Доступ к VDI через Direct Connect
В типовой схеме услуги Виртуальные рабочие места (VDI) на базе VMware Horizon Client пользователи подключаются к своим рабочим столам через сеть интернет. Для подключения пользователей к своим рабочим столам через сеть интернет для каждого заказчика развертывается пара серверов UAG, которые при подключении туннелируют через себя весь сессионный трафик.
Процедура подключения внешних пользователей
-
Пользователь выполняет первичное подключение по внешнему адресу к опубликованному внешнему балансировщику (HTTPS, TCP 443).
-
Внешний балансировщик перенаправляет запрос на внешний сервер UAG (HTTPS, TCP 443).
-
Внешний сервер UAG выполняет аутентификацию пользователя через RADIUS и отправляет запрос на VIP-адрес балансировщика брокера VDI (HTTPS, TCP 443).
-
Балансировщик брокера VDI перенаправляет запрос на VDI-брокер Connection Server, брокер аутентифицирует пользователя по логину и паролю пользователя в AD и отправляет список доступных рабочих станций для подключения (HTTPS, TCP 443).
-
Пользователь устанавливает вторичное подключение с опубликованным внешним балансировщиком для установки BLAST-сессии с рабочей станцией (BLAST, TCP 443).
-
Внешний балансировщик перенаправляет запрос на тот же внешний сервер UAG, который обработал первичное подключение (BLAST, TCP 443).
-
Внешний сервер UAG отправляет запрос на виртуальную рабочую станцию, к которой хочет подключиться пользователь (BLAST, TCP 22443).
В ряде случаев, заказчик может ограничить подключение через интернет для определенной группы пользователей, а остальным пользователям разрешать доступ только через внутренние/доверенные сети (L2/L3 Direct Connect).
Процедура подключения внутренних пользователей
-
Пользователь выполняет первичное подключение по внутреннему адресу к внутреннему балансировщику (HTTPS, TCP 443).
-
Внутренний балансировщик перенаправляет запрос на внутренний сервер UAG (HTTPS, TCP 443).
-
Внутренний сервер UAG выполняет аутентификацию пользователя через RADIUS и отправляет запрос на VIP-адрес балансировщика брокера VDI (HTTPS, TCP 443).
-
Балансировщик брокера VDI перенаправляет запрос на VDI-брокер Connection Server, брокер аутентифицирует пользователя по логину и паролю пользователя в AD и отправляет список доступных рабочих станций для подключения (HTTPS, TCP 443).
-
Пользователь устанавливает вторичное подключение с внутренним сервером UAG для установки BLAST-сессии с рабочей станцией (BLAST, TCP 443).
-
Внутренний сервер UAG отправляет запрос на виртуальную рабочую станцию, к которой необходимо подключиться пользователю (BLAST, TCP 22443).
Этот подход может использоваться заказчиком, если ему необходимо настроить разные варианты аутентификации для разных групп пользователей, например, для Группы 1 разрешить аутентификацию по логину и паролю, а для Группы 2 — только с использованием 2FA.
Организация доступа к VDI через Direct Connect
Что необходимо учесть при организации доступа:
-
Пользователи получают доступ к инфраструктуре VDI из сети интернет через внешние серверы UAG.
-
Для пулов виртуальных рабочих столов для внутренних сотрудников требуется отключить доступ из интернета и вместо этого обеспечить подключение к ним только через внутренние сети заказчика.
Все виртуальные сети VDI растянуты через L2 Direct Connect до M9, где выполняется маршрутизация трафика между виртуальными сетями и внутренними сетями заказчика.
-
Для ограничения доступа к VDI из интернета предлагается использовать механизм Horizon Remote Access.
Потребуется создать доменную группу и оставить права на подключение к рабочим столам из интернета только для данной группы — сейчас такой доступ имеют все пользователи VDI. Пользователи, состоящие в данной группе, смогут подключаться к рабочим столам через внешние серверы UAG. Остальные пользователи, не состоящие в группе, при попытке подключения через внешние UAG получат сообщение об ошибке.
-
Чтобы пользователи могли подключаться к своим виртуальным рабочим столам через внутренние сети заказчика, потребуется развернуть еще одну пару внутренних серверов UAG и балансировщик в Management VDI сети.
Так же потребуется задать для них отдельное DNS-имя для подключения.
-
Для настройки данной схемы со стороны заказчика потребуется настроить правила на МСЭ для доступа к внутренним UAG в сети Management VDI, создать DNS-имя и выпустить сертификат для внутреннего доступа.
- Процедура подключения внешних пользователей
- Процедура подключения внутренних пользователей
- Организация доступа к VDI через Direct Connect