桌面虛擬化系統基礎架構設計

關兆雄

(廣東電網有限責任公司 佛山供電局， 佛山 528000)

0 引言

桌面虛擬化系統需要解決的企業發展現實問題是，通常在任務流程中，企業的標準化PC機都需要頻繁的做系統升級，以提高系統的安全性和可操作性，但在PC機升級的時候，就會導致PC機被占用而無法并行的完成生產任務的困境，給企業的生產效率以及設備維護帶來了巨大的麻煩。[1]桌面虛擬化管理系統就是出于一種集中式管理的辦法，力圖在最短的時間內完成企業所有PC機的更新工作。

除了PC機升級系統的需求以外，隨著現代企業的信息化建設水平越來越高，企業內部需要管理的PC機也就越來越多，而且問題也會越來越難以發現，因此而復雜。一臺設備出現問題，很可能會由聯網效應造成企業的大規模癱瘓。因此如何在企業網絡系統中出現故障的時候，快速定位到出問題的設備，也就是如何提高發現故障的響應能力，也是以集中模式管理大型PC設備的桌面虛擬化系統需要解決的問題。[2]

從系統的維護角度出發，隨著PC機數量的大幅度上升，網絡系統的維護人員不僅僅需要面對的是對單個PC機的故障排除，同時還需要對整個操作系統環境、應用的安裝配置和更新進行桌面管理和維護，而且隨著PC機用戶數量的上升，網絡維修所需要的數量以及頻率也會上升，一方面給技術人員帶來巨大的麻煩，同時按照傳統的維護模式也會降低維護的效果和效率。[3]

從信息安全的角度，PC機數量的上升會增加企業內部信息安全隱患，即容易出現信息泄露的危險。[4]因此桌面虛擬系統也能以動態的方式隨時調取并且監控每臺PC機的數據庫，包括重要信息不會出現流失的危機。

1 桌面虛擬化系統基礎架構設計

桌面虛擬化系統的設計理念是用一種集中式的數據管理辦法以提升企業網絡信息的連續性及穩定性。[5]虛擬化系統從總體設計的架構的角度，對物理服務器、網絡鏈路(物理及邏輯鏈路)及相關軟硬件資源均采用冗余的設計方式，同時為便于管理，將資源池邏輯劃分為資源管理池及資源承載池兩部分。[6]以下將對一些主要的設計進行介紹：

1.1 物理服務器架構設計

虛擬化系統的資源管理池和資源承載池的設計參數，如圖1所示。

用途型號配置數量(臺)虛擬化資源管理池聯想RD6302*6C2.5GHz16G內存2*300G15K硬盤2個8GB單口HBA卡4虛擬化資源承載池浪潮NF8560M4*8C主頻2.0GHz256G內存2*300G15K硬盤6個電口2個8GB單口HBA卡50

圖1

對于每一個子部PC機，為了統籌控制，必須都要在服務器的最底層安裝VMware vSphere，接著經過VMware vCenter以物理層的方式把數據信息匯總到數據中心，以便于集中管理。[7]

高可用及動態資源分配(DRS)功能能夠實現集群內各主機的自動資源調配，將虛擬機從負載高的主機上自動遷移到其它負載低的主機上，保證各主機資源合理利用。其中對于虛擬化系統的管理池會安排4臺聯想的服務器，以實現連接用戶提供統一認證、單點登錄及DNS等服務。[8]

1.2 網絡設計

從總體上，桌面虛擬化系統會按照Block把所有的虛擬桌面分到10個C類網絡的VLAN中。虛擬化的服務器是經過匯聚層來和核心的交換機保持信息聯系，具體結構安排，如圖2所示。

從服務器的IP設計方面，會根據具體的用途分成虛擬桌面、虛擬服務器、物理終端等等。而且為了更加方便的進行統一的規劃，所有的服務器IP地址都要按照C類的地址段來書寫。[9]同時結合企業PC機數量十分大的特點，為了更加容易的進行整體設計以及技術規劃，最宜把桌面資源池中每5臺物理服務器劃分成一個群集，用群集的方式來進行管理能夠讓虛擬化系統的界面管理變得更加清晰。

圖2

1.3 虛擬桌面設計

為便于管理及性能優化考慮，將view使用的10組浪潮服務器劃分為10個邏輯單元。每個邏輯單元包含完整的view環境，由管理服務器、虛擬桌面、物理服務器等組成。部署10套view環境的其中一個重要的考量因素，是通過這個方式能夠有效的緩解過程故障，即把故障得到分解，不至于出現整體失控的現象。其中，虛擬桌面服務器的配置表，如圖3所示。

為了避免本地PC出現信息泄露現象，桌面虛擬化管理的一大優勢是把本地的信息進行集中式的存儲，也就是說，從物理層的意義上，本地PC上是不存放任何文件的。感覺上會有些類似于windows的遠程桌面，但內部的設計結構和涉及到的協議都不一樣。[10]

為了進一步提高桌面虛擬化系統的安全性，會借助于防火墻的技術來防止信息泄露，比如會在內部協議中禁止通過任何usb端口傳輸數據；為了對核心系統數據做進一步保護，防火墻是被安置在本地PC終端和集中管理服務器之間

虛擬機類別數量CPURAM磁盤虛擬桌面2501vCPU3G40G虛擬化管理服務器vCenterServer12vCPU8G60G虛擬桌面管理服務器Connec-tionServer24vCPU10G60GSQLServer數據庫服務器14vCPU8G100GComposer鏈接克隆服務器14vCPU8G60GDataProtection備份服務器14vCPU4G850G

圖3

的，而且防火墻需要處理的訪問是雙向的，以防止數據從集中管理的數據庫泄露；為了進一步提高對于信息安全的管控水平，內部人員在通過終端訪問數據庫的時候，是需要把訪問的IP-MAC地址和對應工作人員進行綁定的，這樣一旦出現信息泄露的事故，很容易就能做到定點的追蹤、問責。[11]

2 桌面虛擬化系統架構安全性分析

桌面虛擬化系統的設計初衷之一就是為了保證企業的信息不受到侵害，從設計上，不僅本地PC上是不存儲任何信息的，而且PC與PC之間也是相互隔離的。[12]PC與PC之間以及PC與核心平臺之間設置大量的防線是必要的，因為攻擊者一旦發現了任何一臺PC終端的漏洞，就能借由這個漏洞危害到整個桌面虛擬化系統。桌面虛擬化系統是一種由中心發散式的管理方法，盡管高效率的管理是它的一個優勢，但也正因為這種集中的管理模式，一旦一個步驟出現安全疏漏，很容易會造成整體性的安全危險。桌面虛擬化系統在信息處理方面的設計，為了讓網絡帶寬得到最大程度的應用，因此同一根光纜是允許并行的傳輸多種信息的，從形態上也就是信息混合。[13]正因為桌面虛擬化系統是一種信息的混合式管理方案，即便沒有惡意的攻擊者利用終端的漏洞進行網絡攻擊，如果管理不當的話，導致一些垃圾信息混入核心數據庫，很可能也會對整個桌面虛擬化系統造成危害，如何排查這些信息安全隱患是十分重要的問題。

為了防止信息混合做帶來的隱患，從設計的角度在以下方面要格外注意：

(1) 當通過網絡進行信息傳輸的時候，也就是通過VMkernel虛擬網卡進行網絡對接時要加強防火墻對于權限的審核強度，務必要保證核心主機數據庫的安全；

(2) 對于正在運行的程序來說，要加強對于程序的證書審核，即便是通過VMotion網絡做任何的在線訪問工作，都有可能會泄露自己的身份，進而制造更大的危害；

(3) 通過虛擬機來訪問核心的存儲數據庫的過程中，即便是通過備份的服務器以間接的方式進行訪問，也應該經過嚴格的控制。因為以明文方式訪問存儲網絡，就會對虛擬機內的虛擬硬盤里的數據制造暴露的可能性。[14]

從虛擬化系統的服務器安全漏洞的類型劃分，最重要需要保護的網絡包括以下三種，也就是管理網絡、存儲網絡、虛擬化架構VMotion及存儲VMotion網絡。

(1) 管理網絡：服務控制臺和監控訪問權限的網關都會被設置在自身的虛擬網格上，因此所有和網絡管理有關的任務也都會在這上面完成，為了保護管理網絡需要使用的安全認證是SSL認證。

(2) 存儲網絡：因為存儲網絡在訪問的過程中是不加密的，只要攻擊者取得了訪問的權限就能夠直接訪問到存儲網絡，因此這方面對于虛擬網絡數據來說，風險都是十分大的，故此需要格外加強保護。

(3) VMotion和存儲VMotion網絡：這兩種網絡傳輸方式都是直接以明文的方式在網絡上進行傳輸的，因此攻擊者會很容易通過虛擬機破解這些明文，進而獲得訪問核心數據庫信息的權限，進而制造更大的危害等。[15]

桌面虛擬化平臺為了提高對于重要信息的保護，因此架構平臺在設計的同時也會設計一個vShield Zones，這是專門用于做信息安全工作的安全產品。通過vShield Zones，我們能夠十分高效的區分哪個是敏感信息，哪些是屬于日常信息，這樣對于不同等級信息的權限設置也會不同，信息的保護也就會變得更有針對性。

為了時刻記錄虛擬化系統的安全以及漏洞動態，系統中還存在著專門存放安全數據的文檔，管理者能夠根據自身的需要隨時調出安全日志文件，以此排查安全漏洞并打上補丁。日志文檔不僅僅能夠記錄涉及到信息安全的漏洞問題，同時也會把桌面的會話狀況做到記錄，以便后期進行整理和分析，并對系統做進一步的優化設計。

3 總結

本次工作基本完成了客服座席的桌面虛擬化項目的實施，通過該研究，能在滿足客戶服務中心其核心業務平臺、呼叫中心系統等多個應用系統聯動辦公需求的同時，能夠有效的保證信息安全，保證支持業務系統辦公的連續性，同時降低運維、管理、能耗成本，提高辦公靈活性，保證企業的關鍵數據能夠得到保護。經過對比桌面虛擬化系統上線前后運維的整體成本消耗，減少運維成本20%-30%，并且縮減不必要的運維人員60%，同時也能減少終端設備更換頻度，最終提高了終端人員的使用效率。

此外當故障發生后，企業業務數據的安全性可得以保障，同時員工操作可以較快速的恢復，業務的連續性也基本可保障。履行所承擔的工作職能，降低和規避日常運營的風險。桌面虛擬化系統基本能夠解決大型企業對于終端PC機信息的宏觀管理工作，尤其今后隨著各行業在信息化方面的改革越來越多，這一技術的應用將會變得更為深遠。

[1] 鄧春梅.Domino群集及其在電力系統網絡中的應用[D]，天津，天津大學，2006

[2] 楊小明.談群集技術在服務器中的實現方法[J]，福建電腦，2009(5):169-170

[3] 林征宇.基于Citrix的商業銀行研發中心桌面虛擬化的分析與設計[D]，廈門，廈門大學，2013

[4] 趙琳.虛擬桌面技術研究與應用[J]，西安航空技術高等專科學校學報，2011(3): 74-75

[5] 劉昌.桌面虛擬化及其在知識型企業的應用方案[J]，中國信息界，2011(8):58-61

[6] 武越， 劉向東.涉密環境桌面虛擬化多級安全系統設計與實現[J]信息網絡安全, 2014 (9) :101-104

[7] 溫荷，萬里.基于KVM的云桌面虛擬化實驗設計[J]實驗技術與管理, 2016 ，33 (5) :132-134

[8] Foster, J. Voeckler, M.Wilde, et al. "A virtual data system for representing,querying, and automating data derivation". In 14th Conference on Scientific and Statistical Database Management, Edinburgh, Scotland, 2002(6):19-20.

[9] Agostinho, L., Feliciano, G., Olivi, L., Cardozo, E., Guimaraes, E.A Bio-inspired Approach to Provisioning of Virtual Resources in Federated Clouds. In: Ninth International Conference on Secure Computing (DASC). DASC 11,IEEE,2012(12-14):598-604.

[10] 皇甫一江，虛擬交換技術的組網應用[J]，計算機與網絡，2013(12):53-55

[11] 陳利佳.網絡負載均衡在遠程會診咨詢系統中的應用[J]，中國醫療設備，2013(12):65-67

[12] 余建.基于VSU的校園網核心交換冗余方案[J]，三明學院學報，2010(6):529-532

[13] 黃海燕.廈門電信寬帶用戶精確定位項目研究與實現[D]，北京，北京郵電大學，2010

[14] 萬小強，V LAN技術的研究與實現[D]，北京，北京郵電大學，2006

[15] 樊占軍.交換機技術在網絡安全中的應用研究[J]，計算機光盤軟件與應用，2013(22):139-140