實現安全高效辦公的國(guó)産解決方案

項目背景

xxx集團，是由國(guó)務院國(guó)資委監管的大(dà)型清潔能源企業，以“發展清潔能源，造福人(rén)類社會”爲使命，以“成爲國(guó)際一流清潔能源企業”爲願景。

爲了保障内網安全，早在2011年(nián)集團就(jiù)采用了8000點的安全桌面VSP，用于全體(tǐ)員(yuán)工(gōng)的上網，與本地辦公桌面安全隔離(lí)。目前因沙盒技術(shù)的局限性，出現了越來(lái)越多的軟件(jiàn)、外設兼容性問(wèn)題，導緻員(yuán)工(gōng)體(tǐ)驗不佳，上網的訴求和安全辦公的要求難以同時滿足。

國(guó)産化背景下，作(zuò)爲國(guó)資委單位需逐步推動本單位信息化建設的自(zì)主可(kě)控。

問(wèn)題與痛點

• 工(gōng)作(zuò)的便捷性和安全合規性如(rú)何同時兼顧：作(zuò)爲國(guó)家重點能源企業，内網的應用、數據安全至關重要，但(dàn)同時也要滿足員(yuán)工(gōng)日(rì)常互聯網的訪問(wèn)，傳統的沙盒桌面已難以滿足業務系統、外設等的兼容性需求，同時内網桌面也需加強安全管控。
• 外網用戶訪問(wèn)公司應用時的安全性如(rú)何保障：員(yuán)工(gōng)在外出差、供應商及其他(tā)合作(zuò)單位因工(gōng)作(zuò)原因需訪問(wèn)内部相(xiàng)關應用，傳統的VPN等建設模式容易将業務系統直接暴露給前端用戶，增加安全風(fēng)險。
• 資源利用率低：xxx集團下屬公司衆多，基本都(dōu)給員(yuán)工(gōng)配備了辦公PC，但(dàn)是目前PC利用率低下，不少資源都(dōu)處于閑置狀态。

解決方案

•應用場景：安全桌面、互聯網桌面、内網辦公、應用虛拟化

•資源設計(jì)：總共采用42台第三方服務器承載了1900個桌面和100個應用虛拟化，共組建4套VMP集群，通過2台VDC-4600實現對4個集群所有桌面的統一管理(lǐ)，再采用aCenter平台統一授權，以實現用戶集中管理(lǐ)授權的需求。後續擴容規劃10000點。

•桌面分(fēn)配：其中1000個桌面用于替換之前的VSP安全桌面，500個桌面用于上互聯網使用，100個用于部分(fēn)關鍵崗位内網辦公，剩餘200個桌面按需分(fēn)配；100個應用虛拟化主要是實現部分(fēn)移動辦公人(rén)員(yuán)安全接入集團重要應用。

•網絡設計(jì)：2台千兆交換機(jī)做管理(lǐ)網，2台萬兆交換機(jī)堆疊做業務網滿足虛拟機(jī)日(rì)常業務的方案問(wèn)，2台萬兆交換機(jī)鏈路(lù)聚合構建存儲網，三個網絡層面獨立。

整個資源采用池模式設計(jì)，以最大(dà)化利用資源，且給每個用戶配置個人(rén)盤，通過UPM重定向個人(rén)配置，以保障用戶使用桌面的個性化設置不被還(hái)原，并且針對不同用戶設置不同的安全策略。

跨集群實現資源調度，一是可(kě)以根據各集群負載情況運行虛拟桌面确保訪問(wèn)體(tǐ)驗；二是在單集群故障時，用戶可(kě)快(kuài)速在其他(tā)集群重獲辦公桌面，個人(rén)數據通過雲盤實現跨集群訪問(wèn)。

方案價值

•桌面安全合規且保障辦公的高效：根據用戶需求分(fēn)别發布内網桌面和互聯網桌面，安全隔離(lí)滿足合規性要求，同時借助水印、U口管控等安全特性提升桌面的安全性。

•有效提升資源利用率：通過發布池桌面，員(yuán)工(gōng)憑借個人(rén)賬号按需獲取辦公桌面，個人(rén)數據存儲于個人(rén)雲盤，用戶注銷時桌面資源自(zì)動釋放(fàng)，既滿足了安全合規要求，又極大(dà)提升了資源的利用率。同時，跨集群資源調度允許虛拟機(jī)彈性的在資源富餘的集群中拉起，既保證了資源最大(dà)化利用，又确保了用戶體(tǐ)驗。

•高效管控：一是桌面雲的集中管理(lǐ)桌面、終端，批量上線桌面、批量更新應用颠覆了傳統的“跑路(lù)式”運維模式；二是在涉及多個集群時，通過跨集群管理(lǐ)鏡像，更新模版進一步簡化了管理(lǐ)工(gōng)作(zuò)。

•助力信息化建設國(guó)産化進程：桌面雲平台和吉大(dà)正元深度對接，構建xxx集團集中認證管理(lǐ)平台，逐步替換AD域。