陽熙

（桂林電子科技大學計算機與信息安全學院，廣西桂林541004）

桌面云技術(shù)在桂林電信的研究與應用

陽熙

（桂林電子科技大學計算機與信息安全學院，廣西桂林541004）

如何提高企業(yè)的生產(chǎn)運營效率，降低運營風險，降低經(jīng)營成本，從而增加企業(yè)獲利和持續(xù)經(jīng)營的能力是目前企業(yè)最關(guān)心的問題。文章對桂林電信信息化建設(shè)過程中存在的問題進行剖析，以桂林電信搭建桌面云平臺進行信息化改造為切入點，通過需求調(diào)研、組網(wǎng)結(jié)構(gòu)、應用場景對桌面云平臺在本地的個性化部署過程進行詳細闡述，解決了在這過程中帶來的問題，展示了為桂林電信帶來的價值。

桌面云；電信；信息安全

隨著目前虛擬化技術(shù)的飛速進展，當今信息建設(shè)的關(guān)注點已由原來的傳統(tǒng)PC轉(zhuǎn)向到桌面云。根據(jù)美國CSI/FBI的調(diào)查顯示，80%的安全威脅來自企業(yè)內(nèi)部，60%的離職者或被辭退者在離開時會攜帶企業(yè)數(shù)據(jù)，因此如何解決內(nèi)部泄密已經(jīng)成為企業(yè)面臨的頭號安全問題。故具有簡化運維管理工作、保障辦公數(shù)據(jù)安全、實現(xiàn)辦公移動化、打造綠色辦公環(huán)境等優(yōu)點的桌面云技術(shù)的出現(xiàn)，彌補了傳統(tǒng)PC辦公存在的缺陷，對于企業(yè)的信息管理、安全建設(shè)的幫助不可忽視。

一、桌面云技術(shù)

桌面云是指利用虛擬化技術(shù)實現(xiàn)基礎(chǔ)設(shè)施、桌面、應用等資源的共享，并對其進行集中部署和管理，在數(shù)據(jù)中心統(tǒng)一托管以服務(wù)方式交付桌面的云系統(tǒng)?；谧烂嬖破脚_，能實現(xiàn)通過任何設(shè)備，在任何地點，任何時間訪問網(wǎng)絡(luò)上的個人桌面系統(tǒng)。實際上是PC計算環(huán)境的松耦合化，通過共享實現(xiàn)集中管理和低成本。［1］

桌面云將傳統(tǒng)的分布式桌面虛擬化到云端服務(wù)器，通過瘦終端進行訪問。臺式PC、筆記本、智能手機、PAD等設(shè)備也能作為接入終端使用。因此桌面云比傳統(tǒng)PC桌面具有以下優(yōu)勢：（一）桌面云更易于管理操作系統(tǒng)、應用程序；（二）減少傳統(tǒng)PC桌面在空閑時的能源消耗；（三）移動用戶可隨時隨地訪問位于云端的應用程序及數(shù)據(jù)；（四）由于數(shù)據(jù)存放于云端，因此用戶數(shù)據(jù)的安全性得以提升。［2］

桌面云的實現(xiàn)方式主要有VDI（Virtual Desktop Infrastructure虛擬桌面架構(gòu)）和SBC（Server-Based Computer基于服務(wù)器的計算機）兩種。

VDI有VDI 1：1、VDI 1：N兩種方案。VDI 1：1，一個虛擬機對應一個用戶。用戶可以安裝自己的應用程序，保存自己的數(shù)據(jù)，是最接近個人PC的一種模式，廣泛適用于各種場景，尤其是辦公場景。VDI 1：N，每個用戶都有自己的虛擬機，共享同一個鏡像，不能安裝自己的程序，但是可以保存自己的數(shù)據(jù)，即用戶每次開機都是讀取一個公共鏡像，利于木馬病毒的預防，適用于營業(yè)廳等公共場所。

SBC基于RDP（Remote Desktop Protocol遠程桌面協(xié)議），SBC提供會話桌面及會話應用。SBC會話桌面可以發(fā)布給多個用戶同時訪問。用戶不能安裝自己的程序，但是自己的數(shù)據(jù)可以保存。SBC會話應用，可以將在應用服務(wù)器中安裝的應用發(fā)布給多個用戶同時訪問。用戶看到的只有一個應用，不可安裝自己的應用，用戶數(shù)據(jù)可以保存。以上均適用于運維場景。

目前已有一些科研人員開展了桌面云技術(shù)與電信行業(yè)相結(jié)合的研究，比如胡俊豪研究了桌面云及虛擬化技術(shù)在電信行業(yè)的應用展望，［3］龔德志研究了云桌面在上海電信應用的可行性及帶來的價值，［4］史奇則具體論述了桌面云技術(shù)在深圳電信IDC呼叫中心場景的應用實踐，［5］高時超對上海電信NOC中心的云計算環(huán)境建設(shè)規(guī)劃進行了闡述。［6］這些研究對桌面云技術(shù)應用在電信行業(yè)的可行性進行了探索，但是，對桌面云在廣西本地化部署的實踐、桂林電信的特殊場景的應用（如培訓教室）及出現(xiàn)問題的解決辦法卻沒有提及，對于西部地區(qū)的研究還很少。因此，探討桌面云技術(shù)在桂林電信中的實際應用問題具有重要的現(xiàn)實意義，對各個分公司部署桌面云平臺起到指導作用。

二、桂林電信在信息化過程中存在的問題

目前桂林電信企業(yè)信息管理面臨著運維任務(wù)重、電腦及外設(shè)設(shè)備管理難的問題，尤其對縣級分公司、區(qū)域分公司的設(shè)備管控更是存在盲區(qū)。

（一）運維任務(wù)重

目前桂林電信企業(yè)內(nèi)部系統(tǒng)繁多，有辦公OA、客戶關(guān)系維護系統(tǒng)、財務(wù)系統(tǒng)、工程建設(shè)管理系統(tǒng)、綜合運營系統(tǒng)、資源查詢錄入系統(tǒng)和華為烽火網(wǎng)管系統(tǒng)等多個辦公運維系統(tǒng)。由于有些辦公系統(tǒng)開發(fā)較早，漸漸已經(jīng)不適應目前的win7甚至是win10操作系統(tǒng)，每次操作系統(tǒng)的更新都會出現(xiàn)不少系統(tǒng)兼容問題，造成辦公系統(tǒng)使用異常的情況，這需要系統(tǒng)管理員到現(xiàn)場進行故障排查，或協(xié)調(diào)工程師對系統(tǒng)進行軟件升級打補丁。因此辦公系統(tǒng)的維護任務(wù)日益加重，提高了企業(yè)人工成本。

（二）電腦及外設(shè)設(shè)備管理難

目前桂林電信本地網(wǎng)整體業(yè)務(wù)規(guī)模為：業(yè)務(wù)終端約1900臺，其中市區(qū)內(nèi)終端約為1000臺，縣分公司終端約為900臺。電腦均采用X86架構(gòu)的個人PC機，操作系統(tǒng)有Windows7、Windows XP、Linux、Unix等。企業(yè)內(nèi)部的計算機維護部門不僅有大量的電腦需要進行殺毒、打補丁、安裝辦公應用程序、安裝外設(shè)驅(qū)動、排查辦公網(wǎng)故障等維護操作，而且個人電腦的碎片化使管理部門在管控企業(yè)辦公電腦的信息安全費時費力，特別是電腦外設(shè)設(shè)備、電腦內(nèi)部應用程序（QQ、微信、郵件等）的管理缺失，使企業(yè)的信息安全埋下了隱患。而縣分公司及區(qū)域分公司的辦公電腦信息安全則完全交由當?shù)夭块T自行維護，上述的管理方式對于企業(yè)的安全建設(shè)造成了更大的威脅。

三、桌面云在桂林電信的探索與應用

針對目前桂林電信信息化建設(shè)過程中存在的運維任務(wù)重、電腦及外設(shè)設(shè)備管理難等問題，桂林電信搭建桌面云平臺進行信息化改造，實現(xiàn)計算資源、存儲資源及網(wǎng)絡(luò)資源整合及動態(tài)調(diào)度，建設(shè)一個統(tǒng)一管理的共享基礎(chǔ)資源系統(tǒng)，以體現(xiàn)桌面云虛擬化的價值。

（一）需求調(diào)研

桂林電信桌面云建設(shè)將需求簡化為4個層次：終端接入層、接入網(wǎng)絡(luò)傳輸層、桌面管理層、資源池層。（如圖1）

圖1　桂林電信桌面云架構(gòu)

1.終端接入層

終端接入層可以是瘦終端、臺式機和智能手機。目前采用基于arm架構(gòu)的瘦終端替換大部分x86電腦。arm瘦終端是一種小體積、低功耗的接入終端設(shè)備，具備輸入輸出接口及網(wǎng)絡(luò)通訊能力，安裝嵌入式操作系統(tǒng)，通過加密協(xié)議與服務(wù)器端進行通信。所有接入終端均采用全虛擬化技術(shù)實現(xiàn)外設(shè)映射。對于無法應用瘦終端的場景，則采用VPN方式接入。

2.接入網(wǎng)絡(luò)層

通過部署安全網(wǎng)關(guān)設(shè)備，并對主要網(wǎng)絡(luò)設(shè)備進行主備負載均衡，冗余鏈路主備，實現(xiàn)用戶的安全接入以及桌面云資源提供服務(wù)的負載均衡。

3.桌面管理層

桌面會話管理軟件層，負責整個虛擬桌面系統(tǒng)的調(diào)度，對用戶進行身份認證及資源池中虛擬桌面的授權(quán)，提供統(tǒng)一的登陸界面及與資源池層的通信。

4.資源池層

資源池層將基礎(chǔ)硬件資源云化，負責計算資源池、存儲資源池、網(wǎng)絡(luò)資源池的統(tǒng)一調(diào)度管理，實現(xiàn)資源的按需分配、動態(tài)調(diào)度，整合碎片化硬件資源，建立統(tǒng)一的共享資源池。

（二）組網(wǎng)結(jié)構(gòu)

本次建設(shè)的桌面云項目覆蓋桂林電信本地網(wǎng)業(yè)務(wù)部門及部分辦公部門，按照平穩(wěn)過渡、高效穩(wěn)定、安全防護的原則。以下列方法組網(wǎng)（如圖2）：

圖2　桂林電信桌面云組網(wǎng)拓撲

1.核心交換機選用中興5252交換機，采用主備雙冗余方式部署，預留冗余鏈路，應用二層鏈路冗余技術(shù)STP（Spanning Tree Protocol生成樹協(xié)議）與業(yè)務(wù)管理中心設(shè)備互聯(lián)，實現(xiàn)多條鏈路之間的備份，保證了訪問企業(yè)內(nèi)業(yè)務(wù)系統(tǒng)的可靠性。

2.虛擬機子網(wǎng)劃小，細分地址段。將不同的虛擬機劃分至不同的網(wǎng)段，使用交換機以及云服務(wù)器內(nèi)部的acl規(guī)則，限制不同子網(wǎng)對業(yè)務(wù)系統(tǒng)的訪問權(quán)限，從基礎(chǔ)網(wǎng)絡(luò)方面提升安全防護。

3.設(shè)備間互聯(lián)線路采用鏈路聚合技術(shù)如靜態(tài)Trunk、動態(tài)LACP（Link Aggregation Control Protocol鏈路聚合控制協(xié)議），將多個鏈路捆綁為一個邏輯鏈路，邏輯鏈路帶寬為多個物理鏈路帶寬的總和。鏈路聚合提高了網(wǎng)絡(luò)的可靠性，多個鏈路互為備份，當鏈路聚合中一條鏈路出現(xiàn)故障，流量會自動在其他鏈路重新分配。本次組網(wǎng)在桌面云區(qū)域的中興5252與業(yè)務(wù)管理中心的S9306之間應用鏈路聚合技術(shù)，保證電信內(nèi)部業(yè)務(wù)系統(tǒng)的穩(wěn)定。

4.接入防火墻使用VRRP（Virtual Router Redundancy Protocol虛擬路由冗余協(xié)議）實現(xiàn)網(wǎng)關(guān)級冗余以及業(yè)務(wù)分離，分擔了設(shè)備負載和網(wǎng)絡(luò)流量，保證外部用戶通過VPN接入企業(yè)網(wǎng)絡(luò)的可靠連接。

5.SAN（Storage Area Network存儲區(qū)域網(wǎng)絡(luò)）與桌面管理層設(shè)備通過光纖連接，部署負載均衡器及預留冗余鏈路，確保數(shù)據(jù)穩(wěn)定、高效傳輸。SAN支持磁盤鏡像技術(shù)（disk mirroring）、備份與恢復（backup and restore）、檔案數(shù)據(jù)的存檔和檢索、存儲設(shè)備間的數(shù)據(jù)遷移以及網(wǎng)絡(luò)中不同服務(wù)器間的數(shù)據(jù)共享等功能。

6.在接入網(wǎng)絡(luò)層部署防火墻。防火墻終結(jié)外部用戶的接入請求，對IPSEC、L2TP等VPN隧道請求進行認證授權(quán)，確保接入網(wǎng)絡(luò)是安全可信的。

（三）應用場景及解決方案

經(jīng)過前期的調(diào)研分析，在以下場景使用桌面云可以體現(xiàn)虛擬化的價值。

1.營業(yè)廳

桂林電信營業(yè)廳分為自主營業(yè)廳與合作營業(yè)廳兩種。自主營業(yè)廳營業(yè)員通過瀏覽器訪問電信內(nèi)部的CRM客戶關(guān)系管理系統(tǒng)，并且需要操作終端支持以下外設(shè)：USB打印、USB存儲、USB key數(shù)字證書、USB接口的IC卡讀卡器、USB接口的SIM卡寫卡器、串口打印機、USB鍵盤鼠標、USB攝像頭、指紋識別儀。合作營業(yè)廳的業(yè)務(wù)訪問方式與自主營業(yè)廳基本一致，采用ADSL/MPLSVPN方式接入電信內(nèi)部業(yè)務(wù)承載網(wǎng)絡(luò)。

桂林電信營業(yè)廳點位比較分散，人流大多集中在自主營業(yè)廳，PC故障率高，硬件、應用程序維護工作量大，每次維護大概需2小時左右。營業(yè)廳業(yè)務(wù)場景相對單一。

針對上述問題，桂林電信選用中興CT620云盒子進行營業(yè)廳終端改造，替換營業(yè)廳傳統(tǒng)PC。該設(shè)備為一種ARM架構(gòu)的瘦終端，本身自帶4個USB接口、1個串口、1個并口，對外設(shè)具有最好的兼容性，能滿足業(yè)務(wù)的平穩(wěn)過渡。營業(yè)廳原有的舊顯示器作為桌面云的輸出設(shè)備，部分低端電腦也可以作為桌面云終端繼續(xù)使用。桌面云在營業(yè)廳場景采用VDI1：N的方案進行實施。

改造本次營業(yè)廳后，解決了以下幾個問題：

第一，減少PC系統(tǒng)的維護量、故障系統(tǒng)的處理時長。所有操作系統(tǒng)均在局端服務(wù)器，管理系統(tǒng)后臺定時備份。當云終端出現(xiàn)問題后，桌面云管理員可通過后臺管理界面對云終端鏡像進行災備恢復。

第二，有效管控USB設(shè)備。系統(tǒng)管理員可通過后臺管理界面對USB的虛擬化進行授權(quán)，有效管控未知USB設(shè)備接入電信業(yè)務(wù)網(wǎng)，助力企業(yè)信息安全。

第三，快速軟件安裝部署。桌面云管理員可在后臺對云終端批量安裝軟件、打補丁，降低運維成本。

第四，減少營業(yè)廳設(shè)備的能源消耗。瘦終端是arm架構(gòu)的設(shè)備，功率為60w，相比傳統(tǒng)X86架構(gòu)的PC，實現(xiàn)了最大化的節(jié)能減排。

2.辦公區(qū)

桂林電信辦公區(qū)員工需要使用電腦進行一些日常的辦公操作，如處理文檔、收發(fā)郵件等，每月員工需使用電腦訪問集團內(nèi)部的在線學習網(wǎng)站進行培訓，在家或出差員工辦公需向管理員申請VPN接入企業(yè)內(nèi)部網(wǎng)絡(luò)。辦公區(qū)員工工作持續(xù)性長，要求系統(tǒng)穩(wěn)定。辦公區(qū)終端處于防火墻內(nèi)部，屬于內(nèi)部可信網(wǎng)絡(luò)，使用電信內(nèi)部IT系統(tǒng)進行大部分公文流轉(zhuǎn)及業(yè)務(wù)辦理。

針對上述問題，桂林電信選用中興CT321設(shè)備進行終端改造。該設(shè)備為瘦終端，相比營業(yè)廳使用的瘦終端功能較強，可滿足員工的辦公及多媒體需求。原有部分低端PC采用安裝桌面云客戶端方式改造。桌面云在辦公區(qū)場景采用VDI 1：1的方案進行部署。

通過本次辦公區(qū)采用桌面云虛擬化，實現(xiàn)了以下價值：

第一，彈性分配計算資源、存儲資源。所有的云終端來自于物理設(shè)備的虛擬化，在單臺PC上不存在瓶頸，對于一些電腦性能要求高的部門，可以彈性分配資源，使資源最大化利用。

第二，提高系統(tǒng)穩(wěn)定性。所有的云終端均運行于局端的云服務(wù)器，不僅可以有效避免由于設(shè)備斷電、硬盤損壞等情況造成的資料丟失情況，而且可以通過定期對存儲單元進行備份，保證數(shù)據(jù)的完整性。

第三，提高企業(yè)信息安全。管理員可以對USB設(shè)備接入進行管控，只對特定的云終端USB存儲設(shè)備虛擬化。桌面云支持用戶權(quán)限劃分，只對特定用戶開放保密等級更高的文件。

第四，有效利用內(nèi)部網(wǎng)絡(luò)資源。通過對RAP協(xié)議的網(wǎng)頁視頻解碼進行壓縮優(yōu)化，降低了在線視頻等大流量數(shù)據(jù)并發(fā)對企業(yè)內(nèi)部網(wǎng)絡(luò)的沖擊，節(jié)約了50%碼率，提升了云終端的并發(fā)量，使員工流暢播放1080P的在線視頻。桌面云管理員可監(jiān)控每一個虛擬機的網(wǎng)絡(luò)情況，及時發(fā)現(xiàn)出現(xiàn)網(wǎng)絡(luò)異常的主機。

第五，彈性登陸，異地辦公。桌面云提供瘦終端、手機、平板等多種虛擬方式。外出出差員工可以通過SSL、IPSEC方式訪問桌面云的單點登錄認證頁面，繼續(xù)訪問原有云虛擬機進行辦公。

3.培訓室

目前桂林電信培訓室處于桂林電信本部，有41臺傳統(tǒng)PC機，分別為一臺教師機與40臺學生機。由于平時有不同的部門會申請培訓室進行業(yè)務(wù)培訓，存在u盤管理不善、電腦容易中木馬的現(xiàn)象，而且需要接入企業(yè)內(nèi)網(wǎng)來訪問業(yè)務(wù)系統(tǒng)，因此存在較大的安全隱患。

針對上述問題，桌面云改造將教師機和學生機均更換為瘦終端。教師機采用性能較強的CT340，學生機采用CT320。培訓室原有顯示器及其他外設(shè)利舊，不做更換。桌面云在培訓室場景采用VDI 1：1的方案進行部署。

通過本次培訓室采用桌面云虛擬化，存在以下價值：

第一，采用UDP組播方式，對網(wǎng)絡(luò)壓力小。培訓室要求教師機畫面能同步傳輸至學生機上，因此選用無連接的UDP組播方式，提高傳輸效率。

第二，教師虛擬化桌面直接到學生終端，無需數(shù)據(jù)包中轉(zhuǎn)。由于企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境復雜，從云服務(wù)器到瘦終端之間至少經(jīng)歷了4個網(wǎng)絡(luò)設(shè)備，如果組播報文從教師用終端發(fā)至服務(wù)器，然后再由服務(wù)器轉(zhuǎn)發(fā)至其他學生終端，會出現(xiàn)組播風暴，對企業(yè)內(nèi)網(wǎng)絡(luò)存在較大的沖擊，因此組播報文存在被丟棄的情況。針對以上情況，本次改造對瘦終端系統(tǒng)及云服務(wù)器進行優(yōu)化，局域網(wǎng)教學采用組播下沉技術(shù)，將組播報文通過教師用瘦終端直接轉(zhuǎn)發(fā)到局域網(wǎng)內(nèi)學生瘦終端，解決了組播丟棄的問題。

第三，學生機采用瘦客戶端，無法進行其他操作。由于虛擬機存放在云端，便于管控，有效地避免了學生接入U盤或其他不安全的操作對企業(yè)信息安全帶來的隱患。

第四，桌面云用戶與終端的MAC地址進行綁定，防止用戶隨便更換座位。這樣防止在培訓過程出現(xiàn)利用他人登陸云終端代考的情況。

4.其他商業(yè)用戶

目前桂林電信為其他企業(yè)用戶提供桌面云的商業(yè)化解決方案。桂林電信通過對原有桌面云進行權(quán)限細化、區(qū)域劃分，建立起桌面云應用遠程交付能力，為小微企業(yè)快速部署桌面云服務(wù)。桂林電信通過在核心交換機建立MPLSVPN通道，建立與小微企業(yè)等商業(yè)用戶之間的安全通道，保證網(wǎng)絡(luò)穩(wěn)定、數(shù)據(jù)安全。

四、結(jié)語

近年來，在虛擬化技術(shù)的飛速發(fā)展下，企業(yè)領(lǐng)導的重視下，桂林電信的信息化建設(shè)日趨完善。桂林電信在企業(yè)內(nèi)部大力推動終端虛擬化，不僅為廣西電信其他分公司起到示范典型的作用，而且使企業(yè)的辦公效率顯著提高，建立了標準化的運維體系，提升企業(yè)內(nèi)部的信息安全水平，響應了中央節(jié)能減排的號召，為企業(yè)的健康穩(wěn)定發(fā)展提供了強有力的后盾。

［1］中國聯(lián)通公司.中國聯(lián)通公司企業(yè)標準：QB/CU045-2012［S/ OL］.［2012-01-06］.http：//www.doc88.com/p-6746102011999. html.

［2］A.Berryman，P.Calyam，A.Lai，M.Honigford.VD Bench：A Benchmarking Toolkit for Thin-client based Virtual desktop Environments［C］.Proc.of IEEE CloudCom，2010.

［3］胡俊豪.云桌面技術(shù)及其在電信行業(yè)的應用［J］.信息與電腦（理論版），2011（8）：137-138。

［4］龔德志，石屹嶸.云桌面技術(shù)在上海電信的應用模式與研究［C］//中國通信學會.信息通信網(wǎng)絡(luò)技術(shù)委員會年會論文集：2013年卷.北京：人民郵電出版社，2013：435-438.

［5］史奇，李源，何洪，吳小鋼.基于中國電信IDC的呼叫中心云桌面服務(wù)模式研究［J］.云技術(shù)與應用，2013（S2）：77-80.

［6］高時超.上海電信NOC統(tǒng)一資源池和云桌面的規(guī)劃與建設(shè)［D］.上海：上海交通大學，2012.

Study and Application of Desktop Cloud Technology to Guilin Telecom

Yang Xi
（School of Computer Science and Information Security，Guilin University of Electronic Technology，Guilin，Guangxi 541000，China）

The most concerned issue of today's enterprises is their capacity for profit and sustainable management，and their development through improvement in productivity，reduction of operation risks and costs.From the information reconstruction through desktop cloud platform established by Guilin Telecom，and the explanation of desktop cloud platform establishment with local individuation through demand research，network structure and application scenarios，this paper makes an analysis of the problems in the present informatization construction of Guilin Telecom，brings forward corresponding solutions，and presents the value of Desktop Cloud for Guilin Telecom

desktop cloud；Telecom；information security

F626

A

1001-7070（2016）04-0118－05

（責任編輯:楊建香）

2016-04-20

陽熙（1988-），男，廣西桂林人，桂林電子科技大學碩士研究生，主要從事云計算、信息安全工作。