自带vPro的模块化电脑

王健鹏

今天的话题跟vPro（博锐）有关。起因便是新鲜入手了一台配备了第11代酷睿vPro平台的模块化NUC 11 Elk Bay 。和很多老炮儿一样，我也是从刀片机、小型机、树莓派和Nas一路玩过来的，面对NUC，可以说我们都没有抵抗力。因为从硬件集成性和系统扩展性上来看，它都是一台完整的x86平台，非常容易上手。

NUC（The Next Unit of Computing）是目前英特尔产品线中体积最小的整机，与其他产品线只推芯片、构架不同，NUC是英特尔首次以自己品牌推广的PC产品。它不仅是一台“迷你电脑”，更像是一台可以拓展出各种玩法和行业应用的x86“原型机”，我们以往费打造的HTPC（家庭影院电脑），如今用一台NUC便可以完美实现;而设计师也习惯用这台小巧而强大的电脑作为创作主机，想要给客户展示作品，直接带上NUC就行;另外，它的还可以作为众多无人值守的远程主机，比如作为会议室的中控、数据主机，其原因便是搭载了英特尔vPro技术。既然聊到这里，我们不妨先聊聊几天前才发布的第11代酷睿vPro平台。

先聊聊第11代酷睿vPro平台的重要升级

全新的第11代酷睿vPro平台共包含了4款处理器，包含TDP 12W～28W的i7-1185G7、i5-1145G7和7W～15W的i7-1180G7、i5-1140G7。与第11代移动酷睿处理器平台一样，拥有全新的Willow Cove架构、集成锐炬Xe核显、支持AI深度学习加速、Thunderbolt 4、PCIe 4.0、Wi-Fi 6（Gig+）等特性。其实关于第11代酷睿vPro平台的升级包含两方面：一是由10nm制程的11代酷睿带来的性能提升：诸如整体应用性能提升1.19倍、视频会议工作效率1.35倍、网页浏览速度1.21倍、Office 365的工作效率1.17倍、AI性能提升8倍、视频编辑速度提升2.3倍等。

另外则是vPro平台在安全功能上的更新：比如独有的Intel Hardware Shield（硬件防护盾）技术，便提供了基硬件层面的软硬一体安全防护。正是基于在自身芯片上的深厚底蕴，英特尔首次将AI威胁检测解决方案和英特尔控制流强制技术（Intel CET）植入了芯片之中，从硬件底层固件到操作系统，再到应用程序提供三个层面的保护。

这三个层面包含在BIOS中提供专门的BIOS层和固件层防护，以抵御固件攻击;在应用程序上与微软深度合作，提供控制流强制技术CET等应用层的安全保障，可以阻拦纯软件方案难以解决的JOP/ROP等新型攻击;操作系统之上引入的TDT威胁检测技术正是基于AI的威胁检测解决方案，检测勒索软件攻击，加密挖矿等行为（与普通杀毒软件不同，TDT是通过软件行为對攻击进行判断，而不是文件特征，从根本上更好地检测网络攻击）。不要小看这类攻击行为，微软公布的数据指出2020年的恶意软件攻击增加了70%。另外，第 11 代酷睿处理器还引入了全内存加密加密技术，再一次从硬件层面杜绝了数据信息的泄露。

更为重要的是，TDT可以将病毒的扫描工作负载从CPU分流到GPU，并不像传统方案一样需要占用CPU系统资源，平时使用时你几乎感受不到它的存在。

关于vPro，你可了解？

聊了这么久，很多朋友或许要问，vPro到底是什么？

的确，对于普通消费者来说，大多数人仅在电脑的CPU贴纸见过它，而且就连卖电脑的销售小姐姐也并不清楚它的含义。但事实上，vPro（博锐）在英特尔的产品序列中，已经是站岗15年的老兵，一直以来，它在企业IT管理者眼中就是功能强大易用的神器。

vPro说起来并不复杂，它其实是英特尔定义顶级商用级PC的一个“品牌”，和我们之前看到的Evo平台一样，均是定义CPU、显卡、芯片组（PCH）、网卡、固件、驱动等软硬件在某方面特性上的严格标准。比起普通电脑，带有vPro的PC无论在稳定性还是安全性、运算能力还是连接性能上均有更加稳定高效的表现。

无独有偶，这次英特尔便将vPro和Evo两个两标准叠加起来——第11代酷睿vPro平台在Evo认证的加持下，同样也拥有续航超过9小时、充电30分钟使用4小时、1秒快速唤醒等功能，进一步提升商用效率。结合上述第11代酷睿vPro平台对安全性的加强，你是不是对这个电脑上的LOGO有了更强的信心。其实，vPro远远不仅是英特尔针对软硬件提出的严苛标准，它还能将基于硬件的虚拟化带入到企业IT环境中去，以提升管理和维护电脑的效率，其中便包含有很强的“可玩性”的远程管理，我们将在下面详细解读。

NUC，最适合行业扩展应用的硬件

将视角回到这台全新英特尔NUC，它配备了第11代酷睿vPro平台的i7-1185G7处理器，由于vPro平台对远程管理的天然支持，也给我们接下来的评测提供了充分的硬件条件。

NUC 11系列分为NUC 11 Performance Mini PC（代号Panther Canyon猎豹峡谷）、NUC11 Pro（代号Tiger Canyon老虎峡谷）、NUC 11 Enthusiast（代号Phantom Canyon幽灵峡谷），以及我手中的这台NUC 11 Compute Element（代号Elk Bay），这实际上是一台模块化设计的计算单元，搭配型号为CMCM2FB的NUC Pro Classis Element机箱，便成为一台简化设计的系统。基于NUC Element主板、机箱和预装配模块向OEM厂商提供的超紧凑型台式电脑，也可以由OEM厂商独立开发第三方机箱。之所以以模块化进行设计，还是为了方便那些需要提供交钥匙解决方案的客户，向用户提供相应功能的模块即可。

从硬件上可以看到，这台模块化的NUC Elk Bay除了采用11代酷睿vPro平台的i7-1185G7处理器（10nm制程的Tiger Lake-U）外，还集成了两条8GB镁光LPDDR4双通道内存（共16GB），并搭配了一块英睿达的500GB硬盘（编号CT500MX500SSD4，规格为m.2 2280，标称读写速度555MB/s和500MB/s）。此外，CPU集成的锐炬Xe核芯显卡本身拥有不错的图形处理性能，以往我们在其他评测中已经展示过它的性能测试，便不再赘述。

从扩展性来看，NUC 11 Compute Element充分满足行业组网需求，提供了丰富的接口。附了19V电源接口外，还拥有前2后4共6个USB接口，其中一半（前1后2）为USB 3.0规格;两个RJ-45，用于多路组网;2个3.5mm音频接口，分别为输入和输出;4个HDMI接口，包含一路HDMI INPUT（连接内置视频采集卡）、两路HDMI OUTPUT和一路HDMI Pass-Thru接口，这样的设计明显是针对视频多路输入输出的商用需求而生。与我们评测过一台搭载6代酷睿的NUC相比，每一类接口都增加了一倍的数量，去掉了不实用的SD卡插槽，接口类型上也更多考虑了商用的需求。无线扩展上，该机配备了频宽160MHz的英特尔Wi-Fi 6 AX201无线网卡，并支持蓝牙5.0。

NUC 11 Compute Element的拆卸非常方便，仅需要拧松底部圆形防滑垫上的4颗螺丝便可拆下底板，值得一提的是，这些螺丝均采用了防丢失设计，不会从底板上掉落。我们可以看到，底板上对应两个M.2插槽位置都贴上了散热硅脂，使得其成为天然的散热片。需要注意的是安装底板时一定要到位，否则与硅脂接触不良会影响散热效果。

打开机箱，我们能够看到充满机箱的主板，板载一块M.2接口的英睿达SSD，另空余了一个插槽，主板的走线是非常简洁的，非常有利于拆卸。我们看到上层的主板并不是一体的，它们分别由板号为CMCM2FB的大板和板号为CM11EBV716W的小板组成，令人没想到的是，L形大板是从属于机箱的套件，主要负责I/O控制和扩展，支持一路HDMI IN;另外它植入了一块Dual HDMI Out图形输出芯片，能够同时输出到两台显示器上，还拥有两个M.2 2242、2280规格的插槽。

打开屏蔽层，小板才是集成vPro平台硬件的主板，也被称为NCU的计算卡，它不仅集成了CPU、内存、有线、无线芯片，还板载一块视频采集卡，如要为系统升级只需更换计算卡就行了。我们还留意到，按11代移动酷睿vPro平台的规格，该主板同样也支持 PCIe，包含1根PCIe x4 Gen 3 （NVMe/SATA）、1根PCIe x4Gen 4 （NVMe）和1根PCIe x1 Gen 3，换一个机箱和相对应的大板便可连接NVMeSSD。

揭开表面主板，机箱底部还有一块电源管理板，另外便是连接CPU的散热器件，我们看到它采用了双铜管单风扇的设计，应对i7-1185G7处理器完全全足够。对于IT维护人员来说，为硬件升级仅需更换相应功能板即可，这也是 NUC11 Compute Element模块化设计的优势从硬件配置和擴展设计来看，NUC 11Compute Element是一台为满足行业用户多场景应用拓展而生的模块化设备，加上无人值守的远程管理特性，特别适合医疗、金融、零售、餐饮、教育、呼叫中心等行业用户选择。值得一提的是，这台NUC 11 Elk Bay搭配的机箱（代号FortBeach）是顶配款，内置视频采集卡，支持HDMI INPUT等专业视频流接口，非常适合做流媒体处理或者在直播场景使用。

PC远程管理的巨大需求

今天，我们便将这台NUC作为体验vPro远程管理的硬件平台。之所以要专门体验远程管理功能，还是在于如今的市场中巨大的需求。

在过去一年多的时间里，受疫情影响，很多人都开始改变自己的工作方式——在家办公、远程协作其实已经替代了以往在办公室朝九晚五的模式。所以，网络、摄像头和各种基于浏览器的应用正成为越来越多的人每天使用的工具。当然，相对条件齐备的写字楼和办公园区，相对配备IT维护人员的企业工作环境，在家办公其实也是一项相当有技术门槛的事情。

“平时有点小问题，一个电话IT维护人员5分钟就解决了”“企业内部系统更新，早上一来就全部升级好了，现在要我去下载升级包，感觉好麻烦”“在办公室从来没有中毒的电脑，一拿回家没想到就中毒了……”上述的抱怨来自在家办公人群的给我们反馈，将电脑从企业提供的防火墙和各类安全方案中带到物理状态和网络状态都完全开放的家中或者咖啡厅中，首先便要面对安全上的挑战，另外家中的网络环境和企业不同，需要重新设置，很多基于浏览器的应用，很有可能出现不兼容的问题。再加上电脑的使用者不可能像IT维护人员一样熟悉电脑，解决无法开机、更新BIOS的问题，似乎都是这辈子永远不可点开的技能点。

其实这些需求，vPro早已经为你考虑过、并解决好了。除了上述对于安全性的升级，英特尔vPro平台还支持英特尔主动管理技术（英特尔AMT）和英特尔端点管理助手（英特尔EMA），前者为集成入芯片组用于获取远程可管理性的嵌入式系统，可以在BIOS中开关，而后者便是为了简化前者配置和使用而专门设计的管理软件，2019年便推出了首个版本。

它们的设计目的便是帮助IT运维部门远程访问PC，从而远程管理、到进一步修补系统、调整安全设置，从而及早发现问题、解决问题。这套系统的强大之外还在于，它不依赖终端操作系统，也能将PC恢复如初。

从实施效果来看，英特尔vPro技术将商用PC体验提升到了新高度，其稳定可靠易管理的特性非常适合当今远程办公时代的应用。对远程办公的员工而言，就算在家、在办公室、出差在外，如果手中的电脑出现了问题，只需要联系IT人员通过相应的云管理平台就能够对员工手中的PC进行故障排查和修复;而对IT人员或者企业来说，英特尔vPro不仅为企业的成百上千台设备带来可靠安全性，其易管理性更能够帮助IT人员高效管理及运维设备。

除了在家办公的需求，远程管理正在医疗、教育、金融、新零售、视频会议等行业，甚至是油田、电力、通信等无人驻守的户外企业都有着广泛的需求。以医疗机构为例，远程医疗、智慧医疗、社区医疗正日益成为解决诊疗能力不足的新趋势，而实现这些都需要在用户端、社区端建设基于计算机技术，具备遥感、遥测、遥控能力的远程诊疗设备，构建的基础便是算力强大的计算机，这些计算终端的维护，如果一一上门，既费时又费力，远程运维便是最佳的解决途径。

教育行业与医疗行业类似，教育部力主推广的课堂教学革命，正大力推广智慧教室的建设。每一间教室的课件展示、教具联动、互动系统和学情交流，都需要以一台计算机为基础，全中国智慧教室的数量何其巨大，设备的维护、教学软件的升级只能依靠远程实现。另外，像新零售这样的行业，终端数量巨大，使用者又基本没有计算机的维护能力，这更需要远程运维来提供支撑。总体来说，PC的远程管理在各个行业数字化转型中拥有巨大的需求，恰好英特尔的vPro平台拥有最为普及的终端数量，这为远程管理的实现打下了坚实的基础。

远程管理那些事儿

在我看来，远程管理其实是一件非常有意思的事情。最早在Windows XP上出现的远程协助功能便能让我们帮助不懂技术的父母、朋友解决一些普通的电脑问题，后来QQ、TeamViewer也开发出第三方的远程协助功能，直至今天的Windows 10，也可以通过Cortana调取Windows 10自带的远程协助应用。不过这些远程协助软件，都属于IBN（带内管理）的远程管理。

既然说到这里，相信不说透很多科技直男也会心有不甘。我们不妨将远程管理那些事儿摊开了说。远程管理分带外管理（Out-of-bandmanagement，OOB）和带内管理（In-Band Network Access，IBN），区别便是使用独立管理通道或者常规数据通道来管理设备。刚才我们提及EMA可在不开机状态（只要通电并联网）进行远程开关机、重启、更新BIOS、访问操作系统、监控设备信息等一系列操作便在这个范畴之中。

其实OOB的远程管理，戴尔和惠普等厂商以往便向他们的企業级用户提供过名为DRAC和iLO的软件（基于IPMI技术），但在英特尔EMA公布后，众多OEM厂商纷纷基于EMA推出自己的远程管理软件，相对以前的OOB软件，EMA（英特尔AMT）在硬件成本、部署方式、软硬件兼容性，以及易用性、灵活性上均有着明显的优势。不过，英特尔提供的EMA Agent客户端配置文件和Guide说明文件目前都仅有英文版本，而各OEM厂商推出的则是汉化版本，对普通用户更有亲和力一些。以下我们尽可能在EMA界面中将主要功能翻译为中文，可能与以后的官方译名有所差别，不过也能方便大家理解。

首先我们聊聊EMA服务器的部署，尽管相对其他远程管理系统英特尔在这方面大大简单部署的过程，但其实对于普通用户来说还是比较有挑战性的。所以我建议还是普通用户尽量租用第三方服务公司提供的远程管理服务，那么仅需要拥有一台vPro电脑便可实现。尽管如此，我们也可以了解一下架设EMA服务器的软硬件门槛和主要功能，方便有条件的朋友参考。

一个完整的EMA服务器需要安装在Windows Server 2012以上版本的服务器操作系统上，而EMA代理（管理）终端则需要安装在Windows 7（英特尔AMT11.8系统）以上版本的操作系统上，另外服务器上还需要安装MicrosoftSQLServer 2012以上版本的数据库。服务器的硬件水平决定了接入的代理终端或虚拟机的数量和连接请求，英特尔推荐了一个入门级的配置为16线程的英特尔Xeon处理器、24GB内存、1TB的RAID 1镜像，基本能处理超过20000个的连接请求。安装EMA服务器只需要在安装向导的指导下依次设置服务器主机配置、数据库设置、服务器主机信息和用户身份验证即可。非常有意思的是，服务器上可以进行Tenant设置和终端分组部署，IT管理和运维方也可以据此对用户进行分类管理。EMA对于企业IT运维效率的提升的效果可以在英特尔官方网站上查到，但我想说的是，基于EMA易于部署和使用的灵活性，它同样也非常适于第三方IT运维服务公司向中小企业、团队提供远程管理服务，其实有条件的个人也可以架设服务器来玩一玩以往仅有大型软件公司专门为跨界企业开发的远程管理功能。

IT问题远程解决，在家办公也不怕

由于服务器我们事前已经建好，接下来就直接讲讲如何部署管理终端的代理文件、并使用EMA来进行一系列的远程管理，来真实体验其易用性。在我看来，接下来的操作其实几乎没有难度。

首先，我们需要在创建它们的系统上下载部署在管理端点上的代理文件（根据系统选定32位或64位），文件名分别为EMAAgent.exe和EMAAgent.msh（需要放在同一文件夹之下），然后以管理员运行EMAAgent.exe或在命令行输入Ema Agent.exe-fulllinstall。卸载时同样输入ema Agent.exe-fulluninstall命令即可。

安装好后等待自动配置 vPro 的管理功能（约5分钟），便可打开浏览器，登陆https：//ema.vprocloud.cn网站，输入部署服务器时设置的用户名和密码即可登录到EMA管理界面。界面左侧四个选项为总览、终端、用户和终端分组，点开终端页面便能看到服务器所连接的所有终端，还显示了终端组名、用户名、连接状态、AMT版本和状态，以及终端最近连接时间等信息，点击View便可进一步显示终端详情。此时，便可做唤醒、睡眠、关机、重启等简单操作了，如果要对管理终端进行一些更复杂的管控，我们需要选择“Intel AMT”选项才能进入带外管理页面。另外在这个功能栏上，还有桌面、站点、文件、处理器和Windows设备管理器，与日常带外管理操作关联不大，便不一一展开。

在带外管理页面的左侧，我们可以看到系统状态、远程桌面、网络设置、安全设置、用户账户、闹钟、事件日志、审核日志、硬件信息功能。此时，我们便能根据需求进行各种操作了。

比如，我们要运维BOIS，便可选择远程桌面，然后点击右上角的“PowerAction”按键，选择“Reset to BIOS”，点击“OK”便可进入到验证页面。此时远程被管理终端屏幕上便会显示授权码，将授权码输入“User Consent Code”框内点击“OK”，5秒后点击左上角的“Connect”键便可显示出被管理终端的BIOS界面，然后我们便可根据需求更改BIOS选项了。