基于超融合存儲的云桌面平臺建設

張曉光

（廣東省能源集團天生橋一級水電開發有限責任公司水力發電廠，貴州 興義 562400）

1 廠站現狀分析

（1）廠站現有設備為舊的分散式虛擬化存儲計算，需要服務器、服務器光纖卡、存儲光纖交換機、存儲系統、存儲硬盤陣列、虛擬化系統。系統為傳統硬件分離IT架構，整合度不夠高，存在諸多不便，工作人員運維管理復雜，同時傳統的“IOE架構”存儲擴展難度過高，存在IO瓶頸。

（2）廠站業務終端一直使用的是傳統PC終端，傳統PC終端面臨的挑戰有：①非法接入：PC終端本地有 USB口、串口或并口等都可以外接設備，暫時難以有效的禁止非法設備的接入，存在數據泄密的風險。②數據恢復：PC工作環境下，PC上保存著員工的日常工作數據，也是企業資產的一部分。這些數據如何能在PC出現故障或文件丟失時恢復，是當前IT系統的一個巨大挑戰。③難以管理：廠站目前主要分為兩地辦公，加上員工出差、居家值班等零散的辦公場所，終端分布離散；同時員工日益要求能在任何地方訪問其個人終端，這在傳統PC終端上極難實現。

（3）廠站PC終端總體成本高：PC終端采購時有較低的成本優勢，但是其使用周期相對較短，廠站每5年左右就需要批次更新，并且無法抵消日常的PC管理和維護工作所帶來的成本。目前，PC管理工作包括終端電腦系統安裝、軟件部署、查殺病毒、漏洞修復、以及控件安裝設置等，由于這些PC終端分散管理，系統不一、配置也不盡相同，需要對不同的PC終端單獨配置維護，因而會耗費大量的人力。同時，由于標準化程度不高，支持人員經常需要親臨現場解決問題，這就進一步增加了支持成本。

綜合上述實際現狀，結合現有的日益成熟的桌面云技術和廠站現有的網絡部署情況，廠站確定部署基于超融合存儲的云桌面系統，從而逐步解決傳統存儲、PC終端及人工運維中已存在的各種問題。

2 超融合平臺設計

建立一個集計算、存儲、網絡、管理超融合的基礎設施平臺。平臺可實現性能監控（歷史KPI、TOP統計等）、告警監控、健康狀態檢查以及可視化展示等功能。幫助運維人員分析和預測資源使用情況，能夠有效評估資源利用率等。實際運維中，可以定期優化設備性能、優化配置等，提高超融合系統的使用價值，提升廠站經濟效益。化繁為簡的性能監控，協助運維人員提前有序地規避系統故障，使其無需花費大量的時間和精力在設備故障的排查上，提供統計分析，提升維護效率。平臺具有可視化曲線圖表界面，滿足用戶不同數據查看和統計需求。平臺能夠監控服務器全面的、精細的硬件告警信息以及管理系統自身的告警信息。這些告警信息包括但不限于：CPU硬件故障、超溫故障、主板電壓故障、散熱風扇故障、系統電源故障、總線故障、內存故障、硬盤故障、系統運行故障、設備管理板故障、交換板部分故障、設備離線告警、性能閾值告警、網管性能告警等。基礎設施管理提供了統一快速的告警管理機制，實現快速定位故障、解決和恢復故障，降低設備異常概率，提高設備的可靠性，告警集中監控，支持以界面實時刷新、短信、郵件、聲音等遠程通知方式，及時通知到設備維護人員，恢復網絡正常運行。以“無人值班、少人值守”為目標。最大限度實現電廠的安全、經濟、高效、環保運行。

3 桌面云系統設計

桌面云系統支持集中管理能力，系統能夠利用現有PC終端作為桌面云瘦終端硬件設備，在Windows系統下或重裝Linux系統運行桌面云軟件。當PC作為瘦終端時，能實現原PC硬盤和桌面云內的存儲空間數據之間直接拷貝。軟件平臺能夠支持內外網隔離架構。結合廠站內已部署的AD域服務器，桌面云系統與現有AD域集成，從而實現帳戶密碼的統一性。桌面云系統能提供更好的用戶體驗，廠站員工不再受兩地辦公，配置多臺PC終端，軟件重復安裝，數據存儲不同步等困擾。桌面云系統提供自助維護界面，可以發現并優化潛在影響桌面云正常使用的隱患，結合最佳性能提升桌面云用戶體驗感，減少了常規PC終端、操作系統頻繁故障帶來的影響。系統能夠降低運維成本，提高工作效率，減輕管理維護人員的工作強度與不必要的重復勞動。桌面云系統將終端日常運維工作交由后臺統一管理與運行；具備良好的綜合定位分析及故障恢復能力，從而降低對業務的影響。

4 實施總體方案

4.1 整體架構

廠站信息網的網絡架構均是按照功能模塊進行劃分，分為服務器區、后方辦公區、工地辦公區、端部樓無線接入區、工地服務器區。按照廠站信息網絡的規劃，超融合管理平臺新增一個獨立分區進行部署，如圖1所示。

圖1 網絡架構圖

4.2 實施方案

本次超融合平臺建設項目依托華為技術，通過部署FusionCupe存儲、FusionAccess桌面云軟件等來實現廠站云桌面平臺建設。按照圖1網絡架構圖所示：

超融合業務平臺交換機采用兩臺S5720交換機通過堆疊實現冗余，超融合存儲交換機采用兩臺CE6881交換機通過堆疊實現冗余。

各計算存儲節點通過兩端口千兆以太網與業務平臺交換機互聯，實現超融合平臺的管理與業務VM的通信使用。

各計算存儲節點通過兩端口萬兆以太網光纖與存儲平臺交換機互聯，實現超融合平臺中各存儲之間數據的同步與傳輸使用。

超融合平臺與工地核心交換機之間采用三層路由互聯。

業務與管理交換機：所有計算存儲池服務器配置兩張千兆以太網電口與業務管理交換機互聯，實現各節點之間的管理以及業務VM的數據。所有計算存儲池服務器的iBMC端口接入業務/管理交換機，通過iBMC可對物理服務器進行遠程管理（開機、關機、安裝操作系統等）。

存儲交換機：超融合采用分布式軟件將各服務器的硬盤組成一個大的存儲資源池，由于各服務器之間硬盤數據同步原因，各服務器之間帶寬要求較高，因此各服務器采用兩張萬兆光端口與存儲交換機互聯。

4.3 網絡平面規劃

（1）在超融合平臺中共有三個網絡平臺：業務平面、管理平面、存儲平面。針對不同系統存在不同的網絡平面。

（2）FusionSphere：業務平面、管理平面、存儲平面。

圖2 FusionSphere網絡平面圖

表1 Fusionsphere平面與作用

（3）FusionAccess：業務平面、管理平面。

圖3 FusionAccess網絡平面圖

表2 FusionAccess平面與作用

（4）FusionStorage：業務平面、管理平面、存儲平面。

表3 FusionStorage平面與作用

圖4 FusionStorage網絡平面圖

雖然每個網絡均存了3個相同的網絡平面，但是每個網絡平面之間各組件之間通信與應用均不同。

（5）FusionCube：管理平面、業務平面、存儲平面、BMC平面。

圖5 FusionCube網絡平面圖

表4 FusionCube平面與作用

4.4 服務器連線規劃

圖6描述了各服務器與交換機之間、交換機與交換機之間互聯的端口圖。

圖6 端口圖

4.5 安全規劃

桌面云安全規劃需從兩方面進行考慮：網絡安全、傳輸安全。

（1）網絡層面：在存儲管理平臺網絡設備前端增加防火墻，通過防火墻過濾來自內外網的安全威脅。

圖7 網絡拓撲圖

（2）傳輸安全：數據在傳輸過程中可能遇到被中斷、復制、篡改、偽造、竊聽和監視等威脅，需要保證信息在網絡傳輸過程中的完整性、機密性和有效性。傳輸安全由以下幾個方面保證：

1）系統管理員訪問管理系統時，對含有敏感數據的頁面采用HTTPS方式，傳輸通道采用SSL加密。

2）用戶訪問虛擬機，采用HTTPS方式，傳輸通道采用SSL加密。

HTTPS可進行加密傳輸、身份認證，安全性高。HTTPS的安全基礎是SSL，通過SSL實現加密

4.6 認證方式規劃

廠站內部有AD域，大部分系統也采用的是域帳戶進行認證。因此在新建桌面云系統中將選用AD域方式進行認證。

4.7 桌面部署規劃

廠站采購FusionAccess用戶數100個的虛擬桌面，根據廠站應用場景的需求，桌面云部署方式選用完整復制桌面。

4.8 終端接入規劃

FusionAccess支持多種終端接入：瘦客戶機、PC軟終端、移動終端。

（1）瘦客戶機：主要功能是“上接云、下接外設”。與PC機的主要差異：硬件配置較低，針對桌面云場景開發，弱化本地功能（不支持本地應用或僅兼容非常有限的本地應用）。默認推薦使用TC終端來登錄使用虛擬桌面。

（2）PC軟終端：支持終端用戶使用普通PC或者筆記本電腦，以Web方式登錄虛擬機。用戶可以下載安裝客戶端軟件，按照系統提示完成客戶端軟件在本地的安裝。當客戶端軟件需要升級時，系統也會提示下載最新的客戶端軟件。

（3）移動終端：支持通過iOS、Android移動智能終端接入虛擬桌面。用戶可在app.vmall.com或AppStore上搜索FusionAccess下載安裝華為桌面云客戶端，正確配置云服務器地址后，使用分配的虛擬桌面。

根據電廠的現狀，目前所有用戶均配置有PC終端，從節約成本考慮，本次將老舊電腦的操作系統重裝為Linux，并安裝對應版本的FusionAccess Client，用戶可直接通過FusionAccess Client來訪問虛擬桌面。

5 結語

由于桌面云在整個使用周期里的管理、維護等方面的成本大大低于傳統PC電腦，具有更高的性價比。運維人員可以在可視化運維界面里快速下發、生成賬戶，同時通過界面可以查看系統監控、告警事件和存儲池狀態等，操作維護更簡單，提高了運維管理效率，同時，也減少了在終端PC電腦上的軟硬件配置成本以及人員運維的人工成本。廠站員工使用過程中，也減少了不同終端電腦數據無法同步的問題，提高了廠站員工的辦公效率。