この記事では、Horizon 制御プレーン サービスの 1 つである Universal Broker について簡単に説明します。Universal Broker はクラウドベースのサービスで、実行中のインフラストラクチャに関係なく、複数のポッドのデプロイにまたがるリソースの仲介を可能にします。このサービスにより、ユーザーとポッドの地理的サイトに基づいてインテリジェントな仲介を決定できます。
Universal Broker の概要
VMware の最新のクラウドベースの仲介テクノロジーである Universal Broker は、テナントに次の 1 つ以上がある場合に使用できます。
- Horizon ポッド - Horizon Connection Server テクノロジーに基づくポッド
- Horizon Cloud on Microsoft Azure ポッド、およびポッド マニフェスト 2298.0 以降を実行しているすべてのポッド。
Universal Broker ソリューションのシステム コンポーネントがどのように連携して割り当てに対するユーザーの接続要求を管理するかの詳細については、Universal Broker のシステム アーキテクチャとコンポーネントを参照してください。
主な特長
Universal Broker は、次の主要な機能を提供します。
- [すべてのリモート リソースの単一の接続 FQDN]
エンド ユーザーは、Universal Broker の設定で定義した完全修飾ドメイン名 (FQDN) に接続することにより、環境内のマルチクラウド割り当てにアクセスできます。ユーザーは、単一の Universal Broker FQDN を使用して、ご使用の環境内の任意のサイトにある任意の参加しているポッドから割り当てにアクセスできます。ポッド間の内部ネットワークは必要ありません。
- [最適なパフォーマンスのためのグローバル ポッド接続と認識]
Universal Broker は、マルチクラウド割り当てに参加しているすべてのポッドとの直接接続を維持し、各ポッドの可用性ステータスを引き続き認識します。その結果、Universal Broker はエンド ユーザーの接続要求を管理し、これらのポッドから直接仮想リソースにルーティングできます。パフォーマンスの低下や遅延の問題の原因となる、グローバル サーバ ロード バランシング (GSLB) やポッド間のネットワーク通信を行う必要はありません。
- [スマート仲介]
Universal Broker は、地理的サイトとポッド トポロジの認識に基づいて、最短のネットワーク ルートに沿って割り当てからエンド ユーザーにリソースを仲介できます。
仲介およびエンド ユーザーのデスクトップ プールとリモート アプリケーション
割り当ては、Horizon Universal Console 内の概念的なエンティティです。コンソールを使用して行う割り当ては、エンド ユーザーの仮想デスクトップとリモート アプリケーションのプールを定義し、それらの使用資格をエンド ユーザーに付与する方法です。たとえば、コンソールでは、VDI デスクトップの割り当てまたは RDSH リソースの割り当てを作成し、その割り当ての使用資格をエンド ユーザーに付与します。
Universal Broker は、資格のある割り当てに対するクライアント ユーザーの接続要求を管理し、その要求を満たす適切なリソースへの接続セッションをネゴシエートします。Universal Broker は、地理的な場所とポッド トポロジを認識します。この情報を使用して、Universal Broker は、サイトの構成とリソースの可用性に基づいてユーザーの接続要求を満たすのに最適なリソースを検索します。
ポッド タイプ別に使用可能な割り当てタイプのリストについては、次のセクションを参照してください。
Microsoft Azure にデプロイされた Horizon Cloud ポッドのリソースを使用したエンド ユーザー割り当て
ポッド フリート内の Horizon Cloud ポッドの Universal Broker 構成が完了すると、次の割り当てタイプが可能になります。
- 1 つ以上の Horizon Cloud ポッドからの VDI デスクトップで構成されるマルチクラウド割り当て。詳細については、Microsoft Azure の Horizon Cloud ポッド - 第 1 世代環境での VDI マルチクラウド割り当ての作成と表示を参照してください。
- 単一の Horizon Cloud ポッド内の Microsoft リモート デスクトップ サービス (RDS) ホストからのセッションベースのデスクトップで構成されるセッション デスクトップ割り当て。詳細については、Horizon Cloud ポッド - RDS ベースのセッション デスクトップ割り当てを作成して、エンド ユーザーのために RDS ホストからのデスクトップ セッションを提供するを参照してください。
- Horizon Cloud ポッド内の RDS ホストによってプロビジョニングされたアプリケーションで構成されるリモート アプリケーション割り当て。詳細については、リモート アプリケーション - Microsoft Azure の Horizon Cloud ポッドによってプロビジョニングされたリモート アプリケーションのリモート アプリケーション割り当ての作成を参照してください。
- Horizon Cloud ポッド内の VDI デスクトップにホストされている App Volumes アプリケーションで構成される App Volumes アプリケーション割り当て。詳細については、Horizon Cloud:App Volumes 割り当ての作成を参照してください。
クラウド接続された Horizon ポッドからのリソースを使用したエンド ユーザーの割り当て
ポッド フリート内の Horizon ポッドの Universal Broker 構成が完了すると、次の割り当てタイプが可能になります。
- 1 つ以上の Horizon ポッドからの VDI デスクトップで構成されるマルチクラウド割り当て。Horizon Cloud テナントのクラウド接続された Horizon ポッドのリソースに基づいたマルチクラウド割り当ての構成に関する概要情報については、第 1 世代 Horizon Cloud Universal Broker とマルチクラウド割り当てを参照してください。
- 単一の Horizon ポッド内の Microsoft リモート デスクトップ サービス (RDS) ホストからのセッションベースのデスクトップで構成されるセッション デスクトップ割り当て。詳細については、Horizon ポッド - Universal Broker 環境用の RDSH デスクトップとアプリケーションの構成を参照してください。
- 単一の Horizon ポッド内の RDS ホストによってプロビジョニングされたアプリケーションで構成されるリモート アプリケーション割り当て。詳細については、Horizon ポッド - Universal Broker 環境用の RDSH デスクトップとアプリケーションの構成を参照してください。
注
ほとんどのソフトウェアと同様に、現在のリリースには機能に関する考慮事項と既知の制限がいくつかあります。詳細については、Universal Broker - 機能に関する注意事項と既知の制限を参照してください。
Universal Broker のシステム アーキテクチャとコンポーネント
この記事では、参加しているポッド内および Horizon Cloud 制御プレーンで実行される Universal Broker のシステム コンポーネントについて詳しく説明します。Universal Broker は VMware の最新のクラウドベースの仲介テクノロジーを表し、新しいデプロイでのエンド ユーザー割り当てにはこのコネクション ブローカが推奨されます。
Universal Broker の主な機能の概要については、VMware Horizon Service Universal Broker についてを参照してください。
Universal Broker ソリューションのシステム アーキテクチャは、仲介されたリソースの配置先が Horizon ポッド(Horizon Connection Server テクノロジー ベース)か、Microsoft Azure の Horizon Cloud ポッドかによってやや異なります。
Universal Broker のシステム アーキテクチャ(Horizon ポッド)
次のコンポーネントは、Horizon ポッド(Horizon Connection Server テクノロジー ベース)からのマルチクラウド割り当てのクラウドベースの仲介のための Universal Broker ソリューションを構成しています。
- Universal Broker サービスは、Horizon Cloud に接続された Universal Broker クラウド内で実行されるマルチテナント クラウド サービスです。各ユーザーは、Universal Broker の設定で説明するように、構成された一意の専用 FQDN を使用して、Universal Broker サービスに接続します。
- Universal Broker クライアントは、クラウド接続された各 Horizon ポッドの Horizon Cloud Connector 内で実行されます。このコネクタのバージョン 1.5 以降では、Universal Broker クライアントはそのコネクタの一部であり、Horizon Cloud Connector をポッドとペアリングすると自動的にインストールされます。
- Universal Broker プラグインは、マルチクラウド割り当てに参加するすべてのクラウド接続ポッドの Horizon Connection Server 内で実行されます。Horizon ポッド - Connection Server への Universal Broker プラグインのインストールの説明に従って、参加するポッド内の各 Connection Server インスタンスにプラグインをダウンロードしてインストールする必要があります。
次の図は、Universal Broker が Horizon ポッド環境のコンポーネントと連携して、外部エンド ユーザーから割り当て内のリモート リソースへの接続要求をどのように管理するかを示しています。
- Horizon Client から、エンド ユーザーは仲介の FQDN を介して Universal Broker サービスに接続することにより仮想デスクトップを要求します。このサービスは、XML-API プロトコルを使用して Horizon Client ユーザーを認証し、接続セッションを管理します。
- サイト 1 のポッド 1 がデスクトップの最適なソースであると判断した後、Universal Broker サービスは、ポッド 1 とペアリングされた Horizon Cloud Connector で実行されている Universal Broker クライアントにメッセージを送信します。
- Universal Broker クライアントは、ポッド 1 内のそれぞれの Connection Server インスタンスで実行されている Universal Broker プラグインにメッセージを転送します。
- Universal Broker プラグインは、エンド ユーザーの要求を満たすために使用できる最善のデスクトップを識別します。
- Universal Broker サービスは、ポッド 1 の一意の FQDN(通常はポッド 1 ロード バランサの FQDN)を含む応答を Horizon Client に返します。Horizon Client は、ロード バランサとの接続を確立してデスクトップとのプロトコル セッションを要求します。
- ローカルのロード バランサを通過した後、要求はポッド 1 の Unified Access Gateway に送信されます。Unified Access Gateway は、要求が信頼されていることを検証し、Blast Secure Gateway、PCoIP Secure Gateway、およびトンネル サーバを準備します。
- Horizon Client ユーザーは指定のデスクトップを受信し、構成されたセカンダリ プロトコル(Blast Extreme、PCoIP、または RDP)に基づいてセッションを確立します。
Universal Broker 通信に使用されるポートの詳細については、Horizon ポッド - Universal Broker の DNS、ポートおよびプロトコルの要件を参照してください。
Microsoft Azure の Horizon Cloud ポッドの Universal Broker のシステム アーキテクチャ
次のコンポーネントは、Microsoft Azure の Horizon Cloud ポッドからの VDI 割り当てと RDSH 割り当てのクラウドベースの仲介のための Universal Broker ソリューションを構成しています。
- Universal Broker サービスは、Horizon Cloud に接続された Universal Broker クラウド内で実行されるマルチテナント クラウド サービスです。各ユーザーは、Universal Broker の設定で説明するように、構成された一意の専用 FQDN を使用して、Universal Broker サービスに接続します。
- Universal Broker クライアントは、Microsoft Azure に参加している各 Horizon Cloud ポッド内で実行されます。
- Horizon Client から、エンド ユーザーは仲介の FQDN を介して Universal Broker サービスに接続することにより仮想リソースを要求します。このサービスは、XML-API プロトコルを使用して Horizon Client ユーザーを認証し、接続セッションを管理します。
- ユーザーの要求に最適なリソースがサイト 1 のポッド 1 にあると判断した Universal Broker サービスは、ポッド 1 内で実行されている Universal Broker クライアントにメッセージを送信します。
- Universal Broker クライアントは、そのメッセージをポッド 1 内のアクティブなポッド マネージャに転送します。
- アクティブなポッド マネージャは、エンド ユーザーの要求を満たすために使用できる最善のリソースを識別します。
- Universal Broker サービスは、ポッド 1 の一意の FQDN(通常はポッド 1 の Microsoft Azure ロード バランサの FQDN)を含む応答を Horizon Client に返します。Horizon Client はロード バランサとの接続を確立し、リソースとのプロトコル セッションを要求します。
- Microsoft Azure ロード バランサを通過した要求は、ポッド 1 の Unified Access Gateway に送信されます。Unified Access Gateway は、要求が信頼されていることを検証し、Blast Secure Gateway、PCoIP Secure Gateway、およびトンネル サーバを準備します。
- Horizon Client ユーザーは指定のリソースを受信し、構成されたセカンダリ プロトコル(Blast Extreme、PCoIP、または RDP)に基づいてセッションを確立します。
Universal Broker 通信に使用されるポートの詳細については、2019 年 9 月リリースのマニフェスト以降の Horizon Cloud ポッドのポートとプロトコルの要件の「Universal Broker で必要なポートとプロトコル」セクションを参照してください。
Universal Broker - 機能に関する注意事項と既知の制限
このドキュメント ページでは、Universal Broker に関連するいくつかの機能の注意事項と、サポートが制限されている、またはサポートされていない Horizon 機能のリストを提供します。
機能に関する注意事項
- Horizon ポッドと Horizon Cloud ポッドの両方を含むポッド フリートでは、作成する各エンド ユーザー割り当ては、1 つのポッド タイプからの VDI デスクトップのみで構成する必要があります。たとえば、複数の Horizon ポッドにわたるデスクトップで構成される割り当てと、複数の Horizon Cloud ポッドにわたるデスクトップで構成される割り当てのいずれかを作成できます。しかし、Horizon ポッドと Horizon Cloud ポッドの両方にわたるデスクトップで構成される割り当てを作成することはできません。
- テナントをシングルポッド ブローカ構成から Universal Broker に移行した場合は、追加の注意事項が適用されます。Universal Broker への移行後のテナント環境の最新情報を参照してください。
VDI マルチクラウド割り当てあたりのポッドの最大数制限
1 つの VDI マルチクラウド割り当てでサポートされるポッドの最大数は 5 です。この制限は、Horizon Connection Server タイプのポッドと Horizon Cloud on Microsoft Azure タイプのポッドの両方に適用されます。5 つ以上使用すると、Universal Broker の同時負荷が増加します。同時負荷が増大することによって、エンド ユーザーがクライアントで割り当ての表示タイルをクリックして、サービスがそのユーザーを仮想デスクトップにログインさせようとするときに、エラーが発生する可能性があります。
仮想リソース
仮想リソースの仲介の場合、このリリースの Universal Broker は Windows オペレーティング システムのみをサポートします。Linux ベースのデスクトップはサポートされません。
このリリースでは、管理者が作成したデスクトップおよびアプリケーションへのショートカットをサポートしていません。
Horizon HTML Access と Horizon Client for Chrome
エンド ユーザーは、サポートされている Web ブラウザで Horizon HTML Access を実行するか、Horizon Client for Chrome 5.4 以降を実行することにより、Universal Broker サービスにリソースを要求できます。Universal Broker サービスが自己署名証明書を使用する Unified Access Gateway インスタンスに要求をリダイレクトすると、クライアント アプリケーションは認証局が無効であることを示すエラー メッセージを表示します。
これは設計によるものです。要求されたリソースに接続するために、ユーザーは証明書エラー メッセージのプロンプトに従って自己署名証明書を受け入れることができます。
認証方法
このリリースの Universal Broker は、UPN および NETBIOS 形式の Windows ユーザー名とパスワードによるクライアント ユーザー認証をサポートします。
次のリストに示すように、RADIUS または RSA を介した 2 要素認証も、テナントのポッド フリートの現在の状態に応じてサポートされます。
また、クライアントで Universal Broker を使用し、2 要素認証が構成されている場合のエンドユーザー エクスペリエンスについて説明している次のセクションも確認してください。現在の動作は、ポッドのゲートウェイ FQDN を直接使用する場合の動作とは異なります。
- Horizon ポッドのみ
- RADIUS と RSA SecurID の両方の認証がサポートされます。
- Horizon Cloud on Microsoft Azure デプロイのみ
- すべてのポッドがマニフェスト 3139.x 以降で、ポッドで [ポッドの編集] ウィザードを実行するときに RSA SecurID と RADIUS の両方のオプションが選択可能に表示されている場合、RSA SecurID と RADIUS の両方の認証がサポートされます。それ以外の場合は、RADIUS タイプのみがサポートされます。
- Horizon ポッドと Horizon Cloud on Microsoft Azure デプロイの混在
-
混合フリートでサポートされる認証タイプは、
Horizon Cloud on Microsoft Azure デプロイが RSA SecurID オプションを構成するための条件を満たしているかによって異なります。
- Horizon Cloud on Microsoft Azure デプロイがこれらの条件を満たしていない場合は、RADIUS 認証のみがサポートされます。
- Horizon Cloud on Microsoft Azure デプロイがこれらの条件を満たす場合、RADIUS と RSA SecurID の両方の認証がサポートされます。
満たすべき条件とは、ポッドがマニフェスト 3139.x 以降を実行しており、ポッドで [ポッドを編集] ウィザードを開いたときに、RSA SecurID オプションと RADIUS オプションの両方が表示され、選択可能であることです。
2 要素認証が構成されている場合
2 要素認証が含まれている場合、ポッドのゲートウェイ FQDN を直接使用する場合のフローとは少し異なる Universal Broker FQDN を使用すると、エンド ユーザーは 1 つの認証フローを経験します。
- Universal Broker 認証フローでは、エンド ユーザーは Windows Active Directory (AD) 認証情報を 2 回入力するように求められます。Universal Broker FQDN に最初に接続するときに 1 回入力し、構成された RADIUS または RSA SecurID システムで 2 要素認証を正常に完了した後にもう 1 回入力します。
- ポッドのゲートウェイ認証フローを使用する場合、エンド ユーザーは最初にポッドのゲートウェイ FQDN に接続するときに、Windows Active Directory (AD) 認証情報を 1 回入力するように求められます。
現在サポートされていないユーザー認証およびアクセス方法
次のユーザー認証およびアクセス方法は、現在サポートされていません。
- スマート カード
- 証明書
- SAML 認証(VMware Workspace ONE との統合外)
- 現在のユーザーとしてログイン
- 匿名アクセス
サポート対象外のアイテムの 1 つがサポート対象になる場合、そのエントリは前のリストから削除され、サポートの発表は既存のクラウド接続ポッドを使用する現在のユーザー向け - Horizon Cloud Service リリースについてというタイトルのページに記載されます。このページでは、サポートが追加されたリリースに対応するセクションにステートメントが表示されます。
リモート デスクトップ機能
以下の機能は今回のリリースの Universal Broker ではサポートされていません。
- URL コンテンツ リダイレクト
- セッション共同作業
その他の機能
このリリースの Universal Broker では、次の機能もサポートされていません。
- キオスク モード
- タイミング プロファイル(ユーザー セッションのトラブルシューティングに使用)
- OPSWAT ベースのエンドポイント コンプライアンス チェック