아래 그림에서는 Horizon Cloud Service에 대한 네트워크 연결 옵션 2가지를 보여 줍니다. 첫 번째 옵션은 VPN 연결이 없는 Island 테넌트이고, 두 번째 옵션은 온 프레미스 데이터 센터에 연결하는 VPN 연결이 있는 테넌트입니다.

아래 다이어그램에서는 유틸리티 서버와 함께 Horizon Cloud Service 테넌트 장치 및 Unified Access Gateway 장치를 소개합니다.

그림 1. 테넌트 네트워크 아키텍처의 예

영역 이해

Horizon Cloud Service on IBM Cloud에서는 기능에 따라 서로 다른 리소스를 분리하는 영역을 설정합니다. Horizon Cloud Service에는 세 개의 영역이 있습니다. 각 영역은 Horizon Cloud Service 배포마다 고유하며 공유되지 않습니다.

영역 설명
보안 영역 외부 Unified Access Gateway 장치가 상주하는 DMZ(완충 보안 영역)입니다. Horizon Cloud Service 테넌트 환경에 대한 보안 원격 액세스를 지원합니다.
서비스 영역 테넌트 장치, 유틸리티 서버 및 내부 Unified Access Gateway 장치를 포함하여 Horizon Cloud Service가 호스팅되는 위치
데스크톱 영역 데스크톱 및 RDSH 서버를 호스팅합니다.

Horizon Cloud Service 장치

테넌트 장치에는 Horizon Cloud Service 관리 콘솔, Horizon Cloud Service 사용자 포털, 계정 구성 데이터베이스 및 데스크톱 매핑, 도메인 가입 정보 등이 포함됩니다. Unified Access Gateway 장치를 사용하면 Horizon Cloud Service 가상 데스크톱과 RDSH 호스팅 애플리케이션에 대한 내부 및 외부 연결 모두에 안전하게 액세스할 수 있습니다. 이중화 및 고가용성을 위해 각 장치가 2개씩 배포됩니다.

장치 설명
테넌트 장치 데스크톱 및 애플리케이션 브로커링, 프로비저닝 및 사용 권한 서비스를 제공하는 강화된 Linux 장치입니다. 서비스 영역의 일부인 최종 사용자 및 관리 포털을 호스팅하고 서비스 제공자에 상태 정보를 전달합니다.
Unified Access Gateway Horizon Cloud Service 환경에 대한 보안 원격 액세스를 제공하는 강화된 Linux 장치입니다. 보안 영역(외부 Horizon Cloud Service 액세스용) 및 서비스 영역(내부 Horizon Cloud Service 액세스용)의 일부입니다.
유틸리티 서버 기본적으로 서비스 설명에 다르게 명시된 경우가 아니면 유틸리티 서버 한 대는 무료로 제공되며 선택 사항입니다. 유틸리티 서버는 Horizon Cloud Service 테넌트에 서비스를 배치하기 위한 Active Directory, DNS, DHCP, UEM 또는 파일 서버일 수 있으며 네트워크(서비스 영역)에 연결됩니다.
Edge Gateway 장치 NAT, DHCP, VPN 및 로드 밸런서와 함께 보안 영역 및 가상화된 네트워크를 격리하기 위한 네트워크 Edge 보안 및 게이트웨이 서비스를 제공하는 게이트웨이입니다.

네트워크 보안

Horizon Cloud Service는 Edge Gateway 장치를 사용하여 데스크톱, RDSH 서버 및 관리 장치가 상주하는 Horizon Cloud Service 테넌트를 들어오고 나가는 모든 관리 트래픽, VPN 및 Direct Connect 연결을 관리합니다.

관리 장치와 조직의 네트워크 환경 간에 추가적인 버퍼링을 원하는 경우 내부 및 원격 사용자와 해당 사용자에게 필요한 모든 애플리케이션 및 서비스에 대해 필요한 모든 포트가 사용하도록 설정되어 있으면 회사에서 관리하는 방화벽 정책을 배포하는 것을 고려하십시오.

Unified Access Gateway 이해

VMware Unified Access Gateway(이전의 VMware Access Point)는 Horizon Cloud Service 환경에 대한 보안 원격 액세스를 허용하는 강화된 Linux 가상 장치입니다. 사용자가 공용 인터넷을 통한 외부 연결을 사용하는 경우(트래픽이 웹 기반인지, 프로토콜 기반인지는 관계없음) 트래픽이 외부 Unified Access Gateway로 전송됩니다. Unified Access Gateway는 Horizon Cloud Service 환경 연결을 위한 보안 프록시의 역할을 합니다. 외부 Unified Access Gateway 프록시는 보안 영역에서 들어오고 나가는 Horizon Cloud Service 트래픽을 프록시합니다. 보안 영역은 외부에 대한 조직의 네트워크 액세스를 구분하며, 네트워크 내에 있는 대상에 대한 액세스를 규정하는 엄격한 규칙을 포함하는 DMZ 네트워킹 보안 구성입니다. Horizon Cloud Service 환경에 연결하는 내부 사용자의 경우 트래픽이 서비스 영역에 있는 내부 Unified Access Gateway 장치에 전송됩니다.