Die folgende Abbildung zeigt zwei Optionen für die Netzwerkkonnektivität zu Horizon Cloud Service: einen Inselmandanten ohne VPN-Konnektivität und einen Mandanten mit VPN-Konnektivität, der mit Ihrem lokalen Datencenter verbunden wird.

Im folgenden Diagramm werden auch die Horizon Cloud Service-Mandanten-Appliances und Unified Access Gateway-Appliances sowie Utility Server gezeigt.

Abbildung 1. Beispiel für eine Mandanten-Netzwerkarchitektur

Grundlegendes zu Zonen

Horizon Cloud Service on IBM Cloud richtet Zonen ein, die die verschiedenen Ressourcen basierend auf ihrer Funktion aufteilen. Horizon Cloud Service verfügt über drei Zonen. Jede Zone ist für die einzelnen Horizon Cloud Service-Bereitstellungen eindeutig und nicht freigegeben.

Zone Beschreibung
Sicherheitszone Eine demilitarisierte Sicherheitszone (DMZ), in der sich die externen Unified Access Gateway-Appliances befinden. Diese erleichtert den sicheren Remotezugriff auf die Horizon Cloud Service-Mandantenumgebung.
Dienstzone Hier wird Horizon Cloud Service gehostet, einschließlich Mandanten-Appliances, Utility Servern und internen Unified Access Gateway-Appliances
Desktop-Zone Hostet die Desktops und RDSH-Server

Horizon Cloud Service-Appliances

Die Mandanten-Appliance enthält die Horizon Cloud Service-Verwaltungskonsole, das Horizon Cloud Service-Benutzerportal, die Konto-Konfigurationsdatenbank und Desktop-Zuordnungen sowie Informationen zum Domänenbeitritt. Die Unified Access Gateway-Appliance ermöglicht den sicheren Zugriff sowohl für interne als auch für externe Verbindungen zu virtuellen Desktops und RDSH-gehosteten Anwendungen von Horizon Cloud Service. Für Redundanz und Hochverfügbarkeit werden zwei von jeder Appliance bereitgestellt.

Appliance Beschreibung
Mandanten-Appliance Eine gehärtete Linux-Appliance, die Dienste für das Brokering, das Provisioning und die Berechtigung von Desktops und Anwendungen bietet. Sie hostet die Endbenutzer- und Verwaltungsportale, die Teil der Dienstzone sind, und kommuniziert Statusinformationen an den Dienstanbieter.
Unified Access Gateway Eine gehärtete Linux-Appliance, die den sicheren Remotezugriff auf die Horizon Cloud Service-Umgebung ermöglicht. Sie ist Teil der Sicherheitszone (für den externen Zugriff auf Horizon Cloud Service) und der Dienstzone (für den internen Zugriff auf Horizon Cloud Service).
Utility Server Ein Utility Server wird standardmäßig kostenlos bereitgestellt und ist optional, sofern in der Dienstbeschreibung nicht anderweitig angegeben. Utility Server können Active Directory-, DNS-, DHCP-, UEM- oder Dateiserver sein, die Dienste im Horizon Cloud Service-Mandanten bereitstellen und mit Ihrem Netzwerk (Dienstzone) verbunden sind.
Edge Gateway-Appliance Ein Gateway, das Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung von Sicherheitszonen und virtualisierten Netzwerken zusammen mit NAT, DHCP, VPN und einem Lastausgleichsdienst bereitstellt.

Netzwerksicherheit

Horizon Cloud Service verwendet eine Edge Gateway-Appliance, um die VPN- und Direct Connect-Konnektivität sowie etwaigen Managementdatenverkehr in und aus dem Horizon Cloud Service-Mandanten zu verwalten, auf dem sich die Desktops, RDSH-Server und Management-Appliances befinden.

Wenn Sie einen zusätzlichen Puffer zwischen den Management-Appliances und der Netzwerkumgebung Ihrer Organisation wünschen, sollten Sie eine intern verwaltete Firewall-Richtlinie bereitstellen, solange alle erforderlichen Ports für interne und Remotebenutzer und alle Anwendungen oder Dienste aktiviert sind, die von diesen Benutzern benötigt werden.

Grundlegendes zu Unified Access Gateway

VMware Unified Access Gateway (ehemals VMware Access Point) ist eine gehärtete virtuelle Linux-Appliance, die einen sicheren Remotezugriff auf die Horizon Cloud Service-Umgebung ermöglicht. Wenn Ihre Benutzer eine externe Verbindung über das öffentliche Internet verwenden – unabhängig davon, ob der Datenverkehr web- oder protokollbasiert ist – wird der Datenverkehr an das externe Unified Access Gateway gesendet. Unified Access Gateway fungiert als sicherer Proxy für Ihre Verbindung mit der Horizon Cloud Service-Umgebung. Das externe Unified Access Gateway fungiert als Proxy für den Horizon Cloud Service-Datenverkehr zu und von der Sicherheitszone. Die Sicherheitszone ist ein DMZ-Netzwerksicherheitskonstrukt, das ein Segment des Netzwerkzugriffs Ihrer Organisation nach außen weitergibt, jedoch nur unter Einhaltung strikter Regeln, die den Zugriff auf die in Ihrem Netzwerk enthaltenen Elemente regulieren. Für interne Benutzer, die sich mit der Horizon Cloud Service-Umgebung verbinden, wird der Datenverkehr an die internen Unified Access Gateway-Appliances gesendet, die sich in der Dienstzone befinden.