Conditions requises pour les espaces Horizon connectés à Horizon Cloud par Horizon Cloud Connector

Pour prendre en charge l'utilisation d'Universal Broker pour les espaces Horizon qui sont connectés au service Cloud par Horizon Cloud Connector, votre environnement système doit répondre aux conditions requises suivantes.

Versions logicielles des composants clés :

• Chaque espace doit exécuter Horizon Connection Server à partir de la version 7.11, disposer d'une licence valide et d'une version de plug-in Universal Broker appropriée installée sur ce Serveur de connexion, comme indiqué à la section Espaces Horizon - Installer le plug-in Universal Broker sur le Serveur de connexion.

  Chaque espace et chaque Serveur de connexion doivent constituer une installation valide, conformément à la documentation du produit de la version spécifique du Serveur de connexion : Documentation de VMware Horizon ou Documentation de VMware Horizon 7.

• Chaque espace doit être connecté au cloud à Horizon Cloud à l'aide d'une instance d'Horizon Cloud Connector à partir de la version 1.6. Notez que la version 1.6 d'Horizon Cloud Connector est extrêmement ancienne et qu'elle n'est pas prise en charge pour les intégrations de nouveaux espaces. Cette version était la première pour laquelle Universal Broker devenait disponible. Elle est donc mentionnée ici pour vérifier que rien ne manque. Les nouvelles intégrations sont prises en charge à l'aide d'Horizon Cloud Connector version N, N-1 et N-2, où N est la dernière version d'Horizon Cloud Connector disponible au moment de la rédaction de ce document.
• Considération particulière pour la version 1.8 ou 1.9 de Connector : Universal Broker s'appuie sur le service client du broker de cloud (CBCS, Cloud Broker Client Service) exécuté dans Connector pour communiquer avec l'espace. Si votre espace Horizon utilise Horizon Cloud Connector 1.8 ou 1.9, Universal Broker est pris en charge si vous avez déployé Horizon Cloud Connector avec le profil Fonctionnalité complète ou avec le profil Fonctionnalité de base, puis activé manuellement le service client du broker cloud (Cloud Broker Client Service, CBCS) du connecteur. Pour connaître les étapes d'activation manuelle de CBCS dans cette configuration, reportez-vous à la section Activer manuellement les services dans la version 1.8 ou 1.9.
• Considération spéciale pour un espace Horizon connecté au cloud à l'aide d'Horizon Cloud Connector dans un déploiement Amazon EC2 natif : pour utiliser Universal Broker dans cet espace, vous devez activer manuellement l'utilisation du service client du broker de cloud (CBCS) dans ce dispositif, car ce service est inactif par défaut pour un déploiement Amazon EC2 natif. Pour plus d'informations sur l'activation manuelle de l'utilisation de CBCS dans cette configuration, reportez-vous à la section Activer manuellement les services pour Horizon Cloud Connector sur Amazon EC2 natif.

Conditions requises selon certains scénarios d'utilisateurs finaux spécifiques :

Vous souhaitez utiliser l'authentification à deux facteurs avec Universal Broker

• Pour qu'Universal Broker utilise l'authentification à deux facteurs avec l'un de vos utilisateurs finaux, vous devez remplacer un serveur de sécurité sur l'espace Horizon par un dispositif Unified Access Gateway externe, version 3.8 ou ultérieure.
• Vous devez également configurer cette instance d'Unified Access Gateway externe avec le service d'authentification à deux facteurs approprié qu'Universal Broker prend en charge. Suivez les instructions et les critères décrits dans la section Meilleures pratiques lors de l'implémentation de l'authentification à deux facteurs dans un environnement Universal Broker.

Vous disposez de tous les utilisateurs internes et souhaitez utiliser la connexion directe avec eux

Pour que l'accès utilisateur s'effectue toujours à partir du réseau interne, vous pouvez utiliser Universal Broker pour la connexion directe. En connexion directe, les sessions de ces utilisateurs finaux sont établies directement entre Horizon Client ou le client Web de l'utilisateur et les postes de travail virtuels et les applications distantes (VDI et RDSH). Dans ce cas, aucune instance d' Unified Access Gateway n'est requise tant que vous spécifiez également des adresses IP à l'aide de la fonctionnalité Broker > Plages réseau de la console afin qu' Universal Broker sache que le trafic des utilisateurs finaux provient de votre réseau interne. Si vous ne spécifiez pas ces adresses IP et que vous disposez de tous les utilisateurs finaux internes, l'espace doit disposer d'un dispositif Unified Access Gateway interne, version 3.8 ou ultérieure, pour connecter les sessions. Dans tous les cas, aucun serveur de sécurité n'est nécessaire. Vous pouvez alors supprimer tout serveur de sécurité dont l'espace peut disposer.

Vous disposez d'utilisateurs internes et externes et vous souhaitez configurer l'authentification à deux facteurs dans Universal Broker

Si vous spécifiez des adresses IP à l'aide de la fonctionnalité Broker > Plages réseau, Universal Broker peut déterminer lorsqu'un utilisateur en cours de connexion se trouve sur le réseau interne et considérera cela comme une connexion directe pour cet utilisateur. Sinon, si vous ne spécifiez pas les adresses IP dans Broker > Plages réseau, Universal Broker traitera toutes les connexions d'utilisateurs finaux comme externes et enverra les connexions au dispositif Unified Access Gateway externe.

En fonction des scénarios précédents, lorsqu'une instance d' Unified Access Gateway est impliquée :

• Configurez chaque instance d'Unified Access Gateway en tant que serveur proxy pour les demandes de connexion au Serveur de connexion avec lequel il est couplé. Assurez-vous que chaque instance d'Unified Access Gateway est couplée avec un seul espace.
• Si un espace inclut uniquement une instance d'Unified Access Gateway interne (aucune instance externe), Universal Broker remplace les plages d'adresses IP spécifiées dans Broker > Plages réseau et achemine tous les utilisateurs vers cette instance d'Unified Access Gateway interne, quelle que soit leur adresse IP. Si aucune plage d'adresses IP n'est spécifiée dans Broker > Plages réseau, les lancements du poste de travail virtuel et de l'application distante reposent sur cette instance d'Unified Access Gateway interne.

La documentation du produit Unified Access Gateway se trouve à l'adresse https://docs.vmware.com/fr/Unified-Access-Gateway/index.html.

Noms DNS, ports et protocoles :

• Chaque espace doit être configuré avec les ports et protocoles requis, comme décrit dans Espaces Horizon : conditions requises du DNS, des ports et des protocoles pour Universal Broker.
• Pour prendre en charge le trafic des utilisateurs finaux pour le routage d'Universal Broker de manière appropriée dans les scénarios dans lesquels une instance d'Unified Access Gateway est requise, lorsque votre espace est configuré avec une instance d'Unified Access Gateway, vous devez vous assurer que tous les noms DNS sont mappés de manière appropriée dans vos serveurs DNS internes et externes. Si l'espace a configuré une instance d'Unified Access Gateway interne et externe, la configuration interne et externe peut spécifier différents noms de domaine complets, ou elles peuvent être configurées avec le même nom de domaine complet et l'équilibrage de charge de l'espace configuré avec des zones DNS fractionnées.

Pools de postes de travail :

Pour lancer des sessions d'utilisateurs finaux, les pools de postes de travail doivent être configurés sur les espaces participants et basés sur des machines virtuelles exécutant le système d'exploitation Windows. En outre, les paramètres de configuration de pool doivent répondre aux conditions préalables d' Universal Broker, comme indiqué à la section Espaces Horizon - Préparer un pool de postes de travail existant pour l'utiliser dans une attribution multicloud.

Configuration requise pour les espaces Horizon Cloud dans Microsoft Azure

Pour être utilisé avec Universal Broker, chaque espace Horizon Cloud participant dans Microsoft Azure :

• Doit être déployé comme nouveau dans Microsoft Azure avec la version du manifeste de juillet 2020 (2298.0) ou ultérieure.
  Note : Universal Broker n'est disponible que si vous avez déployé tous vos espaces Horizon Cloud avec la version du manifeste 2298.0 ou ultérieure. Si vous avez déployé l'un de vos espaces Horizon Cloud avant la version du manifeste 2298.0, Universal Broker n'est pas une option d'intermédiation disponible pour vos espaces Horizon Cloud.
• Si vous souhaitez établir des connexions d'utilisateurs finaux depuis Internet ou utiliser l'authentification à deux facteurs, une configuration d'Unified Access Gateway externe est requise sur l'espace.
  Note : Assurez-vous que chaque instance d' Unified Access Gateway est couplée avec un seul espace.
  Note : Si un espace ne comprend qu'une instance d' Unified Access Gateway interne, Universal Broker remplace la stratégie de mise en réseau définie dans l'onglet Plages réseau de la page du broker et achemine tous les utilisateurs vers cette instance d' Unified Access Gateway, quelle que soit leur adresse IP.

  Pour prendre en charge des cas d'utilisation spécifiques, l'espace doit répondre à des exigences supplémentaires :

  • Pour acheminer le trafic réseau interne et externe de Universal Broker vers leurs serveurs DNS internes et externes respectifs, chaque espace doit être configuré avec des instances internes et externes d'Unified Access Gateway. Les instances internes et externes de Unified Access Gateway peuvent être configurées avec différents noms de domaine complets, ou elles peuvent être configurées avec le même nom de domaine complet et l'équilibrage de charge de l'espace peut être configuré avec des zones DNS fractionnées.
  • Pour utiliser l'authentification à deux facteurs pour Universal Broker, l'espace doit disposer d'au moins une instance externe d'Unified Access Gateway configurée avec le service d'authentification à deux facteurs approprié. Vous devez configurer toutes les instances d'Unified Access Gateway externes de tous les espaces participants pour qu'elles utilisent le même service d'authentification à deux facteurs. Suivez les instructions et les critères décrits dans la section Meilleures pratiques lors de l'implémentation de l'authentification à deux facteurs dans un environnement Universal Broker.
  Pour plus d'informations sur l'ajout de configurations de passerelle à un espace Horizon Cloud existant, reportez-vous à la section Ajouter une configuration de passerelle à un espace Horizon Cloud déployé.
• Vérifiez que les noms de DNS requis pour votre instance régionale du Universal Broker peuvent être résolus et sont accessibles. Reportez-vous au tableau « Configuration DNS requise pour le déploiement d'espaces et les opérations » dans Configuration DNS requise pour un espace Horizon Cloud dans Microsoft Azure.
• Être configuré avec les ports et protocoles requis, comme décrit dans la section « ports et protocoles requis par Universal Broker » dans Conditions requises de ports et de protocoles pour un espace Horizon Cloud du manifeste de la version de septembre 2019 ou version ultérieure.
• Dans un état sain. Sur la page Capacité, un espace sain affiche un point vert dans la colonne État, indiquant que l'espace est en ligne et prêt.

Exigences de client

Pour connaître les exigences du client relatives à Universal Broker, reportez-vous aux informations Horizon Client fournies dans la rubrique Horizon Cloud - Environnements disponibles, Prise en charge du système d'exploitation, Intégration étroite à l'écosystème VMware et Informations sur la compatibilité.