通信運營商桌面云運用探討

王 鄭，韓 焱，單聯春

（中國電信股份有限公司新疆分公司 烏魯木齊830011）

1 引言

云計算的到來對通信運營商來說意味著巨大的機遇，其長期積累的資源，包括龐大的網絡、IDC、運營支撐系統等基礎設施，包括用戶對網絡連接的高度依賴以及對網絡速度的渴望，隨著網絡的不斷提速、計算機開始淡化并逐步擴散到整個網絡，將使運營商在云計算時代具有得天獨厚的優勢，云計算的發展，將創造性地破壞當前的IT產業布局，延續互聯網革命，它可能帶來整個ICT產業的重構，云計算可能成為日后各大IT公司最強有力的選擇。然而，隨著平臺、一些基礎設施及軟件日益從交付項向服務演變，運營商需要在這個關鍵時期參與到變革進程中并且制定正確的IT投資，以期迎接未來全新的云計算模式。運營商必須視云計算為戰略機會，利用后發優勢，在同一技術起跑線上輕裝快跑。

2 定義

什么是桌面云，先看一下云計算的定義：將計算任務分布在由大量計算機構成的資源池上，使各種應用系統能夠根據需要獲取計算力、存儲空間和各種軟件服務云計算。云計算是一種互聯網上的資源利用新方式，可為大眾用戶依托互聯網上異構、自治的服務進行按需即取的計算，云計算的資源是動態易擴展而且虛擬化的，通過互聯網提供。桌面云是合乎上述云計算定義的一種云，是：“可以通過瘦客戶端或者其他任何與網絡相連的設備來訪問跨平臺的應用程序以及整個客戶桌面”。也就是說只需要一個瘦客戶端設備，或者其他任何可以連接網絡的設備，通過專用程序或者瀏覽器，就可以訪問駐留在服務器端的個人桌面以及各種應用，并且用戶體驗和使用傳統的個人電腦是一模一樣的。

3 桌面云價值

3.1 集中化的管理

（1）傳統桌面的管理

包括操作系統安裝配置、升級、修復的成本，硬件安裝配置、升級、維修的成本，數據恢復、備份的成本以及各種應用程序安裝配置、升級、維修的成本。

維護管理工作基本上需要在每個桌面上做一次，工作量大。對于需要頻繁替換，更新桌面的行業來說，工作量更大了，成本更高。例如對于培訓行業來說，經常需要配置不同的操作系統和運行程序來滿足不同培訓課程的需要，工作量大，而且需要經常進行。

（2）桌面云解決方案的管理

管理是集中化的，IT工程師通過控制中心管理成百上千的桌面云，所有的更新、打補丁都只需要更新一個“基礎鏡像”就可以了。對于上面所提到的培訓中心來說，管理維護就非常簡單了，只需要根據課程的不同配置幾個基礎的鏡像，然后不同的培訓課程的學員可以分別連接到這些不同的基礎鏡像，而且要做任何修改，只需要在這幾個基礎鏡像上進行就可以了，只要重啟桌面云學員就可以看到所有的更新，這樣就大大節約了管理成本。

3.2 安全性提高

安全是IT工作中一個非常重要的方面，一方面各單位對自己有安全要求，另一方面政府對安全也有些強制要求，一旦違反，后果非常嚴重。對于企業來說，數據、知識產權就是他們的生命，例如軟件企業中的源代碼等。對于政府部門來說，數據安全更為重要及緊迫。

（1）傳統桌面辦公的做法

許多公司的IT部門為此采用了各種安全措施來保證數據不被非法使用，例如禁止使用USB設備，禁止使用外部電子郵箱等。

（2）桌面云解決方案的機制

所有的數據以及運算都在服務器端進行，客戶端只是顯示其變化的影像而已，所以再不需要擔心客戶端非法竊取資料。其次，IT部門根據安全挑戰制作出各種各樣新規則，這些新規則可以迅速地作用于每個桌面。

3.3 應用更環保

傳統個人計算機的耗電量大，每臺傳統個人計算機的功耗在200 W左右，即使它處于空閑狀態時耗電量也至少在100 W左右，按照每天10 h，每年240天工作來計算，每臺計算機桌面的耗電量在480度左右。在此之外，為了冷卻這些計算機使用產生的熱量，還必須使用一定的空調設備。

桌面云解決方案的每個瘦客戶端的電量消耗在10 W以內，加上云端的每用戶服務器硬件能耗，不超過50 W/用戶，能耗大大減少。

4 桌面云主要應用場景

4.1 個人桌面

個人桌面主要指配備給公司員工用于日常辦公的個人電腦，由于在管理上、技術手段上的不足，終端覆蓋范圍不夠，推廣效果有待加強。

4.2 混用桌面

公司社會用工人數眾多，流動性大，工作時間、地點不固定，同時，由于公司辦公場地緊張、成本控制等方面的限制，很難做到為每位社會用工配置個人桌面，混用桌面現象普遍。各營業廳的大客戶經理也存在桌面混用的情況。

混用桌面問題：辦公效率不高；個人數據缺乏安全保障；使用、維護混亂，安全漏洞多，易遭受病毒/木馬攻擊；故障幾率高，維修周期長。

4.3 代維桌面

代維桌面指信息化系統相關廠家的開發、維護人員在運營商工作時所使用的電腦。

代維桌面隨意接入運營商的局域網，易引發病毒、木馬的傳播，同時，代維人員日常工作涉及對后臺系統大量的訪問，易發生操作失誤、公司重要信息泄密等事件。

4.4 涉密桌面

涉密桌面是指存儲公司相關秘密信息，并可以接入公司局域網的桌面。

目前對涉密桌面的管理缺乏相應的技術手段，對其中所存儲重要文檔信息的安全保障有待加強。

4.5 呼叫中心桌面

實現呼叫中心整潔辦公、節能減排、集中維護管理、集中監控和軟件部署。

4.6 營業廳桌面

實現營業廳的整潔辦公、集中維護管理、集中監控和軟件部署。目前，全國各省的通信運營商營業廳終端數量都在數千臺以上，如果統一使用桌面云方式，將大大節約維護成本。

5 桌面云邏輯圖

桌面云解決方案可以分成7個邏輯部分：云終端、接入控制、桌面會話管理、云資源管理及調度、虛擬化平臺、運維管理系統和硬件，如圖1所示。

6 實際應用部署方案

桌面云解決方案的系統架構如圖2所示。

6.1 云終端

云終端是指接入桌面云的終端，有Remote User和LAN User兩種類型。

Remote User：指通過廣域網來連接桌面云的用戶，這類訪問方式基于安全的需要，一般需要配置防火墻和接入網關等安全設備。

LAN User：指通過局域網來連接桌面云的用戶，這類訪問方式屬于內部網絡訪問，可以直接使用云終端訪問桌面云。

6.2 接入控制

對終端接入進行控制，包括接入網關、防火墻等安全設備。

Firewall：該部件主要是對從廣域網接入桌面云的訪問進行控制。

Access Gateway：接入網關用于保證遠程用戶連接的安全性，并且在用戶接入桌面云時，無需使用客戶端代理程序，極大地提升了終端用戶的體驗。

Web Interface：負責顯示基于Web的界面，讓用戶看到自己可用的桌面云。用戶在界面上輸入登錄的賬號密碼后，負責到IT的AD系統進行鑒權。

6.3 桌面會話管理

桌面會話管理主要完成桌面云的接入控制與會話管理的功能，主要包括 Desktop Delivery Controller、License Server、Data Store、Web Interface Adapter、IT Adapter 等 主要部件。

Desktop Delivery Controller：即桌面傳輸控制器，安裝在數據中心的服務器上，負責新桌面云的注冊，將桌面云的請求指向可用的系統以及代理用戶和桌面云之間的連接。它控制桌面的狀態，根據需要和管理配置啟動和停止桌面云。

License Server：是桌面云License的管理與發放系統，負責桌面云License的發放。

Data Store：即數據存儲服務器，用于存儲桌面云的數據 ，包 括 IT Adapter、Web Interface Adapter和 Desktop Delivery Controller所需要的數據。

Web Interface Adapter：為Web Interface的輔助邏輯部件，輔助完成啟動和重啟虛擬機的功能。

Enterprise Assets Management：即企業資產管理部件，該部件為一個可選部件，當桌面云是一個租賃桌面云時，需要該部件，主要與運營商的運營系統對接，并把消息分發給相應的IT Adapter（每個租用的企業有一個IT Adapter）。

IT Adapter：即IT適配器，是桌面云解決方案中對IT資產管理系統提供的接口。IT系統可通過IT適配器完成對桌面云的虛擬機管理、虛擬機鏡像管理、虛擬機分配管理、系統運行維護管理等操作。

6.4 云資源管理及調度

云資源管理及調度主要是對各種云物理資源進行管理，在創建虛擬機時，為虛擬機分配相應的虛擬資源，同時完成各種業務的計費功能。

Computing Resource Manager：即計算資源管理器，主要完成對本集群內物理計算資源的管理，為每個虛擬機分配相應的虛擬計算資源，在一個計算集群內，計算資源是共享的，虛擬機可以從一個物理計算節點遷移到另一個物理計算節點。

Block storage Resource Manager：即塊存儲資源管理器，主要完成對本集群內存儲資源的管理，為每個虛擬機分配相應的存儲資源。

Elastic Service Controller：即彈性服務控制器，主要完成整個桌面云的資源管理與調度，它不涉及集群內的資源管理，只負責集群間的資源管理與調度。

Billing：用來完成桌面云各種業務的計費功能，該模塊的功能在桌面云系統中可選。

Image Server：存放不同的操作系統鏡像，在制作虛擬機時可以通過這些鏡像為虛擬機安裝不同的操作系統。

6.5 虛擬化平臺

虛擬化平臺完成對各種物理資源的虛擬化，為虛擬機提供各種虛擬資源。

Computing Node Agent：即計算節點代理，是提供真正計算資源的部件，通過虛擬化平臺，把這些物理計算資源虛擬化為虛擬計算資源，供虛擬機使用。多個計算節點組成一個計算集群，在集群內，計算資源是共享的。

SAN：即存儲區域網絡，是提供真正存儲資源的部件，為每個虛擬機提供相應的存儲資源，通過標準的iSCSI接口供虛擬機使用。

6.6 運維管理系統

運維管理系統包括桌面云的業務運營部分和系統的維護管理部分，其中桌面云的業務運營部分由運營人員直接通過Web的方式來進行業務發放，系統的維護管理則由操作維護子系統來完成。

OMS（operation and maintenance subsystem，操作和維護子系統）主要完成桌面云基礎設施的維護管理功能，包括業務節點的安裝部署、節點性能監控、配置管理等功能。

7 桌面云安全

7.1 桌面云與傳統桌面終端的異同

由傳統的桌面終端遷移至桌面云，用戶的接入方式、應用訪問模型都會發生較大的改變。

傳統桌面終端與桌面云的相同點如下：

·同樣面臨用戶身份、終端管理和訪問控制的問題；

·同樣面臨桌面安全的問題；

·同樣面臨數據保護和防泄漏的問題；

·傳統的終端安全控制手段在桌面云中同樣適用，例如：利用802.1x或接入網關實現的桌面終端接入認證和控制、微軟RMS桌面權限管理服務系統等。

傳統桌面終端與桌面云的不同點如下：

·用戶的訪問模型由二層（終端→應用）變為3層（客戶端→桌面云→應用），這意味著身份管理和訪問控制由終端延伸至客戶端、桌面云;

·用戶數據由分散（終端）到集中（桌面云），既帶來集中數據的安全保護問題，但桌面云的集中可控，又使得對客戶端的外設管理、惡意代碼防護、補丁管理和桌面行為審計等大大地簡化；

·桌面云在傳統的操作系統之下引入了新的虛擬化層，帶來新的安全風險。

因此，桌面云的安全性有別于傳統的桌面終端安全，既有有利之處，也引入了新的威脅和脆弱點。虛擬安全應用的功能包括常見的防火墻、IPS功能以及惡意代碼防護、完整性監控和日志分析等增強功能。其部署既可按照傳統的桌面終端防護方式給每個桌面云安裝防護軟件，也可安裝一個實例在物理服務器上，通過服務器虛擬化軟件提供的安全API接口對該物理服務器上的所有桌面云進行防護，二者所提供的功能是一致的。且后者不僅可對在線桌面云進行防護，也可對離線的桌面云存儲文件進行掃描和防護，既提升了管理效率，又極大地提升了桌面云環境整體的安全性。

7.2 桌面云的安全問題

（1）數據安全防護

采用桌面云架構，將分散的數據從傳統終端集中到了數據中心的桌面云側。一方面這給安全管理帶來了極大的方便，使得類似補丁管理、惡意代碼防護等工作得到了極大的強化，但另一方面，集中的數據也對防泄漏、備份提出了更高的要求。

（2）數據防泄漏

在數據防泄漏這一點上，桌面云環境下與傳統的桌面終端環境沒有太大的區別，只不過其覆蓋范圍需要從終端＋數據源擴展至接入客戶端＋桌面云＋數據源上，但考慮到由于桌面云到接入客戶端傳輸的數據只是包含用戶操作屏幕的變化，而不包括具體的應用數據或資料，因此桌面云的數據不易泄漏到接入客戶端上。接入客戶端惟一可慮的泄漏渠道在接入客戶端的外設，如USB存儲、打印設施等，而這可以通過在桌面云端傳統的數據防泄漏手段來進行控制。

8 軟件解決方案

8.1 Windows終端服務器

WBT （Windows based terminal server，Windows終端服務器）是瘦客戶機/終端服務器模式下的一種基于Windows操作系統平臺的客戶端設備。

其應用模型是：應用程序的配置、管理、執行都100%在服務器端進行，客戶端僅作為一種輸入輸出的設備。

它要求有一個多用戶操作系統，以允許多個用戶同時登錄到一臺服務器并運行服務器上的應用，還需要一個Windows遠程顯示協議，能夠把應用的邏輯執行和它的用戶界面分離，只需鍵盤、鼠標和屏幕將更新的數據在網上傳送，因此，應用軟件的執行需要較小的帶寬。

這種應用模型不需要重寫應用或從服務器端下載，客戶可以完全訪問服務器端的Windows應用，這意味著對原有的硬件、網絡、應用投資的超值回報。因此，瘦客戶/服務器應用模型成為企業降低復雜性和總擁有成本 （TCO）的最可靠的方法,但是用戶基本上無法更改應用程序的設置，無法定制化自己需要的應用。

8.2 基于虛擬機的方式

基于虛擬機（VM）的方式是指服務器上面劃分出許多虛擬機，每個桌面都單獨運行在一個VM中，這樣許多用戶在共享一臺服務器的同時相互之間對計算資源的占用又是互相分開，不會互相影響的。另外許多云計算提供商提供CPU的過度承諾技術和內存的過度承諾技術，使得一臺服務器上面運行的VM大大超過服務器的CPU內核數和內存總數。

客戶端擁有一個虛擬機，在這些虛擬機中運行的桌面是通過網絡傳遞過來的，它可以離線使用，所以在最初使用的時候需要把整個桌面都通過網絡傳遞過來，花費的時間要比本地流長。在需要的時候，這些桌面可以連接到公司網絡進行系統操作、應用程序以及用戶數據的同步、安全升級等工作。在這種模式下，用戶既可以移動辦公，同時他們所使用的桌面又處于公司統一的 IT策略的監管之下，數據也得到保護，即使遺失，也可以迅速恢復已同步的數據。所以這種模式對于那些經常需要出差的銷售人員、咨詢顧問等特別適合。

（1）VMware View 組件

VMware View是涵蓋從數據中心到桌面的緊密集成式解決方案，旨在以托管服務的形式交付桌面。借VMware vSphere與VMware View緊密集成，并充當后者的平臺。借助它，組織可以將業界領先的虛擬化平臺的優勢延伸到桌面。

VMware View Manager是一個企業級連接代理，可以簡化虛擬桌面的管理、調配和部署。利用VMware View Manager，可通過單個控制臺集中、安全地進行桌面管理。VMware View Composer可幫助將存儲成本降低多達70%，同時簡化映像管理。它利用VMware鏈接克隆技術來讓主桌面映像發揮最大效用，一次可自動創建和更新數以千計的虛擬桌面。

（2）Citrix的桌面云解決方案

CitrixHDX是一整套幫助提升桌面虛擬化終端客戶體驗的技術。業內最為知名已有20年發展歷史的ICA協議也被包括在該系列技術中。ICA協議從窄帶時代發展而來，相對于 RDP／RDS、PColP、RGS等其他協議，它對帶寬資源的占用最節省，正常狀態下平均每個用戶僅占用20 kbit/s左右的帶寬，可以支持任何網絡環境下的桌面云。

HDX將先進的優化技術與ICA協議結合，形成HDX網絡優化技術。此外還提供HDX數據中心優化技術、HDX終端設備優化技術，覆蓋了從數據中心到客戶端設備的各種Citrix現有產品，增加了針對多媒體、語音、視頻和3D圖形的改善功能。HDX共有6個類別，它們協同工作，在各種用戶情境下提供桌面云的最佳使用體驗,包括HDXMediaStream 媒體流技術 、HDXRealTime、HDX 3D、HDX即插即用、HDX廣播、HDX智能緩存。

作為設備端HDX技術的載體，CitrixReceiver簡單得像衛星和有線電視接收器一樣。正因為有它，才能實現桌面云中用戶可在任何時間、地點，通過任何設備訪問后端的云。當所有桌面計算和存儲被虛擬化到后臺，終端設備只要安裝了CitrixReceiver，就無需考慮該設備的類型，無論是辦公室PC、家庭Mac機，還是iPhone都不再有區別。

9 使用感知

·使用習慣發生變化，如鼠標/鍵盤操作不如本地操作敏捷；屏幕畫面質量與PC機存在差距；U盤無法直接使用、數據拷貝受限。

·組織結構和流程變化，新入職省公司員工只需要申請OA賬號，原則上不再配手提電腦，只配TC，出差時需走流程借用部門公用的手提電腦。

·初期實施內部投訴會增加，桌面云部署初期，因技術與管理還在不斷完善中，兼容性、使用習慣等問題會招致內部投訴增加。

·音視頻質量存在問題，語音可能存在延遲、視頻可能會出現比較卡的情況，尤其針對高清視頻質量廠商目前還沒有好的解決方案。

·無法滿足不同用戶的大量的個性化需求。

·在云桌面中使用某些Web應用，可能會導致系統響應時間變長。

1 IBM桌面云解決方案.http://wenku.baidu.com/view/80142 bd 43186bceb19e8bbd1.html

2 桌面云：云計算在前端的體現.http://www.chnsourcing.com.cn/outsourcing-news/article/5919.html

3 Cloud computing.http://en.wikipedia.org/wiki/Cloud_computing

4 陳國良，孫廣中，徐云.并行計算的一體化研究現狀與發展趨勢.科學通報，2009，54（8）:1 043～1 049

5 范昊，余婷.一種新型的網絡分布式計算——云計算，2008

6 石磊，鄒德清，金海.Xen虛擬化技術.武漢：華中科技大學出版社，2009

7 SUN.云計算架構介紹白皮書（第1版）.http://developers.sun.com.cn/blog/functionalca/resource/sun_353cloudcomputing_chinese.pdf

8 張亞勤.與云共舞——微軟云計算的新進展.中國計算機用戶，2009（2）：12～13

9 英特爾開源軟件技術中心，復旦大學并行處理研究所.系統虛擬化：原理與實現.北京：清華大學出版社,2009

10 陳海波.云計算平臺可信性增強技術的研究.復旦大學博士學位論文，2009

11 毛文波.云計算安全.http://blog.pconline.com.cn/article/334526.html

12 IBM.新興安全性技術趨勢展望.http://www-935.ibm.com/