云空间产品手册

Description	云空间产品的安装部署过程介绍以及使用说明文档
Author(s)	xspacer

产品简介

概述

云空间xSpace作为新一代DaaS模式云桌面产品，率先提出多云多租户理念，能够同时对接多个不同类型的IaaS虚拟化资源池，业务模块可分布式部署，支持多租户分级管理，高效支撑大规模算力集群建设和运营。云空间可针对不同场景灵活制定方案，并全面开放API能力，提供全类型终端和各类业务系统的对接适配支撑，实现全场景覆盖。

设计思想

Citrix/VMware替代
云空间xSpace方案的设计原则是能够对当前现有的Citrix/VmWare云桌面系统应用场景实现整体替换或平滑过渡，满足最终桌面用户和运维工作的各项需求，与当前现有的用户认证、数据存储、企业网络实现全面集成，支持内外网接入访问。
普通办公&高端设计
云空间xSpace核心的远程桌面协议能够满足日常办公场景的流畅度要求，远程桌面中的画面、声音的体验效果能够与本地桌面表现基本一致，对于外接设备、数据传输、水印等安全要求能够实现按需的策略定制。
基础设施高效利用
支持与多个厂家的底层云平台进行深度集成，能够高效利用现有的云计算、云存储等基础设施资源，避免重复建设，整体上降低运维的复杂度。
数据安全
通过数据不落地、传输过程加密、权限管控等措施严格保证业务数据的安全性。
信创国产化
支持全栈的国产信创云桌面解决方案，包括远程桌面操作系统、客户端软件、瘦终端软硬件等等，符合国产化方向。

技术优势

多年积累，核心产品全部自主可控
完全自研核心远程桌面协议，采用带内访问通道，不依赖于底层虚拟化技术，核心技术自主可控，产品全面支持各类国产信创软硬件系统。
产品齐全，全面覆盖各类办公场景
云空间xSpace采用一套平台覆盖所有用户场景需求，支持大型场景多租户运营，所有数据完全打通，互联网网关支持弱网下的网络加速能力，保障复杂环境下的流畅办公体验。
规模化落地，支撑十万用户云上办公
云空间xSpace目前已经在公安信创、教育、能源、设计院以及政企行业规模化落地，全面支撑各种政企场景的云桌面正式上线。
整合生态，提供行业定制解决方案
云空间xSpace全面支持各种形态、搭载不同国产CPU和操作系统的多种客户端，底层虚拟化平台完全解耦，支持OpenStack、ZStack、SmartX、UCloud等众多超融合私有云厂家的资源平台，云空间提供API接口进行二次开发和定制化扩展。

技术架构

组件介绍

云空间产品软件体系由管理端、代理端、客户端、网关节点服务等组件构成：

管理端位于超融合/云平台环境上的若干虚拟机中，包括SDWAN/MSP网关的服务端，用于实现管理员的web运维操作入口，或接受来自客户端的访问请求。
代理端包括安装和运行在云桌面虚拟机内部的若干软件包，统一以优化包或后台服务的形态启动并保持运行，负责桌面底层优化，为管理端监控系统动态，或接受来自管理端的管控指令，以及与客户端之间的远程桌面交互。
客户端负责为最终用户提供终端接入操作界面，以标准应用的形式安装在PC机、笔记本、瘦终端、手机或平板电脑等多种类型的本地主机设备上，或以软硬件一体的形式提供给最终用户。
网关节点为互联网访问内网云空间提供外网接入机制。

注：在技术文档中，管理端通常被简称为AS6，客户端简称XSC

上述各个组件在整体架构中的位置，以及相互之间的关系，如下图所示：

管理端

云空间管理端（简称AS6，是云空间的管理后台），被部署在超融合/云平台的虚拟机中，其内部的众多子组件以K3S容器集群POD的形态运行，它们共同构成了服务于管理员的web管理后台。

云空间管理端的内部组件，以及与底层平台的关系，如下图所示：

云空间管理端支持将多个虚拟化平台、超融合平台、IaaS私有云平台作为自己底层的资源池。这些底层平台负责桌面操作系统的虚拟化、桌面虚拟机的生命周期管理，以及网络、存储资源的虚拟化等等关于云桌面的各种基本对象的最小粒度的资源管理。

云空间管理端将被部署在这些平台的通用虚拟机中，它的云平台接口适配层将会调用底层超融合/云平台的API接口，对底层的计算、存储、网络、GPU等基础设施资源进行使用与管理。除了对接底层云平台的管理接口，云空间管理后端的功能集还包括对虚拟机资源的各项子属性的管理，如模板、镜像、规格、磁盘、网络等等。

为了整合兼容各种第三方超融合/云平台中的核心资源对象的核心概念，云空间管理平台将底层虚拟机所在的集群、项目、分组等各种逻辑划分的手段统一包装为“项目”的概念，并基于“项目”衍生出各种形态的“桌面池”，“桌面池”与“项目”是一一对应的关系。

云空间管理后台的身份认证系统对外支持多租户的概念。在大规模企业客户，或公有云场景下，可以根据用户所在的集团、子公司、部门等形态，建立相应的租户管理范畴，下放运维管理权限，使得规模化运营更加清晰。

除了企业运维入口，云空间管理后台还包括负责面向最终用户提供系统接入层的服务组件。负责接入的服务组件与其它管理组件逻辑分离，支持独立部署，为将来的规模化扩展提供灵活的扩容手段，从而保障不同地理位置上的快速可靠接入，且最终用户的客户端登录使用可以不依赖于总后台业务管理的服务可用性。该系统接入层组件通过底层的数据库实时同步来实现管理数据库的业务内容下发。

云空间管理后台使用的第三方中间件运维有独立的接入通道，通常是保持关闭的状态，仅当需要对其执行维护时才会面向系统管理员开放，这样可以为中间件服务的部署、运维操作提供安全、可靠的访问入口。

云空间管理后台默认需要被部署在三台虚拟机上，可以根据未来的架构发展需要，扩展成为更多的虚拟机节点。

代理端

云空间代理端被安装和运行在云桌面的虚拟机内部，包括以下软件包：

Mole：云桌面运维管理代理服务端
HSRServer：远程桌面协议服务端
HSRUsbRedirect：远程桌面会话设备重定向服务端
其它桌面操作系统优化工具包（可选）

云桌面协议的服务端也将被部署并运行在云桌面的内部。从逻辑架构的角度属于“带内协议”，与之相对的是“带外协议”，是指在虚拟化层面进行云桌面画面、声音的捕捉和键盘、鼠标交互的模拟，而不是通过驻留在云桌面内部的代理服务来完成上述动作，例如传统的spice、vnc远程交互协议都是属于“带外协议”。

带内协议的优点包括：1. 部署在云桌面内部，与底层平台解耦；2. 云桌面内部能够充分发挥高性能物理显卡的作用，带内的代理端能够从物理显卡采集到真实原始的画面；3. 编码时的CPU占用、远程桌面会话期间的网络流量都归属于虚拟机自身的资源消耗范畴，有利于基础设施的规划与统计。

注：基于带内协议的远程桌面会话依赖于云桌面自身的运行状态，当云桌面虚拟机处于关机状态时，必须先对其进行开机，开机完成后才能进行远程桌面会话连接，中间跳过了开机画面。另外在桌面会话期间，需要保持云桌面内部的网络可用性，对于某些需要断网的特殊维护动作，可以由运维人员通过底层平台提供的网络安全组等手段进行替代。

在为客户环境制作专用的云桌面镜像时，需要在镜像的内部预先安装以上软件包，并通过Mole提供的配置界面，指定该环境中的管理端地址：

当基于预装好云空间代理端的镜像，创建了更多云桌面实例后，上图中显示的桌面的uuid属性，将会随着虚拟硬件信息的变化而自动保持唯一性。

对于被托管的第三方虚拟或物理桌面，也需要安装这些组件才能被客户端连接。

客户端

云空间客户端供最终用户安装并使用，用于登录并访问云空间中的桌面等云端资源。它表现为 Windows，Linux，MacOS 等操作系统上的软件安装包，以及移动端、平板的应用形态，或软硬件一体化的瘦终端设备形态。

关于云空间客户端的具体安装和使用详情，请参见“终端接入”章节。

云空间v6.16版本发布说明

版本简介

云空间v6.16版本对常见的第三方私有云超融合平台产品进行了深入集成，能够无缝对接 OpenStack、ZStack、UCloud、SmartX、云宏等主流 IaaS 开源或商业厂商的云平台，实现灵活高效的云桌面管理。该模式下的各IaaS平台能够专注于提供稳定、高性能的基础虚拟化能力，而我们的云空间产品则在此基础上进一步优化桌面计算资源的管理和交付。我们可以将这些云平台提供的虚拟机直接转换为云桌面资源，并对其进行创建、开机、关机、重启、删除等操作，实现完整的生命周期管理。

这一整合方案充分发挥了 IaaS 层的资源弹性和云空间管理的灵活性，既保留了各自的技术优势，又实现了高效协同，让企业能够基于现有云平台快速构建和扩展云桌面环境，满足多种业务场景需求。

新增功能

支持对接ZStack私有云超融合平台
支持对接SmartX私有云超融合平台
支持对接WxStack超融合云平台
支持对接UCloud云平台
支持按需脚本定制启用云平台类型
支持按需启用短信认证机制
新增创建桌面时固定名称的命名规则
支持系统内各种对象按名称的模糊搜索和排序
支持资源同步详情展示

安装部署

概述

本栏目将介绍云空间管理端（简称AS6）的安装过程，云空间代理端的安装过程请参见“系统管理->镜像管理->镜像制作”，云空间客户端的安装过程请参见“终端接入”。

云空间管理端的各个组件，将被安装在底层超融合/云平台IaaS环境提供的若干虚拟机中。安装之前请确认超融合/云平台环境已经准备就绪，可以正常运行，并具备足够的计算资源、存储空间以及网络连通性。如果需要长期稳定合法的局域网IP地址资源，请提前向管理人员申请充足的网络地址列表，并配置应用到底层超融合/云平台环境的网络组件上。

需要为云空间管理端至少提供3个内网IP地址，当用于部署云空间管理端的虚拟机被创建之后，用于内部互联的IP地址不允许随意改变，请务必保证地址的持久可用。

对于需要支持外网接入的场景，除了安装云空间管理端，还需要部署网关服务节点，根据网关节点的数量，需要为SDWAN网关服务器提供1个或3个内网IPIP地址，以及对应的公网IP地址。

部署管理端

环境要求

在安装云空间管理端之前，需要先将作为基础设施资源池的底层超融合/云平台环境安装完成，或利用现有的IaaS环境，在其中新建一个专用的项目（在某些平台上也被称为“虚拟机分组”），专门用于在其中创建云空间管理端虚拟机。

如下是已经适配的云平台类型和版本，请在安装云空间管理端之前，确认云平台版本满足如下要求。 - InCloud: >= 6.5.2 - OpenStack: >= Train - SmartX: >= 4.4.0 - ZStack: >= 4.8.10 - UCloud: >= 2.12 - WxStack: >= 8.0.1

然后在该项目中创建用于部署云空间管理端的虚拟机，虚拟机配置要求如下：

至少有三台安装了openEuler 22.03操作系统的虚拟机
虚拟机的处理器与内存的配置不低于8核16G的规格
虚拟机的系统盘大小至少为150G（推荐200G）
虚拟机的系统盘的I/O性能要满足要求，建议部署在SSD物理盘上
虚拟机的IP地址不允许更改，如果是动态分配的地址，请在虚拟机内部配置为静态地址
时钟同步配置：如果有可用的时钟服务器，请在主节点虚拟机中配置启用
DNS服务器配置：请在每个虚拟机中配置DNS服务器

准备镜像

云空间管理端将被部署运行在虚拟机中，请在超融合/云平台环境上准备操作系统为openEuler 22.03的虚拟机镜像。

注：推荐用我们制作好的openEuler镜像来创建虚拟机，默认的登录账号密码参考镜像下载路径说明文档或咨询厂商，安装后建议将root改为随机复杂密码，仅对外公开运维常用的xspace用户账号。

如果计划从openEuler官方的ISO制作镜像，可以在这里下载 openEuler的官方Offline Standard ISO，如果安装环境是基于鲲鹏/飞腾处理器的ARM服务器，请在官方下载界面中选择Architecture为aarch64的ISO。

如果是在现场手工制作openEuler 22.03镜像，系统盘大小推荐为200G。在该镜像中，除了安装openEuler 22.03最小系统之外，注意还要补充安装一下tar这个常用命令工具包：

yum install -y tar

因为将来安装bin包时，需要预先用它来执行解压缩的动作。

注：如果是离线制作镜像，可以下载tar工具包到镜像里面手工进行安装。

tar-1.34-5.oe2203sp4.x86_64.rpm
tar-1.34-5.oe2203.aarch64.rpm

创建虚拟机

基于openEuler 22.03镜像在云平台上创建至少三台用于安装AS6管理端的虚拟机，配置至少为8核的处理器，16G的内存，以及200G的系统盘。

注：请根据架构选择正确的openEuler镜像，在基于Intel或海光服务器的云平台环境上要使用x86_64架构的镜像，而在鲲鹏或飞腾服务器的云平台上要使用arm架构的镜像

当openEuler虚拟机被创建好之后，请ssh登录到每个虚拟机中，检查：

检查虚拟网卡是否配置了静态地址
检查根文件系统存储空间剩余情况
检查节点相互之间网络的互联互通
检查主节点的时钟服务器，验证是否工作正常
检查各个节点的DNS配置，验证是否工作正常
检查虚拟机之间的网络是否正常互通

例如在云平台上创建好的三台虚拟机如下：

三台将被用来安装云空间管理端的虚拟机的IP地址分别为：

192.222.8.151
192.222.8.152
192.222.8.153

接下来的安装过程中，我们将把IP地址为 192.222.8.151 的虚拟机安装成为云空间管理端的主节点（master），另外两台虚拟机安装为从节点（slave）。

确认虚拟机内部配置

用ssh工具登录到每个虚拟机内部，确认该虚拟机内部配置的方法如下：

查看每个节点的CPU核数

[root@localhost ~]# nproc
8

查看每个节点的总内存大小

[root@localhost ~]# free -mh
               total        used        free      shared  buff/cache   available
Mem:            15Gi       9.7Gi       1.1Gi       312Mi       4.9Gi       5.4Gi
Swap:          7.9Gi       649Mi       7.3Gi

注：创建内存大小为16G的虚拟机，在虚拟机内部看到的内存总量可能略小于16G，这是正常现象，我们的安装包会忽略这里的误差。

查看每个节点的磁盘容量

[root@localhost ~]# lsblk
NAME               MAJ:MIN RM   SIZE RO TYPE MOUNTPOINTS
vda                252:0    0   200G  0 disk
├─vda1             252:1    0   600M  0 part /boot/efi
├─vda2             252:2    0     1G  0 part /boot
└─vda3             252:3    0 197.9G  0 part
  ├─openeuler-root 253:0    0   150G  0 lvm  /
  ├─openeuler-swap 253:1    0   7.9G  0 lvm  [SWAP]
  └─openeuler-home 253:2    0    40G  0 lvm  /home

这里的总大小是200G，分给根文件系统（openeuler-root）的空间是150G。

查看各个节点的网卡和IP地址

[root@localhost ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1442 qdisc fq_codel state UP group default qlen 1000
    link/ether fa:16:3e:51:6a:ab brd ff:ff:ff:ff:ff:ff
    inet 192.222.8.151/20 brd 192.222.15.255 scope global dynamic noprefixroute ens3
       valid_lft 38656sec preferred_lft 38656sec
    inet 192.222.8.151/32 scope global ens3
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe51:6aab/64 scope link noprefixroute
       valid_lft forever preferred_lft forever

注：虚拟网卡的命名风格在不同架构的服务器上未必相同，例如在ARM架构的虚拟机上默认的网卡名字通常是enp1s0。

查看主节点上的时钟服务器配置

[root@localhost ~]# grep ^server /etc/chrony.conf
server 10.1.1.1 iburst

验证是否可以从时钟服务器正常同步：

[root@localhost ~]# systemctl restart chronyd
[root@localhost ~]# chronyc activity
200 OK
1 sources online
0 sources offline
0 sources doing burst (return to online)
0 sources doing burst (return to offline)
0 sources with unknown address

注：这里假设内部有IP地址为10.1.1.1的时钟服务器，如果允许从虚拟机中访问互联网，也可以使用位于互联网上的时钟服务器。如果安装现场既没有内网时钟服务器，也不允许访问互联网，则主节点将会为管理端集群提供标准时钟服务，从节点将会把主节点作为时钟服务器，请核对主节点当前时钟是否正常。

常用的时钟服务器：

中国科学院国家授时中心：ntp.ntsc.ac.cn
开源NTP服务器：cn.pool.ntp.org
阿里云授时服务器：ntp.aliyun.com
腾讯云授时服务器：
time1.cloud.tencent.com 
time2.cloud.tencent.com 
time3.cloud.tencent.com
time4.cloud.tencent.com
time5.cloud.tencent.com

查看每个节点上的DNS服务器配置

[root@localhost ~]# grep ^nameserver /etc/resolv.conf
nameserver 114.114.114.114

注：默认的114.114.114.114是位于互联网上的域名服务器，如果安装现场不允许访问互联网，请改为局域网内部可用的域名服务器地址。

安装组件包

获取组件包

在开始安装云空间管理端之前，请获取最新发布的组件bin包，上传到虚拟机节点中：

astute-k3s-deploy*.bin （上传到所有节点，用于搭建容器集群）
astute-xspace-image*.bin （仅上传到主节点，用于准备容器镜像）
astute-xspace-deploy*.bin （仅上传到主节点，用于部署云空间管理组件）

请将astute-k3s-deploy bin包上传到新建的所有节点虚拟机中。

请将astute-xspace-image 和 astute-xspace-deploy 两个bin包上传到作为主节点的虚拟机中，在本例中主节点的IP地址为 192.222.8.151。

注：可以通过sftp命令/工具将安装包上传到虚拟机中，或在虚拟机中用curl -O命令从外部链接进行下载。

注：如果是在鲲鹏/飞腾架构的服务器上的虚拟机中进行部署，请获取arm架构的安装包。

构建容器集群

请在每个节点上执行安装astute-k3s-deploy bin包，注意要先在从节点安装完成，再去安装主节点。具体操作步骤如下：

如果安装的是是从节点：
- 选择网卡（用于容器集群的管理控制通道）
- 设置主机名
- 选择从节点模式
如果安装的是主节点：
- 选择网卡（用于容器集群的管理控制通道）
- 设置主机名
- 选择主节点模式
- 指定主节点（通常只有当前节点，直接确定即可）
- 指定从节点（通常有两台从节点，请手工填写从节点的主机名和IP地址）

先安装从节点：

在从节点上执行命令：

[root@host152 ~]$ bash ./astute-k3s-deploy-6.0_oe2203_x64.4.bin

[root@host153 ~]$ bash ./astute-k3s-deploy-6.0_oe2203_x64.4.bin

注：bin包的文件名请使用现场实际版本对应的名称。

选择网卡：

设置主机名：

选择“否”，设置为从节点：

以上交互步骤完成后，进入安装脚本执行阶段，请等待脚本执行完成。接下来请在其它从节点上重复该过程，注意要填写不同的主机名。

再安装主节点：

注：待所有从节点都安装完毕，再从这里开始安装主节点。

在主节点上执行命令：

[root@host151 ~]$ bash ./astute-k3s-deploy-6.0_oe2203_x64.4.bin

选择网卡：

设置主机名：

选择“是”，设置为主节点：

填写主节点列表（这里可以不用修改，直接确定）：

填写从节点列表：

最后一步是配置时钟服务器：

注：该步骤是可选的，如果当前系统能够访问默认启用的互联网时钟服务器，则不会出现这一步骤。如果无法访问互联网上的时钟服务器，建议设置为局域网内部的时钟服务器，如果局域网内部也没有可用的时钟服务器，则直接选择“确定”。

以上交互步骤完成后，进入安装脚本执行阶段，请等待脚本执行完成。

执行完成后，请在主节点上查看容器集群状态，正常情况下，应该是所有的节点都处于Ready状态：

[xspace@host151 ~]$ sudo kubectl get nodes
NAME      STATUS   ROLES                  AGE   VERSION
host153   Ready    <none>                 5m   v1.24.9+k3s1
host152   Ready    <none>                 5m   v1.24.9+k3s1
host151   Ready    control-plane,master   5m   v1.24.9+k3s1

注：所有虚拟机中都被新建了xspace用户账号，建议将其用于日常运维，执行系统级命令时加上sudo即可。

准备容器镜像

当跨节点容器集群搭建完成，确认所有节点都处于Ready状态后，请在主节点上执行命令，安装 astute-xspace-image bin包，上传部署云空间管理端组件所需要的基础容器镜像。

具体操作步骤如下：

在主节点上执行命令：

[xspace@host151 ~]$ sudo bash ./astute-xspace-image.6.0.65.bin

注：bin包的文件名请使用现场实际版本对应的名称。

镜像包安装完成后，将会看到输出：

正在获取本地镜像仓库资源列表：
{
    "repositories": [
        "bitnami/minio",
        "bream-common",
        "canal/canal-adapter",
        "canal/canal-admin",
        "canal/canal-server",
        "descheduler/descheduler",
        "docker.io/bitnami/minio-client",
        "docker.io/busybox",
        "docker.io/easzlab/nfs-subdir-external-provisioner",
        "docker.io/mariadb",
        "docker.io/minio/minio",
        "docker.io/nacos/nacos-server",
        "docker.io/seataio/seata-server",
        "elastic/filebeat",
        "elasticsearch",
        "emqx/emqx",
        "jdk",
        "kibana",
        "logstash",
        "memcached",
        "migration-common",
        "mist/rabbitmq",
        "mist-ce/mist-api",
        "mistce/api",
        "mistce/api/v4-7-1",
        "mongo",
        "openresty/openresty",
        "perconalab/percona-xtradb-cluster-operator",
        "redis",
        "rocketmq-broker",
        "rocketmq-console",
        "rocketmq-namesrv",
        "wurstmeister/kafka",
        "wurstmeister/zookeeper",
        "xspace-common",
        "xuchengen/rocketmq",
        "xxl-job-admin"
    ]
}
本地镜像仓库中的可用镜像资源列表如上。

部署管理端组件

当容器集群已经安装部署成功，基础容器镜像上传完成，就可以安装云空间管理端的主体bin包了，

具体操作步骤如下：

在主节点上执行命令：

[xspace@host151 ~]$ sudo bash ./astute-xspace-deploy-6.16.10.xxxxx.bin

注：bin包的文件名请使用现场实际版本对应的名称。

该bin包安装时间较长，请耐心等待安装完成。如果安装过程中遇到某个操作步骤超时的提示，请尝试输入Y确认重试，如果多次重试仍然失败，请联系技术支持人员处理。例如：

+ echo 'xxxxxx 超时未启动，请稍候选择重试[Y]，或退出安装[N]:'
xxxxxx 超时未启动，请稍候选择重试[Y]，或退出安装[N]:
+ read input
Y

完成验证

当上述安装步骤全都完成以后，默认将会自动启动云空间管理后台所有组件，以及依赖的第三方中间件服务（例如数据库服务器、消息服务器、文件服务器等），这些组件和服务被调度运行在容器集群中，该集群被部署在多个虚拟机节点上。

启动状态检查

由于系统的服务组件之间，以及组件与中间件之间存在运行时的相互依赖，所以云空间管理端的整体启动完成，可能需要等待一段时间，根据现场创建的虚拟机中处理器以及底层存储读写的实际性能上的差异，需要等待的时间约为5~10分钟左右。

等待期间，可以随时执行以下脚本，检测当前的启动状态：

[xspace@host151 ~]# sudo /opt/installation/scripts/env_check.sh 0

该脚本将会依次检查所有组件和中间件的运行状态是否正常，如果存在尚未就绪的异常状态，脚本输出将会以告警红色显示。

如果安装现场执行该检查脚本发现长时间未能进入正常运行状态，请联系技术支持人员。

注：如果后续云空间管理端所在的虚拟机环境发生了重启，也需要等待一段时间，等待期间可以用env_check.sh脚本检测启动后的状态。

容器集群维护

云空间管理后台所有组件运行在容器化集群中，对它的日常运维将会频繁使用kubectl命令，关于该命令的具体使用方法，可以参考其官方文档，

常用的kubectl命令如下：

查看容器集群中所有节点的状态：

[xspace@host151 root]$ sudo kubectl get nodes
NAME      STATUS   ROLES                                          AGE   VERSION
host153   Ready    elk,namesrv,rocketmq                           12d   v1.24.9+k3s1
host151   Ready    control-plane,master,namesrv,rocketmq,xspace   12d   v1.24.9+k3s1
host152   Ready    namesrv,rocketmq,xspace                        12d   v1.24.9+k3s1

注：如果存在节点未处于Ready状态时，请检查该节点对应的虚拟机启动情况以及网络是否正常。

查看所有命名空间：

[xspace@host151 ~]# sudo kubectl get ns
NAME              STATUS   AGE
default           Active   11d
kube-system       Active   11d
kube-public       Active   11d
kube-node-lease   Active   11d
xspace            Active   11d
bream             Active   11d
mist              Active   11d
middleware        Active   11d
nginx             Active   11d

查看xspace命名空间中的pod组件列表和状态：

[xspace@host151 ~]# sudo kubectl get pods -n xspace
NAME                                             READY   STATUS      RESTARTS      AGE
bream-migrate-dwm6w                              0/1     Completed   0             11d
panda-migrate-46z8x                              0/1     Completed   0             11d
tunny-migrate-bzrgs                              0/1     Completed   0             11d
zebra-migrate-5btlx                              0/1     Completed   0             11d
app-file-server-6fd9d849b7-zsph7                 2/2     Running     0             11d
app-instance-service-7ccbf484cc-fhm6n            2/2     Running     0             11d
app-zebra-config-service-67b6db6f5d-sk567        2/2     Running     0             11d
app-platform-service-546dbc5c6d-69pbt            2/2     Running     0             11d
app-policy-service-6c8d697c9d-8xnkq              2/2     Running     0             11d
app-gateway-server-7f6469f6b7-2mlms              2/2     Running     0             11d
app-image-service-55c4494d8b-c7gtx               2/2     Running     0             11d
app-log-server-649d6885cb-x8cd7                  2/2     Running     0             11d
app-tunny-config-service-5f8998f6b4-7zjdw        2/2     Running     0             11d
app-region-service-64d4d69869-v47gz              2/2     Running     0             11d
app-tenant-service-5c6b7f8b97-pm8j6              2/2     Running     0             11d
app-search-server-78c7b86695-mtbtf               2/2     Running     0             11d
app-vpc-service-57b8f4489-r2bgp                  2/2     Running     0             11d
app-session-service-644cb868b5-k4v7t             2/2     Running     0             11d
app-uaa-server-9b947756f-mt56x                   2/2     Running     0             11d
app-bff-service-85f869747f-7njvz                 2/2     Running     0             11d
app-data-sync-server-555f8dd8c6-5cfqr            2/2     Running     0             11d
app-project-service-548d789cf5-25fkt             2/2     Running     0             11d
app-volume-service-775fbdd4-4tr6t                2/2     Running     0             11d
app-access-gateway-service-7448948955-fpb5p      2/2     Running     0             11d
app-terminal-service-7c8d77b74-wrmp7             2/2     Running     0             11d
app-template-service-6bf584b8cf-v6qfg            2/2     Running     0             11d
app-resource-template-service-754f56c78f-hzsgk   2/2     Running     0             11d
app-panda-config-service-799bfff7dc-sqfgc        2/2     Running     0             11d
app-version-service-78f875dfd-9xkfp              2/2     Running     0             11d
app-flavor-service-7df445896-v7dwv               2/2     Running     0             11d
app-desktop-service-5b59d6b6b9-z4kk6             2/2     Running     0             11d
app-user-service-bdf5f4ff9-qmvdb                 2/2     Running     1 (11d ago)   11d
app-cluster-service-846f5c74c9-wgxc9             2/2     Running     1 (11d ago)   11d

注：正常运行期间，这里的组件POD状态应该都是Completed或Running。

除了直接手工执行kubectl命令的方式，也可以输入as6tui命令使用字符控制台界面直接进行操作：

[xspace@host151 ~]# sudo su
[root@host151 ~]# as6tui

执行as6tui命令时的界面如下，更多的按键操作参见界面上方的提示说明：

输入问号字符（?）可以查看所有完整的帮助文字，输入s可以进入当前选中的组件内部shell交互，输入:q可以退出整个字符控制台界面。

网络配置

一般情况下，虚拟机主节点的IP地址就可以作为云空间管理端的正式对外访问入口地址。但是在某些场景中，最终用户使用的云空间客户端软件要想访问管理端，还需要通过外层的端口转发、反向代理或虚拟IP路由等额外的配置，才能到达管理端所在的虚拟服务器，例如配置了浮动IP、公网IP、私网或公网域名等机制的场景。这就要求负责提供云空间管理端web服务的nginx服务器能够允许浏览器或客户端程序使用其它的IP地址或域名来访问云空间管理端。

我们可以通过修改容器集群中的nginx服务器配置来实现上述目的。

在云空间管理端的nginx服务器配置中，通过下面的地址列表来限制允许从哪些主机地址反向代理到本站点：

[xspace@host151 ~]$ sudo kubectl describe configmap/nginx-conf -n nginx | grep -w ^map -A 6
map $http_host $is_allowed {
  default 0;
  xspace.local 1;
  192.222.8.153 1;
  192.222.8.152 1;
  192.222.8.151 1;
}

通过如下命令编辑nginx配置文件，按需增加浮动IP、公网IP、私网或公网域名等实际用于反向代理的目标地址，并且保存，然后将nginx服务重启即可。

[xspace@host151 ~]$ sudo kubectl edit configmap/nginx-conf -n nginx
[xspace@host151 ~]$ sudo kubectl rollout restart daemonset/nginx -n nginx
daemonset.apps/nginx restarted

注：将来如果对云空间管理端进行了版本升级，需要对这里的自定义网络配置进行持续维护。

高级配置

以下是针对云空间管理端的更多高级配置，均为可选步骤，请根据现场实际需求选择执行。

短信认证设置

如果现场环境需要启用短信认证机制，请首先确认从管理端可以访问互联网上的阿里云短信服务：

[xspace@host151 ~]# ping dysmsapi.aliyuncs.com
PING popunify-public.cn-zhangbei-center.aliyuncs.com.vipgds.alibabadns.com (106.11.45.35) 56(84) 字节的数据。
64 字节，来自 106.11.45.35 (106.11.45.35): icmp_seq=1 ttl=36 时间=37.5 毫秒
64 字节，来自 106.11.45.35 (106.11.45.35): icmp_seq=2 ttl=36 时间=37.7 毫秒
64 字节，来自 106.11.45.35 (106.11.45.35): icmp_seq=3 ttl=36 时间=38.6 毫秒

如果访问阿里云短信服务正常，请执行如下脚本启用短信认证机制：
[xspace@host151 ~]# sudo /opt/installation/scripts/enable_smsconfig.sh

注：由于短信内容携带服务方签名信息，请根据实际需要的场景启用该项机制

云平台类型设置

云空间管理端支持添加多种类型的云平台作为基础设施资源池，在管理web界面上执行添加云平台操作时，可以看到众多可用的云平台类型列表，如果希望隐藏某些不必要显示出来的云平台类型，可以执行 /opt/installation/scripts/enable_platforms.sh 脚本来控制前端界面上需要显示出来的可用类型清单。

注：该脚本默认已经设置了不同合作伙伴的场景下希望显示和隐藏的云平台类型，可以在执行脚本时使用合作伙伴名称作为参数，例如执行 /opt/installation/scripts/enable_platforms.sh astute 将默认配置好astute希望显示的云平台类型列表，等待操作人员确认即可。

防火墙设置

已经安装好的云空间管理端虚拟机节点上，默认尚未启动防火墙服务：

[xspace@host151 ~]# systemctl is-active firewalld
inactive

如果需要在所有节点上启动防火墙，请确认/opt/installation/scripts/enable_firewall.sh脚本中已经填写了容器集群中所有节点的地址，然后把这个脚本拷贝到其它节点上：

[xspace@host151 ~]# grep ^NODE_IPS /opt/installation/scripts/enable_firewall.sh
NODE_IPS=(<font color=blue>192.222.8.151 192.222.8.152 192.222.8.153</font>)

最终在所有节点（包括主节点和从节点）上执行该脚本，启动防火墙服务：

[xspace@host151 ~]# sudo /opt/installation/scripts/enable_firewall.sh

在从节点上执行该脚本时，请使用实际拷贝到的路径。

中间件控制台设置

云空间管理端依赖的各种中间件服务，例如nacos、redis等等，各自都有对外提供的管理web控制台，一般情况下，无需开启这些管理控制台。如果技术运维人员需要查看或修改某项中间件服务的内部配置，可以临时打开，不再使用时请执行脚本关闭。

打开和关闭中间件控制台的命令分别是：

[xspace@host151 ~]# sudo /opt/installation/scripts/enable_middlewares_console.sh on

[xspace@host151 ~]# sudo /opt/installation/scripts/enable_middlewares_console.sh off

如需访问中间件控制台，请按enable_middlewares_console.sh脚本执行的提示进行操作。

安装后的备份

云空间管理端安装并配置完成后，确认运行状态已经正常，建议进行初始配置数据的备份：

[xspace@host151 ~]# mkdir backups
[xspace@host151 ~]# sudo /opt/installation/scripts/backup_as6.sh ~/backups/
……

AS6备份操作已经完成，备份数据存放在 /home/xspace/backups/
本次备份数据的总大小: 36M

备份完成的数据被放在指定的目录中，建议压缩打包，复制到外部环境中保存。

部署SDWAN网关

关于SDWAN

SDWAN是下一代专线级智能广域网，基于私有协议的传输优化技术，有效分配网络资源，提供低成本、低时延、高效率、高品质、智能化的网络传输。

SDWAN的技术优势：

灵活访问：支持多种链路及设备接入，满足居家、出差等各种应用场景下用户的安全访问。
网络加速：协议连接加速，优化带宽占用，提供更流畅更高性能的接入体验。
可靠连接：可靠传输协议，保障不同网络条件下稳定连接。

SDWAN服务端是作为外部接入的网关服务而存在的，与云空间管理端的主体部分一样，它也是以虚拟机的形态被部署在底层超融合/云平台上。

SDWAN相关的具体部署过程说明资料请向厂家索取。

关于许可证

默认安装好的云空间管理端支持维护最多10个云桌面，以及两个月的试用期。如果增加桌面实例数量或延长使用期限，请以管理员的身份登录到管理后台，在“系统->许可证”界面上进行许可证申请操作。

注：如果云空间管理端虚拟机的规格配置、网络配置发生变更，请根据提示重新完成许可证的更新。

系统管理

概述

当云空间管理端安装部署完毕，并执行安装后的验证结果正常，就可以通过浏览器访问并登录到管理后台。请根据所在的环境上下文输入主节点的地址打开管理后台的登录页面：https://x.x.x.x。

从浏览器打开 https://x.x.x.x 时，默认访问的是系统管理登录页面 https://x.x.x.x/admin，如果希望访问租户管理入口，请在浏览器地址栏输入 https://x.x.x.x/tenant，对于新建的环境，默认的管理账号为xspace，密码请咨询厂商，首次登录之后建议修改该默认密码为私有密码，注意保密。

在系统管理入口界面上，请以系统管理员的账号、密码登录，进行全局系统级的运维管理操作。

登录成功后看到的概览页面，是包含整个云空间系统中所有管理资源对象的总体统计：

点击“系统->关于”，可以查看当前安装的软件版本信息，后续如有技术问题需要向厂家反馈，请附加现场的版本信息。

核心概念

云空间管理端的核心对象概念，以及相互之间的关系，如下图所示：

云空间支持对接各种开源、商用的底层超融合/云平台，这些云平台中的虚拟机逻辑分组机制（例如项目、分组、主机池等）被云空间管理端统一抽象为“项目”的概念，系统管理员将这些“项目”添加引入到云空间后，就可以在各个租户名下，基于这些“项目”资源，创建出各种形态的桌面池，包括专用桌面池、动态桌面池、托管桌面池等，不同形态的桌面池中的桌面在资源归属、生命周期、管理方式等维度上存在差异，从而满足不同场景的需求。

管理员对桌面的权限管控，采用策略/策略组的形式定义，并被应用到最终的桌面上，每个桌面被分配到期望的用户。每个租户名下可以有完全独立的用户命名空间，所以用户资源是专属于特定的租户命名空间的，每个租户名下都可以创建属于自己的用户列表，用户名称可以相同但是并不冲突，甚至不同的租户名下可以各自与不同的AD域进行集成认证。

多平台与多租户机制相结合，极大地扩展了云空间概念的逻辑范围，是各种规模化统一管理场景的概念基础。

主要操作

云空间系统管理员需要关注的主要操作：

云平台管理
镜像管理
模板管理
角色权限管理
软件版本管理
系统参数配置
租户管理

云空间租户管理员需要关注的主要操作：

用户管理
策略组管理
桌面池管理
会话管理

租户管理

默认新部署的云空间环境中，已经预置了两个租户，在“系统->租户”栏目中，可以看到有“toc”和“default”这两个租户：

其中的“toc”租户是为个人用户准备的，在政企用户场景中不需要关注。“default”租户是默认的空白租户命名空间，在非正式的测试场景可以直接使用。在正式落地的场景中，建议根据子公司、部门、地域、分支机构等实际需求，创建更多的租户，租户可以拥有独立的用户命名空间和管理入口。

在“系统->租户管理员”栏目中，可以为租户创建专用的管理员账号，每个租户可以有一个主管理员，以及多个子管理员：

系统管理员也可以充当租户的代运维管理员，例如默认的管理员账号“xspace”，同时也是“default”租户的管理员：

系统管理员或租户管理员可以在管理页面右上角的下拉列表中，看到自己名下正在管理的租户列表：

在该下拉列表中，点击指定的租户名称，就可以切换到对应的租户上下文，进行租户级别的运维管理。

注：关于租户上下文中的更多管理操作细节，请参见本文档的“租户管理”章节

角色权限管理

云空间管理端默认内置了系统管理员、运维管理员、代运维管理员、租户管理员、终端用户等多种用户角色：

系统管理员可以根据实际场景需求创建更多自定义的用户角色：

并进一步细化自定义角色的权限：

云平台管理

云平台概述

云空间管理端是以多台虚拟机的形式，被部署运行在IaaS虚拟化云平台上，支持添加一个或多个云平台接入信息到它的云平台资源列表中，作为底层的基础算力资源池。云空间管理端可以通过访问这些云平台的API接口，同步其中的资源，以及在其中创建和维护新的云桌面虚拟机对象。

在云空间管理端中添加云平台接入信息，是给新部署好的云空间提供算力资源的第一步。在现实场景中，访问不同的云平台需要使用的接入信息内容格式不尽相同，请根据对应的云平台类型填写相应的接入属性字段。

添加云平台

以添加OpenStack云平台为例，操作步骤如下：

从系统控制台页面访问“资源->云平台”：

点击“添加”按钮：

输入访问OpenStack云平台的各项属性信息，然后点击“确定”按钮：

注：由于每个云平台实际对应的物理网络位置可能并不相同，因此这里可以为每个云平台设置不同的接入网关，接入网关的配置界面位于“资源->网络->接入网关”，需要外网接入的场景通常需要预先配置好网关，再在这里应用到云平台上。

除了OpenStack开源云平台，还支持其它多种商用超融合/云平台类型，不同类型的填写方式不完全相同。例如在某些超融合/云平台产品中，以逻辑分组的形式对虚拟机资源进行分类管理，而云桌面只是其中一种类别，此时可以通过设置“根分组”或“分组前缀”的方式对云桌面虚拟机进行逻辑归类。对于这种场景，请预先在超融合/云平台环境中创建好对应的分组：

对于新添加的云平台，系统会立刻自动发起资源同步操作，点击表格中的“状态”列，会弹出同步操作的详细情况标签，请耐心等待首次同步完成。

如果填写的云平台访问地址、认证参数等属性有错误，会出现云平台离线的现象，请检查输入的各项属性值是否正确。

如果由于网络状况等原因导致访问云平台的速度较慢，可能出现同步超时的现象，可以点击表格右侧的“更多->同步”按钮，手工触发再次同步的操作。

如果过于频繁地进行云平台同步操作，可能会看到如下图中的提示，请稍后再重新尝试同步：

如果云平台同步出现其它失败的情况，请确认云平台各项参数填写正确。如参数无误但是仍然出现同步失败，请将异常提示的详情，以及云平台的位置、版本等背景信息收集起来，联系技术支持人员处理。

添加联想云平台

以添加联想云平台为例，操作步骤如下：

首先在联想云平台中预建好用于部署VDI云桌面的“业务组”，首先打开“业务组”的管理页面，如下图所示：

注：作为云桌面场景常用的版块，建议将“业务组”的入口菜单标注星号，收藏到左侧导航栏。

接下来可以点击右上角的“新建业务组”按钮，进行“业务组”的创建：

这里的“业务组“是联想云平台中对虚拟机资源进行逻辑分组的手段，这里我们可以约定指定名称的开头，作为云桌面虚拟机所在的分组。例如所有“VDI”开头的业务组都将作为云桌面虚拟机所在的组，这些业务组将会被导入到云空间系统中，成为“项目”。最终基于这两些“项目”就可以按需创建各种类型的桌面池，每个桌面池对应一个“项目”，每个“项目”对应一个名称中带有“VDI”前缀的业务组，这三者是一一对应的关系，“项目”概念的作用就是负责将桌面池与子分组进行关联。

这里可以直接在联想云平台业务组中预先创建好云主机，将来同步到云空间中作为云桌面资源，也可以待后续在云空间系统中创建好的桌面池中创建云桌面（推荐做法）。例如下图是在名为VDI001的业务组中创建了一个Windows虚拟机：

创建好的Windows虚拟机位于VDI001的业务组中：

注：在接下来的步骤中，我们将会把这些业务组导入到云空间系统，推荐在云空间系统中创建云桌面虚拟机。

接下来从云空间的系统控制台页面访问“资源->云平台”：

点击“添加”按钮：

输入调用联想云平台API接口的各项参数信息，然后点击“确定”按钮：

注：由于每个云平台实际对应的物理网络位置可能并不相同，因此这里可以为每个云平台设置不同的接入网关，接入网关的配置界面位于“资源->网络->接入网关”，需要外网接入的场景通常需要预先配置好网关，再在这里应用到云平台上。

对于新添加的云平台，系统会立刻自动发起资源同步操作，点击表格中的“状态”列，会弹出同步操作的详细情况标签，请耐心等待首次同步完成。

如果填写的云平台访问地址、认证参数等属性有错误，会出现云平台离线的现象，请检查输入的各项属性值是否正确。

如果由于网络状况等原因导致访问云平台的速度较慢，可能出现同步超时的现象，可以点击表格右侧的“更多->同步”按钮，手工触发再次同步的操作。

如果过于频繁地进行云平台同步操作，可能会看到如下图中的提示，请稍后再重新尝试同步：

如果云平台同步出现其它失败的情况，请确认云平台各项参数填写正确。如参数无误但是仍然出现同步失败，请将异常提示的详情，以及云平台的位置、版本等背景信息收集起来，联系技术支持人员处理。

添加ZStack云平台

以添加ZStack云平台为例，操作步骤如下：

首先在ZStack云平台中预建好用于部署VDI云桌面的云主机分组，如下图所示：

这里的“VDI云桌面”分组将会作为所有云桌面虚拟机所在的根分组，而其下的一级子分组“vmgroup001”、“vmgroup002”，将会被导入到云空间系统中成为“项目”，最终基于这些“项目”就可以按需创建各种类型的桌面池，每个桌面池对应一个“项目”，每个“项目”对应一个子分组，这三者是一一对应的关系，“项目”概念的作用就是负责将桌面池与子分组进行关联。

注：此处根分组的名称可以自定义，只要在后续添加云平台时填写一致即可。

这里可以直接在各个子分组中预先创建好云主机，将来同步到云空间中作为云桌面资源，也可以待后续在云空间系统中创建好的桌面池中创建云桌面（推荐做法）：

接下来从云空间的系统控制台页面访问“资源->云平台”：

点击“添加”按钮：

输入调用ZStack云平台API接口的各项参数信息，然后点击“确定”按钮：

注：由于每个云平台实际对应的物理网络位置可能并不相同，因此这里可以为每个云平台设置不同的接入网关，接入网关的配置界面位于“资源->网络->接入网关”，需要外网接入的场景通常需要预先配置好网关，再在这里应用到云平台上。

对于新添加的云平台，系统会立刻自动发起资源同步操作，点击表格中的“状态”列，会弹出同步操作的详细情况标签，请耐心等待首次同步完成。

如果填写的云平台访问地址、认证参数等属性有错误，会出现云平台离线的现象，请检查输入的各项属性值是否正确。

如果由于网络状况等原因导致访问云平台的速度较慢，可能出现同步超时的现象，可以点击表格右侧的“更多->同步”按钮，手工触发再次同步的操作。

如果过于频繁地进行云平台同步操作，可能会看到如下图中的提示，请稍后再重新尝试同步：

如果云平台同步出现其它失败的情况，请确认云平台各项参数填写正确。如参数无误但是仍然出现同步失败，请将异常提示的详情，以及云平台的位置、版本等背景信息收集起来，联系技术支持人员处理。

添加SmartX云平台

以添加SmartX云平台为例，操作步骤如下：

首先在SmartX云平台中创建用于部署VDI云桌面的虚拟机组，如下图所示，请点击右上角的创建菜单，选择“创建虚拟机组”：：

输入虚拟机组的名称：

这里约定统一以“VDI-”作为前缀来命名，创建若干虚拟机组。这些虚拟机组将被同步到云空间系统中成为“项目”，最终基于这些“项目”就可以按需创建各种类型的桌面池，每个桌面池对应一个“项目”，而每个“项目”又对应SmartX云平台中的一个虚拟机组。这三者是一一对应的关系，“项目”概念的作用就是负责将桌面池与虚拟机组进行关联。

注：虚拟机组的名称前缀可以自定义，只要在后续添加云平台时填写一致即可。

注：请在左下角将“集群层级下展示”切换到“虚拟机组”，就可以看到左侧的目录树展示了可用的虚拟机组。

我们可以直接在SmartX云平台的虚拟机组中预先创建好虚拟机，将来同步到云空间中作为云桌面资源，也可以待后续在云空间系统中创建好的桌面池中再创建云桌面（推荐做法）：

接下来从云空间的系统控制台页面访问“资源->云平台”：

点击“添加”按钮：

输入调用SmartX云平台API接口的各项参数信息，然后点击“确定”按钮：

注：由于每个云平台实际对应的物理网络位置可能并不相同，因此这里可以为每个云平台设置不同的接入网关，接入网关的配置界面位于“资源->网络->接入网关”，需要外网接入的场景通常需要预先配置好网关，再在这里应用到云平台上。

这里填写的分组前缀字段，请保持与SmartX云平台中预备好的虚拟机组名称特征相符合，也可以在添加云平台之后创建更多虚拟机组，再次进行如下所述的同步操作，就可以获取到新的虚拟机组信息。

对于新添加的云平台，系统会立刻自动发起资源同步操作，点击表格中的“状态”列，会弹出同步操作的详细情况标签，请耐心等待首次同步完成。

如果填写的云平台访问地址、认证参数等属性有错误，会出现云平台离线的现象，请检查输入的各项属性值是否正确。

如果由于网络状况等原因导致访问云平台的速度较慢，可能出现同步超时的现象，可以点击表格右侧的“更多->同步”按钮，手工触发再次同步的操作。

如果过于频繁地进行云平台同步操作，可能会看到如下图中的提示，请稍后再重新尝试同步：

如果云平台同步出现其它失败的情况，请确认云平台各项参数填写正确。如参数无误但是仍然出现同步失败，请将异常提示的详情，以及云平台的位置、版本等背景信息收集起来，联系技术支持人员处理。

查看云平台

对于成功同步的云平台，点击云平台列表右侧的“管理”按钮，可以查看从该平台中同步过来的各项资源。如果某项资源不适合或者不希望将来被桌面池使用，可以点击表格右侧的“维护”按钮，将其设置成“维护中”的状态。

注：不同类型的云平台，在这里可以看到的被同步过来的资源类型并不完全相同，同样的资源名称，在不同的云平台中对应的概念也不完全相同。

对于OpenStack云平台，可以在“集群”栏目中查看同步过来的计算节点信息：

查看联想云平台

对于成功同步的联想云平台，点击云平台列表右侧的“管理”按钮，可以查看从该平台中同步过来的各项资源：

例如这里看到的模板资源，就是对应于联想平台中的模板：

其它如共享网络、磁盘类型表格中展示的内容也是从联想平台同步过来的概念对象。如果联想云平台中的某项资源不适合或者不需要将来在桌面场景中看到或使用，可以点击表格右侧的“维护”按钮，将其设置成“维护中”的状态。

注：不同类型的云平台，在这里可以看到的被同步过来的资源类型并不完全相同，同样的资源名称，在不同的云平台中对应的概念也不完全相同。

除了基础资源，还可以在“集群”栏目中查看同步过来的集群信息：

查看ZStack云平台

对于成功同步的ZStack云平台，点击云平台列表右侧的“管理”按钮，可以查看从该平台中同步过来的各项资源：

例如这里看到的镜像列表，就是对应于ZStack平台中的镜像：

如果ZStack平台中的某项资源不适合或者不需要将来在桌面场景中看到或使用，可以点击表格右侧的“维护”按钮，将其设置成“维护中”的状态。

注：不同类型的云平台，在这里可以看到的被同步过来的资源类型并不完全相同，同样的资源名称，在不同的云平台中对应的概念也不完全相同。

除了基础资源，还可以在“集群”栏目中查看同步过来的ZStack集群信息：

查看SmartX云平台

对于成功同步的SmartX云平台，点击云平台列表右侧的“管理”按钮，可以查看从该平台中同步过来的各项资源：

例如这里看到的模板列表，就是对应于ZStack平台中的模板：

注：请在SmartX云平台管理页面的左上角切换到“内容库”，然后点击侧边栏的“虚拟机模板” 。

如果SmartX平台中的某项资源不适合或者不需要将来在桌面场景中看到或使用，可以点击表格右侧的“维护”按钮，将其设置成“维护中”的状态。

注：不同类型的云平台，在这里可以看到的被同步过来的资源类型并不完全相同，同样的资源名称，在不同的云平台中对应的概念也不完全相同。

除了基础资源，还可以在“集群”栏目中查看同步过来的SmartX集群信息：

添加项目

云空间中的“项目”是用于衔接桌面池与各种云平台虚拟机资源分组集合概念的重要媒介。通过“项目”可以将底层云平台中的云桌面虚拟机集合映射到云空间中，每个“项目”对应一个新建的“桌面池”对象，从而使得云空间可以对位于该集合中的云桌面虚拟机进行算力资源管理。

在“项目”栏目中，点击“添加”按钮，将云平台中的“项目”资源添加到云空间管理后台：

注：一般情况下，各种云平台中通常以“项目”、“分组”、“指定前缀的分组”，或类似的概念对自己的虚拟机资源进行分类管理，此处的“添加项目”操作，是有意将平台上专用于云桌面的虚拟机资源类别引入到云空间管理后台进行维护。

添加完成后，可以查看到项目信息：

与云平台的操作类似，点击“项目”表格右侧的“更多->同步”，可以针对该项目发起资源同步，点击“管理”按钮可以查看该项目名下的资源信息。

作为新加入的云平台，以上添加项目的过程是必须的，请在云平台内部预先准备好为云桌面服务的“项目”、“分组”、“指定前缀的分组”或其它类似概念的资源，然后把它们添加到云空间中，然后接下来才能基于它们创建出桌面池。

添加联想云平台业务组为项目

云空间中的“项目”是用于衔接桌面池与各种云平台虚拟机资源分组集合概念的重要媒介。通过“项目”可以将联想云平台中指定前缀的“业务组”映射到云空间中，每个“项目”对应一个新建的“桌面池”对象，从而使得云空间可以对位于该“业务组”中的云桌面虚拟机进行算力资源管理。

在“项目”栏目中，点击“添加”按钮，将联想云平台中的“业务组”作为“项目”添加到云空间管理后台：

注：一般情况下，各种云平台中通常以“项目”、“分组”、“指定前缀的分组”，或类似的概念对自己的虚拟机资源进行分类管理，此处的“添加项目”操作，是有意将平台上专用于云桌面的虚拟机资源类别引入到云空间管理后台进行维护。

添加完成后，可以查看到项目信息：

与云平台的操作类似，点击“项目”表格右侧的“更多->同步”，可以针对该项目发起资源同步，点击“管理”按钮可以查看该项目名下的资源信息。

点击“项目”表格右侧的“管理”，进入项目，可以看到云主机已经被同步过来了：

作为新加入的云平台，以上添加项目的过程是必须的，请在ZStack云平台内部预先准备好为云桌面服务的“根分组”、“子分组”，然后把它们添加到云空间中，然后接下来才能基于它们创建桌面池。

添加ZStack子分组为项目

云空间中的“项目”是用于衔接桌面池与各种云平台虚拟机资源分组集合概念的重要媒介。通过“项目”可以将ZStack云平台中指定虚拟机根分组下的“子分组”映射到云空间中，每个“项目”对应一个新建的“桌面池”对象，从而使得云空间可以对位于该“子分组”中的云桌面虚拟机进行算力资源管理。

在“项目”栏目中，点击“添加”按钮，将ZStack云平台中的“子分组”作为“项目”添加到云空间管理后台：

注：一般情况下，各种云平台中通常以“项目”、“分组”、“指定前缀的分组”，或类似的概念对自己的虚拟机资源进行分类管理，此处的“添加项目”操作，是有意将平台上专用于云桌面的虚拟机资源类别引入到云空间管理后台进行维护。

添加完成后，可以查看到项目信息：

与云平台的操作类似，点击“项目”表格右侧的“更多->同步”，可以针对该项目发起资源同步，点击“管理”按钮可以查看该项目名下的资源信息。

点击“项目”表格右侧的“管理”，进入项目，可以看到对应该项目的虚拟机“子分组”中的云主机已经被同步过来了：

作为新加入的云平台，以上添加项目的过程是必须的，请在ZStack云平台内部预先准备好为云桌面服务的“根分组”、“子分组”，然后把它们添加到云空间中，然后接下来才能基于它们创建桌面池。

添加SmartX虚拟机组为项目

云空间中的“项目”是用于衔接桌面池与各种云平台虚拟机资源分组集合概念的重要媒介。通过“项目”可以将SmartX云平台中指定的虚拟机组映射到云空间中，每个“项目”对应一个新建的“桌面池”对象，从而使得云空间可以对位于该“虚拟机组中的云桌面虚拟机进行算力资源管理。

在“项目”栏目中，点击“添加”按钮，将SmartX云平台中的“虚拟机组”作为“项目”添加到云空间管理后台：

注：一般情况下，各种云平台中通常以“项目”、“分组”、“指定前缀的分组”，或类似的概念对自己的虚拟机资源进行分类管理，此处的“添加项目”操作，是有意将平台上专用于云桌面的虚拟机资源类别引入到云空间管理后台进行维护。

添加完成后，可以查看到项目信息：

与云平台的操作类似，点击“项目”表格右侧的“更多->同步”，可以针对该项目发起资源同步，点击“管理”按钮可以查看该项目名下的资源信息。

点击“项目”表格右侧的“管理”，进入项目，可以看到对应该项目的虚拟机组中的虚拟机列表已经被同步过来了：

作为新加入的云平台，以上添加项目的过程是必须的，请在SmartX云平台内部预先准备好为云桌面服务的“虚拟机组”，然后把它们添加到云空间中，然后接下来才能基于它们创建桌面池。

镜像管理

镜像是用来创建云桌面的核心数据资源，它确定了被创建出来的云桌面虚拟机内部操作系统以及基础数据内容。

当添加云平台到云空间管理端并成功同步之后，可以在两个栏目页面中查看到镜像信息，例如在“资源->镜像->VDI镜像”：

或者是在查看云平台管理信息的页面上：

前者是查看来自所有云平台的所有系统VDI镜像列表（不含租户自定义镜像），后者是仅查看特定的云平台中的镜像列表。

当添加云平台并同步完成后，可以看到的是从超融合/云平台一侧上传或创建的镜像资源，这些镜像可以是由云桌面厂家提供的，或从操作系统ISO文件创建而来的。

对镜像进行编辑时，可以看到“系统用户/系统密码”的属性输入框，这里设置的账号密码是对应于该镜像中实际安装的云桌面操作系统中预设的登录凭据，从该镜像创建的云桌面，被最终用户发生连接时，需要使用该登录凭据进行内部操作系统的认证。

从该镜像创建的云桌面对象，也可以被设置登录凭据，其生效的优先级高于镜像的“系统用户/系统密码”的属性，将会在登录时优先被使用。

如果云桌面被设置为AD账号登录，则无论是镜像还是云桌面对象的登录凭据属性都不会被使用，而是会尝试使用AD账号/密码来登录桌面内部的操作系统。

注：某些超融合/云平台中并没有“镜像”的概念，上述登录凭据相关的概念和作用，将会被应用到下文即将提到的“模板”上。

镜像制作

云桌面镜像的初始来源是操作系统厂家提供的安装盘ISO文件，例如微软提供的Windows操作系统，国产信创桌面操作系统麒麟、统信、中科方德，或者开源Ubuntu、Debian、Deepin、CentOS等Linux桌面操作系统。通常在各种超融合/云平台环境上，都支持上传这些桌面操作系统官方发布的原始ISO文件，用来制作虚拟机镜像。

由于虚拟机镜像文件的体积较大（一般至少5G~10G左右，甚至20G~30G以上），制作过程重复，所以现实中通常是基于已经制作好的镜像文件进行二次加工。

镜像操作系统要求

Windows：
- Windows 7 x64 SP1
- Windows 10 x64（推荐21H2或以上版本）
- Windows 11 x64
Linux
- Ubuntu/Debian 20.04 或以上版本
- 统信1060 或以上版本
- 麒麟V10SP1 或以上版本
- Deepin 20.6 或以上版本

镜像制作过程建议

推荐的镜像制作步骤是：

将厂家提供的镜像文件上传到底层云平台
从云空间发起与云平台的信息同步
在云空间中找到并使用该镜像创建专用云桌面
在云桌面中对操作系统进行更多定制
- 按需对系统进行优化
- 安装或更新云空间代理端组件
- 安装业务应用软件
- 配置个性化
- 更多定制化操作
将该云桌面保存为新的镜像

这样一来，最终创建的新的镜像就可以作为云空间的常规基础镜像来使用。

安装云空间代理端组件

注：以下操作过程，请参考租户管理版块中的专用桌面池文档，创建一个专用的临时桌面，然后从Web控制台或操作系统自带的远程桌面工具（如mstsc/ssh）进入桌面中进行操作。

对用于提取镜像的临时专用桌面，必须确保其中安装了云空间代理端组件。云空间代理端组件在Windows桌面和Linux桌面中的安装过程如下：

Windows桌面

操作系统优化包
远程桌面协议服务端
管理端代理组件

Linux桌面

操作系统优化包
远程桌面协议服务端
管理端代理组件

模板管理

通过镜像，加上虚拟机规格、网络、硬盘等必要的属性元素，共同组成云桌面模板。创建云桌面时，可以基于模板快速确定云桌面的各项属性配置，方便快捷地完成云桌面的批量创建。云桌面模板也被用于动态桌面池，配合特定的云桌面资源动态创建规则，动态桌面池管理系统可以自动创建预设基础模板的云桌面。

对于只有镜像，没有“模板”概念的底层超融合/云平台环境，云空间系统管理员可以基于镜像在云空间中定义模板。点击系统控制台中的“资源->模板->VDI模板”，可以查看和创建云桌面模板：

某些底层超融合/云平台系统中并没有通常意义上的“镜像”概念，而是支持将已有虚拟机保存为“模板”，然后基于“模板”创建更多虚拟机，从而满足虚拟机磁盘内容复制的要求，这些“模板”可以被同步到云空间中作为系统模板直接使用，管理员也可以在租户上下文创建更多自定义的模板。

策略组管理

策略组是系统管理员或租户管理员在云桌面管理后端对云桌面实施各种功能禁用、安全管控、数据防护、接入限制等管理策略的重要手段。管理员可以将各项管控措施进行分别定制录入，统一汇总，构建成为针对各种场景的策略组，然后在桌面池或桌面中，针对不同场景设置不同的策略组，从而让桌面的最终接入访问符合期望的控制目标。

具体的策略组是在每个租户上下文中，由租户管理员负责编辑，以及设置应用到具体的桌面或桌面池对象上的。在系统管理员的上下文中，只需要对预设的策略组模板进行编辑，供租户管理员取用。

策略组模板

由于策略组的配置项数量多，内容复杂，为了让创建策略组的过程简化，系统内置了策略组的模板。在具体的租户上下文中创建策略组时，可以根据内置的模板进行修复调整，形成符合自己要求的策略组。

在系统控制台中打开“资源->策略组模板”，可以看到新部署的环境中已经内置了一个策略组模板（“系统默认策略组”）：

可以对它进行编辑，调整各项默认值，或者创建更多的策略组模板，将来创建具体的策略组时可以省去重复的操作：

系统策略

在“资源->系统策略”中显示的系统策略，是云空间系统中预设的外部设备管控列表，由于技术或安全原因，某些云桌面客户端本地设备需要被禁止透传到云桌面内部：

注：默认的系统策略将被应用到所有桌面会话。一般情况下无需对此处的策略条目进行修改，如果遇到陌生设备透传到云桌面中导致系统失控或未知异常时，可以考虑通过编辑系统策略进行管控防护。

版本管理

云桌面最终用户需要安装的软件包，以及云桌面内部需要安装的各种后台服务、管理工具包，在环境部署期间都可以人工分发，以及手工进行部署。当随着软件产品的演进更新，这些软件包都不可避免地将会面临更新迭代。云空间管理后台的版本管理功能可以通过集中上传、自动分发、强制更新等机制省去现场操作的繁琐流程，做到快速化、自动化的系统更新。

云终端（即客户端）和代理端的版本管理都由系统管理员来负责维护，最终落地的版本升级措施，将会对云空间系统中所有租户上下文的所有用户和桌面资源统一生效。

客户端版本管理

上传版本

系统管理员在系统控制台中访问“系统->云终端版本”，可以查看当前上传的客户端安装包版本文件列表：

可以点击“上传版本”上传更多的安装包文件：

上传好的安装包，可以通过勾选“默认版本”将其作为指定的版本，最终用户打开自己的客户端软件时，将会收到建议更新到该版本的提示：

如果勾选了“强制更新”，则最终用户将会被要求强制升级到该版本之后，才能允许进一步登录使用。

下载中心

最终用户也可以通过管理网页提供的“下载中心”页面手工下载上传的安装包进行云空间客户端的安装。打开租户管理页面：https://x.x.x.x/tenant，在页面右上角可以点击“下载中心”链接，或直接访问完整网址：https://x.x.x.x/pages/download。

注：假设x.x.x.x是云空间管理后台的IP地址或访问域名

在下载中心页面可以看到由系统管理员上传的安装包，最终用户可以根据自己的客户端系统架构，在这里选择正确的版本点击下载，进行安装：

代理端版本管理

系统管理员在系统控制台中访问“系统->代理端版本”，可以查看当前上传的代理端安装包版本文件列表：

代理端版本的上传过程与客户端版本相同，但是它不会出现在下载中心页面上，因为代理端软件包是供云桌面内部进行更新升级的，无需最终用户人工干预，当云桌面内部不存在远程会话，或进行操作系统重启时，将会自动触发更新。

注：云桌面需要装有代理端Mole组件，并配置了正确的管理端地址，才会执行代理端更新操作，一般推荐在基础镜像中预先安装Mole组件并进行管理端地址配置。

系统参数

产品配置

系统管理员在系统控制台中访问“系统->系统参数->产品配置”页面可以对产品相关参数进行配置。

例如云终端的高级设置密码：

该密码用于控制在瘦终端上修改运行模式:

资源配置

系统管理员在系统控制台中访问“系统->系统参数->资源配置”页面可以对资源相关参数进行配置。

例如设置回收站中的云桌面资源保留时长，到期将会自动清理：

用户配置

系统管理员在系统控制台中访问“系统->系统参数->用户配置”页面可以对用户相关参数进行配置。

例如对不同的用户角色进行登录时段、密码相关选项的设置：

主题定制

系统管理员在系统控制台中访问“系统->主题定制->系统主题”页面可以对管理界面进行自定义主题设置：

修改完成后，请刷新浏览器页面，注销并重新登录，查看修改结果。

租户管理

概述

通过浏览器访问带有/tenant后缀的管理端web路径（例如：https://x.x.x.x/tenant），打开租户管理后台，然后使用租户管理员账号在该界面上登录，就可以进行租户级的运维管理操作。

注：默认部署的环境已经预设了“default”租户，xspace管理员已经是该租户的代运维管理员，可以切换到该租户上下文进行运维管理操作。

系统管理员也可以通过页面右上角的上下文切换菜单直接切换到代运维的租户上下文，在租户上下文中的概览页面上，显示的是该租户内部的各项产品、资源、状态的统计数据：

租户管理员需要关注的操作主要有：

用户管理
策略组管理
桌面池管理
终端管理
会话管理

以及对本租户上下文的系统参数配置和主题定制。

用户管理

云空间管理端的每个租户管理员都可以在租户上下文中创建属于该租户的用户命名空间，相对于下文即将提到的AD活动目录集成认证模式中使用的远程系统现有的企业用户账号而言，在云空间的某个租户名下创建的用户账号，可以称为云空间系统的“本地用户”。

不同租户名下的“本地用户”命名空间各自独立，即便存在重名的用户也互不干扰，因为用户身份的完整标识是“租户名称+用户名称”。

创建用户

在租户上下文创建的“本地用户”，支持以目录树架构的形式进行灵活组织，可以直接对应于现实中的政企人事体系架构：

在用户数量有限或完全扁平化的组织体系下，也可以采用简单的用户分组的形式：

注：最终创建的用户名、邮箱、手机号码都是必须是当前租户内部唯一的。

导入用户名单

对于已经存在的人员名单信息，可以通过整理Excel表格的方式导入现有数据，这样可以省去按用户进行手工输入的操作过程：

设置用户

租户管理员可以对已经创建的本地用户账号进行编辑&删除，以及密码重置、启用禁用、调整组织等操作：

注：当用户账号被禁用时，该用户将无法从任何终端登录并使用云桌面资源。

AD域集成认证

基于Windows Server环境的AD活动目录集成认证，是很多企业办公环境以及企业级软件应用常见的集成认证机制。云空间支持AD域集成认证，具体体现在两种场合：

云桌面内部系统登录支持AD域集成认证
云空间客户端登录支持AD域集成认证

云桌面内部系统登录支持AD域集成认证，指的是最终用户在连接到某个云桌面时，使用AD域账号和密码去进行云桌面内部操作系统会话的登录。该场景并不依赖于云空间管理端配置AD域集成认证：只要云桌面内部加入AD域，或者在托管桌面池中托管了一个已经加入了AD域的桌面，都可以在连接到云桌面时，手工输入AD域账号的域名、用户名、密码，触发登录到云桌面。

云空间客户端登录支持AD域集成认证，指的是最终用户在云空间客户端登录时能够使用已有的AD域账号和密码，该场景的前提是要在云空间管理端的租户上下文的用户管理界面中，配置正确的AD集成认证参数。

启用AD账号登录云空间

当配置参数正确时，点击“检测”应该能够提示AD域控制器在线，然后“确认”保存AD域认证配置。接下来继续点击“导入AD用户”按钮，将需要在云空间系统中进行认证登录的用户账号导入进来：

当某个租户上下文完成了AD域集成认证和AD用户账号的导入后，最终用户在登录时就可以输入AD域账号和密码进行认证，注意在客户端的登录界面上需要勾选“域用户”：

注：当配置了AD域账号认证之后，继续使用租户内部创建的本地用户在云空间客户端登录时，不要勾选“域用户”。

启用AD账号登录云桌面

当最终用户使用AD域账号成功登录云空间客户端，开始连接个人名下的云桌面时，默认情况下使用该云桌面附带的登录凭据信息，如果期望连接云桌面时继续尝试使用客户端登录时的AD域账号密码，需要租户管理员在该租户的上下文中启用“桌面使用域账号登录”：

启用该选项之后，将会强制使用登录客户端的AD域帐号凭证来连接云桌面，此时如果继续使用租户内部创建的本地用户在云空间客户端登录，就无法再连接到云桌面了。而且云桌面附带的认证参数信息也会被停止使用（参见“桌面池->桌面->更多->更新凭证”）：

只有当租户管理员关闭“桌面使用域账号登录”选项时，在桌面池中为桌面保存的登录凭证才会在客户端连接该桌面时被应用起来。

策略组管理

在系统管理版块中的策略组管理栏目中介绍了由系统管理员维护的默认策略组模板，在租户上下文中可以浏览到可用的系统默认策略组模板，租户管理员可以基于这些系统自带的默认的策略组模板来创建针对特定场景的策略组。租户管理员在实际维护策略组时，可以直接拷贝系统默认模板来进行使用，也可以在原有的模板基础上进行自定义的策略调整：

例如，系统默认策略组模板是允许各种外部设备接入的，如果希望禁止打印机和存储设备接入，可以在自定义的策略组中关闭这些选项：

需要注意的是云桌面中数据的传输有多种手段，如果要严格管控数据外泄，需要将所有可能导致数据流出的手段全部禁止才有意义：

桌面池管理

云空间租户中的桌面池，是云桌面对象的管理集合。不同类型的桌面池中的云桌面对象的初始来源、创建规则、生命周期等属性互不相同，从而满足不同场景下对云桌面资源的日常管理规则细节要求。

除了托管桌面池，其它类型的桌面池与系统管理中的“项目”都是一一对应的关系。只有当云空间系统资源池中具备了可用的云端“项目”资源，才能在租户中创建出一个与之对应的桌面池。而“项目”资源又来源于超融合/云平台中的虚拟机“项目”或虚拟机“分组”：

云空间支持的桌面池类型有三种：

托管桌面池
专用桌面池
动态桌面池

托管桌面池管理

托管桌面池是将已有的物理/虚拟桌面纳入云空间系统中进行管理，通过创建托管桌面池，可以将任意安装了代理端的远程桌面添加至该桌面池，并分配给最终用户。这可以包括任意的物理PC机、笔记本电脑等形态的桌面，或部署在Citrix、VMware平台上的云桌面虚拟机。

考虑到过渡和成本问题，需要将这些已有物理或虚拟桌面转化为云桌面统一进行资源管理和维护。典型应用场景如某些高性能计算工作站或设计工作站，由于其硬件配置成本和性能需求，企业可能希望继续使用现有的物理硬件，而非完全依赖虚拟桌面。通过托管桌面池可以将其纳入进行资源调度和管理。

注：对被托管主机操作系统版本的要求，请参考镜像制作章节。

创建托管桌面池

创建托管桌面池的过程比较简单，进入租户上下文的“产品->VDI桌面->托管桌面池”，点击“创建”按钮：

此处输入桌面池的名称和描述信息，点击“确认”按钮，就可以完成托管桌面池的创建。

添加托管桌面

点击托管桌面池表格中新建的桌面池对象右侧的“管理桌面”按钮，进入该桌面池中的桌面管理界面。点击“添加”按钮：

请在这里填写将要被充当云桌面的主机访问信息，可以是物理机或虚拟机，位置不限。

注：点击“一键生成”验证码之后，需要再点击右下角的“确认”按钮，提交当前页面上的操作，该验证码才会生效。

该主机上需要保证已经安装了云桌面代理端软件包，以及该桌面主机的地址和云桌面协议代理端对外开放的端口必须是可访问的。同时这里还需要填写该桌面的登录账号信息，使用的策略组，以及该桌面的操作系统、规格信息。

注：该桌面的操作系统、规格信息将会被显示在客户端的桌面卡片上。

此处生成的验证码，是在被托管的桌面主机中配置mole代理服务器时使用的，请在该主机中配置mole时，输入验证码：

注：仅对于托管桌面主机，这里的验证码是必须填写的，而其它类型的桌面池中的桌面中配置代理端时无需填写验证码。

查看托管桌面详情

点击桌面列表中的桌面名称，在网页右边可以看到弹出的关于该桌面的更多详情，除了桌面的基本信息，以及桌面任务信息，还有部署运行在桌面内部的代理信息，关于各项代理状态与作用的描述参见专用桌面池章节。

分配托管桌面

添加完成的托管桌面，可以直接分配给指定的最终用户进行接入使用。点击桌面表格中新增桌面右侧的“更多->分配”按钮，选择用户即可：

专用桌面池管理

专用桌面池，又称静态桌面池，是为那些需要长期固定使用持久化桌面的用户提供的解决方案。这种类型的用户都有一个或多个专门的、固定的桌面实例，用户在每次登录时都会分配到相同的一个或多个桌面环境，在其中进行办公、设计、研发等操作，个人数据可以持久化保留在桌面中。

创建专用桌面池

进入租户上下文的“产品->VDI桌面->专用桌面池”，点击“创建”按钮：

请选择空闲的“项目”资源，输入桌面池的名称和描述信息，点击“确认”按钮，就可以从该项目创建一个专用的桌面池。

查看专用桌面

点击专用桌面池表格中新建的桌面池对象右侧的“管理桌面”按钮，进入该桌面池中的桌面管理界面：

如果云平台的项目中已经有创建好的现成的虚拟机资源，这里将可以看到被同步过来的云桌面。

注：对于新建的专用桌面池，可能需要等待10到30秒左右，才能看到从云平台中同步过来的虚拟机列表，请稍等片刻。

创建专用桌面

租户管理员在专用桌面池中可以按需创建更多新的云桌面，点击桌面池管理页面中的“创建”按钮，在弹出的页面上填写云桌面的各项配置参数：

点击“下一步：基本信息”：

点击“下一步：高级信息”：

点击“下一步：确认信息”：

点击“确认信息”，完成创建云桌面的配置交互，接下来将会触发桌面池所在的云平台进行桌面虚拟机的创建流程。

注：创建云桌面的上述交互过程，对于不同的云平台类型有细节上的差异，具体步骤请以实际云平台类型的操作页面显示为准。

注：如果要在OpenStack云平台上创建带有虚拟显卡（vGPU）设备的云桌面，请选择正确的规格，例如选择名称中带有gpu字样的规格。另外，对于不同的云平台类型，具体指定vGPU的方式也各不相同。

如果创建过程中发生错误，导致云桌面创建失败，请点击表格中的“桌面名称”，在展开的详情页面中切换到“桌面任务”，这里可以看到关于失败原因的详细信息：

注：详细信息一般内容较多，将鼠标停留在“详细信息”文字上可以看到关于失败提示的底层错误信息的完整文字，请将信息内容截图反馈给技术支持人员。

维护专用桌面

对于已有的专用云桌面，点击表格中的“更多”按钮可以看到支持以下维护操作：

控制台：通过web浏览器直接访问云桌面控制台画面，进行简单的维护性质操作
开机/关机：对云桌面虚拟机进行上下电，通知云桌面内部操作系统安全关机
重启/强制重启：对云桌面虚拟机进行安全重启或强制电源操作重启
分配/批量分配/取消分配：将一个或多个云桌面分配给指定用户，或取消与用户的关联关系
更新凭证：修改用于登录该云桌面内部操作系统的密码
重置密码：修改云桌面内部的操作系统密码
修改协议：修改通过客户端连接云桌面时使用的网络端口参数
关联策略组：将策略组应用到该云桌面
绑定终端：限制为某个云终端才能访问该云桌面
挂载/卸载云硬盘：将云硬盘绑定到云桌面或解除绑定
还原桌面：将云桌面还原为初始镜像的状态，注意桌面内部的用户数据将会丢失
变更桌面：修改云桌面的规格配置
提取镜像：将云桌面保存为镜像
提取日志：获取云桌面内部的日志数据，用于故障诊断
删除：删除该云桌面，默认将会进入回收站等待最终清理

查看桌面详情

点击桌面列表中的桌面名称，在网页右边可以看到弹出的关于该桌面的更多详情，除了桌面的基本信息，以及上面提到的桌面任务信息，还有部署运行在桌面内部的代理信息：

这里的Mole、HSRServer、USBRedirect三个组件的作用和意义请参考本手册系统架构章节中关于代理端组件的介绍。此处可以看到当前桌面内部实际安装的每个组件的具体版本号和安装时间，以及组件服务的运行状态。需要注意的是：

如果Mole服务处于离线状态，则HSRServer、USBRedirect的状态将会是未知的，并且无法对该桌面执行提取日志的操作；
如果HSRServer服务不是正常运行状态，则最终用户无法通过云空间客户端连接到该桌面；
如果HSRUsbRedirect服务不是正常运行状态，则最终用户将无法使用USB外设透传服务；

遇到以上问题时，请系统/租户管理员通过控制台或其它手段，进入该桌面内部排查对应的组件是否正常安装并运行。反之也一样，如果最终用户主动上报云桌面连接不上的问题时，请管理员首先在桌面池中查看并确认该桌面的代理信息是否正常。

注：以上关于代理状态的描述对其它类型的桌面池也适用。

删除专用桌面池

如果要删除专用桌面池，需要先将该桌面池中已有的桌面全部删除，包括回收站中的桌面，也要清理完毕，才能删除该桌面池。

动态桌面池管理

动态桌面池，又称浮动桌面池，是为那些一次性使用工作任务桌面的用户提供的解决方案，这种类型的用户通常是在窗口服务、呼叫中心、课程学习等场景下使用桌面的，通常使用桌面内部的单一软件如浏览器、拨号软件、业务软件等进行工作，不需要再在桌面内部保存资料，桌面用完就可以销毁，下次使用时再次新建，防止桌面内部使用期间的各种故障。

创建动态桌面池

进入租户上下文的“产品->VDI桌面->专用桌面池”，点击“创建”按钮：

相对专用桌面池，动态桌面池的关键属性是“模板归属”，这个属性决定了该桌面池中将来创建的所有桌面的统一样式，包括使用的镜像，规格，网络等核心属性，所有动态产生的桌面在这些核心属性上都是完全一致的。

与动态产生的云桌面生命周期相关的其它桌面池选项还有：桌面最大数量、预创建的桌面数量、断开保留时长。请根据实际的可用资源以及需求规模合理设置，充分利用基础资源的同时，不影响最终用户在规则允许的前提上随时可以使用云桌面。

动态桌面池中的云桌面生命周期，将会由云空间系统在后台进行自动化管理，租户管理员仅需通过上述生命周期相关参数调节云桌面资源的规模，无须手工进行云桌面对象的创建、删除操作，也不需要将具体的云桌面分配给特定用户，而是预先指定了用户、用户组或组织机构分支。

设置动态桌面用户

点击动态桌面池表格中新建的桌面池对象右侧的“更多->分配”按钮，设置允许使用该桌面池中的用户：

在这里限定了一个最终用户集合，位于该集合中的最终用户，登录到客户端时，可以在桌面卡片中看到位于动态桌面池中的某个桌面。

该桌面可能是尚未创建的，也可能是预先分配好的。如果是尚未创建的桌面，当最终用户在客户端上发起连接时，需要后台根据指定的模板，为该用户实时新建一个云桌面，请耐心等待底层分配算力资源，完成云桌面对象的创建过程。

查看动态桌面详情

点击动态桌面列表中的桌面名称，在网页右边可以看到弹出的关于该桌面的更多详情，除了桌面的基本信息，以及桌面任务信息，还有部署运行在桌面内部的代理信息，关于各项代理状态与作用的描述参见专用桌面池章节。

维护动态桌面池

对于动态桌面池，除了分配用户，支持的维护操作还有：

变更模板：修改动态桌面池创建云桌面使用的模板
立即释放：将保留的云桌面资源全部删除
删除：删除动态桌面池

注：如果变更了模板，则接下来新建的动态桌面配置将会基于新的模板。而已经创好的桌面仍然保持旧的模板，此时可以通过点击按钮“重新创建“将已有的动态桌面更换为新的模板。

终端管理

最终用户可以通过专用瘦终端硬件设备登录到云空间，使用云桌面资源。由于瘦终端硬件设备通常归属于硬件资产，因此在某些场景下也需要纳入云空间系统的管理范围。租户管理员可以在“产品->瘦终端”页面上查看到曾经发起登录接入的瘦终端设备列表：

管理员可以查看更多关于瘦终端设备的详情，对指定设备进行关机、重启等常规的电源管理操作。

会话管理

通过“运维->会话->当前会话”页面，租户管理员可以查看本租户中正在连接到云桌面的所有会话：

通过“运维->会话->历史会话”页面，租户管理员也可以查看更多历史会话记录。

日志管理

通过“运维->日志”栏目，租户管理员可以查看本租户中发生的管理、终端、登录等事件的日志，例如终端日志：

日志可以被导出，例如用于辅助技术支持人员的诊断事宜。

系统参数

租户管理员在租户上下文中访问“系统->系统参数”页面可以对本租户内部的某些运行参数进行配置。

当某个参数在系统管理控制面板上同样存在时，其位于租户上下文的配置优先级高于系统全局配置。

例如与云终端相关的“高级设置密码”，将会覆盖系统管理员的同样设置。

在租户的产品配置参数页面中，与AD域登录相关的“桌面使用域账号登录”，已经在AD域认证章节中提及。

在租户的资源配置参数页面中，可以设置“云桌面保留时间”，限制回收站暂存的资源数量。

在租户的用户配置参数页面中，可以对终端用户的接入进行管控：

主题定制

租户管理员在租户上下文中访问“系统->主题定制”页面可以对本租户管理页面的主题外观进行配置，该修改只影响当前租户。

终端接入

概述

当云空间管理端安装部署并配置完成后，再由租户管理员完成指定租户名下的用户、桌面等资源的配置，最终使用云桌面的用户就可以通过云空间终端软硬件设备进行接入，并使用该用户个人名下的云桌面资源。

注：“终端”是相对“云端”的概念，指的是最终用户在本地连接到局域网或互联网上的云空间中的桌面时，所使用的云空间客户端应用软件，或硬件设备。

如果使用的是软件客户端，需要在用户的个人电脑或笔记本上安装、运行云空间客户端软件包；如果使用的是硬件，请领取瘦终端设备，在其中预先配置了待接入的远端云空间地址等选项，最终用户可以直接开机登录使用；如果是在用户个人手机平板等移动端便携设备上使用云空间客户端，请下载正式分发的App包进行安装使用。

注：使用终端接入云桌面期间，需要确保本地终端设备的局域网连接或互联网访问始终正常，并满足传输数据的带宽要求。

一般情况下在连接到远程桌面的会话中，占用带宽的主要数据流量有：画面、声音、数据拷贝、外部设备I/O等，键盘、鼠标的流量可以忽略不计。其中消耗带宽比例最大的一般是远程桌面的画面数据传输，影响画面数据量大小的因素又包括：分辨率、码率、帧率、单屏或双屏等。具体来讲，导致带宽流量显著增加的最终用户行为有：设置更大的分辨率、提高画面清晰度（码率增加）、桌面内部运行游戏或打开影视播放窗口（帧率升高）、本地连接了扩展屏幕。

在日常办公场景下，假设使用的是1920x1080分辨率，保持流畅度优先，未连接扩展屏幕，在远程桌面内部进行普通Office软件进行文字表格编辑的正常办公使用场景，推荐至少提供5Mbps以上的带宽，时延小于30毫秒。

对于在云桌面内部进行3D设计、视频播放的场景，至少提供30Mbps以上的带宽，时延小于30毫秒。

对于在云桌面内部进行高帧率交互动作类游戏的场景，建议提供50M~100Mbps的带宽，时延小于10毫秒。

安装说明

客户端安装

云空间客户端支持PC端（纯软件形态）、瘦终端硬件设备、移动端设备等多种形态。

终端形态

PC端

云空间客户端支持安装在已有的桌面PC机（或笔记本）上，支持的操作系统类型如下：

Windows PC机（或笔记本）
- Windows 7/10/11
- Windows Server 2019/2022
- x86_64处理器
- 安装说明
Linux PC机（或笔记本）
- Ubuntu (>= 20.04)
- Debian（>= 10.0）
- 包括x64/arm64/loongarch64/mips64架构
- 安装说明
MacOS PC机（或笔记本）
- 苹果Intel/ARM处理器 (Sierra以上架构)
- 安装说明
国产信创PC机（或笔记本）
- 统信桌面系统
- 麒麟桌面系统
- 中科方德桌面系统
- Deepin桌面系统
- 包括x86_64/arm64/loongarch64/mips64架构

瘦终端硬件设备

云空间客户端支持各种预安装好的瘦终端设备形态，具体内容请参见我们的瘦终端硬件产品报价清单。

移动端设备

云空间客户端支持安卓手机、安卓PAD平板形态，具体的安装过程采用标准通用的apk包形式。

获取安装包

云空间客户端软件安装包可以到云空间web管理后台的下载中心获取，通过浏览器访问：

https://x.x.x.x/pages/download/

x.x.x.x是云空间web管理后台的地址，在下载中心页面可以看到由系统管理员上传的安装包，最终用户可以根据自己的客户端系统架构，在这里选择正确的版本点击下载，进行安装：

Windows客户端安装

云空间客户端软件包的Windows版本，对外发布为exe安装格式，例如：

at-xspace_windows_x86_64_6.16.21.common.exe

安装包文件的名称中包含了多项有用的属性信息，其中绿色部分是表示当前安装包是针对x86_64处理器架构，蓝色部分是表示安装包的版本号为6.16.21。

安装步骤说明

将安装包下载到本地，双击启动安装向导程序，根据向导提示，逐步完成安装：

点击“下一步”。

点击“安装”。

如果是在Windows主机上的首次安装，此处提示需要重启当前电脑，请将需要保存的文档执行保存操作，关闭有用的应用软件后，点击“确定”。

然后点击“完成”，电脑开始重启，重启完成后，请从桌面图标或开始菜单找到云空间客户端的程序快捷方式，点击启动运行。

配置管理端地址

首次启动后，如果尚未配置任何云空间管理端地址，请点击右上角的“设置”齿轮图标，打开云平台设置界面：

请填写现场实际的云空间管理端地址，端口号默认为44301，如无特殊配置，保留该默认值即可。

配置完成后，可以点击“检测”按钮，测试是否能够正常连接到期望的云空间管理后台。

注：如果检测失败，请在客户端本地尝试ping云空间地址是否正常。

Linux客户端安装

云空间客户端软件包的Linux版本对外发布为标准deb包格式，例如：

at-xspace_linux_x86_64_6.16.21.common.deb

安装包文件的名称中包含了多项有用的属性信息，其中绿色部分是表示当前安装包是针对x86_64处理器架构，蓝色部分是表示安装包的版本号为6.16.21。

注：处理器架构目前支持Intel、AMD或海光的64位处理器，鲲鹏、飞腾的ARM位64处理器，龙芯loongarch64或mips64架构的处理器。

使用命令行界面安装

在Linux PC机桌面操作系统上首次执行安装时，推荐按照标准的deb包安装方式进行处理，例如：

sudo apt install -y ./at-xspace_linux_x86_64_6.16.21.common.deb

安装过程中将会把它依赖的其它标准软件包一起安装到当前PC机上，如果当前执行安装操作的PC机缺少某些依赖包，系统自带的apt命令将会到为PC机配置的安装源上自动下载。如果当前PC机上尚未预先配置好可用的安装源，或因网络原因无法访问位于外网上的安装源，可以根据依赖包的名称，在能够访问互联网的其它相同桌面系统版本的环境上，预先下载好需要的各个依赖包。例如获取缺少的libgles2依赖包：

sudo apt download libgles2

然后将下载好的libgles2软件包拷贝到linux电脑上，与云空间客户端软件包放在相同目录，手工进行统一批量安装：

sudo apt install -y ./*.deb

在国产统信、麒麟、方德、深度等桌面系统上安装客户端deb包的具体操作过程同上。

使用图形界面安装

如果曾经安装过，确认系统已经准备好依赖包，可以手工在图形界面上进行升级安装。例如在安装了麒麟操作系统的电脑主机上，可以双击deb安装包，根据向导提示，逐步完成安装：

点击“一键安装”。

在本地操作系统上，此处会提示安装新的软件包需要认证。

输入当前本地用户的登录密码。

已经开始安装。

安装成功，请从桌面图标或开始菜单找到云空间客户端的程序快捷方式，点击启动运行。

配置管理端地址

首次启动后，如果尚未配置任何云空间管理端地址，请点击右上角的“设置”齿轮图标，打开云平台设置界面：

请填写现场实际的云空间管理端地址，端口号默认为44301，如无特殊配置，保留该默认值即可。

配置完成后，可以点击“检测”按钮，测试是否能够正常连接到期望的云空间管理后台。

注：如果检测失败，请在客户端本地尝试ping云空间地址是否正常。

MacOS客户端安装

云空间客户端软件包的MacOS版本，对外发布为标准pkg包格式，例如：

at-xspace_macos_x86_64_6.16.21.common.pkg

软件包文件的名称中包含了多项有用的属性信息，其中绿色部分是表示当前安装包是针对x86_64处理器架构，蓝色部分是表示安装包的版本号为6.16.21。

注意：Apple MacOS M1版本支持的芯片从X86迁移到了ARM架构，通过自带的Rosetta技术，MacOS能够在ARM架构上同时兼容x86_64指令集，因此上述x86_64版本的pkg包也可以在M1以及更新的Apple硬件上安装运行。

安装步骤说明

将pkg包下载到MacOS笔记本或PC机上，双击启动安装向导程序，根据向导提示，逐步完成安装：

点击“继续”。

点击“安装”。

输入当前macos用户的密码，点击“安装软件”。

安装完成后，在MacOS的应用程序列表中找到云空间客户端，点击启动。

配置管理端地址

首次启动后，如果尚未配置任何云空间管理端地址，请点击右上角的“设置”齿轮图标，打开云平台设置界面：

请填写现场实际的云空间管理端地址，端口号默认为44301，如无特殊配置，保留该默认值即可。

配置完成后，可以点击“检测”按钮，测试是否能够正常连接到期望的云空间管理后台。

注：如果检测失败，请在客户端本地尝试ping云空间地址是否正常。

安卓端

安卓手机端安装

请通过微信（或客户内部分发手段）从管理员处获取安卓apk安装包，在个人手机上进行安装，

安装完成并启动后，如果尚未配置任何云空间管理端地址，请点击右下角“我的”，切换到个人的设置界面：

点击“云平台设置”，填写云平台的地址：

输入完成后，可以点击“检测”确认云平台访问是否正常。

安卓平板端安装

请通过微信（或客户内部分发手段）从管理员处获取安卓apk安装包，在个人手机上进行安装，首次安装启动后，请进行云空间管理平台的地址配置。

具体安装过程同手机端。

瘦终端

概述

注：对于原装出厂的瘦终端设备，最终用户无需进行安装操作，仅需根据IT管理员或运维人员的要求，参考接入设置说明，配置好云空间管理端的地址即可从该瘦终端设备登录使用个人名下的云桌面资源。

本文介绍的安装步骤，是针对从原始终端设备重新开始刷机安装的场景，将会对瘦终端设备重新安装基础操作系统，然后进行云空间客户端软件包的安装。刷机过程中将会格式化瘦终端设备上的存储介质，不会保留瘦终端上的原始数据信息。

瘦终端所使用的基础操作系统，与其处理器架构有关，目前各种瘦终端设备推荐使用的操作系统为：

Intel/Amd x64瘦终端：xubuntu x86_64版本
兆芯瘦终端：统信SmartTC x86_64版本
龙芯2k2000瘦终端：统信SmartTC loongarch64版本
飞腾e2000q瘦终端：麒麟Industry aarch64版本
rk3568瘦终端：厂家提供的debian镜像

准备工作

在进行瘦终端刷机之前，需要准备：

待刷机的瘦终端设备以及配套电源
安装优盘（容量至少10G，支持USB 3.0）
优盘刻录工具
- 在Windows上刻录时推荐使用Rufus，MacOS上推荐使用balenaEtcher
瘦终端专用小型嵌入式操作系统的ISO镜像
atos-installer安装包的最新发布版本
与瘦终端架构对应的云空间客户端Linux安装包

注：对于rk3568瘦终端，请使用硬件厂家提供的img镜像文件和专用刷机工具。

安装优盘制作

请在Windows或MacOS工作电脑上安装推荐的ISO刻录工具，将瘦终端所用的操作系统镜像刻录到安装优盘上。

例如在Windows上使用Rufus工具进行刻录的配置界面如下：

从优盘装机

将制作好的安装优盘插入到瘦终端设备的USB接口，然后将瘦终端设备重新开机，在BIOS启动阶段，按快捷键选择从优盘启动，进入实际的装机流程。

注：推荐使用终端设备面板上的蓝色插槽的USB 3.x插孔，读写性能最优。

接下来根据不同的操作系统，实际的系统安装过程有差异，请继续查看各种瘦终端设备的刷机过程介绍。

注：刷机操作属于硬件生产过程步骤说明，请向厂家索取更多详细资料。

Intel&Amd瘦终端安装

对于原装出厂的Intel&Amd x64架构的瘦终端设备，最终用户无需进行安装操作，根据IT管理员或运维人员要求，参考接入设置说明，配置好管理端地址即可登录使用云桌面资源。

如需进行刷机操作，请从这里下载Intel瘦终端使用的操作系统镜像，刻录优盘，进行瘦终端装机。

兆芯瘦终端安装

对于原装出厂的兆芯x64架构瘦终端设备，最终用户无需进行安装操作，根据IT管理员或运维人员要求，参考接入设置说明，配置好管理端地址即可登录使用云桌面资源。

如需进行刷机操作，请向厂家索取相关参考资料。

龙芯瘦终端安装

对于原装出厂的龙芯瘦终端设备，最终用户无需进行安装操作，根据IT管理员或运维人员要求，参考接入设置说明，配置好管理端地址即可登录使用云桌面资源。

如需进行刷机操作，请向厂家索取相关参考资料。

飞腾瘦终端安装

对于原装出厂的飞腾ARM64瘦终端设备，最终用户无需进行安装操作，根据IT管理员或运维人员要求，参考接入设置说明，配置好管理端地址即可登录使用云桌面资源。

如需进行刷机操作，请向厂家索取相关参考资料。

rk3568瘦终端安装

对于原装出厂的rk3568 ARM64架构瘦终端设备，最终用户无需进行安装操作，根据IT管理员或运维人员要求，参考接入设置说明，配置好管理端地址即可登录使用云桌面资源。

如需进行刷机操作，请向厂家索取相关参考资料。

使用指南

终端使用

云空间客户端软件包无论是安装在PC机、笔记本、瘦终端上，实际启动后的界面都是表现为统一的外观，首次登录以及日常使用的过程也是相同的。操作步骤大体如下：

接入设置：将需要连接到的管理端地址配置到客户端上
登录认证：使用密码、短信或其它登录方式，从客户端登录到云空间
个人设置：对个人的密码等属性进行修改、重置（可选）
桌面管理：查看个人名下的云桌面资源，按需进行设置或电源管理，以及连接到云桌面

安装在手机或平板电脑上的云空间客户端软件包外观略有差异，但实际使用的步骤也是一致的。

接入设置

云空间客户端安装完成后，首先要进行云空间管理端的设置，将希望运行时将要访问的云桌面环境管理端的地址信息告知该客户端。

配置的方式如下：

打开安装好的云空间客户端，在登录界面的右上角，点击齿轮状的“设置”按钮，进入云平台设置界面，在“地址”输入框中填写云桌面环境管理端的地址，在“端口”输入框填写云桌面环境管理端对外监听的客户端API服务端口号（如无特殊情况，端口号默认设置为44301）。具体配置参数的取值，请向IT管理员索取。

配置填写完毕后，可以点击“检测”按钮，测试是否可以正常访问：

注：如果检测失败，请在客户端本地测试 ping 云平台地址是否正常。

云空间客户端安装完成，并且进行了正确的云空间管理端的设置后，就可以用管理员分配的账号登录到云空间。

在登录界面上可以按需切换界面语言：

对于常规的政企私网用户，请切换到企业版界面，使用账号+密码的方式进行登录：

如果当前环境中启用了AD集成认证，希望用AD域账号登录，请在客户端的登录界面上勾选域用户：

如果当前环境中启用了短信认证，在客户端的登录界面上可以点击“短信登录/注册”，输入租户名、手机号码，然后点击“获取验证码”，通过输入本人手机接收到的短信中包含的验证码，进行云空间客户端登录：

瘦终端的登录界面与软件客户端基本相同，主要区别是在瘦终端登录界面的左下角有一组电源操作按钮，可以对当前瘦终端硬件设备进行关机或重启：

采用国产信创UOS操作系统的瘦终端，还可以点击屏幕右边的弹出菜单，访问系统自带的控制面板：

个人设置

成功登录到云空间，可以进行个人相关设置，例如修改密码：

点击右上角的按钮可以调节主题颜色风格：

以及这里的使用个性化设置：

注：如果希望将本地主机当做瘦终端的形态使用，可以勾选“客户端开机自启”（如果已经是瘦终端设备，则固定选择为开机自启），以及“客户端登录后单桌面自动连接”，在登录界面上也选择“记住密码”和“自动登录”，这样就可以实现本地主机开机后直接启动云空间客户端，自动登录进入云空间，并且自动连接到唯一的云桌面，全过程无需人为干预。

外观主题设置：

注意，在瘦终端场景中，这里的动画效果、软件渲染、缩放比例可以按需进行如下设置：

解释如下：

动画效果：在某些弱处理器终端设备上可以选择关闭动画效果，节约处理器的使用。
软件渲染：原因同上，降低非核心工作界面对处理器的损耗。
缩放比例：如果使用界面的按钮或文字大小尺寸不够大，影响使用，建议在这里放大显示比例。

PC机或笔记本上的外设一般情况下有时在本地主机上使用，有时在云桌面中使用，而瘦终端上外接的设备通常默认都是要透传到云桌面内部使用的，可以根据个人习惯对不同设备默认的透传模式进行预先设置：

如果需要对本地PC机或瘦终端进行系统级设置，可以打开：

桌面管理

查看云桌面

当登录成功后，当前用户个人名下的云桌面资源将会以卡片的形式展示在客户端工作台窗口的“云桌面”栏目中。

如果该用户名下尚未分配任何云桌面资源，将会显示无可用云桌面，或需要向管理员申请云桌面资源的提示，请根据实际情况联系管理人员进行处理。

桌面卡片的背景随着云桌面内部操作系统的类型变化而有所不同。例如麒麟云桌面：

桌面卡片中还显示了云桌面的名称、状态、配置参数。如果勾选了“自动连接”，则登录成功后将会自动发起到该云桌面的会话连接。

点击桌面卡片右上角的齿轮按钮，在下拉菜单中可以对桌面进行基本的开关机操作，重命名，查看详情，网络检测等操作。

注：对于托管桌面池中的桌面，无法进行开机、关机、重启操作。对于动态桌面，开机的过程可能会触发临时创建了一个新的桌面供用户使用，断开后该动态将会缓存一段时间后再被清理。

例如查看麒麟云桌面的详情：

如果连接桌面有问题，可以对云桌面进行网络检测。例如从下图中的检测结果就可以看到远程桌面内部的USB外部设备重定向服务对外开放的网络端口无法访问，这将会影响到云桌面连接期间对外设透传的使用：

设置云桌面

点击桌面卡片右上角的齿轮按钮，在下拉菜单中可以打开“桌面设置”。打开的“桌面设置”对话框中的各个配置选项，直接影响到最终连接后的桌面内部使用体验。所以在连接云桌面之前，强烈建议了解一下这里的选项背景。

显示设置

开启全屏：默认连接到云桌面时，远程桌面会话的窗口总是以全屏的形式显示，可以通过取消勾选该选项，以普通窗口形式打开，但是在瘦终端上会强制使用全屏的方式展示远程桌面会话窗口。
自定义窗口：当取消勾选“开启全屏”时，可以进一步设置远程桌面会话窗口的大小。
启用扩展屏：当本地有两台显示器时，可以勾选该选项，让云桌面会话同样开启扩展屏，目前仅支持Windows云桌面使用扩展屏。要注意的是：主屏和扩展屏的相对空间位置，需要在客户端本地操作系统上的显示设置窗口中进行预先配置。另外，两个物理屏幕的主从关系是根据云空间客户端的主体窗口位置而定的，云空间客户端的主体窗口在哪个屏幕上，它就是主屏幕，另一个则成为扩展屏。
启用高清屏：启用macOS客户端的Retina视网膜高清屏机制，在同样的分辨率场景下，Retina视网膜高清屏的清晰度要比常规的显示器清晰度更高。启用该选项后，远程桌面中将配合客户端屏幕特点，自动调整到更高的清晰度。
缩放模式：对云桌面窗口显示的内容分辨率大小进行控制，连接到云桌面以后，也可以在浮动工具条上进行按需实时调整。默认为“自适应”模式，在该模式下，远程桌面的分辨率将会跟随客户端的窗口大小而自动调整为合适的分辨率。如果远程桌面内部的应用程序对分辨率变化比较敏感，希望保持屏幕尺寸，例如全屏类游戏场景，推荐在这里选择为“原始大小”模式。

画面设置

画面模式：可以选择自适应、清晰度优先或流畅度优先，在充分利用网络带宽和CPU/GPU处理器性能的前提下，对于高清绘图设计类场景，建议选择清晰度优先，对于普通办公或互动游戏类场景，建议选择流畅度优先。
画面无损：开启YUV444图像编码机制，在启用清晰度优先的前提下，建议打开本选项，但是请注意这里在提升清晰度的同时，也会增加一些网络带宽消耗。
硬件编码：启用远程桌面内部的GPU硬件编码机制对视频画面进行编码，当远程桌面内部没有可用的GPU设备时，自动转为软件编码（即CPU指令编码）。硬件编码在流畅度的保障方面优于软件编码器。
编码格式：H264是最常见的视频编码格式，H265编码在网络带宽的消耗方面要优于H264，但是需要硬件编码器的支持，例如NVidia显卡的不同型号对硬编码的支持不一样，绝大多数型号基本都支持H264的硬编码，较新的型号都支持H265硬编码，只有少数支持AV1编码，具体细节请在显卡的官方网站或配套文档中查询。
帧率：远程桌面内部高帧率的动画、影视会占用较多的带宽，如果客户端硬件性能不足或网络带宽有限，可能会影响体验，可以在此处限制一下画面帧率。

多媒体设置

此处可以按需对扬声器和麦克风的音质加以调节，高音质对网络带宽的要求较高。

数据传输

剪切板：按需设置本地剪切板与远程桌面之间的共享属性，剪切板的使用权限受到云空间管理员设置的策略组的管控，这里只能查看实际的结果。
共享文件夹：按需将本地文件夹重定向到远程桌面中进行数据交换，共享文件夹的使用权限受到云空间管理员设置的策略组的管控，这里只能查看实际的结果。

注：如果对本地的优盘采用设备重定向模式进行共享，其权限管控的机制同共享文件夹。

操控设置

游戏兼容：对于某些传统游戏在虚拟显卡和虚拟显示器中显示不兼容的问题进行特殊处理。
3D鼠标：对于3D游戏或设计软件中的鼠标操控进行优化。
禁用快捷键：这是在瘦终端上才有的选项，禁用本地操作系统的特殊快捷键。

连接云桌面

在云桌面卡片上点击“连接”按钮，就可以连接进入云桌面：

注：如果此时云桌面尚未开机，系统将自动对其执行开机操作，从云桌面卡片上可以看到它的状态将会从“已关机”变成“开机中”，当开机成功后，才会发起连接。刚刚开机的云桌面，受限于其内部的操作系统初始化速度，如果连接过早可能会失败，请稍后重新点击“连接”按钮。

连接桌面的过程中，首先会在客户端屏幕上看到“正在连接”的进度提示，表示此时正在与远程桌面内部建立网络连接：

注：如果一直停留在“正在连接”的进度画面上，或在该进度上失败，请检查：1. 该桌面内部是否安装并启动了云空间代理端软件；2. 该桌面内部是否有防火墙屏蔽了云空间代理端服务端口；3. 本地主机与远程桌面之间的网络通道是否正常。

当网络连接成功后，将会看到的进度提示变为“正在登录”：

当登录成功后，就可以看到远程桌面中的画面：

注：如果登录失败，可能是云空间后台保存的桌面内部的操作系统认证信息与实际情况不匹配，请根据提示提供该桌面当前的登录凭据。

浮动工具条

成功进入云桌面后，在屏幕上方可以看到浮动工具条，在该工具条中提供了远程桌面会话期间常用的基本操作。

注：对于瘦终端场景，该工具条上没有“退出全屏”和“最小化”按钮。

点击浮动条按钮中的“更多->显示状态栏”，可以在右下角看到当前远程桌面会话的更多状态信息：

在状态栏的上方，显示了有哪些本地设备被重定向到了远程桌面。注意此处仅显示的以“设备重定向”模式透传到远程桌面中的本地设备列表，包括剪切板、文件夹、打印机、摄像头、麦克风、游戏手柄等，当图标的颜色为灰色时，表示该设备并未以“设备重定向”的方式透传到远程桌面，当图标的颜色的颜色为亮白色，并且伴有绿点标识，表示该设备已经以“设备重定向”的方式透传。如果图标颜色是亮白色，但是没有出现绿点，表示该设备被允许重定向，但是实际并未生效。

最后的“UDP”图标表示当前会话是否开启了UDP数据通道，云桌面会话连接会尝试与远程桌面建立UDP数据通道，以加速键盘、鼠标交互的灵敏度，当网络状态允许时，将会带来设计、游戏类场景的键鼠交互体验优化。

注：经由SDWAN网关接入的桌面会话不支持UDP数据通道。

状态栏的主体内容显示了当前云桌面连接会话实际生效的参数选项：

视频格式：表示当前传输的视频内容格式，例如H264/H265/AV1，以及当前视频画面的YUV像素格式，例如YUV420/YUV444；
视频编码：表示远程桌面中对视频画面编码的方式是软件编码还是硬件编码；
视频解码：表示远程桌面中对视频画面解码的方式是软件解码还是硬件解码；
区域优化：表示当前显示的画面是整幅编码还是对小区域的变化内容进行了增量传输；
画面渲染：表示在客户端进行画面展示时使用的解码和渲染机制；
视频帧率：表示每秒传输到客户端的视频帧数量；
画面延迟：表示当前视频画面帧传输过程中产生的延迟；
外网接入：表示当前云桌面会话是否经由网关接入通道；
发送速率：表示当前从客户端发送到远程桌面中的数据速率；
接收速率：表示当前从远程桌面中接收的数据速率；

这里显示的参数内容是直接反映了最终用户使用云桌面时的流畅度、清晰度、灵敏度等实际体验效果，当用户向技术支持人员反馈体验感受时，请附带此处的画面截图。另外，点击浮动条按钮中的“更多->关于”，提供现场使用的远程桌面协议组件详细版本，可以帮助技术人员快速收集背景信息。

点击浮动条上的“退出全屏”按钮，可以将全屏窗口画面变成普通窗口模式，此时如果显示模式为“自适应”，将会触发远程桌面内部的分辨率调整。

点击浮动条上的“离开”按钮，可以断开与该云桌面的远程会话连接，但是云端将会继续保持云桌面运行，不影响其中打开的应用软件窗口。

外设重定向

在桌面会话上方的浮动工具条中点击“设备按钮”，打开设备管理对话框：

在该对话框中可以看到客户端本地的设备列表，包括设备的名称、当前连接状态、连接模式，以及对设备发起连接、断开连接的操作按钮。

在云桌面场景中，广义上的外部设备既包括物理设备，例如麦克风、摄像头、打印机、优盘等，也包括逻辑设备，例如文件夹、打印队列等。将这些设备传递到云桌面中进行使用时，可以选择“设备重定向”或“端口重定向”两种模式。

“设备重定向”是一种客户端与远端共享设备的透传模式。它可以将本地在用的设备同时共享给远程桌面使用，传输的数据量较少，在远程桌面中无须安装设备驱动，但是这种模式仅限于剪切板、文件夹、打印队列、摄像头、麦克风、游戏手柄等常见的逻辑或物理设备，不能支持其它特殊外设。

“端口重定向”则是将设备从本地“移除”，完全透传到远端桌面中，让远程桌面独占使用该设备，这种方式能够在远程桌面中充分模拟外设，但是本地将无法使用该设备，并且传输的实际数据量将会更大。

这两种设备透传模式各有优缺点。一般情况下，对于常见的、通用的设备，其本身硬件细节并无使用要求，而是专注于设备的上层功能的时候，建议使用“设备重定向”，例如常见的优盘、摄像头、网络打印机等等。而对于设备硬件型号驱动等细节有指定要求的时候，需要使用“端口重定向”，例如用于金融、安全场合的Ukey、光盘刻录机、指纹仪等特殊用途的设备。

注：未经格式化的优盘只能使用端口重定向透传到远程桌面，已经格式化的优盘并且在本地挂载了文件系统时，推荐使用文件夹重定向到远程桌面中使用。

注：当远程桌面中的软件应用必须访问到指定厂家、型号的设备时，使用端口重定向。

注：如果两种模式都没有生效，请咨询管理员是否通过策略组禁用了对该设备的透传。

在不同的场景下，有些外部设备总是在本地电脑上使用，不需要重定向到云桌面中去，而有些设备则可能总是需要重定向到云桌面中使用。为了避免每次都要做出手工的选择，可以在“高级设置->外设设置”配置一下个人的使用习惯：

例如如果将优盘设置为“自动设备重定向”，则每次插入新的优盘时就会自动将该优盘以“设备重定向”的方式透传到当前云桌面中。

使用打印机

USB打印机

对于USB打印机，如果是在瘦终端上使用，通常采取端口重定向的方式直接透传到云桌面，这样可以免去在瘦终端上安装打印机驱动的操作。

如果是接入到PC机或笔记本上的USB打印机，并且要同时支持在本地主机以及云桌面中进行打印，推荐使用设备重定向的方式，这种情况下要在本地电脑上安装打印机设备驱动。

网络打印机

对于网络打印机，只能使用设备重定向的方式，这种情况下需要先在本地添加该打印机设备，并安装驱动，首先确保本地能够正常使用该网络打印机，然后再在连接到云桌面时，通过设备重定向手段将该打印机重定向到云桌面中。

如果在网络打印机上进行打印时，需要支持单、双页打印的场景，请在连接桌面进行打印之前，先到“高级设置->外设设置”界面上设置好单页或双页的打印选项：

在瘦终端上安装打印机驱动

如果是通过瘦终端将网络打印机重定向到云桌面，则需要在瘦终端本地安装打印机的Linux版本驱动。请参考 这里描述的方法，进入瘦终端的本地终端窗口，将打印机驱动安装包通过网络或优盘拷贝到瘦终端上执行安装，具体安装方法请参考打印机驱动安装包的配套文档。

在瘦终端的本地终端窗口中执行/usr/sbin/lpinfo -m命令可以查看已安装的打印机驱动列表。

在云桌面中进行打印操作

当使用设备重定向的方式时，在云桌面中看到的打印机名称与对应的本地网络打印机名称并不相同，请选择”HSR Virtual Printer“这台虚拟机打印机，被打印的文档就会被发送到本地重定向过去的打印机。如果本地是便携式的笔记本设备，网络打印机可能随时连接或断开，同一时刻只能选择一台网络打印机重定向到远程桌面，但是在远程桌面中的虚拟打印机的名称始终为“HSR Virtual Printer，建议将其设置为默认打印机。

帮助支持

故障排查

云空间客户端软件日常使用过程遇到问题时，可以利用客户端自带的工具进行简单的排查。

例如检测从本地访问云空间或云桌面的地址是否存在网络问题：

检测到云空间或云桌面主机的某个端口是否开放：

如果需要在瘦终端上执行本地设备操作系统的命令行工具，请在下图中输入密码，然后打开本地终端窗口：

如果仍然存在问题，建议将现场信息发送给技术支持人员，提供丰富完整的现场信息，有利于技术支持人员及时帮助找到故障源头以及解决问题。

点击右上角的“设置”齿轮图标，打开客户端日志界面：

如果故障现场可以访问互联网发送电子邮件，请在上面的对话框中描述遇到的问题现象，然后点击“发送邮件”。如果现场无法上网，可以点击“打开日志所在位置”，将打开的日志目录压缩打包，通过其它手段将日志信息发送给技术支持人员。

这里发送的日志是云空间客户端上的现场信息，如果技术支持需要提供云桌面内部的日志，请租户管理员在Web管理界面上的桌面池中找到云桌面，点击“更多”菜单中的“提取日志”按钮进行操作。

常见问题

以下是对云空间客户端日常使用过程中可能会经常遇到的疑问的解答。

忘记登录密码
如果是已有的AD域账号，请按照域账号的管理方式找回密码。如果是云空间开设的本地用户账号，请联系云空间管理员。如果启用了了短信认证，尝试通过短信重置密码。
云桌面内部网络、防火墙的设置导致桌面无法连接
云桌面内部用于远程桌面会话连接的网卡设备或网络连接不能禁用，否则无法连接到桌面。如需启用防火墙机制，请对云空间代理服务开放网络传输通道。默认情况下，应允许15701(TCP)/15702(TCP&UDP)/5703(TCP)端口。
云桌面内部播放影视音乐时没有声音，或者音量很小
最终用户从本地扬声器或耳机听到的声音，受到本地终端设备音量与远程桌面内部音量的共同影响，请检查本地的音量和云桌面内部的音量设置是否都正常符合预期。
Windows云桌面分辨率不足
新建的Windows云桌面首次启动，并且是首次连接时，远程桌面内部的分辨率没有自适应成与本地电脑上的屏幕分辨率一致时，请退出当前会话，重新连接一下。如果仍然达不到期望的分辨率尺寸，确认当前实际使用的显示器是否为HSR IDD虚拟机显示器。
Windows云桌面中系统字体太小
在Win10云桌面中出现某些场合的文字太小的情况，例如桌面上的图标文字，或者打开系统文件浏览器窗口看到的菜单文字，明显比正常的其它文字尺寸偏小。通常是DPI缩放比例在系统中没有得到成功应用，可以尝试打开图形界面属性，自定义显示缩放与布局为125或更多，然后再调整回来。