為云桌面是一種基于云計算（包括邊緣計算）的桌面服務。與傳統PC和VDI不同，企業無需投入大量的資金和花費數天的部署時間，即可快速構建桌面辦公環境。云桌面支持多種登錄方式，可讓您靈活存取文件及使用應用，實現移動辦公。

基本原理

終端用戶通過終端設備登錄由管理員在云平臺的管理控制臺中購買的桌面，實現辦公需求。并且可以通過云專線/VPN的方式使用存儲于企業網絡中的網絡應用。云桌面的基本原理，如圖1所示。

產品優勢

1.體驗極致

自研HDP高清傳輸協議，真彩無損顯示，高清流暢體驗，桌面操控延時無感知。

2.彈性高效

動態算力按需擴縮，隨需購買使用；資源集中管理，桌面部署快速。

3.安全可靠

端到端安全防護，數據不落地。安全策略強管控，芯片級安全加密存儲。

4.生態開放

開放KIT套件，支持二次開發，免底層技術自研、零起點辦公生態上云。

產品亮點

1.云應用

云應用是一種基于華為云托管的應用程序流式傳輸服務。您可將桌面應用程序運行云端，并通過流的方式安全傳輸到遠程設備，用戶可通過多種設備從任意位置訪問該應用，實現跨設備、隨需、安全且低成本的桌面應用程序訪問。

優勢：

• 應用免安裝，便攜訪問
• 數據全云端保存，加密傳輸，安全可靠

2.華為云工作站

云工作站提供具備圖形處理器（GPU）的云端計算配置，支持2G/4G/8G/16G等多種顯存規格，適用于圖形設計、圖形渲染、3D制作等高性能要求場景；通過HDP協議高清傳輸，支持企業用戶隨時隨地接入、查看、編輯圖形資產。

優勢：

• 高性能，即買即用
• 數據安全，云網端全方面數據保護
• 優質體驗，流暢超高清

作為基于華為云云原生架構設計和構建，生于云、長于云的云桌面服務，華為云桌面能夠便捷的調用云上的各種服務，實現配置動態變更、資源水平擴展、在線持續演進等能力，助力政企打造便捷、安全、低維護成本、高服務效率的云上辦公系統。

01 部署資源快速靈活

企業使用傳統電腦辦公，一次性購買成本高，軟硬件更新換代快，配置升級/變更繁瑣，一般2-3年就會面臨淘汰風險。

華為云桌面是華為云上的SaaS化辦公桌面服務，即買即用，可根據需求靈活申請和調整桌面的CPU、內存、磁盤等規格，分鐘級部署。

02 運維管理簡單高效

用戶的資源、權限、運維統一管理，從線下分散運維變為云端統一運維，問題響應速度和效率提升，大大降低運維工作量。通過標準化模板支持用戶操作系統、業務應用的統一化、標準化，實現IT辦公平臺的歸一化管理。

03 移動協同自由辦公

不受限于辦公地點和設備，員工可隨時隨地一鍵直達辦公空間。應用響應不依賴于終端的處理能力，而是直接利用云端桌面服務器的優越性能，大幅提升應用處理速度和用戶體驗。

通過華為云覆蓋全球的網絡，在丟包<5%的不穩定情況下，仍可保證流暢辦公體驗。

04 極致高清流暢體驗

電商、游戲、工業仿真、服裝設計等行業對辦公終端的顯色真實度有很高的要求。通過華為HDP高清傳輸協議（HUAWEI Delivery Protocol)，華為云桌面能夠為用戶帶來高清視覺享受下的流暢辦公體驗，保障YUV444真彩無損顯示、專業10bit色深柔滑細膩、4K/60幀高動態場景流暢。

05 全方位防護數據安全

病毒攻擊、信息泄露、非法訪問、數據監聽等辦公安全問題幾乎是所有企業的困擾，尤其在遠程辦公已成為剛需。華為云桌面具備接入終端、傳輸管道、云平臺三大環節安全機制，10項關鍵措施，實現數據不落地、行為可追溯、過程可審計，規避企業辦公中的各類數據安全風險。

同時，通過多重強管控的安全策略，如顯式/隱式桌面水印、外設管控、文件傳輸管控等，大幅減少信息泄露和安全隱患。

云桌面應用場景

1.遠程移動辦公
適用于分支機構、分布式辦公、出差辦公、居家辦公等移動辦公場景。數據安全不落地，用戶可隨時隨地，使用PC、Pad、手機等終端接入個人桌面，實現無縫移動辦公，大大提高辦公效率。

2.協同辦公
適用于項目團隊合作、內容共創、資料實時共享等協同辦公場景。用戶可快速進行數據分享，提高辦公效率。

3.安全辦公

適用于研發中心、軟件開發外包管理、供應商上下游安全辦公、IT運維等安全辦公場景。接入終端、傳輸管道、云平臺三大環節安全機制，保障用戶數據安全。

4.公用終端

適用于公司外包、暑期實習等臨時短期使用場景，圖書館、云教室、呼叫中心等公用終端場景。云桌面即開即用，支持按需購買，彈性擴容，資源隨需使用，不用時可快速退訂。

5.圖形制作渲染

適用于專業圖形設計（如CAD/CAE/CAM等）、視頻編輯、圖形渲染等場景，廣泛應用于工業設計、建筑設計、游戲設計、影視制作等行業。

文分享自華為云社區《Kmesh v0.1.0 版本發布！打造極致性能的流量治理體驗-云社區-華為云》，作者：云容器大未來。

Kmesh是業內首個內核級云原生流量治理引擎，通過基礎軟件創新幫助用戶構筑云原生場景下高性能的通信基礎設施。Kmesh第一個版本v0.1.0 [1]現已正式發布，用戶可以在服務網格環境中使用yaml一鍵部署，無縫對接Istiod，通過流量治理下沉OS，實現相比 Istio Sidecar 方案轉發時延降低50%+，為應用提供極致的轉發性能體驗。

Kmesh 介紹

Kmesh 基于 eBPF + 可編程內核技術，將流量治理下沉 OS，數據路徑上無需經過代理層，實現了一個內核級 sidecarless 網格數據面。

Kmesh 關鍵能力：

• 高性能：內核中原生支持 L4~L7 流量治理功能，治理過程無需經過實體代理組件，網格內服務通信路徑從代理架構下的三跳變為一跳，大幅提升網格數據面的轉發性能；
• 低開銷：Pod 中無需部署 Sidecar 程序，大幅降低網格基礎設施的資源開銷；
• 安全隔離：基于 eBPF 的運行時安全，并支持 cgroup 級治理隔離；
• 平滑兼容：支持與 Istiod 等支持 XDS 協議的服務網格管控面對接，同時可以與現有 Sidecar 網格協同工作；

Kmesh 的主要部件包括：

• kmesh-controller：負責生命周期管理、XDS 協議對接、觀測運維等功能；
• kmesh-api：接口層，主要包括XDS 轉換后的編排 API、觀測運維通道等；
• kmesh-runtime：kernel 中實現的支持 L4~L7 流量編排的運行時；其中7層編排運行時能力依賴對內核的增強；
• kmesh-orchestration：基于 eBPF 實現 L4~L7 流量編排，如路由、灰度、負載均衡等；
• kmesh-probe：觀測運維探針，提供端到端觀測能力；

Kmesh v0.1.0關鍵特性

• 一鍵部署Kmesh

社區發布了 Kmesh 的部署鏡像[2]，并支持通過 yaml 一鍵部署 Kmesh[3]；

• 基于namespace使能Kmesh

類似Istio，Kmesh支持按namespace使能流量接管范圍，如：kubectl label namespace default label istio.io/dataplane-mode=Kmesh

• 無縫連通Istio Sidecar

支持在已有sidecar形態的網格環境啟用Kmesh，啟用后namespace 下新創建的 Pod 流量會自動被 Kmesh 接管，而不再經過 sidecar 代理；

• 自動對接服務網格控制面

Kmesh支持與Istiod自動對接，且理論上遵循XDS協議的網格控制面都可以與Kmesh對接，可通過修改yaml中的 MESH_CONTROLLER 環境量指定；

• TCP/HTTP1.1基礎流量治理

支持TCP流量轉發，支持HTTP1.1頭域匹配、路由、灰度等，支持隨機、輪詢負載均衡算法；

• 兼容運行模式

支持根據運行環境的OS內核能力，自適應使能Kmesh特性，在無增強補丁的內核版本上，也能夠以兼容模式運行Kmesh；詳情參考Release Notes[1]。

性能測試

我們使用 fortio 測試了 Istio（Envoy）、Kmesh 在同等流量治理場景下的表現，同時測試了 K8s 下基于 kubeProxy 的服務通信時延作為基線參考；

不同鏈接數下的時延對比：

相同QPS下的CPU開銷對比：

從測試結果可以看到：

• Kmesh 的轉發時延基本接近K8s原生轉發時延，相比 Istio sidecar 模式的轉發時延有明顯降低；
• 相同 qps 下，Kmesh 的 CPU 開銷基本與 k8s 原生 CPU 開銷一致，相比 Istio sidecar 模式有明顯降低；

想要了解詳細的 demo 測試細節，可以觀看我們的演示視頻：

https://v.youku.com/v_show/id_XNjMyMjI1MDEzNg==.html?playMode=pugv&spm=a2hje.13141534.card_3.d_1_0&scm=20140719.manual.239312.video_XNjMyMjI1MDEzNg==

Kmesh關鍵技術剖析

內核級流量編排運行時

微服務通信一般先建立鏈接，再發送業務報文，如果想要無感的對業務報文做編排處理，通常需要對流量進行劫持，編排完成后再基于調整后的報文繼續轉發，這也是現在 Proxy 代理的實現；Kmesh 考慮隨流完成治理工作，將鏈路建立時機推遲到業務報文發送階段，以實現更高的編排處理性能。

• 偽建鏈

pre_connect 流程掛載 bpf prog，若當前訪問的目標地址在 xds 的 listener 范圍，則調用 bpf_setsockopt 通過 TCP_ULP 將當前 socket 的 tcp proto hook重載到 kmesh_defer 的內核模塊實現；

• 延遲建鏈

kmesh_defer 內核模塊重寫了 connect/send hook（在原生 hook 上做了增強）：

• 服務第一次走到 connect hook 時，會設置 bpf_defer_connect 標記，并不真正觸發握手流程；
• send hook 中，若 sock 上設置了 bpf_defer_connect 標記，則觸發connect，此時，會基于擴展的BPF_SOCK_OPS_TCP_DEFER_CONNECT_CB 調用 bpf prog，并在 bpf prog 中完成流量治理，然后基于調整后的通信五元組、報文進行建鏈和發送；

整個治理過程大致如下圖所示：

XDS規則管理

xds 模型是一顆層次化的樹型規則表達，且不同版本模型定義可能會有調整，Kmesh 需要將模型信息轉換成 eBPF map 存儲，同時保持模型規則之間的層次關系；

• 將 xds 模型轉換成 eBPF map 數據

具體過程：

1. Kmesh 訂閱 Istiod 的 xds 模型，并基于 protobuf-c 將 pb 模型轉換成 c 數據結構風格；
2. 對于頂層模型（ listener 等），Kmesh 定義了知名 map 表與之對應，且value 的數據結構復用 protobuf-c 導出的 c struct；
3. map 更新從頂層的知名 map 表開始，對于記錄中的指針成員，xds-adapter 中會創建 inner-map 表來存儲指針指向的真實數據區域，并將 inner-map的map fd添加進 map-in-map表中，最后將其在map-in-map表的key（index）作為該指針成員的 value；

• map-in-map 解決 xds 模型層次化

對于 map 記錄的 value 成員，如果是指針變量（涉及引用其他數據結構），通過 inner-map 存儲指向的數據區域：

• 如果 vaule 成員是基礎數據類型（int 等），則直接訪問；
• 如果 value 成員是指針類型，則指針存儲的 value 是存放真實數據的 inner-map 在 map-in-map 表中的 index（注意：index 是在 kmesh-daemon 的xds-adapter 模塊中更新 bpf map 時配合寫入）；訪問時，先基于 index 找到 inner-map的map fd，再去 inner-map 表中查找真正數據，對于多級指針成員，則重復該過程，直到指針信息全部被剝離。

流量治理編排實現

xds 的治理規則復雜，層層匹配，超過了單個 eBPF 程序的復雜度限制；Kmesh 基于 eBPF Tail Calls 特性，將治理過程拆分成多個獨立的 eBPF progs，具備較好的擴展性；

展望

Kmesh 是一種基于eBPF+可編程內核實現的高性能流量治理引擎，與業界方案相比，具有更高的轉發性能和更低的資源開銷；在無增強補丁的內核版本上，可以以兼容模式運行Kmesh，如果想要使用Kmesh完整的治理能力，當前 openEuler 23.03[4]版本已經原生支持，除此之外的其他操作系統需要基于增強的 patch 構建[5]。

Kmesh 正在逐步完善，成為一個更受歡迎的流量治理引擎還有很多工作要做，歡迎大家試用 Kmesh v0.1.0 版本，并持續關注 Kmesh 社區，也期待您的共同參與。

參考鏈接

[1] Kmesh v0.1.0：https://github.com/kmesh-net/kmesh/releases

[2] Kmesh的部署鏡像：https://github.com/orgs/kmesh-net/packages

[3] 一鍵部署Kmesh：https://github.com/kmesh-net/kmesh?tab=readme-ov-file#quick-start

[4] openEuler 23.03版本：https://repo.openeuler.org/openEuler-23.03/

[5] 基于增強的patch構建：https://github.com/kmesh-net/kmesh/blob/main/docs/kmesh_kernel_compile.md

[6] Kmesh社區地址：https://github.com/kmesh-net/kmesh

關注#華為云開發者聯盟# 點擊下方，第一時間了解華為云新鮮技術~

華為云博客_大數據博客_AI博客_云計算博客_開發者中心-華為云

語

盤古5.0系統的正式發布，不僅讓全球云計算領域感到震驚，同時也為華為計算產業的革新賦能。

華為在面對國際禁令，同時還被限制了芯片供貨的情況下，依舊展現出不俗的創新能力，而其背后的動力，正是盤古5.0系統。

然而在外界人們的期待下，華為作為掌控自主研發處理器的科技巨頭之一，擺在眼前的卻是一條緩慢發展的道路。

那么，若華為真有能力進行自研PC處理器，那為何偏偏選擇了減緩其終端設備的發布，甚至選擇不進行PC版的發布?

華為盤古5.0系統。

華為的這款“盤古5.0”系統，可以說是AI和云計算結合所帶來的強大能力。

而在我們日常工作中，辦公體驗問題也是非常重要的，因為無論是企業辦公，還是個人辦公，都需要一定的辦公體驗的基礎上進行，因此，辦公體驗的好壞，也直接影響著工作效率。

因此，不少人們為了擁有更好的辦公體驗，會對辦公設備進行頻繁更新，只為能夠在辦公體驗上提升。

最近，華為的各大產品上都發布了“云+端”系統，首先要知道，所謂的“云+端”系統，指的是當我們將設備切換到“云辦公”模式下后，文件會被存儲到云空間，并通過云計算進行處理，最終再由云端后臺反饋到本地端。

這種模式的出現，意味著終端設備不再需要過于強大的性能支持。

同時，華為新推出的“MatePad Pro 12.6”和“MateBook X Pro”電腦也搭載了該系統，為人們的辦公體驗帶來了巨大的改善。

但是華為卻沒有推出“云+端”系統的PC版，這也不僅讓人們感到疑惑，不少人們猜測，華為是否會繼續推出PC版?

云+端系統的前景。

如果說華為不管是因技術限制造成其無法發布PC端“云+端”系統，也或許是因為發布PC版“云+端”系統并沒有什么好處。

那么，華為這樣做究竟有著怎樣的考量?

首先，PC版“云+端”系統在華為平板上已經上線，并且有著一定的用戶基礎。

盡管在電腦上也有不少人使用該系統，并且給出了較高的評價，但是畢竟它在平板上已經應用了，只是在電腦上應用也就會顯得略顯無趣。

其次，PC端“云+端”系統的日常使用場景并不多，尤其在企業辦公中，日常使用場景較多的還是利用硬件使用的系統，因此，在日常使用中，PC版“云+端”系統的使用場景不多。

然而在移動辦公中，也就是我們在前往會議室等地過程中，使用筆記本等設備進行辦公，這時使用PC版“云+端”系統的場景比較多。

正是考慮到，MateBook以及MatePad等設備使用該系統后有著較好的使用體驗，因此華為才決定不做PC版“云+端”系統。

第三，PC端“云+端”系統在提升性能方面的作用并不大，尤其是在辦公場景中，當我們使用電腦進行辦公時，使用的應用程序往往是基于云的，因此這些應用程序的性能往往不會對電腦性能有過高的要求。

最后，PC端“云+端”系統在功能受限的情況下，不如直接使用云計算服務，這樣既可以保證功能足夠，又可以保證性能充足，因此PC端“云+端”系統的推出意義不大。

華為可能會對PC進行重新布局。

有鑒于華為會將“云+端”系統進行完善，并不斷推出基于該系統的產品，這也就意味著華為在該系統上擁有著完善的產品線。

因此，華為的PC端可能會擁有更新的、更為便捷的功能，這也為我們對未來的“云+端”PC系統提供了信心。

未來華為的PC版有可能會有著怎樣的變化呢?

或許它將是一個智能的、便捷的云計算系統，或者是一個有著新技術集成的操作系統，不管是什么樣的變化，都值得我們期待。

然而，要想實現這樣的發展，光靠口號可是遠遠不夠的。

國產系統需要依靠技術創新，才能真正實現自身的進步，并在市場中立足。

因此，國產系統需要進行技術創新，才能在這個競爭激烈的時代立于不敗之地。

華為在這方面已經做得很好了，但他們仍然需要繼續努力，不斷創新。

技術的不斷發展和進步，是人類社會發展的重要推動力。

結語

華為的盤古5.0系統在全球云計算領域中脫穎而出，無疑是優秀的體現。

雖然出PC版的希望渺茫，但是華為仍然在不斷提升和完善“云+端”系統。

未來的PC版或將集成顛覆性的技術，讓我們拭目以待。

國產系統需要在技術上不斷創新，才能在競爭中尋求到立足之地。