下圖顯示用對 Horizon Cloud Service 進行網路連線的兩個選項:一個沒有 VPN 連線的 Island 租用戶,和一個使用 VPN 連線連接至您的內部部署資料中心的租用戶。

下圖也介紹 Horizon Cloud Service 租用戶應用裝置和 Unified Access Gateway 應用裝置,以及公用程式伺服器。

圖 1. 租用戶網路架構的範例

瞭解區域

Horizon Cloud Service on IBM Cloud 會建立可根據功能區隔不同資源的區域。Horizon Cloud Service 有三個區域。每個區域對每個 Horizon Cloud Service 部署是唯一的,且未共用。

區域 說明
安全性區域 外部 Unified Access Gateway 應用裝置所在非軍事安全性區域 (DMZ)。它有助於安全地遠端存取 Horizon Cloud Service 租用戶環境。
服務區域 主控 Horizon Cloud Service 所在的位置,包括租用戶應用裝置、公用程式伺服器和內部 Unified Access Gateway 應用裝置
桌面區域 主控桌面及 RDSH 伺服器

Horizon Cloud Service 應用裝置

租用戶應用裝置包含您的 Horizon Cloud Service 管理主控台、Horizon Cloud Service 使用者入口網站、帳戶組態資料庫和桌面對應,以及網域加入資訊。Unified Access Gateway 應用裝置會允許對 Horizon Cloud Service 虛擬桌面和 RDSH 主控應用程式進行內部和外部連線的安全存取。針對備援和高可用性,將為每個應用裝置部署兩個。

應用裝置 說明
租用戶應用裝置 強化的 Linux 應用裝置,提供桌面和應用程式代理、佈建和權利服務。它會主控使用者和管理入口網站 (屬於服務區域),並且將狀態資訊向服務提供者通訊。
Unified Access Gateway 強化的 Linux 應用裝置,可提供進入 Horizon Cloud Service 環境的安全遠端存取。它屬於安全性區域 (用於外部 Horizon Cloud Service 存取) 和服務區域 (用於內部 Horizon Cloud Service 存取)。
公用程式伺服器 除非服務說明中另有說明,否則依預設會免費提供一部公用程式伺服器,並且是選用的。公用程式伺服器可以是 Active Directory、DNS、DHCP、UEM 或檔案伺服器,用來在 Horizon Cloud Service 租用戶中共置服務,並且會連線到您的網路 (服務區域)。
Edge 閘道應用裝置 一個閘道,提供網路 Edge 安全性和閘道服務,以隔離安全性區域和虛擬化網路與 NAT、DHCP、VPN 以及負載平衡器。

網路安全性

Horizon Cloud Service 使用 Edge 閘道應用裝置來管理 VPN 和 Direct Connect 的連線,以及進出桌面、RDSH 伺服器和管理應用裝置所在的 Horizon Cloud Service 租用戶的任何管理流量。

如果您想要在管理應用裝置與您的組織網路環境之間有額外的緩衝,請考慮部署由企業管理的防火牆原則,只要為內部和遠端使用者以及這些使用者需要的任何應用程式或服務啟用所有需要的連接埠即可。

瞭解 Unified Access Gateway

VMware Unified Access Gateway (以前稱為 VMware Access Point) 是強化的 Linux 虛擬應用裝置,可實現對 Horizon Cloud Service 環境的安全遠端存取。如果您的使用者透過公用網際網路使用外部連線 (無論流量是以 Web 為基礎或以通訊協定為基礎),流量都會傳送至外部 Unified Access Gateway。Unified Access Gateway 可作為連線至 Horizon Cloud Service 環境的安全 Proxy。外部 Unified Access Gateway 會代理往返於 Horizon Cloud Service 與安全性區域之間的流量。安全性區域是 DMZ 網路安全性建構,可提供組織一個區段的網路存取給外部,但具有嚴格的規則,可調節對您的網路內項目的存取。針對連線到 Horizon Cloud Service 環境的內部使用者,流量會傳送到位於服務區域中的內部 Unified Access Gateway 應用裝置。