云桌面系统建设技术方案书

云桌面系统建设

项

目

技

术

方

案

目录

1概述 (4)

1.1背景 (5)

1.2需求 (6)

1.2.1 虚拟化基础架构 (6)

1.2.2 云桌面 (7)

2系统设计 (8)

2.1设计目标 (8)

2.2设计原则 (9)

2.3系统架构 (9)

2.3.1 云桌面系统分层架构 (11)

2.3.2 服务器虚拟化基础架构平台分层架构 (13)

3系统性能 (15)

3.1虚拟化基本性能 (15)

3.2存储I/O性能 (16)

4系统安全 (18)

5系统功能描述 (19)

5.1虚拟化基础架构子系统 (19)

5.2虚拟化教学管理子系统 (23)

5.2.1 教学管理 (24)

5.2.2 云教室管理 (26)

第页

5.2.3 教学辅助管理 (28)

5.2.4 系统管理 (30)

5.3安全云盘 (32)

6系统逻辑架构及配置 (35)

6.1系统逻辑架构 (35)

6.2系统配置 (35)

6.2.1 软件配置 (35)

6.2.2 容量估算 (35)

6.2.3 硬件配置 (1)

一、盛思睿公司获奖材料.................................................... 错误！未定义书签。

二、公司知识产权................................................................ 错误！未定义书签。

三、公司其他材料................................................................ 错误！未定义书签。

第页

1概述

随着信息技术领域向着规模化、集约化和专业化的道路发展，云计算作为新

兴的计算模式应运而生，并且逐渐成为学术界、工业界的研究热点之一。根据NIST1的定义，云计算是一种基于计算机网络的、以服务方式提供的新型计算模式。简单说，云计算是一种新兴计算模型，具有规模可伸缩、可靠性高、可用性强、资源利用效率高、可计量、成本低廉等特点。

2001年谷歌首次提出了“云计算”概念以来，国际上云计算正在从概念走向应用，并加快落地速度，在各行各业掀起了一股应用热潮。主流云计算厂商以国外公司为主（Google、Amazon、IBM等），进一步推动了国内外市场的应用发展。截止到2013 年6 月，48% 的美国政府机构已经应用云计算。根据美国联邦云计算发展战略，今后美国联邦政府每年庞大的IT采购预算将明显倾斜于采购云计算服务(服务产品)。

在国内，云计算已上升到国家战略层面。2012年“中国云”产业发展规划已获国务院批准，规划包括“十二五”期间“中国云”产业的发展思路、重点任务、技术路线、支持体系等；国内各地政府积极开展了云计算的发展规划和建设，北京，云计算产业发展已处于领先地位，明确将自身定位为未来世界级云计算产业中心；上海，制定发布了“云海计划”，并将上海在云计算领域定位为亚太地区的云计算中心。无锡，是国内第一批云计算中心建设城市。08年开始建设无锡云计算中心。深圳，立足创新的云计算业务模式，提供工具开发云平台服务。杭州云计算产业已经进入发力阶段。2010年，合作推出微软在华首个云计算孵化中心。

在教育领域，为了提高师生应用信息技术的能力，促进基础教育平衡发展，

1NIST是美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology）的名称缩写。

第页

各院校陆续采用云计算新技术，加快基础教育信息化设施体系建设，2014年都江堰教育局启动6500个云桌面建设项目，此外为推进优质数字教育资源建设与共享行动、实现教师教育技术能力提升和中小学校园信息化全覆盖，多个县开始规划云计算建设。

1.1背景

IT系统规模不断扩大将对快速扩充硬件设备的需求逐渐增加，运维人员在服务器端在管理、日常维护方面的高效运维需求逐渐显现，传统的IT架构模式带来了三方面的问题：一是大幅增加了机房空间、电源、空调等基础设施资源的消耗，造成基础环境频繁新增和扩建；二是增加了信息系统复杂程度，影响系统运行的稳定性，加大了运行维护难度；三是资源利用不充分，相当一部分服务器负载率较低，新建业务系统还要再新增服务器，造成资源的浪费。

利用虚拟化基础架构技术，提高硬件资源利用效率、节省机房空间、降低运营成本、加强硬件资源建设管控能力、提高应用系统部署效率，降低应用系统对物理服务器的依赖性。

在中小学校信息化建设过程中，传统方式一般是为教师和学生提供传统的PC 机，满足其日常办公、一般课堂和计算机多媒体教室教学需求。但在实际应用中，其越来越暴露出在管理、维护、安全、成本上的弊端，主要表现为：

(1)管理效率低

由于PC机分散安装于不同的办公室、教研室和机房，物理位置比较分散，不能实现集中管理，PC机中的相关桌面操作系统和办公、教学软件需要各自分别安装、升级，经常造成办公、教学软件维护管理问题，严重时可能影响正常的

第页

教学工作安排。

(2)维护难度大

现有中小学品牌PC机或兼容PC机由于工作时间长，其散热和硬盘部件一般在运转半年或一年时间后，比较容易发生故障，因此传统PC系统在投用一年时间后硬件故障率普通逐步升高，同时由于软件误装误用等操作问题，经常需要维修或重新初始化系统软件，严重影响正常的教学工作开展。

(3)数据安全差

现有PC机中的教学课件、资料等保存于本机磁盘，教学课件、资料等属于教育局及学校的重要数据资产，一方面PC机SATA磁盘的故障率较高，可能由于磁盘损坏导致重要的教学课件、资料等数据丢失；另一方面非授权人员可以十分方面地从PC机中通过USB盘等工具拷贝文件，对数据的安全保护较弱。

(4)综合成本高

现有PC机除一次性硬件投入外，后续的系统维护工作量较大，而学校一般没有配备专职的IT系统维护岗位，随着IT服务人工成本的上升，每年对PC机系统的维护成本也逐年上升，同时由于PC机故障率较高，设备过保后，每年的维修成本也会逐年上升，因此现有PC系统的综合成本比较高。

1.2需求

1.2.1虚拟化基础架构

建设教育云桌面平台，提高资源整体利用，提升服务器运行管理能力和安全管理能力，降低成本功耗。具体需求如下：

1、基于虚拟化技术，实现对服务器CPU/内存的精细化管理，实现对服务器

第页

的资源池化管理，可动态在资源池中分配可用的CPU/内存资源，按需供应给新应用或需要扩展的应用，大幅提高服务器资源整体利用效率；

2、具有虚拟机基础基础架构平台的高可用调度机制，改进传统的HA双机

热备的方式，在保证高可用的同时达到资源利用的最大化；

3、实现对物理服务器、存储中资源的整体监控，实现集中可视化监控与自

动报警；

4、实现服务器自动化管理，提供对故障服务器的快速搜索定位和告警信息

推送，发生故障时，运行在故障服务器上的应用自动恢复到资源池中其他可用的服务器中，将应用受影响的时间控制在分钟级，大幅提高单个技术人员的维护管理效率；

5、按照应用系统的不同的应用场景进行分类，设置不同的资源池，每个资

源池可以设置不同的安全级别和SLA级别；

6、基于虚拟化技术实现虚拟机的手动/自动在线增量备份或全备份，可以将

虚拟机恢复到任务全备份的时间点；

7、对虚拟机提供相关管理界面，并提供完整的认证和审计机制。除IT部门

机房管理人员安装或者排查物理机故障等情况外，其他无需再对服务器设备进行操作；

8、利用虚拟化基础设施平台的经济调度策略，实现应用所需资源的弹性扩

展调度，提高服务器资源的复用性，降低TCO和PUE值。

1.2.2云桌面

基于服务器虚拟化技术和虚拟桌面技术为某县中小学建设云桌面系统，提高

第页

桌面的运维效率，降低运维难度和成本，具体表现如下：

1、结合实际用户使用情况，建设10个数据中心为60所中小学提供5000

个云桌面使用支撑的基础环境；

2、创建XX个班班通虚拟桌面，每个虚拟桌面分配2个vCPU、4GB内存和

不超过80GB存储空间；

3、创建XX个计算机多媒体教室虚拟桌面，每个虚拟桌面分配2个vCPU、

4GB内存和不超过80GB存储空间；

4、创建XX个电子阅览室虚拟桌面，每个虚拟桌面分配2个vCPU、4GB内

存和不超过80GB存储空间；

5、创建XX个教师办公虚拟桌面，每个虚拟桌面分配2个vCPU、4GB内存

和不超过80GB存储空间。

2系统设计

2.1设计目标

通过引入先进的虚拟桌面技术，针对当前普教信息化建设现状，设计出一套云桌面系统，以瘦客户终端替代传统PC机，降低持续建设、能耗与维护成本；以灵活、高可用、高可靠的系统调度策略，满足学校信息化建设低能耗、高可靠的使用需求。通过结合国际先进的虚拟化数据中心支撑教育云平台的建设方式，打造基础设施资源总体利用率高、运维管理自动化程度高、提供对外服务安全、可靠性高的“三高”虚拟化基础架构平台，总体上提升现有普教系统计算机办公与教学水平。

本项目结合某县局及所主管的中小学校的实际需求，采用国产云桌面技术，

第页

在集中管理的服务器中为班班通、计算机多媒体教室、电子阅览室、学校教师分配桌面虚拟机；为教育云平台中业务应用提供高可用、高可靠、灵活按需分配的虚拟化基础架构平台。

2.2设计原则

本项目建设遵循以下原则：

(1)先进适用（切合实际需求，有针对性）

(2)高性价比（虚拟桌面的单位软硬件总体成本应不超过传统PC机）

(3)集中部署、分级管理

(4)无大规模故障点（有效控制硬件故障风险）

(5)易于后期扩展

2.3系统架构

某县教育云平台从功能上可以分为“教育云桌面”和“服务器虚拟化”，教育云桌面用于支撑班班通、多媒体教室、电子阅览室、教师使用的云桌面基础环境，服务器虚拟化用于支撑教育应用系统等业务系统环境。教育云桌面采用分布式部署在10个镇级数据中心的方式，服务器虚拟化采用集中部署一套县级数据中心机房的方式。初步估计在每个镇数据中心部署支撑500台虚拟机运行的服务器、网络环境，在县公司提供支撑40台业务系统虚拟机的环境。

某县教育云桌面由安全访问网关、云桌面客户端、云桌面资源池、云盘共享资源及备份集中存储池等多个部分组成。安全访问网关提供统一访问控制和访问监控；云桌面客户端提供终端操作系统到虚拟桌面的信息传输；云桌面资源池以按需、灵活、高可用的方式为瘦客户端提供虚拟桌面；云盘共享资源及备份集中

第页

存储为云桌面用户提供非结构化数据的存储和备份。

镇数据中心网络由千兆网络提供云桌面的“云桌面资源池的管理（管理网）”、“终端操作系统到虚拟桌面信息传输（桌面网）”、“虚拟桌面与业务应用系统的信息传输（应用网）”，以及万兆网络提供分布式的“云桌面数据存储”共同组成。

某县服务器虚拟化基础架构平台由在教育局数据中心的服务器资源池、服务器虚拟化集中存储池、数据库服务器、数据库存储、一体化备份设备等共同组成。通过服务器虚拟化技术，将提供某县中小学教育应用系统所需服务器的资源需求形成数据中心服务器资源池的需求并以服务器资源池提供计算资源，服务器虚拟化集中存储池提供存储的方式提供。两台数据库服务器提供数据库服务，一体机备份设备提供数据库的备份服务。如下图所示：

图1 某县云桌面系统总体架构

第页

2.3.1云桌面系统分层架构

图2某县云桌面系统分层架构

(1)用户接入层

云桌面用户接入终端一般采用瘦客户机（Thin Client），也可以利旧使用现有的PC机或笔记本。

瘦客户机一般采用AMD G系列或Intel Atom系列CPU，功耗一般小于25W，需要安装Linux或Windows嵌入式版本作为瘦客户机操作系统，操作系统启动或重启时自动启动云桌面远程访问组件，该组件通过连接网络访问登录页面，对用户进行口令和数字证书相结合的双重认证，通过认证后，将返回用户有权使用的桌面虚拟机列表选项信息，如用户只有一台桌面虚拟机则自动连接进入。如果用户连续几次登录失败，则将该用户账号锁定一段时间。

图3 瘦客户机示意图

(2)连接网络层

第页

用户使用瘦客户机，可以通过LAN网络远程访问后端的桌面虚拟机。在用

户在使用虚拟桌面系统过程中，瘦客户机终端与后端的桌面虚拟机之间将传输视频、音频、图像、鼠键事件等人机交互数据，数据传输基于TCP协议，并进行SSL/TLS加密。

(3)安全访问管理层

安全访问网关：所有用户瘦客户机终端与后端的桌面虚拟机之间的连接必须经过统一的安全访问管理，安全访问网关系统为桌面虚拟机提供统一的远程访问入口，将用户合法终端IP地址随机动态映射到桌面虚拟机服务器资源池网络，在网络之间执行访问控制策略，对流经的连接数据进行分析，并能够过滤掉一些有攻击特征的数据，可以关闭不使用的端口，禁止特定端口的通信。同时，对远程访问账号行为进行审计，使管理人员可以集中监控桌面虚拟机远程访问连接状态。

抗DDOS攻击安全防护：数据中心遭受DDOS攻击常有发生，时时都有受到攻击的威胁。当前XX云计算中心非常大的安全隐患是来自互联网的拒绝服务攻击（Denial of Service Attacks），包括以SYN Flood和Ping Flood为主的技术，其主要方式是通过使关键系统资源过载，导致网络或服务器的资源被大量占用，甚至造成网络或服务器的全面瘫痪。

因此通过在云平台部署抗拒绝服务攻击设备，实现DDOS攻击防范。其中流量分析系统位于互联网接入区，采用路由器/交换机输出网络流量的统计数据的方法，路由器/交换机对通过其的IP数据包进行统计和分析，并上报给采集器，网流采集器把搜集的数据包及统计数据传送到分析器，经合并处理后存入数据库，

并进行进一步的分析处理。

第页

第页入侵防护：针对接入区域的边界防护，通过防火墙实现了基本的访问控制，但由于防火墙的一些功能限制，使得那些伪装类的攻击仍然可以穿越防火墙而进入互联网与专网接入区域区的信息网络内，因此也有必要引入入侵检测系统。

边界安全防护：互联网与专网接入区域，需要在网络出口处采取必要的强制访问控制措施，比如防火墙设备，但主要目的是限制对其他安全区域的的非法访问，特别是限制对业务应用服务区与云计算服务器区访问，且主要提供网络层防火墙。

(4) 云桌面虚拟机管理层

用户实际使用Win7/WinXP/Linux 桌面系统运行于后端的桌面虚拟机中，通过虚拟化、资源调度等技术将多台物理服务器资源整合为桌面虚拟机资源池，根据不同用户的桌面环境需求，为用户分配不同配置和服务等级的桌面虚拟机。同时，实现虚拟化认证授权、基于角色的访问控制、安全审计与告警、系统数据保护、虚拟机隔离等安全管理要求。

2.3.2 服务器虚拟化基础架构平台分层架构

图 4某县服务器虚拟化基础架构平台分层架构

(1) 主管理服务器

主管理服务器提供服务器虚拟化管理服务，

实现对多个资源池所属的大量资

源服务器进行统一虚拟化管理、资源调度和运行监控。为了确保服务质量和处理

性能，主管理服务器通过专门的管理网（千兆以太网）与受控资源服务器进行通信。主管理服务器基于SOA对资源服务器进行管理，即使主管理服务器服务中断，也不会影响资源服务器及其中的虚拟机正常运行。如果系统对可靠性具有更高的要求，为了避免单点故障，主管理服务器采用HA高可用集群部署，即使主控服务器无法正常工作，也不影响各宿主服务器中虚拟机的正常运行。

(2)资源池服务器

资源池服务器基于高性能虚拟机技术在服务器硬件和操作系统之间引入虚拟化层，将一台物理机从逻辑上划分成多个虚拟机。每台物理服务器构成一个可划分的资源单位，多台物理服务器可以构成一个资源组，多个资源组构成一个资源池。资源池服务器中的虚拟机通过专门的应用网（千兆以太网）对外提供各种网络服务。

(3)物理机资源池

物理机资源池是指通过虚拟化技术从服务器、存储、网络等物理资源中抽象出来，对底层硬件设备进行整合和统一管理，使硬件资源的调度更加灵活、动态、有弹性，支持良好的互操作性和标准接口，为上层业务系统提供共享的、池化的计算资源。服务器虚拟化基础架构平台支持创建管理不同类型、不同用途、不同资源调度要求的多个资源池。

(4)虚拟机资源池

虚拟机资源池是指通过虚拟资源调度控制技术，将分布于不同物理机上的虚拟机，根据虚拟机的业务类型、服务等级和调度策略构建不同的逻辑分组，进行

统一调度管理。

第页

(5)共享存储

集中存放服务器资源池中的虚拟机文件。SAN存储通过专门的存储网与资源服务器进行通信。在本项目中建议采用IP-SAN存储。

(6)相关交换网络

需要配置应用交换网（简称“应用网”）、管理交换网（简称“管理网”）、存储交换网（简称“存储网”）等网络。

?管理网是主管理服务器对资源服务器进行通信控制、性能监控、心跳监测的专用网络，采用千兆以太网。如果要实现对物理服务器自动启动/

停止/重启等控制功能，需要物理服务器支持IPMI管理接口，并接入到

管理网中。

?存储网是资源服务器访问SAN存储的专用网络，采用IP-SAN万兆以太网，资源服务器采用万兆以太网卡。为了保证存储连通的稳定性，需针

对不同存储类型进行适当的网络优化，如配置交换机打开存储访问协议

优化、打开流量控制、开启巨桢参数等。

?应用网是运行在资源服务器中的虚拟机对外提供网络服务的专用网络，采用千兆/万兆以太网，到端采用百兆/千兆以太网。

3系统性能

3.1虚拟化基本性能

某县云桌面系统提供高性能的桌面虚拟机配置、虚拟机I/O读写、资源调度等性能支撑。

(1)桌面远程访问控制

第页