精华内容
下载资源
问答
  • 超详细图文介绍,华为桌面云解决方案

    万次阅读 多人点赞 2020-05-08 09:22:02
    华为FusionCloud桌面云解决方案是基于华为云平台的一种虚拟桌面应用,通过在云平台上部署华为桌面云软件,使终端用户通过瘦客户端或者其他设备来访问跨平台的整个客户桌面和应用。 桌面云概述 传统PC办公缺陷 数据...

    前言

    华为FusionCloud桌面云解决方案是基于华为云平台的一种虚拟桌面应用,通过在云平台上部署华为桌面云软件,使终端用户通过瘦客户端或者其他设备来访问跨平台的整个客户桌面和应用。

    桌面云概述

    传统PC办公缺陷

    • 数据安全漏洞
      • 数据在终端本地存储
      • 各种端口难以管控
      • 使用者行为难以约束
      • 电脑失窃导致数据丢失和信息泄露
    • 后期运营维护开支巨大
      • 传统PC向员工发放消耗时间长
      • 终端故障现场维护,时间长、效率低
      • 软硬件多种多样,桌面标准化管理困难,不堪重负
      • 传统PC磁盘容易造成个人数据丢失,业务宕机,影响业务运行
    • 固话不灵活,利用率低
      • 接入方式固定,影响办公效率
      • 不利于业务信息的有效整合与协同
      • 硬件标准化配置,无法灵活升级
      • 硬件资源固化,空闲时无法复用,资源利用率低下。
        传统PC办公缺陷

    信息化时代核心诉求

    核心诉求:提升IT系统效率以促进业务发展,保障信息资产安全。
    信息化时代核心诉求

    桌面云优势

    • 数据安全
      • 终端与数据隔离,防泄密
      • 高可靠性架构,防丢失
    • 运维效率(远程协助)
      • 桌面标准化
      • 桌面快速发放,集中运维
    • 灵活性
      • 资源按需调整
      • 移动办公
        桌面云优势
        降低运维成本,但是建设成本可能会提高。
        桌面云优势

    桌面云应用场景

    桌面云应用场景

    分支机构

    • 简介
      企业中除了总部机构需要使用桌面云外,很多分支机构也需要使用桌面云,为了提高分支机构桌面云的用户体验,系统将分支机构桌面云部署在分支机构本地。
    • 特点
      • 降低网络使用成本
      • 业务连续不中断
      • 集中运维和管理
        分支机构

    办公

    • 简介
      企业使用桌面云进行正常的办公活动(如处理邮件、编辑文档等),同时提供多种安全方案,保证办公环境的信息安全。
    • 特点
      • 减少投资,平滑过渡
      • 可靠的信息安全机制
      • 部署简单灵活
        办公

    华为桌面云解决方案架构

    桌面云架构VDI与IDV

    • VDI:虚拟桌面架构。特点是计算和数据都在云端,集中管理,集中运行。
    • IDV:智能桌面虚拟化。特点是镜像集中管理,计算和数据还是在终端,集中管理,分散运行。
      桌面云架构
      VDI与IDV的对比
      VDI与IDV对比

    FusionCloud桌面云解决方案逻辑架构

    物理硬件上安装FusionSphere服务器虚拟化系统,
    在服务器虚拟化系统上面安装FusionAccess的软件,
    FusionAccess的软件根据提前制作好的模版,来发放用户桌面虚拟机,
    让用户可以通过软件或者硬件的终端,来访问到自己的桌面,
    管理通过管理维护系统来维护以上所有的内容。
    FusionCloud桌面云解决方案逻辑架构
    FusionAccess
    瘦客户端会跟FusionAccess里面的虚拟机运行HDP协议
    FusionCloud桌面云解决方案逻辑架构

    FusionSphere云平台架构

    FusionSphere云平台总体架构

    华为桌面云桌面类型

    HDP(Huawei Desktop Protocol)华为自研的新一代云接入桌面协议,相对比于传统的桌面协议,它具备以下特点:

    • 最大支持64条虚拟通道,每个虚拟通道可以承载不同的上层应用协议
    • 可根据不同的应用类型采用不同的压缩算法,灵活使用服务器渲染及本地加速渲染
    • 视频播放更清晰流畅
    • 无损压缩算法
    • 还原声音细节
    • 丰富协议管理策略

    HDP总体架构

    HDP总体架构

    常见桌面协议

    • ICA/HDX
      • ICA(Citrix Independent Computing Architecture)是目前应用较多的虚拟桌面协议之一,ICA除了功能齐全之外,还有:
        • 广泛的移动终端支持
        • ICA的网络协议无关性,使其可以支持TCP/IP、NetBOIS和IPX/SPX
        • ICA不仅支持Citrix自家的虚拟化平台XenServer,还支持vSphere和Hyper-V
        • 性能上比较突出的特点是较低的带宽占用,在网络环境差(延迟高)的情况下也能正常使用。
      • HDX(High Definition Experience)作为ICA的增强版,尽量改善用户体验,包括音视频,多媒体和3D,HDX支持H.264。
    • PCoIP(PC-over-IP)
      最初由加拿大公司Teradici开发,早期定位于高端图形设计,2008年VMware宣布和Teradici共同开发PCoIP,以改进自己的VDI解决方案VMware View。
      • PCoIP和硬件结合紧密,数据的编码和解码,图形的处理可以通过专门的硬件来完成,让CPU有精力来做其他的事情,也有专门集成了PCoIP显示芯片的显示器。
      • PCoIP是基于UDP协议的,UDP传输不可靠,但是UDP没有TCP三次握手复杂的校验和数据恢复,传输速度快,适合多媒体的传输。
      • 原生PCoIP协议没有串并口等外设的的重定向能力,但一些TC厂商通过额外的端口重定向插件弥补了这方面功能的不足。
    • SPICE(Simple Protocol for Independent Computing Environment)
      • 一款开源虚拟桌面协议,最初由Qumranet开发,后来被Redhat收购并开源,经过几年的社区开发,SPICE协议不断成熟。
      • SPICE协议对于视频具有一定的优越性,其主要原因还是对于显示信息的压缩处理由KVM完成,避免了GuestOS内由于视频压缩对于CPU的过量消耗。SPICE协议采用无损压缩,所以清晰度较高,缺点是带宽较高,消耗的资源较大。
    • RDP/RemoteFX
      • RDP(Remote Desktop Protocol)是微软的远程桌面协议,最初是由Citrix开发,支持的功能较少,且主要应用在Windows环境中,现在也有Mac下的RDP客户端和Linux下的RDP客户端rdesktop。经历多个版本的开发,RDP最新版也支持了打印机重定向,音频重定向,剪贴板共享等功能。
      • RemoteFX是RDP的增强版,提供了vGPU、视频支持、多点触控、USB重定向等功能。

    常见桌面协议对比

    常见桌面协议对比

    桌面协议功能

    2D图形显示技术

    • 桌面云要实现远程屏幕显示,要通过服务端侧的操作系统接口,抓取屏幕内容,再经过一定的处理后传送到客户端侧显示出来。
    • HDP显示关键技术
      • 非自然图像采用无损压缩:自动识别整幅图像中的文字、Windows图框、线条等非自然图像,对非自然图像采用无损压缩;相片、图片等自然图像采用合适的压缩率进行有损压缩。
      • 重复图像数据不传输:自动识别图像中的未变化部分,只有变化的部分数据会传输,极大降低带宽。
      • 支持多种图像压缩算法:支持多种图像压缩算法,可以根据不同的图像特点和场景选择最优的压缩算法。
        2D图形显示技术

    语音技术

    • 通常桌面协议服务器端可以在虚拟机里面实现一个音频驱动,音频驱动会和Windows的音频子系统(音频引擎)进行交互。
    • HDP语音关键技术
      • 高保真Music压缩算法:自动识别声音场景,VoIP场景下采用针对人声优化的电信语音算法,音乐场景采用专业的高保真音乐编码算法,极大提升音乐播放品质。
      • 自动降噪算法:VoIP启动自动降噪来压抑周边嘈杂音和背景声音,即使嘈杂环境也能通话自如。
      • 低延时:采用在TC端语音透传算法,减低语音在TC端由于缓冲带来的积累延迟,保障语音实时性。
      • 高音质:采用更高的声音采样率(默认采用44.1K的采样率,友商一般16K),避免音质源头损失。
      • 立体混音:支持“立体混音”,即虚拟机所有的输入声音饿输出声音的混合。
        语音技术

    视频显示技术

    目前在桌面云中,支持多媒体视频播放,通常有两种方式:

    • 将服务器的多媒体视频播放图像重新进行视频编码处理,然后将视频编码数据传输到客户端进行解码播放显示。
    • 视频重定向方式,通过捕获服务端播放器需要的视频编码流,直接将视频编码流发送到客户端进行解码播放显示。

    HDP协议提供了支持4K视频播放的能力,该能力是通过把视频原始文件解封装后的音频数据包发送到客户端,在客户端直接使用音频数据包进行编码显示。

    • 直接使用解封装后的音视频码流,可以降低网络带宽的压力
    • 可以降低对服务端计算资源的消耗
    • 可以充分应用客户端TC的能力实现4K视频的播放

    HDP视频关键技术

    • 视频场景智能识别:在Display Server能够自动识别是视频数据还是普通的GDI数据,对于视频数据,采用高效的H.264或MPEG2进行编码,并充分利用TC端硬件能力进行解码。
    • 帧率动态调整:根据网络的质量动态调整视频播放的帧率,优先保证视频流畅度。
    • 视频数据自适应:根据显示器的分辨率和播放器的窗口大小,自动调整视频数据流的大小,在播放器最小化时终止发数据,几乎没带宽,降低CPU消耗,提升用户体验。
    • 多媒体重定向:充分利用TC的硬解码能力,支持断线自动重连播放,流量动态调整,最大支持4K视频播放,流畅度优于ICA。
    • 强大的应用感知能力:对常用视频播放软件(flash)和图像处理软件(如Photoshop)进行针对性优化,比ICA更流畅。
      视频显示技术

    外设重定向技术

    在桌面云场景下,把TC/SC终端侧的外围设备,通过桌面云协议映射到远程桌面中,并能通过远程桌面使用这些外围设备的技术。基于外设技术实现的原理来分,主要有以下两种:

    • 端口重定向:是指在远程桌面的操作系统中,针对端口底层协议进行重定向的技术;如USB端口重定向、串口重定向、并口重定向等。(端口下所有的数据信号都需要发给远端,需要远端为设备安装对应的驱动,优势:兼容性好,缺点:对带宽占用较高)
    • 设备重定向:是指在远程桌面的操作系统中,针对设备应用协议进行重定向的技术;如摄像头重定向、TWAIN重定向等。(本地客户端可以将摄像头的画面进行捕获,再发给其他设备)

    传统PC使用通用的USB设备总线来接入USB设备。
    外设重定向技术
    在华为的FusionCompute里面,可以直接在虚拟机中安装USB驱动。
    外设重定向技术
    摄像头建议使用外设重定向,中间的数据是经过压缩的,并且会尽量选择无损的算法,最大限度保证图形图像的质量。
    外设重定向技术

    3D图形显示技术

    华为桌面云也推出了相应的解决方案(华为高清制图桌面),能支持多种高清制图软件,根据其3D显示实现原理,主要有如下几大类技术:

    • GPU直通
    • GPU硬件虚拟化
    • 图形工作站纳管
      3D图形显示技术

    华为桌面云部署方案

    硬件部署方案

    华为桌面云解决方案硬件形态

    • 桌面云一体机
    • 标准桌面云
      硬件部署方案

    华为桌面云解决方案物理部署组网

    • 管理网络(管理VRM,管理FusionAccess)
    • 业务网络(真正用于传输桌面的流量的网络)
    • 存储网络(给CNA的)
      硬件部署方案

    软件部署方案

    先了解一些简单的概念:

    • 现有IT系统:现有的IT环境,AD服务器、DNS服务器、DHCP服务器。
    • 虚拟桌面资源池:用户所使用的云桌面的虚拟机。
    • 虚拟应用资源池:应用虚拟化的虚拟机。
      用户通过HDA得到想要的画面,返回给HDP Client。
    • HDP(Huawei Desktop Protocol):华为桌面协议。

    下面是一些较为复杂的概念:

    • WI(Web Interface):用户接口,用户在登陆到FusionAccess的时候,看到的画面就是由WI所提供。用户输入的用户名和密码,也都是在WI上完成的。
      可以发现WI是每个用户都需要用到的,所以需要很多WI来实现需求,那么如何分配资源呢,这就要用到负载均衡。
    • 负载均衡分为虚拟负载均衡和硬件负载均衡:
      • vLB:虚拟负载均衡,它的负载均衡方式很简单:轮训。
      • SVN:硬件负载均衡,可以根据每一个WI的负载情况,进行更精确的分担。

    那么用户如何连接到虚拟机里呢?
    分为两种情况:

    • 没有用户网关(不安全)
      这时候HDP可以直接和虚拟机进行通信。
      HDA:华为桌面代理,安装在虚拟机里面的一个工具。
    • 有用户网关(软件硬件两种网关)
      • vAG(软件)与虚拟负载均衡一起部署
      • SVN(硬件)

    FusionAccess桌面应用管理必选组件:

    • HDC:华为桌面控制,有一个集群,用户桌面所有的信息都需要向HDC进行登记和注册,用户的查询也由HDC来进行。
    • DB:数据库,HDC会把所有的数据都存放在数据库(DB)中。
    • ITA:管理员管理数据所用的组件。
    • License:许可服务器,用户登录需要查询授权。

    可选组件:

    • Backup Server:定期把配置和信息传到备份服务器上。
    • TCM:TC Manager,管理瘦终端
      软件部署方案
      FusionAccess软件架构

    时钟同步方案

    时钟同步是桌面云系统稳定运行的必备条件,如果时钟不同步,会导致桌面云系统管理混乱,时钟同步保证桌面云系统时钟、虚拟时钟一致:

    • 当客户无提供外部时钟源,华为提供AD时,推荐采用AD通过管理平面从FusionCompute的主、备VRM所对应主机同步时间的方案。
    • 当由客户提供稳定时钟源的时候,不管AD组件由客户提供还是华为提供,采用客户提供外部时钟源同步方案。

    无外部时钟源

    无外部时钟源

    客户提供AD

    客户提供AD

    网关与负载均衡器部署方案

    网关/负载均衡器功能介绍如下:

    • 负载均衡器可通过vLB实现该功能,用于将用户的HTTP(S)请求分配到不同的WI能够对WI进行健康检查,确保所有的用户请求都能分配到可用的WI。
    • 网关可通过vAG实现该功能,用于业务接入(桌面协议HDP的接入)和自助维护接入,对客户端的接入进行加密保护,提高系统安全性。

    vAG、vLB可以进行主备部署,分别放到不同的服务器上。
    网关与负载均衡器部署方案
    多增加几个vAG,来形成用户集群,多个vAG之间可以起到负载均衡的作用,
    网关与负载均衡器部署方案
    网关与负载均衡器部署方案

    展开全文
  • 华为桌面云文档

    2018-10-19 15:49:39
    华为桌面云文档,FusionAccess产品描述和功能特性,原理
  • 一个桌面云服务器支持多少用户 内容精选换一换本节操作以Windows Server 2012操作系统的云服务器为例介绍实现多用户登录的操作步骤。Windows server2012服务器默认能够支持两个用户同时远程登录,而通过配置远程桌面...

    一个桌面云服务器支持多少用户 内容精选

    换一换

    c8a5a5028d2cabfeeee0907ef5119e7e.png

    本节操作以Windows Server 2012操作系统的云服务器为例介绍实现多用户登录的操作步骤。Windows server2012服务器默认能够支持两个用户同时远程登录,而通过配置远程桌面会话主机和远程桌面授权,即可实现多用户远程登录。Windows 2012操作系统云服务器配置多用户登录的操作视频请点击:https://bbs.h

    本节操作以Windows Server 2012操作系统的弹性云服务器为例介绍实现多用户登录的操作步骤。Windows server2012服务器默认能够支持两个用户同时远程登录,而通过配置远程桌面会话主机和远程桌面授权,即可实现多用户远程登录。Windows 2012操作系统云服务器配置多用户登录操作指导请确保云服务器带宽资源充足,避免

    一个桌面云服务器支持多少用户 相关内容

    本节操作以Windows Server 2008操作系统的弹性云服务器为例介绍实现多用户登录的操作步骤。Windows server2008服务器默认能够支持两个用户同时远程登录,而通过配置远程桌面会话主机和远程桌面授权,即可实现多用户远程登录。请确保云服务器带宽资源充足,避免由于多用户同时操作负载过高导致云服务器卡顿或登录异常。所在安全

    Linux云服务器一般采用SSH连接方式,使用密钥对进行安全地无密码访问。但是SSH连接一般都是字符界面,有时我们需要使用图形界面进行一些复杂操作。本文以Ubuntu 18.04操作系统为例,介绍如何为云服务器安装VNC Server,以及如何使用VNC Viewer连接云服务器。已创建一台Ubuntu 18.04操作系统的云服务器,并且

    一个桌面云服务器支持多少用户 更多内容

    5eb5094525ac38c82d2a8e7d84950748.png

    这是因为该弹性云服务器已被其他用户使用VNC方式登录。VNC方式登录弹性云服务器时,同一时刻仅支持一个用户登录。如果多个用户同时登录,除第一个用户可正常登录外,其他用户登录时只会提示认证成功,但是不显示画面,出现黑屏现象。此时,用户需等待其他用户退出VNC登录后,才能继续登录。

    bde960fb156614c03a124ff840e10cb0.png

    使用远程登录方式连接登录Windows云服务器时出现如下错误:由于没有远程桌面授权服务器可以提供许可证,远程会话被中断,请跟服务器管理员联系。可能原因是由于在系统内部安装了远程桌面会话主机角色。您可以申请免费使用 120 天,之后需要付费,如未付费会则造成远程连接失败。 Windows最多仅允许两个用户连接(包含本地登录用户),若要支持更

    a0c42bb47a44c6ed1cd778f97e224009.png

    由于同一时间点,一台云服务器上能安装多个应用,但每路会话同一时刻只能运行一个应用,且每台云服务器连接的设备数量有限。因此,当用户数增多,云服务器数量不能满足业务需求时,您可以为该应用添加云服务器。登录控制台,在服务列表中选择“计算 > VR云渲游平台”。在左侧导航栏,选择“应用管理”,打开应用管理页面。在应用列表中,查看需添加云服务器的应

    c0e51685ecf1c455eed0daf868911dc9.png

    通过创建应用,将待使用的应用内容部署至云上,分配GPU加速型云服务器资源,提供渲染能力。当您需要新增一个应用时,请按本节内容进行操作。创建应用。在左侧导航栏,选择“应用管理”。在“应用管理”页面,单击右上角的“创建应用”。应用管理在“创建应用”页面,根据界面提示填写待创建应用的参数信息。创建应用创建应用参数说明参数配置所属集群选择待创建应

    d151cefbfd54a36eb240c5cc85e1151a.png

    传统的HPC使用中存在如下问题:投资成本高,扩容部署复杂,重复利用已有投资十分困难。应用复杂,资源预测困难,灵活性差,亟待提升效率。效率低下导致决策缓慢,失去市场、以及开发研究成果的良机。应用计算量快速膨胀,对性能要求越来越高。公有云上应用HPC场景,能充分利用云服务的优势。使用公有云进行高性能计算具有以下优势:降低TCO可以按需租用,成

    8eb70d4a37fe864f82daefa0aeaaa61c.png

    示例:购买并登录Windows弹性云服务器示例:购买并登录Linux弹性云服务器云平台提供了多种实例类型供您选择,不同类型的实例可以提供不同的计算能力和存储能力。同一实例类型下可以根据CPU和内存的配置选择不同的实例规格。ECS智能推荐。镜像是一个包含了操作系统及必要配置的弹性云服务器模板,使用镜像可以创建弹性云服务器。公共镜像是云平台提

    f3b8b8d84706868f201fb0c4780edbab.png

    远程登录的账号和密码是多少?登录云服务器的用户名和密码:Windows操作系统用户名:AdministratorLinux操作系统用户名:root登录云服务器的用户名和密码:Windows操作系统用户名:AdministratorLinux操作系统用户名:root忘记服务器登录密码,怎么办?如忘记登录密码,可通过重置密码 功能设置新密码。

    22d5e09c1bd36dc697ac56f0e92512a6.png

    登录VR云渲游平台,通过创建集群部署平台管理能力,实现对GPU资源、应用以及设备的管理及调度、通过创建应用操作将步骤二:应用内容上云中上传至OBS桶的应用内容部署至GPU云服务器。为提高配置效率,本节提供快速对接VR云渲游平台方案,该方案中推荐的参数配置基于系统默认值、或大多数客户的选择提供,助力您快速体验应用上云业务,方便快捷。如需自定

    91fba63c5e17e5f0e99d0f8174c4b31b.png

    华为云VR云渲游平台帮助中心,为用户提供产品简介、快速入门、用户指南、常见问题等技术文档,帮助您快速上手使用VR云渲游平台。

    b80c406dd1bff1336ad2b20072f4b1ca.png

    SCSI类型的共享云硬盘支持SCSI锁,为了提升数据的安全性,SCSI类型的共享云硬盘需挂载给同一个反亲和性云服务器组内的ECS。本节指导用户查询挂载了同一个SCSI共享盘的云服务器是否在同一个云服务器组中。云服务器组相关内容请参考:管理云服务器组。共享云硬盘的使用注意事项请参考:共享云硬盘及使用方法。登录管理控制台,查询挂载该共享盘的弹

    c98716077afa118c4722d3df701d5c06.png

    您可以选择在云服务器上安装一个或多个应用。如需在云服务器上安装其他应用,请参考如下操作进行添加。暂时仅允许支持VR应用的云服务器安装VR应用。暂时仅允许支持3D应用的云服务器安装3D应用。暂时仅允许支持VR应用的云服务器有多路会话时,只能安装一个VR应用。VR云渲游平台中涉及的应用状态如表1所示。登录控制台,在服务列表中选择“计算 > V

    展开全文
  • 环景: FusionAccess 8.0.1 FusionCompute8.0.1 问题描述: 基础架构服务器日常停机维护,重启FA里HDC组件检测不通过显示异常 原因分析: 重启没有启动成功 解决方案: 在FC里进入CNA主机下找到异常HDC ip地址对应FA...

    环景:

    FusionAccess 8.0.1
    FusionCompute8.0.1

    问题描述:

    基础架构服务器日常停机维护,重启FA里HDC组件检测不通过显示异常

    原因分析:

    重启没有启动成功

    解决方案:

    在FC里进入CNA主机下找到异常HDC ip地址对应FA虚拟机VNC进入系统重启HDC服务
    相关命令service HDCService restart

    展开全文
  • 华为桌面云解决方案

    2018-08-03 01:47:03
    华为桌面云系统解决方案PPT,可根据需求修改内容,方便售前工程师使用。
  • 华为桌面云解决方案概述 注意:在2013年10月,本文已更新以反映推荐的新S-TAP配置。 本文的作者来自IBM和10gen,MongoDB公司,他们合作对MongoDB的InfoSphere Guardium进行了认证。 这是一次很棒的练习,因为我们...

    华为桌面云解决方案概述

    注意:在2013年10月,本文已更新以反映推荐的新S-TAP配置。

    本文的作者来自IBM和10gen,MongoDB公司,他们合作对MongoDB的InfoSphere Guardium进行了认证。 这是一次很棒的练习,因为我们了解了彼此的产品和用例。 我们真的很想写一些东西,以帮助那些熟悉关系数据库和InfoSphere Guardium的人们更多地了解为什么组织为某些类型的应用程序采用MongoDB。 从InfoSphere Guardium的角度来看,我们的基础结构已扩展到涵盖MongoDB中不同的消息协议,但是管理员和信息安全人员将遵循相同的过程来启用MongoDB进行审核,报告等。

    我们还希望使MongoDB用户至少对InfoSphere Guardium中的功能有所了解,以帮助其组织达到审核和合规性目标,防止数据泄漏并帮助发现风险活动,例如使用服务器端JavaScript。

    实现目标令人兴奋,但还需要比单篇文章覆盖的空间更多。 因此,为了广泛涵盖某些主题,并为其他主题提供分步说明,我们创建了一系列三篇文章:

    • 本文的第1部分,介绍了MongoDB和InfoSphere Guardium,简要介绍了MongoDB的安全最佳实践,并说明了联合解决方案的好处。 本文还描述了该体系结构,并逐步介绍了数据如何流到InfoSphere Guardium以及如何在InfoSphere Guardium设备中进行处理的步骤。
    • 第2部分讨论了为MongoDB配置InfoSphere Guardium监视代理程序的细节。 它还介绍了如何使用安全策略来完成一些常见用例,包括监视特权用户访问,警报和反复失败的登录。
    • 第3部分描述了InfoSphere Guardium的一些功能,这些功能使其成为企业的流行数据安全和合规性解决方案,包括阻止,查看和报告审核数据,以及创建审核流程以自动执行合规性工作流程。

    引入MongoDB

    来自端点设备的数据激增,不断增长的用户数量以及诸如云计算,社交业务和大数据之类的新计算模型对数据访问和分析产生了需求,这些需求可以处理这些数量惊人的数据。 快速增长的NoSQL数据库类的价值是能够处理这些趋势所需的更高的速度和数据量,同时还可以通过动态模式实现更大的敏捷性。 例如,动态模式可以使组织快速响应不断变化的法规。

    特别是,MongoDB在为您带来这些好处的同时,还提供了通用操作数据存储所必需的丰富查询功能。 它通过文档模型提供更高的开发人员生产力和敏捷性; 它可以在适合于关系型数据库或典型NoSQL数据库的情况下使用,或者可以用于新的数据库。

    图1展示了MongoDB体系结构的高级视图,并介绍了一些关键概念,这些概念对于理解您是否负责为MongoDB配置InfoSphere Guardium具有重要意义。 (此图表示分片的环境。MongoDB也可以独立运行。)MongoDB使用自动分片实现水平可伸缩性,并使用副本集实现高可用性。 客户端连接到MongoDB进程(在分片环境中的mongos),如果安全性已打开,则可以选择对其进行身份验证,并执行数据库中文档的插入,查询和更新。 mongos将查询路由到适当的分片(mongod)以完成特定命令。

    图1. MongoDB架构提供了可扩展的环境
    客户端连接到mongos(查询路由器),然后拆分为配置为副本集的碎片。

    由于MongoDB使用文档数据模型,因此它是一种NoSQL数据库,称为文档数据库。 文档使用JSON(JavaScript对象表示法)以分层方式建模,因此它们仅包含名称-值对。 这些值可以是一个单独的类型化值,一个数组,也可以自己记录(以及它们的组合)以匹配您在应用程序中拥有的任何对象。 该模型可以提供快速查询,因为数据可以彼此相邻地存储在文档中,而不是散布在多个表中并且需要连接。 清单1显示了一个JSON文档的示例。

    清单1.样本JSON文档
    {
    "_id" : 1,
    "name" : { "first" : "John", "last" : "Backus" },
    "contribs" : [ "Fortran", "ALGOL", "Backus-Naur Form", "FP" ],
    "awards" : [
               {
                 "award" : "W.W. McDowell Award",
                 "year" : 1967,
                 "by" : "IEEE Computer Society"
               },
               { "award" : "Draper Prize",
                 "year" : 1993,
                 "by" : "National Academy of Engineering"
               }
    ]
    }

    通过此文档结构,您可以像在应用程序中对对象进行建模的方式一样,将数据存储在MongoDB中,因此,它具有很大的上市时间和敏捷性优势(特别是结合了动态的,未预定义的架构)。

    在后台,文档以二进制JSON格式(BSON)进行存储以提高效率,但是您无需处理JSON文档以外的任何内容。

    表1比较了关系和MongoDB的概念。

    表1.将关系概念映射到MongoDB
    关系概念 相当于MongoDB 评论
    数据库/架构 数据库 其他的容器
    采集
    文件
    领域 字段是在文档级别定义的,而不是在集合中定义的。 换句话说,没有关系数据库那样的预定义架构。
    指数 指数

    Mongo的其余功能旨在使您能够使用此文档结构和您喜欢的编程语言,而无需花费大量时间来管理数据库。 高可用性,性能和自动分片(分区)的构建方式使应用程序不必太担心它们,因此应用程序开发团队可以专注于快速满足业务需求。

    MongoDB的安全性建议

    随着越来越多的企业希望MongoDB满足特定的应用程序需求,他们可能会面临满足组织中已建立的数据库也必须执行的安全性和合规性要求的需求。

    MongoDB在其Wiki页面上概述了一套很好的安全性最佳实践。 (你可以找到链接相关信息 。)另外,为了解决一些基本的安全痛点的MongoDB在2.4版本中,提供以下安全增强功能:

    • 要求此方法能够集成到其标准安全系统中的企业的Kerberos身份验证(仅企业版)。
    • 基于角色的访问控制系统,可进行更精细的控制。
    • 客户端的增强SSL支持要求。 重要说明:要通过Guardium支持MongoDB SSL,必须配置Guardium应用程序级别监视(A-TAP)。 本文未对此进行介绍。 有关更多信息,请参见此技术说明。

    现在来看一些有关网络配置,身份验证,角色使用和防止JavaScript注入攻击的最佳实践。

    网络配置

    为了降低MongoDB的安全风险,建议在可信任的环境中运行MongoDB及其所有组件,并使用适当的防火墙控件,MongoDB组件之间的紧密绑定以及特定的IP端口。 当您运行分片群集时,查询流量通常通过称为mongos的单独进程进行路由。

    如图2所示,特权用户或其他用户有可能直接登录到分片中的mongod实例。 因此,我们的建议不仅是使用防火墙来尽可能多地锁定对分片的访问,而且还要对分片实施InfoSphere Guardium监视以捕获该活动。 正如您将在本系列文章的第2部分中了解到的那样,可以通过以下方式配置Guardium,以避免重复计算消息流量,同时仍然在分片和mongos服务器上捕获本地流量。

    设置监视实际上有很多选项,但这是提高效率的合理选择,同时为管理员提供了必要的监视功能。

    图2.一种推荐的配置
    使用防火墙来防止客户端访问mongod分片,而是通过mongos进行路由。对于使用客户端或本地连接的特权用户,Guardium将监视该活动。

    另外,使用非默认端口运行是一种安全性最佳实践。 为了便于理解,我们确实使用缺省端口配置(对于mongos为27017,对于分片服务器为27018),但是当使用非缺省端口时,InfoSphere Guardium可以正常工作。

    认证方式

    一个明显的建议是在启用身份验证的情况下运行MongoDB。 (缺省情况下,未启用身份验证。)从监视和审计的角度来看,身份验证也很关键,以使InfoSphere Guardium能够选择数据库用户名。 如果未启用身份验证,则将在报告的“数据库用户名”字段中看到字符串“ NO_AUTH”。 (在InfoSphere Guardium在会话中间开始监视并且不接听数据库用户的情况下,您也可能很少看到NO_AUTH。)

    从MongoDB的角度来看,2.4之前的身份验证仅限于使用仅在Mongo中管理且未集成到企业用户管理系统中的用户名和密码进行的基本身份验证。 身份验证后,角色最少,只有只读或完全访问权限。 在2.4企业版中,添加了其他功能,包括对Kerberos的支持

    角色和基于角色的访问

    在2.4中,MongoDB支持许多新角色,其作用范围可以大致分为服务器级角色和数据库级角色。 在这两种情况下,都有一些角色专注于用户管理,集群管理和应用程序访问。

    由于这些角色中的某些角色基本上等同于超级用户,因此确保仔细分配和监视这些角色非常重要。

    请注意,使用InfoSphere Guardium,您可以监视和审计环境或任何逻辑数据库对system.users集合的更改,因此可以确保仅颁发适当的授权。 图3显示了一个示例报告,在该报告中,您可以看到数据库用户Indrani授予Kathy和Sundari读写角色,这转换为MongoDB中system.users集合上的插入。

    图3.样本审计报告显示了被授予的角色(将文档插入到system.users中)
    对象名称是sundari和system.users,动词是insert。

    防止JavaScript注入攻击

    由于MongoDB使用BSON(二进制JSON)而不是字符串,因此传统SQL注入类型攻击对MongoDB而言不是重要的问题。 但是,仍然需要注意一些情况,包括使用以下操作,这些操作使您可以在服务器上直接运行任意JavaScript表达式:

    • $ where
    • db.eval()
    • mapReduce

    有多种方法可以降低风险(包括关闭所有服务器端脚本),但是首先您需要能够确定在何处使用这些操作。 使用InfoSphere Guardium,这些操作中JavaScript被记录并报告为对象。 这样做的意义在于,您可以将警报或策略违例设置为在访问警报或策略违例时发生。 这对于在测试环境中发现和识别这些风险用途以及在部署到生产环境之前进行必要的代码审查很有用。 图4中的示例报告(查看大图 )显示$eval被报告为JavaScript对象。 您还将看到完整的命令文本,因此可以在上下文中查看其用法。 如果您想随着时间的推移进行监视,则可以创建一个定期计划的报告,该报告将指示何时重新使用这些操作之一。

    图4.某些操作(例如db.eval)JavaScript作为对象记录在InfoSphere Guardium中
    显示了一个dbeval示例,该示例在报告中与JavaScript对象一起记录。

    在MongoDB中使用InfoSphere Guardium的好处

    对于任何对真正的数据库审计感兴趣的组织,以及可能对诸如支付卡行业(PCI)或Sarbanes-Oxley(SOX)要求之类的法规要求感兴趣的任何组织,InfoSphere Guardium都是对本机MongoDB功能的重要而有用的补充。 与其他数据库一样,MongoDB中的本机安全性和身份验证功能实际上不足以满足全球众多法规和合规性要求。 这些要求中的大多数都要求在日志记录和验证谁以及何时为数据库事务执行操作方面具有更强大的责任感。

    InfoSphere Guardium已部署在世界各地的大型和小型组织中,以解决各种数据库的数据保护和合规性问题。 该解决方案是灵活,强大和有效的。 MongoDB用户可以期望看到的好处是:

    • 如您在图5所示的示例报告中所见(参见大图 ),InfoSphere Guardium记录了非常详细和细致的信息,其中包括客户机和服务器IP,源程序,数据库用户的详细信息(如果启用了授权) ,以及完整的命令消息(当消息流经电线时)。 在下面的示例中,Kerberos被用作身份验证机制。

      请注意,消息的一部分被解析并存储为动词(有时称为命令)和对象,这意味着这些实体是可用于指定策略规则的项目,如本系列的第2部分中将看到的。 例如,您可以指定在发出查找时触发的规则,或指定任何人触摸敏感数据对象组中的对象时触发的规则。

      图5.审计报告示例
      显示在mycollection上删除,查找和插入的示例报告。显示动词和宾语。
    • 您可以审核数据库异常情况,例如身份验证失败,这可以指示暴力攻击。 本系列的第2部分将展示如何配置它。
    • 您可以选择记录影响阅读活动的文档数量,可以用来警告异常高的下载量。 本系列的第2部分将显示一个示例。
    • 您可以阻止本地用户访问,以防止管理员读取敏感数据的内容。 在本系列的第3部分中,您将看到一个示例。
    • 可以为各种情况指定实时警报,您将在本系列的第2部分中学习如何配置警报。 组织有责任尽其所能避免尴尬或破坏数据泄露。 证明合规性可以助您一臂之力,但是当确实发生违规行为时,能够在几分钟或几小时内而不是几天或几周内Swift发现并做出React,可能意味着巨大的损失和轻微的不便。 实时警报和有关阈值违反的警报可帮助您在几秒钟或几分钟内,而不是几天,几周甚至更长的时间内检测到可疑行为。

      这些警报可以使用电子邮件发送,也可以通过SNMP发送到另一个监视系统。 与IBM QRadar和HP ArcSight消息类型的内置集成还可以用于将警报条件从syslog自动转发到那些系统。

    • 审核信息必须存储一段规定的时间,有时甚至是几年。 因此,InfoSphere Guardium在设计时考虑了这些需求,并提供了安全的归档功能。
    • 最后,证明合规性可能是耗时且繁重的,因为这些通常需要一定程度的定期检查和批准。 InfoSphere Guardium不仅使您可以创建满足审计要求所需的报告,而且还具有强大的工作流功能,该功能可以集成到您的业务流程中,并将所有签署和复审保存为审计跟踪的一部分。

    解决方案的架构

    通过其非侵入式架构(请参见图6),InfoSphere Guardium可以提供对数据活动的完全可见性,而无需在MongoDB集群上进行任何配置更改。

    图6.高层架构
    mongo客户端连接到mongos,mongos连接到分片。每个服务器(mongos和分片)上均已安装了stap。临时将流量转发给收集器。从收集器中,您可以生成实时警报或报告。

    对于那些熟悉InfoSphere Guardium的人,您可以在MongoDB服务器上安装S-TAP(轻量级软件代理)。 S-TAP是位于操作系统中的轻量级代理。 当Mongo服务器收到来自客户端的数据请求时,S-TAP将复制网络数据包,并将其发送到经过加固的,防篡改的硬件或软件设备,该设备称为收集器,用于在InfoSphere Guardium存储库中进行解析,分析和登录。 。

    InfoSphere Guardium系统的真正智能在于收集器。 在这里,消息被分解为各个组成部分,并登录到收集器上的内部存储库中,并采取任何必要的措施,例如生成实时警报,记录活动或阻止特定的本地用户。 通过将大部分活动(分析和日志记录)卸载到强化的收集器上,可以将对Mongo应用程序的性能影响降到最低(在许多情况下不超过2-4%),并且您可以有效地实行职责分离。

    基于InfoSphere Guardium角色的Web控制台无需MongoDB管理员就可以对警报,报告定义,合规性工作流程和设置(例如归档计划)进行集中管理,从而实现了审计员所需职责的分离和简化合规性活动。

    从客户端到Guardium收集器的消息流的高级示例

    对于那些刚接触InfoSphere Guardium的人来说,对数据如何流经系统的基本了解可以帮助您有效地理解和使用系统的其他部分,例如策略配置,报告和警报。

    图7. MongoDB命令如何流到InfoSphere Guardium收集器
    请参见分步文字说明。示例命令是Joe发出的test.creditcard.insert语句。

    在描述流程时请参考图7:

    1. (未在图中显示。)当用户或应用程序登录到MongoDB时,新的会话开始。 InfoSphere Guardium始终记录会话的开始和结束,如果策略要求,则记录该会话中发生的活动。 (在本系列的第2部分中,您将学习如何配置安全策略以忽略受信任连接的开始和结束之间的所有操作。)
    2. 用户或应用程序输入MongoDB命令。

      注意: MongoDB客户端可能会对实际输入的内容(语法糖等)进行一些转换。 InfoSphere Guardium仅收集实际在网络上流动的内容。 在此示例中,用户Joe输入以下命令:

      清单2.本示例中显示的MongoDB命令
      test.CreditCard.insert({
          "Name" : "Sundari",
           "profile" : [
              {"CCN" : "11999002"},
              {"log" : ["new", "customer"]}
          ],
          });
    3. BSON消息流到Mongo服务器(如果是本地,则为分片或mongod的mongos),并在网络数据包中包含其他信息,例如数据库用户的名称,客户端IP,服务器IP和时间戳。
    4. 位于mongo服务器上的S-TAP拦截并复制消息。 消息通过TCP / IP流到收集器,该收集器正在端口16016上侦听。
    5. 在收集器中,分析引擎(有时称为“嗅探器”)识别出这是MongoDB消息,并相应地对其进行了解析。 在我们的示例语句中,信息被记录到以下实体中。
      • 客户/服务器实体 :Joe被记录为数据库用户
      • 命令实体 :INSERT
      • 对象实体 :信用卡
      • 字段实体 :名称
      • 字段实体 :profile.CCN
      • 字段实体 :profile.log
      这是对收集器上实际发生的事情的极大简化,但是它提供了基本的了解。

    摘要和下一步

    在我们的三部分文章系列的第一部分中,我们介绍了联合解决方案的基本基础,包括概述MongoDB和InfoSphere Guardium,以及InfoSphere Guardium如何与MongoDB一起工作以在数据保护和保护方面提供重要价值。合规性。 此外,InfoSphere Guardium提供了强大而灵活的基础架构,用于自动化审核和合规性任务,从而尽可能减轻了IT人员的负担。

    在第2部分中,我们将解决为MongoDB配置S-TAP的细节,并逐步讲解如何使用安全策略来完成一些常见用例,包括监视管理员访问,警报和反复失败的登录。


    翻译自: https://www.ibm.com/developerworks/data/library/techarticle/dm-1306mongodb/index.html

    华为桌面云解决方案概述

    展开全文
  • 华为桌面云 服务器可以虚拟多少 内容精选换一换通过华为云创建的ECS服务器默认使用华为云提供的内网DNS进行解析。内网DNS不影响ECS服务器对公网域名的访问。同时,还可以不经Internet,直接通过内网DNS访问其他云上...
  • 环景: FusionAccess 8.0.1 FusionCompute8.0.1 ...客户端打开出现,×掉后进不来桌面,一定要点确定才行。 原因分析: 验证服务端证书问题 解决方案: 在客户端设置开启忽略验证服务端证书 ...
  • 桌面云一台服务器虚拟多少 内容精选换一换对于需要使用Windows远程桌面连接方式进行访问的云服务器,需要在制作私有镜像时开启远程桌面连接功能。GPU优化型云服务器必须开启该功能。使用外部镜像文件制作私有镜像时...
  • 参考文档,可以设置组策略,将计算机的桌面,我的文档 等文件夹放置在 D盘或者其他盘windows域工作模式客户端文件夹重定向实现1.需求说明:在普通的域工作模式下用户的数据保存在本地客户端,需要查看数据时只能去...
  • 华为桌面云安装部署指南技术创新,变革未来前言⚫ 本章节将介绍桌面云的安装部署流程,结合实验手册具体的操作步骤,帮助掌握桌面云的安装实施能力。第1页目录1. 整体架构2. 安装流程第2页整体架构接入和 虚拟桌面...
  • 环景: FusionAccess 8.0.1 FusionCompute8.0.1 windows server 2019 问题描述: windows server 2019虚拟机卸载VMtools工具,重启计算机蓝屏,显示驱动有问题开机不了 原因分析: VMtools工具包含很多驱动,卸载了...
  • 环景: FusionAccess 8.0.1 FusionCompute8.0.1 下载系统镜像,安装Windows 11 专业版,具体安装步骤和win10一样这里不描述了,系统安装好了...本次没有测试发放桌面 远程桌面连上图 其他功能体验中······ ...
  • HP T530瘦客户机是2017年发布的一款瘦客户机。它采用AMD GX-215 嵌入式CPU,功耗10W。该机器的做工非常精致,整体为正方形,四个角做了...但是缺少对于华为桌面云协议的支持。 应客户需求,我们拿到了这款HP T53...
  • 环景: FusionAccess 8.0.1 FusionCompute8.0.1 问题描述: 安装一批软件后 封装Windows10系统出现sysprep无法验证您的Windows安装 原因分析: 个别软件冲突 解决方案: 新安装win10 关闭win 自动更新服务,卸载不要...
  • 华为桌面云教学 使user用户具有管理的所有权限 链接克隆模板
  • 华为桌面云(FA)交付前期准备工作

    千次阅读 2019-09-18 05:28:48
    最近有个交付华为桌面云项目,基于超融合实施桌面云,前期准备工作,需要以下软件 虚拟化软件 FusionCompute 6.5.0(虚拟化安装包,包含VRM及CNA)说明:基于KVM、底层操作系统为EulerOS(欧拉)基于CentOS二次开发 ...
  • 华为FusionCloud桌面云解决方案6.0桌面协议技术白皮书.pdf有需要可以下载看看有需要可以下载看看
  • 在这个“云山云海”的IT产品中让我们一起跟随笔者的角度来揭开华为云桌面”的神秘面纱。谈到“云桌面”毋庸置疑要谈一下虚拟化,首先我们来看一下华为虚拟化平台的发展历程:华为虚拟化平台上市五年多,虽然他的...
  • 乾颐堂安德云HCIE:华为桌面云类型和关键特性 1.华为云桌面形态 完整复制桌面链接克隆桌面全内存急速桌面高性能图形化桌面发送方式包括:1对1,1对多,多对1,多对多等多种方式 1.1 完整复制桌面 完整复制桌面云桌面...
  • 【故障类型】:虚拟机白屏/黑屏无法启动【关键词】:VNC登录白屏【适用版本】:FusionSphere V100R005C00【问题现象】:(1)桌面云场景下,虚拟机重启后可能会发生如下问题现象:a)vnc登录虚拟机为白屏;...
  • 华为FusionCloud桌面云解决方案(GPU方案),华为FusionCloud桌面云解决方案(GPU方案)
  • 华为桌面云中和Java相关的问题

    千次阅读 2016-06-17 20:28:05
    2. 华为FusionAccess和FusionCompute用vnc登入时需要Java插件,最好安装Java7的jre-7u65, 安装的Java位数需要和浏览器匹配,如果浏览器是32bit则就需要安装32bit的Java, 一般都是32bit,不要被系统是64bit的所迷惑 ...
  • 华为FusionCloud 桌面云 仿真环境 English 华为FusionCloud 桌面云 仿真环境 软件安装 提供FusionCloud桌面云软件安装访问环境。 打开 业务发放 提供FusionCloud桌面云业务发放访问环境。 打开 应用...
  • 华为FusionCloud桌面云解决方案5.2架构及部件交互原理介绍。
  • 华为桌面云

    2013-04-28 09:37:17
    华为桌面云解决方案所具有的多项特性,在实践中得到了充分验证。 第一,数据上移,确保信息安全。 部署桌面云之后,数据不再存储在各PC终端,而是集中存储在云数据中心服务器上,终端与信息分离,从根本上保证了...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 9,491
精华内容 3,796
热门标签
关键字:

华为桌面云