9.FusionAccess桌面云

9. FusionAccess桌面云

9.1. 简体架构

9.2. 传统桌面解决方案

有300台电脑。300电脑IP地址如何分配？权限如何管理？账号密码如何管理？

集团公司为了宣传，如何统一桌面背景？企业资料安全如何保障？

微软 Active Directory 活动目录

AD（domain controller）域控制器

账号密码权限的统一管理。

DNS（Domain Name System）域名解析系统

把主机名解析成ip地址，正向解析

把ip解析成主机名，反向解析

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）

可以动态的分配ip地址，给定一个地址池

9.2.1. 安装winserver 2012

都使用仅主机网络来配置。

注意：把workstation软件上面，仅主机对应的dhcp服务关闭。否则客户端无法自动获取ip地址。

9.2.1.1. 创建虚拟机

9.2.1.2安装系统

开机

注意：

如果你是在FC上安装的windows，这一步看不到磁盘，加载驱动程序。

进入os之后

9.2.1.3. 配置ip地址

9.2.1.4. 关闭所有防火墙

9.2.1.5.修改主机名

9.2.1.6. 安装AD+DNS+DHCP组件

9.2.1.7.提升为域控制器

注意，如果你报了红色错误

说明你当前登录的不是本地超管 administrator。要切换本地超管，默认情况下，创建好win2012，默认使用的就是本地超管。

安装完毕后，会自动重启，需要一定的时间。

一定要再次确认ip地址和dns地址。把127.0.0.1 重新改回来。

9.2.1.8.完成DHCP配置

提交-关闭即可。

9.2.1.9.创建域用户

OU组织单位的意思就是，你可以按照部门来划分用户。

信息部门 IT

销售部门 SALES

默认创建的用户 memeda，他属于 域普通用户的权限

memeadmin被添加为域控管理员

9.2.1.10.创建DHCP地址池

9.2.1.11.配置DNS

默认情况下，搭建好DNS之后，会有一个正向解析（把主机名解析成ip地址）

现在是没有反向解析，添加一个反向解析。把ip解析成主机名。

之前6版本的FA，对接的时候，第一步FC，第二步就让对接AD和DNS，这时候必须添加DNS的反向解析记录的，否则对接将失败。

9.2.2.安装win10

9.2.2.1.安装OS

鼠标点进去，直接回车就可以。

Win10已经安装好了，但是没有ip地址。

因为现在还没有dhcp服务器。回看8.2.1.10小节，创建好DHCP服务后，这里会自动获取到ip地址

9.2.2.2.加入域

注意，账号和密码，是域管理员账号加域或者退域（普通域控账号也可以加，但是不能退域，退域必须是域控管理员 具备 domain admins权限）

加入域控的电脑，本地账号不会告诉业务员。必须使用ad里面创建的域用户登录。

FusionAccess 搭建（windows AD域控/LiteAS对接）

9.3.FA架构及组件介绍

• WI（Web Interface）：

Web接口，WI为最终用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息转发到AD上进行用户身份验证；用户通过身份验证后，WI将HDC提供的虚拟机列表呈现给用户，为用户访问虚拟机提供入口。

• vAG（Virtual Access Gateway）：

虚拟接入网关，vAG的主要功能是桌面接入网关和自助维护台网关。当用户虚拟机出现故障时，用户无法通过桌面协议登录到虚拟机，需要通过VNC自助维护台登录虚拟机进行自助维护。

• vLB（Virtual Load Balance）：

虚拟负载均衡器，功能的主要作用是在用户访问WI（Web Interface）时，进行负载均衡，避免大量用户访问到同一个WI。（vLB、vAG是以软件的方式实现Load Balance和Access Gateway）。

• SVN：

使用硬件的方式实现Load Balance和Access Gateway。

• HDC（Huawei Desktop Controller）：

华为桌面控制器，HDC是虚拟桌面管理软件的核心组件，根据ITA发送的请求进行桌面组的管理、用户和虚拟桌面的关联管理、虚拟机登录的相关处理等。

• HDA（Huawei Desktop Agent）：

华为桌面代理，将桌面的显示信息以hdp协议传送到客户端，并接收键盘鼠标外设信息。

• ITA（IT Adaptor）：

IT适配器，ITA为用户管理虚拟机提供接口，其通过与HDC（Huawei Desktop Controller）的交互、以及与云平台软件FusionCompute的交互，实现虚拟机创建与分配、虚拟机状态管理、虚拟机镜像管理、虚拟机系统操作维护功能。

• License：

License服务器，License服务器是License的管理与发放系统，负责HDC的License管理与发放。

• TCM（Thin Client Management）：

瘦终端（TC）管理服务器，TCM为升腾曦帆桌面管理系统，管理员通过TCM对TC进行日常管理。

• GaussDB：

GaussDB数据库，GaussDB为ITA、HDC提供数据库，用于存储数据信息。

• Backup Server：

备份服务器，Backup Server的主要功能是备份各个组件的关键文件和数据。

• UNS（Unified Name Service）：

单一名称服务，UNS支持通过统一的域名访问具有不同WI域名的多套FusionAccess系统。减少用户在不同的WI域名间进行的切换和跳转。

• AUS（Analytics Usage Simulation ）：

AUS在桌面云中通常指的是Analytics Usage Simulation (分析使用模拟)这是一种工具或技术，用于模拟和分析用户在桌面云环境中的使用情况和行为。它可以帮助桌面云管理员了解用户对资源的使用情况，例如CPU、内存、存储等，并优化资源分配以获得更好的性能和效率。通过模拟和分析用户行为，AUS还可以识别潜在的问题和瓶颈，并采取相应的措施来改进和优化桌面云环境。

9.4.FA搭建

请注意：之前版本的FusionAccess，是可以直接在vmware上进行模拟的。但是从8版本开始，不可以使用vmware进行模拟。

9.4.1.创建空虚拟机

创建FA-a1和创建FA-a2

创建FA-a2方法同上

9.4.2.安装操作系统

FA-a1和FA-A2安装步骤一样，下边以安装FA-A1为例子：

回车之后，什么都不用管，自动安装完成。

9.4.3.安装Tools

Tools工具是干什么的？

Tools是虚拟机的驱动程序。

空虚拟机创建并安装操作系统后，需要在虚拟机上安装华为提供的Tools，以便提高虚拟机的 I/O 处理性能，实现对虚拟记得硬件监控和其他高级功能。某些特性必须安装Tools才能使用。必须要使用Tools的特性请详见该特性的前提条件活约束说明。

功能

安装并启动Tools后，用户无需做任何操作，Tools即可提供以下功能：

1. 为虚拟机提供高性能的磁盘I/O和网络I/O功能

2. 为虚拟机提供虚拟硬件监控功能

   • 获取虚拟机指定网卡IP信息
   • 获取虚拟机内部各CPU利用率、内存利用率
   • 获取虚拟机内各个磁盘/分区的空间使用信息

3. 为虚拟机提供高级功能

   • 在线调整虚拟机的CPU规格

   • ​ 创建虚拟机快照

   • （Intel）虚拟机蓝屏检测

   • ​ 虚拟机与主机时钟同步

   • ​ 虚拟机网卡的高级功能，如QoS

   • ​ 自动升级虚拟机的驱动程序，如Tools驱动

FA-A1 和 FA-A2 分别去安装tools

下边两台虚拟机操作均一致吗，设置好各自ip，进行操作。一下一FA-a1为例。

系统安装好之后，通过VNC登录，账号使用root，密码默认为 Cloud12#$

当首次登录的时候，会直接让你配置ip地址，如果不消息退出来了，那么可以通过一个命令 startTools 命令再次进去配置页面。

配置ip 192.168.170.60

配置掩码 255.255.255.0

配置网关 192.168.170.254

最后回车

9.4.4. 配置FA-a1

• All in One：自动安装所需要的组件，配合的是windows AD域控。

• Custom install：客户自定义，这个选项，可以根据客户实际情况，进行手工选择组件进行安装。

• Install ALL（LiteAS/ITA/HDC/WI…）：自动安装所需要的组件，配合的是内置LiteAS轻量级域控系统。

  我们现在使用的是windows AD域控，选择 1，回车。

按字母e然后回车退出。

再进入看下组件状态，输入 startTools进入。

看到所有的组件全部变为normal后即可。

9.4.5. 配置FA-a2

A2上只配置vLB和vAG即可。

客户自定义安装

选择1，安装vLB

出现绿色的successfully，显示安装成功，按q退出

此时显示vLB已经安装

接下来退出安装vAG

安装完成

查看组件安装状态

vLB目前处于starting状态（非normal），原因是因为没有对vlb进行配置。

9.4.6. 配置FA-a2的vLB

现在再次查看组件状态，就全部变为normal

9.4.7. 尝试登录查看

• 注意：WI组件是为普通用户提供登录界面的，它的ip为22.60，所以可以直接通过22.60及进行登录。
• 另外，我们也为wi配置了vLB负载均衡。也可以直接通过vLB所在的主机ip 22.61 进行登录，当登录22.61的时候，vLB会把会话转送到WI组件所在的主机22.60.
• 生产环境，都是通过vLB进行登录的。

这个登录界面就是由WI组件提供的。

那么管理员登录的是由ITA组件提供的。请思考，ITA组件在什么地方？

IAT在22.60上，通过ITA组件所在的主机IP带上端口号 8448，进行管理员登录。

9.5. FA对接

9.5.1. FA对接FC

Ip为FC的浮动ip，如果你FC是单节点，那就是vrm单节点的ip。

端口号默认不要改，账号密码就是在FC平台创建的接口对接用户。

9.5.2.FA对接AD

在AD域中创建组织单位，并创建用户

创建DHCP地址池

配置DNS解析

对接好AD域控之后，AD里面的用户和组，FA不能直接使用。对接好之后，AD里面的用户和组，还需要在FA里面单独手工创建。

9.6.FA云桌面发放

FusionAccess它是通过模板来发放云桌面（虚拟机）的。

在使用FA发放云桌面之前，是需要我们自己手工去制作模板的。

模板类型有三种

完整复制模版

完整复制虚拟机指直接根据源虚拟机（即普通虚拟机模板），完整创建出独立的虚拟机。在该方式下，创建出来的虚拟机和源虚拟机是两个完全独立的实体，源虚拟机的修改乃至删除，都不会影响到复制出来的虚拟机的运行。剔除个性化信息（网卡/systemid等）

优点：每台虚拟机都是独立的个体，用户对虚拟机上数据的变更（如安装软件）可以保存。

**缺点：**源虚拟机和目标虚拟机分别占用独立的CPU、内存、磁盘资源，当需要对虚拟机的软件进行维护（如升级软件、更新软件病毒库等）时，需要对每台虚拟机进行操作。

快速封装模板：

和完整复制一样，只不过没有剔除个性化信息，发放出来的云桌面都是一样。这时就会存在一个问题，很多软件（集群），它是通过os systemid来识别的，所以会出现一些问题，因此该模板仅作测试使用。

**优点：**相对于完整复制模板，使用快速封装模板发放虚拟机速度更快，效率更高。

链接克隆模板：

技术特点：

• 相同OS多个客户虚拟机共享同一母镜像，母镜像可统一升级、维护；
• 每个客户虚拟机保存虚拟化镜像差异化部分；
• 可以实现关机自动还原；
• 降低存储成本60% ；
• 创建单个链接克隆虚拟机仅需12秒（测试数据）。

**适用场景：**任务型桌面，或只有个性化数据、但没有个性化程序的场景（可以拥有临时性个性化程序，但母镜像更新后会丢失）。

桌面类型

专有桌面：特指完整复制 单用户/静态多用户（没有随机概念）

池化桌面：特指链接克隆 静态池/动态池

专有桌面-单用户

一对一

专有桌面-静态多用户

允许一台云桌面多个用户登录。而这些多个用户，是提前已经规划好的。同一个时间不可以多个用户登录。（多用户共享同一个云桌面）

池化桌面-静态池

静态池:该桌面组在用户首次登录时，会随机分配给用户一台虚拟机与用户绑定，且一个用户只能绑定一台虚拟机。

池化桌面-动态池

动态池∶该桌面池中用户与虚拟机没有固定的分配绑定关系。但一个用户只能一次使用其中一台虚拟机。

云桌面删除

一定要解分配后，再删除。

9.6.1.完整复制发放

9.6.1.1.安装系统

FC上去安装一个windows，我使用的是win10，安装的时候注意，我选择的是专业版。

9.6.1.2.安装tools

根据DHCP地址池，自动分配ip

9.6.1.3.安装应用软件

注意，安装完win10，默认的本地administrator超管用户是被禁用的。（winserver默认启用），它会让你创建一个普通用户登录，这是不可以的，因为后面封装模板，必须使用本地超管。

因此要启用本地超管，并使用超管登录。

之后重启，使用本次超管登录。

9.6.1.4.关闭防火墙

9.6.1.5.封装并转为模版

为什么完整复制不需要提前加域呢？

因为完整复制桌面未来是要给到个人使用的，所以直接在发放的时候指定即可。没必要提前加域。

重启，用administrator登陆后，会自动继续安装。

注意：完整复制会有一步，剔除个性化数据，通过调用windows自己的sysprep来实现。

根据需求可以优化

剔除个性化信息

封装完成后，关闭，转为模板。

转为模版

9.6.1.6.创建计算机组

9.6.1.7.创建桌面组

9.6.1.8.创建AD用户

虽然FA对接了AD，但是还需要手工在FA里面重新创建。

首先AD里面得存在，memeda，之后FA里面才能创建memeda

为什么报错，因为memeda不存在AD域控里面。

AD里面创建好之后，才能在FA里面创建。

9.6.1.9.发放云桌面

为memeda发放一个完整复制的云桌面

首页-快速发放

注意，模板占用的是哪个主机的存储，就需要选择哪个CNA。

名称规则就是，未来你发放云主机叫什么名字。

9.6.1.10.尝试登录

如果点击云桌面，提示兼容性问题，推荐下载客户端，通过客户端登录。

9.6.2. 链接克隆发放

在AD上添加abc三个用户，并创建组abc

添加域用户组

9.6.2.1. 制作模版

前面步骤完全一样。

安装系统-安装tools-启用本地超管-安装应用软件-关闭防火墙-安装HDA-关机并转模板

为什么链接克隆，需要提前加域，因为链接克隆的云桌面，未来是要给到具体的某个用户组的。

安装好之后，链接克隆类型的模板，就不存在 封装系统了，因为链接克隆不需要剔除个性化信息，system local id 都是一样的。网卡信息都是一样的。

9.6.2.2. 发放云桌面

创建计算机组和桌面组

9.6.2.3. 尝试登录

两台云桌面给到了abc域用户组（里面有三个用户aaa/bbb/ccc）

通过aaa用户随机分配到了CLONE001云桌面

之后，使用bbb用户登录，会自动分配CLONE002

接下来尝试使用ccc登录，报错没有资源

使用aaa用户关闭并退出，再次尝试登录ccc

如果是动态池，这时候ccc就可以登录获取到云桌面了。

9.7. FA采用LiteAS发放云桌面（IA选学）

9.7.1. FA搭建

LiteAS组件本身包含在FA系统里面，是为了替换windows AD域控。

使用LiteAS比较简单，不再需要提前做windows AD。

提前创建好两台FA，具体操作请参考9.4小节FA搭建。注意：安装组件选择 LiteAS。

两台FA先安装tools

之后开始配置组件。

第一台：选择3（配合的是LiteAS），安装所有的组件

第二台：单独安装vLB

安装完vlb之后，等待第一台所有组件完全正常normal后，再进行vlb的配置。

用vlb对接22.60的wi

9.7.2. FA对接

输入192.168.22.60:8448 设置密码，进行管理员登录

配置vlb和vag这一步，如果没有配置，直接下一步就行。配置了，就点击新增。

对接好之后，稍等，所有组件都会变为正常绿色的。

9.7.3. 配置DHCP 和 DNS

配置DNS

重启dhcp服务并查看状态

操作步骤

1.通过VNC方式，使用root帐号登录主ITA/GaussDB/HDC/WI/License/vAG/vLB/LiteAS服务器。

2.执行以下命令，进入“/opt/LiteAS/script/DHCP”目录。

​ cd /opt/LiteAS/script/DHCP

3.执行以下命令配置DHCP服务。

sh dhcpConfig.sh 主节点ip 备节点ip 是否为主节点 是否开启 子网1起始ip,子网1结束ip,子网1网关ip,子网1掩码#子网2起始ip,子网2结束ip,子网2网关ip,子网2掩码例如：sh dhcpConfig.sh 192.168.180.11 192.168.180.12 true true 192.168.180.20,192.168.180.111,192.168.180.1,255.255.255.0#192.168.180.112,192.168.180.222,192.168.180.1,255.255.255.0

• 主节点IP/备节点IP：DHCP服务的主备IP，若只部署单节点DHCP，则备节点ip输入0.0.0.0。
• 是否为主节点：配置主DHCP服务时配置为“true”，配置备DHCP服务时配置为“false”。
• 开启DHCP：若开启DHCP服务配置为“true”，否则配置为“false”，如果配置为“false”，DHCP服务将不会启动。
• 子网与子网之间使用“#”连接。
• 子网ip使用“,”分隔。

4.执行以下命令修改DNS配置。

vi /etc/dhcp/dhcpd.conf

5.按I进入编辑模式，在配置文件中增加如下DNS信息。

option domain-name “DNS名称”;

option domain-name-servers 主DNS服务器IP地址,备DNS服务器IP地址;

其中DNS名称、主DNS服务器IP地址、备DNS服务器IP地址请根据实际规划填写，若只部署单节点DNS，则只需配置一个DNS服务器IP地址。

配置示例如下：

subnet 192.168.180.20 netmask 255.255.255.0 {.......option domain-name "DNSWKS";option domain-name-servers 192.168.11.11,192.168.11.12;.......
}

按Esc退出编辑模式，输入:wq，按“Enter”，保存并退出。
执行以下命令重启DHCP服务。

service dhcpd restart

执行以下命令查看DHCP服务运行状态

service dhcpd status

9.7.4. 制作模版

注意：链接克隆，不再需要加域了。跳过即可。之后的操作都一样。

9.7.5. 发放云桌面

创建计算机组

创建桌面组

创建域用户

创建3个用户 aaa bbb ccc，并且把三个用户加入到 abc组。

发放云桌面

因为只安装了vlb，没有安装vag，但是自动把vag的网关服务和自助维护台打开，所以报错。

你在做的时候有两种选择：要么就把vag和vlb全部都安装上，要么单独安装vlb，在wi界面-编辑，把网关服务和自助维护关闭（禁用掉）

接下来就可以使用用户组成员进行登录了。

文件中增加如下DNS信息。

option domain-name “DNS名称”;

option domain-name-servers 主DNS服务器IP地址,备DNS服务器IP地址;

其中DNS名称、主DNS服务器IP地址、备DNS服务器IP地址请根据实际规划填写，若只部署单节点DNS，则只需配置一个DNS服务器IP地址。

配置示例如下：

subnet 192.168.180.20 netmask 255.255.255.0 {.......option domain-name "DNSWKS";option domain-name-servers 192.168.11.11,192.168.11.12;.......
}

按Esc退出编辑模式，输入:wq，按“Enter”，保存并退出。
执行以下命令重启DHCP服务。

service dhcpd restart

执行以下命令查看DHCP服务运行状态

service dhcpd status

9.7.4. 制作模版

注意：链接克隆，不再需要加域了。跳过即可。之后的操作都一样。

[外链图片转存中…(img-cIMlm7D1-1757145644242)]

9.7.5. 发放云桌面

创建计算机组

创建桌面组

[外链图片转存中…(img-ANLIB2P5-1757145644242)]

创建域用户

[外链图片转存中…(img-AK07MKEu-1757145644242)]

创建3个用户 aaa bbb ccc，并且把三个用户加入到 abc组。

[外链图片转存中…(img-MmLvNYvz-1757145644242)]

[外链图片转存中…(img-b4IOny7n-1757145644242)]

发放云桌面

[外链图片转存中…(img-CTV7Fu4k-1757145644242)]

[外链图片转存中…(img-DiyCnoAB-1757145644242)]

因为只安装了vlb，没有安装vag，但是自动把vag的网关服务和自助维护台打开，所以报错。

你在做的时候有两种选择：要么就把vag和vlb全部都安装上，要么单独安装vlb，在wi界面-编辑，把网关服务和自助维护关闭（禁用掉）

[外链图片转存中…(img-YvULdoby-1757145644242)]

[外链图片转存中…(img-SbE2gUc9-1757145644242)]

[外链图片转存中…(img-QckmUxkW-1757145644242)]

接下来就可以使用用户组成员进行登录了。