Horizon Architecture : External Access

UAG(Unified Access Gateway) 어플라이언스와 통합을 통해 리소스에 액세스하는 사용자에게 안전한 외부 액세스가 제공됩니다. 또한 로드 밸런싱 장치를 사용하여 확장성을 제공하고 이중화를 지원합니다. Unified Access Gateway Appliance를 Connection Servers 앞에서 사용하여 사내 Horizon 데스크톱 및 퍼블리싱된 애플리케이션에 대한 액세스를 제공할 수 있습니다.

외부 액세스(External Access) 아키텍처

Unified Access Gateway를 사용하여 Horizon에 대한 외부 액세스를 제공할 때 외부 및 내부 연결 모두에 동일한 Connection Server를 사용할 수 있습니다.

Unified Access Gateways and Connection Servers의 트래픽 흐름 및 로드 밸런싱에 선호되는 아키텍처를 사용하면 Unified Access Gateway와 Connection Server 간에 로드 밸런서가 인라인으로 배치되지 않습니다. 이 아키텍처는 설계를 단순화하고 문제를 쉽게 해결할 수 있도록 지원합니다.

이전 다이어그램에서 Unified Access Gateway를 Connection Server에 1:1로 매핑하는 것을 보여주지만, 둘 이상의 Unified Access Gateway가 동일한 Connection Server에 매핑되는 N 대 1 매핑도 가능합니다.

두 개 이상의 Unified Access Gateway가 있고 연결 서버 URL의 대상으로 서로 다른 연결 서버를 지정함으로써 고가용성을 유지합니다. Unified Access Gateway는 대상 Connection Server가 응답하지 않는지 탐지할 수 있으며 새 연결을 더 이상 처리할 수 없음을 외부 로드 밸런서에 알립니다.

참고: 여전히 유효한 아키텍처이며 Unified Access Gateway와 Connection Server 간에 로드 밸런서를 인라인으로 설정할 수 있습니다. 로드 밸런서가 둘 사이에 배치되면 Unified Access Gateway는 개별 Connection Server가 중단되었는지 여부를 감지할 수 없습니다.

Single DMZ

조직의 데이터 센터 내에 Horizon을 사내에 구축하는 경우 일반적으로 Unified Access Gateway 장치를 단일 DMZ에 설치하여 인터넷과 고객 데이터 센터 간에 네트워크 격리 계층을 제공합니다.

Unified Access Gateway에는 모든 Horizon 프로토콜에 대한 보안 메커니즘이 내장되어 있어 인증된 사용자를 대신하여 데이터 센터에 들어오는 네트워크 트래픽만 허용됩니다. 인증되지 않은 트래픽은 DMZ에서 삭제됩니다.

Double DMZ

일부 조직에는 두 개의 DMZ(Double DMZ 또는 Double Hop DMZ라고도 함)가 있으며, 이러한 DMZ는 인터넷과 내부 네트워크 간에 추가적인 보안 보호 계층을 제공하는 데 사용되기도 합니다. 이중 DMZ에서는 트래픽이 각 DMZ 계층의 특정 역방향 프록시를 통과해야 합니다. 트래픽이 단순히 DMZ 계층을 무시할 수는 없습니다.

Horizon 배포 환경에서는 이중 DMZ가 필요하지 않지만 이중 DMZ가 필요한 환경에서는 Web Reverse Proxy 역할을 하는 추가 Unified Access Gateway 장치를 외부 DMZ에 배포할 수 있습니다.

추가 정보는  Unified Access Gateway Double DMZ Deployment for Horizon를 참조하십시오.

Unified Access Gateway Scaling

Unified Access Gateway의 확장 및 설계에 대한 자세한 내용은 Unified Access Gateway Architecture를 참조하십시오.

결정5개의 표준 크기의 Unified Access Gateway 어플라이언스가 Horizon 솔루션의 일부로 구축되었습니다.
이것들은 DMZ 네트워크에 위치했습니다.
타당한 이유UAG는 내부적으로 호스팅되는 Horizon 데스크톱 및 애플리케이션에 대한 안전한 외부 액세스를 제공합니다.
최대 2,000개의 동시 Horizon 연결에 표준 UAG 장치 하나가 권장됩니다.
대상 8,000명의 부하를 처리하려면 4개의 UAG 어플라이언스가 필요합니다.
다섯 번째 UAG는 이중화 및 가용성(n+1)을 제공합니다.

Load Balancing Unified Access Gateway

최종 사용자는 로드 밸런싱 가상 IP(VIP)를 사용하여 Unified Access Gateway에 연결하는 것이 좋습니다. 따라서 사용자 로드가 사용 가능한 모든 Unified Access Gateway 어플라이언스에 고르게 분산되고 IT 관리자가 유지보수, 업그레이드 및 구성 변경을 수행하는 동시에 사용자에게 미치는 영향을 최소화하여 유연성을 높일 수 있습니다.

여러 Unified Access Gateway 어플라이언스로의 Horizon 트래픽을 로드 밸런싱할 때 초기 XML-API 연결(인증, 권한 부여 및 세션 관리)을 로드 밸런싱해야 합니다. 보조 Horizon 프로토콜은 기본 Horizon XML-API 프로토콜이 라우팅된 동일한 Unified Access Gateway 장치로 라우팅되어야 합니다. 이렇게 하면 Unified Access Gateway가 인증된 사용자 세션에 따라 보조 프로토콜을 허가할 수 있습니다.

보조 프로토콜 세션이 기본 프로토콜과 다른 Unified Access Gateway 어플라이언스로 잘못 라우팅되면 세션이 인증되지 않습니다. 따라서 DMZ에서 연결이 끊어지고 프로토콜 연결이 실패합니다. 로드 밸런서가 올바르게 구성되지 않은 경우 보조 프로토콜 세션을 잘못 라우팅하는 것이 일반적인 문제입니다.

로드 밸런서 선호도는 세션의 전체 기간(기본값 최대 10시간) 동안 만들어진 XML-API 연결이 동일한 Unified Access Gateway 어플라이언스로 계속 라우팅되도록 해야 합니다.

리소스에 대한 안전한 외부 액세스를 제공하는 사용 사례에서는 외부 사용자만 연결되므로 Horizon Connection Server에 단일 네임스페이스를 제공할 필요가 없습니다. 즉, Connection Servers 앞에 로드 밸런서 VIP를 제공할 필요가 없습니다.

보조 프로토콜 세션은 기본 XML-API 연결에 사용된 것과 동일한 Unified Access Gateway 어플라이언스로 라우팅되어야 하지만 보조 프로토콜 세션이 로드 밸런서를 통해 라우팅되는지 여부는 선택할 수 있습니다. 이는 일반적으로 로드 밸런서의 기능에 따라 달라집니다.

Unified Access Gateway 어플라이언스의 로드 밸런싱에 대한 자세한 내용은 다음을 참조하십시오.

기존 로드 밸런서를 사용하거나 VMware NSX 고급 로드 밸런서(이전의 Avi Vantage)와 같은 새 로드 밸런서를 배포할 수 있습니다. 자세한 내용은 Configure Avi Vantage for VMware Horizon 을 참조하십시오.

결정Horizon의 사내 배포의 경우 유니파이드 액세스 게이트웨이 앞에 NSX Advanced 로드 밸런서가 사용되었습니다.
지속성 또는 선호도 유형에 대해 소스 IP가 구성되었습니다.
타당한 이유따라서 Unified Access Gateway에 대한 공통 네임스페이스를 제공하여 사용 편의성, 확장 및 이중화를 지원합니다.

High Availability

외부 로드 밸런서를 사용하는 대신 Unified Access Gateway는 Unified Access Gateway 에지 서비스를 위한 고가용성 솔루션을 즉시 제공합니다. 이 솔루션은 HA(High Availability) 클러스터에서 최대 10,000개의 동시 연결을 지원하고 HA 구현 및 서비스 구성을 간소화합니다.

Unified Access Gateway High Availability 구성 요소 및 HA의 에지 서비스 구성에 대한 자세한 내용은 다음 리소스를 참조하십시오.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like
Read More

vSAN 위에서 성능 중심 VDI

VDI(Virtual Desktop Infrastructure) 및 가상 애플리케이션 제공은 올해 내내 탄력을 받고 있습니다. 원격 작업자 지원 수요, 보안 컴플라이언스…