Помимо интеграции независимых модулей Horizon с VMware Identity Manager, можно также интегрировать развернутые среды с архитектурой модулей Horizon Cloud (Cloud Pod Architecture, CPA).
Архитектура модулей Horizon Cloud объединяет несколько модулей Horizon, формируя одну большую среду управления виртуальными компьютерами и приложениями с обеспечением функций брокера, которая называется федерацией модулей. Федерация модулей может охватывать несколько сайтов и центров обработки данных.
Со службой VMware Identity Manager можно интегрировать одну или несколько федераций модулей. Обратите внимание, что для создания федераций модулей и управления ими, назначения пользователям и группам прав на доступ к пулам виртуальных компьютеров и приложений федерации модулей используется Horizon. Ресурсы и права синхронизируются с VMware Identity Manager.
Для федераций модулей применяются глобальные права, что дает возможность предоставить пользователям права на виртуальные компьютеры и приложения, доступные из любого модуля в федерации. Глобальное право может обеспечивать доступ к ресурсам в нескольких модулях федерации. Например, глобальное право на доступ к виртуальным компьютерам может обеспечивать доступ к пулам виртуальных компьютеров из трех разных модулей в трех разных центрах обработки данных. Для отдельных модулей в федерации также можно настроить локальные права. Глобальные и локальные права можно синхронизировать с VMware Identity Manager.
Чтобы интегрировать федерацию модулей со службой VMware Identity Manager, в консоли VMware Identity Manager необходимо выполнить следующие основные задачи.
- Добавьте все модули, которые необходимо включить в федерацию, указав для каждого из них сведения о сервере подключений Horizon.
Диспетчер VMware Identity Manager может синхронизировать глобальные права из любого модуля в федерации. Для этого ему необходимо подключиться к каждому модулю для синхронизации метаданных, требуемых для проверки подлинности SAML. Кроме того, при необходимости он подключается к модулям для синхронизации локальных прав.
- Добавьте сведения о федерации модулей и укажите глобальный URL-адрес для запуска. Глобальный URL-адрес для запуска (обычно это глобальный URL-адрес средства балансировки нагрузки) используется для запуска виртуальных компьютеров и приложений, на которые предоставлены глобальные права.
Этот URL-адрес можно настроить для определенных диапазонов сетевых адресов, например для внутреннего и внешнего доступа.
- Синхронизируйте ресурсы и права федерации модулей со службой VMware Identity Manager.
Примечание: Синхронизируются только глобальные права, для которых в федерации модулей настроена политика области «Все сайты». Эта политика дает возможность выполнять поиск приложений и виртуальных компьютеров во всех модулях в федерации.
- Настройте глобальный URL-адрес для запуска. Для этого задайте URL-адреса клиентского доступа для определенных диапазонов сетевых адресов. Эти URL-адреса используются для запуска ресурсов федерации модулей, на которые предоставлены глобальные права. По умолчанию глобальный URL-адрес для запуска, указываемый при добавлении федерации, используется в качестве глобального URL-адреса для запуска для всех диапазонов сетевых адресов.
- Укажите URL-адреса клиентского доступа для каждого модуля с локальными правами в федерации. Эти URL-адреса используются для запуска виртуальных компьютеров и приложений модуля, на которые предоставлены локальные права. URL-адрес клиентского доступа может быть URL-адресом сервера подключений Horizon, сервера безопасности или подсистемы балансировки нагрузки. URL-адреса клиентского доступа устанавливаются для определенных диапазонов сетевых адресов. По умолчанию сервер подключений Horizon, указываемый при добавлении модуля, используется в URL-адресе для доступа клиентов для всех диапазонов сетевых адресов.
При интеграции федерации модулей со службой VMware Identity Manager эта служба выполняет перечисленные ниже действия.
- Синхронизируются все глобальные права, для которых в федерации модулей настроена политика области «Все сайты».
- Синхронизирует локальные права модулей, входящих в федерацию (если такие права настроены).
- Синхронизирует метаданные всех серверов подключений Horizon в федерации модулей.
- Дает конечным пользователям возможность получить доступ к виртуальным компьютерам и приложениям Horizon на портале Workspace ONE.
Конечные пользователи могут получить доступ к виртуальным компьютерам и приложениям Horizon на портале Workspace ONE. Здесь отображаются все ресурсы, для которых у них есть право доступа (глобальное или локальное). Приложения и виртуальные компьютеры запускаются в Horizon Client. Когда пользователь запускает локально назначенное приложение или виртуальный компьютер, они запускаются с сервера подключений Horizon, к которому подключается пользователь. Глобально назначенные ресурсы запускаются с сервера подключений Horizon, где размещен ресурс.
Пример развертывания архитектуры облачных модулей
На следующей схеме показан пример развертывания архитектуры облачных модулей и ее интеграции со службой VMware Identity Manager.
На этой схеме приведен пример развертывания федерации модулей. Федерация модулей с именем «Федерация 1» создана в Horizon 6. Она содержит три модуля — «Модуль 1», «Модуль 2» и «Модуль 3». Для модулей 1 и 2 настроены экземпляры сервера безопасности для каждого сервера подключений Horizon, внешняя подсистема балансировки нагрузки для внешнего доступа и внутренняя подсистема балансировки нагрузки для внутреннего доступа. Модуль 3 настроен только для внутреннего доступа с использованием внутреннего средства балансировки нагрузки. Для федерации в целом настроены внешнее и внутреннее глобальные средства балансировки нагрузки.
В модулях развернуты пулы виртуальных компьютеров и приложений. Для федерации 1 настроены глобальные права. Для отдельных модулей также настроены локальные права.
Федерация 1 интегрирована со службой VMware Identity Manager. Служба VMware Identity Manager синхронизирует глобальные и локальные права, заданные для федерации 1. Так как глобальные права реплицируются в каждый модуль, синхронизируются права модуля 1. Служба также синхронизирует локальные права модулей 1, 2 и 3.
Конечные пользователи могут просмотреть список всех виртуальных компьютеров и приложений, на которые им предоставлены права (глобальные или локальные), на портале Workspace ONE VMware Identity Manager. Когда пользователь запускает виртуальный компьютер или приложение, для которых действует глобальное право, запрос на запуск передается во внешнее или внутреннее глобальное средство балансировки нагрузки (на внутренний или внешний глобальный URL-адрес) в зависимости от диапазона сетевых адресов пользователя. Если ресурс предоставлен на основе локального права, запрос на запуск передается во внешнее или внутреннее средство балансировки нагрузки модуля, в котором развернут ресурс, в зависимости от диапазона сетевых адресов пользователя. Например, для ресурса в модуле 2 запрос передается на внутренний или внешний URL-адрес 2.