超融合桌面一体化解决方案

时下最让人担忧的事情是疫情，随着春节过去了，大家要恢复生产和办公。这时候我们在想有没有一种办公方式可以安全地接入到企业里的 PC 、应用和数据，桌面云就是非常理想的解决方案。企业日常办公场景中，有哪些岗位的员工需要实现远程办公？首先是企业 IT 系统的生产运维人员，他们需要为在线办公的 IT 系统保驾护航。第二，互联网开发人员，开发人员根据市场的变化快速推出小程序或者应用，需要相应的研发环境保证企业的快速响应和生产，怎样保证研发流畅安全的接入企业的核心研发环境与网络。第三，在协同和办公方面，我们想要及时复工，如何居家在线开展业务工作？

恢复企业生产，这件事需要 “ 快 ” 。青云 QingCloud 这套方案就能很快地部署。怎么 “ 快 ” ？底层的云平台交付软硬一体化方案，包含计算、存储、 GPU 、网络、软件定义网络，在此之上，抽象出桌面云的管理平台，这个管理平台是 Web 式交互方式，内置桌面云组件，适用于常见的研发生产、日常办公、远程办公、分支办公等场景。通过桌面，我们可以接入企业的专用网络、后台应用和数据。这个方案可以实现平台自动化部署，支持远程交付，硬件可以快递给客户，远程初始化，自动部署，插电即用，这就是 “ 快 ” ！

桌面云架构建立在云平台基座之上，同时支持青云自研的 QingCloud 桌面和思杰桌面。这两种桌面不是分离的，在上层有统一 Portal 管理，把管理员界面和用户界面整合在一起，同时管理两种桌面。

青立方超融合易捷版的产品定位是从简出发，融合就绪，提供开箱即用的云就绪能力，界面非常友好，操作和运维简单便捷。易捷版是桌面云的基座，本身提供了计算、存储、网络虚拟化等常用的服务器虚拟化功能，同时提供桌面云与公有云接入的功能。如果本地部署的资源不够，可以通过向青云 QingCloud 的公有云延展来解决。易捷版提供管理员视图与用户视图，同时具备丰富的运维和安全功能，通过统一管理控制平台进行管理，为用户提供快速、稳定、简单、易用的桌面与虚拟化环境。

前面提到恢复企业生产需要 “ 快 ” ，接下来介绍下这套方案的部署升级如何做到 “ 快 ” ？首先，安装简单，出厂实现产品预装，抵达用户现场，只需要配置网络环境，根据向导进行环境检查，后续只要发布桌面即可。在产品升级方面，青立方易捷版提供 Web 升级扩容，通过升级包上传、浏览、点击实现图形化的在线升级，不需要停机或者操作命令行等非常复杂的维护方法。此外，平台提供运维巡检的服务和工具，通过一键巡检，掌握当前平台各个节点和各管理服务的运行状态，帮助用户很好地做健康排查。

我们刚刚谈到简单与快捷的部署升级，这个方案是否支持大规模扩展？青立方超融合易捷版可以实现 3 节点小规模起步，帮助低成本、快速地搭建业务应用，当业务快速成长，除了虚拟化和桌面之外，需要建立 PaaS 层应用，需要建立大数据、 IoT 、深度学习框架的时候，可以基于现有的平台做升级吗？完全没有问题。易捷版与 QingCloud 全栈私有云、 QingCloud 公有云代码架构一致，可以从 3 节点起步平滑扩容到 1000+ 节点的 ICT 全栈云方案。

接下来谈谈这套方案比较有特色的服务支持。一般的 IT 产品都是由原厂或者代理商提供现场支持服务，疫情发生之后，您会发现用户不欢迎你去现场了，希望所有问题远程就可以解决。青云 QingCloud 提供了 7* 24 小时 QingCare+ 服务，用户的环境出现问题可以通过 SD-WAN 设备，与青云 QingCloud 服务中心的技术专家建立交互连接。用户输入简单的问题与提交图片信息，技术专家可以进行分析并给出相应的解决办法。如果这些信息不足以解决问题，在获得用户授权的情况下，技术专家可以远程协助进一步帮助用户解决问题。远程协助时需要接入用户的网络，那么用户肯定会担心远程接入专有网络是不是存在安全隐患？这点可以完全放心。首先， QingCare+ 是建立一条从用户桌面到 QingCloud 公有云 VPC 之间的专用线路。其次，所有的交互操作都会经过录屏录像，生成影音文件长期保存，满足用户的行为合规与审计溯源需求。

我们一起看看三个典型的桌面云场景需求和方案：一是研发测试；二是生产运维；三是日常办公，包括远程分支办公和内网办公。

第一个场景是研发测试。企业开始向数字化转型，开始从线下转为线上，研发写的代码成为企业重要的数字资产，如何进行有效的保护？通常企业会建立研发网测试网络，与其他的网络进行隔离。如何做到有效的隔离？数据如何管理？研发的终端是自己带的设备还是企业配发的设备？能否做到数据不外泄，数据合规，接入受控？这些是研发场景面临的挑战。

首先要在网络层面实现分区分域，终端层、研发互联网桌面、研发个人桌面、后台应用层相互隔离。终端层与研发互联网桌面、研发个人桌面进行无障碍交互。终端层到研发个人桌面，仅允许终端向研发个人桌面单方向数据流动。互联网桌面与个人桌面之间的网络隔离，没有数据交互。应用系统分为外部应用与内部用应用，相互隔离，分别连接互联网桌面与个人桌面。终端层不能直接访问互联网，这样可以有效控制病毒与木马感染的风险。通过互联网桌面提供的安全合规软件，包括防病毒、防火墙、行为审计等，有效管控上网行为的安全合规。此外，通过有效的安全围栏把研发的数据锁在虚拟化层的数据中心。通过网络上的逻辑隔离，实现终端层面上只需要一个终端就能同时支持两套网络，节省成本。

在数据安全管理的层面上，青云 QingCloud 提供桌面与 AnyBox 企业网盘的联合方案。网盘好多企业都在用，青云 QingCloud 的解决方案有什么不同？在某省农信有一个场景，将 AnyBox 企业网盘与 OA 系统做了集成，公司的 A 网络和 B 网络是隔离的，当用户需要从 A 网络摆渡到 B 网络的数据时，只能通过 AnyBox 企业网盘来实现。当用户提申请时，他先登录 AnyBox 提起发送文件的需求，填写 OA 系统的表单，通过审批后，在 B 网络登录 AnyBox 就能下载这个文件，这个方案很好地解决了企业文件未经允许就被私自导出的问题。

接下来谈谈桌面数据的管理与备份。 PC 机时代硬盘坏了，需要找数据恢复公司，很难给终端做备份。采用桌面云方案，虚拟桌面是运行在数据中心的 IaaS 上的，有两种方式实现数据的备份：一是借助 IaaS 自身的备份，云平台 IaaS 自身可以提供定点或者定时快照任务，用来备份虚拟机或者虚拟磁盘。二是随着数据增长，单节点的硬件难以满足备份空间的需求， QingStor 对象存储提供横向无限扩容的存储空间，比如 PB 级别，是一种极具性价比的备份方案。

通过容器的方案我们实现了研发效率的提升，原先一台虚拟机只能给一个人用，现在一台虚拟机有成百上千个容器实例，同时给多人使用。青云 QingCloud 容器平台 KubeSphere 提供 Web 式的流程化交付，可一键式拉起所需的开发环境，通过有相关联的容器环境打包，把之前生成过的开发测试环境构建为一个应用式 App ，当你点击这个 App 就可以一键式帮你把环境配置好，大幅提升开发测试效率，缩短项目上线的周期。 KubeSphere 容器平台与云桌面有什么联系？开发、测试、云桌面和 KubeSphere 容器平台可采用一套身份认证体系，一名研发人员配备一个云桌面，可以使用云桌面的账号登录 KubeSphere 开发测试环境，有助于企业建立与优化 IT 开发测试流程。

第二个场景是生产运维场景，这个场景里面，用户关注的焦点是 “行为受控”。比如在银行，经常要做变更投产，这个操作关系着银行的核心业务。以前通过堡垒机的形式，在堡垒机上装各种审计软件，当 IT 人员需要访问几百台或者几千台设备的时候，堡垒机远远无法满足需求。如何实现不受控的而且可以直接访问互联网的设备，规范访问业务系统网络，规范操作业务系统？运维桌面就是理想的方案，在运维桌面中定义可以访问那些网络。运维桌面本身会装防病毒、审计、端点扫描等合规软件，保证登录的环境是安全的。通过运维桌面实现对开发环境与核心业务的安全访问，用户所做的行为会被事件或者录屏记录下来，方便 IT 人员查看做过什么配置、修改，支持回滚查询与行为追溯。

如何做到“行为受控”？在操作系统层面上，禁止修改主机密码、手动修改注册表、连接 U 盘等行为。在应用层面上，包括数据库和应用层面发生的敏感操作。比如有用户在网页上进行转账，这是比较敏感的行为，桌面系统会捕捉到并记录下来，以事件的形式记录到后端，方便 IT 人员查询。通过录像的形式，记录当前的时间、人员和事件，做了什么敏感行为，方便后续根据三个维度查找。通过安全的数据围栏，把边界控制到我们数据中心，终端不存储任何数据。对于有特殊需要下载数据的用户，可以记录这名用户的所有行为，包括删除、重命名、上传、下载等所有操作。在业务操作风险方面，可以定义行为审计的规则库，规避数据导出等各类违规行为。在主机运维行为安全风险方面，访问过哪些未授权的主机、主机执行某些敏感命令，都会被有效地感知和记录下来。

第三个场景是远程分支场景。在企业总部部署 QingCloud 云平台，在分支机构部署 QingCloud 易捷版，通过 SD-WAN 产品把专线和互联网线路捆绑在一起，形成高质量的互联网专用线路。这个专用线路是加密的，内部可以做优先级调控，保证流量的安全以及重要业务的质量保障。 SD-WAN 局端设备插上网线，就会自动连接中心端的控制器，自动配置，连成一个中心和多分支的网络平面，实现网络层面的互通和统一管理。在 IaaS 层面，总部的多云管理平台可以对分支机构的易捷版云平台进行统一纳管。在桌面使用和运维层面， QingCloud 桌面云沿袭了 QingCloud 公有云的管理架构，可以实现多 Zone 的形式部署，在不同的物理位置有不同的桌面 Zone ，在管理上与用户身份认证上都是一套。用户可以就近接入本地，而不是跨越互联网接入总部的桌面，这种桌面接入方式的体验是最好的，用户对于数据访问的响应速度也是最快的。

接下来介绍另外一种远程分支的桌面场景。如果企业在本地不部署桌面云，需要访问云端的应用服务或者桌面服务，本地只有 Windows 或者 Linux 的瘦客户端和终端，怎么实现？这时候相当于要远程跨越互联网访问桌面或者业务系统，网络压力带来很大的考验。可以利用 SD-WAN 设备，在本地和中心端之间建立一条冗余且专用的加密线路。在这线路里，能够区分业务流量和桌面流量，有效地解决桌面云在网络传输中的稳定性和带宽问题。

桌面在远程分支办公的场景中有什么价值？主要有两个方面：一是企业后端的业务在不停变胖，业务越来越多，前端专线带宽是有限的。如何在有限的带宽条件下交付无限扩展的业务？每个桌面云的带宽是恒定的，它可以提供稳定的带宽，访问无限扩展的业务，并且确保核心用户的数据安全。二是桌面带来运维的简化，原先总部 IT 人员需要花费大量的时间到各个分支机构或者网点做设备维护和补丁更新。通过桌面云的解决方案，它是把所有的运维任务集中到后端， IT 人员可以在后端实现一键式更新，帮助用户节省专线的费用，节省柜面运维的时间成本和人员成本。

接下来谈谈办公桌面的场景。超融合桌面的方案，可以提供产品预装，直接开箱即用，基于云平台实现桌面的管理和自动运维，帮助企业实现节能、降本和增效。在安全层面，数据是集中存储在数据中心，采用集中的备份管理，多快照点的只读备份，有效保护当前及历史数据，不再担心数据丢失，以及勒索加密病毒；此外，还可以设定统一的安全策略，支持集中下发防火墙、防病毒、系统补丁、文件权限等。在网络层面，桌面不会传输真实的数据，只传输屏幕的变化量和鼠标键盘的信息流，即使捕获到，也无法还原真实数据。在管理层面，桌面实现了 IT 集中管理的需求，通过后端集中式管理、多版本镜像管理，有效控制升级的风险，大幅提升工作效率，基于策略的备份可以很好地实现桌面自动化运维。

接下分享几个行业客户的桌面云案例，包含日常办公、研发测试和生产运维场景。首先是江西铜业智能工厂桌面云项目。公司有 100 多个行政人员，包括 HR 、客户管理、销售和财务人员等，他们原有的 PC 终端无法满足生产标准化管理、安全合规等要求。此外，产线有 400+ 生产终端，每一个产线采用流程化管理，如果因为某一个环节 PC 损坏发生停机，会对整个产线造成损失。原先各种办公终端和生产终端都分散在各地， IT 人员对各类事件的响应比较被动，业务中断会带来各种损失。江西铜业采用青云 QingCloud 超融合办公桌面一体化解决方案，在两周时间部署了 100+ 办公桌面与 400+ 智能工厂车间桌面，云平台提供对智能工厂各个业务的统一管理，实现效率、成本、可靠、安全等多方面收益。原先规划的由传统服务器加存储的实现方式需要 4 个机柜的规模，采用超融合桌面一体化方案， 2 个机柜的规模就可以实现整体交付，节省大量成本投入。

接下来分享一个金融行业农商行的案例。某省农信部署了日常办公、带外管理和开发测试三套独立的桌面云环境，日常办公桌面和开发测试桌面分开两个网络建设，这两个网络在逻辑上做隔离，通过终端准入认证验证后连接到对应网络内，防止非法设备接入。同时，外部人员与内部人员接入进行网络层面的逻辑隔离，实现整体数据的统一管控，数据不交叉。通过开发测试桌面，研发人员可以基于统一的研发测试环境做统一的制备，数据不落地。超融合桌面一体化解决方案快速实现了各类桌面的部署和应用，桌面系统与 AnyBox 企业网盘、企业 OA 系统进行集成，在开发测试网络和日常办公网络进行数据导入、数据导出操作的时候，需要经过 OA 流程的审批，实现对数据流动的全方位安全管控。

最后一个案例是某股份制商业银行的开发测试桌面案例，这个项目涉及到的桌面规模比较大，前后经历了三期，二期总计有 3000 多个研发测试桌面。该客户的研发测试桌面在两个 zone 做高可用部署，每一个 zone 都有一套独立的超融合集群与桌面云系统。两个 zone 之间通过高速光纤进行互联，采用桌面多 Zone 的架构，在上层由 QingCloud 桌面云管理平台统一管理。研发测试场景对虚拟机的 CPU 、内存和 IO 的要求非常高，原有的服务器加存储的架构，或者 NAS 存储加 SAS 盘甚至 SSD 盘的架构，提供的性能都达不到要求。青立方超融合自带的分布式存储，专门为全闪场景设计，可以很好地解决用户对高 IO 的响应需求。在数据备份上，采用了 QingStor 对象存储，在桌面云平台上提供定时的备份计划，将指定研发人员重要的开发测试环境、能复用的开发测试环境，备份到对象存储上，当用户再次需要这个环境的时候，可以通过备份，一键式拉取备用点环境，提供数据丢失找回，降低 IT 运维人员重复部署环境负担，大幅提升研发和测试的效率。在数据的管理层面，对各类研发数据进行集中、合规管控，消除了潜在的数据泄露风险。

最后，总结一下超融合桌面一体化方案的优势：第一，这是一个端到端的一体化方案，提供开箱即用，开箱后用户可以得到 IaaS 平台与桌面云环境，支撑远程办公的同时还可以运行其他业务应用，而且使用操作特别简单。第二，这个方案提供了全方位的安全管控，通过数据的集中存储和管控，不需要担心物理层面上的数据泄露和丢失，因为数据全部存储在数据中心的超融合设备，本地不存放任何数据。第三，基于超融合架构的桌面云提供完美的性能体验，在研发测试、三维或者高性能计算等场景的性能表现非常优秀。最后，采用超融合桌面一体化方案可以有效保护 IT 投资，从 3 个节点起步、开箱即用的虚拟化场景到桌面云场景，到与公有云对接，到后续扩展到全栈私有云环境，这个方案具备各种灵活的扩展性，企业原先的投资可以持续得到有效的利用。

视频收看：https://activity.qingcloud.com/course/hyper-converged-hardware-01/