-.z桌面及應(yīng)用虛擬化與海關(guān)對外接入模式改進探討*明磊摘要：本文對基于云計算的桌面與應(yīng)用虛擬化進展了闡述，并結(jié)合海關(guān)對外接入的現(xiàn)狀，提出海關(guān)對外接入模式改進的方案，對海關(guān)移動辦公指導(dǎo)方案提出建議關(guān)鍵詞：虛擬化；桌面；應(yīng)用；對外接入；桌面及應(yīng)用虛擬化技術(shù)桌面及應(yīng)用虛擬化技術(shù)桌面及應(yīng)用虛擬化技術(shù)簡介桌面虛擬化是一種基于效勞器的計算模型，它是指將計算機的桌面進展虛擬化，以到達桌面使用的平安性和靈活性。桌面虛擬化技術(shù)概念最早由虛擬化廠商VMware提出，目前已經(jīng)成為標準的技術(shù)術(shù)語。雖然借用了傳統(tǒng)的瘦客戶端的模型，但是讓管理員與用戶能夠同時獲得兩種方式的優(yōu)點：將所有桌面虛擬機在數(shù)據(jù)中心進展托管并統(tǒng)一管理；同時用戶能夠獲得完整PC的使用體驗。用戶可以通過客戶端，或者類似的設(shè)備在局域網(wǎng)或者遠程訪問獲得與傳統(tǒng)PC一致的用戶體驗。應(yīng)用虛擬化，技術(shù)原理是基于應(yīng)用/效勞器計算A/S架構(gòu)，采用類似虛擬終端的技術(shù)，把應(yīng)用程序的人機交互邏輯〔應(yīng)用程序界面、鍵盤及鼠標的操作、音頻輸入輸出、讀卡器、打印輸出等〕與計算邏輯隔離開來。在用戶訪問一個效勞器虛擬化后的應(yīng)用時，用戶計算機只需要把人機交互邏輯傳送到效勞器端，效勞器端為用戶開設(shè)獨立的會話空間，應(yīng)用程序的計算邏輯在這個會話空間中運行，把變化后的人機交互邏輯傳送給客戶端，并且在客戶端相應(yīng)設(shè)備展示出來，從而使用戶獲得如同運行本地應(yīng)用程序一樣的訪問感受。桌面及應(yīng)用虛擬化是在物理效勞器上安裝虛擬主機系統(tǒng)，由虛擬主機系統(tǒng)模擬出操作系統(tǒng)運行所需要的硬件資源，如：CPU、內(nèi)存、網(wǎng)卡、存儲等。操作系統(tǒng)運行在這些虛擬的硬件資源之上，可以到達多個操作系統(tǒng)共享物理效勞器的硬件資源，從而提高資源利用率。虛擬桌面的存儲和執(zhí)行〔包括操作系統(tǒng)、應(yīng)用程序和用戶數(shù)據(jù)〕都集中在數(shù)據(jù)中心，用戶使用終端設(shè)備通過遠程協(xié)議〔如：RDP、ICA、PCoIP〕進展訪問。桌面虛擬化將所有桌面虛擬機在數(shù)據(jù)中心進展托管并統(tǒng)一管理；同時用戶能夠獲得完整PC的使用體驗。用戶可以通過瘦客戶端，或者類似的設(shè)備在局域網(wǎng)或者遠程訪問獲得與傳統(tǒng)PC一致的用戶體驗。是一種僅將操作系統(tǒng)桌面呈現(xiàn)在用戶面前的技術(shù)，由效勞器端完成運算?？梢越Y(jié)合效勞器虛擬化和應(yīng)用虛擬化進展。桌面、應(yīng)用虛擬化技術(shù)功能及差異桌面及應(yīng)用虛擬化解決方案提供的功能主要包括根本功能、用戶使用便利要求、應(yīng)用虛擬化、維護管理和可靠性等方面。其中，根本功能包括多種方式接入、支持無差異的多應(yīng)用訪問、支持多虛擬機、支持主流操作系統(tǒng)、支持主流存儲技術(shù)；用戶便利使用要求包括系統(tǒng)可隨時隨地訪問且支持個性化桌面，支持SSO，支持網(wǎng)絡(luò)存儲空間的動態(tài)分配，支持音頻輸入輸出等；應(yīng)用虛擬化指將應(yīng)用程序從底層操作系統(tǒng)別離出來，支持虛擬桌面與應(yīng)用軟件虛擬化間的無縫集成；桌面虛擬化與應(yīng)用虛擬化的區(qū)別類似于C/S、B/S應(yīng)用程序架構(gòu)的區(qū)別，桌面虛擬化需要在客戶終端上安裝客戶端應(yīng)用，部署較應(yīng)用虛擬化復(fù)雜，但性能優(yōu)于應(yīng)用虛擬化，能方便實現(xiàn)復(fù)雜客戶端功能；應(yīng)用虛擬化部署快捷，能方便實現(xiàn)對用戶虛擬化應(yīng)用的限制，平安性能高。桌面及應(yīng)用虛擬化技術(shù)優(yōu)勢桌面及應(yīng)用虛擬化優(yōu)勢在于一是能快速、靈活部署，能按需申請、快速發(fā)放、無需搬運沉重的PC主機，統(tǒng)一接入、隨時隨地訪問；二是能提高資源利用率，能統(tǒng)一管理后臺數(shù)據(jù)中心資源，并統(tǒng)一進展調(diào)度管理，將資源的利用率最大化；三是數(shù)據(jù)存放平安可靠，數(shù)據(jù)存放在后臺數(shù)據(jù)中心，平安可靠。且訪問虛擬桌面時在網(wǎng)絡(luò)上傳輸?shù)亩际菆D片信息，不易被他人通過網(wǎng)絡(luò)竊取信息；四是維護便利：瘦終端無須軟件維護；虛擬桌面維護工作可在后臺統(tǒng)一進展，非常便利。桌面及應(yīng)用虛擬化技術(shù)現(xiàn)狀近年來，桌面虛擬化業(yè)務(wù)在國內(nèi)開場蓬勃開展，很多公司、機構(gòu)用戶均已經(jīng)采用桌面虛擬化技術(shù)來替代傳統(tǒng)PC的使用。其開展勢頭有超過效勞器虛擬化的趨勢。近幾年來，海關(guān)在逐步推廣效勞器虛擬化的同時，也在積極開展桌面虛擬化的探索，“海關(guān)信息化十二五規(guī)劃〞中也對海關(guān)桌面虛擬化推廣做出了部署。當前在桌面虛擬化領(lǐng)域，主要有三個廠商，也是主要的效勞器虛擬化廠商：微軟〔Microsoft〕微軟的桌面虛擬化技術(shù)一種利用了桌面的VPC產(chǎn)品創(chuàng)立和“下載〞虛擬機鏡像，而實際上提供給用戶使用的是安裝在虛擬機中的應(yīng)用，目標是用來解決桌面系統(tǒng)對遺留應(yīng)用不兼容的問題；另一種采用VDI方案應(yīng)該是真正意義上的桌面虛擬化或者準確地說是虛擬桌面解決方案。思杰〔Citri*〕思杰作為應(yīng)用虛擬化領(lǐng)域的絕對領(lǐng)導(dǎo)者〔2007年份額在70%以上〕，由于桌面虛擬化的本質(zhì)更接近應(yīng)用虛擬化，其獨有的高效的ICA協(xié)議和積累了20年的對外設(shè)重定向等技術(shù)的積累，使得其在桌面遠程〔包括廣域網(wǎng)和互聯(lián)網(wǎng)〕訪問的效率和外設(shè)的廣泛支持性上，占有絕對的領(lǐng)先位置。尤其最新推出的HD*技術(shù)，能夠廣泛地支持標準USB設(shè)備，雙向語音〔VOIP應(yīng)用〕，高清視頻播放，使得虛擬桌面的體驗真正到達了和PC類似的水平。而在后端，其成功的對效勞器虛擬化廠商*enSource和無盤工作站廠商Ardence的兼并，使之具有獨立的效勞器虛擬化平臺，和更加靈活的虛機管理方式〔使用單一的鏡像技術(shù)批量動態(tài)生成虛擬機〕，加之其自有的應(yīng)用虛擬化產(chǎn)品，使得整個桌面邏輯組成局部實現(xiàn)了完整的別離，實現(xiàn)了徹底的虛擬化，最大程度上地實現(xiàn)了靈活性。VMwareVmware作為效勞器虛擬化的老大，為了拉動其虛擬效勞器的銷售，并擴大產(chǎn)品線，也有自己的桌面虛擬化產(chǎn)品View。其后臺架構(gòu)在VmwareSphere上，虛擬機的遠程訪問使用了自有的PCOIP協(xié)議〔與傳統(tǒng)的遠程桌面協(xié)議相比，PCoIP提供了與真實PC機相媲美的用戶體驗，并兼容99.99%的應(yīng)用程序以及外設(shè)〕，而應(yīng)用虛擬化方面，兼并了原名Thininstall的廠商，現(xiàn)在更名叫Thinapp。實現(xiàn)了與Citri*類似的架構(gòu)體系。由于Vmware效勞器虛擬化龍頭的地位，推動桌面虛擬化也是順風順水，尤其是在其效勞器虛擬化產(chǎn)品的技術(shù)優(yōu)勢之上，例如采用內(nèi)存overmit技術(shù)，可以提高效勞器上同時運行桌面的數(shù)量等等。隨著ThinApp的參加，使用“流〞方式的應(yīng)用部署構(gòu)造，雖然只實現(xiàn)了微軟App-v功能，或者Citri**enApp產(chǎn)品中的“stream〞功能，但是一定程度上實現(xiàn)了應(yīng)用的拆離，使得整個體系變得靈活了很多，大大彌補了架構(gòu)上的缺乏，整體的得到了很大的提高。海關(guān)對外接入現(xiàn)狀分析海關(guān)對外接入現(xiàn)狀海關(guān)的對外接入方案主要遵從?海關(guān)管理網(wǎng)對外接入局域網(wǎng)平安建立指導(dǎo)方案?〔2007年發(fā)布〕、?海關(guān)移動辦公系統(tǒng)網(wǎng)絡(luò)接入建立指導(dǎo)方案?〔2021年發(fā)布〕。?海關(guān)管理網(wǎng)對外接入局域網(wǎng)平安建立指導(dǎo)方案?將對外方式分為數(shù)據(jù)交換、授權(quán)用戶訪問兩種建立方式。其中數(shù)據(jù)交換采用數(shù)據(jù)多級數(shù)據(jù)交換的方案實現(xiàn)，而授權(quán)用戶訪問采用多級控制的方式實現(xiàn)經(jīng)海關(guān)授權(quán)持數(shù)字證書的用戶訪問緩沖區(qū)域的應(yīng)用。?海關(guān)移動辦公系統(tǒng)網(wǎng)絡(luò)接入建立指導(dǎo)方案?規(guī)定外部網(wǎng)絡(luò)都不能與業(yè)務(wù)管理網(wǎng)直接相連，必須采用VPN經(jīng)對外接入局域網(wǎng)接入業(yè)務(wù)管理網(wǎng)，接入客戶端都在聯(lián)接業(yè)務(wù)管理網(wǎng)后，無法同時訪問互聯(lián)網(wǎng)。外接入局域網(wǎng)必須配置客戶端信任檢測系統(tǒng)〔TDS〕或安康檢查系統(tǒng)以及訪問控制機制。存在的問題近幾年來，海關(guān)各單位都是遵循以上兩份指導(dǎo)方案開展海關(guān)外聯(lián)及移動辦公工程建立，根本保證海關(guān)系統(tǒng)平安，但隨著新技術(shù)的的開展，海關(guān)及外聯(lián)單位〔包括地方政府、進出口企業(yè)等〕的需求多樣化開展，在具體應(yīng)用中，各海關(guān)普遍反映?海關(guān)管理網(wǎng)對外接入局域網(wǎng)平安建立指導(dǎo)方案?、?海關(guān)移動辦公系統(tǒng)網(wǎng)絡(luò)接入建立指導(dǎo)方案?存在不少問題：一是各種平安方案、措施堆砌，系統(tǒng)過于臃腫。以上?指導(dǎo)方案?中的方案或要求的設(shè)備實現(xiàn)的平安功能有重疊局部，如?海關(guān)管理網(wǎng)對外接入局域網(wǎng)平安建立指導(dǎo)方案?要求的多級數(shù)據(jù)交換的方案并未能成倍的加強系統(tǒng)的平安性能，但卻造成部署困難、傳輸節(jié)點過多、故障發(fā)生的概率增加、故障點難于確定、方案建立費用過高等問題。二是難于適應(yīng)新技術(shù)的開展。隨著移動技術(shù)的開展，以手機、平臺為終端的移動設(shè)備已成為移動設(shè)備主流，?海關(guān)移動辦公系統(tǒng)網(wǎng)絡(luò)接入建立指導(dǎo)方案?中要求客戶端安康檢查、客戶端管理等功能，現(xiàn)階段根本沒有科技公司提供相應(yīng)解決方案；隨著技術(shù)進步，很多平安設(shè)備都具有多種平安功能，這為用戶簡化方案設(shè)計、減少投入提供便利，但海關(guān)方案規(guī)定過于呆板，各平安設(shè)備所處位置太固定，以上優(yōu)化難于實施；海關(guān)指導(dǎo)方案以數(shù)據(jù)交換為根底，云計算、3G網(wǎng)絡(luò)等新技術(shù)要**時連接方案難于開展。筆者認為要解決以上出現(xiàn)的問題，需重新重視對平安原則把握，廣泛對平安細節(jié)、平安設(shè)備選擇等規(guī)*，重新整合?海關(guān)管理網(wǎng)對外接入局域網(wǎng)平安建立指導(dǎo)方案?、?海關(guān)移動辦公系統(tǒng)網(wǎng)絡(luò)接入建立指導(dǎo)方案?兩個方案，加強對各關(guān)平安理念指導(dǎo)，實現(xiàn)既能保障平安，又能滿足海關(guān)不斷開展的業(yè)務(wù)和技術(shù)要求。采用桌面及應(yīng)用虛擬化技術(shù)對外接入方案改進筆者在**海關(guān)移動辦公工程建立中采用了桌面和應(yīng)用虛擬化技術(shù)，在遵循?海關(guān)管理網(wǎng)對外接入局域網(wǎng)平安建立指導(dǎo)方案?、?海關(guān)移動辦公系統(tǒng)網(wǎng)絡(luò)接入建立指導(dǎo)方案?建立原則的根底上，對以上指導(dǎo)方案的建立細節(jié)進展改進，較好的實現(xiàn)了實時數(shù)據(jù)傳輸與移動終端等用戶的平安接入。工程需求簡介“**海關(guān)移動辦公系統(tǒng)〞是基于電信3G無線網(wǎng)絡(luò)，同時借助最新的移動通信技術(shù)，通過**海關(guān)對外接入局域網(wǎng)進展數(shù)據(jù)交換及授權(quán)應(yīng)用訪問而開發(fā)的移動辦公系統(tǒng)；該移動辦公系統(tǒng)具有3G智能終端的移動性、便捷性和普及性，方便廣闊海關(guān)關(guān)員在任何時間、任何地點隨時訪問內(nèi)部辦公系統(tǒng)，及時獲取內(nèi)部動態(tài)信息，并快速處理日常事務(wù)；同時該移動辦公系統(tǒng)還能為關(guān)領(lǐng)導(dǎo)及局部處領(lǐng)導(dǎo)提供及時處理系統(tǒng)公文的能力。桌面接入方案介紹該工程終端〔筆記本、臺式機、手機、平板等〕接入采取雙VPN機制，一個IPsecVPN負責接入平安與加固，一個SSLVPN負責與桌面虛擬化效勞器通訊，外部接入終端〔帶用戶Usbkey〕只有擁有兩個VPN證書方可與橋頭堡終端效勞器實現(xiàn)聯(lián)通。橋頭堡安裝Windows2021終端效勞器，負責桌面虛擬化用戶桌面環(huán)境存儲和處理，SSLVPN兼做應(yīng)用虛擬化管理效勞器，管理員可在VPN虛擬化管理效勞管理器上設(shè)置各用戶可運行的Windows2021終端效勞器上的應(yīng)用。一般用戶不到Winsows終端界面，他使用瀏覽器連接進入VPN虛擬化應(yīng)用效勞器界面，只能看到被授權(quán)應(yīng)用的應(yīng)用程序界面，瀏覽器將遠程用戶界面的鼠標、鍵盤的操作傳輸?shù)浇K端效勞器，效勞器將界面圖形傳回用戶瀏覽器，網(wǎng)絡(luò)傳輸過程只有加密圖形，無實際數(shù)據(jù)。方案優(yōu)點該方案能利用桌面及應(yīng)用虛擬化實現(xiàn)系統(tǒng)筆記本、臺式機、手機、平板等終端用戶