云上战“疫”，云桌面远程办公解决方案_20200218

云上战“疫”，云桌面远程办公解决方案 新华三集团 云数产品线 写在前面 1. 为抗击在疫情一线的所有医务人员、疫情保障人员致以最崇高的敬意！ 2. 作为一家技术型的公司，以技术来为此次战役保驾护航，是一份本能的责任和担当！ 3. 疫情严峻，请各位注意防护，保护好自己、保护好家人！安心工作、安心生活！ 01 “疫情”对桌面办公带来的影响 02 新华三云桌面远程办公解决方案 03 经典案例经验分享 “疫情”来临，加速桌面转型 新思维 新管理 新运维 新体验 N95 迫使企业进行信息化变 企业的桌面办管理方法 运维模式变化，从离开 用户使用习惯的变化和 革，传统的思维定式发 从“烟囱式”，到“聚 机房，到离开办公区， 提升，适应新模式下的 生巨变 合式”变化 发生变化 办公环境 新疫情，新变革 加速管理者、运维者及使用者的理念转变，企业转型进入快车道！ 新形势下的桌面办公面临的挑战 信息安全 • 数据在终端本地存储 • 各种端口难以管控 • 使用者行为难以约束 • 电脑失窃导致数据丢失和信息泄露 业务保障 • 传统PC向员工发放消耗时间长 • 办公地点固化，无法满足突发情况下远程 办公需求 资源固化 • 终端故障需现场维护，时间长、效率低 • 软硬件多样，桌面管理困难，不堪重负 ⚫ 硬件配置固化，用户无法个性化 • 个人数据易丢失，影响业务运行 ⚫ 硬件配置无法灵活升级 ⚫ 硬件资源无法复用，资源利用率低 无法远程办公，终端的安全防护、管理运维耗费大量资源，业务中断时间长，桌面体验不尽人意 内部信息安全防范，由人防走向技防 安全 • PC已部署铁桶般的防御仍然防不住泄密？ 现象 • 敏感数据需安全加密，但如何同时不能影响使用效率？ 之惑 • 如何提升安全管理效率？提高安全投入产出比？ • 桌面安全边界回收到数据中心，扭转被动防范多点分布泄密 本质 解决 的局面（数据上云，桌面远程推送） 思路 • 身份认证、外设集中管控（统一认证、分组“按需”运维） • 对于多分支机构，所有安全策略做到集中管理，统一运维 云计算带来桌面转型：进入后PC时代 用户账户 个人数据 应用数据 操作系统 终端硬件 “瘦”终端 云数据中心 云桌面是一种目前被广泛接受的云业务应用。使用虚拟化技术，一台服务器可同时满足数十人的办公需求，从而将企业 内部办公环境从“分散的PC”变为“集中的办公数据中心” 云计算引领桌面进入“后PC时代”，使办公桌面及数据与终端分离，从根本上解决桌面困境。 云桌面优势 81%的组织机构已将桌面云纳入或准备纳入IT体系(来源于IDC报告) 数据安全集中管控 数据集中在后端，数据可单向传递，安全策略可设置 随时随地访问 终端与用户账户解耦合，网络可达即可远程安全办公 集中管理快速发放 资源远程集中管理，桌面资源秒级分配 分时复用灵活调整 桌面资源按需分配，因场景和需求而异 云桌面的价值 终端由“胖”变“瘦”，精简、节能、可移动 体验增强 三 句 管理由“烟囱式”转变为“聚合式”，批量处理 管理简单 话 数据由“分散”变为“集中”，可控可管 数据安全 01 “疫情”对桌面办公带来的影响 02 新华三云桌面远程办公解决方案 03 经典案例经验分享 新华三云桌面总体方案架构及组件介绍 Workspace APP Workspace DC/Cloud 用户层 接入层 控制层 资源层 硬件层 桌面资源池 桌面控制器 Controller 静态桌面 桌面控制器 Windows 7 Windows XP Windows 10 Desktop Controller 应用资源池 局 域 桌面管理平台 动态桌面 服务器 网 Cloud Desktop Studio 终端资源池 手工桌面 安全网关 存储 数据资源池 广 离线桌面 域 网 网络 状态监控 分析 自动化 部署 • 管理融合归一：一个管理界面，云桌面、虚拟化、存储管理平台超融合部署、资源融合管理 • 桌面灵活可选：VDI与IDV融合管理，支持多种桌面类型：静态桌面、动态桌面、手工桌面、离线桌面 • 扩展应付自如：大集群场景，管理平台容器化部署，扩展简便。分支场景，分级部署，权责分明 云桌面核心特点 高 体验 强 安全 简 管理 智 运维 类PC的登陆体验 分权分域管理 灵活的策略管理 桌面远程协助 优质的视频体验 应用黑名单 数据备份和恢复 用户自助快照 全栈式的外设兼容性 终端准入控制 多种桌面池类型 桌面自动化申请 … … … … 高体验 高效的远程桌面连接协议VDP ➢ 有效降低CPU负载，更低的编码延迟 云桌面数据中心 ➢ 支持H.264编码方式，智能利用终端的视频解码 能力，可以充分减少虚拟机的CPU占用，并保证 云终端 视频播放的流畅 ➢ 数据压缩算法多样，而且可根据不同的数据类型 VDP桌面协议 （文本、自然图像、人工图像、视频）采用不同 的压缩算法 ➢ 支持高音质音频，采用率从8K窄带到48k全频， 集中编码、捕获、渲染 重现、解码 支持立体声，比AAC更优、低延时，能做到更好 的音视频同步 ➢ 支持智能数据缓存，使得在广域网使用更流畅 H3C自研的新一代云桌面传输协议VDP（Virtual Desktop Protocol），使用流畅、支持广域网、低延时。采用自适应的数据传输压缩算法，针对文 字和图片用无损压缩保证清晰度，针对视频采用优化的视频压缩算法。 办公地点不受限，远离疫情 云桌面资源区 云桌面资源区 桌面安全管理 VM VM VM VM VMVM VM VM VMVM VMVM VM 终端行为审计 VM VM VM VM VM vSwitch vSwitch 终端数据保护vSwitch vSwitch vSwitch vSwitch iNode客户端 云桌面主机 云桌面主机 接入层 接入层 Network 云桌面安全网关 EAD准入服务器 网络： 网络： 云终端通过802.1X或Portal进行认证 外网终端或PC机通过安全加密隧道认证 互联网认证 互联网接入认证 外网终端或PC终端通过安全加密隧道认证 外网 外网 准入控制 终端/外设 终端/外设 方案适应力强，接入方式灵活 方案I：云桌面远程接入硬件安全网关汇聚组网拓扑（规模大于100点） 荐 实现企业远程办公需求 ➢ 办公地点不受限，具备异地远程办公条件 ➢ 终端用密不留密，核心数据统一存储在数据中心内，数 据传输严格管控，终端仅显示变化的图片，图片传输采 用SSL 加密，有效保障数据传输安全 方案说明 ➢ 硬件安全网关： 方案II：云桌面远程接入软件安全网关汇聚组网拓扑（规模小于100点） 采用云桌面安全网关设备接入（内置防火墙确保通信通道 稳定性），也可使用路由器或防火墙。如果对安全性要求 很高可以选择iMC EAD产品 ➢ 软件安全网关： 云桌面安全网关设备可以以虚拟机方式部署，支持小规模 的远程桌面接入 多数据中心接入，多桌面便捷切换 方案价值 ➢ 跨数据中心接入，访问更灵活 ➢ 单数据中心集群节点受限情况下，快速扩展，扩展更灵活 具体实现 ➢ 一个终端同时支持配置多个H3C Desktop Studio ➢ 一个终端同时连接多个云桌面，多桌面同时在线 从同数据中心多桌面切换，升级配置多数据中心，多数据中心下云桌面灵活切换 个人云盘漫游，数据跟随 存储可用服务器本地存储，也支持外接 Workspace V V 云 M M 盘 存储 存储卷与用户一一绑定，大小可以自定 义调整 用户从终端登录后，可以直接访问云盘 服务，也可以在云桌面中访问个人云盘 桌面操作系统损坏，个人云盘跟随。漫游相同数据，突破物理区域限制 强安全 桌面显性水印&盲水印防泄密 通过显性水印和盲水印技术实现对保密信息的接触者进行提醒和威慑，功能特点如下： • 对敏感数据和文件的操作行为自动添加水印，而且水印可以登陆账号名、IP地址或者MAC地址的方式显示，震慑通过拍照窃取数据的行为 • 在发生数据被截图外泄时，只需将泄密截图上传至云桌面管理平台进行方向解析，即可追本溯源找到泄密源头 定义水印信息 是否启用 否 显示VDP画面 水印 是 指定对象 （用户、用户组、桌面池） 创建水印页 画面叠加 显示桌面 用户登录 • 轻负载，在带水印的策略启用时，CPU消耗1%-2%，用户没有操作时，消耗为0% • 不依赖应用，即水印可以加到各类应用中，包括C/S、B/S或单机版应用 • 水印不会被应用程序界面覆盖，不影响日常办公软件的正常使用 外设安全控制，收放自如 功能简介：云桌面管理平台可对外设通道独立控制，可灵活实现信息安全，可以通过云桌面管理平台实现外设管理策略的设 置、下发到客户端，控制外设的重定向规则，针对非标外设也可以设置详细的黑白名单。针对USB存储设备，可以控制设备 只读。 架构优势： 一些非常见的外设，客户端只是简单地将端口数据完整地重定向到对应的虚拟桌面中，由虚拟机驱动程序去识别具体的设备类型。 通过外设重定向技术可以让外设走单独的协议通道，可以支持很多类型的外设。 支持的设备 非标外设，比如：加密狗、电子白板、Ukey、智能卡、SIM卡读卡器、扫描枪、身份证读卡器等。 管理分权分域，权责分明 • 管理系统中的账号所属角色对应的操作权限进行分离，独立的账号管理功能模块，管理员根据实际情况分配权限，实现系统管理员、 维护管理员、审计管理员的多级管理； • 基于集群、主机和桌面池的细粒度权限管理； 系统管理员 维护管理员 职责： 职责： 云数据中心基础设施运维； 桌面池运维，桌面生命周期 云数据中心虚拟资源管理； 管理，终端设备管理； 管理员 审计管理员 职责： 管理员操作日志审计； 虚拟机运行日志审计； 桌面池1 桌面池２ 桌面池３ 桌面池４ 最终用户 职责： 用户1 用户2 用户3 用户1 用户2 用户3 使用云桌面资源； 简管理 批量软件分发，闪电式更新 公用软件库（虚拟卷） 个人软件库 办公应用 工具应用 自主安装应用程序 办公应用 工具应用 个人应用 软件分发层 操作系统 操作系统 桌面虚拟机 桌面虚拟机 传统虚拟机模型 软件更新模型 ⚫ 办公等常用的软件库存储（安装）在可共享的虚拟磁盘。 ⚫ 可将这些虚拟的软件磁盘挂载到用户虚拟机中，就像在安装本地应用一样运行。 ⚫ 更新某个软件（如办公、文档编辑器），所挂载的虚拟机在下次启动后会自动更新，且不影响个人配置、 数据和自主安装的其他软件。 软件黑名单，应用层细粒度管控 • 能够实现软件的黑名单控制，兼容大部分的应用软件，可以设置全匹配和模糊匹配策略； • 可根据部门和用户设定权限，能够细化应用程序管理的细粒度； • 对虚拟机磁盘进行监控，当发现有软件黑名单中的程序创建或者拷贝到虚拟机中，弹框提示用户该软件非法； 数据备份与恢复，多重保障 特性价值 • 基于磁盘的备份与恢复，避免虚拟桌面系统出现不 可恢复故障，为虚拟机提供快速、简单的数据保护。 应用程序 应用程序 应用程序 • 支持全自动的定时备份和手工干预的即时备份，满 足不同的应用要求。 2 操作系统 操作系统 操作系统 • 支持全量、增量和差异备份及管理与恢复能力。 虚拟机异常 定时/手工备份虚拟机镜像文件到备 1 份库（如专用备份服务器）。 H3C CAS H3C CAS H3C CAS 备份库 共享存储（IP & FC） 选择需要恢复的虚拟机镜像文件，手 3 动恢复虚拟机。 智运维 高效运维，高效资源利用 数据从分散到集中，部署从单一到批量，管理从手动到自动，安全从被动到主动，扩容从离线到在线 规划 部署 维护 扩容 ◼ 外设一键式兼容性检查和收集 ◼ 云桌面一体机极简部署 ◼ 运维大屏监管 ◼ 集群式管理、高可靠设计 ◼ 软件一键式兼容性检查和收集 桌面分钟级置备 ◼ 软件批量分发、升级◼ ◼ 虚拟资源热添加 ◼ 模板一键优化，加快部署速度 ◼ 运维前置、桌面一键式备份/还原 ◼ 资源模块化扩容 ◼ 可视化的远程协助 ◼ 系统日志一键式收集 普通云桌面： 手动申请 批量部署 系统离线升级 软件批量升级 多平台管理 无缝扩容 云端防护 可视化运维 PC时代： 人工申请 独立采购 逐一装机 系统离线升级 软件离线升级 数据备份 叠加防护 策略管理 硬件报废 离线扩容 瘦终端无感知升级，保证桌面业务连续性 提前预装、自动配置 H3C 出厂预装通 终端加电上 自动发现 自动安装客 Workspace 用户登陆 用Agent 线 Controller 户端 优势： 部署 提前预装 实施现场手动配置 • 系统智能化感知 其他产品 出厂预装桌 终端加电上 手动设置 手动更新桌 用户名密码 用户登陆 • 客户端自动化部署 面客户端 线 Controller 面客户端 登陆 • 缺省配置自动推送 终端免认证 登陆 随时升级，在线推送 H3C 优势：随时在线升 自动升级客 终端重启生 Workspace 级 户端 效 • 随时升级、无需等待升 升级 级窗口 提前通知、离线升级 • 在线升级、用户无感知 其他产品 择机离线升 内部邮件发 自助安装客 终端重启生 用户下线 级 送升级通知 户端 效 用户自助备份，防范于未然 客户端登录后对静态桌面 池中虚拟机创建快照 遇到的问题 终端用户随意安装软件，可能会 导致Windows异常，出现蓝屏、 黑屏等问题。 解决方案 终端用户可以自助对云桌面生成 快照，当Windows出现异常情 况下，可以自助还原、开关机重 启等操作。 01 “疫情”对桌面办公带来的影响 02 新华三云桌面远程办公解决方案 03 经典案例经验分享 精品案例（1）：新华三集团研发“两地五中心一平台”办公 10000+超大规模桌面云应用实践 超大规模 两地五中心一平台 五地桌面云平台（北京、杭州、成都、合肥、郑州） 两地专线远程接入（西安、上海） 一个大云平台运维中心 394台桌面云服务器 788颗CPU 南海诸 230台存储服务器 6909T可用容量 岛 10250台桌面云虚拟机 8000+并发 稳扎稳打，快速复制，全面云化 稳扎稳打 快速复制 扩大范围 全面上云 45% 90% 95% 100% 北京率先开展研发上云，桌面云 复制北京成功经验，成都、杭州、 西安、上海半导体设计研发专线接 两地五平台建设完成 平台建设完成 郑州、合肥研发快速上云 入，分别访问北京和成都桌面云平 桌面云平台统一管控 4000+台虚拟机上线 8000+台虚拟机上线 台 9400台虚拟机上线 扩大云化范围 精品案例（2）：新华三集团研发“两地五中心一平台”办公 全研发办公场景覆盖，应对多场景复杂需求 安全办公 设计办公 日常办公 满足按存储信息保密级别分区要求 满足软硬件设计人员办公要求 满足研发测试人员日常办要求 • 红区：公司高密级信息资产 • 提供VGPU办公桌面 • lync双向语音通信 • 黄区：公司非核心信息资产 • 3D图形制作 • 兼容软硬件开发编译 • 绿区：互联网、开源软件等资产 • 双屏办公 • 双屏办公 迭代更新，攻克体验难关 音视频不同步 屏幕忽明忽暗闪烁 原因：开源远程连接原生协议播放框 原因：无场景细分，H264流文件形成条件固化， 架处理语音有延迟。 共解决需求问题562条 成流不成流频繁切换 解决：通过替换播放框架，声音延迟 解决：优化数据成流条件，提供可配置的显示模 从7帧/200ms+优化到1.5帧/50ms 定制化需求200+ 式以应对不同的使用场景。（高清模式：无视频 需求；影院模式：频繁播放视频；办公模式： 体验优化100+ 办公为主，偶尔有视频要求） 红底黑子显示清晰度 运维优化100+ 原因： RGB图像转码压缩后清晰度下 易用性提高 降； 双屏办公模场景，支持自定义主副屏，即虚机内主 解决： 更新转码后图像数据格式，清 副屏幕与客户机设置保持一致，提高产品易用性。 晰度明显提升 新华三云桌面 ▪ 实践 教育 政府 企业 安平 融媒 医疗 能源 中车集团 黑龙江省检察院 中国南方航空公司 湛江市检察院 韶关市检察院 阳山检察院 新兴际华集团 韶关市检察院 太原市中级人民法院 北京电视台 渤海人民医院 中国地震局 安徽省公安厅 西安财经大学 沈阳铁西区公安局 河南电视台 沈阳体育学院 重庆市永川法院 国家气象局 广东四会市公安局 呼和浩特赛罕区教育云 河南大象融媒集团 河南工程学院 太原市人民检察院 河北科技师范学院 沈阳化工大学 安徽池州学院 江苏省地税 福建闽江学院 陕西地震局 齐齐哈尔公安局 中国海洋石油总公司 徐州幼师高等专科学校 江苏电视台荔枝云 岳阳市临湘教育云 河北省社保局 安徽省考试院 张家口教育局 辽宁营口理工大学 江苏长电科技 清远连州检察院 青海省财政局 中铁集团 中国建筑集团 山东营口教育局 四川资阳市教育局 安徽宿州学院 天津警官学院 河北青龙县教育云 山西大同市检察院 西安建筑科技大学 鹰潭市中级人民法院 上海船厂技工学校 北京理工大学珠海学院 清远英德检察院 中国海洋局 包头钢铁集团 南昌市南昌县检察院 深圳市社保局 上海环境学校 冀北电力集团 鞍山职教城云 赤峰市红山区教育局 云南腾冲教育云 滨州北海经济开发区政府 苍南县人民医院 重庆公安 成都职业技术学院 广西电力职业技术学院 滁州明光中学 楚雄师范学院 成都翠屏区公安 大连市友谊医院 杭州拱墅法区人民法院 哈尔滨工程大学 桂林市检察院 国网四川电力 贵州省税务局 桂林市教育局 哈尔滨市教育局信息中心 遵义市仁怀市检察院 哈尔滨市医科大学大庆分校 哈密市中心医院 广东体育东路小学 海军工程大学 鹤山市人民检察院 …… 山东桓台公安局 江门市蓬江区人民检察院 上海市奉贤区税务局 …… …… …… …… …… Thanks！ 新华三集团 www.h3c.com