通信运营商桌面云运用探讨
2011-06-27单联春
王 郑,韩 焱,单联春
(中国电信股份有限公司新疆分公司 乌鲁木齐830011)
1 引言
云计算的到来对通信运营商来说意味着巨大的机遇,其长期积累的资源,包括庞大的网络、IDC、运营支撑系统等基础设施,包括用户对网络连接的高度依赖以及对网络速度的渴望,随着网络的不断提速、计算机开始淡化并逐步扩散到整个网络,将使运营商在云计算时代具有得天独厚的优势,云计算的发展,将创造性地破坏当前的IT产业布局,延续互联网革命,它可能带来整个ICT产业的重构,云计算可能成为日后各大IT公司最强有力的选择。然而,随着平台、一些基础设施及软件日益从交付项向服务演变,运营商需要在这个关键时期参与到变革进程中并且制定正确的IT投资,以期迎接未来全新的云计算模式。运营商必须视云计算为战略机会,利用后发优势,在同一技术起跑线上轻装快跑。
2 定义
什么是桌面云,先看一下云计算的定义:将计算任务分布在由大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务云计算。云计算是一种互联网上的资源利用新方式,可为大众用户依托互联网上异构、自治的服务进行按需即取的计算,云计算的资源是动态易扩展而且虚拟化的,通过互联网提供。桌面云是合乎上述云计算定义的一种云,是:“可以通过瘦客户端或者其他任何与网络相连的设备来访问跨平台的应用程序以及整个客户桌面”。也就是说只需要一个瘦客户端设备,或者其他任何可以连接网络的设备,通过专用程序或者浏览器,就可以访问驻留在服务器端的个人桌面以及各种应用,并且用户体验和使用传统的个人电脑是一模一样的。
3 桌面云价值
3.1 集中化的管理
(1)传统桌面的管理
包括操作系统安装配置、升级、修复的成本,硬件安装配置、升级、维修的成本,数据恢复、备份的成本以及各种应用程序安装配置、升级、维修的成本。
维护管理工作基本上需要在每个桌面上做一次,工作量大。对于需要频繁替换,更新桌面的行业来说,工作量更大了,成本更高。例如对于培训行业来说,经常需要配置不同的操作系统和运行程序来满足不同培训课程的需要,工作量大,而且需要经常进行。
(2)桌面云解决方案的管理
管理是集中化的,IT工程师通过控制中心管理成百上千的桌面云,所有的更新、打补丁都只需要更新一个“基础镜像”就可以了。对于上面所提到的培训中心来说,管理维护就非常简单了,只需要根据课程的不同配置几个基础的镜像,然后不同的培训课程的学员可以分别连接到这些不同的基础镜像,而且要做任何修改,只需要在这几个基础镜像上进行就可以了,只要重启桌面云学员就可以看到所有的更新,这样就大大节约了管理成本。
3.2 安全性提高
安全是IT工作中一个非常重要的方面,一方面各单位对自己有安全要求,另一方面政府对安全也有些强制要求,一旦违反,后果非常严重。对于企业来说,数据、知识产权就是他们的生命,例如软件企业中的源代码等。对于政府部门来说,数据安全更为重要及紧迫。
(1)传统桌面办公的做法
许多公司的IT部门为此采用了各种安全措施来保证数据不被非法使用,例如禁止使用USB设备,禁止使用外部电子邮箱等。
(2)桌面云解决方案的机制
所有的数据以及运算都在服务器端进行,客户端只是显示其变化的影像而已,所以再不需要担心客户端非法窃取资料。其次,IT部门根据安全挑战制作出各种各样新规则,这些新规则可以迅速地作用于每个桌面。
3.3 应用更环保
传统个人计算机的耗电量大,每台传统个人计算机的功耗在200 W左右,即使它处于空闲状态时耗电量也至少在100 W左右,按照每天10 h,每年240天工作来计算,每台计算机桌面的耗电量在480度左右。在此之外,为了冷却这些计算机使用产生的热量,还必须使用一定的空调设备。
桌面云解决方案的每个瘦客户端的电量消耗在10 W以内,加上云端的每用户服务器硬件能耗,不超过50 W/用户,能耗大大减少。
4 桌面云主要应用场景
4.1 个人桌面
个人桌面主要指配备给公司员工用于日常办公的个人电脑,由于在管理上、技术手段上的不足,终端覆盖范围不够,推广效果有待加强。
4.2 混用桌面
公司社会用工人数众多,流动性大,工作时间、地点不固定,同时,由于公司办公场地紧张、成本控制等方面的限制,很难做到为每位社会用工配置个人桌面,混用桌面现象普遍。各营业厅的大客户经理也存在桌面混用的情况。
混用桌面问题:办公效率不高;个人数据缺乏安全保障;使用、维护混乱,安全漏洞多,易遭受病毒/木马攻击;故障几率高,维修周期长。
4.3 代维桌面
代维桌面指信息化系统相关厂家的开发、维护人员在运营商工作时所使用的电脑。
代维桌面随意接入运营商的局域网,易引发病毒、木马的传播,同时,代维人员日常工作涉及对后台系统大量的访问,易发生操作失误、公司重要信息泄密等事件。
4.4 涉密桌面
涉密桌面是指存储公司相关秘密信息,并可以接入公司局域网的桌面。
目前对涉密桌面的管理缺乏相应的技术手段,对其中所存储重要文档信息的安全保障有待加强。
4.5 呼叫中心桌面
实现呼叫中心整洁办公、节能减排、集中维护管理、集中监控和软件部署。
4.6 营业厅桌面
实现营业厅的整洁办公、集中维护管理、集中监控和软件部署。目前,全国各省的通信运营商营业厅终端数量都在数千台以上,如果统一使用桌面云方式,将大大节约维护成本。
5 桌面云逻辑图
桌面云解决方案可以分成7个逻辑部分:云终端、接入控制、桌面会话管理、云资源管理及调度、虚拟化平台、运维管理系统和硬件,如图1所示。
6 实际应用部署方案
桌面云解决方案的系统架构如图2所示。
6.1 云终端
云终端是指接入桌面云的终端,有Remote User和LAN User两种类型。
Remote User:指通过广域网来连接桌面云的用户,这类访问方式基于安全的需要,一般需要配置防火墙和接入网关等安全设备。
LAN User:指通过局域网来连接桌面云的用户,这类访问方式属于内部网络访问,可以直接使用云终端访问桌面云。
6.2 接入控制
对终端接入进行控制,包括接入网关、防火墙等安全设备。
Firewall:该部件主要是对从广域网接入桌面云的访问进行控制。
Access Gateway:接入网关用于保证远程用户连接的安全性,并且在用户接入桌面云时,无需使用客户端代理程序,极大地提升了终端用户的体验。
Web Interface:负责显示基于Web的界面,让用户看到自己可用的桌面云。用户在界面上输入登录的账号密码后,负责到IT的AD系统进行鉴权。
6.3 桌面会话管理
桌面会话管理主要完成桌面云的接入控制与会话管理的功能,主要包括 Desktop Delivery Controller、License Server、Data Store、Web Interface Adapter、IT Adapter 等 主要部件。
Desktop Delivery Controller:即桌面传输控制器,安装在数据中心的服务器上,负责新桌面云的注册,将桌面云的请求指向可用的系统以及代理用户和桌面云之间的连接。它控制桌面的状态,根据需要和管理配置启动和停止桌面云。
License Server:是桌面云License的管理与发放系统,负责桌面云License的发放。
Data Store:即数据存储服务器,用于存储桌面云的数据 ,包 括 IT Adapter、Web Interface Adapter和 Desktop Delivery Controller所需要的数据。
Web Interface Adapter:为Web Interface的辅助逻辑部件,辅助完成启动和重启虚拟机的功能。
Enterprise Assets Management:即企业资产管理部件,该部件为一个可选部件,当桌面云是一个租赁桌面云时,需要该部件,主要与运营商的运营系统对接,并把消息分发给相应的IT Adapter(每个租用的企业有一个IT Adapter)。
IT Adapter:即IT适配器,是桌面云解决方案中对IT资产管理系统提供的接口。IT系统可通过IT适配器完成对桌面云的虚拟机管理、虚拟机镜像管理、虚拟机分配管理、系统运行维护管理等操作。
6.4 云资源管理及调度
云资源管理及调度主要是对各种云物理资源进行管理,在创建虚拟机时,为虚拟机分配相应的虚拟资源,同时完成各种业务的计费功能。
Computing Resource Manager:即计算资源管理器,主要完成对本集群内物理计算资源的管理,为每个虚拟机分配相应的虚拟计算资源,在一个计算集群内,计算资源是共享的,虚拟机可以从一个物理计算节点迁移到另一个物理计算节点。
Block storage Resource Manager:即块存储资源管理器,主要完成对本集群内存储资源的管理,为每个虚拟机分配相应的存储资源。
Elastic Service Controller:即弹性服务控制器,主要完成整个桌面云的资源管理与调度,它不涉及集群内的资源管理,只负责集群间的资源管理与调度。
Billing:用来完成桌面云各种业务的计费功能,该模块的功能在桌面云系统中可选。
Image Server:存放不同的操作系统镜像,在制作虚拟机时可以通过这些镜像为虚拟机安装不同的操作系统。
6.5 虚拟化平台
虚拟化平台完成对各种物理资源的虚拟化,为虚拟机提供各种虚拟资源。
Computing Node Agent:即计算节点代理,是提供真正计算资源的部件,通过虚拟化平台,把这些物理计算资源虚拟化为虚拟计算资源,供虚拟机使用。多个计算节点组成一个计算集群,在集群内,计算资源是共享的。
SAN:即存储区域网络,是提供真正存储资源的部件,为每个虚拟机提供相应的存储资源,通过标准的iSCSI接口供虚拟机使用。
6.6 运维管理系统
运维管理系统包括桌面云的业务运营部分和系统的维护管理部分,其中桌面云的业务运营部分由运营人员直接通过Web的方式来进行业务发放,系统的维护管理则由操作维护子系统来完成。
OMS(operation and maintenance subsystem,操作和维护子系统)主要完成桌面云基础设施的维护管理功能,包括业务节点的安装部署、节点性能监控、配置管理等功能。
7 桌面云安全
7.1 桌面云与传统桌面终端的异同
由传统的桌面终端迁移至桌面云,用户的接入方式、应用访问模型都会发生较大的改变。
传统桌面终端与桌面云的相同点如下:
·同样面临用户身份、终端管理和访问控制的问题;
·同样面临桌面安全的问题;
·同样面临数据保护和防泄漏的问题;
·传统的终端安全控制手段在桌面云中同样适用,例如:利用802.1x或接入网关实现的桌面终端接入认证和控制、微软RMS桌面权限管理服务系统等。
传统桌面终端与桌面云的不同点如下:
·用户的访问模型由二层(终端→应用)变为3层(客户端→桌面云→应用),这意味着身份管理和访问控制由终端延伸至客户端、桌面云;
·用户数据由分散(终端)到集中(桌面云),既带来集中数据的安全保护问题,但桌面云的集中可控,又使得对客户端的外设管理、恶意代码防护、补丁管理和桌面行为审计等大大地简化;
·桌面云在传统的操作系统之下引入了新的虚拟化层,带来新的安全风险。
因此,桌面云的安全性有别于传统的桌面终端安全,既有有利之处,也引入了新的威胁和脆弱点。虚拟安全应用的功能包括常见的防火墙、IPS功能以及恶意代码防护、完整性监控和日志分析等增强功能。其部署既可按照传统的桌面终端防护方式给每个桌面云安装防护软件,也可安装一个实例在物理服务器上,通过服务器虚拟化软件提供的安全API接口对该物理服务器上的所有桌面云进行防护,二者所提供的功能是一致的。且后者不仅可对在线桌面云进行防护,也可对离线的桌面云存储文件进行扫描和防护,既提升了管理效率,又极大地提升了桌面云环境整体的安全性。
7.2 桌面云的安全问题
(1)数据安全防护
采用桌面云架构,将分散的数据从传统终端集中到了数据中心的桌面云侧。一方面这给安全管理带来了极大的方便,使得类似补丁管理、恶意代码防护等工作得到了极大的强化,但另一方面,集中的数据也对防泄漏、备份提出了更高的要求。
(2)数据防泄漏
在数据防泄漏这一点上,桌面云环境下与传统的桌面终端环境没有太大的区别,只不过其覆盖范围需要从终端+数据源扩展至接入客户端+桌面云+数据源上,但考虑到由于桌面云到接入客户端传输的数据只是包含用户操作屏幕的变化,而不包括具体的应用数据或资料,因此桌面云的数据不易泄漏到接入客户端上。接入客户端惟一可虑的泄漏渠道在接入客户端的外设,如USB存储、打印设施等,而这可以通过在桌面云端传统的数据防泄漏手段来进行控制。
8 软件解决方案
8.1 Windows终端服务器
WBT (Windows based terminal server,Windows终端服务器)是瘦客户机/终端服务器模式下的一种基于Windows操作系统平台的客户端设备。
其应用模型是:应用程序的配置、管理、执行都100%在服务器端进行,客户端仅作为一种输入输出的设备。
它要求有一个多用户操作系统,以允许多个用户同时登录到一台服务器并运行服务器上的应用,还需要一个Windows远程显示协议,能够把应用的逻辑执行和它的用户界面分离,只需键盘、鼠标和屏幕将更新的数据在网上传送,因此,应用软件的执行需要较小的带宽。
这种应用模型不需要重写应用或从服务器端下载,客户可以完全访问服务器端的Windows应用,这意味着对原有的硬件、网络、应用投资的超值回报。因此,瘦客户/服务器应用模型成为企业降低复杂性和总拥有成本 (TCO)的最可靠的方法,但是用户基本上无法更改应用程序的设置,无法定制化自己需要的应用。
8.2 基于虚拟机的方式
基于虚拟机(VM)的方式是指服务器上面划分出许多虚拟机,每个桌面都单独运行在一个VM中,这样许多用户在共享一台服务器的同时相互之间对计算资源的占用又是互相分开,不会互相影响的。另外许多云计算提供商提供CPU的过度承诺技术和内存的过度承诺技术,使得一台服务器上面运行的VM大大超过服务器的CPU内核数和内存总数。
客户端拥有一个虚拟机,在这些虚拟机中运行的桌面是通过网络传递过来的,它可以离线使用,所以在最初使用的时候需要把整个桌面都通过网络传递过来,花费的时间要比本地流长。在需要的时候,这些桌面可以连接到公司网络进行系统操作、应用程序以及用户数据的同步、安全升级等工作。在这种模式下,用户既可以移动办公,同时他们所使用的桌面又处于公司统一的 IT策略的监管之下,数据也得到保护,即使遗失,也可以迅速恢复已同步的数据。所以这种模式对于那些经常需要出差的销售人员、咨询顾问等特别适合。
(1)VMware View 组件
VMware View是涵盖从数据中心到桌面的紧密集成式解决方案,旨在以托管服务的形式交付桌面。借VMware vSphere与VMware View紧密集成,并充当后者的平台。借助它,组织可以将业界领先的虚拟化平台的优势延伸到桌面。
VMware View Manager是一个企业级连接代理,可以简化虚拟桌面的管理、调配和部署。利用VMware View Manager,可通过单个控制台集中、安全地进行桌面管理。VMware View Composer可帮助将存储成本降低多达70%,同时简化映像管理。它利用VMware链接克隆技术来让主桌面映像发挥最大效用,一次可自动创建和更新数以千计的虚拟桌面。
(2)Citrix的桌面云解决方案
CitrixHDX是一整套帮助提升桌面虚拟化终端客户体验的技术。业内最为知名已有20年发展历史的ICA协议也被包括在该系列技术中。ICA协议从窄带时代发展而来,相对于 RDP/RDS、PColP、RGS等其他协议,它对带宽资源的占用最节省,正常状态下平均每个用户仅占用20 kbit/s左右的带宽,可以支持任何网络环境下的桌面云。
HDX将先进的优化技术与ICA协议结合,形成HDX网络优化技术。此外还提供HDX数据中心优化技术、HDX终端设备优化技术,覆盖了从数据中心到客户端设备的各种Citrix现有产品,增加了针对多媒体、语音、视频和3D图形的改善功能。HDX共有6个类别,它们协同工作,在各种用户情境下提供桌面云的最佳使用体验,包括HDXMediaStream 媒体流技术 、HDXRealTime、HDX 3D、HDX即插即用、HDX广播、HDX智能缓存。
作为设备端HDX技术的载体,CitrixReceiver简单得像卫星和有线电视接收器一样。正因为有它,才能实现桌面云中用户可在任何时间、地点,通过任何设备访问后端的云。当所有桌面计算和存储被虚拟化到后台,终端设备只要安装了CitrixReceiver,就无需考虑该设备的类型,无论是办公室PC、家庭Mac机,还是iPhone都不再有区别。
9 使用感知
·使用习惯发生变化,如鼠标/键盘操作不如本地操作敏捷;屏幕画面质量与PC机存在差距;U盘无法直接使用、数据拷贝受限。
·组织结构和流程变化,新入职省公司员工只需要申请OA账号,原则上不再配手提电脑,只配TC,出差时需走流程借用部门公用的手提电脑。
·初期实施内部投诉会增加,桌面云部署初期,因技术与管理还在不断完善中,兼容性、使用习惯等问题会招致内部投诉增加。
·音视频质量存在问题,语音可能存在延迟、视频可能会出现比较卡的情况,尤其针对高清视频质量厂商目前还没有好的解决方案。
·无法满足不同用户的大量的个性化需求。
·在云桌面中使用某些Web应用,可能会导致系统响应时间变长。
1 IBM桌面云解决方案.http://wenku.baidu.com/view/80142 bd 43186bceb19e8bbd1.html
2 桌面云:云计算在前端的体现.http://www.chnsourcing.com.cn/outsourcing-news/article/5919.html
3 Cloud computing.http://en.wikipedia.org/wiki/Cloud_computing
4 陈国良,孙广中,徐云.并行计算的一体化研究现状与发展趋势.科学通报,2009,54(8):1 043~1 049
5 范昊,余婷.一种新型的网络分布式计算——云计算,2008
6 石磊,邹德清,金海.Xen虚拟化技术.武汉:华中科技大学出版社,2009
7 SUN.云计算架构介绍白皮书(第1版).http://developers.sun.com.cn/blog/functionalca/resource/sun_353cloudcomputing_chinese.pdf
8 张亚勤.与云共舞——微软云计算的新进展.中国计算机用户,2009(2):12~13
9 英特尔开源软件技术中心,复旦大学并行处理研究所.系统虚拟化:原理与实现.北京:清华大学出版社,2009
10 陈海波.云计算平台可信性增强技术的研究.复旦大学博士学位论文,2009
11 毛文波.云计算安全.http://blog.pconline.com.cn/article/334526.html
12 IBM.新兴安全性技术趋势展望.http://www-935.ibm.com/