自帶vPro的模塊化電腦

王健鵬

今天的話題跟vPro（博銳）有關。起因便是新鮮入手了一臺配備了第11代酷睿vPro平臺的模塊化NUC 11 Elk Bay 。和很多老炮兒一樣，我也是從刀片機、小型機、樹莓派和Nas一路玩過來的，面對NUC，可以說我們都沒有抵抗力。因為從硬件集成性和系統(tǒng)擴展性上來看，它都是一臺完整的x86平臺，非常容易上手。

NUC（The Next Unit of Computing）是目前英特爾產(chǎn)品線中體積最小的整機，與其他產(chǎn)品線只推芯片、構架不同，NUC是英特爾首次以自己品牌推廣的PC產(chǎn)品。它不僅是一臺“迷你電腦”，更像是一臺可以拓展出各種玩法和行業(yè)應用的x86“原型機”，我們以往費打造的HTPC（家庭影院電腦），如今用一臺NUC便可以完美實現(xiàn);而設計師也習慣用這臺小巧而強大的電腦作為創(chuàng)作主機，想要給客戶展示作品，直接帶上NUC就行;另外，它的還可以作為眾多無人值守的遠程主機，比如作為會議室的中控、數(shù)據(jù)主機，其原因便是搭載了英特爾vPro技術。既然聊到這里，我們不妨先聊聊幾天前才發(fā)布的第11代酷睿vPro平臺。

先聊聊第11代酷睿vPro平臺的重要升級

全新的第11代酷睿vPro平臺共包含了4款處理器，包含TDP 12W～28W的i7-1185G7、i5-1145G7和7W～15W的i7-1180G7、i5-1140G7。與第11代移動酷睿處理器平臺一樣，擁有全新的Willow Cove架構、集成銳炬Xe核顯、支持AI深度學習加速、Thunderbolt 4、PCIe 4.0、Wi-Fi 6（Gig+）等特性。其實關于第11代酷睿vPro平臺的升級包含兩方面：一是由10nm制程的11代酷睿帶來的性能提升：諸如整體應用性能提升1.19倍、視頻會議工作效率1.35倍、網(wǎng)頁瀏覽速度1.21倍、Office 365的工作效率1.17倍、AI性能提升8倍、視頻編輯速度提升2.3倍等。

另外則是vPro平臺在安全功能上的更新：比如獨有的Intel Hardware Shield（硬件防護盾）技術，便提供了基硬件層面的軟硬一體安全防護。正是基于在自身芯片上的深厚底蘊，英特爾首次將AI威脅檢測解決方案和英特爾控制流強制技術（Intel CET）植入了芯片之中，從硬件底層固件到操作系統(tǒng)，再到應用程序提供三個層面的保護。

這三個層面包含在BIOS中提供專門的BIOS層和固件層防護，以抵御固件攻擊;在應用程序上與微軟深度合作，提供控制流強制技術CET等應用層的安全保障，可以阻攔純軟件方案難以解決的JOP/ROP等新型攻擊;操作系統(tǒng)之上引入的TDT威脅檢測技術正是基于AI的威脅檢測解決方案，檢測勒索軟件攻擊，加密挖礦等行為（與普通殺毒軟件不同，TDT是通過軟件行為對攻擊進行判斷，而不是文件特征，從根本上更好地檢測網(wǎng)絡攻擊）。不要小看這類攻擊行為，微軟公布的數(shù)據(jù)指出2020年的惡意軟件攻擊增加了70%。另外，第 11 代酷睿處理器還引入了全內(nèi)存加密加密技術，再一次從硬件層面杜絕了數(shù)據(jù)信息的泄露。

更為重要的是，TDT可以將病毒的掃描工作負載從CPU分流到GPU，并不像傳統(tǒng)方案一樣需要占用CPU系統(tǒng)資源，平時使用時你幾乎感受不到它的存在。

關于vPro，你可了解？

聊了這么久，很多朋友或許要問，vPro到底是什么？

的確，對于普通消費者來說，大多數(shù)人僅在電腦的CPU貼紙見過它，而且就連賣電腦的銷售小姐姐也并不清楚它的含義。但事實上，vPro（博銳）在英特爾的產(chǎn)品序列中，已經(jīng)是站崗15年的老兵，一直以來，它在企業(yè)IT管理者眼中就是功能強大易用的神器。

vPro說起來并不復雜，它其實是英特爾定義頂級商用級PC的一個“品牌”，和我們之前看到的Evo平臺一樣，均是定義CPU、顯卡、芯片組（PCH）、網(wǎng)卡、固件、驅動等軟硬件在某方面特性上的嚴格標準。比起普通電腦，帶有vPro的PC無論在穩(wěn)定性還是安全性、運算能力還是連接性能上均有更加穩(wěn)定高效的表現(xiàn)。

無獨有偶，這次英特爾便將vPro和Evo兩個兩標準疊加起來——第11代酷睿vPro平臺在Evo認證的加持下，同樣也擁有續(xù)航超過9小時、充電30分鐘使用4小時、1秒快速喚醒等功能，進一步提升商用效率。結合上述第11代酷睿vPro平臺對安全性的加強，你是不是對這個電腦上的LOGO有了更強的信心。其實，vPro遠遠不僅是英特爾針對軟硬件提出的嚴苛標準，它還能將基于硬件的虛擬化帶入到企業(yè)IT環(huán)境中去，以提升管理和維護電腦的效率，其中便包含有很強的“可玩性”的遠程管理，我們將在下面詳細解讀。

NUC，最適合行業(yè)擴展應用的硬件

將視角回到這臺全新英特爾NUC，它配備了第11代酷睿vPro平臺的i7-1185G7處理器，由于vPro平臺對遠程管理的天然支持，也給我們接下來的評測提供了充分的硬件條件。

NUC 11系列分為NUC 11 Performance Mini PC（代號Panther Canyon獵豹峽谷）、NUC11 Pro（代號Tiger Canyon老虎峽谷）、NUC 11 Enthusiast（代號Phantom Canyon幽靈峽谷），以及我手中的這臺NUC 11 Compute Element（代號Elk Bay），這實際上是一臺模塊化設計的計算單元，搭配型號為CMCM2FB的NUC Pro Classis Element機箱，便成為一臺簡化設計的系統(tǒng)。基于NUC Element主板、機箱和預裝配模塊向OEM廠商提供的超緊湊型臺式電腦，也可以由OEM廠商獨立開發(fā)第三方機箱。之所以以模塊化進行設計，還是為了方便那些需要提供交鑰匙解決方案的客戶，向用戶提供相應功能的模塊即可。

從硬件上可以看到，這臺模塊化的NUC Elk Bay除了采用11代酷睿vPro平臺的i7-1185G7處理器（10nm制程的Tiger Lake-U）外，還集成了兩條8GB鎂光LPDDR4雙通道內(nèi)存（共16GB），并搭配了一塊英睿達的500GB硬盤（編號CT500MX500SSD4，規(guī)格為m.2 2280，標稱讀寫速度555MB/s和500MB/s）。此外，CPU集成的銳炬Xe核芯顯卡本身擁有不錯的圖形處理性能，以往我們在其他評測中已經(jīng)展示過它的性能測試，便不再贅述。

從擴展性來看，NUC 11 Compute Element充分滿足行業(yè)組網(wǎng)需求，提供了豐富的接口。附了19V電源接口外，還擁有前2后4共6個USB接口，其中一半（前1后2）為USB 3.0規(guī)格;兩個RJ-45，用于多路組網(wǎng);2個3.5mm音頻接口，分別為輸入和輸出;4個HDMI接口，包含一路HDMI INPUT（連接內(nèi)置視頻采集卡）、兩路HDMI OUTPUT和一路HDMI Pass-Thru接口，這樣的設計明顯是針對視頻多路輸入輸出的商用需求而生。與我們評測過一臺搭載6代酷睿的NUC相比，每一類接口都增加了一倍的數(shù)量，去掉了不實用的SD卡插槽，接口類型上也更多考慮了商用的需求。無線擴展上，該機配備了頻寬160MHz的英特爾Wi-Fi 6 AX201無線網(wǎng)卡，并支持藍牙5.0。

NUC 11 Compute Element的拆卸非常方便，僅需要擰松底部圓形防滑墊上的4顆螺絲便可拆下底板，值得一提的是，這些螺絲均采用了防丟失設計，不會從底板上掉落。我們可以看到，底板上對應兩個M.2插槽位置都貼上了散熱硅脂，使得其成為天然的散熱片。需要注意的是安裝底板時一定要到位，否則與硅脂接觸不良會影響散熱效果。

打開機箱，我們能夠看到充滿機箱的主板，板載一塊M.2接口的英睿達SSD，另空余了一個插槽，主板的走線是非常簡潔的，非常有利于拆卸。我們看到上層的主板并不是一體的，它們分別由板號為CMCM2FB的大板和板號為CM11EBV716W的小板組成，令人沒想到的是，L形大板是從屬于機箱的套件，主要負責I/O控制和擴展，支持一路HDMI IN;另外它植入了一塊Dual HDMI Out圖形輸出芯片，能夠同時輸出到兩臺顯示器上，還擁有兩個M.2 2242、2280規(guī)格的插槽。

打開屏蔽層，小板才是集成vPro平臺硬件的主板，也被稱為NCU的計算卡，它不僅集成了CPU、內(nèi)存、有線、無線芯片，還板載一塊視頻采集卡，如要為系統(tǒng)升級只需更換計算卡就行了。我們還留意到，按11代移動酷睿vPro平臺的規(guī)格，該主板同樣也支持 PCIe，包含1根PCIe x4 Gen 3 （NVMe/SATA）、1根PCIe x4Gen 4 （NVMe）和1根PCIe x1 Gen 3，換一個機箱和相對應的大板便可連接NVMeSSD。

揭開表面主板，機箱底部還有一塊電源管理板，另外便是連接CPU的散熱器件，我們看到它采用了雙銅管單風扇的設計，應對i7-1185G7處理器完全全足夠。對于IT維護人員來說，為硬件升級僅需更換相應功能板即可，這也是 NUC11 Compute Element模塊化設計的優(yōu)勢從硬件配置和擴展設計來看，NUC 11Compute Element是一臺為滿足行業(yè)用戶多場景應用拓展而生的模塊化設備，加上無人值守的遠程管理特性，特別適合醫(yī)療、金融、零售、餐飲、教育、呼叫中心等行業(yè)用戶選擇。值得一提的是，這臺NUC 11 Elk Bay搭配的機箱（代號FortBeach）是頂配款，內(nèi)置視頻采集卡，支持HDMI INPUT等專業(yè)視頻流接口，非常適合做流媒體處理或者在直播場景使用。

PC遠程管理的巨大需求

今天，我們便將這臺NUC作為體驗vPro遠程管理的硬件平臺。之所以要專門體驗遠程管理功能，還是在于如今的市場中巨大的需求。

在過去一年多的時間里，受疫情影響，很多人都開始改變自己的工作方式——在家辦公、遠程協(xié)作其實已經(jīng)替代了以往在辦公室朝九晚五的模式。所以，網(wǎng)絡、攝像頭和各種基于瀏覽器的應用正成為越來越多的人每天使用的工具。當然，相對條件齊備的寫字樓和辦公園區(qū)，相對配備IT維護人員的企業(yè)工作環(huán)境，在家辦公其實也是一項相當有技術門檻的事情。

“平時有點小問題，一個電話IT維護人員5分鐘就解決了”“企業(yè)內(nèi)部系統(tǒng)更新，早上一來就全部升級好了，現(xiàn)在要我去下載升級包，感覺好麻煩”“在辦公室從來沒有中毒的電腦，一拿回家沒想到就中毒了……”上述的抱怨來自在家辦公人群的給我們反饋，將電腦從企業(yè)提供的防火墻和各類安全方案中帶到物理狀態(tài)和網(wǎng)絡狀態(tài)都完全開放的家中或者咖啡廳中，首先便要面對安全上的挑戰(zhàn)，另外家中的網(wǎng)絡環(huán)境和企業(yè)不同，需要重新設置，很多基于瀏覽器的應用，很有可能出現(xiàn)不兼容的問題。再加上電腦的使用者不可能像IT維護人員一樣熟悉電腦，解決無法開機、更新BIOS的問題，似乎都是這輩子永遠不可點開的技能點。

其實這些需求，vPro早已經(jīng)為你考慮過、并解決好了。除了上述對于安全性的升級，英特爾vPro平臺還支持英特爾主動管理技術（英特爾AMT）和英特爾端點管理助手（英特爾EMA），前者為集成入芯片組用于獲取遠程可管理性的嵌入式系統(tǒng)，可以在BIOS中開關，而后者便是為了簡化前者配置和使用而專門設計的管理軟件，2019年便推出了首個版本。

它們的設計目的便是幫助IT運維部門遠程訪問PC，從而遠程管理、到進一步修補系統(tǒng)、調(diào)整安全設置，從而及早發(fā)現(xiàn)問題、解決問題。這套系統(tǒng)的強大之外還在于，它不依賴終端操作系統(tǒng)，也能將PC恢復如初。

從實施效果來看，英特爾vPro技術將商用PC體驗提升到了新高度，其穩(wěn)定可靠易管理的特性非常適合當今遠程辦公時代的應用。對遠程辦公的員工而言，就算在家、在辦公室、出差在外，如果手中的電腦出現(xiàn)了問題，只需要聯(lián)系IT人員通過相應的云管理平臺就能夠對員工手中的PC進行故障排查和修復;而對IT人員或者企業(yè)來說，英特爾vPro不僅為企業(yè)的成百上千臺設備帶來可靠安全性，其易管理性更能夠幫助IT人員高效管理及運維設備。

除了在家辦公的需求，遠程管理正在醫(yī)療、教育、金融、新零售、視頻會議等行業(yè)，甚至是油田、電力、通信等無人駐守的戶外企業(yè)都有著廣泛的需求。以醫(yī)療機構為例，遠程醫(yī)療、智慧醫(yī)療、社區(qū)醫(yī)療正日益成為解決診療能力不足的新趨勢，而實現(xiàn)這些都需要在用戶端、社區(qū)端建設基于計算機技術，具備遙感、遙測、遙控能力的遠程診療設備，構建的基礎便是算力強大的計算機，這些計算終端的維護，如果一一上門，既費時又費力，遠程運維便是最佳的解決途徑。

教育行業(yè)與醫(yī)療行業(yè)類似，教育部力主推廣的課堂教學革命，正大力推廣智慧教室的建設。每一間教室的課件展示、教具聯(lián)動、互動系統(tǒng)和學情交流，都需要以一臺計算機為基礎，全中國智慧教室的數(shù)量何其巨大，設備的維護、教學軟件的升級只能依靠遠程實現(xiàn)。另外，像新零售這樣的行業(yè)，終端數(shù)量巨大，使用者又基本沒有計算機的維護能力，這更需要遠程運維來提供支撐?？傮w來說，PC的遠程管理在各個行業(yè)數(shù)字化轉型中擁有巨大的需求，恰好英特爾的vPro平臺擁有最為普及的終端數(shù)量，這為遠程管理的實現(xiàn)打下了堅實的基礎。

遠程管理那些事兒

在我看來，遠程管理其實是一件非常有意思的事情。最早在Windows XP上出現(xiàn)的遠程協(xié)助功能便能讓我們幫助不懂技術的父母、朋友解決一些普通的電腦問題，后來QQ、TeamViewer也開發(fā)出第三方的遠程協(xié)助功能，直至今天的Windows 10，也可以通過Cortana調(diào)取Windows 10自帶的遠程協(xié)助應用。不過這些遠程協(xié)助軟件，都屬于IBN（帶內(nèi)管理）的遠程管理。

既然說到這里，相信不說透很多科技直男也會心有不甘。我們不妨將遠程管理那些事兒攤開了說。遠程管理分帶外管理（Out-of-bandmanagement，OOB）和帶內(nèi)管理（In-Band Network Access，IBN），區(qū)別便是使用獨立管理通道或者常規(guī)數(shù)據(jù)通道來管理設備。剛才我們提及EMA可在不開機狀態(tài)（只要通電并聯(lián)網(wǎng)）進行遠程開關機、重啟、更新BIOS、訪問操作系統(tǒng)、監(jiān)控設備信息等一系列操作便在這個范疇之中。

其實OOB的遠程管理，戴爾和惠普等廠商以往便向他們的企業(yè)級用戶提供過名為DRAC和iLO的軟件（基于IPMI技術），但在英特爾EMA公布后，眾多OEM廠商紛紛基于EMA推出自己的遠程管理軟件，相對以前的OOB軟件，EMA（英特爾AMT）在硬件成本、部署方式、軟硬件兼容性，以及易用性、靈活性上均有著明顯的優(yōu)勢。不過，英特爾提供的EMA Agent客戶端配置文件和Guide說明文件目前都僅有英文版本，而各OEM廠商推出的則是漢化版本，對普通用戶更有親和力一些。以下我們盡可能在EMA界面中將主要功能翻譯為中文，可能與以后的官方譯名有所差別，不過也能方便大家理解。

首先我們聊聊EMA服務器的部署，盡管相對其他遠程管理系統(tǒng)英特爾在這方面大大簡單部署的過程，但其實對于普通用戶來說還是比較有挑戰(zhàn)性的。所以我建議還是普通用戶盡量租用第三方服務公司提供的遠程管理服務，那么僅需要擁有一臺vPro電腦便可實現(xiàn)。盡管如此，我們也可以了解一下架設EMA服務器的軟硬件門檻和主要功能，方便有條件的朋友參考。

一個完整的EMA服務器需要安裝在Windows Server 2012以上版本的服務器操作系統(tǒng)上，而EMA代理（管理）終端則需要安裝在Windows 7（英特爾AMT11.8系統(tǒng)）以上版本的操作系統(tǒng)上，另外服務器上還需要安裝MicrosoftSQLServer 2012以上版本的數(shù)據(jù)庫。服務器的硬件水平?jīng)Q定了接入的代理終端或虛擬機的數(shù)量和連接請求，英特爾推薦了一個入門級的配置為16線程的英特爾Xeon處理器、24GB內(nèi)存、1TB的RAID 1鏡像，基本能處理超過20000個的連接請求。安裝EMA服務器只需要在安裝向導的指導下依次設置服務器主機配置、數(shù)據(jù)庫設置、服務器主機信息和用戶身份驗證即可。非常有意思的是，服務器上可以進行Tenant設置和終端分組部署，IT管理和運維方也可以據(jù)此對用戶進行分類管理。EMA對于企業(yè)IT運維效率的提升的效果可以在英特爾官方網(wǎng)站上查到，但我想說的是，基于EMA易于部署和使用的靈活性，它同樣也非常適于第三方IT運維服務公司向中小企業(yè)、團隊提供遠程管理服務，其實有條件的個人也可以架設服務器來玩一玩以往僅有大型軟件公司專門為跨界企業(yè)開發(fā)的遠程管理功能。

IT問題遠程解決，在家辦公也不怕

由于服務器我們事前已經(jīng)建好，接下來就直接講講如何部署管理終端的代理文件、并使用EMA來進行一系列的遠程管理，來真實體驗其易用性。在我看來，接下來的操作其實幾乎沒有難度。

首先，我們需要在創(chuàng)建它們的系統(tǒng)上下載部署在管理端點上的代理文件（根據(jù)系統(tǒng)選定32位或64位），文件名分別為EMAAgent.exe和EMAAgent.msh（需要放在同一文件夾之下），然后以管理員運行EMAAgent.exe或在命令行輸入Ema Agent.exe-fulllinstall。卸載時同樣輸入ema Agent.exe-fulluninstall命令即可。

安裝好后等待自動配置 vPro 的管理功能（約5分鐘），便可打開瀏覽器，登陸https：//ema.vprocloud.cn網(wǎng)站，輸入部署服務器時設置的用戶名和密碼即可登錄到EMA管理界面。界面左側四個選項為總覽、終端、用戶和終端分組，點開終端頁面便能看到服務器所連接的所有終端，還顯示了終端組名、用戶名、連接狀態(tài)、AMT版本和狀態(tài)，以及終端最近連接時間等信息，點擊View便可進一步顯示終端詳情。此時，便可做喚醒、睡眠、關機、重啟等簡單操作了，如果要對管理終端進行一些更復雜的管控，我們需要選擇“Intel AMT”選項才能進入帶外管理頁面。另外在這個功能欄上，還有桌面、站點、文件、處理器和Windows設備管理器，與日常帶外管理操作關聯(lián)不大，便不一一展開。

在帶外管理頁面的左側，我們可以看到系統(tǒng)狀態(tài)、遠程桌面、網(wǎng)絡設置、安全設置、用戶賬戶、鬧鐘、事件日志、審核日志、硬件信息功能。此時，我們便能根據(jù)需求進行各種操作了。

比如，我們要運維BOIS，便可選擇遠程桌面，然后點擊右上角的“PowerAction”按鍵，選擇“Reset to BIOS”，點擊“OK”便可進入到驗證頁面。此時遠程被管理終端屏幕上便會顯示授權碼，將授權碼輸入“User Consent Code”框內(nèi)點擊“OK”，5秒后點擊左上角的“Connect”鍵便可顯示出被管理終端的BIOS界面，然后我們便可根據(jù)需求更改BIOS選項了。