桌面云项目实施方案

《桌面云项目实施方案》由会员分享，可在线阅读，更多相关《桌面云项目实施方案（17页珍藏版）》请在装配图网上搜索。

1、XXX 大学桌面云平台实施方案201X年X月第一章 概述 41.1 项目背景 41.2 项目目标 4A - *|y、.厶、第二章平台实施方案 52.1.1硬件基础环境安装 52.1.2虚拟桌面组件服务器部署 62.1.3标准镜像制作 72.1.4用户创建和桌面发放 7第三章项目实施安排 133.1 实施计划 133.1.1项目实施时间计划 133.1.2项目人员 143.2 项目管理/质量管理 14第四章 测试及验收 154.1 平台测试 154.2 系统初验 164.3 系统终验 16 文档编号 密级商业机密第一章 概述1.1 项目背景随着学校办学规模的不断扩大，以及现代数字化教学对高校教室

2、的要求，迫切需要采用 新一代桌面云技术，建设统一管理，简单易用，且满足教学需求的电子教室、及校园行政办 公桌面云环境。由于电子教室电脑和行政办公人员PC数目的不断增加，网管人员的工作负荷呈几何级 数增长。治理 PC 向来棘手，病毒、木马入侵和没完没了的应用软件升级、操作系统补丁及 反威胁更新更是让这项工作困难重重。即便有基于网络的安装和补丁治理工具来减轻负担， 学校IT部门还是把太多时间花到了桌面上，处理个人软件、多个版本的ActiveX控件、驱 动程序或者 DLL 冲突、恶意软件感染、配置不当的硬件等引起的诸多问题。桌面云技术可以在数据中心集中应用软件，从而简化治理及配置充分利用硬件资源、

3、另外尽量减少烦人的软件冲突。为校园网管人员带来更大的控制权和灵活性，学生和教师使 用电脑时也不会为失去“自己的”桌面而悲叹。1.2 项目目标本次项目需要在XX大学的教室和行政办公环境需实现桌面云，性能要求满足日常教学 使用即可，本期建设席位数量为：500 点。项目范围包括：完成满足500点的桌面云资源平台搭建，完成XX大学桌面云系统、网 络、存储资源的运维体系建设，桌面云需要实现与XX大学现有校园用户身份认证平台的统 一认证与登录，并为未来二期扩容做好准备。本阶段用户主要为教室学员教学上机、行政办公场景为主，各类教学课程、行政办公具 有不同的应用软件或应用及操作系统配置，如：学科教学软件，数字

4、模拟软件、办公软件 校园网系统等。同时本阶段尝试考虑桌面终端资源平台运维监控系统的搭建，平台能够支撑 未来XX大学桌面云平台的运维管理需求。第二章 平台实施方案2.1.1 硬件基础环境安装1) 服务器设备安装配置月服务器上电检查 酉己置 BIOS 时区统一为 UTC +8:00 beijing，chongqing，urumqi调整BIOS时间与北京时间同步将本地磁盘配置为Raid 1 安装 ESXi server 62) 存储安装配置 SAN存储设备上电检查，登录存储管理界面配置SAN存储设备系统创建Raid，划分LUNLUN名称LUN大小功能IP地址OS组件镜像服务器VDI01虚拟桌面池1V

5、DI02虚拟桌面池2File Server文件服务器给ESXi主机挂载存储3) 网络设备安装配置交换机设备上电检查交换机网络连接安装配置管理IP DHCP酉己置需要DHCP服务来提供虚拟桌面的IP地址。4) 设备标签本次项目中标签工作依据公司相关设备标签规范制定。月服务器标签统一命名为VDI-VMHOSTOX 交换机命名为VDI-VMSWOX各设备的端口编号根据实际端口编号命名2.1.2 虚拟桌面组件服务器部署2.4.2.1. 安装 View 环境整个View桌面虚拟化架构所需要部署的组件如下： AD :为View的必需组件，为View提供统一帐户和验证支持。 vSphere(ESX/ESXi

6、):后台虚拟机支撑架构 vCenter Server :虚拟机管理平台 View Connection Server :虚拟桌面交付和管理服务器 View Composer :虚拟桌面克隆服务器 View Agent :虚拟桌面中的OS代理 View Client :登录View平台的客户端程序vCntcrView Composer左拟貞AlHprizgnWorkspaceView Sacurhy ServerThinApp桂雄克黨面R口业话主机View Connection $4?rvffr2.1.3 标准镜像制作需要按照不同用户组队桌面环境的需求，进行典型场景的虚拟桌面镜像制作。包括完成

7、基础架构在系统的安装，以及上层软件的调测工作。2.1.4 用户创建和桌面发放2.4.4.1. 域用户配置1) AD 活动目录域结构设计桌面云平台使用AD活动目录域结构来管理最终用户及组织架构。新建域的时候建议使 用虚拟桌面系统专用域控制器，使用迁移工具将原有域中用户迁移到新的虚拟桌面系统专用 域中，即在保证原有域的组织结构及登录名密码不变的情况下减少维护的工作量，同时适应 所有用户的原有使用习惯。后期维护时仅需要定时复制新增用户到域中即可。同时搭建备份 域控制器，在主域控制器意外宕机时确保虚拟桌面的身份验证服务依然可用。此方案关键可 以为桌面虚拟化系统单独使用身份验证与原有业务系统完全分离。但

8、是相对于前者对用户的 管理实时性、可管理性都稍稍逊色。2) 管理职能我们会使用AD来实现对用户和加入域的虚拟桌面计算机进行管理，创建、删除、修改 用户信息、密码等。我们使用域来漫游用户的配置文件，每次用户登录虚拟桌面时会从域中 读取属于他的配置文件，从而达到无论用户登录的哪台虚拟桌面都可以保证使用的都是同一 套配置文件，无需用户更改使用习惯。同时我们使用域脚本自动挂载属于当前用户的网络共 享磁盘，无论用户登录到任意一台虚拟桌面中都可以看到同一个仅属于他的磁盘。当然我们 不会错过域的最核心功能，即组策略管理功能，我们使用域控制器来控制加入域的所有用户 和计算的行为，限制他们的使用功能范围从而达到

9、保护我们内网数据的目的。3) AD 用户管理用户管理尽量保持原有用户管理模式，用公司的部门组织结构用来划分，每个部门为一 个组织单位(Organizational Unit以下简称OU )，所有用户存在其对应的部门OU内，每 个 OU 为一个最小的组策略管理单位，即每个部门有属于自己独立的管理策略。如此解决 大部分用户的管理问题，只有其中极小部分用户需要个性化的管理策略，故对一部分人进行 特殊性的策略指定。具体策略指定范围还需要进一步调查研究。4) 用户分类在桌面虚拟化层面主要把用户分为以下三大类。普通用户普通用户通常在固定的计算机设备上使用少数应用程序执行重复的任务。超级用户使用 的应用程序

10、相比，这些应用程序往往不需要消耗大量的 CPU 和内存资源，日常工作包括访问 OA 系统、使用电子邮件和创建复杂文档、演示文稿及电子表格。按特定轮班制度工作的 任务型员工可能会在同一时间登录虚拟桌面 。超级用户超级用户包括平台管理用户。5) 用户权限所有普通用户在域中权限为Domain User和Remote Desktop Users两种权限，总 体权限较低。超级用户在域中的权限为Domain Admins和Remote Desktop Users两种 权限，三种角色均通过安全组进行管理具体权限，可以批量的管理用户权限，每个部门拥有 属于自己的独立安全组，桌面授权对部门安全组进行整体授权，即

11、使在新加用户时也无需另 外授权新用户。6) AD 计算机管理在保留原有组织结构不动的情况下，新添加虚拟桌面计算机的组织单位，由于所有虚拟 桌面加入域后存放的容器。如此可以对虚拟桌面计算机进行管理。2.4.4.2. 平台策略设置和优化1) AD 组策略管理通过Microsoft Active Directory对所有虚拟桌面用户及虚拟桌面计算机进行管理有 效的提高了虚拟桌面的可管理性同时又降低了管理的难度。2) PCoIP 策略优化PCotP Prctoeol CcnfigursticfriIpti pNoiesSe-t ihe PColP session bandwidth limil at

12、or below the rrLaxirnum bamwidih of the WAN circuit (low ba nd widths circuits) or at ih& pejsk RxpeciBd Ibsandvwidll:h for the desired m巨m csise high b aAdwi d th circui i ts)Fck exarnplet with biree user an a T1 j/ou should ：sl 恥 limit between d-1.5Mbps that each usercan bturst when itisy need t。

13、bul with 20 useers on 呂 10 Mbps circuit ypy might 争已巾詩! mil of 连ft4t3p爭 to 鼠ItClAH 章申E4 UJiCfU g occasionally stream video withoul coft&uimiing Ehe 臼rutirz 10 Mbps of b andwi dtli.Disable buIidi-to-lossless in use cases th-at do not r-e-quire pizxwt- ferfeet ac curacy (for exanipl. MRI or uth er med

14、ical imaging) or wfrie re adhiewmg th& lowest aver：go bund wndtli p七r u甘匕f i甘 th曰 prirriBry concern.Disabling bu iid-to*lossless typically yields e 1a0- l &% reduction In bandwidth.LS1ii 1*81?L i 1Mlrxuuli i 口 it:*七iapprapfor thia use uai芳e. S&s the Tferadlcl document PColP RrofoccW Virtu&i Dsrktop

15、fWetworfc Designuid 白line mon el*n 自 this value. L 占liL Jfc UB r 1=j uti uiitJuiR vtiuu Qi 口yrr-o is anly raquired for the most de mending use raises.mini mu mi image quality to 40-5D% p 口鬥 maximum initial image quality to 70%_ See the Teradici dooumient PCeiP FEfiAccM VMuai Dessktop Wefwcjrkfbguide

16、lines on settingvsIjos.Ds fault “glLi* are 5D0O.Additional iweskg may t& requirEscJ depen di n=gi on ljs case but these values should K 曰 KJlidg W峙R-bag电口 rColP sccaa-a.Liitii E udic b;i ndwidlh or disdblE： .udio 亡口卅p leskdy ift tiscr uuSs that do not requ.irs it WTin limiting udio bridwidth aln b1

17、the lowest &eturi (5DKbps and m*ve upward until th& user deetms the audio quality acceptable. See the T&radici docunvent 尸Ctof尸 FartMJdJ 5円湎NStW&fk 匚直总甘丹farg LJidRline on sjehingwduiu，Al JerulL 古cslhngH Eiudid cun consume 5QO-&OQKt?ps of iMhWidth.3）用户管理策略对于用域内用户的管理暂定默认开启以下管理策略，包括但不限于以下策略：序号策略状态描述备注1

18、删除修改密码开启防止用户根据需要更改其Windows密码。此设置禁用 了 “Windows安全对话框上的更改密码按钮（按 Ctrl+Alt+Del时，会出现此按钮）。防止用户自己手动修改账 户密码越过身份验证系统 直接登录桌面2限制Internet连 接开启指定Windows是否可以访问Internet来完成需要 Internet资源的任务。禁止部分用户访问Internet3所有移动存储 类：拒绝所有权 限开启配置对所有可移动存储类的权限。此策略设置优先于任 何单独的可移动存储策略设置。要管理单独的类，请对 每个类使用相应的策略设置。启用此策略设置将拒绝对 任何可移动存储类的权限。禁止所有用户

19、使用移动存 储设备连接虚拟桌面移动 内网机要数据4阻止添加打印机开启防止用户使用常见方法添加本地打印机及网络打印机。 这个设置会从开始菜单中删除添加打印机选项。 （若要找到添加打印机选项，单击开始，单击打 印机，然后单击添加打印机”）此设置还将从控制 面板中的打印机”文件夹中删除添加打印机”用 户同样不能通过将打印机图标拖放到“打印机文件夹 的方式来添加打印机。如果这样做，会显示一条消息， 说明该设置禁止执行此操作。但是，这个设置无法阻止 用户使用添加硬件向导添加打印机，也无法组织用 户通过运行其他程序添加打印机。这个设置不会删除已 添加的打印机。但是，如果用户在应用该设置后添加打 印机，则无

20、法打印。禁止所有用户擅自连接打 印设备盗取内网机要数据5删除添加或删 除程序开启防止用户使用添加或删除程序。此设置从“控制面板删除添加或删除程序并从菜 单删除添加或删除程序项目。添加或删除程序允许用户安装、卸载、修复、添加 和删除Windows功能和组件以及多种多样的 Windows程序。已发布或分配给用户的程序出现在添 加或删除程序中。启用了此设置，则它的优先级高于此文件夹中的其他设 置。此设置不能防止用户使用其他工具和方法安装或卸载程 序。禁止用户私自安装或卸载 任何软件6阻止访问注册表 编辑工具开启禁用Windows注册表编辑器Regedit.exe。禁止用户私自编辑桌面注 册表7Win

21、dows 自动 更新开启此设置控制自动更新用户计算机。每当用户连接到Internet时，Windows就会搜索用 户计算机上的软件和硬件的可用更新并自动下载它们。 此操作在后台发生，根据配置的具体情况，在下载的组 件准备好安装时或在下载之前，用户会得到提示。 启用此设置，它将禁止Windows搜索更新。阻止用户更新Windows 所产生的系统垃圾的产生4） 虚拟桌面管理策略对于用域内虚拟桌面计算机的管理暂定默认开启以下管理策略，包括但不限于以下策略：序号策略状态描述备注密码复 杂性策 略开启强制密 码历史开启帐户锁 定阈值开启帐户锁定时间开启允许使 用下列 设备安 装程序 类相匹 配的驱 动程

22、序 的安装开启禁止安 装未由 其它策 略设置 描述的 设备开启禁止安装可移动设备关闭系统还原开启开启设置密码必须不能包含用户的账户名，不能包含用户姓名中超过 两个连续字符的部分包含至少六个字符包含以下四类字符中的三类字符：英文大写字母（A到Z）英文小写字母（a到z）10个基本数字（0到9）非字母字符（例如!$#% ）此安全设置确定再次使用某个旧密码之前必须与某个用户帐户 关联的唯一新密码为三个。即不能使用曾经使用的连续三个密码 作为新密码。此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在 管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定 帐户。当前设置为5次此安全设置确定锁定帐

23、户在自动解锁之前保持锁定的分钟数。当 前设置为10分钟使用此策略设置可以指定允许Windows安装的设备驱动程序 的设备安装程序类全局唯一标识符（GUID）列表。仅当禁止安装 未由其他策略设置描述的设备策略设置已启用时才使用此策略 设置。禁止设备安装的其他策略设置优先于此策略设置。使用此策略设置可以禁止安装未由任何其他策略设置明确描述 的设备。使用此策略设置可以禁止Windows安装可移动设备。如果设备 连接到的设备的驱动程序指示该设备是可移动的，则将该设备视 为可移动设备。例如，设备连接到的USB集线器的驱动程序报 告某个通用串行总线（USB）设备是可移动设备。此策略设置优先 于任何其他允许

24、Windows安装设备的策略设置。允许禁用系统还原”此策略通过提高密码的复杂程度来提高域账户的安全性此策略能够通过确保旧密 码不被连续重新使用来增 强安全性。通过控制用户登录的尝试 次数来确保账户密码不被 连续的穷举软件攻击只允许公司内部认证的 USB设备驱动程序安装到 虚拟桌面内部配合上调策略协作屏蔽掉 所有未经过认证的所有USB设备在桌面层屏蔽掉所有USB 可移动设备的连接，有效 的保护内网机要数据的外 流禁止用户手动执行系统还 原2.4.4.3.创建桌面池与桌面发放根据资源需求和模板需求，必要时需要进行资源开通审批。审批完成后，管理员开始用 户桌面环境的发放。具体步骤如下：1. 在平台

25、AD 域中建立/查找用户的账号。2. 分配用户对应的网络磁盘空间，设定用户所在用户组安全策略。3. 在用户对应的桌面池中，进行用户权限指派。并提示用户初始化账号密码信息。第三章项目实施安排3.1 实施计划3.1.1 项目实施时间计划任务名称工期开始时间完成时间项目启动阶段5个工作日硬件及机房环境20个工作日物理资源池建设6个工作日虚拟资源池建设5个工作日桌面云平台搭建分发15个工作日系统集成测试及培训5个工作日系统上线3个工作日系统优化及桌面数据迁移8个工作日备注： 考虑到目前项目的详细实施内容尚未确定，很多内容需要在项目开始后进行确定，因此在蓝图阶段，需要双方协调和配合完成后续的工作内容。

26、项目启动时间，取决于本次合同的签署时间。 项目实施中，乙方将和甲方一起完成详细项目计划的制定。3.1.2 项目人员本次项目预计参与人员为 3 名，包括 PM1 名，桌面云架构专家 1 名，服务器/网络专家 1 名，平台测试工程师1 名。 如下表所示：资源名称类型工作方式项目经理管理/实施远程/现场服务器/网络工程师实施现场桌面云架构专家实施现场平台测试工程师测试远程/现场3.2 项目管理/质量管理XX公司具有在中国提供专业服务的丰富经验，在提供专业服务的过程中，XX发展了一 套被称为“XX方法-项目管理”的方法论。在美国项目管理协会提出的项目管理知识体系 PMBOK (the Project

27、Management Institutes Body of Knowledge )的基础上，XX公 司提出了针对项目管理的方法论，并且在实施运用中综合全球XX项目管理精英的经验，不 断地发展此方法论。由XX在全球范围内推广应用项目管理Global Method。此套方法论参 照并遵循ISO质量体系。Global Method项目管理方法论为XX项目管理人员提供了标准的管理工具。项目管理是贯穿整个项目过程的重要任务。XX大学电子教室项目经理配合XX公司项目 经理负责计划、组织、指导和协调项目组的工作，并在适当的时候，负责项目组内部和其他有关方面的相互沟通。XX公司项目经理将完成下述任务： 建立项

28、目的阶段审核点制定项目计划 指挥、指导、建议、管理项目活动决定日常事务制定培训及后勤计划 汇报项目的状况和进展，如有需要，建议改进措施协助甲方通报、解决出现的问题 管理项目变更过程合理分配项目人员计划、组织系统集成的执行确认任务的完成（质量控制）发现、协调相互沟通/变更管理/组织方面等问题 定期向项目的上级领导汇报负责所提供的服务质量 寻找、协调和定义项目组每一成员的职责第四章 测试及验收4.1 平台测试在主机设备安装、功能定制开发、调试和测试完成后，需要对本系统中的各部分进行测 试。系统测试在集成测试成功的基础上，进行系统测试。通过建立完整的测试环境，将系 统安装配置到模拟运行环境中，设计一

29、套符合实际运行环境的测试流程，检查整个系统是否可以顺畅运转，实现了需求中所需的各项功能。4.2 系统初验一旦所有系统完成系统测试，整个系统将进入验收测试阶段，XX项目小组将和客户技 术人员一起在一周内完成整个系统的初验测试。有关整个系统的初验具体细节将在完成系统 测试之前进行详细讨论。4.3 系统终验在系统试运行期间，XX将向用户提供行之有效的技术支持以确保系统稳定和有效运行， 并确保整个系统通过最终的验收。同时，XX将通过这些具体的技术支持帮助客户技术人员 熟悉和掌握这些设备和系统的维护技术。XX将根据试运行期间出现的问题，对系统进行适当修改，并对修改后的部分进行严格 测试。终验测试主要针对试运行期间出现的问题进行重点测试。系统终验将在系统初验1 个月之后进行，用户开始正式使用本系统则视为终验开始。