DMZ에 있는 Unified Access Gateway 장치는 서버 또는 서버 그룹의 앞에 있는 로드 밸런서를 가리키도록 구성할 수 있습니다. Unified Access Gateway 장치는 HTTPS에 대해 구성된 표준 타사 로드 밸런싱 솔루션에서 작동합니다.

Unified Access Gateway 장치가 서버 앞의 로드 밸런서를 가리키는 경우에는 서버 인스턴스의 선택이 동적으로 이루어집니다. 예를 들어, 로드 밸런서에서 각 서버 인스턴스의 현재 세션 수에 대한 정보와 가용성을 기준으로 선택할 수 있습니다. 회사 방화벽 내의 서버 인스턴스에는 보통 내부 액세스를 지원하기 위한 로드 밸런서가 있습니다. Unified Access Gateway를 사용하면 Unified Access Gateway 장치가 이미 자주 사용되고 있는 이 로드 밸런서를 가리키도록 할 수 있습니다.

또는 하나 이상의 Unified Access Gateway 장치가 개별 서버 인스턴스를 가리키게 할 수도 있습니다. 두 가지 방법 모두 DMZ에서 두 개 이상의 Unified Access Gateway 장치 앞에 있는 로드 밸런서를 사용합니다.

그림 1. 로드 밸런서 뒤에 있는 여러 Unified Access Gateway 장치

Horizon 프로토콜

Horizon Client 사용자가 Horizon 환경에 연결할 때는 여러 다른 프로토콜이 사용됩니다. 첫 번째 연결은 항상 HTTPS를 통한 기본 XML-API 프로토콜입니다. 성공적인 인증 후에 하나 이상의 보조 프로토콜도 작성됩니다.
  • 기본 Horizon 프로토콜

    사용자가 Horizon Client에서 호스트 이름을 입력하면 기본 Horizon 프로토콜이 시작됩니다. 이는 인증 권한 부여 및 세션 관리를 위한 제어 프로토콜입니다. 이 프로토콜은 HTTPS를 통해 XML 구조화 메시지를 사용합니다. 이 프로토콜은 경우에 따라 Horizon XML-API 제어 프로토콜로 알려져 있습니다. 로드 밸런서 뒤에 있는 여러 Unified Access Gateway 장치 그림에 표시되어 있듯이 로드 밸런싱된 환경에서 로드 밸런서는 이 연결을 Unified Access Gateway 장치 중 하나로 라우팅합니다. 일반적으로 로드 밸런서는 먼저 가용성을 기준으로 장치를 선택한 다음 사용 가능한 장치 중에서 현재 세션 수가 가장 적은 장치를 기준으로 트래픽을 라우팅합니다. 이러한 구성은 여러 클라이언트의 트래픽을 사용 가능한 Unified Access Gateway 장치 집합으로 균일하게 분산합니다.

  • 보조 Horizon 프로토콜

    Horizon Client가 Unified Access Gateway 장치 중 하나에 대해 보안 통신을 설정하면 사용자가 인증을 받습니다. 이 인증 시도가 성공하면 Horizon Client로부터 하나 이상의 보조 연결이 설정됩니다. 이러한 보조 연결에는 다음이 포함될 수 있습니다.

    • RDP, MMR/CDR과 같은 TCP 프로토콜을 캡슐화하는 데 사용되는 HTTPS 터널 및 클라이언트 프레임워크 채널. (TCP 443)
    • Blast Extreme 디스플레이 프로토콜(TCP 443, TCP 8443, UDP 443 및 UDP 8443)
    • PCoIP 디스플레이 프로토콜(TCP 4172, UDP 4172)

이러한 보조 Horizon 프로토콜은 기본 Horizon 프로토콜이 라우팅된 동일한 Unified Access Gateway 장치로 라우팅되어야 합니다. 그런 다음 Unified Access Gateway는 인증된 사용자 세션을 기준으로 보조 프로토콜을 인증할 수 있습니다. Unified Access Gateway의 중요한 보안 기능은 트래픽이 인증된 사용자에 대한 것일 경우에만 Unified Access Gateway가 회사 데이터 센터로 트래픽을 전달한다는 것입니다. 보조 프로토콜이 기본 프로토콜 장치가 아닌 다른 Unified Access Gateway 장치로 잘못 라우팅되면 사용자가 인증되지 않고 DMZ에 배치됩니다. 연결은 실패합니다. 로드 밸런서가 잘못 구성된 경우 보조 프로토콜을 잘못 라우팅하는 문제가 일반적으로 발생합니다.

Content Gateway 및 터널 프록시에 대한 로드 밸런싱 고려 사항

Content Gateway 및 터널 프록시와 함께 로드 밸런서를 사용할 경우 다음 고려 사항에 유의하십시오.
  • 디바이스 연결 문제를 방지하기 위해 원래 HTTP 헤더를 전송하도록 로드 밸런서를 구성합니다. Content Gateway 및 터널 프록시는 요청 HTTP 헤더의 정보를 사용하여 디바이스를 인증합니다.
  • 애플리케이션별 터널 구성 요소는 연결이 설정된 후에 각 클라이언트의 인증이 필요합니다. 연결이 설정되면 클라이언트에 대해 세션이 생성되고 메모리에 저장됩니다. 그러면 데이터가 같은 키를 사용해서 암호화 및 암호 해독이 될 수 있도록 각 클라이언트 데이터에 동일한 세션이 사용됩니다. 로드 밸런싱 솔루션을 설계할 때 IP/세션 기반 지속성이 설정된 상태로 로드 밸런서를 구성해야 합니다. 대체 솔루션은 클라이언트 측에서 DNS 라운드 로빈을 사용하는 것입니다. 즉, 클라이언트는 각 연결에 대해 다른 서버를 선택할 수 있습니다.

상태 모니터링

로드 밸런서는 주기적으로 HTTPS GET /favicon.ico 요청을 전송하여 각 Unified Access Gateway 장치의 상태를 모니터링합니다. 예를 들어 https://uag1.myco-dmz.com/favicon.ico입니다. 이 모니터링은 로드 밸런서에 구성됩니다. 이 모니터링은 HTTPS GET을 수행하고 Unified Access Gateway에서 “정상”임을 알려주는 "HTTP/1.1 200 OK" 응답을 예상합니다. "HTTP/1.1 200 OK" 응답 이외의 응답을 가져오거나 어떤 응답도 가져오지 못하면 특정 Unified Access Gateway 장치를 중단 상태로 표시하고 클라이언트 요청을 장치에 라우팅하려고 시도하지 않습니다. 다시 사용할 수 있는 때를 감지할 수 있도록 계속 폴링합니다.

Unified Access Gateway"HTTP/1.1 200 OK" 응답을 사용하여 로드 밸런서 상태 모니터링 요청에 응답하지 않는 "중지" 모드가 될 수 있습니다. 대신 Unified Access Gateway 서비스를 일시적으로 사용할 수 없음을 나타내는 "HTTP/1.1 503"을 사용하여 응답합니다. 이 설정은 Unified Access Gateway 장치의 스케줄링된 유지 보수, 계획된 재구성 또는 계획된 업그레이드 이전에 종종 사용됩니다. 이 모드에서는 이 장치가 사용할 수 없음으로 표시되므로 로드 밸런서에서 새 세션을 보내지 않지만, 사용자가 연결을 끊거나 최대 세션 시간에 도달할 때까지 기존 세션을 계속 진행할 수 있습니다. 따라서 이 작업은 기존 사용자 세션에 영향을 주지 않습니다. 전체 세션 타이머의 최대 시간(일반적으로 10시간) 후에 장치를 유지 보수에 사용할 수 있습니다. 이 기능을 사용하여 Unified Access Gateway 장치 세트의 롤링 업그레이드를 수행하면 서비스에 대해 사용자 다운타임이 발생하지 않습니다.