この記事では、Universal Broker の使用をサポートするために Horizon Cloud テナント環境が満たす必要のある詳細なシステム要件について説明しま要件は、Universal Broker を VMware SDDC ベースのプラットフォーム上の Horizon ポッド用に構成するか、Microsoft Azure の Horizon Cloud ポッド用に構成するかによってわずかに異なります。

Horizon Cloud Connector によって Horizon Cloud に接続されている Horizon ポッドの要件

Horizon Cloud Connector によってクラウド サービスに接続されている Universal Broker の使用をサポートするには、システム環境が次の要件を満たしている必要があります。

  • Horizon ポッド - Connection Server への Universal Broker プラグインのインストールで説明するように、各ポッドは有効なライセンスと Universal Broker プラグインがインストールされた Horizon Connection Server バージョン 7.11 以降を実行している必要があります。
  • 各ポッドは VMware Horizon ドキュメント または VMware Horizon 7 ドキュメント に従って構成する必要があります。『Horizon のインストール』ドキュメントの「VMware Horizon の初回構成」トピック、または『Horizon 7 のインストール』ドキュメントの「Horizon 7 の初回構成」トピックを参照してください。
  • 各ポッドは Horizon Cloud Connector バージョン 1.6 以降を使用して Horizon Cloud にクラウド接続されている必要があります。
    注: Horizon ポッドが Horizon Cloud Connector 1.8 または 1.9 を使用してクラウド接続されている場合、完全な機能プロファイルを使用して Horizon Cloud Connector をデプロイした場合、または基本機能プロファイルを使用してデプロイし、クラウド ブローカ クライアント サービスを手動で有効にした場合、 Universal Broker がサポートされます。詳細については、 Horizon Cloud Connector 1.8 または 1.9 の Horizon Cloud Services を手動で有効にするを参照してください。
  • Horizon ポッド - Universal Broker の DNS、ポートおよびプロトコルの要件で説明するように、各ポッドが必要なポートとプロトコルで構成されている必要があります。
  • 各ポッドのセキュリティ サーバは Unified Access Gateway アプライアンスのバージョン 3.8 以降に置き換える必要があります。各ポッドは、内部または外部の Unified Access Gateway インスタンスのいずれか、またはその両方を使用して構成する必要があります。内部と外部の両方のネットワーク アクセスに Unified Access Gateway が必要です。Direct Connect モードはサポートされていません。
    注:Unified Access Gateway インスタンスを、ペアリングされた Connection Server への接続要求に対するプロキシ サーバとして構成します。各 Unified Access Gateway インスタンスが 1 つのポッドのみとペアリングされていることを確認します。
    注: ポッドに内部 Unified Access Gateway インスタンスだけが含まれる場合、 Universal Broker は [ブローカ] ページの [ネットワーク範囲] タブで定義されたネットワーク ポリシーを上書きし、IP アドレスに関係なく、すべてのユーザーをその Unified Access Gateway インスタンスにルーティングします。

    特定のユースケースをサポートするには、ポッドが次の追加要件を満たしている必要があります。

    • 内部および外部のネットワーク トラフィックを Universal Broker からそれぞれの内部および外部の DNS サーバにルーティングするには、ポッドで内部と外部の両方の Unified Access Gateway インスタンスが構成されている必要があります。内部および外部の Unified Access Gateway インスタンスは、別の FQDN を使用して構成することも、同じ FQDN およびスプリット DNS ゾーンで構成されたポッドのロード バランサを使用して構成することもできます。
    • Universal Broker で 2 要素認証を使用するには、適切な 2 要素認証サービス(RADIUS または RSA SecurID のいずれか)を使用して、ポッドに少なくとも 1 つの外部 Unified Access Gateway インスタンスが構成されている必要があります。同じ 2 要素認証サービスを使用するには、参加しているすべてのポッドにまたがるすべての外部 Unified Access Gateway インスタンスを構成する必要があります。

    詳細については、Unified Access Gateway ドキュメントVMware Horizon ドキュメント、およびVMware Horizon 7 ドキュメントを参照してください。

  • デスクトップ プールは、参加しているポッド上に、Windows オペレーティング システムを実行している仮想マシンに基づいて構成する必要があります。さらに、Horizon ポッド - マルチクラウド割り当てに使用する既存のデスクトップ プールを準備するで説明するように、プールの構成は Universal Broker の要件を満たす必要があります。

Microsoft Azure Horizon Cloud ポッドの要件

Universal Broker の使用をサポートするには、Microsoft Azure に参加している各ポッドは以下の条件を満たしている必要があります。

  • 2020 年 7 月リリースのマニフェスト (2298.0) 以降で Microsoft Azure に新規でデプロイされている
    注: Universal Broker は、ポッド マニフェスト 2298.0 以降で [すべて]のポッドを Microsoft Azure にデプロイした場合にのみサポートされます。マニフェスト 2298.0 より前のリリースで Microsoft Azure にいずれかのポッドをデプロイしている場合、 Universal Broker は Microsoft Azure のポッドに対して使用可能な仲介方法ではありません。
  • 内部または外部の Unified Access Gateway インスタンスのいずれか、またはその両方を使用して構成します。内部と外部の両方のネットワーク アクセスに Unified Access Gateway 3.8 以降が必要です。Direct Connect モードはサポートされていません。
    注:Unified Access Gateway インスタンスが 1 つのポッドのみとペアリングされていることを確認します。
    注: ポッドに内部 Unified Access Gateway インスタンスだけが含まれる場合、 Universal Broker は [ブローカ] ページの [ネットワーク範囲] タブで定義されたネットワーク ポリシーを上書きし、IP アドレスに関係なく、すべてのユーザーをその Unified Access Gateway インスタンスにルーティングします。

    特定のユースケースをサポートするには、ポッドが次の追加要件を満たしている必要があります。

    • 内部および外部のネットワーク トラフィックを Universal Broker からそれぞれの内部および外部の DNS サーバにルーティングするには、各ポッドで内部と外部の両方の Unified Access Gateway インスタンスが構成されている必要があります。内部および外部の Unified Access Gateway インスタンスは、別の FQDN を使用して構成することも、同じ FQDN およびスプリット DNS ゾーンで構成されたポッドのロード バランサを使用して構成することもできます。
    • Universal Broker で 2 要素認証を使用するには、適切な RADIUS 認証サービスを使用して、ポッドに少なくとも 1 つの外部 Unified Access Gateway インスタンスが構成されている必要があります。同じ RADIUS 認証サービスを使用するには、参加しているすべてのポッドにまたがるすべての外部 Unified Access Gateway インスタンスを構成する必要があります。
    詳細については、Horizon Cloud ポッドのゲートウェイ構成の指定を参照してください。
  • 地域の Universal Broker インスタンスに必要な DNS 名が解決可能であり、アクセス可能であるように構成されている。Microsoft Azure での Horizon Cloud ポッドの DNS の要件の「ポッドのデプロイと操作に関する DNS の要件」の表を参照してください。
  • 必要なポートとプロトコルが構成されている(2019 年 9 月リリースのマニフェスト以降の Horizon Cloud ポッドのポートとプロトコルの要件の「Universal Broker で必要なポートとプロトコル」セクションを参照)
  • 健全な状態。[キャパシティ] ページで、健全な状態のポッドの場合は [ステータス] 列に緑色のドットが表示され、ポッドがオンラインで、準備ができていることを示します。

クライアント要件

Universal Broker によって仲介されるリモート リソースにアクセスするには、エンド ユーザーが次のクライアント アプリケーションのいずれかを実行している必要があります。

  • オペレーティング システムの場合は Horizon Client 5.4 以降。Windows ユーザーは、Horizon Client for Windows 5.3 以降を実行できます。

    エンド ユーザーは、Horizon HTML Access を使用して Web ブラウザから Universal Broker サービスに接続することもできます。

    注: Horizon HTML Access を使用する場合、Unified Access Gateway セットアップのロード バランサに構成されている SSL 証明書の共通名がロード バランサの名前と正確に一致し、既知の認証局 (CA) によって署名されている場合を除き、ユーザーが仲介されたデスクトップを開始すると、ブラウザに標準の「安全ではない」メッセージが表示されます。(証明書の共通名と、証明書のインストール先のホスト名との関係の詳細については、 https://support.dnsimple.com/articles/what-is-common-name/ を参照してください)。

クライアント リリースの詳細については、VMware Horizon Client のドキュメント ページを参照してください。

Universal Broker の接続 FQDN をエンド ユーザーに提供する必要があります。接続 FQDN の構成方法については、Universal Broker 設定の構成を参照してください。