■ 河北經(jīng)貿(mào)大學(xué)信息技術(shù)學(xué)院 王春海

編者按：Horizon 連接服務(wù)器、安全服務(wù)器選項較多，初學(xué)者不易理解和掌握。本文通過案例的方式進行介紹。

Horizon 連接服務(wù)器，是VMware Horizo n 虛擬桌面的管理端。Horiz on 客 戶 端 通 過Horizon 連接服務(wù)器使用虛擬桌面。Horizon 連接服務(wù)器用于局域網(wǎng)用戶或VPN 用戶進行身份驗證并連接到虛擬桌面，如果是廣域網(wǎng)用戶，可以通過Horizon 安全服務(wù)器或Unified Access Gateway 設(shè)備將用戶的訪問請求轉(zhuǎn)發(fā)給后面的連接服務(wù)器使用虛擬桌面。

Horizon 連接服務(wù)器、安全服務(wù)器所處的網(wǎng)絡(luò)位置

Horizon 連接服務(wù)器、安全服務(wù)器或Unified Access Gateway 設(shè)備在網(wǎng)絡(luò)中的位置如圖1 所示。

從Horizon 6.2 版本開始，VMware 推出了Unified Access Gateway 設(shè)備，可以將安全服務(wù)器替換為Unified Access Gateway 設(shè)備。

Horizon 安全服務(wù)器是一個Windows 應(yīng)用程序（與Horizon 連接服務(wù)器是同一個安裝程序，只是安裝的時候選擇的功能組件不同），需要運行在64 位Windows Server 操作系統(tǒng)中。

例 如，Windows Server 2012、Windows Server 2016。Unified Access Gateway 設(shè) 備 與vCenter Server Appliance， 是 一個預(yù)先配置好應(yīng)用程序的VMware Photon Linux 操作系統(tǒng)的虛擬機，不需要Windows Server 支持。

運行在Windows Server操作系統(tǒng)上的安全服務(wù)器，一般每月需要更新Windows操作系統(tǒng)補丁，更新之后需要重新啟動。

Unified Access Gateway 設(shè)備部署之后，除非升級版本，一般不需要打補丁或重新啟動。

如果需要為Internet用戶提供虛擬桌面接入服務(wù)，Horizon 安全服務(wù)器與Unified Access Gateway 設(shè)備二者選一，不需要同時部署。

圖1 Horizon 相關(guān)服務(wù)器在網(wǎng)絡(luò)中的位置

Horizon 連接服務(wù)器所支持的桌面數(shù)量

每個vCenter Server 最多可支持10 000 個虛擬機。

當Horizon 連接服務(wù)器操作系統(tǒng)運行Windows Server 2016 或 Windows Server 2019，虛擬機分配10 GB 內(nèi) 存、4 個vCPU、使 用VMXNET 3 虛擬網(wǎng)卡時，每臺連接服務(wù)器最大連接數(shù)默認配置為2 000，修改配置參數(shù)最大支持數(shù)為4 000。

Horizon 安全服務(wù)器與連接具有相同的連接數(shù)配置（默認為2 000，修改參數(shù)為4 000）。

要在單臺連接服務(wù)器上達到安全加密鏈路連接、PCoIP 安全網(wǎng)關(guān)和Blast安全網(wǎng)關(guān)最大并行連接數(shù)的測定配置(4 000)，應(yīng)在裝有連接服務(wù)器的虛擬機上創(chuàng)建locked.properties 文 件（默 認保 存 在C:Program FilesVMwareVMware ViewServersslgatew ayconf 文件夾）。

然 后，在locked.properties 文件中設(shè)置maxConnections=4000，并重新啟動連接服務(wù)器。

單臺Unified Access G ateway 支持2000 個會話。

雖然單個安全服務(wù)器或 Unified Access Gateway 設(shè)備最多可以支持2 000 個并行連接，而不是每個連接服務(wù)器實例僅使用一個安全服務(wù)器（具有2 000 個會話），可以選擇使用2 或4 個安全服務(wù)器或設(shè)備。

示例1：對于需要并發(fā)2 000 個連接，可以使用2 個安全服務(wù)器，每個處理1 000個連接，或者可以使用4 個安全服務(wù)器，每個處理500 個連接。安全服務(wù)器與連接服務(wù)器實例的比例取決于特定環(huán)境的要求。

示例2：如需要支持 10 000 個會話，推薦配置7臺安全服務(wù)器、7 臺連接服務(wù)器和7 臺Unified Access Gateway 設(shè)備。如需要支持20 000 個會話應(yīng)配置14 個。

圖2 多臺連接服務(wù)器拓撲

多臺連接服務(wù)器或安全服務(wù)器的訪問問題

在配置多臺連接服務(wù)器或安全服務(wù)器后，每個連接服務(wù)器（或安全服務(wù)器）就有一組IP地址，那么怎樣訪問這些連接服務(wù)器（或安全服務(wù)器）呢？常用的方法有以下幾種。網(wǎng)絡(luò)拓撲如圖2所示。

1. 用戶指定連接服務(wù)器。 不同部門或不同用戶使用不同的連接服務(wù)器。例如網(wǎng)絡(luò)中有3 臺連接服務(wù)器，IP 地址依次是172.16.16.25、172.16.16.2 7、172.16.16.28。部門1 的用戶可以使用172.16.16.25；部門2 的用戶可以使用172.16.16.27；部 門3 的 用戶可以使用172.16.16.28。假 設(shè)172.16.16.25 的 連接服務(wù)器有問題不能使用后，部門1 的用戶也可以 使 用172.16.16.27 或172.16.16.28 的連接服務(wù)器。

2. 通 過DNS 解 析 實 現(xiàn)負載均衡。Horizon Client計算機使用企業(yè)內(nèi)部的DNS 服 務(wù) 器。 在DNS 服 務(wù)器上創(chuàng)建一個A 記錄（例如，vcs.chunhai.wang）指向三臺連接服務(wù)器的IP 地 址172.16.16.25、172.16.16.27、172.16.16.2 8。Horizon 客 戶 端 計 算機通過域名vcs.chunhai.wang 使用虛擬桌面?？蛻舳藦腄NS 服務(wù)器查詢vcs.chunhai.wang 時會依次返回這三個地址。這種方法配置簡單，但如果某臺連接服務(wù)器出問題。

例 如，172.16.16.27 出問題，DNS 服務(wù)器仍然會為vcs.chunhai.wang 的域名解析返回172.16.16.27 的地址，但用戶此時可能無法使用172.16.16.27 的連接服務(wù)器。

3.硬件負載均衡?？梢詾? 臺連接服務(wù)器配置硬件負載均衡設(shè)備，Horizon Client 訪問硬件負載均衡設(shè)備，由負載均衡設(shè)備提供轉(zhuǎn)發(fā)或重定向服務(wù)。硬件負載均衡設(shè)備可以檢查后端連接服務(wù)器的狀況，如果某臺連接服務(wù)器出現(xiàn)故障，負載均衡不會將用戶的請示轉(zhuǎn)到故障的連接服務(wù)器。

4. 軟件負載均衡。例如,可以使用Windows Server NLB。將3 臺連接服務(wù)器使用Windows NLB，配 置NLB的地址為172.16.16.30。Horizon Client 通 過 訪問172.16.16.30 使 用 虛擬桌面，Windows NLB 會將Horizon Client 的請示重定向到合適的連接服務(wù)器。

如果網(wǎng)絡(luò)中某臺連接服務(wù)器出現(xiàn)故障，Windows NLB會停用這臺連接服務(wù)器的轉(zhuǎn)發(fā)。

Horizon 連接服務(wù)器配置

Horizon 7.10 版本以前的管理界面稱為Horizon Administrator，該管理控制臺基于Adobe Flash 開發(fā)，該管理界面將于2020 年棄用。從Horizon 7.10 版 本開始，VMware 開發(fā)了新的管理控制臺界面稱為Horizon Console，這是一個基于 HTML5 的界面，具有增強的安全性、功能和性能。

在Horizon Administrat or 中的“View 配置→服務(wù)器”中的“連接服務(wù)器”選項卡中，顯示了當前安裝的Horizon 連接服務(wù)器的列表及Horizon 版本。

經(jīng) 顯 示，一 共4 臺 連接服務(wù)器，這正是圖2 示例中的4 臺連接服務(wù)器。連接服務(wù)器顯示名稱為VCS、VCS02、VCS03、VCS04的4 臺服 務(wù)器 的IP 地 址依 次 是172.16.16.22、172.16.16.25、172.16.16.2 7、172.16.16.28。

在“安全服務(wù)器”選項卡中顯示了當前安裝的安全服務(wù)器的列表、Horizon 版本以及與安全服務(wù)器配對的連接服務(wù)器的名稱，。

在當前示例中有2 臺安全服務(wù)器，顯示名稱分別是VIEW、VIEW02，對應(yīng)的IP地址分別是172.16.16.24、172.16.16.26，與 這2 臺安全服務(wù)器配對的連接服務(wù)器是名稱為VCS 的連接服務(wù)器（對應(yīng)的IP 地址是172.16.16.22），這就是圖1示例網(wǎng)絡(luò)拓撲環(huán)境相關(guān)服務(wù)器的截圖。

在當中的示例中，在“連接服務(wù)器”選項卡中，在“連接服務(wù)器”列表中依次單擊每臺連接服務(wù)器，單擊“編輯”按鈕，查看每臺連接服務(wù)器的配置。

【說明】1.VCS 連接服務(wù)器用于與兩臺安全服務(wù)器配對，兩臺安全服務(wù)器分別為電信線路、聯(lián)通線路。在VCS的連接服務(wù)器上配置使用安全加密鏈路連接計算機、使用PCoIP 安全網(wǎng)關(guān)與計算機建立PCoIP 連接、使用Blast安全網(wǎng)關(guān)對計算機進行所有Blast 連接。

2.VCS02、VCS03、VCS04用于局域網(wǎng)內(nèi)登錄使用虛擬桌面。一般情況下只選擇“使用安全加密鏈路連接計算機”，啟用該設(shè)置后，Horizon Client 會通過此安全加密鏈路 (通過HTTPS 傳送RDP 及其他數(shù)據(jù))連接到桌面。不為局域網(wǎng)用戶選中“使用PCoIP 安全網(wǎng)關(guān)與計算機建立PCoIP 連接”、“使用Blast安全網(wǎng)關(guān)對計算機進行所有Blast 連接”選項。

3.對于局域網(wǎng)用戶，如果Horizon Client 使用內(nèi)部的DNS 服務(wù)器，在連接服務(wù)器“使用安全加密鏈路連接計算機”選項中，可以用每臺連接服務(wù)器的DNS 名稱代替IP 地址。例如，對于VCS02的連接服務(wù)器，可以使用https://vcs02.heuet.com代替https://172.16.16.25:443。

如選 中“使 用PCoIP 安全網(wǎng)關(guān)與計算機建立PCoIP連接”“使用Blast 安全網(wǎng)關(guān)對計算機進行所有Blast 連接”選項，“PCoIP 外部URL”必須使用Horizon 連接服務(wù)器的IP 地址，不能用域名代替；而“Blast 外部URL”可使用域名。例如，https://vcs02.heuet.com:8443，也可以使用IP 地址。

（4）在當前示例中，VCS連接服務(wù)器“使用安全加密鏈路連接計算機”的外部URL 的端口從默認的443 為1443。因為對應(yīng)的安全服務(wù)器的端口也是從默認的443修改為1443。要修改安全服務(wù)器與連接服務(wù)器的服務(wù)端口，需要在安全服務(wù)器與連接服務(wù)器的“C:Program FilesVMwareVMware ViewServersslgatewayconf”夾中，創(chuàng)建名為locked.properties 的配置文件，配置文件內(nèi)添加如下一行以修改服務(wù)端口。

serverPort=1443

然后重新啟動連接服務(wù)器或安全服務(wù)器，并在防火墻中添加TCP 的1443 端口允許外網(wǎng)用戶連接。

在“安全服務(wù)器”選項卡中的“安全服務(wù)器”列表中，依次選中每臺安全服務(wù)器，單擊“編輯”按鈕，查看每臺安全服務(wù)器的配置。

【說明】1. 名稱為VIEW的安全服務(wù)器用于電信線路，在“外部URL”、“PCoIP 外部URL”、“Blast 外 部URL”中使用防火墻電信線路的出口IP 地址222.x2.x3.22。

2. 名 稱 為VIEW02 的 安全服務(wù)器用于聯(lián)通線路，在“外 部URL”、“PCoIP 外 部URL”、“Blast 外部URL”中使用防火墻聯(lián)通線路的出口IP地址221.y2.y3.253。

3. 當前網(wǎng)絡(luò)中防火墻是E2800，防火墻中將電信的IP 地 址222.x2.x3.22 映射給172.16.16.24（名稱為VIEW）的安全服務(wù)器，將聯(lián)通的IP 地址221.y2.y3.253映射給172.16.16.26 的安全服務(wù)器。

4. 安 全 服 務(wù) 器 中，“外部URL”、“PCoIP 外 部URL”、“Blast 外部URL”這三項可以是IP 地址，也可以用域名代替。配置的域名需要解析成安全服務(wù)器出口映射的公網(wǎng)IP 地址。

連接服務(wù)器NLB 配置

在當前示例環(huán)境中有3臺連接服務(wù)器，IP 地址依次是172.16.16.25、172.16.16.27、172.16.16.28。連接服務(wù)器是添加到Active Directo ry 的。在本示例中，這3臺服務(wù)器安裝“網(wǎng)絡(luò)負載平衡”，配置網(wǎng)絡(luò)負載平衡管理器，設(shè)置群集地址172.16.16.30。主要配置步驟如下（以其中一臺服務(wù)器為例）。

1. 當前計算機添加到Active Directory。

2.修改c:windowssys tem32driversetchosts配置文件，將其他連接服務(wù)器的NetBIOS 名稱、DNS 名稱解析到對應(yīng)的IP 地址。

3.然后在每臺服務(wù)器上添加“網(wǎng)絡(luò)負載平衡”。

4. 在第一臺計算機vcs02 上創(chuàng)建群集，設(shè)置群集的IP 地址為172.16.16.30，群集操作模式為“多播”，完整Internet 名稱留空。

此處記錄下多播的MAC地址，本示例中為03bfac10-101e。稍后需要在核心交換機中將群集的IP 地址172.16.16.30 與MAC 地 址03bf-ac10-101e 進行靜態(tài)綁定。

5.將VCS03、VCS04 添加到群集。

在當前的環(huán)境中，3 臺連接服務(wù)器是VMware ESXi 中的虛擬機。當前環(huán)境一共有4 臺服務(wù)器，每臺服務(wù)器使用2 塊萬兆網(wǎng)卡連接到2 臺（使用堆疊方式連接的）萬兆交換機，這4 臺服務(wù)器連接到交換機的第14、16、18、20端口，端口配置為Trunk，允許所有VLAN 通過。IP 地址172.16.16.0/24 屬于VLAN1 016。交換機的配置如下（以14 端口配置為例，16、18、20端口配置與此類似）。

interface Vlanif1016

ip address 172.16.16.254 255.255.255.0

arp static 172.16.16.30 03bf-ac10-101e

interface GigabitEthe rnet0/0/14

port link-type trunk

port trunk allowpass vlan 2 to 4094

mac-address multipor t 03bf-ac10-101e 1016

使用Unified Access Gate way 代替安全服務(wù)器

圖3 UAG 實驗環(huán)境

使用Unified Access G ateway 代替安全服務(wù)器，如果為Horizon Client 提供PCoIP 與Blast 服務(wù)，需要將PCoIP與 Blast 服 務(wù)配 置 在Unified Access Gateway，不 需 要 在 與Unified Access Gateway 配套的連接服務(wù)器啟用PCoIP 與Blast 服務(wù)。

這是安全服務(wù)器與Unified Access Gateway 的配置區(qū)別。

為了介紹Unified Acces s Gateway，本節(jié)準備了如下的實驗環(huán)境，如圖3 所示。

在本示例中，Unified Ac cess Gateway 的IP 地 址 為172.20.1.55，連接服務(wù)器的IP 地址為172.20.1.51。

在本示例中，防火墻（H3C F100-A-G2）映射TCP 與UDP協(xié) 議 的443、4172、8443 到UAG 服務(wù)器172.20.1.55。

使用vSphere Client 部署Unified Access Gateway設(shè)備，選擇單網(wǎng)絡(luò)部署，在部署向?qū)е兄付ㄔO(shè)備的IP 地址為172.20.1.55。

部 署 完 成 后在 瀏 覽 器 中 登 錄https://172.20.1.55:9443登 錄 Unified Access Gateway，在“常規(guī)設(shè)置”中單 擊“Edge 服 務(wù) 設(shè) 置”，單 擊“Horizon 設(shè) 置”，在“Horizon 設(shè)置”對話框中啟用Horizon，然后進行配置。在本示例中，配置信息如下:

連接服務(wù)器URL：https://vcs01.heuet.com:443

連接服務(wù)器URL 指紋 sha1=c5 06 4e 28 10 de a7 45 98 39 e2 3f 14 61 c8 a9 c7 04 9f be

連接服務(wù)器IP 模式：IPv4

啟用PCoIP、禁用PCoIP舊版證書

PCoIP 外 部URL：110.x2.x3.115:4172

Blast 外部RUL：https://vdi.heuet.com

設(shè)置之后單擊“保存”按鈕。

登錄Horizon 控制臺，在“設(shè)置→服務(wù)器→連接服務(wù)器”中，選擇名為vs01 的連接服務(wù)器，選擇“編輯”，在“編輯連接服務(wù)器設(shè)置”對話框中，取消PCoIP 安全網(wǎng)關(guān)與Blast 安全網(wǎng)關(guān)的選擇。

Unified Acces s Gateway 與安全服務(wù)器配置的不同之處有以下幾點。

1. 不能使用TCP 的443 端 口 時的配置區(qū)別

如果運營商屏蔽了TCP的443 端口，可以使用443以外的端口。

例如，使用1443。在這種情況下，只需要在防火墻配置中，將防火墻外網(wǎng)IP地址的TCP 的1443 映射給Unified Access Gateway設(shè) 備IP 地 址 的443 端 口，Unified Access Gateway 設(shè)備與Horizon 連接服務(wù)器仍然使用TCP 的443 端口。

這 是Unified Access Gateway 與安全服務(wù)器配置不一樣的地方。

如果使用443 以外的端口，例如使用1443，需要在防火墻上將1443 映射給安全服務(wù)器同端口（1443），同時安全服務(wù)器與連接服務(wù)器需要修改配置文件使用1443。

2.PCoIP 外部URL 的配置區(qū)別

在Unified Access Gate way 設(shè) 備 中 的Horizon 設(shè) 置中，Blast 外 部URL 可以 使用域名或IP地 址，但PCoIP 外部URL 只能使用IP地址，不能使用域名。

Horizon 安全服務(wù)器配置中，PCoIP 外部URL 地址可以使用域名。

所以，如果用戶出口使用動態(tài)的IP 地址，在使用域名綁定動態(tài)的IP 地址時，在Horizon 安全服務(wù)器中，PCoIP 外部URL 可以使用域名來解析動態(tài)的IP 地址，此時Horizon 客戶端可以使用PCoIP 協(xié)議使用內(nèi)網(wǎng)的虛擬桌面。

但如果使用Unified Access Gateway 設(shè)備代替安全服務(wù)器，Horizon 客戶端只能使用Blast 協(xié)議使用內(nèi)網(wǎng)的虛擬桌面。

3.PCoIP 與Blast 網(wǎng) 關(guān) 的配置位置不同

如使用Unified Access Gateway 設(shè) 備，PCoIP 與Blast 安全網(wǎng)關(guān)上移到Unified Access Gateway 設(shè)備，在對應(yīng)的Horizon 連接服務(wù)器中不要指定PCoIP 與Blast 配置。

使用Horizon 安全服務(wù)器，是將Horizon Client 對PCoIP 與Blast 的 服 務(wù) 轉(zhuǎn) 發(fā)到與安全服務(wù)器配對的連接服務(wù)器，所以需要在連接服務(wù)器上指定PCoIP 與Blast配置。