Los dispositivos de Unified Access Gateway de la DMZ se pueden configurar para que se dirijan a un servidor o a un equilibrador de carga que lidere un grupo de servidores. Los dispositivos de Unified Access Gateway funcionan con soluciones estándar de equilibrio de carga externas que se configuran para HTTPS.

Si el dispositivo de Unified Access Gateway se dirige a un equilibrador de carga que lidera a los servidores, la selección de la instancia del servidor será dinámica. Por ejemplo, es posible que el equilibrador de carga realice una selección en función de la disponibilidad y del conocimiento que tenga con respecto al número de sesiones en curso de cada instancia del servidor. Las instancias del servidor incluidas en el firewall corporativo suelen tener un equilibrador de carga para permitir el acceso interno. Con Unified Access Gateway podrá dirigir el dispositivo de Unified Access Gateway al mismo equilibrador de carga que generalmente se está utilizando.

También es posible que uno o varios dispositivos de Unified Access Gateway se dirijan a una instancia individual del servidor. En ambos casos, utilice un equilibrador de carga que lidere a dos o más dispositivos de Unified Access Gateway en la DMZ.

Figura 1. Varios dispositivos de Unified Access Gateway detrás de un equilibrador de carga

Protocolos de Horizon

Cuando un usuario de Horizon Client se conecta a un entorno de Horizon, se utilizan varios protocolos distintos. La primera conexión es siempre el protocolo principal XML-API sobre HTTPS. Si la autenticación es correcta, también se utilizan uno o varios protocolos secundarios.
  • Protocolo principal de Horizon

    El usuario introduce un nombre de host en Horizon Client y con esto se inicia el protocolo principal de Horizon. Se trata de un protocolo de control para autorización de autenticación y administración de sesión. El protocolo utiliza mensajes estructurados XML sobre HTTPS. Este protocolo se conoce en ocasiones como el protocolo de control XML-API de Horizon. En un entorno con equilibrado de carga, tal y como se muestra en la figura Varios dispositivos de Unified Access Gateway detrás de un equilibrador de carga, el equilibrador de carga dirige esta conexión a uno de los dispositivos de Unified Access Gateway. El equilibrador de carga suele seleccionar el dispositivo en primer lugar, basándose en la disponibilidad y, a continuación, entre los dispositivos disponibles, dirige el tráfico en función del menor número de sesiones existentes. Esta configuración distribuye uniformemente el tráfico de los distintos clientes entre el conjunto de dispositivos de Unified Access Gateway disponibles.

  • Protocolos secundarios de Horizon

    Una vez que Horizon Client establece una comunicación segura con uno de los dispositivos de Unified Access Gateway, el usuario se autentica. Si este intento de autenticación no falla, se realizan una o varias conexiones secundarias desde Horizon Client. Estas conexiones secundarias pueden incluir lo siguiente:

    • Túnel HTTPS utilizado para encapsular protocolos TCP como RDP, MMR/CDR y el canal de marco de cliente. (TCP 443)
    • Protocolo de visualización Blast Extreme (TCP 443, TCP 8443, UDP 443 y UDP 8443)
    • Protocolo de visualización PCoIP (TCP 4172, UDP 4172)

Estos protocolos secundarios de Horizon se deben dirigir al mismo dispositivo de Unified Access Gateway al que se dirigió el protocolo principal de Horizon. Unified Access Gateway podrá entonces autorizar los protocolos secundarios en función de la sesión del usuario autenticado. Una característica importante de seguridad de Unified Access Gateway es que Unified Access Gateway solo reenvía el tráfico al centro de datos corporativo si el tráfico se dirige en nombre de un usuario autenticado. Si los protocolos secundarios se dirigen de forma incorrecta a un dispositivo de Unified Access Gateway distinto al dispositivo del protocolo principal, los usuarios no estarán autorizados y se enviarán a la DMZ. Se producirá un error de conexión. Un problema frecuente es que los protocolos secundarios se dirigen de forma incorrecta si el equilibrador de carga no está configurado correctamente.

Consideraciones de equilibrio de carga respecto de la puerta de enlace de contenido y el túnel de proxy

Cuando utilice un equilibrador de carga con la puerta de enlace de contenido y el túnel de proxy, tenga en cuenta las siguientes consideraciones:
  • Configure los equilibradores de carga para que envíen encabezados HTTP originales a fin de evitar problemas de conectividad del dispositivo. La puerta de enlace de contenido y el túnel de proxy utilizan la información del encabezado HTTP de la solicitud para autenticar los dispositivos.
  • El componente del túnel por aplicación requiere la autenticación de cada cliente después de que se establezca una conexión. Una vez conectado, se crea una sesión para el cliente que se almacena en la memoria. A continuación, se usa la misma sesión para cada fragmento de datos del cliente para que los datos se puedan cifrar y descifrar utilizando la misma clave. Al diseñar una solución de equilibrio de carga, el equilibrador de carga debe configurarse con la persistencia basada en sesión/IP habilitada. Una solución alternativa puede ser utilizar round-robin de DNS en el lado del cliente, lo que significa que el cliente puede seleccionar un servidor diferente para cada conexión.