什么是FusionAccess
FussionAccess桌面云产品是一种虚拟桌面应用,通过在硬件上部署云平台提供虚拟桌面应用,使终端用户通过瘦客户端或者其他与网络相连的设备来访问跨平台的应用程序,以及整个虚拟桌面。FusionAccess桌面云产品重点解决传统PC办公模式给客户带来的如:安全、投资、办公效率等方面的诸多挑战,适合金融、企事业单位、医疗机构或其他分散/户外/移动型办公单位。FusionAccess的典型应用场景主要包括:
为什么用桌面云(桌面云的优势)
FusionAccess桌面体系架构
桌面云逻辑架构方案目前由FusionAccess、FusionCompute和FusionStorage组成。
- FusionAccess:桌面管理软件,主要由接入和访问控制层和虚拟桌面云管理层组成。FusionAccess提供图形化的界面,运营商或企业的管理员通过界面可快速为用户发放、维护、回收虚拟桌面,实现虚拟资源的弹性管理,提高和资源利用率,降低运营成本。
- FusionCompute:云操作系统软件,主要负责硬件资源的虚拟化,以及对虚拟资源、业务资源、用户资源的集中管理。它采用虚拟计算、虚拟存储、虚拟网络等技术,完成计算资源、存储资源、网络资源的虚拟化。同时通过统一的接口,对这些虚拟资源进行集中调度和管理,从而降低业务的运行成本,保证系统的安全性和可靠性,协助运营商和企业构筑安全、绿色、节能的云数据中心能力。
- FusionStorage:存储产品,通过存储系统软件将本地存储资源组织起来,构建全分布式存储池,向上层提供块存储服务。
华为FusionAccess桌面云解决方案逻辑架构
华为FusionAccess桌面云之HDP协议
HDP Huawei Desktop Protocol 是华为自研的新一代云接入桌面协议,相对比于传统桌面协议,它具备以下特点:
- 最大支持 64 虚拟通道,每个虚拟通道可承载不同的上层应用协议。可根据不同的应用类型采用不同的压缩算法,灵活使用服务器渲染及本地加速渲染
- 视频播放更清晰流畅
- 无损压缩算法
- 还原声音细节
- 丰富协议管理策略
与其他厂商的云桌面协议相比较,华为HDP协议将使用户体验更佳。
华为FusionAccess桌面云登录流程
第1步:访问WI
在TC/SC设置vLB的浮动IP或虚地址后,用户通过HTTPS协议访问vLB,vLB根据负载均衡策略转到某个WI,WI将输入用户名和密码的窗口返回给用户。
第2步:用户鉴权
用户在WI提供的界面中输入用户名和密码,然后采用HTTPS协议经vAG和vLB送到WI,WI将收到的用户名和密码转到AD中进行合法性验证。AD将验证结果返回给WI,再经WI原路返回给用户。
第3步:获取虚拟机列表
用户WI发起查询桌面列表请求,经vLB代理中转送到WI,WI仅提供Web界面,并没有桌面列表,于是将用户信息及用户请求信息转发到HDC,请求HDC进行查询。HDC负责用户与桌面组的管理,但有关信息存储在DB中,于是HDC在DB中查询有关桌面信息,DB将查询到的桌面列表信息返回到HDC,HDC将其返回给WI,WI再原路返回给用户。
第4步:预连接(HDP经过网关)
用户选中桌面列表中的一台待访问虚拟机,点击该虚拟机的箭头发起登录虚拟机请求。登录信息以HTTPS协议经vAG/vLB送到WI。WI将获取到的用户登录信息发到HDC。HDC到DB中查询用户需要登录的目的虚拟机信息。DB中将虚拟机IP和状态信息(使用中、空闲等)返给HDC。HDC向VM的HDA进程发起预连接请求,预留资源给用户登录,并确认虚拟机桌面是否在使用中。HDA预留资源,并向HDC返回预连接成功信息。预连接成功后,将消耗License。于是HDC向License服务器验证license是否可用。确认License可用,并消耗成功后,HDC生成用户虚拟机登录的Address ticket和Login ticket,HDC将Address ticket和Login ticket转给WI,WI等原路返回给用户。
第5步:访问虚拟机(HDP经过网关)
用户发起连接,vAG将用户连接请求以HDP协议转发到HDC。HDC根据用户连接请求中的Address Ticket转换为虚拟机的IP和端口,返回给vGA,vGA连接VM,并将Login Ticket信息转发给HAD,HAD将用户的Login Ticket送到HDC,HDC将Login Ticket转换为用户名和密码、域等登录信息返回给HDA,HDA根据收到的用户名和密码等登录信息完成用户的登录。HDA将登录成功信息返回给用户,同时在HDC中更新用户和虚拟机的登录状态。
在不经过网关(vAG)的情况下,预连接和用户登录虚拟机步骤更加简化。其中第4步(即预连接)的流程为:
预连接:(HDP不经过网关)
在HDP不经过网关的情况下,用户对系统来讲是可信的,用户登录虚拟机就无需再次验证身份。因此,在预连接成功后,HDC只生成用户用于登录虚拟机的login Ticket,而不再生成Address Ticket。
HDP不经过网关时,用户登录虚拟机的流程也更为简单
第5步:访问虚拟机(HDP不经过网关)
在HDP不经过网关的情况下,用户向虚拟机HDA进程发起连接,把预连接过程中获到的login Ticket发给HDA确认。HDA与HDC验证用户所发的login Ticket是否正确。由于用户对系统来讲是可信的,HDC确认无误后,直接把虚拟机登录凭证(域帐号、密码)发给虚拟机,虚拟机自动改为登录状态,并向用户发出登录成功信息。然后HDA向HDC更新用户登录状态,HDC内部将该虚拟机状态更新为已连接。
FusionAccess用户什么情况下经过网关,什么情况下不经过网关连接登录虚拟机
一般认为,如果用户通过公网访问桌面,则需要经过网关(也可包含其他网络安全设备,如防火墙等);而如果用户在内网访问桌面,则可以不经过网关。但也不是说只要是用户在内网访问云桌面就不需要网关,如果根据企业网络架构安全规划,需要在不同的部门之间采取网络安全保护措施的话,也是需要采用经过网关的设计的。
参考文献
[1]华为. FusionAccess 产品文档 8.0.0[EB].
[2]华为. FusionAccess桌面云解决方案介绍[EB].
[3]华为. FusionAccess桌面云组件介绍与安装[EB].