張 軍， 吳 荻， 周海芳， 周競文， 寧偉勛， 易任嬌

（國防科技大學，計算機學院，長沙410073）

0 引 言

計算機實驗室在擔負課程實驗、實驗課程、上機考試等基本教學任務的同時，還需要支撐學科競賽、創(chuàng)新活動、學術(shù)研究等其他形式的任務，其服務能力和管理效率影響著學生實踐能力的培養(yǎng)質(zhì)量，以及整個教學工作的效果。因此，實驗室建設成為計算機學科建設的重要組成方面，受到學校的高度重視。

目前，計算機實驗室在支撐多元化教學實驗的同時［1-2］，凸顯出管理復雜、成本高等問題［3-4］。而虛擬桌面平臺在實驗室的廣泛應用，在一定程度上提升了實驗室的建設水平，但在使用過程中，使用統(tǒng)一的存儲空間、虛擬內(nèi)核數(shù)量、資源回收等資源分配策略，導致實驗室在部分實訓中關(guān)鍵資源得不到充分利用，而另一部分實訓獲得的資源嚴重不足等問題。

因此，在平臺建設過程中，實驗室明確實驗、實訓等教學任務的需求，對基于虛擬桌面系統(tǒng)的服務器端和客戶端進行詳細規(guī)劃和設計，提出需求不同、分配不同資源的實施方案。實驗室對計算、存儲等關(guān)鍵資源進行規(guī)劃，并設置多種資源分配模式，在滿足各類需求的同時提高資源利用率。

1 實訓教學平臺系統(tǒng)分析

1.1 實驗室實訓教學的需求現(xiàn)狀

隨著教學改革的推進，各類實訓在教學過程中的比重越來越大。對實驗室的服務能力也隨之有了更高要求。

在教學改革不斷深入的過程中，計算機專業(yè)對實訓教學內(nèi)容進行大幅度地擴充或更新，更注重內(nèi)容的時效性。因此，實驗室不僅需要提供大量不同軟硬件實訓環(huán)境還需不定期對其進行更新，以適應靈活多變的實訓教學需求。為此，實驗室需建設一個實訓過程可個性化、實訓結(jié)果可延續(xù)性以及實訓環(huán)境穩(wěn)定的教學平臺，以支持日益繁重的實訓教學任務。

目前，實驗室的臺式機數(shù)量相對較少且性能相對落后，然而有部分實驗環(huán)境卻需使用大量的臺式機并且對其整體性能相對較高。例如，在信息安全相關(guān)的教學和競賽的實訓場景已經(jīng)從簡單的漏洞分析發(fā)展到真實環(huán)境下多種安全攻防對抗手段相結(jié)合。這就需要大量的計算機作為攻擊目標，特別在培訓期間需長期占用這部分資源，而且該實訓對操作系統(tǒng)、應用軟件等實訓環(huán)境會隨著新攻擊技術(shù)的出現(xiàn)而改變。因此，一方面實驗室計算機數(shù)量無法滿足需求，另一方面實訓周期長且完成后需要將環(huán)境恢復為初始狀態(tài)，也極大地增加了實驗室的維護壓力。表1為在CTF競賽培訓中所需資源情況。

表1 信息安全相關(guān)需求

部分課程需大量的計算和存儲資源支持，例如Android平臺移動開發(fā)中需使用的ADT，SDK軟件體積龐大，這些軟件在運行過程中不僅占用大量的存儲空間，還要求臺式機有較高整體性能，而目前臺式機的性能，如表2所示，無法同時開展這類實訓。

表2 目前臺式機配置的主要指標

經(jīng)實驗室對2018年實訓教學的需求分類統(tǒng)計如表3所示。由于實訓環(huán)境需求的多樣性，實驗室在繼續(xù)使用傳統(tǒng)臺式計算機的同時，合理地使用虛擬桌面迫在眉睫。通過對虛擬桌面平臺精細化資源分配，實驗室方可在有限資源的情況下定制大量個性化虛擬計算機以滿足目前的實訓需求。管理員可通過虛擬桌面部署功能方便地實現(xiàn)教學環(huán)境的變更和維護，減輕實驗室管理復雜度，提高實驗室運行效率。

表3 2018年實驗室實訓需求分析

1.2 虛擬桌面模式選型分析

目前，虛擬桌面有如下四類典型模式，RDS（Remote Desktop Services遠程桌面服務）；VDI（Virtual Desktop Infrastructure）虛擬桌面基礎模式；IDV（Intelligent Desktop Virtualization）智能桌面虛擬化模式；VOI（Virtual Operatingsystem Infrastructure）虛擬操作系統(tǒng)基礎模式。實驗室需要對這些模式在功能和性能等方面進行評估，以滿足判斷是否滿足實驗室的線上服務要求。

VDI模式是當前虛擬桌面解決方案中主流的模式與部署方式。在VDI系統(tǒng)架構(gòu)中，客戶端的桌面接收的只是操作系統(tǒng)環(huán)境?？蓪崿F(xiàn)集中管理，減輕實驗室管理員維護系統(tǒng)的工作量，但3D軟件用戶體驗較差；RDS僅限于Windows操作系統(tǒng)桌面的連接。以上兩種架構(gòu)都完全但該架構(gòu)依賴網(wǎng)絡環(huán)境，沒有網(wǎng)絡無法使用，對外設的支持不強。IDV和VOI由于可以離線使用并不能稱為真正意義上的云平臺。IDV的客戶機通過本地虛擬機運行虛擬桌面，不需要大量的圖像傳輸。但由于硬件虛擬化層在客戶機運行，性能和兼容性還是沒有辦法和傳統(tǒng)的PC機相比。VOI是無盤工作站模式。由于在終端本地上安裝操作系統(tǒng)，雖然可以完全利用終端本地資源，對外設支持良好，但不便管理。表4列出了以上4種虛擬云桌面的優(yōu)勢和不足。

表4 四種虛擬桌面模式對比

由此可見，在實驗室需要大量計算機且需求改動頻繁的情況下，并不適宜采用IDV和VOI模式。而RDS限制了的操作系統(tǒng)的使用，因此在許多實踐實訓場景中無法應用。因此，實驗室的實訓教學平臺采用基于VDI的虛擬桌面模式［5-8］。

2 實訓教學平臺系統(tǒng)設計和實施

2.1 平臺整體方案

平臺分為虛擬桌面服務端、客戶端和管理端（見圖1）。虛擬桌面服務端提供虛擬機器的桌面服務和遠程存儲服務；客戶端分為I類客戶端和II類客戶端；管理端主要包含賬戶建立、管理以及分配資源等功能。

圖1 虛擬桌面平臺整體設計方案

通過管理端，管理員可在虛擬桌面服務端生成表5所示的4類虛擬桌面模板類型。管理員在設置賬號同時分配虛擬桌面資源。

表5 虛擬桌面資源分配模式

客戶端具體分類如表6所示，I類客戶端可以使用本地臺式計算機資源，提供靠的外設支持，流暢的3D制作及演示。用戶使用虛擬桌面平臺申請的賬戶在I類客戶端上登錄使用虛擬桌面的資源，這些賬戶可保留當前使用虛擬桌面的快照，用戶下次登錄時繼續(xù)未完成的實訓任務。在II類客戶端上僅提供簡單本地臺式計算機上的U盤等外設資源，用戶使用管理員統(tǒng)一分配的賬戶登錄虛擬桌面，虛擬桌面服務端保留該類用戶使用快照。管理員可在管理端上通過Web方式登錄虛擬桌面，對賬戶和計算機進行監(jiān)控和管理。

表6 虛擬桌面平臺整體實施

2.2 服務端方案和實施

在同一個集群中的節(jié)點服務器有相同的硬件，相同的虛擬桌面監(jiān)視器以及相同的存儲配置，實現(xiàn)虛擬桌面服務無中斷地從一個服務器遷移到另一個服務器上，增強虛擬桌面平臺的魯棒性，保證實訓環(huán)境的穩(wěn)定性。如圖2所示，本虛擬桌面平臺通過CloudStack搭建系統(tǒng)架構(gòu)提供基礎設施即服務（簡稱IaaS）模式，并用XEN虛擬化技術(shù)提供底層虛擬機［9-10］。由10臺H22M-03華為服務器（伺服器）和2臺H52M-03 35*8TB華為存儲服務器組成，其中1臺伺服器作為虛擬桌面的控制平臺，其余9臺組成一個集群。

圖2 平臺服務端實施方案

如圖3所示，虛擬桌面平臺的虛擬機（VM）監(jiān)視器均采用XenServer統(tǒng)一管理。

圖3 平臺服務端VM管理列表

同時，為保證系統(tǒng)安全性、增加吞吐量、提高網(wǎng)絡數(shù)據(jù)處理能力，在網(wǎng)絡架構(gòu)中配置防火墻、ACL、NAT和流量負載均衡，具體設置如表7所示。

表7 平臺服務端IP設置

2.3 客戶端方案和實施

在VDI架構(gòu)的虛擬桌面上，部分實訓所需的外設無法工作。因此在保障實訓教學正常開展的前提下，實驗室充分利用現(xiàn)有臺式機資源［11］，對其進行系統(tǒng)更新，使之具備訪問虛擬桌面功能的同時，也滿足實驗實訓要求。其系統(tǒng)架構(gòu)如下圖4和圖5所示，在系統(tǒng)層均開啟遠程控制權(quán)限，管理員可進行遠程關(guān)閉或者重啟計算機。

圖4 I類客戶端設計架構(gòu)

圖5 II類客戶端設計架構(gòu)

客戶端從服務端獲取虛擬桌面服務器的IP地址后輸入用戶名和密碼即可使用虛擬機。I類客戶端通過虛擬桌面訪問程序直接使用遠程虛擬機，II類客戶端通過應用層調(diào)用Virtual Machine Viewer組件訪問虛擬桌面。由于SPICE協(xié)議在多媒體數(shù)據(jù)的傳輸和USB重定向上具有良好的性能［12-15］，因此在這兩類客戶端上均通過SPICE協(xié)議進行虛擬桌面數(shù)據(jù)傳輸。通過在客戶端上安裝通信組件實現(xiàn)管理端遠程控制客戶端以及與客戶端實施通知公告等消息通達的功能，客戶端可實時接收信息以及隨時查看歷史信息。

2.4 管理端方案和實施

管理端如圖6所示，管理員通過Web方式遠程管理虛擬桌面平臺。管理端主要分為3個部分虛擬桌面管理（VM管理）、賬戶管理以及物理機管理。在VM管理模塊中為了節(jié)約資源，系統(tǒng)可針對不同需求設置不同的虛擬桌面及資源使用策略，不僅提供普通用戶所需的虛擬桌面，還提供性能較高的虛擬服務器。

圖6 平臺管理端架構(gòu)設計

實驗室在公共教學環(huán)境方面，通過平臺配置存儲教學資源的虛擬FTP、線上考試平臺、線上信息安全培訓平臺等高性能虛擬服務器。對于有個性化定制需求的用戶，實驗室根據(jù)其具體需求提供不同的虛擬機的使用方式：II類客戶端登錄后可使用虛擬機自帶的存儲空間而不額外分配存儲空間，當其退出時，不保留用戶使用快照；I類客戶端則可獲得額外的存儲空間，當其退出時，保留用戶使用快照，方便下次登錄時繼續(xù)使用。

在賬戶管理中，虛擬桌面平臺管理員根據(jù)用戶申請的具體需求分配虛擬機的個數(shù)和類型，并確定賬戶所使用客戶端的類型。

為便于管理，在虛擬桌面平臺的一般管理功能的基礎上增加消息廣播功能，方便管理者對所有用戶發(fā)布通知公告等信息，增強了虛擬桌面的互動性，由于實驗室虛擬桌面平臺管理系統(tǒng)中，客戶端在現(xiàn)有臺式計算機上實施，因此設置物理機管理模塊，其功能主要包括對現(xiàn)有臺式機進行在線狀態(tài)查看、遠程開關(guān)機、遠程重啟等操作。

3 服務能力提升

在虛擬桌面平臺上可以很靈活的根據(jù)需求分配虛擬機，在面向更多的受眾開放時，管理員通過便捷的操作滿足大批量實訓所需的環(huán)境條件。實驗室可承擔如計算機軟件能力認證（CSP）等線上評測和認證、在線考試等任務，擴大了實驗室服務輻射范圍和力度。表8中列出范圍和力度相關(guān)的重要指標對比。

表8 實驗室服務范圍對比數(shù)據(jù)

目前，實驗室除支持43門課程，還支持ACM和信安競賽以及“銀河之光”計算機文化節(jié)。在文化節(jié)的網(wǎng)絡安全競賽期間，實驗室通過虛擬桌面平臺提供12種含有不同漏洞的虛擬攻擊目標機，并組合形成120余種比賽場景，以支持奪旗賽、網(wǎng)絡攻防等多種競賽形式。競賽期間，虛擬桌面平臺實時展示比賽團隊和個人比賽成績，網(wǎng)絡攻防的態(tài)勢圖形化展示，為競賽的順利進行提供保障。

在管理效率方面，管理員通過虛擬桌面平臺較快地構(gòu)建出新系統(tǒng)所需的運行環(huán)境，避免采購新服務器，搭建網(wǎng)絡等一系列耗時、復雜的工作。這不僅降低成本，而且縮短新增系統(tǒng)上線時間。與傳統(tǒng)運維不同，管理人員使用線上運維功能，不僅便捷快速重置、更新和克隆虛擬機內(nèi)的系統(tǒng)，以及通知客戶端的使用者離開時間并遠程控制客戶端的物理機，從而減輕管理人員的維護工作量。表9所示列出管理效率的相關(guān)指標對比情況。

表9 實驗室運維管理對比數(shù)據(jù)

4 結(jié) 語

虛擬桌面是一個提高實驗室服務能力的有力工具，但虛擬桌面平臺在運行中所需的虛擬機會占用大量資源，如果不進行合理規(guī)劃和使用，會大大降低虛擬桌面平臺的使用效果。為了使其充分發(fā)揮作用，要求實驗室管理者對虛擬桌面技術(shù)有一定了解，并全面掌握實驗室提供的實訓環(huán)境情況，對虛擬桌面產(chǎn)生的虛擬機進行合理配置，才能在滿足實訓所需的同時，減輕管理者的運維工作量、降低成本，使虛擬桌面充分發(fā)揮更大效能。