Qu'est-ce qu'Omnissa Horizon #

Omnissa Horizon est une suite de produits polyvalents conçue pour fournir en toute sécurité des postes de travail et des applications virtuels via une architecture moderne et adaptable qui prend en charge les déploiements sur site et dans le cloud. Elle permet aux organisations d'optimiser la collaboration, de prendre en charge une variété d'appareils clients et de garantir une expérience utilisateur transparente, quels que soient l'emplacement ou les conditions du réseau. Omnissa Horizon offre une gestion centralisée des postes de travail et des applications, mettant l'accent sur une sécurité renforcée, des correctifs simplifiés et un contrôle d'accès complet, ce qui la rend idéale pour les environnements de travail à distance et hybrides. Elle comprend également des solutions avancées telles que Desktop as a Service (DaaS) et la gestion du cloud hybride, avec des plates-formes de base telles que Horizon 8 et Horizon Cloud Service – next-gen, qui peuvent toutes être améliorées avec des outils supplémentaires comme App Volumes et Workspace ONE.

Composants Horizon #

Il est essentiel de comprendre les principaux composants impliqués dans une connexion Horizon pour gérer et configurer efficacement le système. Vous trouverez ci-dessous un aperçu détaillé de ces composants :

Client Horizon #

Horizon Client est l'application installée sur l'appareil d'un utilisateur, permettant l'accès aux systèmes gérés par Horizon. Il établit une connexion avec l'environnement Horizon dans lequel Horizon Agent est installé. Pour les appareils sur lesquels l'installation d'Horizon Client n'est pas possible, les utilisateurs ont la possibilité d'utiliser un navigateur Web comme client HTML, offrant ainsi une méthode d'accès flexible.

Agent Horizon #

Installé sur le système d'exploitation invité des machines cibles, l'agent Horizon est essentiel pour permettre la communication entre l'infrastructure Horizon et les postes de travail virtuels ou physiques. Cet agent permet aux serveurs de connexion de gérer ces machines et facilite la création d'une session de protocole entre Horizon Client et le système cible. L'agent Horizon peut être déployé sur différents types de machines, notamment les postes de travail virtuels, les hôtes de session Bureau à distance (hôtes RDS), les ordinateurs de bureau physiques et les ordinateurs lames.

Serveur de connexion #

Le serveur de connexion Horizon agit comme courtier central, gérant et dirigeant de manière sécurisée les connexions utilisateur vers l'agent Horizon installé sur les postes de travail et les hôtes RDS. Il gère l'authentification des utilisateurs via Active Directory et garantit que les demandes sont acheminées vers les ressources appropriées en fonction des droits des utilisateurs. Ce serveur joue un rôle essentiel dans l'établissement et le maintien de la connexion entre les utilisateurs et leurs environnements de bureau virtuels ou distants.

Passerelle d'accès unifiée #

La passerelle d'accès unifiée (UAG) est une appliance virtuelle conçue pour fournir un accès distant sécurisé depuis des réseaux externes vers des ressources internes, y compris celles gérées par Horizon. Elle peut être déployée dans la DMZ de l'entreprise ou dans le réseau interne et fonctionne comme un proxy pour les connexions aux ressources de l'entreprise. L'UAG traite les demandes authentifiées, les dirige vers les ressources appropriées tout en bloquant celles qui ne sont pas authentifiées. Elle peut également effectuer elle-même l'authentification, ajoutant une couche de sécurité supplémentaire lorsqu'elle est configurée pour le faire.

Chacun de ces composants joue un rôle essentiel pour garantir une expérience Horizon transparente et sécurisée, de l’accès des utilisateurs à la gestion du système et à l’allocation des ressources.

Pourquoi équilibrer la charge d'Omnissa Horizon #

L'équilibrage de charge est essentiel pour Omnissa Horizon, car il améliore considérablement la disponibilité et l'évolutivité du service, garantissant ainsi une expérience utilisateur robuste et transparente. En déployant un équilibreur de charge, vous pouvez faire évoluer horizontalement votre environnement, en ajoutant des serveurs de connexion (CS) ou des passerelles d'accès unifiées (UAG) supplémentaires, ce qui augmente directement le nombre de sessions simultanées que le système peut prendre en charge. Cette évolutivité est essentielle pour répondre aux demandes croissantes des utilisateurs sans compromettre les performances.

De plus, l'équilibrage de charge améliore la disponibilité du service en redirigeant automatiquement le trafic vers les composants disponibles si un CS ou un UAG est hors ligne. Cela garantit un accès continu et minimise les temps d'arrêt, en maintenant un service cohérent et fiable pour les utilisateurs. De plus, un équilibreur de charge permet aux utilisateurs d'accéder au service via une seule URL, ce qui simplifie l'expérience et supprime la nécessité pour eux de connaître des URL de serveur spécifiques.

Au-delà de ces avantages de base, certains équilibreurs de charge offrent des fonctionnalités avancées telles que le déchargement SSL, une sécurité renforcée, des analyses en temps réel, etc., qui peuvent optimiser et sécuriser davantage l'environnement Horizon. Il est essentiel de comprendre ces fonctionnalités, car elles peuvent influencer l'architecture globale et l'efficacité de votre déploiement.

Par conséquent, les avantages d'Omnissa Load Balancing sont les suivants :

• PERFORMANCE OPTIMISÉE: L'équilibrage de charge permet d'éviter qu'un serveur ne soit surchargé en répartissant les charges de travail de manière uniforme. Cela optimise les performances d'Omnissa Horizon, garantissant aux utilisateurs un accès rapide et fiable aux postes de travail et applications virtuels, même pendant les heures de pointe.
• Haute Disponibilité:En répartissant la charge sur plusieurs serveurs, l'équilibrage de charge améliore la disponibilité des services Omnissa Horizon. Si un serveur tombe en panne ou rencontre des problèmes, l'équilibreur de charge peut rediriger le trafic vers d'autres serveurs sains, minimisant ainsi les temps d'arrêt et garantissant un accès continu aux utilisateurs.
• Évolutivité:Alors que la demande de postes de travail et d'applications virtuels augmente, l'équilibrage de charge permet à Omnissa Horizon d'évoluer efficacement. Il peut s'adapter de manière dynamique à l'augmentation des charges de travail en équilibrant le trafic sur des serveurs supplémentaires, garantissant ainsi que la plateforme peut gérer des bases d'utilisateurs croissantes et des charges de travail fluctuantes sans compromettre les performances.
• Sécurité Améliorée :L'équilibrage de charge peut également jouer un rôle dans la sécurité en répartissant le trafic de manière à atténuer le risque d'attaques par déni de service distribué (DDoS). En répartissant les requêtes, il réduit la probabilité qu'un serveur unique devienne un point de défaillance en raison d'un trafic malveillant.
• Efficacité des ressources:Une répartition efficace de la charge garantit une utilisation optimale des ressources d'Omnissa Horizon. Cela permet d'éviter que certains serveurs ne soient sous-utilisés tandis que d'autres sont surchargés, ce qui améliore l'efficacité globale du système et la rentabilité.

En résumé, l’équilibrage de charge est essentiel pour maintenir les performances, la disponibilité, l’évolutivité, la sécurité et l’efficacité d’Omnissa Horizon, garantissant qu’il peut répondre aux exigences des entreprises modernes et offrir une expérience utilisateur transparente.

Différentes façons d'équilibrer la charge d'Horizon #

Horizon peut exploiter les équilibreurs de charge dans trois domaines clés :

Équilibrage de charge des serveurs de connexion Horizon 8 #

Dans un déploiement Horizon, l'équilibrage de la charge des serveurs de connexion (CS) est essentiel pour répartir uniformément les demandes de session utilisateur sur plusieurs serveurs. Cela améliore non seulement la capacité de l'environnement à gérer davantage de sessions simultanées, mais garantit également une disponibilité continue du service. Si un serveur de connexion est hors ligne, l'équilibreur de charge redirige les nouvelles sessions vers les serveurs actifs restants, évitant ainsi les temps d'arrêt et préservant une expérience utilisateur transparente.

Équilibrage de charge des passerelles d'accès unifiées (UAG) #

Les passerelles d'accès unifiées sont essentielles pour sécuriser l'accès à distance aux environnements Horizon. En équilibrant la charge des UAG, vous pouvez répartir les connexions utilisateur distantes entrantes sur plusieurs passerelles, garantissant qu'aucun UAG ne soit surchargé. Cette configuration augmente le nombre d'utilisateurs pouvant se connecter simultanément tout en améliorant la sécurité et la fiabilité. En cas de défaillance d'un UAG, l'équilibreur de charge redirige les connexions vers d'autres passerelles disponibles, préservant ainsi un accès ininterrompu.

Gestionnaires de volumes d'applications d'équilibrage de charge #

Les gestionnaires App Volumes sont responsables de la gestion et de la distribution des applications et des profils utilisateur dans un environnement Horizon. L'équilibrage de la charge de ces gestionnaires garantit que la distribution des applications reste efficace et évolutive, même lorsque la demande des utilisateurs augmente. Bien que cet article n'aborde pas les détails de l'équilibrage de la charge des gestionnaires App Volumes, il convient de noter que la mise en œuvre de cette fonction peut optimiser davantage les performances et la fiabilité de votre déploiement Horizon.

Chaque équilibreur de charge ou équilibreur de charge en tant que service fonctionne différemment et l'architecture peut devoir être adaptée pour obtenir les résultats souhaités dans votre environnement Horizon spécifique. Dans cet article, nous vous expliquerons comment équilibrer la charge d'Horizon à l'aide de RELIANOID Équilibreur de charge, répondant à toutes les exigences spécifiques dont votre projet peut avoir besoin.

Comprendre les protocoles de connectivité Horizon #

Il est essentiel de comprendre les protocoles impliqués dans une connexion Horizon pour comprendre le fonctionnement du système. Une connexion Horizon implique plusieurs protocoles et se déroule en deux phases distinctes :

Protocole principal : XML-API sur HTTPS #

La phase initiale d'une connexion Horizon utilise le protocole XML-API sur HTTPS. Ce protocole principal est responsable de :

• Authentification: Vérification des informations d'identification de l'utilisateur.
• Autorisation:Assurer que l'utilisateur dispose des autorisations appropriées.
• Gestion de session:Gestion de la configuration et de la maintenance de la session utilisateur.

Une fois l’utilisateur authentifié avec succès à l’aide de ce protocole principal, le système passe aux protocoles secondaires pour une communication continue.

Protocoles secondaires : trafic du protocole de session #

Une fois l'authentification réussie, Horizon Client établit une session à l'aide d'un ou de plusieurs protocoles secondaires pour interagir avec la ressource. Ces protocoles incluent :

• PCoIP (PC sur IP):Optimisé pour offrir des expériences de bureau de haute qualité avec une latence minimale.
• Explosion:Conçu pour des performances efficaces et une utilisation optimale de la bande passante.
• Tunnel HTTPS:Gère le trafic des canaux auxiliaires tels que la redirection de lecteur client (CDR) et la redirection multimédia (MMR), facilitant des fonctionnalités supplémentaires pendant la session.

Connexions internes #

Dans les scénarios de réseau interne, Horizon Client se connecte directement au serveur de connexion, puis à Horizon Agent sur la machine cible. Cette configuration implique généralement :

• Authentification initiale : Horizon Client communique avec le serveur de connexion pour l’authentification de l’utilisateur.
• Session de protocole secondaire : après l’authentification, Horizon Client établit une session directe avec Horizon Agent sur le poste de travail ou le serveur RDSH.

Présentation du flux de communication #

1. Connexion et authentification de l'utilisateur:

• Le client Horizon se connecte au serveur de connexion.
• Le serveur de connexion vérifie les droits des utilisateurs.
• L'utilisateur sélectionne un bureau ou une application auquel accéder.

1. Établissement de la session:
Horizon Client se connecte ensuite à l’agent Horizon exécuté sur le poste de travail ou le serveur RDSH sélectionné, à l’aide des protocoles secondaires appropriés pour la session.

Ce processus en deux phases garantit un accès sécurisé, efficace et transparent aux ressources gérées par Horizon, à la fois au sein des réseaux internes et via des connexions externes.

Ports réseau pour la connectivité Horizon #

Une configuration appropriée des ports réseau est essentielle pour garantir une communication transparente entre les composants d'un déploiement Horizon. La compréhension de ces exigences de port permet de faciliter les connexions réussies et le transfert efficace des données. Vous trouverez ci-dessous un aperçu détaillé des exigences de port réseau pour différents types de connexion au sein d'un environnement Horizon.

Exigences relatives aux ports réseau #

1. Serveurs de connexion Horizon Port : TCP 443
2. Ports de l'agent Horizon (ordinateur de bureau ou hôte RDS) :

• Session de protocole Blast Extreme : TCP 22443 et UDP 22443 en option
• Session de protocole PCoIP : TCP et UDP 4172
• Session de protocole RDP : TCP 3389

Veuillez noter qu'Horizon utilise des protocoles UDP bidirectionnels, ce qui signifie que les pare-feu doivent être configurés pour gérer le trafic dans les deux sens.

En comprenant et en configurant correctement ces exigences de port réseau, vous pouvez garantir une connectivité fiable et efficace sur l’ensemble de votre déploiement Horizon.

Connexions externes #

Lors de connexions externes, la communication s'effectue généralement via un dispositif Unified Access Gateway (UAG). Cette configuration garantit un accès distant sécurisé aux ressources gérées par Horizon. Voici un aperçu détaillé du fonctionnement du processus de connexion :

Processus de connexion #

1. Authentification initiale :

• Client Horizon vers passerelle d'accès unifiée: La connexion démarre lorsque Horizon Client communique avec Unified Access Gateway. Cette phase implique l'authentification de l'utilisateur et la configuration initiale de la session.
• Passerelle d'accès unifiée au serveur de connexion:Une fois authentifié, Unified Access Gateway transmet la demande au serveur de connexion pour vérifier les droits de l'utilisateur et l'accès aux ressources.

2. Connexion à la session de protocole :

• Client Horizon vers passerelle d'accès unifiée:Après l’authentification initiale, Horizon Client établit une connexion de session de protocole via Unified Access Gateway.
• Passerelle d'accès unifiée vers Horizon Agent:La session continue ensuite depuis Unified Access Gateway vers l'agent Horizon sur le poste de travail cible ou l'hôte de session Bureau à distance (RDSH).

Services de passerelle #

La passerelle d'accès unifiée peut prendre en charge plusieurs services de passerelle, notamment : Blast Secure Gateway, PCoIP Secure Gateway et HTTPS Secure Tunnel.

Lorsqu'elle est déployée dans un environnement Horizon, la haute disponibilité (HA) d'Unified Access Gateway (UAG) utilise une approche Round Robin combinée à l'affinité IP source pour gérer la distribution du trafic entre les UAG. Cependant, cette méthode garantit uniquement la haute disponibilité pour le trafic XML-API sur HTTPS. Elle n'étend pas la haute disponibilité au trafic de protocole de session, tel que Blast ou PCoIP.

Bien qu'il soit possible de placer un équilibreur de charge entre les UAG et les serveurs de connexion, cela empêche l'UAG de détecter les pannes des serveurs de connexion individuels. Cela peut compliquer le dépannage et avoir un impact sur la fiabilité de la connexion.

NOTE IMPORTANTE: Assurez-vous que Blast Secure Gateway et PCoIP Secure Gateway ne sont pas également activés sur le serveur de connexion lui-même. Si les deux sont activés sur UAG et le serveur de connexion, cela entraînerait un scénario de double saut pour le trafic de protocole, ce qui n'est pas pris en charge et peut entraîner des échecs de connexion.

1. Authentification d'utilisateur:

• L'utilisateur se connecte au serveur de connexion via Horizon Client, qui se connecte d'abord via Unified Access Gateway.
• Le serveur de connexion vérifie les droits et les ressources des utilisateurs.

2. Accès aux ressources :

• Après authentification, l'utilisateur sélectionne un bureau ou une application.
• Horizon Client établit ensuite une connexion à l'agent Horizon exécuté sur le poste de travail ou RDSH sélectionné, en acheminant via la passerelle sécurisée Blast sur la même passerelle d'accès unifié où l'authentification a eu lieu.

Architecture d'équilibrage de charge Horizon #

Lors de la mise en œuvre de l'équilibrage de charge pour le trafic Horizon sur plusieurs appareils Unified Access Gateway (UAG), il est essentiel de gérer efficacement les protocoles principaux et secondaires pour garantir une expérience utilisateur fluide. Voici un aperçu complet des considérations et des stratégies impliquées :

Routage des protocoles primaire et secondaire #

1. Équilibrage de charge du protocole principal:
Le protocole de connexion XML-API principal, qui gère l'authentification, l'autorisation et la gestion des sessions, doit être équilibré pour garantir que les utilisateurs sont dirigés vers le bon dispositif UAG.

2. Routage de session de protocole secondaire:

• Gestion cohérente des sessions:Une fois authentifié, le trafic du protocole secondaire (par exemple, Blast ou PCoIP) doit être acheminé vers le même dispositif UAG qui a géré la connexion XML-API principale. Cette cohérence permet à UAG de gérer correctement la session en fonction des informations d'identification de l'utilisateur et de l'état de la session.
• Problèmes de mauvais acheminement: Si les sessions de protocole secondaires sont dirigées vers un autre appareil UAG, la session ne sera pas autorisée. Ce mauvais routage peut entraîner l'abandon des connexions et l'échec des sessions. Une configuration appropriée de l'équilibreur de charge est essentielle pour éviter ces problèmes.

3. Affinité de l'équilibreur de charge:
L'équilibreur de charge doit s'assurer que tout le trafic lié à une session (qui dure généralement jusqu'à 10 heures) continue d'être acheminé vers le même dispositif UAG. Cela est possible grâce à des mécanismes d'affinité de session tels que la persistance de l'adresse IP source.

4. Routage des protocoles secondaires:
Il existe deux méthodes principales pour gérer le trafic du protocole secondaire :

• Via l'équilibreur de charge:Avec des équilibreurs de charge avancés comme VMware NSX Advanced Load Balancer (anciennement Avi), le trafic des protocoles primaire et secondaire peut être géré via les mêmes moteurs de service, en utilisant l'affinité IP source pour maintenir un routage correct. Cette méthode ne nécessite qu'une seule adresse IP publique.
• Routage direct: Si l'équilibreur de charge ne prend pas en charge cette fonction ou si l'affinité IP source n'est pas possible, une alternative consiste à utiliser des adresses IP dédiées pour chaque appliance UAG. Cette approche, souvent appelée méthode VIP N+1, implique l'utilisation d'un VIP à charge équilibrée pour le protocole principal tout en acheminant le trafic du protocole secondaire directement vers des IP UAG spécifiques.

Ports réseau pour connexions externes #

Une configuration appropriée des ports réseau est essentielle pour des connexions externes réussies dans un déploiement Horizon. La compréhension des ports requis garantit une communication correcte entre les composants :

1. Ports des passerelles d'accès unifiées:

• Protocole d'authentification : TCP ou UDP 443
• Protocole de session : TCP et/ou UDP 8443, ou TCP 443

Configuration de l'équilibrage de charge Horizon avec RELIANOID #

Configuration de la batterie de serveurs Horizon Connection Servers et de la batterie de serveurs Unified Access Gateways dans le RELIANOID Load Balancer est simple à utiliser. Il consiste simplement à créer deux fermes de couche 4 distinctes et à s'assurer que les exigences réseau de la solution Horizon sont correctement prises en compte.

Configuration de l'équilibrage de charge des serveurs de connexion Horizon #

Pour configurer une batterie de serveurs Horizon Connection Servers dans le RELIANOID Équilibreur de charge, vous devez créer une batterie de serveurs de couche 4 configurée sur le port TCP 443. Les paramètres de service doivent inclure Round Robin comme méthode de planification, avec une persistance basée sur l'IP source pour garantir un routage cohérent pour les sessions utilisateur.

Configuration de l'équilibrage de charge des serveurs de connexion Horizon #

Pour configurer une batterie de serveurs Unified Access Gateway dans le RELIANOID Équilibreur de charge, vous devez créer un ensemble de batteries de couches 4 pour utiliser à la fois TCP et UDP sur le port 443. Les paramètres de service doivent inclure Round Robin comme planificateur, avec une persistance basée sur l'IP source pour maintenir un routage de session cohérent.

Fonctionnalités avancées d'équilibrage de charge #

L'utilisation de RELIANOID Load Balancer pour les environnements Horizon apporte plusieurs avantages supplémentaires, notamment en termes de haute disponibilité (HA), de sécurité et de gestion :

• Haute disponibilité avec clustering: RELIANOID prend en charge le clustering, qui permet à plusieurs équilibreurs de charge de fonctionner ensemble de manière transparente. Cela garantit que si un équilibreur de charge tombe en panne, d'autres dans le cluster peuvent prendre le relais sans perturber les services Horizon. Ce clustering améliore la fiabilité et la disponibilité globales du déploiement Horizon.
• Bilans de santé avancés: RELIANOID propose des contrôles d'intégrité avancés qui surveillent en permanence l'état des serveurs Horizon Connection Server et des passerelles d'accès unifiées. Ces contrôles vont au-delà de la connectivité de base, en vérifiant que chaque serveur fonctionne correctement avant de diriger le trafic vers lui. Si un serveur échoue à un contrôle d'intégrité, il est automatiquement retiré de la rotation jusqu'à ce qu'il récupère, garantissant ainsi que les utilisateurs ne sont dirigés que vers des serveurs sains et fonctionnels.
• Notifications en temps réel: Avec RELIANOIDLes administrateurs peuvent recevoir des notifications en temps réel sur l'état de l'équilibreur de charge et des serveurs qu'il gère. Cela permet une gestion proactive, où les problèmes peuvent être résolus avant qu'ils n'affectent les utilisateurs finaux. Les notifications peuvent être personnalisées pour alerter sur divers événements, tels que les pannes de serveur, les charges de trafic élevées ou les expirations de certificats SSL.
• Gestion du trafic SSL: RELIANOID gère le déchargement SSL, ce qui signifie qu'il peut mettre fin aux connexions SSL au nom des serveurs Horizon. Cela réduit la charge de traitement sur l'infrastructure Horizon, libérant des ressources pour gérer davantage de sessions utilisateur. De plus, le déchargement SSL simplifie la gestion des certificats et améliore la sécurité en garantissant que tout le trafic entre l'équilibreur de charge et les utilisateurs finaux est chiffré.
• Fonctions de sécurité améliorées: RELIANOID intègre plusieurs fonctionnalités de sécurité qui protègent l'environnement Horizon contre diverses menaces. Il peut appliquer des contrôles d'accès stricts, fournir une protection DDoS et inclure des fonctionnalités de pare-feu d'application Web (WAF) pour protéger les serveurs Horizon du trafic malveillant. L'équilibreur de charge peut également gérer et renouveler les certificats SSL, garantissant ainsi que toutes les connexions restent sécurisées.

Ces capacités supplémentaires rendent RELIANOID un excellent choix pour améliorer l'évolutivité, la fiabilité et la sécurité des déploiements Horizon. Essayez l'équilibreur de charge Relianoid pour vos déploiements Horizon.