远程办公 - AD管控下的弹性云桌面最佳实践

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 本最佳实践适用于员工通过弹性云桌面客户端连接到弹性云桌面进行日常操作。企业用户账户、共享文件服务、及IDC资源,通过微软ActiveDirectory(以下简称AD)集中管控。云桌面的创建和分配通过云桌面管理控制台完成。主要解决企业基础办公环境在弹性云桌面上的部署问题。

分享人: 天裵          解决方案架构师

             旗云          产品经理

视频地址:https://yqh.aliyun.com/live/detail/21785

 

正文:

最佳实践目前已覆盖23种常用场景,目前有170余篇最佳实践,这其中涉及100款以上阿里云产品的最佳使用场景。目前,最佳实践已成功帮助大量客户实现自助上云。本篇实践将从3个部分为大家详细介绍AD管控下的弹性云桌面最佳实践,希望可以让大家对其有更深入的了解,并可以将其应用到项目中,达到降本提效的目的。

本文主要内容分为以下三个方面:

l 最佳实践原理讲解

l 弹性云桌面产品讲解

l 最佳实践系统搭建


一、 最佳实践原理讲解


1)应用场景


近年来,网络基础设施日益完善,大数据、云计算等技术带动了SaaS行业的成熟,加上经济全球化以及疫情、恶劣天气等突发事件的影响,使得远程桌面办公越来越受到关注。远程办公已不仅仅解决“远程“这个空间问题,它的价值主要体现在以下几个场景:


l 数据安全


对医药或设计类的公司,数据是核心资产,任何数据的外泄都将给公司带来重大的损失。云桌面数据不落地和显示协议加密的特性很好地应对这个问题。


l 弹性保障


短期外包、实习生、考试认证的企业和机构通常在短时间需要大量桌面资源,使用完毕后释放以节省成本。云桌面可以按需快速创建和释放资源,灵活应对突发和短期需求。


l 多地协同


对于大型企业在各地的办事处、大型零售连锁商超,需要全天候、跨地域的系统。云桌面除了解决协同问题外,还通过对桌面的集中管控,轻松管理和维护分散在各地的IT资产。

image.png


2)要点说明


如何使用阿里云的产品来部署一个满足以上场景的基础办公环境呢?下面我们来介绍方案涉及的产品。和这些产品在方案中的作用。

阿里云弹性桌面支持接入企业AD,对接企业已有的管理体系。通过将AD在云桌面中注册目录服务,方便进行大规模的桌面部署和用户管理。阿里云文件存储NAS是一个可共享访问、弹性扩展、高可靠、高性能的分布式文件系统。在这个实践中,我们通过NAS来提供共享文件服务。

ACL权限控制表是一项重要的企业级特性。阿里云用户可以将自建的AD服务,与NAS SMB类型的文件系统连通。通过AD域身份挂载NAS SMB文件系统,从而可以对文件、文件夹设置ACL权限。

阿里云弹性桌面自身已有的安全策略可以控制USB重定向、屏幕水印、本地磁盘映射和剪切板这些功能的开关来控制数据外流,支持做到数据只进不出。CEN云企网提供一种能够快速构建混合云和分布式业务系统的全球网络。本实践中用来连通不同地域的阿里云网络VPN网关和IPSec VPN用来打通云桌面和企业线下的IDC网络,再加上桌面的安全网关,共同保障数据传输的安全。

image.png


3)系统架构图


本最佳实践针对三种常见资源部署场景讲解了如何基于阿里云产品在弹性桌面上快速搭建企业办公基础环境。架构图中涵盖了全部三个场景。场景的模拟环境,分布在上海、北京和杭州的阿里云可用区。这三个场景相互独立,互不影响,所以三个场景都使用了上海的周边环境。通过各自的AD对云桌面和文件服务进行管控,我们实际操作中可以根据业务需要选择具体场景创建所需资源。

中间部分对应第一个场景。这是一个初创公司,它将AD、文件服务、云桌面都部署在阿里云上海可用区中。

左侧部分对应场景2的模拟环境,这个企业在阿里云北京可用区上已经部署了AD和文件服务。为减小桌面网络延迟,在阿里云上海可用区为上海分公司部署云桌面,上海和北京的网络通过CEN(云企业网)打通。

右侧部分对应场景3的模拟环境,这是一个大型企业,它的AD和文件服务部署在杭州自建的IDC中,需要与阿里云上海区域中的云桌面进行集成。杭州和上海的网络通过IP Sec VPN连通。企业IDC中通常在防火墙或路由器上开启P Sec VPN功能。image.png


4)核心步骤


要完成场景1的最佳实践,我们需要以下五个步骤:

第一步,搭建模拟环境。

这一步是通过AD部署弹性云桌面的准备工作,我们将部署简单的域控制器(AD)和共享文件服务。注意这里部署的AD和文件服务仅做演示使用,实际业务要根据需求仔细规划。

第二步,为AD注册弹性封面目录。

第三步,为用户创建桌面。

第四步,验证用户登陆与桌面。

第五步,验证云面策略。

image.png

这里重点解释一下如何为APP注册云桌面,这也是整个实践最核心的部分。

阿里云桌面内部维护了一个AD域控,我们称他为Managed AD。用户的AD,我们称之为User AD。阿里云桌面的AD目录内部对应一台ECS实例,我们称它为AD Connector。 Connector有两个网卡,ETH0、ETH1。其中ETH0网卡和Managed AD在同一个VPC中;ETH1和User AD在一个VPC中,注册AD目录的目的就是创建D Connector来为User AD 和 Managed AD建立信任关系。AD Connector在 Managed AD面前伪装成User AD,在User AD面前伪装成Managed AD,并为双方转发请求。为了达到伪装的目的,需要向双方提供DNS服务。其中有两个关键步骤:1、通过开通DNS区域传送,允许AD Connector获取User AD和Managed AD的DNS条目;2、配置条件转发器,将Managed AD的域名ecd.acs解析转发到AD Connector的ETH1网卡上,并将User AD的域名解析转发到AD Connector的ETH0网卡上。

基于以上原理,需要通过以下四个步骤来创建AD类型的云桌面目录:

第一步,在AD所在的网络中开放与阿里云桌面通信所需的端口。

第二部,配置DNS区域传送。

第三步,创建AD类型的云桌面目录。

第四步,配置DNS条件转发器。

image.png


5)方案优势


最后,我们来看一弹性讯云桌面方案的优势:


l 易部署

弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。CEN和VPN网关服务开通即用,配置实时生效,快速完成部署。


l 低成本

弹性云桌面无需前期传统硬件投资,支持包年包月或按量付费。


l 安全性

云桌面自带的安全策略,保证数据不落地。CEN和VPN保证数据传输中的可靠加密。


l 集中管控

通过Windows AD对云桌面用户和共享文件服务进行统一权限管控,可实现AD用户自动图上和文件级别的权限管控。

 

image.png

 


二、 弹性云桌面-核心产品讲解


1)产品介绍


阿里云的弹性桌面是一款易用的、安全的、高效的云上的桌面服务:

l 可以帮助用户快速的构建、高效的管理桌面,提供一种安全的、灵活的云上办公解决方案。

l 弹性云桌面拥有丰富的CPU和GPU的实例规格,可以满足多种不同的工作需要。

l 适用于远程办公、多分支机构协作、数据安全保护、设计渲染等多种场景。

从易用性上看,弹性云桌面不需要前期的过度投资和基础设施的建设,可以一键部署环境,即买即买即用按需计费。在使用上可以非常便捷、灵活地进行接入,不受时间地点的限制。可以通过多种客户端来访问自己的工作桌面,可以很容易的实现远程办公、BYOD的一些需求。

针对安全性,我们主要强调两点,接入的安全和数据的安全。弹性云桌面提供了一个安全接入的网关来确保接入的安全。另外传输协议也是加密的。针对于数据的安全,弹性云桌面的用户数据保留在云端,不在客户端有任何的留存,数据是不落地的,这样可以有效地防止数据的泄露。另外依赖于阿里云强大的分布式技术,弹性云桌面可以提供的数据有效性可以达到9个9。

针对高效这个优势,弹性云桌面通过提供集中管理和一体化控制台的能力,可以帮助用户轻松地维护海量的桌面,提高用户的桌面维护的效率。

image.png


2)架构简图


下图是弹性云桌面的架构简图。

image.png

我们可以看到用户的桌面位于一个隔离的专有网络当中,我们称之为管理VPC。另外在用户自己的VP当中,每一个桌面在其中对应的都有一块弹性的网卡,桌面的使用者通过客户端经由安全网关来连接和访问自己的桌面。如果用户在自己的桌面中想要访问外部网络,需要通过弹性网卡(图中红色画圈部分)来进行外部网络的访问。所以,如果用户对自己的网络的访问有一定的规划等,可以通过设置自己的VPC或者是弹性网卡来实现这样的一个目的。


3)功能特性


下面我们介绍弹性云桌面的整体功能特性。


l 高效的桌面管理能力

我们可以做到分钟级别的桌面交付,弹性的扩容缩容。通过自定义模板,然后可以实现批量的桌面管理。


l 购买灵活

弹性云桌面提供了灵活的购买方式,针对于设计和渲染建模等场景也提供了GPU型的桌面。


l 企业级管理能力这

弹性云桌面通过提供了AD Connector,可以支持企业AD来进行桌面的管理,同时也提供了SSO、MFA这样的能力。


l 安全

利用数据不落地特点,可以有效的防止信息的泄露。同时提供了像水印、剪贴板等多种的安全策略。另外,对于客户端的登录日志的也提供了审计的能力。针对数据备份,利用系统的自动拍照和客户的自定义快照可以有效地进行数据备份和恢复。弹性云桌面也提供了云杀毒、安全补丁等一系列的安全能力。


l 便捷接入

弹性云桌面提可以提供便捷接入能力,可以灵活地支持远程办公。


l 外设支持

l 弹性云桌面利用USB的重定向技术,可以支持常见的外设,并且可以对外设进行一些安全策略上的管控,也支持像USB打印机、网络打印机等这样的一些打印设备。


l 云上协同

比如我们可以和共享存储、网盘等来实现一些文件的协同,可以和网络防火墙等这样的一些产品来实现网络访问的控制,可以整体上来构成一个更安全,更高效的云上办公解决方案。

image.png

 

三、 最佳实践系统搭建


下面简单演示下场景1:新建云上 AD 并在同一 VPC 中部署云桌面。

1)部署 AD 服务器


登录 ADshanghai 服务器

步骤1 通过 https://ecs.console.aliyun.com/?#/server/region/cn-shanghai 登录上海区域的ECS 实例控制台。

步骤2 对 ECS 实例 ADshanghai 开放 RDP 3389 端口,允许远程桌面连接。

定位 ECS 实例 ADshanghai,编辑安全组配置:

image.png

点击 配置规则:

image.png

手动添加入方向规则:

image.pngimage.png

步骤3 通过 https://ecs.console.aliyun.com/?#/server/region/cn-shanghai 回到上海区域的ECS 实例控制台。记录 ADshanghai 的公网 IP:

image.png

步骤4 打开远程桌面连接,输入 AD 服务器公网 IP 地址,以 administrator 身份登录。

image.png


2)安装 DNS 服务和 Active Directory 域服务


1、为 AD 服务器设置静态私网 IP


步骤1 打开 cmd,执行 ipconfig /all 展示当前配置,并按此配置网络。

image.png

步骤2 打开控制面板中的查看网络连接,打开网络属性。

image.pngimage.png

单击确定,使配置生效。由于网络配置变更,远程桌面会短时断开连接,即刻恢复。


2、安装 DNS 服务和 Active Directory 域服务。


步骤1 在开始菜单中打开服务器管理器。

image.png

步骤2 添加角色和功能。

image.png

image.png

image.pngimage.png

步骤2 添加角色和功能。

image.png

image.png

image.pngimage.pngimage.png

3、配置域控制器


步骤1 单击“将此服务器提升为域控制器”。

image.png

步骤2 选择“添加新林”,用“cdbptest01.com”作为测试用域名。

注意:已在弹性云桌面中注册过的域名,不可再次进行注册。所以除非将目录从云桌面中删除,否则本例中所有测试域名不可再次使用。

image.png

步骤3 输入服务还原模式密码。

image.png

image.png

image.png

image.pngimage.pngimage.png

安装结束后服务器会自动重启。


3)创建域用户


本章节在 AD 中创建域用户:用户 1(user1@cdbptest01.com)和用户 2

(user2@cdbptest01.com)。在后续章节中会为这两个用户开启云桌面服务。

步骤1 AD 服务器重启完成,通过远程桌面重新登录。

步骤2 打开管理工具“Active Directory 用户和计算机”。

image.png

步骤3 创建用户 1 和用户 2。

image.pngimage.png

关于完整的搭建演示过程,大家可以用过https://bp.aliyun.com/detail/183这个链接来访问本篇最佳实践文档内容,里面包含最佳实践场景和完整的搭建过程。

 

相关文章
|
7月前
|
运维 安全 数据安全/隐私保护
弹性云桌面的应用
弹性云桌面的应用
141 5
|
7月前
|
运维 安全 数据安全/隐私保护
弹性云桌面
弹性云桌面
172 4
|
运维
通过计算巢部署无影云桌面最佳实践
计算巢简介计算巢服务是阿里云开放给企业应用服务商与其客户的服务管理PaaS平台。服务商在计算巢创建服务(可理解为云资源、软件编排后的集合)并发布上线后,用户便可通过此服务创建服务实例(基于计算巢服务创建的服务实体)以获取具体服务内容,即商家创建服务,用户通过商家发布的服务创建服务实例。目前,计算巢已集成了无影的能力,包括创建无影云桌面、用户、无影模板、工作区等内容,计算巢通过Ros(资源编排)可一
774 0
通过计算巢部署无影云桌面最佳实践
|
存储 弹性计算 运维
阿里云弹性云桌面|学习笔记
快速学习阿里云弹性云桌面
540 0
阿里云弹性云桌面|学习笔记
|
Web App开发 Ubuntu Linux
远程办公就是那么简单-记无影云桌面初体验
笔者体验过很多的云桌面,例如华为云桌面,天翼云桌面,最近听说无影云桌面也有免费体验的账号了,那么我们来评测一下,究竟如何
2406 1
远程办公就是那么简单-记无影云桌面初体验
|
存储 运维 监控
云桌面平台远程办公有哪些优势?
云桌面是指通过将分散的终端软资源(包括操作系统、应用软件、用户数据等等)集中在后端的服务器进行管理,最终实现对终端 PC 的统一管理及交付,实现了管理数千台 PC 桌面等同于管理一台 PC 桌面。
323 0
云桌面平台远程办公有哪些优势?
|
弹性计算 安全 文件存储
远程办公 - AD管控下的弹性云桌面最佳实践
本最佳实践适用于员工通过弹性云桌面客户端连接到弹性云桌面进行日常操作。
远程办公 - AD管控下的弹性云桌面最佳实践
|
存储 弹性计算 运维
阿里云无影云电脑是什么?无影云桌面和传统电脑有什么区别?
阿里云无影云电脑是什么?无影云桌面和传统电脑有什么区别?
483 3
阿里云无影云电脑是什么?无影云桌面和传统电脑有什么区别?
|
弹性计算 运维 安全
阿里云无影云电脑详细介绍(原无影云桌面)
阿里云无影云电脑详细介绍(原无影云桌面),什么是阿里云无影云电脑?无影云电脑(原云桌面)是一种快速构建、高效管理桌面办公环境,无影云电脑可用于远程办公、多分支机构、安全OA、短期使用、专业制图等使用场景,阿里云百科分享无影云桌面的详细介绍、租用价格、云电脑的优势、使用场景、网络架构、无影云电脑与云服务器的区别以及关于无影云电脑的常见问题解答FAQ
644 0
|
存储 弹性计算 移动开发
阿里无影云桌面连接云桌面方法
阿里无影云桌面连接云桌面方法,阿里云无影云桌面即无影云电脑,云电脑如何使用?云电脑购买后没有用户名和密码,先创建用户设置密码,才可以登录连接到云电脑。云电脑想要访问公网还需要开通互联网访问功能。阿里云百科来详细说下阿里云无影云电脑从购买、创建用户名密码和访问互联网全过程
288 0
下一篇
DataWorks