DMZ 中的 Unified Access Gateway 應用裝置可以設定為指向某個伺服器或位於一組伺服器前方的負載平衡器。Unified Access Gateway 應用裝置可與設定為使用 HTTPS 的標準第三方負載平衡解決方案搭配運作。

Unified Access Gateway 應用裝置指向伺服器前方的負載平衡器,在選擇伺服器執行個體時就不會固定不變。例如,負載平衡器可能會根據可用性以及負載平衡器所知道的每個伺服器執行個體上目前的工作階段數目來做出選擇。公司防火牆內部的伺服器執行個體通常具備負載平衡器,以便支援內部存取。在使用 Unified Access Gateway 時,您可以將 Unified Access Gateway 應用裝置指向這個通常已在使用中的相同負載平衡器。

您也可以讓一或多個 Unified Access Gateway 應用裝置指向某一個伺服器執行個體。在這兩種方法中,都請在 DMZ 中的兩部 (含) 以上 Unified Access Gateway 應用裝置前方使用負載平衡器。

圖 1. 負載平衡器後方多個 Unified Access Gateway 應用裝置

Horizon 通訊協定

Horizon Client 使用者連接至 Horizon 環境時,系統會使用數個不同的通訊協定。第一個連線一律會是透過 HTTPS 的主要 XML-API 通訊協定。在成功驗證之後,系統也會建立一或多個次要通訊協定。
  • 主要 Horizon 通訊協定

    使用者在 Horizon Client 輸入主機名稱,而這會啟動主要 Horizon 通訊協定。這是用於驗證授權和工作階段管理的控制通訊協定。此通訊協定透過 HTTPS 使用 XML 結構化訊息。此通訊協定有時稱為 Horizon XML-API 控制通訊協定。在上圖「負載平衡器後方多個 Unified Access Gateway 應用裝置」所示的負載平衡環境中,負載平衡器會將此連線路由傳送至其中一個 Unified Access Gateway 應用裝置。負載平衡器一般會先根據可用性選取應用裝置,然後根據目前工作階段的最小數量,從可用應用裝置路由傳送流量。此組態會在可用的一組 Unified Access Gateway 應用裝置之間,從不同的用戶端平均散佈流量。

  • 次要 Horizon 通訊協定

    Horizon Client 對其中一個 Unified Access Gateway 應用裝置建立安全通訊之後,使用者隨即進行驗證。如果此驗證嘗試成功,則會從 Horizon Client 建立一或多個次要連線。這些次要連線可以包括下列項目:

    • 用於封裝 TCP 通訊協定的 HTTPS 通道,例如 RDP、MMR/CDR 和用戶端架構通道。(TCP 443)
    • Blast Extreme 顯示通訊協定 (TCP 443、TCP 8443、UDP 443 和 UDP 8443)
    • PCoIP 顯示通訊協定 (TCP 4172 和 UDP 4172)

這些次要 Horizon 通訊協定必須路由傳送至主要 Horizon 通訊協定路由傳送到的相同 Unified Access Gateway 應用裝置。然後 Unified Access Gateway 即可根據經過驗證的使用者工作階段來授權次要通訊協定。Unified Access Gateway 的一項重要安全性功能是,僅在流量代表經過驗證的使用者時,Unified Access Gateway 才會將流量轉送至公司資料中心。如果錯誤地將次要通訊協定路由傳送至不同的 Unified Access Gateway 應用裝置,而非主要通訊協定應用裝置,則使用者不會獲得授權,且會放置在 DMZ 中。連線失敗。如果未正確設定負載平衡器,則錯誤地路由傳送次要通訊協定屬於常見問題。

內容閘道和通道代理伺服器的負載平衡考量事項

當您使用負載平衡器搭配內容閘道和通道代理伺服器時,請留意下列考量事項:
  • 設定負載平衡器來「傳送原始 HTTP 標頭」以避免裝置發生連線問題。內容閘道和通道代理伺服器會使用要求 HTTP 標頭中的資訊來驗證裝置。
  • 每一應用程式通道元件會要求每個用戶端在連線建立後進行驗證。連線之後,系統將會為用戶端建立一個工作階段並儲存在記憶體中。如此一來,每一項用戶端資料都會使用相同的工作階段,讓資料可以使用相同的金鑰進行加密和解密。設計負載平衡解決方案時,必須在啟用 IP/工作階段型持續性的情況下設定負載平衡器。替代的解決方案可能是在用戶端上使用 DNS 循環配置資源,這表示用戶端針對每個連線可以選取不同的伺服器。