概述

开发背景

在信息化和数字化的时代，电脑已深入人们的生活和工作当中，已经成为办公不可或缺的工具之一。在办公环境中，一个单位的电脑数量往往达到数百台，甚至几千台。目前普遍的管理方式是由IT运维部门负责管理和维护，采用故障人工现场处理的方式进行。

然而，绝大部分的使用者并不具备电脑维护方面的专业知识，而是只关注各自的业务操作。因此当电脑出现问题时，IT运维人员将面临巨大的工作压力，电脑的维护工作俨然已成为IT部门工作的繁琐而艰巨的工作。据IDC统计，购买桌面的硬件和软件费用开销通常占设备总拥有成本的20%-30%，而其余70%-80%则主要是IT运维成本。

此外，企业或政府对的安全性存在各种的要求，为了保障数据的安全，制定了各种方案与措施。但当本地设备出现损坏、丢失或被盗时，其中的敏感数据将随计算机的损坏/丢失而消失或面临外泄的威胁，对企业及政府各机关单位的数据造成极大的安全隐患。

桌面虚拟化技术就在这种强大的市场需求下孕育而生，桌面虚拟化是指将个人的桌面软件环境与个人计算机的物理硬件相分离，允许用户通过本地可上网的计算机访问自己的个人桌面。

当前市场的全球化、员工移动性等特点分散了企业的各种流程。但是，对桌面简化管理、集中部署、保障信息安全、减员增效的需求仍是企业或政府部门亟待解决的重要问题，也是桌面虚拟化的主要驱动因素。

作为全国领先的云办公解决方案提供商，网络拥有领先的技术、产品和服务，能以成熟的软件平台、丰富的互联网服务经验及多样化的商业运营模式提供***的桌面云解决方案，真正做到让云触手可及。

产品定位

网络立足于桌面虚拟化的技术优势，应用先进的虚拟化架构技术，从集中管理、简化部署、保障安全、减员增效等用户需求方面深入研究与探讨，自主研发出桌面虚拟化解决方案产品“云办公闪电版”，旨在为企业、政府、教育、医疗等各行业需要部署维护相当数量的桌面的单位、研究中心、设计院、企业、呼叫中心等对数据安全高度保密的部门提供完善的虚拟化解决方案。

通过部署云办公产品，主要可以实现以下功能和要求：

简化桌面管理：桌面IT管理不再需要点对点、面对面的、重复的手动维护工作即可实现终端的统一管理，从工具上解放IT运维人员的双手，解放生产力，提高维护人机比，弱化因地域造成额外配置运维人员的尴尬。

提高数据安全性：提供本地数据云端备份功能，有效降低那些因本地硬盘损坏造成数据丢失的情况。通过终端认证管理，实现像iphone锁定那样锁定指定设备，避免设备因丢失而造成数据外泄的威胁。

更好的本地用户体验：更强的本地运算能力，加强型的应用体验，接近本地物理计算性能的***用户体验。***应用IDV技术架构方案。

满足个性化需求：满足一些机密单位或部门对不同用户权限的限制，如外设接入限制，登录认证设置、应用安装权限管理、操作系统还原等需求。

云办公闪电版原理与架构

IDV技术与VDI技术

VDI技术简介

VDI，英文全称Virtual Desktop Infrastructure，即虚拟桌面基础架构。它不是给每个用户都配置一台运行Windows 7 或XP（后文统称为Windows 7）的桌面PC，而是通过在数据中心的服务器运行Windows 7，将你的桌面进行虚拟化。用户通过来自客户端设备（客户机或是家用PC）的客户计算协议与虚拟桌面进行连接，用户访问他们的桌面就像是访问传统的本地安装桌面一样。

让终端用户使用他们想使用的任何设备。他们可以从任何地方连接到他们的桌面，IT人员可以更易于管理桌面，因为它位于数据中心之内。

实施VDI的优点：

通过网络，可以迅速部署一个通用的、支持性桌面环境。创建一个Windows 7桌面镜像并使用该镜像来部署服务器虚拟机监控程序上的虚拟机。一台服务器可以支持许多虚拟桌面。这些桌面的每个反应作为一个独立Windows 7桌面。不同的是使用网络协议传输服务，连接到某个虚拟桌面的用户不会影响其他虚拟桌面或主机，服务器有该VM所有功能的完全访问权限。用户也可以使用远程桌面客户端连接到他们的虚拟桌面。

可以集中管理和部署更新。只需更新用户的Windows 7桌面镜像即可实现管理部署。在下次登录的时，就会有更新后的图像与他们保持的所有设置。

可以迅速恢复到以前设定的稳定版本桌面镜像。在执行更新之前保存上一个镜像的快照副本。这将有助于部署后的镜像回滚。

可以实现桌面漫游。当用户使用客户机A登录账号后，打开word文档进行编辑。然后到另一个客户机B通过账号登录，可以立即获取之前桌面的状态，实现在不同的位置连接同一个个人桌面，同时保持业务操作连续性。

虚拟桌面基础架构（VDI，Virtual Desktop Infrastructure）是许多机构目前正在评估的全新模式。VDI旨在为智能分布式计算带来出色的响应能力和定制化的用户体验，并通过基于服务器的模式提供管理和安全优势。它能够为整个桌面镜像提供集中化的管理。

VDI 需要持久的网络连接，因此不适于要求离线移动性的场合。

所有客户端计算、图形和内存资源必须置于数据中心内，存储系统必须满足每位用户的操作系统、应用和数据要求。在可管理性方面，需要考虑可能节省的 TCO 和部署基础设施所用成本的对比情况。

IDV技术简介

IDV智能桌面虚拟化(Intelligent Desktop Virtualization)是英特尔公司提出了一种革新性的框架，它将使得管理用户计算的整个系统变得更加智能。而且能够***化用户体验的同时给IT人士提供所需的管理功能。智能桌面虚拟化是一种相当新颖的技术观念，在未来很有可能彻底颠覆整个桌面虚拟化游戏规则。英特尔定义的IDV这种全新智能桌面虚拟化概念，描述了可使IT人员和终端用户双赢的计算和桌面管理态。IDV解决方案在确保用户尽享高性能、移动性和灵活性的同时，提供IT人员控制和保护桌面镜像和设备的能力。

IDV具备如下三大特点：

1) 集中管理和本地执行，将数据中心构建量降至***，使用智能客户端的处理能力，优化用户体验。这样对于服务器端计算要求将大幅降低，同时服务端管理人员的运维操作工作也相对减轻。终端本地的硬件通过本地虚拟化技术提供更高级别的本地计算能力，提供更佳性能，并能降低成本。

2) 智能提供差异镜像，从而提高更新和补丁操作、简化存储。 当IT人员对桌面镜像进行管理升级时时，系统会自动识别差异分层，并能***地减少镜像数量。智能传输会将终端上运行的本地镜像与管理端镜像同步，同步时采用镜像预下载技术，这样可确保终端用户和IT人员更新时不影响其使用终端镜像。同时使用去重复技术增强这些镜像的同步和存储，以***地减少存储和网络带宽需要。

云办公产品架构

云办公闪电版方案是基于IDV架构的桌面虚拟化解决方案。它采用集中管控、分布运行的架构，集传统PC桌面及VDI虚拟桌面的优势于一身，同时又有效克服了传统桌面难以集中管理以及VDI桌面体验效果差等瓶颈问题，是云桌面部署的***方案。

云办公闪电版解决方案主要由两部分组成：云管理平台（RCM）、智能终端接入（Rain300系列、Rain400系列、利旧PC）

云管理中心（RCM）：RCM1000是云办公闪电版方案的一体化云管理服务器，是整个系统的管理中心，承担着统一下发标准镜像（黄金镜像）、用户认证、个人数据存储、管理镜像更新的重任。同时，通过完备的策略体系，对不同用户的使用权限进行个性化定制，从而保证客户端数据的安全性。

智能访问终端（Rain300系列、Rain400系列、利旧PC）：使用指定的智能云终端（Rain300系列、Rain400系列）或安装有桌面虚拟化软件的PC机，能够为用户带来接近本地处理能力的完美体验。同时，支持离线登录使用，为网络中断但业务不中断的实现提供可能。再者，支持安装多个操作系统镜像，实现内外网环境的便捷切换。***，支持个人数据漂移，以及外带模式，为多变的业务场景提供有力支持。

智能终端实现原理

云办公闪电版方案是基于业内领先的IDV架构的桌面虚拟化解决方案，云终端具有本地存储、显卡以及不弱于一般办公PC的计算处理能力，在终端硬件层上安装虚拟化软件实现硬件资源池化，以保证云管理端RCM下发的镜像能够在本地***的运行，允许多个操作系统的并排安装。在保证性能和安全策略的前提下，为用户提供更为便捷的本地云工作体验。

根据个人数据安全要求的实际情况，可以选择性的使用个人云盘备份与本地存储相结合的方式，保障用户数据的存储安全，远离电脑丢失或硬盘碎坏造成数据丢失的烦恼。通过个人账号体系的登录认证，允许用户个人数据在不同的客户终端间漂移，实现多点移动办公。

主要功能

离线使用

用户在绑定的终端上成功登录之后，该用户在离线安全策略允许的时间范围内可在不连接网络的条件下，使用个人账号登录操作系统办公，在此过程中产生的个人数据会在网络连接后自动上传至个人云盘备份（如若已设置自动备份策略）。云办公的离线使用功能，突破了VDI模式在网络条件差、甚至没有网络的情况下无法离线使用虚拟桌面的局限性。同时，也由于离线安全策略的设置，弥补了PC机离线不可控和数据本地存储无备份的限制。

离线访问：

在网络连接状态下登录账号，下载黄金镜像、安全策略、本地加密存储登录信息。

网络断开时，本地认证登录信息，通过后离线使用操作系统镜像和应用。

网络连接后，同步备份个人数据增量至云端【策略配置】。

为了加强云端对离线设备的管控力度，避免“僵尸机”的运行，可通过策略配置设置离线使用的安全时间，设定用户在上一次在线认证之后的一定天数内可离线登录终端，当超过此安全天数后，将无法离线登录，必须连接网络再次认证后方可使用。

用户桌面个性化定制

用户在终端登录后，系统自动下载管理员预先设置好的操作系统镜像（黄金镜像）到本地，若操作系统镜像安全策略为自定义模式【策略设置】，则用户可在该镜像基础上根据个人需求，安装或卸载应用程序。如：根据工作需要安装autoCAD、photoshop、QQ、视频播放器等软件和应用。IT管理员只需维护标准镜像即可。

支持多种复杂应用

采用本地虚拟化技术，充分利用本地计算资源，为应用运转提供本地计算支持、多操作系统同步运行等复杂应用需求。

应用本地显卡透传技术，支持图形设计、高清视频播放等高性能要求体验场景，从根本上提升用户体验。

利用外设重定向技术，完美解决自主品牌外设兼容问题，将外设兼容范围提升至***。

用户终端管理

管理员在云管理平台RCM上创建桌面用户，为用户分配镜像、安全策略、绑定终端。用户可凭用户名、密码在终端登录访问自己的桌面。管理员可通过云管理平台管理用户的镜像、策略、主机、重置密码、重置镜像还原点等功能，简化系统运维部署管理操作、降低维护成本。

镜像管理与更新

管理员只需在云管理平台将配置好的操作系统镜像分配给相应的用户或用户组，不需要花费大量的时间去为每个用户安装操作系统，在使用的过程中，管理员只需维护镜像，有效节省时间和人力。

管理员在云管理平台发布标准镜像（黄金镜像）

根据需求将标准镜像分配给用户或用户组。

用户在终端凭用户名、密码登录，终端自动下载镜像并运行。

管理员在云管理端创建镜像版本，进行镜像更新维护，完成后指定镜像生效时间并发布。用户登录时自动下载镜像更新版本进行更新。

个人数据存储

管理员可以在管理端为每个用户分配一定规格的本地个人数据盘以及个人云盘【用户策略】，本地个人数据盘用于存放个人数据，该数据可在网络通畅时与个人云盘进行数据同步，以保障数据安全备份。

个人云盘可在用户使用任意非绑定终端登录时进行数据漂移。

个人宕机恢复（暂缓推出）

若管理员在用户策略中允许用户在本地设置还原点，那么当用户系统宕机或崩溃后，用户可自主选择还原点进行还原。系统还原时不会影响个人存储数据和云端数据。

若管理员未允许用户设置本地还原点或用户未设置还原点。管理员可在云管理端远程初始化用户终端系统，将用户系统恢复至黄金镜像状态。

终端绑定

对于个人数据安全要求较高的组织或部门，可针对不同部门或用户的不同的安全限制和要求进行绑定设置，可将终端与用户或用户组进行绑定，如某些终端只允许财务部门的员工凭用户名、密码登录，财务部门外人员无法使用。某台终端仅指定某员工可登录使用等。

个人桌面数据漫游

当用户在个性化模式的非绑定终端或还原模式下的任意终端使用账号密码登录后，终端会启动本地存储的黄金镜像，并挂载云盘数据，实现个人桌面及数据漫游。当用户注销或关闭虚拟机后，终端会删除漫游用户的使用痕迹，保障个人数据安全。

策略管理

云管理平台对镜像、用户、用户组、终端进行相应的策略定义，管理员可将其分配给相应的用户、用户组和镜像，极大的方便管理员的管理和设置需求，主要策略如下：

用户策略：允许客户修改镜像显示名称、设置用户为组管理员管理组内资源与人员、允许创建本地还原点、设置用户本地磁盘大小、设置用户个人云盘大小、设置CCR资源账号。

用户组策略：允许客户修改镜像显示名称、设置用户为组管理员管理组内资源与人员、允许创建本地还原点、设置用户本地磁盘大小、设置用户个人云盘大小、设置CCR资源账号、设置用户组用户上限。

终端策略：设置用户端外设安全策略（允许或禁用外设，如U盘、U盾、打印机、扫描仪、大屏、高拍仪等外设）；设置终端离线登录安全策略（设置用户在线登录注销后，在定义的安全时间内可离线登录，超过时限则必须连接网络在线登录）。启用或禁用离线登录模式。

镜像策略：设置镜像是个性化镜像还是还原镜像；设置镜像虚拟机使用的IP地址策略。

镜像预下载更新

当管理员发布更新镜像后，终端在开机登录后，自动检测镜像版本，当发现更新时，后台自动预下载更新补丁。完成后提示用户是否更新，用户可根据实际情况选择更新时间。在镜像更新下载过程中，不会影响当前版本镜像使用，保障业务连续性。

镜像下载加速技术

在用户集中下载镜像时，可以实现分级下载与断点续传。也就是不仅仅局限于从管理服务器下载镜像，终端会自动检测拥有相同镜像的客户端，并从该客户端下载镜像，这样避免了大量用户从服务器下载镜像造成网络堵塞，影响下载速度及个人数据存取变慢的现象。当用户关闭终端时，暂停下载更新任务，当终端再次启动时，应用断点续传技术，继续下载未完成的更新任务。

终端外设管理

在对数据安全较高的环境中，如开发设计、生产产线、企业/组织内网、涉密网，往往针对不同部门或用户的设置不同的外设访问权限。如U盘、打印机、U-key、加密狗、扫描枪等。管理员可在云管理平台设置使用策略，禁止或允许某些用户对特定外设的使用，从一定程度上保证数据的安全性，避免数据泄漏或病毒入侵。

服务端设备告警管理（暂缓推出）

作为运维管理人员需要保障应用服务的正常运转，当应用服务器出现故障或异常时需要***时间知晓，并能及时定位问题所在。为此RCM云管理平台为运维管理人员提供***的故障告警与提醒机制，可预先设置的不同的告警规则与通知方式及联系人，当系统出现符合规则的事件发生时，自动通过邮件或短信通知指定人员，使其能***时间处理问题。

终端用户操作行为审计

在终端用户使用操作系统进行工作过程中，不可避免的会涉及文件的外拷、外网访问内网系统、远程接入操作、敏感业务操作等行为，对于这些行为通过用户行为审计模块做到分级审计，如对普通操作，只记录“元数据”，敏感或可疑操作，记录“元数据”及“录像”，IT运维或数据库管理员的敏感操作行为，记录“元数据”+“录像”+“运行命令”。有效做到事中控制、事后审计，保障行为合规安全。

终端利旧（暂缓推出）

使用云管理平台制作的安装U盘，在普通的PC机上安装云办公终端系统，将普通的PC转变成云终端。云终端系统是直接安装在客户端上的裸金属架构上，采用全虚拟化技术，极大的兼容了各厂商显卡声卡等外设，不需要再针对不同的设备安装不同的驱动，有效的降低了运维人员对终端硬件兼容性的维护工作。同时还可通过显卡透传技术实现本地显卡透传到虚拟机镜像中使用，实现高图形处理能力的场景覆盖，弥补了VDI模式高图形处理性能的支撑无力或显卡虚拟化透传造价昂贵的现状。

终端设备丢失锁定

当终端设备遗失、被盗时，管理员可在云端将设备锁定，禁止该设备继续使用与操作，从底层上保障数据安全，避免因设备遗失或不法分子的恶意行为造成机密信息外泄。当设备找回后，管理员可将设备解锁，恢复使用。

产品特性

性能打造极限 – 无限接近本地的用机体验

极速体验

IDV终端（Rain300系列、Rain400系列）采用先进的IDV架构，将虚拟化软件部署在终端上，通过服务端推送虚拟机镜像，在本地运行。由本地的硬件资源提供计算支撑，可以充分发挥终端强大的计算能力，使其无限接近于本地用机。

影音播放、图形设计

采用本地虚拟化技术，充分利用本地计算资源，为应用运转提供本地计算支持、多操作系统同步运行等复杂应用需求。

应用本地显卡透传技术，支持图形设计、高清视频播放等高性能要求体验场景，根本上提升用户体验。

细节成就无限 – 个人桌面，独立空间

桌面量身而定

RG-RCM1000中的创新技术IIM（Intelligent Image Management），可根据用户的不同应用软件要求重新组合封装在不同的桌面镜像中, 并根据用户或用户组分配。彻底解决以往PC中常见大量软件安装导致系统臃肿、软件冲突，运行慢等难题。同时，虚拟机的系统磁盘会被隐藏起来，在关机时自动还原，做过的修改不会被保存，防止病毒对主机破坏的同时，省去Ghost或还原卡的繁杂设置【还原模式策略】。有了IIM，每个镜像都是一幅色彩斑斓的画卷，用有限的资源创造无限的价值！

管理简单

管理员角色被赋予不同的操作界面。用户会获得与物理机体验一致的云桌面。而管理员可使用web浏览器随时监控检查RCM设备，Rain终端，CPU、内存、磁盘和网络负载通过可视化图形动态表现，一目了然。

数据独立保存

每个用户的桌面都分配了独立的个人数据盘（默认盘符D）,且桌面和收藏夹等需要保存个人数据的路径也都会完整保存下来，实现数据随人走从而达到“桌面漫游”的目的。用户无论从任何终端登录，都能获得***为熟悉的个人桌面，再不需要为软件版本不同而打不开文件等问题而困扰。

稳定再创极限 –  集群部署，资源高可用

设计领先

RG-RCM1000云办公管理主机堪称一场革命式的创新：超凡的一体化设计，将处理器、工业级存储设备、内存和强大的云桌面虚拟化软件功能整合到一个简洁、坚固的外壳之中。全新的制造工艺及非凡的想象力，在更小的空间内创造了更大的可能，令您见到它时不免惊叹。

高可用集群

2台RG-RCM1000云办公管理主机可组成办公环境管理集群，不但为整个集群提供负载均衡的管理功能，同时可通过双机数据备份让用户的个人数据永不丢失。云办公数据管理集群要求必须配置2台RG-RCM1000，共可为1000用户提供云桌面服务。

投资保护

机房每年都会有大量PC机因老旧被淘汰，RG-RCM1000云办公（IDV）管理主机执行镜像集中管理，终端分布运算，部分旧PC依旧可以作为终端设备进行利旧使用，将办公电脑设备的生命周期大幅度延长，保证高性能应用的同时还减少资源浪费。云技术良好的延展性也可大大避免升级和扩容带来的问题，如果配合云办公终端，即插即用，部署快捷简单。

SAAS模式魅力初显——集中部署，分级管理不再遥远（暂缓）

云办公（IDV）解决方案作为的新兴的私有云解决方案，引入SAAS（Software-as-a-Service软件即服务）概念，为每一个用户提供灵活多变，易用普适的云管理体验。

让客户更专注核心业务

在传统的IT建设中，为了实现某个业务目的，需要一系列的IT运维保障措施以保障业务环境正常有序的运行，在此过程中，往往采用谁建设谁维护的方式进行，这样在总部、下属单位都会存在一定的运维保障人员来保障业务应用的运行，而SAAS有效的将运维与应用有效的分开，让专业的服务提供商负责运维和运营，促使使用者将专注点更多的聚焦在核心业务的实现与推进中。

 按需订购，选择更加自由

在传统PC配置中往往会提前采购一些冗余的设备备用或等到需要时再临时采购，在此过程中造成了一定的资源闲置与响应滞后。同时据IDC估计，购买桌面的硬件和软件费用开销通常占设备总拥有成本的20%-30%，而其余70%-80%则主要是IT运维成本。采用云桌面SAAS的形式，能够做到按需订购，增减方便。

有效降低营销成本，不需要额外增加专业的IT人员

在上面已经提到将运营工作交给专业的运维团队管理，运维团队可以通过远程管理的方式管理终端，处理终端问题。从而不必像传统运维方式那样重复的设置运维岗位。

技术参数（暂行方案）

典型应用场景

本地部署，本地使用，管理权限下放

某制造企业计划更换办公厂区内的生产、设计、财务、市场等部门人员的办公电脑，替换为更为***的云桌面管理方案。在基本不改变当前部门管理权限的情况下，由IT部门管理云管理平台服务器和终端硬件维护与更换，其他各部门设置二级部门管理员，管理各所属部门内部用户终端的用户账号及外设。

运维管理员作为整个云系统的***权限管理员，可为创建子部门并为其设置部门分管管理员。运维管理员复杂硬件层面及系统初始化工作，管理镜像、运维、告警等模块。部门分管管理员复杂部门内部用户创建、终端重启、密码重置、硬件绑定、解绑、外设接入等等。

总部集中采购，分布式部署，集中管理（暂缓）

由总部集中采购云桌面系统，分别在总部驻地、子公司/下属单位驻地分布部署多个云桌面集群，总部提供标准黄金镜像，个人数据分别存储在各子公司/下属单位。

总部的运维管理员作为超级管理员，可监控与管理下属单位多个等位集群，可通过制定标准黄金镜像管理公司整体用户的操作系统环境。同时总部集群也可获取各集群的运行数据，做到统一监控，统一展示。同时各个子公司/下属单位也可拥有一定的自助管理权力，可设置当地的运维人员作为管理员，管理子集群的日常运维工作。

第三方承建IDC，集中部署，租赁使用（暂缓）

当前由第三方运营商承建IDC机房，然后对外提供公有云服务的方式越来越被***终用户所接受。例如联通在某省搭建云桌面IDC机房，采用租赁的方式为某政府部门提供云桌面服务，采用政府专线的方式连通办公网络。

在上面示例中，联通作为承建方，服务主要运维工作，而终端用户作为承租方，仅需要根据自身实际情况管理日常设备使用及用户策略权限设置即可。承租方管理员，即租户管理员，需要安装业务需要灵活调整人员、外设、终端设备等内容。

极少点数，极简模式

当终端设备数量相对较少时，如小于10台。那么服务端成本的分摊对终端平均成本造成较大的影响，为此我们支持采用无服务器的极简模式实现设备的统一管理。管理员可以选取任意终端作为服务器，提供有限的管理功能，如少量的镜像管理和有限的用户认证等功能。