horizon連接配接伺服器、安全伺服器選項較多,初學者不易了解和掌握。本文通過案例的方式進行介紹。
horizon連接配接伺服器,是vmwarehorizon虛拟桌面的管理端。horizon用戶端通過horizon連接配接伺服器使用虛拟桌面。horizon連接配接伺服器用于區域網路使用者或v-p-n使用者進行身份驗證并連接配接到虛拟桌面,如果是廣域網使用者,可以通過horizon安全伺服器或unified access gateway裝置将使用者的通路請求轉發給後面的連接配接伺服器使用虛拟桌面。horizon連接配接伺服器、安全伺服器或unified access gateway裝置在網絡中的位置如圖1所示。
圖1 horizon相關伺服器在網絡中的位置
從horizon 6.2版本開始,vmware推出了unified access gateway 裝置,可以将安全伺服器替換為unified access gateway 裝置。
horizon安全伺服器是一個windows應用程式(與horizon連接配接伺服器是同一個安裝程式,隻是安裝的時候選擇的功能元件不同),需要運作在64位windows server作業系統中,例如windows server 2012、windows server 2016。unified access gateway 裝置與vcenter server appliance,是一個預先配置好應用程式的vmwarephoton linux作業系統的虛拟機,不需要windows server支援。運作在windows server作業系統上的安全伺服器,一般每月需要更新windows作業系統更新檔,更新之後需要重新啟動。unified access gateway 裝置部署之後,除非更新版本,一般不需要打更新檔或重新啟動。
如果需要為internet使用者提供虛拟桌面接入服務,horizon安全伺服器與unified access gateway 裝置二者選一,不需要同時部署。
每個 vcenter server 最多可支援 10,000 個虛拟機。
當horizon連接配接伺服器作業系統運作windowsserver 2016或windows server 2019,虛拟機配置設定10gb記憶體、4個vcpu、使用vmxnet 3虛拟網卡時,每台連接配接伺服器最大連接配接數預設配置為2000,修改配置參數最大支援數為4000。horizon安全伺服器與連接配接具有相同的連接配接數配置(預設為2000,修改參數為4000)。
要在單台連接配接伺服器上達到安全加密鍊路連接配接、pcoip 安全網關和 blast 安全網關最大并行連接配接數的測定配置 (4,000),應在裝有連接配接伺服器的虛拟機上建立 locked.properties 檔案(預設儲存在 c:\program
files\vmware\vmware view\server\sslgateway\conf檔案夾)。然後,在 locked.properties 檔案中設定 maxconnections=4000,并重新啟動連接配接伺服器。
單台unified access gateway 支援 2,000 個會話。
雖然單個安全伺服器或 unified access gateway 裝置最多可以支援 2,000 個并行連接配接,而不是每個連接配接伺服器執行個體僅使用一個安全伺服器(具有 2,000個會話),可以選擇使用 2 或 4 個安全伺服器或裝置。
示例1:對于需要并發2,000個連接配接,可以使用 2 個安全伺服器,每個處理 1,000 個連接配接,或者可以使用 4 個安全伺服器,每個處理 500 個連接配接。安全伺服器與連接配接伺服器執行個體的比例取決于特定環境的要求。
示例2:如果需要支援 10,000 個會話,推薦配置7台安全伺服器、7台連接配接伺服器、7台unified access gateway 裝置。如果需要支援20,000個會話應配置14個。
在配置多台連接配接伺服器或安全伺服器後,每個連接配接伺服器(或安全伺服器)就有一組ip位址,那麼怎樣通路這些連接配接伺服器(或安全伺服器)呢?常用的方法有以下幾種。網絡拓撲如圖2所示。
圖2 多台連接配接伺服器拓撲
(1)使用者指定連接配接伺服器。不同部門或不同使用者使用不同的連接配接伺服器。例如網絡中有3台連接配接伺服器,ip位址依次是172.16.16.25、172.16.16.27、172.16.16.28。部門1的使用者可以使用172.16.16.25;部門2的使用者可以使用172.16.16.27;部門3的使用者可以使用172.16.16.28。假設172.16.16.25的連接配接伺服器有問題不能使用後,部門1的使用者也可以使用172.16.16.27或172.16.16.28的連接配接伺服器。
(2)通過dns解析實作負載均衡。horizon client計算機使用企業内部的dns伺服器。在dns伺服器上建立一個a記錄(例如vcs.chunhai.wang)指向三台連接配接伺服器的ip位址172.16.16.25、172.16.16.27、172.16.16.28。horizon用戶端計算機通過域名vcs.chunhai.wang使用虛拟桌面。用戶端從dns伺服器查詢vcs.chunhai.wang時會依次傳回這三個位址。這種方法配置簡單,但如果某台連接配接伺服器出問題,例如172.16.16.27出問題,dns伺服器仍然會為vcs.chunhai.wang的域名解析傳回172.16.16.27的位址,但使用者此時可能無法使用172.16.16.27的連接配接伺服器。
(3)硬體負載均衡。可以為3台連接配接伺服器配置硬體負載均衡裝置,horizon client通路硬體負載均衡裝置,由負載均衡裝置提供轉發或重定向服務。硬體負載均衡裝置可以檢查後端連接配接伺服器的狀況,如果某台連接配接伺服器出現故障,負載均衡不會将使用者的請示轉到故障的連接配接伺服器。
(4)軟體負載均衡。例如可以使用windowsserver nlb。将3台連接配接伺服器使用windows
nlb,配置nlb的位址為172.16.16.30。horizon client通過通路172.16.16.30使用虛拟桌面,windows nlb會将horizon client的請示重定向到合适的連接配接伺服器。如果網絡中某台連接配接伺服器出現故障,windows nlb會停用這台連接配接伺服器的轉發。
horizon 7.10版本以前的管理界面稱為horizon administrator,該管理控制台基于adobe flash開發,該管理界面将于2020年棄用。從horizon 7.10版本開始,vmware開發了新的管理控制台界面稱為horizon console,這是一個基于 html5 的界面,具有增強的安全性、功能和性能。
在horizon administrator中的“view配置→伺服器”中的“連接配接伺服器”頁籤中,顯示了目前安裝的horizon連接配接伺服器的清單及horizon版本,如圖4-1所示。
圖4-1 連接配接伺服器
圖4-1中一共4台連接配接伺服器,這正是圖2示例中的4台連接配接伺服器。連接配接伺服器顯示名稱為vcs、vcs02、vcs03、vcs04的4台伺服器的ip位址依次是172.16.16.22、172.16.16.25、172.16.16.27、172.16.16.28。
在“安全伺服器”頁籤中顯示了目前安裝的安全伺服器的清單、horizon版本以及與安全伺服器配對的連接配接伺服器的名稱,如圖4-2所示。
圖4-2 安全伺服器
在目前示例中有2台安全伺服器,顯示名稱分别是view、view02,對應的ip位址分别是172.16.16.24、172.16.16.26,與這2台安全伺服器配對的連接配接伺服器是名稱為vcs的連接配接伺服器(對應的ip位址是172.16.16.22),這就是圖1示例網絡拓撲環境相關伺服器的截圖。
在當中的示例中,在“連接配接伺服器”頁籤中,在“連接配接伺服器”清單中依次單擊每台連接配接伺服器,單擊“編輯”按鈕,檢視每台連接配接伺服器的配置,如圖4-3~圖4-6所示。
圖4-3 vcs配置
圖4-4 vcs02配置
圖4-5 vcs03配置
圖4-6 vcs04配置
【說明】(1)vcs連接配接伺服器用于與兩台安全伺服器配對,兩台安全伺服器分别為電信線路、聯通線路。在vcs的連接配接伺服器上配置使用安全加密鍊路連接配接計算機、使用pcoip安全網關與計算機建立pcoip連接配接、使用blast安全網關對計算機進行所有blast連接配接。
(2)vcs02、vcs03、vcs04用于區域網路内登入使用虛拟桌面。一般情況下隻選擇“使用安全加密鍊路連接配接計算機”,啟用該設定後,horizon client 會通過此安全加密鍊路 (通過 https 傳送 rdp 及其他資料)連接配接到桌面。不為區域網路使用者選中“使用pcoip安全網關與計算機建立pcoip連接配接”、“使用blast安全網關對計算機進行所有blast連接配接”選項。
(3)對于區域網路使用者,如果horizonclient使用内部的dns伺服器,在連接配接伺服器“使用安全加密鍊路連接配接計算機”選項中,可以用每台連接配接伺服器的dns名稱代替ip位址,例如對于vcs02的連接配接伺服器,可以使用https://vcs02.heuet.com代替https://172.16.16.25:443。如果選中“使用pcoip安全網關與計算機建立pcoip連接配接”、“使用blast安全網關對計算機進行所有blast連接配接”選項,“pcoip外部url”必須使用horizon連接配接伺服器的ip位址,不能用域名代替;而“blast外部url”可以使用域名,例如https://vcs02.heuet.com:8443,也可以使用ip位址。
(4)在目前示例中,vcs連接配接伺服器“使用安全加密鍊路連接配接計算機”的外部url的端口從預設的443為1443。因為對應的安全伺服器的端口也是從預設的443修改為1443。要修改安全伺服器與連接配接伺服器的服務端口,需要在安全伺服器與連接配接伺服器的“c:\program files\vmware\vmware view\server\sslgateway\conf”夾中,建立名為locked.properties的配置檔案,配置檔案内添加如下一行以修改服務端口。
serverport=1443
然後重新啟動連接配接伺服器或安全伺服器,并在防火牆中添加tcp的1443端口允許外網使用者連接配接。
在“安全伺服器”頁籤中的“安全伺服器”清單中,依次選中每台安全伺服器,單擊“編輯”按鈕,檢視每台安全伺服器的配置,如圖4-7、圖4-8所示。
圖4-7 view配置
圖4-8 view2配置
【說明】(1)名稱為view的安全伺服器用于電信線路,在“外部url”、“pcoip外部url”、“blast外部url”中使用防火牆電信線路的出口ip位址222.x2.x3.22。
(2)名稱為view02的安全伺服器用于聯通線路,在“外部url”、“pcoip外部url”、“blast外部url”中使用防火牆聯通線路的出口ip位址221.y2.y3.253。
(3)目前網絡中防火牆是e2800,防火牆中将電信的ip位址222.x2.x3.22映射給172.16.16.24(名稱為view)的安全伺服器,将聯通的ip位址221.y2.y3.253映射給172.16.16.26的安全伺服器,防火牆配置如圖4-9所示。
圖4-9 出口防火牆配置
(4)安全伺服器中,“外部url”、“pcoip外部url”、“blast外部url”這三項可以是ip位址,也可以用域名代替。配置的域名需要解析成安全伺服器出口映射的公網ip位址。
在目前示例環境中(圖2)有3台連接配接伺服器,ip位址依次是172.16.16.25、172.16.16.27、172.16.16.28。連接配接伺服器是添加到active directory的。在本示例中,這3台伺服器安裝“網絡負載平衡”,配置網絡負載平衡管理器,設定群集位址172.16.16.30。主要配置步驟如下(以其中一台伺服器為例)。
(1)目前計算機添加到activedirectory,如圖5-1所示。
圖5-1 添加到active directory
(2)修改c:\windows\system32\drivers\etc\hosts配置檔案,将其他連接配接伺服器的netbios名稱、dns名稱解析到對應的ip位址,如圖5-2所示。
圖5-2 編輯hosts檔案
(3)然後在每台伺服器上添加“網絡負載平衡”,如圖5-3所示。
圖5-3 添加網絡負載平衡
(4)在第一台計算機vcs02上建立群集,設定群集的ip位址為172.16.16.30,群集操作模式為“多點傳播”,完整internet名稱留白,如圖5-4所示。
圖5-4 群集配置
此處記錄下多點傳播的mac位址,本示例中為03bf-ac10-101e。稍後需要在核心交換機中将群集的ip位址172.16.16.30與mac位址03bf-ac10-101e進行靜态綁定。
(5)将vcs03、vcs04添加到群集,添加之後如圖5-5所示。
圖5-5 配置群集完成
在目前的環境中,3台連接配接伺服器是vmwareesxi中的虛拟機。目前環境一共有4台伺服器,每台伺服器使用2塊萬兆網卡連接配接到2台(使用堆疊方式連接配接的)萬兆交換機,這4台伺服器連接配接到交換機的第14、16、18、20端口,端口配置為trunk,允許所有vlan通過。ip位址172.16.16.0/24屬于vlan1016。交換機的配置如下(以14端口配置為例,16、18、20端口配置與此類似)。
interface vlanif1016
ip address 172.16.16.254 255.255.255.0
arp static 172.16.16.30 03bf-ac10-101e
interface gigabitethernet0/0/14
portlink-type trunk
porttrunk allow-pass vlan 2 to 4094
mac-address multiport 03bf-ac10-101e 1016
使用unified access gateway代替安全伺服器,如果為horizon client提供pcoip與blast服務,需要将pcoip與blast服務配置在unified access gateway,不需要在與unified accessgateway配套的連接配接伺服器啟用pcoip與blast服務。這是安全伺服器與unified access gateway的配置差別。
為了介紹unified access gateway,本節準備了如下的實驗環境,如圖6-1所示。
圖6-1 uag實驗環境
在本示例中,unified access gateway的ip位址為172.20.1.55,連接配接伺服器的ip位址為172.20.1.51。在本示例中,防火牆(h3c f100-a-g2)映射tcp與udp協定的443、4172、8443到uag伺服器172.20.1.55如圖6-2所示。
圖6-2 防火牆配置截圖
使用vsphere client部署unifiedaccess gateway裝置,選擇單網絡部署,在部署向導中指定裝置的ip位址為172.20.1.55。部署完成後在浏覽器中登入https://172.20.1.55:9443登入unified access gateway,在“正常設定”中單擊“edge服務設定”,單擊“horizon設定”,在“horizon設定”對話框中啟用horizon,然後進行配置。在本示例中,配置資訊如下。
連接配接伺服器url:https://vcs01.heuet.com:443
連接配接伺服器url指紋 sha1=c506 4e 28 10 de a7 45 98 39 e2 3f 14 61 c8 a9 c7 04 9f be
連接配接伺服器ip模式:ipv4
啟用pcoip、禁用pcoip舊版證書
pcoip外部url:110.x2.x3.115:4172
blast外部rul:https://vdi.heuet.com
設定之後單擊“儲存”按鈕,如圖6-3所示。
圖6-3 horizon設定
登入horizon控制台,在“設定→伺服器→連接配接伺服器”中,選擇名為vs01的連接配接伺服器,選擇“編輯”,在“編輯連接配接伺服器設定”對話框中,取消pcoip安全網關與blast安全網關的選擇,如圖6-4所示。
圖6-4 不使用pcoip安全網關和blast安全網關
unified access gateway與安全伺服器配置的不同之處有以下幾點。
(1)不能使用tcp的443端口時的配置差別。
如果營運商屏蔽了tcp的443端口,可以使用443以外的端口,例如使用1443。在這種情況下,隻需要在防火牆配置中,将防火牆外網ip位址的tcp的1443映射給unifiedaccess gateway裝置ip位址的443端口,unified access gateway裝置與horizon連接配接伺服器仍然使用tcp的443端口。這是unified
access gateway與安全伺服器配置不一樣的地方。
如果使用443以外的端口,例如使用1443,需要在防火牆上将1443映射給安全伺服器同端口(1443),同時安全伺服器與連接配接伺服器需要修改配置檔案使用1443。
(2)pcoip外部url的配置差別。
在unified access gateway裝置中的horizon設定中,blast外部url可以使用域名或ip位址,但pcoip外部url隻能使用ip位址,不能使用域名。
horizon安全伺服器配置中,pcoip外部url位址可以使用域名。
是以,如果使用者出口使用動态的ip位址,在使用域名綁定動态的ip位址時,在horizon安全伺服器中,pcoip外部url可以使用域名來解析動态的ip位址,此時horizon用戶端可以使用pcoip協定使用内網的虛拟桌面。但如果使用unified access gateway裝置代替安全伺服器,horizon用戶端隻能使用blast協定使用内網的虛拟桌面。圖6-5是某使用者unified access gateway的“horizon設定”中,隻啟用blast協定的配置截圖。
圖6-5 不啟用pcoip
(3)pcoip與blast網關的配置位置不同。
如果使用unified access gateway裝置,pcoip與blast安全網關上移到unifiedaccess gateway裝置,在對應的horizon連接配接伺服器中不要指定pcoip與blast配置。
使用horizon安全伺服器,是将horizonclient對pcoip與blast的服務轉發到與安全伺服器配對的連接配接伺服器,是以需要在連接配接伺服器上指定pcoip與blast配置。
相關圖書或視訊
vmware虛拟化與雲計算應用案例詳解(第3版)
https://item.jd.com/12939315.html
vmware horizon虛拟桌面應用指南
https://item.jd.com/13038424.html
vmware horizon 8 桌面虛拟化入門
https://edu.51cto.com/course/28118.html
使用nvidia rtx8000配置gpu的虛拟桌面
https://edu.51cto.com/sd/952a9