章丞

摘要：教学机房建设一直是校园信息化建设的关键点。当前，桌面虚拟化技术不断在这一领域渗透，解决了过去机房管理中的一些痛点。本文围绕设计原则、技术线路、总体框架及安全优化等方面对桌面虚拟化技术在高校中的应用进行了详细设计，为高校实施桌面虚拟化项目提供了参考。

关键词：桌面虚拟化技术;校园信息化

中图分类号：TP311      文献标识码：A

文章编号：1009-3044（2021）33-0134-03

开放科学（资源服务）标识码（OSID）：

1 引言

教学机房建设作为校园信息化建设重要的一环，日益成为整个高校教学信息化改革的重要支撑，关系到各项教改项目是否能够顺利落地。在一些高校，由于建设期较早，教学机房一直使用传统PC并且采用人工管理方式。在实际使用过程中，PC的维护存在各种弊端和诸多不便，加之传统的人工管理机房的方式也存在种种问题，从而影响了信息化建设的进度与质量[1]。

2 高校机房管理的弊病

高校机房管理面临着运维压力大、安全威胁复杂、硬件性能无法满足等诸多问题：

2.1 压力风险逐渐提高

在高校中，大部分的专业课都排在机房，利用各种教学软件锻炼学生的实操能力。每门专业课都有专属使用的应用软件，同一软件甚至需要安装多种版本。导致该机房的PC需安装的软件种类、版本繁多，对机房的日常运维造成了挑战。同时教学机房的数量有限，经常存在教学机房每周五天全负荷使用的状态。一旦某个机房的PC出现故障，会影响后续课程的授课，甚至造成教學事故[2]。

2.2 安全威胁日益复杂

在传统机房运维环境中，常采用PC加硬件还原卡的方式对软硬件环境进行管理。当需要新增教学软件时，通过PC同传软件对该机房的所有PC进行增量更新。当无须进行更新操作时，硬件还原卡会在每次PC重启后，还原至最初的状态。这种运维方式存在局限性，其软件增量更新功能对软硬件环境有特定的要求。另外，出于教学的需要，PC往往会预留一个分区用于存储学生的学习数据，不会对该分区进行还原。而一旦发生病毒感染，未还原的分区成为病毒的中转站，造成了严重的数据安全问题。

2.3 硬件性能无法满足

随着信息技术的不断发展，以计算机类专业为例，教学过程中使用的各类仿真软件、开发软件版本更新频繁，每个新版本都对计算机的CPU、内存以及硬盘性能都有更高的要求。而教学机房PC，出于资产采购需求，要求其使用周期需达到五年以上，在前期能够满足教学的需要。但在中后期，其性能已经跟不上软件环境的变化了。而更新换代所需要的采购和部署成本又非常高。

3 桌面虚拟化设计与优化

3.1 桌面虚拟化技术带来的改变

桌面虚拟化技术能够很好地解决当前高校机房运维存在的问题。桌面云平台服务是构建在底层虚拟化基础架构之上的。在与具体硬件解耦合的背景下，桌面云系统能为用户交付专属虚拟桌面，而与具体的承载硬件及终端软硬件无关，变更的速度非常快成本低。应用不再与具体的操作系统和硬件相关，多个版本的相同软件可以共存且软件管理的方式更为简单。数据安全防护是整个桌面云的共同行为，有效降低整体硬件资源利用率。通过操作系统刷新与重构功能，能够高效快捷地将最新的操作系统补丁同步到所有的虚拟桌面，从而规避了安全风险。由于桌面云平台服务采用了统一的管理平台，有利于运维监控、风险评估及问题排查。

3.2 设计原则

1）绿色环保原则

实施桌面云项目后，必将带来硬件大集中、数据大集中，软硬件资源的集中以及虚拟化技术所带来的新功能可能导致能耗的急剧攀升，因此在设计之初就必须从节能角度出发，采购低能耗的服务器及其他硬件产品，在机房合理设计冷热风道，利用虚拟化技术提高服务器硬件资源的利用率，通过精心优化配置达到最佳能耗比。

2）技术先进性原则

在设计之初，对行业的主流厂商和技术进行调研，掌握当前的主流解决方案。并与兄弟院校进行横向交流，探讨在教育行业中主流解决方案的适用性。结合实际情况，在主流解决方案的基础上，采用先进思想和技术精心设计，所采用的产品和技术成熟稳定，具有强大的生命力。

3）配置标准化原则

在方案设计、设备选型、系统配置、机房建设等方面上应遵循相关的国际标准、国家标准、行业规范，并按照具体的要求进行设计及施工。

4）可扩展性原则

信息技术发展日新月异，系统结构必须具有较好的灵活性，以适应将来技术升级所带的迭代扩展需求同时满足不断增长的业务需求。

5）安全性原则

由于桌面云环境带来的大数据集中而产生的信息安全风险，必须考虑信息安全要素，采取必要手段保护用户安全、网络安全及虚拟机安全。

3.3 技术线路

桌面虚拟化的部署首先需实现基础架构即服务功能，通过将计算资源、网络资源、存储资源进行虚拟池化后，使得这些资源具备了动态分配的能力，从而为在其上构建桌面虚拟化服务提供了支持。在底层资源池化的基础上，构建虚拟桌面服务、虚拟应用服务及用户层、网络层、服务层安全服务，实现了随时随地的虚拟桌面访问，应用快速管理及共存，强化了虚拟桌面的信息安全。在实现了桌面云基础功能后，对桌面云的高可用性等性能方面进行了优化，确保服务永续，同时让桌面云的访问更加方便快捷，让系统的整体性能更符合绿色环保的要求[3]。

3.4 总体框架设计

由服务器虚拟化、网络虚拟化、存储虚拟化组成的基础架构即服务，将计算资源、内存资源、存储资源、网络资源整合成一个虚拟的资源池，各项业务可以根据自身的需求动态地分配资源，从而提供一种智能弹性架构及快速部署的能力。

系统逻辑架构将采用以服务器硬件、存储硬件及服务器虚拟化软件组成的虚拟化基础架构作为最底层的支撑平台，在其上构建虚拟化基础架构管理层与虚拟桌面会话层。虚拟化基础架构管理层统一管理虚拟服务池与虚拟桌面池。虚拟桌面会话层使用虚拟桌面池的服务，并通过网络接入层提供对外服务。教师及学生可通过客户端随时随地访问桌面云[4]。

3.5 数据安全优化设计

随着桌面云的部署，数据安全的威胁已经从传统层面渗透到了虚拟层面。由于虚拟化带来的硬件、服务和数据的大集中，假如发生安全问题，那么爆发的规模和危害性将更加巨大。因此必须在结合现状和桌面虚拟化的特性，在传统层面和虚拟层面分别进行安全加固，保障用户数据安全。

3.5.1 用户层数据安全设计

用户层由桌面云用户、网络管理员、桌面云管理员所组成。用户层数据安全设计如下：

1） 桌面云用户在域环境中设置为普通用户角色，受到域环境统一管理用户名和密码，在桌面云环境中只能访问属于自己的虚拟桌面。

2） 网络管理员、桌面云管理员在域环境中设置为高级用户角色，受到域环境统一管理用户名和密码，能够访问桌面云管理平台。

3.5.2 网络层数据安全设计

网络层包括连接互联网的防火墙、路由器、核心交换机、旁路的IDS入侵检测系统，与服务器区串行的IPS入侵防御系统等。主要防御从外部网络进入内部网络的安全威胁[5]。

网络层数据安全设计如下：

1） 防火墙具备包过滤及状态检测功能。禁止来自外部的非授权流量。对外只提供特定的几个服务端口，以提高安全性。

2） 核心交换机作为网关设备，通过访问控制列表严格限制客户端IP地址段对桌面云的访问以及桌面云对外部网络包括内部网络的访问。

3） 在核心交换机上将所有来自桌面云系统的流量都镜像给IDS入侵检测系统，收集整个网络的信息，监视全部通信并查找可能的恶意攻击。

4） 具备ByPass功能的IPS串行在核心交换机与物理服务器之间，对所有流经的流量进行深度检测，阻止恶意攻击。

3.5.3 服务层数据安全设计

服务层主要由承载虚拟桌面的虚拟机和提供桌面云服务的虚拟机所组成。虚拟机之间的流量都在整个服务层之内，如果借助于外部硬件设备对这部分流量进行安全防护，势必造成服务层与网络层之间的性能瓶颈。因此虚拟机之间的信息安全由服务层内部提供是最为有效的方式。因此服务层主要防御来自虚拟机内部及虚拟机之间的数据安全威胁。

服务层数据安全如下：

（1）对虚拟机进行防病毒检测

桌面虚拟化环境下的防病毒通过某种手段实现桌面的安全防护，避免计算机病毒对系统及文件的破坏。当前，在桌面虚拟化环境下的防病毒解决方案主要包括有代理和无代理两种方式。从总体上来说，无代理方案需要重启物理主机，但普通虚拟机是无法感知也无须安装任何防病毒软件的。而有代理方案则需要在每一台虚拟机上安装防病毒代理客户端，且同样需要有专门的防病毒虚拟机。在病毒检测率、误报率、性能测试、CPU利用率等方面，有代理方式的综合素质比无代理方式更高。横向对比如表1所示：

通过横向对比，本着具备安全防护能力的同时又不影响数据中心提供服务性能这一原则，有代理解决方案由于需要在每台虚拟机安装防病毒代理，其运行痕迹从心理上将给用户带来安全信心保障，从而对桌面云的使用树立信心，因此在桌面云防病毒设计中，采用有代理解决方案。将来随着无代理解决方案的进一步发展，其透明性、易用性、标準性、高性能将能为教学科研提供更加方便快捷的防病毒体验，可成为未来升级的方向。

（2）关闭无需的系统服务

桌面云服务都承载在Windows Server操作系统上。虚拟桌面也都采用Windows操作系统。而Windows系统受到的信息安全威胁是最多的，因此为了防止攻击，增强操作系统的安全性，优化性能，在服务层所有操作系统上都需关闭无需的系统服务。

（3）利用重构技术实现虚拟桌面操作系统更新

在传统机房中，要给每一台PC更新操作系统补丁是非常困难的。而在桌面云环境中，通过更新模板主机操作系统的补丁，再利用重构技术刷新所有的虚拟桌面，可以在很短的时间内，实现所有虚拟桌面更新到最新的补丁，从而保障数据安全。

4 结语

高校教学机房建设一直以来是信息化建设的重点与难点。特别是随着传统机房管理的瓶颈不断凸显，桌面虚拟化技术向这一领域不断渗透的背景下，通过设计好项目实施路径图，规避资源集中后带来的信息安全问题，将有效提高高校机房建设运维的效率，从而为教学实施与改革创造更好的基础条件。

参考文献：

[1] 刘永.虚拟化桌面在高校计算机实验教学中心的设计及应用[J].网络安全技术与应用，2020（9）：95-96.

[2] 刘艾侠，符永卫，王波.桌面虚拟技术在高校实验机房的应用分析[J].电脑知识与技术，2018，14（7）：225，233.

[3] 周志成.基于虚拟化技术的桌面云在高校中的应用研究[J].信息与电脑（理论版），2020，32（20）：4-6.

[4] 梁志荣.虚拟技术在多媒体教室管理中的应用[J].福建电脑，2021，37（4）：82-86.

[5] 李辉强，姜正涛，林珊珊.虚拟化安全技术分析[J].保密科学技术，2020（10）：4-8.

【通联编辑：李雅琪】