aTrust项目的相关操作与分享

见贤思齐焉，见不贤而内自省也。

aTrust项目的相关操作与分享（部分）

1.1.软件部署

EDR、aTrust虚拟化部署都一样的（部署在VM vSphere Client平台）

VM vSphere Client平台导入镜像（部署OVF模板）；
步骤如下：

选择本地文件（部署的OVA镜像）

即将完成

完成部署OVF模板

已导入虚拟机

1.2.在虚拟化平台上

在虚拟化平台上，打开aTrust虚拟机的控制台，登录虚拟机设备后台账号密码：
quickstart/sangforquickstart
使用ifconfig命令配置临时接口IP地址：ifconfig eth0 10.0.XX.XX/24
使用route命令添加eth0的直连路由（必做）：route add -net 10.0.XX.0/24 eth0
添加默认路由指向网关：route add default gw 10.0.XX.XX

登录设备账号密码：quickstart/sangforquickstart 或者quickstart/SangforSDP@1220。

账号/密码：superadmin/qweQWE123!@#

如果修改过密码之后，控制台的账号/密码：quickstart/qweQWE123!@#@sdp

quicksftp账号：使用该账号时默认账号密码（quicksftp/SangforSDP@1220），若admin账号有更改，则quicksftp账号的后台密码会联动更改为：qweQWE123!@#@sdp

1.3.基础调试

proxy

Proxy–网络接口

SDPC-代理网关管理

SDPC-网络接口

SDPC–路由

用户管理

应用列表

发布隧道资源（为交换机的管理地址）

但连不上

资源是交换机的22端口，通过xshell去连接不上
在代理网关设备去测试交换机的地址和端口都是通的
在代理网关设备抓交换机地址和22端口的包，三次握手成功，然后就回了结束指令

经排查，原来是交换机上做了策略，把这个网段给拦截了；

去掉这个策略就可以了。

测试授权

1.4.端口映射

代理网关管理–编辑

代理网关：只涉及到代理网关的，不涉及到控制中心的事。

控制中心：只涉及到控制中心的，不涉及到代理网关的事。
客户端接入设置（只涉及控制中心的映射，不涉及代理网关的）

总结：
代理网关的外网和内网的映射端口可以不一致；
控制中心的外网和内网的映射端口必须要一致。（我们内网可以配合客户修改端口）

出口AF的映射

1.5.原SSL VP#设备策略及功能迁移

SSL VP#上的配置目前可以将设备上的用户、用户组、资源、资源组、角色及这五者之间的关联关系通过SSL VP#的配置导入aTrust中。

新增用户目录名称：INPUT

已建好

在SSL设备上下载好配置备份文件，把文件上传到aTrust后台；

已上传到aTrust设备后台。

在aTrust的【系统运维】-【Webconsole】输入命令：

vp#_import add -e INPUT vp#.bcf

从上图可见，已导入成功。

1.6.Atrust与vdi联动

aTrust版本要求为2.1.17，桌面云版本要求为5.5.1，字段需包含update-vdi 2022-02-14；
aTrust与VDC之间网络能够互相通信，需要放通以下端口：
分离式为例：

源设备	目标设备	目的端口	作用
aTrust SDPC	VDC	443	443端口为VDC接入地址
aTrust Proxy	VDC	443	用来用户接入VDC使用
aTrust Proxy	VMP	5500-5699	终端接入端口，关闭后终端无法接入
aTrust Proxy	VMP	8888	存在3D虚拟机需要打开，否则3D虚拟机功能会异常
VDC	aTrust SDPC	443	VDC会访问零信任

1.6.1.设备联动配置

在零信任控制中心，点击【系统管理】-【特性中心】处开启一体化终端和桌面云应用；

在【安全中心】-【深信服联动设备】处点击联动码设置，填写aTrust接入IP和aTrust本设备名称，然后会出现联动码

在VDC控制台【系统设置】-【接入选项】-【第三方设备】-【深信服零信任设备】处点击【联动码设置】，生成联动码并复制。生成后点击复制联动码填写到aTrust控制中心里；

在【安全中心】-【深信服联动设备】下点击新增联动设备，输入刚刚的联动码并读取联动信息，此处读取到的设备名称为对端填写的名字，在上一步中填写联动码设置后，此时会自动补齐本机联动IP（该IP为零信任控制中心的接入IP）

新增完成后，点击连通性测试，检查网络连通性；出现设备连接成功，表示已连接完成

在【业务管理】-【应用管理】-【应用列表】点击新增，访问模式选择桌面云（此处需要在步骤第一步的特性中心开启后才可以选择）
服务器地址填写VDC的443端口、VMP的5500~5699端口，VDC地址填写https://vdcip，关联设备选择刚刚增加的VDC设备，并点击保存。

点击进入刚刚创建的VDI应用，点击单点登录，获取APP id以及APP Serect两个参数，Serect参数需要点击显示密钥并输入控制台密码才允许看见。

登录VDC控制台界面，在【VDI设置】-【认证设置】-【单点登录认证】处点击深信服零信任认证设置，填写从零信任控制中心处获取到的APP ID和APP Serect，并点击测试连接验证连接是否正常。

1.6.2.aTrust和VDC使用同名用户

在aTrust控制中心和VDC上需要创建同名用户，只需要用户名一致即可，密码可以不一致，再把VDI的资源分配给该账号。

1.6.3.VDC创建用户

登录VDC控制台，点击[VDI设置/用户管理]，点击<新建>，选择用户组，弹出[新增用户组]编辑框。

[新增用户组]编辑框如下图所示，根据需求完成相应信息填写即可。

1.6.4.创建桌面资源

登录VDC控制台，在[VDI设置/资源管理]的页签下，点击<新建>按钮，选择[独享桌面]并点击，跳转独享桌面资源的编辑界面。

配置基本属性。如独享桌面的名称、虚拟机的基础配置、个人磁盘的配置等。

点击<新建>按钮，选择应的资源配置及需要派生的虚拟机数量。

保存并继续添加。

1.6.5.VDC新建角色

新建角色，在[VDI设置/角色授权/新建角色]。

填写角色名称和描述，点击<选择授权用户>，即将角色和用户相关联。

选中用户进行相关联

编辑授权资源列表，即将桌面资源和角色相关联。选择刚创建的桌面资源，点击<确定>。

保存即可，至此已将桌面资源和用户绑定。

1.7.aTrust与桌面云VDC联动效果

下载并安装aTrust客户端之后，输入URL—>前往登录；

在安装完aTrust客户端后，会继续自动安装VDI客户端。

安装完成后，需要重启电脑，重启完成后，登录aTrust后会在aTrust应用中心自动拉起VDI客户端并进入虚拟机开机界面，此时只需等待该虚拟机开机完成即可。

启动中

1.8.工作空间窗口化模式测试方案

1.8.1.终端系统支持

支持：windows、windows10系统；
暂时不支持：windows11系统。

1.8.2.沙箱用户和非沙箱用户共存

沙箱用户

非沙箱用户

1.8.3.程序快捷启动

与在windows系统设置的快捷键一样

1.8.4.文件隔离

文件隔离，默认就是隔离的；

1.8.5.文件导出

个人空间工作空间

1.8.6.文件导入

鼠标右键，选“从个人空间导入至此目录”

1.8.7.剪切板隔离

可以设置字符

效果

1.8.8.外设隔离及管控

工作空间没显示U盘

1.8.9.沙箱窗口水印

水平（用户名+时间）

1.8.10.沙箱无痕模式

开启无痕模式之后，每次退出工作空间都会清除新增数据。

1.8.11.程序运行名单

1.8.12.沙箱内程序安装

1.8.13.网络访问控制

此功能用于控制空间网络访问权限：
默认工作空间只能通过零信任网关访问用户关联隧道应用的地址，个人空间只能通过本地网络访问除用户关联的隧道应用以外的地址。

在工作空间里能访问隧道资源；

完成

知识拓展：
关于HCI扩容的授权，原来的授权使用啥，新增的节点授权就使用啥（比如是key，原来节点授权使用的是key，那么新增节点的授权就使用key）；
关于迁移保持大版本一致，跨集群的话最好是低版本往高版本迁移。

好了这期就到这里了，如果你喜欢这篇文章的话，请点赞评论分享收藏，如果你还能点击关注，那真的是对我最大的鼓励。谢谢大家，下期见！