Um appliance do Unified Access Gateway na DMZ pode ser configurado para apontar para um servidor ou para um balanceador de carga que vá de encontro a um grupo de servidores. Os appliances do Unified Access Gateway funcionam com soluções de balanceamento de carga padrão de terceiros que são configuradas para HTTPS.

Se o appliance do Unified Access Gateway apontar para um balanceador de carga na frente de servidores, a seleção da instância do servidor será dinâmica. Por exemplo, o balanceador de carga poderá fazer uma seleção com base na disponibilidade e no conhecimento dele sobre o número de sessões atuais em cada instância do servidor. As instâncias do servidor dentro do firewall corporativo normalmente têm um balanceador de carga para suportar o acesso interno. Com o Unified Access Gateway, você pode apontar o appliance do Unified Access Gateway para este mesmo balanceador de carga que está já sendo utilizado com frequência.

Você pode, alternativamente, ter um ou mais appliances doUnified Access Gateway apontando para uma instância individual do servidor. Em ambas as abordagens, utilize um balanceador de carga na frente de dois ou mais appliances do Unified Access Gateway no DMZ.

Figura 1. Vários appliances do Unified Access Gateway atrás de um balanceador de carga

Protocolos Horizon

Quando um usuário do Horizon Client se conecta a um ambiente Horizon, são utilizados vários protocolos diferentes. A primeira conexão é sempre o protocolo XML-API primário sobre o HTTPS. Após a autenticação bem-sucedida, são criados um ou mais protocolos secundários.

  • Protocolo Horizon primário

    O usuário insere um nome do host no Horizon Client e isso inicia o protocolo Horizon primário. Esse é um protocolo de controle para a autorização de autenticação e o gerenciamento de sessão. O protocolo usa mensagens XML estruturadas sobre HTTPS. Esse protocolo também é conhecido como protocolo de controle Horizon XML-API. Em um ambiente com carga balanceada como exibido na figura, os vários appliances do Unified Access Gateway atrás de um balanceador de carga, o balanceador de carga direciona essa conexão a um dos appliances do Unified Access Gateway. No geral, o balanceador de carga seleciona o appliance com base primeiramente na disponibilidade e, em seguida, escolhe a partir dos tráfegos de rotas de appliances disponíveis com base no menor número de sessões atuais. Essa configuração distribui uniformemente o tráfego de diferentes clientes no conjunto disponível de appliances do Unified Access Gateway

  • Protocolos Horizon secundários

    Após o Horizon Client estabelecer a comunicação segura com um dos appliances do Unified Access Gateway, o usuário faz a autenticação. Se essa tentativa de autenticação for bem-sucedida, uma ou mais conexões secundárias são feitas do Horizon Client. Essas conexões secundárias podem incluir o seguinte

    • Túnel HTTPS usado para encapsulamento dos protocolos TCP, como o RDP, o MMR/CDR e o canal de estrutura do cliente. (TCP 443)

    • Protocolo de exibição Blast Extreme (TCP 443, TCP 8443, UDP 443 e UDP 8443)

    • Protocolo de exibição PCoIP (TCP 443, UDP 443)

Esses protocolos Horizon secundários devem ser encaminhados ao mesmo appliance do Access Point ao qual o protocolo Horizon primário foi encaminhado. O Unified Access Gateway pode então autorizar os protocolos secundários com base na sessão de usuário autenticada. Uma capacidade importante de segurança do Unified Access Gateway é que o Unified Access Gateway somente encaminha o tráfego ao centro de dados corporativo se o tráfego estiver em nome de um usuário autenticado. Se o protocolo secundário for encaminhado erroneamente a um appliance do Unified Access Gateway diferente do appliance do protocolo primário, ele não será autorizado e será colocado na DMZ. A conexão falha. O encaminhamento incorreto de protocolos secundários será um problema comum se o balanceador de carga não estiver configurado corretamente.