一、背景

对于各类企业来说，高安全性，高稳定性的信息化系统是维护企业平稳运行的基石，而各级信息主管必须面临这样的挑战：一方面设法扩展数据运营的能力，用信息化建设促进企业生产管理效率；另一方面，又要保证生产信息化系统的高安全性，高可靠性，防止生产数据被泄露或丢失。如何平衡安全、便利和生产运营效率等诸多因素，成为各企业信息主管们头疼的问题。

相对于传统IT基础架构，安全，稳定，节能的云计算架构是满足上述需求、促进生产运营效率提高、确保各项工作有序安全的运行，使企业健康发展的最佳方法之一。

企事业单位实施各类管理信息系统，是提升管理能力的必要手段。由于信息技术广泛的渗透性和关联带动作用，使得信息化成为技术创新的关键环节，信息技术已成为企业竞争力的关键因素之一。然而随着企业信息系统越来越广泛深入的应用，新的问题也逐步的浮现出来。例如，企业核心的数据大多存放在各类信息系统内，一旦信息系统被病毒、木马乃至黑客侵入，很有可能给公司造成巨大损失；同时，数据信息化后，以往成吨的纸质资料只要一个小小U盘就可以全部带走，为企业内部防泄密带来巨大挑战。生产制造型企业拥有大量生产相关数据，这些是宝贵的技术资产和赖以生存的生命线，如何保证这些机密数据或文件不被泄露和丢失，成为生产型企业工作中不可忽视的重大问题。

二、问题分析

传统的IT架构，都是为每个员工、每个工作岗位配备独立的电脑；应用系统则以C/S、B/S架构，乃至单机版安装等方式，部署各类信息化应用系统。在信息化建设初期以及网络不发达的时代，是较为通用的作法；但随着信息化的不断深入和发展，主要暴露出以下问题：

2.1 应用系统访问安全隐患：

传统架构下应用系统发布给用户，最突出的就是信息安全风险。包含以下几方面：

l 应用系统安装在本地电脑，工作数据也存放在本地，无法集中管理，易发生数据泄漏、丢失的安全问题；

l C/S和B/S架构的系统虽然数据存放在服务器上，但使用过程中实际上会传输数据到本地电脑，也存在数据泄漏风险；

l C/S和B/S架构下，用户在客户端电脑必须直接连接到服务器，因此存在着通过客户端电脑去入侵服务器进行破坏、盗取数据的风险；

l 有时候应用系统需要给合作伙伴使用，应有方法严格控制合作伙伴的访问权限，确保合作伙伴无法获取公司机密数据，又不影响其正常使用

2.2 访问的灵活性问题：

l B/S和C/S架构的应用系统，大多在必须在单位内部局域网才能够访问，如果确实需要通过广域网访问到该系统，需要做较多改造，软件的安装发布很麻烦，又面临着信息安全的挑战。

l 一般采用VPN或者将服务器直接暴露在广域网等手段，让用户可以通过互联网来访问应用系统。但VPN安装配置复杂，对网络结构会有所改变，客户端设备也有一定要求；且VPN客户端使用较为复杂，对传输速度也有影响；服务器直接暴露于广域网有较大安全隐患。

l 无论何种手段，应用服务器与客户端之间均有数据传输，受到互联网带宽影响，数据传输可能延迟、中断或丢失，对应用的使用造成影响。

2.3 应用系统发布困难：

应用系统往往并不仅仅是为了单位内部用户使用，经常需要提供给合作伙伴、客户、供应商、代工厂去使用。当这些外部用户比较多而且地理位置也比较分散时，如何快速、方便的将应用系统程序发布给每个外部用户是较大的挑战。或者安装人员逐一上门安装，或者直接发送程序文件，并培训用户让用户自行安装；如果安装文件很大、或安装过程比较复杂，应用的发布过程将更为曲折和麻烦。

2.4 移动办公问题：

在iPad智能手机普及的今天，用户希望能够基于各种平台来访问到单位的应用系统。但如果将原先基于Windows平台的各种应用系统让用户可以从iPad安卓等平台可以访问，则需要在这些平台逐一做定制开发。但这样花费大量成本不说，还肯定无法做到windows平台程序上同样的功能，达到一致的使用效果。并且数据可能传到移动终端上，存在较大的安全问题。

2.5 维护管理复杂。

传统IT架构下应用系统需要在终端电脑上直接部署应用软件，而由于每个用户的素质有差异，大量的软件部署实例会出现各种各样不同的问题，需要针对每台电脑逐一解决；程序需要部署到不同地点；大量软件的升级工作很复杂、升级成本高；防病毒、木马困难。

2.6 高成本高能耗。

传统IT架构下，用户用的是一台台独立的PC，PC的硬件资源配置是固定死的，无法在不同用户之间动态分配。因此必须按照最大化的资源需求来配置，资源无法高效利用，购置成本高；而PC硬件过个三五年基本上就要淘汰更换一批，总体拥有成本高。硬件资源的无法高效利用，无形中也造成了能耗的增加；且计算机由每个用户自行管理，往往处于24小时开机状态，造成资源大量浪费。

三、需求分析

现代企业有对于信息化系统的依赖日益增加。基于传统IT架构，相应的PC数量也不断增加。由于很多企业规模较大，有多个分支机构；地理位置分散，或办公区占地较广，逐一安装部署PC需要耗费大量人力，日后的维护也更是如此；而很多生产管理系统的部署需要较为专业的知识技能，由企业自行安装也很困难；即使安装完毕，日后的使用维护也需要原厂技术人员远程甚至到现场进行，非常麻烦。

对于以上问题，解决方案必须满足以下需求：

u 功能一致性：新方案必须保持原有架构下应用系统的所有功能；

u 应用系统快速部署：企业所需的各类管理系统应该可以快速部署给各类用户，无论是单位内部用户还是外部工厂用户，也不管用户的具体位置在何处，均可以由高研院的管理员统一安装发布； 所有安装维护不需要到现场进行，管理员在自己的位子上即可轻松完成；

u 灵活访问：应允许客户从不同的地理位置，使用不同的终端设备（PC笔记本电脑iPad安卓平板智能手机等）方便的访问生产管理系统，随时使用、查阅、修改数据

u 跨平台兼容性：管理系统的发布与客户端是何种平台基本无关，可将Windows平台下的软件发布到各种常用系统平台。无论客户端是windows系统，还是linux、iOS、Android，用户均可以利用其直接访问到应用系统并正常使用。不需要针对这些平台逐一做应用系统的定制开发。管理员做维护的时候也不需要考虑各种平台的差异性，只要维护Windows版本的软件即可。

u 权限管理：管理员应该可以对何种用户有权限访问何种应用系统，可以集中设置权限。只让用户访问他们应该访问的。

u 数据安全性：所有应用系统的数据都集中部署在总部服务器处理，实现实时集中管理。用户不论在何处、何时使用应用系统，所查看、编辑、修改、创建的数据，始终位于服务器端，客户端不应有任何数据存留。

u 通讯安全性：远程用户与服务器端的数据通讯应该是安全的。经过身份认证的用户，才有可能访问到应用系统并得到

u 低碳节约：降低总体拥有成本，节约能耗。

四、云桌面助力企业信息化基础架构建设

4.1 云桌面介绍

云桌面是完全符合云计算特征的一种云形态，也是云计算最主要的落地方式之一。桌面云的定义是：“可以通过瘦客户端或者其他任何与网络相连的设备（普通PC、云终端、）来访问跨平台的应用程序，以及整个客户桌面”。也就是说我们可以通过多种连接网络的设备-----无论是瘦客户机、云电脑，还是普通PC、平板电脑，甚至是智能手机-----就可以访问驻留在服务器端的个人桌面以及各种应用，并且用户体验和我们使用传统的个人电脑是一模一样的。

桌面云的核心即桌面虚拟化技术。桌面虚拟化将所有用户所需使用的应用、数据集中在服务器端，并将它们与服务器的硬件资源一起，打包成资源池，再分割成一个个独立的虚拟桌面分配给用户；在本地终端上将不再有用户的任何数据和应用，也无法提供计算、存储能力，终端唯一的作用就是连接服务端，获取来自服务器的虚拟桌面界面。所有在虚拟桌面上的文件操作、程序的运行、内存和CPU的占用，实际上都发生在服务器端，本地终端上仅是图形显示而已。而用户通过网络,能够随时随地访问和使用属于自己的虚拟桌面。

因此可以看出，桌面云架构下最大的特征是集中化（也就是云计算的特征），而终端的作用被最大限度的弱化：

ü 应用集中：所有应用程序和业务系统全部集中在云端，使用应用必须通过虚拟桌面；

ü 数据集中：所有数据集中在云端，本地终端没有任何数据；

ü 安全集中：有了应用和数据集中，对应用安全性的监控以及对机密数据保护变得更为容易，只需重点保护服务器端安全即可，无需考虑终端安全；

ü 硬件集中：硬件资源全部集中在服务器端，用户不再需要关心自己所用的设备的硬件从何而来，只需向管理员申请所需数量的CPU、内存、磁盘空间等资源即可。

ü 管理集中：对于用户能使用什么应用、访问什么数据，管理员可以集中统一控制；对于用户虚拟桌面所使用的硬件资源，管理员也可在服务器端统一调度、弹性分配，将闲置的硬件资源提供给其他用户，真正做到按需分配硬件自语；对于用户在虚拟桌面里的各种行为，也可以统一监控。

ü 运维集中：终端上由于没有任何数据和应用，变得极端轻量化，只需要简单连接虚拟桌面的功能即可，基本不需要维护，所有维护工作集中到了服务器端，无论从地理分布，还是维护设备数量上都大大缩减。

4.2 企业信息化建设结合云桌面的必要性

针对第三部分所提及的传统企业信息化架构所面临的问题，结合桌面云的特性，我们来分析一下为什么用桌面云来提升企业信息化建设水平是十分必要的。

4.2.1 信息安全得到极大的提升

ü 数据防泄密：在桌面云架构下，用户所有数据集中存储在服务器端，用户通过虚拟桌面的图形界面，对这些数据可以查看、可以操作，但无法取到终端设备上来。因此只需集中精力对服务器端进行严密保护、监控服务器的文件进出即可，无需对众多终端PC采取保护措施，使数据更加安全。

ü 数据防丢失：传统架构下，想将分散在每个用户PC上的所有工作数据全部备份下来，是无法完成的任务；而在桌面云架构下，由于每个人的工作成果集中在服务器端，使工作数据的完全备份成为可能。同时，也可通过服务器异地容灾备份，进一步加强数据的安全。

ü 防范病毒和木马：传统PC架构一直受到病毒和木马的困扰和威胁，即使花费巨大的精力和成本进行查杀，也无法彻底解决问题。而云桌面架构下，所有用户的桌面都集中在服务器端，可以由管理员统一进行防病毒软件安装、病毒查杀、系统漏洞补丁安装等，确保每个用户的虚拟桌面处于最佳状态。同时，由于每个用户的虚拟桌面都是相互隔离的，一个虚拟桌面即使下载并运行了病毒、木马，也不会对其他去虚拟桌面以及宿主操作系统造成影响。

4.2.2 应用系统发布更便捷

ü 应用系统云发布

生产管理系统等应用系统，可以直接安装在云桌面里，用户无论在何处，如需使用，管理员只要给他分配一个专有的云桌面，用户即可马上使用，不需要在自己的终端PC上进行复杂的安装配置。不同的云桌面可以发布不同的应用系统，管理员只需在后台集中设置权限即可。

ü 移动办公更加方便：

云桌面架构允许在不改变原有各类信息系统的软硬件的前提下，将各类应用系统整合起来，统一发布到移动终端平台上。有了虚拟桌面这个载体，用户可以用各种移动设备，iPad也好，安卓平板也好，智能手机也好，随时登录到虚拟桌面上来使用业务系统。无论是领导出差过程中进入业务系统审批文件，还是外勤人员外出执行任务时将即时信息登记到业务系统中，虚拟桌面都可以满足要求，将移动设备摇身一变，成为随身携带的虚拟Windows电脑。

4.2.3 IT运维更加有序

ü 硬件维护工作量大幅减少：使用云桌面架构后，所有程序、数据均在服务器端管理员，本地终端设备仅仅用于连接虚拟桌面，打开图形界面，因此几乎不必再对终端做维护；

ü 软件维护更加便捷：管理员不必逐一面对每台物理终端上的系统和应用软件进行安装配置工作，只需在服务器端，对主操作系统镜像进行上述管理即可。用户虚拟桌面的创建、配置、分配，也都是在管理端集中完成。在这种模式下，当需要发布新的软件时，只需在主镜像上安装一套，几分钟即可快速下发给所有用户的虚拟桌面。

ü 权限分配更方便：用户在虚拟桌面中可以使用的应用可以由管理员统一制定，访问文件的权限也由管理员集中指定。再不用每台电脑逐一设置权限。

ü 业务连续性显著提高：桌面虚拟化方案只需在服务器端对业务系统实现备份，从而将意外故障停机时间和恢复时间降到最低；系统集群方案可以使在某台桌面虚拟化服务器故障时，其他服务器马上接替其工作，提高了业务系统的可用性及可靠性。此外，用户终端的轻量化，极大的降低办公网络崩溃或是系统宕机的风险，当用户的终端损坏时，只需简单更换终端设备即可马上恢复工作，所有工作环境跟以前一模一样。以上措施使用户使用虚拟桌面工作时业务连续性显著提高。

4.2.4 总体拥有成本显著降低

ü 维护成本降低：采用云桌面架构后，各级企业单位、分支机构的用户桌面，全部集中到了信息中心机房，用户工作桌面里的程序有什么问题，在机房里集中解决即可，无需再到现场查看；而终端上由于没有任何数据和应用，变得极端轻量化，只需要简单连接虚拟桌面的功能即可，可以采用零维护的瘦客户机或老旧电脑；这些终端基本不需要维护，有故障直接更换即可。因此无论是地理分布的范围，还是维护设备数量都大大缩减，极大减轻了管理员的维护工作量，相应的维护成本也降低。

ü 采购成本降低：用户的桌面集中在服务器端，所需的硬件资源也都集中在服务器端，虽然说服务器硬件成本有所增加，但由于云桌面架构下硬件资源可以弹性分配，闲置浪费的资源减少（参考之前提及15%的硬件利用率），因此所需硬件资源总数有大幅减少。即使加上终端设备，由于终端设备较之完整功能的PC要便宜很多，算下来总的硬件成本也比传统PC方案要低。关键是终端设备一般可以用10年左右，PC却是3-4年即要更换，而服务器更新换代的速度也远低于PC，因此随着时间的推移，其总体成本优势也越发明显。

ü 高效节能，低碳环保：服务器群的资源弹性分配给每个虚拟桌面，利用效率远高于PC，同样支持100个用户，需要一两台服务器，所耗费的能源远低于100台PC；而瘦客户机或云终端的能耗则只有普通PC的十分之一或更少，所以说桌面云架构可以节约大量能源，既能节约企业的运营成本，又为绿色低碳、环境保护作出了贡献。

五、企业云桌面基础架构建设规划

5.1 总体目标

企业云桌面基础架构建设的总体目标是：

ü 利用云桌面快速、安全、高效的发布生产管理系统等常用应用系统，大幅减少应用发布和维护工作量。

ü 大幅增加保证应用系统可靠性，确保业务的连续性和数据的安全性，并增强了系统安全性；保证在安全的环境中部署应用程序，保护自身运营；

ü 允许采用低功耗的瘦客户端来替代传统电脑，能解决功耗问题，同时降低成本，真正做到“绿色低碳”的办公环境；

ü 提供灵活、安全的移动办公手段，使用户可在任何有网络的地方使用包括手机、平板电脑在内等各种终端来访问应用系统。

企业桌面云采用 “华宇桌面虚拟化平台”为核心搭建。 华宇桌面虚拟化平台是由上海华宇信息科技有限公司自主研发的多用途、多功能的操作系统级桌面虚拟化软件。操作系统级虚拟化是当前主流桌面虚拟化技术流派之一，华宇在多年技术积累的基础上开发出完全自主知识产权的操作系统级虚拟化产品，结合丰富完善的虚拟桌面管理功能，为用户提供一套完整的具有创新架构的云桌面。

本方案分为私有云和公有云两种架构方案

5.2 私有云方案

对于大部分企业来说，搭建完全属于企业内部的私有云桌面架构是首选方案。所谓私有云桌面即将桌面虚拟化服务器搭建在企业内部，由企业自行管理。整个虚拟化云桌面系统的搭建、用户管理、云桌面及桌面模板管理、应用程序管理、权限管理、系统监控等工作全部由企业自行完成；而企业内部各种应用系统，均可以通过云桌面来访问。外部用户如果想使用云桌面，需要通过VPN加密隧道来接入公司内部网络。

私有云桌面主要两个目的：一是方便的发布企业内各种应用系统；二是可以用节能高效易维护的云桌面 瘦客户机架构替代原有的独立PC。

架构说明：

如上图所示，在企业内部搭建桌面虚拟化平台服务器集群。

l 桌面虚拟化平台服务器为每个用户创建一个云桌面。云桌面里安装有用户所需的应用程序，包括：各种C/S系统架构的客户端软件，浏览器，单机版应用系统软件，其他常用软件；

l 可为每个用户的云桌面发布标准的应用程序，也可以按部门、用户分类，定制不同的云桌面；这些都由管理员在后台通过模板集中设置好；

l 企业内部员工在任何终端上，如普通PC，笔记本电脑，乃至瘦客户机、平板电脑，只要登录属于自己的云桌面即可直接使用云桌面里的应用程序。管理员不再需要为每一台终端电脑上逐一安装应用程序。

l 在外出差的用户，或者合作伙伴用户，必须通过VPN加密隧道访问到该桌面虚拟化集群，获取属于自己的云桌面，再在云桌面里去访问生产管理系统等应用系统。禁止外部用户直接访问到内部应用系统。通过云桌面来为外部用户发布应用系统，一来应用系统更加安全，二来无需再考虑为外部用户的终端安装维护客户端软件，第三可以通过iPad等各种设备来访问应用系统；

l 企业内部用户甚至可以不再需要PC，只要有一个便宜、节能的瘦客户机，即可登录云桌面，使用所需的应用系统和软件完成工作。

5.3公有云架构方案

公有云方案即虚拟化桌面服务器位于运营商IDC机房，通过互联网为各个企业提供云桌面服务。在本方案中，公有云桌面应由应用系统供应商搭建和管理，通过公有云为各企业提供SAAS（软件即服务）或者DAAS（桌面即服务），以租用的方式，将应用系统及云桌面发布给企业用户。

架构说明：

公有云架构下，企业不再需要搭建自己的云桌面服务器集群，一切均由云桌面和应用系统服务商搭建好并统一管理。可以把应用系统软件安装在云桌面里，C/S架构的应用系统也可以把客户端软件安装在云桌面里，再将桌面发布给用户。

企业可以以租用的方式来使用应用系统和云桌面，本身的客户端也不需要做什么改动，即可通过云桌面直接访问应用系统。以这种方式发布和交付应用系统给用户，用户完全不用考虑软件安装、配置等维护问题，一切全部由管理员在云端配置好，把整个儿配好的桌面直接交给客户使用，非常方便；

一个云桌面是专属一个用户的独立的桌面环境，其他用户看不到这个云桌面里的数据，隔离性非常好。即使不同的企业的桌面位于一台物理服务器上，也完全不用担心会泄漏机密。通过互联网远程访问桌面的通讯协议本身经过了加密，也不会发生被截取信息的情况。

总之，公有云桌面架构为应用系统发布提供了一个灵活、安全、经济的选项，变买为租，用户可以按需租用，并可随时随地、通过各种平台的终端设备来使用应用系统。

5.4 华宇桌面虚拟化平台功能说明

1. 云桌面管理：

可利用模板批量创建和配置虚拟化云桌面，对于云拟桌面的CPU、内存、磁盘空间等资源进行分配，并集中监控用户云桌面的使用情况。并可根据群组来设置不同配置的虚拟桌面。

2. 应用系统发布：

对于用户云桌面内可访问的应用系统进行权限控制，根据用户不同的职责或部门，决定给用户可以使用哪些应用系统。对与桌面虚拟化服务器上的应用程序也可以进行统一分配。

3. 虚拟桌面服务器监控：

对于服务器的资源使用情况进行统一监控

4. WEB访问行为管理：

用户在虚拟桌面里可以访问哪些WEB站点，均可以统一管控；访问WEB站点的记录也都会保存在服务器里

5. 认证方式：

内建账号或AD账号同步；

6. 备份功能：

可设置自动备份任务，对所有用户虚拟桌面以及用户数据进行备份；并在系统崩溃重建时可以方便的导入以便恢复用户工作环境；

7. 文件下载与上传：

虚拟桌面与电脑、移动终端等终端设备的文件交互，可以由管理员统一开放权限，决定某用户是否能上传文件到虚拟桌面，或从其中下载文件；

8. 设备映射

华宇桌面虚拟化系统支持将瘦客户机上的声音、USB等设备映射到虚拟桌面里来，使用户能像使用普通电脑一样使用虚拟桌面。

9. 加密传输通道：

采用VPN技术将终端与云桌面服务器之间通讯链路进行加密，使其在一个安全的加密隧道中进行信息传输，确保通讯传输安全。

10. 接入安全：

支持多种认证方式，如域认证、动态密码、USBkey等，确保只允许合法用户访问移动平台系统，即使终端设备遗失也不会有被非法接入内部业务系统的风险。

5.5 华宇云终端介绍

每个用户只需配一台精简的达龙云终端，即可使用完整功能的云电脑

ü 外形极致简约时尚，节省办公空间，装点办公环境

ü 丰富的IO接口和扩展口，比PC更方便

ü 易于维护，硬件故障直接更换即可，无需拆卸修理

ü 超静低音，超低功耗

主要参数

5.6 移动客户端

华宇信息科技为iOS和Android等智能终端平台研发了应用虚拟化客户端APP，用于连接应用虚拟化服务器推送过来的虚拟化应用程序环境。

1) 应用桌面功能

应用桌面是针对移动客户端开发的类ipad风格应用桌面，即利用虚拟桌面技术，将企业内部各种基于Winddwos应用系统发布到移动终端设备上，无需做迁移开发工作，让员工随时随地可以安全访问企业内部应用

企业可以定义不同的应用桌面 ，所有销售文档和APP制作都是在大家熟悉的Window环境下制作完成，利用Office办公软件或Windows下的各种应用工具软件；

2) 移动终端操作

华宇应用虚拟化客户端帮助用户通过移动终端友好的远程使用电脑的Windows应用程序，有以下功能特点：

ü 支持多种手势操作，如滑动翻页；

ü iOS的中文输入法可以直接输入中文到虚拟桌面里（国内领先技术）

ü 触摸点击的声音、图形提醒

ü 方便的窗口拖动

ü 并增加了独特的摇杆鼠标设计，为远程桌面访问提供了更加自如、方便的使用方式

ü 解决了既要双手紧握平板电脑又要单手进行屏幕触摸操作的不便问题

六、 产品部署

6.1 高可用性集群

1） 虚拟桌面迁移：

可以手工将某用户的虚拟桌面从一个服务器上快速迁移到另外一个服务器上，该用户虚拟桌面中的业务不会被中断。

此功能的好处是：

ü 可以在不中断业务的前提下对服务器进行有计划的维护和升级；

ü 当发现某台虚拟桌面服务器有异常时，可以提前迁移用户虚拟桌面以避免突然的硬件故障；

ü 将虚拟桌面迁移到负载较轻的服务器

2） 高可用性：

当一台虚拟机服务器发生故障的时候，该主机上的所有虚拟机都可以在集群中其他的虚拟机服务器上重新启动，从而保证了虚拟机上的虚拟机业务的连续性。

6.2 集群架构

下图为虚拟桌面系统部署架构

如图所示，建议用多台服务器加一台存储组成桌面虚拟化高可用集群，200个用户平均分摊于三台服务器，所有用户虚拟桌面文件全部存放在存储上。机密的CAD设计工作只能通过虚拟桌面去进行，机密文件服务器也只能同过虚拟桌面去访问。用户使用瘦客户机来登录虚拟桌面。

由图中可以看出，机密文件仅仅存放在桌面虚拟化服务器与文件服务器上，并在二者之间传输，不会传到瘦客户机上，一是非常安全，二是即使文件很大，也不会对整个公司网络造成压力。