諾云Tropo安全云桌面解決方案-法院

1、諾云Tropo 安全虛擬桌面解決方案2013年9月諾云信息系統(tǒng)（上海）有限公司1. 行業(yè)背景當今法院應用正朝著自動化、集成化、網絡化、信息化和智能化的方向發(fā)展，在這種趨勢下，誕生了許多先進技術和先進管理應用模式。隨著新時代的需求，如何提高自身的競爭力和應變能力時刻保持優(yōu)勢，已經成為擺在眾多業(yè)務單位面前的難題。先進的管理和業(yè)務模式的發(fā)展要求現(xiàn)有的IT基礎設置能夠提供更高的服務水平，因此在法院信息化中，需要建立以虛擬化為導向的資源分配體系結構，主要用于集中IT管理、應用整合、管理控制等。信息化技術的引進及應用，可以以最高的性價比滿足個性化管理需求，使信息技術與業(yè)務相融合，不斷推進行業(yè)的進步和發(fā)展。

2、2. 現(xiàn)狀分析法院系統(tǒng)單位業(yè)務系統(tǒng)眾多，且往往涉及到機密信息。單位的桌面IT系統(tǒng)面臨著安全性、桌面系統(tǒng)維護、業(yè)務連續(xù)性保障等諸多挑戰(zhàn)需要解決。2.1 系統(tǒng)安全性低辦公人員的PC通常是應用系統(tǒng)的客戶端，可接收、處理、存儲應用系統(tǒng)的數(shù)據，且辦公人員的工作往往涉及機密信息。若這些數(shù)據在PC上被拷貝、黑客盜取等，都容易使數(shù)據泄密，從而對業(yè)務單位造成不利影響。2.2 終端分散，管理維護困難接入辦公網絡的終端數(shù)量眾多，在當前大量使用PC的情況下，所有終端的操作系統(tǒng)、補丁升級、業(yè)務軟件都需要在每臺PC上分別實施，耗費巨大的人力物力，效率低下；同時PC又十分分散，導致管理效率低下進而影響工作人員的辦公效率。P

3、C硬件種類繁多，用戶修改桌面環(huán)境的需求各有不同，很難實現(xiàn)集中式的管理。目前還存在的村鎮(zhèn)法庭遠離區(qū)縣中心，桌面的維護也是一大難題。2.3 資源利用率低、可用性差隨著IT技術的發(fā)展，辦公PC的配置越來越高，多核CPU、大內存、大硬盤的配置越來越普及。據調查，現(xiàn)有辦公系統(tǒng)的PC資源利用率通常低于10%，計算能力沒有得到充分的發(fā)揮。此外，終端PC是最容易被病毒、木馬攻擊的對象，一旦某臺PC被攻擊就可能導致整個辦公網絡的業(yè)務系統(tǒng)崩潰。2.4 高能耗高排放、運行成本高PC硬件相對較低的成本優(yōu)勢，通常無法抵消PC管理和能耗的高成本。一臺PC的能耗在200瓦左右，每臺PC一天平均運行10小時，一臺PC一年耗電

4、500度左右；同時為PC工作環(huán)境配套的電源系統(tǒng)、制冷系統(tǒng)能耗更多。在當今政府部門提倡綠色節(jié)能、低碳環(huán)保的大環(huán)境下，是一個很大的挑戰(zhàn)。3. 解決方案3.1 方案原則:根據政府涉密行業(yè)的現(xiàn)狀及特殊性，諾云推出的云桌面解決方案遵循以下原則：1) 確保政府業(yè)務的數(shù)據安全性2) 部署、更新簡單快速3) 保證政府業(yè)務持續(xù)運營能力4) 合理IT預算，綠色節(jié)能3.2 總體方案-諾云 Tropo桌面云諾云Tropo桌面云產品以虛擬桌面代替?zhèn)鹘y(tǒng)桌面，產品的高可用性和快速遷移特性有效保證了政府行業(yè)關鍵系統(tǒng)的穩(wěn)定運行，有效降低了由于系統(tǒng)故障導致的業(yè)務終端不可用，將損失降到最低；同時管理人員可對復雜的IT環(huán)境經行集中管

5、理，統(tǒng)一運維，大大提升了IT管理人員的工作效率，也減少了硬件的投資成本。此方案可以實現(xiàn)以虛擬化桌面代替?zhèn)鹘y(tǒng)桌面，用戶隨時隨地使用網絡資源，并可進行集中部署，統(tǒng)一運維，極大地節(jié)約了能耗和維護成本，并保證高并發(fā)數(shù)連接的穩(wěn)定性、可靠性。尤其是保證數(shù)據的安全性，所有的數(shù)據運算和存儲都在后臺完成。以部署30個虛擬桌面為例，方案拓撲如下：根據硬件配置的不同，桌面云系統(tǒng)提供的功能將產生差異化。提供如下兩種方案供用戶進行選擇：1） 將2臺服務器通過虛擬化技術變?yōu)樘摂M桌面資源池，運行30臺虛擬桌面。該方案暫時無法提供資源池動態(tài)HA及虛擬機熱遷移功能。同時，統(tǒng)一控制中心也可部署在該服務器上，在不影響桌面性能的基礎

6、上可降低硬件投資成本。2） 配備兩臺服務器組成集群，同時配備SAN共享存儲陣列。虛擬桌面數(shù)據均存儲在 SAN存儲陣列之上。該虛擬桌面池（集群）能夠提供資源池HA功能，保證系統(tǒng)高可用性；同時虛擬機能夠在資源池內的兩臺服務器之間進行熱遷移，當服務器需進行計劃內維護時可保證業(yè)務連續(xù)性。該部署方案中，統(tǒng)一控制中心部署在一臺單獨的服務器上。瘦客戶機部署在辦公人員本地，辦公人員使用瘦客戶機通過諾云NCLP協(xié)議連接分配給其的虛擬桌面。整個桌面云系統(tǒng)由Strato控制器統(tǒng)一管理。3.3 桌面云安全設計當多單位的桌面云部署于同一個私有云內時，我們提供VPC（virtual private cloud）解決方案

7、- 可以在大桌面云的基礎上provision-on-demand生成多個VPC。VPC的網絡數(shù)據完全隔離，網絡配置也是互相獨立，使得用戶在安全性、管理性和合規(guī)性上的到保證。同時提供透明的安全策略遷移， 隨著虛擬機在物理服務器之間的動態(tài)遷移，安全策略也隨著動態(tài)遷移，滿足云架構的實時變化要求,同時對現(xiàn)有的連接無影響。我們的云網絡間安全技術，基于網絡界最先進的軟件定義網絡的架構，采用和傳統(tǒng)的安全設備在線數(shù)據處理不同的方式，使網絡安全策略不再影響鏈路上數(shù)據流量。將CA認證以及三合一設備的認證動態(tài)的與云管理平臺的結合在一起，讓用戶得到傳統(tǒng)狀態(tài)的使用體驗且增強用戶認證的高安全性。l 桌面云建設的優(yōu)勢體現(xiàn)1

8、）終端易部署利用先進的云計算技術進行云終端研究，實現(xiàn)云終端的“零部署”和即插即用，用戶無需安裝部署任何軟件（軟件集中部署在服務器的云計算平臺上），使用人員需要做的僅僅是接上網線、顯示器及鼠標、鍵盤，啟動云終端，即可進行業(yè)務操作，非常方便易用，真正做到終端接近“前臺零部署”。2）終端易維護由于終端數(shù)量上的龐大和科室上的分散，因此傳統(tǒng)架構下的系統(tǒng)的維護工作量大且非常繁瑣。本項目將使用云計算統(tǒng)一平臺管理統(tǒng)一維護，在大幅度提升運行維護效率的同時，使得信息人員從繁雜的終端維護工作中解放出來，大大提高工作效率，同時實現(xiàn)云終端接近“零維護”。3）高安全性體現(xiàn)針對這種情況，接入終端應具備良好的故障恢復能力和數(shù)

9、據安全保障，通過云計算技術保證數(shù)據集中運行于服務端，實現(xiàn)云終端和數(shù)據存儲功能的分離，通過虛擬機的冗余配置以及存儲的容錯功能從而有效地杜絕由于PC容易帶來的數(shù)據丟失等問題。同時由于數(shù)據處理和存儲也集中在后臺數(shù)據中心，杜絕了數(shù)據在傳輸過程的安全性問題。4）節(jié)能環(huán)保建設傳統(tǒng)電腦終端能耗問題和散熱噪音問題嚴重阻礙低碳經濟和節(jié)能環(huán)保的建設，針對這種情況，以經濟環(huán)保的高性能云終端（平均功耗20-30瓦）代替?zhèn)鹘y(tǒng)電腦終端（平均功耗200瓦）符合政府節(jié)能環(huán)保建設的需求，并為整個社會實現(xiàn)低碳經濟和綠色環(huán)保提供表率作用。3.4 管理平臺介紹1) 服務器整合通過在物理服務器上創(chuàng)建虛擬機，將傳統(tǒng)服務器的業(yè)務遷移到虛擬

10、機上運行，可以實現(xiàn)服務器整合從而提高資源利用率。使用桌面云系統(tǒng)，用戶可以輕松創(chuàng)建和管理虛擬機，并選擇合適的CPU、內存和存儲大小、模板、網卡類型和網絡。2) 虛擬機運維管理a、虛擬機復制：通過虛擬機復制，系統(tǒng)管理員可以從一個虛擬機模板復制出多個具有相同資源配置、操作系統(tǒng)和應用的虛擬機，顯著提升工作效率。b、備份和恢復：支持虛擬機備份功能，管理員可以手動備份控制節(jié)點和虛擬機，也可以配置策略定時備份。系統(tǒng)還提供了恢復機制，當虛擬機所在主機故障時，可以將虛擬機方便地從備份點還原到其他的主機上。c、資源實時監(jiān)控：對物理服務器和虛擬機資源使用情況進行監(jiān)控，包括CPU使用率、內存使用率，磁盤I/O讀寫速率

11、、存儲使用率和網絡使用率等資源使用情況，系統(tǒng)管理員可以根據實際情況進行資源調配。3) 虛擬網絡管理支持虛擬網絡技術，包括虛擬交換機和虛擬VLAN等功能。a、虛擬交換機：虛擬交換機的運行方式與物理以太網交換機相似，它將服務器上運行的多臺虛擬機以類似于物理交換機的方式連接起來，從而實現(xiàn)虛擬機之間的互聯(lián)互通、VLAN隔離等交換機特性，便于對虛擬交換機進行管理。b、虛擬VLAN：虛擬交換機上實現(xiàn)了類似與物理交換機上的VLAN功能，能夠根據802.1Q 標準，利用VLAN字段進行二層廣播域的劃分，實現(xiàn)同一VLAN內虛擬機的MAC 學習和二層通信，以及不同VLAN 之間虛擬機的相互隔離。要使用此功能，必須

12、在宿主服務器中創(chuàng)建虛擬網絡交換機，并將其綁定到支持802.1Q VLAN標記的物理網絡適配器。VLAN ID可在兩個位置設置。虛擬網絡交換機本身，可以設置父分區(qū)的虛擬機網絡適配器所使用的VLAN ID。c、可以創(chuàng)建多個虛擬網絡，以提供多樣的通道。還可使用虛擬網絡管理對虛擬網絡進行添加、刪除或者修改操作。如可以創(chuàng)建提供下列功能的網絡：僅用于虛擬機間的通訊，此類虛擬網絡叫做私有網絡。 用于宿主服務器和虛擬機之間的通訊，此類虛擬網絡叫做內部網絡。通過創(chuàng)建到宿主服務器上物理網絡適配器的連接，在虛擬機和物理網絡之間進行通訊，此類虛擬網絡叫做外部網絡。 4) 服務器運維管理通過管理平臺，可以對多臺服務器進

13、行統(tǒng)一管理，資源調度和存儲管理等多種操作?？梢赃M行集中管理數(shù)百個主機以及上千上萬臺虛擬機，同時可以設置分級管理員分組管理各自的虛擬機或物理主機。系統(tǒng)提供B/S架構的方式執(zhí)行相關任務和操作，實現(xiàn)對虛擬機的創(chuàng)建、配置、啟動、停止、刪除、遠程訪問和部署操作。5) 保證業(yè)務連續(xù)性借助虛擬化HA，可以實施一個統(tǒng)一的災難恢復平臺，發(fā)生故障時可以快速恢復虛擬機或轉移到可用的服務器，保證業(yè)務的連續(xù)性。相比于傳統(tǒng)昂貴的高可用性方案，虛擬化實現(xiàn)的高可用性經濟成本大大降低。6) 高安全性通過執(zhí)行安全性管理，隔離虛擬機的數(shù)據傳輸和網絡通信；虛擬機之間的隔離機制保證了一個虛擬機異?；虮晃＜皶r不會相互影響。利用企業(yè)級的s

14、tateful防火墻，支持NAT、訪問控制、L7inspection等功能，保證虛擬機的網絡安全。采用虛擬局域網的方式加強網絡管理和安全，控制不必要的數(shù)據廣播。用戶可自定義安全組規(guī)則保證只有授權的源可以訪問內部虛擬機。7) 節(jié)省的IT成本我們的系統(tǒng)虛擬化技術可以為企業(yè)節(jié)約大于40%的硬件投資和60%的運維成本。規(guī)模越大，節(jié)省的投資和成本越可觀。隨著處理器能力的加強、在更多低成本硬件上得到認證，節(jié)約的成本會不斷提高。8) 標準化IT操作我們的系統(tǒng)虛擬化技術將企業(yè)的軟件和硬件相分離，創(chuàng)建標準化的數(shù)據中心，虛擬化技術可以在任何主流的服務器上運行，支持任何軟硬件環(huán)境中配置和維護服務器，提高了現(xiàn)有硬件投

15、資的價值。由于虛擬化技術將軟硬件管理分開，在需要時將運行中的軟件從需要維護的硬件上遷移，保證了業(yè)務的連續(xù)性，并節(jié)約了整體IT管理成本。9) 提高業(yè)務響應速度IT人員可以快速、靈活地配置新服務器和虛擬機，以響應業(yè)務的變化。系統(tǒng)提供了強大的瞬時置備功能，使業(yè)務部門在需要時置備他們的桌面和應用。以前需要幾天的時間部署架構，現(xiàn)在只需要1個小時乃至幾分鐘。10) 動態(tài)資源調整能力虛擬化技術將資源集中到資源池中統(tǒng)一管理和分配，系統(tǒng)可以對虛擬機的工作負載變化作出響應，根據業(yè)務量的大小和優(yōu)先級調整IT資源，確保服務質量。根據預先指定的虛擬機資源分配的規(guī)則和優(yōu)先級，系統(tǒng)會自動優(yōu)化虛擬機位置，以提高硬件的利用率、

16、靈活性和可用性。使用虛擬化系統(tǒng)以后，只需部署少量的服務器即可靈活應對業(yè)務需求變化。11) 日志與報警管理12) 系統(tǒng)記錄事件和操作日志，如虛擬機創(chuàng)建和刪除，主機組創(chuàng)建和刪除，管理員和用戶登錄，服務啟動等。系統(tǒng)使用報警支持對系統(tǒng)資源使用的情況進行監(jiān)視，如主機CPU的使用率等。用戶可以設置報警條件，報警等級，在條件滿足時產生報警。這些功能能夠幫助系統(tǒng)管理員及時了解系統(tǒng)的運行狀況，并在故障時能夠排查故障原因，及時恢復正常運行。 3.5 方案特點1. 高安全性諾云 Tropo 系統(tǒng)，將所有的數(shù)據都放在數(shù)據中心，用戶終端只是虛擬桌面的同步影像，沒有任何數(shù)據存儲。數(shù)據中心的安全等級要遠遠高于本地，極大避免

17、了數(shù)據的丟失。同時，諾云Tropo 系統(tǒng)配合諾云 Slice客戶端，可根據USB外設類型或使用者權限進行控制，防止機密數(shù)據的外泄。管理員可使用 Tropo 系統(tǒng)中的自動備份功能，靈活備份數(shù)據，這樣即使硬件損壞，數(shù)據丟失，也可以將備份數(shù)據快速恢復到正常狀態(tài)，不會讓勞動成果付出東流。2. 集中，靈活的管理通過諾云Strato控制器，并可對整個系統(tǒng)中的物理及虛擬設施進行統(tǒng)一管理，將復雜的基礎設施進行整合。Strato控制界面基于B/S架構，不必單獨安裝管理客戶端，所有的管理動作都可在控制中心中進行，其強大、靈活的集中管理模式將管理員從繁復的工作中解脫出來，極大的提高了工作效率。諾云Tropo對用戶權

18、限進行了靈活的定義，可以對各部門配置管理員，給予相應的權限，使得部門管理員只要登錄GUI管理界面，就可完成所有管理工作。3. 快速部署諾云 Tropo系統(tǒng)提供給管理員高度的自由度，管理員可以根據需要將新的應用軟件，環(huán)境制作成為模板，只需兩步操作，完成應用的升級、部署，且模板可以反復使用，極大的節(jié)省了時間。4. 高可用性當應用故障，系統(tǒng)損壞時，管理員只需使用備份文件快速恢復虛擬機，或者直接將現(xiàn)有虛擬機刪除，在使用模板重新建立一個虛擬機，整個過程可在一分鐘內完成，保證了高度可用性。5. 優(yōu)秀的用戶體驗借助諾云NCLP協(xié)議對視頻流、語音流、圖像流的優(yōu)化，通過諾云Slice客戶端可以使用戶獲得與真實P

19、C相同的用戶體驗，并且支持最高達2560X1600的分辨率，顯示效果一流。6. 降低總成本TCO諾云Tropo 系統(tǒng)所使用的Slice客戶端，價格只有普通PC的1/3,功耗比傳統(tǒng)PC節(jié)省90%，并且諾云Slice客戶端使用瘦客戶端架構，比普通PC有更長的使用壽命，擁有更高的使用穩(wěn)定性。集中管理的特性也使得管理員的工作量急劇減少，極大的節(jié)省了時間與人力成本，降低總體擁有成本。4. 配置參考4.1 硬件配置（方案一）名稱CPU內存NIC/HBA卡硬盤數(shù)量虛擬桌面資源池Xeon 6核 E5-2620*296G2端口1Gb全雙工300G*2 SAS企業(yè)級磁盤 RAID12T*4 SATA企業(yè)級磁盤 R

20、AID12Slice瘦客戶端Intel 1037U2G RAM1端口全雙工16G ROM604.2 硬件配置（方案二）名稱CPU內存NIC/HBA卡硬盤數(shù)量虛擬桌面資源池Xeon 6核 E5-2620*296G2端口1Gb全雙工500G*2 SAS企業(yè)級磁盤 RAID12Strato控制器Xeon Intel16G2端口1Gb全雙工300G*2 SAS企業(yè)級磁盤 RAID11存儲資源池IP或光纖存儲2T *6 SATA企業(yè)級磁盤 RAID51Slice瘦客戶端Intel 1037U2G RAM1端口全雙工16G ROM604.3 軟件配置諾云Tropo云桌面終端軟件，每終端接入許可。該套件功能：標配虛擬機管理模塊，外設管理模塊，存儲管理模塊，備份模塊，用戶管理模塊，日志管理模塊。5. 產品介紹諾云虛擬化產品基于諾云云操作系統(tǒng)，