Что такое Omnissa Horizon #

Omnissa Horizon — это универсальный набор продуктов, разработанный для безопасной доставки виртуальных рабочих столов и приложений с помощью современной, адаптируемой архитектуры, которая поддерживает как локальные, так и облачные развертывания. Он позволяет организациям оптимизировать совместную работу, поддерживать различные клиентские устройства и обеспечивать бесперебойный пользовательский опыт независимо от местоположения или состояния сети. Omnissa Horizon предлагает централизованное управление рабочими столами и приложениями, подчеркивая надежную безопасность, оптимизированное исправление и всесторонний контроль доступа, что делает его идеальным для удаленных и гибридных рабочих сред. Он также включает в себя передовые решения, такие как Desktop as a Service (DaaS) и управление гибридным облаком, с основными платформами, такими как Horizon 8 и Horizon Cloud Service — next-gen, все из которых могут быть улучшены с помощью дополнительных инструментов, таких как App Volumes и Workspace ONE.

Компоненты горизонта #

Понимание ключевых компонентов, задействованных в соединении Horizon, необходимо для эффективного управления и настройки системы. Ниже приведен подробный обзор этих компонентов:

Клиент Horizon #

Horizon Client — это приложение, установленное на устройстве пользователя, которое обеспечивает доступ к системам, управляемым Horizon. Оно устанавливает соединение со средой Horizon, где установлен Horizon Agent. Для устройств, на которых установка Horizon Client невозможна, пользователи могут использовать веб-браузер в качестве HTML-клиента, что обеспечивает гибкий метод доступа.

Горизонт Агент #

Horizon Agent, установленный на гостевой операционной системе целевых машин, имеет решающее значение для обеспечения связи между инфраструктурой Horizon и виртуальными или физическими рабочими столами. Этот агент позволяет серверам подключений управлять этими машинами и облегчает создание сеанса протокола между Horizon Client и целевой системой. Horizon Agent может быть развернут на различных типах машин, включая виртуальные рабочие столы, хосты сеансов удаленных рабочих столов (RDS Hosts), физические настольные ПК и блейд-ПК.

Сервер соединений #

Horizon Connection Server выступает в качестве центрального брокера, безопасно управляя и направляя пользовательские соединения к Horizon Agent, установленному на рабочих столах и RDS Hosts. Он обрабатывает аутентификацию пользователей через Active Directory и обеспечивает маршрутизацию запросов на соответствующие ресурсы на основе прав пользователя. Этот сервер играет ключевую роль в установлении и поддержании соединения между пользователями и их виртуальными или удаленными рабочими средами.

Единый шлюз доступа #

Unified Access Gateway (UAG) — это виртуальное устройство, предназначенное для предоставления безопасного удаленного доступа из внешних сетей к внутренним ресурсам, включая те, которые управляются Horizon. Его можно развернуть в корпоративной DMZ или внутренней сети, и он функционирует как прокси-сервер для подключений к ресурсам компании. UAG обрабатывает аутентифицированные запросы, направляя их на соответствующие ресурсы и блокируя неаутентифицированные. Он также может выполнять аутентификацию сам, добавляя дополнительный уровень безопасности при соответствующей настройке.

Каждый из этих компонентов играет важную роль в обеспечении бесперебойной и безопасной работы Horizon — от доступа пользователей до управления системой и распределения ресурсов.

Зачем балансировать нагрузку Omnissa Horizon #

Балансировка нагрузки имеет решающее значение для Omnissa Horizon, поскольку она значительно повышает как доступность сервиса, так и масштабируемость, обеспечивая надежный и бесперебойный пользовательский опыт. Развертывая балансировщик нагрузки, вы можете горизонтально масштабировать свою среду, добавляя дополнительные серверы подключений (CS) или шлюзы унифицированного доступа (UAG), что напрямую увеличивает количество одновременных сеансов, которые может поддерживать система. Эта масштабируемость имеет важное значение для удовлетворения растущих потребностей пользователей без ущерба для производительности.

Более того, балансировка нагрузки улучшает доступность сервиса, автоматически перенаправляя трафик на доступные компоненты, если CS или UAG отключаются. Это обеспечивает непрерывный доступ и минимизирует время простоя, поддерживая последовательный и надежный сервис для пользователей. Кроме того, балансировщик нагрузки позволяет пользователям получать доступ к сервису через один URL, упрощая работу и устраняя необходимость знать конкретные URL-адреса серверов.

Помимо этих основных преимуществ, некоторые балансировщики нагрузки предлагают расширенные функции, такие как SSL-разгрузка, улучшенная безопасность, аналитика в реальном времени и многое другое, что может дополнительно оптимизировать и защитить среду Horizon. Понимание этих возможностей имеет жизненно важное значение, поскольку они могут повлиять на общую архитектуру и эффективность вашего развертывания.

Таким образом, преимущества Omnissa Load Balancing заключаются в следующем:

• Оптимизированная производительность: Балансировка нагрузки помогает предотвратить перегрузку любого отдельного сервера, равномерно распределяя рабочие нагрузки. Это оптимизирует производительность Omnissa Horizon, гарантируя пользователям быстрый и надежный доступ к виртуальным рабочим столам и приложениям даже в часы пиковой нагрузки.
• Высокая доступность: Распределяя нагрузку между несколькими серверами, балансировка нагрузки повышает доступность услуг Omnissa Horizon. Если один сервер выходит из строя или испытывает проблемы, балансировщик нагрузки может перенаправить трафик на другие работоспособные серверы, минимизируя время простоя и обеспечивая пользователям непрерывный доступ.
• Масштабируемость: По мере роста спроса на виртуальные рабочие столы и приложения балансировка нагрузки позволяет Omnissa Horizon эффективно масштабироваться. Она может динамически подстраиваться под возросшие рабочие нагрузки, распределяя трафик между дополнительными серверами, гарантируя, что платформа сможет обрабатывать растущие пользовательские базы и меняющиеся рабочие нагрузки без ущерба для производительности.
• Повышенная безопасность: Балансировка нагрузки также может играть роль в обеспечении безопасности, распределяя трафик таким образом, чтобы снизить риск атак типа «распределенный отказ в обслуживании» (DDoS). Распределяя запросы, он снижает вероятность того, что любой отдельный сервер станет точкой отказа из-за вредоносного трафика.
• Эффективность использования ресурсов: Эффективное распределение нагрузки гарантирует оптимальное использование ресурсов Omnissa Horizon. Это предотвращает недоиспользование некоторых серверов, в то время как другие перегружены, что приводит к повышению общей эффективности системы и рентабельности.

Подводя итог, можно сказать, что балансировка нагрузки имеет решающее значение для поддержания производительности, доступности, масштабируемости, безопасности и эффективности Omnissa Horizon, гарантируя, что система сможет отвечать требованиям современных предприятий и обеспечивать бесперебойную работу пользователей.

Различные способы балансировки нагрузки Horizon #

Horizon может использовать балансировщики нагрузки в трех ключевых областях:

Балансировка нагрузки серверов подключений Horizon 8 #

В развертывании Horizon балансировка нагрузки Connection Servers (CS) имеет решающее значение для равномерного распределения запросов сеансов пользователей по нескольким серверам. Это не только повышает способность среды обрабатывать больше одновременных сеансов, но и обеспечивает непрерывную доступность сервиса. Если один Connection Server отключается, балансировщик нагрузки перенаправляет новые сеансы на оставшиеся активные серверы, предотвращая простои и поддерживая бесперебойную работу пользователя.

Балансировка нагрузки унифицированных шлюзов доступа (UAG) #

Шлюзы унифицированного доступа необходимы для безопасного удаленного доступа к средам Horizon. Балансируя нагрузку UAG, вы можете распределять входящие удаленные пользовательские соединения по нескольким шлюзам, гарантируя, что ни один UAG не будет перегружен. Такая настройка увеличивает количество пользователей, которые могут подключаться одновременно, а также повышает безопасность и надежность. В случае сбоя UAG балансировщик нагрузки перенаправляет соединения на другие доступные шлюзы, поддерживая бесперебойный доступ.

Балансировка нагрузки приложений Менеджеры томов #

Менеджеры App Volumes отвечают за управление и доставку приложений и профилей пользователей в среде Horizon. Балансировка нагрузки этих менеджеров гарантирует, что доставка приложений останется эффективной и масштабируемой, даже если растёт спрос пользователей. Хотя эта статья не будет углубляться в детали балансировки нагрузки менеджеров App Volumes, стоит отметить, что её реализация может дополнительно оптимизировать производительность и надёжность вашего развертывания Horizon.

Каждый балансировщик нагрузки или балансировщик нагрузки как услуга работают по-разному, и архитектура может нуждаться в адаптации для достижения желаемых результатов в вашей конкретной среде Horizon. В этой статье мы расскажем вам, как балансировать нагрузку Horizon с помощью RELIANOID Балансировщик нагрузки, отвечающий всем конкретным требованиям, которые могут потребоваться вашему проекту.

Понимание протоколов связи Horizon #

Понимание протоколов, задействованных в соединении Horizon, имеет решающее значение для понимания того, как работает система. Соединение Horizon включает в себя несколько протоколов и разворачивается в две отдельные фазы:

Основной протокол: XML-API через HTTPS #

Начальная фаза соединения Horizon использует протокол XML-API поверх HTTPS. Этот основной протокол отвечает за:

• Аутентификация: Проверка учетных данных пользователя.
• Авторизация: Обеспечение наличия у пользователя соответствующих разрешений.
• Управление сеансом: Обработка настройки и обслуживания сеанса пользователя.

После успешной аутентификации пользователя с использованием этого основного протокола система переходит на вторичные протоколы для продолжения связи.

Вторичные протоколы: Трафик сеансового протокола #

После успешной аутентификации Horizon Client устанавливает сеанс, используя один или несколько вторичных протоколов для взаимодействия с ресурсом. Эти протоколы включают:

• PCoIP (ПК-по-IP): Оптимизирован для предоставления высококачественных рабочих столов с минимальной задержкой.
• Взрыв: Разработано для эффективной производительности и использования полосы пропускания.
• HTTPS-туннель: обрабатывает трафик по сторонним каналам, например, перенаправление клиентского диска (CDR) и перенаправление мультимедиа (MMR), обеспечивая дополнительные функции во время сеанса.

Внутренние соединения #

В сценариях внутренней сети Horizon Client подключается напрямую к Connection Server и затем к Horizon Agent на целевой машине. Эта настройка обычно включает:

• Первоначальная аутентификация: клиент Horizon взаимодействует с сервером подключений для аутентификации пользователя.
• Сеанс вторичного протокола: после аутентификации клиент Horizon устанавливает прямой сеанс с агентом Horizon на настольном компьютере или сервере RDSH.

Обзор потока коммуникации #

1. Вход в систему и аутентификация пользователя:

• Клиент Horizon подключается к серверу подключений.
• Сервер подключений проверяет права пользователя.
• Пользователь выбирает рабочий стол или приложение для доступа.

1. Создание сеанса:
Затем клиент Horizon подключается к агенту Horizon, работающему на выбранном рабочем столе или сервере RDSH, используя соответствующие вторичные протоколы для сеанса.

Этот двухфазный процесс обеспечивает безопасный, эффективный и бесперебойный доступ к ресурсам, управляемым Horizon, как во внутренних сетях, так и через внешние подключения.

Сетевые порты для подключения Horizon #

Правильная настройка сетевых портов имеет решающее значение для обеспечения бесперебойной связи между компонентами в развертывании Horizon. Понимание этих требований к портам помогает облегчить успешные соединения и эффективную передачу данных. Ниже приведен подробный обзор требований к сетевым портам для различных типов соединений в среде Horizon.

Требования к сетевому порту #

1. Порт серверов Horizon Connection: TCP 443
2. Порты Horizon Agent (настольный компьютер или RDS-хост):

• Сеанс протокола Blast Extreme: TCP 22443 и опционально UDP 22443
• Сеанс протокола PCoIP: TCP и UDP 4172
• Сеанс протокола RDP: TCP 3389

Обратите внимание, что Horizon использует двунаправленные протоколы UDP, а это означает, что брандмауэры должны быть настроены для обработки трафика в обоих направлениях.

Понимая и правильно настраивая эти требования к сетевым портам, вы можете обеспечить надежное и эффективное подключение во всем развертывании Horizon.

Внешние соединения #

При работе с внешними соединениями связь обычно осуществляется через устройство Unified Access Gateway (UAG). Такая настройка обеспечивает безопасный удаленный доступ к ресурсам, управляемым Horizon. Вот подробный обзор того, как работает процесс соединения:

Процесс подключения #

1. Первоначальная аутентификация:

• Клиент Horizon для унифицированного шлюза доступа: Соединение начинается, когда Horizon Client взаимодействует с Unified Access Gateway. Эта фаза включает аутентификацию пользователя и начальную настройку сеанса.
• Унифицированный шлюз доступа к серверу подключений: После аутентификации Unified Access Gateway пересылает запрос на сервер подключений для проверки прав пользователя и доступа к ресурсам.

2. Протокол сеансового соединения:

• Клиент Horizon для унифицированного шлюза доступа: После первоначальной аутентификации клиент Horizon устанавливает соединение сеанса протокола через Unified Access Gateway.
• Единый шлюз доступа к Horizon Agent: Затем сеанс продолжается от Unified Access Gateway к Horizon Agent на целевом рабочем столе или на узле сеансов удаленного рабочего стола (RDSH).

Службы шлюза #

Унифицированный шлюз доступа может поддерживать несколько служб шлюза, включая: Blast Secure Gateway, PCoIP Secure Gateway, HTTPS Secure Tunnel.

При развертывании в среде Horizon Unified Access Gateway (UAG) High Availability (HA) использует подход Round Robin в сочетании с Source IP Affinity для управления распределением трафика между UAG. Однако этот метод обеспечивает высокую доступность только для трафика XML-API через HTTPS. Он не распространяет высокую доступность на трафик сеансового протокола, такой как Blast или PCoIP.

Хотя размещение балансировщика нагрузки между UAG и серверами подключений допустимо, это не позволяет UAG обнаруживать сбои отдельных серверов подключений. Это может усложнить устранение неполадок и повлиять на надежность подключения.

Важная заметка: Убедитесь, что Blast Secure Gateway и PCoIP Secure Gateway не включены на самом сервере подключений. Если оба включены на UAG и сервере подключений, это приведет к сценарию двойного перехода для трафика протокола, что не поддерживается и может привести к сбоям подключения.

1. Аутентификация пользователя:

• Пользователь входит в сервер подключений через клиент Horizon, который сначала подключается через унифицированный шлюз доступа.
• Сервер подключений проверяет права и ресурсы пользователей.

2. Доступ к ресурсу:

• После аутентификации пользователь выбирает рабочий стол или приложение.
• Затем клиент Horizon устанавливает соединение с агентом Horizon, запущенным на выбранном рабочем столе или RDSH, маршрутизируя через шлюз Blast Secure Gateway на том же шлюзе Unified Access Gateway, где произошла аутентификация.

Архитектура балансировки нагрузки Horizon #

При реализации балансировки нагрузки для трафика Horizon на нескольких устройствах Unified Access Gateway (UAG) крайне важно эффективно управлять как первичными, так и вторичными протоколами, чтобы обеспечить бесперебойный пользовательский опыт. Ниже приведен полный обзор рассматриваемых соображений и стратегий:

Первичная и вторичная маршрутизация протоколов #

1. Балансировка нагрузки основного протокола:
Основной протокол соединения XML-API, который обеспечивает аутентификацию, авторизацию и управление сеансами, должен иметь балансировку нагрузки, чтобы гарантировать направление пользователей к правильному устройству UAG.

2. Маршрутизация сеанса вторичного протокола:

• Последовательная обработка сеансов: После аутентификации трафик вторичного протокола (например, Blast или PCoIP) должен быть направлен на то же устройство UAG, которое обрабатывало первичное соединение XML-API. Такая согласованность позволяет UAG правильно управлять сеансом на основе учетных данных пользователя и состояния сеанса.
• Проблемы с неправильной маршрутизацией: Если сеансы вторичного протокола направлены на другое устройство UAG, сеанс не будет авторизован. Такая неправильная маршрутизация может привести к разрыву соединений и сбою сеансов. Правильная настройка балансировщика нагрузки имеет важное значение для предотвращения этих проблем.

3. Сродство балансировщика нагрузки:
Балансировщик нагрузки должен гарантировать, что весь трафик, связанный с сеансом (обычно длящимся до 10 часов), продолжает направляться на то же устройство UAG. Это достигается с помощью механизмов привязки сеансов, таких как сохранение исходного IP-адреса.

4. Вторичные протоколы маршрутизации:
Существует два основных метода управления трафиком вторичного протокола:

• Через балансировщик нагрузки: С помощью усовершенствованных балансировщиков нагрузки, таких как VMware NSX Advanced Load Balancer (ранее Avi), трафик как первичного, так и вторичного протокола может управляться через одни и те же сервисные движки, используя соответствие исходного IP для поддержания корректной маршрутизации. Для этого метода требуется только один публичный IP-адрес.
• Прямая маршрутизация: Если балансировщик нагрузки не поддерживает это или если привязка исходного IP невозможна, альтернативой является использование выделенных IP-адресов для каждого устройства UAG. Этот подход, часто называемый методом N+1 VIP, подразумевает использование VIP с балансировкой нагрузки для основного протокола при маршрутизации трафика вторичного протокола непосредственно на определенные IP-адреса UAG.

Сетевые порты для внешних подключений #

Правильная конфигурация сетевого порта имеет важное значение для успешных внешних подключений в развертывании Horizon. Понимание требуемых портов обеспечивает корректную связь между компонентами:

1. Порты шлюзов унифицированного доступа:

• Протокол аутентификации: TCP или UDP 443
• Протокол сеанса: TCP и/или UDP 8443, или TCP 443

Конфигурация балансировки нагрузки Horizon с RELIANOID #

Настройка фермы серверов подключений Horizon и фермы шлюзов унифицированного доступа в RELIANOID Балансировщик нагрузки прост. Он включает в себя простое создание двух отдельных ферм уровня 4 и обеспечение надлежащего удовлетворения сетевых требований решения Horizon.

Конфигурация балансировки нагрузки серверов подключений Horizon #

Чтобы настроить ферму серверов подключений Horizon в RELIANOID Балансировщик нагрузки, вам необходимо создать ферму уровня 4, настроенную на порт TCP 443. Настройки службы должны включать Round Robin в качестве метода планирования с сохранением на основе исходного IP-адреса для обеспечения последовательной маршрутизации сеансов пользователей.

Конфигурация балансировки нагрузки серверов подключений Horizon #

Чтобы настроить ферму серверов шлюза унифицированного доступа в RELIANOID Балансировщик нагрузки, вам следует создать ферму уровня 4, настроенную на использование как TCP, так и UDP на порту 443. Настройки службы должны включать Round Robin в качестве планировщика с сохранением на основе исходного IP-адреса для поддержания согласованной маршрутизации сеанса.

Расширенные функции балансировки нагрузки #

. RELIANOID Балансировщик нагрузки для сред Horizon обеспечивает ряд дополнительных преимуществ, особенно с точки зрения высокой доступности (HA), безопасности и управления:

• Высокая доступность с кластеризацией: RELIANOID поддерживает кластеризацию, которая позволяет нескольким балансировщикам нагрузки работать вместе без проблем. Это гарантирует, что если один балансировщик нагрузки выйдет из строя, другие в кластере смогут взять на себя его работу без каких-либо сбоев в работе служб Horizon. Такая кластеризация повышает общую надежность и время безотказной работы развертывания Horizon.
• Расширенные проверки здоровья: RELIANOID предлагает расширенные проверки работоспособности, которые непрерывно отслеживают состояние серверов Horizon Connection и шлюзов Unified Access. Эти проверки выходят за рамки базовой связи, проверяя, что каждый сервер функционирует правильно, прежде чем направлять на него трафик. Если сервер не проходит проверку работоспособности, он автоматически выводится из ротации до тех пор, пока не восстановится, гарантируя, что пользователи будут направлены только на здоровые, функционирующие серверы.
• Уведомления в реальном времени: С RELIANOID, администраторы могут получать уведомления в реальном времени о состоянии балансировщика нагрузки и управляемых им серверов. Это позволяет осуществлять упреждающее управление, при котором проблемы могут быть решены до того, как они повлияют на конечных пользователей. Уведомления можно настроить для оповещения о различных событиях, таких как сбои сервера, высокая загрузка трафика или истечение срока действия сертификата SSL.
• Управление SSL-трафиком: RELIANOID обрабатывает SSL-разгрузку, что означает, что он может завершать SSL-соединения от имени серверов Horizon. Это снижает нагрузку на инфраструктуру Horizon, освобождая ресурсы для обработки большего количества сеансов пользователей. Кроме того, SSL-разгрузка упрощает управление сертификатами и повышает безопасность, гарантируя, что весь трафик между балансировщиком нагрузки и конечными пользователями шифруется.
• Расширенные функции безопасности: RELIANOID интегрирует несколько функций безопасности, которые защищают среду Horizon от различных угроз. Он может обеспечить строгий контроль доступа, защиту от DDoS-атак и включать возможности Web Application Firewall (WAF) для защиты серверов Horizon от вредоносного трафика. Балансировщик нагрузки также может управлять и обновлять сертификаты SSL, гарантируя, что все соединения остаются безопасными.

Эти дополнительные возможности делают RELIANOID отличный выбор для повышения масштабируемости, надежности и безопасности развертываний Horizon. Попробуйте балансировщик нагрузки Relianoid для развертываний Horizon.