桌面虛擬化在公共圖書館的應用研究——以深圳圖書館為例

成 星

(深圳圖書館，廣東 深圳 518026)

1 引言

云時代的來臨為數(shù)字圖書館的建設提供了強大技術支持，為讀者提供了全新的隨時隨地的服務模式。然而機會與挑戰(zhàn)并存，云完全開放的理念也使網(wǎng)絡安全成為云建設的關鍵問題。終端設備作為云層的接入點，承擔著業(yè)務與安全雙重職責，因此建設方便管理、高效使用、安全防范的終端系統(tǒng)，是云建設過程中重要的環(huán)節(jié)。

虛擬化技術讓應用與硬件真正分離開來。應用鏡像可以根據(jù)讀者請求在云中快速遷移，為用戶提供就近服務，實現(xiàn)快速響應;系統(tǒng)通過虛擬化平臺對鏡像數(shù)據(jù)統(tǒng)一管理，并監(jiān)控讀者數(shù)據(jù)請求、流向及傳輸協(xié)議，從數(shù)據(jù)層面杜絕非法訪問，保證接入安全。因此通過虛擬化技術來管理終端，將是云時代讀者服務的趨勢。桌面虛擬化的應用，可以使用戶方便安全地接入網(wǎng)絡并獲取資源，是云計算的基礎應用。

2 可行性分析

在云技術的大力支持下，公共圖書館的服務模式得以蓬勃發(fā)展，讀者數(shù)量大幅增加，因此IT規(guī)模也在不斷膨脹，其中尤以桌面應用設備增加最快。深圳圖書館目前正大規(guī)模更新并擴張桌面設備的使用，一期已采購60臺終端和60臺PC機，并按需分批更換或增加員工用機和讀者查詢終端。但在部署桌面應用的過程中，暴露出諸多問題，如應用形式多樣化、無法移動辦公、維護更新困難、安全手段缺乏以及桌面應用不統(tǒng)一等。

2.1 存在問題

(1)網(wǎng)絡安全問題嚴重。桌面應用包括讀者終端、員工用機、查詢終端和閱覽區(qū)公共用機。讀者通過終端訪問內網(wǎng)數(shù)據(jù)，但由于第三方軟件存在漏洞，可輕松訪問到網(wǎng)絡中心其他服務器并植入木馬;員工用機由于桌面應用不統(tǒng)一，安全級別低，往往成為病毒侵襲的入口;而閱覽區(qū)公共用機更沒有設置訪問權限，裸接中心數(shù)據(jù)庫，存在嚴重安全隱患。整體桌面接入方式，無法保障云系統(tǒng)的應用安全。

(2)無法為讀者提供“個人云”服務。云為讀者提供IaaS計算資源、PaaS開發(fā)平臺以及SaaS應用軟件，相當于一整套虛擬PC，但系統(tǒng)無法將這些資源整合成為一臺“傳統(tǒng)PC”，并按需交付給讀者使用。這種應用，必須通過桌面虛擬化、服務器虛擬化和Web應用交付三方面的配合才得以實現(xiàn)。

(3)桌面設備部署維護成本高。由于設備分布廣，應用不統(tǒng)一，在發(fā)生故障時，IT人員必須親臨現(xiàn)場，經(jīng)常需要反復在不同設備上處理同樣的問題，耗費大量人力、物力。

2.2 系統(tǒng)的設計目標

利用現(xiàn)有硬件資源，建設一個簡單、易用、安全的統(tǒng)一云接入平臺，以有效進行桌面應用的管理，保障云系統(tǒng)入口安全，從而提高云系統(tǒng)為讀者服務的質量。通過桌面虛擬化，系統(tǒng)將達到如下目標:1)桌面應用安全性增強，有效防止病毒、木馬入侵，保障云服務的安全;2)及時交付高效云桌面，為云時代的讀者提供“個人云”服務;3)在云中為員工靈活交付所需桌面，從而提高業(yè)務運作效率;4)集中管理、統(tǒng)一配置桌面和應用數(shù)據(jù)，從而增強可管理性;5)系統(tǒng)部署維護方便，管理輕松。

3 桌面虛擬化的原理及優(yōu)點

3.1 原理

圖1 桌面虛擬化原理結構圖

虛擬化桌面是云計算的必然產(chǎn)物。在IaaS層建設的基礎上，VMware View Manager系統(tǒng)將虛擬資源根據(jù)用戶的個性化需求重新組合，生成新的“虛擬PC”，并通過云層將桌面交付給用戶。數(shù)據(jù)的計算與傳輸全部發(fā)生在IaaS層，用戶只接收并顯示計算結果，這樣實現(xiàn)了桌面與設備的分離(圖1)。虛擬化桌面的技術核心是采用了VMware公司專利技術PCoIP協(xié)議，PCoIP協(xié)議連接運行在VM-ware View服務器上的應用進程和遠端客戶端設備，在客戶端與服務器之間只傳輸鍵盤、鼠標指令以及屏幕的變化信息，沒有實際的數(shù)據(jù)傳輸。運行在中心服務器上的應用進程的輸入/輸出數(shù)據(jù)，被重新定向到終端的輸入＇輸出設備上，因此雖然桌面與設備分離，但用戶使用起來和在客戶端運行相比，沒有感覺任何操作上的改變。其基礎設施包含如下幾個重要組成部分。

3.1.1 數(shù)據(jù)層。該層是虛擬桌面的基礎層，虛擬化后的服務器、存儲和網(wǎng)絡被“按需分配”生成個性化虛擬桌面，利用云系統(tǒng)應用范圍廣且資源動態(tài)性高的特點，將桌面隨時隨地就近交付給用戶。

3.1.2 數(shù)據(jù)控制平臺。該平臺是管理層的重要組成部分，其功能是對數(shù)據(jù)使用策略進行集中管理，內容包括信息資源管理、可用性管理、部署管理、備份管理、性能監(jiān)控、程序運行管理、網(wǎng)絡安全管理等。

3.1.3 桌面組合系統(tǒng)。從IaaS層中，提取相應的虛擬資源組合成特定的“主虛擬機”。由于虛擬桌面配置基本相同，因此采用VMware的View Composer技術，只存儲與“主虛擬機”間的差異部分，從而減少存儲空間。

3.1.4 桌面分配。當用戶通過身份與權限認證后，桌面交付控制器(VDC)就可識別用戶身份，然后通過PCoIP或者RDP協(xié)議為其交付桌面環(huán)境。用戶的個性化配置文件將被添加到標準桌面操作系統(tǒng)中，并利用VMware View Manager的應用交付技術為用戶提供關聯(lián)桌面。圖1為桌面虛擬化原理圖，圖2為云桌面發(fā)布原理圖。

圖2 桌面云發(fā)布原理圖

3.2 優(yōu)勢

(1)可實現(xiàn)云系統(tǒng)的高安全性。來自終端的數(shù)據(jù)請求全部由PaaS層進行統(tǒng)一監(jiān)控、分析并許可，完全改變信息請求流程，堵截惡意代碼，保障云系統(tǒng)的安全。

(2)可提高業(yè)務數(shù)據(jù)的高安全性。在虛擬化結構中，數(shù)據(jù)被集中存儲，并由PaaS層直接對數(shù)據(jù)做安全監(jiān)控，所有對數(shù)據(jù)的操作都將被嚴格解析記錄，確保數(shù)據(jù)的使用安全。同時采用異地容災系統(tǒng)，確保數(shù)據(jù)的高安全性。

(3)能夠為讀者提供全新的服務模式。讀者可通過多種終端設備隨時隨地調用自己的個性化桌面。云層將按照讀者的請求，調用離讀者最近的計算資源，并將運算結果反饋給讀者。

(4)可實現(xiàn)桌面系統(tǒng)的集中管理。主鏡像與個性化增量存儲配合使用，提高了桌面的統(tǒng)一管理性和IT部門對設備管理維護的效率。

4 系統(tǒng)實現(xiàn)

在云的建設過程中，深圳圖書館已通過VMware vSphere5.0進行了IaaS層基礎設施的虛擬化，在此基礎上我們采用VMware View系統(tǒng)來進行桌面虛擬化建設，系統(tǒng)環(huán)境配置由三部分組成。

4.1 服務器存儲網(wǎng)絡部署

由于桌面與硬件分離，所有的運算都集中在服務器，且為保證桌面交付迅速，所以基礎設施層必須擁有強大的運算能力。在虛擬資源池中，深圳圖書館采用VMware vSphere建立3臺虛擬機，每臺配備6核3.0GHz CPU、64G內存、6TB存儲和8G出口帶寬，同時利用Vmotion功能，動態(tài)調整資源使用上限。這樣基本可以并發(fā)運行200個虛擬桌面。同時啟用網(wǎng)絡負載均衡模式，以保證數(shù)據(jù)交換的流暢性。

4.2 虛擬桌面環(huán)境的部署與管理

利用VMware vSphere5.0企業(yè)級虛擬化計算資源后，在虛擬機上按照VMware的部署方法進行如下安裝步驟。

(1)部署VMware vSphere5.0企業(yè)版，創(chuàng)建虛擬桌面池。首先創(chuàng)建一個虛擬機作為主鏡像，然后VMware View將通過主鏡像生成若干虛擬桌面，最后View Composer從主虛擬機生成關聯(lián)克隆池。每個關聯(lián)克隆都是一個獨立桌面，攜帶唯一主機名和IP地址，不同的是關聯(lián)克隆與主虛擬機共享一個基礎映像，可減少存儲空間。利用Composer我們可以創(chuàng)建讀者統(tǒng)一業(yè)務應用桌面，實現(xiàn)集中管理。

(2)部署VMware Connect Server。其功能是用來接受讀者View Client的連接，通過AD活動目錄的驗證后，將讀者請求關聯(lián)到對應的虛擬桌面并交付。

(3)部署VMware View Manager。其為虛擬桌面管理器，主要是和AD配合，按照制定的不同策略為AD用戶建立個性化虛擬桌面。如對深圳圖書館中文采編部、自助部、讀者服務部、辦公室等不同部門采用組策略工具分別設定特定的系統(tǒng)環(huán)境，并通過Connect Server交付。

4.3 客戶終端部署

終端用戶安裝VMware View Client程序。該程序支持各種類型終端，因此讀者可以隨時隨地通過各種終端接入云中使用自己的個性化桌面，并通過云資源調度就近使用打印機、USB外設或其他外圍設備。

5 使用效果

(1)快捷的“個人云”服務。新媒體時代，數(shù)字圖書館的服務方向將是多元化的服務，通過虛擬桌面的建設，讀者可以隨時隨地調用“虛擬PC”，訪問自己的“個人云”，而大部分數(shù)據(jù)計算與交換發(fā)生在云中離讀者最近的服務器和網(wǎng)絡上，提供給讀者的只是經(jīng)過運算后的結果數(shù)據(jù)，保障讀者快速獲取所需的資源。這些全新的讀者服務模式，將是未來智慧圖書館的服務方向。

(2)增強云層安全性。云服務的開放式，為云安全提出了挑戰(zhàn)。終端的安全接入非常重要。虛擬桌面的應用，實現(xiàn)桌面系統(tǒng)完全隔離，與終端之間僅傳輸屏幕增量變化信息和鼠標鍵盤變化信息以及讀者請求運算的結果，終端僅作為與讀者的交互界面。讀者的請求直接發(fā)送PaaS層集中監(jiān)控，減少流通環(huán)節(jié)，從請求模式上大大減少惡意代碼的擴散與攻擊。

(3)簡化IT管理。虛擬化桌面系統(tǒng)可同時集中管理數(shù)千臺終端桌面，這些都為IT環(huán)境提供了操作自動化、資源優(yōu)化以及高可用性等功能。

(4)提高IT維護能力。對統(tǒng)一桌面系統(tǒng)可快速部署，大幅度縮減傳統(tǒng)桌面系統(tǒng)部署的時間和人力，只需對主鏡像做維護即可，同時可實現(xiàn)在零宕機桌面應用系統(tǒng)的前提下維護用戶數(shù)據(jù)。

6 改進

建設完畢的虛擬化桌面在使用過程中，還需逐漸完善以提高其運作的安全和效率。具體可從如下四個方面完善系統(tǒng)。

(1)建立個性化訪問控制列表。結合網(wǎng)絡地址規(guī)劃，嚴格控制資源訪問權限，使不同讀者的虛擬桌面可以訪問不同的應用程序，同時關聯(lián)不同的虛擬桌面。

(2)虛擬桌面服務器的熱備。虛擬化后的應用服務器和用戶個性化桌面數(shù)據(jù)全部采用異地熱備份，確保故障時能夠及時接管主服務，為讀者提供不間斷的個人云服務。

(3)多系統(tǒng)配置的一致性。由于虛擬桌面系統(tǒng)是基于云IaaS層，而讀者請求監(jiān)控在PaaS層，且與AD密切配合，因此在部署時需嚴格按照網(wǎng)絡虛擬化策略和AD用戶策略原則實施，保證多系統(tǒng)合作的統(tǒng)一。

(4)提高存儲I/O能力。成百上千個虛擬桌面部署在同一臺存儲陣列上，這對存儲陣列接口的數(shù)量、多樣性和性能等都提出了更高的要求。因此在選配存儲系統(tǒng)時，盡可能選用高速接口和固態(tài)硬盤來加速I/O，同時選擇具有最短路徑算法和I/O負載均衡功能的多路徑模塊，以此來確保桌面虛擬化應用的高可用性。

(5)終端設備的兼容性。云時代，各種類型的終端都有可能申請接入，因此在桌面交付的網(wǎng)絡協(xié)議和形式上，盡可能采用開源產(chǎn)品。

7 結語

VMware虛擬化桌面是云層到讀者的“最后一公里”，真正為讀者打開了信息資源大門。通過虛擬桌面的使用，讀者擁有了自己的“虛擬PC”和“個人云”，實現(xiàn)了資源隨人走，同時為IT環(huán)境的管理和維護帶來了極大的方便?？梢哉f，VMware虛擬化桌面為深圳圖書館讀者業(yè)務持續(xù)安全的開展，為建立高效優(yōu)質的讀者服務機制，為在新媒體時代建設智慧圖書館打下了堅實的基礎。

［1］胡嘉璽.智慧VMware vSphere運維實錄［M］.北京:清華大學出版社，2011:31—53.

［2］吳朱華.云計算核心技術剖析［M］.人民郵電出版社，2011:16—30.

［3］閆龍川，劉志永.桌面虛擬化技術研究與應用［J］.電力信息化，2011(7):55—57.

［4］董兆殷.基于ESXI Server的校園數(shù)據(jù)中心虛擬化技術的研究［J］.電腦知識與技術，2010，6(12):3140—3141.

［5］孫 昱，李小勇，管海兵.虛擬機實時遷移技術研究［J］.微型電腦應用，2008，24(7):1—2.

［6］Wikipedia.Desktop Virtualization［EB/OL］.［2012 －04 －01］.http://en.wikipedia.org/wiki/Desktop_virtualization.

［7］ADRIAN D.Storage Virtualization［M］.Wiley Publishing Australia Pty Ltd，2009:80—98.