实现安全高效办公的国产解决方案


项目背景

xxx集团,是由国务院国资委监管的大型清洁能源企业,以“发展清洁能源,造福人类社会”为使命,以“成为国际一流清洁能源企业”为愿景。

为了保障内网安全,早在2011年集团就采用了8000点的安全桌面VSP,用于全体员工的上网,与本地办公桌面安全隔离。目前因沙盒技术的局限性,出现了越来越多的软件、外设兼容性问题,导致员工体验不佳,上网的诉求和安全办公的要求难以同时满足。

国产化背景下,作为国资委单位需逐步推动本单位信息化建设的自主可控。

问题与痛点

  • 工作的便捷性和安全合规性如何同时兼顾:作为国家重点能源企业,内网的应用、数据安全至关重要,但同时也要满足员工日常互联网的访问,传统的沙盒桌面已难以满足业务系统、外设等的兼容性需求,同时内网桌面也需加强安全管控。
  • 外网用户访问公司应用时的安全性如何保障:员工在外出差、供应商及其他合作单位因工作原因需访问内部相关应用,传统的VPN等建设模式容易将业务系统直接暴露给前端用户,增加安全风险。
  • 资源利用率低:xxx集团下属公司众多,基本都给员工配备了办公PC,但是目前PC利用率低下,不少资源都处于闲置状态。

解决方案

•应用场景:安全桌面、互联网桌面、内网办公、应用虚拟化

•资源设计:总共采用42台第三方服务器承载了1900个桌面和100个应用虚拟化,共组建4套VMP集群,通过2台VDC-4600实现对4个集群所有桌面的统一管理,再采用aCenter平台统一授权,以实现用户集中管理授权的需求。后续扩容规划10000点。

•桌面分配:其中1000个桌面用于替换之前的VSP安全桌面,500个桌面用于上互联网使用,100个用于部分关键岗位内网办公,剩余200个桌面按需分配;100个应用虚拟化主要是实现部分移动办公人员安全接入集团重要应用。

•网络设计:2台千兆交换机做管理网,2台万兆交换机堆叠做业务网满足虚拟机日常业务的方案问,2台万兆交换机链路聚合构建存储网,三个网络层面独立。

整个资源采用池模式设计,以最大化利用资源,且给每个用户配置个人盘,通过UPM重定向个人配置,以保障用户使用桌面的个性化设置不被还原,并且针对不同用户设置不同的安全策略。

跨集群实现资源调度,一是可以根据各集群负载情况运行虚拟桌面确保访问体验;二是在单集群故障时,用户可快速在其他集群重获办公桌面,个人数据通过云盘实现跨集群访问。

方案价值

•桌面安全合规且保障办公的高效:根据用户需求分别发布内网桌面和互联网桌面,安全隔离满足合规性要求,同时借助水印、U口管控等安全特性提升桌面的安全性。

•有效提升资源利用率:通过发布池桌面,员工凭借个人账号按需获取办公桌面,个人数据存储于个人云盘,用户注销时桌面资源自动释放,既满足了安全合规要求,又极大提升了资源的利用率。同时,跨集群资源调度允许虚拟机弹性的在资源富余的集群中拉起,既保证了资源最大化利用,又确保了用户体验。

•高效管控:一是桌面云的集中管理桌面、终端,批量上线桌面、批量更新应用颠覆了传统的“跑路式”运维模式;二是在涉及多个集群时,通过跨集群管理镜像,更新模版进一步简化了管理工作。

•助力信息化建设国产化进程:桌面云平台和吉大正元深度对接,构建xxx集团集中认证管理平台,逐步替换AD域。