Access Point のロードバランスのトポロジ

複数の異なるトポロジをいくつでも実装できます。

DMZ の Access Point アプライアンスは、サーバまたはサーバグループの前にあるロードバランサを参照するように構成できます。Access Point アプライアンスは、HTTPS 向けに構成された標準的なサードパーティ製ロードバランシングソリューションと連携します。

Access Point アプライアンスでサーバの前にあるロードバランサを参照する場合、サーバインスタンスは動的に選択されます。たとえば、ロードバランサは可用性、およびロードバランサが把握した各サーバインスタンスの現在のセッション数についての情報に基づいて選択を行う場合があります。企業のファイアウォール内のサーバインスタンスには、通常、内部アクセスをサポートするためのロードバランサがあります。Access Point を使用して、Access Point アプライアンスがすでに頻繁に使用されているのと同じロードバランサを参照するようにできます。

または、1 つ以上の Access Point アプライアンスで個々のサーバインスタンスを参照することもできます。どちらの方法でも、DMZ 内の 2 つ以上の Access Point アプライアンスに接続されたロードバランサを使用します。

図 1. ロードバランサの背後にある複数の Access Point アプライアンス

Horizon のプロトコル

Horizon Client ユーザーが Horizon 環境に接続するときには、いくつかの異なるプロトコルが使用されます。最初の接続は、HTTPS を介したプライマリ XML-API プロトコルになります。認証が成功すると、1 つまたは複数のセカンダリプロトコルも作成されます。

プライマリ Horizon プロトコル
ユーザーが Horizon Client でホスト名を入力すると、プライマリ Horizon プロトコルが開始されます。これは、認証、承認、およびセッション管理のための制御プロトコルです。HTTPS (HTTP over SSL) を介して XML 構造のメッセージを使用します。このプロトコルは、Horizon XML-API 制御プロトコルと呼ばれることもあります。ロードバランサの背後に複数の Access Point アプライアンスがある上図のようなロードバランス環境では、ロードバランサはこの接続を Access Point アプライアンスの 1 つにルーティングします。ロードバランサは通常、最初に可用性に基づいてアプライアンスを選択し、現在のセッションの最小数に基づいてトラフィックを使用可能なアプライアンスにルーティングします。この構成では、使用可能な Access Point アプライアンス全体で、さまざまなクライアントからのトラフィックが均等に分散されます。
セカンダリ Horizon プロトコル
Horizon Client がいずれかの Access Point アプライアンスとの安全な通信を確立したら、ユーザーが認証されます。この認証に成功すると、Horizon Client から 1 つ以上のセカンダリ接続が作成されます。これらのセカンダリ接続には、次のものが含まれます。
- - RDP、MMR/CDR、クライアントフレームワークチャネルなどの TCP プロトコルをカプセル化するために使用される HTTPS トンネル。(TCP 443)。
  - Blast Extreme 表示プロトコル（TCP 443 および UDP 443）。
  - PCoIP 表示プロトコル（TCP 4172 および UDP 4172）。

これらのセカンダリ Horizon プロトコルは、プライマリ Horizon プロトコルがルーティングされた同じ Access Point アプライアンスにルーティングする必要があります。Access Point は、認証されたユーザーセッションに基づいてセカンダリプロトコルを認証できます。Access Point の重要なセキュリティ機能は、認証されたユーザーのトラフィックのみを、Access Point が企業のデータセンターにトラフィックを転送することです。セカンダリプロトコルがプライマリプロトコルアプライアンスとは異なる Access Point アプライアンスに不正にルーティングされる場合、それらは承認されず、DMZ にドロップされます。その結果、接続が失敗します。ロードバランサが正しく構成されていない場合、セカンダリプロトコルを不正にルーティングしてしまう問題が多く発生します。