華為FusionCloud桌面云解決方案技術建議書 目錄華為FusionCloud桌面云解決方案技術建議書 STYLEREF"1"項目概述DOCPROPERTY"Product&ProjectName"iCache互聯網緩存解決方案DOCPROPERTYDocumentName技術建議書項目概述項目背景XXXX多年來一直采用傳統PC作為業務終端，截止目前累計有XX臺。隨著業務的發展，PC使用過程中的各種問題也逐漸凸顯，主要體現在以下幾方面：端口管控困難缺乏有效的管理手段來控制USB口、串口、并口的非法設備的接入，存在數據泄密的風險；數據可靠性低員工的智力資產和企業關鍵信息存放在本地，PC一旦出現故障將無法辦公，如果硬盤故障造成文件丟失，將對企業造成巨大損失；運維管理復雜PC通常是分布在各個辦公地點，難以實現集中式管理，另外由于PC硬件種類繁多，用戶修改桌面環境的需求各有不同，其桌面標準化一直是一個難題；高能耗、高排放：一臺PC的能耗在200瓦左右，一年耗電800-1000度電左右，不符合當今綠色環保、低碳經濟的大趨勢；靈活性差隨著移動辦公理念的興起，人們希望能在任和時間、任何地點、任何設備都能登陸自己的桌面進行辦公，而PC的靈活性無法滿足要求；上述問題的存在，一定程度上制約了XXXX業務的發展和工作效率的提升，迫切需要一套全新的解決方案，替換傳統PC并解決以上的問題。項目目標目前業界主流趨勢是采用云技技術改造辦公桌面，即將用戶桌面集中在數據中心，通過虛擬化技術組建資源池，提供業務用戶使用瘦終端、軟終端、智能終端等移動接入，打造一種全新的、安全、便捷、高效的工作方式。通過數據與用戶隔離提升安全性：將原本分散在各PC上的用戶桌面數據集中到數據中心，實現統一的安全管控，用戶可訪問的僅僅是桌面圖像變化量，數據無法帶出數據中心；通過資源大集中提升運維效率：從分散的運維向集中化運維過渡，管理員通過后臺便可處理用戶的大多數問題，降低運維工作量并提升維護效率；通過網絡接入提升辦公靈活性：用戶在任何時間、任何地點通過任何設備都可以接入自己的桌面辦公；采用先進架構支撐未來演進：建立一個高效優化的、易管理的桌面云架構，同時未來能方便地擴展為企業私有云架構。需求分析本次桌面云建設共有XX用戶，分以下幾類應用場景：OA辦公、軟件研發、會議室，各場景的需求如下：應用場景主要需求OA辦公規模500（根據項目實際情況填寫）系統要求Windows7/Windows8.1操作系統。支持PC機、瘦客戶機訪問虛擬機桌面。虛機規格vCPU=4U,Memory=4GB,系統盤=40GB,數據盤=120GB軟件要求MSOFFICE，Outlook，Project，VISIO；InternetExplorer,AcrobatReader,視頻播放軟件,企業通訊軟件,常用輸入法，微星閱讀器，金山詞霸；外設要求支持USB打印機、USB鍵盤鼠標等。//特別注意有沒有串并口外設。身份認證域帳號+域密碼軟件研發規模1000人（根據項目實際情況填寫）系統要求與OA辦公用戶系統相同虛機規格vCPU=4U,Memory=4GB,系統盤=40GB,數據盤=80GB軟件要求除OA辦公的軟件外、還要能夠安裝使用VisualStudio/MyEclipse/MENTOR/ALTUIM/VC/MATLAB/等軟件；外設要求支持USB打印機、USB鍵盤鼠標等。身份認證域帳號+域密碼//根據項目CasebyCase，分析XX桌面云項目其它功能性需求，主要描述安全要求、可靠性（如備份容災）要求、管理運維要求、組網要求等。除以上桌面用戶的基本功能需求外，系統還應支持以下能力：支持集中管理能力，如：對操作系統鏡像統一管理、軟件補丁統一分發、TC終端統一管理等。支持對重要用戶的虛擬機進行備份和恢復；系統要支持互聯網終端接入桌面云需求。系統要具有完善的安全防護能力。系統支持高可用性、動態遷移等可靠性設計。系統支持通過擴容存儲與計算資源實現用戶平滑擴容。建設原則為使本建設方案合理、科學達到上述目標，必須遵循以下原則：系統的標準化堅持標準化的建設模式，貫徹國家和行業相關業務、管理和技術規范標準，并積極制訂項目相關標準規范。硬件的選用應遵從國家和行業技術標準。技術的先進性采用成熟、先進的技術，確保系統技術的先進性和前瞻性，盡可能采用先進的軟件體系結構和應用平臺，建設符合信息技術的最新發展潮流的應用基礎架構和應用系統，保證投資的有效性和延續性。系統的安全性充分考慮用戶、系統、網絡方面的安全性要求，防止來自外部非法的訪問。系統具有用戶的身份認證和權限管理，對應不同的應用層次。既能保證不同用戶高效、快速地訪問控制授權范圍內的系統資源，也能有效地阻止用戶之間的非法侵入、非授權訪問。系統可維護性系統應能使管理員通過集中控制中心方便地配置、監視、控制、診斷整個系統，并且能夠監視和控制用戶情況、提高效率、消除隱患。管理人員可通過系統管理功能和權限管理方便地維護和管理該系統。系統可擴展性系統技術平臺設計時要分析現有需求并預測未來的增長，既滿足目前的要求，又要適當前瞻。技術平臺的結構要合理，應具有良好的擴展能力，以利于今后的擴展。對于未來的發展，要立足在現有的基礎上升級改造，保護現有投資。華為桌面云解決方案及優勢FusionAccess桌面云總體架構華為桌面云總體架構FusionAccess桌面虛擬化以服務器虛擬化為基礎，允許多個用戶桌面以虛擬機的形式獨立運行，同時共享CPU、內存、網絡連接和存儲器等底層物理硬件資源。這種架構將虛機彼此隔離開來，同時可以實現精確的資源分配，并能保護用戶免受由其他用戶活動所造成的應用程序崩潰和操作系統故障所帶來的影響。FusionAccess采用業界領先的高清保真HDP桌面協議，并可將授權用戶安全連接至集中式虛擬桌面。它與FusionSphere協同工作，可提供一個完整的端到端桌面虛擬化解決方案，此解決方案不僅能增強控制能力和可管理性，還可以提供與PC一致的桌面體驗，FusionAccess能簡化虛擬桌面的管理、調配和部署。用戶能夠通過FusionAccess安全而方便地訪問虛擬桌面，升級和修補工作都從單個控制臺集中進行，因此可以有效地管理數百甚至數千個桌面，從而節約時間和資源。數據、信息和知識財產將保留在數據中心內，而且永遠不外流。配備FusionAccess桌面虛擬化方案具備下列優勢：集控制能力和可管理性于一身：由于桌面在數據中心運行，因此管理員可以更輕松地對其進行部署、管理和維護。與PC一致的體驗：用戶可以靈活訪問與普通PC桌面功能相同的個性化虛擬桌面。降低總體擁有成本(TCO)：桌面虛擬化可以減低其管理和資源成本。FusionAccess支持GPU直通、GPU硬件虛擬化，使用戶遠程使用圖形桌面成為可能，降低了圖形桌面的TCO。FusionAccess各部件簡要介紹如下：云終端為用戶提供用戶桌面的顯示輸出，以及鍵盤鼠標輸入。瘦終端TC、或軟終端SC通過桌面接入網關代理訪問對應的桌面，同桌面接入網關之間采用SSL加密的HDP協議進行信息傳遞，可以通過策略開放或者禁止TC/SCUSB等外設至虛擬機的重新定向；用戶通過在TC/SC上輸入域用戶名和密碼訪問對應桌面。用戶在外時，可采用iOS/AndroidPad、筆記本通過3G/4G，WiFI網絡接入，進行移動辦公。負載均衡&接入網關主要提供兩個功能，一個是對WI節點提供負載均衡；另一個是對虛擬桌面提供接入網關與HDPOverSSL加密功能。負載均衡&接入網關提供硬件與軟件兩種形式。桌面軟件FusionAccessFusionAccess是華為提供的桌面管理與投送軟件。WebInterface：WI為用戶提供Web登錄界面，在用戶發起登錄請求時，將用戶的登錄信息（加密后的用戶名和密碼）轉發給HDC，WI將HDC提供的虛擬機列表呈現給用戶，為用戶訪問虛擬機提供入口。在桌面云解決方案，多臺WI可實現負載均衡。通過在WI上配置多個HDC的IP地址，WI可實現對HDC的負載均衡功能。HDC(HuaweiDesktopController)：華為桌面控制器(HDC)是桌面云管理系統的核心組件，完成虛擬桌面業務發放，虛擬桌面管理，虛擬桌面登錄管理，虛擬機的策略管理等功能。DB：GaussDB為ITA、HDC提供數據庫，用于存儲數據信息，例如，虛擬機與用戶的關聯、桌面組、虛擬機命名規則、定時任務信息。ITA節點：ITA為用戶管理虛擬IT資產提供接口與Portal功能，實現虛擬機創建與分配、虛擬機狀態管理、虛擬機鏡像管理、虛擬桌面系統操作維護等功能。License節點：桌面云License的管理與發放系統，License服務器用于控制器接入桌面云的用戶數。TC管理（TCM）:對瘦終端進行集中管理，包括版本升級、狀態管理、信息監控、日志管理等。AD/DNS/DHCP：AD域控用于用戶登錄鑒權，DHCP用于域內IP分配，DNS用于域內計算機名、桌面云登錄域名的解析。FusionSphere云平臺總體架構FusionSphere云平臺架構示意圖華為云平臺FusionSphere主要有虛擬化基礎引擎FusionCompute、云管理FusionManager兩個節點組成。一套云平臺部署一對FusionManager主備節點，FusionManager通過自動發現功能發現其管轄下的物理設備資源（包括機框、服務器、刀片、存儲設備、交換機）以及他們的組網關系，提供虛擬資源與物理資源管理功能（統一拓撲、統一告警、統一監控、容量管理、用量計費、性能報表、關聯分析，生命周期），并且對外提供統一的管理Portal。FusionManager還包括統一硬件管理功能，提供對硬件自動發現，硬件自動配置、統一監控（帶內和帶外）、硬件統一告警、硬件拓撲、異構硬件支持。FusionCompute提供基礎計算、存儲、網絡的虛擬化功能，并向上對FusionManager提供管理接口。每套FusionCompute主要由一對主備管理節點VRM組成。一對VRM對應一個物理集群。一個物理集群中可以把多臺服務器劃分成一個資源集群（又叫HA資源池）。計算資源池不包括網絡資源與存儲資源。一個物理集群中可以包含多個資源集群。多個物理集群（此時對應多對VRM）可以級聯，由FusionManager統一管理。本項目采用華為FusionSphere虛擬化計算技術作為基礎，使整個系統具有以下優勢：通過云平臺HA、熱遷移功能，能夠有效減少設備故障時間，確保核心業務的連續性，避免傳統IT上經常出現的單點故障導致的業務不可用。易實現物理設備、虛擬設備、應用系統的集中監控、管理維護自動化與動態化。便于業務的快速發放,縮短業務上線周期，高度靈活性與可擴充性、提高管理維護效率。利用云計算技術可自動化并簡化資源調配，實現分布式動態資源優化，智能地根據應用負載進行資源的彈性伸縮，從而大大提升系統的運作效率，使IT資源與業務優先事務能夠更好地協調。FusionAccess桌面云優勢領先的HDP協議自研HDP桌面協議HDP是華為自研的新一代云接入桌面協議，是華為在電信行業的語音、視頻、圖像處理等領域20年的技術積累之作。相對傳統的桌面協議，它的先進性體現在：多虛擬通道靈活控制：支持32個虛擬通道，每個虛擬通道可承載不同的上層應用協議。可通過單獨的策略設置保證每個通道的通訊安全以及最佳用戶體驗。高保真顯示技術：采用動態壓縮算法，對非自然圖像采用無損壓縮，對自然圖像采用有損壓縮，在帶寬和顯示效果之間取得最佳均衡。自動識別圖像中的未變化部分，只有變化的部分數據會傳輸，極大降低帶寬。高保真音頻技術：自動識別VOIP場景和音樂場景，采用不同的編解碼算法，提升用戶體驗。外設快速適配：支持多種協議的外設，主要包括USB、TWAIN、串口、并口、打印機外設等。利用本地化研發的優勢，可快速響應客戶新增外設的適配兼容需求。高性能3D圖形桌面：為了滿足日常客戶3D圖形處理的桌面需求,華為自研虛擬桌面推出GPU直通虛擬桌面與GPU硬件虛擬化桌面，可提供nVidia的K1，K2，K2000，K4000的3D圖形處理虛擬桌面。靈活桌面部署方式華為桌面云可以提供靈活的桌面形態，包括完整復制桌面云，鏈接克隆桌面云，全內存極速桌面、應用虛擬化。桌面云可以有靈活的發放方式，可提供1對1、1對多，多對1，多對多方式的多種發放方式。完整復制桌面云方案完整復制桌面云方案完整復制桌面云桌面利用虛擬化技術與遠程桌面投送技術。在桌面云中心，利用虛擬化技術把服務器與存儲虛擬成一臺臺彈性的虛擬主機。完整復制虛擬桌面在創建時，系統會給這個虛擬桌面分配一份獨立系統盤空間，并將虛擬機模板完整復制到系統盤上。這樣每個完整復制虛擬桌面都有單獨的系統盤與用戶數據盤。基于虛擬機級別的隔離;安全性高；個性化強；外設支持類型豐富；用戶體驗與傳統PC一致，可以按照用戶的工作負荷彈性修改虛擬機規格。每個用戶都有一個獨立的虛擬機，虛擬機系統盤和數據盤都通過集中的存儲設備加載。存儲設備支持SAN與NAS設備。用戶通過本地瘦終端，或軟終端可以遠程登錄虛擬機。虛擬機采用業界性能領先、帶寬要求低的HDP協議將虛擬機桌面顯示投送到用戶終端上。瘦終端的無本地存儲、USB可管控，功耗低。辦公環境相對PC環境更簡潔，無噪音。高性能圖形處理桌面方案由于虛擬機的虛擬顯卡處理能力有限，圖形軟件在虛擬機上運行受到限制，出現諸如3D軟件（如CAD、3DMAX、UG等）安裝不上、運行出錯、渲染過程卡屏等問題。為解決這一問題，華為推出了GPU硬件直通與GPU硬件虛擬化技術，借助于此技術，虛擬桌面可以直接訪問服務器上顯卡，從而支持高性能圖形軟件。可提供nVidia的K1，K2，K2000，K4000的3D圖形處理虛擬桌面。GPU直通與虛擬化高性能圖形桌面全內存極速桌面方案全內存極速桌面云方案很多VDI存儲性能計算器在預測用戶工作時的性能方面表現不俗，但是，Windows在啟動和登錄方面并不是一個特別有效率的操作系統。大量Windows系統的同時啟動和登錄對VDI系統來說將會產生所謂的“啟動風暴”或“登錄風暴”。全內存虛擬機特性就是在這種背景下應運而生的。其利用了內存介質極高的IO讀寫性能的特點，將虛擬桌面的存儲讀寫轉換為對內存的讀寫，很好地解決了VDI系統的存儲IOPS瓶頸問題。全內存虛擬機是運用IOTailor技術，將虛擬機的系統母盤數據，進行在線實時去重壓縮后，全量放入內存；以此獲得極高的讀寫存儲IO性能。用戶對系統盤的讀寫會臨時分配一部分內存作為差分盤。每個用戶的系統盤（即C:盤）就是共用系統母盤與差分盤的合并。放入內存的數據不進行實時持久化，虛擬機關機或者服務器主機重啟，虛擬機將恢復到初始狀態。將內存作為用戶虛擬機的系統盤介質，極大的提高了操作系統對系統盤IO性能；同時運用了基于內存的在線重刪和實時壓縮技術（簡稱IOtailor技術），將多個用戶虛擬機的系統盤進行去重，大大縮減了數據占用存儲空間。全內存極速桌面的優勢：從上面可以看出，全內存極速桌面除了具鏈接克隆桌面的優勢，還有極高的讀寫性能。啟動，重啟虛擬機都非常快。管理員需要發布或升級軟件、系統升級與打補丁，只要更新系統母卷就可以，對IT系統運維和安全帶來極大便利，對IT系統穩定性提供較好保障。由于共用系統母盤，創建虛擬桌面減少系統盤的復制過程，所以全內存桌面云具有創建速度快，占用戶空間小的優勢；支持快速批量創建和發放虛擬機。對于全內存桌面采用內存，保存用戶工作的臨時系統數據。這就像一個沙箱，任何不安全的程序、軟件都可以在這個沙箱里充分演示，即使虛擬機中毒、或者中了木馬，只要把虛擬機重啟，內存數據就可以自動清除，保障了系統的安全。這時候全內存極速桌面就像沙箱桌面，非常適用于公用上網機(網吧)、電教室、學校上機室、電子閱覽室等場景。鏈接克隆桌面云方案鏈接克隆桌面云方案鏈接克隆桌面與完整復制桌面的區別主要在于系統盤的存儲上。鏈接克隆桌面的虛機共享一個相同的系統母盤，每臺虛擬機系統盤的不同部分（如工作臨時緩存數據、個性化配置（C:\User(在Windows7中)或C:\DocumentsandSettings(在WindowsXP中)）、臨時安裝的個性化應用程序（C:\ProgramFiles）等）都保存在差分盤中。并且通過將母盤和差分盤組合映射為一個鏈接克隆盤作為虛擬機的整個系統盤（即C盤），提供給虛擬機使用。對于虛擬機的差分盤，可以配置更新還原策略，還原策略可配置為手動還原與重啟還原。每次更新系統母卷時，差分盤也會自動清除。由于系統母盤是很多桌面共用，所以對于系統母盤需要很高的讀性能。華為虛擬化平臺對于鏈接克隆母盤提供iCache加速功能。可以將系統母盤的熱點數據緩存到服務器本地磁盤、或本地內存中。這樣就減小了對共享存儲的性能沖擊。FusionAccess支持個人配置數據漫游和統一用戶數據存儲。支持用戶登錄到不同的服務器上可使用相同的用戶配置文件。鏈接克隆桌面可以與Windows個人配置數據漫游結合使用，來實現用戶配置信息的漫游設置。使用鏈接克隆桌面的每個用戶仍可以掛載不同的用戶數據盤，用來保存數據。普通鏈接克隆桌面除擁有完整復制桌面云的安全隔離、外設兼容性、工作體驗外，還有以下優勢。鏈接克隆桌面的優勢：管理員需要發布或升級軟件、系統升級與打補丁，只要更新系統母卷就可以，對IT系統運維和安全帶來極大便利，對IT系統穩定性提供較好保障。由于共用系統母盤，創建虛擬桌面減少系統盤的復制過程，差分盤只有使用時才分配，所以鏈接克隆桌面云具有創建速度快，占用戶空間小的優勢；支持快速批量創建和發放虛擬機。對于鏈接克隆的差分盤，保存用戶工作的臨時系統數據，與臨時安裝的軟件。這就像一個沙箱，任何不安全的程序、軟件都可以在這個沙箱里充分演示，即使虛擬機中毒、或者中了木馬，只要把虛擬機重啟，差分盤就可以自動清除，保障了系統的安全。這時候鏈接克隆桌面就像沙箱桌面，非常適用于公用上網機(網吧)、電教室、學校上機室、電子閱覽室等場景。人性化使用設計為了提升用戶的使用體驗，提高用戶自助運維能力，減輕管理員的運維負擔。華為桌面云在設計時充分考慮了人性化的設計，并推出了一系列輔助運維工具。自助維護臺，桌面云健康檢查工具，桌面云連接檢修工具，桌面云體驗優化工具，基礎架構虛擬機一鍵式恢復工具，日志收集工具，自動數據遷移工具，性能與兼容性收集和分析工具。特別適合于IT人員較少，規劃、運維壓力較大的機構使用。可定制的界面風格登陸界面：用戶登錄界面可由管理員自定義，如Logo和背景圖片；每日提醒：登陸界面下方可顯示圖片，管理員可以自定義修改，用于發布通知，如節日祝福、會議提醒、升級通知、操作指導等；自定義背景：用戶登陸成功后，在虛擬機列表頁面，可自行修改背景、設置語言、修改密碼等。登陸界面及每日提醒用戶自助維護通道通過用戶自助維護通道，員工可以自己解決由于誤操作或應用程序導致虛擬機網卡禁用，桌面Agent服務被停止所導致無法正常登錄問題，也可以解決操作系統啟動過程中的異常。而其他廠家遇到同樣的問題，員工只能通知管理員來解決。員工通過自助維護通道僅可訪問屬于自已的虛擬機，不會帶來額外的信息安全風險。自助維護網絡狀態指示燈支持虛擬機與終端網絡狀態指示燈，桌面處于連接狀態時，指示燈有紅、黃、綠三種顏色，分別對應網絡極差、網絡不佳和網絡良好三種狀態。當虛擬機關機或網絡故障時，指示燈變灰。網絡狀態指示自助電源管理支持用戶靈活設定虛擬機電源策略管理，用戶可以通過電源管理界面，對虛擬機電源策略進行設置。支持如下電源策略管理：禁止自動關機/重啟/休眠允許自動關機/重啟/休眠允許自動休眠允許自動關機/重啟自助在線指南桌面云登錄界面提供在線指南鏈接，在線指南包括：桌面云常見問題處理方法、常用設置、常見禁用操作、常見問題的快速處理方法、常見問題處理案例等。華為桌面管家華為推出桌面管家工具套裝，包括一系列桌面云工具，如連接修復工具、桌面云體驗優化工具、日志收集工具等。通過這些華為在多年桌面云研發、部署與運維中積累的經驗工具，讓用戶在使用華為桌面云更方便、速度更快、故障更少。華為桌面管家/優化工具桌面代理批量更新虛擬機里有桌面代理用戶發送和解析桌面協議，當桌面系統的版本進行升級時，原有虛擬機里的代理軟件也需要更新。華為可以通過虛擬化平臺實現自動化批量推送，提升升級效率。端到端安全設計為保障數據中心安全，云計算采用了完整的安全架構，避免出現安全真空，強化了網絡隔離和虛擬化隔離，安全架構層面主要采用了分層和縱深防御的思想。根據云計算面臨的威脅與挑戰，華為提供了端到端的措施保證桌面云安全，如下\o""圖所示：華為桌面云高安全全景圖從防范非法用戶和惡意系統管理員的角度進行系統的防范，保證存放桌面云數據中心的數據做到非法用戶“進不來”，即使進入系統數據也“拿不走”，即使進入系統機密敏感數據也“打不開”，非法人員作案后“賴不掉”，機密數據“丟不了”。各分層采用安全措施介紹如下：終端安全桌面云支持對終端進行合法性認證，如終端與用戶或用戶組綁定、802.1X認證（密碼方式或證書方式）、CA認證等方式，防止非法終端接入保證終端安全。接入安全提供豐富的安全用戶身份認證，包括域賬戶、USBKEY、動態口令、動態短信、指紋等單一認證和雙因子認證，確保接入用戶的合法性，同時華為桌面云還支持無AD認證（華為獨有）。傳輸安全客戶端用戶通過HDP協議連接虛擬桌面時，桌面訪問采用傳輸加密（HDPoverSSL）等手段，保證業務運行和維護安全。業務系統各個組件間通信（WI、HDC、ITA、License、VNCGate、HDA等），均采用HTTPS方式，傳送通道采用SSL加密。系統安全根據虛擬化機制，做到CPU調度、內存、網絡訪問、磁盤IO、存儲空間的隔離，保證虛擬機隔離安全。虛擬化平臺從數據完整性、身份認證、數據訪問隔離控制、數據機密性等方面保證用戶數據的安全。系統進行資源回收時，剩余數據清零。網絡通信平面劃分為業務平面、存儲平面和管理平面，且三個平面之間是隔離的。管理安全桌面云所有管理系統都提供完善的日志，保證所有管理員的操作都有日志記錄，供事后審計。桌面云系統支持三員分立的管理，實現系統管理員、安全管理員、安全審計員的權限制衡（華為獨有）。用戶安全華為桌面云提供防病毒接口，支持趨勢等業界主流無代理防病毒產品，保障用戶虛擬機安全的同時，解決桌面云大規模應用時傳統殺毒方案造成的殺毒風暴問題。高可靠性解決方案華為桌面云從管理節點、桌面連接、服務器、存儲、網絡端到端地保障桌面云高可靠性。管理節點高可靠FusionAccess桌面云管理節點采用負載均衡或熱備設計，保障業務的連續性。管理節點提供故障自恢復，故障節點自動隔離功能。管理節點提供CPU/內存/磁盤占有率狀態檢控，超過閾值時，也會觸發告警。桌面云全系統時鐘同步，管理數據自動備份。華為虛擬桌面系統提供故障檢測功能，故障信息收集和存儲集群節點可用性度量的功能，這可以幫助用戶確定是否有負載均衡問題、失控進程或硬件性能下降的趨勢，該功能將對合理調整、分配系統資源，提高系統整體性能起到重要作用。通過在每個被監控的節點上運行探針程序，華為虛擬桌面系統可以收集它運行的機器的核心指標如CPU使用情況、基礎網絡流量和內存數據等，檢測到諸如進程崩潰、管理和存儲鏈路異常，節點宕機、系統資源過載等各種異常，使系統具備完善的故障檢測能力。管理節點和計算節點引入電信領域“黑匣子”技術：在系統出現異常時自動存儲內核日志、系統快照、內核診斷信息及臨終遺言，并保存至非易失性存儲設備（計算節點）或自動傳送至網絡服務器（例如日志服務器），以便系統故障后，導出分析定位。FusionAccess系統提供數據一致性審計功能：定時審計VM及其卷文件的相關數據和狀態的一致性。用戶連接可靠性桌面服務多端口偵聽,自動變換偵聽端口,避免了端口沖突。桌面代理軟件防誤操作刪除，虛擬桌面會把安裝目錄下的文件夾進行鎖定，所有刪除該文件夾下任何文件的行為被禁止。桌面協議軟件進程異常或者誤殺可以自動恢復。網絡閃斷或者其它原因連接短暫中斷后，桌面云會自動重連。虛擬化可靠性華為桌面云FusionAccess配合FusionSphere虛擬化平臺，提供虛擬化熱遷移、虛擬機HA、虛擬機快照備份功能來保障虛擬桌面的可靠性。服務器可靠性設計服務器可靠性包括內存、硬盤、電源等多個層面的內容，如：提供BIOS內存自檢和ECC糾錯技術。支持硬盤熱插拔和RAID功能，提供硬盤在線故障檢測和預警。支持電源1+1冗余和熱插拔。支持對CPU，內存，風扇，電源，硬盤等熱關鍵器件的溫度實時監控，設備故障時會產生告警，可以靈活對支持熱插拔設備進行在線更換，不支持熱插拔設備提前安排好業務后進行下電更換。配合智能的風扇調速和監控，確保系統運行的可靠性。多臺服務器組成計算資源池，支持虛擬機的熱遷移、HA功能。存儲可靠性設計華為桌面云系統存儲提供多路徑，存儲冷遷移，存儲熱遷移等功能，保障存儲的可靠性。桌面云采用SAN作為存儲設備，在SAN高可靠性的基礎之上，采用RAID機制，配置熱備盤做冗余備份，保證數據不丟失和故障快速恢復。網絡可靠性設計網絡路徑全冗余核心層交換設備通過使用交換機集群技術，保證對外與防火墻/NAT和對內匯聚交換機連接的冗余。匯聚層交換設備通過使用交換機集群技術，保證對外與核心層交換設備和數據中心內接入層交換機連接的冗余。接入交換機通過使用交換機堆疊技術，保證對外與匯聚層交換設備和對內虛擬網絡層連接的冗余。虛擬網絡層通過采用多網卡綁定等技術避免單個網卡故障引發的業務中斷。網絡分平面通信系統通信平面劃分為業務平面、存儲平面和管理平面。為了保證各種網絡平面數據的可靠性，不同平面間采用VLAN等技術進行隔離，單個平面故障不影響其余兩個平面的正常工作。網卡負荷分擔對于各通信平面（業務、存儲、管理）均采用雙網卡，雙網卡采用了Bonding模式，兩網卡被綁定成邏輯上的“一塊網卡”后，同步一起工作。既能對服務器的訪問流量進行負荷分擔，又能保證其中一塊發生故障的時候，另外的網卡立刻接管全部負載，過程是無縫的，服務不會中斷。端到端解決方案華為IT產業全球布局，在美國、德國、深圳、西安、北京、杭州、成都等地構筑交付能力中心，不斷增強創新能力和核心競爭力。目前，華為在IT領域投入為10000人，在云計算領域投入超過2000人。桌面云解決方案中，華為提供從終端、服務器、存儲、網絡、安全、軟件等端到端全方位的產品，通過交付端到端的解決方案，提供最佳的用戶體驗與軟硬件兼容性。端到端解決方案自主可控的云軟件在信息安全形勢日益嚴峻的今天，越來越多的客戶逐漸意識到掌握信息化主權的重要意義，尤其是在安全應用場景，需要具有自主知識產權的國產解決方案。華為FusionAccess虛擬桌面基于成熟的FusionSphere虛擬化平臺，二者都是華為歷時多年完成的自研、自主可控的軟件系統，在終端準入、接入安全、管理安全和用戶數據保護等方面提供多重保護，且通過了國家信息安全評測中心、公安部、解放軍等行業的安全測評。大規模交付與實施華為云計算解決方案，部署了全球最大規模的桌面云（10萬用戶），總結了豐富的工程交付與系統運維經驗。整體方案包括云軟件、服務器、存儲、交換機、終端等關鍵部件經受了大規模的商用驗證，確保其應用到其他任何一家企業的可能。同時，華為桌面云已經與42個國家的上千客戶開展了商用合作，實現多個重點行業突破，如中國農業銀行、中國石化、國家電網、華中科技大學、深圳證券交易所、CCTV等。XXX桌面云設計方案總體設計方案//請根據項目實際需求，完成項目總體方案圖示，該圖為VISIO圖，請自行安裝VISIO進行修改。圖中已畫出VDI、應用虛擬化集群、服務器虛擬化集群，請根據實際項目需要劃分集群數目。總體方案示意圖本項目為了實現高安全、高可靠、高性能、易遠程集中運維、平滑擴容的目標，采用業界主流成熟的虛擬化技術，實現虛擬桌面、服務器虛擬化等要求。本項目方案主要以下方面考慮：資源池設計：根據本項目的需求，服務器上安裝華為的虛擬化軟件，將服務器池化。池化后VDI桌面、應用虛擬化、服務器虛擬化的服務器分別組成集群。池化后服務器上運行虛擬機便于管理、監控。虛擬機在集群里可以實現定制策略遷移、手動熱遷移、故障熱遷移。資源池的設計具有高可靠、平滑擴容特性。桌面虛擬化：華為虛擬桌面管理軟件FusionAccess能夠提供高性能且可靠的桌面投送。FusionAccess桌面虛擬化以服務器虛擬化為基礎，允許多個用戶桌面以虛擬機的形式獨立運行，同時共享CPU、內存、網絡連接和存儲器等底層物理硬件資源。這種架構將虛機彼此隔離開來，同時可以實現精確的資源分配，并能保護用戶免受由其他用戶活動所造成的應用程序崩潰和操作系統故障的影響。FusionAccess采用業界領先的高清保真HDP桌面協議，并可將授權用戶安全連接至集中式虛擬桌面。它與FusionSphere協同工作，可提供一個完整的端到端桌面虛擬化解決方案，此解決方案不僅能增強控制能力和可管理性，還可以提供與PC一致的桌面體驗，FusionAccess能簡化虛擬桌面的管理、調配和部署。用戶能夠通過FusionAccess安全而方便地訪問虛擬桌面，升級和修補工作都從單個控制臺集中進行，因此可以有效地管理數百甚至數千個桌面，從而節約時間和資源。配備FusionAccess桌面虛擬化方案具備下列優勢：集控制能力和可管理性于一身：由于桌面在數據中心運行，因此管理員可以更輕松地對其進行部署、管理和維護。桌面云把數據、信息和知識財產將保留在數據中心內，而且永遠不外流。與PC一致的體驗：用戶可以靈活訪問與普通PC桌面功能相同的個性化虛擬桌面。降低總體擁有成本(TCO)：桌面虛擬化可以減低其管理和資源成本。統一軟硬件管理：為了便于硬件設備（服務器、存儲、交換機）、虛擬資源的集中管理，采用華為的虛擬化管理軟件FusionSphere。FusionSphere采用B/S架構，可以遠程統一管理本項目中VDI桌面、服務器虛擬化三個資源池。FusionSphere可管理、監控硬件資源、虛擬資源；支持虛擬機的快速部署、定制化策略調度。計算資源池計算資源池為用戶提供CPU、內存計算資源。在服務器上安裝華為的虛擬化軟件，可以在一臺服務器上虛擬出多個臺虛擬機，提供彈性規格的虛擬桌面。這幾個資源池歸屬同一朵桌面云管理系統。存儲資源存儲資源主要為虛擬桌面提供系統空間和數據空間、還有桌面云管理系統所需要的空間。這些存儲都在主存儲上。主存儲根據數據類型的不同，劃分不同的數據LUN。這里的數據類型主要包括:管理數據、Windows系統數據、用戶數據。應用場景方案設計//請根據實際項目選用相應的場景，其它不需要的場景刪除。OA辦公桌面云解決方案OA辦公應用場景OA辦公桌面云應用場景特點：OA辦公桌面云是指企業使用桌面云來進行正常的辦公活動。用戶的虛擬機運行WindowsXP、Windows7、Windows8.1系統，運行各種文字辦公軟件，如Office編輯文檔、Project、Visio、InternetExplorer瀏覽網頁、Outlook處理郵件、金山詞霸等。桌面云可對接入USB設備、打印設備、存儲設備進行映射管理；虛擬機里可安裝監控軟件，提供多種安全方案，保證辦公環境的信息安全。華為桌面云支持與企業已有的IT系統對接，充分利用已有的IT應用。比如利用已有的AD系統進行桌面云用戶鑒權；在桌面云上使用已有的IT工作流；通過DHCP給虛擬桌面分配IP地址；通過企業的DNS來進行桌面云的域名解析等。OA辦公用戶采用完整復制桌面云。完整復制桌面云基于虛擬機級別的隔離，每個桌面都有單獨的系統盤，安全性高；個性化強；外設支持類型豐富；用戶體驗與傳統PC一致。每個用戶都有一個獨立的虛擬機，虛擬機系統盤采用服務器的本地存儲，高度集成。用戶如果需要擴展存儲空間，可增加SAN存儲。OA辦公的用戶與虛擬機采用1：1配置，每個人獨占一臺虛擬機。用戶通過本地瘦終端，或軟終端可以遠程登錄虛擬機。虛擬機采用業界高保真的HDP協議將虛擬機桌面顯示投送到用戶終端上。瘦終端的無本地存儲，不涉密。可管控，功耗低。辦公環境相對PC環境更簡潔，無噪音。研發安全辦公桌面云方案研發辦公應用場景研發辦公桌面云場景特點：企業研發環境對于信息資產的共享和安全存在不同的控制要求，受控數據傳輸系統需要滿足企業信息安全管控的需求。研發人員需要支持常用辦公軟件：WINDOWSXP/Windows7操作系統，MSOffice，InternetExplorer，AcrobatReader(pdf)，MediaPlayer視頻播放軟件，通信軟件，常用輸入法，微星閱讀器，用戶虛擬桌面顏色至少32位，保證圖像顯示質量；研發桌面云還有常用的一些研發軟件，如：Java(MyEcliplse),ALTUIM,Mentor，VisualStutio，Matlab等二維設計仿真軟件。研發辦公采用用戶與虛擬機1：1配置，每個用戶都獨占一臺虛擬機。研發辦公桌面云采用瘦終端，只允許連接虛擬桌面，所有USB端口可禁用U盤，本地安全不留密。虛擬機的規格可以按照辦公軟件的負荷調整。安全基于虛擬機級別的隔離，每個桌面都有單獨的系統盤，安全性高；個性化桌面；外設支持類型豐富；用戶體驗與傳統PC一致；華為研發桌面云解決方案的優勢：支持安全級別定制化設置：安全分區級別支持定制化分級控制機制，支持企業定制以滿足差異的信息安全管理需求,單一安全分區內部支持指定桌面實例的安全組設置，滿足同一分區內部的差異化管理需求。方案成熟，部署規模彈性可擴展：部署規模從數百臺終端可以靈活擴展到萬臺規模，當前已經在華為研發體系完成部署，賬號用戶100000個，活動在線用戶80000個。內外部網絡隔離安全上網場景內外網隔離安全上網應用場景通過新建專用上網桌面云解決企業安全上網的問題，內部網絡與桌面云通過網絡設備相互隔離，內部網絡用戶桌面的PC不能直接訪問互聯網，所有的互聯網訪問都必須通過桌面云實現，管理員可以根據用戶的帳號來決定是否給用戶發放上網桌面云。內網辦公與互聯網訪問采用兩網隔離方式，辦公及研發使用原有PC，在訪問互聯網時通過虛擬桌面實現，虛擬桌面不會與本地內網進行數據交互。外網數據通過HDP協議的文件發送功能，將外網文件發送到內部網絡，無需審批。管理員需要關閉桌面云的其他重定向功能，避免用戶通過usb重定向、文件重定向或剪貼板重定向等功能獲取數據。內網數據傳出必需通過安全數傳系統，并經過審批和文件安全掃描后才能傳遞到外網。外網數據傳到內網無需進行審批和安全掃描。通過全內存虛擬桌面或鏈接克隆桌面發放虛擬機，多個桌面共用一個只讀的系統母盤，這個母盤中安裝上網所需要應用軟件，是只讀的。這個母盤就不會感染病毒、木馬。系統母盤在虛擬機啟動后，會完全復制到內存中進行讀寫。用戶登錄使用時，上網、瀏覽產生的臨時數據保存在內存中，即使內存中了病毒木馬。只需要對虛擬機進行重啟，內存數據即可清除，還原到系統的初始狀態。管理員要對虛擬機進行升級、打補丁，只要更新存儲里系統母盤即可。使用動態多用戶方式（動態池）分配安全上網桌面給用戶，提高資源復用效率。移動辦公桌面云解決方案移動辦公應用場景//注：由于桌面云需要穩定的網絡帶寬與QoS，而4G無線網絡與Internet很難達到這個要求。所以移動辦公僅僅適合于桌面云OA辦公的補充，用于小規模的體驗，臨時辦公，電子流審批場景，不適合客戶長久的網絡接入辦公場景商用。隨著無線網絡發展，智能移動終端的普及，BYOD(BringYourOwnDevice)也成為企業員工提高辦公效率的一大利器。辦公人員可在任何時間（Anytime）、任何地點（Anywhere）使用移動終端設備安全快捷地處理與業務相關的任何事情（Anything）。辦公人員擺脫了時間和空間的束縛，可以隨時隨地的進行工作處理，使得工作更加輕松有效，整體運作更加協調，有效提高管理效率，推動企業效益增長。傳統移動辦公方案只是把客戶原有應用系統經過中間件轉化適配到移動終端上，保證移動終端與客戶原有系統業務應用系統功能保持一致。信息安全差：關鍵信息容易外泄，信息流在公網傳送，容易被截獲，對用戶行為監控難。終端差異化大：辦公系統往往基于PC機windows系統開發，終端種類繁多，移植費時費力，成本高。移動終端處理能力較弱：由于移動終端著重于便攜性強、續航性長，以電池供電，相對較弱的數據處理能力。帶寬占用較大：查詢信息系統需要大量數據，3G環境查詢信息緩慢。基于桌面云的移動辦公方案，桌面云與移動終端結合，可以完美解決這些問題。用戶可以在家或非辦公室時通過3G/4G網絡，或通過WIFI網絡接入桌面云。用戶不僅可遠程登陸虛擬機，同時也可以通過發布的應用程序如Word、Powerpoint，進行移動辦公，此時用戶無需登陸虛擬機直接使用應用，對帶寬的要求更低。為保證桌面云接入的安全性，增加一個接入網關。華為桌面云支持各種移動筆記本電腦、Pad、手機終端接入，可以實現無縫的隨時隨地接入進行遠程辦公，提升效率。手持終端支持的系統如下：Android系統、蘋果iOS系統。基于桌面云的移動辦公具有以下優勢：低成本：對已有OA系統無影響，不用進行二次開發或適配。固定辦公和移動辦公共用一套OA系統，節省資源。管理高效：桌面/應用集中部署、集中授權、集中交付、集中監控。信息安全：網絡安全，數據安全，應用集中管控最佳體驗：高速的應用響應，不依賴于終端的處理能力，可利用桌面云中心的主性能處理，提高處理速度與用戶體驗。Internet訪問桌面云設計方案Internet訪問桌面云網絡示意圖在XXX項目中，用戶利用手提電腦、Pad等移動終端通過Internet、WiFi、移動網絡登錄虛擬桌面，最大的要求就是保障傳輸的安全性。為了增強訪問桌面云的安全，建議增加一個AG接入網關來保障傳輸安全，增加防火墻來防范網絡攻擊。接入網關可以使用SVN/vAG(軟件接入網關)來實現。TC通過廣域網接入訪問VM說明：防火墻上增加兩個公網IP（或采用一個公網IP，兩個不同端口）。在防火墻上配置NAT，映射到負載均衡的LB_MIP與接入網關的AG_MIP。登錄控制流TC——Firewall（VirtualIP：LB_VIP）——AG（MappedIP:LB_MIP）——WI——HDC。云終端登錄時經過防火墻映射為接入網關上的LB_MIP，經過負載均衡分發給WI。VPN網關的登陸和用戶登錄WI的身份認證是一次性完成的。用戶登錄認證成功后，云終端收到返回的用戶票據信息。HDP業務流（SVN做AG功能）TC——Firewall（AGVIP）——AG（MappedIP:AG_MIP）——用戶VMTC在登錄的身份認證成功后，會收到返回的用戶認證票據。瘦終端攜帶用戶認證票據訪問AG的公網IP。經過Firewall映射到AG內網IP。AG使用用戶票據向HDC查詢到用戶真實內網IP，用戶就可以訪問虛擬機了。為了保障桌面云中心的安全，在防火墻上進一步劃分安全域進行隔離。桌面云的管理節點、用戶虛擬機統一劃分到VDI域；SVN劃分進DMZ區；WAN用戶都算在Unstrust域中。幾個區域按照開放端口在防火墻中配置相應的訪問控制策略。PC利舊改造方案PC機利舊改造方案本項目中現網辦公中還有部分PC，為了充分利用現有資源，節省資金。桌面云客戶端可以利用現在的PC，桌面云上線后，PC的數據利用網絡共享遷移到桌面云虛擬機中，PC本地不再保留工作數據。數據遷移完成后，PC與虛擬桌面之間的網絡共享通道將關閉。為了保障數據的安全，PC的本地數據也將清除，所有數據將只保留在桌面云數據中心。PC改造成只能運行桌面云客戶端，能做類似于瘦終端功能使用，不能再訪問PC的本地程序、也不能安裝其他程序，不能訪問PC的本地存儲。既保障數據的安全，PC操作變簡單了，PC的故障概率也大大降低，降低了用戶PC管理維護的工作量。 為了實現PC利舊改造做瘦終端，華為自研了一個AccessLock的桌面鎖定工具，確保用戶像使用本地桌面一樣使用虛擬桌面。用戶需以管理員帳戶在Windows的PC操作系統上安裝華為桌面云客戶端軟件“AccessClient”和桌面鎖定軟件“AccessLock”。管理員還需在Windows的PC操作系統上配置用戶登錄的WI地址，當用戶啟動PC后，系統可以自動跳轉到WI登錄界面并鎖定。用戶不能切換到PC本地界面。用戶登錄桌面云，也只能操作虛擬機。 為了保障用戶的操作體驗，PC機的建議配置不低于：CPU>=x861.0GHzDualCore,內存不低于2G。登錄WI的IE瀏覽器：IE8、IE9、IE10、IE11,火狐瀏覽器：firefox14及以上。雙網物理隔離桌面云方案雙網物理隔離桌面云方案由于內網桌面云與外網桌面云是物理隔離。用戶要同時接入這兩朵桌面云，就需要使用雙網口的瘦終端，這種場景可采用CT6100。CT6100是單系統的瘦終端，帶2個千兆網卡有效滿足雙網連接需求，DVI-I接口支持雙屏擴展顯示。用戶可同時登錄操作兩個虛擬桌面。CT6100接一個顯示器時，兩個虛擬桌面可以使用最小化/最大化按鈕切換。CT6100接兩個顯示器時，每個顯示器可以顯示一個虛擬桌面，兩個顯示可同時操作。高性能圖形桌面云方案—GPU直通方案GPU直通高性能圖形桌面由于虛擬機的虛擬顯卡處理能力有限，圖形軟件在虛擬機上運行受到限制，容易出現各種問題，比如3D軟件安裝不上，運行出錯，或者渲染過程中卡屏。為了解決圖形軟件（如CAD、3DMAX、UG等）在虛擬機上的運行問題，華為推出了GPU直通虛擬機。GPU是顯卡的圖形處理單元。虛擬機由于運行在虛擬環境中，不能直接訪問硬件。我們登陸到虛擬機的設備管理器上看到形形色色的硬件，其實都是虛擬化平臺模擬的。如果虛擬機要直接訪問硬件，需要CPU能夠提供一種虛擬化技術才能夠支持。在Intel芯片中，這種技術叫VT-d技術，在AMD芯片中，叫做IOMMU技術。借助于這種技術，虛擬機可以訪問服務器上的顯卡。由于服務器的PCIe接口數量、空間、功率限制，只能插入少數顯卡，每臺服務器可以有少數幾臺虛擬機可以直通GPU。其他虛擬機仍是普通虛擬機。這可以滿足圖形處理桌面小于10%的桌面云場景。虛擬機有了GPU之后，圖形軟件可以使用GPU充分渲染，GPU將渲染后的位圖放入顯卡視頻緩沖區。為了將緩沖區內容實時無損地投送到TC側，虛擬機采用CPU壓縮后，有效降低了傳輸帶寬。TC側再解碼將圖像內容清晰地呈現給用戶。為了讓更多的人可以使用GPU直通的虛擬機，可以將所有GPU直通虛擬機放在一個資源池桌面組里。資源池桌面組是一種業務發放方式，這種業務方式中，用戶數大于虛擬機的數目，這樣，相同的資源可以讓更多的人使用。只有真正有需要時，才通過動態池方式登陸到GPU直通虛擬機，進行圖像處理。//E9000與RH2288H可插GPU顯卡,配置數量參見配置器。瘦終端需要使用PC機或性能較高的CT6100(WES版)。高性能圖形桌面云方案—GPU硬件虛擬化GPU硬件虛擬化高性能圖形桌面由于虛擬顯卡處能力有限，圖形軟件在虛擬機上運行受到限制，出現各種問題，比如3D軟件安裝不上，運行出錯，或者渲染過程卡屏。為了解決圖形軟件（如Catia、3DMAX、UG、AutoCAD等）在虛擬機上的運行問題，華為推出了GPU硬件虛擬化。華為GPU虛擬化圖形桌面基于NvidiaGPU硬件虛擬化技術。NvidiaGPU硬件虛擬化技術使用單個顯卡為多個圖形桌面提供顯卡能力。一塊支持GPU硬件虛擬化的顯卡（NvidiaGRIDK1/K2）可虛擬成不同類型的多個vGPU。每個圖形加速虛擬桌面綁定一個vGPU以滿足3D應用的圖形渲染需求。虛擬機綁定vGPU后具備GPU圖形加速能力，圖形軟件可以使用GPU進行硬件渲染，GPU將渲染后的位圖放入顯卡視頻緩沖區，緩沖區內容實時地投送到TC端。華為虛擬機內置顯示虛擬桌面技術核心，每個vGPU虛擬機通過獨立的輸入通道發送渲染指令和控制命令到物理GPU，渲染完成后，驅動返回桌面幀數據到虛擬機，然后經過遠程桌面協議傳送到客戶端解碼并顯示。使用虛擬化技術將一個物理GPU虛擬成多個供虛擬機使用，GPU硬件虛擬化是在硬件顯卡上實現的虛擬化，性能更高。GPU硬件虛擬化采用的GRIDK1/K2針對數據中心級的功率效率的要求來設計，采用了全新高性能的SMX流處理器。GPU硬件虛擬化虛擬機和GPU直通虛擬機一樣，每個vGPU的虛擬機都可以通過NVIDIA的顯卡驅動直接訪問GPU硬件資源，具有與PC一樣的性能和圖形軟件兼容性。華為的HDP使用專用的低延遲的遠程顯示技術使用顯卡硬件抓取虛擬桌面圖像減少延遲，并且使用圖像識別技術對桌面圖像進行識別后采用不同的壓縮算法，將虛擬桌面高效壓縮編碼后發送到TC，使用戶與虛擬機進行交互時大大提高用戶體驗。//E9000CH220V3每刀片可插2塊顯卡，每塊K1最多虛擬32個vCPU，每塊K2最多虛擬16個vCPU。實際應用中每塊K1與K2顯卡虛擬成幾個vCPU應該根據PoC驗證的3D圖形軟件負載，或用戶工作負載來決定。//瘦終端建議使用PC機或性能較高的CT6100(WES版)。網絡設計方案//服務器+SAN存儲時的網絡方案，包括RH2288+SAN、E9000+SAN方案。//采用標準桌面云時，請保留本章節。采用桌面云一體機的方案時，刪除本章節。桌面云邏輯組網圖桌面云邏輯組圖每個桌面云用戶可以在辦公位上使用TC、或者PC接入到桌面云中心。瘦終端放在每個用戶的辦公位，每個位子提供百兆或千兆GE網口就可以。桌面云部署在客戶的數據中心機房中；需要與客戶的核心交換機對接。考慮后續擴展性，建議采用2*1GE/2*10GE(請實際項目選擇)上行到客戶核心交換機。桌面云網絡通信平面劃分為業務網、存儲網和管理網。三個網絡之間是隔離的，保證最終用戶不能破壞基礎平臺。存儲網絡：存儲網絡通過多路徑確保鏈路冗余，服務器與存儲設備通過存儲網絡二層直接互通。存儲設備為虛擬機提供存儲資源，但不直接與虛擬機通信，而通過虛擬化平臺轉化。業務網絡：為用戶提供業務通道，為虛擬機虛擬網卡的通信平面，對外提供業務應用。HDP協議與虛擬機訪問外部應用系統都是經過這個網絡。各業務部門可以細分VLAN進行訪問隔離。管理網絡：負責整個云計算系統的管理、業務部署、系統加載等流量的通信。BMC平面主要負責服務器的管理，BMC平面可以和管理平面隔離，也可以不進行隔離。服務器采用GE組網，每服務器采用2個業務與管理網口+2個存儲網口方式進行組網，業務、管理平面通過兩網口聚合確保鏈路冗余。服務器采用戶10GE組網，每服務器出一個2個10GE網口，兩網口聚合確保鏈路冗余。整體網絡劃分為兩層，分別為接入層、核心層。接入層：為了收斂服務器、存儲設備的網口，一般在機柜里放置接入交換機，在接入交換機劃分VLAN，將管理、業務、存儲三個平面邏輯隔離。接入交換機再上行匯聚到核心交換機。核心層：華為云桌面通過內部的接入交換機匯聚后，接到客戶核心交換機。核心交換機配置VRRP協議，為管理網絡和業務網絡提供冗余網關。網絡帶寬需求桌面云的網絡帶寬與用戶行為強相關，下面幾種典型應用帶寬需求情況如下：場景類別場景帶寬參考值場景百分比（可變）靜默無應用靜默4Kbps30%Office打開靜默20Kbps25%Office應用Word45Kbps20%PPT589Kbps4%視頻播放標清(480P)6.85Mbps0.8%高清(1080P)13.7Mbps0.2%GPU圖形桌面GPU圖形桌面20Mbps0%其它應用PDF265Kbps5%IE150Kbps10%圖片瀏覽123Kbps5%注：無應用靜默30%表示統計平均同時有30％的用戶無應用靜默。網絡帶寬利用率按照80%計算，可得出各種應用場景的帶寬要求。舉例：1、假設有100個用戶，為普通OA辦公場景，則每用戶平均帶寬計算如下：每用戶平均帶寬需求＝（4kbps*30%(無應用靜默)＋20kbps*25%(Office打開靜默)＋45kbps*20%（Word）＋589kbps*4%（PPT）＋6.850Mbps*1024*0.8%（標清視頻）＋13.7Mbps*1024*0.2%（高清視頻）＋265kbps*5%（PDF）＋150kbps*10%（IE）＋123kbps*5%（圖片瀏覽））/80%＝197kbps。2、假設有100個用戶，為研發辦公場景，則每用戶平均帶寬計算如下：每用戶平均帶寬需求＝（4kbps*15%(無應用靜默)＋20kbps*5%(Office打開靜默)＋45kbps*30%（Word）＋589kbps*20%（PPT）＋6.850Mbps*1024*0.5%（標清視頻）＋265kbps*15%（PDF）＋150kbps*10%（IE）＋123kbps*4.5%（圖片瀏覽））/80%＝285kbps。/****備注***/1、上述帶寬都是平均值，實際上桌面云帶寬跟用戶操作關系很大，比如用戶縮放窗口，打開文件，會突然出現一些帶寬鋒值，所以為了保障桌面云使用流暢度，100用戶以上才能使用該算法求得總帶寬需求，即總帶寬=該場景下平均帶寬*用戶數。2、如果用戶數小于100，并且為普通OA辦公場景，則按照如下規則進行計算：規模1~5個用戶（營業廳、分支機構、普通OA辦公），總帶寬需求：至少2Mb規模5~20個用戶（分支機構，普通OA辦公），平均帶寬需求：350kb規格20~50個用戶（普通OA辦公），平均帶寬需求：300kb規模50~100個用戶（普通OA辦公），平均帶寬需求：250kb規模100用戶以上（普通OA辦公），平均帶寬需求：200kb網絡QoS設計要求本項目的虛擬化平臺方案設計需要承載網絡有一定的帶寬保證和基本的QoS保證，確保虛擬桌面OA辦公業務的正常使用，虛擬桌面TC—VM之間的網絡質量可以分為以下級別:網絡質量等級QoS指標用戶體驗優丟包率≤0.01%往返時延≤30ms抖動≤10ms用戶基本辦公體驗好，無遲滯感覺；在線高清視頻全屏播放效果好，可達22fps左右；720P本地視頻原始窗口播放效果好，可達26fps左右；外設支持好，U盤等存儲設備使用、操作流暢；適用場景：日常辦公，少量多媒體娛樂需求；良丟包率≤0.1%往返時延≤50ms抖動≤10ms用戶基本辦公體驗良好，快速拖動滾動條略有鼠標漂移現象；高清視頻播放卡頓明顯；480P視頻可窗口化流暢播放；外設支持一般，存在識別緩慢，U盤等存儲設備操作卡頓的現象，U盤拷貝速度較慢；適用場景：日常基本辦公（無大量頻繁外設使用），不適合娛樂場景；差丟包率≤0.3%往返時延≤100ms抖動≤40ms用戶基本辦公體驗較差，鼠標和鍵盤操作有較明顯時延，翻屏、滾動頁面有明顯卡頓；視頻播放卡頓明顯，基本不可用；外設識別困難，操作卡頓，基本不可用；適用場景：臨時互聯網和移動辦公接入場景，不適用于日常辦公場景。惡劣丟包率>0.3%往返時延>100ms抖動>40ms不適用于桌面云使用場景根據上述表格：桌面云網絡QoS的要求達到往返時延<30ms，抖動<10ms，丟包<0.01%。桌面云數據中心內部通過以下方式保證QoS：二層網絡啟用802.1P，進行流分類，標識出HDP流量；啟用PQ隊列調度，避免擁塞，優先轉發HDP流量；傳輸網絡需要啟用區分服務保證QoS：根據RDP/HDP的優先級表示，進行不同的DSCP標記，設置為EF或者AF級別，進行優先轉發，保證網絡擁塞后的RDP/HDP流量優先轉發；對于TC接入網絡，做類似處理，保證接入側優先級；二層網絡啟用802.1P和PQ隊列；三層接入部分采用DSCP區分服務；IP資源需求管理網IP地址需求云管理節點FusionManager（主備）、VRM（主備）、FusionStorageManager(主備)、服務器的的BMC、服務器底層虛擬化各需要一個管理IP。對于做HA可靠性的兩個節點需要多一個浮動IP。桌面管理虛機：ITA+DB+HDC（主備）各需要一個IP其它硬件設備、存儲（雙控制器）、交換機，每節點都需要一個IP。業務網IP地址需求每臺虛擬機需要分配數據中心側的IP網段一個IP，每個瘦終端需要分配用戶接入區的一個IP。桌面管理虛機：WI（負荷分擔）+ITA+DB+HDC（主備）、License+TCM、AD+DNS+DHCP各需要一個數據中心側的IP。存儲IP地址需求存儲設備的每個網口、服務器的接口都需要存儲網絡的IP。路由核心交換機為每一個子網啟用一個VLANIF接口，并將VLANIF地址作為網關地址。機柜內的虛擬機之間通過柜內接入交換機進行二層互通。機柜間虛擬機通過核心交換機實現三層互通，將網關地址為VLANIF地址。瘦終端訪問虛擬桌面通過核心交換機三層路由轉發。安全設計方案//請根據實際項目選用相應認證方案，其它不需要的場景刪除。用戶名+域密碼認證方案XXX項目桌面云采用AD域帳號+域密碼方式進行身份認證。用戶輸入AD域帳號與密碼，登錄時到AD服務器進行認證。認證成功即可以進入用戶虛擬桌面。在虛擬機里Ctrl+Alt+Del就可以鎖屏，輸入域密碼解鎖。USB端口管控方案對于研發場景，只要求接鼠標/鍵盤、其余存儲、打印機都不允許接入。這種場景配置安全版的瘦終端即可。另外FusionAccess中HDC具有豐富的外設映射策略，可以提供USB設備管理，能夠區分USB鼠標/鍵盤和USB存儲設備，針對USB存儲設備，提供允許/禁止/只讀控制能力。同時外設映射策略可以基于AD用戶賬號、用戶組、虛擬機組進行配置。固定TC/TC組認證為了進一步保證合法用戶登錄虛擬機，滿足追溯到人的安全要求，可以限制用戶只能在指定的TC/TC組上登錄虛擬機。桌面云管理員可以在ITAPortal將TC/TC組的MAC與用戶/用戶組的域帳號綁定。這樣用戶只能在固定的辦公、或辦公區域進行訪問桌面云。如果用戶更換辦公位、或更換瘦終端，需要通知管理員在ITAPortal重新更新MAC地址綁定關系。類別參數取值樣例TC和用戶信息用戶帳戶Alice域TC/PCMAC地址70-F3-95-0B-7E-F8描述A樓3層803802.1X網絡接入認證在每個辦公座位上，都有網口，為了禁止非法用戶通過網口接入網絡，使用網口需要802.1X認證。華為的瘦客戶機集成802.1X認證客戶端，用戶打開TC后，輸入802.1X認證的用戶名、密碼，TC先進行802.1X認證，認證通過后，才允許使用網絡。TC自動彈出用戶登錄WI的界面。系統可擴展性方案集群內主機可擴展性桌面云平臺中每個FusionManager最大支持256個VRM集群，4096個主機服務器、80000個虛擬機支持。每VRM集群支持的服務器數量最大可達到256臺，每VRM集群支持32個HA資源池。每HA資源池內支持的服務器數量最多可擴展至128臺服務器，可輕松滿足未來桌面的平滑擴容需求。單虛擬機可擴展性設計：單虛擬機支持vCPU個數最大可以擴展到64個，內存可以擴展到1024GB，支持的虛擬網卡數最多可以支持12個，可充分滿足虛擬機規格的彈性伸縮。虛擬桌面管理節點可擴展性虛擬桌面管理節點可分布式平滑擴展。一套虛擬桌面最大支持20000桌面用戶，當超過20000用戶容量后，需要新增加一套虛擬桌面管理節點，虛擬桌面管理節點之間屬于分布式，相互之間完全獨立。存儲擴展性根據存儲需求增長，可以實現存儲在線平滑擴容，根據規劃可以在線擴展磁盤、磁盤框、控制框。華為FusionSphere支持存儲冷熱遷移，支持將虛擬機的存儲卷在同一套存儲中的不同LUN，或者兩套不同存儲之間進行遷移；滿足客戶存儲進行平滑擴容的需求。配置方案桌面數量規劃//每套FusionAccess支持20000桌面,管理節點全為虛擬機部署，管理節點虛機的規格可按照管理的服務器數量、桌面數據彈性靈活調整。//本章節主要描述配置原則，根據需求，虛擬規格，如何推出最終的設備配置。與客戶討論的非標配置也這里描述清楚。配置清單最后以unistar配置Excel表格為準。請根據配置手冊和配置原則進行配置。下面以500個用戶進行解釋說明。//桌面云容量規劃地址/unistar/edesigner/solutionAction!showHome.action本期規劃桌面配置規格與數量如下：推薦場景規格（完整復制方式）數量OA辦公VCPU=2MEM=2G系統盤=40G，數據盤=80G網絡=共享1G系統盤IOPS=17數據盤IOPS=3500推薦場景規格（鏈接克隆方式）數量OA辦公VCPU=4MEM=4G系統母盤=40G，差分盤=10G，數據盤=80G網絡=共享1GIOPS(系統母盤)＝6IOPS(差分盤)＝11IOPS(數據盤)＝3500備注：由于WindowsXP系統底層設計機制原因，導致虛擬機環境中，WindowsXP運行于多vCPU性能不如單vCPU，建議WindowsXP虛擬機配置為單vCPU。瘦終端本期桌面云終端建設數量為500個，共需500臺瘦終端CT3100。服務器用戶的應用場景研發辦公，可選用重載100%并發比例。采用(2*E5-2650V22.6GHz8Core）刀片，虛擬機密度可達到65。服務器數量=用戶數/虛機密度+管理服務器數量+冗余服務器數量=500/65+1+1=10增加一臺冗余服務器，虛擬桌面管理（FusionAccess）與云管理(FusionSphere)服務器需要一臺服務器，一共需要10臺服務器。//請根據實際項目更改，上面1:65是(2*E5-2650V2)刀片服務器重載的缺省VM密度。在用戶數比較少的情況下，管理節點可以與其他用戶虛機合部。用戶數較多時，管理節點與用戶虛機分開部署，可獨占兩臺服務器。其他各種服務器的VM密度參見配置器。服務器內存條可選配8G,16G,32G內存條，最大24根。//冗余服務器數量一般每個資源池至少配置一臺服務器。//完整復制桌面云內存算法每服務器內存條數=(虛擬機密度*虛擬內存*管理系數+底層虛擬化內存）)/內存條大小=（65*4*1.04+5）/16=18根//如果采用鏈接克隆桌面，服務器內存增加12G作為iCache加速每服務器內存條數=(虛擬機密度*虛擬內存*管理系數+底層虛擬化內存）+12G(iCache))/內存條大小=（65*4*1.04+5+12）/16=18根//如果采用全內存桌面，還需要增加內存盤容量。計算方法如下。差分盤中載為1，重載為1.5每服務器內存條數=(虛擬機密度*每虛機內存*管理系數+底層虛擬化內存）+（虛擬機密度*差分盤+模板大小）*IOTailor管理系數)/內存條大小=（65*3*1.04+5+（65*1.5+40）*1.15）/16=23根 免責聲明：不同種類的應用軟件、應用軟件使用方式（比如頻繁度、同時使用人數）、以及虛擬機的配置等，都會影響使用體驗。華為推薦的虛擬機配置密度，是典型應用場景下的的參考配置。為了獲取更為準確的虛擬機密度配置，建議模擬實際應用環境，進行性能測試。在實際使用過程中，如果出現由于應用負載變化等原因，導致用戶體驗變差情況。可以購買新主機、存儲等資源進行擴容，降低虛擬機配置密度，來獲取更良好的體驗。備注：虛擬機密度的三種典型性能應用場景的說明，請根據實現情況選用。更詳細的說明可參見業界通用定義。鏈接：/workloads【輕載虛擬機規格】用戶并行使用2個日常應用程序（Office/Outlook/IE等）的應用。適用于簡單辦公，營業廳、公用上網機、電子閱覽室等輕量應用場景。【中載虛擬機規格】用戶并行使用5個日常應用程序（Office/Notes/IE等）的應用。適用于普通辦公，網管維護等應用場景。【重載型虛擬機規格】用戶并行使用8個應用程序（例如OFFICE/Notes/Visio/IE/ZIP/AcrobatReader），適用于研發辦公應用的應用場景。存儲設備//本小節介紹SAN產品使用的幾種磁盤容量計算方法，請根據實際項目需要采用。//各種盤的基線IOPS，2.5英寸10krpmSAS盤的IOPS基線為200；3.5英寸15krpm的SAS盤IOPS基線為250，7500rpm的SATA盤的IOPS基線為80。//在桌面云環境，5300V3一拖三性能最佳，5500V3一拖五性能最佳，5600V3一拖七性能最佳，5800V3/6800V3/18500V3一拖九性能最佳。本章存儲規劃以華為OceanStorV3存儲為例，下面公式中參數說明：RAID組有效容量：RAID5的RAID組需要減去一塊校驗盤的容量。RAID6需要減去兩塊校驗盤的容量。RAID10只有一半可用容量。V3存儲采用RAID2.0+技術,RAID5只能固定取值Raid5（8D+1P）或Raid5（4D+1P）。RAID6只能固定取值Raid6（8D+2P）或Raid6（4D+2P）。磁盤利用率：磁盤的可用空間需要減去一些消耗，包括RAID2.0的管理數據，磁盤標單位為1000byte,OS的標稱單1024byte,兩者之間的轉換。每盤可用存儲空間為0.85。熱備盤率：RAID2.0技術中，(0,12]配置一塊熱備盤，(12,24]配置兩塊熱備盤，(25,48]中配置三塊熱備盤。后續每48塊增加3塊熱備盤。IO落盤率：這個參數=1-存儲Cache命中率。存儲設備的Cache，RAID組可提高IO性能。V3存儲的IO落盤率按21%計算，不同存儲廠家的設備Cache命中率有差異。//600GSAS盤采用RAID2.0，配置RAID5（8D+1P）,完整復制桌面的計算方法。可作系統盤與數據盤。通過容量和IOPS兩個維度計算存儲設備配置，每個600GSAS硬盤的極限IOPS為200，有效IOPS=200/(1*30%+4*70%)=200/(1+3*70%)=64（RAID5的寫懲罰是1：4。創建RAID5后，系統盤考慮70%寫比例造成的寫懲罰）。存儲配置計算過程如下：容量維度盤數=(總人數*每人數磁盤空間+管理節點容量)/（每盤標稱容量*磁盤利用率）*RAID組有效容量=(500*40+1200)/(600*0.85）*(9/8)=47IOPS維度盤數=（(總人數*每人IOPS數+管理節點IOPS)*IO落盤率）/（每盤標稱IOPS*IOPS利用率/(1+3*寫比例)）=(500*17+1110)*21%/(200*60%/(1+3*70%))=53結合容量和IOPS維度兩個維度取最大值，可以得出總盤數為：總盤數=Max(容量維度,IOPS維度)*冗余率+熱備盤數=Max(47,53)+Roundup(Max(47,53)/48,0)*3=59綜上所述，按RAID5存儲數量計算方法，總共需要59塊SAS盤。//2TNLSAS采用RAID10的計算方法，只能作數據盤。NLSAS盤通過容量和IOPS兩個維度計算存儲設備配置，每個NLSAS硬盤的極限IOPS為80，2T的SATA盤有效IOPS=80/（1*60%+2*40%）=（1+1*40%）=57（RAID10的寫懲罰是1：2。創建RAID10后，寫懲罰因素，數據盤的寫比例40%）。存儲配置計算過程如下：容量維度盤數=(總人數*每人數磁盤空間)/（每盤標稱容量*磁盤利用率）*RAID組有效容量=(500*80)/(2000*0.85）*(8/4)=48IOPS維度盤數=（(總人數*每人IOPS數)*IO落盤率）/（每盤標稱IOPS*IO利用率/(1+1*寫比例)）=(500*3)*21%/(80*40%/(1+1*40%))=14結合容量和IOPS維度兩個維度取最大值，可以得出總盤數為：總盤數=Max(容量維度,IOPS維度)*冗余率+熱備盤數=Max(48,14)+Roundup(Max(48,14)/48,0)*3=51綜上所述，按RAID10的存儲數量計算方法，總共需要51塊SATA盤。//2TNLSAS盤采用RAID6的計算方法，只能作數據盤。NLSAS盤通過容量和IOPS兩個維度計算存儲設備配置，每個NLSAS硬盤的極限IOPS為80，RAID6的寫懲罰是1：6。創建RAID6后，寫懲罰因素，數據盤的寫比例40%。每個RAID6組有兩塊校驗盤。存儲配置計算過程如下：容量維度盤數=(總人數*每人數磁盤空間)/（每盤標稱容量*磁盤利用率）*RAID組有效容量=(500*80)/(2000*0.85）*(10/8)=29IOPS維度盤數=（(總人數*每人IOPS數)*IO落盤率）/（每盤標稱IOPS*IO利用率/(1+5*寫比例)）=(500*3)*21%/(80*40%/(1+