分享人：天裵解决方案架构师

旗云产品经理

视频地址：https://yqh.aliyun.com/live/detail/21785

正文：

最佳实践目前已覆盖23种常用场景，目前有170余篇最佳实践，这其中涉及100款以上阿里云产品的最佳使用场景。目前，最佳实践已成功帮助大量客户实现自助上云。本篇实践将从3个部分为大家详细介绍AD管控下的弹性云桌面最佳实践，希望可以让大家对其有更深入的了解，并可以将其应用到项目中，达到降本提效的目的。

本文主要内容分为以下三个方面：

l 最佳实践原理讲解

l 弹性云桌面产品讲解

l 最佳实践系统搭建

一、最佳实践原理讲解

1）应用场景

近年来，网络基础设施日益完善，大数据、云计算等技术带动了SaaS行业的成熟，加上经济全球化以及疫情、恶劣天气等突发事件的影响，使得远程桌面办公越来越受到关注。远程办公已不仅仅解决“远程“这个空间问题，它的价值主要体现在以下几个场景：

l 数据安全

对医药或设计类的公司，数据是核心资产，任何数据的外泄都将给公司带来重大的损失。云桌面数据不落地和显示协议加密的特性很好地应对这个问题。

l 弹性保障

短期外包、实习生、考试认证的企业和机构通常在短时间需要大量桌面资源，使用完毕后释放以节省成本。云桌面可以按需快速创建和释放资源，灵活应对突发和短期需求。

l 多地协同

对于大型企业在各地的办事处、大型零售连锁商超，需要全天候、跨地域的系统。云桌面除了解决协同问题外，还通过对桌面的集中管控，轻松管理和维护分散在各地的IT资产。

2）要点说明

如何使用阿里云的产品来部署一个满足以上场景的基础办公环境呢？下面我们来介绍方案涉及的产品。和这些产品在方案中的作用。

阿里云弹性桌面支持接入企业AD，对接企业已有的管理体系。通过将AD在云桌面中注册目录服务，方便进行大规模的桌面部署和用户管理。阿里云文件存储NAS是一个可共享访问、弹性扩展、高可靠、高性能的分布式文件系统。在这个实践中，我们通过NAS来提供共享文件服务。

ACL权限控制表是一项重要的企业级特性。阿里云用户可以将自建的AD服务，与NAS SMB类型的文件系统连通。通过AD域身份挂载NAS SMB文件系统，从而可以对文件、文件夹设置ACL权限。

阿里云弹性桌面自身已有的安全策略可以控制USB重定向、屏幕水印、本地磁盘映射和剪切板这些功能的开关来控制数据外流，支持做到数据只进不出。CEN云企网提供一种能够快速构建混合云和分布式业务系统的全球网络。本实践中用来连通不同地域的阿里云网络VPN网关和IPSec VPN用来打通云桌面和企业线下的IDC网络，再加上桌面的安全网关，共同保障数据传输的安全。

3)系统架构图

本最佳实践针对三种常见资源部署场景讲解了如何基于阿里云产品在弹性桌面上快速搭建企业办公基础环境。架构图中涵盖了全部三个场景。场景的模拟环境，分布在上海、北京和杭州的阿里云可用区。这三个场景相互独立，互不影响，所以三个场景都使用了上海的周边环境。通过各自的AD对云桌面和文件服务进行管控，我们实际操作中可以根据业务需要选择具体场景创建所需资源。

中间部分对应第一个场景。这是一个初创公司，它将AD、文件服务、云桌面都部署在阿里云上海可用区中。

左侧部分对应场景2的模拟环境，这个企业在阿里云北京可用区上已经部署了AD和文件服务。为减小桌面网络延迟，在阿里云上海可用区为上海分公司部署云桌面，上海和北京的网络通过CEN（云企业网）打通。

右侧部分对应场景3的模拟环境，这是一个大型企业，它的AD和文件服务部署在杭州自建的IDC中，需要与阿里云上海区域中的云桌面进行集成。杭州和上海的网络通过IP Sec VPN连通。企业IDC中通常在防火墙或路由器上开启P Sec VPN功能。

4）核心步骤

要完成场景1的最佳实践，我们需要以下五个步骤：

第一步，搭建模拟环境。

这一步是通过AD部署弹性云桌面的准备工作，我们将部署简单的域控制器（AD）和共享文件服务。注意这里部署的AD和文件服务仅做演示使用，实际业务要根据需求仔细规划。

第二步，为AD注册弹性封面目录。

第三步，为用户创建桌面。

第四步，验证用户登陆与桌面。

第五步，验证云面策略。

这里重点解释一下如何为APP注册云桌面，这也是整个实践最核心的部分。

阿里云桌面内部维护了一个AD域控，我们称他为Managed AD。用户的AD，我们称之为User AD。阿里云桌面的AD目录内部对应一台ECS实例，我们称它为AD Connector。 Connector有两个网卡，ETH0、ETH1。其中ETH0网卡和Managed AD在同一个VPC中；ETH1和User AD在一个VPC中，注册AD目录的目的就是创建D Connector来为User AD 和 Managed AD建立信任关系。AD Connector在 Managed AD面前伪装成User AD，在User AD面前伪装成Managed AD，并为双方转发请求。为了达到伪装的目的，需要向双方提供DNS服务。其中有两个关键步骤：1、通过开通DNS区域传送，允许AD Connector获取User AD和Managed AD的DNS条目；2、配置条件转发器，将Managed AD的域名ecd.acs解析转发到AD Connector的ETH1网卡上，并将User AD的域名解析转发到AD Connector的ETH0网卡上。

基于以上原理，需要通过以下四个步骤来创建AD类型的云桌面目录：

第一步，在AD所在的网络中开放与阿里云桌面通信所需的端口。

第二部，配置DNS区域传送。

第三步，创建AD类型的云桌面目录。

第四步，配置DNS条件转发器。

5）方案优势

最后，我们来看一弹性讯云桌面方案的优势：

l 易部署

弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。CEN和VPN网关服务开通即用，配置实时生效，快速完成部署。

l 低成本

弹性云桌面无需前期传统硬件投资，支持包年包月或按量付费。

l 安全性

云桌面自带的安全策略，保证数据不落地。CEN和VPN保证数据传输中的可靠加密。

l 集中管控

通过Windows AD对云桌面用户和共享文件服务进行统一权限管控，可实现AD用户自动图上和文件级别的权限管控。

二、弹性云桌面-核心产品讲解

1)产品介绍

阿里云的弹性桌面是一款易用的、安全的、高效的云上的桌面服务：

l 可以帮助用户快速的构建、高效的管理桌面，提供一种安全的、灵活的云上办公解决方案。

l 弹性云桌面拥有丰富的CPU和GPU的实例规格，可以满足多种不同的工作需要。

l 适用于远程办公、多分支机构协作、数据安全保护、设计渲染等多种场景。

从易用性上看，弹性云桌面不需要前期的过度投资和基础设施的建设，可以一键部署环境，即买即买即用按需计费。在使用上可以非常便捷、灵活地进行接入，不受时间地点的限制。可以通过多种客户端来访问自己的工作桌面，可以很容易的实现远程办公、BYOD的一些需求。

针对安全性，我们主要强调两点，接入的安全和数据的安全。弹性云桌面提供了一个安全接入的网关来确保接入的安全。另外传输协议也是加密的。针对于数据的安全，弹性云桌面的用户数据保留在云端，不在客户端有任何的留存，数据是不落地的，这样可以有效地防止数据的泄露。另外依赖于阿里云强大的分布式技术，弹性云桌面可以提供的数据有效性可以达到9个9。

针对高效这个优势，弹性云桌面通过提供集中管理和一体化控制台的能力，可以帮助用户轻松地维护海量的桌面，提高用户的桌面维护的效率。

2）架构简图

下图是弹性云桌面的架构简图。

我们可以看到用户的桌面位于一个隔离的专有网络当中，我们称之为管理VPC。另外在用户自己的VP当中，每一个桌面在其中对应的都有一块弹性的网卡，桌面的使用者通过客户端经由安全网关来连接和访问自己的桌面。如果用户在自己的桌面中想要访问外部网络，需要通过弹性网卡（图中红色画圈部分）来进行外部网络的访问。所以，如果用户对自己的网络的访问有一定的规划等，可以通过设置自己的VPC或者是弹性网卡来实现这样的一个目的。