Puede implementar cualquiera de las muchas topologías distintas.

Los dispositivos de Access Point de la DMZ se pueden configurar para que se dirijan a un servidor o a un equilibrador de carga que lidere un grupo de servidores. Los dispositivos de Access Point funcionan con soluciones estándar de equilibrio de carga externas que se configuran para HTTPS.

Si el dispositivo de Access Point se dirige a un equilibrador de carga que lidera a los servidores, la selección de la instancia del servidor será dinámica. Por ejemplo, es posible que el equilibrador de carga realice una selección en función de la disponibilidad y del conocimiento que tenga con respecto al número de sesiones en curso de cada instancia del servidor. Las instancias del servidor incluidas en el firewall corporativo suelen tener un equilibrador de carga para permitir el acceso interno. Con Access Point podrá dirigir el dispositivo de Access Point al mismo equilibrador de carga que generalmente se está utilizando.

También es posible que uno o varios dispositivos de Access Point se dirijan a una instancia individual del servidor. En ambos casos, utilice un equilibrador de carga que lidere a dos o más dispositivos de Access Point en la DMZ.

Figura 1. Varios dispositivos de Access Point detrás de un equilibrador de carga

Protocolos de Horizon

Cuando un usuario de Horizon Client se conecta a un entorno de Horizon, se utilizan varios protocolos distintos. La primera conexión es siempre el protocolo principal XML-API sobre HTTPS. Si la autenticación es correcta, también se utilizan uno o varios protocolos secundarios.

  • Protocolo principal de Horizon

    El usuario introduce un nombre de host en Horizon Client y con esto se inicia el protocolo principal de Horizon. Se trata de un protocolo de control para autorización de autenticación y administración de sesión. Utiliza mensajes XML estructurados sobre HTTPS (HTTP sobre SSL). Este protocolo se conoce en ocasiones como el protocolo de control XML-API de Horizon. En un entorno con equilibrado de carga, tal y como se muestra más arriba en la figura Varios dispositivos de Access Point detrás de un equilibrador de carga, el equilibrador de carga dirige esta conexión a uno de los dispositivos de Access Point. El equilibrador de carga suele seleccionar el dispositivo en primer lugar, basándose en la disponibilidad y, a continuación, entre los dispositivos disponibles, dirige el tráfico en función del menor número de sesiones existentes. Esta configuración distribuye uniformemente el tráfico de los distintos clientes entre el conjunto de dispositivos disponibles de Access Point

  • Protocolos secundarios de Horizon

    Una vez que Horizon Client establece una comunicación segura con uno de los dispositivos de Access Point, el usuario se autentica. Si este intento de autenticación no falla, se realizan una o varias conexiones secundarias desde Horizon Client. Estas conexiones secundarias pueden incluir lo siguiente:

      • Túnel HTTPS utilizado para encapsular protocolos TCP como RDP, MMR/CDR y el canal de marco de cliente. (TCP 443).

      • Protocolo de visualización Blast Extreme (TCP 443 y UDP 443).

      • Protocolo de visualización PCoIP (TCP 4172 y UDP 4172).

Estos protocolos secundarios de Horizon se deben dirigir al mismo dispositivo de Access Point al que se dirigió el protocolo principal de Horizon. Access Point podrá entonces autorizar los protocolos secundarios en función de la sesión del usuario autenticado. Una característica importante de seguridad de Access Point es que solo reenvía el tráfico al centro de datos corporativo si el tráfico se dirige en nombre de un usuario autenticado. Si los protocolos secundarios se dirigen de forma incorrecta a un dispositivo de Access Point distinto al dispositivo del protocolo principal, no estarán autorizados y se enviarán a la DMZ. Se producirá un error de conexión. Un problema frecuente es que los protocolos secundarios se dirigen de forma incorrecta si el equilibrador de carga no está configurado correctamente.