PCEVA,PC绝对领域,探寻真正的电脑知识
开启左侧

工作站虚拟化求助...

[复制链接]
duo_luo 发表于 2017-5-28 21:26 | 显示全部楼层 |阅读模式
点击数:10843|回复数:53
本帖最后由 duo_luo 于 2017-5-28 21:30 编辑

老板有两需求,所以要弄一工作站,具体要解决以下两个问题:
1.  有几个人需要用matlab做大量的运算,一跑一两天那种,普通电脑速度太慢。
2.  matlab这部分涉及到一些公司保密的东西,要保证员工无法拷走任何文件,所以打算每个人都分配给一个虚拟机来用。

首先是先YY了个大致的配置如下:
E5 2692v4  双路
超微 X10DAX
三星 32G RECC  8 条
intel DC s3700 800G
antec HCP 1200  (将来可能要上显卡做运算,所以冗余)
目前个人的想法是,最简单的实现方式是: 工作站直接装win server,然后装个vmware 桌面版,然后弄几台虚拟机给几位需要运算的员工,这几台虚拟机都不带虚拟网卡,只能通过VNC访问,这样应该就实现了文件保护。 但是这种做法最大的问题就是,将来有显卡后,不能直通到虚拟机里面去。
那么另一个方案就是vmware esxi, 一些问题:
1.  通过esxi创建的虚拟机,也不给虚拟网卡,可以通过VNC访问吗?
2.  通过VNC访问,有没有可能做到只能拷进去文件但是不能拷贝出来?  至少完全禁止拷出拷进应该没问题吧?
3.  虚拟机的VNC用户名密码给某位员工后,他可以做到自己开启虚拟机吗? (关机自然是可以的喽,就是他自己怎么开起来)
3.  显卡直通的兼容性怎么样?
4...... 有没有更好方案来实现需求。

nighttob 发表于 2017-5-28 22:30 | 显示全部楼层
VNC没玩过。你问题的重点是权限设置。
我能想到2个方法。
一个是弄个跳板机,要访问虚机和传文件都先登陆到跳板机上,然后再通过跳板机远程到虚机。这样就可以设置用户权限和文件系统权限去限制读或者写。但这不解决虚机开机的问题。
另一个是设置vSphere的权限或者弄资源池,让员工直接登陆到vSphere上面去开控制台,当然就解决的虚机开机的问题,控制台也隔绝了拷出文件的可能。拷入可以通过挂载镜像、挂载设备,或者跳板机的方式。
二者可以结合使用。

直通可用性是A卡全家都行,N卡据说改个设置也都行,正常情况下应该只有特定几个型号有特定用法
duo_luo  楼主| 发表于 2017-5-28 23:14 | 显示全部楼层
nighttob 发表于 2017-5-28 22:30
VNC没玩过。你问题的重点是权限设置。
我能想到2个方法。
一个是弄个跳板机,要访问虚机和传文件都先登陆到 ...

感谢回复!

先登录到跳板机,再用跳板机登虚拟机这种方式经过两次远程,体验应该会差一点。
第二种方式应该不错,虚拟机挂载局域网里面另外一台server的公共硬盘并且设置只读权限,这样子应该就比较好的解决问题了。

显卡暂时不上,到时候再考虑好了,方案就这么愉快的确定了。
eterfinity 发表于 2017-5-29 11:05 | 显示全部楼层
本帖最后由 eterfinity 于 2017-5-29 11:39 编辑

上虚拟桌面啊
客户机只是负责ui交互,禁了usb重定向就能杜绝资料泄密
所有的运算 数据全部在服务端上:
具体的 两套全免费的方案:
1。 win server hyperv。适用于计算环境为windows的情况
      用hyper-v server 2012r2 或2016, 这玩意免费。  虚拟机用windows 7 8 10都行, 可remotefx共享任何能装上驱动的显卡。   客户端用mstsc连
2。vmware esx i。 适用于计算环境为linux或windows
     可以做虚拟桌面啊。, 用VMware view。     有显卡后可以用vt-d直通,或者VDGA 虚拟直通。      不需要买vmware
      用esx i免费版, 某些系统的虚拟机装好vmtools后, 装view agent, 然后装view direct-connect agent, 完美规避horizon授权需求


CatoHT 发表于 2017-5-29 13:21 | 显示全部楼层
呃……直接远程桌面不可以么?
来自安卓客户端来自安卓客户端
OstCollector 发表于 2017-5-29 16:46 | 显示全部楼层
现在的mstsc支持c-c c-v啊……
Pale_Cheung 发表于 2017-5-29 21:23 | 显示全部楼层
OstCollector 发表于 2017-5-29 16:46
现在的mstsc支持c-c c-v啊……

老早就支持了。

又不是不能封。
duo_luo  楼主| 发表于 2017-5-30 10:05 | 显示全部楼层
本帖最后由 duo_luo 于 2017-5-30 10:22 编辑
eterfinity 发表于 2017-5-29 11:05
上虚拟桌面啊
客户机只是负责ui交互,禁了usb重定向就能杜绝资料泄密
所有的运算 数据全部在服务端上:

实验了下esxi,  在esxi上弄了个win7的系统。 然后它提示下个VMware remote console连上去用,一番乱鼓捣以后基本实现了需求。

使用的是6.5版本,这个版本要使用web端登录管理,以前版本貌似是有客户端的。
长这个样子:


进去长这样:


然后根据@nighttob 给的方法,摸索了好久,先添加角色,比如这里添加一个叫做员工的角色,并且配置对应的权限:



然后给虚拟机添加一个用户并且分配员工的角色,这里测试名字用了个guest:


虚拟机的硬件的话,把网卡,usb这些删除掉:


这样子,guest就也可以通过web登录到管理界面,但是由于有权限限制,只能做很有限的事情。

目前还存在的一些问题:
1. ESXI挂载网络盘貌似是要NFS服务,刚才瞎鼓捣了一下目前没成功,这个再研究下。2. 在这个web管理界面没有找到克隆虚拟机的功能。
3. ESXI上的虚拟机,在安装vmware tool后,是可以启用剪切板的,现在的版本默认是禁止的,要启用需要在虚拟机配置中增加如下参数:

但是仅仅是能拷贝文件内部的内容,而不能拷贝文件本身(其实使用查看二进制的软件去拷贝也能实现把文件数据全拷出去)。也不支持拖放,官网去确认了下ESXI就这样子。  但是比较疑惑的是,这两个参数,一个paste,一个copy,一开始我以为是可以设置成比如客户机可以拷贝到虚拟机,而虚拟机不能拷贝到客户机,测试发现,只有全部设置为false的时候,剪切板才工作。  其中只要有一个为true,不管哪边拷到哪边都不行。  也不知道什么原因。

@eterfinity 因为虚拟机会用到linux所以目前优先考虑ESXI。  @CatoHT  mstsc 的话是一定需要联网的是吧,如果给联网的话应该就可以上传网盘了吧。
另外我目前实验连过去用的是vmware remote control,

view agent, view direct-connect agent这些也是vmware的软件吗? 这些目前没有接触过,有什么优势吗? 我上面的那些设置 usb重定向 应该是禁用了吧。

@OstCollector @Pale_Cheung 请教一下什么是c-c  c-v


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
Pale_Cheung 发表于 2017-5-30 11:44 | 显示全部楼层
duo_luo 发表于 2017-5-30 10:05
实验了下esxi,  在esxi上弄了个win7的系统。 然后它提示下个VMware remote console连上去用,一番乱鼓捣 ...

ctrl + c
ctrl + v

mstsc 要通过 网络的。
duo_luo  楼主| 发表于 2017-5-30 11:49 | 显示全部楼层

     晕倒哈。

嗯嗯,远程桌面那就pass了。
nighttob 发表于 2017-5-30 12:13 | 显示全部楼层
vSphere Client没有6.5,只有6.0,也能用,只是无法实现虚拟机版本13的功能
没必要用NFS,你直接再windows里面映射驱动器不就完了
duo_luo  楼主| 发表于 2017-5-30 13:39 | 显示全部楼层
nighttob 发表于 2017-5-30 12:13
vSphere Client没有6.5,只有6.0,也能用,只是无法实现虚拟机版本13的功能
没必要用NFS,你直接再windows ...

虚拟机里面禁止了网络,没办法映射网络驱动器呀。
所以目前的想法是公司目前那个server的共享盘,弄个NFS server,然后EXSI挂载上去,然后分配到虚拟机中去。
nighttob 发表于 2017-5-30 13:53 | 显示全部楼层
duo_luo 发表于 2017-5-30 13:39
虚拟机里面禁止了网络,没办法映射网络驱动器呀。
所以目前的想法是公司目前那个server的共享盘,弄个NFS ...

你可以做个没有外网的内网啊,都不用出esxi的那样
duo_luo  楼主| 发表于 2017-5-30 14:40 | 显示全部楼层
nighttob 发表于 2017-5-30 13:53
你可以做个没有外网的内网啊,都不用出esxi的那样

员工自己都会有一台联外网的电脑用来查资料什么的,并且目前公司server(windows server 2013)的共享盘也是任何人可随意读写来存取或者共享资料的。如果想用这台联外网的电脑去远程虚拟机,但是虚拟机又不连外网,还要把共享盘挂上去并且只读, 应该怎么实现呢?


eterfinity 发表于 2017-5-30 16:32 | 显示全部楼层
不是这样子干的  ,既然你是用的win平台  那么全套步骤如下:

1     装esxi 6.0
2     装每个人使用的win虚拟机
3    虚拟机里装vmtools
4   虚拟机里装horizon view  agent
5   虚拟机里面装view direct-connection agent,稍加优化
6   终端机里装horizon view client windows版 ,连接虚拟机的ip
eterfinity 发表于 2017-5-30 16:43 | 显示全部楼层
优势是   vmware view是虚拟桌面 VDI, 而不是虚拟机管理控制台。  
view走pcoip协议,可以流畅操作,而管理控制台的桌面窗口效能差,view不依赖于浏览器和.net。
view可以通过组策略做各种配置,比如usb重定向啥的。
在esxi服务端没有显卡的情况下, view可以通过cpu去加速,可以重定向媒体流给客户端去加速。这些都是管理控制台没有的。

还有一种更高大的做法是在工作站上弄基于VT-D的pcoip远程+虚拟机

每个虚拟机通过VT-D映射一个显卡和一个pcoip远程卡, 显卡通过DP线连到配对的pcoip远程卡

桌面的电脑上通过pcoip客户端软件连pcoip远程卡,实现远程的“本地操作”。

以上两种做法都可以使用”零终端“,就是专门的pcoip芯片,作为客户端,比用电脑装客户端软件更流畅。
eterfinity 发表于 2017-5-30 16:51 | 显示全部楼层
我自己家里就是全家公用一台电脑:
一台gen8
一个虚拟机是爱快软路由,负责3拨号聚合。
一个虚拟机是直通显卡,usb控制器,直接连键鼠显示器。
一个虚拟机是弄的win10企业版,装了vmware view direct-connection,给老婆看片打网页游戏用,老婆用的终端是wyse p25 零客户端 (基于Tera2 pcoip专用芯片)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
duo_luo  楼主| 发表于 2017-5-30 17:08 | 显示全部楼层
eterfinity 发表于 2017-5-30 16:51
我自己家里就是全家公用一台电脑:
一台gen8
一个虚拟机是爱快软路由,负责3拨号聚合。

嗯嗯,蛮好蛮好。
vmware view direct-connection  这个我去下一个试试去。
nighttob 发表于 2017-5-30 18:54 | 显示全部楼层
duo_luo 发表于 2017-5-30 14:40
员工自己都会有一台联外网的电脑用来查资料什么的,并且目前公司server(windows server 2013)的共享盘 ...

这个网口没有外网路由和网关不就完了
杰迪武士 发表于 2017-5-30 19:17 | 显示全部楼层
LZ去看看Citrix相关方案,会有所发现的
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部