HCIA-FusionAccess桌面云

admin管理员组

文章数量:1602084

传统桌面解决方案：公司有300台电脑。300电脑IP地址如何分配？权限如何管理？账号密码如何管理？如何统一桌面背景？企业资料安全如何保障？
AD（Active Directory）活动目录，账号密码权限的统一管理。域控（Domain Controller）
DNS（Domain Name System）域名解析系统，把主机名解析成ip地址叫正向解析，把ip解析成主机名叫反向解析。
DHCP（Dynamic Host Configuration Protocol，动态主机配置协议），可以动态的分配ip地址，给定一个ip地址池。

1、VMware虚拟机安装winserver 2012

这里使用仅主机网络来配置。把VMware workstation软件上面，仅主机对应的dhcp服务关闭，取消dhcp自动获取ip后需要手工设置网卡ip（不把仅主机对应的dhcp服务关闭的话，后面客户端无法自动获取其DHCP配置的ip地址池）

1、创建虚拟机




加载ISO镜像再开启虚拟机

2、安装系统





注意：在FC上安装的windows，这一步看不到磁盘，要点加载驱动程序。

密码为Mpp123456

手工配置ip地址

关闭防火墙

修改主机名，重启才会生效

3、安装AD+DNS+DHCP组件












4、提升为域控制器







这里报了红色错误，说明当前登录的不是administrator，要切换administrator，创建好win2012默认使用的是administrator。



安装完毕后，会自动重启，需要一定的时间。

一定要再次确认ip地址和dns地址，把dns的127.0.0.1 重新改回来。

5、完成DHCP配置



提交-关闭即可。
6、创建域用户


组织单位的意思是，可以按照部门来划分用户，如信息部门 IT




默认创建的用户 mpp，属于域普通用户的权限

再添加个用户mppadmin为admin权限






7、创建DHCP地址池






8天内没有使用此ip会被回收掉







8、配置DNS

默认情况下，搭建好DNS之后，会有一个正向解析（把主机名解析成ip地址）

现在是没有反向解析，添加一个反向解析，把ip解析成主机名。
之前6版本的FA，对接的时候，第一步FC，第二步就让对接AD和DNS，这时候必须添加DNS的反向解析记录的，否则对接将失败。

2、VMware虚拟机安装win10

鼠标点进去，直接回车就可以。













创建好DHCP服务后，这里会自动获取到ip地址。


加入域，vdesktop.huawei


这里的账号和密码是域管理员账号mppadmin，加域或者退域（普通域控账号也可以加域，但是不能退域，退域必须是域控管理员，具备domain admins权限）


加入域控的电脑，本地账号不会告诉业务员，让业务员使用ad域控里面创建的域用户登录。


统一桌面管理






更新策略

客户端重启下

退域

3、FusionAccess架构及组件介绍

直接加载本地台式机的操作系统，通过瘦终端加载虚拟机中的操作系统。

https://support.huaweicloud/ugeu-workspace/workspace_02_1002.html


1、WI：Web Interface，Web接口。WI为普通用户提供Web登录界面，在用户发起登录请求时，将用户的登录信息（加密后的用户名和密码）转发到AD上进行用户身份验证，验证通过后，WI将HDC提供的虚拟机列表呈现给用户，为用户访问虚拟机提供入口。用户可以在WI上连接、启动、重启虚拟机。
2、ITA：IT Adaptor，IT适配器。为管理员提供Web登入界面，通过与HDC、FC的交互，实现虚拟机创建与管理。
3、HDC：Huawei Desktop Controller，华为桌面控制器，FA的核心组件，和其他组件进行互通。客户端发送请求到WI–登录账号和密码–直接找到HDC–AD查用户密码是否正确–HDC知道了账号密码正确–高斯DB（存的有这个用户对应绑定的云桌面）–返回云桌面的状态给HDC–返回给WI—返回客户端。
4、TCM：Thin Client Management，瘦终端管理服务器。管理员通过TCM对TC进行日常管理。
5、License服务器，负责HDC的License管理与发放。当用户连接虚拟机时会到License服务器上检查License，判断是否可以连接到虚拟机。用户数授权（适合于完整复制桌面，一人一台电脑），并发数授权（适合于链接克隆桌面，多人共用一台电脑）。
6、GaussDB数据库，GaussDB为ITA、HDC提供数据库，用于存储数据信息。
7、Backup Server备份服务器，备份各个组件的关键文件和数据。
8、HDA：Huawei Desktop Agent，安装在虚拟机上面的桌面代理软件，虚拟机通过该软件与桌面管理组件、接入终端交互。TC（SC）要通过HDP协议连接到虚拟机必须要在虚拟机上安装HDA。HDA实际上是一系列桌面连接服务，为TC（SC）使用虚拟机提供支持。
9、HDP Client：HDP（Huawei Desktop Protocol）客户端，安装在需要接入虚拟桌面的终端上。HDP：Huawei Desktop Protocol，是华为自研的新一代云接入桌面协议。
10、TC、SC：TC瘦客户端，SC软客户端。
11、vAG：Virtual Access Gateway，虚拟网关服务，vag做内外网映射的。vAG的主要功能是桌面接入网关和自助维护网关。当用户虚拟机出现故障时，用户无法通过桌面协议登录到虚拟机，需要通过VNC自助维护台登录到虚拟机进行自助维护。
12、vLB：Virtual Load Balance，虚拟负载均衡器。在用户访问WI时，进行负载均衡，避免大量用户访问到同一个WI。通过部署vLB方式实现WI的负载均衡时，将多台WI的IP地址绑定在一个域名下，当用户输入域名发起请求时，vLB按照IP地址绑定的顺序依次解析WI的IP，同时将用户的登录请求分流到依次解析出IP地址的WI上，提高WI的响应速度，保证WI服务的可靠性。
13、LiteAS：是一个轻量级的域控组件，针对windows AD来说的，因为AD功能过于强大，即便FA对接了AD，也仅仅是使用了AD里面的用户管理角色授权功能，还有DNS及DHCP功能，其他功能没有用。所以感觉非常浪费，而且配置AD很复杂。这时候，没有特别的需求，可以不使用AD，意思是不再使用windows的这个AD了，而直接使用FA内部自己的LiteAS这个域控系统即可。

4、FusionAccess8.0.2搭建

注意：之前版本的FusionAccess，是可以直接在vmware上进行模拟的。但是从8版本开始，不可以使用vmware进行模拟。这里使用FusionAccess8.0.2版本。

4.1创建空虚拟机

创建FA-A1



创建FA-A2

4.2安装操作系统

安装FA-A1


回车之后，什么都不用管，自动安装完成。

安装FA-A2

4.3安装tools

Tools是虚拟机的驱动程序，空虚拟机创建并安装操作系统后，需在虚拟机上安装华为提供的Tools，以便提高虚拟机的I/O处理性能、实现对虚拟机的硬件监控和其他高级功能，某些特性必须要安装Tools才能使用。
安装并启动Tools后，用户无需做任何操作，Tools即可提供以下功能：为虚拟机提供高性能的磁盘I/O和网络I/O功能；为虚拟机提供虚拟硬件监控功能；获取虚拟机指定网卡IP信息；获取虚拟机内部各CPU利用率、内存利用率；获取虚拟机内各个磁盘/分区的空间使用信息等。
FA-A1 和 FA-A2 分别去安装tools
系统安装好之后，通过VNC登录，账号使用root，密码默认为 Cloud12#$
当首次登录的时候，会直接让你配置ip地址，如果没有配置ip地址信息退出来了，可以通过一个命令 startTools 命令再次进去配置页面。

配置ip 192.168.22.60
配置掩码 255.255.255.0
配置网关 192.168.22.254
最后回车






安装FA-A2 的tools，方法和上述一致

4.4配置FA-A1

All in One：自动安装所需要的组件，对接的是windows AD域控。
Install ALL（LiteAS/ITA/HDC/WI…）：自动安装所需要的组件，对接的是内置LiteAS轻量级域控系统。
Custom install：客户自定义，进行手工选择组件进行安装。
现在使用的是windows AD域控，选择 1，回车。



按字母e然后回车退出。

再进入看下组件状态，输入 startTools进入。

看到所有的组件全部变为normal后即可。

4.5配置FA-A2

A2上只配置vLB和vAG即可。

客户自定义安装













vLB目前处于starting状态（非normal），原因是没有对vlb进行配置，没有对接WI。

4.6配置FA-A2的VLB

现在再次查看组件状态，就全部变为normal

4.7尝试登录查看

WI组件是为普通用户提供登录界面的，它的ip为22.60，所以可以直接通过22.60进行登录。另外也为wi配置了vLB负载均衡，也可以直接通过vLB所在的主机ip 22.61 进行登录，当登录22.61的时候，vLB会把会话转送到WI组件所在的主机22.60。生产环境都是通过vLB进行登录的。vLB只给WI组件配置负载均衡，不给ITA组件配置负载均衡。


普通用户登录界面由WI组件提供的，管理员登录页面是由ITA组件提供的。
IAT组件在22.60上，通过ITA组件所在的主机IP带上端口号 8448，进行管理员登录。

5、FusionAccess对接

5.1FusionAccess对接FusionCompute

ip为FC的浮动ip，如果你FC是单节点，那就是vrm单节点的ip。
端口号默认不要改，账号密码就是在FC平台创建的接口对接用户。



这里不用输入密码，使用的是gandalf内置密码

5.2FusionAccess对接AD域控

FC上安装windows，Windows AD域控搭建，配置的DHCP是给未来发放的云桌面虚拟机使用的。


对接好AD域控之后，AD里面的用户和组，在FA不能直接使用。对接好AD域控之后，AD里面的用户和组，还需要在FA里面单独手工创建。

FQDN：输入winserver的 域名称。

6、FusionAccess云桌面发放

前面配置的DHCP是未来发放的云桌面虚拟机使用的，FusionAccess它是通过模板来发放云桌面虚拟机的。在使用FA发放云桌面之前，是需要自己手工去制作模板的。
模板类型有三种：
完整复制模板：剔除个性化信息（网卡/systemid等），独立的系统盘。
链接克隆模板：它们都是通过同一个母卷来发放的，因此都是共享操作系统盘，没有自己个性化数据。
快速封装模板：和完整复制一样，只不过没有剔除个性化信息，发放出来的云桌面都是一样。这时就会存在一个问题，很多软件（集群），它是通过操作系统的systemid来识别的，所以会出现一些问题，因此该模板仅作测试使用。


桌面类型：
专有桌面：特指完整复制 单用户/静态多用户（多用户共享同一个云桌面）
池化桌面：特指链接克隆 静态池/动态池

1、专有桌面-单用户，一对一，一台虚拟机只能有一个用户

2、专有桌面-静态多用户，一对多，给定一个用户组，在组内的所有用户都可以使用。
允许一台云桌面多个用户登录。而这些多个用户，是提前已经规划好的。同一个时间不可以多个用户登录（多用户共享同一个云桌面）

池化桌面-静态池：首次随机分配，绑关系，断开会话或重启，其他人依然不可登录。

池化桌面-动态池：首次随机分配，不绑关系，断开会话或重启，其他人可以登录。

7、完整复制桌面发放

在FC上安装一个windows10专业版，并启用本地超管administrator登录

挂载tools，之后双击安装，重启电脑。安装tools，会自动获取ip地址。

安装应用软件
注意：安装完win10，默认的本地administrator超管用户是被禁用的（winserver默认启用超管），它会让你创建一个普通用户登录，这是不可以的，因为后面封装模板，必须使用本地超管。因此要手工新增本地超管，并使用超管登录。




之后重启，使用本地超管登录。
关闭防火墙

封装并转为模板









为什么完整复制不需要提前加域呢？
因为完整复制桌面未来是要给到个人使用的，所以直接在发放的时候指定即可，没必要提前加域。



重启，用administrator登陆后，什么都不要动，它会自动继续安装。
注意：完整复制会有一步，剔除个性化数据，是通过调用windows自己的sysprep来实现的。


剔除个性化信息


封装完成后，关机，转为模板。


创建计算机组

创建桌面组

创建AD用户
虽然FA对接了AD，但是还需要手工在FA里面重新创建用户。
首先AD里面得存在，memeda用户，之后FA里面才能创建memeda

为什么报错，因为memeda不存在AD域控里面。

AD里面创建好之后，才能在FA里面创建。

发放云桌面
为memeda发放一个完整复制的云桌面，首页-快速发放

注意，模板占用的是哪个主机的存储，就需要选择哪个CNA。




名称规则就是，未来你发放云主机叫什么名字。







尝试登录

如果点击云桌面，提示兼容性问题，推荐下载客户端，通过客户端登录。


云桌面删除，一定要先解分配后，再删除。

8、链接克隆桌面发放

制作模板，前面步骤完全一样。
安装系统-安装tools-启用本地超管-安装应用软件-关闭防火墙-安装HDA-关机并转模板


为什么链接克隆，需要提前加域，因为链接克隆的云桌面，未来是要给到具体的某个用户组的。


安装好之后，链接克隆类型的模板，就不存在封装系统了，因为链接克隆不需要剔除个性化信息，system local id 都是一样的。网卡信息都是一样的。都是共享模板的没必要剔除。


直接关机，关机之后转模板

发放云桌面，创建计算机组和桌面组






在这里要选择用户组，之前已经在windowAD里面创建了，这时FA平台还没有，需要单独在FA再创建出来。
创建用户和用户组：组名 abc ，成员 abc1/abc2/abc3




把3个用户加入到abc组内


windowsAD里面创建完成后，接着在FA平台创建。


两台云桌面创建好了


尝试登录（静态池）
两台云桌面给到了abc域用户组（里面有三个用户aaa/bbb/ccc）

通过aaa用户随机分配到了CLONE001云桌面

之后，使用bbb用户登录，会自动分配CLONE002

接下来尝试使用ccc登录，报错没有资源

使用aaa用户关闭并退出，再次尝试登录ccc

如果是动态池，这时候ccc就可以登录获取到云桌面了。

9、FA采用LiteAS轻量级域控发放云桌面

FA搭建，创建好两台FA，使用LiteAS不再需要提前做windows AD。注意：安装组件选择 LiteAS。
两台FA先安装tools，之后开始配置组件。
第一台：选择3（对接的是LiteAS），安装所有的组件




第二台：单独安装vLB

安装完vlb之后，等待第一台所有组件完全正常normal后，再进行vlb的配置。
配置vLB指向WI，用vlb对接22.60的wi




FA对接FC，输入192.168.22.60:8448 设置密码，进行管理员登录。



只安装了vlb，没有安装vag，需要把网关服务和自助维护关闭。


现在FA就不再需要对接windowsAD了，直接使用它自己本地的LiteAS就行。

对接好之后，稍等，所有组件都会变为正常绿色的。
配置DHCP和DNS

官方操作步骤
通过VNC方式，使用root帐号登录主ITA/GaussDB/HDC/WI/License/vAG/vLB/LiteAS服务器。
执行以下命令，cd /opt/LiteAS/script/DHCP
执行以下命令配置DHCP服务
sh dhcpConfig.sh 主节点ip 备节点ip 是否为主节点 是否开启 子网1起始ip,子网1结束ip,子网1网关ip,子网1掩码#子网2起始ip,子网2结束ip,子网2网关ip,子网2掩码
例如：
sh dhcpConfig.sh 192.168.180.11 192.168.180.12 true true 192.168.180.20,192.168.180.111,192.168.180.1,255.255.255.0#192.168.180.112,192.168.180.222,192.168.180.1,255.255.255.0
主节点IP/备节点IP：DHCP服务的主备IP，若只部署单节点DHCP，则备节点ip输入0.0.0.0。
是否为主节点：配置主DHCP服务时配置为“true”，配置备DHCP服务时配置为“false”。
开启DHCP：若开启DHCP服务配置为“true”，否则配置为“false”，如果配置为“false”，DHCP服务将不会启动。
子网与子网之间使用“#”连接。
子网ip使用“,”分隔。

执行以下命令修改DNS配置。
vi /etc/dhcp/dhcpd.conf
按I进入编辑模式，在配置文件中增加如下DNS信息。
option domain-name "DNS名称";
option domain-name-servers 主DNS服务器IP地址,备DNS服务器IP地址;

其中DNS名称、主DNS服务器IP地址、备DNS服务器IP地址请根据实际规划填写，若只部署单节点DNS，则只需配置一个DNS服务器IP地址。
配置示例如下：
subnet 192.168.180.20 netmask 255.255.255.0 {
  .......
  option domain-name "DNSWKS";
  option domain-name-servers 192.168.11.11,192.168.11.12;
  .......
}
按Esc退出编辑模式，输入:wq，按“Enter”，保存并退出。
执行以下命令重启DHCP服务。
service dhcpd restart
执行以下命令查看DHCP服务运行状态
service dhcpd status

发放云桌面，创建计算机组，创建桌面组，创建域用户

创建3个用户 aaa bbb ccc，并且把三个用户加入到 abc组。


发放云桌面




登入报错，因为只安装了vlb，没有安装vag，但是自动把vag的网关服务和自助维护打开，所以报错。
要么就把vag和vlb全部都安装上，要么单独安装vlb，在wi的web界面-编辑，把网关服务和自助维护关闭。

再通过aaa登录
登入不进去云桌面，因为模板没有重新做，链接克隆模板里面用的是vdesktop.huawei那个域，但是LiteAS用的local这个域，所以无法登录。链接克隆要重新制作模板。注意：链接克隆，不再需要加域了，跳过即可，之后的操作都一样。
使用LiteAS的时候，链接克隆模板要重新做，不要使用原来的。这次在封装链接克隆模板的时候，直接跳过域配置。（完整复制不影响，可以直接用原来的，没有提前加域）。

本文标签： 桌面HCIAFusionAccess