首先从FA的整个架构看起
WI,vAG/vLB,ITA,HDC,TCM,License服务器,GuessDB,HDA,Backup Server
那么一个一个来看一下
组件介绍:
WI (web接口):用户可以在WI连接、启动、重启虚拟机。
vAG(虚拟接口网关):作用与网关相同,vAG主要作为桌面接入网关和自助维护网关
vLB(虚拟负载均衡器):在用户访问WI时,进行负载均衡,避免单个WI承受不住。(通常会将多台WI的IP地址绑定在一个域名下。)
ITA(IT适配器):为用户管理虚拟机提供了接口,通过与HDC和FC之间的交互来实现对虚拟机的管理等操作。
HDC(华为桌面控制器):核心组件,实现维护用户和虚拟桌面的对应关系;在用户接入时,与WI进行交互;与虚拟机中的HDA交互,收集虚拟机信息。
TCM(瘦终端管理服务器):管理员通过TCM对TC进行日常管理,包括版本升级、状态管理、信息监控、日志管理等。
License服务器:license类型-用户数、并发用户数(当License已使用数达到总数的1.1倍时,新的用户将无法登录桌面)
GaussDB:为 ITA、HDC提供数据库,用于存储数据信息
Backup Server备份服务器:备份各个组件的关键文件和数据
HDA,安装在每一个用户的虚拟桌面当中,提供终端与虚拟桌面之间的连接功能。
由于终端需要通过HDP协议连接到虚拟机上,所以必须要在虚拟机上安装HDA
先部署Linux基础架构虚拟机
-在Linux基础架构虚拟机当中安装ITA/GaussDB/HDC/WI/License
-Linux虚拟机,需要两张网卡,一张加入管理平面,一张加入业务平面
-安装完毕后,挂载Tools,安装vAG,ip地址选择业务平面。
-然后安装vLB,输入WI服务器的业务平面IP,有太台则输入多个。(vLB不能和WI部署在同一台虚拟机上)
用来存储用户账户、组、共享文件夹等对象。AD的最小管理单元为对象,对象包含域控、计算机、用户、组织单元OU、系统默认账户组群(子域多域的概念自行了解一下。)
域控
AD域服务的目录数据存储在域控制器内。
我们可以配置域策略,这是一种单到多的管理模式,可以对计算机配置,也可以对用户配置。
组策略可以通过组策略对象(GPO)来设置,AD域当中有两个默认的GPO(如上),
Default Domain Policy(此GPO默认已经被链接到域,因此其设置值会被应用到整个域内所有用户与计算机)
Default Domain Controller Policy(此GPO默认已经被链接到组织单位Domain Controllers,因此其设置值会被应用到组织单位Domain Controllers内的所有用户与计算机)
总结:管理员使用组策略配置,域当中的计算机使用这些配置。
用户域账号:
在域控上创建域账号,这是用户访问域的唯一凭证,作为一个对象保存在域的AD数据库当中,用户登录到域中需要使用该账号,并且要通过域控验证。(后面具体讲登录桌面云的流程时会涉及到)
对域账号可以做的操作:添加到组,禁用账号,重设密码,移动,删除,重命名(右键一看全都有。)
用户组
概念:可以看作是用户账号在逻辑上的集合,通过将用户账号分组管理,可以方便管理域内资源的访问权限。
(一个用户可以是许多组的成员;组可以被嵌套在其他的组中)
组织单元OU
概念:可以把对象组织到一个逻辑结构当中。委派 OU 的管理控制权,必须把 OU 及 OU 包含对象的具体的权限指定给一个或几个用户和组。
(用户移动账号后,赋予该用户账号的权限设置不会变;该用户账号会使用新OU的组策略设置)
谈一谈用户组和OU的异同
相同:都是AD的对象
不同:用户组当中的对象只能是账号;OU中可以包含账号、计算机、共享文件夹等;OU还可以配置组策略
谈一谈域和OU的异同
相同:OU和域都属于活动目录的逻辑结构;OU和域都是用户和计算机的管理单元,都可以容纳活动目录的对象,都可以对其设置组策略
不同:用户只能登录到域,而不能登录到OU;先有域,后有OU;域的级别比OU高
-如果用户试图登录主机,主机获取用户的帐号和密码,然后经过密钥机制处理,并和存储在帐号数据库中的密钥进行对比,如果对比的结果匹配,允许用户登录计算机。(反之不行)
-如果用户试图登录到域,那么系统会使用存储在域控制器数据库中的帐号信息同用户提供的信息进行比较;验证域控制器上的信息同用户登录的信息是否匹配;如果匹配,允许登录。
域名解析系统,顾名思义,在数据库当中存放了域名和IP地址的对应关系。
域名空间采用分层结构包括:根域、顶级域、二级域、子域和主机名
(全世界只有13台IPv4根域名服务器。1个为主根服务器在美国。其余12个均为辅根服务器,其中9台在美国,欧洲2个,位于英国和瑞典,亚洲1个位于日本。)
普通域,3个字符长度
com,商业组织
edu,教育机构
gov,政府机关
int,国际组织
mil,军事站点
net,网络
org,其他组织
国家(地区)域,2个字符长度
cn,中国大陆
tw,中国台湾
uk,英国
递归查询是一种DNS 服务器的查询模式,在该模式下DNS 服务器接收到客户机请求,必须使用一个准确的查询结果回复客户机。如果DNS 服务器本地没有存储查询DNS 信息,那么该服务器会询问其他服务器,并将返回的查询结果提交给客户机。
DNS 服务器另外一种查询方式为迭代查询,DNS 服务器会向客户机提供其他能够解析查询请求的DNS 服务器地址,当客户机发送查询请求时,DNS 服务器并不直接回复查询结果,而是告诉客户机另一台DNS 服务器地址,客户机再向这台DNS 服务器提交请求,依次循环直到返回查询的结果。
hosts文件:以静态映射的方式提供IP地址与主机名的对照表,类似ARP表
递归查询、迭代查询、具体的流程可以根据图片自己做个描述,当然也有两者相结合的方法,这里不具体写了。
递归:本地DNS服务器自查,没有,问根域,根域问顶级域,顶级域问二级域,得到结果依次返回。
迭代:本地DNS服务器自查,没有,问上级域,没有,再问上级域的上级域(先认为是根域吧),往下问顶级域,再问二级域。问到了直接返回结果(整个过程只是告诉本地DNS服务器该去问谁,全程由本地服务器自己去问,最后返回结果也快些。)
两者结合:不谈了,结合起来自己思考一下。
DNS正向解析:正向查找是根据DNS客户端提供的域名解析成IP地址
DNS反向解析:将IP地址解析成域名
为终端自动提供IP地址、网关、DNS服务器地址等参数
在一些大型的网络当中,使用DHCP,可以减少配置错误的发生,保证网络互通。同时减少了工程师的工作量,可以对IP进行集中式的维护和管理。
DHCP责任
保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。
DHCP应当可以给用户分配永久固定的IP地址。
DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。
DHCP服务器应当向现有的BOOTP客户端提供服务。(BOOTP是DHCP的前身,它基于IP/UDP协议,DHCP基于TCP/IP协议)
在桌面云解决方案中,DHCP服务器负责为所有桌面分发网络配置信息
在企业网络当中,我们通常会分为多个网络,那么我们在用一个DHCP服务器为他们提供配置网络服务的时候,就需要配置DHCP中继(DHCP-RELAY)
用以实现在不同子网和物理网段之间处理和转发DHCP信息的功能
(谈一下DHCP中继,如果本地网络没有dhcp server,则与本地网络相连的具有dhcprelay 功能的网络设备收到该广播报文后,将进行适当处理并转发给指定的其它网络上的dhcp server)
对于AD/DNS/DHCP企业场景下主备部署,我们实验环境下单节点部署就好了
首先创建windows基础架构虚拟机
然后在添加服务器角色当中选择AD/DNS/DHCP进行安装
配置AD服务:创建一个新林,配置域用户,域策略,根域名(vdesktop.huawei.com)
配置DNS服务:配置DNS的正向反向解析
配置DHCP服务:配置IP地址范围,默认网关,租用期限,DNS服务器等(跟一般DHCP的配置一样)
完成后进入FA的ITA Portal界面进行初始化配置
首先与FC对接,输入FusionCompute管理浮动IP地址、端口号,账号密码等。
配置域和DNS,跟在windows基础架构虚拟机上配置的一样。
vAG/vLB就跳过吧
然后就完成了初始化配置,后面就可以正常使用了。
*注意:通常需要装2台Linux基础架构虚拟机,其中vAG/vLB和其他的组件要分开安装,不可以安装在同一台虚拟机上。但是在实验环境下,我们不去装vAG/vLB的这台虚拟机,所以我们只需要创建一台Linux基础架构虚拟机安装HDC/ITA/DB/License/WI即可。
生产环境下,就需要至少4台了,因为每台都要主备部署
这部分的内容就更新到这里,本文重点不在于安装,因此安装的部分我会另外列一个博文,大家如果有需要可以去我的博文里面找一找。