この記事では、Universal Broker の使用をサポートするために Horizon Cloud テナント環境が満たす必要のある詳細なシステム要件について説明しま要件は、Universal Broker を Horizon ポッド(Horizon Connection Server テクノロジー ベース)用に構成するか、Microsoft Azure の Horizon Cloud ポッド用に構成するかによってわずかに異なります。
Horizon Cloud Connector によって Horizon Cloud に接続されている Horizon ポッドの要件
Horizon Cloud Connector によってクラウド サービスに接続されている Universal Broker の使用をサポートするには、システム環境が次の要件を満たしている必要があります。
- 主要コンポーネントのソフトウェア バージョン:
-
- Horizon ポッド - Connection Server への Universal Broker プラグインのインストールで説明するように、各ポッドは、バージョン 7.11 以降の Horizon Connection Server を実行し、有効なライセンスを持ち、Connection Server に適切な Universal Broker プラグイン バージョンがインストールされている必要があります。
各ポッドと Connection Server は、特定の Connection Server バージョンの製品ドキュメント(VMware Horizon ドキュメントまたはVMware Horizon 7 のドキュメント)に従って有効なインストールを行う必要があります。
- 各ポッドは、バージョン 1.6 以降の Horizon Cloud Connector を使用して Horizon Cloud にクラウド接続されている必要があります。1.6 は非常に古いバージョンの Horizon Cloud Connector であり、新しいポッドのオンボーディングではサポートされていないことに注意してください。このバージョンは、Universal Broker が利用可能になった最初のバージョンであるため、完全を期すためにここに記載されています。新しいオンボーディングは、Horizon Cloud Connector バージョン
N
、N-1
、N-2
を使用してサポートされます。N
は、本書の執筆時点で利用可能な最新の Horizon Cloud Connector バージョンです。 - コネクタのバージョン 1.8 または 1.9 に関する特記:Universal Broker は、コネクタで実行されているクラウド ブローカ クライアント サービス (CBCS) を使用してポッドと通信します。Horizon ポッドが Horizon Cloud Connector 1.8 または 1.9 を使用している場合、フル機能プロファイルを使用して Horizon Cloud Connector をデプロイした場合、または基本機能プロファイルを使用してデプロイし、コネクタ用にクラウド ブローカ クライアント サービス (CBCS) を手動で有効にした場合、Universal Broker がサポートされます。このセットアップで CBCS を手動で有効にする手順については、バージョン 1.8 または 1.9 のサービスを手動で有効にするを参照してください。
- ネイティブの Amazon EC2 デプロイで Horizon Cloud Connector を使用してクラウド接続された Horizon ポッドに関する特記:そのポッドに Universal Broker を使用するには、そのアプライアンスでクラウド ブローカ クライアント サービス (CBCS) の使用を手動で有効にする必要があります。これは、そのサービスがネイティブの Amazon EC2 デプロイでデフォルトで無効になるためです。このセットアップで CBCS の使用を手動で有効にする方法については、ネイティブの Amazon EC2 の Horizon Cloud Connector のサービスを手動で有効にするを参照してください。
- Horizon ポッド - Connection Server への Universal Broker プラグインのインストールで説明するように、各ポッドは、バージョン 7.11 以降の Horizon Connection Server を実行し、有効なライセンスを持ち、Connection Server に適切な Universal Broker プラグイン バージョンがインストールされている必要があります。
- 特定のエンドユーザー シナリオごとの要件:
-
- Universal Broker で 2 要素認証を使用する場合
-
- Universal Broker でいずれかのエンド ユーザーに 2 要素認証を使用する場合は、Horizon ポッド上のセキュリティ サーバを外部 Unified Access Gateway アプライアンス(バージョン 3.8 以降)に置き換える必要があります。
- また、Universal Broker がサポートする適切な 2 要素認証サービスを使用して、外部 Unified Access Gateway を構成する必要があります。Universal Broker 環境で 2 要素認証を実装する際のベスト プラクティスに記載されているガイダンスと基準に従ってください。
- ユーザーがすべて内部ユーザーで、直接接続を使用する必要がある場合
- すべてのユーザーが常に内部ネットワークからアクセスする場合は、直接接続で Universal Broker を使用できます。直接接続では、このようなエンド ユーザーのセッションは、ユーザーの Horizon Client または Web クライアントと仮想デスクトップおよびリモート アプリケーション(VDI および RDSH)の間で直接確立されます。この場合、コンソールの 機能を使用して IP アドレスも指定し、 Universal Broker がエンドユーザー トラフィックが内部ネットワークから来ていることを認識している限り、 Unified Access Gateway インスタンスは必要ありません。これらの IP アドレスを指定せず、エンド ユーザーがすべて内部ユーザーの場合、セッションに接続するには、ポッドに内部 Unified Access Gateway アプライアンス(バージョン 3.8 以降)が必要です。どちらの場合でも、セキュリティ サーバは必要ありません。ポッドに含まれるセキュリティ サーバを削除することもできます。
- 内部ユーザーと外部ユーザーの両方があり、 Universal Broker で 2 要素認証を構成したい場合
- Universal Broker は接続中のユーザーがいつ内部ネットワーク上に存在するかを判断でき、それをそのユーザーの直接接続と見なします。逆に、 で IP アドレスを指定しない場合、 Universal Broker はすべてのエンドユーザー接続を外部として扱い、外部 Unified Access Gateway アプライアンスに接続を送信します。 機能を使用して IP アドレスを指定する場合、
- 前述のシナリオに従って、 Unified Access Gateway が関係している場合:
-
- 各 Unified Access Gateway インスタンスを、ペアリングされた Connection Server への接続要求に対するプロキシ サーバとして構成します。各 Unified Access Gateway インスタンスが 1 つのポッドのみとペアリングされていることを確認します。
- ポッドに内部 Unified Access Gateway インスタンスのみが含まれている場合(外部インスタンスなし)、Universal Broker は で指定された IP アドレス範囲をオーバーライドし、IP アドレスに関係なく、すべてのユーザーをその内部 Unified Access Gateway インスタンスにルーティングします。 で IP アドレス範囲が指定されていない場合、仮想デスクトップとリモート アプリケーションの起動はその内部 Unified Access Gateway によって異なります。
- DNS 名、ポート、プロトコル:
-
- Horizon ポッド - Universal Broker の DNS、ポートおよびプロトコルの要件で説明するように、各ポッドが必要なポートとプロトコルで構成されている必要があります。
- Unified Access Gateway が必要なシナリオで Universal Broker がエンドユーザー トラフィックを適切にルーティングすることをサポートするには、ポッドが Unified Access Gateway で構成されている場合、すべての DNS 名が内部および外部 DNS サーバに適切にマッピングされていることを確認する必要があります。ポッドが内部と外部の両方の Unified Access Gateway を構成している場合は、内部と外部の構成で異なる FQDN を指定することも、同じ FQDN とスプリット DNS ゾーンで構成されたポッドのロード バランサを使用して構成することもできます。
- デスクトップ プール:
- エンドユーザー セッションを起動するには、デスクトップ プールは、参加しているポッド上に、Windows オペレーティング システムを実行している仮想マシンに基づいて構成する必要があります。さらに、 Horizon ポッド - マルチクラウド割り当てに使用する既存のデスクトップ プールを準備するで説明するように、プールの構成は Universal Broker の要件を満たす必要があります。
Microsoft Azure Horizon Cloud ポッドの要件
Universal Broker で使用するには、Microsoft Azure に参加している各 Horizon Cloud ポッドが次の要件を満たしている必要があります。
- 2020 年 7 月リリースのマニフェスト (2298.0) 以降で Microsoft Azure に新規でデプロイされている必要があります
注: Universal Broker は、 [すべて] の Horizon Cloud ポッドがマニフェスト 2298.0 以降でデプロイされている場合にのみ使用できます。いずれの Horizon Cloud ポッドがマニフェスト 2298.0 より前でデプロイされている場合、 Universal Broker は Horizon Cloud ポッドで使用可能な仲介オプションではありません。
- インターネットからのエンドユーザー接続を許可する場合、または 2 要素認証を使用する場合は、ポッドで外部 Unified Access Gateway 構成が必要です。
注: 各 Unified Access Gateway インスタンスが 1 つのポッドのみとペアリングされていることを確認します。注: ポッドに内部 Unified Access Gateway インスタンスだけが含まれる場合、 Universal Broker は [ブローカ] ページの [ネットワーク範囲] タブで定義されたネットワーク ポリシーを上書きし、IP アドレスに関係なく、すべてのユーザーをその Unified Access Gateway インスタンスにルーティングします。
特定のユースケースをサポートするには、ポッドが次の追加要件を満たしている必要があります。
- 内部および外部のネットワーク トラフィックを Universal Broker からそれぞれの内部および外部の DNS サーバにルーティングするには、各ポッドで内部と外部の両方の Unified Access Gateway インスタンスが構成されている必要があります。内部および外部の Unified Access Gateway インスタンスは、別の FQDN を使用して構成することも、同じ FQDN およびスプリット DNS ゾーンで構成されたポッドのロード バランサを使用して構成することもできます。
- Universal Broker で 2 要素認証を使用するには、適切な 2 要素認証サービスを使用して、ポッドに少なくとも 1 つの外部 Unified Access Gateway インスタンスが構成されている必要があります。同じ 2 要素認証サービスを使用するには、参加しているすべてのポッドにまたがるすべての外部 Unified Access Gateway インスタンスを構成する必要があります。Universal Broker 環境で 2 要素認証を実装する際のベスト プラクティスに記載されているガイダンスと基準に従ってください。
- 地域の Universal Broker インスタンスに必要な DNS 名が解決可能であり、アクセス可能であるように構成されている。Microsoft Azure での Horizon Cloud ポッドの DNS の要件の「ポッドのデプロイと操作に関する DNS の要件」の表を参照してください。
- 必要なポートとプロトコルが構成されている(2019 年 9 月リリースのマニフェスト以降の Horizon Cloud ポッドのポートとプロトコルの要件の「Universal Broker で必要なポートとプロトコル」セクションを参照)
- 健全な状態。[キャパシティ] ページで、健全な状態のポッドの場合は [ステータス] 列に緑色のドットが表示され、ポッドがオンラインで、準備ができていることを示します。
クライアント要件
Universal Broker に関連するクライアントの要件については、Horizon Cloud - 利用可能な環境、オペレーティング システムのサポート、VMware エコシステム内の緊密な連携、および互換性情報のトピック内に記載されている Horizon Client の情報を参照してください。