Você pode implementar qualquer uma de várias topologias diferentes.

Um appliance do Access Point no DMZ pode ser configurado para apontar para um servidor ou para um balanceador de carga que vá de encontro com um grupo de servidores. Os appliances do Access Pointfuncionam com soluções de balanceamento de carga padrão de terceiros que são configuradas para HTTPS.

Se o appliance do Access Point apontar para um balanceador de carga na frente de servidores, a seleção da instância do servidor será dinâmica. Por exemplo, o balanceador de carga poderá fazer uma seleção com base na disponibilidade e no conhecimento dele sobre o número de sessões atuais em cada instância do servidor. As instâncias do servidor dentro do firewall corporativo normalmente têm um balanceador de carga para suportar o acesso interno. Com o Access Point, você pode apontar o appliance do Access Point para este mesmo balanceador de carga que está já sendo utilizado com frequência.

Você pode, alternativamente, ter um ou mais appliances doAccess Point apontando para uma instância individual do servidor. Em ambas as abordagens, utilize um balanceador de carga na frente de dois ou mais appliances doAccess Point no DMZ.

Figura 1. Vários appliances do Access Point atrás de um balanceador de carga

Protocolos Horizon

Quando um usuário do Horizon Client se conecta a um ambiente Horizon, são utilizados vários protocolos diferentes. A primeira conexão é sempre o protocolo XML-API primário sobre o HTTPS. Após a autenticação bem-sucedida, são criados um ou mais protocolos secundários.
  • Protocolo Horizon primário

    O usuário insere um nome do host no Horizon Client e isso inicia o protocolo Horizon primário. Esse é um protocolo de controle para a autorização de autenticação e o gerenciamento de sessão. Utiliza mensagens XML estruturadas sobre o HTTPS (HTTP sobre o SSL). Esse protocolo também é conhecido como protocolo de controle Horizon XML-API. Em um ambiente com carga balanceada como exibido acima na figura Vários appliances do Access Point atrás de um balanceador de carga, o balanceador de carga direciona esta conexão a um dos appliances do Access Point. Em geral, o balanceador de carga seleciona o appliance com base primeiramente na disponibilidade e, em seguida, escolhe a partir dos tráfegos de rotas de appliances disponíveis com base no menor número de sessões atuais. Esta configuração distribui uniformemente o tráfego de diferentes clientes no conjunto disponível de appliances do Access Point

  • Protocolos Horizon secundários

    Após o Horizon Client estabelecer a comunicação segura com um dos appliances do Access Point, o usuário faz a autenticação. Se essa tentativa de autenticação for bem-sucedida, uma ou mais conexões secundárias serão feitas do Horizon Client. Essas conexões secundárias podem incluir o seguinte

      • Túnel HTTPS usado para encapsulamento dos protocolos TCP, como o RDP, o MMR/CDR e o canal de estrutura do cliente. (TCP 443).

      • Protocolo de exibição Blast Extreme (TCP 443 e UDP 443).

      • Protocolo de exibição PCoIP (TCP 4172 e UDP 4172).

Esses protocolos Horizon secundários devem ser encaminhados ao mesmo appliance do Access Point ao qual o protocolo Horizon primário foi encaminhado. O Access Point pode então autorizar os protocolos secundários com base na sessão de usuário autenticada. Uma capacidade importante de segurança do Access Point é que ele somente encaminhará o tráfego ao centro de dados corporativo se o tráfego estiver em nome de um usuário autenticado. Se o protocolo secundário for encaminhado erroneamente a um appliance do Access Point diferente do appliance do protocolo primário, ele não será autorizado e será colocado na DMZ. A conexão falha. O encaminhamento incorreto de protocolos secundários será um problema comum se o balanceador de carga não estiver configurado corretamente.