桌面云解决方案
三大块:理论、环境、实验
FA桌面云本质上就是虚拟机,那么这个虚拟机放在哪呢?
它取决于桌面云与之连接的对象是什么类型。具体来说,它可以与以下几种典型平台对接:例如华为 servers virshulization平台FC, 融合计算Openstack平台FSO等, 也可以与其他厂商的产品如VMware的Vsphere进行集成。值得注意的是,连接对象的不同决定了存储位置的不同:当连接到FC时,在VMR中可直观查看并管理这些虚拟机;而通过VNC等技术手段远程登录访问则是另一种常见方式,该流程虽然操作繁琐但在桌面云服务体系中占据重要地位
登录流程:在与客户端各组件之间建立频繁的数据交互后,在最后阶段通过网络连接实现与VM之间的直接通信以完成端到端的通信过程
主要采用瘦终端(Thin Client)配置HDP技术实现虚拟机的数据读写操作,并通过显示器实时呈现计算结果
各厂商桌面云解决方案:
1、华为——FusionAccess
2、思杰(Citrix)——XenDesktop(全球做的最好)
3、VMWARE——view
传统物理机三件套:
AD + DHCP + DNS
当用户首次使用Windows 10时,并不熟悉Admin账户和密码。系统通过Active Directory(AD)中的预设用户进行身份验证。将Windows 10实例加入到Active Directory域中后即可开始操作。由Active Directory系统负责权限管理以及执行以下操作:禁用U盘驱动器、设置用户登录水印和限制每次登录的时间间隔。每个用户的配置权限都独立于其他设备和账户配置。当不同用户采用不同的Windows应用程序进行本地化身份验证时,请注意这些操作仅基于用户的实际登录账户信息以及使用的设备参数,并且这种机制确保了用户的访问权限始终受到有效的监控与限制
这三个功能可布置于一台物理服务器上,并非单独构建独立系统而是与现有服务保持一致的架构模式通常会实施灾备策略与原有服务进行同步以确保快速切换时间由于这些数据仅构成简单的记录而非数据库规模的数据其总体规模较为有限因此无需复杂的存储配置即可满足日常需求
如今已可在FusionCompute环境中采用虚拟机模式进行部署。
假如在布置桌面云服务之前就已经布设好了两台物理型自动 Discovery(AD),那么后续创建的新 VM 将能够运行在 FC 环境内,并借助 AD 实现对 FC 资源的管理。
随后生成的新 VM 将能够运行在 FC 环境内,并借助 AD 实现对 FC 资源的管理。
当然还可以将现有物理服务器的服务迁移至 FC 并实现其虚拟化部署(即 P2V 方式)。这种迁移过程类似于房屋的平行移动——无需拆卸即可完成转换。
桌面云面临问题:
1、带宽要求
2、安全性要求
3、特殊性能要求(图形处理)
安全保障:例如防止数据外泄
以华为为例,在其内部员工的电脑上会预先安装类似监控功能的软件。这些设备上的关键资源和文件无法被复制或备份。如果有人试图将其中的重要数据外传,则系统将自动监控并录屏这些行为,并收集相关证据用于证明侵权行为。
其他人还在考虑:有没有其他方法可以不用借助设备就完成这一目标?比如说使用手机将所有数据逐页拍摄下来带走。然而这种方案也无法实现这一目标:因为在实际操作过程中可能会遇到各种问题比如说在拍摄过程中可能会频繁翻动光标并短暂停顿这会导致系统无法及时响应相关请求。当发现持续执行这一操作时系统会启动监控机制并调用摄像头获取证据以防止此类行为发生。
在早期时期,
如果你下定决心要获取这部分数据,
即使可能面临法律制裁但仍欲获取。
你可以直接非法获取主机上的硬盘(将这些硬盘内容转移至你的设备)。
由于这些关键数据通常被存储在本地硬盘中,
将这些非法获取的硬盘内容转移至你的设备后即可使用。
| DaaS | Desktop as a service(桌面云服务) |
|---|---|
| 把桌面迁移到公有云,华为云就有这样的服务 | |
| 黑匣子 | 是一个物理术语,是指不明白其工作原理的机器。 |
| AD | 活动目录(Active Directory)主要提供以下功能:认证、授权 |
| 账号集中管理、策略分发 ①服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。 ②用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。 ③资源管理:管理打印机、文件共享服务等网络资源。 ④桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。 ⑤应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。 DNS支持自动更新:客户端加入AD,自动将客户端的计算机名 + IP地址写入到DNS中(即使用户把计算机名和IP地址改了,他会回进行更新写入到DNS里面) 域,英文domain,是计算机专用词汇,是指Windows网络中独立运行的单位,在 Windows 网络操作系统中,域是安全边界。 域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的。 但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的。工作组是一个由许多在同一物理地点,而且被相同的局域网连接起来的用户组成的小组。相应地,一个工作组也可以是遍布一个机构的,但却被同一网络连接的用户构成的逻辑小组。 |
桌面云架构VDI与****IDV
第一个硬件名为TC(瘦终端)。二三号设备可通过下载相应的软件实现实例间的通信功能,并将其命名为SC(软件客户端)。后续实验中将利用软件客户端下载Cloud client以建立与云端资源的连接关系
从当前情况来看, 大多数厂商不太倾向于向下发 Linux 系统用于 FA 管理, 但对于那些希望将 Linux 系统接入 FA 进行管理的企业来说是可行的. 这些系统的功能特性能够顺利整合到 FA 中, 然而由于其本身的使用场景与 FA 的需求并不完全契合的原因, 在实际操作中很少有厂商选择向下发 Linux 系统的虚拟机 (VM).
不管是近处还是远处的网络资源都可以统称为云端。只要有网络连接的地方都可以被称为云端。通过互联网连接到附近的服务器所使用的资源也属于云计算范畴。将数据存储在网络存储服务中同样属于云计算的一部分。云计算的本质就是利用互联网的强大算力资源为用户提供各项服务。云服务本质上就是基于互联网提供的计算资源和相关服务。
| VDI | 虚拟桌面架构 |
|---|---|
| 本地只有一个TC,然后通过各种线连接到TC上,USB、VGA、网线(特别重要)甚至耳机线等等,更多的是去连接外设进行数据和信息或者音频的处理、交互和展示,给你的感觉好像本地部署了一台物理机在使用,但其实所有的计算、存储都是集中在云端的,并且在云端可以对这些VM进行统一的管理,运维比较方便 优点:本地无需做任何处理,对TC来说没什么压力,数据并非存储在本地有很高的安全性保障,易于维护,终端出问题直接换一个就可以了 缺点:使用的时候必须在线(网不能断) | |
| IDV | 智能桌面虚拟化 |
| 他有一个镜像服务器(部署在远端)和一个智能云终端(放在在本地,像是一台物理PC一样,该有的物理硬件资源几乎都有,然后计算存储也都跑在本地) 当你有桌面云使用需求的时候,通过连接镜像服务器去下载镜像(当然这个一般是集成、部署好的),然后到本地挂载、安装再去使用 优点:也并非一无是处,在镜像下载挂载安装完成以后是可以离线运行的 | |
| 所以在对比产品的时候要看他的出发点和应用场景不能一概而论 |
逻辑架构
比如现在有一些网吧中,在同一时间会有两种不同的桌面设置可供选择:一种是标准Windows桌面界面(支持各种常规操作),另一种则是开机后直接进入各种应用(如游戏、软件等)。需要注意的是,在这种情况下并没有安装Windows系统(即它不是基于Windows的操作系统),你可以根据自己的需求选择相应功能:比如运行游戏程序或者访问互联网服务等特定功能都是可行的;但如果你试图访问网页或下载文件,则无法实现。
虚拟应用可以限制你的某些行为
例如,在呼叫中心环境中:通常情况下,在内部员工中我并不希望让你们能上网。然而,在某些特定工作需求下这是必要的操作之一,请您理解的是为了让你们能够方便地进行数据查看、文件上传等日常工作中所需的操作。因此,在这种情况下我们可以向员工提供虚拟化的工作桌面服务;即只给予他们访问虚拟化应用桌面的能力而不提供完整的操作系统界面。这样一来不仅可以防止数据泄露或意外访问(偷看)还可以减少对系统资源的需求
| 业务流 | TC上的HDP Client通过HDP(云接入桌面协议)协议和VM里的HDP Agent进行数据交互 |
|---|---|
| 控制流 | 通过TC或者SC进行连接控制客户端,然后通过HDP对接负载均衡网关连接到FA,经过FA的反复交互,让我们的TC连接到VM(本质上是连接到HDP Agent华为桌面协议代理,没有这个组件是实现两边点对点通信的) |
| FA提供给我们的管理界面通过ITA组件来提供管理界面 |
HDP总体架构
我们主要依赖于鼠标键盘等输入设备来控制本地对VM的操作。如何将这些操作从本地发送到VM使其读取并执行并将结果返回给本地?这种交互通常由HDP协议来实现其协调、转换与信息传递功能,在实际应用中通常认为这两者之间的连接是由本地终端与VM上的HDA(即桌面代理)所实现的。先使用协议将指令编码并传输至目标端,在该进程内部处理以完成相应的操作步骤。
硬件部署
刀片类似于一组组计算节点/模块(每个都配备独立的CPU、内存、硬盘),通过在刀片服务器中配置窄带或全带的刀片来提升性能。
TPM:是加密模块接口,一般人用不上,都是商用电脑主板或者服务器上用。
Mezz:中间层适配器通常采用PCIe Express总线以实现对现有PCIe网络设备的扩展支持,并广泛应用于兼容SAS卡及其他类型存储解决方案。该适配器具有体积较小的优势,并且在安装完成后能够有效节省空间需求
三个不同的网络架构,在企业环境中通常会独立设置各自独有的网络架构与分段划分,在资源较为有限的情况下,则可考虑将管理网络与业务网络进行整合优化处理。例如我们所构建的实验平台FC便是这样一个系统性整合方案
| 存储网络 | 虚拟机的数据读写 |
|---|---|
| 管理网络 | 不同的环境有不同的管理设备,去管理VM也好应用虚拟化也罢 |
| 业务网络 | 远端VM和本地Client的业务数据交互 |
软件部署:
终端有两种方式:TC和SC,在对性能有较高要求的场景下更多会采用TC
| FA组件 | |
|---|---|
| 重要组件 | |
| vAG | virtual access gateway(虚拟接入网关) |
| 桌面接入网关和自助维护网关,当用户无法通过桌面协议登录到虚拟机,需要通过VNC自助维护台登录到虚拟机进行自助维护 | |
| vLB | virtual load balance (虚拟负载均衡),vLB是虚拟的,以软件形态存在,当然也有硬件的版本 |
| vLB对WI做负载均衡,因为WI可能不止一个,但是一般在实验中只装一个,因为实验环境流量少,但是在现网中流量大的场景下,你登录的网页一般是不一样的,比如百度,看似都是www.baidu.com,但是你不同时间不同地点,你访问的并不是同一个服务器,他们是做过负载均衡的,根据当前服务器的负载情况对用户流量进行分流通过负载均衡算法去选择合适的节点让你去登录,做到所有的节点负载都相当不止于出现两级化情况,他可能是全局(整套环境)也可能是服务器负载均衡,我们这里是组件级别的负载均衡 | |
| vAG和vLB一般一起部署,在接入的时候监控和分流来实现负载均衡 | |
| WI | web interface(用户登录的界面) |
| 给用户提供界面的接入接口 | |
| vLB跟WI的关系: 假设我们有很多个WI,我们在接入的时候接入的是vLB,通过接入vLB根据负载均衡的算法来实现在众多WI之中找一个合适的,然后转发登录请求进行登录到WI上 | |
| HDC | Huawei Desktop Controller(华为桌面控制器)---最核心的组件,参与整个流程(包括虚拟机的发放、分配、登录虚拟机),所有的监控、转发、调度都有HDC完成,HDC一旦出问题那FA的系统就没法正常用了 |
| LIC | License 授权服务器(在我们使用这台环境的时候,每一次都需要去验证你是否拥有这个功能) |
| 通过卖服务赚钱,就像开vip会员一样,而且还有不同的等级,买了以后会得到一串字符串,然后进行验证和导入,就可以获取不同的服务(例如用户并发量、设备环境管理数量、备份功能等等) | |
| ITA | IT Adapter(IT资源适配管理) |
| 1、主要作用对接FC或者其他虚拟化环境 | |
| 2、FA的管理界面由ITA组件提供,如果发现界面登不进去多半是ITA出了问题 | |
| DB | 数据库 |
| 主要存放用户和VM,VM和VM之间的关系,所有的数据都会在DB中记录并且更新,HDC会经常和DB进行交互,比如查询虚拟机的状态,或者用户能够登陆哪些虚拟机,验证数据的真实性然后反馈给客户 | |
| HDA | HDP Agent(华为桌面协议代理) |
| 安装在VM上,与Client进行交互的一个代理程序。因为VM装了Windows系统,但是客户端不能跟Windows直接做交互,需要这样一个代理的角色(中间人)做过渡。 | |
| Client跟HDA做交互,HDA再将具体的操作执行到VM上去,完成数据的传递和操作的实现 | |
| 现有IT系统,下列组件哪怕不在FA中使用,在现网中同样有意义和价值,帮助我们进行桌面管理、优化用的 | |
| AD | 提供域服务 |
| DNS | 域名解析服务 |
| DHCP | 动态主机配置协议 |
| FA中的组件,非必要选项,可提供一下额外的服务但大多需要License支持 | |
| SVN | Security VPN(华为安全网关与负载均衡产品) |
| Backup Server | 备份服务器 |
| FC需要备份,FA同样也需要对文件、数据、信息记录做备份 | |
| TCM | TC Manager(瘦终端管理) |
| 提供管理TC的web界面。可以监测TC的运行状态、连接状态、数据传递的速率等等,包括在TCM上对TC做一定的限制,类似于在VRM上对VM做管理 |
处理流程:
| 1 | TC/SC根据需求(是否跨二层)去选择是有需要对接vAG,然后连接vLB |
|---|---|
| 2 | 通过vLB进行负载均衡算法去选择一个WI |
| 3 | WI会去找AD,因为需要在HDP Client输入用户名密码进行身份验证,AD会返回验证成功或者失败 |
| 4 | HDP Client向HDC发起请求询问有哪些VM可以使用,HDC会去DB中查询、验证,然后将结果反馈给WI,WI以界面的形式传递给 HDP Client(也就是我们在显示器上看到多个VM可供我们选择) |
| 5 | 用户在HDP Client(客户端)上做出选择,选完进入到某一台VM中,在进入过程中会有一个域连接、连接的过程,通过跟HDC、License、AD进行一系列的交互,然后客户端跟VM(严格来讲是跟HDA)建立起端到端的连接,通过HDP进行点对点的通信,后面就不再过组件了 |
时钟同步:
对于任何系统而言,在时钟同步方面都至关重要
在同一个环境中无需关心各设备时间与北京时间同步(无论是否同步均不影响整体运行),关键在于设备之间的时间差不应过大(若长时间不进行校准则可能导致各设备时间相互分离)。即每隔一段时间需进行一次校准(否则会导致各设备时间相互分离)。
当缺少时钟源时
网关与负载均衡器的部署方案:
尽管vLB主要负责处理负载计算、查找WI动作以及进行请求接收与转发操作,但其面临的负担其实并不算很大
而当用户点击进入系统后,在登录过程中总共需要进行三四次的操作交互。由于接入规模较大且耗时较长的原因,在用户数量增长后并不需要相应增加对应的虚拟局域网(vLB),然而单独使用一个虚拟访问组(vAG)已经难以应对当前的工作负载需求。因此,在这种情况下需要根据业务需求对虚拟访问组(vAG)进行动态扩展配置以确保系统的正常运行。
主要取决于用户的规模。在用户初期阶段时(即用户体量较小的时候),可以通过集成的方式实现vAG与vLB的协同部署;但随着vAG的数量持续扩大(即用户规模不断增大),则应当采取独立部署的方式;在必要时构建网关集群以实现更加复杂的部署需求