Agent免IP
1、Agent实现了虚拟机免设置IP的功能(目的是什么)
2、Agent在版本实现突破,无需IP也可以和VDC通信
下发配置,比如说通过VDC给虚拟机配置IP、下发策略
老版本:socket 去连接 我给虚拟机配置一个IP,规定固定一些端口,然后通过IP:端口(socket)的方式去连接VDC的LAN口IP
什么原理呢? 其实是通过代理实现的
1、谁帮代理呢 VMP
2、为什么可以帮忙代理呢 因为VMP的管理口和VDC的LAN口一定是要求互通的
3、流程就是 虚拟机(需要发送的流量)-----VMP------VDC
虚拟机(需要发送的流量)---socket----VDC 老版本
虚拟机(需要发送的流量)----虚拟机进程vm_proxy---channel(主通道)---vmp_tunnel(封装流量)-(VDC_cache\VDC_ipless)ipless就相当于一个模块开关
ipless=0 其实走老一套
ipless=1 那么就会走新版本免IP的流程
老版本循环问题
1、我想通过VDC配置虚机IP,那么必须虚机能跟VDC正常通信
2、需要正常通信,那么虚机要配置IP
新版本如何做到下发
1、虽然流量是通过进程转发了,但是怎么在本身没有网络的情况下,收到信息后配置网络
2、虚拟机有配置文件
cpuid cup微码去定位到虚拟机,之后下发配置
除了说下发配置、下发IP这种工作,还有一个很重要的工作需要Agent去承接,那就是自动更新agent,目前来说,在5410之前的版本都不支持向下兼容版本。
1、也就是说,你只要去连接两个版本不同的VDC,无论版本的高低顺序,一定会发生版本切换(针对VDI客户端)
2、针对Agent升级,专用模式的虚拟机实际上是在VDC上重启后自动升级,那么这个时候也是Agent去检查的配置
外置存储
只要是硬盘不插在主机上,但是可以被主机调用的存储资源,都可以叫做外置存储
ISCSI\NFS\FC\CIFS 到底是什么东西
存储资源的表现形式
1、硬盘(没有文件系统)
2、文件夹(本身具有文件系统),ftp\(\\ip)等等,这种表现形式(CIFS)
3、NAS网络
外置存储的作用
1、存放一些文件
2、备份虚拟机(全量备份qcow2文件)
3、存算分离,跑虚拟机
池模式个人盘
主要解决还原模式下,没办法保存个人资料的问题
版本V1的解决办法,是通过云盘解决,所谓的云盘,就是winserver上的共享目录
版本V2的解决办法,将磁盘和虚拟机分离,用户认证通过后,VDC的关联逻辑也发生改变,之前就是将资源(独享,共享桌面&远程应用)关联给对应的用户,在V2中,还会把磁盘也做上标记关联给用户
有一个小实验你们可以试一试,当开启池模式个人盘并配置绑定关系后,实际上如果你通过VMP控制台直接进入虚拟机的控制界面,是看不到这块盘的,但是如果通过VDC客户端登录,那么就可以看到了
为什么做项目,iscsi配置认证的很少?
这是因为,在服务器上可以指定被发现的客户端,指定后,客户端在“发现阶段”才可以看到iscsi的连接
本地集群迁移
1、运行位置(热)
运行在哪个主机上,就会使用哪台主机本身的CPU、内存等资源(VT-X)
2、存储位置(冷)
建立在虚拟存储的基础上,虚拟机运行在A主机上,但是所产生的数据,会被放在B主机
3、关于位置选择
当你遇到某个主机CPU、内存使用过高,需要迁移的时候,给个建议,一定要明确指定迁移位置,为什么呢,由于本身算法问题,如果你选择的迁移位置为<自动选择>,那么很有可能,后台会进行从A主机迁移到A主机这样一个无法理解的傻瓜动作
跨集群迁移
1、原理是什么---Linux原生的SCP 远程加密复制
因为虚拟机在后台表现形式无非是一个qcow2文件,只需要把虚拟机远程加密复制过去即可
注:迁移的逻辑是当你迁移一个虚拟机,会同步的迁移这个虚拟机的模版到对端集群,方便后续做关联关系
2、虚拟机复制到新集群后还需要考虑什么?
因为桌面云和HCI的架构还是不同
1)在HCI上只需要考虑,对迁移后的虚拟机网络接入等做规划就行了
2)在桌面云上,由于本身虚拟机会有跟用户认证的绑定关系,所以要考虑的不仅仅是网络,还需要考虑认证、接入等一系列问题
3、什么时候要用到跨集群建议(实际情况)
1)测试完之后,需要回收测试设备,但是客户在测试设备上已经跑了虚拟机,而且希望回收测试设备后,继续使用之前的虚拟机。(测试转销售) 就需要把客户的虚拟机迁移到销售设备上
2)新老集群替换,原本主机性能不足或者种种原因(比如说分支场景,有个同事从长沙分支到了深圳总部),那这个时候需要他在深圳接入,也会去做跨集群迁移
4、坑在哪里?
1、对接对方VMP集群,用户名密码确定是对的,但是对接失败了(对方的ssh端口没打开)
2、一定要考虑迁移速度 有的时候网络很差,但是一个虚拟机使用一段时间可能会有80G+的数据量
提前你去下载一个镜像(打个比方,大小适中,2-10G的样子),然SCP到对端集群,然后测试一下速率
5、下半部分(认证关系如何完成)
新集群没有VDC
0)如果老集群是硬件VDC,新集群还没有VDC,那么拿来用即可
1)新集群,还没有创建VDC(软件VDC) 需要怎么做:我直接老集群VDC的配置导出,然后新集群新建VDC导入配置即可
坑:导入配置时需要保证新老集群VDC版本一致
新集群有VDC,且在使用(那这个时候,就没办法导入配置实现)
1)导入关联关系
2)用户问题,新建资源后,导入虚拟机之后其实默认已经有了用户关系,但是必须在新集群上能找到这个用户
赵兵 使用的一台虚拟机,跨集群迁移后 就在新集群上,新建赵兵这个用户即可,用户名一致就能对应关联上
SBC
server-based computing 依赖服务器计算
1、是什么东西
将应用放在微软的服务器上(winserver),从2003开始到最新版本都可以使用,通过微软的RDS服务,把应用以远程连接的形式,发布给客户端使用。整体来说,就是客户端上无需安装需要使用的软件,直接连接到服务器使用应用。那么应用所带来的计算消耗,实际上全部在服务器上,产生的数据也保留在服务器上(当然可以通过配置NAS保存数据)
2、使用场景
0)安全场景,普通PC(数据落地,全部的数据会落在PC本地磁盘)-----桌面云(数据不落地,数据保存在VMP的存储中)[但是,在共享桌面或是池模式个人盘的场景,数据实际上在一定的程度上“落地”,放在了用户可以访问的个人盘中]---应用虚拟化(应用本身都不是在桌面云个人虚拟机上跑的,所产生的数据放在被远程的服务器上,实现了完全不落地) 1)客户无需使用一整个桌面,如信用卡中心、呼叫中心,可能仅仅只需要使用到浏览器、呼叫软件几个固定的软件,这个时候,去发放一套win10(4核4G)的桌面出去,浪费资源。完全可以通过应用虚拟化的方式,发一台win7(2核1G)去连接服务器获取应用
2)授权及其昂贵的软件,且受国家法律保护,一旦违约会产生巨额的违约金
同花顺(to b的高级功能)对一个终端的授权大概要几万块一年
某银行,需要使用同花顺软件,可能是10个不固定的用户需要使用,如果说是这种情况,那么你去购买10终端的授权,就需要几十万一年,这个对企业来说消耗过大
解决办法:通过应用虚拟化,买一台不是很好的服务器物理机(5000块钱),运行这个同花顺应用,然后购买1个授权,给这个winserver服务器,之后通过应用虚拟化发布出去,同时给2个用户使用
注:每个用户去连接远程应用的时候,都是无状态的,双方之间不会相互影响
原理和逻辑
服务:RDS服务
远程应用:mstsc的时候,指定运行参数,不发布整个桌面,仅发布单个应用程序
共享桌面:直接是mstsc,多个客户端连接到服务器,获取到互不影响的一整个桌面
产品
1、国外的某博士,搞两篇论文在谷歌或XX发布
2、社区开始实践,写出代码,做出底层模型(开源)
3、拿来主义,国产的一众厂商把底层拿走,自己做开发
4、把产品做简单,然后加需求
远程应用的授权(微软RDS服务)
1、试用期 120天
2、在国内卖的最多的两种授权方式:
注:涉及到这种架构类的产品,最好跟客户说购买正版授权
每设备CAL:针对于终端做授权,按照终端数量计算。适用于:一个客户端,多个windows用户去使用的场景,当然,这种场景是少的,价格相对便宜
连接逻辑:设备初次连接到服务器,不占用授权,服务器会发一个临时许可给设备。第二次连接到服务器,那么就会颁发一个永久的授权给设备,CAL数量-1
每用户CAL(推荐):针对于用户授权,按照用户数量计算。适用于:一个用户可能拥有多个计算机,去访问服务器获取资源。
连接逻辑:因为是针对用户,所以连接之后,是直接下发授权,那么这个用户旗下,无论有多少设备,用户CAL数量也只是-1
账户问题
1、通过API接口去访问远程应用,是不是也需要Windows账户?
2、是,那么需要的账户是客户端的账户还是服务器上的账户?
3、服务器上的账户从哪里来?
4、从VDC来,那么VDC的创建逻辑是什么?
账户规则
VDC上支持自动创建两种类型的账户
1、使用登录VDI的用户名和密码(A)
直接使用VDI的账号去登录服务器,那如果服务器上没有这个账号,自然就无法登录。
适用的场景是域场景,因为在域场景下,本身VDC回去对接域,导出用户目录,是先服务器有这个账号,被导出到VDC,再通过VDI客户端登录此账号访问
2、自动创建与VDI账户对应的Windows账户(B)
就是会自动创建与VDI账户对应的一个账户放在Winserver上,比如说登录VDI客户端的账号是fhy,那么在使用远程应用的时候,就在服务器上通过Agent创建一个_VDI_fhy的账户
适用于本地场景,没加域的场景
四个判断题 正确1 错误2
a.A去访问本地场景,是否可以成功访问 2
b.A去访问域场景,是否可以成功访问
c.B去访问本地场景,是否可以成功访问 1
D.B去访问域场景,是否可以成功访问 老版本2 新版本1
前提:当winserver加域之后,默认只有特定的用户组有权限去mstsc,并不是所有用户都可以
新版本:能正常链接的原因,是因为创建用户之后,还做了把用户添加到远程权限组的动作
老版本:没有这个优化动作,所以不能正常链接
https://blog.51cto.com/zhouyoutianxia/1571088 授权的配置连接
公司:研发场景,每个人有两个桌面,200设备,100个人。
面包店:轮值场景,三个桌面,通过池模式,按早中晚三班给共9个人用,3个设备,9人使用。
Dkey认证
1、主认证方式,插KEY后输入PIN码登录
2、主要的实施难度在哪
key是需要驱动跑的,如果说是windows系统的终端,那么就很简单,安装好驱动直接运行即可
如果说是安卓瘦客户机,那么没办法去安装某些驱动在安卓上,那这个时候就需要代理
有一种逻辑,当直接解决不了问题的时候,可以通过代理的方式解决,那么需要在代理服务器上做两个事情,来达到目的
1、代理必须保证(代理服务器)能跟VDC去正常通信,这个时候就需要下载插件
2、必须能识别key中的内容,也就是需要装驱动
3、如果需要部署大于1台的情况,需要做模板,那么还需要安装Agent转换成模板
3、支持官方KEY、第三方KEY
官方key又有两种,1001和3003,有一种在安卓瘦客户机上出厂也做了适配的驱动,另一种则需要去代理
认证逻辑
1、用户认证就是在VDC上创建或者导入了用户
2、DKEY认证,就是在VDC上创建或者导入了证书
协议
数据流
局域网
1、链接VDC 用户认证
2、认证通过后请求资源
3、VDC确认资源状态,完成跟资源的AGent通信
4、这个时候,终端回去直连VMP来获取虚拟画面,而不是通过VDC获取
socket的方式,端口是5500-5699
广域网
当你的虚拟机跟VMP不通(因为大多情况下,客户不可能把VMP去映射到公网),那么这个时候就通过VDC去做代理。我们只要让VDC跟VMP相通,然后把VDC发布出来,之后用户首先还是链接VDC去做用户认证,认证通过后,VDC向VMP请求画面,之后在把流量转发给终端
但是这种情况,相当于VDC承载了所有画面流量,就需要考虑吞吐问题,正常来说虚拟机的VDC最多也就是带50个画面的流量
结合AD方案(扩展)
应用管控
1、是什么东西
实际上就是微软的applocker,原理上是使用了applocker,唯一做的修改就是内置写好了一些验证类型的脚本,会自动保护签名中带sangfor和windows中必要的组件。
2、能干什么
应用管控,顾名思义能对应用程序进行管控,允许/禁止程序的运行。当然,管控形式是多样的。一般来说在教育场景会经常使用到,教师机(下载软件,电脑极大可能会下载到软件网站中捆绑的全家桶)
3、应用管控的优化
1)针对小企业,没有域控的情况下,使用应用管控可以灵活的屏蔽掉垃圾软件
2)针对比较大(含有域)的企业,实际上在539版本之后,应用管控才能协同域管控,但是两者之间毕竟使用的是一种技术,那么呢,会产生一定程度上的逻辑冲突
4、你要掌握的
原理、下发的整体流程、正常配置、排错、知道结合域控的部署
支持的系统:有一些非原装的系统(如神州网信)需要去测试,不能直接按他的封装前类型判断
路径规则
选种指定路径下的应用程序(文件)或者整个文件夹的程序(目录)进行管控
适用于某些客户无法指定安装位置的软件:比如说自动安装的流氓软件、chrome这种用户目录下的软件,他们的目录都是固定的,按照目录去管控。 他的作用范围还只是针对于一个特殊的软件
应用特征码规则
计算md5值,精确到某一个软件,作用就是,只要是这个软件,无需你去选中目录,只需要md5匹配上,就可以进行管控
优点:就算名称不同,也可以进行管控,也不需要去手动找目录
缺点:不灵活,一条规则只能管控到1个软件,而且这个软件就算是版本不同也无法管控
产品信息规则
进程、产品(可能能管控一系列版本)
发布者
去调用软件的数字签名,只要签名是你,那么你旗下的所有产品都会被管控
遇到无法管控的时候,怎么做排查
1、确定操作系统
2、在VDC配置策略后,注销重新登录后,配置的策略会以xml的形式发送到你的虚拟机(确定虚拟机是否接收到了xml策略文件)
C:\Program Files (x86)\Sangfor\SSL\VDI\AgentAppLockerScripts
3、策略成功下发后,那么会把xml文件真正去导入applocker调用,这个时候需要去看vdagent的日志和windows的事件日志
4、去查看服务、去查看策略是否生效、去查看你的任务程序
当服务正常开启,其它一切正常,也有xml的文件,但是导入时候失败,这个时候就去看下计划任务程序中policyconvert是否正常运行,此任务不运行的话,xml无法转换成二进制格式给计算机
5、策略生效,但是错误管控了
想管控的没有管控到,不想管控的被禁止了
1、命名规则
1B 1Q 2B 2Q 4Q 8Q 直通
2、英伟达授权
1)直通 因为没有使用到虚拟化技术,英伟达不强制收取授权费用,但是交了授权费可以获得更强大的功能
如果说需要达到最佳功能,那么你需要购买vdws授权
2)B卡 Q卡 所对应的授权
vPC最大支持2G的显存区分,B卡最多也就是切2G,所以说B卡购买vpc授权即可
(同理,vdws可以给B卡授权,但是相比vpc不会多任何有性价比的功能)
Q卡 最多能切分到8G显存 本身就是为了高性能数据站方式工作的,所以Q卡要购买vdws授权
切分模式
前提:英伟达的技术限制一个核心只能切分成一种类型的vgpu
比如说8G显存的一个核心,一旦分了一个1B的vgpu出去,剩下的7G显存只能分成7个1B的vgpu
密度模式
切分一个vgpu后,相同类型的vgpu再次被切分的时候,优先在之前的核心上切分
A(1B)(1B)
B
使用场景:一个环境中有多种不同vgpu类型的虚拟机,而且频繁开关机
性能模式
前提:建立在虚拟化需要调度的基础上,如果说所有的vgpu都运行在1个核心上,那么需要调度,性能可能会下降
虚拟机的vgpu会优先选择显存剩余空间最大的显卡核心切分,减少调度资源带来的消耗,保证虚拟机获取到核心运算力
A(1B)
B(1B)
使用场景:一个环境中最好是类型全部相同的vgpu虚拟机
怎么避免这种情况发生,能不能又使用性能模式,又避免掉所有核心都被切成一种vgpu,而后导致其它类型vgpu的虚拟机无法运行
比如说,当我的集群中,有四个显卡核心(每个核心8G显存),我希望两个跑2Q两个跑1B,同时还需要使用性能模式
就手动的去分配核心的使用状态
A(4台,2G显存)
B(4台,2G显存)
C(8台,1G显存)
D(8台,1G显存)
显卡异构
由于显卡是针对集群最终做资源池化调度,那么显卡其实集群之间(不同主机)可以异构,但是主机内不允许异构
A 4*M10 2*M60(不支持)
B 4*M60
A主机(插了显卡,但不完全是运行3D虚拟机,然后有2D虚拟机故障,需要迁移)
B主机(插了显卡,但是目前可能没有投入2D的使用,都是跑的3D虚拟虚拟机,而且在实体机开关打开了仅允许运行3D虚拟机
M10的显卡,我直通 然后HA到对端M60 实际上会自动变成M60的显卡直通
因为M10显卡和M60显卡用的不是一种驱动
用户/用户组
实际上是调用了当前用户/用户组下,运行的所有的虚拟机的IP,那这些IP其实都在VMP上,所以调用的时候不会去拆成2条链
IP组---IP组
不是所有的IP都会落在VMP上,可能有一些IP是客户自身的业务系统,这个时候写Out链子/in链都是不准确的
报表中心
1、搭建
2、新老版本的用户名密码区别
老版本,用户名和密码都是admin
新版本,两权分立,分为系统管理员sysadmin/sysadmin和审计管理员auditadmin/auditadmin
3、忘记密码的处理(恢复密码)
删除“安装盘:\Sangfor\DataCenterServ\log_data\store\vdidc\config\admin\admin”
删除“安装盘:\Sangfor\DataCenterServ\log_data\store\vdidc\config\admin_bak\admin”
winserver密码忘记了,2012可以用放大镜的方式破解
4、升级
覆盖安装,直接把最新的安装包放到服务器里,然后以管理员身份运行一次即可
5、导出文件审计的操作
导出路径不能选择插在客户端上的U盘,只能是PC客户端映射进来的磁盘
所以必须把PC映射磁盘的功能打开(一般来说开读写,但实际开只读也可以)
6、注意事项
1)更换VDC(报表中心只支持关联1个VDC)
“C:\Sangfor\DataCenterServ\log_data\store\vdidc\config\access_control\vdcid”
“C:\Sangfor\DataCenterServ\log_data\store\vdidc\config\access_control_bak\vdcid”
报表中心关联的VDC地址变更后,报表中心保存的历史数据(旧VDC的用户接入记录、资产管理、安全策略、文件导出、日志等)将无法查询,请谨慎操作!
报表中心 10.1.1.3/24
路由器(网关) 10.1.1.4/24
代理终端上网,终端IP 192.1.1.X/24端,SNAT---->网关出网口的地址
就算设置了只有10.1.1.4这个地址能访问到报表中心控制台,也没有一样,因为配置SNAT之后,其他的这些终端,最终都被映射成了10.1.1.4这个地址,都可以访问控制台  整理笔记不易 优秀笔记后续分享 欢迎阅读给建议  | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-2-20 19:28
工程师2级 
