【文章內(nèi)容簡(jiǎn)介】 IT 適配接口 IT 系統(tǒng)FusionAccess 企業(yè)已有 IT 系統(tǒng)通過該接口實(shí)現(xiàn)對(duì)桌面云的管理。 REST ﹣ IT 用戶認(rèn)證接口 AD 系統(tǒng)FusionAccess 用戶登錄虛擬桌面時(shí)，通過該接口對(duì)用戶進(jìn)行認(rèn)證鑒權(quán)，保證系統(tǒng)的安全性。 LDAP RFC4511～RFC4519， RFC1823 桌面云的網(wǎng)絡(luò)帶寬需求 桌面云的網(wǎng)絡(luò)帶寬與用戶行為，與應(yīng)用戶類型強(qiáng)相關(guān)。幾種典型應(yīng)用帶寬需求情況如下： 空閑： 5K～ 20Kbps； Office(Word/Excel)辦公應(yīng)用： 20K～ 120Kbps； Inter /WWW 瀏覽（純文字） : 50K～ 150Kbps； 呼叫中心客服應(yīng)用 (旁路 /分離方案 )： 100~150 Kbps； PPT/圖片應(yīng)用： 200~300Kbps； 打印： 500~800Kbps； 標(biāo)清視頻 (320P，原始窗口 )： 1~5Mbps；帶寬至少按 4M 算； 高清視頻 (480P,720P,1080P 原始窗口 )： 2~15Mbps；帶寬至少按 10M 算； GPU 直通虛擬桌面 (CPU 壓縮 ): 5~40Mbps，帶寬至少按 20Mbps 算； GPU 直通虛擬桌面 (無壓縮 ): 5~100Mbps，帶寬至少按 50Mbp 桌面云 安全體系 虛擬化安全 虛擬計(jì)算安全 虛擬平臺(tái)（ Hypervisor）統(tǒng)一調(diào)度管理 CPU 計(jì)算資源，保證每個(gè)虛擬機(jī)都能獲得可用的獨(dú)立計(jì)算資源，確保各虛擬機(jī)的虛擬計(jì)算資源相互獨(dú)立安全。 故障物理資源被虛擬平臺(tái)自動(dòng)屏蔽。若某個(gè)虛擬機(jī)系統(tǒng)崩潰，不會(huì)影響虛擬平臺(tái) (Hypervisor)及其他虛擬機(jī)的正常運(yùn)行。 虛擬內(nèi)存安全 虛擬機(jī)的內(nèi)存由華為虛擬化平臺(tái)統(tǒng)一管理，每個(gè)虛擬化之間內(nèi)存完全物理分開，相互之間不存在內(nèi)存的復(fù)用，安全性高。 計(jì)算機(jī)的內(nèi)存一般在未掉電或重新刷新的情況下會(huì)保留上個(gè)階段運(yùn)算的信息。在云計(jì)算環(huán)境下，內(nèi)存的動(dòng)態(tài)分配對(duì)虛擬機(jī)的安全有極大威脅，許多高等級(jí)的攻擊可能利用剩余信息通過極其復(fù)雜的技術(shù)來獲得用戶的敏感信息。通過適當(dāng)?shù)募夹g(shù)可以有效地消除這種風(fēng)險(xiǎn)：在云操作系統(tǒng)將內(nèi)存重新分配給用戶時(shí)， 云操作系統(tǒng)對(duì)分配的內(nèi)存作寫“零”處理，從而保障在新啟動(dòng)的虛擬機(jī)中惡意內(nèi)存檢測(cè)軟件無法檢測(cè)到有用信息。 虛擬磁盤安全 當(dāng)系統(tǒng)管理員操作“失誤”，可能存在將用戶磁盤“誤掛接”到其他虛擬機(jī)的風(fēng)險(xiǎn)，從而導(dǎo)致用戶的數(shù)據(jù)泄露。采用對(duì)每個(gè)用戶虛擬機(jī)設(shè)置某種與用戶關(guān)聯(lián)的標(biāo)記的方式（在操作系統(tǒng)掛接磁盤時(shí)，自動(dòng)檢測(cè)虛擬機(jī)的屬主與標(biāo)記之間的對(duì)應(yīng)關(guān)系），可防止磁盤“誤”掛接。 當(dāng)用戶的虛擬機(jī)被刪除時(shí)（如退租），在將磁盤空間（邏輯卷）重新分配給其他租戶前，若原用戶虛擬機(jī)中有敏感或重要數(shù)據(jù)，系統(tǒng)會(huì)將磁盤數(shù)據(jù)徹底刪除。防止惡意用戶（或租 戶）使用數(shù)據(jù)恢復(fù)軟件恢復(fù)出原來磁盤的數(shù)據(jù)，導(dǎo)致原用戶的數(shù)據(jù)泄漏。 虛擬網(wǎng)絡(luò)安全 安全組是具有同等安全要求的一組虛擬機(jī)。安全組可以由一個(gè)或多個(gè)VM，也可以由一個(gè)或多個(gè) VLAN 所組成。安全組的策略可以細(xì)化到VLAN 甚至每臺(tái) VM。安全組隔離相當(dāng)于 APP 應(yīng)用防火墻。 不同安全組之間的訪問控制由 EVS 和 iNIC 來實(shí)現(xiàn)。其中 EVS 相當(dāng)與IPtable，這是一種內(nèi)嵌在云操作系統(tǒng)中的一種流量訪問控制（ ACL）管控軟件。 iNIC 是由支持 iNIC 技術(shù)的網(wǎng)卡及其驅(qū)動(dòng)來完成，由云操作系統(tǒng)的策略管理軟件下發(fā)相關(guān)的策略， iNIC 來執(zhí)行 。 系統(tǒng)采用 EVS 還是 iNIC 來作 ACL 由云操作系統(tǒng)的自動(dòng)檢測(cè)機(jī)制來完成，當(dāng)系統(tǒng)檢測(cè)到有 iNIC 的硬件時(shí)，采用 iNIC，否則自動(dòng)采用 EVS。 無論是 EVS 還是 iNIC 都支持多達(dá) 200 條 /VM 的 ACL 訪問控制策略，而且支持狀態(tài)防火墻。 虛擬防火墻由兩種形態(tài)存在，一種是由硬件虛擬化組成的虛擬防火墻，在這種部署下，若干個(gè)虛擬防火墻共用一個(gè)物理防火墻資源，但是彼此完全獨(dú)立，也不因一個(gè)防火墻的功能影響另一個(gè)防火墻功能。硬件的虛擬防火墻規(guī)格：支持 4096 個(gè)，支持虛擬 IPS，虛擬 IPsec VPN。 另一種是由軟件實(shí)現(xiàn)的 虛擬防火墻，這種防火墻可以部署在某個(gè) VM上，此時(shí)虛擬交換機(jī)把相關(guān)的流量引到虛擬防火墻上，從而實(shí)施上述功能。虛擬化防火墻提供 REST 管理接口，管理員可以在云安全管理平臺(tái)中配置安全策略，通過 REST 接口下發(fā)到虛擬化防火墻上。管理員也可以在云安全管理平臺(tái)中登錄虛擬化防火墻，進(jìn)行系統(tǒng)管理和維護(hù)工作。 桌面管理安全 終端安全 4 云桌面系統(tǒng) 規(guī)劃 案列 引入： 實(shí)訓(xùn) 機(jī)房 改造 現(xiàn)狀 以及需求 分析： 原有機(jī)房均為傳統(tǒng) PC+局域網(wǎng)運(yùn)行模式，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖 所示 : 改造需求： 桌面云桌面的升級(jí)、變更、維護(hù)等工作交由后臺(tái)統(tǒng)一管理和運(yùn)行，在PC 終端 機(jī)房二 交換機(jī) 服務(wù)器 PC 終端 機(jī)房一 交換機(jī) 服務(wù)器 PC 終端 機(jī)房三 交換機(jī) 服務(wù)器 原機(jī)房網(wǎng)絡(luò)拓?fù)鋱D intra 系統(tǒng)上而不是在用戶在終端上進(jìn)行集中發(fā)布、配置和更新，終端用戶無需任何變動(dòng)即可獲得最新應(yīng)用和服務(wù)，減少終端所需的運(yùn)維支持力度。 依據(jù)相應(yīng)的權(quán)限策略實(shí)現(xiàn)對(duì)不同安全域、不同接入類型用戶的集中管控，保障核心數(shù)據(jù)、應(yīng)用數(shù)據(jù)部流失，以及對(duì)不同業(yè)務(wù)資源的靈活分配和使用狀況審計(jì) 客戶端在經(jīng)過驗(yàn)證后，可以即安全、高效地方便地跨安全分區(qū)訪問后臺(tái)各種不同的應(yīng)用。訪問規(guī)則可以根據(jù)策略制定， 無需頻繁更改設(shè)定。即使通過帶寬有限的網(wǎng)絡(luò)連接，也可以得到較好的用戶體驗(yàn)； 降低維護(hù)成本、提高工作效率：減輕管理人員的工作強(qiáng)度和不必要的重復(fù)勞動(dòng)，提高業(yè)務(wù)系統(tǒng)和辦公環(huán)境的安全性和穩(wěn)定性。真正實(shí)現(xiàn)人盡其責(zé)，物盡其用。 三個(gè)機(jī)房的軟件版本統(tǒng)一，并可進(jìn)行統(tǒng)一升級(jí)； 三個(gè)機(jī)房的 PC 工位內(nèi)存、硬盤資源統(tǒng)一分配，根據(jù)需求可自由分配； 三個(gè)機(jī)房的工位根據(jù)需要，后期可進(jìn)行簡(jiǎn)單的擴(kuò)容和自由分配； 延續(xù)原有的功能需求。 方案設(shè)計(jì) 根據(jù)以上現(xiàn)狀與需求改造方案如下： 說明： 本次桌面云平臺(tái)采用華為桌面虛擬化方案，網(wǎng)絡(luò)環(huán)境劃分成三個(gè)部分：終端層、網(wǎng)絡(luò)層、虛擬化桌面層和后臺(tái)應(yīng)用層，各部分之間按照網(wǎng)絡(luò)要求使用可要用交換技術(shù)隔離，三個(gè)機(jī)房業(yè)務(wù)獨(dú)立，管理統(tǒng)一?？芍婚_放訪問必須的端口。將用戶終端隔離后可以對(duì)后臺(tái)應(yīng)用服務(wù)器起到很好的保護(hù)作用，用戶所有的個(gè)人桌面、應(yīng)用和文檔被集中控制在虛擬桌面層。 配置規(guī)劃 根據(jù)以上方案 桌面云規(guī)劃如下： 5 云桌面 系統(tǒng) 部署 根據(jù)以上需求 ，給出如下 部署方案： 6 云桌面系統(tǒng) 安裝 根據(jù) 以上部署方案 7 云桌面系統(tǒng)維護(hù) 遠(yuǎn)程準(zhǔn)備教學(xué)課件 與實(shí)訓(xùn)室 管理 ?? ?? ?? 機(jī)房一 機(jī)房三 機(jī)房二 匯聚層交換機(jī) 接入層交換機(jī) 接入層交換機(jī) 接入層交換機(jī) TC TC TC 建成 后的網(wǎng)絡(luò)拓?fù)鋱D Teacher Office 虛擬服務(wù)器與存儲(chǔ)云平臺(tái) 結(jié)語 參考資料 參考： 畢 業(yè) 論 文 論文題目 學(xué) 院 專 業(yè) 年 級(jí) 姓 名 指導(dǎo)教師 職 稱 （ 200 年 月） 教務(wù)處制 畢業(yè)設(shè)計(jì)說明書與畢業(yè)論文撰寫的 規(guī)范化 要求 一篇完整的畢業(yè)設(shè)計(jì)說明書或畢業(yè)論文有題目、摘要 及關(guān)鍵詞 、目錄、引言（前言）、正文、結(jié)論、謝辭 、 參考文獻(xiàn)、附錄等幾部分構(gòu)成。要求理工科專業(yè)不少于 4000 字，文科專業(yè)不少于 6000 字。 一 、畢業(yè)設(shè)計(jì)說明書撰寫的主要內(nèi)容與基本要求 一份完整的畢業(yè)設(shè)計(jì)說明書應(yīng)包括如下主要內(nèi)容： 1．題目 設(shè)計(jì)課題名稱，要求簡(jiǎn)潔、確切、鮮明。 2．中外文摘要 及關(guān)鍵詞 應(yīng)扼要敘述本設(shè)計(jì)的主要內(nèi)容、特點(diǎn)，文字要簡(jiǎn)練。中文摘要約 300字左右；外文摘要約 250 個(gè)實(shí)詞左右。 關(guān)鍵詞 35個(gè)。 3．目錄 主要內(nèi)容的目錄。 4．前言 應(yīng)說明本設(shè)計(jì)的目的、意義、范圍及