摘要:为了解决南瑞集团研发环节的安全问题及资源的集中管理,开展研发业务场景需求分析和云桌面系统构架设计,整合并合理配置系统前后端资源,建立相关管理配套制度和运行机制,构建统一规范的研发桌面云环境,实现研发成果的集中存储和管理。关键词:桌面云;私有云;虚拟化;信息安全1. 引言云计算技术作为新兴技术代表,完全符合现代技术发展趋势,日益得到更加广泛的应用。国内外如华为等大型企业正在建设桌面云、研发云与应用云的云计算应用基础架构,通过云终端系统和虚拟化技术,采用“集中计算,分布显示”的架构,将所有办公PC的运算合为一体,在服务器端进行集中处理,用户数据集中存放在数据中心内,员工采用云终端设备,仅负责输入输出与界面显示,不参与任何计算和应用,为用户提供绿色、环保、安全的办公环境。目前南瑞集团及下属产业单位从事研发相关工作人员约6000余人,研发成果很大一部分是关系到电力系统稳定安全生产的核心技术或产品等,且部分技术或产品已达到国内领先水平乃至国际先进水平,但研发工作方式还是采用传统的桌面PC,在当前日益严峻的信息安全形势下风险较大,且随着员工规模不断的扩大,在员工终端管理、资源调度、运维成本和能耗方面的问题明显增多,如何建设满足研发业务需求的工作环境也逐渐成为集团各层面关心的议题。 2. 需求调研分析集团公司现有的软硬件架构无法难以满足集团公司业务日益扩展的需求,经过对集团公司现有应用系统架构与实际应用进行调研分析,主要存在如下问题:(1)、桌面应用管控难度较大问题,桌面分布分散,硬件种类多,桌面系统、补丁版本多,存在桌面应用管理难维护难,难以做到统一管控。 (2)、桌面资源未能充分利用,由于PC具有资源独占特性,难以共享提高利用率降低成本,PC以资产形式归属各集团下属单位,难以做到集团内资源优化调配,提供资源有效利用率。(3)、研发环境问题,集团现有研发环境缺少有效集中管理与安全保障的平台与工具。3. 系统架构设计3.1 技术路线 目前使用传统PC机进行研发工作的办公模式存在信息安全性隐患,解决该隐患的方式主要有:传统物理硬件保护措施、基于本地计算资源的桌面虚拟化技术以及基于VDI架构桌面虚拟化技术。传统物理硬件保护:通过对传统PC机进行物理硬件上的保护,进行关键数据的保护,包括PC机无USB口、PC机进行主机上锁、PC机结合桌面管控系统等方式进行关键数据的保护。这种方法比较传统,保护手段比较单一,数据保护机制较少,效果不明显。基于本地计算资源的桌面虚拟化技术:通过对PC及或笔记本进行系统改造,可以通过后台管理服务器对改造后的PC机进行统一管理,用户研发时消耗本地系统资源。这种方法对USB等外设的管控能力较强,用户数据存在本地通过加密进行存储。但这类方法会造成系统资源的浪费,而且数据存在本地,存在数据丢失的风险。基于VDI架构桌面虚拟化技术:基于VDI架构桌面虚拟化技术采用“集中计算,分布显示”的架构,通过虚拟化技术,将所有办公PC的运算合为一体,在服务器端进行集中处理,用户数据集中存放在数据中心内,员工采用云终端设备,仅负责输入输出与界面显示,不参与任何计算和应用,具有高效、绿色、安全、灵活等特点。相比于传统物理硬件保护措施和基于本地计算资源的桌面虚拟化技术,基于VDI架构桌面虚拟化技术的安全性、灵活性、高效性更加明显,目前世界500强企业80%的研发团队都选择基于VDI架构桌面虚拟化技术进行关键数据的管控。针对南瑞集团的研发云的项目将采用基于VDI架构桌面虚拟化技术路线进行规划建设。3.2 集成架构云终端系统不会对其他信息系统进行功能上的改变,云终端系统将办公资源集中到数据中心,用户和业务系统之间的数据流完全在数据中心内部进行交换完成,提升了其他信息系统的安全性,增加了对其他业务系统访问速度。与传统办公类似,仅需要在云终端系统上集成各业务系统的插件或客户端,即可完成对应用软件的集成建设。针对现有研发场景,云终端系统预先在模板上集中安装研发工具及研发所需插件,统一研发工具版本,根据用户研发场景及数量按需的通过模板统一生成,保证研发场景软件标准化建设。对于特殊研发用户,允许个性化更改研发工具及插件版本。3.3 物理部署 云终端系统建设方案充分考虑现有信息化系统架构、研发用户需求、设备利旧等方面因素进行设计,系统架构主要分为用户侧、数据中心侧两部分。用户侧能够利用传统PC、瘦客户机多种方式接入系统进行办公,最大限度的利旧,避免资产浪费。 数据中心侧建立云终端系统虚拟资源池,在资源池中建立虚拟机为云终端系统的连接服务、桌面发布、身份验证、系统管理等服务提供硬件资源,并通过关键传输协议,保证了系统能够在局域网内提供服务,并提供海量的个人存储空间(见图1)。 图1 云终端系统物理逻辑图根据实际情况确认部署方式,建议采用分布部署,集中管理的方式进行云终端系统的部署,部署位置分散在各产业单位数据中心,建立标准的研发云终端系统的典型设计,统一服务器配置,形成研发云的系统标准规范。4. 运行机制公司桌面云项目实质是对公司现有办公模式和IT流程及运营的一次变革,涉及范围广、影响大,需要一个重量级的变革联合项目组和端到端的解决方案。建立分层次协同运作的维护组织,实现桌面云的集中运维管理,桌面云维护组织纳入原有IT维护体系。运维人员构成可分为:业务软件运维人员,基础网络维护人员,云平台运维人员,和日常IT维护人员(见图2)。 图2 桌面云运维维护组织架构基于ITIL运维管理流程建立桌面云的服务流程,保证问题的快速处理和业务的连续可用(1)业务发放 新员工与新调入研发员工可通过业务部门接口人提交相应规格的虚拟机申请。 资产管理员审批合理申请后10分钟内用户可用。 资产管理员定期创建备件池(30个VM)。 运营自动化支撑—自助资产申请和回收 实现资产申请和回收完全自动化。 (2)业务回收 离职工作确认表中增加云安全终端销户环节。 员工办理离职时到项目组进行销户,并由项目组负责人签字确认。(3) 瘦终端维修流程库房定期将故障瘦终端列表反馈并把瘦终端返厂,定期与厂家分析瘦终端质量问题,持续改进质量。(4)数据迁移 业务部门、IT部门、搬迁工作组联合运作。 小规模迁移演练,从方案设计、测试验证每个环节进行演练,确保数据迁移安全快捷。 使用自动化用户数据迁移工具:用于windows用户从物理机迁移到虚拟桌面时,辅助用户批量迁移大规模数据的工具。(5)完善的维护计划日维护计划 登陆检测:每天对客服、安全生产、研发办公场景在早上上班前维护人员使用测试虚拟机进行登录测试; 重要用户保障:每天早上上班前检查重要用户虚拟机状态; 告警处理:每天查看告警以及事件,针对异常情况进行处理; 健康检查:每天进行系统健康检查,及时处理异常问题 。周维护计划 系统优化:每双周对系统中产生的垃圾数据进行清理; 核心重要数据进行手动或自动备份。月维护计划 备件库存检查:每月查询备件情况; 预警整改:每月末对一个月以来发布的预警进行择机处理。5. 结束语通过桌面云环境的实施,将建立基于企业“私有云” 架构下的数据集中管控体系.使用户可以摆脱繁琐的操作,为用户提供一个符合标准、安全高效、灵活易用的桌面系统,从而提升用户感受。同时,可以从管理上提高可用性,实现安全访问和灵活部署.建立可伸缩的虚拟基础架构,从数据中心到用户桌面可实现全面可控的可用性、安全性和可管理性参考文献:[1] 胡海飞.“私有云”架构下终端安防体系的变革.信息安全与通信保密,2013.[2] 钟博.安全桌面云计算架构解决方案.信息安全与通信保密,2012. [3] 王胜杰.基于桌面云技术的规划设计与应用企业应用集成. 科协论坛,2012. [4]朱玉珩 李微巍.企业桌面云计算应用浅析.中国管理信息化,2012.撰稿人(执笔人):张海全 南瑞集团信息化建设运维中心
通讯地址:南京市江宁区诚信大道19号 联系电话:15951655172
电子信箱:zhanghaiquan@sgepri.sgcc.com.cn。