Доступ к VDI через Direct Connect

Пользователь выполняет первичное подключение по внешнему адресу к опубликованному внешнему балансировщику (HTTPS, TCP 443).

Внешний балансировщик перенаправляет запрос на внешний сервер UAG (HTTPS, TCP 443).

Внешний сервер UAG выполняет аутентификацию пользователя через RADIUS и отправляет запрос на VIP-адрес балансировщика брокера VDI (HTTPS, TCP 443).

Балансировщик брокера VDI перенаправляет запрос на VDI-брокер Connection Server, брокер аутентифицирует пользователя по логину и паролю пользователя в AD и отправляет список доступных рабочих станций для подключения (HTTPS, TCP 443).

Пользователь устанавливает вторичное подключение с опубликованным внешним балансировщиком для установки BLAST-сессии с рабочей станцией (BLAST, TCP 443).

Внешний балансировщик перенаправляет запрос на тот же внешний сервер UAG, который обработал первичное подключение (BLAST, TCP 443).

Внешний сервер UAG отправляет запрос на виртуальную рабочую станцию, к которой хочет подключиться пользователь (BLAST, TCP 22443).

Пользователь выполняет первичное подключение по внутреннему адресу к внутреннему балансировщику (HTTPS, TCP 443).

Внутренний балансировщик перенаправляет запрос на внутренний сервер UAG (HTTPS, TCP 443).

Внутренний сервер UAG выполняет аутентификацию пользователя через RADIUS и отправляет запрос на VIP-адрес балансировщика брокера VDI (HTTPS, TCP 443).

Балансировщик брокера VDI перенаправляет запрос на VDI-брокер Connection Server, брокер аутентифицирует пользователя по логину и паролю пользователя в AD и отправляет список доступных рабочих станций для подключения (HTTPS, TCP 443).

Пользователь устанавливает вторичное подключение с внутренним сервером UAG для установки BLAST-сессии с рабочей станцией (BLAST, TCP 443).

Внутренний сервер UAG отправляет запрос на виртуальную рабочую станцию, к которой необходимо подключиться пользователю (BLAST, TCP 22443).

Пользователи получают доступ к инфраструктуре VDI из сети интернет через внешние серверы UAG.

Для пулов виртуальных рабочих столов для внутренних сотрудников требуется отключить доступ из интернета и вместо этого обеспечить подключение к ним только через внутренние сети заказчика.

Все виртуальные сети VDI растянуты через L2 Direct Connect до M9, где выполняется маршрутизация трафика между виртуальными сетями и внутренними сетями заказчика.

Для ограничения доступа к VDI из интернета предлагается использовать механизм Horizon Remote Access.

Потребуется создать доменную группу и оставить права на подключение к рабочим столам из интернета только для данной группы — сейчас такой доступ имеют все пользователи VDI. Пользователи, состоящие в данной группе, смогут подключаться к рабочим столам через внешние серверы UAG. Остальные пользователи, не состоящие в группе, при попытке подключения через внешние UAG получат сообщение об ошибке.

Чтобы пользователи могли подключаться к своим виртуальным рабочим столам через внутренние сети заказчика, потребуется развернуть еще одну пару внутренних серверов UAG и балансировщик в Management VDI сети.

Так же потребуется задать для них отдельное DNS-имя для подключения.

Для настройки данной схемы со стороны заказчика потребуется настроить правила на МСЭ для доступа к внутренним UAG в сети Management VDI, создать DNS-имя и выпустить сертификат для внутреннего доступа.