【2022争霸赛*干货满满】深信服跨区开发测试网桌面云搭建和aCenter纳管以及华夏威客视频审计综合方案思路分享
  

山东_朱文鑫 28711人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2022-9-28 21:43 编辑

大家好,我是大白,正所谓纸上得来终觉浅,绝知此事要躬行。优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。

大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!

今天要分享的是深信服跨区开发测试网桌面云搭建和aCenter纳管以及华夏威客视频审计综合方案思路分享,因为方案的脱敏以及保密性,该方案涉及的地区以及IP地址跟拓扑部分信息都将会进行字母或模糊替代处理,方案涉及A、B、C、D四地,主要涉及A、B、C三个地区,中间的地区是通过运营商配置专线MPLS VPN以及GRE隧道等技术配置进行的打通,关于运营商的打通配置我们就不再详解,关于MPLS VPN以及GRE的协议原理讲解则会在后续的帖子中进行发布。

好的开始今天的案例思路分享跟简单配置截图展示。

部署背景:

      应对提升IT服务及管理能力,适应IT技术发展的需求,公司新建场景,传统部署业务上线周期长,效率低, 传统IT业务派发流程周期长,终端运维效率低下,传统IT架构无法满足日益突出的业务安全需求。本次项目在A,B,C地区,分别部署四套ECC云桌面存储来实现满足在不同场景下,员工办公的行为审计及监控,实现部分场景办公上网需求。

序号
名称
地区
数量
1
ADESK
A
5台
2
ADESK
B        
16台
3
ADESK
C
30台


网络拓扑规划:



       本次项目在开发测试环境搭建四套集群,涉及区域有A地16台云桌面存储型服务器,B地30台云桌面存储型服务器,分为两套集群,一套20台服务器给金科远程运维业务使用,另一套10台给数据分析业务使用,C地5台云桌面存储型服务器; VDC在B地区部署一套,用来实现A,B,C三个区域的桌面云系统运维管理,A和C分别放一台vdc做高可用冷备,防止B两台硬件vdc故障后导致整个云桌面的业务故障,可以从A或者C的硬件vdc接入;
        首先我们知道一个VDC可以对接多个VMP系统,但是一个VMP系统只能对接一个VDC这个网络前提就是保证,整个网是全通的,或者根据需求定向放通需要的所有信息,那么这个工作量会非常大,而且这三个区域下的A地区VDC一个地址,B地区是集群VDC部署一个不同的地址,C地区VDC是另外的地址,在三个地区的VMP正常使用的时候,主要是通过B地区的两个VDC的集群地址进行接入访问,当B地区的VDC集群全部挂掉以后,那么用A地区的硬件或者C地址的硬件VDC进行手动接入VMP三个集群进行接管,那么由此也可以看出,B地区的VDC配置要跟A地区以及C地区的VDC除接入地址外的所配置保持一致,因为VDC本身集群部署下没有主备高可用性,所以VDC的配置同步就需要手动同步A、B、C三个区域下的VDC配置以及B区域VDC故障后的切换A、B地区硬件VDC需要手动介入。
       深信服桌面云组件间通信比较简单,用户输入登录账号并点击VDI Client上的登录按钮时,VDI Client向B地VDC管理中心发送认证请求,如果认证失败,则提示认证失败。认证成功后,向管理中心发送配置、资源请求,并显示资源列表。
       用户点击资源页面的资源图标,RVLSession开始跟VMP建立连接,连接通过后,接收VMP的图像数据,并显示出来。
详细通信原理:
      步骤1. 用户在VDI Client输入账号和密码,并点击登录。VDI Client通过https向VDC 发送认证请求,支持的主认证方式有:用户名密码、U-Key、数字证书,辅助认证方式有:硬件特征码、短信验证码、动态令牌认证,主认证和辅助认证可以自由组合, VDC认证成功后,把结果返回给VDI Client。
     步骤2. 认证成功后,VDI Client通过https向发送资源列表请求,VDC把该用户相关的资源返回给客户端,VDI Client把资源显示出来。
     步骤3. 用户点击资源图标时,VDI Client通过SSL连接向VDC发送该虚拟机资源的配置,VDC把该虚拟机资源的外设权限、显示配置、连接地址等配置信息返回给VDI Client。
     步骤4.  VDI Client拿到虚拟机的配置后,解析部分配置,与VMP建立协议通道连接(TCP/UDP),并与VMP进行功能协商以及协议认证校验(防止非法接入)。VDI Client和VMP建立通道后,虚拟机有画面变化时,QXL驱动通知虚拟化平台的虚拟化服务端。
      步骤5. 虚拟化服务端对图形命令进行编码压缩,以及做去重处理。把处理后的数据发送给VDI Client。
      步骤6. VDI Client收到图像命令时,对图像进行解码,并调用系统绘图接口绘图。

•虚拟机配置:

      经调研,用户使用的虚拟机配置:
      通用4核8G,如有业务需求,可按照业务需要增加虚拟机配置,满足业务开发正常使用;

•功能需求
      1:录屏审计
      2:分布式防火墙
      3:文件传输控制/USB管控

详细地址规划:

     A地:



     B地:




     C地:




访问控制策略设置:



     C地:
     1:C地终端访问B地vdc的地址和443端口来访问云桌面;
     2:vdc的管理地址和vmp的集群地址进行通信,放开端口 4433、443
     3:C地终端aDesk 需要去连接VMP的端口范围是TCP 端口5500-5699

     A地:
     1:A地终端访问B地vdc的地址和443端口来访问云桌面;
     2:vdc的管理地址和vmp的集群地址进行通信,放开端口 4433、443
     3:A地终端aDesk 需要去连接VMP的端口范围是TCP 端口5500-5699

     B地:
     1:B地终端访问本地vdc的地址和443端口来访问云桌面;
     2:vdc的管理地址和vmp的集群地址进行通信,放开端口 4433、443
     3:B地终端aDesk 需要去连接VMP的端口范围是TCP 端口5500-5699


录屏审计存储:


分行
终端数量
每天数据产生量
6个月数据量
C地
600/150
30G
6T
B地
5000/600
120G
24T
A地
2000/500
100G
20T
D地
300/50
10G
2T


然后按照每个地区的部署位置进行设备上架部署。


VMP配置:


      组建VMP集群时,需将VMP主机添加到集群中。

前提条件 :
     1:配置集群时,先确保各主机的管理口都接在二层交换机上,且能相互通信。然后选择一台VMP主机作为“集群控制器”,登录控制台并添加其他主机。

注意事项:
     1.所有主机必须为同一版本。

操作步骤:
      1.登录VMP控制台,通过[实体机/添加主机],新增主机入集群。
      2.选择要添加的主机,输入正确的主机admin账户的认证密码后,主机图标由绿色勾选选中状态,表示允许被添加;点击<确定>,执行主机添加任务。




操作场景:


      1.通常情况可以直接通过平台中的任一主机IP来管理此集群。但如果该主机故障或连接该主机失败后,将无法继续管理集群。使用集群IP后,可以避免主机故障而导致无法正常管理集群的情况。

      2.通过集群IP连接到此集群时,可以更加稳定的管理虚拟机。集群IP是指访问VMP集群使用的IP,默认访问的是主控。


注意事项:


      集群IP与主机网卡IP需要是在同一网段,但不能配置为相同IP,否则会IP冲突。

操作步骤 :

      登录到VMP主机控制台后,如果同网段有其他主机,则会自动显示集群配置页面,提示配置集群IP地址。




     1.如果没有自动提示,可以在[管理/VMP集群IP]中手动配置集群IP地址。集群IP地址需要和所有主机的管理IP在二层网络中同网段。




      2.配置完集群IP后,在Chrome浏览器中重新通过集群IP地址(https://IP)登录控制台。


存储通信网络配置:

      两主机环境使用存储网络互联的方式组建虚拟存储网络。

操作场景 :

      适用于部署虚拟存储的场景。

前提条件 :

      主机存储口均已网络连接。

注意事项 :

      1.单台主机时默认使用复用VMP管理通信口。
      2.VMP集群默认使用ETH0作为管理网口和集群通信网口,用于同步VMP配置。存储通信网口用于同步虚拟存储的文件数据。两者建议使用不同的物理网口和不同的IP地址段,推荐使用“双交换机链路聚合”方式组建存储通信网络。

操作步骤 :

步骤1.虚拟存储初始化
VMP主机组建为集群后,进入VMP控制台,点击[存储/虚拟存储/创建卷],填写存储卷的名称。






1.选择物理主机。




2.配置硬盘。




说明:
       系统会对集群中所有主机的磁盘进行自动检测,默认选择机械磁盘作为数据盘,固态磁盘 作为缓存盘。建议采用默认配置,也可以自行修改。

3.确认虚拟存储卷1的配置信息:显示虚拟存储的配置结果信息,包括最终存储容量、副本数量和磁盘数量。确认配置无误后,需要输入管理员密码,点击<完成>以开始初始化虚拟存储。



3.创建完成后状态显示。




说明:
     虚拟存储根据前面配置的磁盘用途,自动计算出总共可用的存储容量。虚拟存储会自动预留 10%~30%的容量,以备快照等额外的空间消耗。因此:
     可用容量 = 数据盘容量总和 * (1-预留百分比)/副本数
     预留百分比:
     单盘 4T:10%
     单盘 750G 以上 - 2T:15%
     单盘 750G 及以下:30%


配置存储通信网口 :

1.VMP主机组建为集群后,在VMP控制台[存储/虚拟存储/创建卷]。




2.点击[立即配置],为集群各台主机间的存储通信配置部署方式。




3.选择每台主机对应的存储通信网口并配置通信网口地址。注意使用的网口IP需要与其他网口IP地址不同网段。




配置探测IP:
      探测IP通常配置为主机的网关地址,需要允许PING;单台VDS主机无需配置探测IP。

VDC平台安装

操作场景 :

      1.VDC是桌面云平台必不可少的一部分,独享桌面派生、VDI用户权限管理等均在VDC平台上进行,对于新部署的桌面云环境,需要手动在VMP平台上创建软件VDC虚拟机,并配置VDC的管理地址。

注意事项 :
     1.如果是多台VDS主机做集群,则建议至少创建2台软件VDC,分别指定其运行位置为不同主机,关闭其故障迁移HA功能,然后将VDC组建为集群。软件VDC创建安装完成后在高级选项,勾选“虚拟机异常自动重启”功能。

操作步骤:

     1.登录VMP控制台,根据向导提示创建软件VDC虚拟机,或者在[虚拟机/新增],弹出[创建虚拟机]窗口,点击[创建全新虚拟机],新建虚拟机时选择操作系统类型为[虚拟桌面控制系统(VDC)],其他选型均默认即可。



       2.配置VDC的管理地址。点击[配置IP],在弹出的[配置VDC的访问IP]窗口中,填入VDC的“IP/掩码/网关”。IP可配置为与管理网同一网段。点击<确认>,等待创建成功。




       3.使用步骤2配置的IP地址登录VDC控制台。打开IE浏览器,地址栏输入https://IP:4430(IP需替换为VDC实际IP地址),打开VDC控制台界面。默认登录账号和密码均为admin,VDC增加“用户使用协议”和“免责声明”勾选方能登录。




VDC 基础配置

操作场景 :
      1.对于新部署的VDC,可以登录VDC进行授权、网络等基础的配置设置。

前提条件 :
      1.VDC创建成功,且正常启动。

操作步骤 :
     1.使用IE浏览器登录VDC控制台。

     2.根据向导修改弱密码。在弹出的[弱密码警告]窗口中,点击立即修改密码,在弹出的[密码修改]窗口中修改密码。





       3.对VDC进行授权,[系统设置/系统配置/序列号管理],修改“序列号”;(VDI5.4.1 版本后对硬件VDC授权需要保证VDC和VMP通信正常才能获取授权)。





      4.打开[接入选项/客户机/个性化设置],勾选[自动下载并安装系统更新]和[开机自动运行客户端]。



      5.[接入选项/VDI Client/客户端自定义],勾选[允许用户选择自动登录]。




配置虚拟化平台控制器

操作场景 :
      1.通过在VDC控制台添加虚拟化平台控制器,将VDC与VMP关联起来,后续VDC才可以利用VMP平台的虚拟机模板进行派生虚拟机、对虚拟机进行开关机等操作。

注意事项 :
      1.VMP为集群时,虚拟化平台控制器的地址需填写集群管理口IP,不可填写主机IP。
      2.如下情况可能会测试连接失败:
      3.VMP离线,确保VMP处于在线状态。
      4.VMP默认连接端口4433已修改,需将地址端口修改为VMP所使用端口。

操作步骤 :
      1.打开VDC[控制台/VDI设置/虚拟化平台管理/虚拟化平台控制器],点击<新建>,弹出[新建虚拟化平台控制器]页面,如下图。





名称:定义该虚拟化平台控制器的名称。

    ⚫ 描述:虚拟化平台控制器的描述,方便记忆。
    ⚫ 控制器地址:虚拟化平台控制器的 IP 地址,该地址须与虚拟桌面接入管理系统能正常通讯。
    ⚫ 连接帐号:虚拟化平台控制器的管理员用户名称,用于登录控制器时做身份验证。
    ⚫ 密码:虚拟化平台控制器的管理员密码,用于登录控制器器时做身份验证。

按照实际情况配置完成后,点击<测试连接>可以测试虚拟化平台控制器是否连通, 测试成功后点击<保存>,保存配置,虚拟化平台控制器建立完成。或者<保存并继续添加>以保存当前配置并打开新的新建页面。




点击<控制器地址>,可以打开虚拟化平台控制器的控制台页面。


安装 aCenter:

aCenter 安装界面,选择“安装虚拟化管理平台(aCenter)”键盘按 Enter 键。




(1)确定“OK”




(2)选中“OK”,回车




(3)选中“Yes”,回车




(4)确定“OK”






(5)选中想要配置的网络接口




(6)配置网卡的 IP 地址、子网掩码和网关




(7)如果不需要配置其他网络接口,选择“No”


(8)默认的初始用户名密码均为 admin




(9)安装完成后,拔掉 U 盘,点击“Reboot”等待主机重启。




4.主机重启后,在任意一台物理 PC 上,使用 Chrome 浏览器,输入 https://aCenter_ip 即可访问控制台。


〖操作步骤〗

      1.使用 Chrome 浏览器输入 https://aCenter_ip 登录 aCenter 控制台。
      2.根据向导配置完成初始化配置。

(1)aCenter 接入密码:分支节点(VDC/VMP)接入 aCenter 时所需密码




(2)配置邮件告警。当 aCenter 上的 USB-KEY 被拔插或者服务/授权将要到期时,aCenter会向管理员发送告警邮件提醒。注意:若发件服务器不需要验证用户名密码,请勿勾选“发邮件服务器需要验证用户名和密码”选项。




(3)修改默认密码

由于 aCenter 可直接管理所有分支的服务器信息,所以请务必修改默认密码。




3.导入序列号。

(1)插入 aCenter 授权 KEY,点击【管理】-【统一授权】-【导入序列号】。



(2)点击“导入序列号”按钮,拷贝序列号信息到输入框后,点击下一步,会显示出 USB-KEY中的授权信息,查看授权数无误后请点击“确定”按钮,页面会显示出授权数信息。





4.填写授权后可在控制台界面看到全部授权信息。




分支节点加入 aCenter:

      Acenter和vdc的管理口进行通信



     1.当 VDC 连接成功 aCenter 后,会通知对应的 VMP 服务器也连接 aCenter,连接成功后,在aCenter 上会显示出总部 VDC/VMP 服务器的信息。

     2.分支机构的VDC服务器,连接 aCenter 时,需要填写总部网关的 WAN 口地址和对应的WAN 口映射端口(映射到 aCenter443 端口的对应端口)。



3.连接成功后
(1)VDC 界面将会显示“已连接到 aCenter:aCenter_ip”字样。



(2)VMP 界面可看到“VMP 已接入 aCenter,使用的是硬件 key 的序列号”字样。




(3)aCenter 界面可看到该分支结构内的 VMP 集群和 VDC 集群。




录屏服务器搭建:

实施说明:

      深信服的桌面云搭建华夏威客的审计软件配合来做,桌面云正常的实施部署,新建三台centos7.5~7.9版本之间的虚拟机,保证新建的三台虚拟机可以和所有的虚拟机进行通信即可。目前规划的是在烟台、济南、北京三个区域分别部署华夏威客的录屏服务器;

本次录屏服务器的搭建过程不做详细配置教程,如果需要后续会发出。

实施步骤:

1:桌面云正常实施部署,需要分配三台虚拟机

2:在虚拟机里面新建三台centos7.5的虚拟机,虚拟机的配置信息如下:





录屏虚拟机地址规划:




安装ELasticsearch:


             将打包好的AUDITSYS-4.5.0.6.tar上传到虚拟机“ASES”(ip:X.X.X.X)上任意路径下解压,


        AUDITSYS-4.5.0.6.tar 里面包含软件包如下:





安装AuditSys-Center(AuditSys控制台):


       还是执行上面的包里面的脚本,完成安装如下所示:





说明:
1、在AuditSys-Center控制台上获取硬件序列号,并将硬件序列号发送给相关负责人申请测试许可。

2、主要是将AuditSys-Center控制台与Es大数据对接


安装完成登录WEB控制台进行配置:




对接好ES服务器地址:




安装AuditSys-Server(AuditSys应用服务器)


AduitSys控制台web界面配置应用服务器:






安装AuditSys-Agent(windows)


       将AUDITSYS-4.5.0.6.tar里面的WindowsAgent的文件夹下载到需要被审计的Windows桌面上,文件夹中是Windows的Agent客户端软件。






      剩下按照下一步进行安装就可以了。


Linux的系统安装有额外的配置方式,后续会发出完整的配置搭建指导。


AuditSys控制台web界面查看信息:


登录控制台,点击“管理”-“终端”,查看启用状态:




状态为启用状态则配置正常。


统一认证平台:


LDAP认证:

在现有的A、B、C所属的四个集群中需要做到统一认证管控,目前采用ldap认证做统一认证,认证成功后把ldap的用户同步到本地,然后对本地的用户进行响应的资源授权;

1:在控制台--【VDI 设置】--【客户机管理】--【认证设置】中对 LDAP 认 证进行设置。




2:点击“新建”创建 LDAP 服务器;




3:输入服务器名称,点击绿色加号添加服务器地址,端口号(默认为 389);




4、输入管理员全路径:服务器管理员账户@域名,管理员密码:服务器管 理员密码,如图中所示。


〖说明〗: 管理员全路径:例如这里服务器管理员账号为 administrator,域 名为 sangforldap.com,则管理员全路径为 administrator@sangforldap.co,选择搜索入口,选择域控服务器上用户所在的组织架构,点击【保存】。


至此 LDAP 服务器就完成了新建工作。




5:在用户管理界面新建一个用户组,不勾选【继承上级用户组关联角色、 认证方式和策略组】,并选择【外部认证】,右侧栏中选择刚才搭建好的 LDAP 服务器,配置界面如下图所示




6:在 LDAP 认证服务器设置界面,点击“导入用户到本地”,进行用户导入。




本地账号秘密认证

B地的另外一个集群给外部人员使用使用本地的账号密码认证;

1:在vdi设置,用户管理,新建用户并且将用户关联给对应的角色进行资源关联即可。




整体的配置就算完成了,在使用测试中对应的审计系统能够审计到用户的操作日志以及用户接入资源正常使用,关于备份系统的切换达到预期效果那就完成了这个项目的整个实施。


以上就是本次的深信服跨区开发测试网桌面云搭建和aCenter纳管以及华夏威客视频审计综合方案思路分享,不感谢大佬们的参阅,也让我们敬请期待MPLS VPN、GRE以及录频服务器的详细搭建的讲解,此贴先到这里后续会带上更加实用的帖子,感谢大家!


励志分享超清壁纸语句~~:





山涧的泉水经过一路曲折,才唱出一支美妙的歌。


好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

七嘴八舌bar 发表于 2022-10-8 17:46
  
专家点评:这个项目很有价值,但是建议提炼一下,把重点(部署思路、方案、项目问题)凸显出现。
新手386710 发表于 2022-9-27 22:30
  
膜拜大佬 像大佬学习
网泰王晓庆 发表于 2022-9-27 23:26
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
tianjt 发表于 2022-9-28 08:17
  
图文并茂,对问题描述得特别详细,很容易就上手。谢谢分享!
沧海 发表于 2022-12-31 22:00
  
感谢楼主分享,学习一下
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
每日一问
安全效果
干货满满
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
2023技术争霸赛专题
产品连连看
标准化排查
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
通用技术
秒懂零信任
技术晨报
技术圆桌
安装部署配置
答题自测
原创分享
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

468
227
32

发帖

粉丝

关注

7
11
24

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

31
34
45

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人

runner

本周提问达人