摘要：為了解決南瑞集團研發環節的安全問題及資源的集中管理，開展研發業務場景需求分析和云桌面系統構架設計，整合并合理配置系統前后端資源，建立相關管理配套制度和運行機制，構建統一規范的研發桌面云環境，實現研發成果的集中存儲和管理。關鍵詞：桌面云；私有云；虛擬化；信息安全1. 引言云計算技術作為新興技術代表，完全符合現代技術發展趨勢，日益得到更加廣泛的應用。國內外如華為等大型企業正在建設桌面云、研發云與應用云的云計算應用基礎架構，通過云終端系統和虛擬化技術，采用“集中計算，分布顯示”的架構，將所有辦公PC的運算合為一體，在服務器端進行集中處理，用戶數據集中存放在數據中心內，員工采用云終端設備，僅負責輸入輸出與界面顯示，不參與任何計算和應用，為用戶提供綠色、環保、安全的辦公環境。目前南瑞集團及下屬產業單位從事研發相關工作人員約6000余人，研發成果很大一部分是關系到電力系統穩定安全生產的核心技術或產品等，且部分技術或產品已達到國內領先水平乃至國際先進水平，但研發工作方式還是采用傳統的桌面PC，在當前日益嚴峻的信息安全形勢下風險較大，且隨著員工規模不斷的擴大，在員工終端管理、資源調度、運維成本和能耗方面的問題明顯增多，如何建設滿足研發業務需求的工作環境也逐漸成為集團各層面關心的議題。 2. 需求調研分析集團公司現有的軟硬件架構無法難以滿足集團公司業務日益擴展的需求，經過對集團公司現有應用系統架構與實際應用進行調研分析，主要存在如下問題：(1)、桌面應用管控難度較大問題，桌面分布分散，硬件種類多，桌面系統、補丁版本多，存在桌面應用管理難維護難，難以做到統一管控。 (2)、桌面資源未能充分利用，由于PC具有資源獨占特性，難以共享提高利用率降低成本，PC以資產形式歸屬各集團下屬單位，難以做到集團內資源優化調配，提供資源有效利用率。(3)、研發環境問題，集團現有研發環境缺少有效集中管理與安全保障的平臺與工具。3. 系統架構設計3.1 技術路線 目前使用傳統PC機進行研發工作的辦公模式存在信息安全性隱患，解決該隱患的方式主要有：傳統物理硬件保護措施、基于本地計算資源的桌面虛擬化技術以及基于VDI架構桌面虛擬化技術。傳統物理硬件保護：通過對傳統PC機進行物理硬件上的保護，進行關鍵數據的保護，包括PC機無USB口、PC機進行主機上鎖、PC機結合桌面管控系統等方式進行關鍵數據的保護。這種方法比較傳統，保護手段比較單一，數據保護機制較少，效果不明顯。基于本地計算資源的桌面虛擬化技術：通過對PC及或筆記本進行系統改造，可以通過后臺管理服務器對改造后的PC機進行統一管理，用戶研發時消耗本地系統資源。這種方法對USB等外設的管控能力較強，用戶數據存在本地通過加密進行存儲。但這類方法會造成系統資源的浪費，而且數據存在本地，存在數據丟失的風險。基于VDI架構桌面虛擬化技術：基于VDI架構桌面虛擬化技術采用“集中計算，分布顯示”的架構，通過虛擬化技術，將所有辦公PC的運算合為一體，在服務器端進行集中處理，用戶數據集中存放在數據中心內，員工采用云終端設備，僅負責輸入輸出與界面顯示，不參與任何計算和應用，具有高效、綠色、安全、靈活等特點。相比于傳統物理硬件保護措施和基于本地計算資源的桌面虛擬化技術，基于VDI架構桌面虛擬化技術的安全性、靈活性、高效性更加明顯，目前世界500強企業80%的研發團隊都選擇基于VDI架構桌面虛擬化技術進行關鍵數據的管控。針對南瑞集團的研發云的項目將采用基于VDI架構桌面虛擬化技術路線進行規劃建設。3.2 集成架構云終端系統不會對其他信息系統進行功能上的改變，云終端系統將辦公資源集中到數據中心，用戶和業務系統之間的數據流完全在數據中心內部進行交換完成，提升了其他信息系統的安全性，增加了對其他業務系統訪問速度。與傳統辦公類似，僅需要在云終端系統上集成各業務系統的插件或客戶端，即可完成對應用軟件的集成建設。針對現有研發場景，云終端系統預先在模板上集中安裝研發工具及研發所需插件，統一研發工具版本，根據用戶研發場景及數量按需的通過模板統一生成，保證研發場景軟件標準化建設。對于特殊研發用戶，允許個性化更改研發工具及插件版本。3.3 物理部署 云終端系統建設方案充分考慮現有信息化系統架構、研發用戶需求、設備利舊等方面因素進行設計，系統架構主要分為用戶側、數據中心側兩部分。用戶側能夠利用傳統PC、瘦客戶機多種方式接入系統進行辦公，最大限度的利舊，避免資產浪費。 數據中心側建立云終端系統虛擬資源池，在資源池中建立虛擬機為云終端系統的連接服務、桌面發布、身份驗證、系統管理等服務提供硬件資源，并通過關鍵傳輸協議，保證了系統能夠在局域網內提供服務，并提供海量的個人存儲空間（見圖1）。 圖1 云終端系統物理邏輯圖根據實際情況確認部署方式，建議采用分布部署，集中管理的方式進行云終端系統的部署，部署位置分散在各產業單位數據中心，建立標準的研發云終端系統的典型設計，統一服務器配置，形成研發云的系統標準規范。4. 運行機制公司桌面云項目實質是對公司現有辦公模式和IT流程及運營的一次變革，涉及范圍廣、影響大，需要一個重量級的變革聯合項目組和端到端的解決方案。建立分層次協同運作的維護組織，實現桌面云的集中運維管理，桌面云維護組織納入原有IT維護體系。運維人員構成可分為：業務軟件運維人員，基礎網絡維護人員，云平臺運維人員，和日常IT維護人員（見圖2）。 圖2 桌面云運維維護組織架構基于ITIL運維管理流程建立桌面云的服務流程，保證問題的快速處理和業務的連續可用（1）業務發放 新員工與新調入研發員工可通過業務部門接口人提交相應規格的虛擬機申請。 資產管理員審批合理申請后10分鐘內用戶可用。 資產管理員定期創建備件池（30個VM）。 運營自動化支撐—自助資產申請和回收 實現資產申請和回收完全自動化。 （2）業務回收 離職工作確認表中增加云安全終端銷戶環節。 員工辦理離職時到項目組進行銷戶，并由項目組負責人簽字確認。（3） 瘦終端維修流程庫房定期將故障瘦終端列表反饋并把瘦終端返廠，定期與廠家分析瘦終端質量問題，持續改進質量。（4）數據遷移  業務部門、IT部門、搬遷工作組聯合運作。 小規模遷移演練，從方案設計、測試驗證每個環節進行演練，確保數據遷移安全快捷。  使用自動化用戶數據遷移工具：用于windows用戶從物理機遷移到虛擬桌面時，輔助用戶批量遷移大規模數據的工具。（5）完善的維護計劃日維護計劃  登陸檢測：每天對客服、安全生產、研發辦公場景在早上上班前維護人員使用測試虛擬機進行登錄測試；  重要用戶保障：每天早上上班前檢查重要用戶虛擬機狀態； 告警處理：每天查看告警以及事件，針對異常情況進行處理；  健康檢查：每天進行系統健康檢查，及時處理異常問題 。周維護計劃  系統優化：每雙周對系統中產生的垃圾數據進行清理； 核心重要數據進行手動或自動備份。月維護計劃  備件庫存檢查：每月查詢備件情況； 預警整改：每月末對一個月以來發布的預警進行擇機處理。5. 結束語通過桌面云環境的實施，將建立基于企業“私有云” 架構下的數據集中管控體系．使用戶可以擺脫繁瑣的操作，為用戶提供一個符合標準、安全高效、靈活易用的桌面系統，從而提升用戶感受。同時，可以從管理上提高可用性，實現安全訪問和靈活部署．建立可伸縮的虛擬基礎架構，從數據中心到用戶桌面可實現全面可控的可用性、安全性和可管理性參考文獻：[1] 胡海飛.“私有云”架構下終端安防體系的變革.信息安全與通信保密,2013.[2] 鐘博.安全桌面云計算架構解決方案.信息安全與通信保密,2012. [3] 王勝杰.基于桌面云技術的規劃設計與應用企業應用集成. 科協論壇,2012. [4]朱玉珩 李微巍.企業桌面云計算應用淺析.中國管理信息化，2012.撰稿人（執筆人）：張海全 南瑞集團信息化建設運維中心