Understanding Horizon Connections

Horizon 연결 서버를 포함하여 VMware Horizon 7을 사용하지만 여기에 설명 된 대부분의 내용은 VMware Horizon Cloud에도 적용됩니다.

참고 :이 블로그는 얼마 전에 게시되었지만 여전히 Horizon 연결의 요지를 알 수있는 관련성이 높고 쉬운 방법입니다. 더 자세히 알아 보려면 이제 상세하고 포괄적 인 Horizon 연결 이해 및 문제 해결 가이드를 제공합니다.

1 차 및 2 차 프로토콜

먼저 Horizon Client가 Horizon 환경에 연결될 때 여러 다른 프로토콜이 사용되며 성공적인 연결은 두 단계로 구성된다는 점을 이해하는 것이 중요합니다.

연결의 첫 번째 단계는 항상 인증, 권한 부여 및 세션 관리를 제공하는 HTTPS를 통한 기본 XML-API 프로토콜입니다. 인증에 성공하면 하나 이상의 보조 프로토콜을 사용하여 리소스에 연결됩니다.

Horizon 7의 구성 요소 및 아키텍처를 탐색 하려면 VMware Workspace ONE 및 VMware Horizon 참조 아키텍처 에서 구성 요소 설계 : Horizon 7 아키텍처 섹션 을 참조하십시오.

내부 연결

내부 연결을 사용하면 초기 인증 단계에서 Horizon Client에서 연결 서버로 연결됩니다. 그런 다음 보조 프로토콜 세션은 일반적으로 Horizon Client에서 Horizon Agent로 직접 연결됩니다.

보조 프로토콜 연결은 연결 서버에서 게이트웨이 또는 터널 (Blast 보안 게이트웨이, PCoIP 보안 게이트웨이 또는 HTTPS 보안 터널)이 활성화 된 경우에만 연결 서버를 통해 라우팅됩니다. 이 구성은 프로토콜 세션이 연결 서버를 통해 터널링되어 진행중인 세션의 일부가되므로 덜 일반적입니다.

대부분의 일반적인 배포에서 연결 서버에서 사용되는 유일한 게이트웨이 서비스는 VMware HTML Access (웹 기반 클라이언트) 트래픽을 처리하는 Blast 보안 게이트웨이입니다. 이는이 게시물 뒷부분의 내부 HTML 클라이언트 액세스 연결 섹션에서 별도의 주제로 다룹니다 .

연결 서버의 부하를 분산 할 때 일반적으로 초기 XML-API 연결 (인증, 권한 부여 및 세션 관리) 만 부하 분산하면됩니다.

보조 프로토콜 연결은 Horizon Client에서 Horizon Agent로 직접 이동하기 때문에로드 밸런싱되지 않습니다.

외부 연결

연결이 외부인 경우 통신은 일반적으로 VMware UAG (Unified Access Gateway) 어플라이언스를 통해 이루어집니다. 연결의 초기 인증 단계는 Horizon Client에서 Unified Access Gateway 장치로 이동 한 다음 연결 서버로 이동하는 것입니다. 프로토콜 세션 연결은 Horizon Client에서 Unified Access Gateway로 이동 한 다음 Horizon Agent로 이동합니다.

Unified Access Gateway는 Blast 보안 게이트웨이, PCoIP 보안 게이트웨이 및 HTTPS 보안 터널과 같은 게이트웨이 서비스를 실행합니다. 이러한 게이트웨이 서비스가 연결 서버에서도 활성화되어 있지 않은지 확인하십시오.이 경우 지원되지 않는 프로토콜 트래픽의 이중 홉 시도가 발생하여 연결이 실패하게됩니다.

또한이 아키텍처에서는 외부 및 내부 연결 모두에 동일한 연결 서버를 사용할 수 있습니다.

Horizon 트래픽을 여러 UAG 장치로로드 밸런싱 할 때 초기 XML-API 연결 (인증, 권한 부여 및 세션 관리)을로드 밸런싱해야합니다. 보조 Horizon 프로토콜은 기본 Horizon XML-API 프로토콜이 라우팅 된 동일한 UAG 어플라이언스로 라우팅되어야합니다. 이를 통해 UAG는 인증 된 사용자 세션을 기반으로 보조 프로토콜을 승인 할 수 있습니다.

보조 프로토콜 세션이 기본 프로토콜과 다른 Unified Access Gateway 장치로 잘못 라우팅되면 세션이 승인되지 않습니다. 따라서 연결이 DMZ에서 삭제되고 프로토콜 연결이 실패합니다. 로드 밸런서가 올바르게 구성되지 않은 경우 보조 프로토콜 세션을 잘못 라우팅하는 것은 일반적인 문제입니다.

로드 밸런서 선호도는 세션의 전체 기간 (기본 최대 10 시간) 동안 만들어진 XML-API 연결이 동일한 UAG 어플라이언스로 계속 라우팅되도록해야합니다.

보조 프로토콜 세션은 기본 XML-API 연결에 사용 된 것과 동일한 UAG 어플라이언스로 라우팅되어야하지만 보조 프로토콜 세션이로드 밸런서를 통해 라우팅되는지 여부를 선택할 수 있습니다. 이는 일반적으로로드 밸런서의 기능에 따라 다릅니다.

예를 들어 F5 BIG-IP LTM (Local Traffic Manager)을 사용하면 기본 및 보조 프로토콜 트래픽이 F5 LTM으로 이동하며 소스 IP 선호도를 사용하여 보조 프로토콜 세션의 올바른 라우팅을 보장합니다. 이는 하나의 공용 IP 주소 만 있으면된다는 장점이 있습니다. 로드 밸런서에이 기능이없는 경우 다른 옵션은 보조 프로토콜 세션이로드 밸런서를 우회 할 수 있도록 각 UAG 어플라이언스에 대한 추가 IP 주소를 지정하는 것입니다. VMware Unified Access Gateway 장치 간의로드 밸런싱을 참조하십시오 .

내부 HTML 클라이언트 액세스 연결

HTML Access를 사용하면 설치된 기본 Horizon Client 대신 웹 브라우저가 Horizon 리소스에 액세스하기위한 클라이언트로 사용됩니다. 한 가지 고려 사항은 브라우저가 제공된 SSL 인증서를 신뢰해야한다는 것입니다. 외부 연결에서 Unified Access Gateway는 Blast 보안 게이트웨이를 실행하고 ID를 확인하기 위해 브라우저에 UAG 인증서를 제공합니다.

프로토콜 세션이 일반적으로 클라이언트에서 Horizon Agent로 직접 연결되는 내부 연결을 사용하는 경우 에이전트 측은 신뢰할 수있는 인증서를 브라우저에 제공해야합니다. 이것은 몇 가지 도전을 제시합니다.

1. 기본적으로 연결 서버는 데스크톱 컴퓨터 및 RDSH 서버의 호스트 이름이 아닌 IP 주소를 클라이언트에 전송하는 것을 우선적으로 제공하므로 인증서가 일치하지 않고 신뢰할 수 없게됩니다. (이 동작은 DNS 이름을 선호하도록 변경할 수 있습니다.)
2. 데스크톱 컴퓨터와 RDSH 서버에는 클라이언트 장치의 브라우저에서 신뢰할 수있는 인증서가 설치되어 있어야합니다. 이 동작으로 인해 전통적으로 와일드 카드 인증서가 사용되었습니다.

연결 서버의 비교적 새로운 기능은 이러한 제약을 극복하고보다 우아한 솔루션을 제공합니다. Horizon Administrator에서는 HTML Access가 로컬로 사용되는 경우에만 원격 데스크톱 및 애플리케이션에 대한 보안 액세스를 제공하도록 Blast 보안 게이트웨이 사용을 구성 할 수 있습니다.

Blast Extreme 프로토콜 트래픽 세션은 연결 서버를 통해 라우팅되며 SSL 인증서와 함께 제공됩니다. 이렇게하면 연결 서버가 시스템 또는 RDSH 서버 정보를 호스트로 보내는 기본 방식을 변경할 필요가 없습니다. 또한 데스크톱 컴퓨터 및 RDSH 서버에서 인증서를 관리 할 필요가 없음을 의미합니다.

연결 서버에 구성된 HTML Access 용 Blast 보안 게이트웨이 사용 설정 만 사용 하면 다음과 같은 동작이 발생합니다.

1. 연결 서버에 직접 연결하는 내부 HTML Access 사용자는 Blast 연결이 연결 서버의 Blast 보안 게이트웨이를 통과합니다.
2. 내부 기본 Horizon Client에는 Blast 연결이 데스크톱으로 직접 연결됩니다.
3. UAG를 통해 연결하는 외부 사용자 (HTML Access 또는 기본 클라이언트)는 Blast 연결이 UAG의 Blast 보안 게이트웨이를 통과하도록합니다. 그러면 연결이 UAG 어플라이언스에서 데스크톱으로 이동하고 연결 서버의 Blast 보안 게이트웨이를 건드리지 않습니다.

또한 연결 서버는 대부분의 사용 사례에서 UAG에서 실행되는 게이트웨이 서비스 (Blast 보안 게이트웨이, PCoIP 보안 게이트웨이 및 HTTPS 보안 터널)와 함께 내부 및 외부 연결 모두에 대해 공유 될 수 있음을 의미합니다. 내부 HTML Access 연결 만 연결 서버의 Blast 보안 게이트웨이를 통과합니다.

결론

이제 연결 방법과 트래픽 흐름을 이해 했으므로 사용되는 네트워크 포트를 살펴볼 수 있습니다. VMware Horizon 7 의 네트워크 포트 문서 에는 트래픽을 보여주는 다이어그램과 함께이 세부 정보가 있습니다. 내부, 외부 및 터널링 된 연결에 대한 특정 섹션과 다이어그램도 있습니다.

자세한 내용은 Horizon 연결 이해 및 문제 해결 가이드를 참조하십시오 .

 

출처:techzone.vmware.com/blog/understanding-horizon-connections