实现安全高效办公的国产解决方案

项目背景

xxx集团，是由国务院国资委监管的大型清洁能源企业，以“发展清洁能源，造福人类社会”为使命，以“成为国际一流清洁能源企业”为愿景。

为了保障内网安全，早在2011年集团就采用了8000点的安全桌面VSP，用于全体员工的上网，与本地办公桌面安全隔离。目前因沙盒技术的局限性，出现了越来越多的软件、外设兼容性问题，导致员工体验不佳，上网的诉求和安全办公的要求难以同时满足。

国产化背景下，作为国资委单位需逐步推动本单位信息化建设的自主可控。

问题与痛点

• 工作的便捷性和安全合规性如何同时兼顾：作为国家重点能源企业，内网的应用、数据安全至关重要，但同时也要满足员工日常互联网的访问，传统的沙盒桌面已难以满足业务系统、外设等的兼容性需求，同时内网桌面也需加强安全管控。
• 外网用户访问公司应用时的安全性如何保障：员工在外出差、供应商及其他合作单位因工作原因需访问内部相关应用，传统的VPN等建设模式容易将业务系统直接暴露给前端用户，增加安全风险。
• 资源利用率低：xxx集团下属公司众多，基本都给员工配备了办公PC，但是目前PC利用率低下，不少资源都处于闲置状态。

解决方案

•应用场景：安全桌面、互联网桌面、内网办公、应用虚拟化

•资源设计：总共采用42台第三方服务器承载了1900个桌面和100个应用虚拟化，共组建4套VMP集群，通过2台VDC-4600实现对4个集群所有桌面的统一管理，再采用aCenter平台统一授权，以实现用户集中管理授权的需求。后续扩容规划10000点。

•桌面分配：其中1000个桌面用于替换之前的VSP安全桌面，500个桌面用于上互联网使用，100个用于部分关键岗位内网办公，剩余200个桌面按需分配；100个应用虚拟化主要是实现部分移动办公人员安全接入集团重要应用。

•网络设计：2台千兆交换机做管理网，2台万兆交换机堆叠做业务网满足虚拟机日常业务的方案问，2台万兆交换机链路聚合构建存储网，三个网络层面独立。

整个资源采用池模式设计，以最大化利用资源，且给每个用户配置个人盘，通过UPM重定向个人配置，以保障用户使用桌面的个性化设置不被还原，并且针对不同用户设置不同的安全策略。

跨集群实现资源调度，一是可以根据各集群负载情况运行虚拟桌面确保访问体验；二是在单集群故障时，用户可快速在其他集群重获办公桌面，个人数据通过云盘实现跨集群访问。

方案价值

•桌面安全合规且保障办公的高效：根据用户需求分别发布内网桌面和互联网桌面，安全隔离满足合规性要求，同时借助水印、U口管控等安全特性提升桌面的安全性。

•有效提升资源利用率：通过发布池桌面，员工凭借个人账号按需获取办公桌面，个人数据存储于个人云盘，用户注销时桌面资源自动释放，既满足了安全合规要求，又极大提升了资源的利用率。同时，跨集群资源调度允许虚拟机弹性的在资源富余的集群中拉起，既保证了资源最大化利用，又确保了用户体验。

•高效管控：一是桌面云的集中管理桌面、终端，批量上线桌面、批量更新应用颠覆了传统的“跑路式”运维模式；二是在涉及多个集群时，通过跨集群管理镜像，更新模版进一步简化了管理工作。

•助力信息化建设国产化进程：桌面云平台和吉大正元深度对接，构建xxx集团集中认证管理平台，逐步替换AD域。