このセクションでは、製品のデプロイでリモート アクセス マネージャ (dtRAM) に代わる Unified Access Gateway(旧称 Access Point)の設定プロセスについて説明します。
Unified Access Gateway は、VMware が開発したエンドユーザー コンピューティング (EUC) アプライアンスであり、プライベート クラウドまたはパブリック クラウドにデプロイされたエンタープライズ EUC 製品へのアクセスを管理する専用ゲートウェイ(またはリバース プロキシ)として機能します。これは、以前さまざまなエンタープライズ EUC 製品に実装されていた機能を統合し、環境内で複数の EUC 製品を使用するユーザーのデプロイ作業を簡素化します。
Unified Access Gateway への移行には、次のようなメリットがあります。
- Unified Access Gateway に移行するユーザーは、ファイアウォールのオープンポートを 443、4172、8443 に減らすことができます。
- Unified Access Gateway は、証明書が仮想デスクトップ上で不要になるように、HTML Access (Blast) の SSL 証明書を適切に処理します。
注: Unified Access Gateway を経由しない内部アクセスの場合、デスクトップには SSL 証明書が必要です。
基本機能
Unified Access Gateway の基本機能は次のとおりです。
- クライアントはリバース プロキシに接続し、応答が返されると、クライアントはそれを傍受します。
- 接続は、ブラウザまたはクライアントのいずれかによって確立できます。
- 仮想デスクトップ セッションが確立されると、ユーザーが選択したプロトコルに応じて、PCoIP SG、Blast SG、または View Tunnel を仮想デスクトップ トラフィックに使用することができます。トンネルは、RDP プロトコルおよび USB 接続に使用されます。
デプロイで使用される Unified Access Gateway には、次の特徴があります。
- 認証は行われません(少なくとも最初のリリースでは)。認証の責任はテナント アプライアンス内に残ります。
- エンドユーザーが企業ネットワークの外部からソリューションにアクセスしている場合、すべての通信が Unified Access Gateway 経由でプロキシされます。次の機能が含まれます。
- すべての View 固有のプロトコル処理(XMLAPI、PCoIP など)
- 任意のテナント アプライアンスの通信
Unified Access Gateway と dtRAM の比較
dtRAM と Unified Access Gateway の主な違いについては、次の表で説明します。
dtRAM(現在サポートされていません) | Unified Access Gateway |
---|---|
テナント アプライアンスは dtRAM の前に配置され、その動作を制御する | Unified Access Gateway アプライアンスはテナント アプライアンスの前に配置されるため、テナントはその存在を認識しません。テナントは、この新しいアーキテクチャの変化に対応するためにソフトウェアの変更を必要とします。 |
インストールされている PSG(または BSG またはトンネル)ゲートウェイを使用しない | インストールされている PSG(または BSG またはトンネル)ゲートウェイを使用する |
PCoIP などの幅広いポートをクライアントから使用する必要があり、アクセスを許可するためにユーザーがこれらのポートをすべて開く必要がある | PCoIP トラフィックはすべて標準ポート (4172) に送信されます。その他の単一ポートは、BSG およびトンネルに使用されます。 |
BSD ベースで、「pf」を使用してトラフィックを転送する | 組み込みのプロキシ機能を備えた Linux アプライアンス |
HA クラスタリングをサポート | ロード バランサの構成を選択した場合、HA クラスタリングが可能 |
送信元の IP アドレスに基づくトラフィックのみを検証できるため、セキュリティ上の脆弱性がある | 詳細なプロトコル検査技術を使用して、クライアントからのトラフィックが仮想デスクトップに渡される前に適切に検証されるようにする |
次に、Unified Access Gateway のパフォーマンスに関する考慮事項をいくつか示します。
- キャパシティ – Unified Access Gateway は、最大 2,000 の同時セッションでテストされていますが、システムが処理できるセッションの数は、送受信されるデータの量(ビデオ コンテンツなど)によって異なります。
- 監視 - 現在、Unified Access Gateway には内部監視ツールがありません。
- 再起動 - Unified Access Gateway の再起動操作を実行すると、すべてのアクティブなユーザーが切断されます。ユーザーのデスクトップ セッションはアクティブなままですが、ユーザーはデスクトップへのアクセスを回復するために接続を再確立する必要があります。Unified Access Gateway が複数の Unified Access Gateway を使用するロード バランシングされた構成でデプロイされている場合、アクティブまたは新規のユーザーはロード バランサを介して即座に再接続でき、接続は Unified Access Gateway の再起動中に別の Unified Access Gateway によって処理されます。
- 高可用性/フェイルオーバー - ロード バランサの構成を選択した場合、HA クラスタリングが可能になります(付録 A の例を参照)。