下图展示了两个与 Horizon Cloud Service 的网络连接选项:一是没有 VPN 连接的孤立租户,另一个是通过 VPN 连接到您内部部署数据中心的租户。

下图中还引入了 Horizon Cloud Service 租户设备和 Unified Access Gateway 设备,以及实用程序服务器。

图 1. 租户网络基础架构示例

了解区域

Horizon Cloud Service on IBM Cloud 建立了一些区域来根据功能分隔不同资源。Horizon Cloud Service 具有三个区域。每个区域对于每个 Horizon Cloud Service 部署而言都是唯一的,并且不共享。

区域 描述
安全区域 外部 Unified Access Gateway 设备所在的隔离安全区域 (DMZ)。它有助于对 Horizon Cloud Service 租户环境进行安全的远程访问。
服务区域 托管 Horizon Cloud Service 的区域,其中包括租户设备、实用程序服务器和内部 Unified Access Gateway 设备
桌面区域 托管桌面和 RDSH 服务器的区域

Horizon Cloud Service 设备

租户设备包括您的 Horizon Cloud Service 管理控制台、Horizon Cloud Service 用户门户、帐户配置数据库和桌面映射,以及域加入信息。Unified Access Gateway 设备允许通过内部连接和外部连接安全访问 Horizon Cloud Service 虚拟桌面和 RDSH 托管的应用程序。为实现冗余和高可用性,每类设备都将部署两个。

设备 描述
租户设备 一种强化的 Linux 设备,可提供桌面和应用程序代理、置备和授权服务。此类设备托管属于服务区域的最终用户门户和管理门户,并向服务提供商传达状态信息。
Unified Access Gateway 一种强化的 Linux 设备,可在 Horizon Cloud Service 环境中提供安全的远程访问。它是安全区域(适用于外部 Horizon Cloud Service 访问)和服务区域(适用于内部 Horizon Cloud Service 访问)的一部分。
实用程序服务器 默认情况下,实用程序服务器是免费提供的可选项,除非在服务说明中另有说明。实用程序服务器可以是在 Horizon Cloud Service 租户中配置各种服务的 Active Directory、DNS、DHCP、UEM 或文件服务器,而且会连接到您的网络(服务区域)。
Edge Gateway 设备 一种网关,可提供网络边缘安全和网关服务以隔离安全区域和虚拟化网络以及 NAT、DHCP、VPN 和负载平衡器。

网络安全

对于桌面、RDSH 服务器和管理设备所在的 Horizon Cloud Service 租户,Horizon Cloud Service 使用 Edge Gateway 设备来管理进出租户的 VPN 和 Direct Connect 连接以及任何管理设备流量。

如果管理设备和组织的网络环境之间需要额外的缓冲,请考虑部署由企业管理的防火墙策略,只要为内部和远程用户以及这些用户所需的所有应用程序或服务启用了所有必需的端口。

了解 Unified Access Gateway

VMware Unified Access Gateway(以前称为 VMware Access Point)是一种强化的 Linux 虚拟设备,允许对 Horizon Cloud Service 环境进行安全的远程访问。如果您的用户通过公共 Internet 进行外部连接,则所产生的流量不论是基于 Web 还是基于协议的,都将被发送到外部 Unified Access Gateway。在您连接到 Horizon Cloud Service 环境时,Unified Access Gateway 将充当安全代理。外部 Unified Access Gateway 将通过代理传递 Horizon Cloud Service 与安全区域之间的来往流量。安全区域是一个 DMZ 网络安全结构体,可向外部提供组织的一部分网络访问权限,但会实施严格的规则来规范对组织网络内资源的访问。在内部用户连接到 Horizon Cloud Service 环境时,所产生的流量将发送到位于服务区域中的内部 Unified Access Gateway 设备。