Los dispositivos de Unified Access Gateway de la DMZ se pueden configurar para que se dirijan a un servidor o a un equilibrador de carga que lidere un grupo de servidores. Los dispositivos de Unified Access Gateway funcionan con soluciones estándar de equilibrio de carga externas que se configuran para HTTPS.
Si el dispositivo de Unified Access Gateway se dirige a un equilibrador de carga que lidera a los servidores, la selección de la instancia del servidor será dinámica. Por ejemplo, es posible que el equilibrador de carga realice una selección en función de la disponibilidad y del conocimiento que tenga con respecto al número de sesiones en curso de cada instancia del servidor. Las instancias del servidor incluidas en el firewall corporativo suelen tener un equilibrador de carga para permitir el acceso interno. Con Unified Access Gateway podrá dirigir el dispositivo de Unified Access Gateway al mismo equilibrador de carga que generalmente se está utilizando.
También es posible que uno o varios dispositivos de Unified Access Gateway se dirijan a una instancia individual del servidor. En ambos casos, utilice un equilibrador de carga que lidere a dos o más dispositivos de Unified Access Gateway en la DMZ.
Protocolos de Horizon
- Protocolo principal de Horizon
El usuario introduce un nombre de host en Horizon Client y con esto se inicia el protocolo principal de Horizon. Se trata de un protocolo de control para autorización de autenticación y administración de sesión. El protocolo utiliza mensajes estructurados XML sobre HTTPS. Este protocolo se conoce en ocasiones como el protocolo de control XML-API de Horizon. En un entorno con equilibrado de carga, tal y como se muestra en la figura Varios dispositivos de Unified Access Gateway detrás de un equilibrador de carga, el equilibrador de carga dirige esta conexión a uno de los dispositivos de Unified Access Gateway. El equilibrador de carga suele seleccionar el dispositivo en primer lugar, basándose en la disponibilidad y, a continuación, entre los dispositivos disponibles, dirige el tráfico en función del menor número de sesiones existentes. Esta configuración distribuye uniformemente el tráfico de los distintos clientes entre el conjunto de dispositivos disponibles de Unified Access Gateway
- Protocolos secundarios de Horizon
Una vez que Horizon Client establece una comunicación segura con uno de los dispositivos de Unified Access Gateway, el usuario se autentica. Si este intento de autenticación no falla, se realizan una o varias conexiones secundarias desde Horizon Client. Estas conexiones secundarias pueden incluir lo siguiente:
- Túnel HTTPS utilizado para encapsular protocolos TCP como RDP, MMR/CDR y el canal de marco de cliente. (TCP 443)
- Protocolo de visualización Blast Extreme (TCP 443, TCP 8443, UDP 443 y UDP 8443)
- Protocolo de visualización PCoIP (TCP 443, UDP 443)
Estos protocolos secundarios de Horizon se deben dirigir al mismo dispositivo Unified Access Gateway al que se dirigió el protocolo principal de Horizon. Unified Access Gateway podrá entonces autorizar los protocolos secundarios en función de la sesión del usuario autenticado. Una característica importante de seguridad de Unified Access Gateway es que Unified Access Gateway solo reenvía el tráfico al centro de datos corporativo si el tráfico se dirige en nombre de un usuario autenticado. Si los protocolos secundarios se dirigen de forma incorrecta a un dispositivo de Unified Access Gateway distinto al dispositivo del protocolo principal, los usuarios no estarán autorizados y se enviarán a la DMZ. Se producirá un error de conexión. Un problema frecuente es que los protocolos secundarios se dirigen de forma incorrecta si el equilibrador de carga no está configurado correctamente.