虛擬化技術研究及在遼河油田桌面辦公中的應用

[摘 要] 2012年是“云計算”概念及應用前景正式提出十一周年，“云”已經從一個模糊的概念變成了整個信息產業清晰的發展方向，桌面虛擬化產品經過幾年的應用提升，技術已經成熟。桌面云系統可以讓客戶通過瘦客戶端或任何其他與網絡相連的設備來訪問跨平臺的應用程序，從而改變了用戶原先分散、獨立且難以管理的辦公環境，讓管理者在云桌面系統中就可以完成所有的管理維護工作。遼河油田公司根據自身的業務特點，經過充分的研究與測試，采用業界先進的VMware虛擬化技術，在油田機關單位推廣實施云桌面系統，并完成了移動辦公平臺的搭建，實現了安全性高的標準化桌面辦公系統，為油田經營管理水平的提高打下了堅實的基礎。

[關鍵詞] 計算機應用； 云桌面； 移動辦公； 架構

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 15. 037

[中圖分類號] TP317.1 [文獻標識碼] A [文章編號] 1673 - 0194（2013）15- 0059- 04

1 云計算的需求

2011年3月，集團公司統一推廣的ERP系統在遼河油田公司正式單軌運行，該系統的培訓用戶達到4 600人，在項目上線之初，有許多單位提出了購置計算機的申請，也有單位在修舊利廢的基礎上進行了調劑使用，這也帶來了一些問題，如果每上一個系統就給用戶配置一臺計算機，這將需要一筆很大的配套投資，隨著集團公司統一推廣項目的增多，將會配置越來越多的計算機。其實，這些配置的計算機大部分使用效率不高，這不僅存在著浪費，而且也給配置后的運維增加了成本，更與當前提倡的建設資源節約型、環境友好型企業的發展理念相違背。遼河油田目前在冊的計算機大約有3萬臺，有1/3面臨淘汰，如果每臺按照普通的配置價5 000元計算，將有5 000萬元的投資，按照五年淘汰制，每年仍需1 000萬元進行計算機的更換，這還不算使用中的運維費用，所以上系統，配計算機，需要企業投入很大的資金，在目前信息化效益測評還不完善的情況下，這種信息化的建設路徑與時代的發展不符，必須尋求一種既管控有效，又符合信息需求的信息系統建設的解決方案。在這種背景下，遼河油田選擇了當今流行的云桌面技術，實施云桌面系統解決油田實際的問題。

2 云計算簡介

云計算的基本原理是使計算分布在大量的分布式計算機上，而非本地計算機或遠程服務器中，企業數據中心的運行將與互聯網更相似。這使得企業能夠將資源切換到需要的應用上，根據需求訪問計算機和存儲系統。這是一種革命性的舉措，所謂的數據中心就是一個“算廠”，需要計算時將要求通過網絡傳到算廠，算廠通過自動調用計算能力快速得出結果再傳回終端。云計算的藍圖是：在未來，只需一個瘦終端，就可以通過網絡服務來實現所需要的一切，甚至包括超級計算這樣的任務。

云計算有廣義和狹義之分。廣義云計算是指服務的交付和使用模式，指通過網絡以按需、易擴展的方式獲得所需的服務。這種服務可以與IT、軟件和互聯網相關，也可以是任意的其他的服務。

狹義云計算是指IT基礎設施的交付和使用模式，指通過網絡以按需、易擴展的方式獲得所需的資源（硬件、平臺、軟件）。提供資源的網絡被稱為“云”?！霸啤敝械馁Y源在使用者看來是可以無限擴展的，并且可以隨時獲取，按需使用，隨時擴展。這種特性經常被稱為像使用水電一樣使用IT基礎設施。遼河油田云桌面系統就是基于狹義云計算的內涵來開展的，所采用的服務方式為IaaS（Infrastructure as a Service），其最大優勢在于允許用戶動態申請或釋放節點。

3 云桌面技術的研究

云桌面，就是桌面虛擬化技術，是一種基于服務器的計算模型。其優點是：將所有桌面虛擬機在數據中心統一管理，同時用戶能夠獲得完整的PC使用體驗。云桌面最大的好處在于能夠使用軟件從集中位置來配置PC及其他客戶端設備，這樣方便了企業用戶集中管理計算機，運維部門可以在數據中心加強對應用軟件、系統補丁、殺毒軟件的管理和控制。云桌面的實現方法主要有遠程托管桌面、遠程操作系統、本地虛擬操作系統等3種。

業界虛擬化廠商主要有VMware、Microsoft、Citrix等幾家公司，在桌面虛擬化產品中，VMware、Citrix占有云桌面市場大部分的份額。

VMware View Enterprise版本包括服務器虛擬化平臺（vSphere）、vCenter Server以及View Manager、View Composer、ThinApp、Local Desktop。VMware使用的是PCoIP的協議，基于用戶數據報協議（UDP），以實現處理豐富內容的高性能，PCoIP可以利用服務器CPU進行圖形渲染。PCoIP代表著微軟RDP應用所取得的重大突破。VMware通過內置于View專業版本中的ThinApp可以創建和部署虛擬應用程序。ThinApp作為一款應用程序虛擬化工具不包含任何應用交付機制。ThinApp無需代理，并且從客戶的反饋中可以看出，無代理技術的管理和部署更加容易。

Citrix XenDesktop VDI是一套桌面虛擬化解決方案。Citrix XenDesktop包括Desktop Delivery Controller、XenServer和Profile Manager。企業版本還包括XenApp、Citrix Essentials for XenServer、Desktop Studio、Desktop Director 以及3D圖形支持。主要的技術是使用了獨立計算架構（ICA）協議，連同Citrix高清用戶體驗（HDX）技術一起使用。通過ICA/HDX，網絡管理員可以在一定的延時之內（150毫秒）對協議如何在網絡中工作進行優化和調整。Citrix也擁有應用程序虛擬化和應用程序流產品，就是由XenApp所提供的功能。

油田機關辦公網絡使用油田專網，終端用戶實現百兆網絡到桌面，網絡情況較好。對比上述兩種云桌面技術特點，我們選擇了VMware虛擬化技術來設計遼河油田云桌面辦公系統的架構，系統用戶在局域網范圍使用，結合以往的虛擬化軟件的應用情況，選擇VMware View 軟件進行桌面虛擬化實施與管理。

4 云桌面應用適合的場景

云桌面系統適用于標準化桌面、安全性要求高的場景，有些場景是二者的疊加，并不互相獨立。

4.1 標準化桌面場景

標準化的辦公環境，特點是用戶使用統一的標準桌面，所有應用程序通過后臺由系統管理員統一安裝管理，終端用戶只有使用權限。該場景主要應用在呼叫中心、物業服務、銀行營業大廳等場所。云桌面可以支持局域網本地的客戶接入，也可以支持遠程客服的遠程工作模式，客戶端遠程登錄速度和可用性大大提高，確保了業務連續性。與此同時，應用系統的集中部署和管理安全高效，杜絕信息流失隱患，員工無法隨意帶走客戶信息。從而為用戶打造一個綠色、高效的標準辦公環境中心。

4.2 安全性要求高的場景

安全性高的辦公環境，特點是用戶各種文件通過權限控制，防止信息被非法拷貝、泄露。該場景主要應用在科研設計、程序開發、涉密管理等辦公環境。通過部署桌面虛擬化技術，可以將客戶端和管理權限上收，使得運維權限可管理，并全面解決運維操作中的安全管理、口令管理和錄像審計。除限制USB接口、網絡共享等安全策略外，也可以更好地解決數據中心管理中應用部署、接入控制、安全性以及應用和用戶監控等問題。同時終端設備不保留數據，設備損壞或丟失沒有泄密風險。

5 遼河油田云桌面的架構體系

遼河油田機關單位辦公桌面使用的是中油統建以及部門自建的各種應用系統，涉及勘探開發、經營管理等相關業務，具有系統標準化和安全性高等特點，所以云桌面既要配置標準化應用程序，又要充分考慮系統運行安全性。遼河油田云桌面硬件系統采用3臺思科UCS 5108服務器，10個B250M2刀片分布在3個刀箱中；UCS服務器通過6248互聯交換機實現內外部的互聯；1臺HDS AMS2500存儲陣列使用8G FC接口上聯至SAN交換機MDS9148；6248通過萬兆網絡與現有的遼河油田核心交換機互聯，實現桌面終端和后臺系統的互聯；同時配置了移動審批組防火墻，使用了2臺USB HUB搭建UKEY認證管理系統，進行移動辦公的人員UKEY身份識別；前端采用瘦客戶機并配置三星22寸液晶顯示器共500套，硬件系統架構如圖1所示。

云桌面軟件架構采用VMware 虛擬化技術進行部署，實現了“IT 即服務”交付。VMware View Manager是桌面連接代理，按需使用vCenter Server服務部署虛擬機，用各個組件來管理云桌面功能的集合。其中View Administrator是基于Web 界面的一種應用程序，用于部署和管理桌面、控制用戶身份驗證、啟動和檢查系統日志并具有分析功能。View Agent安裝在客戶虛擬機、物理系統或終端服務器上，View Manager通過它進行終端管理。View Composer是一種軟件服務功能，可安裝在vCenter Server 主機上以便可以使用，View Manager從單個集中式基礎映像中快速多個鏈接克隆桌面。View Client是本地安裝程序，連接每個云桌面。Client with Local Mode 是允許用戶下載或遷出虛擬機然后在本地系統中使用這些虛擬機的一項功能。View Portal可以使用View Portal 網頁具有Windows或Mac 操作系統的計算機下載完整的View Client安裝程序。ThinApp通過將應用程序隔離并封裝為 EXE 或 MSI 文件，將其從操作系統分離出來，實現在單個操作系統上不沖突運行應用程序的多個版本。虛擬化打印，無需驅動的打印。VMware vCenter Server單個控制臺統一管理數據中心的所有主機和虛擬機，該控制臺聚合了集群、主機和虛擬機的性能監控功能，使管理員能夠從一個位置深入了解虛擬基礎架構的集群、主機、虛擬機、存儲、客戶操作系統和其他關鍵組件等所有信息。VMware vSphere是將操作系統從運行它的底層硬件中抽離出來，并為操作系統及其應用程序提供標準化的虛擬硬件，可使多個虛擬機同時在一個或多個共享處理器上獨立運行的一個程序。Cisco Nexus 1000V 是 Cisco Nexus 交換機的純軟件實現，使用它可以確保數據中心的虛擬機都能獲得基于策略的一致網絡功能。 Cisco Nexus 1000V 可與 VMware vSphere 集成，以提供 VN-Link 和支持虛擬機的網絡服務。整個軟件系統架構如圖2所示。

6 實施過程中的建議

云桌面系統實施前期方案十分重要，根據VMware最佳設計和實際用戶的具體需求，提前做好VMware View 詳細架構設計和規劃，作為正式實施的依據。主要包括整體架構設計、網絡設計、存儲設計、主機和群集規劃、桌面池規劃、桌面模板的具體設計、各種系統應用規劃設計等，其中比較重要的包括以下內容。

6.1 云桌面配置

按照不同的操作系統配置相應的CPU和內存，建議WinXP的用戶CPU配置1核vCPU，內存配置2G，Win7的CPU配置1核vCPU，內存配置3G；安裝的VMware Tools必須安裝與ESX/ESXi版本匹配的VMware Tool；顯示設置屬性調整為最佳性能；禁止服務Windows Update， Windows Index；關閉系統恢復、關閉屏幕保護、關閉顯示特效；適當限制外網出口權限等。

6.2 存儲配置

根據虛擬用戶的IOPS實際情況結合存儲的性能進行存儲規劃設計，普通的桌面用戶按照30個IOPS計算，實施模式采用鏈接克隆模式，副本文件規劃采用固態盤，提高整個存儲的性能，普通的SAS盤可采用Raid 5 或Raid1+0模式，提高讀寫性能。

6.3 網絡配置

根據用戶的數量進行VLAN劃分，采用DHCP進行桌面的網址分配，減少每個VLAN的桌面數量，這樣可以減輕由于桌面網絡故障造成的影響范圍；設置桌面IP的保留時間為999天，同時加載禁止修改云桌面的網絡設置策略，這樣可以固定桌面IP，方便網絡管理。

7 后期運維的建議

云桌面系統集中運維，首先制定“云桌面使用管理辦法”，對運維人員進行信息安全教育，防止重要信息泄露，在VC和VCS中劃分好權限，進行桌面分區管理；根據中國石油信息安全的相關規定，主要是限制用戶的一些日常辦公行為，具體運維工作包括：

（1） 監控當前存量桌面系統的運行特點，收集CPU、內存、磁盤I/O、網絡I/O和應用軟件的清單以及使用率，為日常運行打下基礎。

（2） 發現桌面應用消耗資源的峰值，及時調整系統的配置參數。

（3） 評估服務器、網絡和存儲等硬件資源需求，進行后期的系統擴容。

（4） 特殊的用戶應用，現場調試推廣。

（5） 標準桌面統一安裝UKEY、SEP、VRV等信息安全管理軟件，在AD域控中添加了密碼安全策略，保證符合中國石油信息安全的管理規定。

8 項目方案的效益分析

云桌面改變了傳統PC的架構模式，通過虛擬化技術完成個人計算機的辦公應用，實施后效益分析如下：

（1） 實施成本。云桌面系統的后臺服務器、存儲系統、虛擬化軟件、瘦客戶端的一次性購置成本較高，如果規模小于1 000個桌面，成本高于PC的成本；實施規模在1 000個桌面以上，平均成本會攤薄減少。

（2） 設備新增搬遷成本。員工新入職或者搬遷直接的系統上線時間需要10分鐘左右，而傳統PC機需要1天，并且新增瘦客戶端價格更低，使用壽命是PC機的2倍。

（3） 維護成本。后臺運維人員不需要現場管理，大多問題通過后臺直接處理，運維效率成倍提高，大大節約了人力成本。

（4） 能耗分析。傳統PC功率一般在200W以上，瘦客戶端在25W左右，雖然服務器的計算壓力會帶來一定程度的耗電量的上升，但是與客戶端的大數量相比能耗更少，能夠實現綠色辦公。

（5） 間接效益。所有數據和計算都發生在數據中心，系統傳遞的只是最終運行圖像，增加了安全性；通過配置不允許下載到客戶端，防止泄露機密信息。訪問桌面終端設備靈活多樣，可以是PC、瘦客戶端、ipad、手機等設備；用戶可以遠程訪問桌面系統，只要網絡暢通就可以實現移動辦公。這是普通PC模式無法比擬的。

9 結 語

2012年2月系統開始正式實施，通過2個多月的系統安裝調試，搭建了VMware vCenter、View Composer、View Connect Server以及微軟AD、DNS、DHCP等后臺控制管理服務器，并完成了云桌面及相關策略的部署工作，經過多種應用系統的實際測試，提交給相關單位進行培訓及試運行，現已在機關單位500個用戶中推廣應用，具體應用包括兩個方面。

（1） 實施云桌面系統。遼河油田云桌面安裝了Windows XP和Windows 7兩種操作系統，結合遼河油田的業務具體情況，部署了中石油ERP、USB Key、辦公系統以及其他集團公司推廣應用的標準桌面系統，設定了安全保護等一系列的策略。

（2） 延伸搭建移動辦公平臺。搭建了運營商提供的與互聯網隔離的APN專線，通過防火墻進行地址轉換和安全訪問控制；采用網絡地址唯一的設備安全認證技術，使用了具有網絡地址的USB HUB作為UKEY的集中管理設備，利用iPad等外設使用云桌面，實現了真正的移動辦公平臺。

主要參考文獻

[1] 楊文志. 云計算技術指南：應用、平臺與架構[M]. 北京：化學工業出版社，2010：38-40.

[2] 張銘芮. 圖說云計算發展的幾個關鍵問題[J]. 中國信息界，2012（2）：24-25.

[3] 張永民. “智慧中國”關鍵技術的研究（下）[J]. 中國信息界，2012（2）：10-14.