Bu yazımda sizlere şirket-içi fiziksel makinelerinizi Horizon yapısı üzerinden nasıl erişime açabileceğinizi ve bu yapı üzerinde bileşenleriniz nasıl konumlandırabileceğiniz hakkında bilgiler vereceğim.
Son günlerde ülkemizde olduğu gibi dünyayı etkisi altına alan COVID-19 salgını gibi, doğal afetler, acil durumlar veya halk sağlığı salgınları gibi öngörülemeyen olaylarla karşılaşıldığında, kuruluşlardan harekete geçmeleri ve işgücünün kurumsal kaynaklara uzaktan erişmesini sağlamaları istenir. Çoğu durumda, kullanıcının normal iş yerinde, ofiste bulunan fiziksel bir Windows makinesi vardı ve bu fiziksel makine, kullanıcının işini yapması için gereken tüm uygulamalara, verilere erişime ve araçlara sahiptir. Sorun, kullanıcının fiziksel olarak kendi makinesine ulaşamamasıdır. İhtiyaç duyulan şey, kullanıcıların iş makinelerine güvenli uzaktan erişim sağlayan evden çalışmayı etkinleştirmek için bir çözümdür ve çözümün hızlı ve kolay dağıtılması gerekir.
Resim-1
Horizon sanal masaüstü ve uygulamalara erişimin yanında fiziksel makinelere de erişim hizmeti sunmaktadır. Temelde kullanıcı bağlantısı şöyle gerçekleşir;
- VMware Horizon Client, Horizon Connection Server ile kimlik doğrulamasını yapar.
- Connection Server, Horizon yapısında Agent ile bağlantı kurar. (Bu aşamada Agent Windows 10 fiziksel makinesi üzerine yüklenmiştir.)
- Horizon Client fiziksel makinedeki Horizon Agent ile iletişime geçer ve oturum bağlantısını oluşturur.
Harici konumlardan ve Internet üzerinden güvenli erişim sağlamak için, VMware Unified Access Gateway (UAG) yazılımı kullanılır.
- Horizon Client, UAG aracılığıyla Connection Server ile kimlik doğrulamasını yapar.
- Horizon Client, UAG aracılığıyla fiziksel masaüstünde çalışan Agent ile oturum bağlantısı oluşturur.
Resim-2
Horizon 7.7 ile VMware, Blast Extreme protokolü aracılığıyla Windows 10 sürüm 1803 Enterprise Edition veya daha yüksek olan fiziksel makinelere aracılık etme özelliğini tanıttı. Windows sürümleri için;
- Blast Extreme veya RDP protokolü kullanılabilir, ancak Blast daha iyi bir kullanıcı deneyimi verecektir.
- Windows 10 sürümleri 1903 ve sonrası için Horizon 7.12’yi kullanın.
Not: Windows 10 Pro Edition çalışabilir, ancak resmi olarak desteklenmez. RDP protokolü Pro için kullanılmalıdır. Mümkünse, Windows 10 için kullanılan lisans türünü Enterprise sürümü olarak değiştirin.
Horizon 7’nin önceki sürümleri, sürüm 7.7’den önce, RDP protokolünü kullanarak fiziksel makinelere bağlantı sağlayabilir. Windows 7 çalıştıran fiziksel makineler görüntü protokolü olarak RDP’yi kullanabilir. İşletim sistemleri ve sürümler için;
Windows 10 Enterprise Edition 1903-1909: Horizon 7.12 – Blast yada RDP
Windows 10 Enterprise 1803-1809: Horizon 7.7/7.12 – Blast yada RDP
Windows 10 Enterprise 17xx ve Windows 10: Horizon 7x – Not Supported – RDP
Windows 7 SP1 ve sonrası: Horizon 7.x – RDP
Horizon Mimarisi ve Tasarımı
Horizon 7, sanallaştırılmış uygulama-masaüstü ve fiziksel masaüstleri son kullanıcılara yönetmek ve sunmak için bir platformdur. Horizon 7, Windows sanal masaüstleri, Linux sanal masaüstü bilgisayarlar, Uzak Masaüstü Sunucusu (RDS) tarafından yayınlanan uygulamalar ve masaüstü bilgisayarlar ve fiziksel makinelere bağlantı oluşturmanıza ve aracılık etmenizi sağlar.
Horizon 7’nin başarılı bir şekilde dağıtılması, iyi planlamaya ve platformun sağlam bir şekilde anlaşılmasına bağlıdır. Bu bölümde, Horizon ortamının fiziksel masaüstü bilgisayarlara bağlantı sağlaması için gereken temel tasarım konuları üzerinde durulmaktadır.
Bileşenler
Connection Server
Horizon Connection Server, kullanıcıları sanal uygulamalara-masaüstlerine ve fiziksel bilgisayarlara, güvenli bir şekilde bağlanılmasına aracılık eder. Connection Server, Active Directory aracılığıyla kullanıcıların kimliğini doğrular, isteği uygun ve yetkili kaynağa yönlendirir.
Horizon Agent
Horizon Agent, hedef fiziksel sistemlerin veya sanal VM’lerin işletim sistemine yüklenir. Agent, makinenin Connection Server tarafından yönetilmesini sağlar ve Horizon Client’ ın makineye bir oturum bağlantısı oluşturmasına izin verir.
Horizon Client
Horizon yapısına erişmek için uç noktalara (kullanıcı cihazlarına) yüklenir.
Unified Access Gateway
VMware Unified Access Gateway, harici bir ağdan Horizon tarafından yönetilen kaynaklar da dahil olmak üzere çeşitli dahili kaynaklara güvenli uzaktan erişim sağlayan sanal bir cihazdır. Unified Access Gateway birden çok kullanım örneğini destekler, ancak bu makalenin amaçları doğrultusunda Horizon 7 tarafından yönetilen masaüstü bilgisayarlara güvenli dış erişim sağlamaya odaklanacağız.
Unified Access Gateway, kurumsal DMZ veya dahili ağ içinde dağıtılabilir ve şirketinizin kaynaklarına bağlantılar için proxy bilgisayar görevi görür. Unified Access Gateway, kimlik doğrulamalı istekleri uygun kaynağa yönlendirir ve kimlik doğrulaması olmayan istekleri atar. Ayrıca, etkinleştirildiğinde ek bir kimlik doğrulama katmanından yararlanarak kimlik doğrulamanın kendisini gerçekleştirebilir.
Boyutlandırma
Bu bölümde, gerekli bileşenlerin her biri için önerilen boyutlandırma ve yükleri hakkında bilgileri sıralayacağız.
Connection Server
Tek bir Connection Server 4000 oturumu desteklemesine rağmen ortalama 2000 session önerilmektedir. Herhangi bir hata durumu ve sunucu down olmasına karşın n+1 sunucu dağıtım yapısı kullanılmalıdır.
Horizon tasarımında karşımıza Pod adında önemli bir kavram çıkmaktadır. Pod, masaüstü ve uygulamalara bağlantı sağlayan birbirine bağlı Connection Server grubundan oluşur. Bir Pod yapısı, masaüstü ve RDSH oturumları da dahil olmak üzere 20.000 oturuma destek vermesine karşın, 12.000 session kullanılması önerilir.
Pod başına toplam 12.000 kullanıcı oturumu önerisiyle, pod başına en fazla 7 Connection Server desteklenir. Birden çok Pod , CPA (Cloud Pod Architecture) ile birbirine bağlanır.
Unified Access Gateway
Unified Access Gateway, dağıtım sırasında Standard, Large ve Extra-Large olarak üç boyutlandırma seçeneği sunar. UAG, Horizon için güvenli erişim senaryosunda kullanılacaksa Standard boyutu kullanılmalıdır. Standard olarak yapılanıdırılmış UAG, 2000 Horizon oturumunu destekler.
Desktop Pools
Desktop Pools, Horizon yapısı içerisindeki masaüstü nesnelerine yönetim, yetkilendirme ve kullanıcı ataması sağlamakla görevlidir. Automated ve Manual olmak üzere iki Desktop Pools türü vardır. Tek bir Desktop Pools, en fazla 2000 masaüstü içermelidir.
Fiziksel masaüstü bilgisayarları yönetmek için Manual Desktop Pools kullanılır. Her çalışanın kendi fiziksel makinesine bağlanmasını sağlamak için tek tek masaüstü bilgisayarlara manuel atama yapılır.
Yük Dengeleme
Son kullanıcıların Load-Balancer üzerinde tanımlanmış sanal IP (VIP) aracılığıyla UAG ‘a bağlanmaları önerilir. VIP ile kullanıcı isteklerinin eşit bir şekilde UAG cihazlarına dağıtılması sağlanır. Load-Balancer kullanmak, BT yöneticilerinin bakım, yükseltme ve yapılandırma değişiklikleri gerçekleştirmesini sağlarken kullanıcılar üzerindeki etkiyi en aza indirerek daha fazla esneklik sağlar.
Horizon trafiğini birden çok Unified Access Gateway aracına yüklerken, ilk XML-API bağlantısının (kimlik doğrulama, yetkilendirme ve oturum yönetimi) yük dengeli olması gerekir. İkincil Horizon protokolleri, birincil Horizon XML-API protokolünün yönlendirildiği aynı Unified Access Gateway cihazına yönlendirilmelidir. Bu, Unified Access Gateway’ in kimlik doğrulaması yapılan kullanıcı oturumuna dayalı ikincil protokolleri yetkilendirmesine olanak tanır.
İkincil protokol oturumu birincil protokol den farklı bir Unified Access Gateway cihazına yönlendirilirse, oturuma izin verilmeyecektir. Bu nedenle bağlantı DMZ’ye bırakılır ve protokol bağlantısı başarısız olur. Load-Balancer doğru yapılandırılmamışsa ikincil iletişim kuralı oturumları yanlış yönlendirme durumu yaygın bir sorundur.
Resim-3
İkincil protokol oturumu, birincil XML-API bağlantısı için kullanılan aynı Unified Access Gateway cihazına yönlendirilmesi gerekse de, ikincil protokol oturumunun Load-Balancer üzerinden yönlendirilip yönlendirilmeme seçeneği vardır. Örneğin, bir F5 BIG-IP LTM ile birincil ve ikincil protokol trafiği F5 LTM’ye gider ve kaynak IP afinitesini kullanarak ikincil protokol oturumlarının doğru şekilde yönlendirmesini sağlar. Bu, yalnızca tek bir genel IP adresi olması gereken avantaja sahiptir.
Ölçekleme
Unified Access Gateway cihaz başına 2000 oturum ve Connection Server başına 2000 oturum, önerilen boyutlandırma rakamlarıdır ve her sunucu için en az bir fazla sunucu sisteme entegre etmek gerekir.
Resim-4
Ancak HA(High-Avalibility) bir tasarım yapılmalı ve en az bir ek UAG ve Connection Server dağıtımı planlamalıyız. Ek bir UAG cihazı eklendikçe, ilgili UAG cihazı Load Balancer yapısına dahil edilmelidir.
Artan sayıda bağlantıya hitap edecek şekilde ortamı ölçeklendirdiğimizde, Pod yapısına en fazla 7 adet Connection Server ekleyebiliriz.
Resim-5
Kimlik Doğrulama
Unified Access Gateway, Pass-Through, RSA SecurID, RADIUS, SAML ve akıllı kartlar gibi birden çok kimlik doğrulama seçeneğini desteklemektedir.
Bunun yanı sıra sisteme 3rd Party kimlik doğrulama metodları SAML ile entegre edilebilir.
Resim-6
Blast Extreme Protokolü
Horizon 7, masaüstü havuzları veya RDSH tarafından yayınlanan uygulamalar oluşturulurken kullanılabilen üç ekran protokolü ile çoklu protokol çözümüdür.(Blast Extreme, PCoIP ve RDP).
Fiziksel makinelere bağlanırken Blast Extreme veya RDP kullanılabilir. Çok daha zengin bir kullanıcı deneyimi sağladığından Blast Extreme’in kullanılması önerilir.
Port Gereksimleri
Bileşenler arasında doğru iletişimi sağlamak için, Horizon 7 dağıtımında bağlantı için ağ bağlantı noktası gereksinimlerini anlamak önemlidir. Aşağıdaki diyagram, Blast Extreme bağlantısına izin vermek için gereken bağlantı noktalarını gösterir.
Resim-7
Bunun yanı sıra yine aşağıdaki linkten ilgili port ihtiyaçlarına ait kılavuza ulaşabilirsiniz.
https://techzone.vmware.com/resource/network-ports-vmware-horizon-7
Bu yazımda sizlere Horizon yapısında fiziksel makine erişimi açmak istediğimizde nasıl bir mimari oluşturmamız gerektiği hakkında bilgiler vermeye çalıştım. Umarım sizler için de faydalı olmuştur.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: VMware, VDI, Desktops, VM, Physical, Remote, Blast, Pod, Pool, Access, UAG, Horizon
Peut on acheter du viagra femme sans ordonnance. cialis malaysia pharmacy Si puo acquistare il viagra senza ricetta in farmacia.
