桌面虛擬化項目實施方案(修改版)

桌面虛擬化工程實施方案一、目前辦公PC使用現(xiàn)狀1、網(wǎng)絡(luò)病毒由于外網(wǎng)開放，且員工自帶U盤隨意使用，使得目前辦公局域網(wǎng)內(nèi)病毒泛濫，關(guān)鍵數(shù)據(jù)得不到有效隔離和保護(hù)，等到系統(tǒng)崩潰后想恢復(fù)全部數(shù)據(jù)困難重重。2、權(quán)限管理目前所有部門的網(wǎng)絡(luò)都是可以相互訪問的，所有用戶權(quán)限都是放開狀態(tài)，缺乏管控，同時，USB接口可以隨意使用，為內(nèi)部機(jī)密資料外泄提供可能。3、企業(yè)關(guān)鍵數(shù)據(jù)無法完全受到保護(hù)目前數(shù)據(jù)資料主要存儲在臺式機(jī)或者筆記本中，這種個人PC設(shè)備的硬件平安性無法得到足夠保障，同時，病毒隨時可以破壞操作系統(tǒng)及數(shù)據(jù)文件完整性。4、PC需要更新?lián)Q代，維護(hù)本錢高目前信息化時代高速開展，主流PC電腦3-4年一個淘汰周期，被淘汰的電腦由于性能上的問題無法再被利用，而可以繼續(xù)使用的主板、硬盤、及電源部件被白白浪費(fèi)。PC硬件故障點很多，且系統(tǒng)需要經(jīng)常升級維護(hù)，而實際上目前的辦公環(huán)境需要多人維護(hù)才能使每個員工的電腦到達(dá)最正確使用狀態(tài)。二、虛擬桌面相比傳統(tǒng)桌面優(yōu)勢桌面虛擬化技術(shù)是所有虛擬化技術(shù)中，當(dāng)前開展最快、最具應(yīng)用前景的技術(shù)。桌面虛擬化依賴于效勞器虛擬化，在數(shù)據(jù)中心的效勞器上進(jìn)行效勞器虛擬化，生成大量的獨立的桌面操作系統(tǒng)形成虛擬桌面池，同時根據(jù)專有的虛擬桌面協(xié)議發(fā)送給終端設(shè)備。用戶只需要記住用戶名和密碼及相關(guān)信息，即可隨時隨地的通過網(wǎng)絡(luò)訪問虛擬桌面池中自己的桌面系統(tǒng)。相比傳統(tǒng)桌面，虛擬桌面有如下優(yōu)點：1、更靈活的訪問和使用桌面虛擬化技術(shù)實質(zhì)上是將用戶使用與系統(tǒng)管理進(jìn)行了有效的別離。用戶對桌面的訪問就不需要被限制在具體設(shè)備、具體地點和具體時間。我們可以通過任何一種滿足接入要求的設(shè)備，訪問我們的windows桌面。2、更廣泛與簡化的終端設(shè)備支持作為云計算的一種方式，由于所有的計算都發(fā)生效勞器上，對終端設(shè)備的性能要求大大降低，即使是過時的臺式機(jī)，筆記本都可以使用虛擬桌面，并且性能不受老式設(shè)備影響，延長設(shè)備使用周期，節(jié)約企業(yè)本錢。3、終端設(shè)備采購、維護(hù)本錢大大降低這種IT架構(gòu)的簡化，帶來的直接好處就是終端設(shè)備的采購本錢降低。云終端相比PC可以節(jié)省更多硬件采購本錢。并且終端的維護(hù)相對簡單，故障點相對PC也少了很多，節(jié)約空間。4、集中管理、統(tǒng)一配置管理員可以在效勞器端對所有桌面進(jìn)行統(tǒng)一配置和管理，每個用戶桌面的配置都可以隨時調(diào)配，包括虛擬cpu、內(nèi)存、磁盤容量等等。如果虛擬桌面點數(shù)需要少量增加，也只是幾分鐘的事情而已。以上所有維護(hù)工作都可以在效勞器端進(jìn)行，偶爾才需要對終端進(jìn)行簡單的維護(hù)。同時，虛擬桌面對用戶權(quán)限的管控大大加強(qiáng)，員工無法將企業(yè)關(guān)鍵信息數(shù)據(jù)通過U盤、網(wǎng)盤等方式帶到企業(yè)辦公以外的地方。5、桌面數(shù)據(jù)快速恢復(fù)每個虛擬桌面其實都是一臺虛擬機(jī)，每臺虛擬機(jī)均支持快照功能，通過快照可以在1分鐘內(nèi)恢復(fù)虛擬機(jī)備份時間點的全部數(shù)據(jù)，保證數(shù)據(jù)平安。6、桌面快速登錄由于操作系統(tǒng)全都部署在效勞器上，用戶從終端開機(jī)到登錄到自己的桌面最快僅需要20秒，比照傳統(tǒng)PC動輒1-2分鐘的登錄時間大幅縮短，也不會出現(xiàn)軟件裝的越多啟動時間越慢的情況，大大提高使用者的工作效率。7、降低耗電、節(jié)能減排傳統(tǒng)PC一般在200W左右，而云終端只有5w-15w的耗電量，是傳統(tǒng)PC耗電量的十幾分之一，雖然增加效勞器會帶來一定程度的耗電量的上升，但是我們可以計算，長久來看，桌面的點數(shù)越多，就可以節(jié)省越多的電量。耗電的減少，也意味著碳排放的減少，適應(yīng)了低碳時代的要求。三、工程實施方案軟硬件推薦配置1IBMx3850x5效勞器2顆E7-4820CPU/256GB內(nèi)存/2塊300GB10KSAS磁盤/Raid1/2個千兆端口/1個單口8GHBA卡/DVDIBM22UA2216存儲4GBcache〔最大可擴(kuò)展至32GB〕；標(biāo)配2個千兆以太網(wǎng)接口；最大可擴(kuò)展到14個千兆以太網(wǎng)接口〔或最大14個千兆/萬兆以太網(wǎng)/FC/infiniband混合接口);帶CIFS、NFS、FCP、iSCSI協(xié)議；含16個SAS/SATA/SSD盤位，1個6GbSASx4磁盤擴(kuò)展接口；最大支持112塊磁盤；800W〔1+1〕熱插拔冗余電源模塊；SOUL13SAN交換機(jī)BROCADE3208Gb，24端口交換機(jī)，8端口激活，含8個4Gb/s短波SFP，含Webtools、Zoning軟件授權(quán)，全光纖支持級聯(lián)，可按需擴(kuò)展到16或24個通訊端口，單電源〔固定〕，機(jī)架套件博科24桌面虛擬化軟件CitrixXenDesktopCitrixXenDesktopVDIEdition5.6ConcurrentUserLicensewithSupport/Subscriptionfor1year思杰150網(wǎng)絡(luò)拓?fù)湓O(shè)計2.1拓?fù)湔f明方案中1臺新采購的IBM效勞器與機(jī)房1臺現(xiàn)有IBM效勞器組成虛擬化群集，群集通過SAN光纖交換機(jī)連接存儲，利于以后虛擬化群集效勞器擴(kuò)展。新增效勞器配置2顆8核E7-4820處理器，256GB內(nèi)存，在150個用戶狀態(tài)下可以保證效勞器一臺宕機(jī)同時另外一臺接管所有虛擬機(jī)；本機(jī)配置2塊硬盤，通過做鏡像保證本地虛擬化操作系統(tǒng)文件平安性，所有數(shù)據(jù)文件存儲在SOUL共享存儲中。SOUL存儲采用8Gb光纖通道與主機(jī)相連，雙控制器，保證數(shù)據(jù)平安性和高速率。本方案所有配置包含總廠和其他分廠，除有局部制圖任務(wù)的電腦不使用桌面虛擬化外，總廠和分廠其他電腦全部通過VPN外網(wǎng)訪問總廠的虛擬桌面。2.2網(wǎng)絡(luò)平安內(nèi)外網(wǎng)別離的設(shè)計確保虛擬化平臺的平安性，以及防止網(wǎng)絡(luò)風(fēng)暴造成的業(yè)務(wù)影響，虛擬化網(wǎng)絡(luò)中開通局部外網(wǎng)權(quán)限，所有虛擬化電腦中不允許安裝游戲、娛樂之類軟件。技術(shù)部門全部關(guān)閉外網(wǎng)，防止資料外泄。技術(shù)部門使用公共電腦進(jìn)入外網(wǎng)，公共電腦不連入虛擬網(wǎng)，但虛擬網(wǎng)可以訪問公共電腦，可以將文件復(fù)制進(jìn)虛擬化網(wǎng)絡(luò)，但不可以將文件復(fù)制進(jìn)公共電腦。目前加密軟件由于兼容性和各種限制問題有時無法正常使用，可以考慮更換加密軟件，推薦使用互普威盾，目前我們在使用它們的行為管理軟件，可以另購其加密模塊，這樣軟件穩(wěn)定性有一定保證。要嚴(yán)格把守加解密流程，杜絕泄密狀況發(fā)生。所有從虛擬化網(wǎng)絡(luò)出來的文件都必須經(jīng)過加密流程，由于筆記本可以外帶，所以要保證筆記本的文件全部都是加密的，筆記本文件歸檔時放入公共資料區(qū)的歸檔文件，由加密管理人員統(tǒng)一解密后放入虛擬化桌面內(nèi)〔每天或每周一次〕。即如需發(fā)送CAD或office文件給外部客戶時需要經(jīng)過解密流程，經(jīng)過解密后才能發(fā)給客戶。如下列圖所示：策略管理虛擬化所使用的瘦客戶機(jī)、臺式電腦、筆記本都關(guān)閉USB儲存設(shè)備的映射，所有資料無法經(jīng)USB設(shè)備導(dǎo)入導(dǎo)出。每個部門都是域中一個單獨工作組，組與組之間做權(quán)限隔離，相互之間無法訪問。開放一個公共資料區(qū)，每個工作組都可以訪問，做內(nèi)部資料交換。另外，如有新員工入職，其桌面所需安裝軟件由人事指定。4.軟件部署1、目前建議三個分廠的虛擬桌面通過外網(wǎng)訪問總廠虛擬化系統(tǒng)，分廠不再單獨部署虛擬化系統(tǒng)。2、使用虛擬化的員工數(shù)量，約102個點〔建議購置150點〕。詳見附件13、不使用虛擬化員工數(shù)量，工程部21人，支持部16人，設(shè)計部3人，研發(fā)中心3人貨架公司全體銷售員。Citrix軟件及授權(quán)版本單位說明數(shù)量CitrixXenDesktopVDI用戶并發(fā)Citrix虛擬桌面許可其中已包含了虛擬桌面構(gòu)架中所需要的虛擬效勞器和虛擬應(yīng)用許可150此外，系統(tǒng)的構(gòu)建需要用到的其它第三方軟件：第三方軟件及授權(quán)*版本單位說明MicrosoftWindowsServer2008R2Enterprise每效勞器操作系統(tǒng)，按實際虛機(jī)數(shù)Windows7Professional5.網(wǎng)絡(luò)地址規(guī)劃分廠與總廠之間做VPN，全部使用虛擬化，VPN所需網(wǎng)絡(luò)帶寬根據(jù)測試后申請。本次工程預(yù)估需要2個地址段〔VLAN〕，具體為：根底架構(gòu)地址段〔包括xenserver、AD、ddc等〕：虛擬桌面的業(yè)務(wù)地址段〔每部門單獨段〕6.實施時間方案4月21——4月25：采購效勞器、儲存、交換機(jī)設(shè)備。5月27——6月17：進(jìn)行虛擬化測試環(huán)境安裝調(diào)試。6月18——7月18：桌面虛擬化試用測試7月21——7月25：確定虛擬化廠家，確認(rèn)實施數(shù)量，及后期電腦回收、分發(fā)?！仓饕菍⑴渲幂^高電腦分發(fā)給研發(fā)、設(shè)計部門，以及硬件、系統(tǒng)更新?！?月28——8月1：獲得桌面虛擬化正式版授權(quán)及系統(tǒng)正式上線。8月1——8月31：系統(tǒng)使用1個月左右整體穩(wěn)定后，考慮分支結(jié)構(gòu)虛擬化實施，及網(wǎng)絡(luò)擴(kuò)容、網(wǎng)關(guān)更換?！蚕冗M(jìn)行天津工廠測試?！承枰蛻籼崆皽?zhǔn)備和相應(yīng)的配合1、做好機(jī)房環(huán)境的電力負(fù)載、制冷及設(shè)備放置空間規(guī)劃工作；2、需做好網(wǎng)絡(luò)地址規(guī)劃，包括劃多少vlan，要多少網(wǎng)段，網(wǎng)段間是否可以通訊；3、統(tǒng)計好使用桌面虛擬化人員，及其正在使用電腦的系統(tǒng)密碼等；4、準(zhǔn)備好需要在桌面虛擬化安裝的應(yīng)用軟件，規(guī)劃虛擬桌面的CPU、內(nèi)存、磁盤空間、IP分配。后期用戶的設(shè)備方面的更新和利舊后期用戶的所有的虛擬化環(huán)境中的計算機(jī)都可以進(jìn)行利舊使用，沒有特別的配置要求，后期如果機(jī)器有內(nèi)存或者硬盤等故障的話，建議替換為瘦客戶機(jī)，具體的情況需要根據(jù)客戶的時機(jī)計算機(jī)使用情況而定。后期相應(yīng)的維護(hù)跟費(fèi)用根據(jù)前期的硬件指標(biāo)，目前都是硬件維護(hù)，這邊也會提供原廠的3年的質(zhì)保，citrix方面是提供及時的跟新效勞以及遠(yuǎn)程以及現(xiàn)場的效勞支持〔第一年全年免費(fèi)〕主要是針對用戶的遠(yuǎn)程調(diào)試，應(yīng)急情況的技術(shù)支持以及定期的巡檢工作。在citrxi實施過程跟實施過后，都會由工程師進(jìn)行相應(yīng)的技術(shù)培訓(xùn)跟指導(dǎo)，方便用戶后期的使用。后期建議用戶使用的一些設(shè)備跟規(guī)劃根據(jù)目前用戶的時機(jī)情況來看，后期可