FusionAccess全景圖
1. 桌面雲管理組件
接入和訪問控制層(WI/vAG/vLB)
- WI(Web Interface) Web接口
- 功能:為用戶提供Web登錄界面,在用戶發起登錄請求時,將用戶的登錄信息轉發到AD上進行用戶身份驗證,驗證通過之后,WI將HDC提供的虛擬機列表呈現給用戶,為用戶訪問虛擬機提供入口。
- vAG(Virtual Access Gateway)虛擬接口網關
- 功能:桌面接入網關和自助維護網關,當用戶無法通過桌面協議登錄到虛擬機,需要通過VNC自助維護台登錄到虛擬機進行自助維護。
- vLB(Virtual Load Balance)虛擬負載均衡器
- 功能:在用戶訪問WI時,進行負載均衡,避免大量用戶訪問到同一個WI。
虛擬桌面管理層(ITA/HDC/TCM/License/GaussDB/Back up Server/SVN/UNS)
-
ITA(IT Adaptor)IT適配器
-
功能:為用戶管理虛擬機提供接口,其通過與HDC(Huawei Desktop Controller)的交互、以及與雲平台軟件FusionCompute的交互、實現虛擬機創建與分配、虛擬機狀態管理、虛擬機模板管理、虛擬機系統操作維護功能。
-
虛擬機創建,發放,及日常維護都是通過ITA的portal進行。ITA調用HDC提供的接口。
-
ITA為基於Tomcat的一個Web Service,對上(IT Portal)提供統一接口,對下則集中了HDC、FusionSphere、虛擬機、DNS的接口,完成功能的整合。
-
-
HDC(Huawei Desktop Controller)華為桌面控制器
- 功能:虛擬桌面管理軟件的核心組件,根據ITA發送的請求進行桌面組的管理、用戶和虛擬桌面的關聯管理,處理虛擬機登錄的相關請求。
-
TCM(Thin Client Management)瘦終端管理服務器
- 功能:TCM為升騰曦帆桌面管理系統,管理員通過TCM對TC進行日常管理,例如批量對TC下電,批量進行系統更新)
-
License服務器
-
功能:License服務器是License的管理與發放系統,負責HDC的License管理與發放。
-
FusionAccess桌面管理軟件主要用到其HDP連接數license,當用戶連接虛擬機時會到License服務器上檢查license,判斷是否可以連接到虛擬機。
-
-
GaussDB數據庫
- 功能:GaussDB為ITA、HDC提供數據庫,用於存儲數據信息。
-
Backup Server備份服務器
- 功能:備份各個組件的關鍵文件和數據。
- BackupServer備份策略:
- 每天凌晨1:00定時備份上傳到備份服務器,存放目錄"/var/ftpsite/配套的ITA名稱/各組件文件夾名稱"。
- 備份空間充足時,備份服務器保存10天內的備份數據;備份空間不足時,系統會自動刪除最早的備份文件。
-
SVN(Security VPN)安全VPN
- 功能:安全VPN單純指華為接入網關以及負載均衡的設備(通過硬件實現vAG/vLB的功能)
-
UNS統一名稱服務
- 功能:用戶通過一個域名去訪問不同套FusionAccess下的WI,用戶不需要進行頻繁的跳轉。
桌面虛擬機核心組件 (HDA)
- HDA(Huawei Desktop Agent)華為桌面代理
- 功能:安裝在每一個用戶的虛擬桌面中,提供終端與虛擬桌面之間的連接功能。
- TC(SC)要通過HDP協議連接到虛擬機必須要在虛擬機上安裝HDA。
- HDA實際上時一系列桌面連接服務,為TC(SC)使用虛擬機提供支持。
桌面雲管理組件安裝部署(實驗)
管理組件安裝流程
- 配置雲平台
- 配置網絡
- 創建分布式交換機DVS
- 創建端口組
- 配置數據存儲
- 關聯存儲資源
- 分配存儲設備並映射給集群
- 創建數據存儲
- 配置網絡
- 創建並配置Linux基礎架構虛擬機
- 根據規划,創建Linux基礎架構裸虛擬機
- 設置虛擬機自恢復屬性
- 先運行腳本 sh /opt/galax/vrm/tomcat/script/modifyRecover.sh 虛擬機ID true
- 然后 service vrmd restart
- 從光驅安裝虛擬機操作系統,根據規划
- 配置網絡
- 配置主機名
- 配置時區
- 配置root用戶密碼
- 虛擬機掛載安裝Tools(PvDriver)
- 安裝ITA/GaussDB/HDC/WI/License
- startTools 進入圖形化界面
- Install all(Microsoft AD)
- 主用組件安裝的時候節點選擇“Create a new node”
- 備用組件安裝的時候節點選擇“Add to an existing node”
- 安裝vAG/vLB
- Custom Install
- Install vAG/vLB
- 注意:
- 如果實際規划有兩台WI服務器,需要輸入這兩台WI服務器的業務平面IP地址
- vLB一定不能和WI部署在同一台虛擬機上
2. 桌面雲關聯組件
AD
1. 什么是AD?
目前 AD 已成為Windows Server中成熟的目錄服務組件,它處理了在組織中的網絡對象,對象可以是用戶,組群,電腦,網域控制站,郵件,設置檔,組織單元,樹系等等。
-
活動目錄(Active Directory)主要提供以下功能:
- 基礎網絡服務:包括DNS、WINS、DHCP、證書服務等。
- 服務器及客戶端計算機管理:管理服務器及客戶端計算機賬戶,所有服務器及客戶端計算機加入域管理並實施組策略。
- 用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,缺省實施組管理策略。
- 資源管理:管理打印機、文件共享服務等網絡資源。
- 桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:界面功能的限制、應用程序執行特征限制、網絡連接限制、安全配置限制等。
- 應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。
2. AD對象
- 活動目錄(AD)的最小管理單元為對象(Object),也是一組屬性的集合,一個 AD 網域中,以樹狀結構,組織如下的基本對象:
- 域控(Domain Controllers),存儲網域所屬的網域控制站(簡稱 設備上下文、域控) 。
- 計算機(Computers),存儲加入網域的電腦對象。
- 系統默認賬戶組群(Builtin),存儲自帶的帳戶組群。
- 用戶(Users),存儲 AD 中的用戶對象。
- 組織單元(Organization Unit,OU),可以在 OU 之中存放 AD 的對象,包括用戶,組群,電腦等,讓組織結構在 AD 中可以被真實的反映出來,便於以組織結構方式管理對象。
3. 子域多域
- 樹由多個域組成,形成一個連續的名字空間,域樹。
- 域森林是指一個或多個沒有形成連續名字空間的域樹。
- 信任關系
- 雙向信任
- A域、B域互相信任
- 單向信任
- A域信任B域,表示為:A>B,使得B域的員工可以直接訪問A域上的資源
- B域信任A域,表示為:A<B,使得A域的員工可以直接訪問B域上的資源
- 雙向信任
- 雙向:本地域信任指定域,同時指定域信任本地域
- 單向
- 內傳:指定域信任本地域
- 外傳:本地域信任指定域
4. 域控制器
- AD域服務的目錄數據存儲在域控制器內,一個域內可以有多台域控制器,每台域控制器的地位(幾乎)是平等的,由於控制器間存在着數據同步,他們各自儲存着一份(幾乎)完全相同的AD數據庫。
5. 域策略(待補充)
6. AD組策略(待補充)
7. 組織單位OU(待補充)
8. 區別
- 用戶組與組織單位OU的區別
- 相同點:
- OU和用戶組都是活動目錄的對象。
- 不同點:
- 用戶組中包含的對象類型有限,只能是賬號。
- OU中可以包含賬號、計算機、打印機、共享文件夾。
- OU還有組策略的功能
- 相同點:
- 域與組織單位OU的區別
- 相同點:
- OU和域都屬於活動目錄的邏輯結構范疇。
- OU和域都是用戶和計算機的管理單元,都可容納活動目錄的對象,都可以對其設置組策略。
- 不同點:
- 用戶只能登錄到域,而不能登錄到OU。
- 先有域,后有OU。
- OU只能存在域中,而域不能在OU中存在。
- 域的級別高於OU。
- 相同點:
DNS
1. 什么是DNS?
- 域名系統(Domain Name System ,DNS),是一種提供域名和IP地址之間的轉換的分布式數據庫,以方便訪問網絡。
- DNS的優勢
- 用戶不需要通過IP數字串,只需要通過容易記憶的字符串來訪問網絡。
- DNS與域控制器協同工作
- 域控制器會將它的主機名、IP地址和所扮演的角色等信息注冊到DNS服務器內以便其他計算機可以通過DNS服務器找到這台域控制器。
- 域名空間采用分層結構包括:
- 根域
- 頂級域
- 二級域
- 子域
- 主機名
2. DNS的兩種查詢方式
-
假設:www.abc.com 的主機要查詢 www.xyz.abc.com 的服務器ip地址
-
遞歸查詢
- 第一步:在hosts靜態文件、DNS解析器緩存中查找某主機的ip地址。
- 第二步:上一步未找到,去DNS本地服務器(即域服務器)查找,其本質是去區域服務器、服務器緩存中查找。
- 第三步:本地DNS服務器找不到就根據"根提示文件"去負責頂級域".com"的DNS服務器查詢。
- 第四步:"根DNS服務器"根據查詢域名中的"xyz.com",再向xyz.com的區域服務器查詢。
- 第五步:www.xyz.abc.com的DNS服務器直接解析該域名,則將查詢到的ip再原路返回給請求查詢的主機。
-
迭代查詢
- 第一步:在hosts靜態文件、DNS解析器緩存中查找某主機的ip地址。
- 第二步:上一步未找到,去DNS本地服務器(即與服務器)查找所有本層次的區域服務器
- 第三步:本地DNS服務器查不到就查詢上一層此的所有區域服務器,以此類推直至根域名DNS服務器"."
- 第四步:到達根域名服務器后又向下查詢,直至查到結果為止。
-
遞歸與迭代結合的查詢方式(常用)
- 第一步:在hosts靜態文件、DNS解析器緩存中查找某主機的ip地址。
- 第二步:上一步無法找到,去DNS本地服務器(即域服務器)查找,其本質是去區域服務器、服務器緩存中查找。
- 第三步:本地DNS服務器查不到就根據‘根提示文件’向負責頂級域‘.com’的根DNS服務器查詢
- 第四步:根DNS服務器直接將其區域DNS服務器的ip地址返回給本地服務器,而不用再向xyz.com的區域服務器查詢。
- 第五步:本地DNS服務器將結果返回給請求的主機。
DHCP
1. 什么是DHCP?
- DHCP (Dynamic Host Configuration Protocol)是一種動態的向Internet終端提供配置參數的協議。在終端提出申請之后,DHCP可以向終端提供IP地址、網關、DNS服務器地址等參數。
桌面雲關聯組件安裝(實驗)
- 端口組:
- FusionAccess基礎架構虛擬機管理平面網卡創建端口組:在搭建虛擬化平台過程中,會自動創建ManagementDVS及VLAN號為0的端口組,管理平面網卡的端口組即設置為該VLAN號為“0”的端口組。
- FusionAccess基礎架構虛擬機業務平面網卡創建端口組:在搭建虛擬化平台過程中,如果管理平面和業務平面合一,則在ManagementDVS上創建業務平面網卡的端口組(推薦);如果管理平面和業務平面分離,則在業務分布式交換機上創建業務平面網卡的端口組。
| 虛擬機 | 部署方式 | 操作系統 | 硬件規格 | 網卡 |
|---|---|---|---|---|
| AD/DHCP/DNS | 主備 | Windows Server 2012 R2 Standard 64bit | CPU:2 內存:2GB 硬盤1:50GB(系統盤) 硬盤2:20G(備份盤) | vNIC1:業務平面 vNIC2:管理平面 |
3. 桌面雲組件交互流程
虛擬桌面發放流程:創建、關聯虛擬機
- 創建
(ITA → DB)將任務更新為running狀態
(ITA ← DB)更新結果
(ITA)檢查指定的虛擬機組是否存在
(ITA → DB) 如果指定的虛擬機組不存在則創建
(ITA ← DB)創建結果
(ITA → DB)保存創建好的桌面組信息
(ITA ← DB)保存結果
(ITA → VRM)下發創建虛擬機的請求
(ITA ← VRM)創建虛擬機任務ID
(ITA → VRM)根據任務ID查詢結果
(ITA ← VRM)創建結果
- 同步
(ITA → DB)更新任務信息
(ITA ← DB)更新結果
(ITA → VRM)根據任務信息中的siteid/vmid查詢虛擬機ip
(ITA ← VRM)虛擬機ip
(ITA → VM)根據虛擬機ip重命名虛擬機
(ITA ← VM)虛擬機改名結果
(ITA ← VM)判斷虛擬機是否加域
(ITA → VM)加入域結果
(ITA → DB)將虛擬機添加到虛擬機組
(ITA → DB) 加入虛擬機組響應
- 關聯
(ITA → HDC)將虛擬機加入桌面組
(ITA ← HDC)加入桌面組響應
(ITA → HDC)將用戶關聯到桌面組
(ITA ← HDC)關聯結果
(ITA → VM)將用戶添加至虛擬機的用戶組內
(ITA ← VM)添加結果
(ITA → DB)更新任務結果
(ITA ← DB)更新結果
(ITA → VM)在虛擬機注冊表內寫入HDC地址
(ITA ← VM)寫入結果
(ITA → VM)虛擬機重命名
(ITA ← VM)重命名結果
(ITA → VRM)重啟虛擬機
(ITA ← VRM)重啟結果
(ITA → VM)更新任務信息
(ITA ← VM)更新結果
虛擬機注冊流程
(HDC Agent)1. 在虛擬機開啟啟動HDC Agent服務
(HDC Agent)2. 檢測注冊表中的指定的List Of HDCs注冊表項
(HDC Agent)3. 構造注冊請求參數對象
(HDC Agent)4. 選中一個可用的HDC IP並記錄
(HDC Agent)4-1. 從注冊表獲取HDC對應的FQDN列表,若注冊表中寫的是HDC IP,則直接發送消
(HDC Agent → DNS)4-2. 獲取FQDN對應的IP地址
(HDC Agent ← DNS)4-3. 返回對應的IP地址
(HDC Agent → HDC)4-4. 檢查IP地址對應的HDC服務是否可用
(HDC Agent ← HDC)4-5. 獲取可用的HDC響應
(HDC Agent → HDC)5. 發送注冊請求消息
(HDC Agent ← HDC)6. 返回注冊響應
(HDC Agent → HDC)6-1. 若注冊失敗,則選擇備HDC IP並定時啟動器循環反復進行注冊
(HDC Agent ← HDC)6-2. 返回注冊響應
(HDC → DB)7. HDC定時將虛擬機注冊信息寫到數據庫
(HDC Agent)8.啟動心跳,開始心跳
登錄流程
-
訪問WI頁面
- 訪問vLB
- vLB選擇WI
-
用戶鑒權
- WI與AD交互進行用戶鑒權
-
獲取虛擬機列表
- 通過WI與HDC交互
- HDC從DB里面查詢桌面列表
訪問流程(待補充)
-
場景一:部署vAG,桌面協議HDP不經過網關
-
場景二:部署vAG,桌面協議HDP經過網關