1-10:桌面與系統驗證成功 http協定
11-19:桌面list(VM清單)擷取,選擇 http協定
20-30:預連接配接 29傳回的是Address Ticket,login Ticket http協定
31-38:真正連接配接 HDP協定
39:連接配接後 HDA向HDC報告登入狀态(Connected)
終端輸入域名-->vLB-->WI-->vLB-->終端 傳回登入界面
輸入使用者資訊-->vLB-->WI-->AD-->WI-->vLB-->終端 傳回登入後的界面
終端-->vLB-->WI-->AD-->WI 傳回使用者所屬使用者組資訊
WI-->HDC-->DB-->HDC-->WI-->vLB-->終端 傳回使用者虛拟機清單
選擇虛拟機-->vLB-->WI-->HDC-->DB 查詢注冊資訊
HDC-->VM-->HDC 預連接配接成功
VM-->HDC-->VM HDC傳回政策檔案
HDC-->license-->HDC 傳回License判斷結果
HDC-->WI-->vLB-->終端 傳回虛拟機登入資訊
終端發起連接配接請求-->vAG-->HDC-->vAG 傳回使用者虛拟機IP位址
vLB或vAG向虛拟機發起連接配接-->VM-->HDC-->VM 傳回使用者名和密碼
VM-->vAG/vLB-->終端 連接配接成功
VM-->HDC(DB) 上報虛拟機狀态
元件:backup server(備份元件,負責桌面雲元件的備份)、DNS、DHCP、AD、DB、ITA、VAG、VLB、HDC、License
AG:1. 連接配接内外網 2. 連接配接自主維護平台
1)預連接配接 (HDP經過網關)
l 登入資訊包括Address ticket、Login ticket、網關ip和端口。
HDC把IP位址換成Address Ticket來替代,把使用者名和密碼用login Ticket來替代傳回給Client。
2)HDP經過網關
過網關(AG),Client收到Address Ticket,由AG将Address Ticket問HDC翻譯成IP+port,由AG将HDP定向到IP+port。(适用于外網User通路内網的VM)
3)預連接配接 (HDP不經過網關)
Login Ticket:用于登入的憑證
4)HDP不經過網關
l 登入資訊包括Login ticket、網關ip和端口。
不過網關(AG),Client直接得到IP+port+login Ticket,Client向HDA所在的桌面VM發送請求。(适用于内網(企業網内)User通路内網的VM)
内網到内網也可以經過AG,但是外網到内網必須經過AG。
場景1:HDP過AG(網關)
适用于:使用者在WAN(公網)上,而HDA在私網,是以使用者不能/無法和桌面VM相通。(外網使用者通路内網桌面虛拟機)
場景2:HDP不過AG
User(Client TC/SC)和HDA桌面VM可以路由相通。(内網)
在HDA裡面用netstat –a –n指令,檢視裡面有沒有Client的位址,如果有AG的位址,說明通過了AG。
進入ITA,在裡面檢視即可。
1、虛拟機開機後,檢視自身系統資料庫,在ListOfHDCs表項中檢視HDC的位址(IP或者域名)。
2、如果是域名,向DNS進行位址解析成IP。
3、如果是IP,或者已經解析完,VM向AD請求自己SID。
4、VM攜帶SID向HDC發起注冊請求。
5、如果注冊成功,後續VM與HDC保持心跳。
6、如果沒有注冊成功,該心跳實際就是又一次注冊請求。
思路一:
1.确定版本是否配套,Client 和HDA是否比對,浏覽器是否相容,在 Linux 基礎架構伺服器中(vAG,vLB, WI, HDC,DB, License , HDA,ITA)中敲 startTools 打開工具菜單,在界面選擇 status,檢視本地服務狀态
2.工具自檢,使用自助維護網關通過 VNC 登入虛拟機,使用工具進行一鍵檢查,再一鍵修複,如果還是無法修複,就強制重新開機虛拟機,檢視重新開機後的狀态;如果還解決不了故障,就使用日志收集工具收集日志,檢視是否有明顯 error 報錯;如果無法 VNC 黑屏,就去 FC 檢視
3.檢查基礎架構虛拟機服務狀态,在 ITA 虛拟機中檢視告警以及狀态監控中檢視各服務是否正常;在 windows 伺服器中(AD,DNS,DHCP)中點選 win+r 運作,輸入 services.msc,檢視相關服務是否正常啟動
4.子產品日志分析 根據問題現象,首先使用工具或者查閱錯誤碼處理知道
思路二:
WI未顯示(TC->vLB->WI-DNS)
1、TC、vLB、WI之間通信異常
2、WI、vLB故障
3、DNS故障或者無法通信或者解析條目錯誤
4、SSL請求失敗
5、TC版本不一緻
6、浏覽器不相容
7、LB對WI做負載均衡時,出現異常
8、WI提供Web服務異常
WI顯示後,不顯示虛拟機清單(TC->vLB->WI->HDC->DB)
1、 HDC、DB、WI之間通信異常
2、 HDC、DB故障
3、 使用者所屬使用者組異常(被清除)
4、 DB中沒有該使用者或者條目不一緻
5、 DB中user和vm-list之間資料異常
顯示虛拟機清單後,點選登入但是轉圈圈(預登陸)
1、 vAG故障或者與HDC、TC、HDA無法通信
2、 lic不夠
3、 VM未注冊或者VM關機
4、 元件和用戶端版本不一緻
5、 元件時間不同步
6、 HDC和HDA通信故障
7、 IP擷取不可用(IP位址設定錯誤,或IP不夠用了DHCP位址池沒位址了)
桌面雲登入排錯
1. 首先确認FC,FA版本是否配套,先看相容性清單
2. 如果有VAG情況下,可以使用自主檢測工具(自助維護通道)
3. 檢查FA元件的服務狀态
4. 看日志看告警
5. 如果是個别使用者無法登陸虛拟機,先看是否是單點故障,如果是登陸界面上虛拟機是灰色的,一般是虛拟機向HDC注冊失敗,排查是虛拟機的問題還是HDC的問題,如果虛拟機是藍色的一直轉圈圈登不上,一般是IP擷取不可用的原因(IP位址設定錯誤,或者是IP不夠用了DHCP位址池沒位址了)
大規模登入不成功排錯思路
檢視 ITA 上的告警以及狀态監控中檢視各服務是否正常
檢視 FC 平台上的告警,主機是否正常運作,網絡:DVS、上行鍊路、端口組是否有問題,存儲是否故障
實體硬體故障:有可能是交換機或者是存儲的線纜松動等導緻的故障;如果在檢查故障的時候,發現其中其他裝置故障,有相關告警,這個時候可以将正常的裝置與故障裝置的配置進行對比,看是不是由于配置改變導緻的故障
虛拟機未注冊的原因?
1. 虛拟機未開機
2. 虛拟機 HDA 未正常運作
3. 虛拟機未擷取到 IP 位址
4. 虛拟機系統資料庫沒有 ListOfHDCs 表項或 HDC 域名錯誤
5. 虛拟機與 DNS 無法正常通信
6. DNS 伺服器故障(會大面積未注冊,伴有其它故障)
7. DNS 中不存在 HDC 正向解析條目
8. DNS 傳回錯誤 HDC 位址
9. 虛拟機無法與 AD 通信
10. AD 伺服器故障(大面積未注冊,伴有其它錯誤現象)
11. AD 中不存在虛拟機的相關條目
12. 虛拟機無法與 HDC 通信
13. 虛拟機從 AD 中擷取的 SID 與 HDC 在 DB 中儲存的不比對,驗證不通過
虛拟機圖示變灰(注冊失敗)
虛拟機未啟動 等待
虛拟機狀态沒有上報HDC 排查網絡重新登入
虛拟機與HDC網絡不通
HDA元件異常 自檢工具修複 重新安裝等
虛拟機轉圈圈咋整
預連接配接失敗:HDC 到 HDA 網絡故障或者元件故障
License不足
時間不同步
使用者排錯、管理者排錯
使用者側:1. 通過VAG-Vdesk故障檢測
1. 日志收集
2. 檢測程序是否異常(可以進行自動修複)
2. 通過WI強制重新開機開關-重新開機
管理者側:通過Vtools進行檢測
程序異常、日志收集
ITA故障告警
FC故障告警
大規模故障一般是元件或實體硬體的故障。
硬體故障:伺服器挂掉、交換機挂掉、伺服器線纜松動等。
元件故障:AD、DNS、DHCP挂掉,CNA連接配接的上行鍊路的端口故障,VAG故障,後端存儲故障,License超過了90天,資料庫故障等。
小規模故障(一般三五台左右)一般是虛拟機側或用戶端的故障。
用戶端問題:浏覽器不相容,TC/SC側版本不相容或TC/SC元件故障
虛拟機側:虛拟機未注冊、HDA元件故障、AD中賬戶被删除、DHCP位址池位址不足、License不足
答題的時候考官先讓把登入過程中會用到的元件先畫出來,畫的過程中說明這些元件的作用
預連結結束會扣除。
使用者數:可使用桌面雲的使用者數量。 1800rmb一個左右
并發數:可同時使用桌面雲的使用者數。 3600rmb一個左右
返還:使用者 15 天未登入
未加載 license 檔案時,系統預設隻允許接入 50 個使用者,且有效期為 90 天。
1. 預連接配接失敗:
a) 桌面未注冊
b) 桌面無法開機
c) HDC 到 HDA 通信異常
d) License 不足
2. HDP 連接配接故障:
a) vAG 故障
b) TC/SC 與 vAG 通訊異常
c) vAG 與 HDC 通訊異常
d) vAG 與 HDA 通訊異常
3. CloudClient、vAG、HDC、HDA 版本不一緻
4. CloudCient 與 vAG 建立 SSL 連接配接失敗
如果有自助維護平台,使用者可以通常WI登陸自助維護平台,利用桌面内的vdesk工具嘗試解決,無法解決或無自助維護平台則聯系管理者。
vAG:桌面接入網關(ita 場景下配置的)、自助維護平台。三個(連接配接檢修工具,日志收集,華為外設助手)
vLB:支撐 WI 的多節點的實作、完成 WI 的負載均衡、高可用。
不是必須有的。
1) 在小規模的情況下,可以不使用 vLB;
2) 在不需要桌面接入網關和自助維護台網關功能的情況下,可以不部署 vAG。
1. vLB(Virtual Load Balance)虛拟負載均衡器,由終端通過接入層的功能,vLB和vAG (Virtual Access Gateway)功能,接入到使用者虛拟機中。vAG作為接入網關,用于桌面協定HDP的接入和自助維護接入。vLB則用于多個WI的負載均衡。其功能的主要作用是在使用者通路WI(Web Interface)時,進行負載均衡,避免大量使用者通路到同一個 WI。
2. SLB(Server Load Balance)服務通過設定虛拟服務位址(IP),将位于同一地域(Region)的多台雲伺服器(Elastic Compute Service,簡稱 ECS)資源虛拟成一個高性能、高可用的應用服務池;再根據應用指定的方式,将來自用戶端的網絡請求分發到雲伺服器池中。
3. GSLB(Global Server Load Balance)是全局負載均衡。作用:實作在廣域網(包括網際網路)上不同地域的伺服器間的流量調配,保證使用最佳的伺服器服務離自己最近的客戶,進而確定通路品質。
1.利用虛拟機模闆在 FusionCompute 上建立虛拟機
2.通過 DHCP 擷取 IP 位址
3.更改計算機名(防止重名)
4.将虛拟機加域
5.添加域 tomcat 賬号,建立配置設定虛拟機的操作會用到此賬号
6.虛拟機加入虛拟機組
7.如果有使用者磁盤添加使用者磁盤并格式化,根據命名規則重命名虛拟機
可能釋出 VM 的時候選擇的端口組不正确,不能正常獲得 IP 位址。
也可能是實體交換機上沒有放行該 VLAN。
自動 HA 或者手動重新開機(在使用者側是可以通過自助維護平台對虛拟機進行強制重新開機的)
3次。第一次是使用者身份驗證,第二次為獲得使用者組資訊,第三次為VM完成Windows驗證登陸。
3次。第一次查詢使用者虛拟機資訊(虛拟機組),第二次查詢注冊資訊(VM的IP、port、狀态),第三次更新虛拟機狀态
TC/SC與虛拟機不能直接進行通信,自助維護平台通過VNC登入,VNC由FusionCompute的VRM提供,流量走向:AG->VRM->CNA(->HDA),VRM隻能與管理平面通,TC/SC不與管理平面通,是以需要AG作為代理,AG有兩個網絡平面,一個面向使用者,一個面向虛拟機管理側
不會。
1. 從系統資料庫讀取ListOfHDCs(注:如果存在ListOfHDCsReal,則讀取ListOfHDCsReal的值),然後到DNS依次解析得到各HDC的IP位址。
2. 依次循環向各個IP嘗試注冊,直到成功。
到AD擷取自己的SID(虛拟機唯一辨別)
上報注冊請求資訊(攜帶SID)
解析注冊響應消息,如果成功則跳出循環
3. 注冊成功後,HDA周期性向HDC上報心跳消息(心跳消息跟注冊消息實際上是同樣的消息,如果沒有注冊HDC就當做注冊消息;如果已注冊就當心跳消息)
注冊成功後,在FA Portal的桌面管理中可以查詢到虛拟機的狀态為已就緒;在WI上看到的虛拟機圖示會變為藍色(對應未注冊狀态虛拟機圖示為灰色)。
注冊的目的是确定虛拟機是否就緒可供連接配接。另外,單擊虛拟機圖示時,WI根據虛拟機是否注冊決定是否要對虛拟機檢查上電狀态(未注冊則調用FC檢查上電狀态,未上電則上電)。
同小規模排錯。可以是虛拟機點選登入但是轉圈圈和虛拟機圖示變灰的那些答案
不管是 Login Ticket 還是 Address Ticket,其裡面都不包含任何實質内容,其中是作為與 HDC 換回相應資訊的票據,本質上隻是一串字元串。
不一定。有以下兩種情況下,不需要 AD。第一種是無域環境,第二種是使用 LDAP 服務,例如 R6 版本內建的 LiteAD。
LDAP是認證系統,和AD差不多。
1.運作狀态:擷取虛拟機清單時查詢。
2.登入狀态和配置設定狀态:正式登陸的時候,HDC到DB中查詢的。
因為 WI 認為 VLB 是用戶端,WI 不知道 TC 的存在。
1.實作負載均衡。
2.實作 WI 的備援。避免 WI 的單點故障
預登入、請求并傳回政策檔案之後;
VM 注冊流程:
1. VM 從系統資料庫讀取 ListOfHDCs,然後到 DNS 依次解析到各 HDC 的 IP 位址;
2. 到 AD 上擷取 SID;
3. 攜帶 SID 依次循環向 HDC 嘗試注冊,直到成功;
4. 注冊成功後,每分鐘向 HDC 做一次心跳;
VM 本身原因:
1. VM 關機;
2. HDA 未運作;
3. 未獲得 IP 位址;
4. 系統資料庫沒有 ListOfHDCs 表項或 HDC 域名錯誤;
VM 與其它元件通信問題: AD、DNS、HDC
DNS 故障:
1. DNS 本身故障;
2. DNS 中不存在 HDC 正向解析條目;
3. DNS 傳回錯誤 HDC 位址;
AD 故障:
1. AD 伺服器故障;
2. AD 中不存在虛拟機的相關條目;
桌面組類型為專用的桌面,顯示的是桌面的名稱。
桌面組類型為靜态池的桌面,未配置設定(首次登陸)前顯示桌面組名稱,後續顯示桌面名稱。
桌面組類型為動态池的桌面,桌面使用過程中顯示桌面名稱,退出桌面(解配置設定)或首次登陸前顯示桌面組名稱
WI 是允許搶占的,多點登入沒有問題;
單使用者:同一使用者登入同一桌面會搶占,
特别的隻有在靜态多使用者的情況下才會出現多個使用者登入同一桌面的可能性,此時不搶占,提示已有其它使用者登入;
池化場景:會提示使用者已經登入,不能再登入
有 vLB 的情況下,輸入的是 vLB 浮動 IP 對應的域名;
在沒有 vLB 的情況下,輸入的是 WI 的域名。
如果是 HDA 出現故障,可以使用 vAG 登陸自助維護網關排查,系統故障就重新部署虛拟 機,将原來的卷挂載到新的虛拟機上。
開機風暴、殺毒、更新還原等。
連接配接檢修工具、日志收集工具、華為外設助手。
計算資源:
1、 根據業務類型及規模,選擇足夠的 CNA,部署不同的叢集
2、 業務類型不同,封裝不同的模闆
3、 提高模闆效率,每個 CNA 開啟 icache,提供加速
存儲資源:
1、 選擇共享存儲,虛拟化存儲,友善HA
2、 盡量選擇SSD
網絡資源:
1、 盡量選擇多網卡綁定,通過 vlan 或者實體隔離
2、 為FusionAccess中各個基礎業務虛拟機規劃一個内部網絡,保障各個元件之間互通,規劃一個業務網絡,為VLB/VAG、WI等預留業務網絡資源,對外提供桌面雲業務使用。
業務資源:
1、 根據業務類型不同設定 VAG/VLB 負載均衡以及網關資源
2、 根據業務類型不同選擇不同的桌面組/使用者組,做到不同類型虛拟機不同使用者通路,實作業務隔離。
3、 根據不同的需求選擇不同的桌面組政策
4、 連結克隆虛拟機,根據使用場景不同,選擇是否儲存個性化資料
1. 使用者數License控制類型: 此類型的License會給每個登入連接配接VM帳号配置設定一個License,即每個使用者都會消耗一個License。此類型License的消耗不與計算機或裝置相關聯;消耗該License之後,使用者可以在不同的計算機上運作多個會話,而隻消耗一個 License,直到License檔案中預先配置的時段過期。使用者消耗License後,該License會一直占用将不會被釋放,直到使用者距離上次登出超過15天,該使用者占用的License才會被自動釋放。當License已使用數達到購買的License總數的1.1倍時,則拒絕新的使用者建立新的HDP協定連接配接。
2. 并發使用者數License控制類型:此類型的License會給每個登入連接配接VM 帳号配置設定一個 License,即每個登入的使用者都會消耗一個License。此類型License的消耗不與計算機或裝置相關聯;消耗該License之後,使用者可以在不同的計算機上運作多個連接配接(會話),而隻消耗一個License。當該使用者的所有連接配接(會話)都斷開時,則會釋放該使用者消耗的License。當License已使用數達到購買的License 總數的1.1倍時,則拒絕新的使用者建立新的HDP 協定連接配接。
3. 使用者數和并發使用者數License控制類型混配:此類型的License,會為不同的 Desktop 指 定不同控制類型的License,以Desktop 為機關,分别消耗不同控制類型的 License。任何一個控制類型License已使用數達到購買的License 總數的1.1倍時,則使用該控制類型 License的 Desktop拒絕新的使用者建立新的HDP協定連接配接。
企業有1000個員工需要使用桌面雲進行辦公,但這 1000個員工會進行輪班,有 500個員工上白班,500個員工上夜班,任何時候都不會超過500個員工同時使用桌面雲,即桌面雲的同時線上人數最大為500。則可以按“并發使用者數”購買500個License。
企業有1000個員工需要使用桌面雲進行辦公,這1000 個員工作息時間一緻,不會進行輪班,在某一時間段會同時使用桌面雲。則可以按“使用者數”購買 1000個License。
企業同時存在兩種辦公場景。例如電信營運商同時存在“營業廳”(不需要倒班)和“呼叫中心”(需要倒班)兩種辦公場景。“營業廳”有1000員工,最大同時線上有1000 人;“呼叫中心”有600員工(200白班,200中班,200夜班)最大同時線上隻有200人。則可以按“使用者數”購買1000個License(營業廳使用),按“并發使用者數”購買200個License(呼叫中心使用)。
虛拟機和使用者的關系儲存在高斯資料庫中。
以檔案類型儲存的。
以資料庫條目儲存在HDC的。
不是。預設沒有經過網關。需要在 ITA 的系統設定中桌面元件設定, WI 叢集配置中設定。
需要在 WI 設定開啟業務接入網關。然後設定支援 NAT 通路
1. 域名解析問題:
a) TC/SC無法通路DNS
b) DNS 無相應條目
c) DNS 記錄錯誤
2. 連接配接性問題:
a) TC/SC與LB或WI 不通
b) LB與WI 不通
3. 浏覽器相容性問題
4. SSL證書錯誤或失敗
1. 該使用者不在桌面雲指定的使用者組裡
2. HDC故障或異常
3. DB故障或異常
4. DB資料不一緻導緻HDC通路的DB 無記錄
不經過。登入成功後,用戶端HuaweiAccessClient與VM中的HDA使用HDP協定進行點對點通信。
用戶端或者vag直連虛拟機
配置設定虛拟機:給虛拟機綁定使用者賬号,添加到 HDC 中,以便虛拟機能在 HDC 上注冊
配置設定虛拟機的操作:選擇虛拟機桌面組類型(靜态池,動态池,專有),選擇使用者類型 (靜态多使用者,單使用者),綁定使用者到虛拟機,配置設定使用者權限。
1.ITA 将虛拟機加入虛拟機組(HDC)
2.ITA 将使用者加入虛拟機權限組(VM)
3.ITA 将添加資訊加入資料庫(DB)
4.ITA 在虛拟機系統資料庫寫入 HDC 位址(VM)
5.ITA 根據命名規則重新命名(VM)
6.重新開機虛拟機(ITA-VRM)
7.将除添加的域賬号外,其它賬号都删除,是以建立配置設定完虛拟機後,隻有使用者賬号能夠登入,其它賬号都無法登入
建立虛拟機的操作有:選擇虛拟機組,選擇桌面組,選擇叢集,選擇虛拟機模闆,選擇命名規則,配置虛拟機硬體規格,配置虛拟機 IP(靜态?DHCP?)選擇建立虛拟機的數量,選擇域資訊,虛拟機所在 OU。
1. 建立虛拟機
2. 改名、加域、寫系統資料庫 ListOfHDCs
3. 加入桌面組,關聯使用者
4. 使用者加入權限組
使用者的關聯解關聯。虛拟機更新打更新檔遠端協助
ITA 發送關機指令給 VRM,由 VRM 來對 VM 進行關機
ITA 發送開機指令給 VRM,由 VRM 調用 BMC 對 VM 進行開機
我回答可能是添加域出現了問題,考官又接着問那怎麼樣可能出現這個問題?出現了這個問題怎麼進行排錯?
50是添加域 70好像是擷取ip出問題 20多好像是建立虛拟機失敗
考排錯思路
比如可以根據WI界面顯示報錯來排查,或者ITA背景檢視告警,然後查到故障點 再具體排查,比如DHCP位址池 AD域故障等等
這裡點評說,除了内外網隔離,自助維護網關以外。外網通路的情況,是要vAG的。
不一定要,VAG提供接入網關服務和自助維護網關。
桌面接入網關,自助維護平台。作用是連接配接外網,就是說使用者可以通過公網通路桌面雲。
追,還有嗎,答了可以對資料進行加密,在産品文檔上看到的。
追,加密是怎麼加密的。
答,不太了解,但應該是某種算法。
追,vag還有什麼作用嗎
答,我了解的就這些了。
追,知道nat嗎,vag有個nat的作用,轉換的是誰的IP
答,知道。出考場後才想到應該是vlb的.
為什麼VAG的NAT轉換的是VLB的IP?
因為我們用戶端輸入的域名ip就是vlb的
禁用了滑鼠外設,在ita上政策選項中可操作
ip滿了 dhcp故障 用戶端壞掉了 AD故障 使用者把網卡禁用了等
說預登陸失敗的原因
資料庫可能沒有虛拟機資訊,可以上去檢視,追問怎麼去資料庫檢視,我抽了可以問400。點評說要了解怎麼檢視資料庫資訊。不能問400
未注冊,HDA程序故障,資料庫表項被删除等。用資料庫的增删改查指令檢視
從使用者和桌面狀态去分析,部分不見可能使用者組将使用者删除,可能是桌面被解配置設定;全部不見可能是使用者被删除,有可能是元件故障或元件間無法通信。
我回答dhcp故障,考官說了,所有元件正常,後面想了想答到dhcp位址池不足,他問還有嗎?我說暫時想到這個,最後點評說還有設定端口組不對。與dhcp無法通信,點評說我還少答了dns這個元件。
版本配套,使用者用vdesk,管理者用vtools工具檢查、元件狀态、日志
極少數使用者登不上虛拟機,用自主維護平台 vnc登入 然後用桌面的vdesk檢查,如果你在現場,可以直接ITA上檢視虛拟機狀态,或者直接VNC登入到虛拟機排錯,如果是大規模登不上,就需要考慮元件故障了,元件可以在ITA界面上看,然後也可以用vtools檢測 WI和AD的工作狀态。
HDC與DB儲存資訊不一緻時在哪裡看不一緻?