最近看到很多朋友在找既能保证图纸安全又不影响正常图形设计的图形工作站的解决方案。我在无意中找到一个这样的解决方案。仔细研究了一下,此方案是切实可行的。现在发出来供朋友们参考(文章来源:http://www.ntaip.cn/hc12.htm)需要详细了解的朋友也可以去看看。
方案如下:
方案版权属于:www.ntaip.cn
Devon HC12远程图形工作站解决方案
一、 传统台式工作站应用现状
如何保护企业核心图纸不被内部员工恶意盗取?
如何保护企业机密文档的制作过程?
如何防范机密文档的内部扩散?
怎样才能防范员工从自己的图形工作站上拷贝文件?
怎样才能在不影响设计人员正常设计的情况下保护企业的机密图纸?
怎样才能在协同制作时让文件不外流?
台式工作站所面临的挑战
安全性较低
传统工作站部署在用户桌面,保持对单个桌面工作站中存储的数据和信息的控制,几乎是不可能的。当数据驻留在本地时,知识产权或敏感信息丢失的问题始终是一个重大隐患,机密数据或存储介质(如硬盘等)的丢失可能会使企业蒙受巨大损失,并且面临诉讼的危险。虽然可以依靠数据加密等方式做到一定程度的数据保护,但在打开大容量装配图纸及修改保存时其解密/加密的时间令人难以忍受,极大的影响工作效率。
桌面运营成本过高
桌面的总体拥有成本中有70%以上耗费在与管理桌面设备有关的运营活动中:管理最终用户、维护和维修硬件、部署和升级桌面设备、以及安装各种软件。由于企业中传统工作站部署极为分散,IT 部门不得不耗费大量精力来跟踪这些设备,不断对它们进行修补和更新
易用性较差
用户通常必须固定使用某一设备才能访问他们的桌面。因此,用户往往必须坐在同一台工作站前访问工作所需的应用程序和数据。这会使企业的变化情况(例如移动、添加和更改)更趋复杂,并会对用户的灵活性造成限制。
工作环境难以保证
当办公室内多台工作站一起工作时,其发出的噪声、热量及辐射量惊人,员工工作环境不够理想。
二、 HC12远程工作站解决方案
HC12 远程图形工作站
可支持的处理器:2颗Intel Xeon Quad Core CPU
可支持的内存: 12个内存插槽 / 最大48GB内存
可支持的存储器:4个SATA硬盘托架
可支持的图形卡: nVidia Quadro FX 1800 768MB
nVidia Quadro FX 3800 1G
nVidia Quadro FX 4800 1.5G
HC12 远程图形工作站是什么?
Devon IT的HC12远程工作站是一种高性能远程机架式工作站,它提供了卓越的图形/图像处理能力,内置图像压缩卡,向桌面的TC10/TC10终端设备传输屏幕画面,是适用于CAD/CAM设计,3D动画编辑、视频监控、医学影像等多种应用的理想之选。
HC12远程工作站可统一部署于信息中心机房内,设计人员通过瘦客户终端TC10/TC10,连接到信息中心机房中的HC12远程工作站上进行日常设计工作,而屏幕刷新、运行速度等性能体验和传统的台式工作站完全一样。HC12远程图形工作站克服了传统台式工作站的缺点,集中部署、集中存储、绿色环保,为工作人员提供了简洁安静的工作环境。
图纸等高敏感度或高机密等级的数据集中存储于数据中心而不是客户端桌面系统设备中,为用户保护自己的商业机密和知识产权提供了强有力的技术手段。
HC12 远程图形工作站如何工作?
Devon IT的HC12远程工作站中通过内置的图形压缩卡,将远程工作站的显卡显示信息加密传输至使用者桌面的TC10/TC10终端上,同时返回用户端TC10 / TC10的键盘鼠标操作信息,而关键设计资料、图纸等业务数据则保留在信息中心,以满足数据保护的需求。同时,TC10/TC10终端可对桌面USB设备种类和权限进行控制,可禁止除了键盘、鼠标、手写板之外的任何USB存储设备的接入,获得更大的数据安全性。
各行业客戶对解決方案的需求
方案建议
CATIA、PRO/E等高要求三维设计,使用HC12 E/F/G远程工作站
保证高端图形工作站所要求的卓越性能;
保证数据在后台,保护数据的安全;
单台工作站约4万至15万元人民币。
CAD等普通图形设计,使用HC12 “双子星”远程工作站
保证数据在后台,保护数据的安全;
每台HC12 “双子星”远程工作站可提供两个独立的远程会话;
单个用户约2万元人民币。
HC12远程工作站方案体系结构及其软硬组件
图形传输与加密
I/O & 图形传输适配器 (IGTA)
高性能硬件压缩/加密
硬件适配器: 不需要设备驱动和特殊软件
IGTA 被视为操作系统的监视器 (支持 DDC)
IGTA也被视为通过PCI连接的USB 集线器
不需要软件和驱动
图象输出直接传送给IGTA
IGTA 硬件压缩图像并通过网络传输图像
为了减少网络和带宽的消耗,IGTA只发送与前一帧不同的部分
如果网络比较繁忙则进一步压缩图像
USB接口信号的透明传送给HC12
加密的USB接口信号在TC10和HC12之间透明传输
只要HC12远程工作站服务器上有驱动,工作站终端可以支持任何USB设备
所有传输的数据自动的加密
控制和USB信号: 128位SSL
视频: 128位 IPSec AES
IGTA 协议:作为 VESA 标准的一种规范
HC12 远程图形工作站
主板:Intel 5500芯片组
CPU:2颗Intel Xeon Quad Core CPU
内存:12个内存插槽 / 最大48GB内存
GPU:nVidia高性能专业显卡
HC12 远程图形工作站和配置如下:
HC-12E基本配置
处 理 器 1枚INTEL Xeon Quad 5504 2.0Ghz四核心
内 存 3X1G DDR3内存
硬 盘 1块500G SATA(7200转)硬盘
图 形 卡 nVidia Quadro FX1800 768M 双DVI接口
网 卡 2X 10/100/1000M自适应网卡
接 口 5个USB2.0接口 2个PS/2接口 2个串口 2个RJ-45接口
内部插槽 1个PCI插槽 1个PCI-E插槽 TC-10主机适配器卡
其 他 滑动轨道 滑动管理臂
TC10终端 可以连接一台专用TC-10终端
HC-12F基本配置
处 理 器 2枚INTEL Xeon Quad 5520 2.26Ghz四核心
内 存 6X1G DDR3内存
硬 盘 1块500G SATA(7200转)硬盘
图 形 卡 nVidia Quadro FX3800 1G 双DVI接口
网 卡 2X 10/100/1000M自适应网卡
接 口 5个USB2.0接口 2个PS/2接口 2个串口 2个RJ-45接口
内部插槽 1个PCI插槽 1个PCI-E插槽 TC-10主机适配器卡
其 他 滑动轨道 滑动管理臂
TC10终端 可以连接一台专用TC-10终端
HC-12C基本配置
处 理 器 2枚INTEL Xeon Quad 5570 2.93Ghz四核心
内 存 6X1G DDR3内存
硬 盘 1块500G SATA(7200转)硬盘
图 形 卡 nVidia Quadro FX4800 1.5G 双DVI接口
网 卡 2X 10/100/1000M自适应网卡
接 口 5个USB2.0接口 2个PS/2接口 2个串口 2个RJ-45接口
内部插槽 1个PCI插槽 1个PCI-E插槽 TC-10主机适配器卡
其 他 滑动轨道 滑动管理臂
TC10终端 可以连接一台专用TC-10终端
HC12 “双子星”远程工作站(HC-12T)
高性价比
单个2U机箱,双节点设计
每个节点独立工作
独立的电源、主板
Intel Core 2 CPU或INTEL 至强处理器
Intel Q35芯片组
4GB Memory每节点最高8GB
2×SATA HD
独立专业显卡(nVidia FX1800 / 3800)
IGTA压缩卡
HC12远程工作站的安全特性
HC12远程工作站集中部署在受到严密保护的数据中心,使用者无法直接接触。
使用者通过一个受控的桌面设备(TC10终端)使用后台的HC12工作站。
设计图纸等业务数据始终保存在数据中心,无法被保存至用户的桌面设备。
数据中心网络与桌面上连接TC10终端的专用网络彼此隔离,使用者无法通过笔记本电脑等移动设备访问到HC12或数据中心网络上的任何保密数据。
管理员可通过策略定义TC10终端上USB端口的权限,如,只允许接入USB键盘、鼠标、手写板等输入设备;禁止U盘、移动硬盘、手机等输出设备。
TC10终端没有高级操作系统,不会被病毒/木马攻击。
TC10终端没有存储设备,也没有任何可拆卸部件,即使丢失或损毁也不会造成数据泄漏或丢失的风险。
HC12的网络隔离是如何实现的
HC12远程图形工作站上的网卡类型分为主机网卡(eth0/1)与压缩卡网卡(IGTA卡)。
其中,主机网卡连接数据中心网络的核心工作网络,在工作站需要联网工作时使用。保密图纸等业务数据通过主机网卡传输至工作网络上的存储设备、应用系统等服务器上。
压缩卡网卡则连接至单独的交换机,与员工桌面的TC10终端相连接,构成专用的图像传输网络。HC12工作站显示卡的图像变化、音频信号等信息与TC10终端的键盘、鼠标等输入信息通过该网卡进行交换。
两个网络在物理上是相互隔离的,而用户在HC12工作站系统内无法访问到压缩卡使用的图像传输专用网络;在专用网络中接入其他的PC、便携式电脑,也同样无法访问HC12工作站和HC12工作站主机网卡所在的核心工作网络。
这种网络隔离的技术将从根本上解决困扰企业的安全问题。
HC12远程工作站的安全特性(网络示意图)
三、 HC12方案特点
安全保障
数据安全
HC12远程工作站将业务关键数据集中存储在受到严密保护的数据中心,用户桌面设备不再存储任何数据,以满足数据保护的需求。
网络隔离
HC12远程工作站将用户桌面与信息中心的核心工作网络物理隔离,保护后台服务器以及网络的安全。
USB设备权限控制
用户桌面的TC10/TC10终端没有任何存储设备,可根据管理策略来管控USB设备的访问。
集中管控
设备集中部署
HC12远程工作站主机集中部署在数据中心,便于相关人员进行维护,减少服务响应,节约维护成本。
数据集中存储
保密图纸等业务数据保存在集中部署在数据中心的HC12远程工作站上,或通过HC12主机网卡传输至工作网络上的存储设备、应用系统等服务器,未经授权的用户无法将其保存至桌面设备。
性能卓越
专业工作站级性能体验
用户通过TC10/TC10终端使用HC12工作站上的所有系统,其性能体验不逊于任何一台传统的专业台式工作站,支持高性能显示卡、支持多显示器输出,支持音频输入输出,图形/图像处理能力强大,硬件升级简单,并且使用过程中没有任何延迟。
可用性高
当某台工作中的HC12发生故障,无论是软件还是硬件故障,后台的备份用机可随时接替故障机,确保关键应用不被中断。配合相应的管理软件,可以分配用户登录到任意一台HC12,使得硬件资源得到充分利用。
绿色环保
用户桌面终端设备低散热、低辐射,无噪音, 有助于营造一个绿色、舒适的工作环境。
我们为什么不在三维设计部门推荐虚拟化技术?
虚拟化技术在三维图形/图像设计领域存在技术缺陷。
虚拟机无法使用专业图形显卡;
虚拟机在多显示器显示模式下无法正常工作;
升级CPU/内存/显卡等硬件时受宿主机影响很大;
虚拟机在传输三维图像/流媒体时延迟很大,设计人员无法进行正常的设计工作。
HC12图形工作站的技术优势
HC12图形工作站配备专业图形显示卡;
HC12图形工作站支持最多4显示器的大分辨率多显示器显示模式;
HC12图形工作站硬件升级简单(插拔式);
HC12/TC10的实时屏幕变化等性能体验与传统台式图形工作站并无区别,处理三维图像得心应手。
“延迟”决定HC12/TC10方案是主机-终端模式的最佳选择
这里所说的延迟为网络延迟+系统响应延迟,我们建议系统的最大延迟应限制在40msec以内。统计结果显示,当延迟达到60msec,系统仍然是可用的,但将会严重影响工作效率,特别是使用关键应用的专业用户(如CAD图形设计师);当延迟超过100msec,用户就会感到“反感”,正常操作无法进行。
在符合要求的网络情况下,采用IGTA图像压缩卡的HC12远程工作站不会让用户感受到任何的延迟,性能体验与使用桌面式工作站完全相同。
而在相同的网络条件下,由于虚拟化技术为代表的方案传输图像依靠RDP等协议完成,当屏幕图像变化剧烈时(如进行三维模型旋转等),传输效率极为低下,加之硬件配置上的巨大差异,虚拟化方案的延迟将超过80msec,由此带来的影响是鼠标、键盘等输入设备反应异常迟钝,光标不能按照用户理想的状态选取对象;同时在模型进行旋转等操作时,用户无法准确控制模型状态,以至于无法进行正常工作。
(文章来源:http://www.ntaip.cn/hc12.htm)