新手741261 发表于 2024-8-11 12:30
  
一起来学习,一起来学习
talent 发表于 2024-8-11 13:12
  
一起来学习,一起来学习
dhf 发表于 2024-8-13 10:24
  
感谢楼主的精彩分享,有助工作!!!
新手612152 发表于 2024-8-14 10:07
  

一起来学习,一起来学习
无殇001 发表于 2024-8-14 11:13
  
一起来学习!一起来学习!
dhf 发表于 2024-8-20 10:01
  
感谢楼主的精彩分享,有助工作!!!
桌面云adesk实用笔记分享
  

紫寒梦轩 52022人觉得有帮助

{{ttag.title}}
Agent免IP
        1、Agent实现了虚拟机免设置IP的功能(目的是什么)
2、Agent在版本实现突破,无需IP也可以和VDC通信
    下发配置,比如说通过VDC给虚拟机配置IP、下发策略
老版本:socket 去连接 我给虚拟机配置一个IP,规定固定一些端口,然后通过IP:端口(socket)的方式去连接VDC的LAN口IP

什么原理呢? 其实是通过代理实现的
1、谁帮代理呢 VMP
2、为什么可以帮忙代理呢 因为VMP的管理口和VDC的LAN口一定是要求互通的
3、流程就是 虚拟机(需要发送的流量)-----VMP------VDC
虚拟机(需要发送的流量)---socket----VDC 老版本
虚拟机(需要发送的流量)----虚拟机进程vm_proxy---channel(主通道)---vmp_tunnel(封装流量)-(VDC_cache\VDC_ipless)ipless就相当于一个模块开关
ipless=0 其实走老一套
ipless=1 那么就会走新版本免IP的流程

老版本循环问题
1、我想通过VDC配置虚机IP,那么必须虚机能跟VDC正常通信
2、需要正常通信,那么虚机要配置IP

新版本如何做到下发
1、虽然流量是通过进程转发了,但是怎么在本身没有网络的情况下,收到信息后配置网络
2、虚拟机有配置文件
    cpuid cup微码去定位到虚拟机,之后下发配置
   
除了说下发配置、下发IP这种工作,还有一个很重要的工作需要Agent去承接,那就是自动更新agent,目前来说,在5410之前的版本都不支持向下兼容版本。
    1、也就是说,你只要去连接两个版本不同的VDC,无论版本的高低顺序,一定会发生版本切换(针对VDI客户端)
2、针对Agent升级,专用模式的虚拟机实际上是在VDC上重启后自动升级,那么这个时候也是Agent去检查的配置

外置存储
    只要是硬盘不插在主机上,但是可以被主机调用的存储资源,都可以叫做外置存储

ISCSI\NFS\FC\CIFS 到底是什么东西

存储资源的表现形式
    1、硬盘(没有文件系统)
    2、文件夹(本身具有文件系统),ftp\(\\ip)等等,这种表现形式(CIFS)
    3、NAS网络

外置存储的作用
    1、存放一些文件
    2、备份虚拟机(全量备份qcow2文件)
    3、存算分离,跑虚拟机

池模式个人盘
    主要解决还原模式下,没办法保存个人资料的问题
    版本V1的解决办法,是通过云盘解决,所谓的云盘,就是winserver上的共享目录
版本V2的解决办法,将磁盘和虚拟机分离,用户认证通过后,VDC的关联逻辑也发生改变,之前就是将资源(独享,共享桌面&远程应用)关联给对应的用户,在V2中,还会把磁盘也做上标记关联给用户
    有一个小实验你们可以试一试,当开启池模式个人盘并配置绑定关系后,实际上如果你通过VMP控制台直接进入虚拟机的控制界面,是看不到这块盘的,但是如果通过VDC客户端登录,那么就可以看到了

为什么做项目,iscsi配置认证的很少?
这是因为,在服务器上可以指定被发现的客户端,指定后,客户端在“发现阶段”才可以看到iscsi的连接

本地集群迁移
1、运行位置(热)
    运行在哪个主机上,就会使用哪台主机本身的CPU、内存等资源(VT-X)
2、存储位置(冷)
    建立在虚拟存储的基础上,虚拟机运行在A主机上,但是所产生的数据,会被放在B主机
3、关于位置选择
    当你遇到某个主机CPU、内存使用过高,需要迁移的时候,给个建议,一定要明确指定迁移位置,为什么呢,由于本身算法问题,如果你选择的迁移位置为<自动选择>,那么很有可能,后台会进行从A主机迁移到A主机这样一个无法理解的傻瓜动作

跨集群迁移
1、原理是什么---Linux原生的SCP 远程加密复制
    因为虚拟机在后台表现形式无非是一个qcow2文件,只需要把虚拟机远程加密复制过去即可
注:迁移的逻辑是当你迁移一个虚拟机,会同步的迁移这个虚拟机的模版到对端集群,方便后续做关联关系
2、虚拟机复制到新集群后还需要考虑什么?
因为桌面云和HCI的架构还是不同
    1)在HCI上只需要考虑,对迁移后的虚拟机网络接入等做规划就行了
    2)在桌面云上,由于本身虚拟机会有跟用户认证的绑定关系,所以要考虑的不仅仅是网络,还需要考虑认证、接入等一系列问题
3、什么时候要用到跨集群建议(实际情况)
    1)测试完之后,需要回收测试设备,但是客户在测试设备上已经跑了虚拟机,而且希望回收测试设备后,继续使用之前的虚拟机。(测试转销售) 就需要把客户的虚拟机迁移到销售设备上
2)新老集群替换,原本主机性能不足或者种种原因(比如说分支场景,有个同事从长沙分支到了深圳总部),那这个时候需要他在深圳接入,也会去做跨集群迁移
4、坑在哪里?
    1、对接对方VMP集群,用户名密码确定是对的,但是对接失败了(对方的ssh端口没打开)
    2、一定要考虑迁移速度 有的时候网络很差,但是一个虚拟机使用一段时间可能会有80G+的数据量
        提前你去下载一个镜像(打个比方,大小适中,2-10G的样子),然SCP到对端集群,然后测试一下速率
5、下半部分(认证关系如何完成)
新集群没有VDC
    0)如果老集群是硬件VDC,新集群还没有VDC,那么拿来用即可
    1)新集群,还没有创建VDC(软件VDC) 需要怎么做:我直接老集群VDC的配置导出,然后新集群新建VDC导入配置即可
坑:导入配置时需要保证新老集群VDC版本一致

新集群有VDC,且在使用(那这个时候,就没办法导入配置实现)
    1)导入关联关系
    2)用户问题,新建资源后,导入虚拟机之后其实默认已经有了用户关系,但是必须在新集群上能找到这个用户
    赵兵 使用的一台虚拟机,跨集群迁移后 就在新集群上,新建赵兵这个用户即可,用户名一致就能对应关联上

SBC
    server-based computing  依赖服务器计算
1、是什么东西
    将应用放在微软的服务器上(winserver),从2003开始到最新版本都可以使用,通过微软的RDS服务,把应用以远程连接的形式,发布给客户端使用。整体来说,就是客户端上无需安装需要使用的软件,直接连接到服务器使用应用。那么应用所带来的计算消耗,实际上全部在服务器上,产生的数据也保留在服务器上(当然可以通过配置NAS保存数据)

2、使用场景
0)安全场景,普通PC(数据落地,全部的数据会落在PC本地磁盘)-----桌面云(数据不落地,数据保存在VMP的存储中)[但是,在共享桌面或是池模式个人盘的场景,数据实际上在一定的程度上“落地”,放在了用户可以访问的个人盘中]---应用虚拟化(应用本身都不是在桌面云个人虚拟机上跑的,所产生的数据放在被远程的服务器上,实现了完全不落地)    1)客户无需使用一整个桌面,如信用卡中心、呼叫中心,可能仅仅只需要使用到浏览器、呼叫软件几个固定的软件,这个时候,去发放一套win10(4核4G)的桌面出去,浪费资源。完全可以通过应用虚拟化的方式,发一台win7(2核1G)去连接服务器获取应用
2)授权及其昂贵的软件,且受国家法律保护,一旦违约会产生巨额的违约金
    同花顺(to b的高级功能)对一个终端的授权大概要几万块一年
    某银行,需要使用同花顺软件,可能是10个不固定的用户需要使用,如果说是这种情况,那么你去购买10终端的授权,就需要几十万一年,这个对企业来说消耗过大
解决办法:通过应用虚拟化,买一台不是很好的服务器物理机(5000块钱),运行这个同花顺应用,然后购买1个授权,给这个winserver服务器,之后通过应用虚拟化发布出去,同时给2个用户使用
注:每个用户去连接远程应用的时候,都是无状态的,双方之间不会相互影响
原理和逻辑
    服务:RDS服务
    远程应用:mstsc的时候,指定运行参数,不发布整个桌面,仅发布单个应用程序
    共享桌面:直接是mstsc,多个客户端连接到服务器,获取到互不影响的一整个桌面

产品
    1、国外的某博士,搞两篇论文在谷歌或XX发布
    2、社区开始实践,写出代码,做出底层模型(开源)
    3、拿来主义,国产的一众厂商把底层拿走,自己做开发
    4、把产品做简单,然后加需求
远程应用的授权(微软RDS服务)
    1、试用期 120天
    2、在国内卖的最多的两种授权方式:
        注:涉及到这种架构类的产品,最好跟客户说购买正版授权
        每设备CAL:针对于终端做授权,按照终端数量计算。适用于:一个客户端,多个windows用户去使用的场景,当然,这种场景是少的,价格相对便宜
        连接逻辑:设备初次连接到服务器,不占用授权,服务器会发一个临时许可给设备。第二次连接到服务器,那么就会颁发一个永久的授权给设备,CAL数量-1
        每用户CAL(推荐):针对于用户授权,按照用户数量计算。适用于:一个用户可能拥有多个计算机,去访问服务器获取资源。
连接逻辑:因为是针对用户,所以连接之后,是直接下发授权,那么这个用户旗下,无论有多少设备,用户CAL数量也只是-1

账户问题
    1、通过API接口去访问远程应用,是不是也需要Windows账户?
    2、是,那么需要的账户是客户端的账户还是服务器上的账户?
    3、服务器上的账户从哪里来?
    4、从VDC来,那么VDC的创建逻辑是什么?
账户规则
    VDC上支持自动创建两种类型的账户
    1、使用登录VDI的用户名和密码(A)
        直接使用VDI的账号去登录服务器,那如果服务器上没有这个账号,自然就无法登录。
        适用的场景是域场景,因为在域场景下,本身VDC回去对接域,导出用户目录,是先服务器有这个账号,被导出到VDC,再通过VDI客户端登录此账号访问
    2、自动创建与VDI账户对应的Windows账户(B)
    就是会自动创建与VDI账户对应的一个账户放在Winserver上,比如说登录VDI客户端的账号是fhy,那么在使用远程应用的时候,就在服务器上通过Agent创建一个_VDI_fhy的账户
适用于本地场景,没加域的场景

四个判断题 正确1 错误2
a.A去访问本地场景,是否可以成功访问 2
b.A去访问域场景,是否可以成功访问
c.B去访问本地场景,是否可以成功访问  1
D.B去访问域场景,是否可以成功访问 老版本2 新版本1
    前提:当winserver加域之后,默认只有特定的用户组有权限去mstsc,并不是所有用户都可以
    新版本:能正常链接的原因,是因为创建用户之后,还做了把用户添加到远程权限组的动作
    老版本:没有这个优化动作,所以不能正常链接
https://blog.51cto.com/zhouyoutianxia/1571088     授权的配置连接     
公司:研发场景,每个人有两个桌面,200设备,100个人。
面包店:轮值场景,三个桌面,通过池模式,按早中晚三班给共9个人用,3个设备,9人使用。

Dkey认证
1、主认证方式,插KEY后输入PIN码登录
2、主要的实施难度在哪
    key是需要驱动跑的,如果说是windows系统的终端,那么就很简单,安装好驱动直接运行即可
    如果说是安卓瘦客户机,那么没办法去安装某些驱动在安卓上,那这个时候就需要代理
        有一种逻辑,当直接解决不了问题的时候,可以通过代理的方式解决,那么需要在代理服务器上做两个事情,来达到目的
    1、代理必须保证(代理服务器)能跟VDC去正常通信,这个时候就需要下载插件
    2、必须能识别key中的内容,也就是需要装驱动
    3、如果需要部署大于1台的情况,需要做模板,那么还需要安装Agent转换成模板
3、支持官方KEY、第三方KEY
    官方key又有两种,1001和3003,有一种在安卓瘦客户机上出厂也做了适配的驱动,另一种则需要去代理
认证逻辑
    1、用户认证就是在VDC上创建或者导入了用户
    2、DKEY认证,就是在VDC上创建或者导入了证书

协议

数据流
局域网
    1、链接VDC 用户认证
    2、认证通过后请求资源
    3、VDC确认资源状态,完成跟资源的AGent通信
    4、这个时候,终端回去直连VMP来获取虚拟画面,而不是通过VDC获取
        socket的方式,端口是5500-5699
广域网
    当你的虚拟机跟VMP不通(因为大多情况下,客户不可能把VMP去映射到公网),那么这个时候就通过VDC去做代理。我们只要让VDC跟VMP相通,然后把VDC发布出来,之后用户首先还是链接VDC去做用户认证,认证通过后,VDC向VMP请求画面,之后在把流量转发给终端
但是这种情况,相当于VDC承载了所有画面流量,就需要考虑吞吐问题,正常来说虚拟机的VDC最多也就是带50个画面的流量
结合AD方案(扩展)

应用管控
1、是什么东西
    实际上就是微软的applocker,原理上是使用了applocker,唯一做的修改就是内置写好了一些验证类型的脚本,会自动保护签名中带sangfor和windows中必要的组件。

2、能干什么
应用管控,顾名思义能对应用程序进行管控,允许/禁止程序的运行。当然,管控形式是多样的。一般来说在教育场景会经常使用到,教师机(下载软件,电脑极大可能会下载到软件网站中捆绑的全家桶)

3、应用管控的优化
    1)针对小企业,没有域控的情况下,使用应用管控可以灵活的屏蔽掉垃圾软件
    2)针对比较大(含有域)的企业,实际上在539版本之后,应用管控才能协同域管控,但是两者之间毕竟使用的是一种技术,那么呢,会产生一定程度上的逻辑冲突
4、你要掌握的
原理、下发的整体流程、正常配置、排错、知道结合域控的部署

支持的系统:有一些非原装的系统(如神州网信)需要去测试,不能直接按他的封装前类型判断

路径规则
    选种指定路径下的应用程序(文件)或者整个文件夹的程序(目录)进行管控
    适用于某些客户无法指定安装位置的软件:比如说自动安装的流氓软件、chrome这种用户目录下的软件,他们的目录都是固定的,按照目录去管控。 他的作用范围还只是针对于一个特殊的软件

应用特征码规则
    计算md5值,精确到某一个软件,作用就是,只要是这个软件,无需你去选中目录,只需要md5匹配上,就可以进行管控
优点:就算名称不同,也可以进行管控,也不需要去手动找目录
缺点:不灵活,一条规则只能管控到1个软件,而且这个软件就算是版本不同也无法管控

产品信息规则
进程、产品(可能能管控一系列版本)

发布者
去调用软件的数字签名,只要签名是你,那么你旗下的所有产品都会被管控

遇到无法管控的时候,怎么做排查
1、确定操作系统
2、在VDC配置策略后,注销重新登录后,配置的策略会以xml的形式发送到你的虚拟机(确定虚拟机是否接收到了xml策略文件)
C:\Program Files (x86)\Sangfor\SSL\VDI\AgentAppLockerScripts
3、策略成功下发后,那么会把xml文件真正去导入applocker调用,这个时候需要去看vdagent的日志和windows的事件日志
4、去查看服务、去查看策略是否生效、去查看你的任务程序
当服务正常开启,其它一切正常,也有xml的文件,但是导入时候失败,这个时候就去看下计划任务程序中policyconvert是否正常运行,此任务不运行的话,xml无法转换成二进制格式给计算机
5、策略生效,但是错误管控了
想管控的没有管控到,不想管控的被禁止了

1、命名规则
    1B 1Q 2B 2Q 4Q 8Q 直通
2、英伟达授权
    1)直通 因为没有使用到虚拟化技术,英伟达不强制收取授权费用,但是交了授权费可以获得更强大的功能
如果说需要达到最佳功能,那么你需要购买vdws授权
    2)B卡 Q卡 所对应的授权
    vPC最大支持2G的显存区分,B卡最多也就是切2G,所以说B卡购买vpc授权即可
    (同理,vdws可以给B卡授权,但是相比vpc不会多任何有性价比的功能)
    Q卡 最多能切分到8G显存 本身就是为了高性能数据站方式工作的,所以Q卡要购买vdws授权

切分模式
前提:英伟达的技术限制一个核心只能切分成一种类型的vgpu
比如说8G显存的一个核心,一旦分了一个1B的vgpu出去,剩下的7G显存只能分成7个1B的vgpu
密度模式
    切分一个vgpu后,相同类型的vgpu再次被切分的时候,优先在之前的核心上切分
    A(1B)(1B)
    B
    使用场景:一个环境中有多种不同vgpu类型的虚拟机,而且频繁开关机
性能模式
前提:建立在虚拟化需要调度的基础上,如果说所有的vgpu都运行在1个核心上,那么需要调度,性能可能会下降
虚拟机的vgpu会优先选择显存剩余空间最大的显卡核心切分,减少调度资源带来的消耗,保证虚拟机获取到核心运算力
    A(1B)
    B(1B)
    使用场景:一个环境中最好是类型全部相同的vgpu虚拟机
    怎么避免这种情况发生,能不能又使用性能模式,又避免掉所有核心都被切成一种vgpu,而后导致其它类型vgpu的虚拟机无法运行
    比如说,当我的集群中,有四个显卡核心(每个核心8G显存),我希望两个跑2Q两个跑1B,同时还需要使用性能模式
    就手动的去分配核心的使用状态
    A(4台,2G显存)
    B(4台,2G显存)
    C(8台,1G显存)
    D(8台,1G显存)
显卡异构
    由于显卡是针对集群最终做资源池化调度,那么显卡其实集群之间(不同主机)可以异构,但是主机内不允许异构
        A 4*M10 2*M60(不支持)
        B 4*M60



    A主机(插了显卡,但不完全是运行3D虚拟机,然后有2D虚拟机故障,需要迁移)
    B主机(插了显卡,但是目前可能没有投入2D的使用,都是跑的3D虚拟虚拟机,而且在实体机开关打开了仅允许运行3D虚拟机
   

M10的显卡,我直通 然后HA到对端M60 实际上会自动变成M60的显卡直通
因为M10显卡和M60显卡用的不是一种驱动

用户/用户组
    实际上是调用了当前用户/用户组下,运行的所有的虚拟机的IP,那这些IP其实都在VMP上,所以调用的时候不会去拆成2条链

IP组---IP组
不是所有的IP都会落在VMP上,可能有一些IP是客户自身的业务系统,这个时候写Out链子/in链都是不准确的

报表中心
    1、搭建
    2、新老版本的用户名密码区别
        老版本,用户名和密码都是admin
        新版本,两权分立,分为系统管理员sysadmin/sysadmin和审计管理员auditadmin/auditadmin
    3、忘记密码的处理(恢复密码)
        删除“安装盘:\Sangfor\DataCenterServ\log_data\store\vdidc\config\admin\admin”
        删除“安装盘:\Sangfor\DataCenterServ\log_data\store\vdidc\config\admin_bak\admin”
        winserver密码忘记了,2012可以用放大镜的方式破解
    4、升级
        覆盖安装,直接把最新的安装包放到服务器里,然后以管理员身份运行一次即可
    5、导出文件审计的操作
        导出路径不能选择插在客户端上的U盘,只能是PC客户端映射进来的磁盘
        所以必须把PC映射磁盘的功能打开(一般来说开读写,但实际开只读也可以)
    6、注意事项
        1)更换VDC(报表中心只支持关联1个VDC)
        “C:\Sangfor\DataCenterServ\log_data\store\vdidc\config\access_control\vdcid”
        “C:\Sangfor\DataCenterServ\log_data\store\vdidc\config\access_control_bak\vdcid”
                          报表中心关联的VDC地址变更后,报表中心保存的历史数据(旧VDC的用户接入记录、资产管理、安全策略、文件导出、日志等)将无法查询,请谨慎操作!
    报表中心 10.1.1.3/24
    路由器(网关) 10.1.1.4/24
        代理终端上网,终端IP 192.1.1.X/24端,SNAT---->网关出网口的地址
    就算设置了只有10.1.1.4这个地址能访问到报表中心控制台,也没有一样,因为配置SNAT之后,其他的这些终端,最终都被映射成了10.1.1.4这个地址,都可以访问控制台
整理笔记不易 优秀笔记后续分享 欢迎阅读给建议

打赏鼓励作者,期待更多好文!

打赏
26人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
产品连连看
功能体验
标准化排查
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

468
227
32

发帖

粉丝

关注

7
11
24

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

31
34
45

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人

runner

本周提问达人