趙晴+秦長征

【摘 要】為了提高電信運營商網絡維護支撐能力，提升網絡維護管理水平，運用云桌面技術與VPN接入安全認證技術，探討電信運營商云桌面系統(tǒng)建設方案。山東聯(lián)通建設實踐表明，通過部署云桌面系統(tǒng)，網絡維護人員借助任一臺終端可以隨時隨地監(jiān)控網絡運行情況、處理網絡故障，網絡維護能力得到切實提高。

【關鍵詞】虛擬桌面 網絡維護 VPN接入

Discussion on Solution to the Network Maintenance Capability Enhancement Based on the Cloud Desktop Technique

[Abstract] In order to enhance the maintenance support capability of telecommunication operators networks and improve the network maintenance management， the cloud desktop and VPN access security certificate techniques were used to discuss the solution to the cloud desktop system construction for telecommunication operators. The construction practice of Shandong Unicom shows that network maintenance personnel can monitor the network operation and deal with the network fault by means of a terminal based on the cloud desktop system. The network maintenance capability is really enhanced.

[Key words]virtual desktop network maintenance VPN access

1引言

網絡維護是電信運營商生命力的根本，如何提高網絡維護質量、保障網路的平穩(wěn)運行一直是運營商在重點探討、希望不斷提升的課題。目前電信運營商正在積極實踐集約化維護管理體系，借助集中化的支撐系統(tǒng)實現(xiàn)對網絡的實時監(jiān)控與故障派單。這種方式相較于傳統(tǒng)的專業(yè)網管監(jiān)控模式應用效果顯著，不僅能整合大量的人力物力資源，節(jié)約了企業(yè)成本，而且還規(guī)范了告警與故障處理流程，提升了網絡監(jiān)控與故障處理效率。

盡管集約化維護管理體系在網絡監(jiān)控方面效果顯著，但要處理網絡故障、完成數據制作，還必須借助專業(yè)網管監(jiān)控終端。目前，在電信運營商監(jiān)控機房中保留了大量的監(jiān)控終端，覆蓋各個專業(yè)、各個廠家、各種網絡形式，存在監(jiān)控終端維護工作量大、訪問受網絡與終端限制的問題。為了克服這些弊端，借助云桌面虛擬技術，將專業(yè)網管客戶端程序統(tǒng)一部署在云端，維護人員只需要一個客戶端設備，通過瀏覽器或者專用程序，就可以訪問駐留在云端的客戶端程序，這個系統(tǒng)被稱為云桌面系統(tǒng)。

2 云桌面

2.1 桌面虛擬化技術原理

從技術層面講，云桌面運用了桌面虛擬化技術[1]。桌面虛擬化技術是一種將用戶桌面與實際終端設備相分離的應用模式，將原本運行在用戶終端上的桌面和應用程序托管到服務器端，并由終端通過網絡遠程訪問，用戶終端本身僅實現(xiàn)輸入輸出與界面顯示功能。用戶終端和后臺數據中心連通采用遠程訪問和調用的方式[2]。

通常，由服務器、桌面虛擬化軟件、用戶終端、存儲和網絡資源組成的系統(tǒng)統(tǒng)稱為桌面虛擬化系統(tǒng)。

由于桌面虛擬化不需要在用戶側處理復雜的計算任務，因此對用戶終端的要求較低。為了利用現(xiàn)有機房PC資源以節(jié)約成本，接入終端可以利舊。

2.2 桌面虛擬化應用原理

在虛擬桌面系統(tǒng)構架中，用戶在終端設備上安裝虛擬桌面客戶端訪問插件，然后可通過Web瀏覽器或者客戶端方式訪問接入服務器，接入服務器將用戶的身份信息提供給桌面管理服務器，桌面管理服務器通過認證服務器對用戶身份進行驗證，驗證成功后在數據庫服務器上找出具有該用戶訪問權限的虛擬桌面，然后接入服務器將這些虛擬桌面在Web頁面或客戶端界面上展現(xiàn)給用戶供其進行選擇，最后將用戶選擇的桌面通過連接協(xié)議直接返回給用戶[3]。

3 建設方案

云桌面系統(tǒng)建設內容主要包含硬件資源部署、虛擬軟件部署、網絡環(huán)境調測、VPN（Virtual Private Network，

虛擬專用網絡）接入安全認證技術部署四個方面。

山東聯(lián)通云桌面系統(tǒng)于2015年5月上線運行，下面以山東聯(lián)通項目實施過程為例，探討云桌面系統(tǒng)建設方案與實施效果。

3.1 硬件資源部署

硬件資源部署主要包含服務器和存儲資源部署。服務器建議采用刀片服務器，相較于傳統(tǒng)的機架式服務器，“刀片+虛擬化”的部署可以更靈活地利用服務器資源，實現(xiàn)更方便及統(tǒng)一的管理，并且能降低服務器對電力、溫控、空間方面的需求[4]。目前，主流的刀片服務器是華為E9000系列。華為E9000服務器深度融合了計算、存儲、網絡和管理模塊，定位于企業(yè)私有云等IT應用場景。服務器建議采用八核甚至更多核心的CPU配置，從整體戰(zhàn)略角度上看可提供高效的性能[5]。存儲建議采用磁盤陣列，以便保證云桌面系統(tǒng)的數據安全性及數據存取速度。常用的磁盤陣列模式是RAID10和RAID5，兩種模式都具有容錯性、冗余性及較好的讀性能[6]。為了提高容量可用率，建議采用RAID5模式。

山東聯(lián)通云桌面系統(tǒng)建設規(guī)模為250個虛擬桌面，單個虛擬機配置2vCPU、3 GB內存、50 GB硬盤容量。

華為E9000采用Intel Xeon Processor E5-4640（8core，2.40 GHz）型號CPU，256 GB內存。

服務器數量測算

1）單個虛擬機的CPU利用率一般為60%～80%[7]，這里按照最高值80%來計算；

2）云桌面用戶并發(fā)量不高于70%；

3）單臺E9000配置4路，32核，64個邏輯處理器；

4）內存使用率不超過物理主機的70%。

實際CPU內核需求=（250×2vCPU）×80%×70%

=280vCPU

實際4路8核服務器需求=280vCPU/64邏輯處理器（單臺）=4.38≈5（臺）

單臺主機的內存大小=（250×3 GB）/70%/5臺=214 GB，考慮集群內允許1臺宕機冗余，建議單臺配置256 GB，恰好與E9000實際配置吻合。

存儲容量測算

1）Raid5模式的存儲有效容量為裸容量的75%左右；

2）總磁盤容量不宜超過80%，避免頻繁告警。

虛擬化后的存儲容量=250×50 GB=12.5 TB

磁盤裸容量需求為=12.5 TB/80%/75%≈20 TB

另外，為了提升存儲性能，要求單盤為不大于600 GB的SAS磁盤，存儲CACHE不小于32 GB。

綜上所述，山東聯(lián)通云桌面系統(tǒng)共部署5臺華為E9000刀片服務器，20 TB存儲容量。采用5臺服務器部署桌面虛擬化組件，搭建服務器集群平臺，建立高效的資源池，實現(xiàn)對資源的動態(tài)分配與調整。

3.2 虛擬軟件部署

目前典型的虛擬化產品包括VMware vSphere、Citrix Xen Server、Microsoft Hyper-V與Linux KVM[8]。山東聯(lián)通云桌面系統(tǒng)采用業(yè)界領先的VMware vSphere。VMware vSphere是VMware公司推出的一套服務器虛擬化平臺，主要包括VMware ESXi、VMware vCenter Server、View Connection Server、View Composer等核心組件。

VMware ESXi Server是一款可以獨立安裝和運行在裸機上的企業(yè)級虛擬機管理系統(tǒng)。在ESXi Server上可以創(chuàng)建多臺虛擬機系統(tǒng)，每臺虛擬機系統(tǒng)擁有自己的虛擬內存、虛擬CPU及其它虛擬資源，相互之間無任何影響[8]。

VMware vCenter Server用于管理VMware vSphere環(huán)境，允許IT管理員簡化和自動化控制虛擬環(huán)境，使其能夠充滿信心地交付基礎架構[8-9]。通過vCenter Server的界面可以進行多項管理與配置操作，如管理物理刀片服務器、創(chuàng)建虛擬機、創(chuàng)建高可用集群保護策略，監(jiān)控各類資源使用情況等。View Connection Server用于負責虛擬桌面的連接分配。View Composer用于負責虛擬桌面的批量生成和虛擬桌面的模板管理。

山東聯(lián)通云桌面系統(tǒng)5臺刀片服務器分別部署安裝ESXi組件，使每臺服務器具備建立虛擬化資源池的基礎。之后，創(chuàng)建多個虛擬機分別部署AD預控/DHCP、vCenter-DB、vCenter Server組件，實現(xiàn)對賬號的創(chuàng)建、桌面IP地址的分配、虛擬機的創(chuàng)建、集群保護等功能。創(chuàng)建虛擬機部署Win2008操作系統(tǒng)，基于Win2008操作系統(tǒng)分別部署Composer、Connetion Server等桌面系統(tǒng)組件，進行虛擬機安裝、聯(lián)調，并利用桌面模塊快速創(chuàng)建、分配虛擬桌面。

在創(chuàng)建好的虛擬桌面上安裝專業(yè)網管客戶端程序，包括移動核心網、IMS、傳輸、IP承載網、無線等，實現(xiàn)對專業(yè)網管客戶端程序的集中管理。用戶在終端設備上通過Web瀏覽器或者客戶端方式，實現(xiàn)對相關虛擬桌面的鑒權訪問。

3.3 網絡接入調測

電信運營商各專業(yè)網管服務器主要部署在公司辦公網和專業(yè)私網中。網絡環(huán)境不同，與云桌面系統(tǒng)網絡互通的方式也會不同。山東聯(lián)通云桌面系統(tǒng)部署在企業(yè)私有云平臺中。

山東聯(lián)通私有云平臺采用一對S9306交換機作為匯聚核心交換機，承擔到DCN辦公網接口的路由。S9306旁掛一對防火墻作為整個資源池的安全隔離并對外提供NAT地址。

山東聯(lián)通云桌面系統(tǒng)虛擬機的管理和業(yè)務地址均使用現(xiàn)有云平臺私網網段地址，此種方式要求云桌面網管客戶端軟件訪問DCN服務端都必須做NAT，且DCN網絡監(jiān)控終端連接云桌面時也須使用NAT以后的DCN地址。具體方案如下：

（1）DCN網管服務端接入

防火墻對云桌面管理及業(yè)務地址配置靜態(tài)NAT，使用靜態(tài)路由指向DCN網絡。

（2）私網網管服務端接入

目前現(xiàn)有云平臺至各私網服務端網絡并無連接，新加一臺接入匯聚交換機H3C7603及一臺防火墻H3C F1000-E，從各私網服務端網絡的網關交換機上增加專線至匯聚交換機H3C 7603，H3C 7603透傳各互聯(lián)VLAN至H3C F1000，并透傳云平臺互聯(lián)VLAN至核心交換機華為S9306，華為S9306透傳互聯(lián)VLAN至云平臺防火墻。

各專業(yè)虛擬機網關部署在云平臺兩臺核心防火墻上，訪問專業(yè)服務器時，通過路由方式指向H3C F1000防火墻，H3C F1000防火墻進行NAT后，將云平臺私網地址映射為各專業(yè)提供的互聯(lián)IP地址，實現(xiàn)與服務器的互聯(lián)互通。

3.4 VPN接入安全認證技術

云桌面系統(tǒng)的訪問環(huán)境是公司辦公網。當維護人員出差或在家時，由于不在辦公網環(huán)境而無法登錄專業(yè)網管進行緊急故障處理。為了解決這個不足，山東聯(lián)通云桌面系統(tǒng)擴展部署了SSL（Secure Sockets Layer，安全套接層）VPN接入功能，可實現(xiàn)公網環(huán)境對虛擬機業(yè)務應用的實時訪問，進而實現(xiàn)對網絡故障的實時處理。

SSL VPN接入功能同步部署短信認證與行為審計模塊。短信認證模塊用來加強對用戶身份的合法性驗證，確保用戶的合法接入；行為審計模塊用來實現(xiàn)用戶辦公網網頁操作記錄、用戶電子郵件行為記錄以及FTP上傳下載的行為審計[10]，為日后取證提供依據。

用戶在Portal頁面中輸入用戶名和密碼，SSL VPN網關將收到的用戶名、密碼發(fā)送到賬號管理iMC（intelligent Management Center，智能管理中心）服務器進行第一次驗證，驗證成功后發(fā)送短信驗證碼至用戶手機，用戶在Portal頁面輸入驗證碼，二次校驗成功后為用戶分配辦公網IP地址實現(xiàn)DCN業(yè)務訪問。接入用戶訪問流量經過DCN接入交換機后將上網行為鏡像到ACG1000-M中進行審計；ACG1000-M按照設置好的審計策略將相關日志信息發(fā)送到ACG服務器進行保存；ACG服務器與iMC服務建立聯(lián)動策略，實現(xiàn)用戶行為與用戶賬號信息的關聯(lián)、保存。

4 部署效果

（1）實現(xiàn)移動辦公，提升網絡維護效率

打破現(xiàn)有專業(yè)網管訪問受網絡與監(jiān)控終端限制的局限性，實現(xiàn)維護人員無論是在家還是在外出差，只要有網絡，借助一臺PC終端均可以實現(xiàn)對虛擬桌面的訪問，滿足了對網絡運行情況的實時監(jiān)控與故障處理需求。根據統(tǒng)計，70%以上的故障通過專業(yè)網管遠程操作可快速解決，網絡維護效率得到切實提高。

（2）提升桌面集中管理能力與業(yè)務應用持續(xù)性

專業(yè)網管客戶端程序由原來部署在分散的PC終端上，改為集中部署在云端服務器，減少了大量的PC終端維護工作量，且避免了由于PC終端升級、故障等帶來的業(yè)務應用被迫中斷的問題，提高了業(yè)務應用的持續(xù)性。

（3）提高硬件使用率與硬件性能實時監(jiān)控能力

通過部署虛擬化軟件，建立高效的服務器資源池，實現(xiàn)對CPU、內存、存儲等資源的動態(tài)分配，不僅提高了硬件使用率，還提高了業(yè)務應用部署的靈活性。另外，山東聯(lián)通云桌面系統(tǒng)部署在私有云平臺中，有云平臺專業(yè)人員與監(jiān)控軟件對云桌面硬件資源進行實時監(jiān)控，有利于及時的故障預警與排障。

（4）有效節(jié)約資金投入

部署云桌面系統(tǒng)可減少對機房監(jiān)控終端的使用。原來每一套專業(yè)網管程序分別部署在不同的終端上，數量近百臺。進行云桌面系統(tǒng)部署后，僅使用幾臺終端，借助賬號密碼控制，即可實現(xiàn)對全專業(yè)客戶端網管的便捷訪問。以單臺終端功耗200 W計算，每年僅終端一項，可節(jié)約電費近11萬余元，如果加上因機房散熱減少空調所節(jié)省的電力消耗，節(jié)約的電費更多。

5 結束語

云計算時代的到來為電信運營商帶來了新的切入點以提高網絡維護能力。山東聯(lián)通云桌面系統(tǒng)通過虛擬桌面技術與VPN接入技術部署，提供了靈活便捷的網絡維護支撐手段，應用實踐證明，維護人員無論是在家還是外出，借助任何一臺PC，都可以隨時隨地登錄專業(yè)網管進行故障處理，大大了提高了網絡維護能力。下一步，山東聯(lián)通將積極探索手機終端虛擬化軟件與VPN接入技術的部署與應用，實現(xiàn)從手機終端直接訪問云桌面系統(tǒng)，進一步提升網絡實時維護能力。

參考文獻：

[1] 孔智鵬. 虛擬云桌面云接入關鍵系統(tǒng)的設計與實現(xiàn)[D]. 廣州： 中山大學， 2013.

[2] 張鵬. 桌面虛擬化系統(tǒng)集中部署方案研究[J]. 信息通信， 2013（9）： 217-218.

[3] 金鈺，朱華. 基于云計算的星級酒店信息化建設的探索和思考[J]. 移動通信， 2015，39（17）： 72-77.

[4] 孫紅恩，常海防，唐旭東，等. 電信運營商桌面云建設方案探討[J]. 互聯(lián)網天地， 2013（9）： 33-37.

[5] 楊歡. 云數據中心構建實戰(zhàn)：核心技術、運維管理、安全與高可用[M]. 北京： 機械工業(yè)出版社， 2014： 4-5.

[6] 張東. 大話存儲II——存儲系統(tǒng)架構與底層原理極限剖析[M]. 北京： 清華大學出版社， 2011： 75-77， 119-120.

[7] 葉水勇，孫曉燕. 利用虛擬化技術對服務器和應用系統(tǒng)進行整合[J]. ELECTRIC POWER IT， 2009（7）： 32-35.

[8] 張魁. 基于VMWARE VSPHERE的虛擬機管理平臺設計與實現(xiàn)[D]. 蘇州： 蘇州大學， 2013： 13-16.

[9] 孫寶華. 基于VMware技術的虛擬服務器技術構建與分析[D]. 長春： 吉林大學， 2010.

[10] 伍建國. 計算機網絡系統(tǒng)在深圳大運中心的應用[J]. 智能建筑電氣技術， 2014（3）： 74.