谭兆麟

广州城市理工学院，广东广州，510800

0 引言

随着信息技术的不断发展，高校计算机实验室大量承担了涉及程序设计、多媒体、计算机网络等各个方面的课程。不同课程对实验室计算机的软、硬件环境都有着不同的要求。现在课程需求的软件版本更新得越来越快，不同的课程还有可能要使用同一软件的不同版本。与传统计算机实验室相比，桌面虚拟化技术的引入大幅降低了计算机实验室的维护和管理成本，也带来了教学效率的提升。

1 PNS QuickDesktop与虚拟云桌面系统

1.1 PNS QuickDesktop桌面虚拟化技术

PNS是一款基于PXE远程启动技术和nDisk网络磁盘技术的无盘管理系统。PNS QuickDesktop是在这基础上的一套有独创技术的高性能虚拟云桌面系统。它的技术原理如图1所示。

图1 PNS QuickDesktop 技术原理图

PNS的最上层为操作系统容器。容器内的操作系统包通过操作系统推送层，从服务器端通过局域网或互联网，推送到客户端上。在客户端上由操作系统执行器或虚拟机启动硬件[1]。使用PNS QuickDesktop安装或是升级系统的时候，需要先将一台客户机作为种子机。通过服务器上安装的管理端修改种子机的缓存设置，使缓存的存放位置从客户端本地调整为服务器。重启种子机后，就可以进行软件的安装、更新等系统调整。调整结束后关闭客户机，从管理端上进入快照管理界面，基于本次修改来建立新的快照。最后修改其他客户机的启动快照为新建立的快照，就可以把刚刚修改的内容快速地下发到实验室中所有的其他客户机上。PNS QuickDesktop虚拟桌面采用了按需推送的技术。在客户机启动后，若系统尚未全部缓存完成，那么系统会随着用户的操作，及时推送用户需求的数据部分，保证客户机系统可以正常使用。

1.2 虚拟云桌面技术

虚拟云桌面泛指通过服务器上的资源集中运行，虚拟出所需的硬件配置，并从服务端上运行桌面的模式。虚拟机从服务器上集中运行、集中管理。虚拟云桌面技术又可以分为VDI、VOI、IDV等不同的架构类型[2]。

（1）VDI即传统意义上的虚拟云桌面。客户端上不存储数据，仅作为交互终端使用，所有的运算和存储都通过服务器端完成。客户端在离线时将不能使用。

（2）VOI通过从服务器上缓存操作系统到本地终端，并通过终端的硬件来运行，通过虚拟磁盘来进行数据存储。客户端离线时依然可用，受客户端性能制约明显。

（3）IDV与VOI类似，通过软件从服务器上加载不同的镜像操作系统到本地运行。它在VOI的基础上增加了一个虚拟化层，性能介于VDI和VOI之间。

2 我校计算机实验室建设现状

广州城市理工学院计算机实验中心积极响应实验室信息化的需求，引入桌面虚拟化技术建设了多个实验室。实验中心目前建有5个计算机基础实验室、2个计算机软件实验室、1个计算机硬件实验室、1个计算机网络实验室以及1个大数据与云计算实验室，已经全面完成桌面虚拟化技术改造和建设。其中2个计算机基础实验室，共348台计算机最初使用传统的个人计算机，后来改造为使用虚拟云桌面系统，采用方物虚拟云桌面终端，安装Windows 7操作系统。后来升级Windows 10操作系统并更换为噢易云桌面，采用VDI教室环境，硬件上保留了以前的瘦客户端以节约成本。网络实验室、软件实验室与大数据实验室，采用PNS QuickDesktop虚拟桌面系统，使用传统个人计算机作为客户机。新建的基础实验室和进行升级改造后的硬件实验室（原来使用传统PC机）采用噢易云桌面，为VOI融合环境，使用专门的客户终端。我校目前正在使用的虚拟云桌面平台是 噢易教育桌面云融合版。其架构如图2所示[3]。

图2 噢易教育桌面云融合版架构图

实验室管理人员可以通过单一的融合管理平台，在浏览器上远程对主控服务器和云服务器上的操作系统镜像进行统一管理，可以根据实验室的具体需求，建立多个不同配置的虚拟机模板，以适应教学、考试等多方面的需求。要对系统进行更新时，只需对模板虚拟机进行编辑，在开启的虚拟机窗口中完成更新调整后，关闭模板并进行更新即可[4]。系统更新的过程非常迅速，平常教学使用的系统只需5～15分钟即可更新完成。当采用VDI教室环境时，学生连接到服务器上进行操作，降低了客户端的硬件需求。而采用VOI融合模式的教室，又可以充分发挥新配置硬件的优势，适应新课程的教学需要。

我校引入了虚拟云桌面技术的各个计算机实验室，目前承担了包括计算机应用基础类课程、程序设计类课程，网络及硬件实验、数字媒体类课程等公共课和专业课的实验教学任务，同时还承担了包括全国计算机等级考试、会计考试等重要考试任务。桌面虚拟化系统的引入，切实地提高了实验室的使用和管理效率。

3 PNS及云桌面系统实践中存在的问题

3.1 PNS桌面虚拟化实践中存在的问题

3.1.1 系统受局域网内部带宽制约较大

PNS系统在设计上，虽然允许终端在没有缓存完成的情况下，按需进行数据传输来使系统可以正常使用。但实际操作中，如果在系统未全部缓存完成的情况下开展实验教学的话，虚拟机系统的按需传输会占满局域网内的带宽，导致学生完全无法访问任何内部和外部地址，只能在系统内部进行操作。查阅文献的时候发现，此问题在使用PNS系统的其他学校实验室中也有出现，维护人员需要提前留出足够的时间来完成系统的更新调整[5]。

3.1.2 虚拟桌面对硬件的兼容性不够

使用传统计算机作为终端的网络实验室，在实验室更新的过程中增添了一批新购买的计算机主机，而新增的计算机配置比原有的机器更高。更新后导致无论使用原有的还是新增的计算机来作为种子机，最终生成的快照都只能发布到同配置的终端上。如果试图把快照分发到不同配置的终端上，系统只能卡在载入界面不能启动。最后只能把网络实验室划分成两个“虚拟机房”，分别制作和分发快照。而且两个不同的快照也没法同时进行分发，导致维护占用的时间远高于预期。

3.1.3 终端的系统规划功能未受密码保护

使用PNS系统的终端，在进入系统前会出现短暂的系统选择界面，允许手动选择进入哪一个快照。通过这个界面，还可以对客户机系统进行简单的维护，如清除缓存等。如果根据界面上的提示，通过F2快捷键进入“系统规划”界面的话，就可以在无需输入任何密码的情况下进入内置的PE系统，对终端机的磁盘进行格式化和重新分区等敏感操作。一旦终端机上的PNS Boot工具被破坏，就只能从服务器上重新进行安装配置。

3.1.4 电子教室软件与部分虚拟机网络存在冲突

由于网络实验室的特殊性，部分实验需要在PNS桌面镜像内部安装虚拟机软件并与主机系统进行网络通信。但是部分虚拟机软件在启用虚拟网络适配器时，会与电子教室客户端出现冲突，导致电子教室无法搜索到教室端，需要默认禁用相关的虚拟网络适配器，待电子教室成功连接教师端后，才能手动启用虚拟网络适配器进行连接。

3.1.5 PNS管理端对安全性需求更高

PNS管理端必须部署在Windows Server版本的操作系统上，与使用UNIX等系统的服务器相比，更容易遭受病毒感染的风险。一旦服务器通过局域网等途径遭受病毒感染，极易导致镜像文件感染病毒或出现损坏。这要求实验室的安全负责人投入更多的精力，及时关注安全相关的信息。旧版的PNS管理端只能通过系统自带的备份功能进行备份，在备份过程中容易导致文件损坏。升级到新版本后，才能通过直接复制磁盘文件副本的方式进行备份。若不能及时备份镜像及快照文件资料，一旦遭遇系统问题，就很容易造成不可挽回的损失。

3.2 虚拟云桌面系统在实践中存在的问题

3.2.1 服务器硬件资源跟不上操作系统的升级换代

我校计算机基础实验室在进行虚拟云桌面系统的改造和升级时，保留了原来的服务器与终端硬件设备。因为课程需要，需要把虚拟机的系统从Windows 7升级为Windows 10操作系统。实验室管理人员在测试时，发现系统更新后桌面的响应速度非常缓慢。经过排查，发现Windows 10虚拟桌面对磁盘的访问量是Windows7的数倍。原有服务器上使用的固态与机械硬盘混合进行存储的配置，已经完全不能满足升级的需求，必须进行服务器硬件资源的升级。

3.2.2 云桌面批量启动时可能造成瞬间的流量冲击

计算机实验中心建设早期，受校园网规划的限制，中心内全部的网络访问流量都需要先经过学校网络中心。在实验室建设初期，由于经验不足，管理人员未考虑到这个情况，导致从终端到虚拟机系统的流量也经过网络中心的设备。这样导致了每天终端批量启动时，从服务器下发虚拟桌面的过程，会瞬间在局域网内部产生较大的流量，触发内部报警。而且在虚拟桌面启动后，部分软件会自动尝试访问位于外网的升级服务器，这一行为还存在使校园网的外网访问拥堵的风险。

3.2.3 虚拟机操作系统中的网络配置问题

虚拟云桌面系统在网络配置过程中，需要考虑的问题更多。例如对虚拟机系统的更新需要在一体化管理平台中通过模板虚拟机进行，而模板本身也是一台特殊的虚拟机。如果在模板虚拟机分配给操作系统的IP地址，和服务器下发到终端的虚拟机系统里设置的IP地址，不处于同一个IP段的话，会让虚拟机系统每天首次启动时，都把实验室网络识别为新网络，并弹出询问网络类型的提示，只能由学生手动点击来关闭。

3.2.4 部分虚拟终端的本地系统可以被绕过

学生在上课时使用的终端，无论是使用特殊客户端还是传统计算机改造的终端，都会安装一个特殊的本地系统。在一些特殊情况下，学生可能会在不需要输入密码的情况下，绕过虚拟机操作系统，切换到后台管理系统上，导致一些不可预知的问题。例如部分版本的电子教室在进行窗口化广播时，焦点会切换到后台管理系统上。如果学生点击了Windows虚拟系统的桌面，就会把焦点切换回虚拟机内部，导致广播窗口不能再调整位置。又或者某些版本的本地系统中，学生可以通过点击顶上的接口映射按钮，在弹出的工具栏中进入后台系统，修改系统配置，绕过网络限制等。

3.2.5 虚拟机也可能会有病毒感染的风险

如果虚拟云桌面采用VDI模式，系统会在终端开机时，从云服务器模板中派生并下发到瘦客户端上，并可以主动进行重置，安全性较高。但是模板本身也是接入到网络中的一台虚拟机，一旦模板虚拟机中的操作系统内部出现病毒感染，就会直接影响从此模板中派生的全部虚拟机系统。而实验室维护人员在更新、修改模板的时候，经常需要从该虚拟机内部接入外网来下载文件，由此带来病毒感染和扩散的风险。

4 改进对策及思考

4.1 改进实验室的组网方式和网络配置

经过云桌面部署早期暴露出来的流量风暴问题之后，目前使用PNS桌面虚拟化系统的实验室，已经将对应的服务器机柜及网络设备调整到每个实验室内，并把实验室内部的网络流量限制在实验室内部，以降低外部网络故障可能对实验室造成的影响。同时把实验中心大楼内的网络从校园网中独立出来，尽量避免实验中心内部网络和校园网流量中可能出现的相互影响。

4.2 实验室管理人员需要保持和任课教师的沟通

实验室管理人员需要及时了解教师在上课时的网络访问需求，特别是要安装、配置的软件和教学过程中的数据通信等。例如部分软件可能会在后台对局域网中其他电脑进行扫描，造成安全隐患，需要管理员提前通过配置防火墙或者调整策略等方式进行限制。

4.3 更新维护前制定完善的计划和后备方案

在需要对实验室网络、服务器软件等进行升级或调整时，需要提前制定完善的升级计划和后备方案。如果调整规模较大的话，尽量安排在假期进行，并评估出现问题时的恢复时间。在升级之前务必小范围做好测试，同时对原数据做好备份。对于较大型的系统更新，尽量一个一个实验室依次升级，一旦出现问题及时排查和解决。

4.4 实验室管理人员要保持对虚拟桌面安全问题的高度警惕

虽然虚拟云桌面系统的安全性要高于传统计算机，但一旦出现安全问题，造成的影响也会比使用传统计算机的实验室更加严重[6-8]。对于使用Windows系统的服务器，需要及时更新系统安全软件，并及时关注安全部门下发的系统漏洞提醒，及时修复。对于使用PNS虚拟化系统的实验室，需要定期将镜像文件备份到移动硬盘或其他外置存储设备上，确保出现故障时可以尽快进行恢复。对于使用云桌面的实验室，实验室维护人员尽量不要在其他虚拟终端桌面在使用的情况下将模板虚拟机接入局域网或互联网内，尽量将模板虚拟机与正在使用的虚拟机进行网络隔离。

4.5 实验室管理人员要积极与云桌面服务商的工程师对接

在实验室维护管理的过程中，需要管理人员及时反馈遇到的问题，特别是涉及系统信息安全和网络安全的问题。在解决问题时不要满足于“好了就行”，要尽量搞清楚问题的原因，以及是否还会有其他类似问题、出现问题如何排查等等。在成本允许的情况下，相当一部分问题可以通过升级服务器软件或是电子教室解决。如果有升级需要，就必须提前确认好系统和硬件的兼容性。在实验室需要安排重大活动时，例如举行全国性的考试之类的应用场景，实验室安全负责人最好提前和云桌面的维护人员进行沟通，尽量安排工程师在活动当天驻校，以便出现突发状况的时候，能最快速度完成响应。

5 结论

高等院校计算机实验室引入桌面虚拟化系统，无疑会为实验室管理带来巨大的便利，在使用过程中也必然会带来问题。特别在信息安全无比重要的今天，一些问题可能会带来更严重的后果。这就需要实验室维护人员、管理人员、安全负责人都要做到与时俱进，在新时代不断提升自己的管理能力。本文总结了我校在对实验室进行虚拟化桌面改造和建设的过程中遇到的一些问题，以及在此基础上针对性提出的解决对策与思考，为高等院校实验室信息化管理和虚拟化建设提供了借鉴。