1、FusionAccess桌面云運維與管理介紹技術創新，變革未來學完本課程后，您將能夠：熟悉華為桌面云常用工具熟悉華為桌面云維護任務熟悉華為桌面云的運維注意事項掌握虛擬桌面的各個方面的業務調整掌握虛擬桌面的業務回收流程掌握虛擬桌面的策略管理掌握虛擬桌面的賬戶管理掌握虛擬桌面的安全管理掌握虛擬桌面的備份與恢復概述及常用工具云桌面維護任務運維注意事項業務調整業務回收策略管理賬戶管理安全管理備份與恢復云桌面運維概述在華為桌面云解決方案中，運維操作包括如下內容： 登錄FusionCompute系統，主要完成基礎架構虛擬機的創建、資源池的管理維護、各服務器虛擬機的管理維護。登錄FusionAccess系統

2、，主要完成用戶虛擬機業務調整、業務回收、策略管理、賬戶管理、告警、統計報表、備份和恢復的管理維護。登錄FusionAccess基礎架構虛擬機，主要完成系統重啟、補丁安裝、病毒掃描、備份恢復的管理維護。FusionAccessFusionCompute管理員管理員FusionCare工具FusionCare是專門為運維準備的工具軟件，主要功能有兩點，如下：創建健康檢查任務，對桌面云管理節點進行健康檢查，并輸出健康檢查報告，發現系統的潛在問題或風險，給出相關處理建議或最佳實踐。當系統出現問題時，管理員可以創建收集任務，選擇日志收集節點，一鍵式打包收集日志，無需管理員再到每個系統組件上手動收集，提高

3、效率。vDesk - 用戶體驗優化工具功能名稱功能介紹一鍵檢查/優化對影響虛擬機體驗的指標進行一鍵式檢查，并進行一鍵式優化。系統加速對影響虛擬機系統性能的指標進行檢查并進行優化。顯示優化對影響虛擬機顯示性能的指標進行檢查并進行優化。常用工具1. 連接檢修工具：當虛擬機無法連接時，使用該工具進行檢測并對可修復的選項進行自動修復。2. 日志收集工具：一鍵式收集虛擬機的日志用于問題定位。3. 華為外設助手：策略自檢、配置指導、常規分析、深度分析。其他運行時間超過10天提示重啟；在線反饋；版本更新；一鍵式訪問論壇；設置；幫助。Huawei vDesk 用戶體驗優化工具，包含了華為長期對桌面云用戶體驗優

4、化的經驗積累，極大方便提升用戶使用桌面云的體驗。vDesk - 優化用戶使用桌面體驗一鍵式日志/信息收集一鍵式連接修復一鍵式體驗優化vTools - 運維管理工具集Huawei vTools 運維管理工具集，華為桌面云維護工具大全，累積華為桌面云長期維護經驗總結，極大方便并提升桌面云的日常運維操作。功能名稱功能介紹AD檢查工具主要用于局點桌面云建設時，檢查AD(包括：局方AD)的滿足度，比如：權限等。WI撥測工具替代日常手工巡檢，通過模擬用戶通過WI登錄虛擬機，并將結果通過郵件反饋給管理員。WI換圖工具用于更換WI的背景、LOGO圖片。 信息分析工具配合信息收集工具使用，用于將信息收集工具的收

5、集結果，對軟件、外設兼容性分析，對性能數據進行統計匯總。 第三方工具鏈接鏈接到論壇第三方工具集合，方便獲取。在線搜索通過該功能，輸入關鍵字可以直接搜索云計算維護論壇上匹配的內容并顯示結果。其他Huawei vDesk；在線反饋；一鍵式訪問論壇；幫助。vTools - 極大提升管理員效率WI換圖工具WI撥測工具AD檢查工具第三方工具鏈接在線搜索信息分析工具知識小考您之前使用過華為的哪種運維工具？請分享使用感受。本節主要講述了桌面云運維的思路和FusionCare、vDesk、vTools常用的運維工具。概述及常用工具云桌面維護任務運維注意事項業務調整業務回收策略管理賬戶管理安全管理備份與恢復Fu

6、sionAccess日維護任務 (1)維護項目維護場景具體維護任務組件狀態監控根據對組件狀態的監控，快速發現系統的異常。查看各組件狀態是否正常。系統告警監控根據對告警的監控，快速發現系統的異常。如有緊急告警，請按照告警幫助立即進行處理。 對于重要及以下等級的告警，每周末要按照告警幫助處理1次。VIP桌面告警監控針對VIP用戶的虛擬機遇到的問題及時快速處理。說明：必須優先配置VIP桌面需要看護的項目， FusionAccess Portal入口：“桌面管理 業務配置 VIP桌面策略”。定期查看VIP桌面告警。 配置告警轉郵件，可實時處理VIP桌面告警。說明： 需要配置告警轉郵件。FusionAc

7、cess Portal入口：“告警監控 系統告警 告警轉郵件配置”。FusionAccess日維護任務 (2)維護項目維護場景具體維護任務用戶虛擬機使用狀態監控通過例行監控，發現當前用戶虛擬機運行狀態、登錄狀態、分配狀態、性能消耗情況、異常注冊情況，通過這些數據的分析便于系統管理員發現系統潛在的問題并及時處理。虛擬機狀態信息統計。 虛擬機性能信息統計。 虛擬機注冊異常次數統計。網關狀態監控通過例行監控網關狀態，監測一段時間內網關的CPU、內存及流量與其用戶數使用資源是否匹配，便于提前發現異常用戶（如持續占用帶寬的用戶等）。網關基本信息的監控：監控網關狀態是否異常。 用戶連接信息的監控：監控活躍

8、用戶的使用資源是否異常。組件狀態監控FusionAccess Portal入口：“告警監控 狀態監控”。系統告警監控FusionAccess Portal入口：“告警監控 系統告警”。VIP桌面告警監控方式一，主動查看： FusionAccess Portal入口：“告警監控 VIP桌面告警” 。方式二，告警轉郵件，當VIP桌面狀態異常時能夠實時收到告警郵件。用戶虛擬機狀態監控FusionAccess Portal入口：“統計報表 虛擬機信息”。用戶使用虛擬機狀態統計FusionAccess Portal入口：“統計報表 用戶使用信息”。網關狀態監控FusionAccess Portal入口：

9、“統計報表 vAG信息 基本信息”。FusionAccess周維護任務項目維護場景具體維護任務用戶虛擬機重啟說明：此項建議用戶自行重啟。Windows操作系統長時間運行可能存在內存資源不足、進程占用CPU過高導致系統運行緩慢的風險，為保證系統正常運行，建議用戶虛擬機至少每周重啟一次。建議用戶虛擬機每3-5天重啟一次，持續運行不要超過1周。系統數據備份檢查為確保系統異常時有可用的備份數據，需定時檢查備份功能和數據的可用性。根據備份策略查看備份數據是否存在，如果出現異常，請立即處理。用戶虛擬機重啟建議用戶虛擬機每3-5天重啟一次，持續運行不要超過1周。FusionAccess月維護任務維護項目維護

10、場景具體維護任務系統健康檢查定期對桌面云環境進行全面檢測，防范于未然。使用FusionCare工具進行系統健康檢查，對于存在不合格的檢查項， 請立即處理。用戶使用虛擬機狀態統計通過對用戶使用虛擬機情況的分析，可以幫助系統管理員快速分析出資源利用情況，對不合理的使用進行重新分配及回收，達到資源合理利用的目的。一定時間段內的在線人數統計。一定時間段內的用戶每日使用時間統計。 一定時間段內的未使用的虛擬機統計。一定時間段內用戶虛擬機的登錄情況統計。基礎架構虛擬機重啟為防止基礎架構虛擬機長時間連續運行導致系統不穩定，需根據實際情況定期重啟基礎架構虛擬機。建議基礎架構虛擬機每3個月重啟一次，持續運行不要

11、超過120天。基礎架構服務器操作系統補丁更新微軟定期發布Windows補丁，需根據預警公告進行Windows補丁的更新。更新windows基礎架構組件操作系統補丁。基礎架構服務器病毒檢查為防止基礎架構虛擬機遭受病毒攻擊，需定期更新防病毒服務器和客戶端軟件，并定期掃描和清除基礎架構服務器病毒。更新防病毒服務器及客戶端軟件。 掃描并清除FusionAccess服務器病毒。系統補丁更新、病毒掃描知識小考您做過運維的工作嗎？請簡單分享一下您負責產品的運維的日、周、月的運維任務內容。本節主要講述了FusionAccess在日、周、月不同時間點的維護任務，部分任務會有一定的重疊，但一些虛擬機重啟操作一定不

12、要在日維護任務中執行。概述及常用工具云桌面維護任務運維注意事項業務調整業務回收策略管理賬戶管理安全管理備份與恢復禁用操作概述在維護FusionAccess時，禁止進行下表所示的操作，否則可能會給設備的正常運行帶來致命危險。類別操作風險業務操作類嚴禁在FusionCompute的界面上刪除虛擬桌面。刪除后，用戶虛擬桌面不可用。嚴禁在桌面云中搭建DHCP服務器或者DNS服務器。將會與系統的DHCP服務和DNS服務沖突，導致業務不可用。嚴禁在虛擬機操作系統更新補丁等情況正常重啟時，執行強制重啟或強制關閉虛擬機操作。該類情況正常重啟耗時較長，如果此時執行強制重啟或強制關閉虛擬機操作，有可能損壞虛擬機。

13、嚴禁將Windows 10、Windows Server 2012的系統盤作為用戶盤掛載到操作系統為Windows 10和Windows Server 2012的虛擬機上。有可能損壞系統的引導文件，導致虛擬機黑屏。禁用操作 - 進程服務類 (1)禁止更改msconfig系統配置中默認的服務和啟動選項。禁用操作 - 進程服務類 (2)禁止禁用HDP類服務；禁止卸載相關運行必備的軟件 禁用操作 - 進程服務類 (3)禁止在任務管理器中禁用以下進程：Local serviceNetwork serviceSystem禁用操作 - 網絡禁止禁用VM網卡，禁用或修改網絡配置。禁止執行修改路由的腳本或命令

14、，如route DELETE。禁止在Windows防火墻例外選項中刪除以下端口：28511、285512、28521、28522。禁止打開Ipsec等具有禁止網絡流量功能的軟件或工具。其它禁用操作 禁止刪除C:Program FilesHuawei目錄下的文件和文件夾。禁止對VM執行睡眠操作，VM默認不啟用睡眠操作。禁止修改HDP客戶端（Access Agent）配置文件。禁止運行優化軟件對注冊表進行清理和優化。（慎用操作）自定義安裝具有復雜變換功能的屏保，該操作會消耗大量系統資源，用戶重新進入VM桌面時會有一定的延遲。高危操作 (1)在維護FusionAccess時，為了確保系統的安全性和穩

15、定性，還需注意下表所示的高危操作。操作名稱操作風險風險等級規避措施重大操作觀察項目更換基礎架構服務器操作不當，可能導致業務中斷。先備份數據，再進行更換操作。觀察是否存在未恢復的異常告警。AD上修改組策略操作操作不當，可能導致業務中斷。記錄AD修改前的配置情況，當出現問題時，便于進行回退操作。觀察虛擬機是否可以正常登錄使用。ITA上批量創建、批量關聯操作白天進行批量操作，會影響ITA的性能，可能導致其他業務異常。在夜間業務量低時進行批量操作。 批量創建、批量關聯虛擬機前，請確認資源是否充足。觀察虛擬機是否可以正常登錄使用。在FusionAccess界面“系統管理 初始配置”中執行“配置虛擬機化環

16、境”、“配置域/OU”、“配置桌面組件”操作。操作不當，可能導致業務中斷。記錄修改前的配置情況，當出現問題時，便于進行恢復操作。觀察創建虛擬機是否可以成功。高危操作 (2)操作名稱操作風險風險等級規避措施重大操作觀察項目手動誤刪除虛擬機操作不當，會導致虛擬機丟失，數據丟失，業務中斷。請在刪除前務必確認刪除對象是否正確。-手動更新虛擬機會導致系統盤的用戶數據丟失。請確認是否允許用戶數據丟失，若允許，可執行手動更新操作。-手動還原虛擬機會導致系統盤的用戶數據丟失。請確認是否允許用戶數據丟失，若允許，可執行手動還原操作。-創建定時任務及策略選擇操作不當，可能會導致業務中斷。需根據實際業務慎重選擇合適

17、的策略。觀察定時任務執行是否可以正常進行。配置模板類型配置的模板類型與實際類型不符，會導致業務發放失敗。確認實際的模板類型，并正確配置。觀察虛擬機是否可以正常發放。高危操作 (3)操作名稱操作風險風險等級規避措施重大操作觀察項目調整同步時鐘源或修改同步時鐘源調整或修改同步時鐘源，各虛擬機的時間會發生跳變，可能導致業務發生中斷。在夜間業務量低時進行操作。觀察調整或修改前后的時間差。虛擬機長時間不重啟操作系統長時間運行后會有內存垃圾，導致虛擬機運行緩慢。定期對虛擬機進行重啟，建議不超過7天。-并發系統更新大量并發系統更新導致服務器CPU耗盡，存儲、網絡擁塞，可能導致虛擬機運行緩慢，嚴重甚至引起節點

18、重啟、存儲故障。分批對用戶虛擬機進行更新。觀察是否存在未恢復的異常告警。高危操作 (4)操作名稱操作風險風險等級規避措施重大操作觀察項目并發殺毒大量并發殺毒更新導致服務器CPU耗盡，存儲擁塞，可能導致虛擬機運行緩慢，嚴重甚至引起節點重啟、存儲故障。在夜間業務量低時進行操作。觀察是否存在未恢復的異常告警。上班時并發啟動虛擬機大量虛擬機啟動會造成IO風暴，導致虛擬機運行緩慢。虛擬機盡量不要關機。 利用定時任務在上班之前先將虛擬機準備好。觀察是否存在未恢復的異常告警。辦公虛擬機并發播放視頻辦公虛擬機并發播放視頻會導致服務器CPU耗盡和網絡擁塞，可能導致虛擬機運行緩慢、斷連、無法連接。提高虛擬機規格。

19、 減少單個服務器上虛擬機密度。觀察是否存在未恢復的異常告警。知識小考請分享您在做產品運維的時候，有哪些禁用操作和高危操作？簡單列舉并描述一下。本節主要學習了桌面云系統在運維的時候一些禁用操作和高危操作，在進行運維的時候，一定要切記不要隨意進行這些操作，以免用戶的業務受到影響。概述及常用工具云桌面維護任務運維注意事項業務調整業務回收策略管理賬戶管理安全管理備份與恢復業務調整 - 修改虛擬機規格 (1)在FusionAccess的“桌面管理 所有計算機”中找到將要修改的虛擬機，點擊關閉虛擬機，等待虛擬機狀態為“已停止”。業務調整 - 修改虛擬機規格 (2)選中已關機的虛擬機，選擇“高級功能 修改虛

20、擬機”，進入虛擬機規格修改界面，修改結束后重啟即可。業務調整 - 追加虛擬機用戶 (1)“分配類型”是“靜態多用戶”的虛擬機才能進行追加用戶操作。業務調整 - 追加虛擬機用戶 (2)添加的用戶為AD服務器中存在的用戶，并且需與創建虛擬機用戶時設置的“用戶登錄名”保持一致，多個用戶帳號之間使用英文逗號隔開，例如“vdesktopUser01,vdesktopUser02,”。追加用戶所屬的權限組，若模板制作過程中配置“Users”權限組，此處才可設置“Users”組，否則只能設置“Administrators”權限。業務調整 - 追加虛擬機 (1)虛擬機添加到虛擬機組在虛擬機組管理界面，選中列表

21、中待添加虛擬機的虛擬機組，點擊“添加虛擬機”，填寫虛擬機的規格信息即可完成添加。業務調整 - 追加虛擬機 (2)在桌面組中分配虛擬機在桌面組管理界面，選中列表中的桌面組，單擊“分配虛擬機”，配置完虛擬機命名規則、分配類型、虛擬機組、用戶以及權限等信息即可完成分配。業務調整 - 普通用戶升級為VIP只有已分配的完整復制、鏈接克隆虛擬機才能升級為VIP桌面。 VIP桌面的資源保障和實時看護策略針對FusionAccess系統中所有的VIP虛擬機，推薦保持為默認值。業務調整 - 虛擬桌面遷移 (1)在FusionAccess中，進入“桌面管理 所有計算機 虛擬機”，找到將要遷移的虛擬桌面，復制虛擬機

22、ID。在FusionCompute中的“資源池”界面，通過虛擬機ID查找到要遷移的虛擬機，點擊“遷移”。業務調整 - 虛擬桌面遷移 (2)在FusionAccess界面，可以看到桌面虛擬機運行狀態為“遷移中”，登錄狀態仍為“使用中”。登錄到遷移的桌面虛擬機上，整個遷移過程中ping網關的狀態都是正常，業務沒有受到影響。業務調整 - 設置用戶接入控制策略用戶接入控制策略主要包括： 基于時間段的訪問控制策略設備與用戶綁定TC與計算機綁定設置禁止虛擬機被訪問的時間段。選擇策略應用的對象。業務調整 - 解分配虛擬桌面 在FusionAccess的虛擬機列表中，勾選待解分配的一臺或多臺虛擬機，單擊“解分

23、配”。業務調整 - 恢復分配虛擬桌面 在FusionAccess的虛擬機列表中，選中狀態為“已解分配”的虛擬機，點擊“高級功能”，選擇“恢復分配”。業務調整 - 還原虛擬桌面系統盤 強制將鏈接克隆虛擬機的系統還原到初始狀態。只有“運行狀態”為“運行中”或“已停止”，“分配狀態”為“已分配”并且“登錄狀態”不為“使用中”的鏈接克隆虛擬機，才允許進行還原系統的操作。可以針對單臺虛擬機、虛擬機組或桌面組進行還原。本節主要講述了平時運維過程中，對桌面虛擬機一些常用的業務調整，包含了虛擬機規格修改，遷移，追加用戶，追加虛擬機，解分配虛擬桌面、系統還原等等。概述及常用工具云桌面維護任務運維注意事項業務調整

24、業務回收策略管理賬戶管理安全管理備份與恢復 業務回收 - 回收單用戶桌面 (1)第一步，解分配 業務回收 - 回收單用戶桌面 (2)第二步，刪除虛擬機 業務回收 - 回收靜態多用戶桌面勾選“分配類型”為“靜態多用戶”的虛擬機，選擇“高級功能 刪除用戶”。將要刪除的用戶從“已存在的用戶”移動到“需要刪除的用戶”中。 業務回收 - 回收動態多用戶桌面 (1)桌面組類型為靜態池虛擬桌面解分配刪除虛擬機AD中將用戶從用戶群組里刪除 業務回收 - 回收動態多用戶桌面 (2)桌面組類型為動態池AD中將用戶從用戶群組里刪除當某些桌面虛擬機不再使用的時候，及時的回收有利于資源的合理使用，因用戶類型的不同，回收

25、桌面虛擬機的流程也不同。概述及常用工具云桌面維護任務運維注意事項業務調整業務回收策略管理賬戶管理安全管理備份與恢復 策略管理根據各終端用戶的實際環境及特有需求，對某一桌面組中的所有虛擬機、某一臺虛擬機或某個用戶擁有的虛擬機在以下幾個方面進行應用策略的定制及規劃，創建出滿足用戶真實需求的最優、最高效的策略管理方案，幫助用戶更好的使用虛擬機。外設接入控制 文件和剪切板Flash音頻帶寬 策略管理 策略管理應用場景創建音頻典型場景配置：在工作、會議等重要場合，需要關閉音樂、游戲等娛樂方面的錄音和播音功能時，“音頻重定向”可以選擇“已禁用”。 教育場景下的電教室，需要統一設置合理音量時，才需要設置“播

26、音設置音量”。 創建顯示策略場景配置：對于需求高清晰的桌面環境，修改“顯示 顯示策略等級 展開高級設置”中的帶寬、有損壓縮識別閾值、有損壓縮質量等參數。對于需求視頻播放流暢場景，采用服務端解碼方式播放視頻，包括本地視頻和網絡視頻，本地視頻播放開啟多媒體重定向方式，網絡視頻播放開啟Flash重定向方式。 策略管理實踐 - 文件重定向 (1)登錄FusionAccess，進入“桌面管理 策略管理”，點擊“創建策略組”。 策略管理實踐 - 文件重定向 (2)第一步，創建策略組。 策略管理實踐 - 文件重定向 (3)第二步，定制策略。 策略管理實踐 - 文件重定向 (4)第三步，策略應用對象。 策略管

27、理實踐 - 文件重定向 (5)驗證結果：使用用戶vdsuser登錄虛擬桌面，打開“此電腦”，查看本地客戶端磁盤驅動器是否重定向到虛擬桌面中。從客戶端驅動器中任意復制一個文件，將其粘貼到虛擬桌面用戶驅動器中。檢查是否可以成功操作。知識小考請思考當桌面虛擬機需要使用的外設為USB設備時，應該如果規劃定制策略？通過策略的定制及規劃，能創建出滿足用戶真實需求的最優、最高效的策略管理方案，幫助用戶更好的使用虛擬機。概述及常用工具云桌面維護任務運維注意事項業務調整業務回收策略管理賬戶管理安全管理備份與恢復更改賬戶密碼系統中涉及的所有帳號的密碼均需要定期修改，建議修改周期為三個月。FusionAccess系

28、統帳號域管理賬號組件服務器帳號訪問數據庫的帳號FTP帳號ITA北向接口帳號WI北向接口帳號虛擬機鏡像模板中的本地帳號更改賬戶密碼系統中涉及的所有帳號的密碼均需要定期修改，建議修改周期為三個月。FusionAccess系統帳號域管理賬號組件服務器帳號訪問數據庫的帳號FTP帳號ITA北向接口帳號WI北向接口帳號虛擬機鏡像模板中的本地帳號修改帳戶鎖定閾值在基礎架構域AD服務器上編輯組策略中的帳戶鎖定閾值。從安全角度考慮，為了防范帳戶無限制的嘗試登錄訪問，需要對FusionAccess組件的服務器帳號設置登錄失敗嘗試次數的限制。本節主要講述了桌面云系統賬戶管理中，主要管理哪些賬戶，以及如何修改賬戶相關

29、的門限閾值。概述及常用工具云桌面維護任務運維注意事項業務調整業務回收策略管理賬戶管理安全管理備份與恢復安全方案總體架構桌面云系統終端接入控制外設通道可控（打開/關閉）USB存儲設備只讀控制滿足國際和國家密碼算法的傳輸加密保護桌面協議安全系統安全操作系統/數據庫加固防病毒安全補丁部件間通信雙向認證及SSL傳輸加密Web防攻擊（執行惡意代碼、跨站腳本攻擊、SQL注入等）代碼安全掃描賬號與口令安全發布軟件完整性三員分立分權分域日志審計運維管理安全固定TC接入TC唯一硬件標識用戶身份綁定TC網絡接入802.1X認證桌面終端接入、協議系統平臺管理運維人員User AUser B支持與國內涉密資質的數字證

30、書身份認證系統深度集成多種用戶接入認證（密碼/Ukey/指紋/動態令牌）支持無AD認證用戶接入認證TC加固，防止“病從口入”數據分散在每個終端應用與數據被集中管理瘦終端采用精簡的OS固件，系統更為安全可靠定制操作系統界面TC無法保存數據 無硬盤設計僅提供桌面云相關的操作界面用戶無法進行文件管理、命令行執行等常見操作不能使用屏幕拷貝TC身份認證TC MAC地址與虛擬桌面捆綁認證TC X.509數據證書認證端口控制終端接入安全認證HDAOS桌面云虛擬機CNATCMCAAD用戶/業務數據庫AAA服務器交換機1.TC開機獲取IP后自動向TCM注冊2.TC判斷自身是否有證書3.TC向TCM申請證書4.T

31、CM根據從TC獲取的信息自動向CA申請證書5.CA將簽發好的證書下發給TCM6.TCM將證書下發到TC7.TC發起到交換機的EAP-TLS 802.1下認證8.基于Radius協議將認證信息轉發到AAA處理9.WI登錄認證10.VM登錄AD認證桌面協議HDP終端接入安全 - 固定TC接入 (1)桌面云管理員可以通過在ITA界面開啟TC綁定功能，并錄入TC MAC和用戶的綁定關系支持手工錄入和批量導入兩種錄入方式被綁定到固定TC的桌面用戶，只能從被綁定的TC登錄WI，而無法使用其他TC登錄桌面方式一：手工錄入方式二：批量導入終端接入安全 - 固定TC接入 (2)桌面用戶綁定給該用戶的TC桌面用戶

32、綁定給該用戶的TC+1.登錄WI時，TC會將用戶名，域名，MAC地址發送桌面云系統，檢查TC是否與此用戶綁定2.與ITA的預存綁定信息相匹配，則允許去AD鑒權，繼續登錄過程，否則不允許繼續登錄3.成功登錄進入VM數據分散在每個終端數據集中管理，終端側無運行數據操作系統和應用部署在終端，信息在本地保存和運行，容易被病毒攻擊、惡意竊取終端與信息分離，桌面和數據在后臺集中存儲和處理，傳輸到終端的僅是屏幕的刷新信息應用系統PC機虛擬桌面瘦終端應用系統接入網關應用與數據被集中管理傳輸通道加密，防止監聽竊取管理Portal over HTTPS用戶通過portal界面的訪問傳輸通道都是加密的HDP ove

33、r SSL管理面信任域與非信任域之間全部SSL加密虛擬桌面瘦終端應用系統SSL加密管理網絡桌面用戶HTTPS加密虛擬桌面外設端口控制HDP協議可以對外設通道獨立控制，可靈活實現信息安全USB本地驅動器支持客戶端本地驅動器映射關閉USB設備控制支持USB端口打開與關閉USB驅動器USB外設VMTC開關策略可以應用到桌面組、單個虛擬桌面、單個用戶各類端口作為獨立的虛擬通道，實現靈活獨立的端口控制策略用戶接入身份認證AD/非AD 認證USB Key第三方系統 指紋認證非ADAD智能卡+第三方網關認證Windows Server AD認證Windows 10本地認證AD認證模式賬號系統統一由AD維護方

34、便簡潔，具備密碼重置、虛擬桌面權限配置等AD系統支持的功能單點登錄用戶只要輸入一次域賬號密碼即可登錄虛擬機，有效減少賬號密碼輸入次數，提供方便快捷的登錄方式HDCWIADTC虛擬機1.用戶名、密碼4.返回VM列表5.加入域，通過域認證3.查詢虛擬機列表2.驗證賬號虛擬機登錄虛擬機加入域非AD認證模式技術特點無需AD系統，虛擬機不加入AD域，使用模式類似于物理PC不加入域。一個虛擬桌面支持與多個賬號關聯，但需由管理員設置。約束不支持鏈接克隆模式、Pool模式虛擬機（此兩種模式需要AD機制）。HDCWIITATC虛擬機1.用戶名、密碼4.返回VM列表5.VM操作系統驗證用戶名密碼3.查詢虛擬機列表

35、2.驗證賬號虛擬機登錄虛擬機加入域指紋認證模式技術特點指令認證需要和AD用戶名和密碼認證結合起來使用。用戶登錄時，需要先輸入AD用戶名和密碼，登錄虛擬機時，再輸入指紋信息約束目前僅支持奔凱指紋儀，其它指紋儀需要定制支持價值指紋登錄認證利用人的指紋生物特征進行強認證，難以偽造和破解，使用起來更便利WI虛擬機4.返回VM列表2.驗證賬號虛擬機登錄虛擬機加入域1.用戶名、密碼HDCTCAD3.查詢虛擬機列表5.登錄虛擬機6.驗證指紋信息，進入桌面USBKEY認證模式 - 二次登錄優勢USBKey屬于智能卡的一種，具有硬件和PIN碼雙重保護機制，用戶只有同時取得USB Key和PIN碼，才能登錄系統，

36、安全系數非常高USBKEY移除后，自動中斷虛擬桌面連接約束TC必須為CT5000和CT6000，TC的操作系統可以為Windows或LinuxWI虛擬機6.返回VM列表4.從證書中提取AD賬號并驗證虛擬機登錄虛擬機加入域1.發起連接HDCTCAD5.查詢虛擬機列表7.二次登錄：要求輸入USBKEY PIN碼2.彈出PIN碼輸入框3.WI與KEY雙向證書8.通過AD認證，虛擬機加入域USBKEY認證模式 - 單點登錄WI6.返回VM列表4.從證書中提取AD賬號并驗證虛擬機登錄虛擬機加入域1.發起連接HDCTC5.查詢虛擬機列表7.單點登錄：管理系統代填PIN碼到VM登錄框2.登錄頁面，下載App

37、let3.PIN碼輸入8.通過AD認證，虛擬機加入域虛擬機AD智能卡網關認證模式智能卡網關認證智能卡網關認證，是第三方安全網關認證模式，不需要借助AD域系統。適合于機密性要求非常高的系統約束目前支持衛士通、鼎普、北京CA三種安全網關系統，其它網關系統提供定制支持能力TC/ITA Portal/VM1.用戶將USBkey插入TC的USB外設口，打開TC電源開關2.彈出被衛士通“一Key通”修改的TC的Windows登錄框3.用戶輸入管理員給的TC本地用戶名密碼及USBKey的PIN碼4.域用戶名密碼及PIN碼校驗通過，彈出有用戶虛擬機列表的WI界面5.用戶點擊虛擬機圖標登錄虛擬機安全身份認證模式

38、 - 動態口令卡技術特點域賬號密碼+軟/硬件動態口令卡認證：登錄WI時同時輸入域賬號+密碼+動態密碼，用戶持有軟/硬件動態口令卡可支持使用RADIUS(PAP)、API等方式對接動態口令認證服務器ADOTP Server1.用戶在瀏覽器中同時輸入域賬號、密碼、動態密碼后登錄2.WI將域賬號密碼發送給AD認證，認證通過后，將動態密碼發送給OTP Server進行認證3.認證成功后可看到虛擬機列表4.點擊某臺虛擬機圖標，直接單點登錄進入虛擬機WI安全身份認證模式 - 短信動態口令技術特點域賬號密碼+短消息動態口令：用戶手機替代了實體形式的動態口令卡，使用方便可支持使用RADIUS(PAP)、API

39、等方式對接動態口令認證服務器ADWIOTP Server1.用戶在瀏覽器中輸入域賬號密碼后，點擊獲取動態密碼圖標2.WI將域賬號密碼發送給AD認證，認證通過后，向OTP Server請求生成動態密碼3.OTP Server生成動態密碼，通過短信網關發送到用戶手機，用戶在瀏覽器補充輸入動態密碼后點擊登錄ADWIOTP Server4.WI將域賬號密碼發送給AD認證，然后將動態密碼發送給OTP Server認證5.看到虛擬機列表，點擊后單點登錄VM管理系統“三員分立”技術特點三員分立，權限由系統管理員、安全管理員、安全審計員分攤(無超級管理員)。管理員間的權限應相互制約、互相監督，避免由于權限過于

40、集中帶來的安全風險“三員分立”機制需在系統安裝時指定，否則依然采用傳統的超級管理員模式安全管理員安全審計員系統管理員安全管理用戶審批權限管理安全策略管理.系統管理用戶創建虛擬機管理存儲管理網絡管理.超級管理員日志審計日志查看日志導出分權分域管理FusionSphereVMVMFusionSphereVMVMFusionSphereVMVMFusionSphereVMVM集群1集群2綠區管理員綜合管理員紅區管理員遵循NIST標準的RBAC模型，支持分權分域管理，防止越權管理管理網絡路由器防火墻越權操作越權操作知識小考請自行繪制用戶USBKEY接入認證模式下，單點登錄的流程。本節講述了華為桌面云解

41、決方案的總體架構以及實現方式和原理，包含了終端接入控制、用戶接入認證、桌面協議安全、系統安全以及運維管理安全。概述及常用工具云桌面維護任務運維注意事項業務調整業務回收策略管理賬戶管理安全管理備份與恢復備份策略針對數據的備份通過系統提供的自動備份功能來實現，當系統部件故障無法通過常規方法修復時，利用備份數據快速恢復系統部件和業務。系統提供兩種備份：本地備份，每天03:00備份，存放的目錄是“/var/vdesktop/backup/”遠程備份，每天01:00定時備份并上傳到備份服務器（包括Backup Server臨時備份服務器和第三方FTP備份服務器），存放的目錄是“/var/ftpsite/

42、配套的ITA名稱/各組件文件夾名稱”。組件備份說明vLB組件無備份數據。 備份AD時，需要在FusionAccess“系統管理 初始配置 域/OU”中，將“是否開啟備份”設置為“是”。 備份DNS時，需要在FusionAccess“告警組件”中配置DNS信息。 備份DHCP時，需要在FusionAccess“告警組件”中配置DHCP信息。 備份AD/DNS/DHCP，需要在相應的服務器上安裝監控代理以及配置備份路徑。 多套FusionAccess對接一套AD/DNS/DHCP的場景，只需在其中一套FusionAccess上配置備份，否則會出現備份失敗。備份機制備份項目備份數據備份策略備份文件名

43、稱及其保存路徑Backup Server數據各FusionAccess組件數據每天01:00自動將FusionAccess各組件上的備份文件上傳到Backup Server。 各組件數據保存路徑：Backup Server備份服務器的“/var/ftpsite/配套的ITA名稱/各組件文件夾名稱”。AD數據AD數據庫每天03:00自動進行備份。備份文件名：“AD_備份時間.zip”。 保存路徑：“AD/DNS/DHCP服務器安裝階段配置的備份路徑local”DHCP數據DHCP配置數據每天03:00自動進行備份。備份文件名：“DHCP_備份時間.zip”。 保存路徑：“AD/DNS/DHCP服

44、務器安裝階段配置的備份路徑local”DNS數據DNS配置數據每天03:00自動進行備份。備份文件名：“DNS_備份時間.zip”。 保存路徑：“AD/DNS/DHCP服務器安裝階段配置的備份路徑local”HDC數據HDC配置文件每天03:00自動進行備份。備份文件名：“HDC_備份時間.tar.gz”。 保存路徑：默認為“/var/vdesktop/backup/”ITA數據ITA配置文件每天03:00自動進行備份。備份文件名：“ITA_備份時間址.tar.gz”。 保存路徑：默認為“/var/vdesktop/backup/”WI數據WI配置文件每天03:00自動進行備份。備份文件名：“

45、WI_備份時間.tar.gz”。 保存路徑：默認為“/var/vdesktop/backup/”license數據license文件每天03:00自動進行備份。備份文件名：“LIC_備份時間.tar.gz”。 保存路徑：默認為“/var/vdesktop/backup/”GaussDB數據DB數據庫每天03:00自動進行備份。備份文件名：“DB_備份時間.tar.gz”。 保存路徑：默認為“/var/vdesktop/backup/”vAG數據vAG配置文件每天03:00自動進行備份。備份文件名：“vAG_備份時間.tar.gz”。 保存路徑：默認為“/var/vdesktop/backup/

46、”恢復策略數據恢復到備份服務器選取對應組件的備份文件，其中備份文件的選取原則為：先查看相應組件故障告警的時間，選取故障時間之前最接近的備份文件進行恢復。不同故障場景下的恢復策略不同： 軟件重裝恢復：基礎架構服務器部分或所有軟件引起的故障，需要重裝軟件并利用備份服務器上的備份數據進行數據恢復。 系統重裝恢復：基礎架構服務器操作系統故障，需要新建一臺服務器和重裝軟件并利用備份服務器上的備份數據進行數據恢復。軟件重裝恢復 (1)卸載ITA重新安裝ITA拷貝ITA備份文件到ITA服務器覆蓋新安裝ITA配置文件重啟HA服務重啟ITA服務卸載WI重新安裝WI拷貝WI備份文件到WI服務器覆蓋新安裝WI配置文件重啟HA服務重啟WI服務軟件