赞
踩
FusionAccess桌面云概述:
1. 华为FusionAccess桌面云解决方案是基于华为云平台的一种虚拟桌面应用,
通过在云平台上部署华为桌面云软件,使终端用户通过瘦客户端或者其他设备来访问跨平台的整个客户桌面和应用
桌面云优势: 数据安全: · 终端与数据隔离,防泄密 · 高可靠性架构,放丢失 运维效率: · 桌面标准化 · 桌面快速发放,集中运维 灵活性: · 资源按需调整 · 移动办公 应用场景: 分支机构: 为了提高分支机构桌面云的用户体验,系统将分支机构桌面云部署在分支机构本地 特点: · 降低网络使用成本 · 业务连续不中断 · 集中运维和管理 办公: 企业使用桌面云进行正常的办公活动,同时提供多种安全方案,保证办公环境的信息安全 特点: · 减少投资,平滑过渡 · 可靠的信息安全机制 · 部署灵活简单 桌面云架构VDI与IDV: (1): VDI(主流/性能好):Virtual Desktop Infrastructure,虚拟桌面架构。 特点使计算和数据都在云端,集中管理,集中运行 IDV(不安全/性能落后):Intelligent Desktop Virtualizztion,是智能桌面虚拟化 特点是镜像集中管理,计算和数据都在中断,集中管理,分散运行 (2): VDI: 数据安全性:高,数据集中存储不落地,完全避免通过接入终端泄露数据的风险 终端维护性:容易,终端只负责接入,不承担任何业务,零维护,故障随时更换 系统可靠性:高,资源云化,具备分时复用,动态分配,单硬件故障可自动恢复 终端硬件要求:无特殊要求 支持移动终端:支持 支持移动办公:支持 IDV: 数据安全性:低,数据下载到接入终端上,存在泄露风险 中断维护性:困难,终端承担了主要的业务,维护工作繁重,并且分散 系统可靠性:低,类似于PC方案,终端故障后终端业务,需要人工介入恢复 终端硬件要求:CPU必须支持VT,可以装双操作系统,不支持瘦终端 支持移动终端:不支持 支持移动办公:不支持 数据安全性 - 备注:数据在终端上行,无论采取何种安全措施,都比不存在数据要危险 中断维护性 - 备注:如果集中建设的场景,一旦终端出问题无法同步,只能上门服务 系统可靠性 - 备注:IDV数据未及时同步到服务端,会造成数据不同步或丢失 终端硬件要求 - 备注:支持VT的CPU一般价格高,功耗也高 支持移动终端 - 备注:IDV只能用特殊的终端,移动设备无法支持 支持移动办公 - 备注:IDV方案下,如果更换了终端,需要重新下载镜像 华为桌面协议: HDP(Huawei Desktop Protocol) 是华为自研的新一代云接入桌面协议,相对比于传统桌面协议,它具备以下特点: · 最大支持64虚拟通道,每个虚拟通道可承载不同的上层应用协议 · 可根据不同的应用类型采用不同的压缩算法,灵活使用服务器渲染及本地加速渲染 · 视频播放更清晰流畅 · 无损压缩算法 · 还原声音细节 · 丰富协议管理策略 常见桌面协议: ICA/HDX: 1. ICA(Citrix Independent Computing Architecture) 思杰研发,全程:思杰独立计算架构,ICA支持XEN以及VMware Vsphere ICA是目前应用较多的虚拟桌面协议之一, ICA除了功能齐全之外,还有: · 广泛的移动终端支持。 · ICA的网络协议无关性,使其可以支持TCP/IP、NetBIOS和IPX/SPX。 · ICA不仅支持Citrix自家的虚拟化平台XenServer,还支持vSphere和Hyper-V。 · 性能上比较突出的特点是较低的带宽占用,在网络环境差(延迟高)的情况下也能正常使用。 2. HDX(High Definition Experience) 作为ICA的增强版,尽量改善用户体验,包括音视频,多媒体和3D,HDX支持H.264。 PCoIP(PC-over-IP): 最初由加拿大公司Teradici开发,早期定位于高端图形设计,2008年VMware宣布与Teradici共同开发PCoIP,以改进自己的VDI解决方案VMware View。 · PCoIP和硬件结合紧密,数据的编码和解码,图形的处理可以通过专门的硬件来完成,让CPU有精力来做其他的事情,也有专门集成了PCoIP显示芯片的显示器。 · PCoIP是基于UDP协议的,UDP传输不可靠,但是UDP没有TCP的三次握手复杂的校验和数据恢复,传输速度快,适合多媒体的传输。 · 原生PCoIP协议没有串并口等外设的重定向能力,但一些TC厂商通过额外的端口重定向插件弥补了其这方面功能的不足。 SPICE(Simple Protocol for Independent Computing Environments) · 一款开源虚拟桌面协议,最初是由Qumranet开发,后来被RedHat收购并开源, 经过几年的社区开发,SPICE协议不断成熟。 · SPICE协议对于视频具有一定的优越性,其主要原因还是对于显示信息的压缩处理由KVM完成,避免了GuestOS内由于视频压缩对于CPU的过量消耗。 SPICE协议采用无损压缩,所以清晰度较高,缺点是带宽较高,消耗的资源较大。 RDP/RemoteFX · RDP(Remote Desktop Protocol)是微软的远程桌面协议, 最初是由Citrix开发,支持的功能较少,且主要应用在Windows环境中,现在也有Mac下的RDP客户端和Linux下的RDP客户端rdesktop。 历经多个版本的开发,RDP最新版也支持了打印机重定向,音频重定向,剪贴板共享等功能。 · RemoteFX是RDP的增强版,提供了vGPU、视频支持、多点触摸、USB重定向等功能。 桌面协议功能 —— 2D桌面显示技术: HDP显示关键技术 ·非自然图像采用无损压缩:自动识别整幅图像中的文字、Windows图框、线条等非自然图像,对非自然图像采用无损压缩;相片、图片等自然图像采用合适的压缩率进行有损压缩。 · 重复图像数据不传输:自动识别图像中的未变化部分,只有变化的部分数据会传输,极大降低带宽。 · 支持多种图像压缩算法:支持多种图像压缩算法,可以根据不同的图像特点和场景选择最优的压缩算法。 桌面协议功能 —— 语音技术: HDP语音关键技术 · 高保真Music压缩算法:自动识别声音场景,VOIP场景下采用针对人声优化的电信语音算法,音乐场景采用专业的高保真音乐编解码算法,极大提升音乐播放品质。 · 自动降噪算法:VoIP启动自动降噪来压抑周边嘈杂音和背景声音,即使嘈杂环境也能通话自如。 · 低延时:采用在TC端语音透传算法,降低语音在TC端由于缓冲带来的积累时延,保障语音实时性。 · 高音质:采用更高的声音采样率(默认采用44.1K的采样率,友商一般16K),避免音质源头损失。 · 立体混音:支持“立体混音”,即虚拟机所有输入声音和输出声音的混合。 桌面协议功能 —— 视频显示技术: 1. 目前在桌面云中,支持多媒体视频播放,通常有两种方式: · 将服务端的多媒体视频播放图像重新进行视频编码处理,然后将视频编码数据传输到客户端进行解码播放显示。 · 视频重定向方式,通过捕获服务端播放器需要播放的视频编码流,直接将视频编码流发送到客户端进行解码播放显示。 2. HDP协议: HDP协议提供了支持4K视频播放的能力,该能力是通过把视频原始文件解封装后的音视频,将数据包发送到客户端,在客户端直接使用音视频数据包进行解码显示。 · 直接使用解封装后的音视频码流,可以降低网络带宽的压力 · 可以降低对服务端计算资源的消耗 · 可以充分应用客户端TC的能力实现4K视频的播放 3. HDP视频关键技术 · 视频场景智能识别: 在Display Server能够自动识别是视频数据还是普通的GDI数据,对于视频数据,采用高效的H.264或MPEG2进行编码,并充分利用TC端硬件能力进行解码。 · 帧率动态调整: 根据网络的质量动态调整视频播放的帧率,优先保证视频流畅度。 · 视频数据自适应: 根据显示器的分辨率和播放视频窗口的大小,自动调整视频数据流的大小,在播放器最小化时终止发数据,几乎没带宽,降低CPU消耗,提升用户体验。 · 多媒体重定向: 充分利用TC的硬件解码的能力,支持断线自动重线播放,流量动态调整,最大支持4K视频播放,流畅度优于ICA。 · 强大的应用感知能力: 对常用视频播放软件(Flash)和图像处理软件(如Photoshop)进行针对性优化,比ICA更流畅。 桌面协议功能 —— 外设重定向技术: 在桌面云场景下,把TC/SC终端侧的外围设备,通过桌面协议映射到远程桌面中,并能通过远程桌面使用这些外围设备的技术。基于外设技术实现的原理来分,主要分如下两种: · 端口重定向: 是指在远程桌面的操作系统中,针对端口底层协议进行重定向的技术; 如USB端口重定向、串口重定向、并口重定向等。 · 设备重定向: 是指在远程桌面的操作系统中,针对设备应用协议进行重定向的技术; 如摄像头重定向、TWAIN重定向等。 桌面协议功能 —— 3D图形显示技术: 华为桌面云也推出了相应的解决方案(华为高清制图桌面),能支持多种高清制图软件,根据其3D显示实现原理,主要由如下几大类技术: · GPU直通 · GPU硬件虚拟化 · 图形工作站纳管 华为桌面云实现方案: · TC(Thin Client) 瘦客户端: 瘦客户端的性能很差,但我们只需要它收发网络,将信息传输至显示屏上即可。 瘦客户端(Thin Client)指的是在客户端-服务器网络体系中的一个基本无需应用程序的计算哑终端。它通过一些协议和服务器通信,进而接入局域网。 瘦客户端将其鼠标、键盘等输入传送到服务器处理,服务器再把处理结果回传至瘦客户端显示。不同的瘦客户端可以同时登录到服务器上,模拟出一个相互独立又在服务器上的工作环境; 与此相反,普通客户端会尽可能多地进行本地数据处理,与服务器(或其他客户端)的通信中只传送必要的通信数据。 1. 硬件部署方案: FucsionCube 支持5k套桌面 E9000+OV5 支持20k套桌面 2. 软件部署方案: (1) 组件名称: --------------------------------------------------------------------- | 组件名 : 英文名称 : 中文名称 | --------------------------------------------------------------------- | HDC : Huawei Desktop Controller : 华为桌面控制器 | --------------------------------------------------------------------- | LIC : License : 授权管理 | --------------------------------------------------------------------- | ITA : IT Adapter : IT资源适配管理 | --------------------------------------------------------------------- | DB : Data Base : 一种关系数据库 | --------------------------------------------------------------------- | AUS : App Update Server : 应用升级服务器 | --------------------------------------------------------------------- | TCM : Thin Client Management : 瘦客户端管理 | --------------------------------------------------------------------- | vLB : Virtual Load Balance : 虚拟负载均衡 | --------------------------------------------------------------------- | vAG : Virtual Access Gateway : 虚拟接口网关 | --------------------------------------------------------------------- | SVN : Security VPN : 华为安全网关与负载均衡产品 | --------------------------------------------------------------------- | WI : Web Interface : 户门户接口 | --------------------------------------------------------------------- | HDA : HDP Agent : HDP代理 | --------------------------------------------------------------------- | HDP Client : HDP Client : HDP客户端 | --------------------------------------------------------------------- | APS: Application Server : 应用服务器 | --------------------------------------------------------------------- | TC : Thin Client : 瘦客户端 | --------------------------------------------------------------------- | SC : Soft Client : 软客户端 | --------------------------------------------------------------------- 3. 时钟同步方案: 1. 时钟同步是桌面云系统稳定运行的必备条件,如果时钟不同步,会导致桌面云系统管理混乱,时钟同步保证桌面云系统时钟、虚拟机时钟一致: · 当客户无提供外部时钟源,华为提供AD时,推荐采用AD通过管理平面从FusionCompute的主、备VRM所对应主机同步时间的方案。 · 当由客户提供稳定的时钟源时,不管AD组件由客户提供还是华为提供,采用客户提供外部时钟源同步方案。 · 在做FA的时候ITA与AD的时间一定要同步,否则对接失败 4. 网关与负载均衡器部署方案: 网关/负载均衡器功能介绍如下: · 负载均衡器可通过vLB实现该功能,用于将用户的HTTP(S)请求分配到不同的WI,能够自动对WI进行健康检查,确保所有的用户请求都能分配到可用的WI。 · 网关可通过vAG实现该功能,用于业务接入(桌面协议HDP的接入)和自助维护接入,对客户端的接入进行加密保护,提高系统的安全性。
FusionAccess桌面云组件介绍与安装:
· FusionAccess内部有丰富的管理组件,包含vAG、vLB、ITA、WI、GaussDB、HDC等,它们都安装在虚拟机中,我们称这些虚拟机为“基础架构虚拟机”。
· 在FusionAccess中,有些组件是FusionAccess桌面云必不可少的,下面分为两种组件来进行说明: 外部组件: AD、DNS、DHCP 内部组件: ITA、GaussDB、HDC、HDC、WI、License、vAG、vLB · 除了自身特有组件外,和整个现网其他组件也有交互,包含域相关的AD组件、域名解析相关的DNS组件、网络相关的DHCP组件。 FusionAccess桌面组件介绍: > 代 * 号为FusionAccess必要组件 接入和访问控制层: * WI(Web Interface)Web接口: 1. WI为最终用户提供Web登录界面,在用户发起登录请求时,将用户的登录信息(加密后的用户名和密码)转发到AD上进行用户身份验证 2.验证通过后,WI将HDC提供的虚拟机列表呈现给用户,为用户访问虚拟机提供入口。 vLB(Virtual Load Balance)虚拟负载均衡器: · vLB功能的主要作用是在用户访问WI时,进行负载均衡,避免大量用户访问到同一个WI。 vAG(Virtual Access Gateway)虚拟接口网关: · vAG的主要功能是桌面接入网关和自助维护网关。 · 当用户虚拟机出现故障时,用户无法通过桌面协议登录到虚拟机,需要通过VNC自助维护台登录到虚拟机进行自助维护。 虚拟桌面管理层: ITA(IT Adaptor)IT适配器: · ITA为用户管理虚拟机提供接口,其通过与HDC(Huawei Desktop Controller)的交互、以及与云平台软件FusionCompute的交互, · 实现虚拟机创建与分配、虚拟机状态管理、虚拟机模板管理、虚拟机系统操作维护功能。 * HDC(Huawei Desktop Controller)华为桌面控制器: · HDC是虚拟桌面管理软件的核心组件,根据ITA发送的请求进行桌面组的管理、用户和虚拟桌面的关联管理,处理虚拟机登录的相关请求等。 TCM(Thin Client Management) 瘦终端管理服务器: · TCM为升腾曦帆桌面管理系统,管理员通过TCM对TC进行日常管理。 基本管理: · 终端基本管理操作; · 终端的桌面配置; · 远程协助 · 电源控制等。 部署管理: · 实现对终端的文件复制和安装等操作 策略管理: · 实现智能管理过程中相关策略的管理和配置。 公共管理: · 包括对管理员的管理、系统日志管理和客户端的升级等。 任务管理: · 管理系统的任务管理中心,完成查看、分析、维护等操作。 License服务器: · License服务器是License的管理与发放系统,负责HDC的License管理与发放。 · FusionAccess桌面管理软件主要用到其HDP连接数license,当用户连接虚拟机时会到License服务器上检查license,判断是否可以连接到虚拟机。 * GaussDB数据库: · GaussDB为ITA、HDC提供数据库,用于存储数据信息。 Backup Server 备份服务器: · Backup Server的主要功能是备份各个组件的关键文件和数据。 Backup Server备份策略: · 每天01:00定时备份并上传到备份服务器, 存放的目录是“/var/ftpsite/配套的ITA名称/各组件文件夹名称”。 ·备份空间充足时,备份服务器保存10天内的备份数据; 备份空间不足时,系统会自动删除最早的备份文件。 * 桌面虚拟机核心组件 - HDA(Huawei Desktop Agent) · HDA安装在每一个用户的虚拟桌面中,提供终端与虚拟桌面之间的连接功能。 · TC(SC)要通过HDP协议连接到虚拟机必须要在虚拟机上安装HDA。 · HDA实际上是一系列桌面连接服务,为TC(SC)使用虚拟机提供支持。 · HDA是虚拟机与HDC交互的核心组件,它的作用是在HDC上注册表 FusionAccess桌面云关联组件: * AD(Active Directory)活动目录: · 可以对域名进行控制的一个控制器组件 · 什么是AD? 概念: · 活动目录(Active Directory)是用来存储网络上的用户账户、计算机、打印机等资源信息,方便用户的查找和使用。 · 一种目录服务,可以提供对象的存储、快速查找与定位,并且能够统一、集中、安全的管理计算机资源。 · 是微软Windows Server中,负责架构中大型网络环境的集中式目录管理服务。 内容: · 在Windows Server AD域内的目录是用来存储用户帐户、组、打印机、共享文件夹等对象。 作用: · AD管理和保护系统的用户账户、客户机及应用程序,提供了集中统一的界面,增强了信息的安全性。 · AD对象: AD的最小管理单元为对象,也是一组属性的集合,一个 AD 网域中,以树状结构,组织如下的基本对象: · 域控(Domain Controllers): 存储网域所属的网域控制站(简称 设备上下文、域控) 。 · 计算机(Computers):存储加入网域的电脑对象。 · 系统默认账户组群(Builtin):存储自带的帐户组群。 · 用户(Users):存储 AD 中的用户对象。 · 组织单元(Organization Unit,OU): 可以在 OU 之中存放 AD 的对象,包括用户,组群,电脑等, 让组织结构在 AD 中可以被真实的反映出来,便于以组织结构方式管理对象 · 子域和多域: 信任关系: 1. 双向信任 · A域、B域互相信任 2. 单向信任 - A域信任B域,表示为:A > B,使得B域的员工可以直接访问A域上的资源 - B域信任A域,表示为:A < B,使得A域的员工可以直接访问B域上的资源 · 域控制器: · AD域服务的目录数据存储在域控制器内,一个域内可以由多台域控制器, 每台域控制器的地位(几乎)是平等的, 由于控制器间存在着数据同步,它们各自存储着一份完全相同的AD数据库 · 域策略:此GPO内的设置值就会影响到该站点、域或组织单位内的所有用户与计算机。 2. AD 域已经有两个内置的GPO: · Default Domain Policy · Default Domain Controller Policy · 用户组: · 组是用户账号的逻辑的集合 · 将用户账号分组管理,方便管理域内资源的访问权限 · AD中的组: · 使用组来简化资源权限的分配 · 一个用户可以是许多组的成员 · 组可以嵌套在其他的组中 · 组织单位 OU : · OU 可以把对象组织到一个逻辑结构中,使其能最佳适应组织的需要 · 委派 OU 的管理控制权,必须把 OU 及 OU 包含对象的具体的权限指定给一个或几个用户和组 · AD典型桌面应用: 1. 用户按域中的用户名来登录桌面 2. HDC项AD进行用户信息认证 3. 用户虚拟机项域控同步域信息 * DNS(Domain Name System)计算机域名系统: · 域名解析 · 它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。 · 域名系统(Domain Name System ,DNS): 它是一种提供域名和IP地址之间的转换的分布式数据库,以方便访问网络。 · DNS的优势: 用户不需要通过IP数字串,只需要通过容易记忆的字符串来访问网络。 · DNS与域控制器协同工作: 域控制器会将它的主机名、IP地址和所扮演的角色等信息注册到DNS服务器内以便其他计算机可以通过DNS服务器找到这台域控制器。 · 域名空间采用分层结构包括: 根域、顶级域、二级域、子域和主机名。 域名空间的层次结构类似一棵倒置的树,其中根作为最高级别,大树枝处于下一级级别,树叶则处于最低级别。 DNS正向解析: DNS正向解析需要建立正向查找区域,正向查找区域是指在DNS域名空间中使用正向查找的区域,正向查找是根据DNS客户端提供的域名解析成IP地址。 DNS添加记录: · 创建正向查找区域后,为新区域创建主机名为host01的主机记录,主机用于将DNS域名映射到计算机使用的IP地址。 · 在创建正向查找区域的主机记录时,勾选“创建相关的指针(PTR)记录”,则会在反向查找区域内自动加入相应的指针。 DNS反向解析: · DNS反向解析需要建立反向查找区域,将IP地址解析成域名。 · 当反向查找区域创建后,要为该区域创建记录指针。该指针用于指向正向DNS域名计算机的IP地址到反向DNS域名的映射。 DNS设置转发器: · 当DNS客户机向DNS服务器发送名称解析请求时,DNS服务器首先尝试自己解析该名称, 如果不能解析,DNS服务器会向其他的DNS服务器进行递归查询,此时需要设置本服务器可以使用转发器功能。 · 当虚拟机需要登录外网/公网时,需要在DNS服务器上配置DNS转发。 DNS在FusionAccess中的解析: 1. vLB/WI 登录域名 · 用户登录虚拟机的地址,需在DNS配置登录所需的域名地址 2. HDC计算机名 · 用户虚拟机向HDC注册时,需要通过HDC的域名到DNS上查找相应的IP地址,进行认证 * DHCP(Dynamic Host Configuration Protocol)动态主机设置协议: · 动态地址分配 DHCP (Dynamic Host Configuration Protocol): · 这是一种动态的向Internet终端提供配置参数的协议。 在终端提出申请之后,DHCP可以向终端提供IP地址、网关、DNS服务器地址等参数。 · 使用 UDP 协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户、给内部网络管理员作为对所有计算机作中央管理的手段。 DHCP 的必要性: · 在大型网络中,如果每台终端的地址都是由不同的使用者来分配,那么就很容易出现地址相同的情况。 · 在TCP/IP网络上,每台工作站在访问网络及其资源之前,都必须进行基本的网络配置,一些主要参数诸如IP地址,子网掩码,缺省网关,DNS等必不可少,还可能需要一些附加的信息如IP管理策略之类。 · 在大型网络中,确保所有主机都拥有正确的配置是一件的相当困难的管理任务。 · 因此,需要有一种机制来简化IP地址的配置,实现IP的集中式管理。 而IETF(Internet网络工程师任务小组)设计的动态主机配置协议(DHCP,Dynamic Host Configuration Protocol)正是这样一种机制。 DHCP 的优势:: 1. DHCP减少错误 通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少。 2. DHCP减少网络管理 TCP/IP配置是集中化和自动完成的,不需要网络管理员手工配置。 网络管理员能集中定义全局和特定子网的TCP/IP配置信息。 使用DHCP选项可以自动给客户机分配全部范围的附加TCP/IP配置值。 客户机配置的地址变化必须经常更新,比如远程访问客户机经常到处移动,这样便于它在新的地点重新启动时,高效而又自动地进行配置。 同时大部分路由器能转发DHCP配置请求,这就减少了在每个子网设置DHCP服务器的必要,除非有其它原因要这样做。 DHCP的责任: · 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。 · DHCP应当可以给用户分配永久固定的IP地址。 · DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。 · DHCP服务器应当向现有的BOOTP客户端提供服务。 · 在桌面云解决方案中,DHCP服务器负责为所有桌面分发网络配置信息。 它分为两个部份:一个是服务器端,而另一个是客户端。 所有的 IP 网络设定数据都由DHCP 服务 器集中管理,并负责处理客户端的 DHCP 要求; 而客户端则会使用从服务器分配下来的IP环境数据。DHCP 通过 "租约" 的概念,有效且动态的分配客户端的 TCP/IP 设定,而且,作为兼容考虑。 DHCP 的分配形式首先,必须至少有一台 DHCP 工作在网络上面,它会监听网络的 DHCP 请求,并与客户端磋商 TCP/IP 的设定环境。 三种 IP 定位方式: 1、人工分配: 网络管理员为某些少数特定的Host绑定固定IP地址,且地址不会过期。 2、自动分配: 其情形是:一旦 DHCP 客户端第一次成功的从 DHCP 服务器端租用到 IP 地址之后,就永远使用这个地址。 3、动态分配: 当 DHCP客户端第一次从 DHCP 服务器端租用到 IP 地址之后,并非永久的使用该地址,只要租约到期,客户端就得释放这个 IP 地址,以给其它工作站使用。 当然,客户端可以比其它主机更优先的更新租约,或是租用其它的 IP 地址。 桌面云组件交互流程: 虚拟桌面发放流程: 第一次改名:vm的标识----名字 win10+ID 第二次改名:根据命令规则进行改名 注册表信息:虚拟机IP、SID、port FA 虚拟机注册、登录流程: · 虚拟机注册流程: 1、 虚拟机开机挂载 FusionAccess window intall 的 ISO 文件 —— 开启 HDA 服务 HDA包含两个重要组件 HDP-Agent 简称HDA (虚拟机核心组件) 功能与HDP交互 对接HDC (获取FQDN的IP,如果有直接发送,如果没有,需要到DNS下获取与FQDN对应IP,则可以发送) 2、 检测注册表指定的list of HDCS注册表 (HDC域名) 3、 注册请求参数 (包含了VM的SID[虚拟机的唯一标识],虚拟机的 IP 信息,虚拟机端口号) 4、 选中一个可用的 HDC IP 记录, - 但是 HDC 只有域名没有 IP,需要通过 DNS 解析到相应的 IP 地址; - 如果有,那么直接发送 5、 检测 HDA 对应的 IP 是否能够于 HDC 进行通信, - 如果 HDA 没有能够与 HDC 通信,则返回注册失败的消息。 当产生失败后,HDA 会一直向 HDC 进行注册,直到 HDA 注册成功 - 如果通信成功,那么注册成功,则返回注册成功消息 6、 HDC 会将 VM 的注册信息保存在 DB ,同时虚拟机开启心跳 开启心跳是为了 VRM 和 ITA 能够监控并使用虚拟机 · 登录流程: 1、 当用户从 WI 或者 HDP Client 登录的时候,会第一之间与AD进行交互 (验证用户名密码是否正确,AD 会将结果返回到 WI 或者 HDP Client 界面上;如果是正确的,就可用直接看到虚拟机列表的图标;如果验证失败会告知用户名或密码错误) ------------------------ · 获取虚拟机列表过程 ------------------------ 2、 已经成功登录了 3、 WI 向 HDC 查询虚拟机列表,由于 HDC 不具备保存虚拟机的信息,所以 HDC 向 DB 查询虚拟机的信息,DB 会把用户匹配的虚拟机信息返回给 HDC ,再由 HDC 返回给 WI。 ----------------------------------------- · 访问虚拟机流程 - 预连接 ( HDP 经过网关) ----------------------------------------- 4、 用户提出登录,由 vLB 分配 WI (如果没有vLB,用户直接登录 WI 页面) WI 向 HDC 查询被登录虚拟机信息 ( IP 、 port 、 SID ) ,DB 返回相应的信息给 HDC;此时在 HDC 上产生登陆票 登录票分两种: - Address ticket:地址票 —— 虚拟机IP等 - Login ticket:用户信息票 有登陆票之后,用户才能进行登录。 5、 当用户登录成功治好后,HDC 会向 license 验证 ( ITA 的 licnse 详情属性更新登录用户,当登录用户超过1.1倍的时候,其他的用户将无法登录,需要向官方申请扩容 = ¥ ) ----------------------------------------- · 访问虚拟机流程 - 预连接 ( HDP 未经过网关) ----------------------------------------- 4、 此种登录方式与 HDP 经过网关类似,唯一不同的是,在 HDC 内部只生成一张门票 (Login ticket 即可,Lotin ticket 包含了虚拟机和登录用户的信息) ----------------------------------------- · 用户访问虚拟机 ( HDP 未经过网关) ----------------------------------------- 6、 由用户点击小电脑,小电脑用 HDP 协议向 VM 发送门票( Login ticket ) 7、 由于 VM 不具备验证门票的真伪,需要向 HDC 进行验证,HDC 验证通过后会将域账号和密码发送给 VM ,虚拟机会把这个域账号自己登录 (不用担心新域账号不能通过,如果不能登录通过,在发放虚拟机的时候就会报错) 8、 登录时,HDA 将桌面信息返回给用户,同时将虚拟机的状态告知给 HDC ,此时 HDC 会更新该 VM 状态 (connected) ----------------------------------------- · 用户访问虚拟机 ( HDP 经过网关) ----------------------------------------- 6、 由用户发起连接 将两张门票( Address ticket,Login ticket ) 发给 VAG ,VAG 通过 HDP 协议向 HDC 验证 Address ticket, 7、 验证通过后 HDC 把虚拟机IP、端口、SID 告知给 vAG; 8、 vAG又用得到的虚拟机信息登录虚拟机,同时将 Login ticket 发送给虚拟机验证,由于虚拟机无法验证 Login ticket 门票的真伪,需要向 HDC 验证, 9、 HDC 验证通过后,会把域账户信息发送给虚拟机,虚拟机又将这个域用户登录 10、 登录成功后,用户将会看到虚拟机的界面,同时虚拟机将自身更新的状态发送给 HDC * 登录流程整合: FA 虚拟机-登录流程-整合(重要): 1、 由终端(TC/SC)向 vAG/vLB 发起登录请求。 2、 vAG/vLB 向该请求分配 WI 3、 WI 收到请求查询用户密码 4、 WI 获取用户和密码向 AD 进行验证 5、 AD 验证通过,发送通过信息给 WI 6、 WI 向 HDC 获取虚拟机列表 7、 HDC 向 DB 获取 VM 列表和虚拟机信息(IP、端口/PORT、SID、VM 状态) 8、 DB 获取 VM 信息将信息返回给HDC 9、 > 同时进行 表面: (1) HDC 将 VM 列表及 VM 信息返回给WI (2) WI 将虚拟机信息返回给网关 (3) 网关将虚拟机登录信息交给终端 (4) 待域用户验证通过后成功登录FA虚拟机 内在: (1) 在 HDC 将 VM 信息交给 WI 时,同时向 HDA 发起预连接请求 (2) HDA 收到预连接, - 预连接成功返回给 HDC (一般来说都会成功) - 预连接失败,则返回终端登录失败 (3) HDA 向 HDC 发起预连接请求成功的消息后, 未经过网关: (1) HDA 向终端获取 Login ticket 门票,然后向 HDC 验证 (2) HDC 门票验证成功,返回域用户信息给终端 (3) VM 收到信息向 HDC 更新 VM 状态 经过网关: (1) vAG 向终端获取 Login ticket 和 Address ticket 两张门票,然后向 HDC 验证 (2) HDC 门票验证成功,返回域用户信息给终端 (3) VM 收到信息向 HDC 更新 VM 状态 (4) 门票验证通过,HDA 使用域用户登录自己 (5) DHA 登录自己,向 AD 进行域账号登录验证操作 (6) AD 进行域账号登录验证操作,验证成功后,返回提示信息给HDA (7) WI 将虚拟机信息返回给网关 (8) 网关将虚拟机登录信息交给终端 (9) 待域用户验证通过后成功登录FA虚拟机 10、 终端提示用户登录成功
FusionAccess桌面云业务发放
克隆技术:
· 克隆技术主要可分为完整复制和连接克隆两种,根据不同的需求,又衍生了快速封装和全内存另外两种
· 完整复制 - 原理: 完整复制虚拟机指直接根据源虚拟机(即普通虚拟机模板),完整创建出独立的虚拟机。 在该方式下,创建出来的虚拟机和源虚拟机是两个完全独立的实体,源虚拟机的修改乃至删除,都不会影响到复制出来的虚拟机的运行。 总结:根据模板克隆出一模一样的虚拟机,对虚拟机的任何更改不会影响到源卷, 模板机与发出的虚拟机系统相互独立,互不干扰 - 优点: 每台虚拟机都是独立的个体,用户对虚拟机上数据的变更(如安装软件)可以保存。 - 缺点: 源虚拟机和目标虚拟机分别占用独立的CPU、内存、磁盘资源,当需要对虚拟机的软件进行维护(如升级软件、更新软件病毒库等)时,需要对每台虚拟机进行操作。 · 快速封装虚拟桌面: 方案原理说明: · 不采用sysprep封装,而是由虚拟机里的应用程序改名和加域。 · 完整复制和快速发放并无本质区别。 总结:与完整复制类似,性能比完整复制好 优点: 相对于完整复制模板,使用快速封装模板发放虚拟机速度更快,效率更高。 · 链接克隆: 原理: · 链接克隆是一种通过将链接克隆母卷和链接克隆差分卷组合映射为一个链接克隆卷,提供给虚拟机使用的技术; 其中链接克隆母卷为只读卷,多个链接克隆虚拟机共用一份。 · 链接克隆差分卷是读写卷,其存储是精简配置的,每个链接克隆虚拟机一份,保存了每个虚拟机差异化的数据。 总结: - 同样是克隆出一个虚拟机出来,但是是基于母卷(模板机)来的,创建出来的新的虚拟机,产生的数据是存放在差分卷里面的; 源卷+差分卷 - 基于源卷产生的链接克隆虚拟机,虚拟机会产生差分卷,会形成新的一个卷——链接克隆卷(源卷数据与差分卷的数据结合而来); 注意链接克隆不能更改母卷,母卷是只读; > 链接克隆在第一次操作时,它所消耗的时间与完整复制相差不多, 优势: · 管理员可以统一对链接克隆虚拟机进行系统升级、系统补丁、安装新软件。 · 共用系统母盘,创建虚拟桌面减少系统盘的复制过程。 · 链接克隆的差分盘,保存用户工作的临时系统数据, 只要把虚拟机关闭,差分盘就可以自动清除。 · 通过与Active Directory配合, 可以满足保存用户的个性化配置及个性化数据要求。 基于链接克隆,能帮助客户提升效率、节约成本(链接克隆的价值): · 只需秒级就能完成虚拟机的快速创建,缩短了发放时间,提高了虚拟机的发放效率。 · 节省大量的存储空间,从而使企业的IT成本更低。 · 提高维护管理效率,可以很方便的对链接克隆虚拟机进行统一的系统更新与打补丁等操作,节约后期维护成本。 为什么要使用链接克隆: 1. 创建快 2. 节省存储空间 == 节省资源 == 省钱 3. 后期运维方便、便捷 模板、母卷和差分卷: · 母卷是根据模板制作出来的 · 一个母卷可用创建最多128个差分卷。 当差分卷达到129时,会使模板再建一个母卷,同样的, 这个母卷可以建128个差分卷 存储规则: 存储子系统设计从容量和IOPS两个维度设计: - 存储容量维度: 总硬盘数 = (Roundup(总人数 / 128, 0) * 母盘大小 + 总人数 * 差分盘大小) / 每盘有效容量 * 热备盘率 - 存储IOPS维度: 总硬盘数 = (总人数 * (母盘IOPS + 差分盘IOPS)) / 每盘有效IOPS * 热备盘率 存储计算举例: · 设链接克隆母盘大小为40G,母盘IOPS为2,差分盘的大小5G,差分盘IOPS为3;采用300G的SAS盘,组成RAID10,VDI应用场景的写IO占70%,则: · 每个300G SAS盘的有效容量 = 300 / (1.024 ^ 3) * 0.5 = 139G。 · 每个SAS盘的有效IOPS = 200 / (1 + 1 * 70%) = 117。 · 计算500链接克隆VM需要多少硬盘数? · (容量维度)总硬盘数= ((Roundup(500 / 128, 0) * 40 + 500 * 5) / 139) * 12 / 11 = 22。 · (IOPS维度)总硬盘数= (500 * (2 + 3)) / 117 * (12 / 11) = 24。 · 故结合容量和IOPS维度,500链接克隆虚拟机最少需要24块300G的SAS盘。 · 全内存: 产生背景: · 与传统PC相比,VDI将用户的存储资源集中化,一方面提高了存储资源的共享和利用率,但是在一些特定场景下会出现“IO风暴”问题。例如在多个VM进行同时系统启动和登录时,会产生大量突发读IO,是平时IO的几十倍甚至几百倍,这就是我们常说的“启动风暴”或“登录风暴”。 · 全内存桌面解决方案在此背景下应运而生,充分利用内存介质极高的IO读写性能,采用在线去重压缩技术,将虚拟桌面的存储读写转换为对内存的读写,很好的解决了VDI系统的“IO风暴”问题,大幅提升桌面用户体验。 介绍: 将系统磁盘使用在线区重压缩技术,将原本磁盘中的数据存放再内存里面,一方面为了避免 I/O 负载过高导致 “ I/O 风暴” ,另外提升了数据读写的性能; 磁盘最快读写速率120Mb/s,内存最快读写速率550Mb/s,是将近磁盘速率的4倍 原理: · 采用内存去重压缩和复用技术,将桌面虚拟机的系统盘全部放到内存中,使得桌面虚拟机的磁盘读写操作,转化为内存操作,大幅提升用户的使用体验,超越本地物理机。 · 支持链接克隆类型/场景的虚拟机,不提供系统盘个性化数据能力;非常适用于学校上机室、电子阅览室等无状态桌面场景。 全内存桌面方案概述: · 全内存桌面是运用IO Tailor技术,将虚拟机的系统盘数据,进行在线实时去重压缩后,全量放入内存;以此获得极高的读写存储IO性能。 放入内存的数据不进行实时持久化,虚拟机关机或者服务器主机重启,虚拟机将恢复到初始状态。 适用于如:学校教学、呼叫中心、CI等无状态任务型桌面场景。 · 全内存桌面方案,每个虚拟机共同拥有相同公共系统模版,差异化的系统数据经过去重处理后保存在一一对应的去重的系统卷中。 其中模版备份保存在本地磁盘或共享存储中,供硬件下电后恢复上电时,恢复系统使用。 ID盘和应急盘也保存在本地磁盘或共享存储中,分别用于关机还原恢复以及磁盘写满应急使用。 全内存桌面支持统一虚拟机模板部署、统一完成模板更新和还原。 同时支持动态池和静态池两种部署形态。 与传统VDI和链接克隆相比,全内存桌面采用的是全盘去重技术,存在以下差异化的优势: · 在线重删系统数据,最大限度提高存储空间利用率,不存在链接克隆只能去重母卷数据,后续子卷数据无法去重的问题。 · 没有性能老化的问题,所有系统盘数据始终在内存中,不存在链接克隆会将后续子卷数据保存在存储磁盘中。 · 全内存桌面采用内存做主存介质,在提升用户体验的同时最大程度减少了用户的存储资源,简化后续运维。 · IO Tailor的去重压缩方案针对VDI和内存介质进行专门优化,去重压缩的同时,还保证了数据交互实时性和一致性; 并采用高效的空间管理算法解决小块数据存储问题,极大降低内存空间管理消耗。 · 提供应急磁盘保障机制,确保一旦出现内存空间用尽时业务不中断。 完整复制和链接克隆的区别: · 链接克隆桌面与完整复制桌面的区别主要在于系统盘的存储上。 · 链接克隆桌面的虚拟机共享一个相同的系统母盘, 每台虚拟机对系统盘的写操作数据(如工作临时缓存数据、个性化配置(C:\User)、临时安装的个性化应用程序(C:\Program Files)等)都保存在自己的差分盘中。 并且通过将母盘和差分盘组合映射为一个链接克隆盘作为虚拟机的整个系统盘(即C盘),提供给虚拟机使用。 --------------------------------------------------------------------------------------------------------------------------------------------- | : 完整复制 : 链接克隆 : 全内存 | --------------------------------------------------------------------------------------------------------------------------------------------- |系统盘 : 每个 VM 是独立的 : 每个 VM 都基于母卷 :没有,利用重压缩和复用技术放在内存空间上 | --------------------------------------------------------------------------------------------------------------------------------------------- |运维难度 : 需要逐个运维与传统IT类似 : 只需要修改母卷即可 : 只需要修改内存数据即可 | --------------------------------------------------------------------------------------------------------------------------------------------- |存储使用量 : 因disk独立,占用大量存储空间 :因基于母卷,产生差分卷,占用少量存储空间 : 无 | --------------------------------------------------------------------------------------------------------------------------------------------- |VM 发放时间 :因disk独立,所以创建 VM 时,需要分别创建disk : 只需建差分卷即可 : 很快,因为是读写的 | --------------------------------------------------------------------------------------------------------------------------------------------- 克隆技术发放速度: (除第一次) 链接克隆/全内存 ---> 快速封装 ---> 完整复制 从安全角度说明: (除第一次) 链接克隆/全内存 <--- 快速封装 <--- 完整复制 · 封装系统: 概念: · 封装系统,就是把系统制作成镜像的方法刻录到光盘,用在系统安装上面,不同于系统的正常安装,最本质的区别在于系统封装是将一个完整的系统以拷贝的形式打包,然后用粘贴的形式安装在另外一个系统盘上,而正常安装则是通过 Setup程序进行安装。 优点: 把系统安装的时间缩短N倍,安装系统只需要5-10分钟。 在系统里加入自己喜欢的软件。 封装系统工具 - Sysprep: 特点: · 从 Windows 中删除系统特定的数据。 · 将 Windows 配置为启动进入审核模式。 · 将 Windows 配置为启动进入“欢迎使用 Windows”。 · 重置 Windows 产品激活。 为什么要进行 Sysprep ? · 微软的操作系统使用安全标识符(SID)对计算机和用户进行识别, 对于域管理员来说,分配给计算机账号的叫 Machine SID, 分配给用户账户的是用户账户 SID。 · 当从一台主机克隆出多个 PC,或者使用同一虚拟机母板克隆出多台 VM 之后,其 SID 势必会相同,在加入域时会造成安全主体的识别混乱和加域失败等。 对于同一局域网中,存在相同 SID 的计算机或账户也可能会导致很多奇怪的问题,特别是权限和安全方面的问题。 > Sysprep 工具只能在完整克隆虚拟机时才会使用,而使用 Sysprep 工具后,可以再次将系统初始化,并不继承模板的特殊数据 桌面发放: 桌面发放概述: 目前FusionAccess支持专有分配和池分配两种分配模式: - "专有" 指一人一台虚拟桌面,常用于OA办公等场景 一对一,电脑与某个人绑定,理论上讲智能被绑定人使用 - “池” 指一群人公用一组虚拟机,无个性数据,常用于呼叫中心等场景 在这个池里面的虚拟机可以供多人使用 虚拟机组: · 通过同一虚拟机模板创建的一组用户虚拟机 · 将虚拟机进行分组管理 --> 分组规则 虚拟机组类型: · 链接克隆: 虚拟机组中的虚拟机可以共享一个系统盘, 具有虚拟机创建速度快、软件更新快捷的特点, 该虚拟机组类型对应的虚拟机模板类型为“链接克隆”。 · 完整复制: 虚拟机组中的每个虚拟机都分配一个系统盘, 该虚拟机组类型对应的虚拟机模板类型为“完整复制” 。 桌面云组: · 一组分配给用户,使用桌面云的用户需使用域账户登录虚拟机。 桌面组类型: ·动态池:“虚拟机组类型”为“链接克隆”, 桌面组中用户与虚拟机没有固定的分配绑定关系, 但一个用户只能一次使用其中一台虚拟机。 解释:当用户A 登录某台 VM 后,该 VM 被占用,如果用户A 没有下机,那么其他用户将无法登录该台 VM · 静态池:“虚拟机组类型”为“链接克隆”, 桌面组在用户首次登录时,会随机分配给用户一台虚拟机与用户绑定,且一个用户只能绑定一台虚拟机。 解释:当用户A 首次登录某台 VM ,那么这台虚拟机就与用户A 进行了绑定,该 VM 在用户A 是否执行下机操作,其他用户都无法对该台 VM 进行操作。 · 专有:“虚拟机组类型”为“完整复制”, 则该参数为“专有”。 专有包括“静态多用户”和“单用户”。 快速发放: · FusionAccess 提供了快速发放功能,此功能就是通过向导式方法,简化管理员的发放操作难度,通过把桌面发放操作串联起来, 管理员只需按照此向导进行操作即可实现批量为用户发放虚拟桌面的目的。 · “快速发放”操作是以任务的形式来进行的,管理员只需按照操作向导完成任务创建即可, 后续操作都是由FusionAccess系统在后台进行,无需管理员再人工干预。 · 管理员可以在“任务中心”查看快速发放任务的进度,了解任务进展情况。
FusionAccess桌面云运维和管理:
概述和常用工具:
在华为桌面云解决方案中,运维操作包括如下内容:
· 登录FusionCompute系统,主要完成基础架构虚拟机的创建、资源池的管理维护、各服务器虚拟机的管理维护。
· 登录FusionAccess系统,主要完成用户虚拟机业务调整、业务回收、策略管理、账户管理、告警、统计报表、备份和恢复的管理维护。 · 登录FusionAccess基础架构虚拟机,主要完成系统重启、补丁安装、病毒扫描、备份恢复的管理维护。 FusionCare工具: FusionCare是专门为运维准备的工具软件,主要功能有两点,如下: · 创建健康检查任务,对桌面云管理节点进行健康检查,并输出健康检查报告,发现系统的潜在问题或风险,给出相关处理建议或最佳实践。 · 当系统出现问题时,管理员可以创建收集任务,选择日志收集节点,一键式打包收集日志,无需管理员再到每个系统组件上手动收集,提高效率。 vDesk(用户体验优化工具): 1. 连接诊断工具:当虚拟机无法连接时,使用该工具进行检测并对可修复的选项进行自动修复。 2. 日志收集工具:一键式收集虚拟机的日志用于问题定位。 3. 华为外设助手: 策略自检(自动检测虚拟机当前外设策略,只能识别典型设备重定向方式) 配置指导(显示当前外设配置的重定向方式,提供图文并茂的配置指导) 常规分析(根据不同的重定向方式,提供自动及手动排查结合的常规分析) 深度分析(结合关键日志流程,进行外设问题的一键式深度分析) vTools(运维管理工具集): 1. AD检查工具:主要用于局点桌面云建设时,检查AD(包括:局方AD)的满足度,比如:权限等。 2. WI拨测工具:用于替代日常手工巡检,通过模拟用户通过WI登录VM,并将结果通过邮件反馈给管理员。 3. WI换图工具:用于更换WI的背景、LOGO图片。 4. 信息收集工具:用于收集VM中的软件、外设、性能数据。 5. 信息分析工具:用于将信息收集工具的收集结果,对软件、外设兼容性分析,对性能数据进行统计汇总。 6. 链接诊断工具:用于VM无法链接时,进行自动检测并对可以修复的选项进行自动修复。 7. 体验优化工具:即vDesk,用于桌面云体验优化,发现并优化潜在影响桌面云正常使用的隐患。 8. 工具其他功能: (1)我要反馈:通过该功能,可以在线反馈工具问题或意见。 (2)在线搜索:通过该功能,输入关键字可以直接搜索FusionAccess的维护论坛上匹配的内容并显示结果。 (3)访问论坛:通过该功能,可以一键式链接到FusionAccess的维护论坛。 (4)帮助:一键式定位到vTools发布信息公告,便于及时了解vTools新版本动态。也可以在公告下直接回帖求助或反馈意见。 FusionAccess日维护任务: 组件状态监控: · 维护场景: 根据对组件状态的监控,快速发现系统的异常。 · 具体维护任务: 查看各组件状态是否正常。 系统告警监控: · 维护场景: 根据对告警的监控,快速发现系统的异常。 · 具体维护任务: 如有紧急告警,请按照告警帮助立即进行处理。 对于重要及以下等级的告警,每周末要按照告警帮助处理1次。 VIP桌面告警监控: · 维护场景: 针对VIP用户的虚拟机遇到的问题及时快速处理。 · 具体维护任务: 说明:必须优先配置VIP桌面需要看护的项目, FusionAccess Portal入口:“桌面管理 > 业务配置 > VIP桌面策略”。 定期查看VIP桌面告警。 配置告警转邮件,可实时处理VIP桌面告警。 说明: 需要配置告警转邮件。FusionAccess Portal入口:“告警监控 > 系统告警 > 告警转邮件配置”。 · 寻找位置: 方式一,主动查看: FusionAccess Portal入口:“告警监控 > VIP桌面告警” 。 方式二,告警转邮件,当VIP桌面状态异常时能够实时收到告警邮件。 用户虚拟机使用状态监控: · 维护场景: 通过例行监控,发现当前用户虚拟机运行状态、登录状态、分配状态、性能消耗情况、异常注册情况,通过这些数据的分析便于系统管理员发现系统潜在的问题并及时处理。 · 具体维护任务: 虚拟机状态信息统计。 虚拟机性能信息统计。 虚拟机注册异常次数统计。 网关状态监控: · 维护场景: 通过例行监控网关状态,监测一段时间内网关的CPU、内存及流量与其用户数使用资源是否匹配,便于提前发现异常用户(如持续占用带宽的用户等)。 · 具体维护任务: 网关基本信息的监控:监控网关状态是否异常。 用户连接信息的监控:监控活跃用户的使用资源是否异常。 FusionAccess周维护任务: 用户虚拟机重启: > 说明:此项建议用户自行重启。 · 维护场景: Windows操作系统长时间运行可能存在内存资源不足、进程占用CPU过高导致系统运行缓慢的风险,为保证系统正常运行,建议用户虚拟机至少每周重启一次。 · 具体维护任务: 建议用户虚拟机每3-5天重启一次,持续运行不要超过1周。 系统数据备份检查: · 维护场景: 为确保系统异常时有可用的备份数据,需定时检查备份功能和数据的可用性。 · 具体维护任务: 根据备份策略查看备份数据是否存在,如果出现异常,请立即处理。 FusionAccess月维护任务: 系统健康检查: · 维护场景: 定期对桌面云环境进行全面检测,防范于未然。 · 具体维护任务: 使用FusionCare工具进行系统健康检查,对于存在不合格的检查项, 请立即处理 用户使用虚拟机状态统计: · 维护场景: 通过对用户使用虚拟机情况的分析,可以帮助系统管理员快速分析出资源利用情况,对不合理的使用进行重新分配及回收,达到资源合理利用的目的。 · 具体维护任务: 一定时间段内的在线人数统计。 一定时间段内的用户每日使用时间统计。 一定时间段内的未使用的虚拟机统计。 一定时间段内用户虚拟机的登录情况统计。 基础架构虚拟机重启: · 维护场景: 为防止基础架构虚拟机长时间连续运行导致系统不稳定,需根据实际情况定期重启基础架构虚拟机。 · 具体维护任务: 建议基础架构虚拟机每3个月重启一次,持续运行不要超过120天。 基础架构服务器操作系统补丁更新: · 维护场景: 微软定期发布Windows补丁,需根据预警公告进行Windows补丁的更新。 · 具体维护任务: 更新windows基础架构组件操作系统补丁。 基础架构服务器病毒检查: · 维护场景: 为防止基础架构虚拟机遭受病毒攻击,需定期更新防病毒服务器和客户端软件,并定期扫描和清除基础架构服务器病毒。 · 具体维护任务: 更新防病毒服务器及客户端软件。 扫描并清除FusionAccess服务器病毒。 运维注意事项: 禁用操作概述: 业务操作类: (1) 类别:严禁在FusionCompute的界面上删除虚拟桌面。 操作风险:删除后,用户虚拟桌面不可用。 ---------------------------------------------------------------- (2) 类别:严禁在桌面云中搭建DHCP服务器或者DNS服务器。 操作风险:将会与系统的DHCP服务和DNS服务冲突,导致业务不可用。 ---------------------------------------------------------------- (3) 类别:严禁在虚拟机操作系统更新补丁等情况正常重启时,执行强制重启或强制关闭虚拟机操作。 操作风险:该类情况正常重启耗时较长,如果此时执行强制重启或强制关闭虚拟机操作,有可能损坏虚拟机。 ---------------------------------------------------------------- (4) 类别:严禁将Windows 10、Windows Server 2012的系统盘 作为用户盘挂载到操作系统为Windows 10和Windows Server 2012的虚拟机上。 操作风险:有可能损坏系统的引导文件,导致虚拟机黑屏。 进程服务类: · 禁止更改msconfig系统配置中默认的服务和启动选项。 · 禁止禁用HDP类服务;禁止卸载相关运行必备的软件 · 禁止在任务管理器中禁用以下进程: - local service (域服务器) - Network service (网络服务器) - System 网络类: · 禁止禁用VM网卡,禁用或修改网络配置。 · 禁止执行修改路由的脚本或命令,如route DELETE。 · 禁止在Windows防火墙例外选项中删除以下端口:28511、285512、28521、28522。 · 禁止打开Ipsec等具有禁止网络流量功能的软件或工具。 其他: · 禁止删除C:\Program Files\Huawei目录下的文件和文件夹。 · 禁止对VM执行睡眠操作,VM默认不启用睡眠操作。 · 禁止修改HDP客户端(Access Agent)配置文件。 · 禁止运行优化软件对注册表进行清理和优化。 · (慎用操作)自定义安装具有复杂变换功能的屏保,该操作会消耗大量系统资源,用户重新进入VM桌面时会有一定的延迟。 高危操作 : · 更换基础架构服务器: 风险: 操作不当,可能导致业务中断。 规避措施: 先备份数据,再进行更换操作。 重大操作观察项目: 观察是否存在未恢复的异常警告 · AD 上修改组策略操作 风险: 操作不当,可能导致业务中断 规避措施: 记录 AD 修改前的配置情况,当出现问题时,便于进行回退操作 重大操作观察项目: 观察虚拟机是否可以正常登录使用 · ITA 上批量创建、批量关联操作 风险: 白天进行批量操作,会影响 ITA 的性能,可能导致其他业务异常 规避措施: 1. 在夜间业务量低时进行批量操作 2. 批量创建、批量关联虚拟机前,请确认资源是否充足 重大操作观察项目: 观察虚拟机是否可以正常登录使用 · 在 FA 的 ‘初始配置’ 界面中,执行 “配置虚拟机化环境” 、 “配置域/OU” 、 “配置桌面组件” 操作 风险: 操作不当,可能导致业务中断 规避措施: 记录修改前的配置情况,当出现问题时,便于进行恢复操作 重大操作观察项目: 观察虚拟机是否可以成功 · 手动误删除虚拟机 风险: 操作不当,会导致虚拟机丢失,数据丢失,业务中断 规避措施: 请在删除前无比确认删除对象是否正确 重大操作观察项目:- · 手动更新虚拟机 风险: 会导致系统盘的用户数据丢失 规避措施: 请确认是否允许用户数据丢失,若允许,可执行手动更新操作 重大操作观察项目: · 手动还原虚拟机 风险: 会导致系统盘的用户数据丢失 规避措施: 请确认是否允许用户数据丢失,若允许,可执行手动更新操作 重大操作观察项目:- · 创建定时任务及策略选择 风险: 操作不当,可能会导致业务中断 规避措施: 需根据实际业务慎重选择合适的策略 重大操作观察项目: 观察定时任务执行是否可以正常进行 · 配置模板类型 风险: 配置的模板类型与实际类型不符,会导致业务发放失败 规避措施: 确认实际的模板类型,并正确配置 重大操作观察项目: 观察虚拟机是否可以正常发放 · 调整同步时钟源或修改同步时钟源 风险: 调整或修改同步时钟源,各虚拟机的时间会发生跳变,可能导致业务发生中断。 规避措施: 在夜间业务量低时进行操作。 重大操作观察项目: 观察调整或修改前后的时间差。 · 虚拟机长时间不重启 风险: 操作系统长时间运行后会有内存垃圾,导致虚拟机运行缓慢。 规避措施: 定期对虚拟机进行重启,建议不超过7天。 重大操作观察项目:- · 并发系统更新 风险: 大量并发系统更新导致服务器CPU耗尽,存储、网络拥塞,可能导致虚拟机运行缓慢,严重甚至引起节点重启、存储故障。 规避措施: 分批对用户虚拟机进行更新。 重大操作观察项目: 观察是否存在未恢复的异常告警。 · 并发杀毒 风险: 大量并发杀毒更新导致服务器CPU耗尽,存储拥塞,可能导致虚拟机运行缓慢,严重甚至引起节点重启、存储故障。 规避措施: 在夜间业务量低时进行操作。 重大操作观察项目: 观察是否存在未恢复的异常告警。 · 上班时并发启动虚拟机 风险: 大量虚拟机启动会造成IO风暴,导致虚拟机运行缓慢。 规避措施: 1. 虚拟机尽量不要关机。 2. 利用定时任务在上班之前先将虚拟机准备好。 重大操作观察项目: 观察是否存在未恢复的异常告警。 · 办公虚拟机并发播放视频 风险: 办公虚拟机并发播放视频会导致服务器CPU耗尽和网络拥塞,可能导致虚拟机运行缓慢、断连、无法连接。 规避措施: 1. 提高虚拟机规格。 2. 减少单个服务器上虚拟机密度。 重大操作观察项目: 观察是否存在未恢复的异常告警。 业务调整:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。