VMware Horizon Service Universal Broker について

この記事では、Horizon 制御プレーンサービスの 1 つである Universal Broker について簡単に説明します。Universal Broker はクラウドベースのサービスで、実行中のインフラストラクチャに関係なく、複数のポッドのデプロイにまたがるリソースの仲介を可能にします。このサービスにより、ユーザーとポッドの地理的サイトに基づいてインテリジェントな仲介を決定できます。

Universal Broker の概要

VMware の最新のクラウドベースの仲介テクノロジーである Universal Broker は、テナントに次の 1 つ以上がある場合に使用できます。

Horizon ポッド - Horizon Connection Server テクノロジーに基づくポッド
Horizon Cloud on Microsoft Azure ポッド、およびポッドマニフェスト 2298.0 以降を実行しているすべてのポッド。

Universal Broker ソリューションのシステムコンポーネントがどのように連携して割り当てに対するユーザーの接続要求を管理するかの詳細については、Universal Broker のシステムアーキテクチャとコンポーネントを参照してください。

主な特長

Universal Broker は、次の主要な機能を提供します。

[すべてのリモートリソースの単一の接続 FQDN]
エンドユーザーは、Universal Broker の設定で定義した完全修飾ドメイン名 (FQDN) に接続することにより、環境内のマルチクラウド割り当てにアクセスできます。ユーザーは、単一の Universal Broker FQDN を使用して、ご使用の環境内の任意のサイトにある任意の参加しているポッドから割り当てにアクセスできます。ポッド間の内部ネットワークは必要ありません。
[最適なパフォーマンスのためのグローバルポッド接続と認識]
Universal Broker は、マルチクラウド割り当てに参加しているすべてのポッドとの直接接続を維持し、各ポッドの可用性ステータスを引き続き認識します。その結果、Universal Broker はエンドユーザーの接続要求を管理し、これらのポッドから直接仮想リソースにルーティングできます。パフォーマンスの低下や遅延の問題の原因となる、グローバルサーバロードバランシング (GSLB) やポッド間のネットワーク通信を行う必要はありません。
[スマート仲介]
Universal Broker は、地理的サイトとポッドトポロジの認識に基づいて、最短のネットワークルートに沿って割り当てからエンドユーザーにリソースを仲介できます。

仲介およびエンドユーザーのデスクトッププールとリモートアプリケーション

割り当ては、Horizon Universal Console 内の概念的なエンティティです。コンソールを使用して行う割り当ては、エンドユーザーの仮想デスクトップとリモートアプリケーションのプールを定義し、それらの使用資格をエンドユーザーに付与する方法です。たとえば、コンソールでは、VDI デスクトップの割り当てまたは RDSH リソースの割り当てを作成し、その割り当ての使用資格をエンドユーザーに付与します。

Universal Broker は、資格のある割り当てに対するクライアントユーザーの接続要求を管理し、その要求を満たす適切なリソースへの接続セッションをネゴシエートします。Universal Broker は、地理的な場所とポッドトポロジを認識します。この情報を使用して、Universal Broker は、サイトの構成とリソースの可用性に基づいてユーザーの接続要求を満たすのに最適なリソースを検索します。

ポッドタイプ別に使用可能な割り当てタイプのリストについては、次のセクションを参照してください。

Microsoft Azure にデプロイされた Horizon Cloud ポッドのリソースを使用したエンドユーザー割り当て

ポッドフリート内の Horizon Cloud ポッドの Universal Broker 構成が完了すると、次の割り当てタイプが可能になります。

1 つ以上の Horizon Cloud ポッドからの VDI デスクトップで構成されるマルチクラウド割り当て。詳細については、Microsoft Azure の Horizon Cloud ポッド - 第 1 世代環境での VDI マルチクラウド割り当ての作成と表示を参照してください。
単一の Horizon Cloud ポッド内の Microsoft リモートデスクトップサービス (RDS) ホストからのセッションベースのデスクトップで構成されるセッションデスクトップ割り当て。詳細については、Horizon Cloud ポッド - RDS ベースのセッションデスクトップ割り当てを作成して、エンドユーザーのために RDS ホストからのデスクトップセッションを提供するを参照してください。
Horizon Cloud ポッド内の RDS ホストによってプロビジョニングされたアプリケーションで構成されるリモートアプリケーション割り当て。詳細については、リモートアプリケーション - Microsoft Azure の Horizon Cloud ポッドによってプロビジョニングされたリモートアプリケーションのリモートアプリケーション割り当ての作成を参照してください。
Horizon Cloud ポッド内の VDI デスクトップにホストされている App Volumes アプリケーションで構成される App Volumes アプリケーション割り当て。詳細については、Horizon Cloud：App Volumes 割り当ての作成を参照してください。

クラウド接続された Horizon ポッドからのリソースを使用したエンドユーザーの割り当て

ポッドフリート内の Horizon ポッドの Universal Broker 構成が完了すると、次の割り当てタイプが可能になります。

1 つ以上の Horizon ポッドからの VDI デスクトップで構成されるマルチクラウド割り当て。Horizon Cloud テナントのクラウド接続された Horizon ポッドのリソースに基づいたマルチクラウド割り当ての構成に関する概要情報については、第 1 世代 Horizon Cloud Universal Broker とマルチクラウド割り当てを参照してください。
単一の Horizon ポッド内の Microsoft リモートデスクトップサービス (RDS) ホストからのセッションベースのデスクトップで構成されるセッションデスクトップ割り当て。詳細については、Horizon ポッド - Universal Broker 環境用の RDSH デスクトップとアプリケーションの構成を参照してください。
単一の Horizon ポッド内の RDS ホストによってプロビジョニングされたアプリケーションで構成されるリモートアプリケーション割り当て。詳細については、Horizon ポッド - Universal Broker 環境用の RDSH デスクトップとアプリケーションの構成を参照してください。

注

ほとんどのソフトウェアと同様に、現在のリリースには機能に関する考慮事項と既知の制限がいくつかあります。詳細については、Universal Broker - 機能に関する注意事項と既知の制限を参照してください。

Universal Broker のシステムアーキテクチャとコンポーネント

この記事では、参加しているポッド内および Horizon Cloud 制御プレーンで実行される Universal Broker のシステムコンポーネントについて詳しく説明します。Universal Broker は VMware の最新のクラウドベースの仲介テクノロジーを表し、新しいデプロイでのエンドユーザー割り当てにはこのコネクションブローカが推奨されます。

Universal Broker の主な機能の概要については、VMware Horizon Service Universal Broker についてを参照してください。

Universal Broker ソリューションのシステムアーキテクチャは、仲介されたリソースの配置先が Horizon ポッド（Horizon Connection Server テクノロジーベース）か、Microsoft Azure の Horizon Cloud ポッドかによってやや異なります。

Universal Broker のシステムアーキテクチャ（Horizon ポッド）

次のコンポーネントは、Horizon ポッド（Horizon Connection Server テクノロジーベース）からのマルチクラウド割り当てのクラウドベースの仲介のための Universal Broker ソリューションを構成しています。

Universal Broker サービスは、Horizon Cloud に接続された Universal Broker クラウド内で実行されるマルチテナントクラウドサービスです。各ユーザーは、Universal Broker の設定で説明するように、構成された一意の専用 FQDN を使用して、Universal Broker サービスに接続します。
Universal Broker クライアントは、クラウド接続された各 Horizon ポッドの Horizon Cloud Connector 内で実行されます。このコネクタのバージョン 1.5 以降では、Universal Broker クライアントはそのコネクタの一部であり、Horizon Cloud Connector をポッドとペアリングすると自動的にインストールされます。
Universal Broker プラグインは、マルチクラウド割り当てに参加するすべてのクラウド接続ポッドの Horizon Connection Server 内で実行されます。Horizon ポッド - Connection Server への Universal Broker プラグインのインストールの説明に従って、参加するポッド内の各 Connection Server インスタンスにプラグインをダウンロードしてインストールする必要があります。

次の図は、Universal Broker が Horizon ポッド環境のコンポーネントと連携して、外部エンドユーザーから割り当て内のリモートリソースへの接続要求をどのように管理するかを示しています。

注：次に示すシナリオには、企業ネットワーク外の外部ネットワークに配置され、ポッドに外部 Unified Access Gateway が構成されている Horizon Client が含まれます。

Universal Broker のシステムアーキテクチャ（Horizon ポッド）

Horizon Client から、エンドユーザーは仲介の FQDN を介して Universal Broker サービスに接続することにより仮想デスクトップを要求します。このサービスは、XML-API プロトコルを使用して Horizon Client ユーザーを認証し、接続セッションを管理します。
サイト 1 のポッド 1 がデスクトップの最適なソースであると判断した後、Universal Broker サービスは、ポッド 1 とペアリングされた Horizon Cloud Connector で実行されている Universal Broker クライアントにメッセージを送信します。
Universal Broker クライアントは、ポッド 1 内のそれぞれの Connection Server インスタンスで実行されている Universal Broker プラグインにメッセージを転送します。
Universal Broker プラグインは、エンドユーザーの要求を満たすために使用できる最善のデスクトップを識別します。
Universal Broker サービスは、ポッド 1 の一意の FQDN（通常はポッド 1 ロードバランサの FQDN）を含む応答を Horizon Client に返します。Horizon Client は、ロードバランサとの接続を確立してデスクトップとのプロトコルセッションを要求します。
ローカルのロードバランサを通過した後、要求はポッド 1 の Unified Access Gateway に送信されます。Unified Access Gateway は、要求が信頼されていることを検証し、Blast Secure Gateway、PCoIP Secure Gateway、およびトンネルサーバを準備します。
Horizon Client ユーザーは指定のデスクトップを受信し、構成されたセカンダリプロトコル（Blast Extreme、PCoIP、または RDP）に基づいてセッションを確立します。

Universal Broker 通信に使用されるポートの詳細については、Horizon ポッド - Universal Broker の DNS、ポートおよびプロトコルの要件を参照してください。

Microsoft Azure の Horizon Cloud ポッドの Universal Broker のシステムアーキテクチャ

次のコンポーネントは、Microsoft Azure の Horizon Cloud ポッドからの VDI 割り当てと RDSH 割り当てのクラウドベースの仲介のための Universal Broker ソリューションを構成しています。

Universal Broker サービスは、Horizon Cloud に接続された Universal Broker クラウド内で実行されるマルチテナントクラウドサービスです。各ユーザーは、Universal Broker の設定で説明するように、構成された一意の専用 FQDN を使用して、Universal Broker サービスに接続します。
Universal Broker クライアントは、Microsoft Azure に参加している各 Horizon Cloud ポッド内で実行されます。

Microsoft Azure の Horizon Cloud ポッドの Universal Broker のシステムアーキテクチャ

Horizon Client から、エンドユーザーは仲介の FQDN を介して Universal Broker サービスに接続することにより仮想リソースを要求します。このサービスは、XML-API プロトコルを使用して Horizon Client ユーザーを認証し、接続セッションを管理します。
ユーザーの要求に最適なリソースがサイト 1 のポッド 1 にあると判断した Universal Broker サービスは、ポッド 1 内で実行されている Universal Broker クライアントにメッセージを送信します。
Universal Broker クライアントは、そのメッセージをポッド 1 内のアクティブなポッドマネージャに転送します。
アクティブなポッドマネージャは、エンドユーザーの要求を満たすために使用できる最善のリソースを識別します。
Universal Broker サービスは、ポッド 1 の一意の FQDN（通常はポッド 1 の Microsoft Azure ロードバランサの FQDN）を含む応答を Horizon Client に返します。Horizon Client はロードバランサとの接続を確立し、リソースとのプロトコルセッションを要求します。
Microsoft Azure ロードバランサを通過した要求は、ポッド 1 の Unified Access Gateway に送信されます。Unified Access Gateway は、要求が信頼されていることを検証し、Blast Secure Gateway、PCoIP Secure Gateway、およびトンネルサーバを準備します。
Horizon Client ユーザーは指定のリソースを受信し、構成されたセカンダリプロトコル（Blast Extreme、PCoIP、または RDP）に基づいてセッションを確立します。

Universal Broker 通信に使用されるポートの詳細については、2019 年 9 月リリースのマニフェスト以降の Horizon Cloud ポッドのポートとプロトコルの要件の「Universal Broker で必要なポートとプロトコル」セクションを参照してください。

Universal Broker - 機能に関する注意事項と既知の制限

このドキュメントページでは、Universal Broker に関連するいくつかの機能の注意事項と、サポートが制限されている、またはサポートされていない Horizon 機能のリストを提供します。

機能に関する注意事項

Horizon ポッドと Horizon Cloud ポッドの両方を含むポッドフリートでは、作成する各エンドユーザー割り当ては、1 つのポッドタイプからの VDI デスクトップのみで構成する必要があります。たとえば、複数の Horizon ポッドにわたるデスクトップで構成される割り当てと、複数の Horizon Cloud ポッドにわたるデスクトップで構成される割り当てのいずれかを作成できます。しかし、Horizon ポッドと Horizon Cloud ポッドの両方にわたるデスクトップで構成される割り当てを作成することはできません。
テナントをシングルポッドブローカ構成から Universal Broker に移行した場合は、追加の注意事項が適用されます。Universal Broker への移行後のテナント環境の最新情報を参照してください。

VDI マルチクラウド割り当てあたりのポッドの最大数制限

1 つの VDI マルチクラウド割り当てでサポートされるポッドの最大数は 5 です。この制限は、Horizon Connection Server タイプのポッドと Horizon Cloud on Microsoft Azure タイプのポッドの両方に適用されます。5 つ以上使用すると、Universal Broker の同時負荷が増加します。同時負荷が増大することによって、エンドユーザーがクライアントで割り当ての表示タイルをクリックして、サービスがそのユーザーを仮想デスクトップにログインさせようとするときに、エラーが発生する可能性があります。

仮想リソース

仮想リソースの仲介の場合、このリリースの Universal Broker は Windows オペレーティングシステムのみをサポートします。Linux ベースのデスクトップはサポートされません。

このリリースでは、管理者が作成したデスクトップおよびアプリケーションへのショートカットをサポートしていません。

注：特定のユーザーは、1 つの割り当てに複数のポッドのデスクトップが含まれていても、Universal Broker によって仲介された専用割り当てから最大で 1 つの割り当てられたデスクトップを受信できます。

Horizon HTML Access と Horizon Client for Chrome

エンドユーザーは、サポートされている Web ブラウザで Horizon HTML Access を実行するか、Horizon Client for Chrome 5.4 以降を実行することにより、Universal Broker サービスにリソースを要求できます。Universal Broker サービスが自己署名証明書を使用する Unified Access Gateway インスタンスに要求をリダイレクトすると、クライアントアプリケーションは認証局が無効であることを示すエラーメッセージを表示します。

これは設計によるものです。要求されたリソースに接続するために、ユーザーは証明書エラーメッセージのプロンプトに従って自己署名証明書を受け入れることができます。

認証方法

このリリースの Universal Broker は、UPN および NETBIOS 形式の Windows ユーザー名とパスワードによるクライアントユーザー認証をサポートします。

次のリストに示すように、RADIUS または RSA を介した 2 要素認証も、テナントのポッドフリートの現在の状態に応じてサポートされます。

また、クライアントで Universal Broker を使用し、2 要素認証が構成されている場合のエンドユーザーエクスペリエンスについて説明している次のセクションも確認してください。現在の動作は、ポッドのゲートウェイ FQDN を直接使用する場合の動作とは異なります。

Horizon ポッドのみ

RADIUS と RSA SecurID の両方の認証がサポートされます。

Horizon Cloud on Microsoft Azure デプロイのみ

すべてのポッドがマニフェスト 3139.x 以降で、ポッドで [ポッドの編集] ウィザードを実行するときに RSA SecurID と RADIUS の両方のオプションが選択可能に表示されている場合、RSA SecurID と RADIUS の両方の認証がサポートされます。それ以外の場合は、RADIUS タイプのみがサポートされます。

Horizon ポッドと Horizon Cloud on Microsoft Azure デプロイの混在

混合フリートでサポートされる認証タイプは、 Horizon Cloud on Microsoft Azure デプロイが RSA SecurID オプションを構成するための条件を満たしているかによって異なります。

Horizon Cloud on Microsoft Azure デプロイがこれらの条件を満たしていない場合は、RADIUS 認証のみがサポートされます。
Horizon Cloud on Microsoft Azure デプロイがこれらの条件を満たす場合、RADIUS と RSA SecurID の両方の認証がサポートされます。

満たすべき条件とは、ポッドがマニフェスト 3139.x 以降を実行しており、ポッドで [ポッドを編集] ウィザードを開いたときに、RSA SecurID オプションと RADIUS オプションの両方が表示され、選択可能であることです。

2 要素認証が構成されている場合

2 要素認証が含まれている場合、ポッドのゲートウェイ FQDN を直接使用する場合のフローとは少し異なる Universal Broker FQDN を使用すると、エンドユーザーは 1 つの認証フローを経験します。

Universal Broker 認証フローでは、エンドユーザーは Windows Active Directory (AD) 認証情報を 2 回入力するように求められます。Universal Broker FQDN に最初に接続するときに 1 回入力し、構成された RADIUS または RSA SecurID システムで 2 要素認証を正常に完了した後にもう 1 回入力します。
ポッドのゲートウェイ認証フローを使用する場合、エンドユーザーは最初にポッドのゲートウェイ FQDN に接続するときに、Windows Active Directory (AD) 認証情報を 1 回入力するように求められます。

注： Universal Broker を使用するときに 2 つの Active Directory プロンプトが表示されないようにするには、 VMware Workspace ONE Access と統合し、 VMware Workspace ONE Access で 2 要素認証を構成することを検討してください。

現在サポートされていないユーザー認証およびアクセス方法

次のユーザー認証およびアクセス方法は、現在サポートされていません。

スマートカード
証明書
SAML 認証（VMware Workspace ONE との統合外）
現在のユーザーとしてログイン
匿名アクセス

サポート対象外のアイテムの 1 つがサポート対象になる場合、そのエントリは前のリストから削除され、サポートの発表は既存のクラウド接続ポッドを使用する現在のユーザー向け - Horizon Cloud Service リリースについてというタイトルのページに記載されます。このページでは、サポートが追加されたリリースに対応するセクションにステートメントが表示されます。

リモートデスクトップ機能

以下の機能は今回のリリースの Universal Broker ではサポートされていません。

URL コンテンツリダイレクト
セッション共同作業

その他の機能

このリリースの Universal Broker では、次の機能もサポートされていません。

キオスクモード
タイミングプロファイル（ユーザーセッションのトラブルシューティングに使用）
OPSWAT ベースのエンドポイントコンプライアンスチェック