本文详细介绍了深信服上网行为管理系统的特性,包括软件分发、AD域结合、自动登录、应用管控、日志分析、硬件管理等多个方面。强调了软件库的制作与分发流程,以及在不同场景下的应用优化策略。同时,提到了系统排错工具的使用,如WinPE、远程协助和系统日志分析,帮助解决虚拟机管理和性能问题。
深信服上网行为管理的学习笔记,由于软件版本更新相关特性可能变动,仅供参考哈。。
权威内容请访问深信服官方社区:https://bbs.sangfor.com.cn/
目录
特性
- CPU公平调度:避免少量虚拟机占用大量资源
- agent免IP:5.1及5.1升级的不支持免agent通信 -- sangfor-ssl-VDI-version
https://IP/com/win/linux-vdagent.zip
agent防禁
- C:\Program Files (x86)\Sangfor\SSL\VDI\ServiceProtect
- CMD执行sc query serviceport,running表示正在运行
数据中心:win2012R264bit,4C8G
写缓存:关机下编辑
云盘
- 1.查看VDC控制台查看云盘服务器是否在线
- 2.检查配置在VDC上的云盘账号及密码是否正确
- 3.虚拟机和云盘服务器网络是否畅通(互相ping能通)
- 4.查看虚拟机内日志看VDC配置是否成功下发到虚拟机,日志路径:
C:\ProgramFiles\Sangfor\SSL\VDI\Logs\user.log(user指当前登录用户名),日志内错误码是Windows标准错误码,网上查询错误码是什么错误常见错误码:86--指定的网络密码错误,2250--网络不通
net helpmsg 86
AD域结合
指导
- a. 搭建有现成的AD域环境
• i. AD域上有对应的用户
• ii. VDC配置LDAP认证
- b. 创建虚拟机资源
• i. 虚拟机agent全部状态正常
• ii. 虚拟机指定IP、DHCP,无论如何,虚拟机的DNS必须能够解析到AD域的域名IP,并且通讯正常
- c. 配置虚拟机加入域
• i. 如果需要虚拟机加入指定OU,需要在加域的同时配置加入指定OU
• ii. XP系统还原模式加域可能会失败,原因是XP系统网络启动较慢,加域依赖于网络,所以可能失败
a. 原理:
- i. VDC配置后下发加域操作
• 专有模式加入域会自动重启虚拟机、还原模式和池模式加入域不会自动重启虚拟机!
- ii. vdagent:加收VDC下发的配置,写入共享内存【要求虚拟机agent工作正常】
b. 虚拟机加域注意事项
- i. 模板虚拟机不需要加域,模板加域与否不影响派生虚拟机加域
- ii. 虚拟机要想加域,要求虚拟机能够1、PING通AD域服务器的IP地址;2、能解析到AD域名;能PING通AD域服务器域名
- iii. 派生虚拟机不需要更改SID,可以使用同一个SID加入域
域用户使用VDI账号单点登录到虚拟机(VDI的用户名密码就是域用户的用户名密码,登录VDI就是自动登录到域)
- i. VDC配置下发自动登录操作
- ii. vdagent:接受VDC配置,写入到虚拟机共享内存中
- iii. vdsso:读取虚拟机共享内存,进行自动登录操作
大写域用户关联虚拟机时用户自动转换为小写
软件分发
软件库制作
- (1)软件库制作时,先关联一个模板虚拟机,然后创建一个软件库磁盘,并将磁盘以读写的方式挂接给模板虚拟机。
- (2)开始制作软件库时,所有在C盘的非用户目录(用户目录例如C:\USERS)下写入的文件都被重定向写入到软件库磁盘中
- (3)完成后制作后,软件库磁盘脱离模板虚拟机,将作为一个单独的磁盘存在。
软件库分发
- (1)将软件库磁盘以只读方式挂接给一个或者多个虚拟机
- (2)关联的虚拟机以只读方式共同使用这个软件库磁盘。
本地重定向文件>软件库文件>本地文件
- 本地文件:虚拟机中原来已存在的文件;
- 软件库文件:保存在软件库磁盘中的文件, 软件库解关联后,这种文件将不存在;
- 本地重定向文件:虚拟机关联软件库,修改了软件库文件后,被保存到虚拟机本地磁盘的软件分发重定向目录中的文件;软件库解关联后,这种文件仍保留在虚拟机磁盘上;
还原模式不支持软件库分发
负载均衡:CPU饱和--内存饱和均不考虑
- 1. 软件VDC运行的主机故障时VDC虚拟机不会HA到已经有VDC虚拟机运行的主机上
- 2. 所有虚拟机内部重启、 重启电源(重置) 、 关机再开机都会重新选择运行主机
- 3. 当集群内有主机的磁盘容量占比超过90%会触发热迁移, 迁移方向为最大占用容量的主机向最小占用容量的主机迁移, 优先迁移小文件、 并选择未启动虚拟机迁移
- 4. 新负载均衡策略修改了数据平衡计划的底层, 会将活跃虚拟机和非活跃虚拟机分类进行副本均衡, 页面配置没有变化。
- 5. 当虚拟机配置指定主机运行时, 会优先在该主机启动, 若主机无法再开启虚拟机则会重新选择其他主机运行, 而不是提示开机失败
快照
重启自动还原快照:适用于派生后软件激活生效,重启后激活失效的场景
- 1.开启重启还原到快照功能后, 虚拟机将关闭Agent自动升级功能。 即重启还原到快照不支持Agent升级场景,要升级Agent需要先关闭此功能配置, 然后等待Agent升级完成后, 将虚拟机的最新状态打上快照, 最后重新启用此功能
- 2.重启还原到快照只支持还原到最近快照, 不支持还原到备份。 只有异地备份, 没有快照时, 该功能不生效;
- 3.重启自动还原仅支持专用模式, 且仅支持还原系统盘;
- 3.虚拟机没有快照时, 开启了重启还原到快照功能, 开机时不会有还原操作, 即无快照时, 走正常开机流程;
- 4.重启或开机时, 恢复快照失败, 虚拟机走正常流程开机。 这种情况下虚拟机可以正常开机, 只是没有进行快照恢复, VMP控制台可以查看到快照恢复失败的日志。
自助恢复快照
- 仅针对系统盘,系统盘与数据盘快照分离
- 与隐藏导航栏互斥,恢复快照依赖导航栏
- 不支持还原模式与池模式==【废话~还原模式自动还原系统盘】
注意
- 1.虚拟机开机创建快照会导致业务中断1s左右
- 3.快照恢复时虚拟机需要重启;另外,系统会创建一个当前系统点的快照,防止系统还原后无法恢复到当前状态
- 建议仅针对需要还原的系统做快照,勿将快照作为备份使用。
关机一体化
VDI5.3.0及之前,不分关机一体化与隐藏导航条。即隐藏导航条,访问独享桌面导航条不可见同时,关机一体化生效
- 【隐藏导航条】,升级后,自动双选【隐藏导航条】和【开关机一体化】,若老版本用户没有勾选,则升级后都不选择。
VDI5.3.2版本,将关机一体化功能与隐藏导航条功能分离
该功能只对独享桌面资源生效,远程应用、远程桌面、共享桌面资源不生效。不支持PC客户端场景。
远程协助
- 1.管理员的PC与虚拟机的网络必须能通。
- 2.管理员使用的PC,必须是win7、win8.1或者win10系统(xp系统没有远程协助不支持);
- 3.管理员PC必须安装VDI PC客户端控件(未安装控件或者控件版本不正确时,远程协助时会弹出下载链接);
- 4.管理员PC上的浏览器必须是IE8或者IE8以上版本,但是不支持Microsoft Edge浏览器。支持42.0以上版本的chrome浏览器,支持其他IE内核的浏览器。
- 5.虚拟机只支持win7、win10系统,且虚拟机的Agent状态必须正常,且必须有用户登录到虚拟机中。
网络状态
策略组管理
动态通道流控
- 开启磁盘映射才生效
跨集群迁移(5.3.2以上)
网络不是瓶颈,受到SCP本身速度以及存储读写速度影响,通过集群管理口进行迁移
- 集群总并发速度为:集群主机较少的数量*2*scp速度(60~70单进程)
- 单主机SCP最大2个SCP并发
支持程度
- 同版本VMP间VM迁移
- 模板/模板派生虚拟机迁移,非以上不可迁移
- 非模板或派生虚拟机通过vma导入导出方式迁移
步骤
- VMP集群间虚拟机迁移
- VDC导入虚拟机,建立VDC与VMP虚拟机间映射关系
• VDC如果是硬件可直接修改虚拟化平台控制器IP即可
• VDC进行配置全局导入、导出即可
• 新VDC新建资源,依据原来派生的相关配置进行新资源配置+VDC用户导出导入
扫一扫
学习笔记&spm=1001.2101.3001.5002&articleId=119847896&d=1&t=3&u=a2f001bf2fd94994be0b14a62db86bb8)
828
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
