[云计算]HCIP-9-FusionAccess桌面云组件介绍与安装

目录

• FusionAccess全景图
• 1. 桌面云管理组件
  • 接入和访问控制层（WI/vAG/vLB）
  • 虚拟桌面管理层（ITA/HDC/TCM/License/GaussDB/Back up Server/SVN/UNS）
  • 桌面虚拟机核心组件 （HDA）
  • 桌面云管理组件安装部署（实验）
• 2. 桌面云关联组件
  • AD
    • 1. 什么是AD？
    • 2. AD对象
    • 3. 子域多域
    • 4. 域控制器
    • 5. 域策略（待补充）
    • 6. AD组策略（待补充）
    • 7. 组织单位OU（待补充）
    • 8. 区别
  • DNS
    • 1. 什么是DNS？
    • 2. DNS的两种查询方式
  • DHCP
    • 1. 什么是DHCP？
  • 桌面云关联组件安装（实验）
• 3. 桌面云组件交互流程
  • 虚拟桌面发放流程：创建、关联虚拟机
  • 虚拟机注册流程
  • 登录流程
  • 访问流程（待补充）
• 场景一：部署vAG，桌面协议HDP不经过网关
• 场景二：部署vAG，桌面协议HDP经过网关

FusionAccess全景图

1. 桌面云管理组件

接入和访问控制层（WI/vAG/vLB）

• WI（Web Interface） Web接口
  • 功能：为用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息转发到AD上进行用户身份验证，验证通过之后，WI将HDC提供的虚拟机列表呈现给用户，为用户访问虚拟机提供入口。
• vAG（Virtual Access Gateway）虚拟接口网关
  • 功能：桌面接入网关和自助维护网关，当用户无法通过桌面协议登录到虚拟机，需要通过VNC自助维护台登录到虚拟机进行自助维护。
• vLB（Virtual Load Balance）虚拟负载均衡器
  • 功能：在用户访问WI时，进行负载均衡，避免大量用户访问到同一个WI。

虚拟桌面管理层（ITA/HDC/TCM/License/GaussDB/Back up Server/SVN/UNS）

• ITA（IT Adaptor）IT适配器

  • 功能：为用户管理虚拟机提供接口，其通过与HDC（Huawei Desktop Controller）的交互、以及与云平台软件FusionCompute的交互、实现虚拟机创建与分配、虚拟机状态管理、虚拟机模板管理、虚拟机系统操作维护功能。

  • 虚拟机创建，发放，及日常维护都是通过ITA的portal进行。ITA调用HDC提供的接口。

  • ITA为基于Tomcat的一个Web Service，对上（IT Portal）提供统一接口，对下则集中了HDC、FusionSphere、虚拟机、DNS的接口，完成功能的整合。

  • 地址：https://ITA-IP:8448

• HDC（Huawei Desktop Controller）华为桌面控制器

  • 功能：虚拟桌面管理软件的核心组件，根据ITA发送的请求进行桌面组的管理、用户和虚拟桌面的关联管理，处理虚拟机登录的相关请求。

• TCM（Thin Client Management）瘦终端管理服务器

  • 功能：TCM为升腾曦帆桌面管理系统，管理员通过TCM对TC进行日常管理，例如批量对TC下电，批量进行系统更新）

• License服务器

  • 功能：License服务器是License的管理与发放系统，负责HDC的License管理与发放。

  • FusionAccess桌面管理软件主要用到其HDP连接数license，当用户连接虚拟机时会到License服务器上检查license，判断是否可以连接到虚拟机。

• GaussDB数据库

  • 功能：GaussDB为ITA、HDC提供数据库，用于存储数据信息。

• Backup Server备份服务器

  • 功能：备份各个组件的关键文件和数据。
  • BackupServer备份策略：
    • 每天凌晨1：00定时备份上传到备份服务器，存放目录"/var/ftpsite/配套的ITA名称/各组件文件夹名称"。
    • 备份空间充足时，备份服务器保存10天内的备份数据；备份空间不足时，系统会自动删除最早的备份文件。

• SVN（Security VPN）安全VPN

  • 功能：安全VPN单纯指华为接入网关以及负载均衡的设备（通过硬件实现vAG/vLB的功能）

• UNS统一名称服务

  • 功能：用户通过一个域名去访问不同套FusionAccess下的WI，用户不需要进行频繁的跳转。

桌面虚拟机核心组件 （HDA）

• HDA（Huawei Desktop Agent）华为桌面代理
  • 功能：安装在每一个用户的虚拟桌面中，提供终端与虚拟桌面之间的连接功能。
  • TC（SC）要通过HDP协议连接到虚拟机必须要在虚拟机上安装HDA。
  • HDA实际上时一系列桌面连接服务，为TC（SC）使用虚拟机提供支持。

桌面云管理组件安装部署（实验）

管理组件安装流程

• 配置云平台
  • 配置网络
    • 创建分布式交换机DVS
    • 创建端口组
  • 配置数据存储
    • 关联存储资源
    • 分配存储设备并映射给集群
    • 创建数据存储
• 创建并配置Linux基础架构虚拟机
  • 根据规划，创建Linux基础架构裸虚拟机
  • 设置虚拟机自恢复属性
    • 先运行脚本 sh /opt/galax/vrm/tomcat/script/modifyRecover.sh 虚拟机ID true
    • 然后 service vrmd restart
  • 从光驱安装虚拟机操作系统，根据规划
    • 配置网络
    • 配置主机名
    • 配置时区
    • 配置root用户密码
  • 虚拟机挂载安装Tools（PvDriver）
• 安装ITA/GaussDB/HDC/WI/License
  • startTools 进入图形化界面
  • Install all（Microsoft AD）
  • 主用组件安装的时候节点选择“Create a new node”
  • 备用组件安装的时候节点选择“Add to an existing node”
• 安装vAG/vLB
  • Custom Install
  • Install vAG/vLB
  • 注意：
    • 如果实际规划有两台WI服务器，需要输入这两台WI服务器的业务平面IP地址
    • vLB一定不能和WI部署在同一台虚拟机上

2. 桌面云关联组件

AD

1. 什么是AD？

目前 AD 已成为Windows Server中成熟的目录服务组件，它处理了在组织中的网络对象，对象可以是用户，组群，电脑，网域控制站，邮件，设置档，组织单元，树系等等。

• 活动目录(Active Directory)主要提供以下功能：

  • 基础网络服务：包括DNS、WINS、DHCP、证书服务等。
  • 服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。
  • 用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，缺省实施组管理策略。
  • 资源管理：管理打印机、文件共享服务等网络资源。
  • 桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
  • 应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

2. AD对象

• 活动目录（AD）的最小管理单元为对象（Object），也是一组属性的集合，一个 AD 网域中，以树状结构，组织如下的基本对象：
  • 域控（Domain Controllers），存储网域所属的网域控制站（简称 设备上下文、域控） 。
  • 计算机（Computers），存储加入网域的电脑对象。
  • 系统默认账户组群（Builtin），存储自带的帐户组群。
  • 用户（Users），存储 AD 中的用户对象。
  • 组织单元（Organization Unit，OU），可以在 OU 之中存放 AD 的对象，包括用户，组群，电脑等，让组织结构在 AD 中可以被真实的反映出来，便于以组织结构方式管理对象。

3. 子域多域

• 树由多个域组成，形成一个连续的名字空间，域树。
• 域森林是指一个或多个没有形成连续名字空间的域树。
• 信任关系
  • 双向信任
    • A域、B域互相信任
  • 单向信任
    1. A域信任B域，表示为：A>B，使得B域的员工可以直接访问A域上的资源
    2. B域信任A域，表示为：A<B，使得A域的员工可以直接访问B域上的资源
• 双向：本地域信任指定域，同时指定域信任本地域
• 单向
  • 内传：指定域信任本地域
  • 外传：本地域信任指定域

4. 域控制器

• AD域服务的目录数据存储在域控制器内，一个域内可以有多台域控制器，每台域控制器的地位（几乎）是平等的，由于控制器间存在着数据同步，他们各自储存着一份（几乎）完全相同的AD数据库。

5. 域策略（待补充）

6. AD组策略（待补充）

7. 组织单位OU（待补充）

8. 区别

• 用户组与组织单位OU的区别
  • 相同点：
    • OU和用户组都是活动目录的对象。
  • 不同点：
    • 用户组中包含的对象类型有限，只能是账号。
    • OU中可以包含账号、计算机、打印机、共享文件夹。
    • OU还有组策略的功能
• 域与组织单位OU的区别
  • 相同点：
    • OU和域都属于活动目录的逻辑结构范畴。
    • OU和域都是用户和计算机的管理单元，都可容纳活动目录的对象，都可以对其设置组策略。
  • 不同点：
    • 用户只能登录到域，而不能登录到OU。
    • 先有域，后有OU。
    • OU只能存在域中，而域不能在OU中存在。
    • 域的级别高于OU。

DNS

1. 什么是DNS？

• 域名系统（Domain Name System ,DNS），是一种提供域名和IP地址之间的转换的分布式数据库，以方便访问网络。
• DNS的优势
  • 用户不需要通过IP数字串，只需要通过容易记忆的字符串来访问网络。
• DNS与域控制器协同工作
  • 域控制器会将它的主机名、IP地址和所扮演的角色等信息注册到DNS服务器内以便其他计算机可以通过DNS服务器找到这台域控制器。
• 域名空间采用分层结构包括：
  • 根域
  • 顶级域
  • 二级域
  • 子域
  • 主机名

2. DNS的两种查询方式

• 假设：www.abc.com 的主机要查询 www.xyz.abc.com 的服务器ip地址

• 递归查询

  • 第一步：在hosts静态文件、DNS解析器缓存中查找某主机的ip地址。
  • 第二步：上一步未找到，去DNS本地服务器（即域服务器）查找，其本质是去区域服务器、服务器缓存中查找。
  • 第三步：本地DNS服务器找不到就根据"根提示文件"去负责顶级域".com"的DNS服务器查询。
  • 第四步："根DNS服务器"根据查询域名中的"xyz.com"，再向xyz.com的区域服务器查询。
  • 第五步：www.xyz.abc.com的DNS服务器直接解析该域名，则将查询到的ip再原路返回给请求查询的主机。

• 迭代查询

  • 第一步：在hosts静态文件、DNS解析器缓存中查找某主机的ip地址。
  • 第二步：上一步未找到，去DNS本地服务器（即与服务器）查找所有本层次的区域服务器
  • 第三步：本地DNS服务器查不到就查询上一层此的所有区域服务器，以此类推直至根域名DNS服务器"."
  • 第四步：到达根域名服务器后又向下查询，直至查到结果为止。

• 递归与迭代结合的查询方式（常用）

  • 第一步：在hosts静态文件、DNS解析器缓存中查找某主机的ip地址。
  • 第二步：上一步无法找到，去DNS本地服务器（即域服务器）查找，其本质是去区域服务器、服务器缓存中查找。
  • 第三步：本地DNS服务器查不到就根据‘根提示文件’向负责顶级域‘.com’的根DNS服务器查询
  • 第四步：根DNS服务器直接将其区域DNS服务器的ip地址返回给本地服务器，而不用再向xyz.com的区域服务器查询。
  • 第五步：本地DNS服务器将结果返回给请求的主机。

DHCP

1. 什么是DHCP？

• DHCP (Dynamic Host Configuration Protocol)是一种动态的向Internet终端提供配置参数的协议。在终端提出申请之后，DHCP可以向终端提供IP地址、网关、DNS服务器地址等参数。

桌面云关联组件安装（实验）

• 端口组：
  • FusionAccess基础架构虚拟机管理平面网卡创建端口组：在搭建虚拟化平台过程中，会自动创建ManagementDVS及VLAN号为0的端口组，管理平面网卡的端口组即设置为该VLAN号为“0”的端口组。
  • FusionAccess基础架构虚拟机业务平面网卡创建端口组：在搭建虚拟化平台过程中，如果管理平面和业务平面合一，则在ManagementDVS上创建业务平面网卡的端口组（推荐）；如果管理平面和业务平面分离，则在业务分布式交换机上创建业务平面网卡的端口组。

虚拟机	部署方式	操作系统	硬件规格	网卡
AD/DHCP/DNS	主备	Windows Server 2012 R2 Standard 64bit	CPU：2 内存：2GB 硬盘1：50GB（系统盘） 硬盘2：20G（备份盘）	vNIC1：业务平面 vNIC2：管理平面

3. 桌面云组件交互流程

虚拟桌面发放流程：创建、关联虚拟机

• 创建

（ITA → DB）将任务更新为running状态

（ITA ← DB）更新结果

（ITA）检查指定的虚拟机组是否存在

（ITA → DB） 如果指定的虚拟机组不存在则创建

（ITA ← DB）创建结果

（ITA → DB）保存创建好的桌面组信息

（ITA ← DB）保存结果

（ITA → VRM）下发创建虚拟机的请求

（ITA ← VRM）创建虚拟机任务ID

（ITA → VRM）根据任务ID查询结果

（ITA ← VRM）创建结果

• 同步

（ITA → DB）更新任务信息

（ITA ← DB）更新结果

（ITA → VRM）根据任务信息中的siteid/vmid查询虚拟机ip

（ITA ← VRM）虚拟机ip

（ITA → VM）根据虚拟机ip重命名虚拟机

（ITA ← VM）虚拟机改名结果

（ITA ← VM）判断虚拟机是否加域

（ITA → VM）加入域结果

（ITA → DB）将虚拟机添加到虚拟机组

（ITA → DB） 加入虚拟机组响应

• 关联

（ITA → HDC）将虚拟机加入桌面组

（ITA ← HDC）加入桌面组响应

（ITA → HDC）将用户关联到桌面组

（ITA ← HDC）关联结果

（ITA → VM）将用户添加至虚拟机的用户组内

（ITA ← VM）添加结果

（ITA → DB）更新任务结果

（ITA ← DB）更新结果

（ITA → VM）在虚拟机注册表内写入HDC地址

（ITA ← VM）写入结果

（ITA → VM）虚拟机重命名

（ITA ← VM）重命名结果

（ITA → VRM）重启虚拟机

（ITA ← VRM）重启结果

（ITA → VM）更新任务信息

（ITA ← VM）更新结果

虚拟机注册流程

（HDC Agent）1. 在虚拟机开启启动HDC Agent服务

（HDC Agent）2. 检测注册表中的指定的List Of HDCs注册表项

（HDC Agent）3. 构造注册请求参数对象

（HDC Agent）4. 选中一个可用的HDC IP并记录

（HDC Agent）4-1. 从注册表获取HDC对应的FQDN列表，若注册表中写的是HDC IP，则直接发送消

（HDC Agent → DNS）4-2. 获取FQDN对应的IP地址

（HDC Agent ← DNS）4-3. 返回对应的IP地址

（HDC Agent → HDC）4-4. 检查IP地址对应的HDC服务是否可用

（HDC Agent ← HDC）4-5. 获取可用的HDC响应

（HDC Agent → HDC）5. 发送注册请求消息

（HDC Agent ← HDC）6. 返回注册响应

（HDC Agent → HDC）6-1. 若注册失败，则选择备HDC IP并定时启动器循环反复进行注册

（HDC Agent ← HDC）6-2. 返回注册响应

（HDC → DB）7. HDC定时将虚拟机注册信息写到数据库

（HDC Agent）8.启动心跳，开始心跳

登录流程

• 访问WI页面

  • 访问vLB
  • vLB选择WI

• 用户鉴权

  • WI与AD交互进行用户鉴权

• 获取虚拟机列表

  • 通过WI与HDC交互
  • HDC从DB里面查询桌面列表

访问流程（待补充）

• 场景一：部署vAG，桌面协议HDP不经过网关

• 场景二：部署vAG，桌面协议HDP经过网关