이 문서에서는 Horizon 제어부 서비스 중 하나인 Universal Broker를 간단히 소개합니다. Universal Broker는 실행하는 인프라와 관계없이 여러 포드 배포에 걸쳐 있는 리소스의 브로커링을 사용하도록 설정하는 클라우드 기반 서비스입니다. 또한 서비스는 사용자 및 포드의 지리적 사이트를 기준으로 지능적인 브로커링 결정을 내립니다.

Universal Broker 개요

VMware의 최신 클라우드 기반 브로커링 기술인 Universal Broker는 테넌트에 다음 중 하나 이상이 있는 경우 사용할 수 있습니다.

  • Horizon 포드 - Horizon Connection Server 기술을 기준으로 하는 포드
  • Horizon Cloud on Microsoft Azure 포드 및 이러한 모든 포드는 포드 매니페스트 2298.0 이상을 실행합니다.

Universal Broker 솔루션의 시스템 구성 요소가 함께 작동하여 할당에 대한 사용자 연결 요청을 관리하는 방법에 대한 자세한 내용은 Universal Broker의 시스템 아키텍처 및 구성 요소를 참조하십시오.


Universal Broker 시스템 아키텍처에 대한 개략적인 다이어그램

주요 기능

Universal Broker는 다음과 같은 주요 기능을 제공합니다.

  • 모든 원격 리소스에 대한 단일 연결 FQDN

    최종 사용자는 Universal Broker 구성 설정에서 정의하는 FQDN(정규화된 도메인 이름)에 연결하여 작업 환경의 다중 클라우드 할당에 액세스할 수 있습니다. 단일 Universal Broker FQDN을 통해 사용자는 환경의 모든 사이트에 참여하는 모든 포드의 할당에 액세스할 수 있습니다. 포드 간의 내부 네트워킹은 필요하지 않습니다.


    Universal Broker의 단일 FQDN 연결 다이어그램
  • 성능 최적화를 위한 전역 포드 연결 및 인식

    Universal Broker는 다중 클라우드 할당에 참여하는 모든 포드와 직접 연결을 유지하고 각 포드의 가용성 상태를 계속 인식합니다. 따라서 Universal Broker는 최종 사용자의 연결 요청을 관리하고 이러한 포드에서 직접 가상 리소스로 라우팅할 수 있습니다. 성능 및 지연 시간 문제를 줄일 수 있는 GSLB(전역 서버 로드 밸런싱) 또는 포드 간 네트워크 통신이 필요하지 않습니다.

  • 스마트 브로커링

    Universal Broker는 지리적 사이트 및 포드 토폴로지의 인식을 기준으로 최단 네트워크 경로를 따라 할당에서 최종 사용자로 리소스를 브로커링할 수 있습니다.

브로커링 및 최종 사용자 데스크톱 풀 및 원격 애플리케이션

할당은 Horizon Universal Console의 개념 엔티티입니다. 이 콘솔을 사용하면 할당은 최종 사용자 가상 데스크톱 및 원격 애플리케이션의 풀을 정의하고 최종 사용자에게 사용 권한을 부여하는 방법입니다. 예를 들어 콘솔에서 VDI 데스크톱 할당 또는 RDSH 리소스 할당을 생성한 다음, 최종 사용자에게 해당 할당에 대한 사용 권한을 부여합니다.

Universal Broker는 사용 권한이 부여된 할당에 대한 클라이언트 사용자의 연결 요청을 관리하고 해당 요청을 충족하는 적절한 리소스에 대한 연결 세션을 협상합니다. Universal Broker는 지리적 인접성 및 포드 토폴로지를 인식합니다. Universal Broker는 이 정보를 통해 최적의 리소스를 검색하여 사이트 구성 및 리소스 가용성을 기반으로 사용자의 연결 요청을 이행합니다.

포드 유형별로 사용할 수 있는 할당 유형 목록은 다음 섹션을 참조하십시오.

Microsoft Azure에 배포된 Horizon Cloud 포드의 리소스를 사용하여 구성할 수 있는 최종 사용자 할당

포드 그룹에 있는 Horizon Cloud 포드에 대해 Universal Broker 구성이 완료되면 다음과 같은 할당 유형이 가능합니다.

클라우드 연결 Horizon 포드의 리소스를 사용하는 최종 사용자 할당

포드 그룹에 있는 Horizon 포드에 대해 Universal Broker 구성이 완료되면 다음과 같은 할당 유형이 가능합니다.

메모

거의 모든 소프트웨어와 마찬가지로 현재 릴리스에는 몇 가지 기능 고려 사항 및 알려진 제한 사항이 있습니다. 자세한 내용은 Universal Broker - 기능 고려 사항 및 알려진 제한 사항 항목을 참조하십시오.

Universal Broker의 시스템 아키텍처 및 구성 요소

이 문서에서는 참여하는 포드 및 Horizon Cloud 제어부에서 실행되는 Universal Broker의 시스템 구성 요소를 자세히 보여 줍니다. Universal Broker는 VMware의 최신 클라우드 기반 브로커링 기술을 나타내며, 새 배포에서 최종 사용자 할당의 권장되는 연결 브로커입니다.

Universal Broker의 주요 기능에 대한 개요는 VMware Horizon Service Universal Broker 소개 항목을 참조하십시오.

Universal Broker 솔루션의 시스템 아키텍처는 브로커링된 리소스가 Horizon Connection Server 기술을 기준으로 하는 Horizon 포드에 있는지, Microsoft Azure의 Horizon Cloud 포드에 있는지에 따라 약간씩 달라집니다.

Horizon 포드에 대한 Universal Broker의 시스템 아키텍처

다음 구성 요소는 Horizon Connection Server 기술을 기준으로 하는 Horizon 포드에서 다중 클라우드 할당의 클라우드 기반 브로커링용 Universal Broker 솔루션을 구성합니다.

  • Universal Broker 서비스는 Horizon Cloud에 연결된 Universal Broker 클라우드 내에서 실행되는 다중 테넌트 클라우드 서비스입니다. 각 고객은 Universal Broker 설정 구성에 설명된 대로 구성된 고유한 전용 FQDN을 사용하여 Universal Broker 서비스에 연결합니다.
  • Universal Broker 클라이언트는 각 클라우드 연결 Horizon 포드의 Horizon Cloud Connector 내에서 실행됩니다. 해당 커넥터의 버전 1.5부터 Universal Broker 클라이언트는 해당 커넥터의 일부이며 Horizon Cloud Connector를 포드와 연결할 때 자동으로 설치됩니다.
  • Universal Broker 플러그인은 다중 클라우드 할당에 참여하는 모든 클라우드 연결 포드의 Horizon Connection Server 내에서 실행됩니다. Horizon 포드 - 연결 서버에 Universal Broker 플러그인 설치에 설명된 대로 참여하는 포드 내의 각 연결 서버 인스턴스에 플러그인을 다운로드하고 설치해야 합니다.

다음 다이어그램은 Universal BrokerHorizon 포드 환경의 구성 요소에 작용하여 외부 최종 사용자로부터 할당의 원격 리소스로의 연결 요청을 관리하는 방법을 보여 줍니다.

참고: 표시된 시나리오에서는 회사 네트워크 외부의 외부 네트워크에 Horizon Client가 있고 외부 Unified Access Gateway가 포드에 구성되어 있습니다.

Horizon 포드의 Universal Broker에 대한 시스템 아키텍처

  1. Horizon Client에서 최종 사용자는 브로커링 FQDN을 통해 Universal Broker 서비스에 연결하여 가상 데스크톱을 요청합니다. 이 서비스는 XML-API 프로토콜을 사용하여 Horizon Client 사용자를 인증하고 연결 세션을 관리합니다.
  2. Universal Broker 서비스는 사이트 1의 포드 1이 데스크톱에 대해 사용 가능한 최선의 소스인지 확인한 후 포드 1에 연결된 Horizon Cloud Connector에서 실행되는 Universal Broker 클라이언트로 메시지를 보냅니다.
  3. Universal Broker 클라이언트는 포드 1 내의 각 연결 서버 인스턴스에서 실행 중인 Universal Broker 플러그인에 메시지를 전달합니다.
  4. Universal Broker 플러그인은 최종 사용자의 요청을 이행하는 사용 가능한 최상의 데스크톱을 식별합니다.
  5. Universal Broker 서비스는 포드 1의 고유한 FQDN(일반적으로 포드 1 로드 밸런서의 FQDN)을 포함하는 Horizon Client로 응답을 반환합니다. Horizon Client는 로드 밸런서와의 연결을 설정하여 데스크톱과의 프로토콜 세션을 요청합니다.
  6. 이 요청은 로컬 로드 밸런서를 통과한 후 포드 1의 Unified Access Gateway로 이동합니다. Unified Access Gateway는 요청을 신뢰할 수 있는지 확인하고, Blast 보안 게이트웨이, PCoIP 보안 게이트웨이 및 터널 서버를 준비합니다.
  7. Horizon Client 사용자는 지정된 데스크톱을 수신하고 구성된 보조 프로토콜(Blast Extreme, PCoIP 또는 RDP)을 기준으로 세션을 설정합니다.

Universal Broker 통신에 사용되는 포트에 대한 자세한 내용은 Horizon 포드 - Universal Broker에 대한 DNS, 포트 및 프로토콜 요구 사항 항목을 참조하십시오.

Microsoft Azure의 Horizon Cloud 포드에 대한 Universal Broker의 시스템 아키텍처

다음 구성 요소는 Microsoft Azure에 있는 Horizon Cloud 포드에서의 클라우드 기반 VDI 및 RDSH 할당 브로커링을 위한 Universal Broker 솔루션을 구성합니다.

  • Universal Broker 서비스는 Horizon Cloud에 연결된 Universal Broker 클라우드 내에서 실행되는 다중 테넌트 클라우드 서비스입니다. 각 고객은 Universal Broker 설정 구성에 설명된 대로 구성된 고유한 전용 FQDN을 사용하여 Universal Broker 서비스에 연결합니다.
  • Universal Broker 클라이언트는 Microsoft Azure의 각 참여 Horizon Cloud 포드 내에서 실행됩니다.
참고: 표시된 시나리오에서는 회사 네트워크 외부의 외부 네트워크에 Horizon Client가 있고 외부 Unified Access Gateway가 포드에 구성되어 있습니다.

Microsoft Azure의 Horizon Cloud 포드에 대한 Universal Broker 시스템 아키텍처

  1. Horizon Client에서 최종 사용자는 브로커링 FQDN을 통해 Universal Broker 서비스에 연결하여 가상 리소스를 요청합니다. 이 서비스는 XML-API 프로토콜을 사용하여 Horizon Client 사용자를 인증하고 연결 세션을 관리합니다.
  2. Universal Broker 서비스는 사이트 1의 포드 1이 사용자 요청에 따라 사용 가능한 최적의 리소스인지 확인한 후 포드 1에서 실행되는 Universal Broker 클라이언트로 메시지를 보냅니다.
  3. Universal Broker 클라이언트는 포드 1 내의 활성 포드 관리자에게 메시지를 전달합니다.
  4. 활성 포드 관리자는 최종 사용자의 요청을 이행하는 사용 가능한 최상의 리소스를 식별합니다.
  5. Universal Broker 서비스는 포드 1의 고유한 FQDN(일반적으로 포드 1에 대한 Microsoft Azure Load Balancer의 FQDN)을 포함하는 Horizon Client로 응답을 반환합니다. Horizon Client는 로드 밸런서와의 연결을 설정하여 리소스와의 프로토콜 세션을 요청합니다.
  6. 이 요청은 Microsoft Azure Load Balancer를 통과한 후 포드 1의 Unified Access Gateway로 이동합니다. Unified Access Gateway는 요청을 신뢰할 수 있는지 확인하고, Blast 보안 게이트웨이, PCoIP 보안 게이트웨이 및 터널 서버를 준비합니다.
  7. Horizon Client 사용자는 지정된 리소스를 수신하고 구성된 보조 프로토콜(Blast Extreme, PCoIP 또는 RDP)을 기준으로 세션을 설정합니다.

Universal Broker 통신에 필요한 포트에 대한 자세한 내용은 2019년 9월 릴리스의 매니페스트 이상에서 Horizon Cloud 포드에 대한 포드 및 프로토콜 요구 사항의 "Universal Broker에 필요한 포트 및 프로토콜" 섹션을 참조하십시오.

Universal Broker - 기능 고려 사항 및 알려진 제한 사항

이 설명서 페이지에서는 Universal Broker와 관련된 몇 가지 기능 고려 사항과 제한되거나 지원되지 않는 Horizon 기능 목록을 제공합니다.

기능 고려 사항

  • Horizon 포드와 Horizon Cloud 포드를 모두 포함하는 포드 그룹에서 생성하는 각 최종 사용자 할당은 한 가지 포드 유형의 VDI 데스크톱으로만 구성되어야 합니다. 예를 들어 여러 Horizon 포드에 걸쳐 있는 데스크톱으로 구성된 할당 또는 여러 Horizon Cloud 포드에 걸쳐 있는 데스크톱으로 구성된 할당을 생성할 수 있습니다. 그러나 Horizon 포드 및 Horizon Cloud 포드 혼합에 걸쳐 있는 데스크톱으로 구성된 할당은 생성할 수 없습니다.
  • 테넌트를 단일 포드 브로커 구성에서 Universal Broker로 전환한 경우 추가 고려 사항이 있습니다. Universal Broker로 전환한 후 테넌트 환경의 새로워진 사항 항목을 참조하십시오.

VDI 다중 클라우드 할당별 최대 포드 수 제한

VDI 다중 클라우드 할당에서 지원되는 최대 포드 수는 5개입니다. 이 제한은 Horizon Connection Server 유형 포드 및 Horizon Cloud on Microsoft Azure 유형 포드 모두에 적합합니다. 5개를 초과하면 Universal Broker에 대한 동시 로드가 증가합니다. 동시 로드를 늘리면 최종 사용자가 클라이언트에서 할당의 표시된 타일을 클릭하고 서비스에서 가상 데스크톱에 대한 사용자 로그인을 시도할 때 오류가 발생할 수 있습니다.

가상 리소스

가상 리소스의 브로커링에서 이 Universal Broker 릴리스는 Windows 운영 체제만 지원합니다. Linux 기반 데스크톱은 지원되지 않습니다.

이 릴리스는 데스크톱 및 애플리케이션에 대한 관리자 생성 바로 가기를 지원하지 않습니다.

참고: 특정 사용자는 할당에 여러 포드의 데스크톱이 포함되어 있더라도 Universal Broker로 브로커링된 전용 할당에서 할당된 데스크톱을 최대 하나만 받을 수 있습니다.

Horizon HTML Access 및 Chrome용 Horizon Client

최종 사용자는 지원되는 웹 브라우저에서 전체 HTML Access를 실행하거나 Chrome용 Horizon Client 5.4 이상을 실행하여 Universal Broker 서비스에 대한 리소스 요청을 수행할 수 있습니다. Universal Broker 서비스가 자체 서명된 인증서를 사용하는 Unified Access Gateway 인스턴스로 요청을 리디렉션하는 경우, 클라이언트 애플리케이션에서 인증 기관이 유효하지 않음을 나타내는 오류 메시지를 표시합니다.

이 동작은 설계에 따라 다릅니다. 요청된 리소스에 연결하기 위해 사용자는 인증서 오류 메시지의 지침에 따라 자체 서명된 인증서를 수락할 수 있습니다.

인증 방법

Universal Broker 릴리스에서는 Windows 사용자 이름과 암호를 통한 클라이언트 사용자 인증(UPN 및 NETBIOS 형식)을 지원합니다.

다음 목록과 같이 테넌트 포드 그룹의 현재 상태에 따라 RADIUS 또는 RSA를 통한 2단계 인증도 지원됩니다.

또한 클라이언트에서 Universal Broker를 사용하고 2단계 인증을 구성할 때의 최종 사용자 환경을 설명하는 다음 섹션을 검토합니다. 현재 동작은 포드의 게이트웨이 FQDN을 직접 사용하는 경우의 동작과는 다릅니다.

Horizon 포드만
RADIUS 및 RSA SecurID 인증이 모두 지원됩니다.
Horizon Cloud on Microsoft Azure 배포만
모든 포드가 매니페스트 3139.x 이상이고 포드에 대해 [포드 편집] 마법사를 실행할 때 RSA SecurID 및 RADIUS 옵션이 모두 표시되면 RSA SecurID 및 RADIUS 인증이 모두 지원됩니다. 그렇지 않으면 RADIUS 유형만 지원합니다.
Horizon 포드 및 Horizon Cloud on Microsoft Azure 배포 혼합
혼합 그룹에서 지원되는 인증 유형은 Horizon Cloud on Microsoft Azure 배포가 RSA SecurID 옵션을 구성하기 위한 조건을 충족하는지 여부에 따라 달라집니다.
  • Horizon Cloud on Microsoft Azure 배포가 이러한 조건을 충족하지 않으면 RADIUS 인증만 지원됩니다.
  • Horizon Cloud on Microsoft Azure 배포가 이러한 조건을 충족하는 경우 RADIUS 및 RSA SecurID 인증이 모두 지원됩니다.

충족해야 하는 조건은 포드가 매니페스트 3139.x 이상을 실행하고 포드에서 [포드 편집] 마법사를 열 때 RSA SecurID 옵션과 RADIUS 옵션이 모두 표시되는 것입니다.

2단계 인증이 구성된 경우

2단계 인증이 관련된 경우 최종 사용자는 포드의 게이트웨이 FQDN을 직접 사용할 때 흐름과 약간 다른 Universal Broker FQDN을 사용하는 경우 하나의 인증 흐름을 경험하게 합니다.

  • Universal Broker 인증 흐름에서 최종 사용자에게 Windows AD(Active Directory) 자격 증명을 두 번 입력하라는 메시지가 됩니다. 한 번은 Universal Broker FQDN에 처음 연결한 다음이고, 다른 한 번은 구성된 RADIUS 또는 RSA SecurID 시스템에서 2단계 인증을 성공적으로 완료한 후입니다.
  • 포드의 게이트웨이 인증 흐름을 사용하는 경우 최종 사용자에게 포드의 게이트웨이 FQDN에 처음 연결할 때 Windows AD(Active Directory) 자격 증명을 입력하라는 메시지가 나타납니다.
참고: Universal Broker를 사용할 때 2개의 AD 프롬프트가 표시되지 않도록 하려면 VMware Workspace ONE Access와 통합하고 VMware Workspace ONE Access에서 2단계 인증을 구성하는 것을 고려하십시오.

현재 지원되지 않는 사용자 인증 및 액세스 방법

다음 사용자 인증 및 액세스 방법은 현재 지원되지 않습니다.

  • 스마트 카드
  • 인증서
  • SAML 인증(VMware Workspace ONE과의 통합 이외)
  • 현재 사용자로 로그인
  • 익명 액세스

지원되지 않는 항목 중 하나가 지원될 자격이 있는 경우 해당 항목이 이전 목록에서 제거되고 지원 공지는 기존 클라우드 연결 포드를 사용하는 현재 고객의 경우 - Horizon Cloud Service 릴리스 정보 페이지에 언급됩니다. 해당 페이지에서 지원이 추가된 릴리스에 해당하는 섹션에 설명이 있습니다.

원격 데스크톱 기능

다음 기능은 이 릴리스의 Universal Broker에서 지원되지 않습니다.

  • URL 컨텐츠 리디렉션
  • 세션 공동 작업

기타 기능

다음 기능도 이 릴리스의 Universal Broker에서 지원되지 않습니다.

  • 키오스크 모드
  • 타이밍 프로파일(사용자 세션 문제 해결용)
  • OPSWAT 기반 끝점 규정 준수 검사