La figura a continuación muestra dos opciones para la conectividad de red a Horizon Cloud Service: un arrendatario de isla sin conectividad de VPN y un arrendatario con conectividad de VPN que se conecta al centro de datos local.

El siguiente diagrama también presenta los dispositivos de arrendatario de Horizon Cloud Service y Unified Access Gateway, junto con los servidores de utilidades.

Figura 1. Ejemplo de arquitectura de red de arrendatario

Descripción de las zonas

Horizon Cloud Service on IBM Cloud establece zonas que segregan los distintos recursos en función de su función. Horizon Cloud Service tiene tres zonas. Cada zona es única para cada implementación de Horizon Cloud Service y no se comparte.

Zona Descripción
Zona de seguridad Una zona de seguridad desmilitarizada (DMZ) en la que residen los dispositivos externos de Unified Access Gateway. Facilita el acceso remoto seguro al entorno de arrendatario de Horizon Cloud Service.
Zona de servicios Donde se aloja Horizon Cloud Service, incluidos los dispositivos de arrendatario, los servidores de utilidades y los dispositivos internos de Unified Access Gateway
Zona de escritorio Aloja los escritorios y los servidores RDSH

Dispositivos de Horizon Cloud Service

El dispositivo de arrendatario contiene la consola administrativa de Horizon Cloud Service, el portal de usuario de Horizon Cloud Service, las asignaciones de escritorio y la base de datos de configuración de la cuenta, y la información de unión al dominio. El dispositivo Unified Access Gateway permite el acceso seguro para conexiones internas y externas a aplicaciones alojadas en RDSH y escritorios virtuales de Horizon Cloud Service. Para obtener redundancia y alta disponibilidad, se implementan dos dispositivos de cada.

Dispositivo Descripción
Dispositivo de arrendatario Un dispositivo Linux protegido que proporciona intermediación de aplicaciones y de escritorios, aprovisionamiento y autorización. Aloja los portales de usuario final y administrativo, que forman parte de la zona de servicios, y comunica la información de estado al proveedor de servicios.
Unified Access Gateway Un dispositivo Linux protegido que proporciona acceso remoto seguro en el entorno de Horizon Cloud Service. Forma parte de la zona de seguridad (para el acceso externo de Horizon Cloud Service) y de la zona de servicios (para el acceso interno de Horizon Cloud Service).
Servidores de utilidades De forma predeterminada, se proporciona un servidor de utilidades de forma gratuita y es opcional, a menos que se indique en la descripción del servicio. Los servidores de utilidades pueden ser Active Directory, DNS, DHCP, UEM o servidores de archivos para colocar servicios en el arrendatario de Horizon Cloud Service y están conectados a la red (zona de servicios).
Dispositivo Edge Gateway Una puerta de enlace que proporciona servicios de puerta de enlace y seguridad perimetral de red para aislar zonas de seguridad y redes virtualizadas junto con NAT, DHCP, VPN y un equilibrador de carga.

Seguridad de red

Horizon Cloud Service utiliza un dispositivo Edge Gateway para administrar la conectividad de VPN y Direct Connect, así como cualquier tráfico de administración, de entrada y salida del arrendatario de Horizon Cloud Service donde residen los escritorios, los servidores RDSH y los dispositivos de administración.

Si desea realizar un almacenamiento en búfer adicional entre los dispositivos de administración y el entorno de red de la organización, considere la posibilidad de implementar una directiva de firewall administrada por la empresa siempre y cuando estén habilitados todos los puertos necesarios para los usuarios internos y remotos y cualquier aplicación o servicio que necesiten esos usuarios.

Descripción de Unified Access Gateway

VMware Unified Access Gateway (anteriormente denominado VMware Access Point) es un dispositivo virtual Linux protegido que permite el acceso remoto seguro al entorno de Horizon Cloud Service. Si los usuarios utilizan una conexión externa a través de la red Internet pública, independientemente de si el tráfico está basado en el protocolo o basado en web, el tráfico se envía a la instancia de Unified Access Gateway externa. Unified Access Gateway actúa como un proxy seguro para la conexión en el entorno de Horizon Cloud Service. La instancia Unified Access Gateway externa gestiona como proxy el tráfico de Horizon Cloud Service hacia y desde la zona de seguridad. La zona de seguridad es una construcción de seguridad de redes DMZ que proporciona a un segmento de la red de la organización acceso al exterior, pero con reglas estrictas que regulan el acceso a lo que se encuentra dentro de la red. Para los usuarios internos que se conectan al entorno de Horizon Cloud Service, el tráfico se envía a los dispositivos Unified Access Gateway internos que se encuentran en la zona de servicios.