オムニッサホライゾンとは #
Omnissa Horizonは、オンプレミスとクラウドの両方の導入をサポートする、最新の適応型アーキテクチャを通じて仮想デスクトップとアプリケーションを安全に提供するために設計された、多用途な製品スイートです。これにより、組織はコラボレーションを最適化し、多様なクライアントデバイスをサポートし、場所やネットワーク状況に関わらずシームレスなユーザーエクスペリエンスを確保できます。Omnissa Horizonは、強力なセキュリティ、効率的なパッチ適用、包括的なアクセス制御を重視したデスクトップとアプリケーションの一元管理を提供し、リモートワーク環境やハイブリッドワーク環境に最適です。また、Horizon 8やHorizon Cloud Service – next-genなどのコアプラットフォームをベースに、DaaS(Desktop as a Service)やハイブリッドクラウド管理などの高度なソリューションも提供しており、App VolumesやWorkspace ONEなどの追加ツールで強化できます。
ホライゾンコンポーネント #
Horizon接続に関わる主要コンポーネントを理解することは、システムを効果的に管理および構成するために不可欠です。以下に、これらのコンポーネントの詳細な概要を示します。
Horizon Client #
Horizon Client は、ユーザーのデバイスにインストールされるアプリケーションで、Horizon 管理対象システムへのアクセスを可能にします。Horizon Client は、Horizon Agent がインストールされている Horizon 環境との接続を確立します。Horizon Client をインストールできないデバイスでは、Web ブラウザを HTML クライアントとして使用することで、柔軟なアクセス方法を実現できます。
ホライゾンエージェント #
ターゲットマシンのゲストOSにインストールされるHorizon Agentは、Horizonインフラストラクチャと仮想デスクトップまたは物理デスクトップ間の通信を可能にするために不可欠です。このエージェントは、接続サーバによるこれらのマシンの管理を可能にし、Horizon Clientとターゲットシステム間のプロトコルセッションの作成を容易にします。Horizon Agentは、仮想デスクトップ、リモートデスクトップセッションホスト(RDSホスト)、物理デスクトップPC、ブレードPCなど、様々な種類のマシンに導入できます。
接続サーバー #
Horizon Connection Server は中央ブローカーとして機能し、デスクトップおよび RDS ホストにインストールされた Horizon Agent へのユーザー接続を安全に管理および誘導します。Active Directory を介してユーザー認証を処理し、ユーザーの権限に基づいてリクエストが適切なリソースにルーティングされるようにします。このサーバーは、ユーザーと仮想デスクトップ環境またはリモートデスクトップ環境間の接続を確立し、維持する上で極めて重要な役割を果たします。
統合アクセスゲートウェイ #
Unified Access Gateway (UAG) は、外部ネットワークから社内リソース(Horizon が管理するものを含む)への安全なリモートアクセスを提供するために設計された仮想アプライアンスです。企業の DMZ または社内ネットワークに導入でき、社内リソースへの接続プロキシとして機能します。UAG は認証されたリクエストを処理し、適切なリソースにリダイレクトする一方で、認証されていないリクエストはブロックします。また、UAG 自身で認証を行うことも可能で、設定によりセキュリティをさらに強化できます。
これらの各コンポーネントは、ユーザー アクセスからシステム管理、リソース割り当てまで、シームレスで安全な Horizon エクスペリエンスを確保する上で重要な役割を果たします。
Omnissa Horizonの負荷分散の理由 #
Omnissa Horizonにとって、ロードバランシングはサービスの可用性と拡張性を大幅に向上させ、堅牢でシームレスなユーザーエクスペリエンスを実現するため、極めて重要です。ロードバランサーを導入することで、接続サーバー(CS)や統合アクセスゲートウェイ(UAG)を追加することで環境を水平方向に拡張でき、システムがサポートできる同時セッション数を直接的に増加させることができます。この拡張性は、パフォーマンスを犠牲にすることなく、増大するユーザー需要に対応するために不可欠です。
さらに、負荷分散機能は、CSまたはUAGがオフラインになった場合にトラフィックを利用可能なコンポーネントに自動的にリダイレクトすることで、サービスの可用性を向上させます。これにより、継続的なアクセスが確保され、ダウンタイムが最小限に抑えられ、ユーザーにとって一貫性と信頼性の高いサービスが維持されます。さらに、ロードバランサーにより、ユーザーは単一のURLからサービスにアクセスできるため、エクスペリエンスが簡素化され、特定のサーバーURLを覚える必要がなくなります。
これらの基本的なメリットに加え、一部のロードバランサはSSLオフロード、強化されたセキュリティ、リアルタイム分析といった高度な機能を提供しており、Horizon環境の最適化とセキュリティ保護をさらに強化できます。これらの機能は、導入環境全体のアーキテクチャと有効性に影響を与える可能性があるため、理解することが重要です。
したがって、Omnissa ロード バランシングの利点は次のとおりです。
- 最適化された性能ロードバランシングは、ワークロードを均等に分散することで、単一のサーバーが過負荷になるのを防ぎます。これにより、Omnissa Horizonのパフォーマンスが最適化され、ピーク時でも仮想デスクトップやアプリケーションへの高速で信頼性の高いアクセスがユーザーに提供されます。
- 高可用性負荷分散機能は、複数のサーバーに負荷を分散することで、Omnissa Horizonサービスの可用性を向上させます。1台のサーバーに障害が発生した場合や問題が発生した場合は、ロードバランサーがトラフィックを他の正常なサーバーにリダイレクトすることで、ダウンタイムを最小限に抑え、ユーザーの継続的なアクセスを確保します。
- 拡張性仮想デスクトップとアプリケーションの需要が増大するにつれて、Omnissa Horizonは負荷分散によって効率的に拡張できます。追加サーバー間でトラフィックを分散することで、増加するワークロードに動的に適応し、パフォーマンスを犠牲にすることなく、ユーザーベースの増加と変動するワークロードに対応できるプラットフォームを実現します。
- セキュリティ強化負荷分散は、分散型サービス拒否(DDoS)攻撃のリスクを軽減する形でトラフィックを分散させることで、セキュリティにも役立ちます。リクエストを分散させることで、悪意のあるトラフィックによって単一のサーバーが障害点となる可能性を低減します。
- 資源効率効率的な負荷分散により、Omnissa Horizon内のリソースが最適に活用されます。これにより、一部のサーバーが十分に活用されず、他のサーバーが過負荷になるといった事態を防ぎ、システム全体の効率と費用対効果が向上します。
要約すると、負荷分散は、Omnissa Horizon のパフォーマンス、可用性、スケーラビリティ、セキュリティ、効率性を維持するために不可欠であり、現代の企業の要求を満たし、シームレスなユーザー エクスペリエンスを提供できるようにします。
Horizon 負荷分散のさまざまな方法 #
Horizon は、次の 3 つの主要領域でロード バランサを活用できます。
Horizon 8 接続サーバの負荷分散 #
Horizon 環境において、接続サーバ (CS) の負荷分散は、ユーザーセッション要求を複数のサーバに均等に分散するために不可欠です。これにより、環境のキャパシティが向上し、より多くの同時セッションを処理できるようになるだけでなく、継続的なサービス可用性も確保されます。1 台の接続サーバがオフラインになった場合、ロードバランサは新しいセッションを残りのアクティブなサーバにリダイレクトすることで、ダウンタイムを回避し、シームレスなユーザーエクスペリエンスを維持します。
負荷分散統合アクセスゲートウェイ (UAG) #
Unified Access Gatewayは、Horizon環境への安全なリモートアクセスに不可欠です。UAGの負荷分散により、リモートユーザーからの着信接続を複数のゲートウェイに分散し、単一のUAGに過負荷がかかるのを防ぎます。この設定により、同時接続可能なユーザー数が増えると同時に、セキュリティと信頼性も向上します。UAGに障害が発生した場合、ロードバランサが接続を他の利用可能なゲートウェイに再ルーティングし、中断のないアクセスを維持します。
負荷分散App Volumes Managers #
App Volumes Managerは、Horizon環境におけるアプリケーションとユーザープロファイルの管理と配信を担います。これらのマネージャの負荷分散により、ユーザー需要の増加時でもアプリケーション配信の効率性と拡張性を維持できます。この記事ではApp Volumes Managerの負荷分散の詳細については触れませんが、これを実装することでHorizon環境のパフォーマンスと信頼性をさらに最適化できることは注目に値します。
各ロードバランサまたはロードバランサ・アズ・ア・サービスは動作が異なり、特定のHorizon環境で望ましい結果を得るためにはアーキテクチャの調整が必要になる場合があります。この記事では、Horizonのロードバランシングを以下の方法で実行する方法について説明します。 RELIANOID プロジェクトに必要なすべての特定の要件に対応するロード バランサー。
Horizon 接続プロトコルの理解 #
Horizon接続に関係するプロトコルを理解することは、システムの動作を理解する上で非常に重要です。Horizon接続は複数のプロトコルを伴い、2つの異なるフェーズで展開されます。
プライマリプロトコル: HTTPS経由のXML-API #
Horizon 接続の初期段階では、HTTPS 経由の XML-API プロトコルが使用されます。この主要プロトコルは、以下の処理を担当します。
- 認証: ユーザーの資格情報を確認しています。
- Authorization: ユーザーに適切な権限があることを確認します。
- セッション管理: ユーザー セッションのセットアップとメンテナンスを処理します。
このプライマリ プロトコルを使用してユーザーが正常に認証されると、システムは継続的な通信のためにセカンダリ プロトコルに移行します。
セカンダリプロトコル: セッションプロトコルトラフィック #
認証が成功すると、Horizon Client はリソースとやり取りするために、1 つ以上のセカンダリ プロトコルを使用してセッションを確立します。これらのプロトコルには以下が含まれます。
- PCoIP (PC over IP): 最小限の遅延で高品質のデスクトップ エクスペリエンスを提供するように最適化されています。
- ブラスト: 効率的なパフォーマンスと帯域幅の利用を目的として設計されています。
- HTTPSトンネル: クライアント ドライブ リダイレクト (CDR) やマルチメディア リダイレクト (MMR) などのサイドチャネル トラフィックを処理し、セッション中に追加機能を容易に利用できるようにします。
内部接続 #
内部ネットワークのシナリオでは、Horizon Client は接続サーバに直接接続し、その後、ターゲットマシン上の Horizon Agent に接続します。この設定には通常、以下の手順が含まれます。
- 初期認証: Horizon Client は、ユーザー認証のために接続サーバと通信します。
- セカンダリ プロトコル セッション: 認証後、Horizon Client はデスクトップまたは RDSH サーバ上の Horizon Agent との直接セッションを確立します。
通信フローの概要 #
1. ユーザーログインと認証:
- Horizon Client は接続サーバにログインします。
- 接続サーバーはユーザーの権限を検証します。
- ユーザーはアクセスするデスクトップまたはアプリケーションを選択します。
1. セッションの確立:
次に、Horizon Client は、セッションに適切なセカンダリ プロトコルを使用して、選択したデスクトップまたは RDSH サーバで実行されている Horizon Agent に接続します。
この 2 段階のプロセスにより、内部ネットワーク内と外部接続の両方で、Horizon が管理するリソースへの安全で効率的かつシームレスなアクセスが保証されます。
Horizon 接続用のネットワーク ポート #
Horizon環境におけるコンポーネント間のシームレスな通信を確保するには、ネットワークポートの適切な構成が不可欠です。これらのポート要件を理解することで、接続の成功と効率的なデータ転送を実現できます。以下は、Horizon環境における様々な接続タイプにおけるネットワークポート要件の詳細な概要です。
ネットワークポートの要件 #
1. Horizon 接続サーバ ポート: TCP 443
2. Horizon Agent (デスクトップまたは RDS ホスト) ポート:
- Blast Extreme プロトコルセッション: TCP 22443、およびオプションの UDP 22443
- PCoIP プロトコルセッション: TCP および UDP 4172
- RDPプロトコルセッション: TCP 3389
Horizon は双方向 UDP プロトコルを使用するため、ファイアウォールは両方向のトラフィックを処理できるように構成する必要があることに注意してください。
これらのネットワーク ポート要件を理解し、適切に構成することで、Horizon 展開全体で信頼性が高く効率的な接続を確保できます。
外部接続 #
外部接続を扱う場合、通信は通常、Unified Access Gateway (UAG) アプライアンスを介して行われます。この設定により、Horizon で管理されているリソースへの安全なリモートアクセスが確保されます。接続プロセスの仕組みを詳しく説明します。
接続プロセス #
1. 初期認証:
- Horizon Client から Unified Access Gateway へ: Horizon Client が Unified Access Gateway と通信すると接続が開始されます。このフェーズでは、ユーザー認証と初期セッションのセットアップが行われます。
- Unified Access Gateway から接続サーバーへ: 認証されると、Unified Access Gateway は要求を接続サーバに転送し、ユーザーの権限とリソース アクセスを確認します。
2. プロトコルセッション接続:
- Horizon Client から Unified Access Gateway へ: 初期認証後、Horizon Client は Unified Access Gateway を介してプロトコル セッション接続を確立します。
- Unified Access Gateway から Horizon Agent へ: その後、セッションは Unified Access Gateway からターゲット デスクトップまたはリモート デスクトップ セッション ホスト (RDSH) 上の Horizon Agent へと続行されます。
ゲートウェイサービス #
Unified Access Gateway は、Blast Secure Gateway、PCoIP Secure Gateway、HTTPS Secure Tunnel などの複数のゲートウェイ サービスをサポートできます。
Horizon環境に導入されたUnified Access Gateway(UAG)の高可用性(HA)は、ラウンドロビン方式とソースIPアフィニティを組み合わせてUAG間のトラフィック分散を管理します。ただし、この方式ではXML-API over HTTPSトラフィックの高可用性のみが確保されます。BlastやPCoIPなどのセッションプロトコルトラフィックには高可用性が拡張されません。
UAGと接続サーバの間にロードバランサを配置することは有効ですが、UAGが個々の接続サーバの障害を検出できなくなります。これにより、トラブルシューティングが複雑になり、接続の信頼性が低下する可能性があります。
重要な注意事項: Blast Secure Gateway と PCoIP Secure Gateway が接続サーバ自体でも有効になっていないことを確認してください。UAG と接続サーバの両方で有効になっていると、プロトコルトラフィックのダブルホップシナリオが発生し、サポートされていないため、接続エラーが発生する可能性があります。
1. ユーザ認証:
- ユーザーは、最初に Unified Access Gateway を介して接続する Horizon Client を介して接続サーバにログインします。
- 接続サーバーは、ユーザーの権限とリソースをチェックします。
2. リソース アクセス:
- 認証後、ユーザーはデスクトップまたはアプリケーションを選択します。
- 次に、Horizon Client は、選択したデスクトップまたは RDSH で実行されている Horizon Agent への接続を確立し、認証が行われたのと同じ Unified Access Gateway 上の Blast Secure Gateway を経由してルーティングします。
Horizon ロードバランシングアーキテクチャ #
複数のUnified Access Gateway(UAG)アプライアンス間でHorizonトラフィックのロードバランシングを実装する場合、シームレスなユーザーエクスペリエンスを確保するには、プライマリプロトコルとセカンダリプロトコルの両方を効果的に管理することが重要です。以下に、関連する考慮事項と戦略の包括的な概要を示します。
プライマリおよびセカンダリプロトコルルーティング #
1. プライマリプロトコル負荷分散:
認証、承認、およびセッション管理を処理する主要な XML-API 接続プロトコルは、ユーザーが正しい UAG アプライアンスに誘導されるように負荷分散する必要があります。
2. セカンダリプロトコルセッションルーティング:
- 一貫したセッション処理認証後、セカンダリプロトコルトラフィック(BlastやPCoIPなど)は、プライマリXML-API接続を処理したのと同じUAGアプライアンスにルーティングされる必要があります。この一貫性により、UAGはユーザーの資格情報とセッション状態に基づいてセッションを正しく管理できます。
- 誤ルーティングの問題: セカンダリプロトコルセッションが別のUAGアプライアンスにリダイレクトされた場合、セッションは承認されません。この誤ったルーティングにより、接続が切断され、セッションが失敗する可能性があります。これらの問題を回避するには、ロードバランサーを適切に構成することが不可欠です。
3. ロードバランサアフィニティ:
ロードバランサーは、セッション(通常最大10時間)に関連するすべてのトラフィックが、同じUAGアプライアンスにルーティングされ続けるようにする必要があります。これは、送信元IPのパーシステンスなどのセッションアフィニティメカニズムによって実現されます。
4. ルーティングセカンダリプロトコル:
セカンダリ プロトコル トラフィックを管理するには、主に 2 つの方法があります。
- ロードバランサー経由VMware NSX Advanced Load Balancer(旧称Avi)のような高度なロードバランサでは、送信元IPアフィニティを使用して正しいルーティングを維持しながら、プライマリプロトコルとセカンダリプロトコルの両方のトラフィックを同じサービスエンジンで管理できます。この方法では、パブリックIPアドレスを1つだけ必要とします。
- 直接ルーティングロードバランサーがこれをサポートしていない場合、または送信元IPアフィニティが実現できない場合は、各UAGアプライアンスに専用のIPアドレスを使用するという代替案があります。このアプローチは、N+1 VIP方式とも呼ばれ、プライマリプロトコルには負荷分散されたVIPを使用し、セカンダリプロトコルのトラフィックを特定のUAG IPに直接ルーティングします。
外部接続用のネットワークポート #
Horizon 環境で外部接続を成功させるには、適切なネットワークポート設定が不可欠です。必要なポートを理解することで、コンポーネント間の適切な通信が確保されます。
1. 統合アクセスゲートウェイのポート:
- 認証プロトコル: TCP または UDP 443
- セッションプロトコル: TCP および/または UDP 8443、または TCP 443
Horizon Load Balancing 構成 RELIANOID #
Horizon接続サーバファームとUnified Access Gatewayファームの構成 RELIANOID ロードバランサはシンプルです。4つの異なるレイヤーXNUMXファームを作成し、Horizonソリューションのネットワーク要件が適切に満たされていることを確認するだけです。
Horizon 接続サーバの負荷分散構成 #
Horizon接続サーバファームをセットアップするには RELIANOID ロード バランサの場合は、TCP ポート 4 で構成されたレイヤー 443 ファームを作成する必要があります。サービス設定には、スケジュール方法としてラウンド ロビンを含める必要があります。また、ユーザー セッションの一貫したルーティングを確保するために、ソース IP に基づいて永続性を維持する必要があります。
Horizon 接続サーバの負荷分散構成 #
Unified Access Gatewayサーバーファームを構成するには RELIANOID ロード バランサの場合は、ポート 4 で TCP と UDP の両方を使用するように設定されたレイヤー 443 ファームを作成する必要があります。サービス設定には、一貫したセッション ルーティングを維持するために、ソース IP に基づく永続性を備えた、スケジューラとしてラウンド ロビンを含める必要があります。
高度な負荷分散機能 #
使い方 RELIANOID Horizon 環境向けの Load Balancer には、特に高可用性 (HA)、セキュリティ、管理の面でいくつかの追加の利点があります。
- クラスタリングによる高可用性: RELIANOID クラスタリングをサポートしており、複数のロードバランサをシームレスに連携させることができます。これにより、1つのロードバランサがダウンした場合でも、クラスタ内の他のロードバランサがHorizonサービスに支障をきたすことなく処理を引き継ぎます。このクラスタリングにより、Horizon環境全体の信頼性と稼働時間が向上します。
- 高度な健康診断: RELIANOID Horizon Connection ServerとUnified Access Gatewayの状態を継続的に監視する高度なヘルスチェック機能を提供します。これらのチェックは基本的な接続性にとどまらず、各サーバが正常に動作していることを検証してからトラフィックを転送します。サーバがヘルスチェックに失敗した場合には、回復するまで自動的にローテーションから外され、ユーザーは正常に動作しているサーバにのみ誘導されます。
- リアルタイム通知: RELIANOID管理者は、ロードバランサとその管理対象サーバのステータスに関するリアルタイム通知を受け取ることができます。これにより、エンドユーザーに影響を与える前に問題に対処するプロアクティブな管理が可能になります。通知はカスタマイズ可能で、サーバ障害、トラフィック負荷の上昇、SSL証明書の有効期限切れなど、様々なイベントをアラートとして通知できます。
- SSLトラフィック管理: RELIANOID SSLオフロードを処理します。つまり、Horizonサーバに代わってSSL接続を終了できます。これにより、Horizonインフラストラクチャの処理負荷が軽減され、より多くのユーザーセッションを処理できるリソースが確保されます。さらに、SSLオフロードは証明書管理を簡素化し、ロードバランサとエンドユーザー間のすべてのトラフィックが暗号化されることでセキュリティを強化します。
- 強化されたセキュリティ機能: RELIANOID Horizon環境を様々な脅威から保護する複数のセキュリティ機能を統合しています。厳格なアクセス制御の適用、DDoS攻撃対策、そして悪意のあるトラフィックからHorizonサーバを保護するWebアプリケーションファイアウォール(WAF)機能を備えています。ロードバランサはSSL証明書の管理と更新も可能で、すべての接続の安全性を確保します。
これらの追加機能により、 RELIANOID Horizon 展開のスケーラビリティ、信頼性、セキュリティを強化するための優れた選択肢です。 Horizon のデプロイメントに Reliaoid ロードバランサをお試しください.
