Обзор VMware Horizon: что это и как позволяет настроить удаленный доступ

VMware Horizon — это платформа для виртуализации рабочих столов и приложений, которая позволяет пользователям удаленно взаимодействовать с корпоративной средой. Рабочее место запускается в дата-центре на сервере. Пользователь видит изображение на своем устройстве и может удаленно совершать различные действия — кликать мышью, вводить команды, открывать папки. VMware Horizon в этой схеме управляет виртуальными рабочими местами, делая их доступными. Основные функции платформы:

• Поддержка различных клиентских устройств — пользователи могут подключаться к виртуальным рабочим столам и приложениям с устройств под управлением Windows, macOS, Linux, iOS, Android, Chrome OS, а также с тонких клиентов. 

• Публикация приложений (Remote Applications) — предоставление доступа к отдельным корпоративным программам, работающим на RDS-серверах, без запуска полного виртуального рабочего стола.

• Безопасный удаленный доступ — поддержка многофакторной аутентификации, шифрования трафика, контроля прав доступа. 

• Простая масштабируемость — добавление новых виртуальных рабочих столов и пользователей. 

• Масштабируемость инфраструктуры — гибкое добавление пользователей и ресурсов без изменения архитектуры решения.

• Интеграция с экосистемой VMware — работа с такими решениями, как vSphere, vSAN, NSX и другими продуктами для организации единой виртуальной среды.

• Оптимизация пользовательского опыта — работа с графическими ускорителями и мультимедиа.  

В процессе Horizon контролирует состояние соединений и виртуальных машин. 

• Для персистентных (постоянных) рабочих столов, закрепленных за пользователем, при кратковременном разрыве сети сессия может быть переподключена к той же виртуальной машине с сохранением состояния всех открытых приложений и данных. 

• В пулах неперсистентных (непостоянных) рабочих столов поведение зависит от настроек: сессия может завершиться, а виртуальная машина — перезапущена в исходное состояние. Администраторы гибко настраивают эти политики.

Для обеспечения работы VDI-инфраструктуры на базе VMware Horizon используются следующие основные компоненты (помимо обязательной платформы виртуализации vSphere): Connection Server, Horizon Agent и Horizon Client. Рассказываем, как работает каждый. 

Connection Server

Connection Server — основной компонент Horizon. Он выполняет роль брокера подключений (connection broker), принимая запросы от клиентов, аутентифицируя пользователей и направляя их на соответствующие виртуальные рабочие столы или RDS-хосты.

Connection Server также играет роль центра управления. Через встроенную Horizon Administration Console администраторы могут мониторить систему, управлять пулами рабочих столов, настраивать политики доступа и права пользователей. 

Возможности: 

• Кластеризация — несколько серверов могут объединяться в кластер, что позволяет распределять нагрузку и обеспечивать высокую доступность рабочих мест. Функция полезна, когда нужно обслуживать сотни и даже тысячи сеансов подключений без потери производительности.

• Отказоустойчивость — при сбое одного Connection Server другой сервер возьмет на себя обработку соединений. Таким образом обеспечивается непрерывность удаленной работы.

• Интеграция с LDAP и Active Directory — это позволяет использовать корпоративные учетные записи для аутентификации пользователей, назначения ролей и прав доступа.

• Мониторинг работы системы — Connection Server фиксирует сведения о сессиях и времени работы пользователей, состоянии виртуальных рабочих столов. Это позволяет избежать сбоев, упрощает администрирование и помогает оптимизировать ресурсы.

Horizon Agent

Horizon Agent — компонент, который устанавливается на виртуальные машины, RDS-серверы или физические устройства для удаленного доступа. Функции агента:

• Обеспечение связи между Connection Server и виртуальной машиной

• Управление удаленными сессиями. 

• Воспроизведение мультимедиа. 

• Использование периферийных устройств, таких как принтеры, сканеры и USB-накопители в виртуальном рабочем пространстве. 

• Обеспечивает использование современных протоколов удаленного доступа. Основным и рекомендуемым протоколом является Blast Extreme, оптимизированный для качественной передачи графики, видео и работы с мультимедиа даже в условиях ограниченной полосы пропускания. Также для обратной совместимости поддерживаются протоколы PCoIP и RDP.

Коротко расскажем, как это работает. Администратор развертывает VMware Horizon и создает пул из виртуальных компьютеров или физических устройств, к которым можно удаленно подключаться. На каждую машину или образ устанавливается Horizon Agent, через который пользователи будут подключаться к Connection Server. Connection Server перенаправляет пользователей к нужным виртуальным машинам. Horizon Agent на этих машинах управляет сессиями и через Client обеспечивает удаленную доступность всех функций. 

Horizon Client

Horizon Client — приложение, которое устанавливается на устройства пользователей. С его помощью обеспечивается доступ к виртуальным рабочим столам. 

Horizon Client выполняет роль посредника, транслируя на пользовательские устройства изображение рабочего стола. Автоматически выбирая оптимальный протокол (Blast Extreme, PCoIP или RDP) в зависимости от типа сети и контента, что обеспечивает минимальную задержку и высокое качество изображения.

Client устанавливает защищенное соединение с Connection Server, связывается с Horizon Agent на виртуальной машине. В результате пользователь может работать с удаленными рабочими столами и приложениями так, как делал бы это на своем устройстве. 

Horizon Client поддерживает динамическое переключение между сетевыми профилями. Он подбирает нужные протоколы и маневрирует качеством графики с учетом пропускной способности пользовательской сети. Также Horizon Client может интегрироваться с уже настроенными периферийными устройствами. 

Архитектура VMware Horizon является модульной и масштабируемой, что позволяет увеличивать количество рабочих столов, не перестраивая всю инфраструктуру. Она четко разделяет уровни управления, вычислений и доступа.

Базовой единицей масштабирования является сайт (Horizon Pod), который включает в себя все компоненты, необходимые для предоставления сервиса виртуальных рабочих столов и приложений группе пользователей. Ключевые компоненты сайта:

• Серверы соединений (Connection Servers). Объединены в кластер для отказоустойчивости и балансировки нагрузки. Выполняют роль брокера подключений, управляют аутентификацией, пулами рабочих столов и сессиями.

• Вычислительный кластер vSphere. Группа серверов, ресурсы которых (CPU, RAM) используются для запуска виртуальных машин с рабочими столами и RDS-хостов.

• Централизованное хранилище. Используется для хранения образов виртуальных машин, шаблонов и пользовательских данных.

• Шлюз Unified Access Gateway (UAG) (рекомендуется для доступа извне): Этот компонент безопасности размещается в демилитаризованной зоне (DMZ) и выступает в роли защищенного обратного прокси, обеспечивая доступ к виртуальным рабочим столам из интернета без прямого подключения к внутренним серверам.

Для географического распределения несколько сайтов (Pods) могут быть объединены в единое логическое пространство с помощью Cloud Pod Architecture (CPA). Это позволяет пользователям из разных офисов подключаться к единой инфраструктуре VDI, обеспечивая глобальную балансировку нагрузки и аварийное восстановление.

От правильной настройки VMware Horizon будет зависеть стабильность и качество удаленного доступа к ресурсам. Рассказываем, как установить основные компоненты и подготовить их к работе. 

Подготовка к установке

Перед развертыванием VMware Horizon необходимо подготовить инфраструктуру. Пошаговый алгоритм:

• Через портал VMware Customer Connect получите лицензию VMware Horizon. 

• С официального сайта загрузите установочные файлы Horizon Connection Server, Horizon Agent и Horizon Client.

• Подготовьте виртуальную машину под Connection Server. Убедитесь, что выделили достаточно сетевых ресурсов и объема CPU, RAM. 

• Подключите Connection Server и виртуальные машины к Active Directory, задайте политики доступа. 

• Настройте DNS-записи для Connection Server, vCenter Server и виртуальных рабочих столов (desktops).

Убедитесь, что на сервере Connection Server настроен статический IP-адрес. Критически важно корректно настроить правила брандмауэра. Основные порты для доступа клиентов и управления:

• 443/TCP — для доступа к Horizon Client и Admin Console (HTTPS).

• 4172/TCP и UDP — для протокола PCoIP.

• 22443/TCP, 9427/TCP — для протокола Blast Extreme.

• Для работы кластера серверов Connection Server также потребуются порты 8009/TCP и 4001/TCP.

Полный и актуальный список портов для всех сценариев развертывания приведен в официальной документации VMware Horizon в разделе «Firewall Rules for Horizon».

Установка и настройка Connection Server

Connection Server — главный компонент для управления соединениями и доступом. Как его настроить:

• Запустите на подготовленной машине установочный файл VMware Horizon Connection Server и примите лицензионное соглашение. 

• Теперь запустите мастер установки. Поскольку это первый сервер в инфраструктуре, оставьте настройки по умолчанию для создания нового кластера.

• Если нужно будет подключаться к виртуальным рабочим столам через браузер без клиента, выберите опцию Install HTML Access. 

• Задайте Data Recovery Password — пароль, который может потребоваться для восстановления данных. 

• Настройте брандмауэр так, чтобы он разрешал удаленные соединения. 

После всех настроек завершите установку и проверьте, что Connection Server корректно запускается. Через браузер откройте Horizon Administrative Console — https://<FQDN Connection Server>/admin.

Настройка виртуальных рабочих столов

Это самый трудоемкий этап. Пошаговый алгоритм создания пула рабочих столов и настройки доступа:

1. В Horizon Console найдите раздел Servers, перейдите в vCenter Servers и добавьте ваш vCenter Server, укажите учетные данные сервиса Horizon. 

2. Создайте образ Golden Image через vSphere. Это виртуальная машина со всеми настройками и предустановленным ПО. На нее нужно поставить VMware Horizon Agent для взаимодействия с Connection Server. 

3. В Horizon Console найдите раздел Desktop Pools и через него создайте пул виртуальных рабочих столов. 

4. Выберите тип пула: автоматическое создание по шаблону Automated Desktop Pool, ручное добавление виртуальных машин — Manual Desktop Pool или пул на серверах Remote Desktop Session Host — RDS Desktop Pool. Первый вариант самый удобный, если нужно много рабочих мест. 

5. Настройте параметры пула: наименования машин, максимальное количество, закрепление за пользователями. 

6. Назначьте пользовательские права доступа в Horizon Console. Они могут быть индивидуальными или групповыми. 

Следующий этап — тестирование доступа. Установите на устройство VMware Horizon Client и укажите в нем адрес (FQDN или IP) вашего Connection Server. Подключитесь и убедитесь, что виртуальные рабочие столы доступны и имеют статус Available. 

Настройка доступа с Horizon Client

Пользователи могут подключаться к своим рабочим столам двумя основными способами:

1. С помощью нативного клиента VMware Horizon Client, доступного для Windows, macOS, Linux, iOS, Android, Chrome OS и тонких клиентов.

2. Через веб-браузер с использованием HTML Access (Blast), что не требует установки какого-либо дополнительного ПО.

Далее нужно действовать так: 

1. Запустите Horizon Client, укажите DNS‑имя или IP‑адрес сервера Horizon.

2. Войдите под учетными данными Active Directory. 

3. Выберите виртуальный рабочий стол или приложение из списка доступных. 

Если все правильно настроено, останется запустить сессию. 

VMware Horizon — платформа, ориентированная на централизованное управление удаленными сессиями и гибкость использования. Среди ключевых преимуществ: 

• Высокий уровень информационной безопасности. Информация, которая передается от пользователей к рабочим столам/приложениям и наоборот, хранится в облаках или центрах обработки данных. Это снижает риски утечки при компрометации или утере пользовательских устройств. Кроме того, VMware Horizon поддерживает контроль доступа, многофакторную аутентификацию и протоколы защищенного подключения.

• Централизованное управление и контроль. Платформа дает возможность администрировать рабочие столы и пользовательские сессии из единой консоли. Таким образом снижаются операционные расходы и упрощается сопровождение IT-инфраструктуры. 

• Масштабируемость и высокая доступность. VMware Horizon поддерживает кластеризацию и балансировку нагрузки для стабильной работы при росте числа подключений. Можно масштабировать систему за счет добавления новых хостов и пулов рабочих столов. 

• Поддержка гибридных и облачных сред. Платформу можно развернуть как в локальной среде, так и в публичных облаках. Такая гибкость позволяет распределять нагрузку и адаптироваться под бизнес-требования. 

• Безопасный удаленный доступ. Платформа дает пользователям возможность работать с рабочими столами и приложениями со своих устройств. Это удобно для филиальных структур и компаний, где есть внештатные сотрудники. 

Для организации безопасного доступа из внешних сетей (например, из интернета) рекомендуется использовать шлюз Unified Access Gateway (UAG), который размещается в демилитаризованной зоне (DMZ) и обеспечивает дополнительный уровень защиты Connection Server.

VMware Horizon помогает улучшить пользовательский опыт. Даже при ограниченной пропускной способности сети пользователи могут стабильно работать благодаря тому, что платформа доставляет качественную графику и мультимедиа. 

VMware Horizon широко используется в различных отраслях: финансах, здравоохранении, образовании и госсекторе — везде, где критически важны безопасность данных, централизованное управление и предоставление гибкого рабочего места. С примерами успешных внедрений можно ознакомиться на официальном сайте Omnissa (ранее VMware EUC).

VMware Horizon предоставляет компаниям возможность организовать контролируемый удаленный доступ к корпоративным ресурсам. Платформа позволяет обеспечить централизованную рабочую среду и избежать хранения большого количества чувствительных данных на пользовательских устройствах. Таким образом удается совместить удобство удаленной работы и высокий уровень информационной безопасности.