2023自主可控产品桌面云方建设方案.docx

深信服政府专网桌面云解决方案 文档密级：公开自主可控产品桌面云解决方案目 录第1章 终端自主可控落地存在的挑战 4第2章 双模桌面云解决方案 52.1 方案概述 52.1.1 过渡及演进阶段 52.1.2 全信创阶段 7第3章 桌面云详细架构设计方案 83.1 桌面云产品架构图 83.2 关键组件介绍 83.2.1 硬件平台 83.2.2 软件平台 113.3 用户终端设计方案 123.3.1 桌面瘦终端访问 123.3.2 移动终端接入 123.4 桌面控制器设计方案 133.4.1 部署说明 133.4.2 集群设计 143.4.3 功能概览 153.5 服务器设计方案 173.5.1 部署说明 173.5.2 集群设计 183.5.3 功能概览 193.6 方案技术优势 203.6.1 技术优势 203.6.2 卓越体验 203.6.3 数据安全 213.6.4 极简运维 233.7 虚拟存储设计方案 243.7.1 部署说明 243.7.2 磁盘设计 243.7.3 功能概览 263.8 桌面云网络设计方案 273.8.1 业务网 273.8.2 存储网 273.9 桌面云安全设计方案 293.9.1 传输协议安全加密 293.9.2 身份认证权限管理 303.9.3 区域安全隔离 303.9.4 业务数据加密存储 31第4章 方案配置清单 31第1章 终端自主可控落地存在的挑战v软件改造难度巨大：2014年后，国内厂商相继发布国产操作系统，但因为基于Linux，缺乏相对强大的应用和开发支持，有开发的应用也很少有更新维护，市场表现平平。

整体起步较晚并且投入不够，导致跟国际领先操作系统相比，无论在技术还是产业生态发展方面，存在较大差距，导致软件兼容性差目前，仍有大量的办公软件与国产操作系统不兼容，软件改造非常困难，需要投入大量资金进行业务改造，并且改造周期长时间不可控，甚至很多软件源代码已经缺失或开发商已倒闭，导致软件无法进行改造，强行切换办公桌面系统，将影响员工正常办公v终端管理繁琐复杂：信创终端缺乏有效的外部生态，各类管理软件缺失，导致信创终端管理工作复杂、效率低下并且，由于短时间内Windows业务改造无法完成，双桌面的现状使得运维人员不得不同时运维两台PC，导致运维工作量倍增v难以防范数据泄密：在双桌面的现状下，WIN7停服问题让Windows操作系统安全风险加大；而另一方面，信创终端也存在安全生态不完善的问题，为信创业务带来更多未知的安全风险如：信创PC在本地可接收、处理和存储相关政务数据，而政务终端本地接口种类众多（USB、串口等），管控非常麻烦，导致数据非法泄露、违规外联等现象难以杜绝，政务数据面临泄密风险第2章 双模桌面云解决方案2.1 方案概述 双模信创桌面云方案，可同时支持信创X86和ARM架构信创服务器，并支持按需发布windows和国产操作系统两种桌面，从而可同时满足Windows业务办公和信创业务办公。

同时，桌面云将办公应用及数据集中部署在后端数据中心，利用虚拟化技术提升桌面运维效率，并只将桌面图像交付给用户，网络中传输的仅仅是屏幕增量变化和指令信息，终端不会留存任何办公数据，从根本上保障了信创数据资产的安全性 双模信创桌面云解决方案有以下两种应用场景：2.1.1 过渡及演进阶段 在双业务共存及演进阶段，由于部分Windows业务没有改造完成，为了保证办公业务不受影响，用户不得不同时使用windows桌面和自主可控桌面 双模信创桌面云方案包含应用虚拟化和桌面虚拟化两大技术，基于用户业务的复杂程度，可在X86架构信创服务器按需发布Windows应用或桌面，以承载未改造业务，而本地信创桌面承载已改造业务而前端可用信创终端或利旧原有PC接入，即可在本地信创桌面上使用Windows业务该方案价值如下：Ø 业务保障：对于未改造业务，可部署在后端Windows云环境，并通过桌面云实现本地信创桌面访问从而，保证了现有办公业务不受影响Ø 极致体验：应用虚拟化可实现在本地信创系统上无缝使用Windows应用，大幅提高用户在信创桌面上的操作体验，而桌面虚拟化也可实现双桌面的快速切换Ø 办公安全：深度融合EDR引擎，能够对系统进行安全加固；利用分布式防火墙可对东西向流量进行检测与处置，避免病毒在云平台上扩散，降低中病毒影响面。

即使出现用户文件或系统因中毒的极端情况，平台也支持虚拟机批量定时备份，来快速恢复业务，将业务影响降低到最低Ø 平滑演进：随着业务软件完成信创系统适配，桌面云自带的PC剪切板技术可实现双桌面数据的灵活拷贝，轻松完成数据迁移工作，并最终将空闲的Windows桌面资源释放，按需发布更多信创资源2.1.2 全信创阶段 当用户业务软件全部完成自主可控改造，Windows桌面已具备全面被替换的条件，此时则进入第二个阶段，即全信创阶段 本产品可提供基于ARM或X86架构的信创服务器搭建信创桌面云平台，按需发布所需的自主可控操作系统，去承载信创业务，而前端采用信创瘦终端或信创PC作为云桌面接入端该方案价值如下：Ø 自主创新：整个方案从服务器、终端、操作系统以及应用软件多个方面实现了全面信创化，从而满足办公终端合规性要求Ø 极简运维：双模信创桌面云可以从桌面首次上线、软件更新与维护、软硬件资源的统一管理、故障检测与排障、资源的扩容和回收等多个维度提供完整的虚拟机全生命周期管理，并且基于可视化管理平台以及丰富的自动化运维工具，极大地提升运维管理效率Ø 数据安全：将数据全部保存在后端服务器，前端不留数据，只传递桌面图像，并通过USB外设黑白名单及管控策略、政务虚拟桌面数据卷全盘加密等技术实现政务数据的立体式防护，有效防范信息泄密。

Ø 全面防护：作为国内主流安全厂家，信创云桌面深度集成了特有的安全特性，为信创环境提供更安全的保障方案从接入安全、网络安全、数据安全、终端安全、隔离安全、平台安全这六个维度保障终端办公安全第3章 桌面云详细架构设计方案3.1 桌面云产品架构图提供一站式、高性价比桌面云方案，整套方案只需要终端（信创终端、瘦终端、旧终端）、信创服务器两种硬件，及桌面云软件（包括虚拟桌面控制器、服务器虚拟化、存储虚拟化等软件平台）即可完成桌面云的快速搭建3.2 关键组件介绍3.2.1 硬件平台1) 云：桌面云信创服务器采用曙光自主可控服务器，每台服务器预装全套桌面云系统软件，开箱即用，不需要复杂的安装调试部署时，将所有主机加入集群，形成统一资源池，实现弹性调用、集中监控和故障切换（一旦检测到服务器故障之后，自动在集群内的其他正常主机重启虚拟机，保证桌面业务正常运行）本方案配备了10台R5230HA(VDS:320G)，每台服务器承载20个桌面虚拟机，总共可以支撑200用户，当其中1台信创服务器出现故障，剩余9台信创服务器可支撑180点用户，能够满足150点用户使用需求，并实现冗余部署，可以应对服务器故障所带来的影响。

采用分布式虚拟存储架构，将服务器直连硬盘整合成存储池（相当于一台存储设备），并通过磁盘管理、缓存技术、存储网络、冗余副本等技术，在无需独立存储的情况下，实现高IO性能、虚拟迁移、故障切换、数据高可用等，从而为政务桌面云提供经济高效的存储服务每台服务器配备1块240G SSD、2块960G SSD和6块4T SATA，其中240G固态盘用于安装桌面云系统，2*960G固态盘用于热点数据读写缓存加速，4T SATA盘用于存放虚机模板和个人数据最终，每服务器可提供至少10000IOPS（每用户超过200IOPS），以及24T*0.93/2=11.16T可用容量说明：0.93为硬盘真实容量比例；2为副本数量本方案包含3种网络：业务网、存储网、管理网，其中业务网主要传输图像、视频、外设等流量，存储网主要传输IO操作、副本、迁移等流量，管理网主要传输配置、心跳、检测等流量，建议业务网和存储网分离，管理网和业务网共用同时，每台服务器配备6个千兆网口，3套网络分别采用双端口聚合的方式来提升网络可靠性及带宽，支持单交换机聚合和双交换机聚合（建议）两种方式ü 高性价比：桌面云方案无需购置独立存储，通过虚拟存储技术提供高性能、低成本的存储方案，效果与独立存储一样，但可以节省存储成本。

ü 高性能：传统方案采用纯机械硬盘设计，多桌面并发使用时容易卡顿采用SSD+HDD混合设计方式，同时利用高效缓存技术可以提升多倍IO性能，保障云桌面流畅体验ü 易扩容：普通服务器方案，扩容时需要停机做复杂配置桌面云一体机在扩容时无需停机，只需加入集群，即可自动实现资源平衡，扩容非常轻松方便ü 高可靠：桌面云一体机采用全集群架构设计，主机和磁盘硬盘均有冗余设计机制，能够实现故障自动迁移，确保桌面业务稳定运行2) 网：自研安全高效桌面传输协议（SRAP）云桌面需要通过网络交付给前端设备，其中最重要的组成部分就是桌面交付协议为实现云桌面的高效交付，厂家专门为虚拟桌面及远程应用程序设计并研制了SRAP协议厂家自研的SRAP高效交付协议，采用高效流压缩、智能数据缓存、动态图像优化等多项优化技术，相对RDP协议提升6倍传输效率，最大程度保障用户桌面体验3) 端：瘦终端（ARM）/多种智能终端信创终端/PC利旧：支持在信创终端或利旧PC上安装VDI客户端，并支持UOS、麒麟信创操作系统，可在本地桌面上实现无缝接入后端Windows应用或虚拟桌面瘦终端：采用自主可控瑞芯微CPU，实现对后端Windows云桌面和业务系统的访问。

优势在于一体化的设计，系统运行效率更高，寿命更长，而且长期使用更为稳定，平均功耗仅10W，相对PC可节省10倍电力成本，并且无风扇运行，全程无噪音其他移动终端：即使外出办公，也可以采用基于平板电脑、智能等智能移动终端，安装VDI通用客户端，实现对云桌面的访问，实现移动化业务办公和公文审批操作流程稳定，从而实现旧资源的盘活及灵活办公3.2.2 软件平台1) 虚拟桌面控制器：提供用户认证管理、细粒度策略控制、桌面/瘦终端统一监控及管理等功能，实现更安全、更可靠地交付云桌面2) 服务器虚拟化：祼金属架构，可为云桌面提供高性能负载平台和先进管理功能，包括虚拟机快速部署、资源管理及监控、集群高可用、动态迁移、数据备份及恢复等功能3) 存储虚拟化：将服务器直连硬盘形成分布式数据存储，通过内置冗余机制可透明存储多个数据副本，以确保磁盘和服务器故障时，数据不会丢失，并且依然可用3.3 用户终端设计方案3.3.1 桌面瘦终端访问型号适用场景配置参数aDesk-STD-320办公人员RK3568 1.8GHz四核，2G内存，8G存储，4*USB2.0+2*USB3.0 ，1*VGA+11*HDMI，1*千兆电口3.3.2 移动终端接入可以采用基于ios和Android系统的平板电脑、智能，通过在appstore或安卓商城下载easyconnect客户端，即可实现对云桌面的访问，实现移动化业务办公。

3.4 桌面控制器设计方案3.4.1 部署说明虚拟桌面控制器（VDC）主要负责账号及资源管理、用户认证、新桌面注册分配、传输优化、控制桌面状态、瘦终端集中管理等目前支持两种部署模式：软件VDC和。