IDV设规划精选优质方案docx.docx
- 文档编号:25992725
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:29
- 大小:135.39KB
IDV设规划精选优质方案docx.docx
《IDV设规划精选优质方案docx.docx》由会员分享,可在线阅读,更多相关《IDV设规划精选优质方案docx.docx(29页珍藏版)》请在冰豆网上搜索。
IDV设规划精选优质方案docx
1方案概述
通过智能桌面虚拟化技术,终端电脑的操作系统镜像以及应用(包括集成开发环境)集中部署在虚拟桌面服务器中,服务器根据不同的工作环境下发所需的虚拟桌面镜像给终端用户使用。
直接在终端客户机上部署基于裸金属架构的虚拟桌面软件,多个操作系统可作为虚拟机并排安装,允许用户同时运行多个操作系统实例,并保持不同操作系统间的完全隔离,确保最高的安全性;同时用户可以直接访问图形硬件,获得最佳的用户体验。
本项目产品的技术原理架构如下图所示。
所有终端用户均可通过虚拟桌面系统访问和使用自己的虚拟桌面环境。
通过桌面虚拟系统在数据中心的存储设备,为每用户划分独立的存储空间,终端PC机中不再保存相关数据文件。
精选
2建设方案
2.1方案设计原则
遵循现有的IT网络架构,以及网络建设管理规范;
符合安全管理规定,并兼容现行的安全防护体系;
在保证数据安全的前提下,实现教学人员在电教室、实验室中使用任一终端PC
电脑即可登录自己的桌面,并访问教学数据。
在确保安全的前提下,实现教学数据、桌面的集中存储与管理。
2.2建设方案
采用IDV智能桌面虚拟化技术。
IDV,英文全称IntelligentDesktopVirtualization,即智能桌面虚拟化。
IDV架构
集中管理,分布运行
桌面虚拟化IDV架构图
智能桌面虚拟化(IntelligentDesktopVirtualization,简称IDV)是一种新颖的技术观
念,IDV采取的是分布式运行方式来满足运营技术需求,同时对桌面、应用与数据进
行集中管理与存储。
本方案具备IDV架构的所有技术优点,通过对创建标准镜像对研发、实验桌面进
行集中管理,同时利用客户端本地资源运行各种桌面环境与应用程序,为用户提供更
安全、更简单、更灵活、更流畅的桌面体验,在保证数据安全的前提下,实现用户真
正地随时随地、在任何设备上安全访问桌面和应用。
精选
中科同向公司智能桌面虚拟化系统,简称CDCC。
CDCC采用当前最新的IDV桌
面虚拟化技术,具备IDV架构的所有技术优点,通过对企业标准镜像进行集中管理,
同时利用客户端本地资源运行各种应用,能够为用户提供更简单、更灵活、更安全、
更流畅的桌面体验,实现用户真正地随时随地、在任何设备上安全访问桌面和应用。
2.3CDCC系统架构
中科同向CDCC是直接安装在客户端上的裸金属架构,多个操作系统可作为虚
拟机并排安装,CDCC可以全面隔离每个虚拟机,确保最高的安全性;同时用户可以
直接访问图形硬件,获得最佳的用户体验。
中科同向CDCC是一种高性能裸机系统管理程序,允许用户同时运行多个操作
系统实例,同时保持不同操作系统间的完全隔离。
CDCC本项目产品使用当前市场上
最快速最安全的虚拟化架构,基于Intel?
vPro硬件虚拟化技术,可支持全面的3D图
形和高清视频。
中科同向CDCC架构说明如下:
2.3.1裸机系统管理程序
允许用户同时运行多个操作系统实例,同时保持不同操作系统间的完全隔离。
CDCC使用当前市场上最快速最安全的虚拟化架构,基于Intel?
vPro硬件虚拟化技
术,利用英特尔虚拟化技术,是一种新的裸机客户端管理程序,使每一个虚拟机都能
够在硬件上直接运行,而不是在已安装的操作系统内进行托管。
IT部门可以提供高度
安全的封闭式企业环境,用户能够灵活地在一个单独的虚拟机中安装个人应用,而不
会降低任何一个桌面的安全性,同时还能提供高清用户体验。
2.3.2CDvM网络安全控制系统
基于CDCC的终端电脑设备可以连接到CDvM上,进行虚拟防火墙设置、Qos策
略设置、虚拟化审计。
虚拟防火墙是针对虚拟化的安全防护功能,专为虚拟网络设计的ACL(Access
ControlList,访问控制策略)控制、强大的分层式防护设计与自动化安全功能,为用
户提供更严密的安全防护,用户访问控制(ACL)可对虚拟机之间进行进一步隔离,
为虚拟机之间的数据安全增加了一层保护。
可控制到网络三层协议,通过虚拟化环境
中目的端口和源端口之间的协议控制来控制访问增强安全性,可限制某一方向、或某
精选
一接口上的通信流量,能有效阻止信息被访问的程度,降低信息泄露的风险。
CDvM支持细粒度的QoS设置,通过设置最大限制速率和最大突发值既保证和
整个网络的畅通,又最大程度保证核心业务的高效运行。
虚拟审计主要分为三部分,包括报表统计、一小时内流量排行榜Top10(流入)、
一小时内流量排行榜Top10(流出)。
其中报表统计部分以列表形式显示,流量排行榜
部分以更为直观的饼图加列表的形式显示,可以准确的查看到虚拟网络环境中数据发
送的状况,包括协议、字节数、包数、源端口、目的端口,并可以导出为Excel以备
存档使用。
2.3.3备份存储CDvR
作为备份与同步服务器,CDvR在中科同向虚拟化软件和桌面虚拟化软件CDCC
中都占有举足轻重的地位,虚拟化环境下上传/下载引擎vtrans,独特的去重、压缩、
增量算法,大大降低了网络和磁盘的负载。
CDvR是中科同向虚拟化软件虚拟机的备份中心,所有备份、复制的虚拟机文件
都会存储在CDvR上。
当虚拟机故障时,用户可以选择某一时间点的备份文件进行快
速恢复,有效降低了由于系统故障而导致数据丢失的风险。
在CDCC的使用中,CDvR不但是用户数据的同步与备份中心,同时也是用户和
桌面的管理中心,是整个桌面虚拟化系统的神经中枢。
CDCC集中管理、分布运行的
优势与特点都需要通过CDvR来体现,例如:
用户创建与管理、策略的定义与分配、
桌面镜像及主机的管理与控制、消息的定义与发布等,并且支持分布式镜像分发架构,
大大提高了镜像分发速度。
2.3.4用户数据管理
CDCC用户数据集中存储是CDCC的增值模块,用于用户文档数据管理,是企业
级产品,为党政、教育、企业、医卫、金融、制造业等各行各业的业务改善与管理提
供文档管理服务。
开放式的系统架构,可无缝结合已有业务应用、安全部署、简便操
作等需求,更快更好地融入到组织单位的业务和管理中去,为用户提供全面的文档管
理服务。
精选
数据、验证、兼容应用
API接AnyShaIT环境
用户身份等
无缝兼身份认
开放系统架
文档数据管理数据、验证、兼容
系统
支持多种身份认证方式,包括本地认证、异地认证、本地或异地认证,可以无缝
统一或者融入到用户身份认证系统中。
默认支持Windows域,基于LDAP协议,对
Windows域深度兼容,支持域、域树、域林以及域对外信任的用户验证。
大大保障了
用户数据的安全性。
桌面安全软件兼容,文档数据管理系统除了本身强大的安全保障(如ACS访问
控制系统等),还可以完全支持无缝兼容桌面安全软件。
安全数据防止泄密,有效控制桌面本地数据泄密,有效控制同步数据中心数据泄
密,并可设置为类似网盘模式,保证在桌面终端本地不会存放用户数据。
安全文档云
文档防泄密
提供高效有序的文档管理解决方案。
兼容用户已部署防泄密系统。
⋯⋯
精选
2.4CDCC系统主要功能
CDCC桌面虚拟化主要由三部分组成:
管理中心CDvM、备份与同步服务器CDvR、
桌面虚拟化软件CDCC。
CDvM安装在一台PC机(或中科同向虚拟化软件虚拟机)上,是桌面虚拟化解
决方案的管理中心,用于镜像管理,用户(组)管理、虚拟桌面集中控制,客户端性能
监控、策略管理以及防火墙设置和QoS保证等。
CDvR安装在一台PC机(或中科同向虚拟化软件虚拟机)上,进行虚拟机标准
镜像存放与维护更新;对客户端本地数据进行增量备份,将用户本地虚拟桌面同步到
数据中心。
图2-2中科同向CDCC系统部署示意图
CDCC是基于本地虚拟化IDV架构的桌面虚拟化平台,本质是把服务器虚拟化
技术中广泛采用的超虚拟化移植到客户端,同时加入了对各种多样的客户端设备及外
设的支持、电源管理等特性支持。
CDCC可在本地客户端直接运行桌面和应用软件,
能够实现离线虚拟桌面,为用户带来体验流畅、完全网外移动的完美体验。
精选
作为一个企业级的桌面虚拟化解决方案,中科同向CDCC桌面虚拟化采用集中
管控、分布运行的架构。
客户端的虚拟桌面可以通过CDvR进行同步,可以统一下发
标准虚拟机镜像,也可以定时备份客户端上的本地数据。
同时CDvM通过集中的策略
管理,可以限制被管理的虚拟桌面对外设和网络的访问、加密本地存储的数据、设置
QoS、在设备丢失后进行远程镜像关闭、远程擦除,从而保证客户端数据的安全性。
中科同向CDCC系统主要功能包括:
2.4.1数据漫游
用户凭用户名、密码可在任意客户端访问自己的数据;任意客户端在某一用户登录注销后,其它用户可无障碍登录继续访问自己的数据,实现了真正的数据漫游功能,为用户带来更高的移动性。
2.4.2用户桌面个性化定制
用户可将企业标准镜像下载到本地,同时也可以在本地对镜像进行个性化定制,
IT管理员只需维护标准镜像。
2.4.3支持离线使用
可支持离线使用功能,在网络条件差、甚至没有网络的情况下,用户仍然可以访
问桌面和应用,网络中断或网络故障不会带来桌面失效。
2.4.4支持高清视频、3D设计等复杂应用
采用本地虚拟化技术,充分利用本地计算资源,图形设计、高清视频、多任务等
复杂应用,用户体验流畅。
2.4.5兼容外设
可兼容U盘、打印机、UKey、加密狗等外设。
2.4.6外设权限可管理
管理服务器根据设置的策略,选择对用户开启或者禁止访问光驱、USB、打印机、COM等外设,避免数据泄露或外来病毒入侵。
2.4.7用户数据集中管理
本地客户端只保存操作系统、应用程序等系统文件,用户数据文件集中到存储服
务器端进行统一管理,应用程序在本地设备启动,对性能影响非常小。
精选
2.4.8用户权限管理
CDvM创建桌面用户,每个用户拥有独立的虚拟桌面,各用户虚拟桌面之间完全隔离,可保证用户的信息安全。
用户凭用户名、密码可在CDvM管理下的任意客户端访问自己的桌面;CDvM管理下的任意客户端,某一用户登录注销后,其它用户可无障碍登录继续访问自己的桌面。
CDCC实现了真正终端漫游功能,为用户带来更高的移动性,用户可随时随地访问自己的桌面。
2.4.9虚拟桌面的容灾与备份:
CDvR可实现镜像的集中管理和本地虚拟桌面的数据同步管理,每次用户连接到
网络时,根据预先设置的备份策略将本地数据增量备份到数据中心。
CDvM进行虚拟机快照策略管理,按照一定的快照策略,创建虚拟机快照;当用户数据损坏时,CDvR可将用户数据恢复到损坏之前的状态。
若客户端设备丢失或被盗,CDvM可对用户本地虚拟桌面进行远程关闭和远程擦除,确保用户数据不会泄露出去。
2.4.10虚拟防火墙
虚拟防火墙是针对虚拟化的安全防护功能,专为虚拟网络设计的ACL控制、强
大的分层式防护设计与自动化安全功能,为用户提供更严密的安全防护。
用户访问控制(ACL)可对虚拟机之间进行进一步隔离,为虚拟机之间的数据安
全增加了一层保护。
2.4.11主机绑定
个人桌面应用、测试或开发、演示、高度保密环境等等,针对不同部门或用户的
不同的安全权限和要求,可对主机和用户(或用户组)强制绑定,如:
某些客户端主机只能由研发部门员工凭用户名、密码登录使用,其它用户无相应权限,无法登录;某台客户端主机专门用于高保密环境,只供指定员工一人使用。
2.4.12策略管理
CDvM对虚拟桌面、主机客户端、用户、用户组进行相应的策略管理。
主要包括
以下策略:
2.4.12.1同步策略
设置用户本地虚拟桌面与数据中心的同步策略,如:
开机时同步、关机时同步、
按照一定周期同步、安装设定时间同步等等。
精选
2.4.12.2快照策略
设置用户恢复虚拟桌面的还原点,多长时间创建一次虚拟桌面的快照,如:
开机
时创建、关机时创建、按照一定周期创建、按照设定时间创建等等。
2.4.12.3访问控制策略
支持细化的访问控制策略,严格控制流入、流出每一个虚拟桌面的流量。
详细展
示网络环境中虚拟桌面所有通信的行为和性能。
2.4.12.4QoS策略
支持细粒度的QoS设置,既保证和整个网络的畅通,又最大程度保证核心业务的
高效运行。
2.4.12.5外设使用策略
选择允许或者禁止访问光驱、USB、打印机等外设。
3方案优势
3.1先进性
中科同向CDCC采用当前最新的IDV桌面虚拟化技术,具备IDV架构的所有技术优点,通过对企业标准镜像进行集中管理,同时利用客户端本地资源运行各种应用,能够为用户提供更简单、更灵活、更安全、更流畅的桌面体验,实现用户真正地随时随地、在任何设备上安全访问桌面和应用。
中科同向CDCC主要解决当前VDI架构桌面虚拟化给IT建设带来的显著挑战。
VDI架构桌面具备的显著挑战如下:
高成本
要实现VDI环境,企业需要在核心基础设施上增加投入,包括面向VDI的高可
靠性存储、服务器和新的终端设备,同时还需要支付VDI软件授权的费用,实施起来比传统IT基础架构的成本还要高。
存储性能瓶颈
VDI环境对存储管理员提出了前所未有的挑战,系统的性能较容量而言变得更为
重要。
由于桌面和应用以集中化的方式存储,而非分散在本地驱动器上,对于存储系
精选
统的需求较以往呈指数增长。
成百上千的虚拟桌面的数据吞吐量给存储系统带来了巨
大的压力,VDI的性能也受到存储系统能够支持的IOPS的影响。
一方面,VDI的存储容量必需能够满足所有应用程序和用户数据的需求;另一方面,存储性能直接影响终端用户的用户体验。
对VDI系统来说,当大量的Windows系统同时启动或登录时,会产生所谓的“启动风暴”或“登录风暴”。
用户体验差
高效的远程显示协议也无法完全消除低带宽、高延时网络连接对用户体验的影响。
对网络带宽、延时的要求,使得VDI无法真正突破多媒体、3D影像设计应用的瓶颈。
另外,VDI要求具有始终能连接到数据中心的网络,给用户的移动性也带来挑战。
网络依赖
虚拟桌面与数据中心网络连接,所有的计算都发生在虚拟的宿主机端。
对网络的
依赖,使得脱机使用变得十分困难。
外围设备兼容性问题
VDI对各种可用外围设备存在限制,对很多外设的兼容存在问题。
3.2产品优势
3.2.1简单易用
数分钟安装部署完成,无需改变用户习惯即可使用虚拟桌面。
创建标准镜像
管理员创建企业标准镜像,发布到管理服务器CDvR。
为用户分配部署镜像
用户下载标准镜像到本地,形成用户虚拟桌面。
虚拟桌面在本地运行,因此可提
供良好的性能体验,且可运行用户离线脱机使用。
用户桌面个性化定制
精选
虚拟桌面采用分层架构:
用户数据与设置、用户自行安装的应用程序、包含操作
系统及程序的标准镜像,共三层设计。
通过分层设计,用户可在本地对镜像进行个性
化定制,IT管理员只需维护标准镜像。
既保证了用户使用的灵活性,又简化了管理。
用户自行恢复桌面
如果用户桌面出现系统崩溃、蓝屏死机、恶意攻击等问题,用户可自行将虚拟桌
面恢复到原始的干净状态,用户数据与设置不受任何影响。
集中更新镜像
CDCC只需将镜像的更新增量部分分发给用户,更新速度快,成功率高。
更新过
程中如果遇到问题,还可回退到上一版本。
完备的策略管理虚拟桌面
CDCC可通过管理服务器CDvM查看所有虚拟桌面的使用情况,并且有多种策
略对客户端本地桌面进行控制。
3.2.2用户完美体验
支持离线模式,降低网络依赖
CDCC可支持离线使用功能,在网络条件差、甚至没有网络的情况下,用户仍然
可以访问桌面和应用,不必担心网络中断或网络故障带来的桌面失效。
利用本地资源,支持复杂应用
CDCC采用本地虚拟化技术,可充分利用本地计算资源,图形设计、高清视频、
多任务等DVI桌面虚拟化无法解决的瓶颈问题,CDCC均可轻松解决。
用户可在CDCC
上运行复杂、高性能的应用,体验流畅,本地化运行方式,无需改变用户习惯,用户
适应成本为零。
兼容本地外设,消除使用禁锢
精选
CDCC可以兼容几乎所有的外设,U盘、打印机、密钥、加密狗等等,不再受虚
拟化限制,可随意使用。
用户权限管理,访问安全便捷
CDCC数据同步方案,可按照一定的策略将用户数据同步到数据中心,之后用户
即可凭用户名、密码在任意本地设备上访问这些数据,各用户桌面完全隔离,保证访
问的安全性。
3.2.3保证数据安全
AES加密
CDCC可提供对用户数据进行加密的功能,使用128或256位AES对虚拟桌面
进行加密,未授权用户即使获取了虚拟机文件,也无法解密数据。
虚拟桌面封装隔离
CDCC虚拟桌面对包括操作系统在内的企业用户桌面进行了完整封装,各虚拟桌
面被彻底隔离,并完全独立于底层主机硬件。
PKI身份验证
用户使用CDCC虚拟桌面之前,必须通过身份验证,目前CDCC主要采用PKI
身份验证。
CDCC设置了允许用户登录失败的最大次数;超过此阈值,则将该用户桌
面锁定,在一定的时间之内不允许该用户在任何客户端登录。
远程禁止
如果客户端主机离线使用超过一定时间,管理服务器锁定该客户端,用户无法通
过其访问自己的桌面。
远程擦除
管理服务器设置一定的时间阈值,如果客户端长时间不联系管理服务器,一旦时
精选
间超过管理服务器设置的阈值,则客户端主机将自动删除所有本地数据,确保脱网设
备可控。
外设禁用
管理服务器可以根据一定的策略,选择禁止访问光驱、USB、打印机等外设,以
避免数据泄露或外来病毒入侵。
用户数据集中管理
本地客户端只保存操作系统、应用程序等系统文件,用户数据文件集中到存储服
务器端进行统一管理。
由于应用程序是在本地启动,对性能影响非常小,同时又能避
免本地数据泄露。
完整的策略管理
CDCC提供了多种策略,为用户提供安全保护,可以针对整个企业制定统一的策
略,也可以对每个用户进行个性化策略定制。
3.3CDCC方案带来的效益
3.3.1更灵活的访问
中科同向CDCC产品将用户使用与系统管理进行了有效分离,使得用户访问桌
面不受时间、地点与设备类型的限制。
3.3.2设备采购、维护成本降低
使用中科同向CDCC产品,不需要进行大量资金投入,不需要改变用户使用习
惯,即可获得安全可靠的虚拟化桌面。
3.3.3集中管理
管理中心CDvM对企业标准镜像进行统一管理、更新,通过分层设计,用户可在
本地对镜像进行个性化定制,IT管理员只需维护标准镜像。
既保证了用户使用的灵活
性,又简化了管理。
精选
3.3.4数据更安全
中科同向CDCC产品采用了AES加密、虚拟桌面封装隔离、PKI身份验证等技
术,同时采取远程禁止、远程擦除、外设禁用等管理策略,可防止用户本地数据泄露。
同时,按一定策略将本地虚拟桌面进行备份与恢复,保证了用户数据免受损坏或丢失
的风险。
3.3.5国产化保障信息安全
中科同向CDCC是完全自主知识产权的国产化软件,可有效防止软件后门等带
来的信息安全威胁。
精选
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IDV 规划 精选 优质 方案 docx