Cet article est une brève présentation d'Universal Broker, l'un des services du plan de contrôle Horizon. Universal Broker est un service basé sur le cloud qui permet l'intermédiation des ressources qui se trouvent sur plusieurs déploiements d'espaces, quelle que soit l'infrastructure sur laquelle elles s'exécutent. Ce service prend également des décisions intelligentes en matière d'intermédiation selon les emplacements géographiques des utilisateurs et des espaces.

Présentation de Universal Broker

Universal Broker, la dernière technologie d'intermédiation basée sur le cloud de VMware est utilisable lorsque votre locataire dispose d'un ou de plusieurs des éléments suivants :

  • Espaces Horizon : basés sur la technologie d'Horizon Connection Server
  • Les espaces Horizon Cloud on Microsoft Azure et tous ces espaces exécutent le manifeste de l'espace 2298.0 ou une version ultérieure.

Pour obtenir des informations détaillées sur la manière dont les composants système de la solution Universal Broker fonctionnent ensemble afin de gérer des demandes de connexion d'utilisateurs aux attributions, reportez-vous à la section Architecture et composants système d'Universal Broker.


Diagramme général de l'architecture du système Universal Broker

Fonctionnalités principales

Universal Broker propose les fonctionnalités clés suivantes :

  • Nom de domaine complet de connexion unique pour toutes les ressources distantes

    Les utilisateurs finaux peuvent accéder à des attributions multicloud dans votre environnement en se connectant à un nom de domaine complet (FQDN) unique, que vous définissez dans les paramètres de configuration d'Universal Broker. Via le nom de domaine complet unique d'Universal Broker, les utilisateurs peuvent accéder aux attributions à partir de n'importe quel espace participant dans un site de votre environnement. Il n'est pas nécessaire de disposer d'une mise en réseau interne entre vos espaces.


    Diagramme de connexion via un nom de domaine complet unique pour Universal Broker
  • Connectivité et connaissance d'espace global pour des performances optimales

    Universal Broker maintient la connectivité directe avec chaque espace inclus dans des attributions multicloud et connaît l'état de disponibilité de chaque espace. Par conséquent, Universal Broker peut gérer les demandes de connexion des utilisateurs finaux et les acheminer vers des ressources virtuelles directement à partir de ces espaces. Il n'est pas nécessaire d'utiliser l'équilibrage de charge de serveur global (GSLB) ou toute communication réseau entre espaces qui peut entraîner des problèmes de latence et de performances réduites.

  • Intermédiation intelligente

    Universal Broker peut répartir des ressources à partir d'attributions vers des utilisateurs finaux sur la route réseau la plus courte, en fonction de la connaissance de vos sites géographiques et de la topologie de l'espace.

Intermédiation, pools de postes de travail d'utilisateurs finaux et applications distantes

Les attributions sont des entités conceptuelles dans Horizon Universal Console. À l'aide de la console, les attributions permettent de définir des pools de postes de travail virtuels d'utilisateurs finaux et d'applications distantes, et de les autoriser à accéder à vos utilisateurs finaux. Par exemple, dans la console, créez des attributions de postes de travail VDI ou des attributions de ressources RDSH, puis autorisez ces attributions à accéder à vos utilisateurs finaux.

Universal Broker gère la demande de connexion d'un utilisateur client à une attribution autorisée et négocie la session de connexion avec une ressource appropriée qui répond à cette demande. Universal Broker prend en charge l'emplacement géographique et la topologie des espaces. À l'aide de ces informations, Universal Broker recherche les meilleures ressources pour répondre aux demandes de connexion des utilisateurs en fonction de la configuration du site et de la disponibilité des ressources.

Reportez-vous aux sections suivantes pour obtenir la liste des types d'attributions disponibles, par type d'espace.

Attributions d'utilisateurs finaux utilisant des ressources provenant d'espaces Horizon Cloud déployés dans Microsoft Azure

Lorsque la configuration d'Universal Broker est terminée pour les espaces Horizon Cloud de votre flotte, les types d'attributions suivants sont possibles :

Attributions d'utilisateurs finaux utilisant des ressources provenant d'espaces Horizon connectés au cloud

Lorsque la configuration d'Universal Broker est terminée pour les espaces Horizon de votre flotte, les types d'attributions suivants sont possibles :

Remarques

Comme pour la plupart des logiciels, la version actuelle présente des considérations et des limitations connues relatives aux fonctionnalités. Pour plus d'informations, reportez-vous à la section Universal Broker : considérations et limitations connues relatives aux fonctionnalités.

Architecture et composants système d'Universal Broker

Cet article fournit une illustration détaillée des composants système d'Universal Broker qui s'exécutent dans les espaces participants et dans le plan de contrôle Horizon Cloud. Universal Broker représente la dernière technologie d'intermédiation basée sur le cloud de VMware. Il s'agit du routeur de connexions recommandé pour les attributions des utilisateurs finaux dans les nouveaux déploiements.

Pour obtenir un aperçu des principales fonctionnalités d'Universal Broker, reportez-vous à la section Présentation d'VMware Horizon Service Universal Broker.

L'architecture système de la solution Universal Broker varie légèrement selon que les ressources réparties résident dans des espaces Horizon (basés sur la technologie d'Horizon Connection Server) ou dans des espaces Horizon Cloud dans Microsoft Azure.

Architecture système de Universal Broker pour les espaces Horizon

La solution Universal Broker pour l'intermédiation basée sur le cloud d'attributions multicloud à partir d'espaces Horizon (basés sur la technologie d'Horizon Connection Server) est constituée des composants suivants.

  • Le service Universal Broker est un service cloud à locataires multiples qui s'exécute dans le cloud Universal Broker, qui est connecté à Horizon Cloud. Chaque client se connecte au service Universal Broker à l'aide d'un nom de domaine complet dédié unique configuré, comme indiqué à la section Configurer les paramètres d'Universal Broker.
  • Le client Universal Broker s'exécute dans l'instance d'Horizon Cloud Connector pour chacun de vos espaces Horizon connectés au cloud. À partir de la version 1.5 de ce connecteur, le client Universal Broker fait partie de celui-ci et est automatiquement installé lorsque vous couplez Horizon Cloud Connector avec votre espace.
  • Le plug-in Universal Broker s'exécute dans Horizon Connection Server pour chaque espace connecté au cloud qui prend part aux attributions multicloud. Vous devez télécharger et installer le plug-in sur chaque instance du Serveur de connexion dans un espace participant, comme indiqué à la section Espaces Horizon - Installer le plug-in Universal Broker sur le Serveur de connexion.

Le diagramme suivant illustre le fonctionnement d'Universal Broker avec les composants de votre environnement d'espace Horizon pour gérer les demandes de connexion de vos utilisateurs finaux externes vers des ressources distantes d'une attribution.

Note : Le scénario décrit implique l'instance d'Horizon Client située sur un réseau externe, en dehors de votre réseau d'entreprise, avec une instance d'Unified Access Gateway externe configurée sur l'espace.

Architecture système d'Universal Broker pour les espaces Horizon

  1. Depuis Horizon Client, l'utilisateur final demande un poste de travail virtuel en se connectant au service Universal Broker via le nom de domaine complet d'intermédiation. Le service utilise le protocole API de XML pour authentifier l'utilisateur d'Horizon Client et gérer la session de connexion.
  2. Après avoir déterminé que l'espace 1 du site 1 est la meilleure source disponible pour le poste de travail, le service Universal Broker envoie un message au client Universal Broker qui s'exécute sur l'instance d'Horizon Cloud Connector couplée avec l'espace 1.
  3. Le client Universal Broker transfère le message au plug-in Universal Broker qui s'exécute sur chacune des instances du Serveur de connexion dans l'espace 1.
  4. Le plug-in Universal Broker détermine le meilleur poste de travail disponible qui répond à la demande de l'utilisateur final.
  5. Le service Universal Broker renvoie une réponse à Horizon Client qui inclut le nom de domaine complet unique de l'espace 1 (généralement celui de l'équilibrage de charge de l'espace 1). Horizon Client établit une connexion avec l'équilibrage de charge pour demander une session de protocole avec le poste de travail.
  6. Après être passée par l'équilibrage de charge local, la demande est transmise à Unified Access Gateway de l'espace 1. Unified Access Gateway confirme que la demande est approuvée et prépare Blast Secure Gateway, PCoIP Secure Gateway et le serveur de tunnel.
  7. L'utilisateur d'Horizon Client reçoit le poste de travail spécifié et établit une session basée sur le protocole secondaire configuré (Blast Extreme, PCoIP ou RDP).

Pour plus d'informations sur les ports utilisés pour les communications d'Universal Broker, reportez-vous à la section Espaces Horizon : conditions requises du DNS, des ports et des protocoles pour Universal Broker.

Architecture système d'Universal Broker pour les espaces Horizon Cloud dans Microsoft Azure

La solution Universal Broker pour l'intermédiation basée sur le cloud d'attributions VDI et RDSH depuis des espaces Horizon Cloud dans Microsoft Azure est constituée des composants suivants.

  • Le service Universal Broker est un service cloud à locataires multiples qui s'exécute dans le cloud Universal Broker, qui est connecté à Horizon Cloud. Chaque client se connecte au service Universal Broker à l'aide d'un nom de domaine complet dédié unique configuré, comme indiqué à la section Configurer les paramètres d'Universal Broker.
  • Le client Universal Broker s'exécute dans chaque espace Horizon Cloud participant dans Microsoft Azure.
Note : Le scénario décrit implique l'instance d'Horizon Client située sur un réseau externe, en dehors de votre réseau d'entreprise, avec une instance d'Unified Access Gateway externe configurée sur l'espace.

Architecture système d'Universal Broker pour les espaces Horizon Cloud dans Microsoft Azure

  1. Depuis Horizon Client, l'utilisateur final demande une ressource virtuelle en se connectant au service Universal Broker via le nom de domaine complet d'intermédiation. Le service utilise le protocole API de XML pour authentifier l'utilisateur d'Horizon Client et gérer la session de connexion.
  2. Après avoir déterminé que l'espace 1 du site 1 dispose de la meilleure ressource disponible pour la demande de l'utilisateur, le service Universal Broker envoie un message au client Universal Broker s'exécutant dans l'espace 1.
  3. Le client Universal Broker transfère le message au gestionnaire d'espace actif dans l'espace 1.
  4. Le gestionnaire d'espace actif détermine la meilleure ressource disponible qui répond à la demande de l'utilisateur final.
  5. Le service Universal Broker renvoie une réponse à Horizon Client, qui inclut le nom de domaine complet unique de l'espace 1 (généralement celui de l'équilibrage de charge Microsoft Azure de l'espace 1). Horizon Client établit une connexion avec l'équilibrage de charge pour demander une session de protocole avec la ressource.
  6. Après être passée par l'équilibrage de charge Microsoft Azure, la demande est transmise à l'instance Unified Access Gateway de l'espace 1. Unified Access Gateway confirme que la demande est approuvée et prépare Blast Secure Gateway, PCoIP Secure Gateway et le serveur de tunnel.
  7. L'utilisateur d'Horizon Client reçoit la ressource spécifiée et établit une session basée sur le protocole secondaire configuré (Blast Extreme, PCoIP ou RDP).

Pour plus d'informations sur les ports utilisés pour les communications Universal Broker, reportez-vous à la section « Ports et protocoles requis par Universal Broker » dans Conditions requises de ports et de protocoles pour un espace Horizon Cloud du manifeste de la version de septembre 2019 ou version ultérieure .

Universal Broker : considérations et limitations connues relatives aux fonctionnalités

Cette page de documentation fournit certaines considérations relatives à Universal Broker et une liste des fonctionnalités d'Horizon dont le support est limité, voire nul.

Considérations relatives aux fonctionnalités

  • Pour une flotte d'espaces qui contient à la fois des espaces Horizon et des espaces Horizon Cloud, chaque attribution d'utilisateur final que vous créez doit être composée de postes de travail VDI d'un seul type d'espace. Par exemple, vous pouvez créer une attribution composée de postes de travail qui se trouvent sur plusieurs espaces Horizon ou une attribution comportant des postes de travail qui se trouvent sur plusieurs espaces Horizon Cloud. Cependant, vous ne pouvez pas créer une attribution comportant des postes de travail qui se trouvent sur un mélange d'espaces Horizon et d'espaces Horizon Cloud.
  • Des considérations supplémentaires s'appliquent si vous avez fait passer votre locataire d'une configuration de Broker à espace unique à Universal Broker. Reportez-vous à la section Nouveautés dans votre environnement de locataire après la transition vers Universal Broker.

Nombre maximal d'espaces par limite d'attributions multicloud VDI

Le nombre maximal d'espaces pris en charge dans une attribution multicloud VDI est de cinq (5). Cette limite s'applique aux espaces de type Horizon Connection Server et aux espaces de type Horizon Cloud on Microsoft Azure. L'utilisation de plus de cinq espaces augmente la charge simultanée sur Universal Broker. L'augmentation de cette charge simultanée peut entraîner des échecs pour les utilisateurs finaux lorsqu'ils cliquent sur la vignette affichée de l'attribution dans le client et que le service tente de connecter l'utilisateur au poste de travail virtuel de l'utilisateur.

Ressources virtuelles

Pour l'intermédiation de ressources virtuelles, cette version d'Universal Broker ne prend en charge que les systèmes d'exploitation Windows. Les postes de travail basés sur Linux ne sont pas pris en charge.

Cette version ne prend pas en charge les raccourcis créés par l'administrateur pour les postes de travail et les applications.

Note : Un utilisateur spécifique peut recevoir au maximum un poste de travail attribué à partir d'une attribution dédiée répartie par Universal Broker, même si l'attribution inclut des postes de travail provenant de plusieurs espaces.

Horizon HTML Access et Horizon Client pour Chrome

Les utilisateurs finaux peuvent effectuer des demandes de ressources au service Universal Broker en exécutant Horizon HTML Access dans un navigateur Web pris en charge ou en exécutant Horizon Client pour Chrome 5.4 ou une version ultérieure. Si le service Universal Broker redirige la demande vers une instance d'Unified Access Gateway qui utilise un certificat auto-signé, l'application cliente affiche un message d'erreur indiquant que l'autorité de certification n'est pas valide.

Ce comportement varie selon la conception. Pour se connecter à la ressource demandée, l'utilisateur peut accepter le certificat auto-signé en suivant les invites du message d'erreur du certificat.

Méthodes d'authentification

Cette version d'Universal Broker prend en charge l'authentification utilisateur du client via le nom d'utilisateur et le mot de passe Windows, dans les formats UPN et NETBIOS.

L'authentification à deux facteurs via RADIUS ou RSA est également prise en charge, selon l'état actuel de la flotte d'espaces du locataire, comme dans la liste suivante.

Consultez également la section suivante qui décrit l'expérience de l'utilisateur final lors de l'utilisation d'Universal Broker dans ses clients et que l'authentification à deux facteurs est configurée. Le comportement actuel est différent de celui de l'utilisation directe des noms de domaine complets de passerelle d'un espace.

Espaces Horizon uniquement
Les authentifications RADIUS et RSA SecurID sont prises en charge.
Déploiements Horizon Cloud on Microsoft Azure uniquement
Si tous les espaces sont de manifeste 3139.x ou version ultérieure, et que les options RSA SecurID et RADIUS sont visibles pour la sélection lorsque vous exécutez l'assistant Modifier l'espace sur les espaces, les authentifications RSA SecurID et RADIUS sont prises en charge. Sinon, seul le type RADIUS est pris en charge.
Combinaison d'espaces Horizon et de déploiements Horizon Cloud on Microsoft Azure
Dans une flotte mixte, les types d'authentification pris en charge dépendent de la conformité de vos déploiements Horizon Cloud on Microsoft Azure aux conditions pour que l'option RSA SecurID soit configurée sur eux :
  • Si vos déploiements Horizon Cloud on Microsoft Azure ne respectent pas ces conditions, seule l'authentification RADIUS est prise en charge.
  • Si vos déploiements Horizon Cloud on Microsoft Azure répondent à ces conditions, les authentifications RADIUS et RSA SecurID sont prises en charge.

Les conditions à respecter sont que les espaces exécutent le manifeste 3139.x ou version ultérieure et lorsque vous ouvrez l'assistant Modifier l'espace sur les espaces, l'option RSA SecurID et les options RADIUS sont visibles pour la sélection.

Lorsque l'authentification à deux facteurs est configurée

Lorsque l'authentification à deux facteurs est impliquée, vos utilisateurs finaux font face à un flux d'authentification lors de l'utilisation du nom de domaine complet Universal Broker qui est légèrement différent de celui lors de l'utilisation directe du nom de domaine complet de la passerelle d'un espace.

  • Dans le flux d'authentification d'Universal Broker, les utilisateurs finaux sont invités à entrer leurs informations d'identification de Windows Active Directory (AD) deux fois : une fois lorsqu'ils se connectent pour la première fois au nom de domaine complet d'Universal Broker, puis de nouveau après avoir terminé l'authentification à deux facteurs avec le système RADIUS ou RSA SecurID configuré.
  • Lorsque vous utilisez le flux d'authentification de la passerelle d'un espace, les utilisateurs finaux sont invités à entrer leurs informations d'identification de Windows Active Directory (AD) une fois qu'ils se connectent pour la première fois au nom de domaine complet de la passerelle de l'espace.
Note : Pour éviter l'affichage de deux invites AD lors de l'utilisation d' Universal Broker, pensez à effectuer une intégration à VMware Workspace ONE Access et configurez l'authentification à deux facteurs dans VMware Workspace ONE Access.

Méthodes d'authentification et d'accès utilisateur actuellement non prises en charge

Les méthodes d'authentification et d'accès utilisateur suivantes ne sont actuellement pas prises en charge.

  • Carte à puce
  • Certificat
  • Authentification SAML (en dehors de l'intégration à VMware Workspace ONE)
  • Se connecter en tant qu'utilisateur actuel
  • Accès anonyme

Lorsque l'un des éléments non pris en charge remplit les conditions pour le support, son entrée est supprimée de la liste précédente et l'annonce de support est indiquée sur la page intitulée Pour les clients actuels disposant d'espaces connectés au cloud existants — À propos des versions d'Horizon Cloud Service. Cette page est répertoriée dans la section qui correspond à la version dans laquelle le support a été ajouté.

Fonctionnalités de Bureau à distance

Les fonctionnalités suivantes ne sont pas prises en charge dans cette version d'Universal Broker :

  • Redirection de contenu URL
  • Collaboration de session

Autres fonctionnalités

Les fonctionnalités suivantes ne sont pas non plus prises en charge dans cette version d'Universal Broker :

  • Mode Kiosque
  • Profil de minutage (pour le dépannage des sessions utilisateur)
  • Vérifications de conformité de points de terminaison basées sur OPSWAT