VMware Horizon虚拟桌面做到了将操作系统、应用程序、用户数据(包括用户的设置)三者分离,并且在用户登录到桌面将进行组合交付。在VMware Horizon中,对用户数据的处理有以以下几种方法。
(1)链接克隆虚拟桌面,数据保存用户数据磁盘,一般操作系统在C盘,用户数据保存在D盘。并且D盘是独立磁盘,不受快照影响。在使用链接克隆的虚拟桌面时,可以配合企业网盘,将用户的数据再在企业网盘里面保存一份。
(2)用户数据保存在共享文件夹。无论是完全克隆的虚拟桌面,还是链接克隆虚拟桌面、即时克隆虚拟桌面,用户数据可以使用Active Directory域用户的漫游配置文件或者文件夹重定向的方式,将用户数据集中保存在文件服务器提供的共享文件夹中。当用户数较多,并且用户的文件数较多时,共享文件夹效率较低。
(3)如果不使用Active
Directory的文件夹重定向,也可以使用VMware Dynamic Environment
Manager管理服务器,将用户的设置和数据保存在文件服务器。
(4)在使用即时克隆的虚拟桌面中,可以使用App Volumes,将用户的数据和配置保存在App Volumes可写卷。
(5)使用Microsoft FSLogix,Logix类似VMware Dynamic Environment
Manager,FSLogix是将用户的数据与配置重定向到VHDX文件,VHDX以磁盘的方式附加到用户虚拟机。VHDX是以共享文件夹的方式分配给虚拟桌面。在使用FSLogix的时候,在虚拟桌面客户端计算机安装Microsoft FSLogix
Apps 客户 端程序,FSLogix提供组策略配置文件添加到域服务器,通过组策略将所设置的内容分发到安装了FSLogix Apps 客户端计算机,让设置生效。
FSLogix以VHD或VHDX磁盘的方式附加到桌面虚拟机中,VHD或VHDX在文件服务器以共享文件夹方式提供。使用这种方式保存数据,效果要好于第(2)或(3)中的文件夹重定向或Dynamic Environment Manager,但比链接克隆虚拟桌面的数据盘效果要差一些。FSLogix附加的VHD通过共享文件夹方式提供,App Volumes附加的磁盘直接在ESXi底层提供。但用户登录到虚拟桌面后并不能直接看到附加的VHD或VMDX磁盘,用户的数据通过FSLogix或App Volumes代理写到VHD或VMDX磁盘。
在以上几种数据保存方式中,第1种方式效果最好,兼容性最好。第2和第3种方式配置简单,但用户数较多、用户数据文件较多和较大时,效率比较低。第4种速度接近第1种,第5种速度在第1种和第2种之间。
在基于Horizon 7.x的虚拟桌面中,在企业办公环境,使用最多的是链接克隆的虚拟桌面,数据以第1种方式保存。
链接克隆的虚拟桌面,其用户数据D盘和临时文件E盘都是永久磁盘,这种永久磁盘无法创建快照。而大多数基于无代理的备份软件,都是通过为虚拟机创建快照的方式,备份快照前的数据。因为无法创建快照也就无法备份用户数据D盘。此种方式,可以以备份物理机的方式,在虚拟桌面中安装备份代理软件,通过备份代理备份用户数据D盘。下面介绍使用Veeam备份Horizon虚拟桌面D盘数据的方法。
1 为虚拟桌面配置所在OU配置防火墙策略
在部署Horizon虚拟桌面时,通常情况下,会将虚拟桌面放在一个单独的组织单位中。在本示例中,Horizon虚拟桌面放在一个名为VDI-Win10X的组织单位中,如图1所示。
图1 虚拟桌面所在组织单位
Horizon虚拟桌面的计算机防火墙,在入站规则中禁止使用共享文件夹。为了使用Veeam备份虚拟桌面,需要以共享文件夹方式访问每个虚拟桌面。所以需要为虚拟桌面配置防火墙策略,允许使用共享文件夹。为了提高安全性,在虚拟桌面的入站规则中,只允许Veeam服务器的IP地址入站访问,禁止其他IP地址入站访问。
(1)在Active
Directory域服务器上,执行gpmc.msc进入组策略管理程序,在VDI-Win10X中创建组策略,本示例中组策略名称为VDI-Win10X-GPO,创建之后编辑该组策略,如图2所示。
图2 编辑组策略
(2)在“组策略管理编辑器”中,定位到“计算机配置→策略→Windows设置→安全设置→高级安全Windows Defender防火墙”,用鼠标右键单击“高级安全Windows Defender防火墙”,在弹出的快捷菜单中选择“属性”,如图3所示。
图3 属性
(3)在“高级安全Windows
Defender防火墙”对话框的“域配置文件”选项卡中,在“防火墙状态”下拉列表中选择“启用(推荐)”,在“入站连接”下拉列表选择“阻止(默认值)”,在“出站连接”下拉列表选择“允许(默认值)”,如图4所示。
(4)在“专用配置文件”选项卡中的“防火墙状态”选择“未配置”,如图4所示。
(5)在“公用配置文件”选项卡中的“防火墙状态”选择“未配置”,如图5所示。
图4 域配置文件 图5 专用配置文件 图6 公用配置文件
(6)在“入站规则”中在弹出的对话框中选择“新建规则”,在“规则类型”对话框中的“预定义”下拉列表中选择“文件和打印机共享”,如图7所示。
图7 文件和打印机共享
(7)在“预定义规则”对话框中选择所有规则,如图8所示。
图8 选中所有规则
(8)在“操作”对话框中选择“允许连接”,如图9所示。
图9 允许连接
(9)配置之后如图10所示。
图10 创建之后
现在是允许局域网中所有计算机都能访问共享文件夹。下面在入站规则中只允许指定远程计算机连接。右击列表中的一个规则,在弹出的快捷菜单中选择“属性”,例如“文件和打印机共享(LIMNR-UDP-in)”,打开文件和打印机共享(LIMNR-UDP-in)属性对话框,在“作用域”选项卡中的“远程IP地址”中选择“下列IP地址”,添加172.20.1.10/32的IP地址(加/32表示子网掩码为255.255.255.255,只限定这一台计算机)。如图11所示。
图11 限制远程计算机
然后将文件和打印机共享的其他规则也限制远程计算机的IP地址,添加之后如图12所示。
图12 只允许Veeam计算机连接
然后执行gupdate /force让策略生效。
Horizon虚拟桌面计算机重新启动,以应用策略。
2 在Veeam中添加保护组
(1)在Veeam中添加保护组,保护组选择Horizon虚拟桌面所在的资源池。Veeam会自动将所在资源池的所有虚拟机安装Veeam Agent,如图2-1所示。
图2-1 添加保护组
(2)在Veeam中创建备份任务,备份Windows物理计算机,任务模式选择“Server”。
图2-2 Server
(3)备份计算机选择第(1)步创建的保护组,如图2-3所示。
图2-3 保护组
(4)在“Backup Mode”中选择Volume Level backup,如图2-4所示。
图2-4 备份卷
(5)在“Objcts”中取消“Operating system”,单击“Add”按钮,在弹出的对话框中输入D:\,表示备份D盘根目录下的所有文件。这表示备份整个D盘,如图2-5所示。
图2-5 备份D盘
(6)其他备份任务根据需要选择,直到任务完成。在本次备份任务中,每天备份两次,备份开始时间设置为为中午12点和下午18点,如图2-6所示。
图2-6 设置备份开始时间点
(7)备份任务完成后,可以手动开始第一次备份(如图2-7所示),备份完成后,以后会定时开始备份。
图2-7 备份
对于备份失败的虚拟机,在备份完当前任务后,会重新尝试再次进行备份。一般是尝试3次。
在当前的应用案例中,Horizon虚拟桌面一共有77台,每个虚拟机D盘分配了150GB,实际数据量10G至20G之间。备份完77台虚拟机,第1次备份用时94分钟,以后每次的差异备份约1小时。
【说明】在使用DHCP为Horizon虚拟桌面分配IP地址时,建议将DHCP租约时间设置为“永不过期”。如果租约有有效期,应在DHCP服务器中,修改Horizon虚拟桌面的DHCP作用域,在“DNS”选项卡中更新DHCP客户端的主机名和指针记录,如图2-8所示。否则在使用Veeam备份的时候,解析的计算机名称指向错误的IP地址会导致备份失败。
图2-8 更新DHCP客户端主机名和PTR记录
VMware vSphere 7.0服务器虚拟化入门
https://edu.51cto.com/course/29857.html
VMware Horizon 8 桌面虚拟化入门
https://edu.51cto.com/course/28118.html
VMware虚拟化与云计算应用案例详解(第3版)
https://item.jd.com/12939315.html
VMware Horizon虚拟桌面应用指南
https://item.jd.com/13038424.html
