桌面云技術在企業(yè)辦公生產(chǎn)中的應用

高偉

（中國聯(lián)合網(wǎng)絡通信有限公司山西省分公司云網(wǎng)運營中心 山西省太原市 030006）

在信息時代的今天，企業(yè)傳統(tǒng)PC終端的數(shù)量越來越多，成本高、能耗大、維護難的問題越來越凸顯，同時，面臨的網(wǎng)絡不安全因素日益增多，數(shù)據(jù)安全變得日益重要。如何改善這樣的被動局面，是企業(yè)管理者面臨的急需解決的管理難題。

在云計算時代，桌面云作為最容易落地的云計算方案，已經(jīng)在各行各業(yè)普遍應用。在桌面云表現(xiàn)出來得高安全、集中管理、移動化等優(yōu)勢的吸引下，越來越多的企業(yè)選擇使用桌面云技術方案來替換傳統(tǒng)的PC 終端。

1 案例背景

2012年，山西聯(lián)通以省集中方式建設了終端虛擬化桌面云平臺，采用VDI（Virtual Desktop Infrastructure，虛擬桌面基礎架構）方式達到支持900 個虛擬化終端的規(guī)模，終端虛擬化系統(tǒng)配置了18 臺華為BH640 V2刀片服務器，每臺配置4路E5-4620CPU、128Gb內(nèi)存；2014年二期項目新增終端虛擬化終端21 臺DELL M820 刀片服務器，每臺配置4 路E5-4610 V2CPU、128Gb 內(nèi)存，新增了1200 個終端的支撐能力。

舊桌面云平臺使用至今，由于運行期間一直沒有進行產(chǎn)品更新的換代，造成產(chǎn)品斷代，舊產(chǎn)品已經(jīng)EOS（End of service&support，停止對軟件版本提供服務或支持），沒有后臺研發(fā)技術支撐，所以無法通過升級來完成系統(tǒng)的改造換新，加上現(xiàn)有設備老舊，配置較低，故障頻出，已經(jīng)無法滿足現(xiàn)有客服生產(chǎn)的日常需求。另一方面舊桌面云系統(tǒng)二期配置的550 個營業(yè)云終端配置較低、USB 口數(shù)量不足、設備兼容性差，無法滿足一線營業(yè)需求，尤其是無法適應無紙化營業(yè)辦公的需求，導致后續(xù)營業(yè)云終端逐漸被傳統(tǒng)PC 替代，實際使用率不高。

綜合上述實際需求，以及考慮到現(xiàn)有桌面云技術的日趨成熟，結(jié)合輕無紙化（以手機拍照、簽名取代高拍儀和手寫板的使用，從而緩解了營業(yè)終端外設太多的壓力）在營業(yè)前臺的推廣使用，在2019年第4 次總經(jīng)理辦公會上明確提出，公司在計算機終端配置方面，也應逐步向桌面云過渡，資產(chǎn)運營部牽頭負責，市場營銷部和信息化配合，共同研究公司辦公 、營業(yè)用計算機終端桌面云更新方案。

2 案例描述

根據(jù)山西聯(lián)通終端的現(xiàn)狀和需求，本期桌面云新建工程建設目標為部署客服710 個云桌面，用于解決客服坐席的迫切需求，同時部署200 個營業(yè)云桌面進行試點應用。在此基礎上建立和完善省、市、縣三級運維機制；增強系統(tǒng)的標準化、共享化、虛擬化；實現(xiàn)了終端系統(tǒng)優(yōu)化和節(jié)能降耗；促進客戶滿意度的提升，并提高山西聯(lián)通的市場占有率。

2019年中國聯(lián)通山西桌面云項目新建工程經(jīng)過前期調(diào)研、多個廠家技術交流、兄弟單位經(jīng)驗交流學習、技術規(guī)范書制定、公開招投標等環(huán)節(jié)，最后由華為技術有限公司中標建設，采用桌面云技術比較成熟的FusionAccess 桌面云系統(tǒng)。

新桌面云系統(tǒng)采用8 個華為2288H V5 計算節(jié)點（CNA）+ 7個華為2288H V5 存儲&計算節(jié)點（SCNA），每個節(jié)點服務器均配置2 路16 核英特爾至強金牌處理器，系統(tǒng)內(nèi)云桌面操作系統(tǒng)采用全固態(tài)硬盤（SSD），云桌面業(yè)務數(shù)據(jù)采用傳統(tǒng)SATA 盤存儲。

FusionAccess 桌面虛擬化以服務器虛擬化為基礎，允許多個用戶桌面以虛擬機的形式獨立運行，同時共享CPU、內(nèi)存、網(wǎng)絡連接和存儲器等底層物理硬件資源。這種架構將虛機彼此隔離開來，同時可以實現(xiàn)精確的資源分配，并能保護用戶免受由其他用戶活動所造成的應用程序崩潰和操作系統(tǒng)故障所帶來的影響。

如圖1所示，華為桌面云系統(tǒng)主要功能模塊如下：

圖1

2.1 云終端

云終端，即用戶用來接入云桌面的客戶端，通過云終端接入顯示器，可以向用戶顯示云桌面操作界面，華為桌面云的兼容性比較強，云終端可以是瘦終端TC、筆記本電腦、Pad、智能手機等等，如果使用瘦終端TC 接入，可以提供最對8 個USB 口的外設接入能力，比如這次應用到營業(yè)廳的瘦終端，接入的外設多達九種，包括鍵盤鼠標、身份證讀卡器、寫卡器、MIS-POS、打印機、手寫板、高拍儀、服務評價器等。

瘦終端等接入客戶端通過桌面接入網(wǎng)關代理訪問相應的云桌面，同桌面接入網(wǎng)關之間采用SSL 加密的HDP（Huawei Desktop Protocol，是實現(xiàn)通過客戶端遠程訪問虛擬桌面的接入?yún)f(xié)議）協(xié)議進行信息傳遞。桌面云系統(tǒng)通過策略來控制外設至虛擬機的重定向，達到容許或禁止某些外設的接入使用，這也是一種安全防護的手段。

用戶通過在云終端上輸入域用戶名和密碼就能訪問對應的云桌面，外出時，也可以通過有線或無線網(wǎng)絡，撥入VPN 進行遠程辦公。

2.2 桌面云軟件FusionAccess

FusionAccess 桌面云為用戶提供了Web 形式的登錄界面，在用戶發(fā)起登錄請求時，將用戶的登錄信息經(jīng)過加密以后轉(zhuǎn)發(fā)給身份認證系統(tǒng)（如微軟AD），認證通過后將提供的虛擬機列表呈現(xiàn)給用戶，為用戶訪問虛擬機提供入口。

FusionAccess 還具有虛擬桌面管理功能，主要用來完成虛擬機的鏡像制作和管理，云桌面業(yè)務發(fā)放，虛擬桌面生命周期管理，虛擬桌面登錄管理，虛擬機的策略管理等功能。另外FusionAccess 還提供桌面云License 的管理，用于控制接入桌面云的用戶數(shù)。

AD/DNS/DHCP：AD 域控提供登陸鑒權功能，防止非法用戶接入，DHCP 實現(xiàn)了AD 域內(nèi)IP 的自動分配功能，當然也可以人工指定IP 分配，DNS 主要用來提供AD 域內(nèi)計算機名、桌面云登錄域名的解析服務。

2.3 服務器虛擬化軟件FusionSphere

FusionSphere 是華為自主知識產(chǎn)權的云操作系統(tǒng)，集虛擬化引擎FusionCompute 和云管理FusionManager 特性于一身。

FusionCompute 是云操作系統(tǒng)基礎軟件，主要由虛擬化基礎平臺和云基礎服務平臺組成，主要負責硬件資源的虛擬化，以及對虛擬資源、業(yè)務資源、用戶資源的集中管理。它采用虛擬計算、虛擬存儲、虛擬網(wǎng)絡等技術，完成計算資源、存儲資源、網(wǎng)絡資源的虛擬化。

FusionManager 是云管理系統(tǒng)，通過統(tǒng)一的接口，對計算、網(wǎng)絡和存儲等虛擬資源進行集中調(diào)度和管理，實現(xiàn)管理維護自動化與動態(tài)化，便于業(yè)務的快速部署與發(fā)放，縮短業(yè)務上線周期，提升運維效率，保證系統(tǒng)的安全性和可靠性。

近年來，網(wǎng)絡與信息安全越來越得到重視，并上升到了國家安全層面，那么華為桌面云系統(tǒng)在信息系統(tǒng)安全方面又做了哪些工作呢？基于云計算的特征，從資源層、平臺層、應用層、管理層到用戶訪問層，實現(xiàn)了層層設防、相互隔離的安全架構，重點強化了虛擬化隔離和網(wǎng)絡隔離，安全架構層面主要采用了分層和縱深防御的思想。

華為桌面云具備了“進不來，拿不走，打不開，賴不掉，丟不了”的五不法則，從這五個方面來保障桌面云的安全：“進不了”指的是對接入用戶采取了多種認證方式，只有通過授權才能訪問系統(tǒng)，同時還要接受監(jiān)控和審計；“拿不走”指的是信息實現(xiàn)集中管控，用戶終端與信息相互分離，桌面和數(shù)據(jù)在后臺集中存儲和處理；“打不開”則是指桌面云采用華為文檔安全管理解決方案，通過實時權限控制，提供安全授權下的機密信息共享；“賴不掉”就是對用戶操作的每一項行為都要進行監(jiān)控、記錄與審計；“丟不了”指的是對資源回收時虛擬機剩余信息進行徹底的清除，以及對用戶的數(shù)據(jù)盤進行加密處理。

具體的安全措施主要從以下幾個方面展開：

2.3.1 終端接入管理

桌面云支持對終端進行合法性認證，如終端與用戶或用戶組綁定、802.1X 認證（密碼方式或證書方式）、CA 認證等方式，防止非法終端接入保證終端安全。

2.3.2 用戶認證鑒權

桌面云采用了多種認證鑒權方式來保證接入用戶的合法性，比如使用AD 域用戶(支持桌面云AD 域或?qū)佑脩糇约旱奈④汚D域)、動態(tài)口令、手機短信、USB 介質(zhì)以及指紋等單一認證方式和雙因子組合認證方式，另外還可提供LiteAD 域用戶名/密碼認證。

2.3.3 系統(tǒng)架構安全

桌面云在系統(tǒng)架構規(guī)劃時就將業(yè)務、存儲和管理三個層面進行了劃分，以不同的網(wǎng)段實現(xiàn)了三個層面之間的隔離，有效解決了系統(tǒng)安全隔離問題。在虛擬化層，依據(jù)虛擬化的實現(xiàn)原理，也保證了CPU、內(nèi)存、虛擬機網(wǎng)絡、存儲等空間的相互隔離，達到了虛擬機間的安全隔離目的。

2.3.4 操作日志審計

桌面云具備完善的日志記錄功能，對管理員的所有操作動作都進行了詳細的記錄，以便于為今后的審計提供依據(jù)。同時桌面云系統(tǒng)能夠給系統(tǒng)管理、安全管理和安全審計三種角色提供不同的權限，實現(xiàn)三員分離，相互制衡。

2.3.5 終端防病毒能力

桌面云提供了豐富的防病毒接口能力，支持業(yè)界主流的無代理終端防護產(chǎn)品，在為用戶虛擬終端提供安全保障的同時，一并解決了桌面云大量部署時一些常規(guī)的殺毒方案引起的殺毒風暴隱患。

3 分析總結(jié)

依托華為FusionAccess 桌面云系統(tǒng)技術優(yōu)勢，同時建設方案綜合考慮現(xiàn)有桌面云平臺所表現(xiàn)出來的問題，在以下幾個方面進行了設計優(yōu)化和改善：

（1）云桌面分“籃”存放，具體表現(xiàn)在：系統(tǒng)不再只建設一個大的資源池，而是建設兩個或兩個以上規(guī)模相當?shù)馁Y源池，同時把同一個營業(yè)廳的云桌面放在不同的資源池里面，這樣做的目的是當一個資源池出現(xiàn)故障的時候，處于其他資源池的的云桌面仍能正常運行，這樣就能保障該營業(yè)廳仍然能正常運轉(zhuǎn)，提升桌面云系統(tǒng)抗風險能力，防止出現(xiàn)一個籃子里的雞蛋都打了的局面。同樣客服呼叫桌席也按這種方式部署。

（2）制定外設采購準入標準和采購測試流程，各種各樣的外設品類增加了維護工作量和難度，同時也是制約云終端發(fā)展的一個關鍵因素，因而嚴格把控外設采購流程，限定采購清單就顯得十分必要。依托云終端廠商提供的外設兼容清單，結(jié)合實際需要，經(jīng)過兼容性測試后，選擇適合自己的外設清單，遵循的原則就是少而精，目的是為了同步減少云桌面模板的數(shù)量，優(yōu)化系統(tǒng)資源利用。

（3）建立考核機制和日常運維知識庫，營業(yè)終端從傳統(tǒng)PC 過渡到云終端，必然會有一定的阻力，這和營業(yè)員的使用習慣、操作熟練程度有很大的關系，因此建立考核機制，可以迫使營業(yè)員下功夫盡快熟悉云終端的使用操作；建立日常運維知識庫的目的是方便大家知識共享，云終端的日常使用中，必然會出現(xiàn)各種各樣的問題，讓每個人把遇到的問題、以及問題的處理方法共享出來，這樣可以方便其他人遇到同樣問題時快速定位、及時處理。

（4）完善安全接入機制，提升移動生產(chǎn)力水平，移動化在工作場所變得越來越普遍，為員工提供更高、更便捷的靈活性，使他們能夠在任何位置，使用任何設備和網(wǎng)絡工作，而且使所有這些工作都具有安全、無縫的體驗。

4 結(jié)束語

隨著5G 網(wǎng)絡覆蓋范圍的擴大，以及無線接入安全技術水平的提升，在有線接入困難的區(qū)域?qū)崿F(xiàn)無線安全接入，達到隨時隨地營業(yè)、辦公的目的將不再是奢望，持續(xù)跟進桌面云技術演進，助力公司移動辦公生產(chǎn)，讓我們拭目以待。