設為首頁 | 加入收藏
網站首頁 新聞資訊 產品中心 業務領域 解決方案 成功案例 支持與服務 招賢納士 關于晟啟
公司資訊 行業動態
民生銀行:桌面云自動化交付實踐
2019-04-16 15:06:51
 


1、前言

本文從民生桌面云面臨的問題和挑戰出發,詳細闡述了桌面自動化交付能力的建設實踐,通過結合流程系統的優化,實現資源交付時間由數日縮短至數分鐘的過程。并進一步探究了如何實現對云桌面的系統化管理,與行內各外沿系統的對接和信息聯動,達到綜合提升管理效能,降低管理成本的目的。

此外,本文還將分享我們在自動化實踐部分的相關示例代碼以及遇到并解決的各類問題,包括如何提升自動化實施的性能、支持桌面網絡VLAN的動態切換、支持桌面規格的自適應調整等。


2、背景

桌面云在民生銀行有著廣泛的應用,民生銀行的桌面云提供兩種模式服務,基于PaaS模式、具備完整操作系統的個人桌面環境和基于SaaS模式、按需供給應用程序的應用交付環境。個人桌面環境分為開發桌面云和生產桌面云,前者為全行提供便捷、安全的開發桌面環境(即虛擬桌面),滿足科技人員應用開發、測試、培訓等需求;后者為日常業務處理、數據挖掘提供安全可控的用戶操作環境。應用交付環境分為測試應用交付環境和生產應用交付環境,由于大部分測試、培訓、業務處理場景只需使用少量應用程序,且不要求完整的操作系統權限,使用應用交付模式可大幅降低桌面云的資源開銷,適用于輕量級使用場景。

民生銀行桌面云起步早,其個人桌面環境部分已經較為成熟,并在長期維護、優化過程中積累了一定經驗,本文將就桌面云的自動化交付實踐進行介紹,主要關注點在個人桌面環境部分。本文將從以下幾個維度展開:


3、桌面云的技術架構

民生桌面云的技術架構將從功能組件、部署架構、以及桌面供給方式幾個部分給予介紹。

3.1 功能組件

民生銀行目前選用思杰XenApp and XenDesktop作為桌面云產品,使用XenApp and XenDesktop 7.15 LSTR版本作為桌面虛擬化軟件,桌面云底層虛擬化為XenServer和集中式存儲,個人桌面環境的功能組件包括如下幾個部分:

1. Citrix XenDesktop管理組件集合: 包括DDC(Desktop Delivery Controller)、VDA、StoreFront、許可證服務器、數據庫服務器、Citrix Studio、Citrix Director等。具體各組件功能介紹可參考思杰XenApp and XenDesktop產品文檔。

各管理組件如圖一所示,其中最為關鍵的是Delivery Controller和StoreFront組件,前者是桌面中心管理組件,負責管理用戶訪問、代理連接以及提供創建桌面的 Machine Creation Services服務。后者可被認為是一個Web站點,提供可對桌面用戶進行身份驗證,并可管理用戶訪問的桌面和應用程序的存儲。NetScaler為可選組件,在需要進行安全強化的環境使用,例如在生產環境實現更為嚴格的安全控制。

圖1:思杰XenDesktop主要組件(引用自思杰官網產品文檔)

2. 桌面認證組件:Windows Active Directory服務器,桌面用戶從AD服務器進行認證。

3. 鏡像激活服務器:KMS服務器,提供對Windows桌面操作系統激活服務。

4. 操作系統補丁服務器:WSUS(Windows Server Update Services)服務器。Windows 桌面通過WSUS服務器來得到補丁更新。

5. 防病毒控制服務器:提供對病毒庫管理及掃描策略的管理等。

6. 文件服務器:存放用戶常用的軟件介質。

3.2 部署架構

桌面功能組件的部署架構如圖2所示,其中重要管理組件均為高可用部署。其中StoreFront(1-3)同時配置綁定至Windows負載均衡VIP,DDC(1-3)同時均衡負載全部桌面連接會話,AD(1-2) 采用Windows AD高可用配置,SQL Server(1-3)采用Microsoft SQLServer高可用配置等。

 

圖2:桌面管理組件部署結構

3.3 物理及網絡架構

桌面云的物理集群及網絡架構如下圖所示:

 

圖3:桌面資源池物理及網絡架構

3.4 桌面供給方式

思杰Xendesktop桌面支持隨機非永久性桌面、靜態非永久性桌面以及靜態永久性桌面三種桌面。所謂非永久性桌面,是指桌面計算機重新啟動,對桌面所做的更改將全部丟失。所謂靜態桌面,是指用戶首次登錄使用其中一個桌面時,用戶的后續登錄會連接到首次使用時分配的相同桌面。而隨機桌面,是指每次用戶登錄連接時均隨機從桌面池中動態選擇桌面。

因為開發桌面主要是給科技人員使用,需要有較強的個性化軟件安裝需求,且分配后即為專屬,故使用的桌面類型為靜態永久性桌面桌面(具有個人虛擬磁盤的VDI)。專屬桌面可以認為是一臺專有分配給指定用戶的虛擬機。故在使用XenDesktop+XenServer底層時,使用MCS方式來置備桌面。在XenDesktop 7.15中,已經支持兩種的MCS磁盤置備方式,鏈式克隆(LinkedClone)以及全量克隆(FullClone),為滿足專有桌面最大的故障獨立性,目前我們采用的是全量克隆的方式置備的桌面虛擬機。


4、面臨的問題與挑戰

通過云技術管理中心、安全規劃中心、生產調度中心、項目管理中心等多方的深入溝通討論,以及對桌面運維人員日常工作痛點剖析,將開發桌面環境面臨的問題總結為如下幾個部分:

1. 桌面全周期管理均為運維人員通管理控制臺手工操作(桌面的創建、回收、變更等),運維工作重復性高,效率不高。舉例來說,一個完整的人工創建桌面的過程如圖4所示,需要完成十個步驟,操作時間較長,多步驟、重復性操作也容易出現失誤。

 

圖4:人工創建桌面過程詳解

2. 開發桌面需求量大,開發項目具有周期性、階段性、突發性等特點,使用、回收較為頻繁。開發桌面新建及變更的需求較多,因資源交付的周期較長,對開發項目的進度造成影響;尤其當某些業務系統需要大批量桌面做系統上線測試時,交付周期緊,維護人員任務繁重。

3. 現有開發桌面的申請工單未能覆蓋全生命周期管理的各種不同需求(只有桌面創建申請),故其他服務類請求均通過郵件、電話驅動,無法進行有效管理;且工單流程設計略為復雜,審批、實施環節串行且步驟較多。

4. 桌面資源的生命周期管理主要通過人工跟蹤、沒有系統工具支持,桌面賬號采用獨立的命名方式,未與身份管理系統對接。例如人員離場后,其身份狀態未能及時修訂,無法觸發桌面回收操作,導致項目組其他人員可使用離場人員的桌面等情況。

5. 缺乏檢測閑置桌面的有效方法,導致資源占用率高、使用率低。

6. 桌面云與傳統個人設備的使用方式存在差異,需要為新用戶提供支持服務,原有支持模式以電話溝通為主,維護人員的支持任務繁重,需豐富支持方式,尤其是提高用戶的自服務能力。

針對上述問題的解決方案包括:


5、實施方案及路徑

桌面自動化的實施路徑如圖5所示,分為如下五個步驟:

 

圖5: 自動化交付實施路徑

5.1 自動化腳本實現資源交付

桌面資源的自動化交付實現,既需要從桌面軟件產品的SDK入手,掌握其用法,亦需要跳出這個范圍,從虛擬化軟件及周邊系統管理組件出發,調用相關的接口配合實現統一處理過程的自動化。

1. 首先要深入了解Citrix XenDesktop的SDK,實現對Citrix重要組件的功能對接操作。其中Citrix桌面自動化實現主要用到的后臺服務為如下四個部分,每個部分都有相應Windows PowerShell 模塊,全部的Citrix PowerShell SDK 可以參閱思杰開發中心。。需要注意的是,運行Citrix PowerShell的機器可以不是Citrix Delivery Controller, 但運行的帳戶需要是Citrix域管理員帳戶。

圖6介紹了桌面自動化腳本創建的詳細過程,其中包括了AD用戶的檢查與創建、計算機目錄配置的獲取、AD計算機的創建、以及調用MCS服務創建虛擬機以及分配桌面至用戶的全過程。

 

圖6:桌面自動化創建過程詳解

部分示例代碼如下:

 

2. 掌握XenServer API相關接口。因通過XenDesktop SDK只能支持標準模板的方式做鏡像的克隆以及虛擬機的創建。無法實現對自定義桌面虛擬機規格的創建。需要通過在Citrix管理控制臺創建虛擬機后,再通過調用XenServer的API,以實現對標準虛擬機規格的自調整。相關的部分示例代碼如下:

 

3. 掌握Windows 相關模塊的SDK, 例如若對用戶的帳號及密碼做管理,就需要和AD的SDK做對接,相關的示例代碼如下:

 

5.2 實現資源的統一納管

為實現云桌面桌面的統一納管,需要完成兩個步驟:

1. 在管理平面(云管平臺)中建立Citrix數據模型。數據模型包括如下幾類:

2. 通過調用Citrix SDK實現對桌面及其用戶數據的發現并更新同步至云管平臺。這里面涉及到兩種類型的數據更新:

5.3 桌面標準化定義及流程優化

1. 桌面標準化,是指桌面的規格標準化,CPU是幾核,內存是幾G,磁盤是多少G等。從歷史的桌面供給情況來看,由于桌面的規格沒有標準化,用戶在工單中,以文字描述的方式,說明桌面的配置要求,由人工識別再行實施。在人工實施過程中,除了在桌面管理控制臺(Citrix Studio)創建桌面,還需要操作Windows AD做帳號的創建,以及登錄XenCenter控制臺做虛擬機規格的更新,并進入桌面操作系統內完成對文件系統的擴容。規格標準化,是指的是在行內統一流程系統中定義桌面的標準化規格,其是桌面自動化實施的前提,在開發環境,我們定義了標準開發、標準測試以及自定義類型桌面(支持表單選擇自定義規格)。便于工單系統后續與桌面管理平臺做集成。

2. 流程優化,是指在行內流程管理系統中,針對桌面的部分需求,對用戶開放自服務的能力,例如對桌面的帳戶密碼重設,用戶通過工單即可實現自服務,無須審批,密碼重設自動化實施完畢后,即發送至用戶郵箱。對于新用戶的標準化桌面的新建需求,可以配置為無需審批,直接自動化實施并通知。對于已有多個桌面的用戶的新桌面申請,或是項目組大批量的桌面申請,需要經過審批組審批后,再行自動化實施。通過流程的優化,既減少了審批者的工作量,也提升了用戶的體驗。

3. 多維通知的定義,是指在桌面的交付過程中,不同的參與方將收到不同的維度的信息通知。例如審批組成員從郵件通知中可以快速得知新工單是否是自動化工單,項目經理代項目成員申請桌面時,經理可以知道桌面的實施狀態,以及桌面創建完成后每個桌面的密碼等,項目成員也將收到桌面的密碼通知。當工單自動化實施故障時,或外沿系統對接異常時,桌面運維組以及外沿系統負責人也將收到通知。當實施故障被后臺修復后,用戶也將同時收到更新后的桌面信息通知。

5.4 系統對接實現及流程自動化實施

此部分的實施需要考慮如下幾個部分:

  1. 接口的規范化定義:桌面管理系統(即云管平臺)與流程系統間需事先定義好明確的接口規范以作并行開發。

  2. 異常處理:在云管平臺處理遇到故障時,即便首次工單自動化實施失敗,云管平臺還可以針對故障的工單實施手動修復并更新最新的成功狀態給工單系統。

  3. 狀態前置:云管平臺需要提供相關的數據接口,返回給工單系統,供其在工單審批(自動化實施前)做參考。例如當前用戶擁有的桌面的數目。

5.5 外沿系統的多渠道接入

將桌面云與行內各系統作信息聯動,主要包括:

  1. 與行內的項目管理系統(PPM)聯動:通過與項目管理中心討論,將人員的入場、離場自動對接至工單系統,生成自動化的桌面創建及回收工單。

  2. 與運維機器人系統聯動:通過與運行管理中心討論,將運維機器人系統對接桌面工單,以實現便捷的桌面創建。后續考慮將運維的操作規范化定義并作系統對接。

5.6 遇到的問題

在自動化的實踐過程中,我們遇到并解決了一些實際問題,例如:

1. 如何實現批量桌面部署時性能的優化

當針對同一資源池,有數十個并發的桌面創建請求時,我們發現單個桌面的創建所需要的時間是呈線性增加的。我們分析其瓶頸為新桌面部署過程中的原始鏡像同時拷貝至某一個存儲LUN所致。我們采用了兩種方法解決:

2. 保障失敗場景下自動化功能的持續可用性

3. 支持桌面VLAN的動態切換

云桌面在一個資源池中是一個固定的模板,模板中已經綁定了特定的網絡,因底層部分物理服務器可承載的桌面數量較高,一些桌面資源池,可承載400-500個桌面,從網絡層面來看,要求分配多于一個VLAN的邏輯網絡,故需要在原模板的VLAN的IP地址段分配耗盡時,主動檢測并動態切換桌面部署過程中的網卡配置。部分示例代碼如下:

6、實踐的效益及成果

  1. 民生銀行云技術管理中心在與安全規劃中心、生產調度中心、項目管理中心、運行管理中心的一致努力下,歷時不到半年在2018年實現了將云桌面的資源池類需求全部自動化,包括桌面的創建、回收、規格變更、密碼重設、歸屬變更等,通過讓用戶以自服務的方式實現其桌面需求,將單個桌面的實施周期降為分鐘級,提升了資源交付效率,大幅減少了人工工作量。從2018.04月底至2018.12月,累計已自動化實施云桌面工單總數1860個。交付桌面總數2376個,平均交付時間為5至7分鐘(重設密碼工單為1分鐘)。單個桌面申請工單實施效果如圖7所示。

  2. 民生桌面云實現了與PPM系統、統一身份認證系統、工單系統、運維機器人平臺的集成和信息聯動。在人員入場時,PPM自動生成身份信息、ITOMS工單,工單系統驅動云管平臺完成桌面自動化發布。在人員離場時,PPM更新身份狀態、觸發ITOMS桌面回收工單,驅動云管平臺回收桌面資源。通過運維微機器人交互的方式也實現了與工單的快速對接及桌面實施。

  3. 民生桌面云通過云管平臺統一納管了所有的開發云桌面,總數超過3000個。實現了桌面的系統化、自動化管理。

 

圖7:新建桌面工單示例


7、未來展望

實現桌面環境的自動化交付只是桌面云建設的一個縮影,后續我們還將在桌面云的自動化運維、桌面資源的分析優化等方面作進一步的探索和研究。同時現階段,民生銀行的桌面云是以個人桌面環境模式為主,應用交付環境尚處于試用階段,而個人桌面對資源的占用遠超過應用交付模式,為進一步提高資源投入產出效能,我們將加快應用交付模式的研究、完善應用場景和部署推廣。桌面云將在業務移動化、終端與業務系統解耦合等方面提供助力,提高業務部署、推廣的效率;同時在統一訪問入口、簡化訪問策略、實現高效精確的權限管理等方面具有很大潛力,是一種提升企業信息安全防控水平的有效措施。

 

本文轉載自云技術微信公眾號

公司名稱:海南晟啟電腦網絡有限公司
聯系電話:0898-68548041 傳真0898-68548042
QQ號碼:307752331
電子郵箱:[email protected]
公司地址:海口市國貿北路26號金茂大廈18E1室

關于官方微信

在線客服 業務簡介 聯系我們
海南晟啟電腦網絡有限公司 @ 2018-2030 版權所有 技術熱線:13337622668 瓊ICP備18001661號 全程開發設計:海南中立科技:企業郵箱登陸:
内蒙古十一选五开奖号码