2n平台_浅谈安全桌面云服务平台的高可靠机制

2020 桌面云服务平台高可靠机制

互联网时代促使各个行业信息传递效率大幅提升，各个企业的工作方式也在发生变革。越来越多的企业拥抱远程办公，增强问题处理的实时性。对于商业银行来讲，桌面云是一种安全高效的远程工作环境，能够在保证企业敏感生产数据不泄露的前提下，为员工提供行内的安全接入环境。为保证全天候用户接入的稳定性，桌面云服务平台的高可靠机制就显得尤为重要。本文为大家着重介绍下安全桌面云服务平台上各个管理节点的工作机制和高可靠设计。

G行桌面云通过在数据中心机房部署超融合计算节点，实现分布式计算、存储和网络资源的融合与弹性扩展，为大规模的虚拟桌面和虚拟应用的发布提供性能支撑。并且两个可用区之间通过光纤互联，利用安全桌面云服务平台实现高可用部署，全面提升桌面云的整体服务能力。在备份容灾层面，安全桌面云服务平台除了为每台桌面提供实时副本之外，会通过超融合存储计算节点实现所有数据的备份。以下分别从平台物理结构、逻辑架构、灾备恢复机制和发布组件部署架构介绍高可靠设计。

01安全桌面云服务平台物理架构

从物理角度来看，云平台基础架构由多种角色的节点构成： 1)管理备份节点(KS/VBR)提供安全桌面云服务平台的基础管理功能，包括内部数据库、WEB界面、API接口、租户信息管理、计费管理、BOSS系统、VM镜像库、VM备份服务等。 2)计算节点:为安全桌面云服务平台提供计算+网络+存储资源，可随业务规模横向扩展。 所有节点上联的网络设备均采用双路冗余的方案，每台服务器分别通过两个网卡不同端口双上联至接入交换机并捆绑两网卡为主备模式的bond，从而交换机和服务器网卡出现故障均不影响超融合节点和虚拟资源的运行。

上图为网络交换机接线示意图，接入交换机A和接入交换机B之间配置VRRP，接口设置为trunk，放行桌面云所需vlan。KS，VBR，Hyper节点对应网卡eth0，eth1配置bond1，主备模式，接口出现问题可快速切换；

02安全桌面云服务平台逻辑架构

安全桌面云服务平台的体系架构为多区域多zone的全局统一管理架构，Global提供了全局的API、身份管理和节点集群管理服务，每个租户从而在整个云平台有统一的账户信息。 云平台支持设立多个区域(Region)，每个区域下可以有多个Zone，每个Zone都有独立的管理服务器，支持高达数万物理节点的管理服务。下图为安全桌面云服务平台中管理服务的逻辑架构简图。

其中，GlobalKS服务为云平台内部核心处理服务，每个云平台默认都会部署GlobalKS服务。对于用户侧，GlobalKS服务提供多种接口，如Console、SDKs、CLI；对于平台内部，GlobalKS服务对接ZoneKS服务以管理与调度Zone级别消息，然后ZoneKS服务会把对实际IaaS资源层的处理请求交给Bot(Hyper计算存储节点)服务处理。当然，GlobalKS服务自身也会处理Global级别的请求，例如用户认证、节点集群管理、缓存处理等。以下为KS服务的简单描述。

云平台计算节点服务以物理机进行部署，主要用于运行承载运行的桌面云虚拟机以及多节点间分布式存储数据副本的安全保障。

无论是虚拟机或物理机角色，考虑到所有组件的安全高可靠设计，每个组件均成对分布在不同节点运行，从而保障任意云管理机宕机，云平台亦能正常运行。目前采用的是2*KS+2*KS&VBR+2N*hyper的方案，具体节点角色分布情况如下：

03安全桌面云服务平台灾备恢复机制 在安全桌面云服务平台的平台灾备机制中，当虚拟机所在hyper物理服务器发生故障时，能够自动在其它物理服务器重新启动虚拟机，以尽快恢复业务的运行。 通过采用分布式存储模式，使云存储数据冗余副本保存多份，当存储节点出现故障时，不会出现数据丢失和影响上层业务正常运行的情况。分布式存储针对SSD进行优化，实现数据压缩和可定义的副本机制，可在宿主机上同时支持多种类型的虚拟机或容器，可以最大化利用物理资源。同时，支持跨多台服务器的Pair关系建立，使同宿主机的虚拟机副本分布在不同的服务器上。

上图展示了当某台计算节点宕机的情况下，桌面云服务平台的自恢复机制。如果计算节点01宕机(网卡不通、掉电、或者硬盘损坏而导致存储不可写)，都会在群集内通过副本恢复虚机，并重构实时副本。高可用控制机制由底层P2P机器人完成，整个宕机迁移预计55秒左右完成。 安全桌面云服务平台中子任务均由采用P2P机制的机器人(Bot)完成，这些Bot通过Paxos消息传递一致性算法来选取一个“领袖”(运行在虚拟环境中的一个进程)，领袖根据各机器人上报的状态，来调度任务在某个物理集群上运行，其它Bot均接受领袖的任务分配。当领袖发现自己管理的成员出现故障，就会及时将故障资源应该处理的任务分派给其他正常的资源；如果领袖自身出现故障，根据当时的情况再投票选举出一个新的领袖，并由新的领袖继续领导大家一起协同工作。通过这种机制避免了传统IT架构中的单点故障问题，整体提升了云平台本身的扩展性和高可靠性。

04桌面/应用发布组件部署架构

桌面云核心组件包含： 1)域控制器( Domain controller，DC)简称“域控”。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。为了获得高可用性和容错能力，部署的时候我们采用集群的方式，部署至少两台AD域控制器，一台为主域控，一台为辅助域控，两个域控制器进行自动同步，提供AD冗余功能。 2)桌面交付控制器服务器集群是多台控制器的组合，一同用于为最终用户提供虚拟桌面管理。桌面交付控制器采用集群部署通常为2台，后续如负载压力偏高可平滑增加，交付控制器中内置负载均衡策略提供桌面服务分发。 3)数据库是云桌面环境中最重要的基础架构组件之一，数据库中保存有云桌面环境中长期存在的各种信息，包括发布的云桌面规格、服务器数据、管理员帐户和打印机配置等。根据最佳实践部署方式以及既往经验采用基于Mirroring的3节点群集方式部署SQL。 4)接入层， 部署虚拟化发布门户提供用户登陆虚拟桌面的入口，用户可以通过Web浏览器使用各种终端设备访问其资源。桌面发布门户服务器采用2台集群部署，后续如负载压力偏高可平滑增加，多台虚拟化发布门户在内网通过云内软件多节点负载均衡群集功能提供负载接入。 5)桌面和应用发布代理组件，需要安装在桌面和应用发布server(应用发布服务器部署最少2台集群模式，后续随访问量增加可横向扩展)，用来与桌面控制器通信，通信成功后就受到控制器管理，供用户所连接使用。 综上所述，考量到桌面云为行内大量人员提供服务， 所提供的平台由上至下的所有组件均无任何单点故障。 其中包括： 1)硬件交换机上联需采用两台提供故障冗余保障 2)云平台服务器双电源、双网卡连接，保障自身硬件高可用 3)云平台自身所有服务组件均是多活多节点部署，保障管理可靠性 4)平台自身为虚拟机提供高可用、多副本、备份等机制确保桌面可在出现任何问题下尽快恢复 5)所有桌面角色都以虚拟服务器的形式运行在物理主机资源池中。各服务器角色以应用集群的方式部署，同时由两台或者两台以上服务器同时承载请求，单台服务器发生故障时相应请求会自动转移到可用服务器。05总结 由于桌面云服务平台的可靠性至关重要，因此 整个架构从底层物理节点到资源发布的关键组件在各个方面都做了HA设计，全面保障计算、网络和存储的可用性 。并且通过桌面云服务平台的P2P机器人机制，既提升了任务的执行效率，又增强了任务执行的可靠性，为整个平台的稳定运行保驾护航。正是由于这种全方位的可靠性架构设计，目前桌面云在算力足够的情况下，可以实现快速、灵活资源发布，进一步保障各个桌面内数据的安全可靠性，为行内数据保护工作做出贡献。END 推荐阅读 专家说(一):系统安全漏洞修复认识与思考   专家说(二):锂电池在数据中心中的应用分析   专家说(三):探索RocketMQ主备同步机制