• 検索結果がありません。

Horizon Cloud on IBM Cloud のテナント デプロイに関する考慮事項 - VMware Horizon Cloud Service on IBM Cloud 21.1

N/A
N/A
Protected

Academic year: 2021

シェア "Horizon Cloud on IBM Cloud のテナント デプロイに関する考慮事項 - VMware Horizon Cloud Service on IBM Cloud 21.1"

Copied!
56
0
0

読み込み中.... (全文を見る)

全文

(1)

ナント

デプロイに関する考慮事項

VMware Horizon Cloud Service on IBM Cloud 21.1

VMware Horizon Cloud Service

(2)

最新の技術ドキュメントは、 VMware の Web サイト(https://docs.vmware.com/jp/)

(3)

1

概要

5

2

VMware Horizon Cloud Service on IBM Cloud

について

6

VMware Horizon Cloud Service ファミリについて 6

サービスの説明 8

システムアーキテクチャ 8

ゾーンについて 9

Horizon Cloud Service 環境の管理 9

デスクトップおよび RDSH サーバのイメージの管理 10

Horizon Cloud Service デスクトップおよびアプリケーションへの接続 10

企業またはエンタープライズリソースへの接続 10

3

戦略的ネットワーク

オプションの選択

12

開始する前に:決定と責任 12 お客様の決定事項 13 お客様の責任 13 ファイアウォールとポートの前提条件 15 ローカル接続 16 リモート接続 17 エンドポイントのオペレーティングシステムのファイアウォールポート 18 Cloud Monitoring Service のファイアウォール設定 18

帯域幅に関する考慮事項 18 VPN および Direct Connect 19 VPN について 21 サイトツーサイトの IPsec VPN を介したトラフィックの送信 21 IPsec VPN パラメータ 22 VPN 接続オプション 23 Direct Connect について 29 Direct Connect オプションの所有権の領域 29 専用接続または MPLS Direct Connect VPN を介したトラフィックの送信 30 ネットワーク交換を介したトラフィックの送信 31 同じデータセンター内の既存のラックの接続 31 Direct Connect 接続オプション 31 Direct Connect のセットアップ 37 ネットワークルーティング 37 スプリット DNS 37 テナントネットワークアーキテクチャの例 38 その他の考慮事項 40

(4)

統合および隔離された Active Directory の選択 40

サブネットの考慮事項 41

Horizon Cloud Service ユーザーポータルおよび管理コンソールポータル URL の選択 42

4

Active Directory

の要件への適合

44

既存または隔離された Active Directory の選択 44 Active Directory のサービスアカウントの作成 45 Active Directory のグループの作成 45

Active Directory 用の一意の Horizon Cloud Service OU の作成 45

DHCP スコープとオプションコード 74 のセットアップまたは手動による DaaS エージェントの構成 46

5

最適化されたイメージの作成

47

デスクトップイメージの最適化 47 必要なイメージの数の決定 47 従来のイメージまたはインスタントクローンイメージの使用 48 RDSH サーバのイメージの作成 48 専用、フローティング、およびセッションデスクトップについて 49 3D グラフィックスオプションの選択 50 アンチウイルスの自動更新の調整 50

6

リモート

アプリケーションの管理

51

7

イメージの管理手法

52

プロファイル管理 52 リダイレクトする対象の決定 53 リダイレクト方法の決定 53 リダイレクト先の決定 53 パッチ管理 54 自動更新機能をオフにする 54 サブセットプールでのパッチとアップデートのテスト 55 バックアップ手法 55

(5)

1

VMware Horizon® Cloud Service™

は、サポートされている任意のデバイスで仮想デスクトップおよびアプリ

ケーションのエンドユーザーへの配信を可能にする、

VMware

のクラウドサービスのファミリです。

Horizon

Cloud Service

は、

VMware

がホストする

IBM Cloud

インフラストラクチャとして、または独自のオンプレミス インフラストラクチャにホストされるものとして、使用できます。どちらのシナリオでも、インフラストラクチャの 管理は

Horizon Cloud Service

アプリケーションで行われます。

本書について

本書では、

VMware Horizon Cloud Service on IBM Cloud

に焦点をあてます。デプロイ中に発生する可能性が

ある最も一般的な問題について説明し、独自の実装でこれらの問題を回避するためのヒントを提供します。各環境は

固有ですが、ここに記載される一般的な考慮事項は、

Horizon Cloud Service on IBM Cloud

を最大限に効率的に

展開するのに役立ちます。

対象読者

本書は、

IT

の意思決定者、アーキテクト、管理者、および

Horizon Cloud Service on IBM Cloud

のデプロイに

ついて知識を深めようと考えている、またはそうしようと取り組んでいるその他のユーザーを対象としています。

Active Directory

SQL

、および

Microsoft

管理コンソールなどの

Windows

データセンターテクノロジーにつ

いて理解を深めておく必要があります。また、クラウドコンピューティング、サイトツーサイト

(S2S) VPN

MPLS

(6)

IBM Cloud について

2

このセクションでは、

Horizon Cloud Service on IBM Cloud

の概要について説明します。

この章には、次のトピックが含まれています。

n

VMware Horizon Cloud Service

ファミリについて n サービスの説明

n システムアーキテクチャ

VMware Horizon Cloud Service

ファミリについて

Horizon Cloud Service

は、オンプレミスのインフラストラクチャや

VMware

が提供する完全に管理されたイン

フラストラクチャなどの複数のデプロイオプションにわたって拡張可能な、目的に特化したクラウドプラットフォ

ームを使用して、仮想デスクトップとアプリケーションを提供します。このサービスは、クラウド環境向けに最適化

されたアーキテクチャをサポートしており、仮想化された

Windows

デスクトップとアプリケーションを複数のデ

(7)

2-1. VMware Horizon Cloud Service

ファミリ

Horizon Cloud Service on IBM Cloud

Horizon Cloud Service on IBM Cloud

は、セキュリティと制御のためのエンタープライズ要件を維持しながら、

Windows

デスクトップとアプリケーションのクラウドサービスとしての配信を簡素化します。エンドユーザー

は、あらゆる場所からさまざまなデバイスタイプでアクセスできる、完全なワークスペースの利点を活用できます。

また、

Horizon Cloud Service on IBM Cloud

は、ビジネスのニーズや需要に基づいて拡張または縮小できる、オ ンデマンドで柔軟なデスクトップおよびアプリケーション配信プラットフォームも提供します。

(8)

Horizon Cloud Service with On-Premises Infrastructure

(オンプレミス

型)

このドキュメントには記載されていない、

VMware Horizon Cloud Service with On-Premises

Infrastructure

は、クラウドの経済的メリットと、ハイパーコンバージドインフラストラクチャの簡素性を組み合 わせます。このサービスを使用すると、オンプレミスの仮想デスクトップとアプリケーションの配信と管理をクラウ ドから一元的に行うことができます。

Horizon Cloud Service

管理コンソール

Horizon Cloud Service

管理コンソールは、単一の使いやすい

Web

ベースのコンソールを使用して、デスクトッ

プとリモートデスクトップセッションホスト

(RDSH)

の完全なライフサイクル管理を提供します。組織では、一元

化された

Horizon Cloud Service

管理コンソールを使用して、デスクトップモデル、資格、およびネイティブア

プリケーションとリモートアプリケーションをセキュアにプロビジョニングおよび管理できます。管理コンソール

は、さまざまなユーザー、管理、およびキャパシティ管理のアクティビティに関する使用状況レポートとアクティビ

ティレポートも提供します。

サービス

モデル

Horizon Cloud Service

パッケージは、パフォーマンス要件に適合するように構成可能な標準サイズで提供されま す。自分の企業に合うように、必要に応じてデスクトップ予約容量を混在させることができます。

サービスの説明

『サービスの説明:

VMware Horizon Cloud Service on IBM Cloud

』ドキュメントに、コンポーネント、定義、

およびサービス機能に関する詳細が記載されています。これには、

Horizon Cloud Service on IBM Cloud

プラッ

トフォームに含まれるライセンス、管理、ユーザーポータル、サービスの提供、および機能に関する情報が含まれて

います。

Horizon Cloud Service

の詳細については、このドキュメントを参照してください。

システム

アーキテクチャ

このトピックでは、

Horizon Cloud Service on IBM Cloud

システムの概要について説明します。

Horizon Cloud Service on IBM Cloud

は、次の主要コンポーネントで構成されます。

コンポーネント 説明

イメージ(イメージ テンプレートとも呼ばれる) デスクトップまたはアプリケーション割り当てを作成するために Horizon Cloud Service インフラストラクチャで使用できるデスクトップまたは RDSH サーバのイメー ジ。これは、仮想マシン (VM) のクローン作成元となる基本イメージとして使用されます。

VMware Horizon Client™ デスクトップ、シン クライアント、モバイル デバイス、またはタブレットにインストール

されたソフトウェアベースのクライアントで、Horizon Cloud Service でホストされた デスクトップおよびアプリケーションへの接続を容易にします。

(9)

コンポーネント 説明

Horizon Cloud Service でホストされた仮想デスク トップ

Horizon Cloud Service でホストされる、仮想化および最適化されたデスクトップ。仮 想デスクトップは、単一の接続をサポートしており、完全に機能するデスクトップをエンド ユーザーに提供します。Horizon Cloud Service エージェントが、Horizon Client か らの接続をサポートするために、仮想デスクトップにインストールされます。

Horizon Cloud Service でホストされた RDSH Microsoft リモート デスクトップ サービスおよび VMware Horizon テクノロジーを 使用して Horizon Cloud Service でアプリケーションや完全な共有デスクトップを提供 するためのサーバベースのモデル。各仮想デスクトップの単一の接続と比較すると、RDSH サーバでは、さまざまなユーザーからの複数のデスクトップおよびアプリケーション セッ ションをサポートできます。Horizon Cloud Service エージェントが、Horizon Client からの接続をサポートするために、RDSH サーバにインストールされます。

デスクトップ サブネットとサービス サブネット デスクトップ、アプリケーション、および管理接続を許可するために割り当てる一意の IP サブネット。デスクトップ ゾーンは、仮想デスクトップおよび RDSH サーバのためにデス クトップ サブネットを使用します。サービス ゾーンは、テナント アプライアンスおよびそ の他のユーティリティ サービスのためにサービス サブネットを使用します。

Horizon Cloud Service ユーザー ポータル ユーザーに Horizon Cloud Service デスクトップやアプリケーションへのクライアント レスの HTML5 アクセスを提供する Web ベースのポータル。

Horizon Cloud Service 管理コンソール Horizon Cloud Service デスクトップおよびアプリケーション、リソース資格、イメー ジのプロビジョニングと管理のために IT 管理者が使用する Web ベースのポータル。

Edge Gateway ネットワーク エッジ セキュリティとゲートウェイ サービスを提供し、セキュリティ ゾー

ンと仮想ネットワークを NAT、DHCP、VPN、ロード バランサとともに分離するゲート ウェイ。

VMware Unified Access Gateway Horizon Cloud Service 環境への安全なリモート アクセスを可能にする堅牢な Linux アプライアンス。セキュリティ ゾーン(外部 Horizon Cloud Service アクセス用)およ びサービス ゾーン(内部 Horizon Cloud Service アクセス用)の一部となります。

その他の用語および概念については、オンラインの『

VMware

の技術ドキュメントの用語集』を参照してください。

ゾーンについて

Horizon Cloud Service on IBM Cloud

は、機能に基づいてさまざまなリソースを分離するゾーンを確立します。

Horizon Cloud Service

には

3

つのゾーンがあります。各ゾーンは、各

Horizon Cloud Service

のデプロイで 固有であるもので、共有されません。

ゾーン 説明

セキュリティ ゾーン 外部 Unified Access Gateway アプライアンスが配置されている DMZ。Horizon Cloud Service テナン ト環境へのセキュアなリモート アクセスが容易になります。

サービス ゾーン テナント アプライアンス、ユーティリティ サーバ、内部 Unified Access Gateway アプライアンスを含む、 Horizon Cloud Service がホストされている場所。

デスクトップ ゾーン デスクトップおよび RDSH サーバをホストするゾーン。

Horizon Cloud Service

環境の管理

Horizon Cloud Service

では、さまざまな管理タスクを実行できます。

n

Horizon Cloud Service

管理コンソールを使用して、デスクトップ、

RDSH

デスクトップおよびアプリケーシ ョンをプロビジョニングできます。

(10)

n

2

要素認証と

Active Directory

の設定を構成したり、デスクトップおよびアプリケーションの資格を管理した

り、インスタントクローンイメージや従来のクローンイメージを展開および更新したり、システムやデスクト

ップの健全性を監視および観察したり、使用率と管理タスクのレポートを

Web

インターフェイスを介して取得

したりすることができます。

詳細については、『

Horizon Cloud Service on IBM Cloud

管理ガイド』を参照してください。

デスクトップおよび

RDSH

サーバのイメージの管理

最適なユーザーエクスペリエンスを確保するために、デスクトップと

RDSH

イメージを適切に最適化および構成し

てください。

Horizon Cloud Service

では、独自のイメージまたは

VMware Horizon Cloud Service

チームによって提供さ れるイメージを使用できます。

n イメージはテナントプラットフォームにアップロードされます。

n アプリケーションのインストール、イメージの調整と最適化、アップデートの作成などを実行できます。

n イメージの準備ができたら、イメージテンプレートに変換されます。

n このイメージテンプレートは、

Horizon Cloud Service

のデスクトップおよびアプリケーションの割り当てに

使用できます。

イメージを更新する必要がある場合は、既存のイメージテンプレートを更新するか、新しいイメージをアップロード

します。デプロイされたデスクトップおよび

RDSH

サーバを更新するには、新しいイメージをデスクトップまたは

リモートアプリケーション割り当てに関連付けます。詳細については、

7

章イメージの管理手法を参照してくださ

い。

Horizon Cloud Service

デスクトップおよびアプリケーションへの接続

Horizon Cloud Service

ユーザーは、モバイル、タブレット、シン、または従来の

Mac

PC

コンピューティン

グデバイスからデスクトップおよびアプリケーションに接続できるほか、

Web

ブラウザからも接続できます。

ユーザーは

Horizon Client

を起動し、

Unified Access Gateway

を介してデスクトップまたはアプリケーション

に安全に接続します。

Unified Access Gateway

へのユーザーの接続は、

Horizon Cloud Service

への社内接続

を介して、または

Horizon Cloud Service

によってホストされているインターネット接続を介して行うことができ

ます。

1

要素または

2

要素認証が完了すると、承認されたアプリケーションとデスクトップのリストが表示されま

す。リソースをクリックし、

Blast Extreme

または

PCoIP

表示プロトコルのいずれかを使用して接続します。

Horizon Client

がないデバイスの場合、またはアプリケーションとデスクトップにすばやくアクセスする必要があ

る場合は、

Web

ブラウザを使用して、同じ内部またはインターネット接続方法を使用して

Horizon Cloud Service

ユーザーポータルに接続できます。安全にログインしたら、

VMware HTML5

ベースのクライアントを使用してデ

スクトップとアプリケーションを起動するオプションを利用することができます。

(11)

セットアッププロセスでは、

VPN

、専用接続、

MPLS

、ネットワーク交換などのさまざまな接続タイプと速度から

選択できます。また、

Horizon Cloud Service

環境を企業のネットワークから完全に隔離することもできます。ユ

ーザーが仮想デスクトップや、

RDSH

デスクトップまたはアプリケーションから企業リソースを要求すると、ネット

ワークトラフィックは、

Horizon Cloud Service

データセンターと企業データセンターとの間の事前構成された接

続を経由します。

ユーザープロファイルや個人設定などの一部のリソースは、

Horizon Cloud Service

テナントでより適切に機能す

るようになります。サービスゾーンにあるユーティリティサーバは、

Windows

ベースのサーバで、

Horizon

Cloud Service

インフラストラクチャをサポートするサービスのリソースを提供します。ユーザープロファイルと

個人設定データに加えて、ユーティリティサーバは

Active Directory

VMware Dynamic Environment

Manager™

DHCP

DNS

、およびファイルサービスを提供するように構成することもできます。サービスによ っては、追加のストレージの購入が必要になる可能性があります。

次の図は、エンドユーザー、環境、

Horizon Cloud Service

の間のネットワーク接続がある、一般的な

Horizon

Cloud Service on IBM Cloud

のデプロイを示しています。エンドユーザーがインターネットを通して、または企 業のネットワーク上にいる場合のみに、自分たちのクラウドホスト型仮想デスクトップにアクセスできるかどうかを 選択できます。

(12)

3

このセクションでは、

Horizon Cloud Service on IBM Cloud

で利用可能なネットワーク接続オプションについて

詳細に説明し、ネットワークのアーキテクチャと要件の概要を示します。これには、

Horizon Cloud Service on

IBM Cloud

を実装する際に、ネットワーク、セキュリティ、およびその他のインフラストラクチャ関係者から承認 を得るために必要な情報が含まれています。

n 例として、架空の

MYCOMPANY

を使用します。

n すべてのセクションが必ずしも展開に適用できるわけではありません。省略可能のセクションには明確な印がつ

いています。注文の詳細について質問がある場合は、

Horizon Cloud

のセットアップ

Web

フォームを参照す

るか、

VMware

または

VMware

の付加価値再販業者にお問い合わせください。 この章には、次のトピックが含まれています。 n 開始する前に:決定と責任 n ファイアウォールとポートの前提条件 n 帯域幅に関する考慮事項 n

VPN

および

Direct Connect

n

VPN

について n

Direct Connect

について n スプリット

DNS

n テナントネットワークアーキテクチャの例 n その他の考慮事項

開始する前に:決定と責任

正常かつ適切なデプロイは、

Horizon Cloud Service

に参加しているチームが、キックオフ前、キックオフ中、お

よびキックオフ後に、緊密に統合された形で連動するように、それらのチーム間の良好なコミュニケーションに依存 しています。

(13)

お客様の決定事項

Horizon Cloud Service

のデプロイを計画する際は、次の問いへの答えを考えておきます。

n 既存のディレクトリ、ファイル、アプリケーション、および印刷サービスを使用するために、クラウドでホスト されたデスクトップとホスト型アプリケーションを自分の環境に統合する必要があるか。 n 「はい」の場合、自分のユーザーたちのインターネット宛てのデスクトップトラフィックをどのように送信 するべきか。 n

VMware

データセンターを経由させるか。 n 自分の組織のネットワークを経由させるか。 n 「はい」の場合、これらのリソースにアクセスするために、どれほどの量のトラフィックが仮想デスクトップ やホスト型アプリケーションと自分の組織のネットワークとの間の接続を経由しなくてはならないか。 n

IPsec VPN

は十分であるか。 n または、

MPLS

などの専用接続が必要であるか。 n 自分の接続のために手動または自動のフェイルオーバーが必要であるか。 n 「いいえ」の場合、どのインフラストラクチャが自分の使用方法をサポートするために必要であるか、および それをどこに置くことになるのか。 n ディレクトリ、ファイル、およびアプリケーションサービスが必要であるか。

n 必要なものをすべて

Horizon Cloud Service

テナントに入れることができるか。

n または

IaaS

テナントが必要か。 n 従業員が組織のネットワークの外部から自分のデスクトップにアクセスできるようにするべきか。 n 「はい」の場合、カスタム

URL

を使用するか、

VMware

から提供されたものを使用するか。 n

desktop.mycompany.com

を使用するべきか。 n または

mycompany.horizon.vmware.com

を使用するべきか。 注:

デスクトップサブネットおよび

IP

アドレスに関する質問については、サブネットの考慮事項を参照してくだ さい。

お客様の責任

お客様の責任の内容と、お客様のチームと

VMware

チームとの間で共有されている責任について、理解することが

重要です。

Horizon Cloud Service on IBM Cloud

の展開は、次の表に示すように、いくつかの基本的な責任範囲

(14)

段階 責任の範囲 プロジェクトのキッ クオフ お客様の SME が VMware と行うこと n 会議(お客様の責任者と VMware の責任者)を開催する n デスクトップ管理者、デスクトップ エンジニアリング、セキュリティ、およびネットワーク SME をチームに含める n プロビジョニング要件についての確認と話し合いを行う

n Horizon Cloud セットアップ Web フォームを使用して情報を収集する

n VMware 提供のテンプレートを使用した成功基準を確立する

n 次以降の手順を計画する キャパシティの注文 VMware が行うこと:

n データセンター インフラストラクチャからテナントのキャパシティを注文する n Horizon Cloud Service on IBM Cloud のキャパシティを構成する ネットワークのセッ トアップ VMware が行うこと: n VPN および Direct Connect の構成とアクセスを確立する n DHCP、DNS、VPN、および Direct Connect を構成する お客様の SME が行うこと: n DHCP、Active Directory、および DNS を構成する n SSL 証明書を提供する n VPN と Direct Connect 情報を提供する テナントのセットア ップ VMware が行うこと:

n Horizon Cloud Service on IBM Cloud をセットアップする n ストレージを構成する

n Unified Access Gateway をセットアップする n テナント アプライアンスをインストールする n 標準デスクトップ キャパシティを設定する ネットワークの相互 接続 VMware が行うこと: n SSL 証明書をインストールする お客様の SME が VMware と行うこと n 接続のテストと検証を行う VMware が行うこと:

n Horizon Cloud Service 管理コンソール URL を提供する n スターター イメージ テンプレートを提供する お客様の SME が行うこと: n Active Directory の登録を実行する n 事後テスト(オプション)を実行してアプリケーションをインストールする 最終セットアップと テスト お客様の SME が行うこと: n VMware 提供のスターター イメージ テンプレートにアプリケーションをインストールする VMware が行うこと: n スターター イメージ テンプレートをインポートしてテナントに移動する

(15)

段階 責任の範囲 お客様の SME が行うこと: n イメージを作成する n 割り当てを作成する n テストのデスクトップの割り当てと検証を行う VMware が行うこと: n ナレッジ転送を実施する n サポートを確立する 完了 お客様の SME が VMware と行うこと n セットアップが完了したことに同意する n VMware が高度なオンボード サービスを提供する(オプション) n すべての成功基準が満たされていることを検証する

お客様の責任

プロトコルに対して必要なすべての内部および外部ネットワークトラフィックポートが有効になっていることを確 認します(ファイアウォールとポートの前提条件を参照)。また、

IPsec VPN

構成でデプロイすることを選択した場 合は、お客様の組織側の

IPsec VPN

トンネルも担当します。専用接続、

MPLS

、またはネットワーク交換をデプロ イする場合は、

VMware

データセンターへの接続を確立するために、お客様の好みのキャリアまたは通信プロバイ ダと連携することについて責任を負います。

VMware

の責任

VMware

は、お客様が選択したネットワーク接続オプションに応じて、成功するために必要な情報を提供します。 n

IPsec VPN – VMware

IPsec

トンネルを確立するために必要な情報を提供し、

VMware

側の

VPN

IPsec

トンネル構成について責任を負います。

n 専用接続、

MPLS

、ネットワーク交換、または既存のラック

– VMware

は、ネットワークサービスプロバイ

ダとお客様のネットワーク機器と、

VMware

データセンターの

Horizon Cloud Service

テナントとの間の相

互接続を構成します。お客様は、クロスコネクトでの

Direct Connect

オプションまたはネットワーク交換で

Direct Connect

オプションを

VMware

から購入する必要があります。すべての接続タイプについて、

VMware

は、必要なネットワークテストを実行して正常な接続を確保するための共同作業を実施します。

n アイランドテナント

– VMware

とお使いのインフラストラクチャの間での統合なしでアイランドテナントを

展開する場合、

VMware

は、

Active Directory

DNS

、および

DHCP

サーバとして使用するユーティリテ

ィサーバを提供します。クラウドホスト型のデスクトップを正しく機能させるには、

Active Directory

ドメイ

ンコントローラとサポートサービスがテナントに展開されている必要があります。

ファイアウォールとポートの前提条件

このセクションには、

Horizon Cloud Service

環境への正常な接続のために使用するポートが一覧表示されていま

す。ファイアウォールポートを開き、エンドポイントデバイス、テナントアプライアンス、および

VMware

Unified Access Gateway™

とやり取りするすべてのリモート接続を含めます。

Active Directory

の設計によって、追加のポートが必要になる場合があります。

Horizon Cloud Service

の担当 者に問い合わせて、この情報がお使いの環境に適していることを確認してください。

(16)

ローカル接続

Horizon Cloud Service

に正常に接続するには、

IPsec VPN

、専用接続、

MPLS

、ネットワーク交換、または既 存のラック全体で、次の表に記載されているポートを許可します。

ソース 送信先 使用中のポート 説明

Horizon Cloud Service お使いの Active Directory イ ンフラストラクチャ

TCP/389 UDP/389

セキュアな認証のために LDAP ま たは LDAP SASL GSSAPI を使 用して Horizon Client、 VMware Horizon Cloud Service ユーザー ポータルおよび VMware Horizon Cloud Service 管理コンソールに対して ユーザーを認証します。構成済みの ユーザー グループとそのメンバー は、パフォーマンスを確保するため にテナント インフラストラクチャ にキャッシュされます。 Horizon Cloud Service お使いの Active Directory イ

ンフラストラクチャ

TCP/3268 Active Directory グローバル カ

タログの参照と検索を実行します。 Horizon Cloud Service お使いの Active Directory イ

ンフラストラクチャ

TCP/88 UDP/88

Kerberos 認証で使用

Horizon Cloud Service お使いの DNS TCP/53

UDP/53

DNS で使用

Horizon Cloud Service お使いの DHCP または DHCP リレー サーバ

UDP/67 UDP/68

DHCP および DHCP リレーで使 用

Horizon Cloud Service RSA 認証マネージャ UDP/5500 テナントが SecurID を使用してい

るときに RSA 認証マネージャと通 信します。認証マネージャは、テナ ント アプライアンスとは異なるデ ータセンターに配置できます。フェ イルオーバーに使用される高可用性 認証マネージャは、リモートに配置 することもできます。

Horizon Cloud Service お使いの RADIUS サーバ UDP/1812 UDP/1813 テナントが RADIUS を使用してい るときに RADIUS ベースの認証と 通信します。 自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/8443 UDP/8443

Blast Extreme で使用

自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/443 UDP/443

Blast Extreme で使用

自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/4172 UDP/4172

(17)

ソース 送信先 使用中のポート 説明

自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/80 TCP/443

VMware Horizon Cloud Service ユーザー ポータルおよび VMware Horizon Cloud Service 管理コンソールにアクセ スします。また、ネイティブ Horizon Client が最初に Horizon Cloud Service リソー スに接続するときにも使用されま す。リモート アクセスが有効にな っている場合は、ユーザー ポータル が公開される必要があります。ポー ト 80 はポート 443 にリダイレク トします。 自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/443 管理コンソール内のポータル アク

セスに使用

リモート接続

パブリック(インターネット)の場所から仮想デスクトップまたはアプリケーションに正常に接続するには、次の表 に記載されているポートを許可します。 ソース 送信先 使用中のポート 説明 自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/8443 UDP/8443 Blast Extreme で使用

自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/443 UDP/443 Blast Extreme で使用

自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/4172 UDP/4172 PCoIP で使用

自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/80、TCP/443 VMware Horizon Cloud Service ユーザー ポータルおよび VMware Horizon Cloud Service 管理コンソールにアクセ スします。また、ネイティブ Horizon Client が最初に Horizon Cloud Service リソー スに接続するときにも使用されま す。リモート アクセスが有効にな っている場合は、ユーザー ポータル が公開される必要があります。ポー ト 80 はポート 443 にリダイレク トします。 自分側のサイトとエンドポイント デバイス

Horizon Cloud Service TCP/443 管理コンソール内のポータル アク

(18)

エンドポイントのオペレーティング

システムのファイアウォール

ポート

エンドポイントベースのファイアウォールソリューションを使用している場合、接続が正常に行われるように、次の

表に記載されているポートが仮想デスクトップまたはリモートデスクトップセッションホスト

(RDSH)

サーバで

開いていることを確認します。

ソース 送信先 使用中のポート 説明

Horizon Cloud Service デスクトップまたは RDSH サー バ

TCP/22443 UDP/22443 Blast Extreme で使用

Horizon Cloud Service デスクトップまたは RDSH サー バ

TCP/32111 USB で使用

Horizon Cloud Service デスクトップまたは RDSH サー バ

TCP/9427 クライアント ドライブ リダイレク

ト (CDR) とマルチメディア リダ イレクト (MMR) で使用 Horizon Cloud Service デスクトップまたは RDSH サー

TCP/4172 UDP/4172 PCoIP で使用

Cloud Monitoring Service

のファイアウォール設定

Cloud Monitoring Service (CMS)

により、環境内のキャパシティ、使用状況、および健全性を監視できます。以

下では、

CMS

接続に必要なファイアウォール設定について説明します。

CMS

サービスにアクセスするには、テナントアプライアンスが

TLS

接続を介して、該当する地域の適切なホスト に接続できる必要があります。 地域 ホスト 北米 n kinesis.us-east-1.amazonaws.com、ポート:443 n query-prod-us-east-1.cms.vmware.com、ポート:443 ヨーロッパ n kinesis.eu-central-1.amazonaws.com、ポート:443 n query-prod-eu-central-1.cms.vmware.com、ポート:443 日本 n kinesis.ap-northeast-1.amazonaws.com、ポート:443 n query-prod-ap-northeast-1.cms.vmware.com、ポート:443 UK n kinesis.eu-west-2.amazonaws.com、ポート:443 n query-prod-eu-west-2.cms.vmware.com、ポート:443

帯域幅に関する考慮事項

優れたユーザーエクスペリエンスを提供するための課題としては、遅延、プロトコルの選択、距離、帯域幅、接続の 停止などがあります。 ネットワークソリューションを選択するときは、次の要素を考慮してください。

(19)

項目 説明 組織の要件 組織のニーズはそれぞれ異なります。コンピューティング タスクのタイプや予想されるワーク ロード、グラフィックスの強度、ユーザーの場所、使用される周辺機器、および各タイプのユー ザーの平均帯域幅使用量などのニーズを評価します。 帯域幅の使用量 プロトコルの選択、モニターの解像度と構成、ワークロードに含まれるマルチメディア コンテ ンツの量など、多くの要素がネットワーク帯域幅に影響を及ぼします。ストリーミングされた複 数のアプリケーションを同時に起動した場合も、使用量が急増することがあります。影響は大き く変動する場合があるため、多くの組織ではパイロット プロジェクトの一環として帯域幅の使 用量を監視しています。 接続を経由するトラフィック 組織のアプリケーション、ファイル サーバ、および認証にアクセスするために必要なトラフィ ック量を考慮します。

CPU および RAM の飽和状態 Horizon Cloud Service への接続に使用される物理ネットワーク デバイスを調べて、現在の

CPU および RAM の飽和状態と、使用可能なスループットを把握します。古いデバイスでは、 高速、暗号化、複数トンネルを同時に維持できない可能性があります。

帯域幅 Horizon Cloud Service を展開し、Horizon Cloud Service が提供するインターネット接

続を活用すると、展開されたデスクトップの数とモデルに基づいて、ピーク帯域幅と呼ばれる特 定の量のネットワーク帯域幅が保証されます。これは、Horizon Cloud Service からインタ ーネットへの接続の一部として割り当てられる帯域幅です。詳細については、『サービスの説 明:VMware Horizon Cloud Service on IBM Cloud』を参照してください。

ネットワークとアプリケーションの評価 Horizon Cloud Service デプロイを確実に成功させるには、徹底的なネットワークとアプリ ケーションの評価を実行して、遅延とパケット ロスの要件を満たしながら必要な帯域幅をサポ ートするための構成を決定します。ネットワークの輻輳があっても、エンドツーエンドのネット ワーク全体にアクティブなアプリケーション トラフィックをすべて含めて、十分な最小帯域幅 が確保されるようにします。

PCoIP および Blast Extreme で使用可能な最 適化制御

VMware の PCoIP または Blast Extreme 表示プロトコルを使用する場合は、帯域幅の使用 に影響するいくつかの要素を調整できます。詳細については、VMware Horizon ドキュメン トの「PCoIP の全般設定」および「VMware Blast ポリシー設定」セクションを参照してく ださい。

VPN

および

Direct Connect

Horizon Cloud Service

を展開する前に、実装するネットワーク接続のタイプを決定します。

ネットワーク接続は、データセンターおよびネットワーク内のアプリケーションとデータに対する

Horizon Cloud

Service

デスクトップおよび

RDSH

サーバのアクセスを提供します。また、ネットワークの内部と外部の両方のユ

ーザーに、

Horizon Cloud Service

デスクトップおよびアプリケーションリソースに接続するためのパスも提供し

ます。次の考慮事項に対処し、お使いの環境との

Horizon Cloud Service

の統合を効率的に促進するには、適切な

スキルセットを持つ必要な管理とネットワーク担当者を配備することが重要です。

次の図は、

IPsec VPN

Direct Connect

(専用接続、

MPLS

、ネットワーク交換、またはラックのいずれか)を

(20)

3-1. Horizon Cloud Service on IBM Cloud

のデプロイに対するアクセス方法

インターネットから

Horizon Cloud Service

へのアクセス

Horizon Cloud Service

は、最初に組織のインフラストラクチャを通過することなく、

Horizon Cloud Service

on IBM Cloud

デスクトップおよび

RDSH

アプリケーションへの直接のインターネットアクセスをサポートしま す。このタイプの接続は、自宅または他のリモートの場所で作業しているユーザーにとっては、特に便利です。接続 は、

RSA SecurID

または

RADIUS

に準拠した

2

要素認証ソリューションで安全に保護できます。インターネット

ベースの接続は、標準の

Horizon Cloud Service

の提供サービスの一部です。

ネットワーク接続の最適なタイプの選択

2

つの主な接続オプションのいずれかを選択する場合は、

Horizon Cloud Service

チームに問い合わせてくださ

い。選択内容は、次のように、デスクトップと

RDSH

サーバの数、ネットワーク接続で発生するトラフィックのタ イプなど、環境内のさまざまな変数によって異なります。 n

IPsec VPN – IPsec VPN

はさまざまなシナリオで使用できますが、最大帯域幅が

1 GB

の場合でも、

VPN

は より小規模の実装で使用される傾向があります。 n 専用接続、

MPLS

、またはネットワーク交換

通常、多数のデスクトップや

RDSH

サーバ、および大規模な使 用(複数ユーザーがプラットフォームに同時アクセスする、複数のアプリケーションにアクセスする、大規模な ファイル転送を実行する、など)の場合に、専用接続、

MPLS Direct Connect

、またはネットワーク交換が推 奨されます。 注:

これらの

2

つのオプションにおいては、トラブルシューティングの容易さが異なります。

IPsec VPN

はパブ

(21)

VPN

について

Horizon Cloud Service

へのネットワーク接続をセットアップするときに、

VPN

、ルーターハードウェア、

IPsec

構成を考慮します。

サイトツーサイトの

IPsec VPN

を介したトラフィックの送信

サイトツーサイトの

IPsec VPN

は、パブリックインターネットを介して別々のネットワークを相互に接続します。 たとえば、ブランチオフィスネットワークは、サイトツーサイト

VPN

で本社ネットワークに接続できます。ネッ トワーク上の各サイトには、ルーター、ファイアウォール、

VPN

コンセントレータ、セキュリティアプライアンス などの

VPN

ゲートウェイが装備されています。

IPsec VPN

接続をリモートネットワークから

Horizon Cloud Service

にセットアップすることは、

IPsec VPN

トンネルを確立するのが比較的簡単で所要時間も短いため、最も一般的なシナリオとなります。

IPsec VPN

を使用

している場合、

Edge Gateway

の制限により、最大帯域幅は約

1 Gbps

になります。

サイトツーサイトの

IPsec VPN

トンネルには、

Horizon Cloud Service

インスタンスと組織のサイトとの間の論

理および暗号化されたポイントツーポイント接続が含まれます。これらの接続により、ビジネスアプリケーション、

Active Directory

DNS

DHCP

サーバなど、組織のデータセンターサービスへの安全なアクセスが提供されま

す。また、組織のネットワークから生じるプロトコルトラフィックのために安全なアクセスを提供します。

リモートネットワークから

Horizon Cloud Service

への

IPsec VPN

接続をセットアップする場合は、次の点に

注意してください。 項目 説明 遅延の増大 IPsec VPN トンネルはパブリック インターネットを通じて構築され、パブリック インターネット接続 で一般的に発生する、輻輳やその他のネットワーク関連の問題の影響を受けやすくなります。これらの問 題により、遅延が増大する可能性があります。パブリック インターネットが原因で発生する遅延の急増 は、御社および VMware での管理の範囲を超えています。 セットアップ IPsec VPN をセットアップする場合、パフォーマンス上の理由から、VPN の管理をルーター ハードウ ェアを使用して行うことをお勧めします。Windows サーバを使用して VPN をセットアップすること は推奨されません。複数の VPN 接続がサポートされていますが、Edge Gateway ではどの IPsec ト ンネルがトラフィックのルーティング先となるか特定できないため、これらの VPN 接続が同じ送信元と 宛先のリストを持つことはできません。

冗長性 冗長性を確保するために 2 つの IPsec VPN を組み込むことはオプションですが、VPN のボンディン グはサポートされていません。最初の VPN はアクティブとして設定され、セカンダリ VPN は無効に なります。Horizon Cloud Service では、VPN の自動フェイルオーバーは提供されません。障害が 発生した場合は、VPN を手動でフェイルオーバーする必要があります。

Horizon Cloud セットアップ Web フ ォーム

VPN のセットアップ時に、Horizon Cloud セットアップ Web フォームにルーター ベンダー、ルー ター モデル、エンドポイント IP アドレスなどの情報を入力します。VMware は、IPsec VPN トンネ ルの確立で使用される Horizon Cloud Service テナントのエンドポイント IP アドレスを提供しま す。この IP アドレスは、Horizon Cloud Service の展開時に提供されます。

(22)

項目 説明 サブネット VPN 接続全体で許可される、一般的に保護されたネットワーク リストまたはソースおよびターゲット リストと呼ばれる、サブネットを指定する必要があります。このリストでは、ネットワーク内から仮想デ スクトップおよび RDSH によってホストされているアプリケーションにアクセスするために VPN を 経由できる内部ネットワークが定義され、同時に仮想デスクトップおよび RDSH によってホストされて いるアプリケーションが、ネットワーク内のさまざまなサービスについて VPN を通して何にアクセスで きるかも定義されます。

ネットワーク ルーティング Horizon Cloud Service への VPN ベースの接続の場合、VPN ピアリング プロセス中に静的ルーテ ィングが構成されます。他のネットワーク ルーティング要件が発生した場合は、VMware サポート チ ケットを開いてネットワークを追加するようにします。

IPsec VPN

パラメータ

ネットワークと

VMware

データセンターとの間のサイト間

VPN

を設定する場合は、

Horizon Cloud

セットアッ

Web

フォームに、必須およびオプションの

IPsec VPN

プロトコルとパラメータが一覧表示されます。

IPsec VPN

の場合、

Horizon Cloud Service

は、追加のセキュリティオプションと機能を提供する仮想アプライ

アンスである

Edge Gateway

を使用します。

Edge Gateway

はフェーズ

1

でメインモードを、フェーズ

2

でク

イックモードをサポートしています。これらの用語の説明については、担当のネットワークエンジニアに問い合わ

せるか、『

VMware NSX

管理ガイド』を参照してください。

次の表は、各フェーズで使用するプロトコルとパラメータを示しています。

Horizon Cloud Service

のように、ネ

ットワーク上の各フェーズに同じプロトコルとパラメータを設定する必要があります。たとえば、

ISAKMP

パラメ

ータはフェーズ

1

で使用され、

IKE

パラメータはフェーズ

2

で使用され、

Oakley

プロトコルは認証に加えて

MODP

グループ

2

で使用されます。すべてのパラメータは必須です。

Edge Gateway

へのアップグレードでは、

キー更新のためのフェーズ

2 Perfect Forward Secrecy (PFS)

はオプションです。

プロトコルとパラメータ フェーズ 1 フェーズ 2

ハッシュ(SHA または MD5) SHA1 SHA1

認証モード メイン クイック

暗号化 AES、AES256、トリプル DES、AES-GCM AES、AES256、トリプル DES、AES-GCM

Diffie-Hellman グループ(2、5、14、15、ま たは 16)

2 2

(23)

プロトコルとパラメータ フェーズ 1 フェーズ 2

有効期間 28800 3600

Perfect Forward Secrecy N/A True。共有シークレットの要件:独自の共有シ

ークレットを指定することも、両方の側で使用す るランダムな共有シークレットを Horizon Cloud Service が生成することもできます。 n 32 文字から 128 文字の間 n 1 文字以上の大文字 n 1 文字以上の小文字 n 1 文字以上の数字 n 特殊文字はなし

注:

特定のトンネルでデータの暗号化に使用される有効期間を定義する

Security Association (SA)

の有効期間

タイマーなどの一部の

IPsec VPN

パラメータは、

Edge Gateway

では変更できません。これらのパラメータは、

テナント機器上で変更して、

Edge Gateway

の値と一致させる必要があります。デプロイプロセスには

2

つのフ

ェーズがあり、フェーズ

1

とフェーズ

2

の両方に

SA

有効期間タイマーが含まれています。

SA

タイマーが期限切れ

になると、両方の側での認証が再ネゴシエーションになります。ただし、

Edge Gateway

はトラフィック上で再認

証されず、有効期間タイマーでのみ再認証されます。このため、タイマーが

Horizon Cloud Service

側と一致する

ようにテナント側で設定されていない場合は、

VPN

トンネルで問題が発生する可能性があります。

VPN

接続オプション

VPN

を使用して自分の企業から

Horizon Cloud Service

に接続するときに、複数の接続オプションから選択でき

ます。

1

つのオプションは、アイランドテナントとして知られていて、自分の企業に対しての専用

VPN

または永続的な接

続を使用しません。他の

2

つのオプションでは、

VPN

接続の利用方法に基づいて、異なるルーティング構成がゲス

ト内のインターネットおよびユーザートラフィックフローで利用可能であることが注目すべき点となります。イン

ターネットトラフィックの

Horizon Cloud Service

デスクトップやアプリケーションからのルーティングを、

Horizon Cloud Service

で提供されるインターネット接続を介して行うか、または独自のネットワークを通して行 うかを選択することは、このプロセスでの重要な考慮事項です。

接続オプション

1

:アイランド

テナント(

VPN

なし)

Horizon Cloud Service

を展開するための最速で最も簡単な方法は、アイランドテナントをセットアップすること です。

次の図に示すように、すべてのプロトコルおよびゲスト内トラフィックは、

Horizon Cloud Service

ゲートウェイ

を経由して

Horizon Cloud Service

テナントに入ります。お客様のネットワークと

Horizon Cloud Service

ナントとの間には接続はありません。すべてのデスクトップユーザー、公開アプリケーション、および

RDSH

サー

バは、インターネットを介して接続します。アイランドテナントで考えられる使用事例の詳細については、統合およ

(24)
(25)

接続オプション

2

Horizon Cloud Service

のインターネット接続を使用する

VPN

Horizon Cloud Service

デプロイの最も一般的な接続方法は、組織のネットワークと

Horizon Cloud Service

ナントとの間で

VPN

を構成することです。この方法は、ブランチオフィス環境に最もよく似ています。

このオプションは、

Horizon Cloud Service

ゲートウェイを介してユーザーのデスクトップのインターネット宛て

のトラフィックをルーティングしますが、デスクトップアプリケーション、認証、

DHCP

DNS

などのゲスト内の

トラフィックはすべて、

VPN

を経由して組織のネットワークに入ります。また、すべてのユーザーをインターネッ

ト経由で

Horizon Cloud Service

デスクトップおよび

RDSH

サーバに接続できるようにするか、ローカルユーザ ーのみを

VPN

経由で接続できるようにし、外部のユーザーをインターネット経由で接続できるようにするかを選択 できます。

次の図に示すように、デスクトップおよび

RDSH

サーバに接続する外部ユーザーのプロトコルトラフィックも、

Horizon Cloud Service

ゲートウェイを通過して

Unified Access Gateway

に渡ります。

Unified Access

Gateway

は、

Horizon Cloud Service

環境への接続に安全なプロキシとして機能し、セキュリティゾーンとの間 の

Horizon Cloud Service

トラフィックに対するプロキシとして機能します。組織のネットワークから接続する

ユーザーのプロトコルトラフィックは、インターネットを介して接続するか、

VPN

を経由してデスクトップおよび

RDSH

サーバに到達するように構成できます。内部ユーザーも、内部の信頼されたゾーンにある

Unified Access

Gateway

を介して接続します。

(26)
(27)

接続オプション

3

:組織のゲートウェイ経由のインターネット宛てトラフィックを含む

VPN

このオプションは、

VPN

にわたるすべてのユーザーのインターネット宛てトラフィックとゲスト内トラフィックを、

組織のネットワークにルーティングします。インターネット、

VPN

、またはそれら

2

つの組み合わせを介してすべ

てのユーザーが

Horizon Cloud Service

に接続できるようになる機能を維持します。

すべてのゲスト内トラフィック(デスクトップアプリケーション、認証、

DHCP

、および

DNS

など)およびインタ

ーネット宛てのデスクトップトラフィックは、

VPN

を経由して組織のゲートウェイを通ります。その後、インター

ネット宛てのトラフィックには、設定済みの適切な

Web

フィルタリングを適用できます。デスクトップおよび

RDSH

サーバに接続している外部ユーザーのプロトコルトラフィックは、インターネットを介したアクセスを提供 する

Horizon Cloud Service

ゲートウェイを通ります。

次の図に示すように、このオプションを使用すると、

VPN

経由のトラフィックが増加しますが、ユーザーおよびデ

スクトップのアクティビティを完全に可視化して制御することができるという業務上の利点が得られます。この構成 では、最高レベルのセキュリティとコンプライアンスを確保するための追加オプションが提供されます。

注:

このオプションは、

Direct Connect

構成に移行するときには直接動作しません。利用可能な

VPN

帯域幅を

超えるスケーリングが予想される場合は、

Horizon Cloud Service

の担当者に問い合わせて、オプションと考慮事

(28)
(29)

Direct Connect

について

Direct Connect

を使用すると、専用接続、

MPLS

、ネットワーク交換、または同じデータセンター内に配置された

独自のネットワーク装置を介して、

Horizon Cloud Service

テナントとの間のエンドツーエンドのプライベート接

続をセットアップできます。

Horizon Cloud Service

は、データセンターおよびサービス(ビジネスアプリケーション、

Active Directory

DNS

DHCP

サーバなど)を

Horizon Cloud Service

に拡張するときに、

1 GB

または

10 GB

のポートを提供 します。

Direct Connect

では、ネットワークサービスプロバイダを介した契約によって、データセンターから

VMware

データセンターへの接続を完全に制御できます。次の表に、サポートされている

Direct Connect

のオプ ションを示します。 オプション 説明 クロス コネクトでの Direct Connect - 1 GB または 10 GB クロス コネクトでの Direct Connect は、専用接続、MPLS、または同じデータセ ンターに配置された独自のネットワーク機器で使用されます。 ネットワーク交換での Direct Connect - 1 GB または 10 GB ネットワーク交換での Direct Connect は、ネットワークまたはクラウド交換 (Equinix Cloud Exchange など)に接続するときに使用されます。

Direct Connect

オプションの所有権の領域

次の図に示すように、所有権の領域は、

Direct Connect

オプションの一般的な

Horizon Cloud Service on IBM

Cloud

の環境で分割されています。

Meet Me Room

は、外部の専用接続、

MPLS

回線、または

Horizon Cloud Service

ネットワークと接続してい るネットワーク交換など、外部接続がデータセンターに入る境界となるポイントを表します。

(30)

3-5.

所有権の領域

専用接続または

MPLS Direct Connect VPN

を介したトラフィックの送信

専用接続または

MPLS

は、データがネットワークノード間を移動している間に、通信ネットワーク内のトラフィッ

クをルーティングします。

MPLS Direct Connect VPN

トンネルを構築すると、サイトツーサイトの

IPsec VPN

接続を作成するよりもコストが高くなりますが、いくつかのメリットを得られます。

MPLS Direct Connect

回線は、インターネットを介してルーティングされた接続の場合と同じように他のユーザ

ーと共有されることはありません。このため、パブリックインターネットで発生する可能性のある割り込みを受ける

ことがありません。

Direct Connect

プロバイダは、コミットされた帯域幅とサービスレベルアグリーメントを提

(31)

ネットワーク交換を介したトラフィックの送信

ネットワーク交換は、クラウド交換としても知られていて、自分の好みのネットワークサービスプロバイダを使用

しているプライベートネットワークを、セキュアな高スループット、低遅延接続を使用して、

Horizon Cloud

Service

などのクラウドサービスプロバイダと接続するサービスです。

ネットワーク交換は、通常、

MPLS Direct Connect VPN

トンネルを作成するよりも低コストで済むことができ、

多くの場合、数時間で有効になります。このため、組織のサイトに

Horizon Cloud Service

を接続するのにかかる

総時間が短縮されます。

Horizon Cloud Service

は、ネットワーク交換のオプションとして、

Equinix Cloud

Exchange

を提供します。

同じデータセンター内の既存のラックの接続

Horizon Cloud Service

と同じデータセンターに併置されている

IT

リソースとサービスがすでにある場合は、既

存の環境を

Horizon Cloud Service

テナントに接続できます。

Direct Connect

接続オプション

組織における企業データおよびユーザーデータフローの、追加の帯域幅と制御をお使いの構成に応じて提供する、

複数の

Direct Connect

接続オプションから選択することができます。

帯域幅の要件以外に、インターネットトラフィックの

Horizon Cloud Service

デスクトップやアプリケーション

からのルーティングを、

Horizon Cloud Service

で提供されるインターネット接続を介して行うか、または独自の

ネットワークへの

Direct Connect

上で行うかを選択することは、重要な考慮事項です。

Horizon Cloud Service

チームと協力して、組織のニーズに最適な

Direct Connect

オプションを選択します。

Direct Connect

オプション

1

Horizon Cloud Service

のインターネット接続を使用する

Direct Connect

VPN

オプション

2

と同様に、このオプションはインターネット宛てのデスクトップトラフィックを

Horizon

Cloud Service

ゲートウェイを使用するようにルーティングし、

Direct Connect

を使用してゲスト内トラフィッ

クをルーティングします。このオプションは、

Direct Connect

を使用するゲスト内のアプリケーショントラフィ

ックが大量にあり、テナントで提供される

VMware

インターネット帯域幅を活用する場合に適しています。

7

に示すように、デスクトップアプリケーション、認証、

DHCP

DNS

などのすべてのゲスト内トラフィック

は、

Direct Connect

を経由して組織のネットワークに入ります。インターネットに向かうデスクトップおよび

RDSH

サーバトラフィックは、

Horizon Cloud Service

ゲートウェイ外に送られます。

デスクトップおよび

RDSH

サーバに接続する外部ユーザーのプロトコルトラフィックも、

Horizon Cloud

Service

ゲートウェイを通過して

Unified Access Gateway

に渡ります。

Unified Access Gateway

は、

Horizon Cloud Service

環境への接続に安全なプロキシとして機能し、セキュリティゾーンとの間の

Horizon

Cloud Service

トラフィックに対するプロキシとして機能します。組織のネットワークから接続するユーザーのプ

ロトコルトラフィックは、インターネットを介して接続するか、

Direct Connect

を経由してデスクトップおよび

RDSH

サーバに到達するように構成できます。内部ユーザーも、内部の信頼されたゾーンにある

Unified Access

Gateway

を介して接続します。

(32)
(33)

Direct Connect

オプション

2

:企業所有のインターネット

ゲートウェイ経由のインターネッ

トを使用した

Direct Connect

この

Direct Connect

ルーティング構成は、ゲスト内およびインターネット宛てのすべてのデスクトップトラフィ ックを、企業所有のインターネットゲートウェイを通じて、

Direct Connect

を経由させる必要があると同時に、 ユーザーをインターネット経由で接続できるようにすることも必要である場合に適しています。

VMware

ゲートウ ェイを経由するデスクトップトラフィックがないため、インターネットに向けられたデスクトップトラフィックは、 提供されたプロキシエージェントを使用するか、グループポリシー構成を使用して管理する必要があります。

次の図に示すように、外部ユーザーのプロトコルトラフィックは

Horizon Cloud Service

ゲートウェイを経由し

てデスクトップおよびアプリケーションへのアクセスを提供しますが、ゲスト内のトラフィックとインターネット宛

てのデスクトップトラフィックはすべて

Direct Connect

を経由して組織のデータセンターに入ります。このオプ

ションを使用すると、ユーザーおよびデスクトップのアクティビティを完全に可視化して制御することができるとい う利点が得られます。ただし、ユーザーがリモートから環境に接続することを防止することで、インターネットから

入ってくるプロトコルトラフィックのルーティングによる重要な問題が発生する可能性があります。このオプショ

ンを検討している場合は、

Horizon Cloud Service

の担当者に問い合わせて、考慮事項を十分に理解してくださ

(34)
(35)

Direct Connect

オプション

3

Horizon Cloud Service

ゲートウェイを介したインターネ

ット接続がない

このオプションでは、

Horizon Cloud Service

デスクトップへのすべての接続が

Direct Connect

経由となり、

Horizon Cloud Service

ゲートウェイを介したインターネット接続がないように、ルーティングが構成されます。 このオプションを使用すると、最高レベルのセキュリティとコンプライアンスを確保するために、すべてのプロトコ ル、ユーザー、およびデスクトップのアクティビティを完全に可視化して制御できるという利点が得られます。この

オプションは、すべてのユーザーが組織のネットワークを介して

Horizon Cloud Service

に接続する必要がある場

合に適しています。

次の図に示すように、このオプションを使用すると

Horizon Cloud Service

ゲートウェイが無効になり、ユーザー

が外部からインターネットを介して

Horizon Cloud Service

に接続することは技術的に不可能になります。すべ

てのトラフィック(プロトコルトラフィック、ゲスト内トラフィック、およびインターネット宛てデスクトップト

ラフィック)は、会社所有のインターネットゲートウェイを介して

Direct Connect

を経由します。

Horizon

Cloud Service

に接続するには、ユーザーが組織のネットワーク上に存在しているか、組織の

VPN

を介してリモ

ートで接続されている必要があります。組織の

VPN

を介して接続しているエンドユーザーには、次の図のポートが

組織の

VPN

で開かれている必要があります。これらのポートは、

Horizon Cloud Service

への内部接続とみなさ れます。

(36)

図  2-1. VMware Horizon Cloud Service  ファミリ
図  2-2.  一般的な  Horizon Cloud Service on IBM Cloud  のデプロイ モデル
図  3-1. Horizon Cloud Service on IBM Cloud  のデプロイに対するアクセス方法
図  3-2.  隔離されたアイランド テナントのデプロイ モデル
+7

参照

Outline

関連したドキュメント

●お使いのパソコンに「Windows XP Service Pack 2」をインストールされているお客様へ‥‥. 「Windows XP Service

Furthermore, computing the energy efficiency of all servers by the proposed algorithm and Hadoop MapReduce scheduling according to the objective function in our model, we will get

Under the assumption that we can reach from any feasible state any feasible sequence of states in bounded time, we show that every e ffi cient solution is also overtaking, thus

Under the assumption that we can reach from any feasible state any feasible sequence of states in bounded time, we show that every e ffi cient solution is also overtaking, thus

In this way the persistent homology of the point cloud X captures its essential topological features: the number of points is determined by the H 0 barcodes at small values of

クチャになった.各NFは複数のNF  ServiceのAPI を提供しNFの処理を行う.UDM(Unified  Data  Management) *11 を例にとれば,UDMがNF  Service

Krasnov applied these ideas to the black hole horizon and used the ensemble of quantum states of SU (2) Chern–Simons theory associated with the spin assignments of the punctures on

タップします。 6通知設定が「ON」になっ ているのを確認して「た めしに実行する」ボタン をタップします。.