摘要：為了解決南瑞集團研發(fā)環(huán)節(jié)的安全問題及資源的集中管理，開展研發(fā)業(yè)務(wù)場景需求分析和云桌面系統(tǒng)構(gòu)架設(shè)計，整合并合理配置系統(tǒng)前后端資源，建立相關(guān)管理配套制度和運行機制，構(gòu)建統(tǒng)一規(guī)范的研發(fā)桌面云環(huán)境，實現(xiàn)研發(fā)成果的集中存儲和管理。關(guān)鍵詞：桌面云；私有云；虛擬化；信息安全1. 引言云計算技術(shù)作為新興技術(shù)代表，完全符合現(xiàn)代技術(shù)發(fā)展趨勢，日益得到更加廣泛的應(yīng)用。國內(nèi)外如華為等大型企業(yè)正在建設(shè)桌面云、研發(fā)云與應(yīng)用云的云計算應(yīng)用基礎(chǔ)架構(gòu)，通過云終端系統(tǒng)和虛擬化技術(shù)，采用“集中計算，分布顯示”的架構(gòu)，將所有辦公PC的運算合為一體，在服務(wù)器端進行集中處理，用戶數(shù)據(jù)集中存放在數(shù)據(jù)中心內(nèi)，員工采用云終端設(shè)備，僅負責輸入輸出與界面顯示，不參與任何計算和應(yīng)用，為用戶提供綠色、環(huán)保、安全的辦公環(huán)境。目前南瑞集團及下屬產(chǎn)業(yè)單位從事研發(fā)相關(guān)工作人員約6000余人，研發(fā)成果很大一部分是關(guān)系到電力系統(tǒng)穩(wěn)定安全生產(chǎn)的核心技術(shù)或產(chǎn)品等，且部分技術(shù)或產(chǎn)品已達到國內(nèi)領(lǐng)先水平乃至國際先進水平，但研發(fā)工作方式還是采用傳統(tǒng)的桌面PC，在當前日益嚴峻的信息安全形勢下風險較大，且隨著員工規(guī)模不斷的擴大，在員工終端管理、資源調(diào)度、運維成本和能耗方面的問題明顯增多，如何建設(shè)滿足研發(fā)業(yè)務(wù)需求的工作環(huán)境也逐漸成為集團各層面關(guān)心的議題。 2. 需求調(diào)研分析集團公司現(xiàn)有的軟硬件架構(gòu)無法難以滿足集團公司業(yè)務(wù)日益擴展的需求，經(jīng)過對集團公司現(xiàn)有應(yīng)用系統(tǒng)架構(gòu)與實際應(yīng)用進行調(diào)研分析，主要存在如下問題：(1)、桌面應(yīng)用管控難度較大問題，桌面分布分散，硬件種類多，桌面系統(tǒng)、補丁版本多，存在桌面應(yīng)用管理難維護難，難以做到統(tǒng)一管控。 (2)、桌面資源未能充分利用，由于PC具有資源獨占特性，難以共享提高利用率降低成本，PC以資產(chǎn)形式歸屬各集團下屬單位，難以做到集團內(nèi)資源優(yōu)化調(diào)配，提供資源有效利用率。(3)、研發(fā)環(huán)境問題，集團現(xiàn)有研發(fā)環(huán)境缺少有效集中管理與安全保障的平臺與工具。3. 系統(tǒng)架構(gòu)設(shè)計3.1 技術(shù)路線 目前使用傳統(tǒng)PC機進行研發(fā)工作的辦公模式存在信息安全性隱患，解決該隱患的方式主要有：傳統(tǒng)物理硬件保護措施、基于本地計算資源的桌面虛擬化技術(shù)以及基于VDI架構(gòu)桌面虛擬化技術(shù)。傳統(tǒng)物理硬件保護：通過對傳統(tǒng)PC機進行物理硬件上的保護，進行關(guān)鍵數(shù)據(jù)的保護，包括PC機無USB口、PC機進行主機上鎖、PC機結(jié)合桌面管控系統(tǒng)等方式進行關(guān)鍵數(shù)據(jù)的保護。這種方法比較傳統(tǒng)，保護手段比較單一，數(shù)據(jù)保護機制較少，效果不明顯。基于本地計算資源的桌面虛擬化技術(shù)：通過對PC及或筆記本進行系統(tǒng)改造，可以通過后臺管理服務(wù)器對改造后的PC機進行統(tǒng)一管理，用戶研發(fā)時消耗本地系統(tǒng)資源。這種方法對USB等外設(shè)的管控能力較強，用戶數(shù)據(jù)存在本地通過加密進行存儲。但這類方法會造成系統(tǒng)資源的浪費，而且數(shù)據(jù)存在本地，存在數(shù)據(jù)丟失的風險。基于VDI架構(gòu)桌面虛擬化技術(shù)：基于VDI架構(gòu)桌面虛擬化技術(shù)采用“集中計算，分布顯示”的架構(gòu)，通過虛擬化技術(shù)，將所有辦公PC的運算合為一體，在服務(wù)器端進行集中處理，用戶數(shù)據(jù)集中存放在數(shù)據(jù)中心內(nèi)，員工采用云終端設(shè)備，僅負責輸入輸出與界面顯示，不參與任何計算和應(yīng)用，具有高效、綠色、安全、靈活等特點。相比于傳統(tǒng)物理硬件保護措施和基于本地計算資源的桌面虛擬化技術(shù)，基于VDI架構(gòu)桌面虛擬化技術(shù)的安全性、靈活性、高效性更加明顯，目前世界500強企業(yè)80%的研發(fā)團隊都選擇基于VDI架構(gòu)桌面虛擬化技術(shù)進行關(guān)鍵數(shù)據(jù)的管控。針對南瑞集團的研發(fā)云的項目將采用基于VDI架構(gòu)桌面虛擬化技術(shù)路線進行規(guī)劃建設(shè)。3.2 集成架構(gòu)云終端系統(tǒng)不會對其他信息系統(tǒng)進行功能上的改變，云終端系統(tǒng)將辦公資源集中到數(shù)據(jù)中心，用戶和業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)流完全在數(shù)據(jù)中心內(nèi)部進行交換完成，提升了其他信息系統(tǒng)的安全性，增加了對其他業(yè)務(wù)系統(tǒng)訪問速度。與傳統(tǒng)辦公類似，僅需要在云終端系統(tǒng)上集成各業(yè)務(wù)系統(tǒng)的插件或客戶端，即可完成對應(yīng)用軟件的集成建設(shè)。針對現(xiàn)有研發(fā)場景，云終端系統(tǒng)預(yù)先在模板上集中安裝研發(fā)工具及研發(fā)所需插件，統(tǒng)一研發(fā)工具版本，根據(jù)用戶研發(fā)場景及數(shù)量按需的通過模板統(tǒng)一生成，保證研發(fā)場景軟件標準化建設(shè)。對于特殊研發(fā)用戶，允許個性化更改研發(fā)工具及插件版本。3.3 物理部署 云終端系統(tǒng)建設(shè)方案充分考慮現(xiàn)有信息化系統(tǒng)架構(gòu)、研發(fā)用戶需求、設(shè)備利舊等方面因素進行設(shè)計，系統(tǒng)架構(gòu)主要分為用戶側(cè)、數(shù)據(jù)中心側(cè)兩部分。用戶側(cè)能夠利用傳統(tǒng)PC、瘦客戶機多種方式接入系統(tǒng)進行辦公，最大限度的利舊，避免資產(chǎn)浪費。 數(shù)據(jù)中心側(cè)建立云終端系統(tǒng)虛擬資源池，在資源池中建立虛擬機為云終端系統(tǒng)的連接服務(wù)、桌面發(fā)布、身份驗證、系統(tǒng)管理等服務(wù)提供硬件資源，并通過關(guān)鍵傳輸協(xié)議，保證了系統(tǒng)能夠在局域網(wǎng)內(nèi)提供服務(wù)，并提供海量的個人存儲空間（見圖1）。 圖1 云終端系統(tǒng)物理邏輯圖根據(jù)實際情況確認部署方式，建議采用分布部署，集中管理的方式進行云終端系統(tǒng)的部署，部署位置分散在各產(chǎn)業(yè)單位數(shù)據(jù)中心，建立標準的研發(fā)云終端系統(tǒng)的典型設(shè)計，統(tǒng)一服務(wù)器配置，形成研發(fā)云的系統(tǒng)標準規(guī)范。4. 運行機制公司桌面云項目實質(zhì)是對公司現(xiàn)有辦公模式和IT流程及運營的一次變革，涉及范圍廣、影響大，需要一個重量級的變革聯(lián)合項目組和端到端的解決方案。建立分層次協(xié)同運作的維護組織，實現(xiàn)桌面云的集中運維管理，桌面云維護組織納入原有IT維護體系。運維人員構(gòu)成可分為：業(yè)務(wù)軟件運維人員，基礎(chǔ)網(wǎng)絡(luò)維護人員，云平臺運維人員，和日常IT維護人員（見圖2）。 圖2 桌面云運維維護組織架構(gòu)基于ITIL運維管理流程建立桌面云的服務(wù)流程，保證問題的快速處理和業(yè)務(wù)的連續(xù)可用（1）業(yè)務(wù)發(fā)放 新員工與新調(diào)入研發(fā)員工可通過業(yè)務(wù)部門接口人提交相應(yīng)規(guī)格的虛擬機申請。 資產(chǎn)管理員審批合理申請后10分鐘內(nèi)用戶可用。 資產(chǎn)管理員定期創(chuàng)建備件池（30個VM）。 運營自動化支撐—自助資產(chǎn)申請和回收 實現(xiàn)資產(chǎn)申請和回收完全自動化。 （2）業(yè)務(wù)回收 離職工作確認表中增加云安全終端銷戶環(huán)節(jié)。 員工辦理離職時到項目組進行銷戶，并由項目組負責人簽字確認。（3） 瘦終端維修流程庫房定期將故障瘦終端列表反饋并把瘦終端返廠，定期與廠家分析瘦終端質(zhì)量問題，持續(xù)改進質(zhì)量。（4）數(shù)據(jù)遷移  業(yè)務(wù)部門、IT部門、搬遷工作組聯(lián)合運作。 小規(guī)模遷移演練，從方案設(shè)計、測試驗證每個環(huán)節(jié)進行演練，確保數(shù)據(jù)遷移安全快捷。  使用自動化用戶數(shù)據(jù)遷移工具：用于windows用戶從物理機遷移到虛擬桌面時，輔助用戶批量遷移大規(guī)模數(shù)據(jù)的工具。（5）完善的維護計劃日維護計劃  登陸檢測：每天對客服、安全生產(chǎn)、研發(fā)辦公場景在早上上班前維護人員使用測試虛擬機進行登錄測試；  重要用戶保障：每天早上上班前檢查重要用戶虛擬機狀態(tài)； 告警處理：每天查看告警以及事件，針對異常情況進行處理；  健康檢查：每天進行系統(tǒng)健康檢查，及時處理異常問題 。周維護計劃  系統(tǒng)優(yōu)化：每雙周對系統(tǒng)中產(chǎn)生的垃圾數(shù)據(jù)進行清理； 核心重要數(shù)據(jù)進行手動或自動備份。月維護計劃  備件庫存檢查：每月查詢備件情況； 預(yù)警整改：每月末對一個月以來發(fā)布的預(yù)警進行擇機處理。5. 結(jié)束語通過桌面云環(huán)境的實施，將建立基于企業(yè)“私有云” 架構(gòu)下的數(shù)據(jù)集中管控體系．使用戶可以擺脫繁瑣的操作，為用戶提供一個符合標準、安全高效、靈活易用的桌面系統(tǒng)，從而提升用戶感受。同時，可以從管理上提高可用性，實現(xiàn)安全訪問和靈活部署．建立可伸縮的虛擬基礎(chǔ)架構(gòu)，從數(shù)據(jù)中心到用戶桌面可實現(xiàn)全面可控的可用性、安全性和可管理性參考文獻：[1] 胡海飛.“私有云”架構(gòu)下終端安防體系的變革.信息安全與通信保密,2013.[2] 鐘博.安全桌面云計算架構(gòu)解決方案.信息安全與通信保密,2012. [3] 王勝杰.基于桌面云技術(shù)的規(guī)劃設(shè)計與應(yīng)用企業(yè)應(yīng)用集成. 科協(xié)論壇,2012. [4]朱玉珩 李微巍.企業(yè)桌面云計算應(yīng)用淺析.中國管理信息化，2012.撰稿人（執(zhí)筆人）：張海全 南瑞集團信息化建設(shè)運維中心