VMware Identity Manager와 독립 Horizon 포드를 통합하는 것 외에도, Horizon Cloud Pod 아키텍처(CPA) 배포를 통합할 수 있습니다.

그림 1. Horizon 포드 페더레이션과 VMware Identity Manager 통합

Horizon Cloud Pod 아키텍처 기능은 여러 개의 Horizon 포드를 연결하여 포드 페더레이션이라는 하나의 대규모 데스크톱 및 애플리케이션 브로커링 및 관리 환경을 형성합니다. 포드 페더레이션에는 여러 사이트와 데이터 센터가 포함될 수 있습니다.

하나 이상의 포드 페더레이션을 VMware Identity Manager 서비스와 통합할 수 있습니다. 포드 페더레이션은 Horizon에서 생성 및 관리되며, 포드 페더레이션의 데스크톱 및 애플리케이션 풀에 대한 사용자 및 그룹의 사용 권한은 Horizon에서 설정됩니다. 리소스 및 사용 권한을 VMware Identity Manager에 동기화합니다.

포드 페더레이션에 있는 전역 사용 권한은 포드 페더레이션의 모든 포드에서 액세스할 수 있는 데스크톱과 애플리케이션에 대한 사용 권한을 사용자에게 부여할 수 있도록 해줍니다. 전역 사용 권한은 페더레이션에 있는 여러 포드의 리소스로 구성될 수 있습니다. 예를 들어 글로벌 데스크톱 사용 권한에는 서로 다른 세 데이터 센터의 서로 다른 세 포드로 되어 있는 데스크톱 풀이 포함될 수 있습니다. 포드 페더레이션에 있는 개별 모드에서 로컬 사용 권한을 구성할 수도 있습니다. 글로벌 및 로컬 사용 권한을 모두 VMware Identity Manager에 동기화할 수 있습니다.

VMware Identity Manager 서비스와 포드 페더레이션 통합에는 VMware Identity Manager 콘솔에서의 다음과 같은 개괄적인 작업이 사용됩니다.

  • 포드 페더레이션을 구성하는 모든 포드를 추가하고 각각에 대해 Horizon 연결 서버 세부 정보를 지정합니다.

    VMware Identity Manager는 포드 페더레이션에 있는 어느 포드에서나 전역 사용 권한을 동기화할 수 있지만, SAML 인증에 필요한 메타데이터를 동기화하려면 각 포드에 연결해야 합니다. 또한 해당되는 경우 로컬 사용 권한을 동기화하려면 포드에 연결해야 합니다.

  • 포드 페더레이션 세부 정보를 추가하고 글로벌 실행 URL을 지정합니다. 글로벌 실행 URL은 일반적으로 글로벌 로드 밸런서 URL이며, 전역 사용 권한이 부여된 데스크톱 및 애플리케이션을 실행하는 데 사용됩니다.

    내부 및 외부 액세스와 같은 특정 네트워크 범위에 대해 글로벌 실행 URL을 사용자 지정할 수도 있습니다.

  • 포드 페더레이션에서 VMware Identity Manager 서비스로 리소스 및 사용 권한을 동기화합니다.
    참고: 포드 페더레이션에서 [모든 사이트] 범위 정책이 지정된 전역 사용 권한만 동기화합니다. [모든 사이트] 범위 정책은 애플리케이션 또는 데스크톱의 검색 범위를 포드 페더레이션에 있는 모든 포드로 설정합니다.
  • 특정 네트워크 범위에 대한 클라이언트 액세스 URL을 설정하여 글로벌 실행 URL을 사용자 지정합니다. 이러한 URL은 포드 페더레이션에서 전역 사용 권한이 부여된 리소스를 실행하는 데 사용됩니다. 기본적으로 페더레이션을 추가하는 동안 지정하는 글로벌 실행 URL은 모든 네트워크 범위에 대한 글로벌 실행 URL로 사용됩니다.
  • 로컬 사용 권한이 구성된 포드 페더레이션의 각 포드에 대한 클라이언트 액세스 URL을 지정합니다. 이러한 URL은 포드에서 로컬 사용 권한이 부여된 데스크톱 및 애플리케이션을 실행하는 데 사용됩니다. 클라이언트 액세스 URL은 Horizon 연결 서버 URL, 보안 서버 URL 또는 로드 밸런서 URL일 수 있습니다. 클라이언트 액세스 URL은 특정 네트워크 범위에 대해 설정됩니다. 기본적으로 포드를 추가하는 동안 지정하는 Horizon 연결 서버는 모든 네트워크 범위에 대한 클라이언트 액세스 URL로 사용됩니다.

포드 페더레이션을 VMware Identity Manager 서비스와 통합하면 서비스에서 다음을 수행합니다.

  • 포드 페더레이션에서 [모든 사이트] 범위 정책이 지정된 모든 전역 사용 권한을 동기화합니다.
  • 선택할 경우 포드 페더레이션의 일부인 포드에서 로컬 사용 권한을 동기화합니다.
  • 포드 페더레이션에 있는 모든 Horizon 연결 서버에서 메타데이터를 동기화합니다.
  • 최종 사용자가 Workspace ONE 포털에서 Horizon 애플리케이션 및 데스크톱에 액세스하도록 허용합니다.

최종 사용자가 Workspace ONE 포털에서 Horizon 애플리케이션 및 데스크톱에 액세스합니다. 전역 사용 권한이나 로컬 사용 권한을 통해 사용 권한이 부여된 모든 리소스가 표시됩니다. 애플리케이션 및 데스크톱이 Horizon Client에서 실행됩니다. 사용자가 로컬에서 사용 권한이 부여된 애플리케이션 또는 데스크톱을 실행하면 사용자가 연결된 Horizon 연결 서버에서 실행됩니다. 전역 사용 권한이 부여된 리소스는 리소스가 있는 Horizon 연결 서버에서 실행됩니다.

샘플 Cloud Pod 아키텍처 배포

다음 다이어그램에서는 샘플 Cloud Pod 아키텍처 배포와 이 배포가 VMware Identity Manager 서비스에 통합되는 방식을 보여 줍니다.

그림 2. Cloud Pod 아키텍처 배포 예

이 다이어그램은 샘플 포드 페더레이션 배포를 나타냅니다. Federation 1이라는 포드 페더레이션이 Horizon 6에서 생성되었습니다. 여기에는 Pod 1, Pod 2, Pod 3의 세 포드가 있습니다. 포드 1과 포드 2에는 각 Horizon 연결 서버에 대한 보안 서버 인스턴스와 외부 액세스를 위한 외부 로드 밸런서 및 내부 액세스를 위한 내부 로드 밸런서가 구성되어 있습니다. Pod 3는 내부 로드 밸런서를 사용하는 내부 액세스 전용으로만 구성됩니다. 포드 페더레이션 전체에는 외부 글로벌 로드 밸런서와 내부 글로벌 로드 밸런서가 있습니다.

데스크톱 및 애플리케이션 풀은 포드에서 배포됩니다. 전역 사용 권한이 Federation 1에 구성되고 개별 포드에 대한 로컬 사용 권한도 구성됩니다.

Federation 1은 VMware Identity Manager 서비스와 통합되어 있습니다. VMware Identity Manager 서비스는 전역 사용 권한과 Federation 1의 로컬 사용 권한을 모두 동기화합니다. 전역 사용 권한이 각 포드에 복사되므로 전역 사용 권한을 Pod 1에서 동기화합니다. Pod 1, Pod 2 및 Pod 3에서도 로컬 사용 권한을 동기화합니다.

최종 사용자는 VMware Identity Manager Workspace ONE 포털에서 전역 사용 권한 또는 로컬 사용 권한을 통해 사용 권한이 부여된 데스크톱과 애플리케이션을 모두 볼 수 있습니다. 사용자가 데스크톱 또는 애플리케이션을 실행할 때 전역 사용 권한에 속해 있으면 사용자의 네트워크 범위에 따라 실행 요청이 외부 또는 내부 로드 밸런서 URL EG 또는 URL IG로 갑니다. 리소스가 로컬 사용 권한에서 온 경우에는 사용자의 네트워크 범위에 따라 실행 요청이 리소스가 배포된 포드의 내부 또는 외부 로드 밸런서로 갑니다. 예를 들어 Pod 2의 리소스의 경우에는 요청이 URL I2 또는 URL E2로 갑니다.