终端虚拟化(精选8篇)
终端虚拟化 篇1
截至2011年第三季度, Red Bend软件产品在全球的装机量已近13亿, 目前支持的手机机型达到了930个, 此外, 还有15%的预集成设备是除手机以外的其他终端产品。在中国市场, Red Bend已支持170多种手机机型, 预计2011年其中国市场的整体销量与2010年相比将增长4倍。据悉Red Bend已与中国移动、联想、中兴等厂商达成密切合作。
深度感知用户体验
11月15日, Red Bend软件公司推出了可以进行移动软件分析的vSense Mobile产品, 作为其为服务提供商推出的移动软件管理解决方案套件的附加解决方案。这款产品能够通过对消费者基于Android平台的智能终端的掌控, 为电信运营商和设备制造商提供有关设备性能、应用行为和用户喜好的分析。
据了解, vSense Moblie是一种端到端解决方案, 包括客户端安装软件和提供给运营商使用的后台系统。Red Bend全球市场执行副总裁Lori Sylvia表示, 这款软件分析类产品的研发历时两年, 能够帮助运营商实时了解智能终端的操作运行是如何影响用户体验, 以及用户的使用趋势。
对于设备制造商而言, 他们能与运营商合作使用这款产品。设备制造商可通过运营商收集和提供的用户使用报告, 对自身产品做出调整或更新。
实现终端虚拟化
在采访中, Lori Sylvia还向记者演示了内置Red Bend移动虚拟化成果的终端样机。该公司在去年并购了VirtualLogix公司, 并在全球不断推广移动虚拟化的终端应用。利用移动虚拟技术, 智能终端厂商不但能大幅降低制造成本, 还能实现两部手机合二为一的高端需求。目前, Red Bend的移动虚拟化技术已在智能终端上实现, 不仅能应用于手机, 甚至还能在汽车上使用。
对于企业员工而言, Lori Sylvia表示, “我们这样做能够方便企业及其员工用户, 他们不用再带两部手机了”。企业员工只需要购买内嵌Red Bend软件的终端产品, 由其公司内部的IT技术人员为其终端开通一个安全企业域, 再利用Red Bend在线更新功能, 在终端上安装这个企业域, 该员工就可以在一个终端上同时使用两个操作系统了。这两个操作系统可以互不干扰地运行, 将工作和生活分开, 而且这两个操作系统可以不是同一个平台。此外, 企业还可以结合vSense Mobile产品使用, 监督在企业域上该用户的软件和应用使用情况。
据悉, 支持Red Bend移动虚拟化功能的智能终端将于2012年上市。其合作对象主要包括运营商、芯片厂商, 而应用目标群则以企业用户为主。
此外, Lori Sylvia还表示, 该产品的另一种应用方式是为设备制造商降低制造Android终端的成本, 使得功能手机也能使用Android平台, 实现智能手机的功能。
终端虚拟化 篇2
【关键词】桌面虚拟化;系统构成;终端机;管理
【中图分类号】G250.7 【文献标识码】A 【文章编号】1672-5158(2013)03-0156-01
IT技术的发展不断促使计算机应用向更快速、更高效、更准确的方向发展,但是网络技术的普及使得当前的企业规模和网络接入设备日益庞大、网络终端机日益分散,这就为企业发展预期的目标带来了相当的阻碍。如何对资源和应用进行整合,借助网络实现终端机的快速部署成为当前需要关注和解决的重点问题。桌面虚拟化技术即为该类问题的一个主要解决方案。利用桌面虚拟化技术可以为企业搭建一个具有云架构的操作平台,该平台内终端机可以在避免维护和管理的前提下更为高效、集中、灵活的完成既定操作。此外,桌面虚拟化技术对操作终端硬件需求的降低也大大推动了其在终端机管理方面的应用。
1 桌面虚拟化技术优势分析
桌面虚拟化技术是一种基于服务器的技术,其在服务器端完成数据的管理和分配,而终端部分只需要使用基础的操作设备即可获得与完整计算机相同的用户体验。结合使用无线网络技术,用户可以随时随地的使用终端接入设备实现桌面办公操作。
相较于传统的桌面操作而言,桌面虚拟化技术具有以下优势。
1.1快速部署。服务器相较于终端而言,其性能优势更为明显。应用桌面虚拟化技术可以按照用户的使用需求对终端的操作系统、应用配置、数据传递等在服务器端进行安装和分配,进而实现终端桌面的集中部署。这种方式可以将新增一台虚拟桌面的时间压缩到几分钟之内完成。
1.2访问灵活。由于该技术将桌面部署在服务器端,因而所有发生在虚拟桌面的运算都可以在后台完成,这就简化了终端用户的使用体验,用户不用再携带一套完整的计算机硬件设备即可完成对虚拟桌面的访问。
1.3安全性高。由于对虚拟桌面操作所产生的数据都存储在服务器端,故配合使用多种数据管理技术即可实现对数据的维护,这就使得数据的安全性能和可靠性能得到了增强。
1.4管理便捷。桌面虚拟化技术改变了以往的终端维护方式,实现了单一设备的多桌面维护,因此只需要对服务器端的桌面和应用进行配置即可完成终端的同步,避免了传统操作方式需要对每台终端设备都要进行管理的庞大工作量。
1.5降低成本。桌面虚拟化技术对终端设备的要求不高,瘦客户端只要消耗少量的功耗或者资源即可实现与传统桌面相同的操作。
2 桌面虚拟化技术在终端机管理中的构成
桌面虚拟化技术的架构实现主要包含以下几部分:终端机设备、远程连接协议、桌面虚拟化连接服务器以及桌面虚拟化服务器。
2.1 终端机设备
终端机设备主要是指对虚拟桌面进行具体操作的硬件设备,如台式机、笔记本电脑、手机等。桌面虚拟化技术对终端系统具有非常强的兼容性,可以实现不同操作系统间的交互。当终端机设备连接虚拟化客户机后可以获得与其对应的虚拟桌面并对桌面内容进行配置,使其成为用户在终端机可直接运行的应用程序。例如,使用桌面虚拟化技术用户可以在无法运行Windows7或Mac OS操作系统的终端实现该系统的运行。
2.2远程连接协议
通过远程连接协议可以实现终端机设备和虚拟化服务器之间的信息交互。常用的协议有PCoIP协议、ICA协议、RDP协议。其中前两种协议在热插拔设备的支持性以及高码率的数据传输方面具有非常好的用户体验,基本可以满足用户的使用需求。
2.3 桌面虚拟化连接服务器
该部分的主要作用是终端机之间的中间连接。其利用目录服务验证技术对终端机设备进行身份验证,建立特定的连接通道,然后利用远程连接协议将用户请求发送给虚拟服务器中的相应虚拟机,实现服务提供。
2.4 桌面虚拟化服务器
该部分是实现对终端机设备进行虚拟桌面分配和管理的核心组件,是整个系统的中心管理员。对于终端的桌面操作系统,服务器会在其内部进行建立和存储,每个虚拟系统均保持相互独立,一旦终端请求对桌面进行操作,则服务器按照相应的规则和数据传输协议将所需的完整的桌面系统发送给用户。对于用户所需的数据信息或者所产生的数据信息均被存储在服务器端,由服务器端的数据中心进行配置、管理或者存储等。
3 桌面虚拟化技术在终端设备管理中的应用
当一个完整的桌面虚拟化系统搭建完毕后,终端设备可以通过所设立的通信网络如专线或者VPN等内部网络访问远程桌面系统,利用远程桌面访问服务器系统或者从服务器系统获得计算结果,进而实现业务的办理。
终端设备申请使用虚拟桌面需要提供对应的用户名和密码,服务器端确认无误后调用与该用户名相匹配的虚拟桌面利用远程连接协议发送到用户所使用的终端,用户在终端设备中使用桌面虚拟化客户端打开该虚拟桌面即进入到服务中,同时接收服务器端的管理和调度。
用户对桌面使用完毕后向服务器端发送申请,服务器端对该用户产生的数据进行整理和存储,用户只需要关闭终端设备所运行的虚拟桌面客户端即可。虚拟桌面中的数据不会对终端设备产生任何影响,这就大大增强了终端设备的安全性,降低了对终端设备的性能要求。
当用户更换终端设备后,仍旧可以访问其账号所对应的虚拟桌面,内容和数据不会丢失。
4 总结
桌面虚拟化技术可以大大降低整个系统的硬件成本,在对终端设备要求不高的情况下完成用户的请求。同时,桌面的集中管理也提高了系统的安全性能,保证了企业数据不会因用户硬件原因被非法获取。此外,虚拟桌面技术对终端设备的接入而言是一种革新,可以供用户随时随地使用多种终端实现对桌面的操作,在可用性和便捷性方面带来了极大的改善。综上所述,桌面虚拟化技术具有广泛的应用前景。
参考文献
[1]王荣,张丽颖.桌面虚拟化在集中监控组网中的应用[J].通信管理与技术,2011(4)
[2]赵睿,茅亮.桌面虚拟化技术在营业系统中的应用[J].邮电设计技术,2010(8)
[3]邱科宁.桌面虚拟化技术在计算机实验室管理中的应用研究[J].福建电脑,2012,28(1)
终端虚拟化 篇3
一、业务终端管理现状
多年的信息化建设, 使基层央行实现了业务电子化、办公自动化。各种类型的计算机作为必要组成部件, 已经变得不可或缺。服务于业务的终端计算机数量也随业务的发展呈线性增长, 信息系统的硬件基数越来越大, 持有和维护成本逐年增加;同时整个信息系统的风险点也在增加, 安全防护工作变得更加复杂。
(一) 业务终端计算机情况复杂, 维护难度大
按照人民银行信息安全管理制度和相关管理要求, 所有业务入网终端计算机均要做好统一的安全配置、安装统一的安全管理软件。多年前的信息化建设没有统一的设计, 不同部门的软件资产对业务终端的配置和环境要求不一样;多批次购置的业务计算机涉及多种品牌, 多种型号。这些特点使业务终端在软件和硬件层面都变得复杂、难以控制。将新购置的个人电脑安装、配置成为可用、符合入网条件的业务终端会占用基层央行科技人员大量的工作时间和精力, 而将这些入网的终端计算机进一步配置成符合特定业务的用机更是费神费力。
(二) 业务软件对系统软件依赖性大
经过多年的积累, 人民银行系统业务软件过度依赖微软Windows XP和IE 6等系统软件的支持, 这类业务软件数量众多, 重要性不言而喻。近年来计算机软硬件技术发展迅速, 新购置的硬件架构已由以前的32位升至现在的64位, 与Windows XP彻底无法兼容。微软对Windows XP的服务停止也宣布Windows XP的商业生命寿终正寝。虽然人民银行与奇虎360合作, 在业务终端上引入了360盾甲来延缓这一进程, 但是业务终端被Windows 7等更高版本的系统软件所代替也是不可避免。这就造成寄生于IE 6浏览器的业务软件不经重构便无法利用新购置的PC计算机正常开展业务。为此科技人员不得不开动脑筋, 手动升级Windows 7, 利用微软提供的虚拟技术, 模拟出符合特定业务系统要求的虚拟化Windows XP系统, 但这却降低了业务员的操作体验。
(三) 信息系统安全风险大
业务终端作为基层央行信息系统的重要组成部分, 也是信息安全管理中最薄弱的环节。由于基层央行业务人员安全意识淡薄, 计算机安全知识不足, 但业务开展中又有与外部发生数据交换的客观需求, 这为病毒和木马的传播提供了可乘之机, 很容易导致业务系统不正常工作, 出现死机甚至系统崩溃。中毒的业务计算机往往会以指数级的速度蔓延到整个业务网络, 极大地降低了整个信息系统的安全性。
二、桌面虚拟化技术
桌面虚拟化技术是在物理服务器上安装虚拟主机, 由虚拟主机模拟出来的各种硬件资源供虚拟出来的操作系统运行所用, 虚拟桌面的存储和执行 (包括操作系统、应用程序和用户数据) 都集中在服务器上。桌面虚拟化技术是一种用终端设备完成输入和展示的服务器处理结果的新技术, 通过展现虚拟化技术为最终用户提供人机交互界面。终端用户通过瘦客户端, 或者类似终端设备利用远程协议在局域网或远程访问, 获得与传统PC机一样的操作体验。
桌面虚拟化技术常用的实现模式包括客户机虚拟化、基于服务器的虚拟化和基于云计算的虚拟化。基于客户机虚拟化模式, 利用传统的个人电脑或笔记本电脑虚拟出来的操作系统、应用程序和用户配置, 整个虚拟机的信息以磁盘文件的形式存放在物理机的本地硬盘等存储设备上。如VMware公司的ACE (Assured Computing Environment) 产品, 用于解决复杂台式机环境下的部署、维护和控制问题。
基于服务器的桌面虚拟化模式的客户端通过RDP, ICA等网络协议连接到代理服务器, 代理服务器中有专门的软件负责平衡服务器资源和客户端之间的协作关系, 认证和授权Active Directory虚拟机的生成。这种模式下, 每个远程接入服务器的连接都可以获得一个独立的虚拟机, 包括操作系统、应用程序和用户设置。客户端本地可以没有存储设备, 不存储数据文件, 恶意代码难以存活, 因此可以确保业务应用的数据安全。外部端口均由管理员授权用户使用, 有效地管理和控制了客户端与服务端的数据交换行为, 杜绝了未授权的数据交换行为, 保证数据的有效安全控制。
基于云计算的桌面虚拟化模式与服务器模式类似, 主要差别体现在它们的管理方式上, 提供云计算的供应商能够提供桌面虚拟化应用。
三、桌面虚拟化技术应用前景分析
基层人民银行中心机房都是按照国家C级机房标准建造, 省级数据中心是按照B级标准建造, 拥有百兆级的内部网络, 机房物理环境良好, 服务器和存储设备均能为桌面虚拟化提供良好的硬件支持。
(一) 终端计算机管理更有序
通过桌面虚拟化技术, 实现了操作系统和业务应用的统一发布, 让业务终端计算机的管理更加有序。利用桌面虚拟化技术可以虚拟出完全独立于宿主机物理硬件和软件的虚拟机, 使得基层央行科技人员可以摆脱不同批次、不同品牌、不同型号的计算机硬件的困境, 在测试成功后将它们保存为模板, 可以随时建立一个同样配置的虚拟机, 降低了日常维护的难度, 提高了效率和应急处理能力, 让整个单位的业务终端管理趋于集中化、标准化。通过对不同部门业务的梳理和分析, 可以建立更加符合业务需要的操作系统和应用软件, 配置更具个性的业务系统运行环境和策略, 形成可以复制和迁移的虚拟机文件, 对终端计算机进行分组管理, 增加终端管理的灵活性, 变被动管理为主动管理。
(二) 简化IT运维
桌面虚拟化技术比现有的终端技术更容易部署。用户桌面所用的操作系统和应用程序都在服务器统一的硬件平台安装和执行, 客户端只保留完成显示和通信功能的硬件。科技人员无须对终端的软硬件逐一进行维护, 而是将分散在众多客户端上的操作集中在服务器上统一处理发布, 大大降低了运维工作量。业务终端的安全防护措施和策略可以在桌面虚拟机服务器端集中设置, 如通过对服务器的防病毒软件的控制, 保障所有接入业务终端免遭病毒侵害。分组设置多种安全策略, 提高桌面虚拟终端的安全性, 如针对业务终端设置一致的非存储类USB设备控制策略, 严格控制内外网的数据交换, 确保数据安全。根据终端用户组特点, 限制桌面终端用户权限, 避免内部用户的越权操作。用户业务应用系统的安装、升级均可在服务器上集中部署, 统一交付, 升级失败也可用已备份的虚拟机文件快速恢复至升级前状态, 有效提高业务终端的可用性。
(三) 有效降低信息系统的总拥有成本
桌面虚拟化技术的应用可减少硬件投资成本, 如果业务客户端采用支持桌面虚拟化的瘦客户端, 终端购置成本可减少一半, 采用逐步淘汰、替换的策略, 整个单位硬件购置成本会逐年下降。桌面虚拟化技术可降低业务终端的运行成本, 如瘦客户端的耗电量不到PC计算机的六分之一, 采用桌面虚拟化技术后, 整个信息系统的耗电量将显著下降。桌面虚拟化技术减少基层央行的IT运维成本, IT运维人员可以将主要精力放在虚拟服务的维护和配置上, 只要终端用户的简单重启, 多数问题便可解决, 整体的运维成本明显下降。桌面虚拟化技术的应用使基层央行信息系统的总拥有成本下降, 落实国家节能减排号召, 带动基层央行IT投资的下降, 有利于发展绿色IT。FTT
参考文献
[1]周炬, 马国胜.虚拟化技术在金融业的应用及安全分析[J].中国金融电脑, 2013 (3) :51-57.
终端虚拟化 篇4
关键词:虚拟化终端管理,优化信息建设,应用
在经济全球化,社会信息化的进程中,我国医院已进入数字和信息化时代,在新医疗改革的大潮下,优化医院信息化建设, 让医疗系统能更好地服务于患者、服务于社会,在医院管理过程中也就显得尤为重要。
一、医院信息化建设现状
1.信息管理观念落后。传统医院信息管理是一个相对封闭的管理系统,医院信息仅满足医院内部需要,缺乏与外部的信息沟通和交流,造成医院信息时效性低,利用率下降。
2.综合性信息管理人才缺乏。医院工作人员在日常工作中只注重本专业的核算与管理,缺少综合性信息管理人才,导致医院信息规范、管理、监督、利用的脱节。
3.信息系统管理有待完善。(1)医院之间信息系统不兼容, 资源共享存在障碍。近年来, 我国医疗行业信息化水平不断提高,从基础的网络建设到管理信息系统、临床信息系统、医疗影像系统、电子病历系统,以及各个系统间的建设都取得一定的进展,应用规模不断扩大,终端设备快速增加,各医院管理系统只有开放、灵活、易整合才能顺利实现系统兼容,信息共享,才能适应现代社会的需要。(2)医院内部信息管理系统彼此孤立,给工作带来了不便。医院内部部门之间系统隔离,材料采购、人力资源、成本管理等部门有自己的管理系统,使医院的管理决策、投资、预算等决策无法充分及时的传递而延误。这些问题在电子技术不断发展、竞争日趋激烈的现代经济环境中已越来越不适应。 (3)医院办公网终端安全存在隐患。办公网为分散管理,虽然都采取了一些安全防护技术,但是从实际效果看并不十分理想,蓝屏死机、软件不兼容、驱动冲突、系统崩溃、病毒感染、黑客入侵、 网络滥用、非法访问等众多终端问题严重影响了医院办公网的信息安全和工作效率。
二、虚拟化终端管理优势
1.科学性:实现集中、统一、灵活管理。虚拟化终端改变传统分散的终端管理模式,终端以远程启动的方式访问统一的操作系统镜像,并可设置终端分区重启还原,管理员可以通过对一台终端的管理而实现对全网的管理;可设置灵活分配用户权限,既可以对终端实现严格的统一控制,也可以为每个终端以适应用户自己的需求。
2.稳定性:实现系统兼容、延续、稳固。虚拟化终端工作主机启动时从虚拟磁盘进行引导,任何问题在重启操作系统后都会恢复到正常状态。终端机本地操作系统无安全隐患,管理员只需要加固服务器端便可保证整个网络的安全和稳定。同时,终端应用程序和重要信息可以存储在服务器端,并可以创建个人加密磁盘,对重要信息进行加密保存,访问信息需认证。这些可从根本上保证操作系统的稳定和安全。
3.安全性:实现安全、规范、保密。虚拟终端系统可严格控制内部网络间的资源共享,防止涉密信息交换,可禁止移动存储设备、光驱等可能泄密的途径,全方位保障医院终端信息的安全。 同时,虚拟终端管理系统支持规范的个性化安全磁盘,采用高强度加密,确保只有用户本人才可以打开。个人磁盘的应用可大大加强信息的安全。
4.有效性:实现普及、效率、可行。虚拟终端管理系统延续Windows操作系统的使用习惯,操作人员可快速上手,提高效率,实现应用和普及。
三、虚拟化终端管理在医院信息化建设方面的应用
1. 终端管理虚拟化。终端管理虚拟管理是一个复杂的系统工程,充分结合医院实际情况,全面分析医院管理机制和特点, 构建科学的、高效的信息化体系。(1)充分调研,夯实信息化建设基础条件。一是领导重视,主要负责同志切实承担起提高信息化质量的领导责任,切实履行好质量建设提升的职责;二是确定范围,充分了解医院基础网络建设运行状况,确定信息化实施范围;三是是审慎评估专业人员运用现代信息技术的能力。(2)找准需求,明确信息化服务对象。一是医院信息化系统包括内容, 如网络基础建设、管理信息系统、临床信息系统、医疗影像系统、 电子病历系统等;二是通过各项数据分析,,为医院所属各部门提供相关信息收集、处理、存储、传输、利用,为临床、教学、科研和管理提供服务。(3)整体规划,建立统一规范的信息标准。优化医院信息化建设要树立信息数据资源共享观念和信息沟通、协调工作思想,虚拟化终端管理就是要打破居于内部信息规则壁垒,科学规划,总体设计,做到信息规则统一,技术标准统一,实现数据的交换和可比性分析,实现资源信息共享,促进管理水平不断提高的最终目的。
2. 管理队伍知识化。专业人才队伍建设是信息化建设顺利推行的关键。要求专业人员不仅熟悉卫生统计专业知识,而且要掌握相当的临床医学、现代管理、卫生经济和计算机数据库知识;不仅确立信息化环境下的工作理念,更要具备信息化条件下的工作技能;不仅更新知识,强化技能,而且提高效率,服务创新,只有这样,快速准确地获得各项信息,确保数据质量,为医院管理者提供快、精、准的科学依据,同时对医疗软件进行定期维护和意见反馈,提出改进建议和想法,不断加强信息化建设的实用性和准确性。
可移动的虚拟桌面:无线云终端 篇5
在威睿(VMWare)针对x86的机器实现了操作系统的虚拟化后,因“一个物理机可同时运行多个操作系统”,机房里的服务器使用率大为提升。然而在终端PC前的用户,是否也可以取得虚机?于是有关虚拟桌面的想法应运而生。这个想法涉及机房里的多个虚机如何经过适度的管理将PC虚机的桌面实现在用户终端,因而是整个基础设施的架构,称为虚拟桌面基础设施VDI(Virtual Desktop Infrastructure)。在云计算红火的今天,一个很合理的问题是:云里的资源如何让用户使用?VDI就是从“端”操作“云”资源的手段之一:“端”透过适当的通信协议和足够的带宽来实现机房里“云”的资源使用。通信协议包括远程桌面协议RDP(传输桌面),以及SPICE协议(传输桌面和视频)。
以上所述VDI,通常只在PC及固网里实现。然而,在中国,手机、平板电脑和上网本(以下统称移动终端)的未来增长比PC快得多,是否VDI的虚拟桌面想法也可以透过3G移动网实现在移动终端上?在本研究报告中,我们把移动的VDI称为虚拟移动基础设施VMI(Virtual Mobile Infrastructure)。当然,VMI也是“端”使用“云”资源的手段之一。我们研究如何将Android和WinMobile 的手机操作系统桌面,传输到移动终端。
VMI与两方面的操作系统有关:(1) 服务器上的虚机操作系统。与VDI不同的是,手机的操作系统并不像PC机那样,被Windows的用户占了95%以上。当前较为流行的手机操作系统有:Android、Symbian、WinMobile和iPhone。 另外Win7、Android和Chrome的上网本也被看好。本研究仅包含两个代表性的手机操作系统Android、WinMobile6.0和PC的操作系统;(2) 移动终端上的操作系统。如果在机房里运行手机虚机及其应用,那么用户的移动终端即使品牌不同,只要安装适当的远程桌面协议客户端,都能接收到同一手机操作系统的桌面,甚至PC的桌面(当然PC的屏幕太大,有适配手机屏幕的问题,但使用手指滚动屏幕的技术能缓解这一问题)。这样“跨移动终端平台”的VMI产品优势也许能为移动电信、销售机构、甚至学校所接受,因为这些机构的用户的移动终端(尤其是手机)的品牌很难统一。此外,手机应用开发商也因此不必做跨平台的开发。
1 VMI的需求
以上只是略述VMI的背景,但其详细的需求如下:
手机虚机的制作 如果要得到手机虚机的屏幕,首先当然必须在机房里的x86服务器上创建手机虚机。这有两种情况:一是有的手机操作系统能够直接运行在x86的平台上,譬如谷歌的Android;另一种情况则是(大部分的)手机操作系统只能在ARM的芯片上运行,因而ARM指令必须要经过翻译才能在x86 的服务器上运行。所以基本上,这是两个不同的管理程序(Hypervisors)。
手机虚机的管理 类似于VDI的管理,用户必先通过连接代理取得虚机的IP地址和端口号,然后才能进行桌面的传输。在取得虚机时,VMI的管理器必然有适宜的机制,使得手机虚机对某个用户可以是静态永不变的,或动态地按照某种规律选取的。管理员必须能够透过管理界面,为用户创建、克隆、启动、停止、删除虚机。(停止虚机是一般手机操作系统并不具备的功能。)同时要兼顾更有效率的管理和启动虚机,因为手机虚机并不像PC虚机的镜像那么大,所以载入时间较快。
远程移动桌面协议 常见的远程桌面协议有VNC、RDP以及SPICE(以下统称移动终端协议MTP)。通过MTP,可以完成移动终端与虚机之间的“互动”:即虚机屏幕传到移动终端,而键盘和鼠标的动作则从移动终端传到虚机。必须选取三种协议之一或创建新的协议来完成互动。无论使用何种协议方法,移动终端协议有其服务器端和客户端。移动终端协议的服务器可以运行在Hypervisor之上(如SPICE和VNC)或虚机内部(如RDP)。至于移动终端协议的客户端,是运行在移动终端的操作系统上。由于手机品牌甚多,凡是较为通俗的智能手机或上网本的协议客户端,都必须支持。
无缝桌面 “无缝”是指客户端在连接虚机后,接收到的第一个桌面是客户选定的某应用的全屏桌面。如果没有选定的应用,默认的桌面就是操作系统桌面。
PC桌面传输到手机以及PC应用点播 移动终端如手机或上网本,不仅可以与手机虚机互动,还可以与PC虚机互动, 或与运行在虚机上的应用互动。
内网连接的扩容(Scalability of local-net VMI) 当大量的用户有桌面要求,系统在虚机能支持的虚机数量上以及用户响应、用户体验上必须保证没有问题。
外网3G连接扩容(Scalability of wide-area VMI) 机房里服务器的虚机桌面,利用3G载体的传输与移动终端互动。经由外网进入内网,通常有一个类似路由的接入过程。即使扩容测试已可在内网处理大批量用户的问题,但从外网的移动终端经由移动电信的3G移动网关、骨干网、一直到通过防火墙、接入内网到机房服务器的过程,如有瓶颈,必须消除,以支撑大数量的并发。
2VMI管理软件以及QVisor平台的研制过程
2.1 国内外Hypervisor技术调研
早期Hypervisor的研究 因为VMI的主要舞台是数据中心,而为了将ARM OS运行在全是x86核的数据中心里,有必要引用仿真器QEMU。较早的x86虚拟化研究包括:2000年华盛顿大学的Denali使用微内核技术的研究项目[2], 威睿的全虚拟化,Xen的半虚拟化[18],微软Hyper-V的半虚拟化[21,22],此外还有IBM的预虚拟化[4]以及红帽的Qumranet[11,15,19]KVM方法。自从2006以来,已有一些在ARM核上运行的虚机研究。例如伊利诺大学的研究就集中在ARM硬件上的Hypervisor[7,8,9,10],而不是用AMR的仿真器。Xen 3.3使用了V2E方法[20]:除了一个很薄的域0和其它客户域之外,在一个迷你OS上运行仿真器QEMU。这个QEMU仅是为了VM运行时需要进行一些特殊的应用例如安全检测,启发了我们的想法:将全部的客户OS都运行在QEMU上。
嵌入式Xen 这个方法起初是将Xen的源码移植到ARM指令。其次将此嵌入式Xen的硬件驱动虚拟化。有一些大学的研究是属于这方面的:文献[3]就是把 Xen 1.0 代码移植为ARM 指令,但MMU方面的工作并未完成。文献[5,6]移植了一个Choices Hypervisor到ARM芯片上并将ARM指令扩充以便在QEMU仿真器内使用类似英特尔的 VT技术 [17]。
基于QEMU的优化移动Hypervisor 文献[12,13]为多种芯片(SPARC、 ARM等)做了仿真工作,运行在Linux微内核 L4[14]上。他们做了下列优化: (1) 功能级别的指令块处理; (2) 用自己的内存管理方法,取代QEMU 软件 MMU;(3)L4 微内核是一个代码行数很少的内核,性能极佳。文献[12,13]的优化方法散布在三个层面:(1) 微内核 L4; (2) QEMU;(3) 客户OS。比起嵌入式Xen方法集中在一个Hypervisor内, 该方法似乎更为有效。但由于每个客户OS都需要将一个仿真器QEMU载入内存,消耗掉不少内存,于是能支持的虚机个数比起嵌入式Xen就少很多。如果QEMU 可被共享,那就更佳。不过,共享QEMU是Xen 3.3的V2E用在PC虚机上的方法,只不过Xen 3.3用了自己的Xen 任务调度器和 MMU, 而文献[12,13]的方法则是用了L4的改进的任务调度器和MMU。此外,文献[12,13]的方法还欠缺了一个服务器来管理虚机,以方便测试,并需要提供API与诸如VDI或VMI的应用相接。
至今国内外尚未有任何类似VMI的产品,主要是因为手机操作系统的虚拟化技术,大多数公司(例如澳大利亚的Open Kernel Lab、被RedBend收购的Virtualogic、以及威睿)将之用在客户端,而不是服务器。我们参考上述的研究,根据自己的创见,提出了在服务器上建立一个移动的Hypervisor的想法,称之为QVisor。至于多客户分派手机虚机,建立对话期,控管虚机池的机制,则是参考VDI的管理软件而得的设计。
2.2 移动虚拟化VMI软件的原理
移动虚拟化要建立的系统是基于一个事实:手机虚机能运行在x86服务器上。既然大部分的手机虚机仅能在ARM芯片上运行,手机虚机必须要先在ARM→x86的仿真器上运行,而该仿真器又能在x86的服务器上运行。
图1显示仿真器和x86的主机操作系统之间还有一个Hypervisor层。Hypervisor的功能是启动仿真器,优化内存的使用,并与虚机管理器对接,传达手机虚机的启动、克隆、结束、性能回报等指令。手机虚机和PC虚机最大的不同处在于它本身通常没有“结束”这一功能,必须另外设定;而且手机操作系统也欠缺硬盘功能,但可以通过闪存卡驱动接入。我们的解决方案将Hypervisor称为QVisor平台,集合了上述功能。
虚机管理器不止是通过应用接口传递VMI管理软件的指令和回应,也调节各虚机之间的资源使用情况。此外,虚机管理器可以单独运行成为软件服务器,不一定要和运行手机虚机的x86 主机共存。这是因为虚机管理器不但可以管多台主机上的虚机,还能处理主机集群的问题。我们的解决方案将虚机管理器称为QServer。
图1也显示透过软件交换机,不单移动网上的手机和上网本可透过和VMI的应用服务器接入QVisor平台,任何固网上的PC、瘦终端、感应器或离线VDI的终端也可以取得手机虚机(例如Android)的桌面。此外,手机和上网本也可以接入VDI的应用服务器。也就是说,这些移动终端也可使用PC虚机的资源。
VMI应用服务器上运行的是VMI的管理软件。有两个重要的功能,一是连接代理,其次是虚机池的管理。连接代理是在接到用户的接入请求后,完成身份验证、创建Session、并向虚机池管理器请求分派手机虚机。当得到虚机之后,把虚机网址、端口号传给用户。这样用户的远程传输协议(RDP、 SPICE、 VNC等)客户端就可直接与协议的服务器传送手机屏幕。连接代理能使用“无缝屏幕”的技术,让用户收到的第一个屏幕,就是订阅的虚机应用屏(第一个屏也可以设置为操作系统桌面)。这是考虑到如果合作对象是移动电信公司,其用户可以订阅该公司提供的不同“应用套餐”。虚机池管理器负责按照虚机的模板制作手机虚机,并按池的策略预先克隆足够的虚机,以应付大规模的手机用户请求。以上的功能与VDI的管理软件大致相同,不同的是手机虚机的启动要比PC快得多,简化了池中预留虚机的延迟考虑。我们的解决方案将VMI应用服务器称为TranVMI。
2.3 完成移动虚拟化的初步研究开发
移动虚拟化的初步研究开发,经历了三个阶段。
首先,我们按照TranVMI的设计,开发出手机从(1) 威睿的ESX平台,或(2) VMI基础平台QVisor接收到“无缝PC屏幕或手机屏幕”的技术。
其次,在为优化虚机内存使用情形下,我们开发出类似TranVDI的虚机管理器QServer(运软公司的VDI产品),成为VMI的QServer。因而虚拟机得以被更好的管理,譬如虚机上的代理可经由QServer传达心跳和虚机性能的信息,这样有利于调适。
最后,我们分别对微软和谷歌的手机操作系统进行了改良,将WinMobile成功运行在QVisor上。另外,我们也成功地将谷歌x86版的Android操作系统直接运行在x86 的服务器上,并使用VDI的QServer经过TranVMI与手机相连,但此方法效果不如QVisor。
2.4 完成跨手机平台的应用管理
以下为完成跨手机平台的应用管理的几个实施案例:
(1) TranVMI管理软件 + Android,直接运行在x86平台
TranVMI后台为Android x86版在Dell服务器上运行,我们使用了将Linux KVM改良的TranVMM Hypervisor,并经过TranVDI的QServer来管理。前端为WinMobile手机或上网本(已完成测试,见第3节的内网扩容测试结果)。
(2) TranVMI管理软件 + Android,运行在QVisor平台
在QVisor平台上运行,并经过TranVMI的QServer来管理虚机。前端为Android手机、iPhone手机或iPad上网本(与联通进行合作)。
(3) TranVMI管理软件 + WinMobile,运行在QVisor平台
TranVMI具备无缝传屏技术和应用管理的实施,后台为WinMobile虚机。TranVMI也连接后台为PC虚机在TVM 4.0平台上运行,并经过TVM 4.0的VM Manager。未来计划将前端扩展到:Android手机、iPhone手机、WinMobile手机、Nokia手机、其他主流Windows上网本或iPad上网本。
2.5 基于智能传屏技术开发手机虚拟化服务器
(1) SPICE协议
SPICE协议服务集成(虽然在手机上尚未完成移植SPICE,但第5节的VDI SPICE测试结果仍具有参考价值),例如:传虚机屏能力;传视频能力。
(2) 其它智能传屏协议
未来从修改VNC协议到建立运软自己的智能传屏协议,例如:虚机屏幕及视频传输;大规模并行会话和(应用+OS)镜像的双向同步,为客户端虚拟化作准备。
2.6 在移动运营商示范应用
首先测试TranVMI的手机或上网本,经过联通的3G上网卡,使用联通的移动3G网络在大规模扩容环境中的实际成果(部分为模拟客户端, 且中间经过RAS的外、内网地址翻译,结果见3.2节的VMI无线测试结果)。
未来与联通的合作还应包含兼容TMN标准的OSS体系,为用户供应自我服务的Web体系,和为系统管理员供应的集中式系统管理Web系统,在物理设备层面、网络层面以及其中运营的业务层面来保证企业级云计算基础设施的生产、供应、监视、部署和运营。
3VMI内网扩容测试、VMI 3G无线测试及VDI/SPICE参考测试
3.1 VMI内网扩容测试
(1) 测试指标
VMI扩容测试的技术指标为:
● 主机容量 一台物理机上运行至少100个手机虚机;
● 主机集群量 至少4台主机在集群里;
● 稳定性 主机至少不间断运行一星期。
(2) 性能测试场景
TranVMI的测试是400个用户访问400台Android虚机,后台有4个物理服务器(非集群)的情况。测试时必须使用运软模拟多VMI用户的测试工具,其中50个用户是实施在10个测试用Windows虚拟机上(每个虚机运行5个用户,可见Android屏幕),其余350个用户是借助测试工具来模拟(可在管理界面看见350个Android虚机被连接,但由于测试环境的限制,这些Android虚机的屏幕不可见)。连续运行一星期。
(3) 功能测试场景
VMI的功能包含:(1) QVisor基础平台的功能(目前没有曝露的界面可测); (2) TranVMI管理软件的功能:除了模板、虚机、虚机池的管理界面可供测试外,还具有“无缝屏幕”的功能,让用户收到的第一个屏幕,就是订阅的虚机应用屏(当然第一个屏也可以设置为操作系统桌面)。譬如中国联通的用户,可以订阅电信公司提供的不同“应用套餐”。另外,支持将PC的应用屏幕传到手机上。针对本项目大规模的扩容测试,无缝屏幕和应用套餐暂时不用。所有可见的屏幕都是Android操作系统桌面屏幕。
(4) 测试结果
首先,400个用户的性能测试完全符合上述指标。运行一星期,VMI系统也相当稳定(有一周的稳定测试日志可供查询)。其次,我们发现比较PC虚机在同样32GB内存Dell服务器上运行的数目,VMI可以运行大约4~8倍数目的手机虚机。如果手机虚机没有重型应用,这样的一台Dell服务器可以运行大约150个Android虚机。至于用户请求的响应时间,测试结果如表1所示。
表1第一行是测试客户向TranVMI发400个虚机请求,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、错误百分比。这个测试做了两次,共800个请求。由此可知,在800个请求中,大部分的用户在3到4秒中就看到Android的第一屏,90%的用户在5秒内就看到,有的用户立即看到,只有极少数等了9秒才看到。
表1第二行是测试客户向TranVMI发400个登录通知,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共800个通知。由此可知,大部分的登录所需时间不到1秒,90%的通知在2秒内完成,最慢不超过3秒。
表1第三行是测试客户向TranVMI发400个断开虚机指令,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共800个断开指令。由此可知,用户停用虚机的指令,是立即见效的。
功能测试与性能测试经过了上海市计算机软件评测重点实验室验证[23]。VMI产品经此认证,75项功能100%通过,符合国家标准GB/T16260.2-2006《软件工程 产品质量 第2部分:外部度量 》,和国家标准GB/T17544-1998《信息技术 软件包 质量要求和测试》(相当于国际标准ISO9126)。
3.2 VMI无线3G测试
(1) 测试场景
单台上网本运行单VNC客户端/单个虚机测试无网络地址翻译。
经由上网本上所插的3G上网卡,通过运软外网开口,连接TranVMI,取得固定(也就是把单个虚机的IP固定成为外网地址)Android虚机屏显现在上网本上。
多台上网本每台运行多VNC客户端并发测试。
安装RAS(remote access server)以实现内、外网地址翻译。RAS必须安装在物理机上,有数个高速网卡。该物理服务器运行在高速通讯环境的机房。
修改TranVMI使能从RAS取得内网Android虚机地址。(见图2:VMI与3G网络的测试环境)
单台上网本运行两个VNC客户端,利用WCDMA华为/联通上网卡(下行7.2Mbps,上行5.76Mbps),通过RAS/TranVMI分别取得Android屏。
三台上网本每台运行10个VNC客户端并发,通过RAS/TranVMI分别取得共30个虚机的Android屏。
(2) 测试结果
表2第一行是测试客户向TranVMI发30个虚机请求,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共60个请求。由此可知,在60个请求中,大部分的用户在11到12秒中就看到Android的第一屏,90%的用户在23.4秒以内必然看到,有的用户立即看到,只有极少数等了23.5秒以后才看到。有一个请求发生错误。
表2第二行是测试客户向TranVMI发30个登录通知,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共60个通知。由此可知,大部分的登录所需时间不到1秒,90%的通知在5秒内完成,最慢不超过12秒。
表2第三行是测试客户向TranVMI发30个断开虚机指令,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共60个断开指令。由此可知,用户停用虚机的指令,平均花了1.7秒,最慢的花了11秒。
3.3 VDI SPICE内网视频参考测试
虽然我们并没有用手机虚机测试SPICE的传输协议,但以下的VDI测试,应该理解为图1的VDI第三方产品使用Windows PC虚机运行影音风暴,经SPICE将电影传输给上网本的移动终端。因此也可为参考。
(1) 测试场景
● 使用SPICE远程连接5-20台虚机同时做视频电影rmvb文件操作:虚机分辨率为1024×768;暴风影音打开rmvb文件(HDTVrip.624X352,166M);全屏观看该电影30分钟左右;
● 千兆网络下,主机有3个千兆网卡,终端百兆网卡。
监控主机上bond(即Linux三个网卡的绑定组合,与Bridge类似但能负载均衡)的输出流量。
(2) 测试结果
表3显示,当PC虚机数量达到15台同时播放该视频时,主机的CPU占用率已达到90%以上,且终端视频播放已有些延迟,认为当前已达到极限。
根据上两趋势图(图3和图4)看到IO 等待的百分率(iowait%)较低,而网卡输出流量也未达到峰值,可确定当前CPU能力为性能瓶颈。
3.4 VDI SPICE 3G音频参考测试
测试设置情况与图2类似,但是在3G网络环境下使用SPICE远程协议连接虚机做音频带宽统计。远程连接多台虚机(播放音频)场景下,根据情况的网络流量数据信息,为估算未来客户环境中不同终端数、不同的虚机使用方式下的网络带宽作参考。
(1) 测试环境
TVM host使用Dell R710, 配置Xeon E5520(2X4Core)CPU, 32 GB Memory, 3 TB SATA Disk,4 NIC(1 000 M)。配置虚机的虚拟网卡桥接在两块块物理网卡eth2、eth3上,eth0、eth1都绑(bond)在一起提供给SPICE连接。
3G 网络环境,终端是Windows的上网本或笔记本,使用WCDMA华为/联通3G上网卡拨号连接。
(2) 测试场景
● 使用Spice远程连接1-3台虚机同时做流媒体MP3文件操作:虚机分辨率为800×600;Windows Media Player最小化播放MP3;MP3播放一次;
● 监控Host上bond的输出流量。
(3) 测试结果
听取MP3文件时声音流畅,没有断续现象。流量统计如表4所示。
3.5 3G iphone切换手机虚机的测试
另外,我们测试了联通iPhone 3G手机在3G网络下,可以流畅地切换Android和WinMobile的虚机桌面。由于这个研究显示了VMI QVisor的能力,我们制作了可以下载的全程录影。
4 结 论
测试总结果显示,VMI可以是一个承受大批量用户(至少400人)的产品。
由于手机虚机不占太大空间,一台标准32G内存的硬件服务器可以运行大约4~5倍数量的PC/Windows虚机。这是Android 的一大优势,尤其它渐为大众所喜爱。虽然WinMobile也能达到同样的效果,大众的目光似乎更转向了WinPhone7。无论如何,手机应用能借助VMI的技术,在不同品牌的智能手机上运行,对某些企业是相当需要的。
有关SPICE的性能,一般来说,在3G移动办公的情况下,比思杰(Citrix)的HDX协议效果好,譬如声音的效果,不像Citrix在某些情况下有断续听不清的现象。当然,以目前3G的带宽来说,这两个协议,SPICE和HDX,都无法有流畅的视频效果。
由于上网本、平板电脑等新型移动终端的出现,VMI已不再限于使用手机作为移动终端。Windows的PC桌面和Android的手机桌面都可以呈现在这些新移动终端上。也就是说,VMI和VDI之间的界限变得模糊了。
5 未来研究
5.1 尚待完成的工作
下列的工作尚待完成。(1) QVisor的稳定性还需大力提升;(2) 使用SPICE在手机/上网本的客户端,目前尚未达成;(3)iPhone/iPad作为客户端的键盘/鼠标的驱动还未完成;(4)除了Android和WinMobile以外,尚需虚拟化更多的手机操作系统(如Symbian、iPhone)此项难度较度。
5.2 客户端虚拟化
客户端虚拟化CSV(Client-Side Virtualization)又称离线VDI(offline VDI)。未来企业对员工的移动设备管理,包括花费、策略调整、安全等,依然存在很大的问题。同时由于通信传输因地域接收的限制,员工可能不满足于VMI的屏幕传送。这时,CSV将手机OS镜像同步到本地就非常有吸引力。用户使用笔记本或上网本当作电子书包/电子公务包,配合串流技术将应用融合在操作系统镜像中,然后用户的移动终端与机房服务器做镜像同步。同时支持PC Hypervisor层级的安全保护(比操作系统环ring<3层级更深),可以使用户(办公人员和学生)不易被黑客侵袭,或对用户上网及安装应用实施限制。此外也支持移动存储,可插入第三方电脑运行。
5.3 动态移动基础设施
动态移动基础设施DMI(Dynamic Mobile Infrastructure)与CSV类似,但移动终端必须要用到微内核级别的Hypervisor,与CSV的PC Hypervisor不同,能运行在较低CPU能力的移动终端上。
5.4 物联网
VMI的想法可以脱离桌面,朝物联网(M2M)的方向来发展。也就是说,终端可以是传感器,而服务器端则使用手机虚机来运算,具有虚机随需启动、镜像小启动快、虚机间充分隔离、节省资源和能耗、仍然拥有服务器强大计算能力和存储能力等优势,这是传感器在当地无法达到、而一般的非虚拟化平台也无法企及的。当然,新的传感协议必须建立,能在下述传输对象之间平滑转移桌面、视频和传感信息。如果使用SIP协议内嵌传感协议,还可以达到单虚机支撑多传感器的目的。
基于零终端的虚拟桌面云应用研究 篇6
在运营商里, 各类电脑终端被广泛应用于办公、维护、业务办理、网优、客服等方面。经过十多年的发展, 企业的终端使用量已经用以万计。使用量的迅速增加, 使传统终端在使用、维护、管理、安全、成本等方面的许多问题, 给企业带来了巨大挑战。传统PC桌面使用方式存在如下几个问题:
(1) 管理十分困难:分散管理模式, 不单浪费人力物力, 而且无法达到预期效果。
(2) 使用成本很高:传统PC是易损设备, 生命周期短, 购置成本高, 维修成本高。
(3) 存在安全隐患:无法集中控制硬件设备的使用, 容易导致企业遭受外来病毒;数据分散存储在终端, 极易造成企业信息泄露;一旦硬件损害, 数据很难找回;同时, 无法对设备使用情况及日常工作进行有效审计。
(4) 影响工作效率:PC维修长, 降低员工生产效率;无法约束员工行为, 不但影响客户体验, 还会影响企业形象, 如营业厅。
(5) 企业环境污染:传统PC功耗高, 噪音大, 不符合集团公司倡导的绿色环保理念。
随着IT技术的不断发展, 特别是虚拟化和云计算技术的日新月异。“桌面云”解决方案的推出为终端集中化、标准化管理的思路提供了强有力的技术支持。
为了有效解决问题, 结合企业相关网络、系统现状, 一种统一的趋势是, 运营商借助桌面虚拟化技术, 实现企业终端管理的标准化、集中化, 降低信息安全风险, 提高终端运维效率, 减少终端购置和维护成本, 减少资源消耗, 推进了“桌面云平台”的建设。
1零终端桌面云的实现方案
在历年终端选型的基础上, 桌面云平台总体采用零终端/瘦终端+终端虚拟化平台的技术支撑方式。桌面云平台在后台创建虚拟使用环境, 每个员工工作需要使用的操作系统和各种软件将集中安装在桌面云平台上。员工将通过远程控制的方式进行使用瘦终端/零终端将键盘和鼠标操作的控制信息通过专用协议传输至桌面云平台, 桌面云平台将处理过程和结果通过网络实时传递到瘦终端/零终端上展现。同时, 各种数据和信息将集中保存在桌面云平台上。通过将桌面操作系统、应用程序和用户数据封装到相互隔离的层次, 桌面云允许IT支撑人员独立地更改、更新和部署每个组件, 从而获得更高的业务灵活性并缩短响应时间。最终获得的访问模型将更加灵活, 能够提高安全性、降低运营成本和简化桌面管理, 其分离模型如图1所示。
该方案主要分终端设备、桌面云软件、桌面云硬件。分别简要介绍如下:
(1) 终端设备。
桌面云工程采用了全新概念的终端设备, 零终端。零终端具有其他终端设备无法比拟的先进性, 可靠性, 稳定性和人性化设计。零终端、瘦终端与传统PC的对比如图2所示。
零终端本身无CPU, 无内存, 无操作系统, 无硬盘, 无风扇等易损设备, 其可靠性非常高, 非常适合桌面云项目, 也是真正实现了云的概念;零终端的外观以及其无需外挂设备、多媒体播放效果佳等特性能更好地提升企业形象。由于零终端较瘦终端稍贵且网络要求较高, 因此, 一期项目受限于项目经费限制, 选择在领导岗使用零终端, 其他岗位采用瘦终端。从而, 最终选择了零终端+瘦终端结合的方式实施桌面云。
(2) 桌面云软件。
桌面云工程使用VMWare公司的VMware v Spheree虚拟化软件对硬件平台进行虚拟化, 通过VMware v Center实现桌面云平台的资源管理实现HA、负载均衡、虚拟桌面动态迁移等功能。通过VMware View Mangaer及Fujitsu Zero Client Manager对虚拟桌面进行连接和管理。
虚拟化软件系统配置SQL Server 2008数据库, 安装在管理服务器上, 用于整个系统的资源管理、用户管理、日志数据、性能数据存储。利用现有病毒防护软件, 对桌面云进行统一部署。开发桌面云日志审计接口, 连接4A和安全管控平台。
(3) 桌面云硬件。
桌面云硬件主要有HP X86刀片服务器及Fujitsu的ETERNUS高端磁盘阵列组成。
下面, 结合桌面云一期方案, 来说明具体的实施场景。办公场景:
运营商的某办公楼办公类人员的办公终端需求, 办公桌面配置数量为900个, 900个办公桌面分为3组, 每组300个办公桌面, 配置7块刀片服务器, 每块刀片配置50个办公桌面, 预留1块刀片的处理能力作为冗余。办公桌面共配置21块刀片服务器, 其中3块刀片的处理能力作为冗余。
员工使用零终端/瘦终端, 通过DCN的办公VPN或CMNet的VPN接口访问桌面云平台, 登陆到办公桌面, 办公桌面通过DCN的办公VPN访问各办公系统。
生产场景:
为满足物联网基地、集团客户响应中心、业务支撑中心生产维护需求, 运营商启动零终端虚拟桌面云工程。其中物联网基地50个生产桌面, 配置2块刀片服务器, 每块刀片配置50个生产桌面, 预留1块刀片的处理能力作为冗余。集团客户响应中心100个生产桌面, 配置3块刀片服务器, 每块刀片配置50个生产桌面, 预留1块刀片的处理能力作为冗余。业务支撑中心200个生产桌面, 配置5块刀片服务器, 每块刀片配置50个生产桌面, 预留1块刀片的处理能力作为冗余。
集团客户响应中心、业务支撑中心在3号楼办公, 员工使用生产桌面时与办公桌面共用瘦终端/零终端, 通过DCN的办公VPN或CMNet的VPN接口访问桌面云平台, 通过不同的帐号登录到生产桌面或办公桌面, 同一台终端同一时间只能登录一个桌面。集团客户响应中心生产桌面通过DCN的网管VPN访问集团客户响应中心各系统, 业务支撑中心生产桌面通过DCN的业务VPN访问业务支撑中心各系统。
物联网基地在茶园办公, 不属于本期工程办公场景的覆盖范围, 员工使用瘦终端/零终端通过DCN的业务VPN或CMNet的VPN接口访问桌面云平台, 登录到生产桌面, 生产桌面通过DCN的业务VPN访问物联网基地各系统。
业务场景:
为满足某地市主城、周边经济开发区自营营业厅的业务终端需求, 业务桌面配置数量为350个, 配置8块刀片服务器, 每块刀片配置50个生产桌面, 预留1-2块刀片的处理能力作为冗余。
员工使用瘦终端/零终端, 通过DCN的业务VPN或CMNet的VPN接口访问桌面云平台, 登陆到业务桌面, 业务桌面通过DCN的业务VPN访问各业务系统。
2结语
桌面云计划的实施, 使终端桌面得到标准化、集中化、自动化的管理和控制, 极大地降低企业成本, 增强企业终端管控能力, 降低企业风险, 改善企业工作环境舒适度并员工工作效率, 提升企业形象。该项目在我省终端管理工作中, 获得了良好的使用和一致的认可, 效果显著, 系统具备较强的可移植性, 下一步将从两个方面开展工作。一方面, 继续对现有系统的性能进行改善与优化, 全面提升系统的稳定性、容错性和可持续使用性能;另一方面, 面向全省所有地市分公司进行推广, 结合地市分公司的实际特征, 对系统进行个性化配置, 以满足区域化需求。
摘要:在移动互联网时代, 随着终端虚拟化、云存储等新型技术的兴起, 传统的终端应用与管理模式, 存在管理十分困难、使用成本很高、存在安全隐患、影响工作效率、企业环境污染等不足, 无论是在方便性还是在性价比方面, 都难以满足新兴技术发展的需求。在这样的背景下, 桌面云平台应运而生。文章着眼于当前企业的终端管理现状和不断加重的终端使用/迭代更换需求, 对企业的零终端虚拟桌面云应用情况展开研究。
关键词:零终端,桌面云,虚拟化,瘦客户端
参考文献
[1]王小平, 张成志, 赵昀飞.虚拟化技术在企业的应用[J].电脑知识与技术, 2010 (28)
[2]石家亮.基于虚拟化技术的数据中心解决方案[J].电脑知识与技术, 2010 (21)
终端虚拟化 篇7
一、传统终端管理存在弊端
终端管理在网络与计算机应用日益普及的今天是必不可少的,无论从安全的角度还是管理的角度考虑,终端管理都有其必要性。为加强网络信息安全管理,面对用户终端管理的迫切需求,大连中支先后推广了防病毒系统、入侵检测系统、非法外联系统、Landesk补丁分发系统、桌面终端管理系统等。服务器好管,台式机不好管,这是很多系统管理员的共识。因为与数据中心内集中管理的服务器相比,台式机等终端设备的数量更多,位置更为分散。并且终端用户的IT技能参差不齐,很多人不但不能独立解决应用中出现的问题,有些人甚至还会自己制造出各种问题,把自己的终端设备弄得一团糟。IT部门的运维人员,几乎每天要对不同的终端进行安装、补丁修复、应用管理,整个过程耗时费力。传统终端安装复杂,管理繁琐已经成为基层科技部门多年未解决的结症之一。
操作系统本身的不稳定和不安全,使得传统终端管理系统搭建在一个不坚实的基础上,基础薄弱就会有大厦将倾的危险。操作系统平台的安全和稳定性问题,靠终端管理系统的修修补补根本无法满足用户对安全管理的需求。
一方面,在传统IT架构中,由于应用的不断增加使硬件设备越来越多,日益复杂和分散的网络环境对网络和系统管理提出了极大的挑战。系统越来越复杂,导致基层行技术运维人员无法轻松、及时地应对业务变化。数据在终端之间以及终端与服务器间的大范围交互,更增加了数据被窃取和截获的风险。在不断升级和扩充IT基础架构的同时,管理难度正成为制约基层行信息安全管理的障碍。另一方面快速增长的业务应用和越来越多的安全解决方案的实施,无形中也造成了管理成本的增加。基层行要积极探求一种更完善的IT架构,以有效应对IT基础架构管理日益精细化、服务器利用率低下、应用发布不及时、IT运维管理复杂化等难题。
二、虚拟终端管理的技术特点及优势
虚拟终端管理系统完全摆脱了传统终端管理软件基于操作系统应用管理的模式,以虚拟化技术为基础实现动态的应用交付。将服务和应用集中于服务器端,不需要改变原有网络结构,只需部署和配置服务器,客户端便可通过网络得到自己的虚拟桌面,并抓取自己所需的服务。完全避免了传统IT架构下终端管理软件部署和运维复杂的问题。它不仅可以集中部署、统一管理,而且支持个性化设置。从安全角度讲,集中的管理也避免了传统分散、庞大的终端管理体系中,因少数终端脱离管理而使整个网络的安全出现短板的情况。
虚拟终端管理系统是基于虚拟化和云计算理念成长起来的终端管理方法,它完全颠覆了传统意义上的终端管理概念。在某种意义上,虚拟终端管理系统剥离了计算机终端软件与硬件之间的联系,将系统和服务集中在服务器端,这使得网络管理人员不必再将维护的重点放在分散的个人终端上,只要维护和加固服务器端便可以实现全网络终端的便捷和高安全。终端用户也可以从选择和安装各种安全软件、补丁升级、病毒库升级等繁杂的个人维护工作中解脱出来。并且虚拟化和集中化的应用方式也可以使用户终端从根本上避免系统瘫痪、软件冲突及错误操作等多层面的问题。
虚拟终端管理系统完全不同于传统模式的终端管理软件,集中化和虚拟化的特点不仅大大增强内部系统及网络的安全性,同时也减少了网络运维的复杂程度和运维成本。在终端管理方面,虚拟化的终端管理平台将是目前终端管理发展的必然趋势。
当然,虚拟终端管理系统目前的优势更多地体现在办公网络里,对于家用个人计算机终端,使用传统的管理系统则更加适合。这是因为集中办公的工作方式决定了办公网更强调集中化和统一管理。同时,办公网良好的网络基础环境也是虚拟终端管理系统发挥其性能的必要条件。办公网的这些特点让虚拟终端管理系统集中化管理的优势得以充分发挥。另外,虚拟终端管理系统始终将用户体验放在产品设计的重要位置,它具有良好的个性化界面,并完全保持传统终端的操作模式,用户无需改变自己的使用习惯便可轻松融入到虚拟化平台之中。
虚拟终端管理实际上是终端服务集中化的一种思路,这种新的思路将分布式的终端模式集中化,即目前已经广泛应用的虚拟化。虚拟化的优势在于提高系统内部资源利用率和工作效率,高可靠性保证业务连续性,并且能降低运维及软硬件成本。虚拟终端管理系统利用虚拟化平台搭建出一个安全、高效并易于管理的系统平台。它更贴近目前网络和基层行的需求,从安全、管理和成本等多方面为基层行提供良好的服务。
三、虚拟终端管理的技术实现
虚拟终端管理系统通过建立虚拟管理平台,为网络中所有终端提供虚拟的系统镜像,将终端的物理硬件与操作系统分离,在此虚拟基础架构上,操作系统的安全以及系统、应用配置完全交给服务器,由专业人员管理和加固的服务器安全将可得到很好的保障。操作系统的重启还原功能更是从根本解决了终端操作系统的安全性问题。以终端系统管理为中心,从虚拟安全、桌面管理、行为控制等多个角度构建完整的终端系统管理体系,避免终端异常事件的发生,并全面贯彻落实终端管理策略。
虚拟终端管理系统安装部署简单方便,只需要在服务器上安装好服务器端程序,建立用户定制的操作系统镜像文件,并在工作机上做极少量的配置即可。通常在一个带有100台工作机的千兆网络中,只需要三个小时就可以全部安装完毕。通过服务器的统一策略配置,就可以实现对全网所有终端工作机的集中管理。系统支持各种网络环境,兼容原有终端工作站,可针对不同的工作部门、工种类型、工作需要指定专用的虚拟操作系统。在驱动层全面实现对ARP病毒、流量异常、USB等外设接口的控制,采用最新的恶意网站动态防护技术,无需对客户端升级即可避免恶意网站的侵害。支持域环境,终端可直接登录到指定的域中,根据用户的需要,将个人数据加密存储在服务器上,在任意终端上可以随时调用。基于强大的虚拟化技术,虚拟终端管理系统真正从根本上解决病毒感染、软件冲突、系统崩溃、补丁升级和流量异常等终端问题,保持业务的可持续性,让终端管理更便捷。虚拟终端管理系统的设计在从用户体验这一关键角度出发,尊重用户的使用习惯,不影响用户的使用效果;保证用户有安全可靠、高效率的工作环境,也实现便捷的管理和良好的成本控制。
终端虚拟化 篇8
随着国家电网公司桌面终端管理系统和安全移动存储介质管理系统在各网省公司的推广,各单位计算机终端安全得到显著加强。其中,移动存储介质可以设置保密区,对重要文件进行加密存储,但该软件只能在移动存储介质上使用,不能在本地硬盘上使用。为此,自主研究、开发了一款基于Windows XP系统的计算机终端虚拟硬盘加密系统。该系统可以在本地磁盘上虚拟出一块存储空间作为保密区,在保密区的文件进行3DES加密存储,确保重要信息的安全,防止信息泄密事件的发生(见图1)。
1 实现原理
虚拟硬盘加密系统采用filedisk提供的驱动技术作为底层驱动,以文件为存储体,提供一个驱动,让所有加载出来的硬盘存放的数据都保存在虚拟硬盘映象文件中,用户对这个虚拟加密硬盘的任何操作都象操作正常的硬盘一样。
如图2所示,操作系统I/O管理器在接收到应用层传下来的对虚拟加密硬盘的操作请求后,就生成一个与该操作对应的输入输出请求包(I/O Request Packets,IRP),并将该IRP传给文件系统驱动进行处理,处理完后就将该IRP传递给虚拟加密硬盘驱动,在该驱动中对该IRP进行相应的处理:当该IRP是读写IRP或者是操作虚拟加密硬盘映象文件的IRP请求时,将调用以Zw开头的函数来调用WIN32子系统中相应的例程,从而利用文件系统提供的功能进行相应的处理。当文件系统对由ZW开头函数引发的请求IRP处理完后,就将其沿路径(4)传到下一个驱动,并一直沿图中显示的实线方向处理下去,直到最后实现对物理设备的操作。此时的功能处理程序是硬盘的功能处理程序,因为映象文件是存储在实际的物理硬盘上的。
2 软件架构
2.1 硬盘驱动例程
第1个是驱动程序主入口点:初始化例程DriverEntry(见图3)。当系统装入设备驱动时,它把驱动程序的映像映射到虚拟内存中,重定位内存参考,并将生成一个常驻内存的如上描述的驱动程序对象,并对其中的域进行初始化,最后调用驱动程序的主入口点进行一些初始化工作。负责调用IoCreateDevice函数创建虚拟磁盘设备对象,调用ReadFile、WriteFile和DeviceIoControl等API函数向驱动程序发出请求,以控制对虚拟磁盘设备的访问。
第2个是驱动程序的清除例程(Driver Unload):Virtual Disk Unload。它的作用是释放DriverEntry例程在全局初始化过程中申请的任何资源。在虚拟加密硬盘驱动中该例程的作用就是删除在DriverEntry中创建的设备对象和设备扩展时申请的资源,并且结束为每个设备对象创建的系统线程。
第3个是处理打开和关闭句柄请求的例程:Virtual Disk Create Close。由于虚拟加密硬盘驱动在该系统中是最底层驱动,因此这里直接调用函数Io Complete Request完成相应的IRP并返回STATUS_SUCCESS即可。
第4个是处理读写设备请求的例程:VirtualDiskReadWrite。该例程是处理要求对虚拟加密硬盘进行读写的请求的。如果该虚拟加密硬盘对象的映象文件还未被打开,则无法读写相应数据,就直接返回设备中无介质的操作失败信息;如果该请求是读请求并且读的长度为零,由于不需要任何附加操作,因此只需直接返回请求成功完成的信息;否则因为需要对存储在实际硬盘上的映象文件进行读写(需要相对较长时间),因此只是简单的将该IRP设置为pending状态,并将该IRP放到由驱动程序自己管理的IRP链表中,以等待该设备的系统线程对它们进行具体的处理,并将用来激活该系统线程的同步事件设置为信号态。
第5个是处理I/O控制请求的例程:VirtualDiskDeviceControl。该例程是用来处理发给虚拟加密硬盘设备的控制操作或询问请求的。由于对虚拟加密硬盘的任何操作都最终变成对映象文件的操作,因此在对具体请求进行处理之前要检查该设备对应的映象文件是否打开,如果未打开,就检查该操作请求是否为要求打开该映象文件的请求;如果两者皆为否,那么该例程将直接返回设备中无介质的操作失败信息。
2.2 虚拟加密硬盘系统中密钥的生成与比对
如图4所示,当创建虚拟加密硬盘时,将用户提供的口令作为密钥,使用DES算法对自己进行2次加密,并将得到的数据保存在映象文件中特定的位置,以便在加载该虚拟加密硬盘时提供口令认证和解密出用来加密内容的密钥。当加载虚拟加密硬盘时,首先将口令作为密钥,使用DES算法对自己进行一次加密,而得到的数据可能是正确的用来加密数据内容的密钥,是否是正确的就要看用该数据(图4中的密文1)作为密钥使用DES算法对自己进行加密后得到数据与之前保存在映象文件中的数据(图4中的密文2)进行比较的结果,如果相同,则表明口令认证通过且密钥是正确的,否则口令认证失败且密钥是错误的。
3 结语
正是由于虚拟硬盘的存储基于文件,所以它拥有创建灵活、删除简单、随时加载随时卸载的特性,用户甚至可以对虚拟加密硬盘的映象文件进行复制、移动等操作。更重要的是,虚拟加密硬盘系统为用户提供口令认证和加密存储的安全保障,没有口令,即使虚拟加密硬盘的映象文件给别人偷去了也无法获取当中数据。而且加密不依赖系统安装信息,重新安装系统后,使用虚拟加密硬盘系统同样能够正常使用其创建的虚拟加密硬盘,不会丢失任何数据。用户同样可以选择以只读方式加载虚拟加密硬盘,防止其感染病毒。
参考文献
[1]ONEY W.Programming The Microsoft Windows Driver Model[M].Redmond:Microsoft Press,1999.
[2]CANT C.Writing Windows WDM Device Drivers[M].CMP Books,1999.
[3]NEBBETT G.Windows NT/2000Native API Reference[M].Sams,2000.
[4]BAKER A.Windows NT Device Driver Book:A Guide for Programmers[M].New Jersey:Prentice Hall,1996.
[5]彭涛.Windows2000中虚拟加密硬盘系统的研究[D].武汉:武汉大学,2006.
[6]周振喜,陈晓峰,张国煊.Windows2000/XP下WDM设备驱动程序的开发[J].计算机与现代化,2004(2):104-106.ZHOU Zhen-xi,CHEN Xiao-feng,ZHANG Guo-xuan.Development of WDM Device Driver in Windows2000/XP[J].Computerand Modernization,2004(2):104-106.
[7]王峰博,崔慧娟.WDM设备驱动程序的研究及实现[J].计算机应用,2003,23(6):98-100.WANG Feng-bo,CUI Hui-juan.Reserch and Implementation of WDM Device Driver[J].Coputer Applications,2003,23(6):98-100.