批量软件分发,业务软件闪电式更新 稳扎稳打,快速复制,全面云化
传统虚拟机模型 软件更新模型
稳扎稳打 快速复制 扩大范围 全面上云
公用软件库(虚拟卷) 个人软件库
45% 90% 95% 100%
桌面虚拟机 操作系统 办公应用 工具应用 个人应用 桌面虚拟机 操作系统 软件分发层 办公应用 自主安装应用程序 北京率先开展研发上云, 复制北京成功经验,成 西安、上海半导体设计研 两地五平台建设完成
工具应用
桌面云平台建设完成 都、杭州、郑州、合肥 发专线接入,分别访问北 桌面云平台统一管控
◆办公等常用的软件库存储(安装)在可共享的虚拟磁盘 研发快速上云 京和成都桌面云平台4000+台虚拟机上线 10000+台虚拟机上线
可将这些虚拟的软件磁盘挂载到用户虚拟机中,就像在安装本地应用一样运行 8000+台虚拟机上线 扩大云化范围◆
◆更新某个软件(如办公、文档编辑器),所挂载的虚拟机在下次启动后会自动更新,且不影响个人配置、数据和自主安装的其他软件
终端准入控制 全研发办公场景覆盖,应对多场景复杂需求
指定终端接入:通过在接入终端的MAC地址/MAC地址组与域用户/域用户组之间建立绑定关系,实现指定域用户/域用户 安全办公 设计办公 日常办公
组成员从指定终端/终端组接入桌面。
适用场景:在信息安全要求高的场合,只允许特定用户从固定地点的终端登录到包含敏感信息的虚拟桌面中,以避免敏感 满足按存储信息保密级别分区要求 满足软硬件设计人员办公要求 满足研发测试人员日常办要求
信息遭到泄露的风险。 红区:公司高密级信息资产 提供VGPU办公桌面 lync双向语音通信
◆能够实现软件的黑名单控制,兼容大部分的应用软件, 黄区:公司非核心信息资产 3D图形制作 兼容软硬件开发编译
+
可以设置全匹配和模糊匹配策略; 桌面用户 已绑定 绿区:互联网、开源软件等资产 双屏办公 双屏办公
◆可根据部门和用户设定权限,能够细化应用程序管理的
VDI Broker
细粒度; +桌面用户 未绑定 迭代更新,攻克体验难关
◆对虚拟机磁盘进行监控,当发现有软件黑名单中的程序 1、用户登录时,客户端会将用户名、域名 2、与Broker的预存绑定信息相 3、成功登录进入虚
以 及 M A C 地 址 发 送 桌 面 云 管 理 平 台 匹配,则允许去AD鉴权,继续 拟桌面中 音视频不同步 屏幕忽明忽暗闪烁
创建或者拷贝到虚拟机中,弹框提示用户该软件非法 (Broker),检查TC是否与此用户绑定 登录过程,否则不允许继续登录
原因:开源远程连接原生协议播放框架处理 原因:无场景细分,H264流文件形成条件
固化,成流不成流频繁切换
数据备份与恢复 语音有延迟。
解决:通过替换播放框架,声音延迟从7帧 共解决需求问题562条 解决:优化数据成流条件,提供可配置的显
◆基于磁盘的备份与恢复,避免虚拟桌面系统出现不可恢 /200ms+优化到1.5帧/50ms 示模式以应对不同的使用场景。(高清模式:应用程序 应用程序 应用程序 定制化需求200+
复故障,为虚拟机提供快速、简单的数据保护。 操作系统 操作系统 操作系统 无视频需求;影院模式:频繁播放视频;办公2 定时/手工备份虚拟机镜像文件1 到备份库(如专用备份服务器)
虚拟机异常 体验优化100+ 模式:办公为主,偶尔有视频要求)
◆支持全自动的定时备份和手工干预的即时备份,满足不 备份库 红底黑子显示清晰度
H3C CAS H3C CAS H3C CAS 运维优化100+ 易用性提高 H3C云桌面
同的应用要求。 原因:RGB图像转码压缩后清晰度下降;
共享存储(IP & FC) 双屏办公模场景,支持自定义主副屏,即虚
选择需要恢复的虚拟机镜像文
3
◆支持全量、增量和差异备份及管理与恢复能力。 件,手动恢复虚拟机。 解决:更新转码后图像数据格式,清晰度明 机内主副屏幕与客户机设置保持一致,提高
显提升 产品易用性。 远程办公解决方案
精品案例--新华三集团研发
“两地五中心一平台”办公 敬告:
H3C公司将全力检查文字、图片和印刷中的错误,但对于可能出现的疏漏,敬请客户在订购之前向H3C公司确认。产品供货情况和技术规格如有变化,恕不另行通知。
10000+超大规模桌面云应用实践 新华三集团 www.h3c.com
两地五中心一平台
北京总部 杭州总部 客户服务热线
五地桌面云平台(北京、杭州、成都、合肥、郑州) 394台桌面云服务器 788颗CPU 北京市朝阳区广顺南大街8号院 杭州市滨江区长河路466号
两地专线远程接入(西安、上海) 230台存储服务器 6909T可用容量 利星行中心1号楼 邮编:310052 400-810-0504
一个大云平台运维中心 10000+台桌面虚拟机 8000+ 邮编:100102并发
Copyright © 2019新华三集团 保留一切权利
免责声明:虽然新华三集团试图在本资料中提供准确的信息,但不保证本资料的内容不含有技术性误差或印刷性错误,
为此新华三集团对本资料中信息的准确性不承担任何责任。新华三集团保留在没有任何通知或提示的情况下对本资料的内容进行修改的权利。
CN-161030-20190726-lf-HZ-V1.0
VDP桌面连接协议采用自适应的数据传输压缩算法,针对文字和图片用无损压缩保证清晰度,针对视频采用优化的视频压
办公形态加速转型 多数据中心接入,多桌面便捷切换缩算法。有效降低CPU负载,更低的编码延迟;支持H.264编码方式,智能利用终端的视频解码能力,可以充分减少虚拟
从同数据中心多桌面切换,升级配置多数据中心,多数据中心下云桌面灵
机的CPU占用,并保证视频播放的流畅;数据压缩算法多样,而且可根据不同的数据类型(文本、自然图像、人工图像、 云桌面资源池 云桌面资源池
新形势新挑战 活切换。视频)采用不同的压缩算法;支持高音质音频,采用率从8K窄带到48k全频,支持立体声,比AAC更优、低延时,能做到 Windows 7 Windows XP Windows 10 Windows 7 Windows XP Windows 10
更好的音视频同步;支持智能数据缓存,使得在广域网使用更流畅。 Windows 7 Windows XP Windows 10 Windows 7 Windows XP Windows 10 ◆ 一个终端同时支持配置多个H3C Desktop Studio
突发局势迫使企业进行信息化变革,传统的思维定式发生巨变,管理模式从离开机房,到离开办公区;传统PC向员工发放
◆ 一个终端同时连接多个云桌面,多桌面同时在线
消耗时间长;办公地点固化,无法满足突发情况下远程办公需求;终端的安全防护、管理运维耗费大量资源,业务中断时间 广域网灵活接入,办公地点不受限 云桌面服务器集群A 云桌面服务器集群B
长,桌面体验不尽人意;终端故障需现场维护,时间长、效率低;软硬件多样,桌面管理困难,不堪重负;个人数据易丢失,影 ◆ 远程桌面跨数据中心接入,访问更灵活
响业务运行;数据在终端本地存储,各种端口难以管控,使用者行为难以约束,电脑失窃导致数据丢失和信息泄露等等。 通过云桌面系统,能够对数据按照保密级别进行分区,让不 云桌面资源区 云桌面资源区桌面安全管理 ◆ 单数据中心集群节点受限情况下,快速扩展,扩展更灵活
VM VM VM VM VM VM VM VM VM 终端行为审计 VM VM VM VM VM VM VM VM VM
同人员按照不同的安全策略进行访问。对于可能接触涉密数 终端数据保护 iNodevSwitch vSwitch vSwitch vSwitch vSwitch vSwitch 客户端
解决思路 据的用户,对其云桌面启用“显性水印+盲水印”功能,在 云桌面主机接入层 云桌面主机接入层
桌面安全边界回收到数据中心,扭转被动防范多点分布泄密的局面(数据上云,桌面远程推送);身份认证、外设集中管 给予安全警示的同时还可以有效防止数据泄密,一旦发现有
桌面显性水印、盲水印防泄密
云桌面安全网关 统一终端业务
控(统一认证、分组“按需”运维);对于多分支机构,所有安全策略做到集中管理,统一运维,远程操控。 用户私自截图泄密,即可通过截图的图片反向解析找到泄密 Network 管理服务器 通过动态水印技术实现保密信息的接触者不敢通过手机拍照进行泄密,所有敏感数据和文件的操作行为自动添加水印,而
源头。在使用过程中,云桌面不仅能提供3D图形制作等功
互联网 互联网 且水印以操作者的账号名方式显示,震慑通过拍照窃取数据的行为。用户操作行为可以回溯,在发生信息被截图外泄时,
网络: 认证 认证 网络:
能,更能针对远程办公人员提供Lync双向语音通信、广泛兼 外网终端或PC机通过安全加密隧道认证 外网终端或PC终端通过安全加密隧道认证
方案架构及组件 通过水印和行为操作证据,找到责任人。容的日常OA邮件系统,让用户无需准备任何软硬件环境就 外网终端/外设 外网终端/外设
准入控制
可以开始远程工作,在家也能获得顺畅、高效的工作体验。 ◆轻负载,在带水印的策略启用时,CPU消耗 定义水印信息
Workspace APP Workspace DC/Cloud 1%-2%,用户没有操作时,消耗为0%;
桌面资源池 方案适应力强,接入方式灵活
静态桌面 ◆不依赖应用,即水印可加到各类应用中, 是否 是Windows 7 Windows XP Windows 10 指定对象
桌面管理平台 启用水印 (用户、用户组、桌面池) 创建水印页 显示桌面 用户登录
桌面控制器 应用资源池 云桌面在部署之后,要实现远程安全的接入,安全网关是不可或缺的重要一环。作为云桌面远程办公解决方案的重要组 包括C/S、B/S或单机版,水印不会被应Cloud Desktop
Desktop 动态桌面
服务器
局域网 StudioController 件,安全网关不仅能够提供灵活的接入方式,而且能借助WEB认证等方式确保用户身份的合法性。在使用过程中,DPI深 用程序界面覆盖;
否
手工桌面 终端资源池 度安全防御可以准确识别风险,对数据进行深度安全检查,同时多线路的智能选路也能保证用户的最佳访问体验,做到安 ◆水印不影响业务软件的正常使用 显示VDP画面 画面叠加
存储
离线桌面 数据资源池 全与体验的双赢。
广域网
安全网关 控制层 网络 提供多个远程云桌面接入方式,实现企业远程办公需求。通过此方式可以达到如下效果:资源层 外设安全控制
用户层 接入层 硬件层 ◆办公地点不受限,具备异地远程办公条件状态监控 分析 自动化 部署 云桌面管理平台可对外设通道独立控制,可灵活实现信息安全,可以通过云桌面管理平台实现外设管理策略的设置、下发
◆终端用密不留密,核心数据统一存储在数据中心内,数据传输严格管控,终端仅显示变化的图片,图片传输采用SSL加
到客户端,控制外设的重定向规则,针对非标外设也可以设置详细的黑白名单。针对USB存储设备,可以控制设备只读。
H3C Workspace云桌面解决方案主要由以下组件构成: 密,有效保障数据传输安全
◆ H3C Cloud Desktop Studio H3C IDV客户端 方案I:云桌面远程接入硬件安全网关汇聚组网拓扑(规模大于100点) ◆架构优势:◆
一些非常见的外设,客户端只是简单地将端口数据完整地重定向到对应的虚拟桌面中,由虚拟机驱动程序去识别具体的设
云桌面的管理平台组件,部署在服务器上,管理员可以 H3C IDV客户端运行在IDV终端上,用户通过H3C IDV ①加密通道 硬件安全网关: 备类型。
通过该平台管理与云桌面业务相关的虚拟化平台、桌面 客户端可以使用IDV桌面 云桌面资源池
ISP 采用云桌面安全网关设备接入(内
镜像、桌面池以及用户等 通过外设重定向技术可以让外设走单独的协议通道,可以支持很多类型的外设。家用电脑
◆ H3C Workspace SpaceAgent Windows 7 Windows XP Windows 10 置防火墙确保通信通道稳定性), ◆支持的设备:
◆ H3C Workspace App
H3C Workspace Studio管理平台管理终端时使用的代 硬件安全网关 交换机 云桌面服务器 Windows 7 Windows XP Windows 10 也可以使用数据中心级别的路由器 非标外设,比如:加密狗、电子白板、Ukey、智能卡、SIM卡读卡器、扫描枪、 身份证读卡器等。
连接VDI云桌面的客户端程序,部署在PC或瘦终端上, 云终端理程序,部署在终端上,可以为管理平台提供多种终端 或防火墙。如果对安全性要求很高
用户可以通过该客户端高效的传输桌面图像以及将PC或 ②VDP桌面连接协议管理能力 用户区 云桌面数据中心 可以选择iMC EAD产品。
瘦终端上的本地设备映射到VDI云桌面中 管理分权分域,权责分明
方案II:云桌面远程接入软件安全网关汇聚组网拓扑(规模小于100点)
◆管理系统中的账号所属角色对应的操作 系统管理员
职责:
方案核心特点 权限进行分离,独立的账号管理功能模 云数据中心基础设施运维 管理员①加密通道 云数据中心虚拟资源管理软件安全网关: 审计管理员云桌面数据中心 云终端 云桌面资源池 块,管理员根据实际情况分配权限,实 职责:
ISP 管理员操作日志审计
家用电脑 云桌面安全网关设备可以以虚拟机 现系统管理员、维护管理员、审计管理 虚拟机运行日志审计
Windows 7 Windows XP Windows 10 桌面池1 桌面池2 桌面池3 桌面池4
高效桌面连接协议VDP VDP桌面协议 维护管理员的方式部署,支持小规模的远程桌 员的多级管理; 职责:
软件安全网关 交换机 云桌面服务器 Windows 7 Windows XP Windows 10 桌面池运维,桌面生命周
面接入。 最终用户云终端 期管理,终端设备管理H3C自研的新一代云桌面传输协议VDP(Virtual Desktop ◆基于集群、主机和桌面池的细粒度权限 职责:
使用云桌面资源
②VDP桌面连接协议
Protocol),使用流畅、支持广域网、低延时。 用户1 用户2 用户3 用户1 用户2 用户3集中编码、捕获、渲染 重现、解码 用户区 云桌面数据中心 管理