您可以实施几种不同的拓扑之一。

可以将 DMZ 中的 Access Point 设备配置为指向一个服务器,或指向一组服务器前面的负载平衡器。Access Point 设备可以使用为 HTTPS 配置的标准第三方负载平衡解决方案。

如果 Access Point 设备指向服务器前面的负载平衡器,则会动态选择服务器实例。例如,负载平衡器可能会根据可用性以及负载平衡器识别的每个服务器实例上的当前会话数进行选择。位于企业防火墙内部的服务器实例通常具有负载平衡器以支持内部访问。在使用 Access Point 时,您可以将 Access Point 设备指向通常已使用的该相同负载平衡器。

或者,您也可以将一个或多个 Access Point 设备指向单个服务器实例。在这两种方法中,将在 DMZ 中的一个或多个 Access Point 设备前面使用负载平衡器。

图 1. 多个 Access Point 设备位于负载平衡器后面

Horizon 协议

在 Horizon Client 用户连接到 Horizon 环境时,将使用几种不同的协议。第一个连接始终是通过 HTTPS 的主 XML-API 协议。在成功进行身份验证后,还会使用一个或多个辅助协议。

  • 主 Horizon 协议

    用户在 Horizon Client 中输入主机名,这会启动主 Horizon 协议。这是用于身份验证、授权和会话管理的控制协议。它通过 HTTPS(通过 SSL 的 HTTP)使用 XML 结构化消息。该协议有时称为 Horizon XML-API 控制协议。在负载平衡环境中(如上面的“多个 Access Point 设备位于负载平衡器后面”图中所示),负载平衡器将该连接路由到其中的一个 Access Point 设备。负载平衡器通常先根据可用性选择设备,然后根据最少当前会话数从可用设备中路由流量。该配置在一组可用的 Access Point 设备之间平均分配各种客户端中的流量。

  • 辅助 Horizon 协议

    在 Horizon Client 与其中的一个 Access Point 设备建立安全通信后,将对用户进行身份验证。如果该身份验证尝试成功,则从 Horizon Client 中建立一个或多个辅助连接。这些辅助连接可能包括:

      • 用于封装 TCP 协议(例如,RDP、MMR/CDR)和客户端框架通道的 HTTPS 加密链路。(TCP 443)。

      • Blast Extreme 显示协议(TCP 443 和 UDP 443)。

      • PCoIP 显示协议(TCP 4172 和 UDP 4172)。

必须将这些辅助 Horizon 协议路由到将主 Horizon 协议路由到的同一 Access Point 设备。然后,Access Point 可以根据经过身份验证的用户会话授权辅助协议。Access Point 的一个重要安全功能是,只有在流量是经过身份验证的用户产生的流量时,Access Point 才会将流量转发到企业数据中心。如果错误地将辅助协议路由到与主协议设备不同的 Access Point 设备,则不会授权这些协议并在 DMZ 中丢弃。连接将失败。如果未正确配置负载平衡器,则通常会出现错误地路由辅助协议的问题。