桌面云组件介绍与安装

接入和访问控制层

  • WI(Web Interface)Web接口

    • WI为最终用户提供Web登录界面,在用户发起登录请求时,将用户的登录信息(加密后的用户名和密码)转发到AD上进行用户身份验证,验证通过后,WI将HDC提供的虚拟机列表呈现给用户,为用户访问虚拟机提供入口
  • vLB(Virtual Load Balance)虚拟负载均衡器

    • vLB功能的主要作用是在用户访问WI时,进行负载均衡,避免大量用户访问到一个WI
  • vAG(Virtual Access Gateway)虚拟接口网关

    • vAG的主要功能是桌面接入网关和自助维护网关。当用户虚拟机出现故障时,用户无法通过桌面协议登录到虚拟机,需要通过VNC自助维护台登录到虚拟机进行自助维护

虚拟桌面管理层

  • ITA(IT Adaptor)IT适配器

    • ITA为用户管理虚拟机提供接口,其通过与HDC(Huawei Desktop Controller)的交互、以及与云平台软件Fusion Compute的交互,实现虚拟机创建与分配、虚拟机状态管理、虚拟机模板管理、虚拟机系统操作维护功能
  • HDC(Huawei Desktop Controller)华为桌面控制器

    • HDC是虚拟桌面管理软件的核心组件,根据ITA发送的请求进行桌面组的管理、用户和虚拟桌面的关联管理,处理虚拟机登录的相关请求等
  • License服务器

    • License服务器是License的管理与发放系统,负责HDC的License管理与发放

    • Fusion Access桌面管理软件主要用到其HDP连接数license,当用户连接虚拟机时会到License服务器上检查license,判断是否可以连接到虚拟机

  • Gauss DB数据库

    • GaussDB为ITA、HDC提供数据库,用于存储数据信息
  • Backup Server 备份服务器

    • Backup Server的主要功能是备份各个组件的关键文件和数据
    • Backup Server备份策略
      • 每天1:00定时备份并上传到备份服务器,存放的目录是“/var/ftpsite/配套的ITA名称/各组件文件夹名称“
      • 备份空间充足时,备份服务器保存10天内的备份数据;备份空间不足时,系统会自动删除最早的备份文件
  • TCM(Thin Client Management)瘦终端管理服务器

    • TCM为升腾曦帆桌面管理系统,管理员通过TCM对TC进行日常管理
  • TCM 功能概述

    • 基本管理
      • 终端基本管理操作
      • 终端的桌面配置;
      • 远程协助
      • 电源控制
    • 部署管理
      • 实现对终端的文件复制和安装等操作
    • 策略管理
      • 实现智能管理过程中相关策略的管理和配置
    • 公共管理
      • 包括对管理员的管理、系统日志管理和客户端的升级等
    • 任务管理
      • 管理系统的任务管理中心,完成查看、分析、维护等操作

安装部署

虚拟机 部署方式 操作系统 硬件规格 网卡
ITA/GaussDB/HDC/WI/License 主备 EulerOS 2.3 64bit CPU:4;内存:12GB;硬盘:40GB vNIC1:业务平面;vNIC2:管理平面
vAG/vLB 主备 EulerOS 2.3 64bit CPU:4;内存4GB;硬盘30GB vNIC1:业务平面;vNIC2:管理平面

什么是AD

  • 概念:

    • 活动目录(Active Directory)是用来存储网络上的用户账户、计算机、打印机等资源信息,方便用户的查找和使用
    • 一种目录服务,可以提供对象的存储、快速查找与定位,并且能够统一、集中、安全的管理计算机资源
    • 是微软Windows Server中,负责架构中大型网路环境的集中式目录管理服务
  • 内容:

    • 在Windows ServerAD域内的目录是用来存储用户账户、组、打印机、共享文件夹等对象
  • 作用:

    • AD管理和保护系统的用户账户、客户机及应用程序,提供了集中统一的界面,增强了信息的安全性

AD对象

  • 活动目录(AD)的最小管理单元为对象(Object),也是一组集合的属性,一个AD网域中,以树状结构,组织如下的基本对象
    • 域控(Domain Controllers),存储网域中所属的网域控制站(简称设备上下文、域控)
    • 计算机(Computers)存储加入网域的电脑对象
    • 系统默认账户组群(Builtin),存储自带的账户组群
    • 用户(Users),存储AD中的用户对象
    • 组织单元(Organization Unit,OU),可以在OU之中存放AD的对象,包括用户,组群,电脑等,让组织结构在AD中可以被真实的反应出来,便于以组织结构方式管理对象

子域多域

  • 树由多个域组成,形成一个连续的名字空间

  • 域森林是指一个或多个没有形成连续名字空间的域树

  • 信任关系

    • 双向信任

      • A域、B域互相信任
    • 单向信任

      • A域信任B域,表示为:A>B,使得B域的员工可以直接访问A域上的资源
      • B域信任A域,表示为:A>B,使得A域的员工可以直接访问B域上的资源

域策略

  • 域控组策略(域策略)是一种单到多的管理模式,它可以

    • 实现强制性对网络中的客户端进行安全配置
    • 灵活的对网络中的客户端进行软件的部署
    • 强化企业中的软件管理(例如可以限制某类软件不能再企业中使用)
    • 将复杂的系统设置变得简单化
    • 站点、域级别的集中化管理,组织单位级别的分散式管理
    • 控制用户的系统软件环境
    • 通过控制用户和计算机环境,降低企业的管理成本
  • 计算机配置:当计算机开机时,系统会根据计算机配置的属性来设置计算机环境。

    • 举例来说,如果对huawei.com设置了组策略,则此组策略内的计算机配置就会被应用到这个域内所有计算机
  • 用户配置:当用户登录时,系统会根据用户配置的属性来配置用户的工作环境。

    • 举例来说,如果对组织单位UserOU配置了组策略,则此组策略内的用户配置就会被应用到这个组织单位内的所有用户
  • 组策略通过组策略对象(GPO)来设置,只要将GPO链接到指定的站点、域或组织单位,此GPO内的设置值就会影响到该站点、域或组织单位内的所有用户与计算机

  • AD域已经有两个内置的GPO:

    • Default Domain Policy
    • Default Domain Controller Policy

用户域账号

  • 域用户账号是再域控制器上建立的,域用户账号是访问域的唯一凭证,作为AD的一个对象保存在域的AD数据中。用户从域中任何一台计算机登录到域中的时候必须提供一个合法的域用户账号,该账号将被域控制器所验证。

域账号常用操作

  • 添加到组
  • 禁用账号
  • 重设密码
  • 移动
  • 删除
  • 重命名

AD中的组

  • 使用组来简化资源权限的分配
  • 一个用户可以是许多组的成员
  • 组可以被嵌套在其他组中

组织单位OU

  • OU可以把对象组织到一个逻辑结构中,使其能最佳适应组织的需要。
  • 委派OU的管理控制权,必须把OU及OU包含对象的具体的权限指定给一个或几个用户和组

AD典型桌面应用

  1. 用户按域中的用户名来登录桌面
  2. HDC向AD进行用户信息认证
  3. 用户虚拟机向域控同步域信息

DNS

  • 域名系统(Domain Name System,DNS)是一种提供域名和IP地址之间的转换的分布式数据库,以方便访问网络

  • DNS的优势

    • 用户不需要通过IP数字串,只需要通过容易记忆的字符串来访问网络
  • DNS与域控制器协同工作

    • 域控制器会将它的主机名、IP地址和所扮演的角色等信息注册到DNS服务器内以便其他计算机可以通过DNS服务器找到这台域控制器

DHCP的必要性

  • 在大型网络中,如果每台终端的地址都是由不同的使用者来分配,那么就很容易出现地址相同的情况
  • 在TCP/IP网络上,每台工作站在访问网络及其资源前,都必须进行基本的网络配置,一些主要参数诸如IP地址,子网掩码,缺省网关,DNS等必不可少,还可能需要一些附加的信息如IP管理策略之类
  • 在大型网络中,确保所有主机都拥有正确的配置是一件相当困难的管理任务
  • 因此,需要一种机制来简化IP地址的配置,实现IP的集中式管理。而IETF(Internet网络工程师任务小组)设计的动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)正是这样一种机制

DHCP的优点

  • DHCP减少错误

    • 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少
  • DHCP减少管理

    • TCP/IP配置是集中化的自动完成的,不需要网络管理员工手工配置。网络管理员能集中定义全局和特定子网的TCP/IP配置信息。使用DHCP选项可以自动给客户及分配全部范围的附加TCP/IP配置值。客户机配置的地址变化必须经常更新,比如远程访问客户机经常到处移动,这样便于他在新的地点重新启动时,高效而又自动进行配置。同时大部分路由器能转发DHCP配置请求,他就减少了在每个子网设置DHCP服务器的必要,除非有其他原因要这样做

DHCP的责任

  • 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用
  • DHCP应当可以给用户分配永久固定的IP地址
  • DHCP应当可以同用其他方法获取IP地址的主机共存(如手工配置IP地址的主机)
  • DHCP服务器应当向现有的BOOTP客户端提供服务
  • 在桌面云解决方案中,DHCP服务器负责为所有桌面分发网络信息

虚拟机注册流程

  1. 虚拟机开机挂载Fusion Access Windows intall的ISO文件----开启HDA服务
  2. HDA包含两个重要组件:HDP--Agent HDA(虚拟机中核心组件)功能与HDP交互 对接HDC(获取FQDN的IP,如果有直接发送,如果没有,需要到DNS下获取与FQDN对应IP,则可以发送)
  3. 检测注册表中指定的list of HDCs注册表(HDC域名)
  4. 注册请求参数(包含了VM的SID【虚拟机的唯一标识】,虚拟机的IP信息,虚拟机的端口号)
  5. 选中一个可用的HDC IP记录,但是HDC中只有域名没有IP,需要通过DNS解析到相应的IP地址;如果有那么就直接发送
  6. 检测HDA对应的IP是否能够与HDC进行通信,如果HDA没有能够与HDC通信则返回注册失败的消息
    1. HDA会一直向HDC进行注册,直到HDA注册成功
  7. HDC会将VM的注册信息保存再DB,同时虚拟机开启心跳。开启心跳是为了VRM和ITA能够监控并使用自己

用户登录流程

当用户从WI或者HDP client登录的时候,会第一时间与AD进行交互(验证用户密码是否正确,AD会将结果返回到WI或者HDP client界面上;如果是正确的就可以直接看到虚拟机列表的图标,如果说验证失败会告知用户名或密码错误)

获取虚拟机列表的过程

  1. 已经成功登录了
  2. WI向HDC查询虚拟机列表,由于HDC不具备保存虚拟机的信息,所以HDC向DB查询虚拟机的信息,DB会把与用户匹配的虚拟机信息返回给HDC,再由HDC返回给WI

用户登录虚拟机--预连接(HDP没有经过网关的情况)

用户提出登录,由VLB分配WI(如果没有VLB,用户直接登录WI页面)WI向HDC查询被登录虚拟机信息(IP、post、SID),DB返回相应的信息给HDC;此时再HDC上产生登录票(Address ticket地址,虚拟机IP等,login ticket用户信息),用户可以登录了,当用户登录成功之后,HDC会向license验证(ITA的lincnse详情那更新登录用户,当登录用户超过1.1倍的时候,其他用户将无法登录,需要向官方申请扩容=¥)

用户登录虚拟机--预连接(HDP不经过网关)

此种登录方式与上面类似,唯一不同的是,再HDC内部只生成一张门票(login ticket即可,login ticket包含了虚拟机和登录用户的信息)

访问虚拟机流程-HDP不经过网关

由用户点击小电脑登录,小电脑用HDP协议向VM发送门票(login ticket),由于VM不具备验证门票的真伪,需要向HDC进行验证,HDC验证通过后会将域账号和密码发送给VM,虚拟机会把这个域账号自己登录(不用担心新域账号不能通过,如果不能登录通过,再发放虚拟机的时候就会报错),将桌面信息返回给用户,同时将虚拟机的状态告知给HDC,此时HDC会更新改VM的状态(connected)

访问虚拟机流程-HDP经过网关

由用户发起连接(两张门票AT,LT发给)VAG,VAG通过HDP协议向HDC验证AT,验证通过后,HDC把虚拟机IP、端口、SID告知VAG;VAG又用得到的虚拟机信息登录虚拟机,同时将LT发送给虚拟机验证,由于虚拟机无法验证LT门票的真伪,需要向HDC验证,HDC验证通过后,会把域账户信息发送给虚拟机,虚拟机又将这个域用户登录;登录成功后,用户将会看到虚拟机的界面,同时虚拟机将自身更新的状态发送给HDC

你可能感兴趣的:(个人学习总结,FusionCompute,服务器,运维)