军工企业桌面云技术研究与应用

2022-03-23靳淑娟高小渭赵堃

网络安全技术与应用 2022年2期

◆靳淑娟高小渭赵堃

军工企业桌面云技术研究与应用

◆靳淑娟高小渭赵堃

（中国直升机设计研究所天津 300000）

本文在桌面云技术发展和军工企业应用现状的基础上，结合军工企业对信息系统的保密要求，分析了桌面云的技术架构，采用云技术改造传统的PC办公桌面，通过组建资源池，提供业务用户终端接入，打造全新、安全、高效、便捷的办公方式，运用桌面云技术来提升工作效率。

桌面云；企业

1 引言

随着信息化技术的飞速发展，互联网极大地改变了我们的生活，尤其是虚拟化、云计算、大数据等新技术开始频繁地应用在企业的设计、生产、制造过程中，进一步改写了企业的生产模式。虚拟化的技术发展经历了从服务器的虚拟化发展到办公桌面虚拟化，再发展到现代应用虚拟化几个阶段，并已走向成熟。国内的虚拟化技术虽然在国际上起步较晚，但是经过多年的科学技术发展和积累，各种桌面云产品也已经崭露头角，并且被广泛应用于越来越多的企业、政府、学校等机构。桌面虚拟化技术的广泛普及大大地改善了企业的工作系统，降低了运行成本，是一种发展最迅速、有应用前景的全新技术。

2 企业应用现状

军工企业由于对保密性和安全测评等技术要求较高，一直以来，在对信息系统建设和应用的过程中，桌面式计算通常被广泛地使用，其中性能相对较为稳定且具有功能全面的“胖客户端”PC作为主要的业务终端。然而随着行业的进步，PC在使用中出现的各类问题已经显现，而安全办公、绿色办公的战略方针，也对业务终端的解决方案提出了更高的要求。因此，在新型军工企业信息化技术发展的道路上，同样地，传统PC架构已经显示出了一些缺陷，主要体现在以下几方面。

2.1 数据安全风险

由于传统的PC桌面分散在各处，无法完全统一管理。其操作系统中所安装的各种安全软件只能事后进行监控，不能有效地对事前进行预防，因此目前我们还是缺乏有效的安全管理方式和技术手段去主动监测和管控串口或USB等各种类型的违规无证设备接入，存在着大量数据被盗或者泄露的风险。

2.2 数据可靠性低

时间和效率是企业生产力高低的决定因素之一，企业的办公环境要求具有高可靠性和高可用性。在我们传统的PC桌面式办公模式中，员工在进行办公活动过程中所能够产生的大量智力资产和对于企业的关键数据信息，都是存放到PC终端本地，而PC作为单点故障的高发点，一旦突然发生，轻则重新启动，重则更换配件，给企业和员工都带来巨大的时间损失和效率影响。

2.3 运维管理复杂

传统办公模式中，所有员工的工作环境完全依赖于本地PC，若电脑故障，员工只能被动等待IT运维人员亲临现场，对电脑进行维修。而且，随着企业规模的发展，IT基础设施的种类越来越多，累积的操作系统和软硬件版本也越来越多，IT运维人员排除故障的难度越来越大。

2.4 高能耗、高排放

近几年来，节能减排已经上升到了国家战略高度。国务院联合制定了关于我国的节能低碳减排工作的详细计划，以及为了应对世界性的气候变化，提出建设一个资源节约型、环境友好的新时代社会的要求，促进经济发展方式转换。在传统的基于PC机的办公环境中，每一个PC桌面开机运行后都是一个能耗点和碳排放点。上千台的PC机同时运行起来，其功率和能耗非常大，按照1000台PC桌面的功率来计算，平均功耗200w，每台PC每天最少运行8小时，每年250个小时的工作日，一年的平均耗电量约40万度。按照平均碳排放系数0.43的比例进行换算，每年大气中的二氧化碳总排放量高达172吨，不符合当今绿色环保、低碳经济的大趋势。军工企业作为社会重要的组织单元，更要以身作则，积极响应国家节能减排号召。

上述这些问题的出现，一定程度上严重地制约了我国军工企业业务的开展和员工办公效率的改善，迫切地需要一套完整的解决办法，用来代替传统PC并有效地解决以上这些问题。

3 系统方案及实现

3.1 系统目标

本文提出采用云技术来改造终端用户的办公桌面，将所有终端用户的桌面都集中到了后台的一个数据中心，通过虚拟化的技术来构建一个资源池，使得终端用户PC或者瘦客户端接入。云桌面最终必须是为了能够有效地保证其业务运行的连贯性，安全程度及其高可用性，提供更大的桌面容量与良好的使用者体验，具体如下。

（1）通过对数据与使用者进行隔离来提升系统的安全性：将使用者从原本被分散在各个PC上的所有用户桌面数据都集中并存放到了数据中心，实现了统一的安全监测和管控，使得用户能够直接访问的只是桌面上图像的变化数量，而且这些数据不能被带出来作为数据中心。

（2）通过整个软硬件资源的大规模集中而有效地及时提升了运维的基本工作效率：从完全分散式网状运维再到完全集中自动化的运维，管理人员只需要通过一个服务器管理后台便已经能够有效地及时解决终端用户的大多数网站问题，降低了运维的基本工作量和成本，提高了维护的工作效率。

（3）通过互联网接入大大提升了办公的灵活性：使得用户能够在任意时间、任意地点或者是任意一台设备上即时地接入到自己的个人桌面上进行办公。

（4）采用先进的架构支持未来的演进：建立一个高效和简单可靠管理的桌面云架构，同时未来也将更加便捷和容易被人使用。

3.2 系统总体设计方案

如图1所示，本解决方案是采用了扁平化的方式进行部署，即将云端的虚拟机和网络资源集中地部署到企业外网机房，端的客户机分别部署到企业外网办事处，以局域网的方式来实现企业云与端之间的带宽安全保障。后端云管理平台服务器以集群的方式进行部署，由基于虚拟化的管理软件进行集中和管控，即位于虚拟化的数据中心下面可以直观地展示全部虚拟资源，其中包括虚拟机、宿主计算机、网络和软硬件设施等，并能够直观地生成一张数据中心的拓扑图，方便于对外进行统一的呈现和管理。

图1 桌面云总体架构

桌面虚拟化依托于共享存储的架构，可以是支持分布式存储或者共享存储，此种解决方案中可以选择采用服务器集群中的本地硬盘作为数据存储介质，在保证数据安全性的前提下，也将大大提升io系统的性能；借助于底层高可靠的设置，及集群模式，保证了办公业务的连续性，任意一台物理主机的宕机都可快速进行恢复。

3.3 管理中心设计方案

整个网络桌面云系统的管理由两台高端服务器共同组成的一个集群及其虚拟化软件来完成，服务器上安装了虚拟化桌面管理软件，主要是负责桌面资源、存储资源、用户访问等的合理调配、用户身份认证、策略控制等操作。为了有效地保证整个系统稳定地运行，我们采用了2块0k 300G sas硬盘来组成raid1，保证单台服务器本地硬盘的故障冗余。桌面云系统是通过分布式虚拟数据存储技术，将服务器网络集群中的多个物理硬盘进行整合，并把它们虚拟化成一个数据存储的资源池，再为一个桌面云系统提供数据存储和管理。

管理员还可以集中在管理平台创建一台模板机和裸虚拟机，使得虚拟机系统盘、用户盘数据分离，并执行不同的安全策略，保障用户数据安全保留的同时，系统盘不做变更。同一个虚拟机可以提供给一个用户使用，也可以同时提供多个用户同时登录，采用共享资源的访问控制策略，保障用户正常使用的同时数据不发生冲突。

3.4 网络设计方案

桌面云系统的服务器部署在网络间中，考虑到该系统的未来可持续扩展性，采用2*10ge的方式上行至一台核心的交换机。桌面云的网络通讯平面可以被划分成三个网络，即业务、存储、管理服务，三个网络彼此独立、相互隔离，具体如下：

业务虚拟网络：它主要是一种基于业务虚拟机和基于虚拟网卡的一个主要网络通讯平面，主要功能是通过用户网络提供各种类型业务网络应用的一种主要访问网络方式。

存储网络：这种存储网络是采用了一种多路径的链路和冗余，提供了服务器和存储设备之间的交换和互联、通讯。存储设备是通过一个虚拟化的平台，为所有虚拟机桌面提供用户数据和系统数据的存储和分析的资源，但不直接使用虚拟机进行通信。

管理网络：负责整个桌面云系统的管理，系统加载，业务部署等所有管理流量的通讯。服务器网络主要是负责对服务器的管理，它们既可以与管理平面相互隔离，也可以共享。

3.5 资源管理

在桌面云解决方案中，所有桌面环境和计算都集中在后台服务器集群中，终端和服务器之间的交互只能简单地输入命令和简单地输出显示的图片，不能够进行实时数据传输。管理员可以在一台服务器上自动创建一个虚拟的桌面并将这种环境自动发布给终端用户，使其可在远程操作中使用，用户则随时可以利用终端直接通过网络连接到其具有访问权限的虚拟桌面，然后像本地PC一样进行办公。同时，管理员还可以将创建的虚拟机和某一个或某几个终端用户之间建立永久或临时绑定的联系，绑定之后，用户与自己的虚拟机一一进行响应，其他用户无法再申请并使用这台虚拟机，直到用户在本次使用完毕后，直接通过云桌面管理系统的释放功能将其绑定的关系进行解除，此时其他用户可以申请并继续使用这台虚拟机。

3.6 权限管理

桌面云系统颠覆了我们传统PC终端办公的模式，实现了数据集中、瘦客户端接入，但是军工企业在生产过程中涉及到国家秘密，因此系统的保密性要求极高，需要把管理系统的系统管理员、安全保密员和审计员账号和操作权限都进行分离，使其相互制约。系统管理员可以按实际需要创建相应的角色，查看并管理系统状态。安全管理员负责用户权限的分配，密码策略，访问策略的配置。安全审计部门人员主要负责对另外两员的行为情况进行详细的安全审计，以确保另外两员的操作正确并合规。

3.7 数据管理

在桌面云系统中，用户可以根据个人需要创建个人数据盘，将个人产生的文件、数据和其他个性化的配置都直接保存到个人数据盘中，个人的数据盘并不是依赖单个的虚拟机，即使是虚拟机发生了故障或被服务器删除，用户的数据仍会直接存在于服务器的存储中，且用户只需要登录到另一台具有一定权限的虚拟桌面后再重新与其关联，就可以继续正常地使用文件和数据。

对于所有用户和服务器产生的数据，桌面云系统都可以进行备份和恢复。系统所有数据采用的都是基于硬盘而进行的数据备份与恢复，为所有虚拟桌面提供快速、简单的数据保护，避免了在虚拟桌面系统中出现的不可及时恢复的故障，支持全自动定时备份和定制的即时备份，满足不同场景下的数据应用需求，同时也支持数据的全量、增量和差别性备份及管理。