Configurar las conexiones a Horizon View Connection Server

Translate

En este post me gustaría comentar la configuración de las conexiones de Horizon View, tanto en modelo de conexiones tunelizadas como sin tunelizar.

Conexiones tunelizadas

Por defecto, la configuración habitual de los Connections Servers de Horizon View es configurarlos en modo túnel, tanto para PCoIP como para Blast Extrem y HTTPS.

Esta configuración nos permite tener mayor control entre la red de dispositivos que realizan la conexión y los escritorios virtuales, permitiendo solo el acceso entre la red de dispositivos hasta el Connection Server y del Connection Server hacia los escritorios virtuales.

Con la configuración en modo túnel, en el caso de una caída del Connection Server, todas las conexiones que trabajan por él se verán afectadas y tendrán que conectar de nuevo hacia otro Connection Server que esté operativo, de nuestra infraestructura.

Para configurarlo, accedemos al portal de administración de nuestra infraestructura de Horizon View y nos dirigimos a la parte de Servidores / Servidores de Conexión.

Seleccionamos uno de los servidores y lo editamos. Ahora en la pestaña de General, marcaremos las opciones de túnel, tanto para HTTPS, PCoIP y Blast y rellenaremos HTTPS y Blast con el FQND que usaremos desde nuestros clientes de conexión, en el PCoIP introduciremos la IP local de nuestro Connection Server.

Realizaremos la misma configuración para todos los Connection Servers que necesitemos este tipo de configuración.

Conexiones No tunelizadas

No es la primera ni segunda vez que me piden evitar esta dependencia de los Connection Server, para evitar que el fallo de un solo servidor genere la caída de muchos escritorios virtuales, aun que solo sea la conexión. Para ello la mejor manera es configurar los Connection Servers de tal modo que solo establezcan la conexión entre el dispositivo cliente y el escritorio virtual, como si de un simple reenviador de peticiones de tratase.

Para poder realizar esta configuración tenemos que tener en cuenta que cambia completamente el diseño de seguridad de red. En esta implementación deberemos permitir el acceso entre las redes de los dispositivos de conexión, la red de los Connection Servers y la red de los escritorios virtuales, complicando el diseño de seguridad de red.

Además de la seguridad, hay que tener en cuenta que no podremos vincular ningún Security Server a estos Connection Server, pues es imprescindible que trabajen con las opciones de túnel y por si esto fuera poco, en el caso de usar el acceso a los escritorios virtuales por HTML tendremos que generar certificados internos para que no nos genere un error de certificado.

Si nuestra implementación no necesita este tipo de opciones, Security Server o HTML Access, podemos implementar la configuración sin túnel del siguiente modo.

Nos validaremos en el portal de administración de nuestra infraestructura de Horizon View y accederemos a la parte de Servidores / Servidores de Conexión.

Editaremos uno de los servidores desmarcando las opciones de túnel, tanto para HTTPS, PCoIP y Blast.

Realizaremos la misma configuración para todos los Connection Server que necesitemos este tipo de configuración.

 

INFO. Para saber los puertos y protocolos usados entre las distintas redes de Clientes, Escritorios y Servidores, os dejo el enlace de Diagrama de puertos de Horizon View 7.

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/vmware-horizon-7-end-user-computing-network-ports.pdf

 

Espero que os haya servido, si tenéis alguna duda comentar el post y haré lo posible para ayudaros.

3 comentarios en “Configurar las conexiones a Horizon View Connection Server

  1. Juan

    No sabía que esto se podía hacer, pero se me acaba de abrir un buen abanico de posibilidades. Gran idea.
    Pero tengo una duda existencial, si estamos en el segundo caso, y nos fijamos en el segundo dibujo de conexiones, cómo abrimos los puertos a nievel de firewall (Blast, PCoIP, RDP) a cada uno de los escritorios virtuales?
    Voy a hacer mis pruebas, pero no termino de ver eso claro…
    Por ejemplo, el puerto 3389 no puede estar abierto a más de un PC virtual, por tanto…¿?¿?

    1. Ricard Ibáñez Autor del post

      Hola Juan, la verdad es que para montar algo así lo ideal es que los VDI estén en una VLAN independiente, de esta manera abrir puertos en el FW es más sencillo. En cada escritorio no hace falta hacer nada, con el View Agent ya permite estos protocolos directamente a él.
      Te recomiendo mirar la guía de Network, el último enlace de la entrada, ahí encontrarás puertos y protocolos que usa View en las conexiones, tanto internas, externas o directas.
      Saludos!!!

    2. Ricard Ibáñez Autor del post

      Hola Juan, la verdad es que para montar algo así lo ideal es que los VDI estén en una VLAN independiente, de esta manera abrir puertos en el FW és más sencillo. En cada escritorio no hace falta hacer nada, con el View Agent ya permite estos protocolos directamente a él.
      Te recomiendo mirar la guía de Network, el último enlace de la entrada, ahí encontrarás puertos y protocolos que usa View en las conexiones, tanto internas, externas o directas.
      Saludos!!!

Los comentarios están cerrados.