#原创分享#桌面云一体化解决方案之02技术详解
  

邢家瑞26396 3719

{{ttag.title}}
hello  大家好本次给大家带来技术详解,先奉上之前的思维导图,让之前没有看过前帖的小伙伴可以了解下。此时可以给大家先说一下我们的项目和投入已经彻底征服客户,对客户来说觉得自己也在做一件伟大的事业,对我们来说这是国产化打击国际巨头的第一步,是我们国产产品与国际占有率第一的大哥的第一次较量,虽然我们还存在一定差距,但是我们在努力追赶,因为相信所以看见,也是意义重大的一步,奥利给:加油: 。

     废话不多说现在开始就:因为目前还涉及一些机密问题具体的数据流程以及端口我就不放那么详细的说了。

     由于客户行业的特殊性,对安全性要求不可谓不高,所有防火墙所有端口以及IP要使用的情况下才可以开通,数据的走向以及流量内容有非常严格的把控。举个例子我们在他们园区内想上传安装包之类的内容,都需要专门的操作机并且数据受到审计,客户自己都没法随便上传,外设都没发用,数据完全无法下载,每次要使用测试环境都要经过好几次跳板才可以使用。
   老生长谈一波,因为安全的要求用户在内网以及外网接入时,认证需要在DMZ区完成,而我们的传统VMP+vdc场景根本无法满足用户需求,因为如果VDC放在DMZ区时,相当于DMZ区的数据可以随便接入生产区,这是不符合用户合规性要求的,于此同时我们提出了相关认证平台IDTRUST的引入,将所有用户的认证和访问在没有通过的前提下全部拦截在DMZ区,保证了数据业务和安全;由于广域网流量较大,当用户所有用户在办公和认证的情况下,3w+用户的流量那也是非常可怕的我们的IDT根本无法承载,所以根据客户需求使用负载均衡AD做流量代理,保证数据的承载与稳定性。此时已经保证了用户的安全以及流量问题,但是有会出现IDT认证后在到VDC认证,为了避免多次认证,使用IDtrust做统一登录门户,开放相关API接口,要求IDtrust单点登录到VDI。至此此项目的相关产品以及分工都得到了明确。接下来就是开始干了:加油: 。

使用AD发布虚拟服务,当用户访问虚拟服务(域名)时,数据会先到达AD,AD检测到数据流量是要访问远程应用首先AD会识别此用户数据流量是否做过认证,来判断接下来的操作,具体的判断方法下面会说。AD会根据相关ipro脚本,返回一个302重定向IDT的认证界面给用户。用户侧弹出认证界面,需要用户输入用户名密码,用户填写信息后AD做相关代理将认证数据发给IDT,IDT根据机器上面的账户信息来确定此用户是否有相关用户名和密码,如果有,将认证成功,并且给用户返回的信息中插入一个session id到https请求中.与此同时并且重定向一个302界面让用户区请求VDC认证界面,经过AD时AD会缓存此用户SESSION  ID,作为此用户认证的凭证(刚才说的AD判断用户是否认证就是根据这个ID来判定的),AD同时会将这个session id 发个用户,用户收到信息后在http请求中会携带ID去请求VDC的认证界面,AD查看此ID后和请求后回去请求VDC认证界面,由于VDC上设置了相关IDT的认证设置后,VDC在收到此请求后,会通过API接口去同IDT获取认证信息,IDT会将用户的信息和session id发给VDC,VDC拿到此信息后会和用户的携带的信息进行比较,比较通过后,返回远程应用服务器的信息和资源页面到用户,用户根据此信息去请求真正的业务服务器,此时整个认证过程完成。

通过以上复杂的过程完成整个用户认证流程,保障用户数据安全。

此项目是我们第一次多产品线结合联动提出完善的一套解决方案,实施涉及多产品的联动,开发过程难度之大可想而知,同时由于客户非常专业,我们研发同客户交流的过程中,多次被客户的专业震惊,很多问题有时候我们研发也无法回答,给我们造成了不小压力。客户非常认真敬业,为了解我们的虚拟化为了和我们刚好的交流,专门买了一本KVM在一周的时间内学习完成,真的深深的让我们敬佩,客户的专业给我们也带来不小压力,过程中也是出现了大大小小很多问题,但都被我们研发以及客户克服了,真的很不容易。对于专业的客户我们的研发以及技术拿出12分的努力最终获得了客户认可。保证了项目的顺利落地,在此过程中真的非常感谢每一个人。

就拿我们老何的话来说:人这一辈子,一定要干一件有意义的事。此时我觉得自己非常荣幸参与此项目。见证某公司的努力和进步,你我都是见证者,你我都是创造者。

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

林明纲_福州办 发表于 2020-8-26 16:21
  
一口气看完了楼主上下篇,分享的比较细致,金融客户的要求确实要比其他行业客户高很多。相信我们优秀多产品联动的解决方案也会得到更多的推广。
黄波 发表于 2020-8-20 22:51
  
好东西,
黄波 发表于 2020-8-20 22:51
  
感谢分享
黄波 发表于 2020-8-20 22:52
  
天天学习
黄波 发表于 2020-8-20 22:52
  
木子凌 发表于 2020-8-21 09:47
  
干货分享认证:调皮:   就是中间的斜体字看的有些累眼睛哈哈
新手561208 发表于 2020-8-24 10:16
  
感谢分享~~
Sangfor_闪电回_朱丽 发表于 2020-8-24 11:11
  
您好,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
点击查看本季原创内容要求及奖励规则:http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=117259

Sakana 发表于 2020-8-24 17:52
  
写的很棒!这是金融还是互联网啊,这么严格
酒慰风尘 发表于 2020-8-24 19:41
  
期待已久的技术篇终于出来了 感谢分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

468
227
32

发帖

粉丝

关注

7
11
24

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

31
34
45

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人

runner

本周提问达人