Доступ к VDI через Direct Connect

В типовой схеме услуги Виртуальные рабочие места (VDI) на базе VMware Horizon Client пользователи подключаются к своим рабочим столам через сеть интернет. Для подключения пользователей к своим рабочим столам через сеть интернет для каждого заказчика развертывается пара серверов UAG, которые при подключении туннелируют через себя весь сессионный трафик.

Процедура подключения внешних пользователей

../../_images/recommendations__ent_access-vdi-via-dc-uag-1.svg
  1. Пользователь выполняет первичное подключение по внешнему адресу к опубликованному внешнему балансировщику (HTTPS, TCP 443).

  2. Внешний балансировщик перенаправляет запрос на внешний сервер UAG (HTTPS, TCP 443).

  3. Внешний сервер UAG выполняет аутентификацию пользователя через RADIUS и отправляет запрос на VIP-адрес балансировщика брокера VDI (HTTPS, TCP 443).

  4. Балансировщик брокера VDI перенаправляет запрос на VDI-брокер Connection Server, брокер аутентифицирует пользователя по логину и паролю пользователя в AD и отправляет список доступных рабочих станций для подключения (HTTPS, TCP 443).

  5. Пользователь устанавливает вторичное подключение с опубликованным внешним балансировщиком для установки BLAST-сессии с рабочей станцией (BLAST, TCP 443).

  6. Внешний балансировщик перенаправляет запрос на тот же внешний сервер UAG, который обработал первичное подключение (BLAST, TCP 443).

  7. Внешний сервер UAG отправляет запрос на виртуальную рабочую станцию, к которой хочет подключиться пользователь (BLAST, TCP 22443).

В ряде случаев, заказчик может ограничить подключение через интернет для определенной группы пользователей, а остальным пользователям разрешать доступ только через внутренние/доверенные сети (L2/L3 Direct Connect).

Процедура подключения внутренних пользователей

../../_images/recommendations__ent_access-vdi-via-dc-uag-2.svg
  1. Пользователь выполняет первичное подключение по внутреннему адресу к внутреннему балансировщику (HTTPS, TCP 443).

  2. Внутренний балансировщик перенаправляет запрос на внутренний сервер UAG (HTTPS, TCP 443).

  3. Внутренний сервер UAG выполняет аутентификацию пользователя через RADIUS и отправляет запрос на VIP-адрес балансировщика брокера VDI (HTTPS, TCP 443).

  4. Балансировщик брокера VDI перенаправляет запрос на VDI-брокер Connection Server, брокер аутентифицирует пользователя по логину и паролю пользователя в AD и отправляет список доступных рабочих станций для подключения (HTTPS, TCP 443).

  5. Пользователь устанавливает вторичное подключение с внутренним сервером UAG для установки BLAST-сессии с рабочей станцией (BLAST, TCP 443).

  6. Внутренний сервер UAG отправляет запрос на виртуальную рабочую станцию, к которой необходимо подключиться пользователю (BLAST, TCP 22443).

Этот подход может использоваться заказчиком, если ему необходимо настроить разные варианты аутентификации для разных групп пользователей, например, для Группы 1 разрешить аутентификацию по логину и паролю, а для Группы 2 — только с использованием 2FA.

Организация доступа к VDI через Direct Connect

Что необходимо учесть при организации доступа:

  1. Пользователи получают доступ к инфраструктуре VDI из сети интернет через внешние серверы UAG.

  2. Для пулов виртуальных рабочих столов для внутренних сотрудников требуется отключить доступ из интернета и вместо этого обеспечить подключение к ним только через внутренние сети заказчика.

    Все виртуальные сети VDI растянуты через L2 Direct Connect до M9, где выполняется маршрутизация трафика между виртуальными сетями и внутренними сетями заказчика.

  3. Для ограничения доступа к VDI из интернета предлагается использовать механизм Horizon Remote Access.

    Потребуется создать доменную группу и оставить права на подключение к рабочим столам из интернета только для данной группы — сейчас такой доступ имеют все пользователи VDI. Пользователи, состоящие в данной группе, смогут подключаться к рабочим столам через внешние серверы UAG. Остальные пользователи, не состоящие в группе, при попытке подключения через внешние UAG получат сообщение об ошибке.

  4. Чтобы пользователи могли подключаться к своим виртуальным рабочим столам через внутренние сети заказчика, потребуется развернуть еще одну пару внутренних серверов UAG и балансировщик в Management VDI сети.

    Так же потребуется задать для них отдельное DNS-имя для подключения.

  5. Для настройки данной схемы со стороны заказчика потребуется настроить правила на МСЭ для доступа к внутренним UAG в сети Management VDI, создать DNS-имя и выпустить сертификат для внутреннего доступа.

Масштабная конференция
GoCloud 2024:
облачные грани будущего