Hvad er Omnissa Horizon #

Omnissa Horizon er en alsidig pakke af produkter designet til sikker levering af virtuelle desktops og applikationer gennem en moderne, tilpasningsdygtig arkitektur, der understøtter både on-premises og cloud-implementeringer. Det gør det muligt for organisationer at optimere samarbejdet, understøtte en række klientenheder og sikre en problemfri brugeroplevelse uanset placering eller netværksforhold. Omnissa Horizon tilbyder centraliseret styring af desktops og apps, der lægger vægt på stærk sikkerhed, strømlinet patching og omfattende adgangskontrol, hvilket gør den ideel til fjerntliggende og hybride arbejdsmiljøer. Det inkluderer også avancerede løsninger som Desktop as a Service (DaaS) og hybrid cloud-administration med kerneplatforme som Horizon 8 og Horizon Cloud Service – næste generation, som alle kan forbedres med yderligere værktøjer som App Volumes og Workspace ONE.

Horisontkomponenter #

At forstå de nøglekomponenter, der er involveret i en Horizon-forbindelse, er afgørende for at administrere og konfigurere systemet effektivt. Nedenfor er en detaljeret oversigt over disse komponenter:

Horizon klient #

Horizon-klienten er den applikation, der er installeret på en brugers enhed, som giver adgang til Horizon-administrerede systemer. Det etablerer en forbindelse med Horizon-miljøet, hvor Horizon Agent er installeret. For enheder, hvor det ikke er muligt at installere Horizon Client, har brugerne mulighed for at bruge en webbrowser som HTML-klient, hvilket giver en fleksibel adgangsmetode.

Horisont agent #

Installeret på gæsteoperativsystemet på målmaskiner, er Horizon Agent afgørende for at muliggøre kommunikation mellem Horizon-infrastrukturen og de virtuelle eller fysiske desktops. Denne agent giver forbindelsesserverne mulighed for at administrere disse maskiner og letter oprettelsen af ​​en protokolsession mellem Horizon Client og målsystemet. Horizon Agent kan implementeres på forskellige typer maskiner, herunder virtuelle desktops, Remote Desktop Session Hosts (RDS Hosts), fysiske desktop-pc'er og blade-pc'er.

Forbindelsesserver #

Horizon Connection Server fungerer som den centrale mægler, der sikkert administrerer og dirigerer brugerforbindelser til Horizon Agent installeret på desktops og RDS Hosts. Det håndterer brugergodkendelse gennem Active Directory og sikrer, at anmodninger omdirigeres til de relevante ressourcer baseret på brugerrettigheder. Denne server spiller en central rolle i at etablere og vedligeholde forbindelsen mellem brugere og deres virtuelle eller eksterne skrivebordsmiljøer.

Unified Access Gateway #

Unified Access Gateway (UAG) er en virtuel enhed designet til at give sikker fjernadgang fra eksterne netværk til interne ressourcer, inklusive dem, der administreres af Horizon. Den kan implementeres i virksomhedens DMZ eller interne netværk og fungerer som en proxy for forbindelser til virksomhedens ressourcer. UAG'en behandler autentificerede anmodninger og dirigerer dem til de relevante ressourcer, mens de blokerer uautoriserede. Det kan også selv udføre godkendelse og tilføje et ekstra lag af sikkerhed, når den er konfigureret til at gøre det.

Hver af disse komponenter spiller en afgørende rolle i at sikre en problemfri og sikker Horizon-oplevelse, lige fra brugeradgang til systemadministration og ressourceallokering.

Hvorfor belastningsbalance Omnissa Horizon #

Lastbalancering er afgørende for Omnissa Horizon, fordi det markant forbedrer både servicetilgængelighed og skalerbarhed, hvilket sikrer en robust og problemfri brugeroplevelse. Ved at implementere en belastningsbalancer kan du skalere dit miljø vandret ved at tilføje yderligere forbindelsesservere (CS) eller Unified Access Gateways (UAG), som direkte øger antallet af samtidige sessioner, som systemet kan understøtte. Denne skalerbarhed er afgørende for at imødekomme voksende brugerkrav uden at gå på kompromis med ydeevnen.

Desuden forbedrer belastningsbalancering tjenestens tilgængelighed ved automatisk at omdirigere trafik til tilgængelige komponenter, hvis en CS eller UAG går offline. Dette sikrer kontinuerlig adgang og minimerer nedetid og opretholder en ensartet og pålidelig service for brugerne. Derudover giver en belastningsbalancer brugere adgang til tjenesten via en enkelt URL, hvilket forenkler oplevelsen og fjerner behovet for, at de skal kende specifikke server-URL'er.

Ud over disse kernefordele tilbyder nogle belastningsbalancere avancerede funktioner som SSL-aflastning, forbedret sikkerhed, realtidsanalyse og mere, som yderligere kan optimere og sikre Horizon-miljøet. Det er afgørende at forstå disse muligheder, da de kan påvirke den overordnede arkitektur og effektiviteten af ​​din implementering.

Derfor er fordelene ved Omnissa Load Balancing:

• Optimeret ydelse: Belastningsbalancering hjælper med at forhindre en enkelt server i at blive overvældet ved at fordele arbejdsbelastninger jævnt. Dette optimerer ydeevnen af ​​Omnissa Horizon og sikrer, at brugerne oplever hurtig, pålidelig adgang til virtuelle desktops og applikationer, selv under spidsbelastningstider.
• High Availability: Ved at sprede belastningen på flere servere forbedrer belastningsbalancering tilgængeligheden af ​​Omnissa Horizon-tjenester. Hvis en server fejler eller oplever problemer, kan load balanceren omdirigere trafik til andre sunde servere, minimere nedetid og sikre kontinuerlig adgang for brugerne.
• Skalerbarhed: Efterhånden som efterspørgslen efter virtuelle desktops og applikationer vokser, giver load balancing Omnissa Horizon mulighed for at skalere effektivt. Den kan dynamisk tilpasse sig øgede arbejdsbelastninger ved at balancere trafik på tværs af yderligere servere, hvilket sikrer, at platformen kan håndtere voksende brugerbaser og fluktuerende arbejdsbelastninger uden at gå på kompromis med ydeevnen.
• Forbedret sikkerhed: Lastbalancering kan også spille en rolle i sikkerheden ved at distribuere trafik på en måde, der mindsker risikoen for distribuerede denial-of-service (DDoS)-angreb. Ved at sprede anmodninger ud, reducerer det sandsynligheden for, at enhver enkelt server bliver et fejlpunkt på grund af ondsindet trafik.
• Ressourceeffektivitet: Effektiv lastfordeling sikrer, at ressourcerne i Omnissa Horizon udnyttes optimalt. Dette forhindrer underudnyttelse af nogle servere, mens andre er overbebyrdede, hvilket fører til bedre overordnet systemeffektivitet og omkostningseffektivitet.

Sammenfattende er belastningsbalancering afgørende for at opretholde ydeevnen, tilgængeligheden, skalerbarheden, sikkerheden og effektiviteten af ​​Omnissa Horizon, hvilket sikrer, at det kan opfylde kravene fra moderne virksomheder og give en problemfri brugeroplevelse.

Forskellige måder til Horizon load balancering #

Horizon kan udnytte belastningsbalancere på tre nøgleområder:

Load Balancing Horizon 8 Connection Servers #

I en Horizon-implementering er belastningsbalancering af forbindelsesserverne (CS) afgørende for at fordele brugersessionsanmodninger jævnt på tværs af flere servere. Dette forbedrer ikke kun miljøets kapacitet til at håndtere flere samtidige sessioner, men sikrer også kontinuerlig servicetilgængelighed. Hvis en forbindelsesserver går offline, omdirigerer belastningsbalanceren nye sessioner til de resterende aktive servere, hvilket forhindrer nedetid og opretholder en problemfri brugeroplevelse.

Load Balancing Unified Access Gateways (UAG) #

Unified Access Gateways er afgørende for sikker fjernadgang til Horizon-miljøer. Ved belastningsbalancering af UAG'erne kan du distribuere indgående fjernbrugerforbindelser på tværs af flere gateways, hvilket sikrer, at ingen enkelt UAG bliver overvældet. Denne opsætning øger antallet af brugere, der kan oprette forbindelse samtidigt, samtidig med at sikkerheden og pålideligheden forbedres. Hvis en UAG fejler, omdirigerer belastningsbalanceren forbindelser til andre tilgængelige gateways og bevarer uafbrudt adgang.

Load Balancing App Volumes Managers #

App Volumes Managers er ansvarlige for at administrere og levere applikationer og brugerprofiler i et Horizon-miljø. Belastningsbalancering af disse ledere sikrer, at applikationslevering forbliver effektiv og skalerbar, selv når brugernes efterspørgsel vokser. Selvom dette indlæg ikke vil dykke ned i detaljerne om belastningsbalancering af App Volumes Managers, er det værd at bemærke, at implementering af dette yderligere kan optimere ydeevnen og pålideligheden af ​​din Horizon-implementering.

Hver load balancer eller load balancer-as-a-service fungerer forskelligt, og arkitekturen skal muligvis skræddersyes for at opnå de ønskede resultater i dit specifikke Horizon-miljø. I denne artikel vil vi guide dig gennem, hvordan du load balance Horizon ved hjælp af RELIANOID Load Balancer, der opfylder alle de specifikke krav, dit projekt kan have behov for.

Forståelse af Horizon Connectivity Protocols #

At forstå protokollerne involveret i en Horizon-forbindelse er afgørende for at forstå, hvordan systemet fungerer. En Horizon-forbindelse involverer flere protokoller og udfolder sig i to adskilte faser:

Primær protokol: XML-API over HTTPS #

Den indledende fase af en Horizon-forbindelse anvender XML-API-protokollen over HTTPS. Denne primære protokol er ansvarlig for:

• Godkendelse: Bekræftelse af brugerlegitimationsoplysninger.
• Tilladelse: Sikring af, at brugeren har de relevante tilladelser.
• Session Management: Håndtering af opsætning og vedligeholdelse af brugersessionen.

Når brugeren er blevet godkendt med denne primære protokol, skifter systemet til de sekundære protokoller for løbende kommunikation.

Sekundære protokoller: Sessionsprotokoltrafik #

Efter vellykket godkendelse etablerer Horizon-klienten en session ved hjælp af en eller flere sekundære protokoller til at interagere med ressourcen. Disse protokoller omfatter:

• PCoIP (PC-over-IP): Optimeret til at levere desktopoplevelser i høj kvalitet med minimal latenstid.
• blast: Designet til effektiv ydeevne og båndbreddeudnyttelse.
• HTTPS-tunnel: Håndterer sidekanaltrafik såsom Client Drive Redirection (CDR) og Multimedia Redirection (MMR), hvilket letter yderligere funktionaliteter under sessionen.

Interne forbindelser #

I interne netværksscenarier forbinder Horizon-klienten direkte til forbindelsesserveren og efterfølgende til Horizon-agenten på målmaskinen. Denne opsætning involverer typisk:

• Indledende godkendelse: Horizon-klienten kommunikerer med forbindelsesserveren til brugergodkendelse.
• Sekundær protokolsession: Efter godkendelse etablerer Horizon-klienten en direkte session med Horizon-agenten på skrivebordet eller RDSH-serveren.

Oversigt over kommunikationsflow #

1. Brugerlogin og godkendelse:

• Horizon-klienten logger på forbindelsesserveren.
• Forbindelsesserveren verificerer brugerrettigheder.
• Brugeren vælger et skrivebord eller et program at få adgang til.

1. Etablering af session:
Horizon-klienten opretter derefter forbindelse til Horizon-agenten, der kører på den valgte desktop eller RDSH-server, ved hjælp af de relevante sekundære protokoller til sessionen.

Denne tofasede proces sikrer sikker, effektiv og problemfri adgang til Horizon-administrerede ressourcer, både inden for interne netværk og gennem eksterne forbindelser.

Netværksporte til Horizon Connectivity #

Korrekt konfiguration af netværksporte er afgørende for at sikre problemfri kommunikation mellem komponenter i en Horizon-implementering. At forstå disse portkrav hjælper med at lette vellykkede forbindelser og effektiv dataoverførsel. Nedenfor er en detaljeret oversigt over netværksportkravene for forskellige forbindelsestyper i et Horizon-miljø.

Krav til netværksport #

1. Horizon Connection Server Port: TCP 443
2. Horizon Agent (Desktop eller RDS Host) Porte:

• Blast Extreme Protocol Session: TCP 22443 og valgfri UDP 22443
• PCoIP-protokolsession: TCP og UDP 4172
• RDP-protokolsession: TCP 3389

Bemærk venligst, at Horizon bruger tovejs UDP-protokoller, hvilket betyder, at firewalls skal konfigureres til at håndtere trafik i begge retninger.

Ved at forstå og korrekt konfigurere disse netværksportkrav kan du sikre pålidelig og effektiv forbindelse på tværs af din Horizon-implementering.

Eksterne forbindelser #

Når der er tale om eksterne forbindelser, sker kommunikation typisk gennem en Unified Access Gateway (UAG) enhed. Denne opsætning sikrer sikker fjernadgang til Horizon-administrerede ressourcer. Her er et detaljeret kig på, hvordan forbindelsesprocessen fungerer:

Tilslutningsproces #

1. Indledende godkendelse:

• Horizon Client til Unified Access Gateway: Forbindelsen starter, når Horizon Client kommunikerer med Unified Access Gateway. Denne fase involverer brugergodkendelse og indledende sessionsopsætning.
• Unified Access Gateway til Connection Server: Når den er godkendt, videresender Unified Access Gateway anmodningen til forbindelsesserveren for at verificere brugerrettigheder og ressourceadgang.

2. Protokolsessionsforbindelse:

• Horizon Client til Unified Access Gateway: Efter den indledende godkendelse etablerer Horizon-klienten en protokolsessionsforbindelse gennem Unified Access Gateway.
• Unified Access Gateway til Horizon Agent: Sessionen fortsætter derefter fra Unified Access Gateway til Horizon Agent på målskrivebordet eller Remote Desktop Session Host (RDSH).

Gateway -tjenester #

Unified Access Gateway kan understøtte flere gateway-tjenester, herunder: Blast Secure Gateway, PCoIP Secure Gateway, HTTPS Secure Tunnel.

Når den implementeres i et Horizon-miljø, bruger Unified Access Gateway (UAG) High Availability (HA) en Round Robin-tilgang kombineret med Source IP Affinity til at styre trafikdistribution blandt UAG'er. Denne metode sikrer dog kun høj tilgængelighed for XML-API over HTTPS-trafik. Det udvider ikke høj tilgængelighed til sessionsprotokoltrafik, såsom Blast eller PCoIP.

Selvom det er gyldigt at placere en belastningsbalancer mellem UAG'er og forbindelsesservere, forhindrer det UAG'en i at opdage fejl på individuelle forbindelsesservere. Dette kan komplicere fejlfinding og påvirke pålideligheden af ​​forbindelsen.

Vigtigt: Sørg for, at Blast Secure Gateway og PCoIP Secure Gateway ikke også er aktiveret på selve forbindelsesserveren. Hvis begge er aktiveret på UAG'en og forbindelsesserveren, vil det resultere i et dobbelt-hop-scenarie for protokoltrafik, som ikke understøttes og kan føre til forbindelsesfejl.

1. Brugergodkendelse:

• Brugeren logger ind på forbindelsesserveren via Horizon-klienten, som først opretter forbindelse gennem Unified Access Gateway.
• Forbindelsesserveren kontrollerer brugerrettigheder og ressourcer.

2. Ressourceadgang:

• Efter godkendelse vælger brugeren et skrivebord eller et program.
• Horizon-klienten etablerer derefter en forbindelse til Horizon Agent, der kører på det valgte skrivebord eller RDSH, og dirigerer gennem Blast Secure Gateway på den samme Unified Access Gateway, hvor godkendelsen fandt sted.

Horizon Load Balancing Architecture #

Når du implementerer belastningsbalancering for Horizon-trafik på tværs af flere Unified Access Gateway (UAG)-enheder, er det afgørende at administrere både primære og sekundære protokoller effektivt for at sikre en problemfri brugeroplevelse. Her er en omfattende oversigt over de overvejelser og strategier, der er involveret:

Primær og sekundær protokolruting #

1. Primær protokol Load Balancing:
Den primære XML-API-forbindelsesprotokol, som håndterer godkendelse, autorisation og sessionsstyring, skal være belastningsbalanceret for at sikre, at brugerne ledes til den korrekte UAG-enhed.

2. Sekundær protokolsession Routing:

• Konsekvent sessionshåndtering: Når den er godkendt, skal sekundær protokoltrafik (f.eks. Blast eller PCoIP) dirigeres til den samme UAG-enhed, som håndterede den primære XML-API-forbindelse. Denne konsistens gør det muligt for UAG at administrere sessionen korrekt baseret på brugerlegitimationsoplysninger og sessionstilstand.
• Fejlvejsproblemer: Hvis sekundære protokolsessioner dirigeres til en anden UAG-enhed, vil sessionen ikke blive autoriseret. Denne fejlruting kan forårsage, at forbindelser afbrydes, og sessioner mislykkes. Korrekt konfiguration af belastningsbalanceren er afgørende for at undgå disse problemer.

3. Load Balancer Affinity:
Loadbalanceren skal sikre, at al trafik relateret til en session (typisk varer op til 10 timer) fortsat bliver dirigeret til det samme UAG-apparat. Dette opnås gennem sessionsaffinitetsmekanismer såsom kilde-IP persistens.

4. Routing af sekundære protokoller:
Der er to primære metoder til styring af sekundær protokoltrafik:

• Gennem Load Balancer: Med avancerede belastningsbalancere som VMware NSX Advanced Load Balancer (tidligere Avi), kan både primær og sekundær protokoltrafik styres gennem de samme servicemotorer, ved at bruge kilde-IP-tilhørsforhold til at opretholde korrekt routing. Denne metode kræver kun en enkelt offentlig IP-adresse.
• Direkte ruteføring: Hvis belastningsbalanceren ikke understøtter dette, eller hvis kilde-IP-tilhørsforhold ikke er mulig, er et alternativ at bruge dedikerede IP-adresser til hver UAG-enhed. Denne tilgang, ofte omtalt som N+1 VIP-metoden, involverer brug af en belastningsbalanceret VIP til den primære protokol, mens den dirigerer sekundær protokoltrafik direkte til specifikke UAG-IP'er.

Netværksporte til eksterne forbindelser #

Korrekt netværksportkonfiguration er afgørende for vellykkede eksterne forbindelser i en Horizon-implementering. Forståelse af de nødvendige porte sikrer korrekt kommunikation mellem komponenter:

1. Unified Access Gateways-porte:

• Autentificeringsprotokol: TCP eller UDP 443
• Sessionsprotokol: TCP og/eller UDP 8443 eller TCP 443

Horizon Load Balancing Configuration med RELIANOID #

Konfiguration af Horizon Connection Servers Farm og Unified Access Gateways Farm i RELIANOID Load Balancer er ligetil. Det indebærer simpelthen at skabe to adskilte lag 4-farme og sikre, at netværkskravene til Horizon-løsningen er korrekt imødekommet.

Horizon Connection Servers Load Balancing Configuration #

For at opsætte en Horizon Connection Servers Farm i RELIANOID Load Balancer, skal du oprette en Layer 4-farm, der er konfigureret på TCP-port 443. Tjenesteindstillingerne bør inkludere Round Robin som planlægningsmetode, med persistens baseret på kilde-IP for at sikre ensartet routing for brugersessioner.

Horizon Connection Servers Load Balancing Configuration #

For at konfigurere en Unified Access Gateway Servers Farm i RELIANOID Load Balancer, skal du oprette et Layer 4-farmsæt til at bruge både TCP og UDP på ​​port 443. Tjenesteindstillingerne bør omfatte Round Robin som skemalægger, med persistens baseret på Kilde-IP for at opretholde ensartet sessionsrouting.

Avancerede belastningsbalanceringsfunktioner #

Ved brug af RELIANOID Load Balancer til Horizon-miljøer giver flere yderligere fordele, især med hensyn til høj tilgængelighed (HA), sikkerhed og styring:

• Høj tilgængelighed med klyngedannelse: RELIANOID understøtter clustering, som gør det muligt for flere load balancers at arbejde sammen problemfrit. Dette sikrer, at hvis en load balancer går ned, kan andre i klyngen tage over uden nogen forstyrrelse af Horizon-tjenesterne. Denne klyngedannelse forbedrer den overordnede pålidelighed og oppetid af Horizon-implementeringen.
• Avancerede sundhedstjek: RELIANOID tilbyder avancerede sundhedstjek, der løbende overvåger status for Horizon Connection Servers og Unified Access Gateways. Disse kontroller går ud over grundlæggende tilslutningsmuligheder og verificerer, at hver server fungerer korrekt, før trafikken dirigeres til den. Hvis en server fejler et sundhedstjek, tages den automatisk ud af rotation, indtil den genoprettes, hvilket sikrer, at brugere kun ledes til sunde, fungerende servere.
• Realtidsmeddelelser: Med RELIANOID, kan administratorer modtage meddelelser i realtid om status for belastningsbalanceren og de servere, den administrerer. Dette giver mulighed for proaktiv styring, hvor problemer kan løses, før de påvirker slutbrugerne. Meddelelser kan tilpasses til at advare om forskellige hændelser, såsom serverfejl, høj trafikbelastning eller udløb af SSL-certifikater.
• SSL Trafikstyring: RELIANOID håndterer SSL-offloading, hvilket betyder, at den kan afslutte SSL-forbindelser på vegne af Horizon-serverne. Dette reducerer behandlingsbyrden på Horizon-infrastrukturen, hvilket frigør ressourcer til at håndtere flere brugersessioner. Derudover forenkler SSL-offloading certifikathåndtering og øger sikkerheden ved at sikre, at al trafik mellem load balancer og slutbrugere er krypteret.
• Forbedrede sikkerhedsfunktioner: RELIANOID integrerer flere sikkerhedsfunktioner, der beskytter Horizon-miljøet mod forskellige trusler. Det kan håndhæve streng adgangskontrol, give DDoS-beskyttelse og inkludere Web Application Firewall (WAF)-funktioner til at beskytte Horizon-servere mod ondsindet trafik. Loadbalanceren kan også administrere og forny SSL-certifikater, hvilket sikrer, at alle forbindelser forbliver sikre.

Disse yderligere kapaciteter gør RELIANOID et fremragende valg til at forbedre skalerbarheden, pålideligheden og sikkerheden af ​​Horizon-implementeringer. Prøv relianoid load balancer til dine Horizon-implementeringer.