对于作为 Horizon 解决方案一部分部署的 Unified Access Gateway (UAG)、Horizon Connection Server 和 App Volumes Manager,可以使用 NSX Advanced Load Balancer 作为其负载均衡器。
可以使用以下方法对流向 UAG 的外部流量进行负载均衡:
部署方法 |
建议/旧版 |
注释 |
|---|---|---|
建议用于 NAT 环境中的用例(NAT 后面的用户或 NAT 后面的 UAG 服务器) |
此方法不依赖于源 IP 关联性,因此在单个 NAT(Edge 站点)后面存在客户端且所有连接都提供相同的源 IP 地址的情况下,该方法可以很好地发挥作用。 |
|
对于辅助协议,如果要求绕过 NSX Advanced Load Balancer,则建议使用此方法 |
||
旧版 |
在 NAT 后面存在客户端的情况下,它无法正常工作。 |
|
旧版 |
||
对于合规性用例,建议使用此方法 |
对于 HIPAA/NIST 合规性和智能卡身份验证而言,需要此方法 |
使用 307 重定向的具有两个虚拟服务的单个 VIP
- 描述
-
在此设计中,将使用在 NSX Advanced Load Balancer 负载均衡器上配置的单个 VIP 来处理主协议和辅助协议。虚拟 IP (VIP) 将监听 HTTPS:443 和辅助协议所需的 TCP/UDP 端口。
负载均衡器使用作为 307 重定向机制的一部分设置的主机标头,将辅助协议路由到与为主 Horizon 协议选择的同一 UAG 设备,如此处所述。由于这不依赖于源 IP 关联性,因此在单个 NAT(Edge 站点)后面存在许多客户端且所有连接都提供相同的源 IP 地址的情况下,该方法可以很好地发挥作用。这是用于 UAG 负载均衡的建议设计选项。
有关更多信息,请参阅具有两个虚拟服务的单个 VIP(使用 307 重定向)。
- 用例
-
所有典型的 L7 部署
- 优点
-
不需要多个公用虚拟 IP 地址。
将 L7 虚拟服务用于 HTTPS-XML,可以获取往来于 NSX Advanced Load Balancer 的丰富分析和日志,以提供对连接的见解
易于配置和部署。
使用 307 重定向解决方案的 (n+1) VIP
除了主负载均衡 NSX Advanced Load Balancer VIP 外,此方法还将单个虚拟 IP (VIP) 专用于每个设备。只有初始请求会通过 NSX Advanced Load Balancer,如果存在两个 UAG 设备,则需要三个 VIP。HTTPS 端口 443 上的主 Horizon 协议在 NSX Advanced Load Balancer 上进行负载均衡,以根据运行状况和负载将会话分配给特定的 UAG 设备。辅助协议可以绕过负载均衡器并直接传输到 UAG。必须在每个 UAG 上将 Blast 和 PCoIP 外部 URL 配置为指向自身。在此类部署中,主协议只需要一个 VIP。
有关更多信息,请参阅使用 307 解决方案对 (n+1) 模式中的 Horizon 环境进行负载均衡。
- 注意事项
-
除了主负载均衡 VIP 外,还需要为每个 UAG 设备提供一个额外的面向公众的 IP。
- 优点
-
不依赖于源 IP 关联性。
具有两个虚拟服务的单个 VIP
在此设计中,将使用在 NSX Advanced Load Balancer 负载均衡器上配置的单个 VIP 来处理主协议和辅助协议。虚拟 IP (VIP) 将监听 HTTPS:443 和辅助协议所需的 TCP/UDP 端口。
负载均衡器使用源 IP 关联性将辅助协议路由到与为主 Horizon 协议选择的同一 UAG 设备。
如果源 IP 关联性不是您环境的最佳选择,请参考其他适用的部署方法。
隧道外部 URL、Blast 外部 URL 和 PCoIP (PC over IP) 外部 URL 必须在 UAG 上配置为负载均衡器 VIP/完全限定域名 (FQDN)。
- 优点
-
不需要多个公用虚拟 IP 地址
将 L7 虚拟服务用于 HTTPS-XML,可以获取往来于 NSX Advanced Load Balancer 的丰富分析和日志,以提供对连接的见解
易于配置和部署
通过对 HTTPS XML 和隧道使用 L7,使用户能够获取往来于 NSX Advanced Load Balancer 的丰富分析和日志,以便提供对连接的见解。
- 注意事项
-
依赖于源 IP 地址关联性,而这种关联性并非始终可行。如果在单个 NAT(Edge 站点)后面存在许多客户端且所有连接都提供相同的源 IP 地址,则源 IP 关联性不起作用。
单个 L4 虚拟服务
此配置选项使用单个虚拟 IP (VIP),并且在 TCP 或 UDP 级别完成负载均衡。
- 用例
-
如果需要智能卡身份验证,则使用 TLS 直接将客户端证书从客户端传递到 UAG,并且不能存在中间 TLS 终止器
需要符合 HIPAA 或 NIST 的要求。此部署将符合 HIPAA 或 NIST 的要求,因为 UAG 将终止 SSL
需要单个公用 VIP 和标准端口号,因为我们可以在主协议和辅助协议之间使用源 IP 关联性
- 优点
-
不需要多个公用 VIP 地址
易于配置和部署
- 注意事项
-
在 NSX Advanced Load Balancer 上将无法对 HTTPS-XML 主协议进行丰富的分析
依赖于源 IP 地址关联性,而这种关联性并非始终可行。如果在单个 NAT(Edge 站点)后面存在许多客户端且所有连接都提供相同的源 IP 地址,则源 IP 关联性不起作用
(n+1) VIP
如果源 IP 关联性不是环境(例如,Horizon 部署在单个网络地址转换 IP 后面的 Edge 站点上)的期望选项,则可以使用此方法通过 NSX Advanced Load Balancer 对 Unified Access Gateway (UAG) 进行负载均衡。
除了主负载均衡 NSX Advanced Load Balancer VIP 外,此方法还将单个虚拟 IP (VIP) 专用于每个设备。如果存在两个 UAG 设备,则需要三个 VIP。
HTTPS 端口 443 上的主 Horizon 协议在 NSX Advanced Load Balancer 上进行负载均衡,以根据运行状况和负载将会话分配给特定的 UAG 设备。
隧道外部 URL、Blast 外部 URL 和 PCoIP 外部 URL 必须配置为相应的 UAG IP,因为 UAG 会绕过负载均衡器直接接收流量。
- 注意事项
-
除了主负载均衡 VIP 外,还需要为每个 UAG 设备提供一个额外的面向公众的 VIP
通过对 HTTPS -XML 和隧道使用 L7,使用户能够获取往来于 NSX Advanced Load Balancer 的丰富分析和日志,以便提供对连接的见解
辅助协议可以绕过负载均衡器,直接传输到 UAG。必须在每个 UAG 上将 Blast 和 PCoIP 外部 URL 配置为指向自身。
在此类部署中,主协议只需要一个 VIP。
- 优点
-
不依赖于源 IP 关联性
使用标准端口号
