運(yùn)用云桌面技術(shù)提高網(wǎng)絡(luò)維護(hù)能力的方案探討

趙晴+秦長(zhǎng)征

【摘 要】為了提高電信運(yùn)營(yíng)商網(wǎng)絡(luò)維護(hù)支撐能力，提升網(wǎng)絡(luò)維護(hù)管理水平，運(yùn)用云桌面技術(shù)與VPN接入安全認(rèn)證技術(shù)，探討電信運(yùn)營(yíng)商云桌面系統(tǒng)建設(shè)方案。山東聯(lián)通建設(shè)實(shí)踐表明，通過部署云桌面系統(tǒng)，網(wǎng)絡(luò)維護(hù)人員借助任一臺(tái)終端可以隨時(shí)隨地監(jiān)控網(wǎng)絡(luò)運(yùn)行情況、處理網(wǎng)絡(luò)故障，網(wǎng)絡(luò)維護(hù)能力得到切實(shí)提高。

【關(guān)鍵詞】虛擬桌面 網(wǎng)絡(luò)維護(hù) VPN接入

Discussion on Solution to the Network Maintenance Capability Enhancement Based on the Cloud Desktop Technique

[Abstract] In order to enhance the maintenance support capability of telecommunication operators networks and improve the network maintenance management， the cloud desktop and VPN access security certificate techniques were used to discuss the solution to the cloud desktop system construction for telecommunication operators. The construction practice of Shandong Unicom shows that network maintenance personnel can monitor the network operation and deal with the network fault by means of a terminal based on the cloud desktop system. The network maintenance capability is really enhanced.

[Key words]virtual desktop network maintenance VPN access

1引言

網(wǎng)絡(luò)維護(hù)是電信運(yùn)營(yíng)商生命力的根本，如何提高網(wǎng)絡(luò)維護(hù)質(zhì)量、保障網(wǎng)路的平穩(wěn)運(yùn)行一直是運(yùn)營(yíng)商在重點(diǎn)探討、希望不斷提升的課題。目前電信運(yùn)營(yíng)商正在積極實(shí)踐集約化維護(hù)管理體系，借助集中化的支撐系統(tǒng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控與故障派單。這種方式相較于傳統(tǒng)的專業(yè)網(wǎng)管監(jiān)控模式應(yīng)用效果顯著，不僅能整合大量的人力物力資源，節(jié)約了企業(yè)成本，而且還規(guī)范了告警與故障處理流程，提升了網(wǎng)絡(luò)監(jiān)控與故障處理效率。

盡管集約化維護(hù)管理體系在網(wǎng)絡(luò)監(jiān)控方面效果顯著，但要處理網(wǎng)絡(luò)故障、完成數(shù)據(jù)制作，還必須借助專業(yè)網(wǎng)管監(jiān)控終端。目前，在電信運(yùn)營(yíng)商監(jiān)控機(jī)房中保留了大量的監(jiān)控終端，覆蓋各個(gè)專業(yè)、各個(gè)廠家、各種網(wǎng)絡(luò)形式，存在監(jiān)控終端維護(hù)工作量大、訪問受網(wǎng)絡(luò)與終端限制的問題。為了克服這些弊端，借助云桌面虛擬技術(shù)，將專業(yè)網(wǎng)管客戶端程序統(tǒng)一部署在云端，維護(hù)人員只需要一個(gè)客戶端設(shè)備，通過瀏覽器或者專用程序，就可以訪問駐留在云端的客戶端程序，這個(gè)系統(tǒng)被稱為云桌面系統(tǒng)。

2 云桌面

2.1 桌面虛擬化技術(shù)原理

從技術(shù)層面講，云桌面運(yùn)用了桌面虛擬化技術(shù)[1]。桌面虛擬化技術(shù)是一種將用戶桌面與實(shí)際終端設(shè)備相分離的應(yīng)用模式，將原本運(yùn)行在用戶終端上的桌面和應(yīng)用程序托管到服務(wù)器端，并由終端通過網(wǎng)絡(luò)遠(yuǎn)程訪問，用戶終端本身僅實(shí)現(xiàn)輸入輸出與界面顯示功能。用戶終端和后臺(tái)數(shù)據(jù)中心連通采用遠(yuǎn)程訪問和調(diào)用的方式[2]。

通常，由服務(wù)器、桌面虛擬化軟件、用戶終端、存儲(chǔ)和網(wǎng)絡(luò)資源組成的系統(tǒng)統(tǒng)稱為桌面虛擬化系統(tǒng)。

由于桌面虛擬化不需要在用戶側(cè)處理復(fù)雜的計(jì)算任務(wù)，因此對(duì)用戶終端的要求較低。為了利用現(xiàn)有機(jī)房PC資源以節(jié)約成本，接入終端可以利舊。

2.2 桌面虛擬化應(yīng)用原理

在虛擬桌面系統(tǒng)構(gòu)架中，用戶在終端設(shè)備上安裝虛擬桌面客戶端訪問插件，然后可通過Web瀏覽器或者客戶端方式訪問接入服務(wù)器，接入服務(wù)器將用戶的身份信息提供給桌面管理服務(wù)器，桌面管理服務(wù)器通過認(rèn)證服務(wù)器對(duì)用戶身份進(jìn)行驗(yàn)證，驗(yàn)證成功后在數(shù)據(jù)庫服務(wù)器上找出具有該用戶訪問權(quán)限的虛擬桌面，然后接入服務(wù)器將這些虛擬桌面在Web頁面或客戶端界面上展現(xiàn)給用戶供其進(jìn)行選擇，最后將用戶選擇的桌面通過連接協(xié)議直接返回給用戶[3]。

3 建設(shè)方案

云桌面系統(tǒng)建設(shè)內(nèi)容主要包含硬件資源部署、虛擬軟件部署、網(wǎng)絡(luò)環(huán)境調(diào)測(cè)、VPN（Virtual Private Network，

虛擬專用網(wǎng)絡(luò)）接入安全認(rèn)證技術(shù)部署四個(gè)方面。

山東聯(lián)通云桌面系統(tǒng)于2015年5月上線運(yùn)行，下面以山東聯(lián)通項(xiàng)目實(shí)施過程為例，探討云桌面系統(tǒng)建設(shè)方案與實(shí)施效果。

3.1 硬件資源部署

硬件資源部署主要包含服務(wù)器和存儲(chǔ)資源部署。服務(wù)器建議采用刀片服務(wù)器，相較于傳統(tǒng)的機(jī)架式服務(wù)器，“刀片+虛擬化”的部署可以更靈活地利用服務(wù)器資源，實(shí)現(xiàn)更方便及統(tǒng)一的管理，并且能降低服務(wù)器對(duì)電力、溫控、空間方面的需求[4]。目前，主流的刀片服務(wù)器是華為E9000系列。華為E9000服務(wù)器深度融合了計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和管理模塊，定位于企業(yè)私有云等IT應(yīng)用場(chǎng)景。服務(wù)器建議采用八核甚至更多核心的CPU配置，從整體戰(zhàn)略角度上看可提供高效的性能[5]。存儲(chǔ)建議采用磁盤陣列，以便保證云桌面系統(tǒng)的數(shù)據(jù)安全性及數(shù)據(jù)存取速度。常用的磁盤陣列模式是RAID10和RAID5，兩種模式都具有容錯(cuò)性、冗余性及較好的讀性能[6]。為了提高容量可用率，建議采用RAID5模式。

山東聯(lián)通云桌面系統(tǒng)建設(shè)規(guī)模為250個(gè)虛擬桌面，單個(gè)虛擬機(jī)配置2vCPU、3 GB內(nèi)存、50 GB硬盤容量。

華為E9000采用Intel Xeon Processor E5-4640（8core，2.40 GHz）型號(hào)CPU，256 GB內(nèi)存。

服務(wù)器數(shù)量測(cè)算

1）單個(gè)虛擬機(jī)的CPU利用率一般為60%～80%[7]，這里按照最高值80%來計(jì)算；

2）云桌面用戶并發(fā)量不高于70%；

3）單臺(tái)E9000配置4路，32核，64個(gè)邏輯處理器；

4）內(nèi)存使用率不超過物理主機(jī)的70%。

實(shí)際CPU內(nèi)核需求=（250×2vCPU）×80%×70%

=280vCPU

實(shí)際4路8核服務(wù)器需求=280vCPU/64邏輯處理器（單臺(tái)）=4.38≈5（臺(tái)）

單臺(tái)主機(jī)的內(nèi)存大小=（250×3 GB）/70%/5臺(tái)=214 GB，考慮集群內(nèi)允許1臺(tái)宕機(jī)冗余，建議單臺(tái)配置256 GB，恰好與E9000實(shí)際配置吻合。

存儲(chǔ)容量測(cè)算

1）Raid5模式的存儲(chǔ)有效容量為裸容量的75%左右；

2）總磁盤容量不宜超過80%，避免頻繁告警。

虛擬化后的存儲(chǔ)容量=250×50 GB=12.5 TB

磁盤裸容量需求為=12.5 TB/80%/75%≈20 TB

另外，為了提升存儲(chǔ)性能，要求單盤為不大于600 GB的SAS磁盤，存儲(chǔ)CACHE不小于32 GB。

綜上所述，山東聯(lián)通云桌面系統(tǒng)共部署5臺(tái)華為E9000刀片服務(wù)器，20 TB存儲(chǔ)容量。采用5臺(tái)服務(wù)器部署桌面虛擬化組件，搭建服務(wù)器集群平臺(tái)，建立高效的資源池，實(shí)現(xiàn)對(duì)資源的動(dòng)態(tài)分配與調(diào)整。

3.2 虛擬軟件部署

目前典型的虛擬化產(chǎn)品包括VMware vSphere、Citrix Xen Server、Microsoft Hyper-V與Linux KVM[8]。山東聯(lián)通云桌面系統(tǒng)采用業(yè)界領(lǐng)先的VMware vSphere。VMware vSphere是VMware公司推出的一套服務(wù)器虛擬化平臺(tái)，主要包括VMware ESXi、VMware vCenter Server、View Connection Server、View Composer等核心組件。

VMware ESXi Server是一款可以獨(dú)立安裝和運(yùn)行在裸機(jī)上的企業(yè)級(jí)虛擬機(jī)管理系統(tǒng)。在ESXi Server上可以創(chuàng)建多臺(tái)虛擬機(jī)系統(tǒng)，每臺(tái)虛擬機(jī)系統(tǒng)擁有自己的虛擬內(nèi)存、虛擬CPU及其它虛擬資源，相互之間無任何影響[8]。

VMware vCenter Server用于管理VMware vSphere環(huán)境，允許IT管理員簡(jiǎn)化和自動(dòng)化控制虛擬環(huán)境，使其能夠充滿信心地交付基礎(chǔ)架構(gòu)[8-9]。通過vCenter Server的界面可以進(jìn)行多項(xiàng)管理與配置操作，如管理物理刀片服務(wù)器、創(chuàng)建虛擬機(jī)、創(chuàng)建高可用集群保護(hù)策略，監(jiān)控各類資源使用情況等。View Connection Server用于負(fù)責(zé)虛擬桌面的連接分配。View Composer用于負(fù)責(zé)虛擬桌面的批量生成和虛擬桌面的模板管理。

山東聯(lián)通云桌面系統(tǒng)5臺(tái)刀片服務(wù)器分別部署安裝ESXi組件，使每臺(tái)服務(wù)器具備建立虛擬化資源池的基礎(chǔ)。之后，創(chuàng)建多個(gè)虛擬機(jī)分別部署AD預(yù)控/DHCP、vCenter-DB、vCenter Server組件，實(shí)現(xiàn)對(duì)賬號(hào)的創(chuàng)建、桌面IP地址的分配、虛擬機(jī)的創(chuàng)建、集群保護(hù)等功能。創(chuàng)建虛擬機(jī)部署Win2008操作系統(tǒng)，基于Win2008操作系統(tǒng)分別部署Composer、Connetion Server等桌面系統(tǒng)組件，進(jìn)行虛擬機(jī)安裝、聯(lián)調(diào)，并利用桌面模塊快速創(chuàng)建、分配虛擬桌面。

在創(chuàng)建好的虛擬桌面上安裝專業(yè)網(wǎng)管客戶端程序，包括移動(dòng)核心網(wǎng)、IMS、傳輸、IP承載網(wǎng)、無線等，實(shí)現(xiàn)對(duì)專業(yè)網(wǎng)管客戶端程序的集中管理。用戶在終端設(shè)備上通過Web瀏覽器或者客戶端方式，實(shí)現(xiàn)對(duì)相關(guān)虛擬桌面的鑒權(quán)訪問。

3.3 網(wǎng)絡(luò)接入調(diào)測(cè)

電信運(yùn)營(yíng)商各專業(yè)網(wǎng)管服務(wù)器主要部署在公司辦公網(wǎng)和專業(yè)私網(wǎng)中。網(wǎng)絡(luò)環(huán)境不同，與云桌面系統(tǒng)網(wǎng)絡(luò)互通的方式也會(huì)不同。山東聯(lián)通云桌面系統(tǒng)部署在企業(yè)私有云平臺(tái)中。

山東聯(lián)通私有云平臺(tái)采用一對(duì)S9306交換機(jī)作為匯聚核心交換機(jī)，承擔(dān)到DCN辦公網(wǎng)接口的路由。S9306旁掛一對(duì)防火墻作為整個(gè)資源池的安全隔離并對(duì)外提供NAT地址。

山東聯(lián)通云桌面系統(tǒng)虛擬機(jī)的管理和業(yè)務(wù)地址均使用現(xiàn)有云平臺(tái)私網(wǎng)網(wǎng)段地址，此種方式要求云桌面網(wǎng)管客戶端軟件訪問DCN服務(wù)端都必須做NAT，且DCN網(wǎng)絡(luò)監(jiān)控終端連接云桌面時(shí)也須使用NAT以后的DCN地址。具體方案如下：

（1）DCN網(wǎng)管服務(wù)端接入

防火墻對(duì)云桌面管理及業(yè)務(wù)地址配置靜態(tài)NAT，使用靜態(tài)路由指向DCN網(wǎng)絡(luò)。

（2）私網(wǎng)網(wǎng)管服務(wù)端接入

目前現(xiàn)有云平臺(tái)至各私網(wǎng)服務(wù)端網(wǎng)絡(luò)并無連接，新加一臺(tái)接入?yún)R聚交換機(jī)H3C7603及一臺(tái)防火墻H3C F1000-E，從各私網(wǎng)服務(wù)端網(wǎng)絡(luò)的網(wǎng)關(guān)交換機(jī)上增加專線至匯聚交換機(jī)H3C 7603，H3C 7603透?jìng)鞲骰ヂ?lián)VLAN至H3C F1000，并透?jìng)髟破脚_(tái)互聯(lián)VLAN至核心交換機(jī)華為S9306，華為S9306透?jìng)骰ヂ?lián)VLAN至云平臺(tái)防火墻。

各專業(yè)虛擬機(jī)網(wǎng)關(guān)部署在云平臺(tái)兩臺(tái)核心防火墻上，訪問專業(yè)服務(wù)器時(shí)，通過路由方式指向H3C F1000防火墻，H3C F1000防火墻進(jìn)行NAT后，將云平臺(tái)私網(wǎng)地址映射為各專業(yè)提供的互聯(lián)IP地址，實(shí)現(xiàn)與服務(wù)器的互聯(lián)互通。

3.4 VPN接入安全認(rèn)證技術(shù)

云桌面系統(tǒng)的訪問環(huán)境是公司辦公網(wǎng)。當(dāng)維護(hù)人員出差或在家時(shí)，由于不在辦公網(wǎng)環(huán)境而無法登錄專業(yè)網(wǎng)管進(jìn)行緊急故障處理。為了解決這個(gè)不足，山東聯(lián)通云桌面系統(tǒng)擴(kuò)展部署了SSL（Secure Sockets Layer，安全套接層）VPN接入功能，可實(shí)現(xiàn)公網(wǎng)環(huán)境對(duì)虛擬機(jī)業(yè)務(wù)應(yīng)用的實(shí)時(shí)訪問，進(jìn)而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)故障的實(shí)時(shí)處理。

SSL VPN接入功能同步部署短信認(rèn)證與行為審計(jì)模塊。短信認(rèn)證模塊用來加強(qiáng)對(duì)用戶身份的合法性驗(yàn)證，確保用戶的合法接入；行為審計(jì)模塊用來實(shí)現(xiàn)用戶辦公網(wǎng)網(wǎng)頁操作記錄、用戶電子郵件行為記錄以及FTP上傳下載的行為審計(jì)[10]，為日后取證提供依據(jù)。

用戶在Portal頁面中輸入用戶名和密碼，SSL VPN網(wǎng)關(guān)將收到的用戶名、密碼發(fā)送到賬號(hào)管理iMC（intelligent Management Center，智能管理中心）服務(wù)器進(jìn)行第一次驗(yàn)證，驗(yàn)證成功后發(fā)送短信驗(yàn)證碼至用戶手機(jī)，用戶在Portal頁面輸入驗(yàn)證碼，二次校驗(yàn)成功后為用戶分配辦公網(wǎng)IP地址實(shí)現(xiàn)DCN業(yè)務(wù)訪問。接入用戶訪問流量經(jīng)過DCN接入交換機(jī)后將上網(wǎng)行為鏡像到ACG1000-M中進(jìn)行審計(jì)；ACG1000-M按照設(shè)置好的審計(jì)策略將相關(guān)日志信息發(fā)送到ACG服務(wù)器進(jìn)行保存；ACG服務(wù)器與iMC服務(wù)建立聯(lián)動(dòng)策略，實(shí)現(xiàn)用戶行為與用戶賬號(hào)信息的關(guān)聯(lián)、保存。

4 部署效果

（1）實(shí)現(xiàn)移動(dòng)辦公，提升網(wǎng)絡(luò)維護(hù)效率

打破現(xiàn)有專業(yè)網(wǎng)管訪問受網(wǎng)絡(luò)與監(jiān)控終端限制的局限性，實(shí)現(xiàn)維護(hù)人員無論是在家還是在外出差，只要有網(wǎng)絡(luò)，借助一臺(tái)PC終端均可以實(shí)現(xiàn)對(duì)虛擬桌面的訪問，滿足了對(duì)網(wǎng)絡(luò)運(yùn)行情況的實(shí)時(shí)監(jiān)控與故障處理需求。根據(jù)統(tǒng)計(jì)，70%以上的故障通過專業(yè)網(wǎng)管遠(yuǎn)程操作可快速解決，網(wǎng)絡(luò)維護(hù)效率得到切實(shí)提高。

（2）提升桌面集中管理能力與業(yè)務(wù)應(yīng)用持續(xù)性

專業(yè)網(wǎng)管客戶端程序由原來部署在分散的PC終端上，改為集中部署在云端服務(wù)器，減少了大量的PC終端維護(hù)工作量，且避免了由于PC終端升級(jí)、故障等帶來的業(yè)務(wù)應(yīng)用被迫中斷的問題，提高了業(yè)務(wù)應(yīng)用的持續(xù)性。

（3）提高硬件使用率與硬件性能實(shí)時(shí)監(jiān)控能力

通過部署虛擬化軟件，建立高效的服務(wù)器資源池，實(shí)現(xiàn)對(duì)CPU、內(nèi)存、存儲(chǔ)等資源的動(dòng)態(tài)分配，不僅提高了硬件使用率，還提高了業(yè)務(wù)應(yīng)用部署的靈活性。另外，山東聯(lián)通云桌面系統(tǒng)部署在私有云平臺(tái)中，有云平臺(tái)專業(yè)人員與監(jiān)控軟件對(duì)云桌面硬件資源進(jìn)行實(shí)時(shí)監(jiān)控，有利于及時(shí)的故障預(yù)警與排障。

（4）有效節(jié)約資金投入

部署云桌面系統(tǒng)可減少對(duì)機(jī)房監(jiān)控終端的使用。原來每一套專業(yè)網(wǎng)管程序分別部署在不同的終端上，數(shù)量近百臺(tái)。進(jìn)行云桌面系統(tǒng)部署后，僅使用幾臺(tái)終端，借助賬號(hào)密碼控制，即可實(shí)現(xiàn)對(duì)全專業(yè)客戶端網(wǎng)管的便捷訪問。以單臺(tái)終端功耗200 W計(jì)算，每年僅終端一項(xiàng)，可節(jié)約電費(fèi)近11萬余元，如果加上因機(jī)房散熱減少空調(diào)所節(jié)省的電力消耗，節(jié)約的電費(fèi)更多。

5 結(jié)束語

云計(jì)算時(shí)代的到來為電信運(yùn)營(yíng)商帶來了新的切入點(diǎn)以提高網(wǎng)絡(luò)維護(hù)能力。山東聯(lián)通云桌面系統(tǒng)通過虛擬桌面技術(shù)與VPN接入技術(shù)部署，提供了靈活便捷的網(wǎng)絡(luò)維護(hù)支撐手段，應(yīng)用實(shí)踐證明，維護(hù)人員無論是在家還是外出，借助任何一臺(tái)PC，都可以隨時(shí)隨地登錄專業(yè)網(wǎng)管進(jìn)行故障處理，大大了提高了網(wǎng)絡(luò)維護(hù)能力。下一步，山東聯(lián)通將積極探索手機(jī)終端虛擬化軟件與VPN接入技術(shù)的部署與應(yīng)用，實(shí)現(xiàn)從手機(jī)終端直接訪問云桌面系統(tǒng)，進(jìn)一步提升網(wǎng)絡(luò)實(shí)時(shí)維護(hù)能力。

參考文獻(xiàn)：

[1] 孔智鵬. 虛擬云桌面云接入關(guān)鍵系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 廣州： 中山大學(xué)， 2013.

[2] 張鵬. 桌面虛擬化系統(tǒng)集中部署方案研究[J]. 信息通信， 2013（9）： 217-218.

[3] 金鈺，朱華. 基于云計(jì)算的星級(jí)酒店信息化建設(shè)的探索和思考[J]. 移動(dòng)通信， 2015，39（17）： 72-77.

[4] 孫紅恩，常海防，唐旭東，等. 電信運(yùn)營(yíng)商桌面云建設(shè)方案探討[J]. 互聯(lián)網(wǎng)天地， 2013（9）： 33-37.

[5] 楊歡. 云數(shù)據(jù)中心構(gòu)建實(shí)戰(zhàn)：核心技術(shù)、運(yùn)維管理、安全與高可用[M]. 北京： 機(jī)械工業(yè)出版社， 2014： 4-5.

[6] 張東. 大話存儲(chǔ)II——存儲(chǔ)系統(tǒng)架構(gòu)與底層原理極限剖析[M]. 北京： 清華大學(xué)出版社， 2011： 75-77， 119-120.

[7] 葉水勇，孫曉燕. 利用虛擬化技術(shù)對(duì)服務(wù)器和應(yīng)用系統(tǒng)進(jìn)行整合[J]. ELECTRIC POWER IT， 2009（7）： 32-35.

[8] 張魁. 基于VMWARE VSPHERE的虛擬機(jī)管理平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[D]. 蘇州： 蘇州大學(xué)， 2013： 13-16.

[9] 孫寶華. 基于VMware技術(shù)的虛擬服務(wù)器技術(shù)構(gòu)建與分析[D]. 長(zhǎng)春： 吉林大學(xué)， 2010.

[10] 伍建國. 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在深圳大運(yùn)中心的應(yīng)用[J]. 智能建筑電氣技術(shù)， 2014（3）： 74.