本文简要介绍 Universal Broker,它是 Horizon 控制平面服务之一。Universal Broker 是一种基于云的服务,支持跨多个容器部署代理资源,而不考虑它们在哪个基础架构上运行。该服务还可根据用户和容器的地理站点制定智能代理决策。
Universal Broker概述
Universal Broker 是 VMware 提供的基于云的最新代理技术,可在租户具有以下一项或多项时使用:
- Horizon 容器 - 基于 Horizon Connection Server 技术的容器
- Horizon Cloud on Microsoft Azure 容器,且所有这些容器都运行容器清单 2298.0 或更高版本。
有关 Universal Broker 解决方案的各系统组件如何协同工作以管理用户对分配的连接请求的详细信息,请参阅Universal Broker的系统架构和组件。
主要功能
Universal Broker提供了以下关键功能:
- 用于所有远程资源的单个连接 FQDN
最终用户可以通过连接到在 Universal Broker配置设置中定义的完全限定域名 (FQDN) 来访问环境中的多云分配。通过单个 Universal Broker FQDN,用户可以从您环境内任何站点的任何参与容器中访问分配。容器之间不需要内部网络连接。
- 通过全局容器连接和感知可获得最佳的性能
Universal Broker可与参与多云分配的每个容器保持直接连接,并感知每个容器的可用性状态。因此,Universal Broker 可以管理最终用户的连接请求,并将其直接从这些容器路由到虚拟资源。无需全局服务器负载均衡 (Global Server Load Balancing, GSLB) 或可能会导致性能下降和延迟问题的任何容器间网络通信。
- 智能代理
根据对地理站点和容器拓扑的感知能力,Universal Broker 可以通过最短的网络路由向最终用户代理分配中的资源。
代理与最终用户桌面池和远程应用程序
分配是 Horizon Universal Console 中的概念实体。使用控制台,您可以通过分配定义最终用户虚拟桌面和远程应用程序池,并将其授权给最终用户。例如,在控制台中,您可以创建 VDI 桌面分配或 RDSH 资源分配,然后将这些分配授权给最终用户。
Universal Broker 管理客户端用户对授权分配的连接请求,并协商与满足该请求的相应资源的连接会话。Universal Broker 可识别地理位置和容器拓扑。使用此信息,Universal Broker 会根据站点配置和资源可用性搜索可满足用户连接请求的最佳资源。
有关按容器类型划分的可用分配类型列表,请参阅以下各节。
使用部署到 Microsoft Azure 的 Horizon Cloud 容器中的资源的最终用户分配
为容器群中的 Horizon Cloud 容器完成 Universal Broker 配置后,可以使用以下分配类型:
- 多云分配,包含一个或多个 Horizon Cloud 容器中的 VDI 桌面。有关更多信息,请参阅Microsoft Azure 中的 Horizon Cloud 容器 - 在第一代环境中创建和查看 VDI 多云分配。
- 会话桌面分配,包含来自单个 Horizon Cloud 容器内的 Microsoft 远程桌面服务 (RDS) 主机的基于会话的桌面。有关更多信息,请参阅Horizon Cloud 容器 - 通过创建基于 RDS 的会话桌面分配,为最终用户提供来自 RDS 主机的桌面会话。
- 远程应用程序分配,包含由 Horizon Cloud 容器内的 RDS 主机置备的应用程序。有关更多信息,请参阅远程应用程序 - 为 Microsoft Azure 中的 Horizon Cloud 容器置备的远程应用程序创建远程应用程序分配。
- App Volumes 应用程序分配,包含在 Horizon Cloud 容器内的 VDI 桌面上托管的 App Volumes 应用程序。有关更多信息,请参阅Horizon Cloud - 创建 App Volumes 分配。
使用连接到云的 Horizon 容器中的资源的最终用户分配
为容器群中的 Horizon 容器完成 Universal Broker 配置后,可以使用以下分配类型:
- 多云分配,包含一个或多个 Horizon 容器中的 VDI 桌面。有关基于 Horizon Cloud 租户的连接到云的 Horizon 容器中的资源配置多云分配的概述信息,请参阅第一代 Horizon Cloud Universal Broker 和多云分配。
- 会话桌面分配,包含来自单个 Horizon 容器内的 Microsoft 远程桌面服务 (RDS) 主机的基于会话的桌面。有关更多信息,请参阅Horizon 容器 - 为 Universal Broker 环境配置 RDSH 桌面和应用程序。
- 远程应用程序分配,包含由单个 Horizon 容器内的 RDS 主机置备的应用程序。有关更多信息,请参阅Horizon 容器 - 为 Universal Broker 环境配置 RDSH 桌面和应用程序。
注释
与几乎所有软件一样,当前版本具有一些功能注意事项和已知限制。有关更多信息,请参阅Universal Broker - 功能注意事项和已知限制。
Universal Broker的系统架构和组件
本文详细介绍了 Universal Broker 的系统组件,这些组件在参与容器和 Horizon Cloud 控制平面中运行。Universal Broker 是 VMware 推出的最新的基于云的代理技术,也是推荐用于新部署中的最终用户分配的连接代理。
有关 Universal Broker主要功能的概述,请参阅VMware Horizon Service Universal Broker 简介。
根据代理的资源是位于 Horizon 容器(基于 Horizon Connection Server 技术)中还是 Microsoft Azure 中的 Horizon Cloud 容器中,Universal Broker 解决方案的系统架构会略有不同。
适用于 Horizon 容器的Universal Broker系统架构
对于从 Horizon 容器(基于 Horizon Connection Server 技术)创建的多云分配的基于云的代理,Universal Broker 解决方案包含以下组件。
- Universal Broker服务是一种多租户云服务,在与 Horizon Cloud 相连接的 Universal Broker云中运行。每个客户可使用按 配置 Universal Broker 设置 中所述方式配置的唯一专用 FQDN 连接到 Universal Broker服务。
- Universal Broker客户端在每个连接到云的 Horizon 容器的 Horizon Cloud Connector 内运行。从该连接器版本 1.5 开始,Universal Broker 客户端是该连接器的一部分,并在您将 Horizon Cloud Connector 与容器配对时自动安装。
- Universal Broker 插件在参与多云分配的每个连接到云的容器的 Horizon Connection Server 内运行。您必须按照Horizon 容器 - 在连接服务器上安装 Universal Broker 插件中的描述,在参与容器内的每个连接服务器实例上下载并安装该插件。
下图显示了 Universal Broker 如何与 Horizon 容器环境中的组件配合使用,以管理外部最终用户对分配中的远程资源发出的连接请求。
- 从 Horizon Client 中,最终用户通过代理 FQDN 连接到 Universal Broker服务来请求虚拟桌面。该服务使用 XML-API 协议对 Horizon Client 用户进行身份验证并管理连接会话。
- 确定站点 1 中的容器 1 是桌面的最佳可用源后,Universal Broker服务会向在与容器 1 配对的 Horizon Cloud Connector 上运行的 Universal Broker客户端发送消息。
- Universal Broker 客户端会将该消息转发到在容器 1 内的每个连接服务器实例上运行的 Universal Broker 插件。
- Universal Broker 插件将确定可满足最终用户请求的最佳可用桌面。
- Universal Broker服务将响应返回到 Horizon Client,响应中包含容器 1 的唯一 FQDN(通常是容器 1 负载均衡器的 FQDN)。Horizon Client 与相应负载均衡器建立连接,以请求与桌面建立协议会话。
- 在通过本地负载均衡器后,请求会转到容器 1 的 Unified Access Gateway。Unified Access Gateway 验证请求是否受信任,并准备 Blast 安全网关、PCoIP 安全网关和安全加密链路服务器。
- Horizon Client 用户接收指定的桌面,并根据配置的辅助协议(Blast Extreme、PCoIP 或 RDP)建立会话。
有关Universal Broker通信所使用的端口的更多信息,请参阅Horizon 容器 - Universal Broker 的 DNS、端口和协议要求。
适用于 Microsoft Azure 中的 Horizon Cloud 容器的 Universal Broker 系统架构
对于 Microsoft Azure 中的 Horizon Cloud 容器,为 VDI 和 RDSH 分配提供的 Universal Broker 基于云的代理解决方案包含以下组件。
- Universal Broker服务是一种多租户云服务,在与 Horizon Cloud 相连接的 Universal Broker云中运行。每个客户可使用按 配置 Universal Broker 设置 中所述方式配置的唯一专用 FQDN 连接到 Universal Broker服务。
- Universal Broker 客户端会在 Microsoft Azure 中的每个参与 Horizon Cloud 容器内运行。
- 从 Horizon Client 中,最终用户通过代理 FQDN 连接到Universal Broker服务来请求虚拟资源。该服务使用 XML-API 协议对 Horizon Client 用户进行身份验证并管理连接会话。
- 确定站点 1 中的容器 1 是最符合用户请求的可用资源后,Universal Broker服务会向在容器 1 中运行的Universal Broker客户端发送一条消息。
- Universal Broker客户端将该消息转发到容器 1 中的活动容器管理器。
- 活动容器管理器将确定可满足最终用户请求的最佳可用资源。
- Universal Broker服务将响应返回到 Horizon Client,响应中包含容器 1 的唯一 FQDN(通常是容器 1 的 Microsoft Azure 负载均衡器的 FQDN)。Horizon Client 与相应负载均衡器建立连接,以请求与资源建立协议会话。
- 在通过 Microsoft Azure 负载均衡器后,请求会转到容器 1 的 Unified Access Gateway。Unified Access Gateway 验证请求是否受信任,并准备 Blast 安全网关、PCoIP 安全网关和安全加密链路服务器。
- Horizon Client 用户接收指定的资源,并根据配置的辅助协议(Blast Extreme、PCoIP 或 RDP)建立会话。
有关用于Universal Broker通信的端口的更多信息,请参阅使用 2019 年 9 月版本的清单或更高版本的 Horizon Cloud 容器的端口和协议要求中的 “Universal Broker 所需的端口和协议”部分。
Universal Broker - 功能注意事项和已知限制
此文档页面提供了一些与 Universal Broker 相关的功能注意事项,并列出了仅受有限支持或不受支持的 Horizon 功能。
功能注意事项
- 在同时包含 Horizon 容器和 Horizon Cloud 容器的容器群中,您创建的每个最终用户分配必须包含仅来自一种容器类型的 VDI 桌面。例如,您创建的分配中所包含的桌面可以跨多个 Horizon 容器,或者跨多个 Horizon Cloud 容器。但是,您创建的分配中所包含的桌面不能同时跨 Horizon 容器和 Horizon Cloud 容器。
- 如果您已将租户从单容器代理配置转换到 Universal Broker,则还需要考虑其他注意事项。请参阅在转换到 Universal Broker 后租户环境中的新增内容。
每个 VDI 多云分配具有的最大容器数限制
一个 VDI 多云分配中容器数量的支持上限为五 (5) 个。此限制同时适用于 Horizon Connection Server 类型的容器以及 Horizon Cloud on Microsoft Azure 类型的容器。如果使用的容器超过五个,则会增加 Universal Broker 上的并发负载。如果增加并发负载,可能会导致最终用户在单击客户端中显示的分配图块时,以及在服务尝试将用户登录到虚拟桌面时遇到失败问题。
虚拟资源
要代理虚拟资源,此版本的 Universal Broker 仅支持 Windows 操作系统。不支持基于 Linux 的桌面。
此版本不支持由管理员创建的桌面和应用程序快捷方式。
Horizon HTML Access 和适用于 Chrome 的 Horizon Client
最终用户可以通过在受支持的 Web 浏览器中运行 Horizon HTML Access 或通过运行适用于 Chrome 的 Horizon Client 5.4 或更高版本来向 Universal Broker 服务请求资源。如果 Universal Broker 服务将请求重定向到使用自签名证书的 Unified Access Gateway 实例,则客户端应用程序将显示一条错误消息,指明证书颁发机构无效。
此行为依设计而定。要连接到请求的资源,用户可以按照证书错误消息中的提示接受自签名证书。
身份验证方法
此版本的Universal Broker支持通过 Windows 用户名和密码采用 UPN 和 NETBIOS 格式进行客户端用户身份验证。
还支持通过 RADIUS 或 RSA 进行双因素身份验证,具体取决于租户容器群的当前状态,如以下列表中所示。
另外还请查看以下章节,其中介绍了在最终用户客户端中使用 Universal Broker 并配置了双因素身份验证时的体验。当前行为与直接使用容器的网关 FQDN 时的行为不同。
- 仅具有 Horizon 容器
- 同时支持 RADIUS 和 RSA SecurID 身份验证。
- 仅具有 Horizon Cloud on Microsoft Azure 部署
- 如果所有容器的清单版本均为 3139.x 或更高版本,并且在容器上运行“编辑容器”向导时 RSA SecurID 和 RADIUS 选项可见且可供选择,则同时支持 RSA SecurID 和 RADIUS 身份验证。否则,仅支持 RADIUS 类型。
- 同时具有 Horizon 容器和 Horizon Cloud on Microsoft Azure 部署
-
在混合容器群中,受支持的身份验证类型取决于您的
Horizon Cloud on Microsoft Azure 部署是否满足在其上配置 RSA SecurID 选项的条件:
- 如果 Horizon Cloud on Microsoft Azure 部署不满足这些条件,则仅支持 RADIUS 身份验证。
- 如果 Horizon Cloud on Microsoft Azure 部署满足这些条件,则同时支持 RADIUS 和 RSA SecurID 身份验证。
要满足的条件是,容器运行的是清单 3139.x 或更高版本,并且当您在容器上打开“编辑容器”向导时,RSA SecurID 选项和 RADIUS 选项可见且可供选择。
配置了双因素身份验证时
当涉及双因素身份验证时,最终用户在使用 Universal Broker FQDN 时体验到的身份验证流程将与在直接使用容器的网关 FQDN 时的流程略有不同。
- 在 Universal Broker 身份验证流程中,系统将提示最终用户输入两次 Windows Active Directory (AD) 凭据:一次是在首次连接到 Universal Broker FQDN 时,另一次是在配置的 RADIUS 或 RSA SecurID 系统中成功完成双因素身份验证后。
- 使用容器的网关身份验证流程时,在最终用户首次连接到容器的网关 FQDN 时,系统会提示他们输入一次 Windows Active Directory (AD) 凭据。
当前不受支持的用户身份验证和访问方法
当前不支持以下用户身份验证和访问方法。
- 智能卡
- 证书
- SAML 身份验证(不包括与 VMware Workspace ONE 的集成)
- 以当前用户身份登录
- 匿名访问
当其中一个不受支持的项目符合支持条件时,其条目将从前面的列表中移除,并且支持公告将在标题为适用于使用现有连接到云的容器的当前客户 - 关于 Horizon Cloud Service 版本的页面中声明。在该页面中,该声明将列在与添加了支持的版本相对应的部分中。
远程桌面功能
此版本的Universal Broker不支持以下功能:
- URL 内容重定向
- 会话协作
其他功能
此外,此版本的Universal Broker也不支持以下功能:
- Kiosk 模式
- 计时配置文件(用于对用户会话进行故障排除)
- 基于 OPSWAT 的端点合规性检查