端到端的企业级动态虚拟桌面交付方法与流程

本发明涉及一种端到端的企业级动态虚拟桌面交付方法。

背景技术：

在竞争日益激烈的今天，如何保护企业资产、应用及数据安全，实现高效简单的IT管理，如何有效控制成本等，成为企业领导者考虑的主要问题。传统桌面PC作为企业IT中的最普遍也是最重要的办公设备，在企业运转中，暴露出越来越多的弊端和不便，面临着如下关键挑战：数据相对分散，信息容易泄露，系统安全性低；硬件多样化，缺乏标准化支持，管理维护工作困难；资源利用率低下，系统叠加复杂度高，投资收益率低；高消耗、高排放、运行成本高，企业、社会效益难提高。

须寻找一种灵活的基础架构，来解决IT供需矛盾和企业信息安全问题。

技术实现要素：

本发明的目的是克服现有技术存在的不足，提供一种端到端的企业级动态虚拟桌面交付方法。

本发明的目的通过以下技术方案来实现：

端到端的企业级动态虚拟桌面交付方法，特点是：将虚拟桌面以按需分配的方式提供给用户，使用户可从任何一个角落安全且高效地连接到集中管理的数据中心，基于B/S架构的管理模式，简化应用的部署和管理；包含以下：

a)虚拟桌面与桌面池：允许管理员将虚拟桌面环境发布给用户远程使用，用户用终端通过网络连接到虚拟桌面环境上，像使用本地桌面一样的使用虚拟桌面，虚拟桌面的所有计算处理都是在服务器端完成，终端与服务器之间的交互仅仅是输入指令和输出显示图片，无实际数据的交互；由于终端虚拟化将所有的桌面环境和计算集中于服务器端，在服务器端进行集中的虚拟桌面管理，虚拟桌面主要来源于服务器上运行的虚拟机，所有桌面以桌面池的形式管理起来；

b)虚拟应用和应用池：允许将服务器应用以虚拟应用的形式通过网络发布给指定用户，体验感与使用本地应用一样，虚拟应用完全在服务器端运行，终端与服务器之间的交互仅仅是输入指令和输出显示图片，不存在实际数据的交互，基于Windows的应用交付；

c)外设支持：通过外设管理策略，允许或禁止用户使用本地设备，当管理策略允许用户使用外设时，设备优先被虚拟桌面识别并访问，无论是加密狗、打印机、扫描仪、USB存储设备，还是其他各类外设，均可使用；

d)高清视频播放：基于传输交付协议，向用户交付具有超高用户体验的桌面环境，在虚拟桌面中流畅播放高清视频，完成图形、图像设计；

e)C/S和B/S架构访问：通过网页B/S、客户端C/S、开机自动连接、移动设备连接的多种途径访问虚拟桌面，外设设备无需用户特殊操作即可直接使用；

f)用户身份验证：与AD域身份认证有机结合，完成用户身份验证；

g)日志与事件管理：支持日志与事件管理，记录用户登录、退出、启动桌面会话的最终用户操作行为，及时报告系统故障和错误警告，为管理员的日常维护和故障排查工作提供可靠支持。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，所述桌面池包含浮动桌面池、专用桌面池和固定桌面池，

所述浮动桌面池中所有桌面的操作系统、应用系统都完全一样，用户每次登陆时，都从池中随机获得一个全新的桌面，用户退出时该桌面不会保存用户的任何修改，并且会返回到桌面池中以供下一次分配给新的用户，用户如果想保存自己的数据，则必须通过AD域配置漫游将数据保存到共享存储上，或者直接用移动磁盘将数据拷贝出来，浮动桌面池适合于培训教室、机房、呼叫中心、营业厅的简单任务场景；

所述专用桌面池，初始时专用桌面池中所有桌面的操作系统、应用系统都完全一样，用户第一次登陆并获取一个桌面后，该用户与该桌面之间产生绑定关系，该用户以后每次登陆都将使用该桌面，该用户退出时该桌面也不再会被分配给其他用户，用户在桌面中的所有修改被保存下来；

所述固定桌面池中桌面与用户之间由管理员手工指定绑定关系，用户每次登陆时，直接根据管理员的配置进入到指定的桌面环境中，用户在桌面中的所有修改都将被保存下来。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，对于浮动桌面池和专业桌面池，管理员可将其直接发布给一个或多个用户组，其中的用户与虚拟桌面的匹配由系统自动完成或用户自行手工选择；

对于固定桌面池，管理员必须将其中的每个虚拟桌面与可使用该桌面的用户进行明确指定，不允许系统自动分配或用户自行选择，一个虚拟桌面可分配给多个用户，一个用户也可分配获得多个虚拟桌面的使用权；

只有在桌面发布给用户后，用户才有权限登录使用该桌面，如果一个用户的权限可同时访问多个虚拟桌面，则在用户登录成功后会向用户显示可访问的所有桌面的列表，由用户选择相应的桌面使用。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，支持模板批量部署，管理平台为不同用户组创建模板和批量部署虚拟机，简化系统部署和管理过程，更快响应新增和修改桌面的需求，在数分钟之内完成上千个虚拟桌面的发布与部署。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，当桌面池中的虚拟机分布于多台服务器上时，对桌面的分配进行负载均衡；负载均衡根据服务器的连接数、CPU负载和内存负载进行。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，所述连接数负载，当第一个用户来申请桌面时，系统从服务器A上为其分配一个桌面；而当下个用户来申请同一桌面池上的桌面时，系统发现服务器B上的连接数少于A，因而从服务器B上为其分配一个桌面。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，所述虚拟应用统一部署在服务器群集上，使用用户策略、权限鉴别、设备鉴别策略，通过传输协议交付给最终使用者；管理员将其中的每个虚拟应用与可使用该应用的用户进行明确指定，一个虚拟应用可分配给多个用户，一个用户也可获得多个虚拟应用的使用权，只有在虚拟应用发布给用户后，用户才有权限使用该应用。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，虚拟应用按需交付，根据用户需求交付应用，针对不同的用户需求提供差异化的应用，实现资源利用率的大幅提高，同时通过高速交付协议交付应用，满足客户需求。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，虚拟应用负载均衡，当在多台应用服务器上能提供同一虚拟应用时，管理平台可对虚拟应用的分配进行负载均衡；负载均衡根据服务器的连接数、CPU负载和内存负载来衡量计算。

进一步地，上述的端到端的企业级动态虚拟桌面交付方法，其中，所述连接数负载，当第一个用户来申请虚拟应用时，系统从服务器A上为其分配资源；而当下个用户来申请同一虚拟应用时，系统发现服务器B上的连接数少于A，因而从服务器B上为其分配资源。

本发明与现有技术相比具有显著的优点和有益效果，具体体现在以下方面：

①数据安全管理，一方面从机制上提升了数据的可靠性，另一方面为防止数据泄密提供了丰富的管理和控制手段；

②数据可靠性，使得所有业务的计算、业务数据的存储都集中在服务器端，管理员不用再担心终端的故障或被盗所导致的数据丢失；另一方面，服务器及存储等设备具有非常高的可靠性保障，而且还得到HA热备、灾备恢复等各种高可用性加强，业务系统故障和业务数据丢失的概率被降低到极低水平；

③数据安全性，提供了强大的数据泄密管理能力，从终端无关性、访问权限管理等多个角度防止了可能的数据泄密渠道：终端无关性：数据集中存储于服务器端，终端被盗不会造成数据泄密；可针对剪贴板拷贝、打印机、USB等常见泄密渠道进行访问权限管理，防止非授权引发的泄密。

④灵活扩展，将高性能服务器裸机的计算能力、存储能力全部集中在虚拟架构管理系统的控制下，虚拟架构管理系统会根据用户运行策略自动完成这些工作。

⑤易管理性，可从任何地点通过Web登录访问终端虚拟化的web管理界面，方便地进行配置和管理；由于虚拟机都是基于文件特性，其标准化的作业环境和改进的安全特性，使得维护工作更加简单和高效。

⑥统一管理维护，对整个数据中心发布的虚拟桌面进行集中管理维护，而不需考虑客户机类型，简化了虚拟桌面的管理调配和部署，提高企业IT资源利用率。

附图说明

图1：云终端虚拟化系统示意图；

图2：云终端虚拟化系统的具体架构示意图。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现对照附图详细说明具体实施方案。

云终端虚拟化系统，如图1所示，数据中心1以动态交付方式与虚拟桌面/应用按需组合系统2通讯，虚拟桌面/应用按需组合系统2通过传输交付协议与用户终端3通讯；数据中心1包含用于用户配置文件的用户设置系统101、用于桌面应用虚拟化的应用程序系统102以及用于操作系统流处理的操作系统103；虚拟桌面整合到数据中心的服务器中，独立管理操作环境、应用程序和用户数据，用户终端可通过各种网络获得灵活的高性能桌面体验；灵活交付和管理桌面、响应各种用户需求；按需、批量为用户终端交付高性能桌面，进行桌面管理，便于管理虚拟桌面。

用户设置系统101、应用程序系统102以及操作系统103封装于不同的隔离层中，并按需动态组装桌面以向各个用户分别提供个性化的桌面。

用户终端3预装客户端软件，通过传输交付协议，即可访问由管理员为用户提供的个性化桌面，用于数据交互、应用处理、统一通信，按需、批量为终端使用者交付高性能桌面，使终端用户使用虚拟桌面达到和本地桌面一样的用户体验。

如图2所示，虚拟桌面/应用按需组合系统2通过业务交付系统4与用户终端3交付通讯，业务交付系统4包含桌面交付模块401和应用交付模块402。

硬件设备6通过虚拟桌面管理控制台5与虚拟桌面/应用按需组合系统2通讯，所述虚拟桌面管理控制台5对后台各虚拟桌面和应用进行统一调度和管理，与用户进行交互和认证，根据用户授权将相应的虚拟桌面交付给用户，并进行数据访问控制。

虚拟桌面管理控制台5包含动态迁移控制模块501、高可用控制模块502、快照恢复控制模块503、导入导出控制模块504、存储迁移控制模块505、动态资源调度控制模块506、负载均衡控制模块507、网络聚合控制模块508以及虚拟网络隔离控制模块509。

还包括与硬件设备6通讯的运算节点资源池模块7，运算节点资源池模块7允许将每台物理服务器分成多个共享资源的虚拟桌面。硬件设备6包含服务器601和存储器602。

用户终端可以同时使用由虚拟桌面管理控制台5分发的虚拟桌面和虚拟应用，例如win7、Xp、Linux桌面和PS、word等应用。虚拟桌面和应用之间均为逻辑隔离，管理员可以通过相应的权限策略对虚拟桌面进行管控，例如文件及数据传输管控、外设拷贝管控、网络共享管控等各种方式，确保桌面和应用的高可用、业务不中断、数据不丢失。

本发明端到端的企业级动态虚拟桌面交付方法，将虚拟桌面以按需分配的方式提供给用户，使用户可从任何一个角落安全且高效地连接到集中管理的数据中心，基于B/S架构的管理模式，简化应用的部署和管理；通过节省操作费用和提高灵活性来降低桌面管理成本，同时提供给最终用户熟悉的PC使用体验，企业级别的桌面可靠性，数据保护和灾难恢复能力；具体包含以下：

a)虚拟桌面与桌面池：允许管理员将虚拟桌面环境发布给用户远程使用，用户用终端通过网络连接到虚拟桌面环境上，像使用本地桌面一样的使用虚拟桌面，虚拟桌面的所有计算处理都是在服务器端完成，终端与服务器之间的交互仅仅是输入指令和输出显示图片，无实际数据的交互；由于终端虚拟化将所有的桌面环境和计算集中于服务器端，在服务器端进行集中的虚拟桌面管理，虚拟桌面主要来源于服务器上运行的虚拟机，所有桌面以桌面池的形式管理起来；

桌面池包含浮动桌面池、专用桌面池和固定桌面池，浮动桌面池中所有桌面的操作系统、应用系统都完全一样，用户每次登陆时，都从池中随机获得一个全新的桌面，用户退出时该桌面不会保存用户的任何修改，并且会返回到桌面池中以供下一次分配给新的用户，用户如果想保存自己的数据，则必须通过AD域配置漫游将数据保存到共享存储上，或者直接用移动磁盘将数据拷贝出来，浮动桌面池适合于培训教室、机房、呼叫中心、营业厅的简单任务场景；

专用桌面池，初始时专用桌面池中所有桌面的操作系统、应用系统都完全一样，用户第一次登陆并获取一个桌面后，该用户与该桌面之间产生绑定关系，该用户以后每次登陆都将使用该桌面，该用户退出时该桌面也不再会被分配给其他用户，用户在桌面中的所有修改被保存下来；

固定桌面池中桌面与用户之间由管理员手工指定绑定关系，用户每次登陆时，直接根据管理员的配置进入到指定的桌面环境中，用户在桌面中的所有修改都将被保存下来。

对于浮动桌面池和专业桌面池，管理员可将其直接发布给一个或多个用户组，其中的用户与虚拟桌面的匹配由系统自动完成或用户自行手工选择；对于固定桌面池，管理员必须将其中的每个虚拟桌面与可使用该桌面的用户进行明确指定，不允许系统自动分配或用户自行选择，一个虚拟桌面可分配给多个用户，一个用户也可分配获得多个虚拟桌面的使用权；只有在桌面发布给用户后，用户才有权限登录使用该桌面，如果一个用户的权限可同时访问多个虚拟桌面，则在用户登录成功后会向用户显示可访问的所有桌面的列表，由用户选择相应的桌面使用。

支持模板批量部署，管理平台为不同用户组创建模板和批量部署虚拟机，简化系统部署和管理过程，更快响应新增和修改桌面的需求，在数分钟之内完成上千个虚拟桌面的发布与部署。

当桌面池中的虚拟机分布于多台服务器上时，对桌面的分配进行负载均衡；负载均衡根据服务器的连接数、CPU负载和内存负载进行。连接数负载，当第一个用户来申请桌面时，系统从服务器A上为其分配一个桌面；而当下个用户来申请同一桌面池上的桌面时，系统发现服务器B上的连接数少于A，因而从服务器B上为其分配一个桌面。

b)虚拟应用和应用池：允许将服务器应用以虚拟应用的形式通过网络发布给指定用户，体验感与使用本地应用一样，虚拟应用完全在服务器端运行，终端与服务器之间的交互仅仅是输入指令和输出显示图片，不存在实际数据的交互，基于Windows的应用交付；

虚拟应用统一部署在服务器群集上，使用用户策略、权限鉴别、设备鉴别策略，通过传输协议交付给最终使用者；管理员将其中的每个虚拟应用与可使用该应用的用户进行明确指定，一个虚拟应用可分配给多个用户，一个用户也可获得多个虚拟应用的使用权，只有在虚拟应用发布给用户后，用户才有权限使用该应用。

虚拟应用按需交付，根据用户需求交付应用，针对不同的用户需求提供差异化的应用，实现资源利用率的大幅提高，同时通过高速交付协议交付应用，满足客户需求。

虚拟应用负载均衡，当在多台应用服务器上能提供同一虚拟应用时，管理平台可对虚拟应用的分配进行负载均衡；负载均衡根据服务器的连接数、CPU负载和内存负载来衡量计算。连接数负载，当第一个用户来申请虚拟应用时，系统从服务器A上为其分配资源；而当下个用户来申请同一虚拟应用时，系统发现服务器B上的连接数少于A，因而从服务器B上为其分配资源。

c)外设支持：通过外设管理策略，允许或禁止用户使用本地设备，当管理策略允许用户使用外设时，设备优先被虚拟桌面识别并访问，无论是加密狗、打印机、扫描仪、USB存储设备，还是其他各类外设，均可使用；

d)高清视频播放：基于传输交付协议，向用户交付具有超高用户体验的桌面环境，在虚拟桌面中流畅播放高清视频，完成图形、图像设计；

e)C/S和B/S架构访问：通过网页B/S、客户端C/S、开机自动连接、移动设备连接的多种途径访问虚拟桌面，外设设备(如USB设备、打印机、扫描仪、摄像头等)无需用户特殊操作即可直接使用；

f)用户身份验证：与AD域身份认证有机结合，完成用户身份验证；可实现单点登录，只需要输入一次用户名和密码，即可完成client登录、AD域登录，直接进入虚拟桌面；

g)日志与事件管理：支持日志与事件管理，记录用户登录、退出、启动桌面会话的最终用户操作行为，及时报告系统故障和错误警告，为管理员的日常维护和故障排查工作提供可靠支持。

数据安全管理，数据本身的可靠性程度，以及如何防止数据泄密。一方面从机制上提升了数据的可靠性，另一方面为防止数据泄密提供了丰富的管理和控制手段。

数据可靠性，使得所有业务的计算、业务数据的存储都集中在服务器端，管理员不用再担心终端的故障或被盗所导致的数据丢失；另一方面，服务器及存储等设备具有非常高的可靠性保障，而且还得到HA热备、灾备恢复等各种高可用性加强，业务系统故障和业务数据丢失的概率被降低到极低水平。

数据安全性，提供了强大的数据泄密管理能力，从终端无关性、访问权限管理等多个角度防止了可能的数据泄密渠道：终端无关性：数据集中存储于服务器端，终端被盗不会造成数据泄密；可以针对剪贴板拷贝、打印机、USB等常见泄密渠道进行访问权限管理，防止非授权引发的泄密。

灵活扩展，将高性能服务器裸机的计算能力、存储能力全部集中在虚拟架构管理系统的控制下，用户只需指定配置什么性能的虚拟机，而无需关心虚拟机具体部署在哪台服务器上，虚拟架构管理系统会根据用户运行策略自动完成这些工作。通过整合空闲服务器和存储资源，IT管理部门可以为新项目快速重新部署这些资源，使IT基础架构能实现按需动态预制。由于云终端虚拟化系统将应用计算集中在服务端，对应用终端的计算能力需求很小，仅仅是处理输入和输出。所以瘦客户端，如终端机、移动电话等也可以使用较重型的应用软件。

易管理性，提供了全中文的Web管理界面，管理员可以从任何地点通过Web登录访问终端虚拟化的web管理界面，方便地进行配置和管理。由于虚拟机都是基于文件特性，其标准化的作业环境和改进的安全特性，使得维护工作更加简单和高效；而在添加、移动、变更、预制和重置等服务管理方面也有极强的灵活性，能够快速部署新的系统来满足管理IT系统的运行需要；通过零宕机硬件维护和升级，包括热添加、热插拔和热扩展，更有效的适应动态办公的需求。

统一管理维护，可以对整个数据中心发布的虚拟桌面进行集中管理维护，而不需考虑客户机类型(各品牌PC机、IOS、Android等机型)，简化了虚拟桌面的管理调配和部署，提高企业IT资源利用率、实现用户终端设备现场“零维护”。只要部署好云终端虚拟化系统，公司内部局域网用户、外出用户可以在低带宽，低门槛接入设备下高速访问内部应用系统的各种应用和远程办公。由于终端零安装，零维护，大大减少了管理员的维护量。

需要说明的是：以上所述仅为本发明的优选实施方式，并非用以限定本发明的权利范围；同时以上的描述，对于相关技术领域的专门人士应可明了及实施，因此其它未脱离本发明所揭示的精神下所完成的等效改变或修饰，均应包含在申请专利范围中。