深信服上網(wǎng)行為管理的學(xué)習(xí)筆記，由于軟件版本更新相關(guān)特性可能變動，僅供參考哈。。

權(quán)威內(nèi)容請訪問深信服官方社區(qū)：

https://bbs.sangfor.com.cn/>

特性

• CPU公平調(diào)度：避免少量虛擬機(jī)占用大量資源
• agent免IP：5.1及5.1升級的不支持免agent通信 -- sangfor-ssl-VDI-version

https://IP/com/win/linux-vdagent.zip

agent防禁

• C:Program Files (x86)SangforSSLVDIServiceProtect
• CMD執(zhí)行sc query serviceport，running表示正在運(yùn)行

數(shù)據(jù)中心：win2012R264bit，4C8G

寫緩存：關(guān)機(jī)下編輯

云盤

• 1.查看VDC控制臺查看云盤服務(wù)器是否在線
• 2.檢查配置在VDC上的云盤賬號及密碼是否正確
• 3.虛擬機(jī)和云盤服務(wù)器網(wǎng)絡(luò)是否暢通（互相ping能通）
• 4.查看虛擬機(jī)內(nèi)日志看VDC配置是否成功下發(fā)到虛擬機(jī)，日志路徑：

C:ProgramFilesSangforSSLVDILogsuser.log（user指當(dāng)前登錄用戶名），日志內(nèi)錯誤碼是Windows標(biāo)準(zhǔn)錯誤碼，網(wǎng)上查詢錯誤碼是什么錯誤常見錯誤碼：86--指定的網(wǎng)絡(luò)密碼錯誤，2250--網(wǎng)絡(luò)不通

net helpmsg 86

AD域結(jié)合

指導(dǎo)

• a. 搭建有現(xiàn)成的AD域環(huán)境

? i. AD域上有對應(yīng)的用戶

? ii. VDC配置LDAP認(rèn)證

• b. 創(chuàng)建虛擬機(jī)資源

? i. 虛擬機(jī)agent全部狀態(tài)正常

? ii. 虛擬機(jī)指定IP、DHCP，無論如何，虛擬機(jī)的DNS必須能夠解析到AD域的域名IP，并且通訊正常

• c. 配置虛擬機(jī)加入域

? i. 如果需要虛擬機(jī)加入指定OU，需要在加域的同時配置加入指定OU

? ii. XP系統(tǒng)還原模式加域可能會失敗，原因是XP系統(tǒng)網(wǎng)絡(luò)啟動較慢，加域依賴于網(wǎng)絡(luò)，所以可能失敗

a. 原理：

• i. VDC配置后下發(fā)加域操作

? 專有模式加入域會自動重啟虛擬機(jī)、還原模式和池模式加入域不會自動重啟虛擬機(jī)！

• ii. vdagent：加收VDC下發(fā)的配置，寫入共享內(nèi)存【要求虛擬機(jī)agent工作正?！?/li>

b. 虛擬機(jī)加域注意事項

• i. 模板虛擬機(jī)不需要加域，模板加域與否不影響派生虛擬機(jī)加域
• ii. 虛擬機(jī)要想加域，要求虛擬機(jī)能夠1、PING通AD域服務(wù)器的IP地址；2、能解析到AD域名；能PING通AD域服務(wù)器域名
• iii. 派生虛擬機(jī)不需要更改SID，可以使用同一個SID加入域

域用戶使用VDI賬號單點(diǎn)登錄到虛擬機(jī)（VDI的用戶名密碼就是域用戶的用戶名密碼，登錄VDI就是自動登錄到域）

• i. VDC配置下發(fā)自動登錄操作
• ii. vdagent：接受VDC配置，寫入到虛擬機(jī)共享內(nèi)存中
• iii. vdsso：讀取虛擬機(jī)共享內(nèi)存，進(jìn)行自動登錄操作

大寫域用戶關(guān)聯(lián)虛擬機(jī)時用戶自動轉(zhuǎn)換為小寫

軟件分發(fā)

軟件庫制作

• （1）軟件庫制作時，先關(guān)聯(lián)一個模板虛擬機(jī)，然后創(chuàng)建一個軟件庫磁盤，并將磁盤以讀寫的方式掛接給模板虛擬機(jī)。
• （2）開始制作軟件庫時，所有在C盤的非用戶目錄（用戶目錄例如C:USERS）下寫入的文件都被重定向?qū)懭氲杰浖齑疟P中
• （3）完成后制作后，軟件庫磁盤脫離模板虛擬機(jī)，將作為一個單獨(dú)的磁盤存在。

軟件庫分發(fā)

• （1）將軟件庫磁盤以只讀方式掛接給一個或者多個虛擬機(jī)
• （2）關(guān)聯(lián)的虛擬機(jī)以只讀方式共同使用這個軟件庫磁盤。

本地重定向文件>軟件庫文件>本地文件

• 本地文件：虛擬機(jī)中原來已存在的文件；
• 軟件庫文件：保存在軟件庫磁盤中的文件， 軟件庫解關(guān)聯(lián)后，這種文件將不存在；
• 本地重定向文件：虛擬機(jī)關(guān)聯(lián)軟件庫，修改了軟件庫文件后，被保存到虛擬機(jī)本地磁盤的軟件分發(fā)重定向目錄中的文件；軟件庫解關(guān)聯(lián)后，這種文件仍保留在虛擬機(jī)磁盤上；

還原模式不支持軟件庫分發(fā)

負(fù)載均衡：CPU飽和--內(nèi)存飽和均不考慮

• 1． 軟件VDC運(yùn)行的主機(jī)故障時VDC虛擬機(jī)不會HA到已經(jīng)有VDC虛擬機(jī)運(yùn)行的主機(jī)上
• 2． 所有虛擬機(jī)內(nèi)部重啟、 重啟電源（重置） 、 關(guān)機(jī)再開機(jī)都會重新選擇運(yùn)行主機(jī)
• 3． 當(dāng)集群內(nèi)有主機(jī)的磁盤容量占比超過90%會觸發(fā)熱遷移， 遷移方向?yàn)樽畲笳加萌萘康闹鳈C(jī)向最小占用容量的主機(jī)遷移， 優(yōu)先遷移小文件、 并選擇未啟動虛擬機(jī)遷移
• 4． 新負(fù)載均衡策略修改了數(shù)據(jù)平衡計劃的底層， 會將活躍虛擬機(jī)和非活躍虛擬機(jī)分類進(jìn)行副本均衡， 頁面配置沒有變化。
• 5． 當(dāng)虛擬機(jī)配置指定主機(jī)運(yùn)行時， 會優(yōu)先在該主機(jī)啟動， 若主機(jī)無法再開啟虛擬機(jī)則會重新選擇其他主機(jī)運(yùn)行， 而不是提示開機(jī)失敗

快照

重啟自動還原快照：適用于派生后軟件激活生效，重啟后激活失效的場景

• 1.開啟重啟還原到快照功能后， 虛擬機(jī)將關(guān)閉Agent自動升級功能。 即重啟還原到快照不支持Agent升級場景，要升級Agent需要先關(guān)閉此功能配置， 然后等待Agent升級完成后， 將虛擬機(jī)的最新狀態(tài)打上快照， 最后重新啟用此功能
• 2.重啟還原到快照只支持還原到最近快照， 不支持還原到備份。 只有異地備份， 沒有快照時， 該功能不生效；
• 3.重啟自動還原僅支持專用模式， 且僅支持還原系統(tǒng)盤；
• 3.虛擬機(jī)沒有快照時， 開啟了重啟還原到快照功能， 開機(jī)時不會有還原操作， 即無快照時， 走正常開機(jī)流程；
• 4.重啟或開機(jī)時， 恢復(fù)快照失敗， 虛擬機(jī)走正常流程開機(jī)。 這種情況下虛擬機(jī)可以正常開機(jī)， 只是沒有進(jìn)行快照恢復(fù)， VMP控制臺可以查看到快照恢復(fù)失敗的日志。

自助恢復(fù)快照

• 僅針對系統(tǒng)盤，系統(tǒng)盤與數(shù)據(jù)盤快照分離
• 與隱藏導(dǎo)航欄互斥，恢復(fù)快照依賴導(dǎo)航欄
• 不支持還原模式與池模式==【廢話~還原模式自動還原系統(tǒng)盤】

注意

• 1.虛擬機(jī)開機(jī)創(chuàng)建快照會導(dǎo)致業(yè)務(wù)中斷1s左右
• 3.快照恢復(fù)時虛擬機(jī)需要重啟；另外，系統(tǒng)會創(chuàng)建一個當(dāng)前系統(tǒng)點(diǎn)的快照，防止系統(tǒng)還原后無法恢復(fù)到當(dāng)前狀態(tài)
• 建議僅針對需要還原的系統(tǒng)做快照，勿將快照作為備份使用。

關(guān)機(jī)一體化

VDI5.3.0及之前，不分關(guān)機(jī)一體化與隱藏導(dǎo)航條。即隱藏導(dǎo)航條，訪問獨(dú)享桌面導(dǎo)航條不可見同時，關(guān)機(jī)一體化生效

• 【隱藏導(dǎo)航條】，升級后，自動雙選【隱藏導(dǎo)航條】和【開關(guān)機(jī)一體化】，若老版本用戶沒有勾選，則升級后都不選擇。

VDI5.3.2版本，將關(guān)機(jī)一體化功能與隱藏導(dǎo)航條功能分離

該功能只對獨(dú)享桌面資源生效，遠(yuǎn)程應(yīng)用、遠(yuǎn)程桌面、共享桌面資源不生效。不支持PC客戶端場景。

遠(yuǎn)程協(xié)助

• 1.管理員的PC與虛擬機(jī)的網(wǎng)絡(luò)必須能通。
• 2.管理員使用的PC，必須是win7、win8.1或者win10系統(tǒng)(xp系統(tǒng)沒有遠(yuǎn)程協(xié)助不支持)；
• 3.管理員PC必須安裝VDI PC客戶端控件(未安裝控件或者控件版本不正確時，遠(yuǎn)程協(xié)助時會彈出下載鏈接)；
• 4.管理員PC上的瀏覽器必須是IE8或者IE8以上版本，但是不支持Microsoft Edge瀏覽器。支持42.0以上版本的chrome瀏覽器，支持其他IE內(nèi)核的瀏覽器。
• 5.虛擬機(jī)只支持win7、win10系統(tǒng)，且虛擬機(jī)的Agent狀態(tài)必須正常，且必須有用戶登錄到虛擬機(jī)中。

網(wǎng)絡(luò)狀態(tài)

策略組管理

動態(tài)通道流控

• 開啟磁盤映射才生效

跨集群遷移（5.3.2以上）

網(wǎng)絡(luò)不是瓶頸，受到SCP本身速度以及存儲讀寫速度影響，通過集群管理口進(jìn)行遷移

• 集群總并發(fā)速度為：集群主機(jī)較少的數(shù)量*2*scp速度（60~70單進(jìn)程）
• 單主機(jī)SCP最大2個SCP并發(fā)

支持程度

• 同版本VMP間VM遷移
• 模板/模板派生虛擬機(jī)遷移，非以上不可遷移
• 非模板或派生虛擬機(jī)通過vma導(dǎo)入導(dǎo)出方式遷移

步驟

• VMP集群間虛擬機(jī)遷移
• VDC導(dǎo)入虛擬機(jī)，建立VDC與VMP虛擬機(jī)間映射關(guān)系
• 

? VDC如果是硬件可直接修改虛擬化平臺控制器IP即可

? VDC進(jìn)行配置全局導(dǎo)入、導(dǎo)出即可

? 新VDC新建資源，依據(jù)原來派生的相關(guān)配置進(jìn)行新資源配置+VDC用戶導(dǎo)出導(dǎo)入

? 模板必須選擇原有模板（已遷移至新VMP集群）

? 發(fā)布類型也必須與原有類型相同

? 是否有配置個人盤也必須配置一致（大小可不一致）

流程

導(dǎo)入失敗的可能原因

• 虛擬機(jī)相關(guān)

? 重復(fù)導(dǎo)入---vmid相同的虛擬機(jī)

? 非關(guān)機(jī)狀態(tài)的虛擬機(jī)

? 虛擬機(jī)是否有加密磁盤

? 是否為派生虛擬機(jī)

? 同名/同組檢查

• 源集群

? 是否存在跨集群遷移任務(wù)

? 原集群是否穩(wěn)定

• 目的集群

? 網(wǎng)絡(luò)檢查

? VMP版本檢查

? 2D/3D服務(wù)器類型檢查

? 可用空間檢查

? 目的集群穩(wěn)定狀態(tài)檢查

應(yīng)用管控

路徑規(guī)則

• 1. 按目錄配置是指此目錄下所有軟件均納入規(guī)則；
• 2. 按文件配置是指該文件對應(yīng)的單一軟件納入規(guī)則。

應(yīng)用特征碼規(guī)則

• 單一軟件的不同版本需創(chuàng)建多個應(yīng)用特征碼規(guī)則。

產(chǎn)品信息規(guī)則

• 1.按進(jìn)程信息
• 2.按產(chǎn)品信息
• 3.按發(fā)布者信息

限制

• 僅支持獨(dú)享桌面
• 不支持linux系統(tǒng)，xp、win8、win10家庭版系統(tǒng)，win7、10專業(yè)版系統(tǒng)以及加域虛擬機(jī)資源

IRS-APP

• 應(yīng)用優(yōu)化助手只能識別到“帶窗口的軟件進(jìn)程”，并對識別到的top5進(jìn)行加速
• 識別不到的就需要在VDC上進(jìn)行策略配置，強(qiáng)制識別
• 一些后臺類進(jìn)程是不帶窗口的，而且比較占資源---配置VDC策略，強(qiáng)制減速該進(jìn)程
• 一些后臺類進(jìn)程是不帶窗口的，但是很重要，需要優(yōu)先保障資源---配置VDC策略，強(qiáng)制加速該進(jìn)程
• “加速”本質(zhì)上是進(jìn)程優(yōu)先級的調(diào)整
• 應(yīng)用優(yōu)化助手最多只能自動識別5個APP進(jìn)行自動加速，優(yōu)化助手只能加速APP，無法減速

日志

• 加速名單：查看日志，優(yōu)化進(jìn)程的日志路徑：%vdi%LogswdOptApp.log
• 應(yīng)用助手的日志路徑：%appData%sangforvdOptAppUlINog

設(shè)置的加速進(jìn)程在UI中顯示了，但是優(yōu)先級未調(diào)整（在任務(wù)管理器中查看其優(yōu)先級顯示的是普通或者低于標(biāo)準(zhǔn)）查看日志

IRS-SMP（CPU智能調(diào)度）

vCPU調(diào)度中斷引起調(diào)度開銷，導(dǎo)致虛擬機(jī)卡慢（2核虛擬機(jī)不卡），消耗服務(wù)器CPU資源，開啟此功能后，提升多核虛擬機(jī)使用體驗(yàn)，降低服務(wù)器CPU負(fù)載

日志位置：C:Program Files (x86)SangforSSLVDILogsSMPService.log

調(diào)試程序：C:Program Files (x86)SangforSSLVDI

攝像頭優(yōu)化

ARM關(guān)鍵日志編碼方式查看：

• 【略】

X86關(guān)鍵日志查看：

• 【略】

PC客戶端關(guān)鍵日志查看：

• 文件日志：%appdata%Sangfor/Camera/Logs/libusbredir2.dll.log，可通過注冊表調(diào)整日志輸出級別，默認(rèn)最低輸出為“信息”。

Linux

• 只支持XUbuntu-16.04的Linux發(fā)行版（ubuntu-16.04-desktop-amd64.iso）。
• 不支持Linux資源的自動登錄--控制臺獨(dú)享桌面資源配置界面將自動登錄功能置灰
• 不支持Linux桌面加入域。
• 不支持agent免IP功能。
• 不支持視頻流、音視頻重定向、flash重定向、軟件分發(fā)和雙屏顯示的場景。
• 不支持PC剪切板、3D軟件、屏保和休眠功能。
• 客戶端接入Linux桌面時不支持虛擬機(jī)內(nèi)修改分辨率，可在客戶端界面修改分辨率再接入Linux桌面實(shí)現(xiàn)分辨率修改。
• 支持MAC訪問Linux

agent

• agent卸載密碼：123456a
• agent service的依存關(guān)系看所有進(jìn)程是否已經(jīng)啟用

agent異常

• 是否安裝agent
• 是否通過vdc上開機(jī)過虛擬關(guān)機(jī)，在VDC上重新開機(jī)，或者用客戶端接入開機(jī)agent相關(guān)的進(jìn)程是否正常運(yùn)行，檢查服務(wù)是否被禁用了
• agent版本不匹配 --- 可能由于還原模式下agent升級問題
• 5.2之前的版本，檢查虛擬機(jī)到vdc的lan口8866端口通信是否正常
• 5.2之后采用是免IP的機(jī)制，檢查vmp到vdc的通信是否正常 --- VMP管理口與VDC lan口

排錯

• 重命名VDHook

%vdi%回車進(jìn)入 agent 安裝目錄，將 VDHook.dll、VDHook64.dll 重命名為VDHookbac.dll、VDHook64bak.dll注銷windows重新運(yùn)行程序。若正常，則為vdhook鉤子程序引起

? 重啟設(shè)備生效

• 5.3.3之前修改注冊表

? 獲取程序進(jìn)程名，虛擬機(jī)配置取消掛鉤

配置路徑如下新建字符串值，名稱為程序進(jìn)程名注意帶 exe，如 ie 的進(jìn)程為 iexplore.exe32 位系統(tǒng)：HKEY_LOCAL_MACHINESOFTWARESangforSSLVDIVDHook NotHookExeNa64 位系統(tǒng)：HKEY_LOCAL_MACHINESOFTWAREWow6432NodeSangforSSLVDIVDHookNotHookExeName配置完成后記得重新注銷或者重啟登錄虛擬機(jī)測試正常。

? 進(jìn)程獲取方式：啟動任務(wù)管理器，找到對應(yīng)程序的進(jìn)程名，加入注冊表中

? 注銷VDI，重新登陸生效

• 5.3.3之后VDC配置，將覆蓋虛擬機(jī)本機(jī)的

? 策略組 --- 獨(dú)享桌面 --- 兼容性列表

• agent日志

? win7 64Bit

? C:Program Files (x86)SangforSSLVDILogs

? win7 32Bit

? C:Program FilesSangforSSLVDILogs

軟件使用問題排錯

Windows cmd 管理員權(quán)限運(yùn)行fltmc

硬件

添加磁盤

• 分配方式

? 預(yù)分配

? 精簡分配

• 磁盤類型

? 添加已有磁盤

? 刪除原有磁盤數(shù)據(jù)

? 作為個人盤

? 也具有重定向功能，需VDC勾選“添加個人磁盤”

? 新磁盤

• 執(zhí)行置零操作，避免跨虛擬機(jī)數(shù)據(jù)泄露
• 置零操作+預(yù)分配會延長分配時間

添加串口

• 通過串口連接到不通的虛擬機(jī)

磁盤大小修改

• 只允許改大，不支持改小
• 需虛擬機(jī)進(jìn)行磁盤初始化

高級

• 磁盤寫緩存
• FASTIO：安裝agent生效
• 內(nèi)存回收：XP和Win10不建議開啟

開關(guān)機(jī)計劃

• 超時關(guān)機(jī)：VDI用戶注銷后，關(guān)閉虛擬機(jī)
• 指定關(guān)機(jī)時間：VDI用戶注銷后，將在指定時間關(guān)機(jī)，如VDI用戶在線則不生效

模板維護(hù)

• $admin與admin密碼登陸模板虛擬機(jī)
• 通過共享目錄獲取軟件安裝包
• 安裝硬件驅(qū)動等需要映射生效的外置硬件驅(qū)動

中間人攻擊

• 檢查是否有針對VDC443端口的監(jiān)聽
• 針對瘦終端、PC利舊、PC客戶端均不生效，僅對移動接入生效
• 開啟后將自動開啟圖形校驗(yàn)

PC一體化

• 支持安裝在Windows XP、Win7、Win10
• 將自動創(chuàng)建sangforsslvdi用戶，物理機(jī)開機(jī)自動進(jìn)入資源登陸頁面
• 隱藏導(dǎo)航條和關(guān)機(jī)一體化功能也同樣適用于PC一體化場景。

音視頻重定向

限制

• 僅在arm盒子生效
• 播放器

? Windows Media Player

? 暴風(fēng)影音5

538后可針對策略組生效

極域

5.3.5以下

• 2015標(biāo)準(zhǔn)版

5.3.5及以上

• 2017豪華版

? 對標(biāo)準(zhǔn)版新增功能包括：共享白板、搶答競賽、試卷編輯、開始考試、閱卷評分、答題卡考試、U盤限制、打印限制。

• 2017標(biāo)準(zhǔn)版

? 極域電子教室新增教師機(jī)系統(tǒng)聲音廣播和麥克風(fēng)聲音廣播（包括屏幕廣播、學(xué)生演示）；

? 教師機(jī)、學(xué)生機(jī)支持win10部署場景；

? 新增USBkey授權(quán)方式，實(shí)現(xiàn)教師機(jī)靈活授權(quán)；

? 支持教師機(jī)遠(yuǎn)程開啟學(xué)生瘦客戶機(jī)；

極域音頻廣播

• 在線模式

? 教師機(jī)發(fā)起組播建立請求給VM

? VM轉(zhuǎn)發(fā)請求到瘦終端

? 瘦終端加入教師機(jī)組播域

• 離線模式

? 教師機(jī)與VM建立TCP長連接

? 教師機(jī)與學(xué)生機(jī)斷連通過組播域收發(fā)音視頻

• 代理模式

? 教師機(jī)VM與教師機(jī)瘦終端建立連接

? 瘦終端與學(xué)生機(jī)斷連通過組播域收發(fā)音視頻

• 操作系統(tǒng)
• 

• VM配置

• 

• 極域2017默認(rèn)資產(chǎn)射手影音與暴風(fēng)影音，使用edutool.exe可進(jìn)行網(wǎng)絡(luò)影院開關(guān)

? flush重定向關(guān)閉

? 音視頻重定向關(guān)閉

• 升級

? 需要使用對應(yīng)VDI版本極域

? 版本升級需卸載舊版本的極域

? 標(biāo)準(zhǔn)版升級標(biāo)準(zhǔn)版無需進(jìn)行額外收費(fèi)，找銷售重開序列號即可

? 2015序列號需重新開，否則客戶端依舊顯示2015版本

• 極域安裝不升級

極域安裝版本不升級是指，極域依舊使用原2015年極域標(biāo)準(zhǔn)版（2.7.13561）。當(dāng)VDI升級至5.3.5版本時，教師機(jī)僅需要升級極域組件即可。升級步驟如下：

? 1.待教師虛擬機(jī)內(nèi)Agent升級完成以后，點(diǎn)擊運(yùn)行5.3.5版本內(nèi)的教育組件，路徑為：極域2017標(biāo)準(zhǔn)版/豪華版軟件安裝包TeacherEduShellnstall.exe

? 2.安裝完成以后手動重啟教師物理機(jī)或者教師虛擬機(jī)

• 極域音頻廣播

? 音頻廣播：勾選后學(xué)生機(jī)接收廣播界面同時接收教師機(jī)系統(tǒng)聲音。

? 語音通話：勾選后學(xué)生機(jī)接收廣播界面同時接收教師機(jī)麥克風(fēng)輸入聲音。

?

• 遠(yuǎn)程開機(jī)

? 遠(yuǎn)程開啟學(xué)生機(jī)：SN 7xHxxxxxxx ，型號為STD -X -S

? 策略組勾選教師機(jī)專用策略，填寫教師機(jī)VDI的用戶名和密碼

• 常見問題

? win10廣播雜音，修改采樣頻率

? 學(xué)生USB耳機(jī)無聲音，配置USB黑名單

中科卓軟

• 語音教學(xué)場景
• 5.3.5開始，資產(chǎn)中科卓軟2018版本支持
• 優(yōu)化（教師機(jī)物理機(jī)+arm瘦終端）

? VM不對視頻數(shù)據(jù)進(jìn)行解碼渲染數(shù)據(jù)，廣播數(shù)據(jù)傳輸給瘦終端，由瘦終端進(jìn)行數(shù)據(jù)接受、數(shù)據(jù)解碼、數(shù)據(jù)渲染

? VM會音頻進(jìn)行解碼、渲染，故可能存在音視頻不同步問題

• VM卓軟學(xué)生端接收畫面?zhèn)鹘o卓軟重定向插件，該插件將數(shù)據(jù)通過內(nèi)存共享重定向給桌面云重定向插件
• 

• 要求
• 

? 教師機(jī)使用物理機(jī)，學(xué)生機(jī)必須是arm架構(gòu)虛擬機(jī)

? 系統(tǒng)

分布式防火墻

配置靈活

• 基于ip范圍
• vdc本地用戶/用戶組/Idap外部用戶映射到本地組/從ldap導(dǎo)入到本地的用戶/用戶組
• 虛擬機(jī)/資源/資源組進(jìn)行策略配置：池模式場景策略綁定用戶

使用場景

• 虛擬機(jī)間隔離
• 勒索病毒橫向傳播
• 基于IP難以滿足的其它訪問控制場景
• 策略綁定用戶，策略與虛擬機(jī)無關(guān)

工作流程

• agent上報IP
• vmp學(xué)習(xí)到agent上傳的IP后傳給VDC
• vdc進(jìn)行acl策略配置
• vdc間acl策略發(fā)送給vmp
• vmp將iptables規(guī)則寫入虛擬機(jī)

注意

• iptables為每虛擬機(jī)獨(dú)立
• 虛擬機(jī)防火墻按從上到下匹配，匹配即止
• 只有虛擬機(jī)是正在運(yùn)行的，且能正常上報IP的VM才會被寫入防火墻規(guī)則

策略生效機(jī)制

• 通用場景

? 匹配的防火墻策略在虛擬機(jī)開機(jī)后下發(fā)并生效，關(guān)機(jī)后，10分鐘內(nèi)清除策略

• 池模式虛擬機(jī)使用基于用戶的策略場景

? 匹配的防火墻策略在用戶接入虛擬機(jī)后生效，用戶注銷后，10分鐘內(nèi)清除策略

• 使用未導(dǎo)入VDC的外部用戶且使用基于用戶組的策略場景（LDAP組映射）

? 匹配的防火墻策略在用戶登錄后生效（虛擬機(jī)運(yùn)行狀態(tài)），用戶注銷后，10分鐘內(nèi)清除策略

• 非直接變更防火墻策略導(dǎo)致的策略變動場景（如修改虛擬機(jī)所屬分組/修改用戶所屬分組等）

? 匹配的策略會在10分鐘內(nèi)生效，重啟虛擬機(jī)或者vdi用戶注銷重登可以立即生效

策略轉(zhuǎn)換規(guī)則

• 優(yōu)先寫入出站規(guī)則
• 匹配即寫入
• 基于用戶/用戶組不會寫入iptables，因?yàn)樘摂M機(jī)IP尚未獲取

配置

• 該模塊暫時僅支持admin配置
• 導(dǎo)入僅支持源目對象均是IP的策略，不支持基于用戶組的防火墻規(guī)則導(dǎo)入

UPM用戶配置重定向

工作流程

• 1.用戶登錄虛機(jī)
• 2.由RVLSession通知VDShell進(jìn)行策略請求
• 3.AGENT向VDC請求用戶配置的策略
• 4.VDAgent將獲取到的策略保存并解析生成配置文件
• 5.VDAgent將配置文件下發(fā)底層文件過濾驅(qū)動
• 6.文件過濾驅(qū)動依據(jù)配置完成重定向到個人盤

UPM更新流程

強(qiáng)制不重定向的路徑

• 整個C盤路徑C:
• 系統(tǒng)文件路徑C:windows
• 我的文檔路徑 %HOMEPATH%My Document
• 我的桌面路徑 % HOMEPATH %Desktop
• Agent組件路徑

? C:Program FilesSangfor 32位系統(tǒng)

? C:Program Files (x86)Sangfor 64位系統(tǒng)

• 非系統(tǒng)盤路徑

池模式：還原模式的特殊類型

• AD域漫游，配置漫游==必須配置自動登錄到域

虛擬機(jī)管理

• 虛擬機(jī)分組最多支持5級分組
• 虛擬機(jī)到期不會影響虛機(jī)正常使用，管理員通過高級篩選虛機(jī)狀態(tài)

系統(tǒng)排錯工具

WinPE

• 內(nèi)置winpe所在目錄

【略】

• 復(fù)制到相關(guān)路徑，以便掛載到虛擬機(jī)

【略】

使用場景

• 系統(tǒng)盤數(shù)據(jù)拯救
• 忘記密碼
• 加密數(shù)據(jù)盤解密掛載

Process XP

View->System information

• handles（句柄）和CPU相關(guān)，系統(tǒng)正常穩(wěn)定運(yùn)行該值在5W以內(nèi)，若是系統(tǒng)或者程序的該值超過5W會引起系統(tǒng)卡慢等問題
• ContextSwitchs Delta（上下文切換增量）：和CPU相關(guān)，系統(tǒng)正常穩(wěn)定運(yùn)行該值在10W以內(nèi)，若打開應(yīng)用過多，會引起該值偏高，超過10W會引起性能問題（如：操作卡頓）
• page fault delta（頁面錯誤增量）：和內(nèi)存相關(guān)，正常整個系統(tǒng)的頁面錯誤增量不會超過1W若是系統(tǒng)或者程序該值超過1W，則會導(dǎo)致系統(tǒng)卡慢

Windows時間查看器

windbg調(diào)試工具

存儲

多路徑

服務(wù)器推薦配置

• 兩個HBA卡,每個HBA卡配置一個存儲光模塊，提供1*8GE鏈路；HBA卡存在單點(diǎn)故障風(fēng)險前提下時可以考慮使用一個HBA卡，每個HBA卡配置兩個存儲光模塊，提供2*8G鏈路；
• FC存儲陣列配置AB控，每個控制器提供2*8GE鏈路；
• 兩臺存儲FC交換機(jī)；接受FC交換機(jī)存在單點(diǎn)故障風(fēng)險前提下時可以使用1臺存儲FC交換機(jī)

存儲組網(wǎng)推薦配置

• 兩個fc交換機(jī)設(shè)置不同的domain id
• FC存儲交換機(jī)獨(dú)立部署，服務(wù)器的hba0和hba1分別接入兩臺FC交換機(jī)
• 按照最小zone配置原則進(jìn)行zone劃分，即一個服務(wù)hba卡與一個控制器hba卡劃分到同一個zone內(nèi)。zone劃分可按照wwpn劃分，也可以按照端口進(jìn)行劃分，推薦使用wwpn配置。

3D VMP

• VMP上切換顯卡模式需要重啟VMP服務(wù)器才能生效（直通模式VMP界面無畫面）
• 虛擬機(jī)關(guān)聯(lián)顯卡
• 虛擬機(jī)安裝顯卡驅(qū)動

限制

顯卡1.0

• 直通共享僅支持WIN7 64bit
• 直通共享僅支持ARM4盒
• 直通、共享、無顯卡不能組集群
• 顯卡類型不一致不能組集群

顯卡2.0

• 取消共享模式
• vGPU切分的顯存，顯卡核心是共享的
• 顯存是共享的

vGPU負(fù)載均衡--一個核心一個vGPU

密度模式

• 同型號vGPU分配到一個核心上

性能模式

• 優(yōu)先選擇顯存空間打的GPU

指定GPU運(yùn)行模式（1Q-2Q）--鎖核心

問題排查

安裝VNC訪問--同步畫面

60幀率限制--關(guān)閉垂直同步

授權(quán)

Key離線，VDC、VMP平臺授權(quán)過期時間自動調(diào)整為30天

aCenter離線，或者VDC、VMP平臺與aCenter網(wǎng)絡(luò)不可達(dá)時，授權(quán)過期時間自動調(diào)整為30天

選型

硬件

CPU主頻

• 最低2.2Ghz（V4）
• win7不低于2.4Ghz（6550或以上）
• win10不低于2.6Ghz
• 視頻監(jiān)控不低于2.4Ghz
• HIS不低于2.4Ghz

CPU核數(shù)

• 虛擬機(jī)并發(fā)數(shù)=[單服務(wù)器總主頻資源*(1-CPU冗余百分比)-2.5G]/單虛擬機(jī)平均消耗主頻值

? 1.單臺服務(wù)器總主頻資源=CPU顆數(shù)*單顆物理核心數(shù)*超線程系數(shù)*單核心主頻值；（超線程系數(shù)：[V5版本]---1.32 [V5以下]---1.2）

? 2. CPU冗余百分比即平臺預(yù)留的主頻資源，以免平臺CPU消耗達(dá)到100%，推薦值5-10%；

? 3. 2.5G是指單服務(wù)器需預(yù)留的平臺所需CPU資源

• 虛擬機(jī)并發(fā)數(shù)=（CPU顆數(shù)*單顆CPU物理核心數(shù)*1.2）*超配閾值/虛擬機(jī)分配的vCPU核數(shù)

? 正常體驗(yàn)超配數(shù)2

? 普通辦公場景可調(diào)整至3

? 最高限制超配系數(shù)為4

內(nèi)存

• 并發(fā)虛擬機(jī)個數(shù)=[單服務(wù)器總內(nèi)存資源*(1-內(nèi)存冗余百分比)-平臺運(yùn)行內(nèi)存開銷]/（單虛擬機(jī)配置內(nèi)存+0.5G）

? 平臺運(yùn)行內(nèi)存開銷平均為8G，如使用虛擬存儲則需增加2G

? 桌面體驗(yàn)優(yōu)化的開銷平均為0.5G，內(nèi)存冗余百分比推薦8-10%

? 當(dāng)虛擬機(jī)開機(jī)后才會有虛擬機(jī)系統(tǒng)內(nèi)部及單桌面體驗(yàn)優(yōu)化的開銷產(chǎn)生；

? 標(biāo)準(zhǔn)版內(nèi)存最大可配16GB，企業(yè)版內(nèi)存最大可配32GB（2D）/64GB（3D），如需更高內(nèi)存，請聯(lián)系市場BU評估

系統(tǒng)盤

• 雙盤raid1
• 128GB

顯卡授權(quán)

• 顯卡類型：M10/M60/M4000(僅支持直通無授權(quán)，不推薦)
• 顯卡授權(quán)：1B/2B/1Q/2Q/4Q/8Q/直通

硬盤

• 配比:最低緩存比1:30，推薦1:20
• 緩存盤和數(shù)據(jù)盤比必須小于1：6
• 必須用2*480GB

? 安裝桌管軟件、PC版殺毒軟件、360安全衛(wèi)士、文件加密軟件的辦公場景

? 需要經(jīng)常訪問50M以上office大文件的辦公場景，比如招標(biāo)書、財務(wù)大報表等

? 使用eclipse、visual stutio、android studio等軟件的研發(fā)場景

? 安裝了云盤客戶端如百度云盤且開啟定期自動同步功能的場景（定期同步對IO要求極高）

? 需要使用PS進(jìn)行編輯的場景（編輯psd文件，io會劇增）