1.云桌面簡述和技術(shù)分析

    1.1 簡述

    計算機虛擬化包括了“服務(wù)器資源虛擬化”和“桌面系統(tǒng)虛擬化”兩個主要領(lǐng)域。“服務(wù)器資源虛擬化”是實現(xiàn)后端服務(wù)器和存儲設(shè)備的資源動態(tài)分配，從而最大程度提升硬件處理器能力和存儲能力的利用率，“桌面系統(tǒng)虛擬化”是指將計算機的桌面進行虛擬化，以達到桌面使用的安全性和靈活性。

    “桌面系統(tǒng)虛擬化”依賴于“服務(wù)器資源虛擬化”，在數(shù)據(jù)中心進行資源虛擬化，生成獨立的桌面操作系統(tǒng)(虛擬機或者虛擬桌面)，然后根據(jù)虛擬桌面協(xié)議發(fā)送給終端設(shè)備，供用戶操作使用。

    目前， 桌面虛擬化通過與IAAS(infrastructure as a service)的結(jié)合，逐漸演變成云桌面(DAAS ：Desktop As a Service)，取得了較好的應(yīng)用效果。

    1.2 傳統(tǒng)桌面終端與云桌面對比

    1.2.1 傳統(tǒng)桌面終端的不足

    (1) 終端安全風險較高。

    傳統(tǒng)桌面終端的操作方式主要由用戶直接控制終端的各項資源，如本地硬盤、USB端口、目錄、文件存放、網(wǎng)絡(luò)配置等等，終端用戶往往具有管理員權(quán)限，因此對于出現(xiàn)誤操作和重要數(shù)據(jù)文件傳輸失控時，缺乏有效的安全技術(shù)管理手段。

    (2) 應(yīng)用軟件部署效率低

    傳統(tǒng)的軟件安裝往往需要本地部署，以管理員的權(quán)限進行安裝和配置，操作一般是直接通過終端，當大量部署企業(yè)標準化業(yè)務(wù)基礎(chǔ)軟件工具和應(yīng)用的時候(如Office ERP OA)，會是一項十分巨大和耗時的工作。

    (3) 維護工作復(fù)雜

    對傳統(tǒng)終端電腦的維護，包括硬件和軟件部分。其中，硬件故障的處理需要技術(shù)人員對電腦現(xiàn)場進行診斷。如果排除故障需要硬件更換，則必然涉及重新配置系統(tǒng)(例如驅(qū)動)，甚至數(shù)據(jù)遷移的工作，同時影響到用戶關(guān)鍵業(yè)務(wù)工作的連續(xù)性(如：財務(wù)、生產(chǎn)管理等系統(tǒng))。

    (4) 硬件升級成本較高

    一般桌面終端資產(chǎn)(筆記本電腦、臺式機)折舊按照三年計算，同時由于軟件系統(tǒng)不斷升級對硬件資源產(chǎn)生的新要求，使得每年桌面電腦的硬件購置是一項巨大的成本開銷。

    1.2.2 云桌面的優(yōu)勢

    云桌面的出現(xiàn)將虛擬化和高速網(wǎng)絡(luò)通訊技術(shù)緊密結(jié)合到了一起，彌補了傳統(tǒng)桌面終端的應(yīng)用與維護難題，減少了前述傳統(tǒng)桌面的不足與缺陷，虛擬化云桌面是傳統(tǒng) PC 的替代之選，主要優(yōu)勢體現(xiàn)在以下幾個方面：

    (1) 可靠、節(jié)能且經(jīng)濟實惠。由于虛擬云桌面機沒有散熱風扇和硬盤之類的移動部件，因此與 PC 相比， IT 可用性顯著提高，故障率降低，低功耗，有利于節(jié)能和降低成本。

    (2) 兼容性強。除了傳統(tǒng)的辦公應(yīng)用程序之外，云桌面還支持全屏視頻、多媒體演示、數(shù)字聽寫及其他要求特別苛刻的用途。

    (3) 便于遠程管理與統(tǒng)一應(yīng)用部署，增強了數(shù)據(jù)應(yīng)用的安全性，簡化了運維工作。

    (4) 未來的擴展性靈活，便于引入云計算或遷移到基于服務(wù)器的計算。

   2.主流的虛擬化桌面技術(shù)綜述

    當前的桌面虛擬化技術(shù)已經(jīng)在硬件和軟件兩個方面取得了突破的發(fā)展，特別是“云終端”設(shè)備的出現(xiàn)，虛擬桌面的實施成本得到了極大的降低，一般而言，虛擬化桌面的實現(xiàn)主要是通過后端高處理性能服務(wù)器集群、海量存貯以及快速以太網(wǎng)幾項關(guān)鍵技術(shù)構(gòu)成 (見圖1)。

圖1 虛擬化桌面

    由于虛擬化桌面將用戶的處理請求大部分發(fā)往服務(wù)器層進行處理，數(shù)據(jù)存儲也都放在后端集中存貯設(shè)備，前端的客戶機(云桌面)僅僅需要處理通訊和即時渲染顯示，完成與用戶的交互操作，因此客戶機(云桌面)的硬件設(shè)計一般很低，并不用于大量專業(yè)工作站級的桌面用戶，可以比較廣泛地用于培訓(xùn)、B/S應(yīng)用系統(tǒng)、呼叫中心、辦公OA等管理領(lǐng)域。

    3.企業(yè)信息化網(wǎng)絡(luò)需求面臨的安全挑戰(zhàn)

    在互聯(lián)網(wǎng)時代，企業(yè)信息化管理規(guī)劃已經(jīng)越來越緊密地將有線網(wǎng)、無線網(wǎng)、移動辦公、VPN訪問集成到公司的整體信息化應(yīng)用中，可以用最高效的手段迅速獲取有用的數(shù)據(jù)，進行統(tǒng)計分析，為企業(yè)工作中的各項決策提供依據(jù)。

    然而，越來越多的信息安全事件，包括網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、病毒木馬等等，不斷威脅著信息系統(tǒng)的運行，也使得公司領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理者在大規(guī)模推動企業(yè)信息化建設(shè)中不得不謹言慎行，如履薄冰。

    在紛繁復(fù)雜，甚至日新月異的各種信息惡意威脅形勢下，如何對用戶使用計算機進行規(guī)范化管理是安全建設(shè)的重中之重，其復(fù)雜程度遠比對數(shù)據(jù)中心的服務(wù)器集群、路由器防火墻設(shè)備開展技術(shù)運維難的多，其中很重要的一個原因就是，用戶使用桌面系統(tǒng)終端(PC)是和個人技術(shù)水平、操作習慣密切相關(guān)。

    傳統(tǒng)的桌面終端強化安全的手段包括：終端準入、域管理、用戶策略限制等等，隨著互聯(lián)網(wǎng)與企業(yè)網(wǎng)融合需求時代到來，這種方式暴露了一些業(yè)務(wù)需求方面的不足，例如如何滿足用戶同時訪問企業(yè)網(wǎng)與互聯(lián)網(wǎng)的不同需要，如何控制互聯(lián)網(wǎng)與企業(yè)網(wǎng)之間的數(shù)據(jù)交互等。

    為此，互聯(lián)網(wǎng)與企業(yè)網(wǎng)的安全規(guī)劃，也成為一個重要的課題。在實際應(yīng)用中國，出于工作需要，多數(shù)企業(yè)的公司網(wǎng)用戶(即：內(nèi)網(wǎng)辦公用戶)通過桌面系統(tǒng)(PC或者筆記本)，同時訪
問互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)(應(yīng)用系統(tǒng))，所謂“一機雙網(wǎng)”。

    但是，需要注意控制用戶同時訪問互聯(lián)網(wǎng)(外網(wǎng))和公司網(wǎng)(內(nèi)網(wǎng))，即“一機雙網(wǎng)”模式可能導(dǎo)致的風險，防止互聯(lián)網(wǎng)惡意軟件或者黑客利用桌面系統(tǒng)進行“跳板攻擊”，引起公司網(wǎng)(內(nèi)網(wǎng))資源數(shù)據(jù)信息泄露，或者系統(tǒng)損壞。

   4.虛擬化桌面的解決之道—虛擬化雙網(wǎng)方案設(shè)計

    4.1 兩種不同的安全防范方案

    目前，為了防范風險，一些大型電力集團公司采用了“雙機雙網(wǎng)”、“物理隔離”的方式進行安全加固，其主要設(shè)計是借鑒電廠生產(chǎn)控制系統(tǒng)的“二次防護”原則，在集團本部數(shù)據(jù)中心的設(shè)計中，實現(xiàn)互聯(lián)網(wǎng)(外網(wǎng))與公司網(wǎng)(內(nèi)網(wǎng))的物理隔離，利用堡壘機機制進行文件傳輸，同時配置了文件拷貝審計，終端準入，企業(yè)CA證書等強安全認證的方式，實現(xiàn)了較高安全級別的網(wǎng)絡(luò)訪問控制。

    本文提出一種與上述“雙機雙網(wǎng)”不同的解決方案，即“虛擬化桌面”與“虛擬化雙網(wǎng)”技術(shù)，此方案的原則是采用虛擬化桌面技術(shù)的一些核心因素，利用虛擬環(huán)境隔離互聯(lián)網(wǎng)與公司網(wǎng)的不同訪問需求，滿足用戶工作中對網(wǎng)絡(luò)應(yīng)用的需求。

    對于“一機雙網(wǎng)”帶來的網(wǎng)絡(luò)安全風險，“虛擬化雙網(wǎng)”的設(shè)計不同于采用“物理隔離”，“雙機雙網(wǎng)”的解決方案，而是側(cè)重于解決用戶網(wǎng)絡(luò)操作體驗便利性與網(wǎng)絡(luò)訪問控制的安全性，即可以在同一臺電腦(桌面系統(tǒng))上，用戶仍可以訪問互聯(lián)網(wǎng)和公司網(wǎng)，但又完全不同于傳統(tǒng)的“一機雙網(wǎng)”模式，取得了對雙網(wǎng)安全的一個平衡策略。

    4.2 虛擬化桌面與虛擬化雙網(wǎng)方案

    虛擬化雙網(wǎng)實際上是利用虛擬化環(huán)境隔離出兩個不同的桌面環(huán)境用于不同的網(wǎng)絡(luò)訪問需求，即互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)，從而解決“一機雙網(wǎng)”帶來的終端風險見圖2。

圖2 虛擬化雙網(wǎng)方案

    可以看到，這種典型的企業(yè)桌面網(wǎng)絡(luò)設(shè)計中，用戶同時訪問公司網(wǎng)應(yīng)用和互聯(lián)網(wǎng)數(shù)據(jù)(藍色箭頭部分)，互聯(lián)網(wǎng)風險存在每個桌面終端以及互聯(lián)網(wǎng)出口，前者的問題治理十分復(fù)雜，相對而言，二者互聯(lián)網(wǎng)出口的防火墻、路由器訪問控制策略可以很好的解決，見圖3。

圖3 采用“虛擬化雙網(wǎng)”技術(shù)設(shè)計之后的示意圖

    這種設(shè)計下，用戶采用虛擬桌面系統(tǒng)，虛擬桌面通過后端的“云桌面服務(wù)器”訪問公司網(wǎng)的應(yīng)用(綠色顏色)，而另一虛擬環(huán)境訪問互聯(lián)網(wǎng)(橙色部分)，由于在用戶終端層已經(jīng)完全實現(xiàn)了“環(huán)境隔離”，其效果類似“物理隔離”，因此用戶的操作風險、技術(shù)水平，將不再是互聯(lián)網(wǎng)安全的風險源，而在后臺“云桌面服務(wù)器”層統(tǒng)一加強互聯(lián)網(wǎng)風險控制，其效果將非常便于技術(shù)管理，從而到達整體風險降低于安全提升的效果。

    4.3 虛擬化桌面(終端)的設(shè)計原則

    除了對“虛擬化雙網(wǎng)”進行設(shè)計之外，用戶終端的選擇(虛擬化桌面)可以有兩種不同的考慮：

    (1) 方案一，選擇專用云終端設(shè)備或者客戶端軟件

    這個方案的優(yōu)點是云終端的成本低廉，可維護性好，能耗、占用空間小，用戶使用終端登錄后臺兩個不同的虛擬化桌面，(一個用于公司網(wǎng)安全訪問，一個用于互聯(lián)網(wǎng)訪問)，不足之處，對后臺資源占用較大，網(wǎng)絡(luò)依賴程度高。

    (2) 方案二，采用中檔PC機作為虛擬桌面宿主系統(tǒng)

    這種設(shè)計的考慮是保留一臺本地處理功能較強的電腦(例如臺式機)，然后運行宿主系統(tǒng)，例如Win XP\Win7，然后安裝虛擬化客戶端，如VMWare運行后端虛擬機，在網(wǎng)絡(luò)策略和路由器網(wǎng)段劃分上，限定只有通過云桌面服務(wù)系統(tǒng)可以訪問公司網(wǎng)應(yīng)用，而用戶的宿主系統(tǒng)只能訪問互聯(lián)網(wǎng)網(wǎng)段，這樣用戶使用本地系統(tǒng) Windows訪問互聯(lián)網(wǎng)，而虛擬桌面訪問公司網(wǎng)。

    這個設(shè)計的優(yōu)點是綜合了虛擬化處理和本地計算能力，分散了互聯(lián)網(wǎng)訪問的負載到本地機，而云桌面服務(wù)系統(tǒng)可以更集中地部署重要的內(nèi)網(wǎng)訪問應(yīng)用，同時具有獨立宿主功能的PC機要在處理多媒體等方面優(yōu)于云終端，適用范圍更大，在云桌面網(wǎng)絡(luò)出現(xiàn)問題的情況下，本地桌面系統(tǒng)仍可獨立進行工作，臨時進行一些工作處理，例如報告編制等，待云系統(tǒng)修復(fù)后和恢復(fù)數(shù)據(jù)，相比之下，方案一的云終端缺乏這方面的優(yōu)勢。

   5.結(jié)語

    在筆者所在的企業(yè)中，采用了方案二的設(shè)計，用聯(lián)想一體機作為虛擬桌面終端，實現(xiàn)了“虛擬化雙網(wǎng)”的應(yīng)用，效果十分理想。在當前網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)信息化建設(shè)重點工作的形勢下，采用虛擬化技術(shù)解決網(wǎng)絡(luò)的安全訪問與控制，不失為一項具有前景的發(fā)展技術(shù)，本文希望通過對所經(jīng)歷的實踐的介紹和分析，為類似的應(yīng)用提供一個拋磚引玉的參考。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：計算機虛擬化桌面與雙網(wǎng)設(shè)計的技術(shù)應(yīng)用

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121511314.html