，維護(hù)成本呈不斷上升增長趨勢。

另外，隨著企業(yè)中傳統(tǒng)PC的不斷增加，耗電量、制冷、空間等問題已經(jīng)逐漸凸顯出來。以耗電量為例，假設(shè)員工使用的是一臺普通PC，一般工作狀態(tài)下功率為200W左右，液晶顯示器大概50瓦左右，按照一天開機(jī)時間為9小時，一年工作時間為264天，那么該普通PC一年的耗電量大概是250W×9h×264=594KW。如果算上空調(diào)、空間等因素，運(yùn)營成本是非常高昂的。

2.3數(shù)據(jù)安全難以保障

傳統(tǒng)PC模式下，PC數(shù)量眾多并且核心數(shù)據(jù)都存儲于本地，隨著系統(tǒng)安全隱患日益增多，PC往往成為數(shù)據(jù)安全風(fēng)險集中爆發(fā)的地方。再者，傳統(tǒng)PC模式難以對移動存儲等進(jìn)行限制，難以防止數(shù)據(jù)外泄。加上近年來主動及被動的安全泄漏事件日益上升，而這種安全事件對企業(yè)形象和核心競爭力的影響是巨大的，如何有效解決終端主動及被動數(shù)據(jù)泄漏事件等安全問題一直困擾著IT部門。

企業(yè)中的開發(fā)部門由于其業(yè)務(wù)特殊性，對開發(fā)環(huán)境和文檔管理環(huán)境的安全性要求非常高。為了支撐業(yè)務(wù)的飛速拓展，在開發(fā)項(xiàng)目中往往還會牽涉到很多第三方公司和外包項(xiàng)目，甚至于開發(fā)人員需要在任意地點(diǎn)進(jìn)行辦公，這對開發(fā)系統(tǒng)的安全構(gòu)成了極大的挑戰(zhàn)。因此，需要有一套安全的桌面開發(fā)環(huán)境，能夠讓開發(fā)項(xiàng)目的員工及外包員工在受控的辦公桌面環(huán)境下，進(jìn)行相關(guān)應(yīng)用的開發(fā)和調(diào)試，同時能有效保護(hù)應(yīng)用代碼及企業(yè)數(shù)據(jù)的安全。

2.4辦公地點(diǎn)固定化

隨著移動互聯(lián)網(wǎng)的技術(shù)潮流，企業(yè)的辦公環(huán)境也不再局限于固定工位，而是需要能夠隨時隨地訪問統(tǒng)一的桌面、應(yīng)用和數(shù)據(jù)，通過為員工打造桌面隨身行的辦公平臺，可以更好地提升工作效率。但是，傳統(tǒng)PC辦公方式將辦公位置固定化，無法實(shí)現(xiàn)桌面環(huán)境與用戶綁定（隨身桌面），影響用戶體驗(yàn)和工作效率。因此，如何滿足隨時隨地桌面、應(yīng)用的接入，并兼容各類終端設(shè)備，從而實(shí)現(xiàn)移動化價值，是信息化建設(shè)的趨勢。

總而言之，新型辦公模式衍生出“簡化管理、數(shù)據(jù)安全、移動辦公”三大需求，為了應(yīng)對桌面運(yùn)維的挑戰(zhàn)，并更好滿足客戶需求，“瘦終端+云桌面”替換傳統(tǒng)PC勢在必行。

第3章深信服一站式aDesk桌面云方案

3.1虛擬化領(lǐng)域的技術(shù)積累

深信服多年前已全面分析了虛擬化的市場趨勢，并預(yù)估了虛擬化發(fā)展的大體方向，所以在多年前便開始投入虛擬化產(chǎn)品研發(fā)和進(jìn)行技術(shù)儲備。首先于2011年發(fā)布EasyConnect應(yīng)用虛擬化產(chǎn)品，經(jīng)過市場及客戶的全面驗(yàn)證而極大增強(qiáng)了對應(yīng)用、桌面虛擬化技術(shù)的深入理解，同時自主研發(fā)了核心SRAP高效傳輸協(xié)議，顯著提升了用戶的訪問體驗(yàn)；然后又陸續(xù)推出虛擬安全桌面平臺VSP、上網(wǎng)安全桌面SD等不同產(chǎn)品的虛擬化版本，最終對虛擬化相關(guān)技術(shù)有了更深厚的積累，也對資源優(yōu)化、虛擬機(jī)架構(gòu)、操作系統(tǒng)底層、安全隔離技術(shù)等有了更深刻的認(rèn)識。

因此，深信服在當(dāng)前的市場環(huán)境下順勢而發(fā)，推出涵蓋服務(wù)器虛擬化+桌面虛擬化+瘦客戶機(jī)一站式aDesk桌面云方案。本文主要講述此方案的和技術(shù)架構(gòu)和產(chǎn)品亮點(diǎn)，通過展示深信服桌面云方案的特點(diǎn)與優(yōu)勢，您將了解到性價比最高、管理最簡化、用戶體驗(yàn)最佳的虛擬桌面方案，為后期的桌面交付環(huán)境建設(shè)提供一種全新的方案思路。

3.2體系架構(gòu)概述

企事業(yè)單位中，不同員工對桌面的需求是不一樣的，有些需要簡易、標(biāo)準(zhǔn)化的桌面，有

些需要高性能、個性化的桌面，有些可能僅需通過訪問個別應(yīng)用程序進(jìn)行移動辦公。利用深信服SRAP桌面交付技術(shù)可以滿足多種類型的桌面，實(shí)現(xiàn)具備靈活性、安全性、可擴(kuò)展性的一站式桌面云解決方案。

?虛擬機(jī)管理軟件VMS：將服務(wù)器的CPU、內(nèi)存、磁盤、I/O等硬件資源轉(zhuǎn)換成可以動態(tài)管理的“資源池”，讓一臺服務(wù)器變成幾臺甚至上百臺虛擬服務(wù)器（虛擬機(jī)），從而提升服務(wù)器資源利用率，并實(shí)現(xiàn)具有透明負(fù)載均衡、動態(tài)遷移、故障自動隔離、系統(tǒng)自動重構(gòu)的高可靠服務(wù)器集群環(huán)境。

?虛擬桌面控制器VDC：提供桌面用戶認(rèn)證管理、桌面/應(yīng)用資源訪問控制、虛擬桌面創(chuàng)建及啟動、桌面監(jiān)控等功能，實(shí)現(xiàn)以更低成本、更安全、更可靠地交付Windows桌面；

需與VMS協(xié)同工作，并提供軟件和硬件兩種類型。

?瘦終端aDesk：外觀小巧精致，采用ARM架構(gòu)和A9芯片，性能強(qiáng)勁，處理速度快。3.3方案組件說明

SANGFORaDesk桌面云方案以桌面托管的方式實(shí)現(xiàn)統(tǒng)一的云桌面平臺，可將任何桌面/應(yīng)用交付給用戶，并提供最佳的性能、最高的安全性、最低的成本和最強(qiáng)的靈活性。具體需要的方案組件如下：

3.4桌面交付模式介紹

交付說明：

首先用戶啟動終端設(shè)備上的客戶端應(yīng)用程序或打開瀏覽器，輸入虛擬桌面控制器VDC

的地址/域名跳轉(zhuǎn)至登錄界面，然后在界面上輸入正確的用戶名和密碼進(jìn)行登錄。

?一旦登錄成功，用戶可通過提前分配好的桌面、應(yīng)用資源自動創(chuàng)建可用的桌面或應(yīng)用實(shí)例，然后將此實(shí)例在虛擬化基礎(chǔ)架構(gòu)（VMS）上進(jìn)行啟動。

?最后，虛擬化基礎(chǔ)架構(gòu)（VMS）能夠通過高效傳輸協(xié)議SRAP將桌面/應(yīng)用界面直接交付給用戶（如圖所示），減少對虛擬桌面控制器VDC的性能壓力；如果是在互聯(lián)網(wǎng)環(huán)境中進(jìn)行桌面/應(yīng)用資源交付，則依然需要通過虛擬桌面控制器VDC進(jìn)行中轉(zhuǎn)，以保證傳輸安全性。

3.5桌面云方案價值體現(xiàn)

運(yùn)維成本大幅降低

桌面云的應(yīng)用將極大的減少后期的運(yùn)維成本，采用模板化的部署方式后，一個新的桌面用戶可以在10分鐘左右就完成交付使用，而故障的排查和修復(fù)時間更是大幅度減少，原來只能管理100臺終端的管理員，現(xiàn)在可以輕松的管理上千臺的虛擬桌面。保守估計(jì)，算上設(shè)備更替和運(yùn)維的成本，5年的IT總成本可以節(jié)省40%以上。

節(jié)能降噪，綠色辦公

傳統(tǒng)PC每小時耗電量大概在190W左右，而瘦終端的能耗只有10W。以1000臺的部署規(guī)模為例，按一天開機(jī)10小時、每年240個工作日、每度電按0.75元的工商業(yè)用電價格來折算，即使算上數(shù)據(jù)中心新增服務(wù)器的電力成本，把1000臺PC換成瘦終端每年至少可節(jié)省25萬元電費(fèi)。

保護(hù)信息資產(chǎn)安全

桌面云將所有的數(shù)據(jù)集中存儲在數(shù)據(jù)中心，筆記本、瘦終端等前端設(shè)備只接收圖像，整個業(yè)務(wù)過程里數(shù)據(jù)不落地，確保安全。而集中化的部署方式也更有利于IT部門對信息資產(chǎn)進(jìn)行統(tǒng)一管理。不僅如此，桌面云還能夠輕易的在組織內(nèi)部建立起相互邏輯隔離的多張網(wǎng)絡(luò)、來滿足不同類型業(yè)務(wù)的使用需求。

桌面隨身行辦公模式

適應(yīng)移動信息化建設(shè)趨勢，在策略許可的情況下，用戶可以實(shí)現(xiàn)在任意時間、任意地點(diǎn)、通過任意終端訪問自己的個人桌面，真正做到桌面隨身行，在任一終端上的桌面操作可以在另一個終端中繼續(xù)開展，從而提升員工的工作效率。

第4章產(chǎn)品精彩亮點(diǎn)解析

4.1良好用戶體驗(yàn)

4.1.1高清視頻體驗(yàn)

深信服桌面云方案允許在虛擬桌面中查看或編輯圖像和多媒體信息，且可以支持1980*1200分辨率和32位彩色桌面顯示。另外，傳統(tǒng)桌面虛擬化方案在播放高清視頻時主要采用服務(wù)器解碼和播放，然后將變化中的圖像按幀傳輸給前端顯示設(shè)備，但這種方式對服務(wù)器性能要求高，且非常占用帶寬資源，往往效果不好。而深信服提出音視頻重定向技術(shù)，將1080P高清視頻流在服務(wù)器上進(jìn)行編碼和壓縮，然后直接傳輸?shù)角岸嗽O(shè)備，利用基于高清視頻處理器和本地解碼技術(shù)流暢地播放高清視頻，給客戶帶來極佳的視頻觀看體驗(yàn)。

4.1.2高效SRAP協(xié)議

云桌面需要通過網(wǎng)絡(luò)交付給前端設(shè)備，其中最重要的組成部分就是桌面交付協(xié)議。SANGFORSRAP協(xié)議發(fā)展于2011年，是專門為虛擬桌面或遠(yuǎn)程應(yīng)用程序的高效交付而設(shè)計(jì)的，能夠滿足低帶寬的傳輸需求，同時具有最佳的外設(shè)兼容性。SRAP協(xié)議主要通過高效流式壓縮算法、有損壓縮、圖像緩存匹配、動態(tài)內(nèi)容識別過濾、文字圖像識別智能壓縮等優(yōu)化技術(shù)提升6倍以上的傳輸效率。最低帶寬要求僅需20~30K/s，在丟包和延遲都比較高的網(wǎng)絡(luò)環(huán)境下依然能夠正常使用，最大程度保障用戶桌面體驗(yàn)。

4.1.3單點(diǎn)登錄技術(shù)

客戶有可能使用多個虛擬應(yīng)用程序或Windows虛擬桌面，而每套應(yīng)用系統(tǒng)或桌面系統(tǒng)都會有單獨(dú)的身份認(rèn)證措施，一般情況下是需要多次認(rèn)證才能正常辦公，這種工作非常繁瑣

且容易出錯，影響工作效率。為了提升終端用戶的滿意度，深信服引入單點(diǎn)登錄技術(shù)，在通過VDC嚴(yán)格認(rèn)證之后，無需再次進(jìn)行虛擬應(yīng)用和虛擬桌面的認(rèn)證，采用“一鍵化”模式開啟桌面和應(yīng)用的操作界面。目前支持BS和CS類型的遠(yuǎn)程應(yīng)用和Windows虛擬桌面的單點(diǎn)登錄功能，實(shí)現(xiàn)多系統(tǒng)和多桌面整合，避免用戶重復(fù)輸入賬號或口令的繁瑣操作，提升員工工作效率和操作滿意度。同時，對已經(jīng)開啟了單點(diǎn)登錄的虛擬應(yīng)用程序，用戶可在登錄成功后在個人設(shè)置中對這些應(yīng)用進(jìn)行單點(diǎn)登錄帳號、密碼自設(shè)定，所設(shè)置的數(shù)據(jù)將以加密的方式進(jìn)行傳遞，并對管理員不可見，保證用戶帳號的安全性。

4.1.4自動化桌面部署

在DHCP環(huán)境下，用戶使用瘦終端，可在無人指導(dǎo)的情況下，快速接入云桌面，實(shí)現(xiàn)即插即用的終端操作體驗(yàn)。另外，相對傳統(tǒng)PC上線前需要經(jīng)過硬件采購、系統(tǒng)安裝、桌面運(yùn)維等一系列的繁瑣、復(fù)雜的過程，在部署好桌面云平臺之后，管理員可以通過虛擬機(jī)模板來快速、自動地為新用戶派生虛擬桌面，同時管理員不僅可在控制臺查看用戶虛擬機(jī)的CPU、內(nèi)存、磁盤的詳細(xì)情況，還可以對用戶虛擬機(jī)進(jìn)行開機(jī)、關(guān)機(jī)、掛起、重啟等電源級別操作。當(dāng)用戶虛擬機(jī)出現(xiàn)故障后，管理員既可以通過新的虛擬機(jī)模板進(jìn)行快速替換，也可以在控制臺遠(yuǎn)程接入用戶虛擬桌面，協(xié)助處理系統(tǒng)故障問題。

4.2最優(yōu)的靈活性

4.2.1廣泛終端支持

用戶可以通過任意終端設(shè)備來訪問屬于自己的個人虛擬桌面，而且可以實(shí)現(xiàn)終端遷移功能，在多個終端間切換，不會影響原先的桌面操作行為，真正做到桌面隨身行。目前支持PC、筆記本、瘦終端、iPad、iPhone、Android手機(jī)或智能終端等設(shè)備接入訪問虛擬桌面；支持Windows7（32位和64位）、WindowsXP（32位）、Windows8（32位和64位）、WindowsXPE、iOS、Android等客戶端操作系統(tǒng)。

4.2.2豐富的桌面類型

不同的場景、不同的崗位上的員工需要不同類型的桌面，深信服通過SRAP交付技術(shù)提供多種不同類型的虛擬桌面，來滿足用戶多樣化的桌面需求，具體如下：共享桌面：利用服務(wù)器操作系統(tǒng)的多用戶會話共享功能，允許多個用戶同時遠(yuǎn)程連接到同一個操作系統(tǒng)，并為每個用戶提供不同的桌面，用戶可擁有自己的桌面配置和個人數(shù)據(jù)，并共享同一套完整的桌面系統(tǒng)；標(biāo)準(zhǔn)化的桌面辦公環(huán)境，可以提供一組核心應(yīng)用，適用于不需要（不允許）個性化安裝軟件或無自主桌面控制權(quán)限的任務(wù)型員工，比如辦事大廳、職能

辦公、生產(chǎn)線、培訓(xùn)中心等。

遠(yuǎn)程應(yīng)用：利用服務(wù)器操作系統(tǒng)的用戶會話共享和應(yīng)用程序多實(shí)例功能，允許多個用戶同時遠(yuǎn)程連接到同一個應(yīng)用程序，用戶可擁有自己的應(yīng)用配置和個人數(shù)據(jù)，并共享同一套應(yīng)用程序；特定的應(yīng)用程序交付，適合于應(yīng)用數(shù)量較少，日常辦公時僅需操作某幾類軟件，或需要移動辦公的員工，如營業(yè)廳、生產(chǎn)線、銷售部門及管理層移動辦公等。

獨(dú)享桌面：基于服務(wù)器虛擬化提供的可遠(yuǎn)程訪問的桌面，即服務(wù)器可以根據(jù)模板自動為每用戶分配一個虛擬機(jī)（安裝WindowsXP、Windows7等桌面操作系統(tǒng)，并且每個獨(dú)享桌面相互隔離），用戶遠(yuǎn)程訪問自己的虛擬機(jī)，并可擁有獨(dú)立、完全的桌面使用和控制權(quán)限。適用于有系統(tǒng)個性化需求、對性能要求高的桌面用戶，當(dāng)然部署獨(dú)享桌面對服務(wù)器和存儲資源的要求比較高。

無論企業(yè)內(nèi)的各種用戶應(yīng)用場景以及用戶的需求如何多樣化，通過SRAP交付技術(shù)，總能找出一種適合的技術(shù)來滿足各種場景和用戶的需求。IT部門能夠交付各種虛擬桌面–每種桌面都經(jīng)過專門定制，可滿足每位用戶的性能、安全性和靈活性要求。

4.2.3外設(shè)的總線映射技術(shù)

深信服桌面云方案允許將外設(shè)連接到終端上，外設(shè)驅(qū)動安裝于服務(wù)器上，然后可以如本地桌面一樣使用各種外設(shè)，盡管虛擬桌面是在服務(wù)器上運(yùn)行的。通過總線映射技術(shù)在終端連接外設(shè)的接口如USB或串口與服務(wù)器上的虛擬桌面構(gòu)建一條專有的隧道，用于傳輸各種外設(shè)的控制指令，可以支持包括掃描槍、掃描儀、攝像頭、密碼小鍵盤、二代身份證讀卡器、手寫板、打印機(jī)映射、USB-key等常見總線辦公設(shè)備，并且保持會話間的隔離。另外，深信服推出專有的虛擬打印技術(shù)，通過在服務(wù)端選擇SANGFOR虛擬打印機(jī)，在客戶端本地打印機(jī)即可打印文件，且服務(wù)器端的虛擬機(jī)上無需安裝本地打印機(jī)驅(qū)動。

4.2.4智能開關(guān)機(jī)

智能開關(guān)機(jī)能夠真正實(shí)現(xiàn)對用戶虛擬桌面開、關(guān)機(jī)進(jìn)行自動控制。即使瘦終端已經(jīng)關(guān)閉，用戶可能會忘記關(guān)閉位于服務(wù)器上的虛擬機(jī)，此時便可以實(shí)現(xiàn)對虛擬機(jī)的自動關(guān)閉功能，從而可以節(jié)省服務(wù)器的硬件資源。同時，通過軟件內(nèi)置的定時開機(jī)功能，可以指定在任意時間開啟個人的虛擬機(jī)，且開機(jī)時可將用戶虛擬機(jī)自動調(diào)度至資源充足的服務(wù)器上，一方面通過此技術(shù)可以避免IO風(fēng)暴，加快系統(tǒng)登錄時間，另一方面，通過自動化技術(shù)來簡化用戶訪問虛擬桌面的操作步驟，讓用戶體驗(yàn)到簡約、便捷的桌面操作。

4.3端到端安全設(shè)計(jì)

虛擬桌面從防范非法用戶和惡意系統(tǒng)管理員的角度進(jìn)行全方位的安全防范，保證接入虛擬桌面的用戶和數(shù)據(jù)高度安全性，深信服aDesk桌面云方案集成了豐富的VPN安全特性，針對各分層采用安全措施具體如下：

4.3.1終端安全

采用精簡加固基于AndroidOS，瘦客戶機(jī)無本地存儲，可以說數(shù)據(jù)總是存放在最安全的地方。用戶接入虛擬桌面資源時通過合法性認(rèn)證、USB靈活可控策略、應(yīng)用策略化控制、還原模式等方式保證終端安全。

?集成本地認(rèn)證、短信認(rèn)證、動態(tài)令牌、數(shù)字證書、第三方認(rèn)證等身份認(rèn)證機(jī)制，而且多種身份認(rèn)證方式可以自由組合，以確保接入用戶的身份唯一性；

?基于靈活策略設(shè)置USB端口使用權(quán)限，比如是否允許使用USB設(shè)備（包括打印機(jī)、掃描儀等），還可以靈活控制USB硬盤的單向使用權(quán)限（比如僅允許訪問終端往虛擬桌面拷

貝數(shù)據(jù)，而不允許桌面到終端的數(shù)據(jù)拷貝）；

?基于策略的訪問控制：可以根據(jù)用戶、網(wǎng)絡(luò)、服務(wù)、設(shè)備、系統(tǒng)等，通過關(guān)聯(lián)的策略為他們分配合適的訪問權(quán)限。支持客戶端安全檢查功能，可以根據(jù)客戶接入終端的系統(tǒng)版本、接入IP，接入時間，殺毒軟件的安裝更新情況等，指定用戶的訪問控制策略；

?桌面注銷時還原至原始狀態(tài)，該模式下，除了指定的一些目錄外，用戶所做的操作都會在重啟后被還原。模板升級后，用戶重新打開的虛擬機(jī)包含模板升級的內(nèi)容，可以降低終端中毒風(fēng)險。

4.3.2傳輸安全

通過VLAN隔離，并內(nèi)置企業(yè)級防火墻模塊進(jìn)行狀態(tài)化ACL訪問控制，管理員登錄時采用HTTPS加密傳輸、用戶訪問虛擬桌面采用傳輸加密等手段，保證業(yè)務(wù)運(yùn)行和維護(hù)安全。?終端到虛擬桌面之間僅傳輸圖像變化和指令信息，不直接傳輸實(shí)際數(shù)據(jù)，也即是說，“瘦終端+云桌面”讓數(shù)據(jù)不落地，保障傳輸安全性；

?可對傳輸加密通道進(jìn)行基于IP、服務(wù)的訪問控制策略，減少異常流量的傳輸，且支持同一傳輸通道不同會話的隔離控制，包括存儲會話、虛擬打印會話、總線映射會話等等，從而提升傳輸通道的靈活度；

?通過對終端到虛擬桌面進(jìn)行全程流量加密，杜絕中間人攻擊行為，目前支持AES、DES、3DES、MD5、SHA、DH、RSA等算法，并且支持?jǐn)U展國密辦SCB2（SM1）等其他加密算法，確保通信的安全性；

?在桌面云接入平臺上內(nèi)置了企業(yè)級防火墻模塊，通過靈活的ACL訪問控制策略和DDoS設(shè)置，為整個平臺提供狀態(tài)包過濾和基本安全保護(hù)。

4.3.3平臺安全

虛擬化基礎(chǔ)架構(gòu)（VMS）的安全性關(guān)系到整個虛擬桌面訪問的穩(wěn)定性和數(shù)據(jù)安全性，本方案首先通過高可用性設(shè)計(jì)滿足業(yè)務(wù)穩(wěn)定性需求，然后再通過虛擬機(jī)隔離、數(shù)據(jù)盤加密控制、管理員權(quán)限細(xì)化等安全機(jī)制保證用戶數(shù)據(jù)的安全。

?在獨(dú)享桌面的情況下，每用戶獨(dú)占一個虛擬機(jī)，通過VMS底層機(jī)制實(shí)現(xiàn)CPU調(diào)度、內(nèi)存、

網(wǎng)絡(luò)訪問、磁盤IO、存儲空間的隔離，用戶虛擬機(jī)的故障和安全問題不會影響到其他用戶，保證虛擬機(jī)之間的隔離安全；

?每用戶都會分配個人數(shù)據(jù)盤來存放文檔，當(dāng)用戶遷移至虛擬桌面的使用模式后，所有數(shù)據(jù)都集中存儲于數(shù)據(jù)中心。因此，通過為個人數(shù)據(jù)盤進(jìn)行加密存儲，讓其他用戶包括管理員都無法訪問，可以保證用戶個人穩(wěn)私安全；

?不同管理員角色，授予合適的管轄權(quán)限范圍，并保存操作日志。支持分級管理權(quán)限，包括上級管理員有權(quán)操作下級管理員的配置行為，相反則無權(quán)；支持上級管理員將虛擬桌面資源授權(quán)給下級管理員。

通過終端安全、傳輸安全、平臺安全三大層次的端到端、多方位安全機(jī)制，可以完善保障用戶接入安全、數(shù)據(jù)安全、管理安全、虛擬化安全、基礎(chǔ)設(shè)施安全等多個建設(shè)環(huán)節(jié)，輕松應(yīng)對虛擬桌面在建設(shè)過程中所面臨的安全威脅及挑戰(zhàn)。

4.4最低的IT總體成本

4.4.1高效率、低能耗瘦終端

深信服aDesk瘦終端是一種理想的桌面設(shè)備，它外形小巧，無噪音運(yùn)行，日常耗電量僅需10瓦，經(jīng)濟(jì)環(huán)保。aDesk允許隨時隨地連接SANGFOR虛擬桌面平臺，不僅可獲得與傳統(tǒng)PC一致的訪問體驗(yàn)，而且提供了可靠的安全性；同時通過虛擬桌面控制器VDC進(jìn)行中央管控，極大簡化aDesk瘦終端管理工作。

深信服aDesk瘦終端適用于金融、運(yùn)營商、企業(yè)、政府、教育、醫(yī)療等行業(yè)的多種辦公場景，故障排除、軟件安裝和系統(tǒng)升級都在服務(wù)器端完成，提高了安全性和管理的便捷性，并為企業(yè)節(jié)約了大量的IT投資。

4.4.2內(nèi)存頁合并技術(shù)

在桌面云的建設(shè)方案中，服務(wù)器的投資占較大比例，硬件資源的節(jié)省可降低整套方案的投資成本，更好地推動云桌面應(yīng)用模式的落地。因此，深信服創(chuàng)新性地提出內(nèi)存頁合并技術(shù)，因?yàn)槲覀儼l(fā)現(xiàn)，一臺服務(wù)器承載了幾十臺甚至上百臺用戶虛擬機(jī)，但這些虛擬機(jī)都有相同的只讀內(nèi)存頁面，比如操作系統(tǒng)執(zhí)行代碼等，針對相同的頁面，深信服內(nèi)存頁合并技術(shù)實(shí)現(xiàn)內(nèi)存區(qū)域的共享，從而發(fā)揮內(nèi)存的最大效率，節(jié)省服務(wù)器的物理內(nèi)存空間，提升用戶虛擬機(jī)的部署密度。通過實(shí)際測試數(shù)據(jù)表明，此技術(shù)至少可以節(jié)省20%服務(wù)端成本。

4.4.3鏡像分離和IO加速

一般情況下，每個用戶的虛擬桌面和個人數(shù)據(jù)都是獨(dú)占一份存儲空間，其實(shí)大家都可能使用的是同一套Windows操作系統(tǒng)，無非就是應(yīng)用程序和個人數(shù)據(jù)不同而已。因此，深信服aDesk桌面云方案將操作系統(tǒng)鏡像和個人數(shù)據(jù)（包含應(yīng)用程序）進(jìn)行分離，通過模板化系統(tǒng)鏡像技術(shù)實(shí)現(xiàn)集中化、快速的桌面交付，此技術(shù)不僅可節(jié)省存儲空間，而且管理員只需維護(hù)同一操作系統(tǒng)鏡像，日常系統(tǒng)升級、軟件更新將會非常高效，工作量較少。另外，由于多

用戶共享同一套模板鏡像，可以利用服務(wù)器的內(nèi)存或緩存卡進(jìn)行重復(fù)數(shù)據(jù)IO加速，能夠消除相同OS類型的桌面同時啟動時的重復(fù)IO，以提升虛擬桌面啟動速度和運(yùn)行效率。

4.4.4桌面服務(wù)器群集設(shè)計(jì)

如上圖所示，在每臺X86服務(wù)器上安裝虛擬機(jī)管理軟件VMS，通過VMS軟件可為虛擬桌面平臺提供最高的可用性，不僅配置方法簡單，也無需采用第三方集群軟件，所以成本更低。VMS的HA配置采用一鍵化模式，在控制臺界面中快速開啟HA功能后，便可以將所有或部分服務(wù)器組成高可用性架構(gòu)，無論是計(jì)劃外停機(jī)或者服務(wù)器出現(xiàn)故障，此架構(gòu)都能提供最高級別的服務(wù)可用性。

VMSHA機(jī)制通過以下方式保障服務(wù)的可用性：

?持續(xù)監(jiān)控虛擬機(jī)和服務(wù)器的運(yùn)行狀態(tài)，無需在虛擬機(jī)內(nèi)安裝其他軟件；

?檢測到故障后，通過在集群內(nèi)的其他正常主機(jī)重啟虛擬機(jī)，防止服務(wù)器故障；

?結(jié)合VMS資源自動調(diào)度功能以防止出現(xiàn)故障，以及在群集內(nèi)的主機(jī)之間提供負(fù)載平衡。

當(dāng)然，如果某臺物理服務(wù)器需要維護(hù)，在無需中斷服務(wù)的情況下，可將服務(wù)器之上的虛擬機(jī)動態(tài)遷移至其他服務(wù)器，管理員可以快速、完整地執(zhí)行透明的運(yùn)維工作。

第5章深信服方案優(yōu)勢

?完善的全系列云方案：涵蓋瘦終端、虛擬桌面控制器VDC、虛擬機(jī)管理軟件VMS三大環(huán)節(jié)，業(yè)界方案最全面，兼容性最好，性價比最高，為IT提供了