理解Horizon 连接服务器、安全服务器的配置
2020-08-07河北经贸大学信息技术学院王春海
■ 河北经贸大学信息技术学院 王春海
编者按:Horizon 连接服务器、安全服务器选项较多,初学者不易理解和掌握。本文通过案例的方式进行介绍。
Horizon 连接服务器,是VMware Horizo n 虚拟桌面的管理端。Horiz on 客 户 端 通 过Horizon 连接服务器使用虚拟桌面。Horizon 连接服务器用于局域网用户或VPN 用户进行身份验证并连接到虚拟桌面,如果是广域网用户,可以通过Horizon 安全服务器或Unified Access Gateway 设备将用户的访问请求转发给后面的连接服务器使用虚拟桌面。
Horizon 连接服务器、安全服务器所处的网络位置
Horizon 连接服务器、安全服务器或Unified Access Gateway 设备在网络中的位置如图1 所示。
从Horizon 6.2 版本开始,VMware 推出了Unified Access Gateway 设备,可以将安全服务器替换为Unified Access Gateway 设备。
Horizon 安全服务器是一个Windows 应用程序(与Horizon 连接服务器是同一个安装程序,只是安装的时候选择的功能组件不同),需要运行在64 位Windows Server 操作系统中。
例 如,Windows Server 2012、Windows Server 2016。Unified Access Gateway 设 备 与vCenter Server Appliance, 是 一个预先配置好应用程序的VMware Photon Linux 操作系统的虚拟机,不需要Windows Server 支持。
运行在Windows Server操作系统上的安全服务器,一般每月需要更新Windows操作系统补丁,更新之后需要重新启动。
Unified Access Gateway 设备部署之后,除非升级版本,一般不需要打补丁或重新启动。
如果需要为Internet用户提供虚拟桌面接入服务,Horizon 安全服务器与Unified Access Gateway 设备二者选一,不需要同时部署。
图1 Horizon 相关服务器在网络中的位置
Horizon 连接服务器所支持的桌面数量
每个vCenter Server 最多可支持10 000 个虚拟机。
当Horizon 连接服务器操作系统运行Windows Server 2016 或 Windows Server 2019,虚拟机分配10 GB 内 存、4 个vCPU、使 用VMXNET 3 虚拟网卡时,每台连接服务器最大连接数默认配置为2 000,修改配置参数最大支持数为4 000。
Horizon 安全服务器与连接具有相同的连接数配置(默认为2 000,修改参数为4 000)。
要在单台连接服务器上达到安全加密链路连接、PCoIP 安全网关和Blast安全网关最大并行连接数的测定配置(4 000),应在装有连接服务器的虚拟机上创建locked.properties 文 件(默 认保 存 在C:Program FilesVMwareVMware ViewServersslgatew ayconf 文件夹)。
然 后,在locked.properties 文件中设置maxConnections=4000,并重新启动连接服务器。
单台Unified Access G ateway 支持2000 个会话。
虽然单个安全服务器或 Unified Access Gateway 设备最多可以支持2 000 个并行连接,而不是每个连接服务器实例仅使用一个安全服务器(具有2 000 个会话),可以选择使用2 或4 个安全服务器或设备。
示例1:对于需要并发2 000 个连接,可以使用2 个安全服务器,每个处理1 000个连接,或者可以使用4 个安全服务器,每个处理500 个连接。安全服务器与连接服务器实例的比例取决于特定环境的要求。
示例2:如需要支持 10 000 个会话,推荐配置7台安全服务器、7 台连接服务器和7 台Unified Access Gateway 设备。如需要支持20 000 个会话应配置14 个。
图2 多台连接服务器拓扑
多台连接服务器或安全服务器的访问问题
在配置多台连接服务器或安全服务器后,每个连接服务器(或安全服务器)就有一组IP地址,那么怎样访问这些连接服务器(或安全服务器)呢?常用的方法有以下几种。网络拓扑如图2所示。
1. 用户指定连接服务器。 不同部门或不同用户使用不同的连接服务器。例如网络中有3 台连接服务器,IP 地址依次是172.16.16.25、172.16.16.2 7、172.16.16.28。部门1 的用户可以使用172.16.16.25;部门2 的用户可以使用172.16.16.27;部 门3 的 用户可以使用172.16.16.28。假 设172.16.16.25 的 连接服务器有问题不能使用后,部门1 的用户也可以 使 用172.16.16.27 或172.16.16.28 的连接服务器。
2. 通 过DNS 解 析 实 现负载均衡。Horizon Client计算机使用企业内部的DNS 服 务 器。 在DNS 服 务器上创建一个A 记录(例如,vcs.chunhai.wang)指向三台连接服务器的IP 地 址172.16.16.25、172.16.16.27、172.16.16.2 8。Horizon 客 户 端 计 算机通过域名vcs.chunhai.wang 使用虚拟桌面。客户端从DNS 服务器查询vcs.chunhai.wang 时会依次返回这三个地址。这种方法配置简单,但如果某台连接服务器出问题。
例 如,172.16.16.27 出问题,DNS 服务器仍然会为vcs.chunhai.wang 的域名解析返回172.16.16.27 的地址,但用户此时可能无法使用172.16.16.27 的连接服务器。
3.硬件负载均衡。可以为3 台连接服务器配置硬件负载均衡设备,Horizon Client 访问硬件负载均衡设备,由负载均衡设备提供转发或重定向服务。硬件负载均衡设备可以检查后端连接服务器的状况,如果某台连接服务器出现故障,负载均衡不会将用户的请示转到故障的连接服务器。
4. 软件负载均衡。例如,可以使用Windows Server NLB。将3 台连接服务器使用Windows NLB,配 置NLB的地址为172.16.16.30。Horizon Client 通 过 访问172.16.16.30 使 用 虚拟桌面,Windows NLB 会将Horizon Client 的请示重定向到合适的连接服务器。
如果网络中某台连接服务器出现故障,Windows NLB会停用这台连接服务器的转发。
Horizon 连接服务器配置
Horizon 7.10 版本以前的管理界面称为Horizon Administrator,该管理控制台基于Adobe Flash 开发,该管理界面将于2020 年弃用。从Horizon 7.10 版 本开始,VMware 开发了新的管理控制台界面称为Horizon Console,这是一个基于 HTML5 的界面,具有增强的安全性、功能和性能。
在Horizon Administrat or 中的“View 配置→服务器”中的“连接服务器”选项卡中,显示了当前安装的Horizon 连接服务器的列表及Horizon 版本。
经 显 示,一 共4 台 连接服务器,这正是图2 示例中的4 台连接服务器。连接服务器显示名称为VCS、VCS02、VCS03、VCS04的4 台服 务器 的IP 地 址依 次 是172.16.16.22、172.16.16.25、172.16.16.2 7、172.16.16.28。
在“安全服务器”选项卡中显示了当前安装的安全服务器的列表、Horizon 版本以及与安全服务器配对的连接服务器的名称,。
在当前示例中有2 台安全服务器,显示名称分别是VIEW、VIEW02,对应的IP地址分别是172.16.16.24、172.16.16.26,与 这2 台安全服务器配对的连接服务器是名称为VCS 的连接服务器(对应的IP 地址是172.16.16.22),这就是图1示例网络拓扑环境相关服务器的截图。
在当中的示例中,在“连接服务器”选项卡中,在“连接服务器”列表中依次单击每台连接服务器,单击“编辑”按钮,查看每台连接服务器的配置。
【说明】1.VCS 连接服务器用于与两台安全服务器配对,两台安全服务器分别为电信线路、联通线路。在VCS的连接服务器上配置使用安全加密链路连接计算机、使用PCoIP 安全网关与计算机建立PCoIP 连接、使用Blast安全网关对计算机进行所有Blast 连接。
2.VCS02、VCS03、VCS04用于局域网内登录使用虚拟桌面。一般情况下只选择“使用安全加密链路连接计算机”,启用该设置后,Horizon Client 会通过此安全加密链路 (通过HTTPS 传送RDP 及其他数据)连接到桌面。不为局域网用户选中“使用PCoIP 安全网关与计算机建立PCoIP 连接”、“使用Blast安全网关对计算机进行所有Blast 连接”选项。
3.对于局域网用户,如果Horizon Client 使用内部的DNS 服务器,在连接服务器“使用安全加密链路连接计算机”选项中,可以用每台连接服务器的DNS 名称代替IP 地址。例如,对于VCS02的连接服务器,可以使用https://vcs02.heuet.com代替https://172.16.16.25:443。
如选 中“使 用PCoIP 安全网关与计算机建立PCoIP连接”“使用Blast 安全网关对计算机进行所有Blast 连接”选项,“PCoIP 外部URL”必须使用Horizon 连接服务器的IP 地址,不能用域名代替;而“Blast 外部URL”可使用域名。例如,https://vcs02.heuet.com:8443,也可以使用IP 地址。
(4)在当前示例中,VCS连接服务器“使用安全加密链路连接计算机”的外部URL 的端口从默认的443 为1443。因为对应的安全服务器的端口也是从默认的443修改为1443。要修改安全服务器与连接服务器的服务端口,需要在安全服务器与连接服务器的“C:Program FilesVMwareVMware ViewServersslgatewayconf”夹中,创建名为locked.properties 的配置文件,配置文件内添加如下一行以修改服务端口。
serverPort=1443
然后重新启动连接服务器或安全服务器,并在防火墙中添加TCP 的1443 端口允许外网用户连接。
在“安全服务器”选项卡中的“安全服务器”列表中,依次选中每台安全服务器,单击“编辑”按钮,查看每台安全服务器的配置。
【说明】1. 名称为VIEW的安全服务器用于电信线路,在“外部URL”、“PCoIP 外部URL”、“Blast 外 部URL”中使用防火墙电信线路的出口IP 地址222.x2.x3.22。
2. 名 称 为VIEW02 的 安全服务器用于联通线路,在“外 部URL”、“PCoIP 外 部URL”、“Blast 外部URL”中使用防火墙联通线路的出口IP地址221.y2.y3.253。
3. 当前网络中防火墙是E2800,防火墙中将电信的IP 地 址222.x2.x3.22 映射给172.16.16.24(名称为VIEW)的安全服务器,将联通的IP 地址221.y2.y3.253映射给172.16.16.26 的安全服务器。
4. 安 全 服 务 器 中,“外部URL”、“PCoIP 外 部URL”、“Blast 外部URL”这三项可以是IP 地址,也可以用域名代替。配置的域名需要解析成安全服务器出口映射的公网IP 地址。
连接服务器NLB 配置
在当前示例环境中有3台连接服务器,IP 地址依次是172.16.16.25、172.16.16.27、172.16.16.28。连接服务器是添加到Active Directo ry 的。在本示例中,这3台服务器安装“网络负载平衡”,配置网络负载平衡管理器,设置群集地址172.16.16.30。主要配置步骤如下(以其中一台服务器为例)。
1. 当前计算机添加到Active Directory。
2.修改c:windowssys tem32driversetchosts配置文件,将其他连接服务器的NetBIOS 名称、DNS 名称解析到对应的IP 地址。
3.然后在每台服务器上添加“网络负载平衡”。
4. 在第一台计算机vcs02 上创建群集,设置群集的IP 地址为172.16.16.30,群集操作模式为“多播”,完整Internet 名称留空。
此处记录下多播的MAC地址,本示例中为03bfac10-101e。稍后需要在核心交换机中将群集的IP 地址172.16.16.30 与MAC 地 址03bf-ac10-101e 进行静态绑定。
5.将VCS03、VCS04 添加到群集。
在当前的环境中,3 台连接服务器是VMware ESXi 中的虚拟机。当前环境一共有4 台服务器,每台服务器使用2 块万兆网卡连接到2 台(使用堆叠方式连接的)万兆交换机,这4 台服务器连接到交换机的第14、16、18、20端口,端口配置为Trunk,允许所有VLAN 通过。IP 地址172.16.16.0/24 属于VLAN1 016。交换机的配置如下(以14 端口配置为例,16、18、20端口配置与此类似)。
interface Vlanif1016
ip address 172.16.16.254 255.255.255.0
arp static 172.16.16.30 03bf-ac10-101e
interface GigabitEthe rnet0/0/14
port link-type trunk
port trunk allowpass vlan 2 to 4094
mac-address multipor t 03bf-ac10-101e 1016
使用Unified Access Gate way 代替安全服务器
图3 UAG 实验环境
使用Unified Access G ateway 代替安全服务器,如果为Horizon Client 提供PCoIP 与Blast 服务,需要将PCoIP与 Blast 服 务配 置 在Unified Access Gateway,不 需 要 在 与Unified Access Gateway 配套的连接服务器启用PCoIP 与Blast 服务。
这是安全服务器与Unified Access Gateway 的配置区别。
为了介绍Unified Acces s Gateway,本节准备了如下的实验环境,如图3 所示。
在本示例中,Unified Ac cess Gateway 的IP 地 址 为172.20.1.55,连接服务器的IP 地址为172.20.1.51。
在本示例中,防火墙(H3C F100-A-G2)映射TCP 与UDP协 议 的443、4172、8443 到UAG 服务器172.20.1.55。
使用vSphere Client 部署Unified Access Gateway设备,选择单网络部署,在部署向导中指定设备的IP 地址为172.20.1.55。
部 署 完 成 后在 浏 览 器 中 登 录https://172.20.1.55:9443登 录 Unified Access Gateway,在“常规设置”中单 击“Edge 服 务 设 置”,单 击“Horizon 设 置”,在“Horizon 设置”对话框中启用Horizon,然后进行配置。在本示例中,配置信息如下:
连接服务器URL:https://vcs01.heuet.com:443
连接服务器URL 指纹 sha1=c5 06 4e 28 10 de a7 45 98 39 e2 3f 14 61 c8 a9 c7 04 9f be
连接服务器IP 模式:IPv4
启用PCoIP、禁用PCoIP旧版证书
PCoIP 外 部URL:110.x2.x3.115:4172
Blast 外部RUL:https://vdi.heuet.com
设置之后单击“保存”按钮。
登录Horizon 控制台,在“设置→服务器→连接服务器”中,选择名为vs01 的连接服务器,选择“编辑”,在“编辑连接服务器设置”对话框中,取消PCoIP 安全网关与Blast 安全网关的选择。
Unified Acces s Gateway 与安全服务器配置的不同之处有以下几点。
1. 不能使用TCP 的443 端 口 时的配置区别
如果运营商屏蔽了TCP的443 端口,可以使用443以外的端口。
例如,使用1443。在这种情况下,只需要在防火墙配置中,将防火墙外网IP地址的TCP 的1443 映射给Unified Access Gateway设 备IP 地 址 的443 端 口,Unified Access Gateway 设备与Horizon 连接服务器仍然使用TCP 的443 端口。
这 是Unified Access Gateway 与安全服务器配置不一样的地方。
如果使用443 以外的端口,例如使用1443,需要在防火墙上将1443 映射给安全服务器同端口(1443),同时安全服务器与连接服务器需要修改配置文件使用1443。
2.PCoIP 外部URL 的配置区别
在Unified Access Gate way 设 备 中 的Horizon 设 置中,Blast 外 部URL 可以 使用域名或IP地 址,但PCoIP 外部URL 只能使用IP地址,不能使用域名。
Horizon 安全服务器配置中,PCoIP 外部URL 地址可以使用域名。
所以,如果用户出口使用动态的IP 地址,在使用域名绑定动态的IP 地址时,在Horizon 安全服务器中,PCoIP 外部URL 可以使用域名来解析动态的IP 地址,此时Horizon 客户端可以使用PCoIP 协议使用内网的虚拟桌面。
但如果使用Unified Access Gateway 设备代替安全服务器,Horizon 客户端只能使用Blast 协议使用内网的虚拟桌面。
3.PCoIP 与Blast 网 关 的配置位置不同
如使用Unified Access Gateway 设 备,PCoIP 与Blast 安全网关上移到Unified Access Gateway 设备,在对应的Horizon 连接服务器中不要指定PCoIP 与Blast 配置。
使用Horizon 安全服务器,是将Horizon Client 对PCoIP 与Blast 的 服 务 转 发到与安全服务器配对的连接服务器,所以需要在连接服务器上指定PCoIP 与Blast配置。