云桌面系统建设技术方案书.doc

《云桌面系统建设技术方案书.doc》由会员分享，可在线阅读，更多相关《云桌面系统建设技术方案书.doc（39页珍藏版）》请在咨信网上搜索。

云桌面系统建设 项 目 技 术 方 案 目 录 1 概述 4 1.1 背景 5 1.2 需求 6 1.2.1 虚拟化基础架构 6 1.2.2 云桌面 7 2 系统设计 7 2.1 设计目标 7 2.2 设计原则 8 2.3 系统架构 8 2.3.1 云桌面系统分层架构 9 2.3.2 服务器虚拟化基础架构平台分层架构 11 3 系统性能 13 3.1 虚拟化基本性能 13 3.2 存储I/O性能 13 4 系统安全 14 5 系统功能描述 16 5.1 虚拟化基础架构子系统 16 5.2 虚拟化教学管理子系统 19 5.2.1 教学管理 19 5.2.2 云教室管理 21 5.2.3 教学辅助管理 23 5.2.4 系统管理 24 5.3 安全云盘 27 6 系统逻辑架构及配置 30 6.1 系统逻辑架构 30 6.2 系统配置 30 6.2.1 软件配置 30 6.2.2 容量估算 30 6.2.3 硬件配置 33 一、 盛思睿公司获奖材料 1 二、 公司知识产权 1 三、 公司其他材料 2 第7页 1 概述 随着信息技术领域向着规模化、集约化和专业化的道路发展，云计算作为新兴的计算模式应运而生，并且逐渐成为学术界、工业界的研究热点之一。根据NIST NIST是美国国家标准与技术研究院（NationalInstituteofStandardsandTechnology）的名称缩写。 的定义，云计算是一种基于计算机网络的、以服务方式提供的新型计算模式。简单说，云计算是一种新兴计算模型，具有规模可伸缩、可靠性高、可用性强、资源利用效率高、可计量、成本低廉等特点。 2001年谷歌首次提出了“云计算”概念以来，国际上云计算正在从概念走向应用，并加快落地速度，在各行各业掀起了一股应用热潮。主流云计算厂商以国外公司为主（Google、Amazon、IBM等），进一步推动了国内外市场的应用发展。截止到 2013 年 6 月， 48% 的美国政府机构已经应用云计算。 根据美国联邦云计算发展战略，今后美国联邦政府每年庞大的IT采购预算将明显倾斜于采购云计算服务(服务产品)。 在国内，云计算已上升到国家战略层面。2012年“中国云”产业发展规划已获国务院批准，规划包括“十二五”期间“中国云”产业的发展思路、重点任务、技术路线、支持体系等；国内各地政府积极开展了云计算的发展规划和建设，北京，云计算产业发展已处于领先地位，明确将自身定位为未来世界级云计算产业中心；上海，制定发布了“云海计划”，并将上海在云计算领域定位为亚太地区的云计算中心。无锡，是国内第一批云计算中心建设城市。08年开始建设无锡云计算中心。深圳，立足创新的云计算业务模式，提供工具开发云平台服务。杭州云计算产业已经进入发力阶段。2010年，合作推出微软在华首个云计算孵化中心。 在教育领域，为了提高师生应用信息技术的能力，促进基础教育平衡发展，各院校陆续采用云计算新技术，加快基础教育信息化设施体系建设，2014年都江堰教育局启动6500个云桌面建设项目，此外为推进优质数字教育资源建设与共享行动、实现教师教育技术能力提升和中小学校园信息化全覆盖，多个县开始规划云计算建设。 1.1 背景 IT系统规模不断扩大将对快速扩充硬件设备的需求逐渐增加，运维人员在服务器端在管理、日常维护方面的高效运维需求逐渐显现，传统的IT架构模式带来了三方面的问题：一是大幅增加了机房空间、电源、空调等基础设施资源的消耗，造成基础环境频繁新增和扩建；二是增加了信息系统复杂程度，影响系统运行的稳定性，加大了运行维护难度；三是资源利用不充分，相当一部分服务器负载率较低，新建业务系统还要再新增服务器，造成资源的浪费。 利用虚拟化基础架构技术，提高硬件资源利用效率、节省机房空间、降低运营成本、加强硬件资源建设管控能力、提高应用系统部署效率，降低应用系统对物理服务器的依赖性。 在中小学校信息化建设过程中，传统方式一般是为教师和学生提供传统的PC机，满足其日常办公、一般课堂和计算机多媒体教室教学需求。但在实际应用中，其越来越暴露出在管理、维护、安全、成本上的弊端，主要表现为： (1) 管理效率低 由于PC机分散安装于不同的办公室、教研室和机房，物理位置比较分散，不能实现集中管理，PC机中的相关桌面操作系统和办公、教学软件需要各自分别安装、升级，经常造成办公、教学软件维护管理问题，严重时可能影响正常的教学工作安排。 (2) 维护难度大 现有中小学品牌PC机或兼容PC机由于工作时间长，其散热和硬盘部件一般在运转半年或一年时间后，比较容易发生故障，因此传统PC系统在投用一年时间后硬件故障率普通逐步升高，同时由于软件误装误用等操作问题，经常需要维修或重新初始化系统软件，严重影响正常的教学工作开展。 (3) 数据安全差 现有PC机中的教学课件、资料等保存于本机磁盘，教学课件、资料等属于教育局及学校的重要数据资产，一方面PC机SATA磁盘的故障率较高，可能由于磁盘损坏导致重要的教学课件、资料等数据丢失；另一方面非授权人员可以十分方面地从PC机中通过USB盘等工具拷贝文件，对数据的安全保护较弱。 (4) 综合成本高 现有PC机除一次性硬件投入外，后续的系统维护工作量较大，而学校一般没有配备专职的IT系统维护岗位，随着IT服务人工成本的上升，每年对PC机系统的维护成本也逐年上升，同时由于PC机故障率较高，设备过保后，每年的维修成本也会逐年上升，因此现有PC系统的综合成本比较高。 1.2 需求 1.2.1 虚拟化基础架构 建设教育云桌面平台，提高资源整体利用，提升服务器运行管理能力和安全管理能力，降低成本功耗。具体需求如下： 1、 基于虚拟化技术，实现对服务器CPU/内存的精细化管理，实现对服务器的资源池化管理，可动态在资源池中分配可用的CPU/内存资源，按需供应给新应用或需要扩展的应用，大幅提高服务器资源整体利用效率； 2、 具有虚拟机基础基础架构平台的高可用调度机制，改进传统的HA双机热备的方式，在保证高可用的同时达到资源利用的最大化； 3、 实现对物理服务器、存储中资源的整体监控，实现集中可视化监控与自动报警； 4、 实现服务器自动化管理，提供对故障服务器的快速搜索定位和告警信息推送，发生故障时，运行在故障服务器上的应用自动恢复到资源池中其他可用的服务器中，将应用受影响的时间控制在分钟级，大幅提高单个技术人员的维护管理效率； 5、 按照应用系统的不同的应用场景进行分类，设置不同的资源池，每个资源池可以设置不同的安全级别和SLA级别； 6、 基于虚拟化技术实现虚拟机的手动/自动在线增量备份或全备份，可以将虚拟机恢复到任务全备份的时间点； 7、 对虚拟机提供相关管理界面，并提供完整的认证和审计机制。除IT部门机房管理人员安装或者排查物理机故障等情况外，其他无需再对服务器设备进行操作； 8、 利用虚拟化基础设施平台的经济调度策略，实现应用所需资源的弹性扩展调度，提高服务器资源的复用性，降低TCO和PUE值。 1.2.2 云桌面 基于服务器虚拟化技术和虚拟桌面技术为某县中小学建设云桌面系统，提高桌面的运维效率，降低运维难度和成本，具体表现如下： 1、 结合实际用户使用情况，建设10个数据中心为60所中小学提供5000个云桌面使用支撑的基础环境； 2、 创建XX个班班通虚拟桌面，每个虚拟桌面分配2个vCPU、4GB内存和不超过80GB存储空间； 3、 创建XX个计算机多媒体教室虚拟桌面，每个虚拟桌面分配2个vCPU、4GB内存和不超过80GB存储空间； 4、 创建XX个电子阅览室虚拟桌面，每个虚拟桌面分配2个vCPU、4GB内存和不超过80GB存储空间； 5、 创建XX个教师办公虚拟桌面，每个虚拟桌面分配2个vCPU、4GB内存和不超过80GB存储空间。 2 系统设计 2.1 设计目标 通过引入先进的虚拟桌面技术，针对当前普教信息化建设现状，设计出一套云桌面系统，以瘦客户终端替代传统PC机，降低持续建设、能耗与维护成本；以灵活、高可用、高可靠的系统调度策略，满足学校信息化建设低能耗、高可靠的使用需求。通过结合国际先进的虚拟化数据中心支撑教育云平台的建设方式，打造基础设施资源总体利用率高、运维管理自动化程度高、提供对外服务安全、可靠性高的“三高”虚拟化基础架构平台，总体上提升现有普教系统计算机办公与教学水平。 本项目结合某县局及所主管的中小学校的实际需求，采用国产云桌面技术，在集中管理的服务器中为班班通、计算机多媒体教室、电子阅览室、学校教师分配桌面虚拟机；为教育云平台中业务应用提供高可用、高可靠、灵活按需分配的虚拟化基础架构平台。 2.2 设计原则 本项目建设遵循以下原则： (1) 先进适用（切合实际需求，有针对性） (2) 高性价比（虚拟桌面的单位软硬件总体成本应不超过传统PC机） (3) 集中部署、分级管理 (4) 无大规模故障点（有效控制硬件故障风险） (5) 易于后期扩展 2.3 系统架构 某县教育云平台从功能上可以分为“教育云桌面”和“服务器虚拟化”，教育云桌面用于支撑班班通、多媒体教室、电子阅览室、教师使用的云桌面基础环境，服务器虚拟化用于支撑教育应用系统等业务系统环境。教育云桌面采用分布式部署在10个镇级数据中心的方式，服务器虚拟化采用集中部署一套县级数据中心机房的方式。初步估计在每个镇数据中心部署支撑500台虚拟机运行的服务器、网络环境，在县公司提供支撑40台业务系统虚拟机的环境。 某县教育云桌面由安全访问网关、云桌面客户端、云桌面资源池、云盘共享资源及备份集中存储池等多个部分组成。安全访问网关提供统一访问控制和访问监控；云桌面客户端提供终端操作系统到虚拟桌面的信息传输；云桌面资源池以按需、灵活、高可用的方式为瘦客户端提供虚拟桌面；云盘共享资源及备份集中存储为云桌面用户提供非结构化数据的存储和备份。 镇数据中心网络由千兆网络提供云桌面的“云桌面资源池的管理（管理网）”、“终端操作系统到虚拟桌面信息传输（桌面网）”、“虚拟桌面与业务应用系统的信息传输（应用网）”，以及万兆网络提供分布式的“云桌面数据存储”共同组成。 某县服务器虚拟化基础架构平台由在教育局数据中心的服务器资源池、服务器虚拟化集中存储池、数据库服务器、数据库存储、一体化备份设备等共同组成。通过服务器虚拟化技术，将提供某县中小学教育应用系统所需服务器的资源需求形成数据中心服务器资源池的需求并以服务器资源池提供计算资源，服务器虚拟化集中存储池提供存储的方式提供。两台数据库服务器提供数据库服务，一体机备份设备提供数据库的备份服务。如下图所示：　　 图1 某县云桌面系统总体架构 2.3.1 云桌面系统分层架构 图 2某县云桌面系统分层架构 (1) 用户接入层 云桌面用户接入终端一般采用瘦客户机（Thin Client），也可以利旧使用现有的PC机或笔记本。 瘦客户机一般采用AMD G系列或Intel Atom系列CPU，功耗一般小于25W，需要安装Linux或Windows嵌入式版本作为瘦客户机操作系统，操作系统启动或重启时自动启动云桌面远程访问组件，该组件通过连接网络访问登录页面，对用户进行口令和数字证书相结合的双重认证，通过认证后，将返回用户有权使用的桌面虚拟机列表选项信息，如用户只有一台桌面虚拟机则自动连接进入。如果用户连续几次登录失败，则将该用户账号锁定一段时间。 图3 瘦客户机示意图 (2) 连接网络层 　　用户使用瘦客户机，可以通过LAN网络远程访问后端的桌面虚拟机。在用户在使用虚拟桌面系统过程中，瘦客户机终端与后端的桌面虚拟机之间将传输视频、音频、图像、鼠键事件等人机交互数据，数据传输基于TCP协议，并进行SSL/TLS加密。 (3) 安全访问管理层 安全访问网关：所有用户瘦客户机终端与后端的桌面虚拟机之间的连接必须经过统一的安全访问管理，安全访问网关系统为桌面虚拟机提供统一的远程访问入口，将用户合法终端IP地址随机动态映射到桌面虚拟机服务器资源池网络，在网络之间执行访问控制策略，对流经的连接数据进行分析，并能够过滤掉一些有攻击特征的数据，可以关闭不使用的端口，禁止特定端口的通信。同时，对远程访问账号行为进行审计，使管理人员可以集中监控桌面虚拟机远程访问连接状态。 抗DDOS攻击安全防护：数据中心遭受DDOS攻击常有发生，时时都有受到攻击的威胁。当前XX云计算中心非常大的安全隐患是来自互联网的拒绝服务攻击（Denial of Service Attacks），包括以SYN Flood和Ping Flood为主的技术，其主要方式是通过使关键系统资源过载，导致网络或服务器的资源被大量占用，甚至造成网络或服务器的全面瘫痪。 因此通过在云平台部署抗拒绝服务攻击设备，实现DDOS攻击防范。其中流量分析系统位于互联网接入区，采用路由器/交换机输出网络流量的统计数据的方法，路由器/交换机对通过其的IP数据包进行统计和分析，并上报给采集器，网流采集器把搜集的数据包及统计数据传送到分析器，经合并处理后存入数据库，并进行进一步的分析处理。 入侵防护：针对接入区域的边界防护，通过防火墙实现了基本的访问控制，但由于防火墙的一些功能限制，使得那些伪装类的攻击仍然可以穿越防火墙而进入互联网与专网接入区域区的信息网络内，因此也有必要引入入侵检测系统。 边界安全防护：互联网与专网接入区域，需要在网络出口处采取必要的强制访问控制措施，比如防火墙设备，但主要目的是限制对其他安全区域的的非法访问，特别是限制对业务应用服务区与云计算服务器区访问，且主要提供网络层防火墙。 (4) 云桌面虚拟机管理层 　　用户实际使用Win7/WinXP/Linux桌面系统运行于后端的桌面虚拟机中，通过虚拟化、资源调度等技术将多台物理服务器资源整合为桌面虚拟机资源池，根据不同用户的桌面环境需求，为用户分配不同配置和服务等级的桌面虚拟机。同时，实现虚拟化认证授权、基于角色的访问控制、安全审计与告警、系统数据保护、虚拟机隔离等安全管理要求。 2.3.2 服务器虚拟化基础架构平台分层架构 图 4某县服务器虚拟化基础架构平台分层架构 (1) 主管理服务器 主管理服务器提供服务器虚拟化管理服务，实现对多个资源池所属的大量资源服务器进行统一虚拟化管理、资源调度和运行监控。为了确保服务质量和处理性能，主管理服务器通过专门的管理网（千兆以太网）与受控资源服务器进行通信。主管理服务器基于SOA对资源服务器进行管理，即使主管理服务器服务中断，也不会影响资源服务器及其中的虚拟机正常运行。如果系统对可靠性具有更高的要求，为了避免单点故障，主管理服务器采用HA高可用集群部署，即使主控服务器无法正常工作，也不影响各宿主服务器中虚拟机的正常运行。 (2) 资源池服务器 资源池服务器基于高性能虚拟机技术在服务器硬件和操作系统之间引入虚拟化层，将一台物理机从逻辑上划分成多个虚拟机。每台物理服务器构成一个可划分的资源单位，多台物理服务器可以构成一个资源组，多个资源组构成一个资源池。资源池服务器中的虚拟机通过专门的应用网（千兆以太网）对外提供各种网络服务。 (3) 物理机资源池 物理机资源池是指通过虚拟化技术从服务器、存储、网络等物理资源中抽象出来，对底层硬件设备进行整合和统一管理，使硬件资源的调度更加灵活、动态、有弹性，支持良好的互操作性和标准接口，为上层业务系统提供共享的、池化的计算资源。服务器虚拟化基础架构平台支持创建管理不同类型、不同用途、不同资源调度要求的多个资源池。 (4) 虚拟机资源池 虚拟机资源池是指通过虚拟资源调度控制技术，将分布于不同物理机上的虚拟机，根据虚拟机的业务类型、服务等级和调度策略构建不同的逻辑分组，进行统一调度管理。 (5) 共享存储 集中存放服务器资源池中的虚拟机文件。SAN存储通过专门的存储网与资源服务器进行通信。在本项目中建议采用IP-SAN存储。 (6) 相关交换网络 需要配置应用交换网（简称“应用网”）、管理交换网（简称“管理网”）、存储交换网（简称“存储网”）等网络。 • 管理网是主管理服务器对资源服务器进行通信控制、性能监控、心跳监测的专用网络，采用千兆以太网。如果要实现对物理服务器自动启动/停止/重启等控制功能，需要物理服务器支持IPMI管理接口，并接入到管理网中。 • 存储网是资源服务器访问SAN存储的专用网络，采用IP-SAN万兆以太网，资源服务器采用万兆以太网卡。为了保证存储连通的稳定性，需针对不同存储类型进行适当的网络优化，如配置交换机打开存储访问协议优化、打开流量控制、开启巨桢参数等。 • 应用网是运行在资源服务器中的虚拟机对外提供网络服务的专用网络，采用千兆/万兆以太网，到端采用百兆/千兆以太网。 3 系统性能 3.1 虚拟化基本性能 某县云桌面系统提供高性能的桌面虚拟机配置、虚拟机I/O读写、资源调度等性能支撑。 (1) 桌面远程访问控制 【网络延迟支持】 支持最大网络延迟200ms (2) 桌面虚拟机配置 【虚拟机vCPU】 单台虚拟机vCPU分配数量范围 1-16。 【虚拟机内存】 单台虚拟机内存分配范围 1GB-32GB。 (3) 桌面虚拟机I/O读写性能 桌面虚拟机I/O读写速度达到同等配置物理机I/O读写速度的90%以上。 (4) 资源调度性能 【桌面虚拟机创建】 基于桌面模板的虚拟机创建方式，对于30GB磁盘的虚拟机，虚拟机的创建时间不超过5分钟。 3.2 存储I/O性能 存储I/O性能由虚拟机运行过程中最大的IOPS值决定，Win7虚拟机启动过程中所产生的I/O次数约24000，如下图所示。 图 5　虚拟机启动IOPS分布图 　　虚拟机运行过程中的IOPS值如下图所示。 可见，虚拟机在启动过程中对存储I/O的性能要求最高。 不考虑高速缓存命中率的情况下，单台服务器的IOPS约为2000。 如果需要使用100台服务器启动4025台虚拟机（Win 7系统），平均每台服务器运行39台虚拟机。为了保证虚拟机启动时间，每台服务器上的39台虚拟机将被分为2批次进行调度，每批次启动20台。 每台虚拟机启动可被分配的IOPS＝2000 IOPS / 20＝100 IOPS 每台虚拟机启动时间＝24000 IO / 100 IOPS = 240s = 4min 因此，启动39台虚拟机仅耗时8分钟。 综上，目前所设计的存储性能已能充分保证系统的性能需求 4 系统安全 某县云桌面系统整体达到国家标准GB/T 18336—2008 EAL3评估保证级及相关安全性要求。 【用户标识与鉴别】 凡需使用系统的用户，必须先使用用户名建立账号，该账号在系统的整个生存周期实现对用户的唯一性标识，采用强化口令管理和数字证书等相结合的方式，采用多鉴别机制，实现对用户身份的真实性鉴别，并在每次用户登录系统时进行鉴别。 【会话控制】 禁止同一用户账号进行多会话连接。用户账号登录系统后30分钟内未使用系统，系统将断开会话并重新鉴别用户。系统提供黑、白名单机制，可以根据时间、网络地址等条件设置允许用户的访问系统的控制策略。 【基于角色的访问控制】 默认提供系统管理员、审计管理员角色，基于角色对受保护资源（物理主机、虚拟机、网络、存储等）进行访问控制。 【虚拟机强制访问控制】 支持虚拟机强制访问控制策略，防止虚拟机逃逸或拒绝服务攻击。 【虚拟机安全远程管理】 支持基于安全访问网关对虚拟机远程管理连接进行集中认证与监控，支持对远程管理连接的加密传输。 【物理机可信管理】 基于数字证书对服务器进行身份鉴别和服务器之间安全通信。 【资源调度实时监控】 基于分布式资源调度执行引擎，对所有调度任务执行过程可见可控。 【虚拟机隔离】 支持对虚拟机的处理器指令、内存、磁盘、网络的完全隔离。 【虚拟机数据加密】 支持对虚拟机磁盘进行数据加密，防止对虚拟机的离线攻击。 【虚拟机数据销毁】 支持对虚拟机文件所占用存储空间的销毁，防止残余信息攻击。 【虚拟网络安全】 支持虚拟机网络数据包安全交换，虚拟机只能收到目的地址是自身的ICMP/TCP/UDP等非广播报文。 【虚拟机备份管理】 支持对虚拟机进行在线/离线备份，通过历史的虚拟机备份可以将虚拟机恢复到某个备份时间点的状态。 【系统日志审计】 支持分级日志审计机制，审计管理员可以对日志进行查阅、导出，确保非授权用户不能对审计日志进行访问、修改和破坏。 5 系统功能描述 5.1 虚拟化基础架构子系统 虚拟化基础架构子系统对计算、存储、网络等物理硬件资源提供池化管理，形成虚拟资源池，实现了服务器虚拟化统一管理和资源动态调度，用于构建一体化、高质量的云计算IaaS基础设施服务体系，支撑云桌面系统。 虚拟化基础架构系统提供的功能可以分为资源管理、资源调度与监控、系统管理等类别。 (1) 资源管理 资源管理包括资源池管理、物理机管理、虚拟机管理、镜像管理、网络管理、存储管理、模板管理等功能。 图6 资源池管理功能示意图 【资源池管理】 可以对多个资源池进行管理，包括浏览、新建、删除、监视、配置资源池。 【物理机管理】 可以浏览、查看详细（包括物理机的CPU、内存、磁盘、网卡及物理机上运行的虚拟机列表信息）、维护模式管理、认证管理、启动/停止/删除物理机、监视物理机的实时运行状态等。 图7 物理机资源监控功能示意图 【虚拟机管理】 虚拟机对象查询：浏览虚拟机列表，查询符合条件的虚拟机对象。 虚拟机基本控制：对虚拟机进行启动、停止、暂停、激活、同步、删除、远程控制等基本操作。 虚拟机在线安装：通过操作系统镜像启动并安装虚拟机。 虚拟机备份：创建虚拟机备份数据，从指定的备份数据恢复虚拟机状态，对历史备份数据进行管理，对虚拟机进行数据导出或导入。 虚拟机快照：创建虚拟机快照数据，从指定的快照数据恢复虚拟机状态，对历史快照数据进行管理。 虚拟机迁移：对虚拟机进行跨物理服务器或跨存储在线/离线迁移。 虚拟机复制：对虚拟机进行克隆复制或快速复制。 虚拟机外设：对虚拟机USB设备、虚拟光驱等进行挂载或卸载。 虚拟机配置：对虚拟机BIOS进行设置，对虚拟机的vCPU、内存、硬盘、网卡等进行扩展管理。 虚拟机共享盘：对虚拟机的共享盘进行设置，用于多台虚拟机构建高可用集群。 图 8 虚拟机基本信息管理功能界面 【镜像管理】 可以对需要在虚拟机安装的各类软件ISO镜像文件进行管理，包括浏览、上传、新增、修改、删除软件镜像文件。 【网络管理】 可以对分布式虚拟交换机进行管理，包括浏览、新建、修改、删除、端口组维护、查看属性等，提供对VLAN、虚拟机网络安全策略（混杂模式、IP/MAC绑定等）、虚拟机流量控制策略管理。 图 9 虚拟网络端口配置管理功能界面 【存储管理】 可以对存储进行管理，包括发现、纳管、同步、忽略、挂载、卸载、销毁。 【模板管理】 可以对虚拟机模板进行管理，包括浏览模板列表、查看模板详细信息、克隆虚拟机、快速复制虚拟机、模板导入、模板库初始化、模板检查等功能。 (2) 资源调度与监控 资源调度与监控包括任务与任务组管理、任务执行监控、任务调度管理、服务器心跳线管理、任务队列管理等功能。 (3) 系统管理 系统管理包括系统参数管理、日志管理、用户管理等功能。 5.2 虚拟化教学管理子系统 虚拟化教学管理具体包括教学管理、云桌面管理、教学辅助管理和系统管理等功能模块，功能架构设计如下图所示。 图10 虚拟化教学管理功能架构设计 5.2.1 教学管理 教学管理模块包括课程设置、培训安排、考试安排、实验安排、教室课表等功能。 5.2.1.1 课程设置 课程设置功能用于对中心需要开设的培训、考试、实验教学等课程信息进行统一管理，包括设置课程名称以及可选的实验大纲等信息。 5.2.1.2 实验安排 如下图所示，实验安排功能用于对中心需要开设的计算机实验教学课程进行可视化排程管理，可以根据日期、周次、星期、节次等信息对实验教学任务进行新增、修改或删除。 图11 实验教学可视化排程功能示意图 实验教学任务包括实验名称、教学单位、相关课程、教室、授课教师、虚拟机模板等属性，如下图所示。 图 12 实验教学任务设置功能示意图 5.2.1.3 考试安排 考试安排功能用于对中心需要开设的考试任务进行可视化排程管理，可以根据日期、周次、星期、节次等信息对考试任务进行新增、修改或删除。 考试任务包括考试名称、教学单位、相关课程、教室、监考教师、虚拟机模板等属性。 5.2.1.4 培训安排 培训安排功能用于培中心需要开设的培训任务进行可视化排程管理，可以根据日期、周次、星期、节次等信息对培训任务进行新增、修改或删除。 培训任务包括培训名称、教学单位、相关课程、教室、授课教师、虚拟机模板等属性。 5.2.1.5 教室课表 教室课表功能用于对中心所有教室（培训室）指定日期的培训、考试、实验教学安排进行统一查询，如下图所示。 图 13 教室课表查询功能示意图 5.2.2 云教室管理 云教室管理模块包括资源概览、虚拟机管理、模板管理、教室设置等功能。 5.2.2.1 资源概览 资源概览用于对各级资源池的资源整体利用情况进行集中可视化监控（默认采集周期为５分钟），可以查看所有教室（培训室）的虚拟机数量及运行情况，还可以查看该资源池中物理机/虚拟机的CPU、内存负载和存储空间的使用情况，如下图所示。 图14 资源概览功能示意图 5.2.2.2 虚拟机管理 虚拟机管理功能用于对各个教室（培训室）的虚拟机进行创建、启停、删除、创建快照、系统还原等管理，如下图所示。 图15 虚拟机管理功能示意图 5.2.2.3 模板管理 模板管理功能用于对所有的培训、考试、实验教学相关虚拟机模板进行集中管理，如下图所示。 图16 虚拟机模板管理功能示意图 5.2.2.4 教室设置 教室设置功能用于对所有的教室（培训室）信息进行管理，教室包括名称、编号、座位数、终端数、位置、所属资源池等属性，如下图所示。 图17 教室设置功能示意图 如下图所示，可以对指定教室的终端（PC机或瘦客户机）的编号、IP地址、厂商、型号、管理维护人员等信息进行维护管理。 图18 教室终端维护管理功能示意图 5.2.3 教学辅助管理 教学辅助管理模块包括教学云盘、教学内容管理、签到管理、教学日历管理等功能。 5.2.3.1 教学云盘 教学云盘用于教师共享实验教学所需的课件、示例代码、工具软件、实验指导书及其它相关文件，学生可以在虚拟机中下载使用，也可以将实验作业相关文件进行上传，便于教师归档管理及批量下载。 教学云盘具体功能见5.3节“云盘管理”。 5.2.3.2 教学内容管理 教学内容管理功能用于教师对实验教学详细的实验指导内容进行设置，填写每个实验项目名称、实验内容、实验学时等信息，便于学生在进行实验时查阅，如下图所示。 图19 教学内容管理功能示意图 5.2.3.3 签到管理 签到管理功能用于教师对实验教学过程中，学生到课情况进行登记和查询统计，教师可以根据需要在一次实验教学过程中发起多次签到（如开始和结束时），签到数据可以自动统计并下载保存为Excel文件，便于在课程结束时对所有学生的到课情况进行分析。 5.2.3.4 教学日历管理 教学日历管理功能用于在每年度结束后设定下一年度的教学开始日期（考虑特殊情况下教学开始日期可能提前或推迟），便于自动生成校历，如下图所示。 图20 教学日历管理功能示意图 5.2.4 系统管理 系统管理模块包括资源池设置、教学机构设置、用户管理、角色管理、日志管理等功能。 5.2.4.1 资源池设置 　　资源池设置功能用于对多个资源池（可在不同教学区分布式部署）进行配置管理，可以查看资源池的详细信息，包括资源池编号、描述、服务器访问URL、资源池连接认证信息等，可对资源池进行新增、修改和删除等管理，如下图所示。 图21 资源池设置功能示意图 5.2.4.2 教学机构设置 教学机构设置功能用于设置中心的各个教学机构（如系部、培训室等）信息，可以浏览、新增、修改、删除教学机构信息，如下图所示。 图22 教学机构设置功能示意图 5.2.4.3 用户管理 用户管理功能用于浏览、新增、修改、删除平台系统的用户信息，可以为用户分配权限、修改登录密码等，可以对用户信息进行批量导入，如下图所示。 图23 用户管理功能示意图 用户信息包括姓名、登录账号、登录密码、手机号码、邮件地址、用户角色、所属教学机构等，如下图所示。 图24 新增用户信息功能示意图 5.2.4.4 角色管理 角色管理功能用于浏览、新增、修改、删除系统角色，维护角色的功能模块权限，系统默认提供超级管理员、实验室管理员、系统管理员、教师、学生等5中角色。 5.2.4.5 日志管理 日志管理功能用于可以查看用户在系统中各种关键操作（如登录、创建、修改、删除）的分级日志记录，如下图所示。 图25 日志管理功能示意图 5.3 安全云盘 针对某县中小学网络文件存储和管理需求，通过全面存储、管控、移动、共享和协作，实现非结构化文档存储、快速分享、文档集中管控及病毒查杀功能。 【组织权限管理】 提供对用户按照组织进行分单位进行管理维护，以及管理员的权限分配、维护等功能。 图26云桌面管理功能界面示意图 【文件管理】 提供对非结构化文件的上传、浏览、下载、安全扫描及文件的分享等功能。 图27安全云盘文件上传 提供对非结构化文件在线浏览功能，包括音频、视频、图片等信息。 图28安全云盘文件在线浏览 图29安全云盘文件共享 图30安全云盘病毒查杀 6 系统逻辑架构及配置 6.1 系统逻辑架构 6.2 系统配置 6.2.1 软件配置 为了提高云桌面系统的安全可控和技术服务保障能力性，降低建设成本，推荐采用国产云桌面系统软件。 软件名称 功能 DCEP系统 提供教学管理的业务支撑，提供云桌面管理 VSIP虚拟化基础架构系统 提供云桌面虚拟机环境支撑、调度管理 6.2.2 容量估算 6.2.2.1 虚拟化基础架构子系统 按照虚拟CPU（vCPU）、虚拟内存、硬盘空间的需求量计算，得出总的资源池需求： vCPU：4（每台虚拟机分配2核）*（所有虚拟机台数） vMEM：8*（所有虚拟机台数） 硬盘：200G*（所有虚拟机台数）*2（备份空间）*2（raid10空间） 需求类型 云桌面数 vCPU(核） vMEM(G） 硬盘(GB) 物理CPU值(核） 物理MEM值(G) 裸盘值(GB) 标准 合计 标准 合计 标准 合计 服务器虚拟化 40 4 160 8 320 200 8000 80 320 32000 并根据总需求数得出单台服务器硬件配置如下： 类型 服务器配置 物理机台数估值（含软件系统空间） CPU 核数 内存(G) 硬盘(G) 数量 单条容量 总容量 块数 单块容量 合计 CPU MEM 服务器虚拟化 2 10 12 8 128 14 600 8400 5 5 注：其中计算虚拟化软件占用资源为： CPU：1核/台服务器； 内存：1G/台服务器； 硬盘：52G/台服务器 总结：需要5台2颗10核心CPU，128G内存，14块600G硬盘的服务器作为支撑硬件环境； 6.2.2.2 虚拟化教学管理子系统 以每个数据中心支撑500个云桌面为基础，按照虚拟CPU（vCPU）、虚拟内存、硬盘空间的需求量计算，得出总的资源池需求。根据需求分析，以班班通、计算机多媒体教室、电子阅览室、教师办公总共资源如下： vCPU：2（每台虚拟机分配2核）*（所有虚拟机台数） vMEM：4*（所有虚拟机台数） 硬盘：80G*（所有虚拟机台数）*2（备份空间）*2（raid10空间） 按照1:5虚拟机与物理核数比得出下表： 需求类型 云桌面数 vCPU(核） vMEM(G） 硬盘(GB) 备份数据、模板、快照 物理CPU值(核） 物理MEM值(G) 裸盘值(GB) 虚物比 磁盘比 额外空间容量比 标准 合计 标准 合计 标准 合计 多媒体教室、教师办公、班班通、电子阅览室云桌面 500 2 1000 4 2000 70 35000 3500 333.3333 2000 154000 3 4 10% 并根据总需求数得出单台服务器硬件配置如下： 类型 服务器配置 物理机台数估值（含软件系统空间） 系统占用空间（G） 系统占用内存（G） 实际每台物理机支撑云桌面数量 CPU 8 内存(G) 硬盘(G) 数量 单条容量 总容量 块数 单块容量 合计 CPU MEM 硬盘 操作系统 交换空间 云桌面 2 10 12 16 192 24 600 14400 12 11 12 20 32 4 44 注：其中计算虚拟化软件占用资源为： CPU：1核/台服务器； 内存：1G/台服务器； 硬盘：52G/台服务器 6.2.2.3 安全云存储 存储配置为两类：服务器虚拟化集中存储（高性能），使用IP-SAN需要24块600G硬盘，15000转SAS盘。主要用于存储服务器虚拟机文件。 云盘共享资源及备份集中存储（高密度），主用用于非结构数据的存储。154000*10%=15400G，需要6块3T硬盘。 6.2.3 硬件配置 6.2.3.1 云桌面 某县云桌面系统相关的硬件包括安全访问网关服务器、云桌面管理服务器、资源池服务器及网络设备。 6.2.3.1.1 安全访问网关服务器推荐配置（以每个镇数据中心为单位） 安全访问网关服务器每台可以支持500个虚拟桌面访问通道，2台服务器构建集群，配置方案如下表所示，推荐采用1U X86机架式服务器。 硬件名称 推荐配置 用途 数量 总体需求 安全访问网关服务器 1、2U机架式服务器（含机架安装套件）； 2、CPU：1颗IntelE5-2609 v3 (1.9GHz/6c) / 6.4GT / 15ML3处理器； 3、内存：≥ 16个DIMM插槽，本次配置16GB ECC DDR3 内存； 4、RAID控制器：≥带1G高速缓存，支持Raid 0,1,5,10,50,60 5、内部存储：支持≥24块硬盘，本次配置4*300GB SAS15K热插拔硬盘 6、、以太网卡端口：≥4个千兆以太网卡网口，具故障恢复和负载平衡功能，IPMI接口1个；≥2个10Gb以太网网口以及2个SFP+模块 7、电源：冗余电源和风扇，支持热插拔. 运行安全访问网关系统，为虚拟化桌面提供统一的安全访问入口 2 2*10=20 6.2.3.1.2 云桌面主管理服务器推荐配置 云桌面管理服务器采用2台物理服务器构建集群，配置方案如下表所示。 硬件名称 推荐配置 用途 数量 总体需求 云桌面主管理服务器 1、2U机架式服务器（含机架安装套件）； 2、CPU：1颗Intel E5-2609v3 (1.9GHz/6c) / 6.4GT / 15ML3 * 1处理器 3、内存：≥ 16个DIMM插槽，本次配置16GB ECC DDR3