通过本文，你将了解到深信服产品的技术以及学习深信服产品的最佳实践，包括HCI、aDesk、EDS和AD等产品。。

深信服超融合HCI

HCI产品简介

HCI产品基础

深信服HCI(Hyper-Converged Infrastructure)定位云平台的软硬件，聚焦服务器、虚拟化、数据中心和交付等。深信服的HCI只需要通用的服务器和交换机软件，就可以利用软件技术构建计算、存储、网络和安全的统一资源池，实现基础架构的简化。

与传统的云基础架构（烟囱架构）相比，HCI只需要两种设备即可实现IT的基础要求，而传统的云平台需要服务器、存储设备、网络设备等等，维护成本高，运维复杂。

深信服HCI具有极简、可靠、高性能、更安全等特点。

深信服HCI的应用场景：

新建数据中心
数据中心改造场景
CPU应用承载
K8S应用承载

HCI关键特性

深信服HCI关键特性可以由下图概括：

包括了安全特性，平台特性和高可用性等方面。

aSV服务器虚拟化

aSV是深信服服务器虚拟化技术，具备了热迁移、HA高可用、动态资源调度DRS和动态资源添加DRX的四个基础功能。还有一些其他的优势特性和功能。

aSV（包括其他的服务器虚拟化）解决了什么问题？

提供资源利用率：一台服务器可以运行多台虚拟机，彼此独立运行，互不影响
提高扩展能力：根据负载情况手动调整资源
提高生产效率：硬件故障、软件故障（重装系统）等速度快
提高业务可用性：热迁移保障可用性
提高运维效率：硬件资源、虚拟机资源可视化和统一管理

热迁移

热迁移保障了业务的高可用性，当管理员需要进行硬件维护、主机变更等操作的时候，aSV可以在不影响业务的情况下完成迁移操作。

关键技术：无需外置存储、零宕机时间、兼容外部存储
支持场景：集群内热迁移、集群内跨存储热迁移、跨集群热迁移

HA(High Availability)高可用

HA（High Availability）高可用是指在系统或服务出现故障时，能够保持持续可用性和稳定性的能力。HA的目标是确保系统的连续性，最小化服务中断和数据丢失的风险。虚拟机实现HA的前提条件：

虚拟化集群服务器不少于2台。
必须配置共享存储（磁盘阵列、分布式存储均可）。
剩余主机必须有足够的资源供业务恢复使用。

在软件质量架构中，”Availability”（可用性）属性是指系统或应用程序在所需的时间内正常运行和提供服务的能力。它是衡量系统可靠性和可用性的重要指标之一。

应用场景：虚拟机系统异常卡死、操作系统无响应，虚拟机蓝屏、黑屏等等。

虚拟机HA实现了当业务故障的时候自动、迅速切换到另外的云计算资源上，保持业务的高可用，业务恢复耗时在分钟级。

分布式管理平台
平台内置WAF等安全功能
同意可视化资源管理和运维
纳管VMware和业务双向迁移
集群环境一键检测
行业应用向导

aSAN存储虚拟化

aSAN(Storage Area Network)深信服分布式存储的技术，是一款自主开发的分布式存储系统，利用虚拟化技术“池化”集群存储卷内的磁盘，实现存储资源统一管理，向上提供NFS/iSCSI存储接口，广泛应用于HCI，aDesk和EDS三大系统。

aSAN具备防脑裂仲裁机制，但是集群内必须部署3台以上的设备。读一下脑裂的定义就明白了，如果只有两台主机，那么顶多有一条边。当子节点无法通讯的时候，相当于删除一条边，那么集群就分裂成为了两个独立的子集群。

脑裂（brain split）是指在分布式计算环境中，发生了网络或硬件故障导致集群中的节点无法相互通信，从而导致集群分裂成多个独立的子集。这种情况下，每个子集都认为其他子集中的节点已经失效，因此会独立地继续运行和处理任务。

数据副本机制

主要功能特征：

每份数据在存储层保留2-3副本
副本所存放的位置必须满足主机互斥原则，不能将两个副本同时存放在同一台主机上（不然一台物理主机崩溃就会丢失全部数据）
支持以虚拟机或虚拟磁盘为单位设置副本，支持灵活修改副本数

数据快速重建

应用场景：

当集群内硬盘或主机出现故障，部分数据处于单副本状态，可以通过故障重建的方式恢复损坏的数据。

可容忍的故障程度：

两副本：可容忍集群内单台主机硬盘全部故障

三副本：可容忍集群内两台主机硬盘全部故障，可容忍集群内非同一主机下2块硬盘故障

特性：

全局参与，多并发：从多个源端磁盘读取，往多个目的磁盘写入
智能重建：根据上层的I/O情况动态调整重建所用的I/O
分级重建：优先保障重要数据，分等级上传

亚健康检测和处理

亚健康介质包括慢盘、坏道过多、寿命到期的SSD等等，亚健康对于系统的危害十分严重。

处理方法：

读写算法降级：降低算法的优先级，不在从该盘读写
亚健康数据迁移：将数据迁到健康的介质
主动对坏道扫描：及时修理

克隆技术

链接克隆：利用快照技术，基于原镜像生成映射关系秒级拉起虚拟机，缺点是存在依赖关系，有额外性能开销
全量克隆：基于原计算克隆一份新的镜像后开机，缺点是启动速度满
快速全量克隆：利用快照技术拉起虚拟机后，持续拷贝原镜像数据，拷贝完成后，脱离依赖关系

高性能技术——磁盘分卷

将多个硬盘分成不同的卷，深信服的分卷包括全闪卷和混闪卷。

高性能技术——存储分层

分层是aSAN缓存系统中最主要的性能层，SSD分层的核心思想是：

写操作可以快速地写入分层中，立即向上返回写入成功，然后再将数据写到HDD中。
读操作尽可能直接从分层中读取数据，无需从HDD中读取。

存储分层的工作原理如下：

高性能技术——智能条带化

此外aSAN还具有AI硬盘故障检测的能力，以及提供存储容量、硬盘寿命分析的能力。

aNET网络虚拟化

aNET是深信服网络安全虚拟化的一项技术，具备四个关键特性：网络虚拟化、网络功能虚拟化、分布式虚拟防火墙、业务逻辑拓扑。

网络虚拟化技术：采用分布式虚拟交换机aSwitch和虚拟路由器
网络功能虚拟化：虚拟路由器具备NAT，DNS等等网络功能

分布式防火墙：

面向虚拟机的安全策略部署

业务逻辑拓扑——所画即所得

在画网络拓扑图的过程中采用智能算法、优化网络拓扑结构。

aSAN注意事项

aSAN平衡的实现方式中，目标磁盘不可以是多个，只能是单个。

HCI最佳实践

这里仅记录一下不同的产品服务的注意事项，各位读者可以自行去实操体验。

HCI性能最佳实践

硬件配置

磁盘：深信服一体机系统盘默认最低使用128G SSD盘。
RAID卡：使用aSAN，缓存盘和数据盘必须配置成non-raid或者jbod模式。
网卡：支持巨帧，推荐配置6*GE，2*10GE（6个千兆口，2个万兆口）
交换机：建议每个网络平面采用堆叠的两个交换机，在端口足够的情况下考虑交换机复用

虚拟机配置

vCPU配置

随着vCPU的增加，性能提升是非线性的，而是对数增长。需要配置虚拟插槽数和每个插槽的核数。配置时，虚拟插槽数不要超过物理CPU个数，插槽核数也不要超过单个CPU的核数。
启用NUMA调度：vCPU本地内存访问，不会跨NUMA节点。
推荐默认不使用Host CPU，只有当虚拟机性能不足时才启用。

内存配置

配置内存是指最大的可用内存。配置内存时，不能超过集群中单台主机的最大物理内存。建议关闭内存回收。

极端情况下虚拟机的内存超过主机内存，这时大量使用了交换分区。推荐内存不超配，所有开机虚拟机配置内存不要超过物理机的0.9。

内存分配的注意事项：如果配置了aSAN，预留32G，否则预留12G。Swap分区大小swap=memory<96GB?memory*2:memory，不超过系统盘剩余空间的50%，最低8GB，最高256GB。

内存分配公式：分配内存=总内存-预留内存+swap*0.2。

虚拟磁盘配置

虚拟磁盘的个数多少与虚拟磁盘的性能无直接关系，例如一块2T的和两块1T的硬盘性能是一样的（不考虑条带化等技术）。
裸磁盘映射的大小和性能都由裸磁盘本身决定，无调优参数。
预分配可以大幅提升IOPS和吞吐，但是会浪费一些存储空间。对于数据库等对IO要求高的应用，建议使用预分配，一般虚拟机不建议使用，浪费空间。

虚拟网络配置

VXLAN网络通信：虚拟网络内部集群内同一网段内部的虚拟机之间的跨主机流量成为“东西向流量”，深信服在企业服务器内设置了隧道，增加VXLAN报头封装虚拟机跨主机二层通信报文，通过vxlan隧道实现跨主机通信。
物理出口：用来连接虚拟网络和物理网络，每台服务器至少配置2*GE网口作为物理出口，并做网口聚合绑定。交换机需要关闭stp协议，保障网络稳定性。

虚拟存储配置

推荐存储网络使用2*10GE两个万兆口
SSD缓存盘：SSD可为其磁盘组下的HDD提供缓存加速的能力。SSD和HDD的个数比推荐值为1：3，不能低于1：7。
存储卷：使用存储多卷，要求每个存储卷的主机数量至少为3台。建议一个集群内不配置超过3个卷，单个卷内主机数不超过12台。
建议使用三台以上的主机组成一个虚拟存储卷，可以获得条带化的效果和仲裁机制。

HCI管理（重点！）

HCI初始化有如下的条件：

根据集群内所有主机的CPU颗数购买充足的首选。
单主机不支持虚拟存储；普通集群至少要求2台以上的主机，如果需要虚拟存储的条带化功能或使用虚拟存储多卷功能，则需要3台以上的主机。
延伸集群至少需要4主机起步，加上一个仲裁节点。
禁止单台主机部署HCI。

HCI有USE-Key（离线）授权和vKEY（在线）授权两种方式。

HCI产品功能

集群资源调度DRS

DRS全称是Distributed Resource Scheduler，指集群资源调度，顾名思义，在特定场景下会调度集群资源，这里的资源指的是虚拟机。我们的DRS会设置CPU和内存阈值，如果超过阈值，就会触发DRS。

DRS有自动和手动两种，对于选了自动的虚拟机，DRS会配置自动选择合适的主机来运行。而对于那些指定了运行位置的虚拟机，DRS不会对其进行操作。

集群资源动态热添加DRX

DRX全称是Dynamic Resource Extension，指动态资源拓展。虚拟机资源不足，主机资源空闲的时候，自动为虚拟机添加CPU或者内存。

HCI产品应用场景

信服云迁移工具

信服云迁移工具可以供业务迁移能力(P2V，V2V)，可满足以下的业务场景要求：

注意是不会影响被迁移，不是不会被热迁移。蓝屏，USB和接受迁移目标资源不足都会影响虚拟机被热迁移。

HCI产品运维

深信服桌面云aDesk

在深信服Webconsole界面中，sock命令与telnet命令相似。

VMP（Virtualization Management Platform）是虚拟化管理平台的缩写。VDC(Virtual Desktop Controller)是桌面控制系统的缩写。VDI是虚拟桌面基础设施（Virtual Desktop Infrastructure）的缩写。它是一种技术和架构，用于在服务器上创建和管理虚拟桌面环境，从而提供集中式的桌面虚拟化解决方案。

可以与VMware对比的是VMP平台都用于管理虚拟机，VDC相当于一个C/S架构应用程序的服务器端，VDI是客户端。

所以，使用aDesk之前必须要先完成VMP的部署和VDC的部署，而这两个平台的部署都是基于HCI的，所以在此之前还需要完成HCI的部署。下面是完成HCI部署之后的平台部署流程图：

VMP安装

VMP叫做虚拟化管理平台，理论上每一台虚拟机都应该安装VMP。而HCI将这些虚拟资源整合在一起，形成一个统一的平台，用于构建和管理虚拟化环境。HCI通常由多台物理服务器组成，每台服务器上运行着虚拟化软件，并通过网络进行通信和数据共享。

安装VMP的过程和安装HCI类似，都是获取到了iso镜像之后，在系统启动之时进入BIOS安装。

前提条件

VMP系统镜像
U盘/刻录光盘
普通PC（用于控制，制作iso镜像）
需要安装VMP的服务器

VMP硬件配置要求：

VMP授权管理：

VMP除了可以使用Key授权之外，还可以借助aCenter实现对VMP和VDC的统一授权，在多集群/多分支情况下，随意回收和修改授权。

aCenter已经通过了Key进行授权，并且VMP节点已经加入了aCenter。
通过aCenter下发授权至分支节点后，该分支节点原有的授权无效，只继承aCenter所下发的授权。
通过aCenter进行统一的授权后，分支节点的授权key可拔出回收。
修改授权后，VDC会重启服务来更新授权信息。

VMP创建VDC

再复习一下，VDC(Virtual Desktop Controller)是桌面控制系统的缩写。

在上一步完成了VMP的安装之后，就可以登录VMP控制台，设置ip等信息创建全新的虚拟机，然后创建VDC，一般VDC运行在4430端口上。如果想要更好的理解，可以把VMware想象成为一个Web应用，那么VDC就是服务器，VDI就是客户端。

VDC集群的介绍

VDC集群的各个节点（VDC设备）由一个分发器和一组真实服务器组成，分发器和真实服务器都是VDC设备。网络客户接入VDI的时候，会由分发器合理的分配给集群中最空闲的真实服务器为客户提供服务。

VDC集群的要求：

存在两台VDC并且版本是一致的，确认VDC的ip地址处在同一个内网网段内。
每台VDC设备上均需要启用集群部署，并且需要配置相同的集群ip。
软件VDC和硬件VDC可以组件集群。
禁止将克隆出的软件VDC和克隆前的软件VDC组件集群。

VDC用户认证管理

VDC用户认证管理的主要方式有三种：本地密码认证、LDAP认证和第三方接口认证，可以看aDesk用户管理的部分。

授权码的注意事项如下：

创建VDC步骤：

win操作机登录HCI
选择存储——本地存储
系统管理——端口管理——桌面云接入服务
虚拟机导入界面，导入虚拟机的vma镜像文件
点击转到虚拟机，开机，选择NetworkSetup Wizard，配置ip为VDC的管理ip。
部署完成后，浏览器访问https://VDCip:4430即进入VDC。
新建虚拟化管理平台控制器，输入控制器地址，测试连接。

VDC管理

在VDC管理过程中，每个用户拥有的硬件特征码个数默认为5个（五种设备？？？）。

VMP创建VDI

创建VDI的步骤：

win操作机登录HCI
选择上面的虚拟机（VDC已经创建好的）
选择下面的桌面应用，创建全新VDI虚拟机
填写VDI虚拟机信息
安装系统，配置网络

最佳实践：

VDI5.4.1开始支持多卷功能，如果是单主机或者双主机只允许创建一个卷；当系统中已存在一个卷的时候，未加入主机数小于3的时候不再允许新加卷。

单卷最大支持24主机，最佳实践是8-12为一个卷，VMP单集群最大支持创建3个卷。

aCenter平台的部署

aCenter是虚拟化集中管理平台，适用于VMP集群分布式部署场景。通常将aCenter部署于企业内部，通过公网、专线等方式对各分支机构的VMP集群进行集中的监控、升级、管理和统一授权。

aCenter安装在物理主机

需要先将aCenter的ISO镜像通过UltraISO制作启动镜像。
物理主机最低配置为：4GB内存，65GB硬盘，千兆网卡。

aCenter安装在VMP平台：

与VMP上安装VDC虚拟机的过程大致相同，需要在虚拟机操作系统处选虚拟化集中管理平台aCenter，并将aCenter的ISO镜像挂载到虚拟机的光驱上，后续同物理机。配置要求也一样。

aDesk用户和用户组管理

在aDesk上可以对VMP，VDC和VDI进行的用户进行管理。

主要认证还包括第三方认证。

LDAP（Lightweight Directory Access Protocol）认证是一种基于网络协议的身份验证机制，用于验证用户的身份和授权其访问特定资源。LDAP是一种应用层协议，用于访问和维护分布式目录服务（如LDAP服务器）中的信息。它使用客户端-服务器模型，其中客户端发起LDAP请求，服务器响应并提供所需的信息。

Radius（Remote Authentication Dial-In User Service）认证是一种网络身份验证协议，用于验证和授权用户对网络资源的访问。Radius认证是一种客户端-服务器认证协议，广泛用于网络接入服务，特别是拨号和虚拟专用网络（VPN）服务。它提供了一种中心化的认证和授权机制，允许用户通过一组凭据（例如用户名和密码）进行身份验证，并授予他们访问网络资源的权限。

客户端接入

常见的终端接入：

请注意，移动终端不支持登录linux虚拟机，但是可以访问windows虚拟机。

分布式防火墙

传统终端安全的实现方式

接入交换机ACL控制终端PC间互访流量，，防止出现一些主机沦陷病毒扩散问题。
网络防火墙部署在区域边界节点控制区域互访流量。
计算机软件防火墙保护计算机系统环境安全。

分布式防火墙

分布式防火墙适用场景：

用户对于虚拟机之间的网络有微隔离要求。
出现诸如勒索病毒一类内网安全事件，需要阻断病毒横向传播场景。
使用传统基于IP做策略的方式难以满足实际网络访问控制需求的场景（如池桌面）。

新增策略的三种方式：新建策略、复制策略和导入策略。

报表中心(Sangfor VDC Report Center)

报表中心简介

报表中心可以对VDC和VMP上的数据进行收集，存储和展示，主要包括数据查询、数据分析、报表导出等功能。

针对VDC传输的数据可以分为：资产信息、管理日志、安全日志、安全策略、并发会话数。

针对VMP传递的数据可以分为：服务器存储趋势、服务器负载。

针对用户虚拟机的数据则提供文件导出审计页面。

报表中心适用场景：

请注意，一个桌面云上的报表中心最多能关联1个VDC集群。

显卡虚拟化3D部署

桌面虚拟化的两种架构：

3D桌面显卡虚拟化(vGPU)优势

实验

Agent安装

agent是桌面云的一个重要的组件，虚拟机的正常使用，离不开agent的正常运行。在虚拟机上安装Agent的方法是：虚拟机上面的管理栏下，有安装Agent的相关选项。

注意！安装Agent后会重启虚拟机。安装Agent之前要安装vmtools：在虚拟机那一栏下拉。

独享桌面资源的创建

登入HCI
虚拟机模板管理——虚拟机转模板
业务中心——资源管理——新建独享桌面
按要求配置信息，保存

桌面云用户接入实验

登录HCI
业务中心——用户管理——新建
输入用户相关信息
安装VDI客户端并打开
输入服务器地址，用户名和密码

深信服分布式存储EDS

存储常见技术

备份与容灾

容灾（Disaster Recovery）是一种综合性的策略和实践，旨在保护和恢复组织的关键业务和数据，以应对各种灾难性事件，如自然灾害、硬件故障、人为错误等。容灾的目标是在灾难发生时，能够尽快地恢复业务运营和数据访问，并最小化停机时间和数据丢失。

备份（Backup）是一种数据保护的措施，旨在创建数据的副本并存储在另一个位置，以防止数据丢失或损坏。备份可以用于恢复单个文件、文件夹、数据库或整个系统。

RTO（恢复时间目标）是指在发生灾难性事件后，系统需要恢复正常运行所需的时间。它代表了从灾难发生到系统完全恢复正常运行的时间窗口。较短的RTO意味着系统能够更快地恢复，尽快恢复业务运营，减少停机时间和业务中断。RTO的衡量通常以时间为单位，例如，以小时、分钟或秒为单位。

RPO（恢复点目标）是指在发生灾难性事件后，系统需要恢复到的数据恢复点。它代表了在灾难发生前的系统数据状态。较小的RPO意味着系统能够更少地丢失数据，尽可能接近灾难发生前的最新数据。RPO的衡量通常以时间为单位，例如，以小时、分钟或秒为单位。RPO越小，丢失的数据越少。

EC（Erasure Coding）机制和副本机制是在分布式存储系统中用于数据可靠性和容错性的两种不同策略。

EC机制是一种纠删码技术，它将原始数据分割成多个数据块，并通过添加冗余数据块来实现数据的冗余和容错。EC可以在数据丢失或损坏的情况下进行数据恢复，而不需要完全复制原始数据。

副本机制是一种简单而直接的数据冗余策略，它通过完全复制数据来实现容错性。在副本机制中，原始数据会被完全复制到多个存储节点上，以确保数据的可靠性。如果某个节点发生故障或数据损坏，可以通过其他副本来恢复数据。

RAID介绍

传统存储与分布式存储

EDS架构简介

EDS产品应用场景

EDS产品的应用场景涵盖了块存储、文件存储和对象存储三个方面。

EDS产品运维

EDS存储巡检：存储巡检是一种定期检查和评估存储系统的健康状况和性能的过程。它旨在发现和解决潜在的问题，以确保存储系统的稳定性、可靠性和性能。

进行存储巡检是商业维度，技术维度和其他维度的综合考量结果。可以使用深信服adeploy服务（一个可执行文件）进行存储巡检。

深信服应用交付AD平台

网络部署

深信服AD的集群部署模式种，1个浮动IP顶多在1台设备上生效。
深信服AD的集群模式中，当组件集群的AD版本号不一致的时候，健康状态应为故障。

网络部署基础

网口配置

在HCI的网络部署——网口配置页面，可以配置网口的协商模式，推荐使用Auto配置。

端口聚合

端口聚合可以将多个物理接口当作一个单一的逻辑接口来处理，它允许两台设备之间通过多个接口并行连接同时传输数据以提供更高的带宽，更大的吞吐量和可恢复性技术。主要有如下优点：

增加带宽：带宽相当于聚合的端口的带宽总和。
增加冗余：其中一个端口坏了还能工作，只是带宽变小。
负载均衡：可以在组内接口上配置，是流量在接口上自动进行负载均衡。

操作方法：新建聚合接口——选择绑定策略——选择绑定接口。

VLAN子接口

某些情况下与AD设备对接的网口为TRUNK口，要求AD设备对应的接口也可以封装VLAN划分子接口，此时需要配置VLAN子接口。

端口桥接

在一些较为复杂的网络结构中，需要AD设备能将两个口划分到一个广播域内，相当于将AD设备的多个口组成一个二层交换机，此时就需要网口桥接功能。

负载均衡

ECMP是传统边界路由器的运营商链路负载方式。
策略路由是传统的边界路由器的运营商链路负载方式。
路由器策略路由链路负载方式无法根据带宽动态调整，调度策略不灵活，资源利用率低。

ECMP是一种路由算法，用于在网络中选择多个等价路径来转发数据流量。当存在多个具有相同开销（cost）的路径时，ECMP允许路由器将数据流量分散到这些路径上，以实现负载均衡和提高网络性能。ECMP通常在网络中的内部路由中使用，例如在数据中心网络中。

策略路由是一种根据特定的策略或条件，动态选择路由路径的方法。与传统的静态路由不同，策略路由可以根据网络中的不同因素（如流量负载、链路状态、服务质量要求等）来选择最佳路径，以实现更灵活的路由控制。

部署模式

部署模式使之设备以什么样的工作方式部署到用户的网络中去，不同的部署方式对于网络影响各不相同。AD支持两种部署模式：网关模式和旁路模式。注意，配置AD设备的时候不需要在界面上选择部署模式，以什么样的方式接入客户网络就是什么部署模式。

网关部署模式

一般是将AD部署在互联网出口或者是内网服务器前端，逻辑网络层面，设备有两个或多个接口连接到网络内，数据经过路由转发会穿过设备。设备配置里，既有WAN接口，也有LAN属性接口。

优点：AD的功能都能满足（出战负载、全局负载、应用负载等等）
缺点：此种部署对网络的改动比较大，建议在新建网络或者网络改造的时候部署。

旁路模式部署

一般是AD旁路在接入或者核心交换机上

优点：无需改变原网络拓扑结构，只需要单臂挂在核心交换机，进行配置即可，对现有网络无影响
缺点：无法实现链路负载

三角传输模式

一般是AD旁路部署在业务服务器同一台二层交换机下或同一个二层网络中，通过AD虚拟服务关闭DNAT和SNAT功能，服务器配置loopback口与虚拟服务相同IP实现。

优点：服务端可以看到客户端源IP；减轻AD流量负担，回来的包不经过AD设备，而是直接转发回客户端
缺点：AD无法感知服务器的loopback口健康状态；AD必须与服务器同网段部署。

高可用主备模式

主备模式简介

主备模式：两台AD双击部署，一台处于工作状态，另一台处于冷备状态。两台设备通过心跳口检测对端是否存在，并同步设备和会话。当主设备触发问题切换条件时，设备会自动地把业务切换到备用设备。

AD设备的各种部署模式都支持双机热备，以下是典型的拓扑图。

主备模式要求

主备模式部署要求：

网口个数一样
内存大小一样
序列号一致
软件版本一致

主备模式的基本元素

心跳口

又叫HA口，主要功能是检测对端是否还存活，通常两台设备的心跳口通过网线直连，并且通过周期性地发送心跳口包来检测对端是否存活，并且有冗余保障机制。

故障切换

用来检测主设备发生故障时，进行主备设备切换保证业务的连续稳定运行，切换条件可以由用户自己定义。

同步对象

ACL访问控制策略配置

ACL(Access Control List)访问控制列表，ACL基于数据连接的五元组来实现外到内或内到外的数据访问控制，可以提升网络的安全性。主要应用场景是禁止内网指定用户访问AD设备或禁止访问互联网，禁止外部主机访问设备或者AD设备发布的内网业务。

相关的配置在HCI的网络部署——网络安全——ACL配置路径。

健康检测

深信服AD设备对某节点业务健康检查失败之后的处理动作：标记该节点异常；AD会将健康检查失败的节点从资源池中剔除；健康检查失败的节点将不能继续提供业务访问。但是会在资源池中继续进行健康检查。

在AD巡检的过程中，进行外观检查的时候，备机的alarm灯闪属于正常现象。主设备的alarm灯亮属于告警现象。

AD产品应用场景

智能路由

适用场景

外网多条线路时，部署的传统路由器总是出现：链路调度不均衡，跨运营商访问慢