王 鄭，韓 焱，單聯(lián)春

（中國電信股份有限公司新疆分公司 烏魯木齊830011）

1 引言

云計算的到來對通信運營商來說意味著巨大的機遇，其長期積累的資源，包括龐大的網(wǎng)絡、IDC、運營支撐系統(tǒng)等基礎設施，包括用戶對網(wǎng)絡連接的高度依賴以及對網(wǎng)絡速度的渴望，隨著網(wǎng)絡的不斷提速、計算機開始淡化并逐步擴散到整個網(wǎng)絡，將使運營商在云計算時代具有得天獨厚的優(yōu)勢，云計算的發(fā)展，將創(chuàng)造性地破壞當前的IT產(chǎn)業(yè)布局，延續(xù)互聯(lián)網(wǎng)革命，它可能帶來整個ICT產(chǎn)業(yè)的重構，云計算可能成為日后各大IT公司最強有力的選擇。然而，隨著平臺、一些基礎設施及軟件日益從交付項向服務演變，運營商需要在這個關鍵時期參與到變革進程中并且制定正確的IT投資，以期迎接未來全新的云計算模式。運營商必須視云計算為戰(zhàn)略機會，利用后發(fā)優(yōu)勢，在同一技術起跑線上輕裝快跑。

2 定義

什么是桌面云，先看一下云計算的定義：將計算任務分布在由大量計算機構成的資源池上，使各種應用系統(tǒng)能夠根據(jù)需要獲取計算力、存儲空間和各種軟件服務云計算。云計算是一種互聯(lián)網(wǎng)上的資源利用新方式，可為大眾用戶依托互聯(lián)網(wǎng)上異構、自治的服務進行按需即取的計算，云計算的資源是動態(tài)易擴展而且虛擬化的，通過互聯(lián)網(wǎng)提供。桌面云是合乎上述云計算定義的一種云，是：“可以通過瘦客戶端或者其他任何與網(wǎng)絡相連的設備來訪問跨平臺的應用程序以及整個客戶桌面”。也就是說只需要一個瘦客戶端設備，或者其他任何可以連接網(wǎng)絡的設備，通過專用程序或者瀏覽器，就可以訪問駐留在服務器端的個人桌面以及各種應用，并且用戶體驗和使用傳統(tǒng)的個人電腦是一模一樣的。

3 桌面云價值

3.1 集中化的管理

（1）傳統(tǒng)桌面的管理

包括操作系統(tǒng)安裝配置、升級、修復的成本，硬件安裝配置、升級、維修的成本，數(shù)據(jù)恢復、備份的成本以及各種應用程序安裝配置、升級、維修的成本。

維護管理工作基本上需要在每個桌面上做一次，工作量大。對于需要頻繁替換，更新桌面的行業(yè)來說，工作量更大了，成本更高。例如對于培訓行業(yè)來說，經(jīng)常需要配置不同的操作系統(tǒng)和運行程序來滿足不同培訓課程的需要，工作量大，而且需要經(jīng)常進行。

（2）桌面云解決方案的管理

管理是集中化的，IT工程師通過控制中心管理成百上千的桌面云，所有的更新、打補丁都只需要更新一個“基礎鏡像”就可以了。對于上面所提到的培訓中心來說，管理維護就非常簡單了，只需要根據(jù)課程的不同配置幾個基礎的鏡像，然后不同的培訓課程的學員可以分別連接到這些不同的基礎鏡像，而且要做任何修改，只需要在這幾個基礎鏡像上進行就可以了，只要重啟桌面云學員就可以看到所有的更新，這樣就大大節(jié)約了管理成本。

3.2 安全性提高

安全是IT工作中一個非常重要的方面，一方面各單位對自己有安全要求，另一方面政府對安全也有些強制要求，一旦違反，后果非常嚴重。對于企業(yè)來說，數(shù)據(jù)、知識產(chǎn)權就是他們的生命，例如軟件企業(yè)中的源代碼等。對于政府部門來說，數(shù)據(jù)安全更為重要及緊迫。

（1）傳統(tǒng)桌面辦公的做法

許多公司的IT部門為此采用了各種安全措施來保證數(shù)據(jù)不被非法使用，例如禁止使用USB設備，禁止使用外部電子郵箱等。

（2）桌面云解決方案的機制

所有的數(shù)據(jù)以及運算都在服務器端進行，客戶端只是顯示其變化的影像而已，所以再不需要擔心客戶端非法竊取資料。其次，IT部門根據(jù)安全挑戰(zhàn)制作出各種各樣新規(guī)則，這些新規(guī)則可以迅速地作用于每個桌面。

3.3 應用更環(huán)保

傳統(tǒng)個人計算機的耗電量大，每臺傳統(tǒng)個人計算機的功耗在200 W左右，即使它處于空閑狀態(tài)時耗電量也至少在100 W左右，按照每天10 h，每年240天工作來計算，每臺計算機桌面的耗電量在480度左右。在此之外，為了冷卻這些計算機使用產(chǎn)生的熱量，還必須使用一定的空調(diào)設備。

桌面云解決方案的每個瘦客戶端的電量消耗在10 W以內(nèi)，加上云端的每用戶服務器硬件能耗，不超過50 W/用戶，能耗大大減少。

4 桌面云主要應用場景

4.1 個人桌面

個人桌面主要指配備給公司員工用于日常辦公的個人電腦，由于在管理上、技術手段上的不足，終端覆蓋范圍不夠，推廣效果有待加強。

4.2 混用桌面

公司社會用工人數(shù)眾多，流動性大，工作時間、地點不固定，同時，由于公司辦公場地緊張、成本控制等方面的限制，很難做到為每位社會用工配置個人桌面，混用桌面現(xiàn)象普遍。各營業(yè)廳的大客戶經(jīng)理也存在桌面混用的情況。

混用桌面問題：辦公效率不高；個人數(shù)據(jù)缺乏安全保障；使用、維護混亂，安全漏洞多，易遭受病毒/木馬攻擊；故障幾率高，維修周期長。

4.3 代維桌面

代維桌面指信息化系統(tǒng)相關廠家的開發(fā)、維護人員在運營商工作時所使用的電腦。

代維桌面隨意接入運營商的局域網(wǎng)，易引發(fā)病毒、木馬的傳播，同時，代維人員日常工作涉及對后臺系統(tǒng)大量的訪問，易發(fā)生操作失誤、公司重要信息泄密等事件。

4.4 涉密桌面

涉密桌面是指存儲公司相關秘密信息，并可以接入公司局域網(wǎng)的桌面。

目前對涉密桌面的管理缺乏相應的技術手段，對其中所存儲重要文檔信息的安全保障有待加強。

4.5 呼叫中心桌面

實現(xiàn)呼叫中心整潔辦公、節(jié)能減排、集中維護管理、集中監(jiān)控和軟件部署。

4.6 營業(yè)廳桌面

實現(xiàn)營業(yè)廳的整潔辦公、集中維護管理、集中監(jiān)控和軟件部署。目前，全國各省的通信運營商營業(yè)廳終端數(shù)量都在數(shù)千臺以上，如果統(tǒng)一使用桌面云方式，將大大節(jié)約維護成本。

5 桌面云邏輯圖

桌面云解決方案可以分成7個邏輯部分：云終端、接入控制、桌面會話管理、云資源管理及調(diào)度、虛擬化平臺、運維管理系統(tǒng)和硬件，如圖1所示。

6 實際應用部署方案

桌面云解決方案的系統(tǒng)架構如圖2所示。

6.1 云終端

云終端是指接入桌面云的終端，有Remote User和LAN User兩種類型。

Remote User：指通過廣域網(wǎng)來連接桌面云的用戶，這類訪問方式基于安全的需要，一般需要配置防火墻和接入網(wǎng)關等安全設備。

LAN User：指通過局域網(wǎng)來連接桌面云的用戶，這類訪問方式屬于內(nèi)部網(wǎng)絡訪問，可以直接使用云終端訪問桌面云。

6.2 接入控制

對終端接入進行控制，包括接入網(wǎng)關、防火墻等安全設備。

Firewall：該部件主要是對從廣域網(wǎng)接入桌面云的訪問進行控制。

Access Gateway：接入網(wǎng)關用于保證遠程用戶連接的安全性，并且在用戶接入桌面云時，無需使用客戶端代理程序，極大地提升了終端用戶的體驗。

Web Interface：負責顯示基于Web的界面，讓用戶看到自己可用的桌面云。用戶在界面上輸入登錄的賬號密碼后，負責到IT的AD系統(tǒng)進行鑒權。

6.3 桌面會話管理

桌面會話管理主要完成桌面云的接入控制與會話管理的功能，主要包括 Desktop Delivery Controller、License Server、Data Store、Web Interface Adapter、IT Adapter 等 主要部件。

Desktop Delivery Controller：即桌面?zhèn)鬏斂刂破?，安裝在數(shù)據(jù)中心的服務器上，負責新桌面云的注冊，將桌面云的請求指向可用的系統(tǒng)以及代理用戶和桌面云之間的連接。它控制桌面的狀態(tài)，根據(jù)需要和管理配置啟動和停止桌面云。

License Server：是桌面云License的管理與發(fā)放系統(tǒng)，負責桌面云License的發(fā)放。

Data Store：即數(shù)據(jù)存儲服務器，用于存儲桌面云的數(shù)據(jù) ，包 括 IT Adapter、Web Interface Adapter和 Desktop Delivery Controller所需要的數(shù)據(jù)。

Web Interface Adapter：為Web Interface的輔助邏輯部件，輔助完成啟動和重啟虛擬機的功能。

Enterprise Assets Management：即企業(yè)資產(chǎn)管理部件，該部件為一個可選部件，當桌面云是一個租賃桌面云時，需要該部件，主要與運營商的運營系統(tǒng)對接，并把消息分發(fā)給相應的IT Adapter（每個租用的企業(yè)有一個IT Adapter）。

IT Adapter：即IT適配器，是桌面云解決方案中對IT資產(chǎn)管理系統(tǒng)提供的接口。IT系統(tǒng)可通過IT適配器完成對桌面云的虛擬機管理、虛擬機鏡像管理、虛擬機分配管理、系統(tǒng)運行維護管理等操作。

6.4 云資源管理及調(diào)度

云資源管理及調(diào)度主要是對各種云物理資源進行管理，在創(chuàng)建虛擬機時，為虛擬機分配相應的虛擬資源，同時完成各種業(yè)務的計費功能。

Computing Resource Manager：即計算資源管理器，主要完成對本集群內(nèi)物理計算資源的管理，為每個虛擬機分配相應的虛擬計算資源，在一個計算集群內(nèi)，計算資源是共享的，虛擬機可以從一個物理計算節(jié)點遷移到另一個物理計算節(jié)點。

Block storage Resource Manager：即塊存儲資源管理器，主要完成對本集群內(nèi)存儲資源的管理，為每個虛擬機分配相應的存儲資源。

Elastic Service Controller：即彈性服務控制器，主要完成整個桌面云的資源管理與調(diào)度，它不涉及集群內(nèi)的資源管理，只負責集群間的資源管理與調(diào)度。

Billing：用來完成桌面云各種業(yè)務的計費功能，該模塊的功能在桌面云系統(tǒng)中可選。

Image Server：存放不同的操作系統(tǒng)鏡像，在制作虛擬機時可以通過這些鏡像為虛擬機安裝不同的操作系統(tǒng)。

6.5 虛擬化平臺

虛擬化平臺完成對各種物理資源的虛擬化，為虛擬機提供各種虛擬資源。

Computing Node Agent：即計算節(jié)點代理，是提供真正計算資源的部件，通過虛擬化平臺，把這些物理計算資源虛擬化為虛擬計算資源，供虛擬機使用。多個計算節(jié)點組成一個計算集群，在集群內(nèi)，計算資源是共享的。

SAN：即存儲區(qū)域網(wǎng)絡，是提供真正存儲資源的部件，為每個虛擬機提供相應的存儲資源，通過標準的iSCSI接口供虛擬機使用。

6.6 運維管理系統(tǒng)

運維管理系統(tǒng)包括桌面云的業(yè)務運營部分和系統(tǒng)的維護管理部分，其中桌面云的業(yè)務運營部分由運營人員直接通過Web的方式來進行業(yè)務發(fā)放，系統(tǒng)的維護管理則由操作維護子系統(tǒng)來完成。

OMS（operation and maintenance subsystem，操作和維護子系統(tǒng)）主要完成桌面云基礎設施的維護管理功能，包括業(yè)務節(jié)點的安裝部署、節(jié)點性能監(jiān)控、配置管理等功能。

7 桌面云安全

7.1 桌面云與傳統(tǒng)桌面終端的異同

由傳統(tǒng)的桌面終端遷移至桌面云，用戶的接入方式、應用訪問模型都會發(fā)生較大的改變。

傳統(tǒng)桌面終端與桌面云的相同點如下：

·同樣面臨用戶身份、終端管理和訪問控制的問題；

·同樣面臨桌面安全的問題；

·同樣面臨數(shù)據(jù)保護和防泄漏的問題；

·傳統(tǒng)的終端安全控制手段在桌面云中同樣適用，例如：利用802.1x或接入網(wǎng)關實現(xiàn)的桌面終端接入認證和控制、微軟RMS桌面權限管理服務系統(tǒng)等。

傳統(tǒng)桌面終端與桌面云的不同點如下：

·用戶的訪問模型由二層（終端→應用）變?yōu)?層（客戶端→桌面云→應用），這意味著身份管理和訪問控制由終端延伸至客戶端、桌面云;

·用戶數(shù)據(jù)由分散（終端）到集中（桌面云），既帶來集中數(shù)據(jù)的安全保護問題，但桌面云的集中可控，又使得對客戶端的外設管理、惡意代碼防護、補丁管理和桌面行為審計等大大地簡化；

·桌面云在傳統(tǒng)的操作系統(tǒng)之下引入了新的虛擬化層，帶來新的安全風險。

因此，桌面云的安全性有別于傳統(tǒng)的桌面終端安全，既有有利之處，也引入了新的威脅和脆弱點。虛擬安全應用的功能包括常見的防火墻、IPS功能以及惡意代碼防護、完整性監(jiān)控和日志分析等增強功能。其部署既可按照傳統(tǒng)的桌面終端防護方式給每個桌面云安裝防護軟件，也可安裝一個實例在物理服務器上，通過服務器虛擬化軟件提供的安全API接口對該物理服務器上的所有桌面云進行防護，二者所提供的功能是一致的。且后者不僅可對在線桌面云進行防護，也可對離線的桌面云存儲文件進行掃描和防護，既提升了管理效率，又極大地提升了桌面云環(huán)境整體的安全性。

7.2 桌面云的安全問題

（1）數(shù)據(jù)安全防護

采用桌面云架構，將分散的數(shù)據(jù)從傳統(tǒng)終端集中到了數(shù)據(jù)中心的桌面云側。一方面這給安全管理帶來了極大的方便，使得類似補丁管理、惡意代碼防護等工作得到了極大的強化，但另一方面，集中的數(shù)據(jù)也對防泄漏、備份提出了更高的要求。

（2）數(shù)據(jù)防泄漏

在數(shù)據(jù)防泄漏這一點上，桌面云環(huán)境下與傳統(tǒng)的桌面終端環(huán)境沒有太大的區(qū)別，只不過其覆蓋范圍需要從終端＋數(shù)據(jù)源擴展至接入客戶端＋桌面云＋數(shù)據(jù)源上，但考慮到由于桌面云到接入客戶端傳輸?shù)臄?shù)據(jù)只是包含用戶操作屏幕的變化，而不包括具體的應用數(shù)據(jù)或資料，因此桌面云的數(shù)據(jù)不易泄漏到接入客戶端上。接入客戶端惟一可慮的泄漏渠道在接入客戶端的外設，如USB存儲、打印設施等，而這可以通過在桌面云端傳統(tǒng)的數(shù)據(jù)防泄漏手段來進行控制。

8 軟件解決方案

8.1 Windows終端服務器

WBT （Windows based terminal server，Windows終端服務器）是瘦客戶機/終端服務器模式下的一種基于Windows操作系統(tǒng)平臺的客戶端設備。

其應用模型是：應用程序的配置、管理、執(zhí)行都100%在服務器端進行，客戶端僅作為一種輸入輸出的設備。

它要求有一個多用戶操作系統(tǒng)，以允許多個用戶同時登錄到一臺服務器并運行服務器上的應用，還需要一個Windows遠程顯示協(xié)議，能夠把應用的邏輯執(zhí)行和它的用戶界面分離，只需鍵盤、鼠標和屏幕將更新的數(shù)據(jù)在網(wǎng)上傳送，因此，應用軟件的執(zhí)行需要較小的帶寬。

這種應用模型不需要重寫應用或從服務器端下載，客戶可以完全訪問服務器端的Windows應用，這意味著對原有的硬件、網(wǎng)絡、應用投資的超值回報。因此，瘦客戶/服務器應用模型成為企業(yè)降低復雜性和總擁有成本 （TCO）的最可靠的方法,但是用戶基本上無法更改應用程序的設置，無法定制化自己需要的應用。

8.2 基于虛擬機的方式

基于虛擬機（VM）的方式是指服務器上面劃分出許多虛擬機，每個桌面都單獨運行在一個VM中，這樣許多用戶在共享一臺服務器的同時相互之間對計算資源的占用又是互相分開，不會互相影響的。另外許多云計算提供商提供CPU的過度承諾技術和內(nèi)存的過度承諾技術，使得一臺服務器上面運行的VM大大超過服務器的CPU內(nèi)核數(shù)和內(nèi)存總數(shù)。

客戶端擁有一個虛擬機，在這些虛擬機中運行的桌面是通過網(wǎng)絡傳遞過來的，它可以離線使用，所以在最初使用的時候需要把整個桌面都通過網(wǎng)絡傳遞過來，花費的時間要比本地流長。在需要的時候，這些桌面可以連接到公司網(wǎng)絡進行系統(tǒng)操作、應用程序以及用戶數(shù)據(jù)的同步、安全升級等工作。在這種模式下，用戶既可以移動辦公，同時他們所使用的桌面又處于公司統(tǒng)一的 IT策略的監(jiān)管之下，數(shù)據(jù)也得到保護，即使遺失，也可以迅速恢復已同步的數(shù)據(jù)。所以這種模式對于那些經(jīng)常需要出差的銷售人員、咨詢顧問等特別適合。

（1）VMware View 組件

VMware View是涵蓋從數(shù)據(jù)中心到桌面的緊密集成式解決方案，旨在以托管服務的形式交付桌面。借VMware vSphere與VMware View緊密集成，并充當后者的平臺。借助它，組織可以將業(yè)界領先的虛擬化平臺的優(yōu)勢延伸到桌面。

VMware View Manager是一個企業(yè)級連接代理，可以簡化虛擬桌面的管理、調(diào)配和部署。利用VMware View Manager，可通過單個控制臺集中、安全地進行桌面管理。VMware View Composer可幫助將存儲成本降低多達70%，同時簡化映像管理。它利用VMware鏈接克隆技術來讓主桌面映像發(fā)揮最大效用，一次可自動創(chuàng)建和更新數(shù)以千計的虛擬桌面。

（2）Citrix的桌面云解決方案

CitrixHDX是一整套幫助提升桌面虛擬化終端客戶體驗的技術。業(yè)內(nèi)最為知名已有20年發(fā)展歷史的ICA協(xié)議也被包括在該系列技術中。ICA協(xié)議從窄帶時代發(fā)展而來，相對于 RDP／RDS、PColP、RGS等其他協(xié)議，它對帶寬資源的占用最節(jié)省，正常狀態(tài)下平均每個用戶僅占用20 kbit/s左右的帶寬，可以支持任何網(wǎng)絡環(huán)境下的桌面云。

HDX將先進的優(yōu)化技術與ICA協(xié)議結合，形成HDX網(wǎng)絡優(yōu)化技術。此外還提供HDX數(shù)據(jù)中心優(yōu)化技術、HDX終端設備優(yōu)化技術，覆蓋了從數(shù)據(jù)中心到客戶端設備的各種Citrix現(xiàn)有產(chǎn)品，增加了針對多媒體、語音、視頻和3D圖形的改善功能。HDX共有6個類別，它們協(xié)同工作，在各種用戶情境下提供桌面云的最佳使用體驗,包括HDXMediaStream 媒體流技術 、HDXRealTime、HDX 3D、HDX即插即用、HDX廣播、HDX智能緩存。

作為設備端HDX技術的載體，CitrixReceiver簡單得像衛(wèi)星和有線電視接收器一樣。正因為有它，才能實現(xiàn)桌面云中用戶可在任何時間、地點，通過任何設備訪問后端的云。當所有桌面計算和存儲被虛擬化到后臺，終端設備只要安裝了CitrixReceiver，就無需考慮該設備的類型，無論是辦公室PC、家庭Mac機，還是iPhone都不再有區(qū)別。

9 使用感知

·使用習慣發(fā)生變化，如鼠標/鍵盤操作不如本地操作敏捷；屏幕畫面質量與PC機存在差距；U盤無法直接使用、數(shù)據(jù)拷貝受限。

·組織結構和流程變化，新入職省公司員工只需要申請OA賬號，原則上不再配手提電腦，只配TC，出差時需走流程借用部門公用的手提電腦。

·初期實施內(nèi)部投訴會增加，桌面云部署初期，因技術與管理還在不斷完善中，兼容性、使用習慣等問題會招致內(nèi)部投訴增加。

·音視頻質量存在問題，語音可能存在延遲、視頻可能會出現(xiàn)比較卡的情況，尤其針對高清視頻質量廠商目前還沒有好的解決方案。

·無法滿足不同用戶的大量的個性化需求。

·在云桌面中使用某些Web應用，可能會導致系統(tǒng)響應時間變長。

1 IBM桌面云解決方案.http://wenku.baidu.com/view/80142 bd 43186bceb19e8bbd1.html

2 桌面云：云計算在前端的體現(xiàn).http://www.chnsourcing.com.cn/outsourcing-news/article/5919.html

3 Cloud computing.http://en.wikipedia.org/wiki/Cloud_computing

4 陳國良，孫廣中，徐云.并行計算的一體化研究現(xiàn)狀與發(fā)展趨勢.科學通報，2009，54（8）:1 043～1 049

5 范昊，余婷.一種新型的網(wǎng)絡分布式計算——云計算，2008

6 石磊，鄒德清，金海.Xen虛擬化技術.武漢：華中科技大學出版社，2009

7 SUN.云計算架構介紹白皮書（第1版）.http://developers.sun.com.cn/blog/functionalca/resource/sun_353cloudcomputing_chinese.pdf

8 張亞勤.與云共舞——微軟云計算的新進展.中國計算機用戶，2009（2）：12～13

9 英特爾開源軟件技術中心，復旦大學并行處理研究所.系統(tǒng)虛擬化：原理與實現(xiàn).北京：清華大學出版社,2009

10 陳海波.云計算平臺可信性增強技術的研究.復旦大學博士學位論文，2009

11 毛文波.云計算安全.http://blog.pconline.com.cn/article/334526.html

12 IBM.新興安全性技術趨勢展望.http://www-935.ibm.com/