​关注微信公众号IT小组，获取更多干货知识~

一、FusionAccess是什么？

FusionAccess是华为推出的桌面云产品，是一种虚拟桌面应用，它主要通过在硬件上部署FusionAccess配套的软件基础上，虚拟化出相互隔离的桌面，用户通过瘦客户端等方式连接到云桌面来使用此桌面，目前华为最新的FusionAccess软件架构已经更新到8.0版本。

FusionAccess架构与HuaweiCloudStack架构最主要的区别除了在底层平台，实现技术上以外，最重要的一点是它们的体现的价值不同，我们知道无论是公有云还是私有云，其核心的价值点是将底层硬件空闲的资源利用起来，提高设备的利用率，从而达到节省其数据中心的开销。而FusionAccess的侧重点则不同，虽然FusionAccess也是利用虚拟化技术将底层的物理资源虚拟化成为资源池来提高利用率，但是FusionAccess更注重的是数据的安全性和私密性，所以FusionAccess通常被金融等行业采用。

二、FusionAccess的架构

FusionAccess总逻辑架构如下：

FusionAccess软件功能：

1.TC/SC（Thin Client、Software Client）：TC是硬件的接入终端盒子，SC则是软件浏览器的接入。

2.WI（Web Interface）：WI为最终用户提供Web登录界面，与liteAS、HDC进行数据交互等。

3.UNS（Unified Name Service）：为桌面云提供统一的域名，减少用户在不同的域名之间转换。

4.vAG（Virtual Access Gateway）：虚拟接入网关，可选软件，vAG主要负责用户登入桌面时流量的转发和当用户桌面出现故障时的维护。

5.vLB（Virtual Loadbalance）：虚拟负载均衡器，vLB负责对WI进行负载，防止用户大量的访问请求都集中到一个WI上。将多个WI地址绑定到一个域名上，当用户请求访问WI时，vLB将多个请求依次解析到WI上，也就意味着vLB是轮询负载模式。

6.HDC（Huawei Desktop Controller）：华为桌面控制器，HDC是桌面云的核心组件，几乎所有的核心信息都是由HDC来完成。例如与DB、HDA的通信等。

7.ITA（IT Adaptor）：IT适配器，桌面云的创建、管理等操作指令都由ITA来下发。

8.GaussDB：华为自研的一款数据库软件，在桌面云架构中负责记录桌面的信息，例如注册信息、用户所属虚拟机列表、用户桌面配置策略信息等。

9.HDA（Huawei Desktop Agent）：华为桌面代理，这款软件主要是安装在用户桌面上，HDA会和HDC进行通信（心跳、注册信息等），一些HDC的配置信息由HDC下发到HDA，由HDA完成。

10.LiteAS：统一鉴权服务器，用户登录桌面云时的用户名和密码的验证都是由LiteAS来完成。本质上可以理解为是AD做的验证与鉴权。

11.Lincese：Lincese服务器，主要负责用户数量、FusionAccess软件规模的限制等。

12.TCM：TCM是终端管理，当有大量的终端TC时，为了方便管理TC，例如统一升级等，所设置的一款终端管理设备。

三、FusionAccess的流量模型

FusionAccess云桌面登录流量模型：

1.用户发起登录请求，数据流发送到vLB组件，vLB负载到WI组件上，如果环境中有多个WI，则vLB采用轮询依次方式负载。WI接收到用户登录请求后，会返回一个登录界面，此登录界面需要用户输入用户名和密码。

2.用户输入用户名与密码后，WI根据用户名和密码到AD上进行验证与鉴权，通过后返回登录成功信息给WI，由WI转发到用户终端。

3.用户终端侧主动发起获取用户所属桌面列表请求至WI组件，WI将此请求转发到HDC，HDC与AD进行通信，获取用户所属用户组信息（获取用户所属用户组信息是防止有些用户的桌面下发是以用户组为基础），并且HDC与DB进行通信，获取用户桌面列表。最终将此信息统一发送到WI，由WI转发到用户终端侧。

4.用户根据返回的桌面列表，选择一台桌面进行登录请求，此登录请求发送到WI，由WI转发到HDC，HDC对用户选定的桌面进行预连接（预连接的作用主要是防止此桌面未开机，未注册，如果桌面未开机，HDC则通过ITA组件对此桌面进行开机操作等。），HDC和Lincese组件进行通信，用于扣除Lincese。HDC还会和DB进行通信，用于将桌面状态更新到DB中。

5.HDC将用户所登录的桌面信息（IP地址，登录用户名密码等）加密成address token和Login token，返回到WI，由WI转发到用户终端侧。

6.用户终端侧携带address token信息，发送到WI，由WI转发到HDC，HDC根据address token信息，返回其对应的桌面虚拟机IP地址，WI收到，由WI返回到vAG。

7.vAG根据IP地址信息，使用HDP协议（Huawei Desktop Protocol）携带Login token数据对目标桌面直接发起登录请求，目标桌面虚拟机收到登录请求后根据所携带的Login token信息到AD进行验证与鉴权，成功后便返回登录成功信息至用户终端侧，至此用户便可以使用HDP协议来操作此桌面。

FusionAccess的下发流程：

华为桌面云下发分为了“快速发放”和“完整复制”，上图是最常用完整复制的下发流程。

1.用户登录到ITA组件上下发桌面任务，随后ITA组件到FC平台上扫描模板，并在DB中创建下发任务，然后ITA自身创建查询任务并通知FC根据模板规格创建VM。

2.ITA通过WinRM协议获取到VM的IP地址，根据命名规则对VM重命名。

3.ITA通过WinRM协议登录到VM中，利用vdesktop账户对VM进行加域。

4.ITA通过WinRM协议删除vdesktopuser账户，添加Tomcat账户。

5.ITA将VM加入VM组的信息写入到DB中，VM加入到一个桌面组，选择一个HDC，并关联一个用户。

6.然后ITA通过WinRM协议到VM上将用户加入到权限组，格式化D盘，写入注册表信息（为了后面的注册），根据命名规则对虚拟机重命名。

7.ITA通过FC对VM进行重启，VM进行重启，然后通过WinRM协议判断VM加域写注册表是否成功。

8.ITA下发任务到FC上更改VM的显示名称，然后通过WinRM协议删除Tomcat账户，如果是多用户则保存此账户信息。最终，ITA将虚拟机名等信息更新到DB中。

FusionAccess桌面注册流程：

1.桌面云VM会根据自己ListofHDCs注册表信息，获取到此表中第一个HDC的域名，根据此域名到DNS服务器中进行解析后得HDC的IP地址。

2.桌面云VM到AD域控里面获取自己所属域中的自己SID信息。

3.桌面云VM根据之前解析得到的HDC地址，携带自己的SID到HDC上进行注册。

4.HDC根据桌面云VM的SID到AD域控上进行验证与鉴权，验证成功后便返回给桌面云VM注册成功信息，此后桌面云VM每秒一次上报注册信息。（HDC还会将此云桌面VM注册状态同步到DB中）

四、FusionAccess下发云桌面的类型

在制作桌面云模板时会选择封装的类型，有两种封装类型：

1.“完整复制”

2.“链接克隆/快速发放”

“完整复制”：完整复制类型是指此类型的云桌面下发时会根据模板完完整整的复制出来系统盘，完整复制下发时时间较慢，但是性能较好。

“链接克隆”：链接克隆类型是指此类型的云桌面下发时会首先创建一个“母卷”，“母卷”里存储的是其他VM的共有数据，“母卷”对于桌面云VM是只读类型的，共有数据例如OS文件等。然后系统会创建一个“差分卷”用来存储桌面云VM产生的个性化数据，此差分卷和母卷会共同组成桌面云VM的磁盘。一个母卷最多可以和128个差分卷组成桌面云VM的磁盘，一旦某个“母卷”所关联的“差分卷”数量超过了128个，考虑到磁盘性能问题，系统便会自动新建“母卷”用来关联新的“差分卷”。

“完整复制与链接克隆的区别”：

1.模板制作上：完整复制在制作模板时不需要加域，链接克隆需要加域。完整复制还需要封装，链接克隆不需要封装。

2.下发流程上：完整复制较慢，链接克隆较快。完整复制需要解封装，链接克隆不需要解封装。完整复制加入桌面组前通过本地账户vdesktop-user使用WinRM协议进行登陆，链接克隆通过Tomacat用户。

3.存储成本上：完整复制占用较大的存储空间，链接克隆较小。

4.关机还原上：完整复制不支持关机还原，链接克隆支持关机还原。

5.应用场景上：完整复制适合保存个性化数据的场景下，链接克隆适合数据为同质化场景。

五、FusionAccess中桌面分配与用户的关系

用户在下发某个云桌面时必须关联一个桌面组，桌面组的类型一共有五种，要想使用桌面云必须要有一个身份，这个身份可以是用户或用户组。

1.“专有”：当桌面组类型为“专有”时，用于发放“完整复制”类型的桌面。“专有”桌面组分为单用户时，一台计算机只能分配给一个用户，是该用户的专有计算机，用户和计算机之间有固定的分配绑定关系。分配方式为静态多用户时，一台计算机可以分配给多个用户。

2.“动态池”：当桌面组类型为“动态池”时，用于发放所有类型的桌面。分配方式为动态多用户。用户和计算机之间无固定的分配绑定关系，一个用户在同一个桌面组内只能拥有一台计算机，计算机分配给用户后，用户每次登录可能为不同的计算机。

3.“静态池”：当桌面组类型为“静态池”时，用于发放所有类型的桌面。分配方式为动态多用户。初始用户和计算机之间无固定的分配绑定关系，一个用户在同一个桌面组内只能拥有一台计算机，计算机分配给用户后，一旦用户登录计算机，即产生固定绑定关系，用户每次都会登录该计算机。

六、FusionAccess常见故障

桌面云常见故障还是很多的，在排除故障的时候最基础的是要知道故障产生组件的底层流量模型。以“桌面云注册失败”为例，我们知道桌面云的注册流程，根据此注册流程一步一步排查就好。桌面云注册第一步是桌面云VM根据自身的ListofHDCs表项中的第一个HDC域名，到DNS中解析出其IP地址。我们可以首先去排查此表项是否被误删除，或者DNS是否可达，DNS服务器是否可用等。（如果是DNS故障会导致大面积桌面云VM登录异常）桌面云注册第二步是桌面云VM到AD域控中获取SID，此SID在域控中全局唯一的标识。我们可以在排除是否因为AD域控故障等。桌面云注册第三步是桌面云从AD上获取SID后，便根据HDC的IP地址，进行注册信息的发送，以此类推第三步可以去排除是否HDC异常等。

根据故障影响范围可以分为：

1.大规模故障：大规模故障，通常排错点在公共组件或公共服务器（DNS、AD）故障，如：DNS故障，HDC故障，DB故障，Lincese故障，AD故障等，此类故障通常会导致桌面云VM大规模报错，可登陆ITA上查看组件和故障告警日志。

2.小规模故障：小规模故障是桌面云环境中只有几台桌面云故障，一般故障点如下：一、用户无法访问WI，排错思路如下：

1.域名解析问题，可排除是否因DNS故障导致无法访问WI。

2.连接问题，TC/SC无法和vLB通信，或vLB无法和WI通信。

3.浏览器版本不兼容问题。

4.SC/TC与WI建立SSL时证书错误等。

3.其他故障：

用户可以通过WI登陆上去但是没有获取到虚拟机列表，排错思路如下：

1.桌面通过用户组下发的时候，用户所属组不是Domainuser

2.DB之间的数据不一致导致HDC获取不到用户所属虚拟机列表信息。

3.HDC故障或异常。

4.DB故障或异常。

用户可以选择某台桌面，但是无法登陆，排错思路如下：

1.预连接失败：排错点是虚拟机可能未开机、License不足、虚拟机未注册、HDC和HDA通信异常等。

2.HDP协议连接故障（HDP是华为自研的一款桌面控制协议，与微软的RDP不同的是，RDP直接连接的是主机内核，而HDP是连接到WI，由WI对桌面控制。）

3.CloudClient、vAG、HDC、HDA的软件版本不一致，导致组件间数据交互异常。

4.CloudClient与vAG建立SSL连接失败。